防火墙安全程序控制设计论文.docx
- 文档编号:9852980
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:26
- 大小:748.01KB
防火墙安全程序控制设计论文.docx
《防火墙安全程序控制设计论文.docx》由会员分享,可在线阅读,更多相关《防火墙安全程序控制设计论文.docx(26页珍藏版)》请在冰点文库上搜索。
防火墙安全程序控制设计论文
课程设计(论文)
课程名称:
通信技术课程设计
题目:
防火墙安全程序控制设计
院(系):
机械电子工程系
专业班级:
通信工程
姓名:
学号:
指导教师:
2011年12月22日
专业班级:
学生姓名:
指导教师(签名):
一、课程设计(论文)题目
防火墙安全控制程序设计
二、本次课程设计(论文)应达到的目的
通过课程设计让学生较深入地理解信息网技术在通信工程专业系列课程中的地位、作用和意义;加深对基本概念和基本原理的理解和应用,并能够用所学知识分析、初步设计和解决与网络应用相关的现实技术问题,在实践中能够举一反三。
三、本次课程设计(论文)任务的主要内容和要求(包括原始数据、技术参数、设计要求等)
1)防火墙安全控制的研究和分析,掌握网络安全系统的基本原理和常用的实现技术;
2)要求能够动态建立网络白名单和黑名单,在IP报文传输中增加对源IP地址和目的IP地址的审计与过滤功能。
3)系统整体设计架构和实现方法、系统框图和主要模块的说明;
4)主要模块的编程实现以及关键数据结构说明等;
5)建议采用VC6.0或VB6.0开发工具,采用Socket编程。
四、应收集的资料及主要参考文献:
1、张尧学等编著,计算机网络与Internet教程(第三版).北京:
清华大学出版社,2001
2、InternetworkingwithTCP/IP(Vol.1,Vol.2,Vol.3)PrenticeHallInternational,Inc.1995(《TCP/IP网络互连技术》卷1、卷2、卷3,清华大学出版社影印版,1998)。
3、谢希仁主编,《计算机网络》(第三版),北京:
电子工业出版社,2000。
五、审核批准意见
教研室主任(签字)
摘要
随着计算机网络的饿普及和发展,以及政府和企业信息化艰涩步伐的加快,现有企业的网络体系结构越来越复杂。
复杂的网络结构暴露了众多的安全隐患,对网络安全的需求以前所未有的速度迅猛增长。
如何试网络安全满足业务的高速推进,成为越来越热门的话题。
安全的网络系统对于现代企业来说是日常办公和业务应用的支撑体系。
很多企业曾饱尝网络系统遭受攻击的痛苦,意识到网络安全的重要性,实施了简单的基于防火墙技术的安全解决策略,但绝大多数企业还处于观望阶段,或者出于一种调研阶段。
尽管企业网络与个人网络所存在的主要安全隐患一样们都是计算机病毒感染、木马和恶意程序的入侵和黑客攻击,但企业网络安全与个人计算机的网络安全相比,安全防护的重要性药高许多。
一旦存在这些安全隐患。
企业网络的损失可能是无法估计的。
毕竟个人用户最多只是个人的计算机系统损坏,或者数据丢失,而对于企业网络远没有这么简单。
企业网络一旦受到威胁,就可能使整个网络无法正常工作,服务器系统瘫痪,甚至所有网络数据损坏或丢失,其损失可能是灾难性的。
作为网络管理员,应当根据当前的安全形式认清企业网络中主要需要防范的安全隐患。
而不要以个人计算机网络安全来概括企业网络安全。
正是基于企业网络安全的重要性,企业网络安全防护成本要远比个人网络高。
在个人计算机的网络安全防护中通常只是安全个人版病毒防护程序和软件防火墙,而在企业网络中。
仅靠这些事远远不够的。
企业网络中通常部署的是硬件防火墙、网络版病毒防护程序和其他诸如入侵检测系统、网络隔离设备等。
同时,部署企业网络的容灾系统也是非常必要要的,因为它是一切安全防护措施的最后的防线。
关键词:
防火墙,网络安全,控制程序
Abstract
Withthepopularityofcomputernetworkshungryanddevelopment,andgovernmentandbusinessinformationincomprehensibleaccelerationofexistingenterprisenetworkarchitecturemorecomplex.Complexnetworkstructuresexposedalargenumberofsecurityrisks,thedemandfornetworksecurityrapidgrowthatanunprecedentedrate.Howtotesthigh-speednetworksecuritytomeetthebusinessforwardandbecomeincreasinglyhottopic.Networksecurityisamodernenterprisesystemforthedailyofficeandbusinessapplicationssupportsystem.Manycompanieshavesufferedthepainofnetworkattack,realizetheimportanceofnetworksecurity,implementationofasimplefirewalltechnologybasedsecuritysolutionsstrategy,butthevastmajorityofenterprisesarestillinawaitstage,oroutofaresearchphase.
Althoughthecorporatenetworkandthepersonalnetworkasthemainsecurityriskstheyareinfectedwithcomputerviruses,Trojansandmalwareintrusionandhackerattacks,buttheenterprisenetworksecurityandnetworksecuritycomparedtothepersonalcomputer,theimportanceofdrughighsecuritymany.Oncetheexistenceofthesesecurityrisks.Thelossofenterprisenetworkmaynotbeestimated.Afterall,mostindividualsonlyapersonalcomputersystemdamage,orlossofdata,andforthecorporatenetworkisnotthatsimple.Oncethethreattocorporatenetworks,youcanmaketheentirenetworkdoesnotwork,theserversystemfailures,datacorruptionorevenlossofallnetwork,itslosscouldbecatastrophic.Asanetworkadministrator,securityshouldbebasedonthecurrentformofclearunderstandingofthekeyneedsofenterprisenetworksagainstsecurityrisks.Ratherthanapersonalcomputernetworksecuritytogeneralcorporatenetworksecurity.
Keywords:
firewall,networksecurity,controlprocedures
目录
1引言………………………………………………………………………………1
1.1课题设计背景…………………………………………………………………1
1.2防火墙安全控制程序的概念…………………………………………………1
1.3防火墙安全控制程序设计意义………………………………………………3
2防火墙安全控制程序设计原理…………………………………………………4
2.1基本原理………………………………………………………………………4
2.2拓扑图及其分析………………………………………………………………4
2.3防火墙部署方案………………………………………………………………5
3防火墙安全控制程序设计概况…………………………………………………7
4防火墙安全控制程序实现………………………………………………………8
4.1防火墙安全控制的研究和分析………………………………………………8
4.2网络安全系统的基本原理……………………………………………………9
4.3常用的实现技术………………………………………………………………9
4.4防火墙安全控制程序的滤过功能……………………………………………11
4.5系统整体设计架构和实现方法………………………………………………12
4.6主要模块的编程实现…………………………………………………………17
5结论………………………………………………………………………………20
参考文献……………………………………………………………………………22
1引言
1.1课题设计背景
随着计算机网络的饿普及和发展,以及政府和企业信息化艰涩步伐的加快,现有企业的网络体系结构越来越复杂。
复杂的网络结构暴露了众多的安全隐患,对网络安全的需求以前所未有的速度迅猛增长。
如何试网络安全满足业务的高速推进,成为越来越热门的话题。
安全的网络系统对于现代企业来说是日常办公和业务应用的支撑体系。
很多企业曾饱尝网络系统遭受攻击的痛苦,意识到网络安全的重要性,实施了简单的基于防火墙技术的安全解决策略,但绝大多数企业还处于观望阶段,或者出于一种调研阶段。
尽管企业网络与个人网络所存在的主要安全隐患一样们都是计算机病毒感染、木马和恶意程序的入侵和黑客攻击,但企业网络安全与个人计算机的网络安全相比,安全防护的重要性药高许多。
一旦存在这些安全隐患。
企业网络的损失可能是无法估计的。
毕竟个人用户最多只是个人的计算机系统损坏,或者数据丢失,而对于企业网络远没有这么简单。
企业网络一旦受到威胁,就可能使整个网络无法正常工作,服务器系统瘫痪,甚至所有网络数据损坏或丢失,其损失可能是灾难性的。
作为网络管理员,应当根据当前的安全形式认清企业网络中主要需要防范的安全隐患。
而不要以个人计算机网络安全来概括企业网络安全。
正是基于企业网络安全的重要性,企业网络安全防护成本要远比个人网络高。
在个人计算机的网络安全防护中通常只是安全个人版病毒防护程序和软件防火墙,而在企业网络中。
仅靠这些事远远不够的。
企业网络中通常部署的是硬件防火墙、网络版病毒防护程序和其他诸如入侵检测系统、网络隔离设备等。
同时,部署企业网络的容灾系统也是非常必要要的,因为它是一切安全防护措施的最后的防线。
1.2防火墙安全控制程序的概念
所防火墙是指隔离在本地网络与外地网络之间的一道防御系统,防火墙是这一类防范措施的总称。
如果一个网络与因特网相连,那么在这个网络之内的用户就可以访问外部世界并与之通信。
但同时,外部世界也可以访问该网络并与之交互。
为安全起见,可以在该网络和因特网之间插入一个中介系统,竖起一个安全屏障。
这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。
它的作用与古时候的防火砖墙有类似之处,因此我们把这个屏障就叫做”防火墙”。
防火墙的主要目的是防止外部网络的未授权访问。
它是不同网络或网络安全域之间信息的唯一出入口,可按照用户事先规定的方案控制信息的流入和流出。
且本身具有较强的抗攻击能力,可以监督和控制使用者的操作。
使用户可以安全使用网络,并避免受到黑客的袭击,此外还提供信息安全服务,实现网络和信息安全。
它是设置在不同网络或网络安全域之间的由软件或硬件设备组合而成的装置,限制因特网用户对内部网络的访问以及管理内部用户访问外部的权限。
换言之,防火墙在一个被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络之间提供一个封锁工具。
也可以说成是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
国际标准化组织将“计算机安全”定义为:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。
上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
1.3防火墙控安全控制程序的设计意义
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或者是不合适的口令选择。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,从而迫使单位强化自己的网络安全政策。
一般的防火墙都可以达到以下目的:
①限制他人进入内部网络,过滤掉不安全的服务和非法用户;②防止入侵者接近内部网络的防御设施;③限制人们访问特殊站点;④为监视Internet安全提供方便。
由于防火墙是一种被动技术,因此对内部的非法访问难以有效控制,防火墙适合于相对独立的网络。
由于防火墙是网络安全的一个屏障,因此一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络安全环境变得更安全。
例如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙还可以同时保护网络免受基于路由的攻击。
而网络安全控制是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。
计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。
目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。
蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。
但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。
这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。
从Web程序的控制程序到内核级Rootlets。
黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
2防火墙安全控制程序设计原理
2.1基本原理
天下的防火墙至少都会说两个词:
接受或者拒绝。
最简单的防火墙是以太网桥,但几乎没有人会认为这种原始防火墙能有多大用处。
大多数防火墙采用的技术和标准各式各样。
这些防火墙的形式也多种多样:
有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。
还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。
还有~些基于硬件的防火墙产品其实应该归入安全路由器一类。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:
分析出入防火墙的数据包,决定接受还是拒绝。
所有的防火墙都具有IP地址过滤功能。
这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。
接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。
在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
2.2拓扑图及其分析
图1防火墙分析拓扑图
企业按部门划分vlan企业的部门分为经理部、销售部、人力资源部、后勤部、财政部、行政部、科研部,每个部门为一个vlan相互之间互不影响,经理部可以查看其他各部门的计算机,其他部门只能查看除了经理部和财政部以外的部门计算机。
各部门的计算机通过接入层交换机连接到汇聚层交换机,然后介入核心交换机。
Web服务器、dns服务器、dhcp服务器、email服务器等构成一个dmz然后与核心交换机相连,核心交换机通过防火墙与路由器相连,路由器介入Internet。
2.3防火墙部署方案
设计中采用包过滤防火墙,在内部网络与Internet的接点处设置了包过滤防火墙,起到保护内部网络的作用。
包过滤防火墙也称为访问控制表或屏蔽路由器,它通过查看所流经的数据包,根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否让该数据包通过。
包过滤防火墙的优点是处理速度快(因为包过滤防火墙工作在IP层和TCP层)、费用低(许多路由软件已包含)、对用户透明(不需要用户在客户端做任何程序改动)、价格便宜。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。
具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
包过滤是在IP层实现的,包过滤根据数据包的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,为阻断所有进入特定服务的链接,防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
之所以采用包过滤防火墙主要出于以下几点的考虑:
1.对于一个小型的、不太复杂的站点,包过滤比较容易实现。
2.过滤路由器工作在IP层和TCP层,所以处理包速度比代理服务器快。
3.路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。
因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。
所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。
4.滤路由器在价格上一般比代理服务器便宜。
包过滤的原则:
(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。
大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
(3)包过滤规则以特殊的方式存储。
应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。
(5)若一条规则允许包传输或接收,则此包便可以被继续处理。
(6)若包不满足任何一条规则,则此包便被阻塞。
3防火墙安全控制程序设计的概况
通过课程设计让学生较深入地理解信息网技术在通信工程专业系列课程中的地位、作用和意义随着计算机网络的饿普及和发展,以及政府和企业信息化艰涩步伐的加快,现有企业的网络体系结构越来越复杂。
复杂的网络结构暴露了众多的安全隐患,对网络安全的需求以前所未有的速度迅猛增长。
如何试网络安全满足业务的高速推进,成为越来越热门的话题。
安全的网络系统对于现代企业来说是日常办公和业务应用的支撑体系。
很多企业曾饱尝网络系统遭受攻击的痛苦,意识到网络安全的重要性,实施了简单的基于防火墙技术的安全解决策略,但绝大多数企业还处于观望阶段,或者出于一种调研阶段。
尽管企业网络与个人网络所存在的主要安全隐患一样们都是计算机病毒感染、木马和恶意程序的入侵和黑客攻击,但企业网络安全与个人计算机的网络安全相比,安全防护的重要性药高许多。
一旦存在这些安全隐患。
企业网络的损失可能是无法估计的。
毕竟个人用户最多只是个人的计算机系统损坏,或者数据丢失,而对于企业网络远没有这么简单。
企业网络一旦受到威胁,就可能使整个网络无法正常工作,服务器系统瘫痪,甚至所有网络数据损坏或丢失,其损失可能是灾难性的。
作为网络管理员,应当根据当前的安全形式认清企业网络中主要需要防范的安全隐患。
而不要以个人计算机网络安全来概括企业网络安全。
正是基于企业网络安全的重要性,企业网络安全防护成本要远比个人网络高。
在个人计算机的网络安全防护中通常只是安全个人版病毒防护程序和软件防火墙,而在企业网络中。
仅靠这些事远远不够的。
企业网络中通常部署的是硬件防火墙、网络版病毒防护程序和其他诸如入侵检测系统、网络隔离设备等。
同时,部署企业网络的容灾系统也是非常必要要的,因为它是一切安全防护措施的最后的防线。
4防火墙安全控制程序的实现
4.1防火墙安全控制的研究和分析
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。
绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
防火墙主要有三个特性:
①
1所有的通信都经过防火墙
2防火墙只放行经过授权的网络流量
3防火墙能经受住的对其本身的攻击
我们可以把防火墙看成是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),或一台多个网络接口的计算机、服务器
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 安全 程序控制 设计 论文
![提示](https://static.bingdoc.com/images/bang_tan.gif)