毕业设计论文--网络安全.docVIP

题 目：网络系统安全 学 号： 网络系统安全 --防火墙技术的现状与展望 内容提要： 网络信息安全计算机网络安全从本质上来讲就是网络上传输信息的安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，在信息发展的过程中，病毒与各类网络攻击直接或间接的威胁着用户信息安全，为了保护用户的计算机系统免受外部网络侵害，在用户计算机系统与外部网络之间设置一组只允许合法访问进入内部网络的软硬件装置，即防火墙（firewall）， 关键字： 网络安全 防火墙 防火墙技术 防火墙功能 IP/TCP协议 防火墙安全 局限性 正文： 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。 从理论上讲，Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：?1)限定人们从一个特定的控制点进入；?2)限定人们从一个特定的点离开；?3)防止侵入者接近你的其他防御设施； 防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：?●过滤进、出网络的数据；?●管理进、出网络的访问行为；?●封堵某些禁止行为；?●记录通过防火墙的信息内容和活动；? 为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。?●对网络攻击进行检测和告警 ?防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。防火墙技术是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在[RFC 1918] 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中，这只是意味着除非有一个明确的原因要求使用某种服务，这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则，在所有策略集的末尾只需要全局性地实施一种防火墙策略，即丢弃一切的规则，意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则，因为在某种通信在有机会进入之前，它已经被封杀了。一旦实施了这种基本的行为，就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言，这些规则越精密，网络也就越安全一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。?? 所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。 现我们“命令”防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，防火墙还会通知客户程序！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段用户才能访问UNIX计算机了。 　　　我们“防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“！发向