1、多层防火墙技术的研究状态检测I目 录摘 要 .IIIABSTRACTOR .IV引 言 .V第一章 防火墙技术的概论.1.1 防火墙的概念.1.2 防火墙的功能.1.3 防火墙的特性.1.4 防火墙技术的发展.第二章 多层防火墙技术的研究背景.2.1 多层防火墙技术的研究背景.2.2 多层防火墙技术的概论.第三章 多层防火墙系统的功能及其组成.3.1 地址转换技术.3.2 数据包过滤技术.3.3 状态检测技术.3.4 电路级网关技术.3.5 应用代理网关技术.第四章 状态检测技术概论.4.1 状态检测技术的优点.4.2 状态检测技术的原理.4.3 状态检测技术的工作机制.4.4 状态检测技术的
2、新技术.第五章 防火墙系统的设计.5.1 防火墙的分层技术.5.2 防火墙系统设计工具.5.3 防火墙系统设计与实现.5.3.1 系统概要设计.多层防火墙技术的研究状态检测II5.3.2 基本功能.5.3.3 增强功能.5.3.4 系统详细设计.5.3.5 功能实现的设计.5.3.6 系统具体实现.5.3.7 其他说明界面.5.3.8 系统测试.5.3.9 需要注意的几个问题.5.3.10 系统维护和总结.第六章 防火墙技术发展动态和趋势.结 束 语.致 谢.参考文献.附录:(程序源代码).多层防火墙技术的研究状态检测III摘 要黑客技术的提升和黑客工具的泛滥,造成大量的企业、机构和个人的电脑
3、系统遭受程度不同的入侵和攻击,或面临随时被攻击的危险。迫使大家不得不加强对自身电脑网络系统的安全防护,根据系统管理者设定的安全规则把守企业网络,提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网、身份认证、虚拟网桥、网络地址转换、提供完善的安全性设置,通过高性能的网络核心进行访问控制的功能我决定进一步来实现。系统采用了 VB 管理界面,通过直观、易用的界面管理强大、复杂的系统功能。界面全中文化,操作简单直接,真的是量身定做。从而大大减少了他们对企业的攻击。事实上,多层防火墙技术已经成为当今网络安全的主流策略。.关键字:防火墙、状态检测、多层防火墙、VB。多层防
4、火墙技术的研究状态检测IVABSTRACTORWith the hacker of technology and hacker tool promotion , cause a large number of enterprise , organization , personal computer system suffer degree different invasion and attack, or face the danger attacked at any time. Force everybody to have to strengthen the safe protectio
5、n of the network system of ones own computer, guard enterprises network according to the safety regulation that the system administrator establishes, offer the strong one , use strobe , information filtering , flow controlling , such functions as the network intercepts . A other one is it control VP
6、N , identity authentication , virtual net bridge , network address change , offer perfect security establishment to visit, go on through high-performance network core function controlled to visit I is it is it realize to come further to determine. The system has adopted VB to manage interfaces , the
7、 systematic function strong in management , complicated through the ocular , apt to use interface. The interface hits culture completely, it is simple and direct to operate , really make to measure. Thus reduced their attack of enterprises greatly In fact,the protection of multiter firewalls have be
8、comed the main ways Current online security.KEY WORDS: Firewall 、NPacket state check、Multitier firewall and VB. 多层防火墙技术的研究状态检测V引 言防火墙的英文名为“FireWall” ,它是目前一种最重要的网络防护设备。它是隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控
9、进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。事实上,在 Internet 上的 Web 网站中,超过三分之一的 Web 网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。防火墙和家里的防盗门很相似,它们对普通人来说是一层安全防护,但是没有任何一种防火
10、墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因,当黑客闯过一层防火墙后他只能获取一部分数据,其他的数据仍然被安全地保护在内部防火墙之后。总之,防火墙是增加计算机网络安全的手段之一,只要网络应用存在,防火墙就有其存在的价值。随着网络技术的快速发展和应用的日渐普及,黑客工具不仅变得越来越先进,而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥,造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击,或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护,甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。但是对攻防技术发展和网络安全实
11、践的研究分析表明,单一的安全保护往往效果不理想,而最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护。为了提高网络的安全性,我们此次就来研究多层防火墙系统。我们这里阐释的所谓“多层次防护” ,就是应用和实施一个基于 OSI 网络参考模型的多层次安全系统的全面信息安全策略,在各个层次上部署相关的网络安全产品,结合了不同的防火墙安全策略和技多层防火墙技术的研究状态检测VI术,例如地址翻译技术、数据包过滤技术、状态检测技术、电路级网关技术和应用级网关技术,来创建一个比单一防护有效得多的综合保护屏障,增加攻击者侵入所花费的时间、成本和所需要的资源,从而卓有成效地降低被攻击的危险,达到安全防护的
12、目标。总的来说,我们所研究的多层防火墙系统功能强大,具有一些单一防火墙所不具有的功能,大大地提高的网络的安全性。事实上,多层次防护已经成为当今网络安全的主流策略。多层防火墙技术的研究状态检测第一章 防火墙技术的概论Internet 的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题网络安全。网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。下面我们一起来讨论一下防火墙的概念,以及防火墙的功能,并且讨论了每一种防
13、火墙的特性及其发展。1.1 防火墙的概念防火墙的英文名为“FireWall” ,它是目前一种最重要的网络防护设备。这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。在网络中,所谓“防火墙” ,是指一种将内部网和公众访问网(如 Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。设计防火墙的目的就是不要让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如 LAN 或 WA
14、N,而仍能允许本地网络上的你以及其他用户访问因特网服务。图 1.1.1 显示了防火墙的基本目的。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍图 1.1 防火墙的基本功能内部局域网防火墙网关因特网过滤器 过滤器多层防火墙技术的研究状态检测人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不
15、合适的口令选择。一般的防火墙都可以达到以下目的:是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;是防止入侵者接近你的防御设施;是限定用户访问特殊站点;是为监视 Internet 安全提供方便。防火墙和家里的防盗门很相似,它们对普通人来说是一层安全防护,但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因,当黑客闯过一层防火墙后他只能获取一部分数据,其他的数据仍然被安全地保护在内部防火墙之后。总之,防火墙是增加计算机网络安全的手段之一,只要网络应用存在,防火墙就有其存在的价值。事实上,防火墙正在成为控制对网络系统访问的非常流行的方法。在 Internet 上的
16、 Web 网站中,超过三分之一的 Web 网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。1.2 防火墙的功能 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重
17、定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。多层防火墙技术的研究状态检测 防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受
18、到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger,DNS 等服务。Finger 显
19、示了主机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息,这样一台主机的域名和 IP 地址就不会被外界所了解。除了安全作用,防火墙还支持具有 Internet 服务特性的企业内部网络技术体系VPN(虚拟专用网) 。1.3 防火墙的特性网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网
20、络之多层防火墙技术的研究状态检测间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性: 有的内部网络和外部网络之间传输的数据必须通过防火墙; 只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙; 火墙本身不受各种攻击的影响; 使用目前新的信息安全技术,比如现代密码技术等; 人机界面良好,用户配置使用方便,易管理。1.4 防火墙技术的发展随着 Internet/Intranet 技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上 60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
