毕业生论文样本.docVIP

包过滤防火墙的研究 考号：115107192406 姓名：王文武 [内容提要] 文章首先对Internet安全问题做了分析，并对防火墙的结构进行了介绍，之后在分析传统包过滤技术缺陷的基础上，详细论述了包过滤技术的两种发展趋势，最后以技术实例说明了这两种趋势的融合。 [关键词] INTERNET 安全 防火墙 包过滤 动态包过滤 深度包检测 一、INTERNET 安全问题 随着网络经济和网络社会时代的到来，网络已经进入一个无所不在的境地。然而，在 INTERNET 建立之初，并没有深入的考虑到网络安全问题的重要性，当时仅仅是为了更好的实现数据和资源的共享，在这种模式下建立的 INTERNET 是一种无防范的网络体系。随着时间的推移，在人们越来越依赖INTERNET进行工作的时候，也有一部分人在利用INTERNET的特点在进行各种不利于他人的活动，使得INTERNET在给我们带来巨大便利的同时，也使我们进入了一个异常危险的地方。1988年11月2日，是INTERNET历史上极不光彩的一天。INTERNET遭到了“莫里斯的蠕虫”（Morris’s Worm）病毒的攻击，这种病毒是第一个攻击INTERNET的重要病毒，在这次事件中共造成了6200台主机遭到了破坏，大量的数据和资料毁于一旦，直接经济损失近亿美元。如果不是人们对蠕虫病毒做出迅速的反应，阻止其继续扩散，所造成的损失会更大。从那以后，网络安全问题层出不穷。如：1999 年，CIH 病毒使全球范围内的计算机系统受到了严重的损失。2000 年初，一些身份不明的黑客相继对YAHOO、E-BAY 等商业网站发动的拒绝服务（DOS）攻击，使这些网站瘫痪达数小时之久，造成的经济损失高达10亿美元。2003年8月，“冲击波”病毒爆发，感染了100万台计算机，损失为数十亿美元。 2004 年 5 月，“震荡波”病毒迅速在全球传播，全球三分之一的电脑受到感染。2006年底和2007年初的“熊猫烧香”病毒，给国内相当多的计算机用户造成难以忘却的记忆。 网络安全事件已经从神秘走到现实中来，他们已不是人们想象中孩子的恶作剧，他们从早期的破坏数据、窃取信息，发展到威胁国家的经济发展，国家主权的安危。更可怕的是，我们知道的安全事件只是所有安全事件的一小部分，许多事件由于没有造成严重危害或不愿透露而未被暴光，其它的我们根本没有发觉。美国国防部曾对许多重要站点受攻击的情况作过分析，结果如图 1 所 示。可以看出，在多达 38000 次的攻击中，只有 267 次攻击公开报道，而令人不安的是成功攻击的 96%我们毫无察觉，他们所造成的危害我们也就无从统计了。 图 1 重要站点受攻击情况 对于以上提到的网络安全问题，如果不能很好的解决，必然会在很大程度上影响INTERNET的继续发展。因此，采取网络安全技术来防止对网络数据的破坏已成为未来网络应用中的当务之急。 网络安全通常依赖于两种技术：一是传统意义上的存取控制和授权，如存取控制表技术、口令验证技术等；二是利用密码技术实现对信息的加密、身份鉴别等。根据网络安全依赖的技术，已经产生了很多的网络安全产品，防火墙、 信息加密和数字签名是三种重要的技术。其中，防火墙作为一种有效的网络安全防御手段，目前得到了广泛的应用。 二、 防火墙的结构 防火墙的种类有：简单的包过滤防火墙、状态检查包过滤防火墙、应用代理防火墙。其中包过滤和应用代理相互并不矛盾，它们既可单独使用，也可把它们结合起来构成复合型的防火墙。防火墙一般由以下一个或多个基本组件构成： （1）包过滤路由器：也被称为屏蔽路由器。它是指具有包过滤能力的路由器。 （2）应用网关：常被称为“堡垒主机”，这是缘于为了保证其和整个网络的安全，它需要采用诸如安全操作系统、只安装少数必要的服务和代理服务，并以非特权用户身份运行、严格限制该机用户权限及其登录，使用安全口令等措施进行安全强化，并抵御攻击。 通常情况下，防火墙采用以下几种结构： （1）包过滤路由器结构。这是最简单、最常用的防火墙结构，它仅由一个位于内部网络和Internet连接处的包过滤路由器构成，其风险区域（能从外部网络直接探测或访问到的主机和路由器的集合）取决于过滤规则允许的数量和服务类型，其它描述同上述包过滤。 （2）双穴（dual-homed）网关结构。它仅由一个位于内部网络和 Internet 连接处的应用网关构成，但它一般具有两个或多个网络接口，并且其正常的IP路由功能被关闭，完全阻塞了外部和内部网络之间的IP通讯，而只能通过其应用代理程序提供服务和访问，显然它也是个堡垒主机。正常情况下，风险区域仅为网关本身，但如果攻击者能登录到网关上，便能从它向内部网络发起攻击，其风险区域就扩大为整个内部网络。它实