基于防火墙攻击实践研究和防范.docx

中山大学南方学院本科生毕业论文（设计）题目：基于防火墙攻击的实践研究和防范系名：电子通信与软件工程系专业：计算机科学与技术学号：122011135姓名：杨文杰指导教师：张巍二○一六年三月摘要随着计算机科学与通信技术的不断发展，使网络的重要性和社会影响越来越大。网络安全的重要性也变得越来越重要。同时安全问题也越来越多，网络安全漏洞、一些人为了炫耀技术、网络恶作剧、和黑客为了各种利益的攻击给各种网络服务器造成巨大威胁。本文主要分析防火墙的攻击手段、当今网络安全面临的威胁和对各种网络攻击手段的防范技术。关键词：防火墙；网络攻击；防范技术AbstractWith the development of computer science and communication technology, increase the social influence and importance of network. Also increase the importance of network security. At the same time, secure problems are increasing, loopholes of network security, and anybody's attack for showing their technique, playing tricks in network or obtaining benifits causes huge threaten of network server. This article analysis the answer of firewall when face to attack, today's threaten which network security is facing, and defend technology for answering different kinds of network attack.Key words：Firewall; Network attack; Prevention technology目录第1章绪论1.1防火墙背景1.1.1 防火墙的发展传统的防火墙通常是基于访问控制列表进行包过滤的，位于在内部专用网的入口处，所以也俗称"边界防火墙"。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在OSI参考模式的网络层，有的工作在传输层，还有的工作在应用层。在这些已出现的防火墙技术中，静态包过滤是最简单的安全解决方案，其应用存在着一些不可克服的限制，最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包，并且很容易受到诸如DoS、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查，由于动态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多，状态包过滤技术也面临着巨大的挑战，更需要其它新技术的辅助。除了访问控制功能外，现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术，如NAT和VPN、病毒防护等。一下是防火墙技术基本发展轨迹：1991年-1992年 TCP/IP从局域网走向广域网，安全需求开始出现。1993年-1994年基于代理机制的软件防火墙出现并开始受到市场的关注。1995年-1996年基于IP过滤的防火墙替代基于代理的防火墙成为新的主流。1997年-1998年防火墙有效结合IP过滤和代理机制，PC平台的防火墙产品开始窜升。1999年-2000年防火墙设备超过基于服务器平台的软件防火墙并推动了安全市场的成长。2001年-2002年整合多种功能的个人防火墙产品受到用户的广泛认同。2003年-2004年微软在操作系统中集成防火墙功能给防火墙市场带来了深远影响。2005年-2006年安全威胁的复杂化为个人防火墙产品提出了新的要求和挑战[1]。如果说防病毒产品掌管着计算机安全的“内科”，那么防火墙产品则是计算机安全的“外科”。相对于监测计算机内部恶意威胁的防病毒软件来说，防火墙软件可以满足控制外网访问和屏蔽安全入侵的要求。随着来自外网的恶意攻击日益猖獗，防火墙软件正与防病毒软件合璧，共同成为计算机安全产品领域的黄金搭档。1.2课题研究的背景和意义1.