张楠楠(防火墙功能的实现).docVIP

中国人民解放军高等教育自学考试 计 算 机 应 用 (本 科) 专 业 毕 业 论 文 论文题目： 防火墙功能的实现 作者姓名： 张楠楠 准考证号： 111809250427 起止时间： 2011年3月1日-2011年4月30日 防火墙功能的实现 摘 要 防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境. 本文介绍了防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packet filtering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能堡垒主机 目 录 第 一 章 计算机网络的定义与安全策略 2 第 二 章 防火墙的体系结构 6 2.1 什么是防火墙 6 2.2 防火墙的结构 6 2.2.1 代理（Proxy）主机结构 6 2.2.2 路由器加过滤器（Screened Host）结构 6 2.3 防火墙的功能 7 2.4 防火墙系统的组成及分类 7 2.4.1 组成 7 2.4.2 分类 8 第 三 章 防火墙的安全标准 13 3.1 Secure/WAN(S/WAN)标准] 13 3.2 防火墙测试标准 13 第 四 章 结束语 13 致谢： 15 参考文献： 16 第 一 章 计算机网络的定义与安全策略 所谓计算机网络，就是利用通信设备和线路将地理位置不同、功能独立的多个计算机系统互连起来，以功能完善的网络软件（即网络通信协议、信息交换方式和网络操作系统等）实现网络中资源共享和信息传递的系统。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。 防火墙一般有三个特性： A．所有的通信都经过防火墙 B．防火墙只放行经过授权的网络流量 C．防火墙能经受的住对其本身的攻击 我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。 为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。 对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。” 如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。 防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。 随着因特网（Internet）的发展给人们的通信带来了革命性的变革，人们可以通过Internet从异地取回重要的数据等等，但在获得便利的同时，也要面对Internet在数据完全方面所带来的挑战。为此，本文着重讨论了网络安全的问题，主要包括以下两个方面： （1）确保网络上传输信息的私有性，不被非法窃取、篡改和伪造； （2）限制用户在网络上