Internet防火墙.docx

Internet防火墙.docx

《Internet防火墙.docx》由会员分享，可在线阅读，更多相关《Internet防火墙.docx（26页珍藏版）》请在冰豆网上搜索。

Internet防火墙

福州***学院

毕业设计

（毕业论文）

Internet防火墙

专业*****

姓名***

指导教师**

二○一二年二月二十九日

毕业设计（论文）任务书

****系*****专业Internet防火墙课题组

学生姓名****班级******学号******

课题名称Internet防火墙

Ⅰ、本课题研究的意义：

防火墙具有很好的保护作用。

入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等。

防火墙可以挡住病毒木马甚至是最新的变种。

防火墙是根据连接网络的数据包来進行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对進出的所有人（应用程序所发出的数据包）進行身份核实，每个人都需要得到个人许可才可以出入。

每当有不明的程序想要進入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份。

另外，防火墙还有一个优点，就是可以防御黑客对系统的攻击，这是杀毒软件无法做到的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，黑客扫描你的IP的时候，不返回任何数据包，这样黑客就无法发现你这个系统的存在，从而使对方无法攻击你。

Ⅱ、本课题的主要内容：

本课题的中心是了解当代计算机的防护方式，以及预防的具体方法。

通过深度的学习，应用好身边的硬件、软件更好的保护好个人的信息和计算机的安全。

首先，我们要对计算机网络有一个基本的认识，以及它的产生和发展的趋势问题。

其次，我们要对计算机安全和网络上面的病毒、木马防御做综合分析，讨论它对我们生活的影响，要坚持两分法两点论。

接着，我们要综合以上的研究对计算机安全的特殊性和普遍性进行辩证分析，更好的加强对计算机的保护和个人信息的自我保护。

Ⅲ、设计（论文）工作起始日期：

自2011年12月25日起，至2012年2月29日止

Ⅳ、进度计划与应完成的工作：

1.2011年12月上交开题报告。

2.2012年1月对其内容展开，收集相关资料。

3.2012年2月对所收集的资料进一步整理，完成论文格式要求。

4.2012年3月自行检察修正及上交初稿。

5.2012年3月上交完整稿。

Ⅴ、主要参考文献、资料：

●XX文库

●中国域名网

●深度社区

●佰昊网络

●神州数码防火墙专区

●EZSAFE（安易）防火墙

指导教师：

****

系主任：

二○一二年月日

毕业设计（论文）评语及成绩评定

Ⅰ、毕业设计（论文）篇幅：

图纸数量张

论文说明书页

Ⅱ、指导教师的评语：

指导教师年月日

Ⅲ、阅卷人评语：

阅卷人年月日

Ⅳ、答辩委员会评语：

答辩小组组长：

（签字）

Ⅴ、答辩委员会人员组成：

答辩小组人数

组员：

（签字）（签字）

（签字）（签字）

（签字）（签字）

（签字）（签字）

答辩委员会主任：

（签字）

Ⅵ、成绩评定：

设计成绩

系主任（签字）

二○年月日

摘要:

首先，我们要了解科技的发展使得计算机日益成为百姓化的工具，网络的发展形成了一个与现实世界相对独立的虚拟空间，

其次，我们要了解当代计算机病毒/木马的特点。

成本低、传播迅速，传播范围广，互动性、隐蔽性高，严重的社会危害性。

病毒/木马比较常见的偷窥、复制、更改或者删除计算机数据、信息的犯罪，散布破坏性病毒、逻辑炸弹或者放置后门程序的犯罪，就是典型的以计算机为对象的犯罪。

最后，窃取用户的个人信息操作用户在虚拟/现实世界中的损失,都是一种让用户不能接受的一种现象,通过学习,来不断的完成自我防范,提高自我的保护意识,加强所有的可规避性问题,来提高用户的安全。

目录

第一章引言8

1.1当下互联网的信息安全8

1.2防火墙的基础定义9

1.3防火墙的发展史9

1.4防火墙的功能10

第二章防火墙的概念10

2.1网络层防火墙10

2.2应用层防火墙10

2.3防火墙的三种配置11

第三章防火墙的功能11

3.1网络安全的屏障11

3.2强化网络安全策略11

3.3对网络存取和访问进行监控审计11

第四章防火墙防止内陪信息的外泄12

4.1预防信息外泄12

4.2内部网络和外部网络之间的所有网络数据都必须经过防火墙13

4.3只有符合安全策略的数据流才能通过防火墙13

4.4防火墙自身应具有非常强的抗攻击免疫力13

4.3.1通过CPU架构13

4.3.2ASIC架构14

4.3.3网络处理器架构14

第五章工作原理14

5.1简介14

5.2服务器TCP/UDP商品过滤15

5.3客户机TCP/UDP端口15

5.4双向过滤15

5.5检查ACK位16

5.6FTP带来的困难16

5.7UDP端口过滤16

第六章附录17

6.1VPN17

6.2防火墙的注意事项18

6.3常用的防火墙软件（排名不分先后顺序）19

总结19

致谢20

参考文献（资料提供源）20

第一章引言

1.1当下互联网的信息安全

很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是很危险的！

在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。

怎样才能让我们的系统保全于如此险恶的网络环境呢？

光靠杀毒软件足以保证我们的系统安全吗？

下面我就从影响系统安全的几个方面来剖析防火墙的重要性。

现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。

杀毒软件发展了十几年，依然是停留在被动杀毒的层面（当主动防御这个概念出现以后，国内一些杀毒厂商纷纷标榜已经实现主动防御，实际上无非是炒作一些概念赚取眼球，这点急功近利的心理也是导致他们停滞不前的原因之一），从杀毒软件的原理来看，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，而且这个特征码还是需要在用户反映遇到病毒后上传病毒样本才能获取。

就如某人被偷了，幸运的是他抓住了这个小偷，于是告诉警察他抓住一个长头发戴眼镜的小偷，于是警察就天天在街上盯着那些留着长头发戴着眼睛的人。

这样的防御效果可想而知。

同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种被动的方式。

病毒和木马的制造者们抓住了杀毒软件的这个致命弱点，不停地开发新的变种，代码特征的频繁改变让被动的杀毒软件无所适从。

从全球范围内来看，能造成较大损失的病毒、木马大部分都是新出现的，或者是各类变种。

由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀，甚至导致一些杀毒软件本身都被病毒杀死而无法启动！

难道我们就只有任病毒木马宰割的份了吗？

当然不！

我们还有严守大门的防火墙呢！

防火墙为什么就能挡住病毒木马甚至是最新的变种呢？

这就要从防火墙的防御机制说起了。

防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的所有人（应用程序所发出的数据包）进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。

每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动弹出提示是否允许这个程序通行，这时候就需要你这个“最高统帅”做出判断了。

一般来说，自己没有运行或者不太了解的程序，我们一律禁止通行，并通过搜索引擎或者防火墙的提示确认该软件的性质。

写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了。

举个直观的例子：

你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。

杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。

因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门守得滴水不漏，阻止了所有木马或间谍软件发出去的信息，从而保护了你的系统安全。

另外，防火墙还有一个优点，就是可以防御黑客对系统的攻击，这是杀毒软件无法做到的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，黑客扫描你的IP的时候，不返回任何数据包，这样黑客就无法发现你这个系统的存在，从而使对方无法攻击你。

总结一下使用防火墙需要注意的几点：

1防火墙就像看门狗，如果你没钱装防盗门（硬件防火墙），那么养个狗是不错的选择.

2狗多了并不是好事，两个狗一起会经常打架，所以不要装多个防火墙，除非你想系统冲突导致崩溃。

3食量很大的狗不是普通人就能养的起的，因此建议装个节省资源的防火墙，除非你的内存实在大得可以当硬盘.

4一条灵敏的狗胜过N条蹩脚的狗，如果防火墙的处理速度不够快，当通过系统的数据包很多的时候，就要严重影响系统效率了，甚至彻底死机。

5养一条不听话的藏獒还不如养一条容易驾驭的家犬，防火墙也是一样，易用性决定你是否能轻易驾驭它。

1.2防火墙的基础定义

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Interne防火墙t与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

1.3防火墙的发展史

第一代防火墙

　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。

下图表示了防火墙技术的简单发展历史。

第二、三代防火墙

　　1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙

　　1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。

1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙

　　1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

一体化安全网关UTM

　　随着万兆UTM的出现，UTM代替防火墙的趋势不可避免。

在国际上，飞塔公司高性能的UTM占据了一定的市场份额，国内，启明星辰的高性能UTM则一直领跑国内市场。

1.4防火墙的功能

●防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

防火墙还可以关闭不使用的端口。

而且它还能禁止特定端口的流出通信，封锁特洛伊木马。

最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信；

●是防止入侵者接近你的防御设施；

●是限定用户访问特殊站点；

●是为监视Internet安全提供方便。

由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。

防火墙正在成为控制对网络系统访问的非常流行的方法。

事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。

第二章防火墙的概念

2.1网络层防火墙

网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：

来源IP地址、来源端口号、目的IP地址或端口号、服务类型（如WWW或是FTP）。

也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。

2.2应用层防火墙

应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。

理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计。

XML防火墙是一种新型态的应用层防火墙。

2.3防火墙的三种配置

防火墙配置有三种：

Dual-homed方式、Screened-host方式和Screened-subnet方式。

Dual-homed方式最简单。

Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。

这种结构成本低，但是它有单点失败的问题。

这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。

它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。

这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

Screened-subnet包含两个Screeningrouter和两个Bastionhost。

在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。

这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

第三章防火墙的功能

3.1网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

3.2强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

3.3对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。

当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

另外，收集一个网络的使用和误用情况也是非常重要的。

首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

第四章防火墙防止内陪信息的外泄

4.1预防信息外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。

使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。

但是Finger显示的信息非常容易被攻击者所获悉。

攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。

防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。

从专业角度讲，防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。

防火墙在网络中经常是以下图所示的两种图标出现的。

左边那个图标非常形象，真正像一堵墙一样。

而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。

而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。

这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。

因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。

当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。

防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。

其实与防火墙一起起作用的就是“门”。

如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？

当火灾发生时，这些人又如何逃离现场呢？

这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。

这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。

防火可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络

4.2内部网络和外部网络之间的所有网络数据都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。

因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。

所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构如下图所示。

从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。

所有的内、外部网络之间的通信都要经过防火墙。

4.3只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。

从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。

防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

4.4防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。

防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。

它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。

其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。

当然这些安全性也只能说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。

而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。

防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下

4.3.1通过CPU架构

通用CPU架构最常见的是基于IntelX86架构的防火墙，在百兆防火墙中IntelX86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，IntelX86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

国内安全设备主要采用的就是基于X86的通用CPU架构。

4.3.2ASIC架构

ASIC（ApplicationSpecific