防火墙术研究毕业论文
本科生毕业论文(设计)-关于网络安全及防火墙技术的研究
本科生毕业论文关于网络安全及防火墙技术的研究Reserch on Network Security and Firewall Technology学生姓名所在专业所在班级申请学位指导教师职称副指导教师职称答辩时间目录摘要 (I)ABSTRACT (II)1绪论 (1)1.1 网络安全 (1)1.1.1 网络安全的定义 (1)1.1.2 理想的安全网络应有的特征 (2)1.2 计算机网络所面临的威胁及攻击 (2)1.2.1 各种网络威胁 (2)1.2.2 各种网络攻击 (3)1.3 保障网络安全的一般措施 (4)2网络安全技术简介 (5)2.1 网络安全技术 (5)2.2 网络安全策略 (5)2.2.1 风险分析 (5)2.2.2 安全策略的制定 (6)3防火墙的基本介绍 (9)3.1 防火墙的基本概念 (9)3.2 防火墙的发展历程 (9)3.3 防火墙的分类 (10)3.4 防火墙的优势和不足 (10)3.5 使用防火墙的意义 (11)4防火墙设计方案及技术 (12)4.1 普通防火墙设计方案 (12)4.1.1 DMZ (12)4.1.2 堡垒主机 (13)4.1.3 过滤网关 (16)4.1.4 三种设计方案的比较 (18)4.2 防火墙技术 (18)4.2.1 包过滤器 (19)4.2.2 应用级网关 (21)4.2.3 电路级网关 (23)4.2.4 状态包检查(SPI) (24)4.2.5 防火墙技术的选择 (26)5防火墙的高级功能 (27)5.1 身份验证和授权 (27)5.2 网络地址转换 (28)5.3 虚拟专用网络VPN (30)5.4 网络监控 (32)5.5 配置实例 (33)5.5.1 个人防火墙配置实例 (33)5.5.2 企业防火墙配置实例 (36)5.6 防火墙高级功能的选择 (39)6防火墙未来的发展 (40)7结束语 (42)鸣谢 (43)参考文献 (44)摘要Internet以惊人的速度在全球发展,正广泛渗透到人们生活的各个领域,在不远的将来,我们的社会将进入一个全面的网络时代,我们的生活将与计算机网络更加息息相关,联系更加紧密,例如:Email,电子商务,获取信息等等,可以说我们的生活离不开计算机网络。
计算机网络安全防火墙技术毕业论文[1]
![计算机网络安全防火墙技术毕业论文[1]](https://img.taocdn.com/s3/m/5d4fa5d6c1c708a1284a442e.png)
计算机网络安全防火墙技术毕业论文防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。
从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。
它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。
而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:1)限定人们从一个特定的控制点进入;2)限定人们从一个特定的点离开;3)防止侵入者接近你的其他防御设施;4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。
这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。
从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。
那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
3. 防火墙技术与产品发展的回顾防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。
从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;●管理进、出网络的访问行为;●封堵某些禁止行为;●记录通过防火墙的信息内容和活动;●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。
纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
防火墙技术论文
防火墙技术论文推荐文章计算机防火墙技术论文热度:计算机网络安全及防火墙技术论文热度:防火墙与网络安全技术论文热度:防火墙设计与技术论文热度:防火墙网络安全技术论文热度:防火墙作为基本的网络安全要素,被广泛应用于各种网络环境中,店铺整理的防火墙技术论文,希望你能从中得到感悟!防火墙技术论文篇一网络安全之防火墙技术摘要:随着互联网的发展,网络应用高度发达,网络安全问题日益突出。
防火墙作为基本的网络安全要素,被广泛应用于各种网络环境中,并且正在发挥着重要作用。
关键词:网络安全防火墙1 概论当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。
网络安全也成了互联网用户每时每刻要面对的问题。
现在,网络安全已经成了专门的技术。
保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。
防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。
防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。
防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。
防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类3.1 从实现方式上分从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。
软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。
软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。
硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分防火墙从架构上分可以分为通用CPU架构、ASIC 架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。
计算机网络安全与防火墙技术毕业论文
计算机网络安全与防火墙技术毕业论文摘要
近年来,随着互联网的发展,计算机网络安全问题日益突出。
网络安全威胁不断更新,造成网络安全风险增加。
为了保护企业网络系统免受安全威胁,有必要加强企业网络安全管理,并采用防火墙技术来防护网络资源免受外部网络的威胁。
本文对防火墙技术的发展及其在网络安全中的应用进行了深入分析和讨论,从技术上以及组织方面全面进行管理,保护企业网络资源的安全。
关键词:网络安全;防火墙技术;企业网络
1.绪论
近年来,随着信息技术的发展,计算机网络在社会经济各个领域频繁地使用和应用,使计算机网络安全的重要性日益凸显。
随着网络安全威胁不断更新,造成网络安全风险增加,网络安全的保护更加迫切。
为了保护企业网络系统免受安全威胁,有必要加强企业网络安全管理,并采用防火墙技术来防护网络资源免受外部网络的威胁。
本文分三部分:论文第一部分提出了防火墙技术的概念、发展历史以及技术特性;第二部分对防火墙技术的特性、策略、结构及日常管理进行了较为深入的介绍;最后,文章结束时。
防火墙技术论文
防火墙技术论文摘要防火墙是一种网络安全设备,它通过控制和监视网络流量来保护网络系统免受恶意攻击。
本论文将介绍防火墙技术的基本原理、工作机制以及在网络安全中的重要性。
我们将探讨防火墙的不同类型,并详细讨论各种防火墙技术的优点和局限性。
最后,我们还将探讨未来防火墙技术的趋势和发展。
1. 引言随着互联网的快速发展,网络安全问题变得越来越重要。
恶意攻击者使用各种手段来入侵网络系统,并造成严重的损害。
防火墙作为一种网络安全设备,起到了关键的作用。
它通过控制网络流量来阻止未经授权的访问和恶意攻击。
本论文将介绍防火墙技术的基本原理、工作机制以及在网络安全中的重要性。
2. 防火墙的基本原理防火墙的基本原理是根据规则集来过滤进出网络的数据包。
它可以通过检查数据包的源IP地址、目标IP地址、端口号等信息来判断是否允许通过。
防火墙还可以使用各种技术来检测和阻止恶意攻击,例如基于签名的检测、基于行为的检测等。
3. 防火墙的工作机制防火墙的工作机制可以大致分为三个阶段:数据包的过滤、状态跟踪和网络地址转换。
首先,防火墙会检查数据包的源地址和目标地址,然后根据预定义的规则集来决定是否允许通过。
其次,防火墙会跟踪网络连接的状态,以便检测潜在的攻击行为。
最后,防火墙可以进行网络地址转换,隐藏内部网络的真实IP地址,增加网络的安全性。
4. 防火墙的类型防火墙可以分为多种类型,包括网络层防火墙、应用层防火墙、主机防火墙等。
网络层防火墙工作在网络层,通过检查数据包的源IP地址和目标IP地址来进行过滤。
应用层防火墙工作在应用层,可以根据应用层协议的特征来检测和阻止恶意攻击。
主机防火墙是安装在主机上的软件,可以监控和控制主机上的网络流量。
不同类型的防火墙都有各自的优点和适用范围。
5. 防火墙技术的优缺点不同的防火墙技术有各自的优点和局限性。
网络层防火墙具有高效的数据包过滤能力,可以有效地阻止未经授权的访问。
应用层防火墙可以检测和阻止更高层次的攻击,但对网络性能有一定的影响。
计算机网络安全中防火墙技术探讨论文
计算机网络安全中防火墙技术探讨论文计算机网络安全中防火墙技术探讨论文由于网络保密信息的泄露情况严重和目前恶意网站的频频进击,使人们越来越重视电脑网络信息保护的可靠性。
工作者在处理网络信息保护问题做出的突出贡献就是研究出了防火墙技术。
这一技术能够很好的保障电脑信息的安全性,为电脑中数据的可靠性做铺垫。
这一技术最突出的优势就是能够将信息进行隔离,既帮助客户排查多余的信息,又能夠保证网络数据不被泄露,有力的保障了计算机网络的顺利进行。
1防火墙的自身实用价值越来越多的用户喜欢防火墙技术,并且运用这一技术,是因为其本身所具备的拦截信息、保护数据的功能。
本文根据防火墙的作用,在下文中做了详细的介绍。
1.1代理技术的实用功能。
代理技术对于防火墙来说,本身就是一种极为特殊的。
电脑网络在工作过程中,代理技术可以掌控不同区域的运行状态,而且是高效和可靠的。
这一科研成果的功能具体在于:在内部网络和外部网络中,代理技术能够很好的将其转换,并且还能够使内网和外网互不影响。
当计算机外网在运行中被断开时,内网只能够答应代理所下达的指示。
即使在专业技术上有一定的缺陷,但是仍然能够起到清晰视听的作用。
1.2检测技术的实用功能计算机网络运行状态是检测技术的主要工作,并且是一种新型的科研成果。
在网络的各个层面都会用到这门技术,它能够检测到网络连接的状态,从而增强信息的传播速度,加大计算机网络运行状态的保护力度。
它的主要工作就是根据网络状态,将外部网络传输到的信息当成一部分,并对其做详细解析,进而测试总体的记录,比较规则与状态这俩者间的不同。
1.3协议技术的实用功能有一种攻击叫DOS,它能够制止整个服务器的运行,从而让计算机网络陷入僵局,与之相联系的数据也不能获取。
通常来说这类攻击不会特别受到限制。
如何防止这类攻击就可以通过协议技术,它能够在防火墙里边进行操控,保障计算机内部系统的顺利运行。
同时,它还能够帮助不同网络获取信息,连接着服务器与数据,直至防火墙顺利运转,它才可以工作。
浅析防火墙技术毕业论文
浅析防火墙技术毕业论文防火墙技术是网络安全中非常重要的一种技术手段,主要用于保护网络系统免受外部攻击和威胁。
本文将从防火墙技术的定义、工作原理、分类和应用等方面进行浅析。
一、防火墙技术的定义防火墙技术是指在网络中设置一道或多道屏障,对网络流量进行监控和过滤,以达到保护网络系统安全的目的。
防火墙可以对进出网络的数据包进行检查和过滤,根据预设的规则对特定的数据包进行允许或阻止的处理。
二、防火墙技术的工作原理防火墙通过对网络流量的监控和过滤,实现对网络通信的控制。
其工作原理主要包括以下几个步骤:1.数据包检查:防火墙对进出网络的数据包进行检查,包括源IP地址、目的IP地址、端口号等信息。
可以通过对数据包的源和目的地址进行比对,来判断数据包的合法性。
3.规则匹配:防火墙根据预设的规则,对数据包进行匹配。
根据规则的设定,防火墙可以允许某些特定的数据包通过,也可以阻止部分数据包的传输。
4.日志记录:防火墙对通过和阻止的数据包进行记录,以便后期的审计和追踪。
可以通过日志记录进行安全事件的分析和溯源。
5.远程管理:防火墙可以支持远程管理,通过设置远程访问权限,管理员可以远程登录防火墙,并对其配置和管理。
6.漏洞扫描:防火墙可以对网络系统进行漏洞扫描,及时发现系统中存在的安全漏洞,并采取相应的措施进行修复和防范。
三、防火墙技术的分类根据不同的防护对象和工作方式,防火墙技术可以分为以下几种:1.包过滤防火墙:根据数据包的源IP地址、目的IP地址、端口号等信息进行过滤和判断,对数据包进行允许或阻止的处理。
2.状态检测防火墙:通过对数据包进行状态检测和跟踪,对疑似攻击的数据包进行拦截和阻止。
3.应用层网关防火墙:在传输层和应用层之间,对数据包进行深层次的分析和筛选,对数据包进行重组和改写。
4.代理防火墙:作为客户端和服务器之间的中间人,代理防火墙接收客户端的请求,并代表客户端向服务器发送请求,并根据预设的规则对请求和响应进行筛选和处理。
防火墙技术的现状与展望(毕业论文)
防火墙技术的现状与展望(毕业论文)第一篇:防火墙技术的现状与展望(毕业论文)通信与信息系统管理专业高等教育自学考试毕业论文防火墙技术的现状与展望摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。
因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。
比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。
防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。
文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
关键词:防火墙;网络安全Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security通信与信息系统管理专业高等教育自学考试毕业论文目录一、背景和意义 (3)二、防火墙概述 (3)(一)防火墙的概念 (3)(二)防火墙的功能及原理 (3)(三)防火墙的分类与技术 (4)(一)防火墙现状概说 (6)(二)包过滤防火墙和代理 (7)(三)状态检测技术 (7)(四)高保障防火墙 (7)(一)高速 (8)(二)多功能化 (8)(三)安全 (9)通信与信息系统管理专业高等教育自学考试毕业论文一、背景和意义防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
绪论科学技术的飞速发展,人们已经生活在信息时代。
计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。
近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。
然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。
“黑客攻击”被“黑”,“CIH病毒”无时无刻不充斥在网络中。
“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。
因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。
对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。
不断地提高自身网络的安全才是行之有效地办法。
绪论 (1)第一章防火墙是什么 (2)第二章防火墙的分类 (3)第三章防火墙功能概述 (6)(1)根据应用程序访问规则可对应用程序连网动作进行过滤 (6)第四章防火墙的不足 (7)第五章防火墙主要技术特点 (8)第六章防火墙的典型配置 (9)6.2.屏蔽主机网关(Screened Host Gateway) (9)6.3.屏蔽子网(Screened Subnet) (9)第七章各种防火墙体系结构的优缺点 (10)第八章常见攻击方式以及应对策略 (11)8.1 .1 病毒 (11)8.1.3 (12)8.2 应对策略 (12)8.2.1 方案选择 (12)8.2.3 坚持策略 (12)第九章防火墙的发展趋势 (13)4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
(16)第一章防火墙是什么防火墙是一种非常有效的网络安全模型。
主要用来保护安全网络免受来自不安全网络的入侵,比如安全网络可能是企业的部网络,不安全网络是因特网。
但防火墙不只是用于因特网,也用于Intranet中的部门网络之间。
在逻辑上,防火墙是过滤器限制器和分析器;在物理上,防火墙的实现有多种方式。
通常,防火墙是一组硬件设备-路由器,主计算机,或者是路由器,计算机和配有的软件的网络的组合。
不同的防火墙配置的方法也不同,这取决于安全策略,预算以及全面规划等。
第二章防火墙的分类从防火墙的防方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙。
包过滤防火墙经历了两代:2.1静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。
它会检查所有通过信息包里的IP地址号,端口号及其它的信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。
相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。
静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。
2.2动态包过滤防火墙静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。
它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。
它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。
在这里我们了解的是代理防火墙。
代理服务器型防火墙与包过滤防火墙不同之点在于,它的外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。
代理服务器型防火墙提供了日志和审记服务。
2.2.1 代理(应用层网关)防火墙这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏部网结构的作用。
由于外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵部网。
2.2.2自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。
它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。
我们把两种防火墙的优缺点的对比用下列图表的形式表示如下:第三章防火墙功能概述防火墙是一个保护装置,它是一个或一组网络设备装置。
通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护部网的访问安全。
防火墙可以安装在两个组织结构的部网与外部的Internet之间,同时在多个组织结构的部网和Internet之间也会起到同样的保护作用。
它主要的保护就是加强外部Internet 对部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。
防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行部网与Internet的连接。
防火墙的核心功能主要是包过滤。
其中入侵检测,控管规则过滤,实时监控及电子过滤这些功能都是基于封包过滤技术的。
防火墙的主体功能归纳为以下几点:(1)根据应用程序访问规则可对应用程序连网动作进行过滤(2)对应用程序访问规则具有自学习功能。
(3)可实时监控,监视网络活动。
(4)具有日志,以记录网络访问动作的详细信息。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。
核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。
而实现防火墙的核心功能是封包过滤。
第四章防火墙的不足防火墙对网络的威胁进行极好的防,但是,它们不是安全解决方按的全部。
某些威胁是防火墙力所不及的。
防火墙不能防止部的攻击,因为它只提供了对网络边缘的防卫。
部人员可能滥用被给予的访问权,从而导致事故。
防火墙也不能防止像社会工程攻击――一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息,如网络的口令。
另外,一些用来传送数据的线很有可能被用来入侵部网络。
另一个防止的是怀有恶意的代码:病毒和特洛伊木马。
虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。
而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
第五章防火墙主要技术特点(1)应用层采用Winsock 2 SPI进行网络数据控制、过滤;(2)核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI ;二是核心层封包过滤,采用NDIS_HOOK。
Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的畴。
利用这项技术可以截获所有的基于Socket的网络通信。
比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。
采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows 平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包还没有按照低层协议进行切片,所以比较完整。
而防火墙正是在TCP/IP协议在windows的基础上才得以实现。
第六章防火墙的典型配置目前比较流行的有以下三种防火墙配置方案。
6.1.置是用一台装有两个网络适配器的双宿主机做防火墙。
双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。
堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。
双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的部网络(如图1)。
6.2.屏蔽主机网关(Screened Host Gateway)屏蔽主机网关易于实现,安全性好,应用广泛。
它又分为单宿堡垒主机和双宿堡垒主机两种类型。
先来看单宿堡垒主机类型。
一个包过滤路由器连接外部网络,同时一个堡垒主机安装在部网络上。
堡垒主机只有一个网卡,与部网络连接(如图2)。
通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了部网络不受未被授权的外部用户的攻击。
而Intranet部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接部网络,一块连接包过滤路由器(如图3)。
双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
6.3.屏蔽子网(Screened Subnet)这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。
两个包过滤路由器放在子网的两端,在子网构成一个“缓冲地带”,两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
可根据需要在屏蔽子网中安装堡垒主机,为部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网,这样无论是外部用户,还是部用户都可访问。
这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
当然,防火墙本身也有其局限性,如不能防绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自部的攻击等等。
总之,防火墙只是一种整体安全防策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。
第七章各种防火墙体系结构的优缺点7.1.双重宿主主机体系结构它提供来自与多个网络相连的主机的服务(但是路由关闭),它围绕双重宿主主计算机构筑。
该计算机至少有2个网络接口,位于因特网与部网之间,并被连接到因特网和部网。
2个网络都可以与双重宿主主机通信,但相互之间不行,它们之间的IP通信被完全禁止。
双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。