毕业论文论防火墙技术设计策略由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“防火墙技术毕业论文”。
基于Internet技术的网络教学平台组建 —— 论防火墙技术设计策略
Construction of network teaching platform based on Internet technique
—— Strategy of firewall technique design
[摘要] 防火墙是一种确保网络安全的方法,通过隔离、过滤、封锁等技术,防止来自外部网络的攻击。本文对防火墙自我保护能力的设计和防火墙体系结构进行了分析,并给出了设计方法。
[关键字] 防火墙;攻击;路由器;分析
[Abstract] The firewall,an efficient measure which is used to protect the safety of network,prevents from attacking of outer network by technologies such as insulating,filtering and blockage etc.This article analyses the structure and self-protect designing of firewall,and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生它能够防止火势蔓延到别的寓所。自然,此种砖墙因此而得名“防火墙”。现在,如果一个网络接入到了Internet上,在与外界进行通信时,势必也会存在着受其攻击的“火灾发生”。
如何确保网络安全,作为网络安全产品中的防火墙技术,是目前最为成熟的技术。防火墙是建立在内外网络边界上的过滤封锁机制,对内连接LAN,对外连接Internet,通过隔离、过滤、封锁等技术,阻止信息资源的非法访问。防火墙设计首要、重点问题
由于防火墙处于内外网络边界上,承担过滤、封锁等工作,自然也是众多攻击者的目标。因此,其自我保护能力(安全性)是设计时的首要、重点问题。
1.专用服务器端口
为降低设计上的难度,通过在防火墙上增设专用服务器端口,用于与主机进行连接。除专用服务器外,防火墙不接受任何其他端口的直接访问。由于管理通信是单独的通道,所以不管是内网主机还是外网主机都无法窃听到该通信,显然是很安全的。
2.透明应用代理
提供对高层应用服务,如HTTP、FTP、SMTP等的透明代理,终端无需在客户机上进行代理服务器设置。管理员在防火墙产品上配置相关规则,这些配置对用户来说完全是透明的,用户访问Web、FTP等服务时,便自由进行代理转发,而外部网络是不能通过代理主动访问内部网络的,从而有效保证了内部网络的安全。防火墙体系结构构建
防火墙结构的构建可使用多种不同部件的组合,每个部件根据所提供的服务及能接受的安全等级来解决不同的问题。常见的几种构建方式分析如下:
3.1 双宿主机
双宿主机将内外网络隔离,防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样,内外网络之间的IP数据流是完全切断的,只有入侵者得到双宿主机的访问权,才会侵入内部网络。所以为了保证内部网安全,双宿主机应禁止网络层的路由功能,避免防火墙上过多的用户账号。3.2 屏蔽主机
主机与内部网相连,使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机,任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键,因此过滤路由器中的路由表应严格保护,防止路由表破坏造成数据包越过主机侵入内部网络。
3.3 屏蔽子网
在以上基础上,增加一个DMZ(隔离区),进一步将内网与外网隔开。采取两个过滤路由器,攻击者就算攻入了主机,还得通过内部路由器。所以原则上说,此种方式的网络是安全的。应对常见攻击方式的策略
4.1 病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
4.2 口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
4.3 邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
4.4 IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。
策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。基本决策
5.1 方案选择
市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台。由于硬件防火墙集合了软件方面,从功能上更为强大,目前已普遍使用。
在制造上,硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化,将主要运算程序做成芯片,以减少CPU的运算压力;国内厂家的防火墙硬件平台仍使用通用PC系统,增加了内存容量,增大了CPU的频率。在软件性能方面,国外一些著名的厂家均采用专用的操作系统,自行设计防火墙,提供高性能的产品;而国内厂家大部分基于Linux操作平台,有针对性的修改代码、增加技术及系统补丁等。因此,国产防火墙与国外的相比仍有一定差距,但科技的进步,也生产出了较为优秀的产品。如北京天融信的NG系列产品,支持TOPSEC安全体系、多级过滤、透明应用代理等先进技术。
5.2 结构透明
防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。然后根椐自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构(可参照本文第3点分析),如果经济实力雄厚的可采用屏蔽子网的拓扑结构。
5.3 坚持策略
(1)管理主机与防火墙专用服务器端口连接,形成单独管理通道,防止来自内外部的攻击。
(2)使用FTP、Telnet、News等服务代理,以提供高水平的审计和潜在的安全性。
(3)支持“除非明确允许,否则就禁止”的安全防范原则。
(4)确定可接受的风险水平,如监测什么传输,允许和拒绝什么传输流通过。5.4 实施措施
好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。结束语
以上从防火墙所具有的功能出发,分别介绍了防火墙技术在设计时的重点问题、防火墙体系结构构建、常见攻击方式的防范及基本设计决策。在分析的基础上给出了具体解决方法,在设计过程中,应根据企业自身条件出发,选择最优的策略。
参 考 文 献
[1] 陶笃纯,饶友玲,康晓东.网站建设项目管理[M].北京:人民邮电出版社,2002.[2] 彭涛.计算机网络教程[M].北京:机械工业出版社,2002.[3] IBON.Marshield网络安全技术白皮书.艾邦公司资料,2002.致
谢
在这次毕业设计中,我得到了XXX教师的大力支持和帮助,特表示衷心的感谢。同时也感谢同组同学。马上就要踏上工作的岗位,本文是也算是我人生中的一段的总结。真心感谢所有传授给我知识的敬爱的老师们。在你们的精心教导下,让我拥有一段充实,精彩的大学生活,谢谢你们!
本文由yin528855贡献doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。计算机防火墙技术论文毕 业 论 文计算机防火墙技术姓 学名: 号:指导老师: 系......
摘要随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网......
中小企业防火墙的应用摘要互联网的应用在近几年的时间有了非常大的发展,随着中小企业商务网站的增多,资源越来越丰富,网络安全问题却也越来越严峻。在网络安全防范中,防火墙具......
LINUX路由防火墙配置 加上摘要、关键字1 LINUX系统应用概述(安全方面应用) 2 防火墙的功能介绍 3 防火墙规则配置 4 防火墙路由配置 5 防火墙NAT配置RedHat Linux 为增加系统......
技术设计4技术设计4.1目的与要求4.1.1技术设计阶段应根据初步设计批复意见、测设合同的要求,对重大、复杂的技术问题通过科学试验、专题研究,加深勘探调查及分析比较,解决初步......
