防火墙技术在企业网络中的应用本科论文文档格式.docx
《防火墙技术在企业网络中的应用本科论文文档格式.docx》由会员分享,可在线阅读,更多相关《防火墙技术在企业网络中的应用本科论文文档格式.docx(19页珍藏版)》请在冰点文库上搜索。
《个人防火墙》
编著:
福德
人民邮电出版社
2002.8
[2]
《网络安全性设计》编著:
[美]
Merike
Kae
2003年10月第二版.
[3]
《网络信息安全技术》
聂元铭
丘平
科学出版社
2001年2月第一版
[4]
《网络安全与Firewall技术》编著:
楚狂
等
2004年3月第一版
[5]
计算机网络工程实用教程
——电子工业出版社
[6]
网络安全与管理
——清华大学出版社
[7]陈冰.企业计算机网络防火墙的选择[J].供用电,2004,(04)
[8]闫宝刚.防火墙组网方案分析[J].大众标准化,2004,(08)
[9]潘登.浅析防火墙技术[J].株洲工学院学报,2004,(02)
[10]芦军,丁敏.浅谈防火墙设计[J].房材与应用,2004,(01)
4.本毕业设计(论文)任务书于年月日发出,应于年月日前完成。
指导教师:
签发年月日
学生签名:
年月日
毕业设计(论文)开题报告
防火墙技术在企业网络中的应用
时间
年月日至年月日
本课题的目的意义
(1)
验证所学理论基础;
(2)
掌握工程中防火墙的软件的配置、调试、管理的一般方法;
(3)
提高同组项目人员之间的协调、合作、团结能力;
(4)
掌握网络安全和网络管理中分布式防火墙的应用;
(5)
掌握防火墙在企业网中的使用;
(6)
培养分析问题、解决问题和独立工作的能力;
设计(论文)的基本条件及依据
随着计算机网络技术的迅猛发展和Intranet用户数量的激增,以及新型网络服务的研究、实施和应用。
计算机网络安全问题日益突出。
使得计算机安全问题成为影响计算机互连网络进一步发展的一个重要因素。
以往采用的安全保护中使用的最多的是传统的防火墙机制.可是随着网络技术的不断发展。
传统的防火墙已经逐渐不能.满足安全的需要,针对传统防火墙所带来的问题,提出了一种基于Kerberos认证的分布式防火墙的新型体系结构,在保留传统防火墙优点的基础上.以Kerberos协议为主要基础,综合网络安全软件算法合理运用防火墙相关知识,实现内部网安全分布式防火墙系统,解决了传统防火墙的安全隐患。
为众多内部网络用户的需要重点保护的网络资源提供一个可管理的、分布式的安全网络环境。
本课题的主要内容、重点解决的问题
主要内容:
防火墙技术特点
防火墙的安全策略
防火墙的安全设计
重点解决的问题:
(1)保护脆弱的服务
,过滤不安全的服务
(2)控制对系统的访问
(3)对企业内部网实现集中的安全管理
(4)增强网络的保密性
(5)网络安全策略的执行
本课题欲达到的目的或预期研究的结果
分布式防火墙代表新一代的防火墙技术,可以在网络的所有终端节点设置安全屏障,随着网络的扩大,所需处理的负荷也在网络的各个节点进行分布,不会像传统边际防火墙那样随着网络规模扩大成为网络的瓶颈。
而基于C/S结构可以在策略服务器上设置安全策略再分发到客户端,便于安全策略的及时更新。
同时具有强大的入侵检测和日志管理功能,形成了较好的安全体系,安装和使用都相对简单,无需改变网络的现有架构,可以较低的成木满足大中型企业对于计算机网络的安全需求。
参考资料
计划进度
时间
工作内容
备注
1—3
周:
4—12
13
14—15
16
复习“网络安全”、“网络管理”、“计算机网络”、“网络操作系统”等相关的书籍资料;
查阅企业网,分布式防火墙相关资料,调研安全设计技术方案,确定设计方案书写开题报告。
基于分布式防火墙的规则分析,在企业网环境下具体分布式防火墙的配置和调试;
测试防护能力;
编写毕业设计技术文件:
说明书、程序流程图、程序清单或配置清单;
准备答辩,对设计内容进行总结,弄懂各部分的原理及系统的工作过程,写出毕业答辩的发言稿,做到心中有数,应对毕业答辩。
视实际情况而定
指
导
教
师
意
见
指导教师签名:
年月日
(注:
本表可自主延伸)
摘要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大。
网络安全产品也被人们重视起来。
防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝XX用户的访问,阻止XX用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。
如果使用得当,可以在很大程度上提高网络安全。
关键词:
网络、安全、防火墙
目录
引言3
第一章防火墙技术4
1.1防火墙的基本概念4
1.2防火墙的技术分类4
1.3防火墙的功能5
第二章企业网络安全6
2.1企业计算机网络安全的现状6
2.2企业计算机网络的不安全因素6
2.3安全防护措施7
第三章防火墙技术在企业中的应用10
3.1防火墙的重要性10
3.2防火墙的功能10
3.3防火墙的实际应用12
第四章分布式防火墙14
4.1分布式防火墙概述14
4.2分布式防火墙的主要功能16
4.3分布式防火墙在企业中的应用18
结束语20
参考文献21
致谢22
引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
对于军用的自动化指挥网络和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。
因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
第一章防火墙技术
1.1防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。
而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;
从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
1.2防火墙的技术分类
现有的防火墙主要有:
包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤型防火墙,又称筛选路由器或网络层防火墙,它工作在网络层和传输层。
它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
代理服务器型防火墙通常由两部分构成,服务器端程序和客户端程序。
客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:
双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的必须经过堡垒主机;
主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;
加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
1.3防火墙的功能
一般来说,防火墙具有以下几种功能:
1能够防止非法用户进入内部网络。
2可以很方便地监视网络的安全性,并报警。
3可以作为部署NAT(网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。
从技术角度来讲,就是所谓的停火区(DMZ)。
第二章企业网络安全
2.1企业计算机网络安全的现状
计算机网络在不断发展,数字信息化已成为全球发展趋势。
但是随着网络资源的强大共享,许多敏感以及保密信息会遭到主动或被动的攻击,特别对于企业来说,保密信息何其重要,由此,网络安全问题逐渐被重视起来。
网络的开放性与共享性致使其易遭黑客以及病毒或是恶意软件的攻击,导致信息泄露或是程序被篡改等问题的产生。
当网络规模发展越来越大的时候,网络安全问题也越来越严峻和复杂。
为确保企业的信息安全和网络畅通,对于计算机网络安全问题的解决措施和防范措施已迫在眉睫。
伴随着信息产业与信息技术的发展,企业计算机网络与信息安全问题也日渐凸显。
数据显示,我国当前的互联网使用数量已排在世界第二位。
而同时,利用互联网的犯罪行为在以每年30%的速度在增长。
这些数据表明我国的网络信息安全已远落后于发达国家,因此,对我国安全形势的了解是十分重要的。
2.2企业计算机网络的不安全因素
1.计算机病毒
计算机病毒的危害是大家所熟悉的。
这种问题很常见。
病毒的变异速度很快,即使我们的电脑上都安装了杀毒软件,也还是会受到新型病毒的攻击。
严重时可能会致使企业网络局部或全部瘫痪。
如特洛伊木马,这种木马程序当前是黑客们常用的一种攻击手段,木马会挂在一些链接和网页上,通过用用户点击访问,在Windows系统下潜藏并在用户联网时,通过服务器与客户端的运行,实现对用户电脑的远程操作。
对于使用计算机网络的企业来说,计算机病毒是十分具有威胁性的。
2.网络扩展不规范
对于一个已经实施完成并投入使用的计算机网络工程来说,被允许无限制的扩展是不可能的,更不用说不符合规范的扩展方式。
有些企业用户自作主张将本部门的计算机联上企业的网络,甚至擅自在网络上增加网络集线器。
这些做法会改变网络结构,这会影响到整个网络系统的速度和应用效果。
所以系统的扩展要受到企业技术部门的审核和批准,确保网络系统的扩展符合网络结构的规划。
3.网络安全管理制度不严格
企业内部网络安全管理制度不严格,网络安全体系管理失败的原因之一。
网络升级不及时或管理员配置不当都会造成安全漏洞。
用户口令保密强度低,软件下载网站随意,用户安全意识不强,把自己的用户密码随意借给别人使用会随意资源共享,这都使网络安全处于威胁之中。
2.3安全防护措施
1.防病毒技术
随着计算机技术的迅猛发展,病毒也愈加的复杂很难以应付,对计算机的信息系统也构成了很大的威胁。
企业中普遍使用的防毒软件,按功能分类可以分为网络杀毒软件和单机杀毒软件两种。
单机杀毒软件通常装在单独的电脑上,就是对本地网络连接接受远程资源运用分析扫描的方式进行检测、清理病毒。
网络杀毒软件相对而言比较注重防护网络上的病毒,病毒一旦入侵网络或是由网络向其它资源传染。
杀毒软件会及时检测并加以删除。
2.数据加密
加密是指通过一种方式使数据信息混乱,从而使未授权人无法识别。
加密方式用两种:
私匙加密与公匙加密。
2.1私匙加密
私匙加密也称为对称密匙加密。
因为用来给信息加密的密匙同时也是为信息解密的密匙。
私匙加密的产生使信息的紧密性跟进了一步。
它并非提供认证,因为该密匙的任何一个使用者都可以随意创建和加密一则有效信息。
这种方法的优势在于速度较快,容易在软件和硬件中实现。
2.2公匙加密
这种加密方式出现的较晚,与私匙加密不同的是,私匙加密用的是同一个密匙加密和解密,而公匙加密使用的是两个密匙,一个用于加密,一个用于解密。
这种方式相较于私匙加密的缺陷在于,这种方式属于计算密集型,相对速度较慢。
但如如果将这两种方式结合起来,就会得到一个更为复杂的系统,得到更为显著的效果。
3.数字签名技术
数字签名是一种运用加密手段来认证电子信息的方式。
这种方式的效果及安全性能取决去计算机网络用户私匙安全防护的哈希函数。
这种技术基于加密技术而产生。
可以用混合加密算法,对称加密算法和非对称加密算法来实现。
4.防火墙技术的使用
防火墙是由硬件和软件组成的系统。
用于控制两个网络之间的接入。
有防火墙保护的网络是可信赖的网络,没有防火墙保护的因特网是不可信赖的。
网络发给计算机的所有数据都要先经过互联网的判断,判断信息是否安全,再决定是否传给电脑。
如果发现有不安全信息,防火墙会自动拦截,从而使企业的计算机系统得到实时防护。
5.加强和完善企业内部的网络安全管理制度
对于网络安全的不稳定性,除了要对网络设计上开设安全服务功能并完善系统安全的保密措施外,严密计算机网络安全管理制度的事实同样是建立安全网络的基础。
只有结合安全管理制度与安全管理手段,整个网络的安全才得以保障。
第三章防火墙技术在企业中的应用
3.1防火墙的重要性
为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。
防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
随着互联网应用的日益普及,网络已成为主要的数据传输和信息交换平台,许多部门和企业在网上构建了关键的业务流程,电子政务和电子商务将成为未来主流的运作模式。
网络安全和信息安全是保障网上业务正常进行的关键,并已日益成为网络用户普遍关注的焦点问题。
因此,网络安全成为这两年IT业内的热点话题,而防火墙更是热点中的一个焦点。
因为,防火墙是企业网络安全的最重要的守护者。
3.2防火墙的功能
(1)防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
(2)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
(3)对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
(4)防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
3.3防火墙的实际应用
随着计算机技术的发展与完善,计算机网络在企业生产经营过程中发挥重要作用。
近年来,越来越多的企业构建内部信息化发展体系。
可以说,在现代化市场竞争与发展过程中,企业的生产经营将与计算机网络密切相关。
因此,如何提高计算机网络安全,已成为当前企业不得不思考的问题,只有形成一个安全、可靠、平稳的计算机网络体系,才能提升企业核心竞争力,规避企业风险。
目前我国大多数企业缺乏安全防范意识与基本的安全策略,仅使用最简单的网络安全保障措施,且各种安全措施之间相互分离、彼此矛盾,有时难以保障网络安全,甚至影响网络应用性能。
随着企业发展壮大,对计算机网络的应用与需求量加大,如果不断修补网络安全措施,将造成整个安全系统的臃肿、难以维护,这就需要从根本上加强网络安全管理,树立安全管理意识,积极应用各种新技术、新手段,真正做到防范于未然,提高企业计算机网络应用效率,实现企业健康、长远发展。
目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。
隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。
一般来说,这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
网络安全问题简单化,大多数企业家缺乏对IT技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。
许多企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。
他们只希望能够确保财务纪录没被窃取,服务器不会受到一次"
拒绝服务攻击"
。
他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。
一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。
网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。
要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保证企业的顺利成长。
第四章分布式防火墙
4.1分布式防火墙概述
1.传统防火墙的缺陷
(1)结构性限制:
边界防火墙的工作机理依赖于网络的物理拓扑结构。
但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;
另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。
(2)内部安全:
边界防火墙设置安全策略的一个基本假设是:
网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。
但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。
(3)效率和故障:
边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。
边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;
另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;
最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。
2.分布式防火墙的优点
(1)增强的系统安全性
增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。
分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。
凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。
分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。
另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。
所以分布式防火墙有能力防止各种类型的攻击。
特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机
升级会员 