《2022年防火墙技术的分析与研究 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙技术的分析与研究 .pdf(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络教育学院本 科 生 毕 业 论 文(设计)需要完整版请点击屏幕右上的“文档贡献者”题目:防火墙技术的分析与研究名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究I 内容摘要针对目前面临的网络安全问题,对网络安全和防火墙的基本概念进行了概括。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。又系统地阐述了主机网络防火墙的工作原理和关键技术。分析了防火墙技术
2、在Internet安全上的重要作用,并提出其不足之处和解决方案,阐述了防火墙发展趋势。本文通过对防火墙历史的发展和定义的描述,着重讲防火墙技术上可分为四种基本类型(包过滤型、网络地址转换NAT 、代理型和监测型),以及防火墙应用的重要性。关键词:防火墙;防火墙技术;防火墙技术分析;防火墙技术应用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究II 目录内容摘要 I引言 11 概述 21.1 背景 21.2
3、 本文的主要内容及组织结构 22 防火墙技术的优缺点 32.1 防火墙技术 32.1.1 防火墙的定义 32.1.2 防火墙的功能 32.2 防火墙的优缺点 33 防火墙的基本类型及发展 53.1 防火墙类型 53.1.1 包过滤型 53.1.2 网络地址转化一 NAT 53.1.3 代理型 53.1.4 监测型 63.2 防火墙的发展 64 防火墙在网络安全中的应用 74.1 防火墙在校园网络中的应用 74.1.1 校园网络安全分析 74.1.2 校园网防火墙网络安全策略 74.2 防火墙在企业网络中的应用 84.2.1 企业介绍 84.2.2 企业网络安全分析 84.2.3 企业网防火墙网
4、络安全策略 95 结论 11参考文献 11名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究1 引言随着网络经济和网络社会时代的到来,网络将会进入一个无所不在的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为国家重要基础设施的网络的安全和可靠将成为世界各国共同关注的焦点。针对目前的网络情况,如何解决网络的稳定运行问题刻不容缓,在考虑了多种防护手段后,应该来说防火墙是最简单也是最有效的解决方案。但是防
5、火墙是死的,影响网络安全的问题却是在不断的变化的,如何能够用防火墙真正合理的解决网络问题,不是一个产品的简单选择问题,更为重要的是如何把产品的功能发挥出来,以适应不断变化的网络安全问题。本文阐述了防火墙技术以及黑客常用攻击手段和工具,对防火墙在网络安全中的应用进行了分析。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究2 1概述1.1 背景1.2 本文的主要内容及组织结构本文主要对防火墙技术相关理论及应用
6、进行探讨。本文的组织结构:全文共分五章。第一章,主要是介绍防火墙的背景及文章的组织结构。第二章,介绍防火墙的技术的概念及防火墙的优缺点。第三章,介绍防火墙的基本类型及防火墙的发展趋势。第四章,介绍防火墙在网络安全中的应用。第五章,对论文进行总结概述。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究3 2防火墙技术的优缺点2.1 防火墙技术2.1.1 防火墙的定义图2.1 防火墙示例2.1.2 防火墙的功能
7、防火墙应该具有以下 5大基本功能:(1) 过滤进、出网络的数据。(2) 管理进、出网络的访问行为。(3) 封堵某些禁止行为。(4) 记录通过防火墙的信息内容和活动。(5) 对网络攻击进行检测和告警。2.2 防火墙的优缺点(一)防火墙的优点。(1)防火墙能强化安全策略。因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。(2)防火墙能有效地记录Internet上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系
8、统和网络使用和误用的信息。作为访名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究4 问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。(5)防火墙能有效
9、的防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节。了安全作用,防火墙还支持具有 Internet服务特性的企业内部网络技术体系VPN (虚拟专用网)。(二)防火墙的不足之处。(1)不能防范恶意的知情者。(2)不能防范不通过它的连接。(3)不能防备全部的威胁。名师资料总结 - - -精品资料欢迎下载 - - - -
10、 - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究5 3 防火墙的基本类型及发展3.1 防火墙类型3.1.1 包过滤型应用层物理层数据链路层传输层会话层表示层应用层物理层数据链路层传输层会话层表示层应用层物理层数据链路层传输层会话层表示层网络层网络层网络层图3.1 简单包过滤防火墙3.1.2 网络地址转化一NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有 IP地址的内部网络访问因特网。 它还意味着用户不许要为其网络
11、中每一台机器取得注册的IP地址。3.1.3 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个 TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -
12、 名师精心整理 - - - - - - - 第 8 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究6 应用层物理层数据链路层传输层会话层表示层应用层物理层数据链路层传输层会话层表示层应用层物理层数据链路层传输层会话层表示层网络层网络层网络层图3.2 传统代理型防火墙代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看, 代理服务器相当于一台真正的服务器;而从暇务器束看, 代理服务器又是一台真正的客户机。 当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器, 代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客
13、户机。 由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。3.1.4 监测型3.2 防火墙的发展名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究7 4防火墙在网络安全中的应用4.1 防火墙在校园网络中的应用4.1.1 校园网络安全分析4.1.2 校园网防火墙网络安全策略讨论防火墙安全策略一般实施两个基本设计方针之一:1拒绝访问除明确许可以外的任何一种服务,即拒绝
14、一切未予特许的东西2允许访问除明确拒绝以外的任何一种服务, 即允许一切未被特别拒绝的东西校园网防火墙的网络安全策略采取第一种安全控制的方针, 确定所有可以被提供的服务以及它们的安全特性,然后开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。校园网网络结构拓扑图如图4-1 所示: 图 4-1 校园网网络总拓扑结构图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究8 图 4-2 学院防火墙结构图4
15、.2 防火墙在企业网络中的应用4.2.1 企业介绍4.2.2 企业网络安全分析 PIX 防火墙能在两个或多个网络之间防止非授权的连接,即PIX 防火墙能保护一个或多个网络,与外部的、非保护的网络隔离,防止非授权访问。这些网络间的所有连接都能被PIX 防火墙控制。为了在你的组织中高效使用防火墙,你需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样,你就能控制谁能访问网络,访问什么服务,及如何利用PIX 防火墙的功能实现你的安全策略。图 4-3 显示了 PIX 防火墙如何保护内部网络安全地访问Internet。No direct Inbound connections
16、 Outside Internet Internet accesible server Perimeter Pix Firewall Server1 Server2 Outbound connections OK Inside Protected Servers Protected Clients Router Internet 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究9 图 4-3 在这个结构
17、中, PIX 防火墙在被保护网络和非保护网络之间形成了一个边界。 被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问Internet。PIX 防火墙让你将诸如Web 、SNMP 、E-mail等服务放置在被保护网络中,以控制外部用户的对这些服务的访问。另一方面,服务系统也能放置在Perimeter 网络中,见图一。 PIX 防火墙也能控制和监视 Inside 网络或 Outside 网络对这些服务系统的访问。典型的, Inside网络就是一个组织自己的内部Intranet网络, Outside 网络就是 Internet。但是,PIX 防火墙也能
18、在 Intranet网络中使用以隔离或保护一组内部的计算机系统。Perimeter 网络能和 Inside网络一样进行安全配置。PIX 防火墙的 Inside 、Perimeter 和 Outside 接口能监听 RIP 路由更新消息,如果需要,所有的接口能广播一个缺省的RIP 路由。4.2.3 企业网防火墙网络安全策略Internet 127.104.10.24 Pix525 Firewall Inside 10.124.1.253 AAA 、DNS服务器10.124.1.11 CoreBuilder 9000 10.124.1.99 邮 件 服 务 器10.124.1.12 WWW 服 务
19、 器10.124.1.13 XXX网络10.124.0.0 交换机Outside 127.104.10.23 WWW 、DNS服务器126.103.100.30名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究10 图 4-4 在 此 网 络 中 , PIX 防 火 墙 安 装 了 两 个 接 口 , 一 个 内 部 接 口Inside(10.124.1.253 )和一个外部接口 Outside(127.
20、104.10.23 ) ,Inside接口连接企业内部网络 10.124.0.0 ,Outside 接口连接外部 Internet。Inside接口连接的企业内部网络使用私有IP 地址, Outside 接口连接的外部的网络连接设备使用 Internet合法的 IP 地址。此网络的Internet的访问使用一台Cisco 3600路由器,通过 2M DDN 数据专线连接至 Internet,防火墙外设置的一台服务器主要作为 DNS 服务,进行 Web和电子邮件的域名解析。基本 的 Internet访 问 安 全 策 略 是 内 部 网络 授 权 用 户 可 以 访 问 外部Internet,而
21、外部 Internet用户不能访问内部网络; E-mail 服务实现内外部网络电子邮件的相互访问,允许外部Internet电子邮件进入内部网络,即内部网络用户只需设置一个邮件账号,即可实现内部网络和外部Internet网络电子邮件的收发;实现企业信息的对外发布。根据上述安全策略的要求,内部网络需设置一台使用Cisco ACS 2.3 软件的AAA验证服务器以适合PIX 525 防火墙实现 Internet 访问的授权, 只有授权用户才能进行相应服务类型的Internet访问。为了实现内部网络用户访问Internet,利用 PIX 防火墙的网络地址转换(NAT )功能,将内部网络地址转换为外部合
22、法 IP 地址。为了允许外部网络访问内部E-mail服务资源,利用PIX防 火 墙 的 静 态 地 址 映 射 ( Static) 功 能 , 将 外 部 虚 拟 邮 件 服 务 器 地 址127.104.10.25 和内部网络邮件服务器地址10.124.1.12映射捆绑而实现内外部网络电子邮件的收发。例如,当内部用户向外部网络发送E-mail 时,PIX 防火墙将 10.124.1.12地址转换为127.104.10.25 ;当外部用户向内部网络发送E-mail 时,PIX 防火墙将 127.104.10.25地址转换为 10.124.1.12 ,从而实现内外部邮件的收发。为了实现企业信息的
23、对外发布,即可使外部用户访问内部WWW服务器, 也可在防火墙外部 Outside 网络端或 Perimeter 网络端设置 WWW服务器,我们在此选择了在防火墙外部Outside 网络端设置了一台 WWW服务器用于企业信息的对外发布,此服务器也可进行外部合法IP 地址的解析。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 14 页 - - - - - - - - - 防火墙技术的分析与研究11 5结论参考文献名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 14 页 - - - - - - - - -