防火墙术研究毕业论文

绪论

科学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。

因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。

绪论 (1)

第一章防火墙是什么 (2)

第二章防火墙的分类 (3)

第三章防火墙功能概述 (6)

(1)根据应用程序访问规则可对应用程序连网动作进行过滤 (6)

第四章防火墙的不足 (7)

第五章防火墙主要技术特点 (8)

第六章防火墙的典型配置 (9)

6.2.屏蔽主机网关（Screened Host Gateway） (9)

6.3.屏蔽子网（Screened Subnet） (9)

第七章各种防火墙体系结构的优缺点 (10)

第八章常见攻击方式以及应对策略 (11)

8.1 .1 病毒 (11)

8.1.3 (12)

8.2 应对策略 (12)

8.2.1 方案选择 (12)

8.2.3 坚持策略 (12)

第九章防火墙的发展趋势 (13)

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。 (16)

第一章防火墙是什么

防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。

不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

第二章防火墙的分类

从防火墙的防方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。

包过滤防火墙经历了两代：

2.1静态包过滤防火墙

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。

2.2动态包过滤防火墙

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在

过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

2.2.1 代理（应用层网关）防火墙

这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏部网结构的作用。由于外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵部网。

2.2.2自适应代理防火墙

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：

第三章防火墙功能概述

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护部网的访问安全。防火墙可以安装在两个组织结构的部网与外部的Internet之间，同时在多个组织结构的部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet 对部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行部网与Internet的连接。

防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子过滤这些功能都是基于封包过滤技术的。

防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序连网动作进行过滤

(2)对应用程序访问规则具有自学习功能。

(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。

(5)被拦阻时能通过声音或闪烁图标给用户报警提示。

防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。

第四章防火墙的不足

防火墙对网络的威胁进行极好的防，但是，它们不是安全解决方按的全部。

某些威胁是防火墙力所不及的。

防火墙不能防止部的攻击，因为它只提供了对网络边缘的防卫。部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的线很有可能被用来入侵部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。