毕业论文------论防火墙技术设计策略.docVIP

基于Internet技术的网络教学平台组建 —— 论防火墙技术设计策略 Construction of network teaching platform based on Internet technique —— Strategy of firewall technique design [摘要]　 防火墙是一种确保网络安全的方法，通过隔离、过滤、封锁等技术，防止来自外部网络的攻击。本文对防火墙自我保护能力的设计和防火墙体系结构进行了分析，并给出了设计方法。 [关键字]　 防火墙；攻击；路由器；分析 [Abstract] The firewall，an efficient measure which is used to protect the safety of network，prevents from attacking of outer network by technologies such as insulating，filtering and blockage etc. This article analyses the structure and self-protect designing of firewall，and also supplies its designing method. [Keyword] firewall; attack; router; analyse 1 引 言 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生它能够防止火势蔓延到别的寓所。自然，此种砖墙因此而得名“防火墙”。现在，如果一个网络接入到了Internet上，在与外界进行通信时，势必也会存在着受其攻击的“火灾发生”。 如何确保网络安全，作为网络安全产品中的防火墙技术，是目前最为成熟的技术。防火墙是建立在内外网络边界上的过滤封锁机制，对内连接LAN，对外连接Internet，通过隔离、过滤、封锁等技术，阻止信息资源的非法访问。 2 防火墙设计首要、重点问题 由于防火墙处于内外网络边界上，承担过滤、封锁等工作，自然也是众多攻击者的目标。因此，其自我保护能力（安全性）是设计时的首要、重点问题。 1. 专用服务器端口 为降低设计上的难度，通过在防火墙上增设专用服务器端口，用于与主机进行连接。除专用服务器外，防火墙不接受任何其他端口的直接访问。由于管理通信是单独的通道，所以不管是内网主机还是外网主机都无法窃听到该通信，显然是很安全的。 2. 透明应用代理 提供对高层应用服务，如HTTP、FTP、SMTP等的透明代理，终端无需在客户机上进行代理服务器设置。管理员在防火墙产品上配置相关规则，这些配置对用户来说完全是透明的，用户访问Web、FTP等服务时，便自由进行代理转发，而外部网络是不能通过代理主动访问内部网络的，从而有效保证了内部网络的安全。 3 防火墙体系结构构建 防火墙结构的构建可使用多种不同部件的组合，每个部件根据所提供的服务及能接受的安全等级来解决不同的问题。常见的几种构建方式分析如下： 3.1 双宿主机 双宿主机将内外网络隔离，防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样，内外网络之间的IP数据流是完全切断的，只有入侵者得到双宿主机的访问权，才会侵入内部网络。所以为了保证内部网安全，双宿主机应禁止网络层的路由功能，避免防火墙上过多的用户账号。 3.2 屏蔽主机 主机与内部网相连，使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机，任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键，因此过滤路由器中的路由表应严格保护，防止路由表破坏造成数据包越过主机侵入内部网络。 3.3 屏蔽子网 在以上基础上，增加一个DMZ（隔离区），进一步将内网与外网隔开。采取两个过滤路由器，攻击者就算攻入了主机，还得通过内部路由器。所以原则上说，此种方式的网络是安全的。 4 应对常见攻击方式的策略 4.1 病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。 4.2 口令字 对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。 策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。 4.3 邮件 来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条