防火墙课程设计.docx
《防火墙课程设计.docx》由会员分享,可在线阅读,更多相关《防火墙课程设计.docx(22页珍藏版)》请在冰点文库上搜索。
防火墙课程设计
1.课题研究的目的和意义 ........................................1
1.1 防火墙安全控制的背景 ...................................1
1.2 防火墙安全控制的目的 ...................................1
1.3 防火墙安全控制的意义 ...................................2
2.防火墙安全控制程序原理 ......................................4
2.1 防火墙安全控制概念 .....................................4
2.2 防火墙安全控制基本原理 .................................4
2.3 防火墙安全控制常用技术 .................................5
2.4 防火墙安全控制程序的 IP 过滤功能 .......................7A
3.防火墙安全控制程序总体结构 ..................................9
3.1 防火墙安全控制程序设计整体架构 .........................9
3.2 防火墙安全控制拓扑图及其分析 ..........................9
3.3 防火墙防火墙安全控制部署方案 ..........................11
4.防火墙安全控制程序详细设计 .................................14
4.1 开发环境 ..............................................14
4.2 防火墙安全控制程序的实现方法 ..........................14
4.3 主要模块的程序实现 ....................................15
5.系统结果与分析 .............................................18
6.总结与展望 .................................................20
6.1 总结 ..................................................20
6.2 展望 ..................................................20
参考文献 .....................................................22
1.课题研究的目的和意义
1.1 防火墙安全控制的背景
据了解,从 1997 年底至今,我国的政府部门、证券公司、银行等机构的计算机
网络相继遭到多次攻击。
公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以
电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。
由于我国大
量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各
行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国
内一些较大的系统集成商负责。
有些集成商仍缺乏足够专业的安全支撑技术力量,同
时一些负责网络安全的工程技术人员对许多潜在风险认识不足。
缺乏必要的技术设施
和相关处理经验。
也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在
如何防范病毒阶段,对网络安全缺乏整体意识。
随着网络的逐步普及,网络安全的问题已经日益突。
它关系到互连网的进一步发
展和普及,甚至关系着互连网的生存。
目前在互连网上大约有将近 80%以上的用户曾
经遭受过黑客的困扰,而与此同时,更让人不安的是,互连网上病毒和黑客的联姻、
不断增多的黑客网站,使学习黑客技术、获得黑客攻击工具变的轻而易举。
这样,使
原本就十分脆弱的互连网越发显得不安全。
1.2 防火墙安全控制的目的
一般的防火墙都可以达到以下目的:
①限制他人进入内部网络,过滤掉不安全的
服务和非法用户;②防止入侵者接近内部网络的防御设施;③限制人们访问特殊站点;
④为监视 Internet 安全提供方便。
由于防火墙是一种被动技术,因此对内部的非法访
问难以有效控制,防火墙适合于相对独立的网络。
由于防火墙是网络安全的一个屏障,
因此一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降
低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络安全环境变得
更安全。
例如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护的网络,
这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙还可以同时
保护网络免受基于路由的攻击。
而网络安全控制是指网络系统的硬、软件及系统中的
数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、
正常地运行,网络服务不中断。
计算机和网络技术具有的复杂性和多样性,使得计算
机和网络安全成为一个需要持续更新和提高的领域。
1.3 防火墙安全控制的意义
现在网络的观念已经深入人心,越来越多的人们通过网络来了解世界,人们的日
常生活也越来越依靠网络进行。
同时网络攻击也愈演愈烈,时刻威胁着用户上网安全,
网络与信息安全已经成为当今社会关注的重要问题之一。
正是因为安全威胁的无处不
在,为了解决这个问题防火墙出现了。
在互连网上防火墙是一种非常有效的网络安全
模型,通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)
的连接,同时不会妨碍人们对风险区域的访问,而有效的控制用户的上网安全。
防火
墙是实施网络安全控制得一种必要技术,它是一个或一组系统组成,它在网络之间执
行访问控制策略。
实现它的实际方式各不相同,但是在原则上,防火墙可以被认为是
这样同一种机制:
拦阻不安全的传输流,允许安全的传输流通过。
特定应用程序行为
控制等独特的自我保护机制使它可以监控进出网络的通信信息,仅让安全的、核准了
的信息进入;它可以限制他人进入内部网络,过滤掉不安全服务和非法用户;它可以
封锁特洛伊木马,防止机密数据的外泄;它可以限定用户访问特殊站点,禁止用户对
某些内容不健康站点的访问;它还可以为监视互联网的安全提供方便。
现在国外的优
秀防火墙不但能完成以上介绍的基本功能,还能对独特的私人信息保护如防止密码泄
露、对内容进行管理以防止小孩子或员工查看不合适的网页内容,允许按特定关键字
以及特定网地进行过滤等、同时还能对 DNS 缓存进行保护、对 Web 页面的交互元素
进行控制如过滤不需要的 GIF, Flash 动画等界面元素。
随着时代的发展和科技的进步
防火墙功能日益完善和强大,但面对日益增多的网络安全威胁防火墙仍不是完整的解
决方案。
但不管如何变化防火墙仍然是网络安全必不可少的工具之一。
2.防火墙安全控制程序原理
2.1 防火墙安全控制概念
防火墙【1】的本义原是指古代人们在建造木制结构的房屋时,为防止火灾时不会
蔓延到别的房屋而在房屋周围堆砌的石块,而计算机网络中所说的防火墙,是指隔离
在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专
用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是
一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关【2】
(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访
问规则、验证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于计算机和
它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信均要经过此防
火墙。
2.2 防火墙安全控制基本原理
最简单的防火墙是以太网桥,一些应用型的防火墙只对特定类型的网络连接提供
保,还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。
因为他们的工作
方式都是一样的:
分析出入防火墙的数据包,决定接受还是拒绝。
所有的防火墙都具
有 IP 地址过滤功能。
这项任务要检查 IP 包头,根据其 IP 源地址和目标地址作出放行
/丢弃决定。
防火墙就如一道墙壁,把内部网络(也称私人网络)和外部网络(也称公共网络)
隔离开,起到区域网络不同安全区域的防御性设备的作用。
例如:
互联网络
(internet)与企业内部网络(intranet)之间,如图 2-1 所示。
图 2-1 内部网络和外部网络
其中 DMZ(demilitarized zone)【3】的缩写中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个
非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间
的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业
Web 服务器、FTP 服务器和论坛等。
另一方面,通过这样一个 DMZ 区域,更加有效地
保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了
一道关卡。
根据已经设置好的安全规则,决定是允许(allow)或者拒绝(deny)内部网络和
外部网络的连接,如图 2-2 所示。
2.3 防火墙安全控制常用技术
2.3.1 防火墙技术
网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。
它
使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保
护内部网络。
防火墙通常安装在内部网与外部网的连接点上。
所有来自 Internet(外
部网)的传输信息或从内部网发出的信息都必须穿过防火墙。
图 2-2 内部网络与外部网络的连接
2.3.2 数据加密技术
数据加密【4】技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无
法获取信息、的真实内容的一种技术手段。
数据加密技术是为提高信息系统及数据的
安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密
匙管理技术 4 种。
数据存储加密技术是以防止在存储环节上的数据失密为目的,可分
为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用
的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、
存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证
对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
2.3.3 系统容灾技术
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系
统任何部件失效而引起的系统死机和不可用问题。
集群系统可以采用双机热备份、本
地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。
其中异地集群网络的容灾性是最好的。
存储、备份和容灾技术的充分结合,构成的数
据存储系统,是数据技术发展的重要阶段。
随着存储网络化时代的发展,传统的功能
单一的存储器,将越来越让位于一体化的多功能网络存储器。
2.3.4 入侵检测技术
入侵检测【5】技术是从各种各样的系统和网络资源中采集信息(系统运行状态、
网络流经的信息等),并对这些信息进行分析和判断。
通过检测网络系统中发生的攻
击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、
报警等响应,从而将攻击行为带来的破坏和影响降至最低。
同时,入侵检测系统也可
用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为
(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪
等。
2.4 防火墙安全控制程序对源 IP 地址和目的 IP 过滤功能
所有基于 Windows 操作系统的个人防火墙核心技术在于 Windows 操作系统下数
据包拦截技术。
包过滤系统工作在 OSI 模型中的网络层,可以根据数据包报头等信息
来制定规则。
数据包过滤是包过滤路由器可以决定对它所收到的每个数据包的取舍。
是基于路由器技术的,建立在网络层、传输层上。
路由器对每发送或接收来的数据包
审查是否与某个包过滤规则相匹配。
包过滤规则即访问控制表,通过检查每个分组的
源 IP 地址、目的地址来决定该分组是否应该转发。
如果找到一个匹配,且规则允许该
数据包通过,则该数据包根据路由表中的信息向前转发。
如果找到一个与规则不相匹
配的,且规则拒绝此数据包,则该数据包将被舍弃。
包过滤系统的工作流程图如图 2-
3 所示
图 2-3 防火墙过滤系统工作流程
3.防火墙安全控制程序总体结构
3.1 防火墙安全控制程序设计整体架构
如图 3-1 所示,如果内部网络地址为 10.0.1.1 的主机希望访问 Internet 上地址
为 202.0.1.1 的 Web 服务器,那么它就会产生一个源地址 S=10.0.1.1,目的地址为
202.0.1.1 的分组为 1。
NAT 常与代理、防火墙技术一起使用。
在防火墙中起到了重要
的作用。
图 3-1 工作原理图
防火墙安全控制程序设计的实现框图如图 3-2 所示:
3.2 防火墙安全控制拓扑图及其分析
分层设计将一个规模较大的网络系统分为几个较小的层次,这些层次之间既相对
独立又相对关联,他们之间可以看做是一个层次叠加的关系。
每一层都有自己特定的
作用。
核心层主要高速处理数据流,提供节点之间的高速数据转发,优化传输链路,并
实现安全通信。
从网络设计来看,它的结构相对简单,但是对核心层的设备性能的十
分严格。
一般采用高性能的多层模块化交换机,并要尽量减少核心层的路由器配置的
复杂程度,并且核心层设备应该具有足够的路由信息,将数据包发往网络中的任意目
的主机。
图 3-2 防火墙安全控制程序设计实现框图
汇聚层主要提供基于策略的网络连接,负责路由聚合,收敛数据流量,将网络服连
接到接入层。
汇聚层是核心层与接入层的分界面,接入层经常处于变化之中,为了避
免接入层的变化对核心层的影响,可以利用汇聚层隔离接入层拓扑结构的变化,是核
心层的交换机处于稳定,不受外界的干扰。
图 3-3 防火墙安全控制拓扑图
接入层为用户提供网络访问功能,并负责将网络流量馈入到汇聚层,执行用户认
证和访问控制,并提供相关的网络服务。
接入层一般采用星型的拓扑结构,而且一般
不提供路由功能,也不进行路由信息的交换。
通过这样三层的网络设计,可以将网络分解程序多的小单元,降低了网络的整体
复杂性;可以使网络更容易的处理广播风暴、信号循环问题;而且分层的设计模型降
低了设备配置的复杂性,网络故障也会更容易的排除,是网络更容易的管理,使企业
的网络更安全、稳定。
3.3 防火墙防火墙安全控制部署方案
防火墙是一个或一组系统,隔离堡垒主机通过运行在其上面的防火墙软件,控制应
用程序的转发以及提供其他服务,它在网络之间执行访问控制策略,同时也是一种综合
性的技术,涉及计算机网络技术、密码技术安全技术、软件技术、安全协议、网络标
准化组织的服务。
防火墙的主要实现功能:
1.防止外部的 IP 地址欺骗:
IP 地址欺骗是一种常见的对企业内部服务器的攻击
手段外部网的攻击者将其数据包的源地址伪装成内部网合法的 IP 地址或 Loopback 地
址,以绕过防火墙,实现非法访问。
可以在防火墙的全局和接口配置中,通过命令来
实现防止外部 IP 地址的欺骗.
2.控制内部网的非法 IP 地址进入外部网;通过设置访问列表,可以控制内部网的
哪些机器可以进入外部网,哪些机器不可以进入外部网,保障内部网的安全和可靠。
3.对内部网资源主机的访问控制:
企业内部网的服务器是非法访问者的重点攻击
对象,同时它又必须为外部用户提供一定的服务,对于特定的服务器,可以只允许访
问特定的服务。
也就是说,对于 Web 服务器只允许访问 Web 服务;而对 FTP 服务器,
只允许访问 FTP 服务。
4.防止外部的 ICMP 重定向欺骗
5.防止外部的资源路由选择欺骗
6.对拨号上网用户的访问控制
7.防止内部用户盗用 IP 方法
8.防止对路由器的攻击
9.内部网络流量的控制
防火墙的核心技术:
包过滤防火墙【6】。
包过滤防火墙也称为访问控制表或屏蔽路
由器,它通过查看所流经的数据包,根据定义好的过滤规则审查每个数据包,并根据
是否与规则匹配来决定是否让该数据包通过。
包过滤防火墙将对每一个接收到的包做
出允许或拒绝的决定。
具体地讲,它针对每一个数据报的报头,按照包过滤规则进行
判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
包过滤是在 IP 层实现
的,包过滤根据数据包的源 IP 地址、目的 IP 地址、协议类型(TCP 包、UDP 包、
ICMP 包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数
据包通过。
包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由
于绝大多数服务的监听都驻留在特定 TCP/UDP 端口,因此,为阻断所有进入特定服务
的链接,防火墙只需将所有包含特定 TCP/UDP 目的端口的包丢弃即可。
包过滤的原则:
(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。
大多数包过滤设备只检查
IP、TCP、或 UDP 报头中的字段。
(3)包过滤规则以特殊的方式存储。
应用于包的规则的顺序与包过滤器规则存储顺
序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。
(5)若一条规则允许包传输或接收,则此包便可以被继续处理。
(6)若包不满足任何一条规则,则此包便被阻塞。
4.防火墙安全控制程序详细设计
4.1 开发环境
Visual C++6.0【7】简称 VC 或者 VC6.0. 是一个基于 Windows 操作系统的可视化
集成开发环境(integrated development environment,IDE)。
Visual C++6.0 由许多
组件组成,包括编辑器、调试器以及程序向导 AppWizard、类向导 Class Wizard 等开
发工具。
这些组件通过一个名为 Developer Studio 的组件集成为和谐的开发环境。
Visual C++它大概可以分成三个主要的部分:
Developer Studio,这是一个集成开发环境,我们日常工作的 99%都是在它上面
完成的,Developer Studio 提供了一个很好的编辑器和很多 Wizard,但实际上它没有
任何编译和链接程序的功能。
MFC,从理论上来讲,MFC 也不是专用于 Visual C++,Borland
C++,C++Builder 和 Symantec C++同样可以处理 MFC。
Platform SDK,这才是 Visual C++和整个 Visual Studio 的精华和灵魂,Platform
SDK 是以 Microsoft C/C++编译器为核心,配合 MASM,辅以其他一些工具和文档资料。
4.2 防火墙安全控制程序的实现方法
这次设计的重点在于防火墙安全控制程序的配置,在配置防火墙的过程中,重点
在于设置 NAT 和 ACL,NAT 用来配置内网计算机访问外网时的地址转换,保证内网与
外网的计算机相互之间能够成功地访问对方。
ACL 是访问控制,主要用来设置内网计
算机的访问权限,通过配置 ACL,可以禁止或允许内网中的计算机之间的相互访问以
及内网计算机访问外网。
防火墙是在内网和外网中设置的气到网络安全的。
实现防火
墙技术的实验就需要建立内部网络、外部网络,内部网络和外部网络中的局域网都是
通过交换机来设计的。
首先是内部网络是将 PC2、Edge 和 Core 连接起来,然后利用超级终端软件对各
个设备进行配置, 配置如下:
首先在 PC2 计算机中对网络地址进行配置,IP 地址设置
为 10.10.10.15,子网掩码为 255.255.255.0;其次对交换机 2626B 进行配置,将其分
为多个局域网,此次实验只分配 Vlan 1,其 IP 地址的范 10.1.1.3/24。
其次是对 HP ProCurve 5308xl 三层交换机,其背板交换引擎速度为 76.8G bps,
吞吐量高达 48mpps,并配置双冗余电影,保证核心层高速、可靠的三层交换;给它配
置两个 Vlan,Vlan 1 的地址为 10.1.1.1/24,Vlan 10 的地址为 10.10.110.1/24,并在
vlan 10 上配置中继端口 B1,在 vlan 1 上配置中继端口在 vlan 10 上配置中继端口
B2,启用三层转发协议。
在内部网络的各个设备设置完后,尝试使用 PC2 ping 7102A 的出口地址,但是因
为缺少路由,所以 ping 不通。
所以我们还需要在 5308 上写上内网默认路由,在
7102A 上添加 10.10.110.0 网络的出口路由,指令如下:
Core(config)#Ip route 0.0.0.0 0.0.0.0 10.1.1.2
NAT (config)#Ip route 10.10.10.15 255.255.255.0 10.1.1.1
添加上默认路由后,内部网络即构建完毕。
如果从 PC2 ping 7102A 的出口地址
10.1.1.2,不通的话,还需要认真的检查确保各 vlan 或端口之间的 tagged 和
untagged 配置是否正确。
4.3 主要模块的程序实现
具体程序如下:
typedef struct IpHeader
{ UCHAR iph VerLen; // 版本号和头长度
UCHAR ipTos; // 服务类型
USHORT ipLength; // 总的数据包大小
USHORT ipID; // 特殊标识符
USHORT ipFlags; // 标志
USHORT ipTTL; // 生存期
UCHAR ipProtocol; // 协议
USHORT ipChecksum; // 数据包检验和
ULONG ipSource; // 源地址
ULONG ipDestination; // 目的地址
} IPPacket;
(2)TCP数据包数据结构
TCP数据定义:
typedef struct_TCPHeader
{ USHORT sourcePort; // 源端口号
USHORT destinationPort; // 目的端口号
ULONG sequenceNumber; // 序号
ULONG acknowledgeNumber; // 确认序号
UCHAR dataoffset; // 数据指针
UCHAR flags; // 标志
USHORT windows; // 窗口大小
USHORT checksum; // 校验和
USHORT urgentPointer; // 紧急指针
} TCPHeader;
(3)UDP数据包数据结构
UDP数据定义
升级会员 