e5网防火墙的规划与实现 计算机王日

山西大学继续教育学院毕业论文类别专科年级2006级专业计算机与信息管理姓名王日学号06418538023论文题目校园网防火墙的规划与实现山西大学继续教育学院毕业论文第1页共20页1论文评语建议成绩_____________指导老师____________年月日山西大学继续教育学院毕业论文第2页共20页2目录论文提要…………………………………………………………………..5第一章防火墙概述………………………………………………………..61．1防火墙的好处………………………………………………………..61．2防火墙的缺点………………………………………………………..7第二章防火墙的安全规则………………………………………………..8第三章防火墙的技术……………………………………..........................83．1包过滤技术…………………………………………………………..83．2代理技术……………………………………………………………..93．3状态监视技术……………………………………………………….10第四章防火墙的设计策略………………………………………………..104．1包过滤路油器………………………………………………………..114．2包过滤路油器的优点………………………………………………..114．3包过滤路油器的缺点………………………………………………..11第五章结论和展望………………………………………………………..12附录……………………………………………………………………13参考文献........................................................................................................20山西大学继续教育学院毕业论文第3页共20页3论文提要随着互联网的普及和国内各高校校园网络建设的不断发展，大多数高校都建立了自己的校园网，它己经成为高校信息化的重要部分，随着Internet的发展，黑客攻击网络的手法多种多样，计算机病毒种类繁多，我们面临的计算机网络系统的安全威胁日益严重。因此网络安全已成为不容忽视的问题。本文主要介绍了网络安全的基本知识，并介绍了防火墙的基本概念、原理、体系结构以及防火墙的安全规则的防火墙体系的设计策略；通过研究防火墙的安全规则与设计策略，并针对学校校园网的结构，构建一个安全防火墙体系的实例。防火墙是解决网络安全问题的有效手段，现在防火墙的理论研究发展很快，如本文中存在一些不完美之处，希望老师给予指证，以便更加完善。关键词：防火墙；校园网；网络安全山西大学继续教育学院毕业论文第4页共20页4校园网防火墙的规划与实现第一章防火墙概述防火墙是一类防范措施的总称，是一种非常有效的网络安全模型。它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。防火墙还可以从通讯协议的各种层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全控制。通常，防火墙服务于多个目的；过滤掉不安全服务和非法用户；限定人们访问特殊站点，为监视Internet的安全提供方便要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迁回，就不提供任何的保护了。1.1防火墙的好处（１）防火墙负管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给予Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。（２）过去的几年里，Internet经历了地址空间的危机，使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。（３）防火墙是审计和记录Internet使用量的一个最佳地方。网络管理山西大学继续教育学院毕业论文第5页共20页5员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的计费。（４）防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。1.2防火墙的缺点（１）防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet.聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过山精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的连接，对于一个全面的安全保护系统来说是绝对不允许的。（２）防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘上，并将其带出公司。防火墙也不能防范这样的攻击:伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对员工们进行教育，让它们了解网络攻击和各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。（３）防火墙也不能防止传送已感染病毒的软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不期望Internet防火墙去对每一个文件进行扫描查出潜在的病毒山西大学继续教育学院毕业论文第6页共20页6第二章防火墙的安全规则防火墙的安全规则从根本上阐述了一个机构对安全的看法。防火墙可能会扮演两种截然相反的安全规则：（１）拒绝没有特别允许的任何事情。这种安全规则假定防火墙应该阻塞所有的信息，而每一种期望的服务或应用都是实现在case-by-case的基础上。这是一种受推荐的方案。其建立的是一个非常安全的环境，因为只有审慎选择的服务才被支持。当然这种方案也有缺点，就是不易使用，因为限制了提供给用户们的选择范围。（２）允许没有特别拒绝的任何事情。这种安全规则假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在case-by-case的基础上关掉。这种方案建立的是个非常灵活的环境，能提供给用户更多的服务。缺点是，由于将易使用这个特点放在了安全性的前面，网络管理员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的安全。第三章防火墙的技术防火墙技术已经经历了三个阶段：即包过滤技术、代理技术和状态监视技术。3.1包过滤技术包过滤防火墙的安全性是基于对信息包的IP地址校验。在Internet上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方的IP地址，接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包被防火墙过滤掉，以保证山西大学继续教育学院毕业论文第7页共20页7网络系统的安全，这是一种基于网络层的安全技术，对于应用层的黑客行为是无能为力的。包过滤防火墙是基于路由器来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号)判定与过滤规则相匹配与否来决定取舍。建立这类防火墙需要完成如下工作:建立安全策略，写出所允许和禁止的服务;将安全策略转化为数据包分组字段的逻辑表达式:用供货商提供的语法重写逻辑表达式并设置。可见，包过滤防火墙虽然易于实现，但是需要花大量的人力和时间来建立安全策略和过滤规则集，同时，规则集的复杂性又没有测试工具来检验其正确性，难免出现漏洞。另外，包过滤防火墙只按照规则丢弃数据包而不做记录和报告;没有日志功能，不能识别相同IP地址的不同用户，不具有身份认证功能，不具备检测通过高层协议(如应用层)实现的安全攻击能力。3.2代理技术代理服务器将内部系统和外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。它接收客户请求后会检查验证其合法性，如合法，代理服务器像一台客户机一样取回所需的信息再转发给客户。代理服务器只允许有代理的服务通过，而其它所有服务都完全被锁住。这一点对系统的安全性是很重要的，只有那些被认为“可信赖的服务”才允许通过防火墙。另外代理服务还可以过滤协议。代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。其网络地址转换服务可以屏蔽内部网络的IP地址，使网络结构对外部来讲是不可见的。代理服务在具体实现中主要考虑以下几个问题:用户管理合法的用户数据库，以实现线程(网络安全管理、包过滤等基本功能；Socket池的调度算法，包括多线程)Cache算法，包括Cache大小的确定，替换算法的选择，Cache内容的快速查找及插入删除算法。山西大学继续教育学院毕业论文第8页共20页83.3状态监视技术这是第三代网络安全技术。状态监视服务的监视是在不影响网络正常工作的前提下，采取抽取相关数据的方法对网络通讯的各个层次实行监测，并作为安全决策的依据。监视模块支持多种网络协议和应用协议，可以方便的实现应用服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP（用户数据）端口信息，而包过滤和代理服务都无法做到。目前成熟的防火技术是包过滤技术和代理技术，与此对应的有两种基本类型的防火墙包过滤型和代理服务型。防火墙技术虽然实现了某些访问控制功能，但仍有许多问题有待解决。首先，由于防火墙为了保证信息安全，采取了许多访问控制机制，造成网络通信率下降;第二，防火墙对数据的内容缺少检测，从而对包括计算机病毒在内的数据驱动的攻击缺少良好的防范措施;第三，仅仅解决Internet上传输的信息安全问题，而这只熊靠加密技术来解决。第四章防火墙的设计策略Internet防火墙并不是独立的，它是一个机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功，机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略，无论如何精心构建的防火墙都会被绕过去，从而整个内部网络都暴露在攻击面下。机构能够负担什么样的防火墙？简单的包过滤防火墙的费用最低，因为机构至少需要一个路由器才能连入Internet，并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能，而费用在几千到几万元之间。如果一个机构有自己的专业人员，也可以构建自己的山西大学继续教育学院毕业论文第9页共20页9防火墙系统，但是仍旧有开发时间和部署防火墙系统的费用问题。还有，防火墙系统需要管理，一般性的维护、软件升级、安全上的补漏、事故处理等，这些都要产生费用。所以我在山东菏泽学院校园网防火墙设计方案中主要使用了包过滤技术。4.1包过滤路由器包过滤路由器对所接收的每个数据包做允许或拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协议(ICP,UDP,ICMP、或IPTunnel),TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。如果有匹配并且规则允许数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。一些典型的过滤规则包括:允许进入的Telnet会话与指定的内部主机连接；允许