防火墙课程设计报告书.docx
《防火墙课程设计报告书.docx》由会员分享,可在线阅读,更多相关《防火墙课程设计报告书.docx(19页珍藏版)》请在冰点文库上搜索。
防火墙课程设计报告书
1.课题研究的目的和意义
1.1防火墙安全控制的背景
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。
公安机关受理各类信息网络犯罪案件逐年剧增,尤其以电子、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。
由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国一些较大的系统集成商负责。
有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。
缺乏必要的技术设施和相关处理经验。
也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防病毒阶段,对网络安全缺乏整体意识。
随着网络的逐步普及,网络安全的问题已经日益突。
它关系到互连网的进一步发展和普及,甚至关系着互连网的生存。
目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰,而与此同时,更让人不安的是,互连网上病毒和黑客的联姻、不断增多的黑客,使学习黑客技术、获得黑客攻击工具变的轻而易举。
这样,使原本就十分脆弱的互连网越发显得不安全。
1.2防火墙安全控制的目的
一般的防火墙都可以达到以下目的:
①限制他人进入部网络,过滤掉不安全的服务和非法用户;②防止入侵者接近部网络的防御设施;③限制人们访问特殊站点;④为监视Internet安全提供方便。
由于防火墙是一种被动技术,因此对部的非法访问难以有效控制,防火墙适合于相对独立的网络。
由于防火墙是网络安全的一个屏障,因此一个防火墙能极提高一个部网络的安全性,并通过过滤不安全的服务来降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络安全环境变得更安全。
例如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击部网络。
防火墙还可以同时保护网络免受基于路由的攻击。
而网络安全控制是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。
计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。
1.3防火墙安全控制的意义
现在网络的观念已经深入人心,越来越多的人们通过网络来了解世界,人们的日常生活也越来越依靠网络进行。
同时网络攻击也愈演愈烈,时刻威胁着用户上网安全,网络与信息安全已经成为当今社会关注的重要问题之一。
正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。
在互连网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问,而有效的控制用户的上网安全。
防火墙是实施网络安全控制得一种必要技术,它是一个或一组系统组成,它在网络之间执行访问控制策略。
实现它的实际方式各不相同,但是在原则上,防火墙可以被认为是这样同一种机制:
拦阻不安全的传输流,允许安全的传输流通过。
特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息,仅让安全的、核准了的信息进入;它可以限制他人进入部网络,过滤掉不安全服务和非法用户;它可以封锁特洛伊木马,防止数据的外泄;它可以限定用户访问特殊站点,禁止用户对某些容不健康站点的访问;它还可以为监视互联网的安全提供方便。
现在国外的优秀防火墙不但能完成以上介绍的基本功能,还能对独特的私人信息保护如防止密码泄露、对容进行管理以防止小孩子或员工查看不合适的网页容,允许按特定关键字以及特定网地进行过滤等、同时还能对DNS缓存进行保护、对Web页面的交互元素进行控制如过滤不需要的GIF,Flash动画等界面元素。
随着时代的发展和科技的进步防火墙功能日益完善和强大,但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。
但不管如何变化防火墙仍然是网络安全必不可少的工具之一。
2.防火墙安全控制程序原理
2.1防火墙安全控制概念
防火墙【1】的本义原是指古代人们在建造木制结构的房屋时,为防止火灾时不会蔓延到别的房屋而在房屋周围堆砌的石块,而计算机网络中所说的防火墙,是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防措施的总称。
所谓防火墙指的是一个由软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关【2】(SecurityGateway),从而保护部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信均要经过此防火墙。
2.2防火墙安全控制基本原理
最简单的防火墙是以太网桥,一些应用型的防火墙只对特定类型的网络连接提供保,还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。
因为他们的工作方式都是一样的:
分析出入防火墙的数据包,决定接受还是拒绝。
所有的防火墙都具有IP地址过滤功能。
这项任务要检查IP,根据其IP源地址和目标地址作出放行/丢弃决定。
防火墙就如一道墙壁,把部网络(也称私人网络)和外部网络(也称公共网络)隔离开,起到区域网络不同安全区域的防御性设备的作用。
例如:
互联网络(internet)与企业部网络(intranet)之间,如图2-1所示。
图2-1部网络和外部网络
其中DMZ(demilitarizedzone)【3】的缩写中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业部网络和外部网络之间的小网络区域,在这个小网络区域可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
根据已经设置好的安全规则,决定是允许(allow)或者拒绝(deny)部网络和外部网络的连接,如图2-2所示。
2.3防火墙安全控制常用技术
2.3.1防火墙技术
网络安全所说的防火墙(FireWall)是指部网和外部网之间的安全防系统。
它使得部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护部网络。
防火墙通常安装在部网与外部网的连接点上。
所有来自Internet(外部网)的传输信息或从部网发出的信息都必须穿过防火墙。
图2-2部网络与外部网络的连接
2.3.2数据加密技术
数据加密【4】技术就是对信息进行重新编码,从而隐藏信息容,使非法用户无法获取信息、的真实容的一种技术手段。
数据加密技术是为提高信息系统及数据的安全性和性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。
数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据容进行验证,达到的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
2.3.3系统容灾技术
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。
集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。
其中异地集群网络的容灾性是最好的。
存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。
随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
2.3.4入侵检测技术
入侵检测【5】技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。
通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。
同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。
2.4防火墙安全控制程序对源IP地址和目的IP过滤功能
所有基于Windows操作系统的个人防火墙核心技术在于Windows操作系统下数据包拦截技术。
包过滤系统工作在OSI模型中的网络层,可以根据数据包报头等信息来制定规则。
数据包过滤是包过滤路由器可以决定对它所收到的每个数据包的取舍。
是基于路由器技术的,建立在网络层、传输层上。
路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。
包过滤规则即访问控制表,通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。
如果找到一个匹配,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发。
如果找到一个与规则不相匹配的,且规则拒绝此数据包,则该数据包将被舍弃。
包过滤系统的工作流程图如图2-3所示
图2-3防火墙过滤系统工作流程
3.防火墙安全控制程序总体结构
3.1防火墙安全控制程序设计整体架构
如图3-1所示,如果部网络地址为10.0.1.1的主机希望访问Internet上地址为202.0.1.1的Web服务器,那么它就会产生一个源地址S=10.0.1.1,目的地址为202.0.1.1的分组为1。
NAT常与代理、防火墙技术一起使用。
在防火墙中起到了重要的作用。
图3-1工作原理图
防火墙安全控制程序设计的实现框图如图3-2所示:
3.2防火墙安全控制拓扑图及其分析
分层设计将一个规模较大的网络系统分为几个较小的层次,这些层次之间既相对独立又相对关联,他们之间可以看做是一个层次叠加的关系。
每一层都有自己特定的作用。
核心层主要高速处理数据流,提供节点之间的高速数据转发,优化传输链路,并实现安全通信。
从网络设计来看,它的结构相对简单,但是对核心层的设备性能的十分严格。
一般采用高性能的多层模块化交换机,并要尽量减少核心层的路由器配置的复杂程度,并且核心层设备应该具有足够的路由信息,将数据包发往网络中的任意目的主机。
图3-2防火墙安全控制程序设计实现框图
汇聚层主要提供基于策略的网络连接,负责路由聚合,收敛数据流量,将网络服连接到接入层。
汇聚层是核心层与接入层的分界面,接入层经常处于变化之中,为了避免接入层的变化对核心层的影响,可以利用汇聚层隔离接入层拓扑结构的变化,是核心层的交换机处于稳定,不受外界的干扰。
图3-3防火墙安全控制拓扑图
接入层为用户提供网络访问功能,并负责将网络流量馈入到汇聚层,执行用户认证和访问控制,并提供相关的网络服务。
接入层一般采用星型的拓扑结构,而且一般不提供路由功能,也不进行路由信息的交换。
通过这样三层的网络设计,可以将网络分解程序多的小单元,降低了网络的整体复杂性;可以使网络更容易的处理广播风暴、信号循环问题;而且分层的设计模型降低了设备配置的复杂性,网络故障也会更容易的排除,是网络更容易的管理,使企业的网络更安全、稳定。
3.3防火墙防火墙安全控制部署方案
防火墙是一个或一组系统,隔离堡垒主机通过运行在其上面的防火墙软件,控制应用程序的转发以及提供其他服务,它在网络之间执行访问控制策略,同时也是一种综合性的技术,涉及计算机网络技术、密码技术安全技术、软件技术、安全协议、网络标准化组织的服务。
防火墙的主要实现功能:
1.防止外部的IP地址欺骗:
IP地址欺骗是一种常见的对企业部服务器的攻击手段外部网的攻击者将其数据包的源地址伪装成部网合法的IP地址或Loopback地址,以绕过防火墙,实现非法访问。
可以在防火墙的全局和接口配置中,通过命令来实现防止外部IP地址的欺骗.
2.控制部网的非法IP地址进入外部网;通过设置访问列表,可以控制部网的哪些机器可以进入外部网,哪些机器不可以进入外部网,保障部网的安全和可靠。
3.对部网资源主机的访问控制:
企业部网的服务器是非法访问者的重点攻击对象,同时它又必须为外部用户提供一定的服务,对于特定的服务器,可以只允许访问特定的服务。
也就是说,对于Web服务器只允许访问Web服务;而对FTP服务器,只允许访问FTP服务。
4.防止外部的ICMP重定向欺骗
5.防止外部的资源路由选择欺骗
6.对拨号上网用户的访问控制
7.防止部用户盗用IP方法
8.防止对路由器的攻击
9.部网络流量的控制
防火墙的核心技术:
包过滤防火墙【6】。
包过滤防火墙也称为访问控制表或屏蔽路由器,它通过查看所流经的数据包,根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否让该数据包通过。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。
具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
包过滤是在IP层实现的,包过滤根据数据包的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,为阻断所有进入特定服务的,防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
包过滤的原则:
(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。
大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
(3)包过滤规则以特殊的方式存储。
应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。
(5)若一条规则允许包传输或接收,则此包便可以被继续处理。
(6)若包不满足任何一条规则,则此包便被阻塞。
4.防火墙安全控制程序详细设计
4.1开发环境
VisualC++6.0【7】简称VC或者VC6.0.是一个基于Windows操作系统的可视化集成开发环境(integrateddevelopmentenvironment,IDE)。
VisualC++6.0由许多组件组成,包括编辑器、调试器以及程序向导AppWizard、类向导ClassWizard等开发工具。
这些组件通过一个名为DeveloperStudio的组件集成为和谐的开发环境。
VisualC++它大概可以分成三个主要的部分:
DeveloperStudio,这是一个集成开发环境,我们日常工作的99%都是在它上面完成的,DeveloperStudio提供了一个很好的编辑器和很多Wizard,但实际上它没有任何编译和程序的功能。
MFC,从理论上来讲,MFC也不是专用于VisualC++,BorlandC++,C++Builder和SymantecC++同样可以处理MFC。
PlatformSDK,这才是VisualC++和整个VisualStudio的精华和灵魂,PlatformSDK是以MicrosoftC/C++编译器为核心,配合MASM,辅以其他一些工具和文档资料。
4.2防火墙安全控制程序的实现方法
这次设计的重点在于防火墙安全控制程序的配置,在配置防火墙的过程中,重点在于设置NAT和ACL,NAT用来配置网计算机访问外网时的地址转换,保证网与外网的计算机相互之间能够成功地访问对方。
ACL是访问控制,主要用来设置网计算机的访问权限,通过配置ACL,可以禁止或允许网中的计算机之间的相互访问以及网计算机访问外网。
防火墙是在网和外网中设置的气到网络安全的。
实现防火墙技术的实验就需要建立部网络、外部网络,部网络和外部网络中的局域网都是通过交换机来设计的。
首先是部网络是将PC2、Edge和Core连接起来,然后利用超级终端软件对各个设备进行配置,配置如下:
首先在PC2计算机中对网络地址进行配置,IP地址设置为10.10.10.15,子网掩码为255.255.255.0;其次对交换机2626B进行配置,将其分为多个局域网,此次实验只分配Vlan1,其IP地址的10.1.1.3/24。
其次是对HPProCurve5308xl三层交换机,其背板交换引擎速度为76.8Gbps,吞吐量高达48mpps,并配置双冗余电影,保证核心层高速、可靠的三层交换;给它配置两个Vlan,Vlan1的地址为10.1.1.1/24,Vlan10的地址为10.10.110.1/24,并在vlan10上配置中继端口B1,在vlan1上配置中继端口在vlan10上配置中继端口B2,启用三层转发协议。
在部网络的各个设备设置完后,尝试使用PC2ping7102A的出口地址,但是因为缺少路由,所以ping不通。
所以我们还需要在5308上写上网默认路由,在7102A上添加10.10.110.0网络的出口路由,指令如下:
Core(config)#Iproute0.0.0.00.0.0.010.1.1.2
NAT(config)#Iproute10.10.10.15255.255.255.010.1.1.1
添加上默认路由后,部网络即构建完毕。
如果从PC2ping7102A的出口地址10.1.1.2,不通的话,还需要认真的检查确保各vlan或端口之间的tagged和untagged配置是否正确。
4.3主要模块的程序实现
具体程序如下:
typedefstructIpHeader
{UCHARiphVerLen;//版本号和头长度
UCHARipTos;//服务类型
USHORTipLength;//总的数据包大小
USHORTipID;//特殊标识符
USHORTipFlags;//标志
USHORTipTTL;//生存期
UCHARipProtocol;//协议
USHORTipChecksum;//数据包检验和
ULONGipSource;//源地址
ULONGipDestination;//目的地址
}IPPacket;
(2)TCP数据包数据结构
TCP数据定义:
typedefstruct_TCPHeader
{USHORTsourcePort;//源端口号
USHORTdestinationPort;//目的端口号
ULONGsequenceNumber;//序号
ULONGacknowledgeNumber;//确认序号
UCHARdataoffset;//数据指针
UCHARflags;//标志
USHORTwindows;//窗口大小
USHORTchecksum;//校验和
USHORTurgentPointer;//紧急指针
}TCPHeader;
(3)UDP数据包数据结构
UDP数据定义:
typedefstruct_UDPHeader
{USHORTsourcePort;//源端口号
USHORTdestinationPort;//目的端口号
USHORTlen;//封包长度
USHORTchecksum;//校验和
}UDPHeader;
(4)过滤规则的设计
过滤规则定义:
structCIPFilter
{USHORTprotocol;//使用的协议
ULONGsourceIP;//源IP地址
ULONGdestinationIP;//目标IP地址
ULONGsourceMask;//源地址屏蔽码
ULONGdestinationMask;//目的地址屏蔽码
USHORTsourcePort;//源端口号
USHORTdestinationPort;//目的端口号
BOOLEANbDrop;//是否丢弃此封包
};
规则列表定义:
structCFilterList
{CIPFilteripf;//过滤规则
CFilterList*pNext;//指向下一个CFilterList结构
};
5.系统结果与分析
在超级终端上的命令是:
2626B(config)#Vlan1
2626B(Vlan-1)#ipaddress10.1.1.3/24
2626B(Vlan-1)#Vlan110tagged25
调试结果如图5-1所示:
图5-1调试结果
设置局域网Vlan1:
Core(config)#Vlan1
Core(Vlan-1)#ipaddress10.1.1.1/24
Core(Vlan-1)#taggedB2
设置局域网Vlan10:
Core(config)#Vlan10ipaddress10.10.110.1/24
Core(config)#Vlan110taggedB1
调试结果如图5-2所示:
给7102的两个以太网口配置地址,并激活。
ETH0/1的地址为10.1.1.2/24,ETH0/2的地址为202.100.1.2/24,指令如下:
NAT(config)#interfaceEthernet0/1
NAT(config-eth0/1)#ipaddress10.1.1.2255.255.255.0
NAT(config-eth0/1)#noshutdown
NAT(config)#interfaceEthernet0/2
NAT(config-eth0/2)#ipaddress202.100.1.2255.255.255.0
运行如图5-3所示:
图5-2调试结果
图5-3调试结果
6.总结与展望
6.1总结
课程设计是培养学生综合运用所学知识,发现,提出,分析和解决实际问题,锻炼实践能力的重要环节,是对学生实际工作能力的具体训练和考察过程.
回顾起此次课程设计,至今我仍感慨颇多,从理论到实践,在整整两星期的日子里,不仅巩固了以前所学过的知识,而且学到了很多在书本上所没有学到过的知识。
这次课程设计使我懂得了理论与实际相结合是很重要的,只有把所学的理论知识与实践相结合起来,才能提高自己的实际动手能力和独立思考的能力。
我们通过查阅大量有关资料,并在小组中互相讨论,交流经验和自学,若遇到实在搞不明白的问题就会及时请教老师,使自己学到了不少知识,收获同样巨大。
也使我也发现了自身存在的不足之处,理论知识掌握不够,运用到实践的过程中就会有很多困惑,经过一番努力才得以解决。
这也激发了我今后努力学习的兴趣,我想这将对我以后的学习产生积极的影响。
通过这次设计,我懂得了学习的重要性,了解到理论知识与实践相结合的重要意义,学会了坚持、耐心和努力,这将为自己今后的学习和工作做出了最好的榜样
6.2展望
网络已成为人们生活当息来源不可缺少的一部分,网络的安全是每位用户必须了解的常识,可见人们追求的操作系统不仅仅是新鲜、易用,更多的是安全、稳定、高效、免费、开源。
未来防火墙的发展方向:
第一,防火墙的性能
升级会员 