网络安全中防火墙与端口扫描技术研究---毕业论文.doc

1、高 等 教 育 自 学 考 试 本 科 生 毕 业 论 文 (设 计 )网络安全中防火墙与端口扫描技术研究学生姓名：考 籍 号：年级专业： 电子政务指导老师及职称： 学 院：湖南大学信息科学技术学院湖南长沙提交日期： 年 月目 录摘 要 .1关键词 .11 前言 .12 网络安全概述 .22.1 网络安全信息概述 .22.2 安全性策略与安全性指标 .32.2.1 安全策略定义 .32.2.2 安全性指标 .42.3 网络攻击 .42.3.1 攻击概述 .52.3.2 攻击手段及特点 .63 防火墙技术研究 .83.1 防火墙概述 .83.2 防火墙分类与作用 .93.3 防火墙关键技术 .1

2、13.4 基于防火墙构建安全网络基本原则 .133.5 防火墙未来发展趋势 .144 端口扫描技术研究 .154.1 端口的概念 .154.2 端口扫描原理 .164.3 端口扫描技术 .174.3.1 开放式扫描技术 .174.3.2 半开放扫描技术 .184.3.3 隐藏扫描技术 .194.3.4 其他扫描技术 .204.4 扫描的防御方法 .225 结束语 .22参考文献 .23致 谢 .241网络安全中防火墙与端口扫描技术研究摘 要： 随着 Internet 在我国的迅速发展，网络安全问题越来越得到重视，防火墙与端口扫描技术也引起了各方面的广泛关注。我国目前使用较多的，是在路由器上采用

3、分组过滤技术来提供网络安全的保证，对其它方面的技术还缺乏深入了解，防火墙与端口扫描技术还处在一个发展阶段，仍有许多问题有待解决。本文主要针对网络安全中存在的相关问题，深入分析了影响网络安全地各种原因，对当前网络安全中采用的技术进行了研究，文中重点针对防火墙与端口扫描技术，对其工作原理与流行技术作了详细的介绍。关键词：Internet ；端口扫描；防火墙；网络安全1 前言近几年来，随着科学技术的飞速发展，人 们已经生活在信息时代。 计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新的感受，人类社会各种活动对信息网络地

4、依赖程度已经越来越大。网络的迅速发展， 带来了工作效率的提高，丰富了人 们的日常学习生活。然而，凡事“有利必有其弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。随着计算机网络尤其是Internet网络进入千家万户，计算机网络已经广泛应用于商业、金融、科研、教育以及日常生活的各个领域，成为信息传输中的重要组成部分，但是当人们在享受网络带来的种种便捷时，关于网络的安全问题越来越引起人们的关注。网络安全已经成为与个人或企业信息化应用密切相关的话题。只要翻开每天的报纸，就会看到与计算机有关的攻击事件在不断增加，几乎每天都会听说一些政府机关和专门机构的系统被入侵。即

5、使像美国军方这样具有极高安全保护水平的组织以及微软这样大名鼎鼎的公司也曾经被黑客入侵过。人们可能会联想这样的机构也会被攻击，在这样一种人人自危的环境下，我们该如何保护自己的公司与电脑。尤其是当今网络技术被广泛应用于社会生产生活直至军事战略等各个方面时，网络安全问题已超越其本身而达到国家安全问题的高度，这就要求我们对与Internet互连所带来的安全性问题予以足够重视。2网络安全性可以被粗略地分为 4 个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要

6、与数据签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。2 网络安全概述身在当今这个坐地日行三千里的快节奏的现代社会中的每个人不得不承认，计算机在改变着人们的生活和工作方式，而计算机网络更能使人们足不出户便可了解全球发生的重大事件，可以轻松、快捷的使自己与世界各地的朋友联络，神奇的网 络正使这个世界变的越来越小。随着网络应用和网络技术的高速发展，网络安全问题也日渐凸显。下面从几个方面简要分析目前网络安全所面临的威胁：(1) 网络的先天缺陷。网络安全是因特网发展的基础，网络是以ISO/OSI传输模式建设的，所有的网络在建设过程中只注重网络系统的便利性和实用性，而完全忽略了网络的模式结构和

7、安全性。(2) 系统漏洞。随着计算机软件系统规模的不断扩大，应用于计算机的各种系统软件和应用软件正变得越来越复杂。系统模块间的连接错误和安全漏洞是不可避免的，这也直接导致网络安全问题的存在。(3) 病毒的广泛传播。由于网速的提升和操作系统中的安全功能和安全机制的不健全，使得计算机病毒广泛传播于计算机网络中。(4) 人为攻击。网络系统是由各地计算机终端连接构成的。黑客利用网络资源共享、数据通讯的特征及网络安全漏洞进行篡改网络信息、替换网页、下载、攻击主机和网络、发送病毒邮件从而使网络系统瘫痪。(5) 网络安全管理体制不健全。在信息资源管理和安全的监管方面职责不够明确，而信息网络安全立法刚刚起步，

8、加强重要信息基础设施保护、防范不良信息入侵等关键性的专门法律尚未出台。(6) 攻击手段和技术的散布。系统的安全漏洞和系统的加密方式已不再是高度机密。因特网上许多站点时时 刻刻地发布这些信息，并提供各种工具和技术，利用 这些漏洞就能破解保密系统从而进行系统攻击。2.1 网络安全信息概述网络安全从其本质上来讲就是网络上的信息安全。随着信息网络的发展，信息安全的概念不断深化、延拓。从二战后军方、政方专享的通信保密到 20 世纪 70 年代的数据保护，90 年代的信息安全直至当今的信息保障，安全的概念已经不仅指对数据信3息的保护，还包括对整个系统的保护和防御。信息安全的概念经历了漫长的历史阶段，90

9、年代以来得到了深化。它包括以下几个方面的内容： 信息的保密性：保证信息不泄露给未经过授权的人。 信息的完整性：防止信息被未经授权的非法篡改和破坏。 信息的可用性（有效性）：保证信息和信息系统资源持续有效，确实为授权者使用。 信息的可控性：对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。 信息的不可否认性：保证信息行为人不能过后否认自己的行为。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露、系统连续、可靠、正

10、常地运行，网络服务不中断。具体而言，网络安全要保护个人隐私；控制对网络资源的访问；保证商业秘密在网络上的传输的保密性，完整性，真实性及不可抵赖性；控制不健康的内容或危害社会稳定的言论；避免国家机密的泄露等。2.2 安全性策略与安全性指标安全网络的概念对大多数人来说是意识的，但网络并不能简单地划分为安全与不安全的。因为这个词本身就有相对性，不同的人们有不同的理解。比如，有些组织的数据是很有保密价值的，他们就把数据划分为不同的级别，其中有些级别数据对外界保密，有些级别的数据只能被外界访问而不能修改等。正因为没有绝对意义上的安全网络存在，任何安全系统的第一步就是制定一个合理的安全策略（Securit

11、y Policy）这个策略应该规定每个人的职责范围（执行、实施、审计、监察），最基本的安全策略是什么，而只需阐明要保护的各项条目即可。良好的策略不仅能够防御已经存在的威胁，而且可以针对到未预见的问题。2.2.1 安全策略定义制定合理的网络策略需要正确评估系统信息的价值，为了对数据进行有效的保护，网络安全策略必须能够覆盖数据在计算机网络系统的存储、传送和处理等各个环节。网络的安全策略是计划的需求，是将安全的抽象概念映射到其他的具体世界中。安全策略有 2 个定义：41、正式的安全策略：通常由一个数学模型所构成，这个模型收集了系统所有可能的状态和操作，并伴随着状态操作存在的可能时间和方式的约束。政府

12、的可信系统（governments trusted systems initiative）把系统安全策略定义为系统安全功能部件执行的规则集。2、管理的安全策略：概述了安全目标并提交管理资源达到目标。除此之外，还分配责任，划分职务，确定管理和安全控制。最后，这个策略构架起到保护信息和计算资产的程序的作用，并予以执行。实施的安全策略主要由安全策略目标、机构安全策略和系统安全策略 3 个不同方面来描述。所谓安全策略目标，是指某个机构对所要保护的特定资源必须要达到目的而进行的描述。其目的是保护系统的完整性、有效性、保密性及可用性。机构安全策略是一套法律、规则以及实际操作方法，用于规范某个机构如何管理、

13、保护、分配资源以及达到安全策略的既定目标。系统安全策略是指为支持此机构的安全策略要求，如何将特定的信息技术系统付诸工程实现的方法。一般认为，计算机网络系统的安全威胁主要来自黑客，计算机病毒和拒绝服务攻击三个方面。其安全性策略：（1）物理安全策略（2）访问控制策略（3）信息加密策略（4）网络安全管理策略2.2.2 安全性指标由于没有绝对的安全网络，制定安全策略时往往必须在安全性和使用性之间采取一个折中方案，着重保证一些主要的安全性指标。（1）数据完整性（Integrity）：即数据在传输过程中的完整性，也就是在发送前和到达后是否完全一样。（2）数据的可用性（Availability ）：即在系统

14、故障的情况下数据是否丢失。（3）数据保密性（Confidentiality and Privacy）：即系统中的数据是否可能被非法窃取。2.3 网络攻击近年来，随着Internet 的普及，网络安全问题显得越来越重要。目前造成网络不安全的主要因素是在协议、系统 及数据库等的设计上存在缺陷和漏洞。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。为了保证网络信息的安全，我们5必须了解网络攻击的一般过程，在此基础上才能制定防范策略，确保网络安全。2.3.1 攻击概述对网络信息系统的攻击来自很多方面，这些攻击可以宏观地分为人为攻击和灾害攻击。他们都会对通信安全构成威胁，但是精心设计的人为

15、攻击威胁最大，也最难防备。采用不同的分类标准（如攻击手段、攻击目标），会得出不同的分类结果。美国国家安全局在 2000 年 9 月发布的信息保障技术框架（IATF ）3.0 版中将攻击分为以下 5 类：主动攻击、被动攻击、物理临近攻击、内部人员攻击和软硬件配装攻击。1、主动攻击主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口 25 找出公司运行的邮件服务器的信息；伪造无效 IP 地址去连接服务器，使接受到错误 IP 地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击

16、、信息篡改、资源使用、欺骗等攻击方法。2、被动攻击被动攻击本质上是在传输过程中偷听和监视，其目的是为了从传输中获取信息，包括直接获取消息内容和通信量分析。被动攻击主要是收集信息而不是进行访问，所以数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。说明：这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不一定包括可被跟踪的行为，因此更难被发现。从另一个角度看，主动攻击容易被发现但多数公司都没有发现，所以发现被动攻击的机会几乎是零。再往下一个层次看，当前网络攻击的方法没有规范的分类模式，方法

17、的运用往往非常灵活。从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。所以说，很难以一个统一的模式对各种攻击手段进行分类。实际上黑客实施一次入侵行为，为达到他的攻击目的会结合采用多种攻击手段，在不同的入侵阶段使用不同的方法。63、物理临近攻击物理临近攻击指未授权个人以更改、收集或拒绝访问为目的而物理接近网络、系统或设备。这种

18、接近可以是秘密进入或公开接近，或两种方式同时使用。4、内部人员攻击内部人员攻击可以是恶意的或非恶意的。恶意攻击是指内部人员有计划地切听、偷听或损坏信息，或拒绝其他授权用户的访问。5、软硬件配装攻击又称分发攻击指软硬件的生产工厂或产品分发过程中恶意修改硬件或软件。这种攻击可能给一个产品引入后门程序等恶意代码，以便在未获授权的情况下访问信息系统。2.3.2 攻击手段及特点现在的攻击手段虽然种类繁多，但是主要利用以下两种漏洞：一类是 TCP/IP 协议本身的漏洞。这主要上因为 TCI/IP 协议的最初设计是基于互相信任的网络上，因此缺乏对安全的考虑。另一类就是操作系统的漏洞，很多操作系统在本身结构设

19、计和代码设计时偏重于考虑系统使用的方便性，导致了系统在远程访问、权限控制和口令管理及很多其他方面存在着安全漏洞。上述这两类主要漏洞可以给计算机互连网带来诸如非法访问和破坏、计算机病毒、拒绝服务攻击泄露机密信息等几大威胁。网络攻击行为有：1、扫描类攻击在 Internet 安全领域，扫描工具是最著名的破坏工具。扫描工具是一种自动监测远程或本地主机在安全性方面弱点程序包。通过使用扫描工具，一个用户可以不留痕迹的发现在另一个半球的一台主机性弱点。其优点在于操作方便、自动化、以及能发现一些众所周知的安全隐患；缺点是不能报告新发现的安全隐患，黑客常利用扫描工具辅助攻击。2、缓冲溢出攻击缓冲溢出攻击是一种

20、系统攻击手段，它通过向系统的缓冲区写入过多数据，破坏系统的堆栈，使系统跳转到攻击者设定的代码部分运行，获得超级权限或达到其他攻击目的。此外，它可以利用系统服务中的溢出漏洞，进行远程攻击。缓冲溢出攻击是一种应用层的攻击，不同的系统，不同的服务攻击代码会不同，对于这种攻击的检测，采用的是字符串匹配的方法。对缓冲区溢出攻击最有效的防范就是通过7系统中的数据访问进行越界检查，或者只允许执行在代码空间的指令等措施来提高系统的安全性。3、木马攻击木马的全称为“特洛伊木马”，正如它的名字一样，特洛伊木马是一个静态程序。它存在于另一个无害的程序中。特洛伊木马不能从一台机器传播到另一台计算机上，特洛伊木马一般是

21、一些代码串，悄悄的放在一个被信任的应用程序中。它表面上看是一个无害的程序，一旦条件被触发，就会带来恶意攻击。虽然当前的木马攻击都是针对 Windows 系统的，但就其原理来说，也适用其他操作平台，木马程序分为两个部分：其中服务器部分通常安装在被攻击的主机上，一般是不为被攻击主机的系统管理员所知。而客户端，也就是控制端，通常由攻击者自己操纵。木马的服务器端会在本机打开一个监听端口，等待来自客户端的连接，攻击者就可以向被攻击主机发起连接，从而对被攻击主机进行监控。但有些木马，由服务器端主动向客户端发起连接，并设定通信的端口来穿过防火墙。此时就要用到网络 IDS 进行检测。4、Dos 攻击Dos(D

22、enial of Service)就是攻击者采用了某种手段，使得服务器不能向合法的用户提供正常的服务。攻击者所采用的手段一般有两种：一种是耗尽被攻击系统的可用资源，其中比较典型的就是 Synflood 攻击；另一种就是耗尽其网络带宽，比较典型的就是 Smurf 攻击。Synflood 攻击一次只能攻击一个固定的目标，还有一类攻击可以同时进攻多个目标乃至整个网络，它们采用大量的无用数据包来充斥整个网络，从而使合法的数据包得不到正常的处理。Smurf 就属于这一消耗网络带宽的攻击，不过这样的攻击对Windows 主机无效，因为 Windows 主机不会回应这样的广播 Icmp 回应请求包。对于Sm

23、urf 攻击的防御和检测也比较简单。如果防火墙或网络 IDS 收到一个广播地址 Icmp应答请求包，就可以认为有人发起了 Smurf 攻击。5、DDos 攻击DDos（Distributed Denial Service ）与 Dos 相似，它是拒绝服务器群起进攻的方式。Dos 的攻击更为自动化，它可以方便的从多台计算机启动进程，让它们同时向被攻击主机发起 Dos 攻击。确切的讲，DDos 攻击是指在不同的高带宽主机上安装大量的Dos 服务程序，它们等待来自中央客户端的命令，中央客户端随后通知全体受控服务器程序，并批示它们对一个特定目标发送尽可能多的网络访问请求，这样不仅可以使被攻击主机停止服

24、务，还可以使整个网络因过载而崩溃。8面对越来越猖狂的攻击入侵，人们提出了“输出过滤”，即在那些非法的内网包应该禁止传送到 Internet 上，从而增强网络的稳定性和安全性。6、病毒和蠕虫的攻击每一种病毒都会对机器的性能产生一定的影响，这是由于它们会占用磁盘空间、内存和处理器的运算时间。大多数流行的病毒只是不断的自我复制，从而导致很长时间而没有被发觉。有些新病毒由于直接产生危害而没有被发觉。有些新病毒由于直接产生危害而很容易被发现。还有些病毒会慢慢的破坏数据，有些除了破坏性很强外还会长期存在。蠕虫病毒的特征也是复制，一些权威人事将蠕虫病毒定义为某种病毒的一个子类，但蠕虫病毒有其特殊的地方。它和

25、普通的病毒程序的区别在于“附着”。其它病毒“附着”在合法的程序上。而蠕虫病毒通过网络或系统传播自身。可以这么说，蠕虫病毒感染环境（如操作系统或邮件系统）而不是感染特定目标，如文件。3 防火墙技术研究3.1 防火墙概述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。它在内部网络与外部网络之问形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止 这类非法和恶意的行为导致内部网络运行遭到破坏。防火墙是一种有效的网络安全设备，其核心思想是通过监测和控制网络之间的信息交换和访问行为来实现对网络安全的有效管理，在不安全的 Internet 环境中构造一个相对安全

26、的子网环境，其中被保护 的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下几个方面的特征：（1）所有的通信都必须经过防火墙。 （2）防火墙只放行经过授权的网络流量。 （3）防火墙能经受得起对其本身的攻击。防火墙的工作原理是按照预定好的安全策略和规则，监控所有通过防火墙的数据流。只有符合安全策略的数据流才能通过防火墙，并且记录相关的连接来源、服务器提供的通信量以及任何企图闯入的试探，以便管理员监测和管理。同时，防火墙自身也要有非常强的抗攻击能力。图 1 显示了防火墙的基本功能：防火墙网 关过滤器网关过滤器网关内部受保护网络外部不安全网络