防火墙课程设计文档格式.docx

1、防火墙安全控制的背景据了解，从1997年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验。也正是由于受技术条件的限制，很多人对网络安全的意

2、识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。随着网络的逐步普及，网络安全的问题已经日益突。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰，而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。防火墙安全控制的目的一般的防火墙都可以达到以下目的：限制他人进入内部网络，过滤掉不安全的服务和非法用户；防止入侵者接近内部网络的防御设施；限制人们访问特殊站点；为监视Internet安全提供方便。由于防火墙是一种被动

3、技术，因此对内部的非法访问难以有效控制，防火墙适合于相对独立的网络。由于防火墙是网络安全的一个屏障，因此一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络安全环境变得更安全。例如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙还可以同时保护网络免受基于路由的攻击。而网络安全控制是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂

4、性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。防火墙安全控制的意义现在网络的观念已经深入人心，越来越多的人们通过网络来了解世界，人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已经成为当今社会关注的重要问题之一。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。在互连网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域（即或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍人们对风险区域的访问，而有效的控制用户的上网安全。防火墙是实施网络安全控制得一种必要技术，它是一个或一组系统组成，它在网络之间执

5、行访问控制策略。实现它的实际方式各不相同，但是在原则上，防火墙可以被认为是这样同一种机制：拦阻不安全的传输流，允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息，仅让安全的、核准了的信息进入；它可以限制他人进入内部网络，过滤掉不安全服务和非法用户；它可以封锁特洛伊木马，防止机密数据的外泄；它可以限定用户访问特殊站点，禁止用户对某些内容不健康站点的访问；它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙不但能完成以上介绍的基本功能，还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止小孩子或员工查看不合适的网页内容，允许按特定关键字以及特定

6、网地进行过滤等、同时还能对DNS缓存进行保护、对Web页面的交互元素进行控制如过滤不需要的GIF，Flash动画等界面元素。随着时代的发展和科技的进步防火墙功能日益完善和强大，但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。2.防火墙安全控制程序原理防火墙安全控制概念防火墙【1】的本义原是指古代人们在建造木制结构的房屋时，为防止火灾时不会蔓延到别的房屋而在房屋周围堆砌的石块，而计算机网络中所说的防火墙，是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部

7、网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使与Intranet之间建立起一个安全网关【2】（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙安全控制基本原理最简单的防火墙是以太网桥，一些应用型的防火墙只对特定类型的网络连接提供保，还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。因为他们的工作方式都是一样的：分析出入防火墙

8、的数据包，决定接受还是拒绝。所有的防火墙都具有地址过滤功能。这项任务要检查包头，根据其源地址和目标地址作出放行丢弃决定。防火墙就如一道墙壁，把内部网络（也称私人网络）和外部网络（也称公共网络）隔离开，起到区域网络不同安全区域的防御性设备的作用。例如：互联网络（internet）与企业内部网络（intranet）之间，如图2-1所示。图内部网络和外部网络其中DMZ（demilitarizedzone）【3】的缩写中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络

9、之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。根据已经设置好的安全规则，决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接，如图2-2防火墙安全控制常用技术2.3.1防火墙技术网络安全所说的防火墙（FireWall）是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自

10、Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。内部网络与外部网络的连接2.3.2数据加密技术数据加密【4】技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的

11、是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。2.3.3系统容灾技术集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成的数据存储系统，是数据技术发展的重要阶段。随着存储网络化时代的发展，传统的功能单一的存储器，将越来越让位于一体化的多功能网络存储器。2

12、.3.4入侵检测技术入侵检测【5】技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。防火墙安全控制程序对源地址和目的过滤功能所有基于Windows操作系统的个人防火墙核心技术在于操作系统下数据包拦截技术。包过滤系统工作在

13、OSI模型中的网络层，可以根据数据包报头等信息来制定规则。数据包过滤是包过滤路由器可以决定对它所收到的每个数据包的取舍。是基于路由器技术的，建立在网络层、传输层上。路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。包过滤规则即访问控制表，通过检查每个分组的源地址、目的地址来决定该分组是否应该转发。如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个与规则不相匹配的，且规则拒绝此数据包，则该数据包将被舍弃。包过滤系统的工作流程图如图2-3所示2-3防火墙过滤系统工作流程3.防火墙安全控制程序总体结构防火墙安全控制程序设计整体架构如图3-1所示，

14、如果内部网络地址为10.0.1.1的主机希望访问上地址为202.0.1.1的服务器，那么它就会产生一个源地址S=10.0.1.1，目的地址为的分组为1。NAT常与代理、防火墙技术一起使用。在防火墙中起到了重要的作用。工作原理图防火墙安全控制程序设计的实现框图如图3-2所示:防火墙安全控制拓扑图及其分析分层设计将一个规模较大的网络系统分为几个较小的层次，这些层次之间既相对独立又相对关联，他们之间可以看做是一个层次叠加的关系。每一层都有自己特定的作用。核心层主要高速处理数据流，提供节点之间的高速数据转发，优化传输链路，并实现安全通信。从网络设计来看，它的结构相对简单，但是对核心层的设备性能的十分严

15、格。一般采用高性能的多层模块化交换机，并要尽量减少核心层的路由器配置的复杂程度，并且核心层设备应该具有足够的路由信息，将数据包发往网络中的任意目的主机。防火墙安全控制程序设计实现框图汇聚层主要提供基于策略的网络连接，负责路由聚合，收敛数据流量，将网络服连接到接入层。汇聚层是核心层与接入层的分界面，接入层经常处于变化之中，为了避免接入层的变化对核心层的影响，可以利用汇聚层隔离接入层拓扑结构的变化，是核心层的交换机处于稳定，不受外界的干扰。3-3防火墙安全控制拓扑图接入层为用户提供网络访问功能，并负责将网络流量馈入到汇聚层，执行用户认证和访问控制，并提供相关的网络服务。接入层一般采用星型的拓扑结构

16、，而且一般不提供路由功能，也不进行路由信息的交换。通过这样三层的网络设计，可以将网络分解程序多的小单元，降低了网络的整体复杂性；可以使网络更容易的处理广播风暴、信号循环问题；而且分层的设计模型降低了设备配置的复杂性，网络故障也会更容易的排除，是网络更容易的管理，使企业的网络更安全、稳定。防火墙防火墙安全控制部署方案防火墙是一个或一组系统,隔离堡垒主机通过运行在其上面的防火墙软件，控制应用程序的转发以及提供其他服务，它在网络之间执行访问控制策略,同时也是一种综合性的技术，涉及计算机网络技术、密码技术安全技术、软件技术、安全协议、网络标准化组织的服务。防火墙的主要实现功能：1.防止外部的地址欺骗：

17、地址欺骗是一种常见的对企业内部服务器的攻击手段外部网的攻击者将其数据包的源地址伪装成内部网合法的地址或Loopback地址，以绕过防火墙，实现非法访问。可以在防火墙的全局和接口配置中，通过命令来实现防止外部地址的欺骗.2.控制内部网的非法地址进入外部网;通过设置访问列表，可以控制内部网的哪些机器可以进入外部网，哪些机器不可以进入外部网，保障内部网的安全和可靠。3.对内部网资源主机的访问控制：企业内部网的服务器是非法访问者的重点攻击对象，同时它又必须为外部用户提供一定的服务，对于特定的服务器，可以只允许访问特定的服务。也就是说，对于服务器只允许访问服务；而对FTP服务器，只允许访问服务。4.防止

18、外部的ICMP重定向欺骗5.防止外部的资源路由选择欺骗6.对拨号上网用户的访问控制7.防止内部用户盗用方法8.防止对路由器的攻击9.内部网络流量的控制防火墙的核心技术：包过滤防火墙【6】。包过滤防火墙也称为访问控制表或屏蔽路由器，它通过查看所流经的数据包，根据定义好的过滤规则审查每个数据包，并根据是否与规则匹配来决定是否让该数据包通过。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在层实现的，包过滤根据数据包的源地址、目的地址、协议类型（TCP包、UDP包、包）、源端口

19、、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定目的端口的包丢弃即可。包过滤的原则：（1）包过滤规则必须被包过滤设备端口存储起来。（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。（4）若一条规则阻止包传输或接收，则此包便不被允许。（5）若一条规则允许包传输或接收，

20、则此包便可以被继续处理。（6）若包不满足任何一条规则，则此包便被阻塞。4.防火墙安全控制程序详细设计开发环境VisualC+6.0【7】简称VC或者VC6.0.是一个基于操作系统的可视化集成开发环境（integrateddevelopmentenvironment，IDE）。C+6.0由许多组件组成，包括编辑器、调试器以及程序向导AppWizard、类向导ClassWizard等开发工具。这些组件通过一个名为DeveloperStudio的组件集成为和谐的开发环境。C+它大概可以分成三个主要的部分：Studio，这是一个集成开发环境，我们日常工作的99%都是在它上面完成的，Developer提

21、供了一个很好的编辑器和很多Wizard，但实际上它没有任何编译和链接程序的功能。MFC，从理论上来讲，MFC也不是专用于C+，BorlandC+，C+Builder和SymantecC+同样可以处理MFC。PlatformSDK，这才是C+和整个的精华和灵魂，PlatformSDK是以MicrosoftC/C+编译器为核心，配合MASM，辅以其他一些工具和文档资料。防火墙安全控制程序的实现方法这次设计的重点在于防火墙安全控制程序的配置，在配置防火墙的过程中，重点在于设置ACL，NAT用来配置内网计算机访问外网时的地址转换，保证内网与外网的计算机相互之间能够成功地访问对方。ACL是访问控制，主要

22、用来设置内网计算机的访问权限，通过配置ACL，可以禁止或允许内网中的计算机之间的相互访问以及内网计算机访问外网。防火墙是在内网和外网中设置的气到网络安全的。实现防火墙技术的实验就需要建立内部网络、外部网络，内部网络和外部网络中的局域网都是通过交换机来设计的。首先是内部网络是将PC2、EdgeCore连接起来，然后利用超级终端软件对各个设备进行配置，配置如下：首先在PC2计算机中对网络地址进行配置，IP地址设置10.10.10.15，子网掩码为255.255.255.0；其次对交换机2626B进行配置，将其分为多个局域网，此次实验只分配Vlan1，其地址的范10.1.1.3/24。其次是对HPP

23、roCurve5308xl三层交换机，其背板交换引擎速度为76.8Gbps，吞吐量高达48mpps，并配置双冗余电影，保证核心层高速、可靠的三层交换；给它配置两个Vlan，Vlan1的地址为10.1.1.1/24，Vlan1010.10.110.1/24，并在vlan上配置中继端口B1，在上配置中继端口在上配置中继端口B2，启用三层转发协议。在内部网络的各个设备设置完后，尝试使用ping7102A的出口地址，但是因为缺少路由，所以不通。所以我们还需要在5308上写上内网默认路由，在上添加10.10.110.0网络的出口路由，指令如下：Core（config）#Iproute0.0.0.010.

24、1.1.2（config）#Ip10.10.10.15255.255.255.010.1.1.1添加上默认路由后，内部网络即构建完毕。如果从的出口地址10.1.1.2，不通的话，还需要认真的检查确保各或端口之间的tagged和untagged配置是否正确。主要模块的程序实现具体程序如下：typedefstructIpHeaderUCHARiphVerLen；/版本号和头长度ipTos；服务类型USHORTipLength；总的数据包大小ipID；特殊标识符ipFlags；标志ipTTL；生存期ipProtocol；协议ipChecksum；数据包检验和ULONGipSource；源地址ipDestination；目的地址IPPacket；（2）TCP数据包数据结构TCP数据定义：struct_TCPHeadersourcePort；源端口号destinationPort；目的端口号sequenceNumber；序号acknowledgeNumber；确认序号dataoffset；数据指针flags；windows；窗口大小checksum；校验和urgentPointer；紧急指针TCPHeader；（3）UDP数据包数据结构UDP数据定义