浅析网络防火墙技术网络毕业论文.docVIP

　　浅析网络防火墙技术网络毕业论文 　　[关键词]防火墙 网络安全 　　[论文摘要]在当今的世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。 　　 　　　　 　　随着网络技术的发展，因特网已经走进千家万户，网络的安全成为人们最为关注的问题。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。 　　 　　一、防火墙的基本概念 　　 　　防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。 　　一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的和FTP服务等。 　　 　　二、防火墙的技术分类 　　 　　现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。 　　包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。 　　代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。 （转载自中国评价网.nseac. ） 　　复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。 　　各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。 　　 　　三、防火墙的基本功能 　　 　　典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。 　　 　　（一）包过滤路由器 　　包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。 　　与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP／UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP／UDP目标端口的包丢弃即可。 　　独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。 　　 　　（二）应用层网关 　　应用层网关允许网络员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。 　　应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。 　　 　　（三）链路层网关 　　链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。 　　 　　四、防火墙的安全构建 　　 　　在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则；整个企业网的安全策略；以及防火墙的费用预算等。 　　 　　（一）基本准则 　　可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传