防火墙算法设计与开发(课程设计)

课程设计

题目：防火墙算法设计与开发

防火墙规则分析、翻译的算法研究

1 引言

随着互联网的发展，网络安全问题已经引起了学术界和工业界的广泛重视。随着来自网络的攻击持续不断的增长，防火墙已经成为网络安全领域的一种核心设备，并广泛应用于企业网络和小型的家庭网络。作为安全网络抵御攻击和过滤未经授权数据流的前沿设备，防火墙的过滤决策是基于根据预先定义的安全策略而形成的一组有序的过滤规则。

虽然防火墙的成功部署是保证网络安全的重要一步，但成功部署并不意味着就可以理所当然的获得相应的安全保障，这是因为防火墙安全规则管理的复杂性可能会影响防火墙的安全。实际上，随着规则集中规则数目的增多，不可避免的会出现下面两个问题：

（1）随着规则复杂度的增加，规则也变得难以理解，当维护规则集的人员变更时，会使规则集的维护变得很困难。

（2）当对规则集中的规则进行删除、修改或者添加规则时，大量的过滤规则中可能存在冗余的规则，导致防火墙的管理难度加大、吞吐率下降。

所以就有必要在实施安全策略之前，对过滤规则进行必要的分析，发现并纠正其中的冗余，而且最好能为网络管理人员提供相应的工具，帮助其完成安全策略的管理工作。

针对第一个问题，本文提出了一种规则分析、翻译的方法，对于用户输入的规则，系统联系上下文将其译为自然语言，辅助管理员判断输入的规则是否符合其初衷；针对规则冗余的问题，提出了一种检测冗余的算法，以定位冗余的规则，使得管理人员不用在大量的规则里手工查找冗余，同时给出了导致冗余的相关规则，方便管理人员修改。

2 网络安全

2.1 网络安全概述及其重要性

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

在社会日益信息化的今天，信息已成为一种重要的战略资源，信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域，其在社会生产、生活中的作用日益显著。传播、共享和自增值是信息的固有属性，与此同时，又要求信息的传播是可控的，共享是授权的，增值是确认的。因此信息的安全和可靠在任何状况下都是必须要保证的。信息网络的大规模全球互联趋势，Internet的开放性，以及人们的社会与经济活动对计算机网络依赖性的与日俱增，使得计算机网络的安全性成为信息化建设的一个核心问题。

以Internet为代表的信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的小型业务系统，逐渐向大型关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表现在：

（1）开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能从中获得所需的东西，因而网络所面临的破坏和攻击可能是多方面的。例如，来自物理传输线路的攻击能对网络通信协议和实现实施攻击；对软件实施攻击，也可以对硬件实施攻击。

（2）国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户，它可以来自Internet上的任何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。

（3）自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。用户只对自己的行为负责，而没有任何的法律限制。

尽管开放的、自由的、国际化的Internet 的发展给政府机构、企事业单位带来了革命性的改革和开放，使得他们能够利用Internet 提高办事效率和市场反应能力，以便更具竞争力。通过Internet ，他们可以从异地取回重要数据，同时又要面对网络开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

2.2 计算机网络面临的安全性威胁

2.2.1 非授权访问

未经过同意，就使用网络或计算机资源被看作非授权访问，例如有意避开系统访问控制机制，对网络设备及资源进行非正常作用；或擅自扩大权限，越权访问。它主要有以下几种形式：非法用户进入网络系统进行违法操作；合法用户以未经授权方式进行操作等。

2.2.2 欺骗类攻击

网络协议本身的一些缺陷可以被利用，使黑客可以对网络进行攻击，主要方式有：IP 欺骗；ARP 欺骗；DNS 欺骗；Web 欺骗；电子邮件欺骗；源路由欺骗；地址欺骗等。

2.2.3窃取机密

攻击者非法访问网络、窃取信息。一般可以通过在不安全的通道上截取正在传输的信息或者利用协议或网络的弱点来实现。信息传输安全问题有四种基本类型，如图2.1所示。

图2.1 信息传输安全问题的四种基本类型

2.2.4 计算机病毒

病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。

c ）信息被篡改

d ）信息被伪造

a ）信息被截获

b ）信息被窃听

2.2.5 软件漏洞

随着软件系统规模的不断增大，系统中的安全漏洞也不可避免的存在而且也在不断增多。比如常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器及其它常用的软件等也都不同程度的存在着安全隐患。

2.2.6 恶意攻击

当今最突出的就是拒绝服务攻击DoS（Denial of Service）。它通过使计算机功能或性能崩溃来阻止提供服务。典型拒绝服务攻击有资源耗尽和资源过载两种。

2.3 网络安全防御技术

2.3.1 防火墙技术

防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集，它强制执行对内部网络(如校园网)和外部网络(如Internet)的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，从而达到保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负载等。它已经成为目前保护内部网络最重要的安全技术之一。

2.3.2 漏洞检测技术

漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查；主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。

2.3.3 入侵检测技术

入侵检测技术用来对各种入侵行为进行检测，它通过对（网络）系统的运行状态进行监视，以发现各种攻击企图、攻击行为或者攻击结果，然后及时的发出报警或做出相应的响应，以保证系统资源的机密性、完整性与可用性。

2.3.4 防病毒技术

防病毒技术主要是通过自身常驻系统内存，通过监视、判断系统是否存在病毒来阻止计算机病毒进行计算机系统，防止病毒对系统进行破坏，从而可以有效防止计算机病毒对系统造成的危害，

3 防火墙技术

3.1 防火墙的概念

3.1.1 防火墙的定义

防火墙是指设置在不同网络（如可信任的企业内部网络和不可信的公共网）或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在原理上，防火墙是两种机制的组合：一种是阻断数据流，另一种是允许数据流。一些防火墙侧重于阻断数据流，另一些防火墙侧重于允许数据流。

在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，有效地监控了内部网和Internet 之间的任何活动，保证了内部网络的安全。

设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。通常，被保护的网络属于我们自己或者是我们负责管理的，而所要防备的网络则是一个外部网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。

3.1.2 防火墙的作用

防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界通道（Internet）的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。

防火墙是一种必不可少的安全增强点，它将不可信网络同可信任网络隔离开。防火墙筛选两个网络间