Internet防火墙技术及安全策略.doc

1、-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-软件学院2009-2010学年 第二学期信息安全概论考查作业题目：Internet防火墙技术及安全策略 姓名:马 铭 班级: 信息安全08-1班学号: 200813080130Internet防火墙技术及安全策略摘要：随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。本文主要阐述了防火墙技术以及防火墙

2、的构建。关键字：防火墙技术 防火墙体系结构 构建随着Internet的发展，网络已经成为人民生活不可缺少的一部分，网络安全问题也被提上日程，作为保护局域子网的一种有效手段，防火墙技术备受睐。一、防火墙技术概述 1.防火墙的基本概念防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备(路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，

3、用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。2.防火墙的定义 Internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃

4、取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。 防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网连接的点上。Internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责

5、任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与Internet的连接处，但是防火墙系统也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。防火墙的局限性：1）不能防范恶意的知情者：2）不能防范不通过它的连接：3）不能防范全部的威胁

6、。4）不能防范病毒。由此可见，要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用。3.防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。4.防火墙的功能一般来说，防火墙具有以下几种功能：能够防止非法用户进入内部网络。可以很方便地监视网络的安全性，并报警。可以作为部署 NAT（Network Address Trans

7、lation，网络地址变换）的地点，利用 NAT 技术，将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来，用来缓解地址空间短缺的问题。可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 WWW服务器和 FTP 服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。二、防火墙的分类和技术原理以及典型体系结构1.防火墙的分类以及技术原理 目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：（1）包过滤技术 包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会

8、被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。 （2）代理技术代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能

9、越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。 优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术。 缺点：在应用支持方面存在不足，执行速度较慢。 （3）状态监视技术 这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，

10、过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。（4）复合型防火墙由于

11、对更高安全性的要求，通常把数据包过滤和代理服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主机称为堡垒主机，负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:动态包过滤；内核透明技术；用户认证机制；内容和策略感知能力:内部信息隐藏；智能日志、审计和实时报警；防火墙的交互操作性等。三、防火墙的设计以办公网络为例1.防火墙的系统总体设计思想1.1设计防火墙系统的拓扑结构在确定防火墙系统的拓扑结构时，首先必须确定被保

12、护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑，以决定防火墙系统的拓扑结构。1.2制定网络安全策略在实现过程中，没有允许的服务是被禁止的，没有被禁止的服务都是允许的，因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流，逐一完成每一项许可的服务；第二条策略是允许一切没有被禁止的服务，防火墙转发所有的信息，逐项删除被禁止的服务。1.3确定包过滤规则包过滤规则是以处理IP包头信息为基础，设计在包过滤规则时，一般先组织好包过滤规则，然后再进行具体设置。1.4设计代理服务代理服务器接受外部网络节点提出的服务请求，如果此请求被接受，

13、代理服务器再建立与实服务器的连接。由于它作用于应用层，故可利用各种安全技术，如身份验证、日志登录、审计跟踪、密码技术等，来加强网络安全性，解决包过滤所不能解决的问题。1.5 严格定义功能模块，分散实现防火墙由各种功能模块组成，如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现，功能分散减少了实现的难度，增加了可靠程度。2.一种典型防火墙设计实例数据包防火墙设计包过滤防火墙工作于DOD ( Department of Defense)模型的网络层，其技术核心是对是流经防火墙每个数据包进行行审查，分析其包头中所包含的源地址、目的地址、封装协议(T

14、CP， UDP、ICMP， IP Tunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息，确定其是否与系统预先设定的安全策略相匹配，以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用，这一过程就称为数据包过滤。2.1系统配置这里，假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的，且有明确的闭合边界。它有一个C类的IP 地址，有DNS、E-mail、WWW、FTP 等服务器，可采用以下存取控制策略。(1)对进入CERNET 主干网的存取控制校园网有自己的IP 地址，应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路

15、由器。Interface EODescription campusNet IPadd 162.105.17.1Access_list group 20 outAccess_list 20 permit ip 162.105.17.0 0.0.255(2)对网络中心资源主机的访问控制网络中心的DNS、E-mail、FTP、WWW等服务器是重要的资源，要特别地保护，可对网络中心所在子网禁止DNS、E-mail、WWW、FTP以外的一切服务。（3） 对校外非法网址的访问一般情况，一些传播非法信息的站点主要在校外，而这些站点的域名可能是已知的，这时可通过计费系统获得最新的IP访问信息，利用域名查询或字

16、符匹配等方法确定来自某个IP的访问是非法的。2.2 防止IP地址欺骗和盗用为对网络内部人员访问Internet进行一定限制，在连接内部网络的端口接收数据进行IP地址和以太网地址检查，盗用IP地址的数据包将被丢弃，并记录有关信息；再连接Internet端接收数据时，如从外部网络收到一段假冒内部IP地址发出的报文，也应丢弃，并记录有关信息。防止IP 地址被盗用的彻底解决方法是，网络上全部采用交换式集线器提供用户接入，设定每个端口的以太网址和IP地址，但由于各种原因这种方法目前不可行。建议用下述方法解决。(1)代理服务器防火墙用户的对外通信通过代理服务器进行。对用户的收费根据用户请求的数据量计算，和

17、IP地址没有很大关系，因此可以在一定程度上减少IP地址盗用给用户带来的经济损失。但它要求一定采用代理服务器方式的防火墙，因而限制了它的推广。(2)捆绑IP地址和以太网地址首先登记每个合法IP地址和对应的以太网地址，形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表，获得当前IP和MAC的对应关系和事先合法的IP 和MAC地址进行比较，如不一致，则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是惟一的。但事实上用户可以让网卡使用任意的以太网地址。因此，这种方法的效果不是很好。可对其进行改进，由用户自己动态地控制IP地址的访问权限，当用户不需要对外通信时，可以关掉自

18、己的IP地址对外的权限，这时即使有人盗用IP地址也不会对用户造成直接的经济损失。(3)对非法访问的动态禁止一旦获得某个.IP地址的访问是非法的，可立即更改路由器中的存取控制表，从而禁止其对外的非法访问，首先应在路由器和校园网的以太口预设控制组102，然后过滤掉来自非法地址的所有IP包，插入以下命令：access_list 1.2 deny 0.0.0.0.255.255.255.255 A.B.C.D 0.0.0.0该命令的插入实际上是对路由器进行动态配置。可以通过Telnet socket编制针对Cisco的Telnet 仿真程序，仿真所有的人工命令过程，从而实现对Cisco的动态配置。由于

19、存取控制表不能随意插入控制项，因此仿真程序需要维持一个完整的和Cisco 内控制表项一致的配置文件，即先将更改的控制项插入到配置文件中，然后将配置文件作为一个整体，传入路由器中，从而保证存取控制的完整性。本例中网络环境为：内部网络使用的网段为192.168.1.0， eth0为防火墙与Internet接口的网卡，eth1为防火墙与内部网络接口的网卡。数据包过滤规则的设计如下：（1）与服务有关的安全检查规则这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW， FTP， Telnet， SMTP等.我们以WWW包过滤为例，来分析这类数据包过滤的实现.WWW数据包采

20、用TCP或UDP协议，其端口为80，设置安全规则为允许内部网络用户对Internet的WWW访问，而限制Internet用户仅能访问内部网部的WWW服务器，(假定其IP地址为192.168.1.11)。要实现上述WWW安全规则，设置WWW数据包过滤为，在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过，而在防火墙eth 1端允许所有来自内部网络WWW数据包通过。 #Define HTTP packets #允许Internet客户的WWW包访问WWW服务器/sbin/ipchains-A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.

21、11/32 www -i eth0 j ACCEPT /sbin/ipchains-A input -p tcp -s 0.0.0.0/fl 1024:-d 192.168.1.11132 www -i eth0 j ACCEPT #允许WWW服务器回应Internet客户的WWW访问请求 /sbin/ipchains-A input-ptcp -s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl j ACCEPT /sbin/ipchains-A input -p udp -s 192.168.1.11 /32www:-d 0.0.0.0/0 1024

22、:-i eth1 j ACCEPT 显然，设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。 与此相似，我们可以建立起与FTP， Telnet， SMTP等服务有关的数据包检查规则；（2）与服务无关的安全检查规则 这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的，主要有以下几点：数据包完整性检查(Tiny Fragment ):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能，实现完整性检查的方法是利用REDHAT，在编译其内核时设定IP ； always defrayments set toy。 REDHAT检查进人的数据包的完整性

23、，合并片段而抛弃碎片。 源地址IP ( Source IP Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机，以期能渗透到内部网络中.要实现这一安全规则，设置拒绝数据包过滤规则为，在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。 源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息，实现的方法也是借助REDHAT的路由功能，拒绝来自外部的包含源路由选项的数据包。四、防火墙的发展前景和方向网络安全的问题在不断升级，新一代防火墙技术也在不断的发展。将来网络防火墙可能向以下方向发展。1.防

24、火墙包过滤技术发展方向。多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包；在应用网关（应用层）一级，能利用FTP、SMTP 等各种网关，控制和监测Internet提供的所用通用服务。其次是使防火墙具有病毒防护功能。现在通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少企业的损失。2.防火墙的体系结构发展方

25、向。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC 的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于 ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于A

26、SIC 的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。3.防火墙的系统管理发展趋势。集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以让管理员有效地发现系统中存在的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。参考文献1贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清华大学出版社2Eric Maiwald, Wi1liEdu

27、cation, Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press3John Viega,Gary McGraw，构建安全的软件，钟向群，王鹏译，第一版，2003.04，清华大学出版社4程龙，杨海兰，电子商务安全，2002.11，经济科学出版社5张 晔,刘玉莎 . 防火墙技术的研究与探讨J . 计算机系统应用, 1999 6王丽艳 . 浅谈防火墙技术与防火墙系统设计 . 辽宁工学院学报 . 20017郭伟 . 数据包过滤技术与防火墙的设计 . 江汉大学学报 . 20018Anthony Northup.

28、 NT Network Plumbing: Routers, Proxies, and Web Services M. New York: IDG Books Worldwide, 1998.9 (美)Chris Hare Karanjit Siyan . Internet防火墙与网络安全 . 北京:机械工业出版社,1998 个人工作业务总结本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”)，主要从事测量技术工作，至今已有三年。在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专

29、业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的提高自己的专业技术水平。同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。在这三年中，在公司各领导及同事的帮助带领下，按照岗位职责要求和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高。 在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习政治理论，坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。积极主动学习专业知识，工作态度端正，认真负责，具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面，

30、勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转变。一、回顾这四年来的职业生涯，我主要做了以下工作：1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000勘探剖面测量、测绘内业资料的编写工作，提交成果新疆库车县胡同布拉克石灰岩矿普查报告已通过评审。2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为库车县城北水厂建设项目用地

31、压覆矿产资源评估报告，现已通过评审。3、参与了新疆库车县巴西克其克盐矿普查项目的野外地质勘查工作，参与项目包括：1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的新疆库车县康村盐矿普查报告已通过评审。4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为新疆哈密市南坡子泉金矿2009年度矿山储量年报，现已通过评审。5、参与了新疆博乐市浑德伦切亥尔石灰岩矿勘探项目的野外地质勘查工作，项目包括：1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作，最终提交新疆库车县胡同布拉克石灰岩矿普

32、查报告评审已通过。6、参与了新疆博乐市五台石灰岩矿9号矿区勘探项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。7、参与了新疆博乐市托特克斜花岗岩矿详查报告项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。通过以上的这些工作，我学习并具备了以下工作能力： 1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一，提高分析问题、解决问题的能力，从而对测量学的基本内容得到一

33、次实际应用，使所学知识进一步巩固、深化。2、熟悉了三、四等控制测量的作业程序及施测方法，并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。3、掌握了GPS控制测量内业解算软件（南方测绘 Gps数据处理）以及内业成图软件（南方cass）的操作应用。能够将外业测量的数据导入软件进行地形图成图和处理。4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法，并参与了部分项目测量技术总结章节的编写工作。5、在项目负责的领导下参与整个测量项目的组织运作，对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力，为以后的工作打下了坚实基础。二、工作中尚存在的问题 从事测绘工作以来，深深感受到工作的繁忙、责任的重大，也因此没能全方位地进行系统地学习实践，主要表现为没有足够的经验，对于地形复杂的地段理解不够深刻；理论知识掌握不够系统，实践能力尚为有限。以上问题，在今后工作中自己将努力做到更好。三、今后的工作打算 通过总结四年来的工作，我无论从工作技术上，还是从世界观、人生观、价值观等各个方面，都有了很大的提高。今后，我会在此基础上，刻苦钻研，再接再厉，使自己在业务知识水平更上一层楼，为测绘事业的发展，贡献自己的力量。-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-