防火墙技术的研究

安徽城市管理职业学院

毕业论文

题目：防火墙技术的研究

班级： 07计算机网络技术（1）班

*名：**

指导老师：***

2009年11月29日

内容提要

internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺；而与此同时给人们带来了一个日益严峻的问题———网络安全。网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展，防火墙也逐渐被大众所接受。但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。本文全面介绍了Internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。同时简要描述了Internet防火墙技术的发展趋势。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的 1.6亿美元上升到今年的9.8亿美元

为了更加全面地了解Internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

关键词：Internet 网路安全防火墙过滤地址转换

目录

第一章Internet防火墙技术简介 (4)

第一节防火墙的概念及作用 (4)

第二章防火墙技术与产品发展的回顾 (5)

第一节防火墙的分类 (6)

第二节各类防火墙的优缺点 (7)

第三节防火墙的功能 (9)

第三章第四代防火墙技术的实现方法 (13)

第一节安全内核的实现 (13)

第二节代理系统的建立 (13)

第三节分组过滤器的设计 (13)

第四节安全服务器的设计 (14)

第五节鉴别与加密的考虑 (14)

第四章第四代防火墙的抗攻击能力 (15)

第一节抗IP假冒攻击 (15)

第二节抗特洛伊木马攻击 (15)

第三节抗口令字探寻攻击 (15)

第四节抗网络安全性分析 (15)

第五节抗邮件诈骗攻击 (15)

第五章防火墙技术展望 (16)

第一章Internet防火墙技术简介

1.1防火墙的概念及作用

1.1.1 防火墙的概念

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙作为内部网络与外部公共网络之间的第一道屏障 ,起着保护网络免遭黑客袭击的重要作用 ,但它也有明显不足 :无法防范通过防火墙以外的其它途径的攻击 ,不能防止来内部破坏者和不经心的用户们带来的威胁 ,也不能完全防止传送已感染病毒的软件或文件 ,以及无法防范数据驱动型病毒的攻击。因此 ,属于网络层安全技术范畴的防火墙 ,随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次 ,不仅要完成传统防火墙的过滤任务 ,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

1.1.2 防火墙的目的

事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：

1)限定人们从一个特定的控制点进入；

2)限定人们从一个特定的点离开；

3)防止侵入者接近你的其他防御设施；

4)有效地阻止破坏者对你的计算机系统进行破坏。

所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强Internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及件构成。

第二章防火墙技术与产品发展的回顾

2.1防火墙的分类

2.1.1包过滤防火墙

第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡(nic)，一块连到内部网络，一块连到公共的internet。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入web连接，而目的端口为80，则包就会被放行。多个复杂规则的组合也是可行的。如果允许web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。建立包过滤防火墙规则的例子如下：

对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。

在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为web 连接。这条规则也允许与web连接使用相同端口的连接，所以它并不是十分安全。丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减少ip欺骗性的攻击。丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。

2.1.2状态/动态检测防火墙状态/动态检测防火墙

试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。

当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的；它仅是存在而已。一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定ip地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。一个状态/动