防火墙技术的现状与展望毕业论文.doc

上传人:坚持 文档编号:3673141 上传时间:2019-07-05 格式:DOC 页数:9 大小:103KB
下载 相关 举报
防火墙技术的现状与展望毕业论文.doc_第1页
第1页 / 共9页
防火墙技术的现状与展望毕业论文.doc_第2页
第2页 / 共9页
防火墙技术的现状与展望毕业论文.doc_第3页
第3页 / 共9页
防火墙技术的现状与展望毕业论文.doc_第4页
第4页 / 共9页
防火墙技术的现状与展望毕业论文.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、通信与信息系统管理专业高等教育自学考试毕业论文防火墙技术的现状与展望摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对 于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如, 计划如何保 护你的局域网免受因特网攻击带来的危害时,首先要考 虑的是防火墙。防火 墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、 应用现状和发展趋势。关键词:防火墙;网络安全Abstract: along

2、 with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people. The Internet is a development of very active domain, may be illegally attacked by hackers

3、, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary. For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration. The core idea of firewall is the

4、relative safety of the structure of a network environment in the insecure Internet environment. This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall; network security通信与信息系统管理专业高等教育自学考试毕业论文目 录一、背景和意义 .3二、防火墙概述 .3(一)防火墙

5、的概念 .3(二)防火墙的功能及原理 .3(三)防火墙的分类与技术 .4(一)防火墙现状概说 .6(二)包过滤防火墙和代理 .7(三)状态检测技术 .7(四)高保障防火墙 .7(一)高速 .8(二)多功能化 .8(三)安全 .9通信与信息系统管理专业高等教育自学考试毕业论文3一、背景和意义防火墙的英文名为“ FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“ 防火墙”。

6、其实与防火墙一起起作用的就是“ 门” 。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略 ”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。 这些小孔就是用来留 给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“ 单向 导通性” 。我们通常所说的 网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN )网络与 Internet 之间或者与其他外部网络互相隔离、限制网络互访用来保

7、护内部网络。信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来 发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到, 发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至 应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。二、防火墙概述(一)防火墙的概念防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防

8、火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间 的任何活动, 保证了内部网络的安全。 (二)防火墙的功能及原理防火墙功能:防火墙对流经它的网络通信进行 扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端通信与信息系统管理专业高等教育自学考试毕业论文4口的流出通信,封锁 特洛伊木马。最后,它可以禁止来自特殊站点的 访问,从而防止来自不明入侵者的所有通信。防火墙的工作原理:随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上

9、的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网 络( 可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ 外网和内部局域网的防火墙系统。 (三)防火

10、墙的分类与技术1从软、硬件形式上分如果从防火墙的软、硬件形式来分的话,防火 墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。2从防火墙技术分防火墙技术虽然出现了许多,但总体来讲可分为“包 过滤型”和“应用代理型” 两大类。(1)包过滤(Packet filtering)型包过滤方式是一种通用、廉价和有效的安全手段。在整个防火墙技术的 发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态 包过滤”和“第二代动态包过滤” 。包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与 应用层无关。但其弱点也是明显的:过滤 判别的依据只是网络层和传输层的有限信息,因而各

11、种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC(远程过程调用)一类的 协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包 头信息,而不能 对用户 身份进行验证,很容易受到 “地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同 组成防火墙系统。(2)应用代理(Application Proxy)型应用代理型防火墙是工作在 OSI 的最高层,即应用层。其特点是完全

12、“ 阻隔”了网络通信与信息系统管理专业高等教育自学考试毕业论文5通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中,它也 经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。转贴 于代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火 墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的

13、代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能 带来了一些负面影响,但通常不会很明显。(3)网络地址转化NAT网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的 IP 地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系 统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过

14、一个开放的 IP 地址和端口来请求访问。 OLM 防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合 规则时,防火 墙认为访问 是安全的,可以接受 访问请求,也可以将连接请求映射到不同的内部 计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网 络地址转换的过程对于用户来说是透明的,不需要用户进行 设置,用 户只要进行常规 操作即可。(4)监测型监测型防火墙是新一代产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时

15、,这种监测型防火墙产品一般还带有分布式探测器,这些探 测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系 统的攻击中,有相当比例的攻击来自网络内部。因此, 监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已 经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择 性地使

16、用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。通信与信息系统管理专业高等教育自学考试毕业论文63. 从防火墙结构分从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。4.按防火墙的应用部署位置分按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。5.按防火墙性能分按防火墙的性能来分可以分 为百兆级防火 墙和千兆级防火墙两类。三、防火墙的应用现状(一)防火墙现状概说附图是一个防火墙典型应用的示意图。防火墙的功能主要包含以下几个方面:访问控制,如应用 ACL 进行访问控制;攻击防范,如防止 S

17、YN FLOOD 等;NAT;VPN;路由;认证 和加密; 日志记录; 支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对 QoS 特性的支持和对 H.323、SIP 等多种应用协议的支持也必不可少。为了满足多样化的组网需求,方便用户组网,同 时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络 技术结合进来,例如支持 DHCP SERVER、DHCP RELAY;支持动态路由,如 RIP 、OSPF 等;支持拨号、PPPoE 等特性;支持广域网口; 支持透明模式(桥模式); 支持内容 过滤( 如 URL 过滤)、防病毒和 ID

18、S 等功能。防火墙与其他安全设备 或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。但是,目前防火墙应用中的问题也不少。如目前 许多防火墙对内容过滤,防病毒和通信与信息系统管理专业高等教育自学考试毕业论文7IDS 等的支持,实际的应用效果并不好。因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对 CPU 的消耗很大。 这些功能的启 动,会导致性能急剧下降,本来 100M的处理能力,可能会下降到几兆,导致网络严重阻塞甚至瘫痪,失去了防火 墙存在的意义。(二)包过滤防火墙和代理防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤 技术因为其安

19、全性较好,速度快,得到最广泛的 应用。应用代理虽然安全性更好,但它需要 针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火 墙 性能表现比较差,因此在网 络带宽迅猛发展的情况下,已经不能完全满足需要。此外,有的防火墙支持 SOCK 代理,这种代理屏蔽了协议本身,只要客户端支持SOCK 代理,该应用在防火 墙上就可以穿越。这种代理对于部分不公开的协议,如 QQ的语音和视频协议,采用其他技术,在 NAT 情况下很难实现对该协议的支持,但 QQ 软件本身支持 SOCK 代理,如果防火墙支持 SOCK 代理 协议,就可以实现对防火墙的穿越。但对于防火墙而言,

20、不参与 协议解码,也意味着防火墙对该协议失去了监测能力。(三)状态检测技术状态检测技术最早是 CheckPoint 提出的,也就是要监视每个连接发起到结束的全过程。对 于部分协议,如 FTP、H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时 候,从哪个方向允 许特定的 连接进入和关闭。例如 FTP,除了开始要建立命令通道外,还 要动态协商数据通道。(四)高保障防火墙防火墙因为软件复杂,实现的功能较多,必 须有操作系统支持,操作系 统的安全是防火墙安全的基石。1998 年,在中国一家机构和美国计算机学会 ACM 共同举办的国际会议上,我首次提出了高保障防火墙的概念

21、,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似 B 级操作系统的机制,如 标记 、MAC、 强实体认证等。入关具有入关证,出关具有出关证。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现 了传统防火墙的全部功能。不久前,安 胜 防火墙应运而生,通过了国家权威机构的测评认证,是我国第一个研制成功的高保障防火墙,目前已经在我国 31 个省市广泛应用。四、防火墙的发展趋势通信与信息系统管理专业高等教育自学考试毕业论文8可以预见,未来防火墙的发展趋势是朝高速、多功能化、更安全的方向 发展。(一)高速从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正

22、达到线速的防火墙少之又少。防范 DoS (拒绝 服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。应用 ASIC、FPGA 和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持 IPv6,而采用其他方法就不那么灵活。实现高速防火墙,算法也是一个关键,因 为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯 CPU 的防火 墙,就必须有算法支撑,例如 ACL算法。目前有的应用环境,动辄应用数百乃至数万条 规则,没有算法支撑, 对于状态防火墙,建立会话的速

23、度会十分 缓慢。上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和 IDS 功能(传输层以下的 IDS 除外,这些检测对 CPU 消耗小)呢?说到底 还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此, 对于 IDS,目前最常用的方式 还是把网络上的流量镜像到 IDS 设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服

24、 务器提出了很高的要求。目前, 业界应用较多的是 SYSLOG 日志,采用的是文本方式,每一个字符都需要一个字 节,存储量很大,对 防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。(二)多功能化多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用 户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以 为用户节省一台路由器; 支持部分路由器协议,如

25、路由、 拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据 IDC统计,国外 90%的加密 VPN 都是通过防火墙实现的。通信与信息系统管理专业高等教育自学考试毕业论文9(三)安全未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的 发展与对抗过程中,防火墙的技术 一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火 墙会更多地参与应用层分析,为应 用提供更安全的

26、保障。结束语近年来,计算机网络获得了飞速的发展。它不知不 觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从 Internet 的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着 Internet 的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为 安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永 远没有终点。黑客的攻击手段不断翻新,决定了信息安全技 术也必须进 行革新,防火墙是防范黑客攻击 的常用手段,但 这样的技 术必须与当今最前

27、沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。在本次学习中,因为时间紧,加之本身 对这方面的知识的掌握有限, 论文必定有考虑不周的地方,恳请老师批 评指正。参考文献1 谢希仁. 计算机网络(第 5 版)M.北京:电子工业出版社,2009 170-2312 吴秀梅, 毕烨,王见,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社3 张红旗,王鲁 等编著.信息安全技术.高等教育出版社,2010 235-2544 张华贵,王海燕. 计算机网络在安全分析与对策J.电脑知识与技术,2005.7 46-525 黄思育. 浅议防火墙. 达县师范高等专科学校学报(自然科学版)J. 2005

展开阅读全文
相关资源
相关搜索
资源标签

当前位置:首页 > 学术论文资料库 > 毕业论文

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。