《通信网络安全》课程设计报告防火墙的概念原理与实现.DOCVIP

南阳师范学院物理与电子工程学院 《通信网络安全》课程设计报告 题目：防火墙的概念原理与实现 完成人： 班级： 09通信四班 学号： 专业：通值工程 防火墙的概念原理与实现 一、防火墙的概念 近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务 器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。 但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为， “防火墙”是一种软件的名称…… 到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍 可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将 坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙” (firewall) o时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相 继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通 信的技术，并沿用了古代类似这个功能的名字一一“防火墙”技术来源于此。 用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控 制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在 自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要 经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害 数据，防火墙就会拦截下来，实现了对计算机的保护功能。 防火墙技术从诞牛开始，就在一刻不停的发展着，各种不同结构不同功能 的防火墙，构筑成网络上的一道道防御大堤。 防火墙的分类 世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各 种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为 两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转 换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的, 防火墙程序跟随系统启动，通过运行在ring 0级别的特殊驱动模块把防御机制 插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防 御体系。 在没有软件防火墙Z前，系统和网络接口设备之间的通道是直接的，网络接 口设备通过网络驱动程序接口 (network driver int crfacc spe cification , ndis)把网络上传来的各种报文都忠实的交给系统处理，例如一台计算机接收 到请求列出机器上所有共享资源的数据报文，ndi s直接把这个报文提交给系统, 系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软 件防火墙后，尽管ndis接收到仍然的是原封不动的数据报文，但是在提交到系 统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规 则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为 有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个 报文会被丢弃，这样一來，系统接收不到报文，则认为什么事情也没发生过， 也就不会把信息泄漏岀去了。 软件防火墙工作于系统接口与n dis之间，用于检查过滤由ndis发送过来 的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软 件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分epu资源 维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络 里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防 火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失, 因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是 使用看得见摸得着的硬件防火墙。 硕件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接 处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络 或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU 资源去进行基于软件架构的n dis数据检测，可以大大提高工作效率。 硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之 间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有 标准计算机的硬件平台和一些功能经过简化处理的unix系列操作系统和防火墙 软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不 需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞 和不稳定因素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火 墙，它采用专门设计的硬件平台，在上而搭建的软件也是专门开发的，并非流 行的操作系统，因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙, 管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用 是把传入的数据报文