第一篇:实验防火墙安全应用
防火墙技术在网络安全的应用研究
摘要:随着互联网信息技术的高速发展,网络技术已经被广泛运用到各个领域。但是,目前随着个人网络技术水平的提高,有许多非法的组织或者个人,通过破解密码偷窃学校、企业,甚至是国家的隐私性机密文件或者是资金,严重威胁到这些单位的财产和隐私安全。因此,网络在给社会带来巨大便捷性的同时,也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术,以达到保护网络安全的目的。
关键词:网络安全问题;防火墙技术;应用
引言:网络技术凭借着自身快捷性和准确性等优势,已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段,人们对网络的依赖性较强,但企业、个人频繁出现信息资源被盗,机密性文件被窃取,网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件,这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中,甚至还出现在国家安全部门或者机关部门中。所以,如何在信息化高速发展的今天,实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验,提出创新性的方案和手段,来克服网络安全问题给社会带来的风险。
一、运用防火墙技术强化网络安全策略
相关单位在运用防火墙技术时,要重视配置以防火墙为中心的安全策略方案,将口令、身份认证、审查、加密等安全信息全部配置到防火墙上,这样相比将网络安全问题分散与各个主机或者是其它部位来讲,都集中在防火墙上更便于管理,安全性强,投入成本少,经济效益高。笔者根据自己长期的研究,总结了一套运用防火墙强化网络安全策略的相关配置方案,其基本步骤如下:第一,在控制面板上实现对防火墙基础信息的设置,这是实现防火墙强化网络安全策略的首要前提和根本保证;第二,实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置,动态地址转化和静态地址转换的功能作用各不相同,动态地址转换主要用于内部网络的对外访问用户的出口,而静态地址转换则用来帮
助实现停火区的服务区地址的映射的效果,两者要紧密相连,缺一不可,否则防火墙也达不到其应有的功效;第三,为了最大程度的实现防火墙的防护功能,需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中,实现各个安全策略之间良性的运作效果。
二、发挥防火墙网络安全屏障的作用
防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过,从而保护内部网络免受非法用户的侵入,从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用,提高内部网络的安全性,通过过滤外来网络的不安全服务,降低网络安全风险的系数,防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时,也极大的保护了网路免遭受基于路由的攻击和破坏,防火墙在受到不明信息的攻击和骚扰时,能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析,说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用,企业等相关部门要采取一定的措施:第一,增强职员防火墙在网络安全中应用的意识;第二,建立其防火墙配置和管理部门,包括对防火墙管理人员的培训和管理;第三,加大对防火墙技术的资金投入,不断升级防火墙技术等。通过以上策略,完善防火墙技术在网络安全中的硬软件基础设施,在防火墙技术的屏障保护下,实现网络系统的健康稳定安全和可持续运行。
三、运用防火墙技术监控网络存取和访问
防火墙能有效地记录Internet上的任何活动,当其它网络用户等访问经过防火墙时,防火墙就会发挥自身技术监控审计的功能,不仅能详细记录这些访问的时间和来源,而且还可以自动生成日志,可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时,防火墙能根据风险程度自动报警,并能提供网络是否受到外部网络的攻击和监测的详细信息,为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外,时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值,分析网络安全风险存在的系数,从而加紧防范,遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能,首先就要确保防火墙技
术的正常运行,保证24小时不分时间和部门进行监测和存取记录,做到防患于未然。
四、发挥防火墙对信息数据库安全维护的补充作用
信息数据库是各个企业必备的存储区域,信息,数据库的建立,不仅为了实现资源的有效整理,还兼顾保证信息,数据的安全。防止内部信息的外泄是防火墙的主要优点之一,我们之所以在某种程度上将防火墙视为一种隔离技术,是因为防火墙技术是一种将内部网和公众访问网(如Internet)分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离,限制和拒绝了一些非法信息的侵入,确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发,使防火墙技术能够确保单位的信息和安全,维护单位和个人的利益。
结语:
网络安全问题的频繁出现,提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用,网络安全已经得到了极大的改善。但是,我们不能否认一个防护墙并不能百分之百的保障网络安全,相关部门需要长期不断的探索,在摸索中开发出更先进的防火墙技术,提高网络的安全性。
参考文献:
[1]马利,梁红杰. 计算机网络安全中的防火墙技术应用研究[J]. 电脑知识与技术,2014,16:3743-3745. [2]张琳. 防火墙技术在计算机网络安全中的应用研究[J]. 网友世界,2014,15:15.
第二篇:警专防火墙技术在网络安全中的应用
山西警官高等专科学校2011届毕业设计
防火墙技术在计算机网络安全中的应用
摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。正是因为安全威胁无处不在,为了解决这个问题,防火墙出现了。防火墙是网络安全的关键技术,是隔离本地网络与外界网络之间的一道防御系统,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境,防火墙是实施网络安全控制的一种必要技术。
本文从防火墙的工作原理,在网络安全中的应用、发展趋势等方面展开论述,表明了防火墙技术在网络安全中的重要作用。对目前计算机网络存在的安全隐患进行了分析,阐述了我国网络安全的现状以及网络安全问题产生的原因,对我国网络安全现状进行了系统分析,并探讨了针对计算机安全隐患的防范策略。
关键词 信息 网络安全 防火墙技术 威胁
第1页 共17页
山西警官高等专科学校2011届毕业设计
目录
1引言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„3 2我国网络安全的现状„„„„„„„„„„„„„„„„„„„„„„„„„3 2.1研究背景„„„„„„„„„„„„„„„„„„„„„„„„„„3 2.2研究意义„„„„„„„„„„„„„„„„„„„„„„„„„„4 2.3计算机网络面临的威胁„„„„„„„„„„„„„„„„„„„4 3防火墙的概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.1防火墙的概念„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.2防火墙的原理„„„„„„„„„„„„„„„„„„„„„„„„„„„6 3.3防火墙的架构„„„„„„„„„„„„„„„„„„„„„„„„„„6 4 防火墙技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.1包过滤技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.2代理服务技术„„„„„„„„„„„„„„„„„„„„„„„„„„„7 4.3电路层网关技术„„„„„„„„„„„„„„„„„„„„„„„„„„8 4.4状态检测技术„„„„„„„„„„„„„„„„„„„„„„„„„„„8 5 防火墙各个阶段的特点„„„„„„„„„„„„„„„„„„„„„„„9 5.1静态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„„„9 5.2动态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„10 5.3代理应用层网关防火墙(应用层网关、代理应用层网关)„„„„„„„10 5.4自适应代理防火墙„„„„„„„„„„„„„„„„„„„„„„„„10 6防火墙在网络安全防范中技术的缺陷及改进„„„„„„„„„„„„„„„10 6.1防火墙的缺陷„„„„„„„„„„„„„„„„„„„„„„„„„„10 6.2防火墙技术的改进„„„„„„„„„„„„„„„„„„„„„„„„11 7防火墙的发展趋势„„„„„„„„„„„„„„„„„„„„„„„„„„„„13 全文结论„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„16
第2页 共17页
山西警官高等专科学校2011届毕业设计
1引言
随着Internet技术的飞速发展, 网络安全问题必将愈来愈引起人们的重视。 防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。
网络的飞速发展和普及为人们提供了发布信息、检索信息和相互交流的场所,但同时也带来了信息破坏、信息盗窃和信息泄漏的危险,这就是网络的安全威胁。目前对网络安全的危害主要是两个方面:病毒入侵和黑客攻击,这些危害轻则可能使计算机系统运行不正常,重则可能会给个人、企业,甚至国家带来不可挽回的损失。 因此建立网络安全的防范机制对于网络的安全有效运 行是十分必要的,而防火墙技术是我们应用最广、最成熟、最重要的网络安全设备。
2我国网络安全的现状
2.1研究背景
据美国联邦调查局统计,美国每年因网络安全早场的损失达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙呗突破。美国联邦调查局计算机组负责人吉姆·塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张的说:给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国的大量网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在的风险认识不足,缺乏必要的技术设施和相关的处理经验,面对形势严峻的现状很
第3页 共17页
山西警官高等专科学校2011届毕业设计
多时候都显得力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
随着网络的逐步普及,网络安全的问题已日益突出,如同其他社会一样互联网也受到某些无聊之人的困扰。它关系到互联网的进一步发展和普及,甚至关系到互联网的生存。近年来,无论在发达国家还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重危害,目前在互联网上有近80%的用户曾受到过黑客的困扰。而与此同时,更让人不安的是互联网上黑客和病毒的联姻、不断增多的黑客网站,使学习黑客技术、获得黑客攻击工具变得轻而易举。这样,就使原本十分脆弱的互联网越发显得不安全。
2.2研究意义
现在网络的观念已深入人心,越来越多的人们通过网络来了解世界,同时他们也可以通过网络来发布信息,与朋友进行交流和沟通展示自己以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈,时刻威胁着用户上网安全,网络与信息安全已成为当今社会关注的重要问题之一。正是因为安全威胁时刻存在,为了解决这个问题,防火墙出现了。
防火墙是指隔离在本地网络与外界网络的一道防御系统,是这一类防御措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模式,通过它可以隔离风险区域与安全区域的链接,同时不会妨碍人们对风险区域的访问,从而有效的控制用户的上网安全。防火墙是实施网络安全控制的一种必要技术,它是一个或一组系统组成,它在网络之间执行访问控制策略。实现它的实际方式各不相同,但原则上防火墙可以被认为是这样同一种机制:阻拦不安全传输流,允许安全的传输流通过。随着时代的发展和科技的进步,防火墙功能日益完善和强大,但面对日益增多的网络安全威胁,防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。
2.3计算机网络面临的威胁
对于网络安全性,可以通过甲、乙两个用户在计算机网络上的通信来考虑计算机网络面临的威胁,主要有以下几种情况:
(1)信息泄露 当甲通过网络与乙进行通信时,如果不采取任何保密措施,那
第4页 共17页
山西警官高等专科学校2011届毕业设计
么其他人就与可能偷看 到他们的通信内容。
(2)识别 对于进入计算机网络系统的用户,系统必须检验其合法性。如果不是系统的合法用户,系统将不给予服务。因此系统要有“身份识别的功能”。
(3)假冒 甲和乙是系统的合法用户,网络为他们提供应有的服务。丙也想获得这些服务,于是 丙系统发出:“我是乙”系统怎么才能识别这一服务请求不是由乙发出的。而是假冒的呢?
(4)篡改乙给甲发了如下一份文报:“请给丁汇100元钱。乙”。文报在转发过程中经过了丙的手。丙就把“丁”改成了“丙”。
(5)恶意程序的攻击 除了上述用户之间通信中的信息安全问题外,网络本身也容易遭受一些恶意程序(rogue program)的攻击。恶意程序种类繁多,对网络安全威胁较大主要有以下几种:计算机病毒、计算机蠕虫特洛伊木马逻辑炸弹。这里所说的计算机病毒是侠义的也有人把所有的恶意程序指为计算机病毒。目前,计算机病毒被分为3大类型,即分区病毒、文件病毒和宏病毒。
人为威胁源有两种,一种是指计算机黑客闯入用户的网络计算机系统,我们把他称为外部危险;一种来自系统的内部,我们把它称为内部危险。
(1)网络内部危险包括一下几个方面:设计安全过程中,没有考虑员工和公司之间的关系。网络安全需要花费管理人员的精力来维护和实施,造成经费的增加。网络安全主要来自企业内部松懈的、甚至完全不存在的安全措施。用户对限制访问的安全策略有抵触情绪、不遵守安全标准。
(2)外部危险,网络外部危险包括一下几个方面,窃取机密信息,向外部透露敏感信息,非法访问网络服务程序和资源,干扰网络正常服务,故意损坏、修改和删除数据,窃取或损坏硬件和软件。
3 防火墙的概述
3.1防火墙的概念
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,
第5页 共17页
山西警官高等专科学校2011届毕业设计
且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
3.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏DMZ外网和内部局域网的防火墙系统。
3.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,有x8
6、cpu powerpc、mips等多类型,产品主要表现形式是PC机、工控机、pc-box或risc-box等;第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式 CPU为管理核心,产品主要表现形式为box等;第三代架构iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
4.防火墙技术
关于防火墙技术,主要包括两方面内容:即包过滤技术和代理技术。
4.1包过滤技术
包过滤(PacketFilter)技术是基于IP地址来监视并过滤网络上流入和流出
第6页 共17页
山西警官高等专科学校2011届毕业设计
的 IP 包,它只允许与指定的 IP 地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。信息过滤规则是以其所收到的数据包头信息为基础,包头信息中包括 IP源地址,IP目标端地址、封装协议类型等。当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,起到了保护内部网络的作用。 4.1.1过滤规则
过滤规则一般包过滤规则如下:(1)过滤规则序号 FRNO(Filter rule Number),它决定过滤算法执行时过滤规则排列的 顺序。(2)过滤方式( Action)包括允许( Allow)和阻止( Block)。(3)源IP地址SIP(Source IP address)。18 (4)源端口SP(Source Port)。(5)目的IP地址 DIP (Destination IP address)。(6)目的端口 DP(Destination Port)。(7)协议标志 PF(Protocol Flags )。(8)最后一项是注释(Comment)。 4.1.2包过滤规则的制定过程包过滤规则的制定过程
(1)确定自己的安全需求及包过滤规则要达到的安全目标,明确什么是应该和不应该被允许的,然后制定合适的安全策略。
(2)必须正式规定允许的包类型、包字段的逻辑表达。 (3)必须用防火墙支持的语法重写表达式。 4.1.3包过滤策略
包过滤路由器根据过滤规则来过滤基于标准的数据包,完成包过滤功能。这里主要从以下几个方面来考虑包过滤策略:
(1)包过滤控制点 (2)包过滤操作过程 (3)包过滤规则
(4)防止不安全设计的措施 (5)对特定协议包的过滤。
4.2代理服务技术
代理服务是运行在防火墙主机上的专门的应用程序,它位于内部网络上的用户和外部网上的服务之间,内部用户和外部网服务彼此不能直接通信,只能分别
第7页 共17页
山西警官高等专科学校2011届毕业设计
与代理打交道。代理负责接收外部网服务请求,再把它们转发到具体的服务中。代理服务防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接,为安全性提供了额外的保证,使得从内部发动攻击的可能性大大减少。例如,一个公司决定将一个Telnet服务器作为主机,以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下:
(1)有一个用户通过 23端口 Telnet 到这个代理服务器上。屏蔽设备检测这个连接的源 IP地址是否在允许的源地址列表中。如果在的话,就对该连接进行下一步的处理;如果不在的话,则拒绝该次连接。
(2)提示用户进行身份验证。
(3)在通过了身份验证后,系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。
(4)用户选择要连接的系统。
(5)如果有要求,系统会提示用户再输入另外的身份验证信息。
4.3电路层网关技术
电路层网关的运行方式与代理服务器相似,它把数据包提交给应用层过滤,并只依赖19于TCP的连接。它遵循 SOCKS协议,即电路层网关的标准。它是在网络的传输层实施访问策略,是在内部网和外部网之间建立一个虚拟电路进行通信。电路层网关的工作过程如下:
(1)假设有一个用户正在试图和一个目的URL进行连接。
(2)该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部上。
(3)如果需要身份验证的话,网关就会提示用户进行身份验证。
(4)如果用户通过了身份验证的话,代理服务器就会执行一些另外的任务,然后代理服务器为目的 URL发出一个 DNS请求,接着它再用自己的源 IP 地址和目的 IP地址建立一个连接。
(5)代理服务器将 Web服务器上的应答转发给客户。
4.4状态检测技术
状态检测技术是包过滤技术的延伸,使用各种状态表(state tables)来追踪
第8页 共17页
山西警官高等专科学校2011届毕业设计
活跃的 TCP会话。由用户定义的访问控制列表(ACL)决定允许建立哪些会话(session),只有与活跃会话相关联的数据才能穿过防火墙。状态检测技术防火墙的工作过程如下:
(1)防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。
(2)根据所使用的协议,决定对数据包的检查程度。
(3)如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包是否与它所配置的规则集相匹配。
(4)在数据包检测后,防火墙就会将该数据包转发到它的目的地址,并且防火墙会在其连接表中为此次对话创建或者更新一个连接项,防火墙将使用这个连接项对返回的数据包进行校验。
(5)防火墙通常对 TCP包中被设置的 FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项。状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中,它的速度和灵活性没有包过滤机制好,但比代理服务技术好。它的应用级安全不如代理服务技术强,但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。
5 防火墙各个阶段的特点
防火墙技术经历了以下几个阶段:
5.1静态包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的 IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透
第9页 共17页
山西警官高等专科学校2011届毕业设计
明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序 IP 地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
5.2动态包过滤防火墙
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。
5.3代理应用层网关防火墙(应用层网关、代理应用层网关) 这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包 经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的 作用。由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻 击方式入侵内部网。
5.4自适应代理防火墙
自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。
6 防火墙在网络安全防范中技术的缺陷及改进
6.1防火墙的缺陷
第10页 共17页
山西警官高等专科学校2011届毕业设计
防火墙在网络安全防护中起着举足轻重的作用,但是它不是万能的,它仍然存在有它的局限性和不足。
(1)防火墙不能防范不经过它的攻击。
(2)防火墙不能防范来自内部网络的攻击。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,例如外来入侵者一旦进入了内部网络,它将成为内部人员,在内部网络中实施攻击,而此时防火墙是无能为力的。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址,传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。
(3)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。
(4)网络提供的服务应是便捷、灵活、可用的,但是为了较高的网络安全性,防火墙限制和关闭了一些存在有安全隐患的网络服务;此外,从网络安全的角度出发,必须对网络活动加以监控和管理,而这些是以开销一部分的网络资源来完成的。因此,高效的网络服务与完全的网络安全是矛盾的,如何找到一个合适的平衡点,防火墙的部署与设置仍是一个难题。
(5)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。
(6)防火墙不能防范受到病毒感染的文件、软件。
(7)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件 就目前而言,要完成这种深度检测仍是十分困难的。
6.2防火墙技术的改进
防火墙是不同网络或网络安全区域之间信息的唯一出入口,能根据既已设定的安全策略来控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。单纯的
第11页 共17页
山西警官高等专科学校2011届毕业设计
防火墙技术,就是对网络数 据流的控制处理过程,但是这种简单的处理方式已经远远不能满足日益增长的信息安全要求。在论文中,将防火墙的概念、发展、分类与功能做一详尽地阐述,并给出了各阶段关键技术的研究与实现,所做主要工作、技术难点与创新处如下:
(1)防火墙的体系结构,应该是全面面向资源的结构模块化设计,对不同对象的具体的组成资源,直接进行控制,这样极大的提高了安全性,并保证了配置的方便性。系统按纵向结构进行层次化设计,包括表示层、执行层、中心数据库、数据库操纵层、数据及意外处理控制层和应用程序层;同时,系统按横向进行了高度的功能模块化设计,这种高智能、高度模块化的设计,使得软件结构极为清晰合理,极易维护和升级,并且提供了高质量,极易获得升级服务的软件系统。
(2)防火墙的数据流控制技术采用最先进的状态包过滤技术。根据状态包过滤的思路,在核心中维护一个连接链表,记录着相应连接的状态,对请求建立连接的数据包进行更细粒度的检查,检查通过后记录到状态链表中,从而对后续的或是关联的数据包只需检查其是否属于已建立的连接,不需全部进行规则匹配,经过这样的状态处理机制后不仅使安全性得到加强,同时也大大提高了包转发效率。
(3)搭建高效日志处理平台,使之能够处理海量的日志。大多数防火墙使用的日志框架对于处理海量日志和高效分析日志来说是空白的,因此一般都设置另外一台单独的日志服务器,但是优化的日志处理平台可以处理2G以上的日志文件。
(4)网络安全体系,应该提供可靠的检测性和防御性的工具,以使当攻击者试图攻击受防火墙设备保护的网络时,能查明和阻挡其达到上述目的的企图。
(5)对数据包头分析过滤,采用正则表达式的模式匹配算法,对一些高层应用进行限制。
(6)防火墙高可用性(HighAvailable)的实现。在同一个网络节点使用两个配置相同的防火墙,使用直连线互通。正常情况下一个处于工作状态,为主机(Primary),另一个处于备份状态(Second)为从机。当主机发生意外死机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从机代替主机正常工
第12页 共17页
山西警官高等专科学校2011届毕业设计
作,从而保证了网络的正常使用。切换过程不需要人为操作和其它系统的参与,并且主防火墙恢复使用功能后,从防火墙自动将控制权交回主防火墙,保证网络更安全,更高效。
7防火墙的发展趋势
随着计算机技术的发展,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体的应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙开发商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度来看,基于网络处理器的防火墙也是基于软件的解决方案。它需要很大程度上依赖于软件的性能,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙性能好上许多。
第13页 共17页
山西警官高等专科学校2011届毕业设计
全 文 结 论
经过两个月的努力,终于完成了本论文,从当初领到论文题目到最后一个模块的完成,经历了无数次的修改总结,感觉到平时学的知识是多么的浅薄,给自己敲响了警钟,有了努力工作的方向。
通过这次写论文,真真切切地了解到网络是多么的方便,遇到什么问题上网一查基本都能查到,然后经过自己的修改学习变成自己的东西,互相学习才能共同提高共同进步。
本次毕业论文是工作前一次很好的自我锻炼和实践的机会,是培养独立思考问题和自学能力的锻炼,使我意识到必须努力学习才能在工作中体现价值适应社会的需要。所以一定要好好学习。
第14页 共17页
山西警官高等专科学校2011届毕业设计
参 考 文 献
[1] 朱雁辉《WLNDOWS 防火墙与网络技术》电子工业出版社 2002年4月; [2] 袁家政《计算机网络安全与应用技术》清华大学出版社 2002年5月; [3] 胡道元《计算机网络》清华大学出版社 1999年1月;
[4] 谢希仁《计算机网络工程基础》电子工业出版社 2002年5月; [5] 刑钧《网络安全与防火墙技术》电子科技大学出版社 2004年3月; [6] 石彦杰《计算机网络系统集成技术》高等教育出版社 2006年2月; [7] 马程《防火墙在网络安全中的应用》甘肃科技 2007年4月。
第15页 共17页
山西警官高等专科学校2011届毕业设计
致 谢
经过了两个月的努力我完成了题目为:防火墙技术在计算机网络安全中的应用。本次论文能够顺利完成,首先要感谢李丽蓉指导老师,她自始至终都给予我很大的帮助,对我设计的每一个计划都提出了至关重要的建议,使我少走弯路,节省了大量时间,可以说这篇论文汇聚了指导老师大量的心血。
另外,还要感谢出版书籍的老师们,他们把这么多有用的知识编辑成书,使我能从书本中轻易地找到自己所需要的内容来完成本论文。
再一次,我向所有帮助我完成这篇论文的人表示由衷感谢。
第16页 共17页
山西警官高等专科学校2011届毕业设计
指 导 老 师 评 语
第17页 共17页
第三篇:防火墙技术在计算机网络安全方面的具体应用
摘要:随着我国互联网技术的不断发展,计算机网络应用也越来越广泛,可以说在现代人的生活中,人们是离不开网络的。但网络技术除了给人们带来先进生活理念,给社会带来巨大的经济效益的同时,其存在的安全问题也对信息技术、法规、监督、标准等方面带来了新的挑战。而防火墙系统作为防御网络恶意攻击的最主要手段,越来越受到人们的重视,所以防火墙系统如何通过完善自身的安全系统来避免信息安全问题的发生也是我们值得探讨的课题。本文就以此为切入点,全面、具体的阐明防火墙的应用手段和技术重点。
关键词:计算机;互联网;防火墙
防火墙系统是防御网络攻击的最有效手段。它可以及时发现系统漏洞,向用户发出系统升级的提示信息,当计算机受到外部网络黑客或木马的恶意攻击时,它会第一时间进行防御,确保个人信息的安全性。是企业的电子商务、政府的电子政务工作安全、顺利进行的基础。
1防火墙系统的优点和不足 1.1包过滤的优缺点:
优点:防火墙对路由器的过滤工作可以保证用户信息的安全,过滤过程用户清晰可见。
缺点:防火墙对路由器的过滤虽然可以在一定程度上保护用户的信息安全,但却不能完全避免网络的恶意攻击。因为过滤器对一些黑客的恶意攻击不能够立即执行安全防护,还有一些系统不支持包过滤,这就使其不能对用户信息进行有效保护。
1.2代理技术的优缺点
优点:代理技术可以确保防火墙与互联网之间的连接通信,当用户对外部互联网进行访问和账户登录时,外部防火墙就可以将信息转发到Intranet用户的防火墙。这就意味着用户对外部互联网的所有交互信息都要通过代理软件来完成。无论何时,用户都不可能直接与服务器进行连接,这就在一定程度上保证了用户网络信息的安全性。另外,代理技术还能对应用层进行及时的审查和监控,一旦发现不符合安全协议,可疑性较大的服务器,代理网关就立刻向用户发出警告,确保用户受到来自不明网络的安全威胁。除此之外,代理技术还可以对用户的信息提供加密型服务,保障用户的个人隐私不被泄露。
缺点:代理技术受到自身原因和外部因素的制约,导致其运行速度较慢。受外部服务器种类和服务协议不同的影响,代理技术并不能根据不同的协议做出调整,这就是使低层协议的安全受到威胁。由于这些缺点,代理技术正逐渐被取代。
2防火墙技术的种类
防火墙作为从源头上避免网络攻击的一种手段,对计算机的网络安全发挥着巨大作用。随着计算机技术的不断发展,防火墙技术也在进行着一系列的升级换代。以目前使用的防火墙系统为例,它不仅仅能够对计算机外部网络通信的情况进行监督和防范,还能够自动分辨和屏蔽一些网络不良信息。用户对计算机执行操作命令时,防火墙还能对发出指令的数据包进行过滤,只选择符合安全标准的指令进行执行,这在一定程度上避免了因用户自身下达的错误命令而导致的安全威胁。所以说,防火墙是用户进行网络信息交换安全有效进行的绿色屏障。除此之外,防火墙自身还具备自我升级就和自我免疫的功能,这也是致力于防火墙系统研究人员的智慧和结晶。防火墙的分类主要以以下两大常见种类为主:
2.1包过滤型
包过滤防火墙结合了网络层和传输层技术,它能够迅速分辨出数据信息的来源、IP地址、端口序列号、协议种类等信息,并对各项内容进行快速扫描,辨别信息来源的安全性,选择出符合安全要求的数据信息进行传输,对于一些不符合要求的危险信息自动丢弃。
2.2应用代理型
应用代理型防火墙主要致力于应用层的检测和监督。它能够对网络流量进行全程的监督和监管。它还能够根据不同的应用程序设定相应的代理服务,确保流量监督工作有序的进行。
另外,应用代理防火墙还是防火墙中的典型代表。它的运行位置还可分为边界防火墙、个人防火墙和混合防火墙,具有便捷、高效、全方位的特点。
3防火墙技术在实践中的应用 3.1屏蔽主机网关
防火墙的实际应用很广泛,屏蔽主机网关就是一项非常重要的应用。当用户进行网络数据信息交互活动时,防火墙就会对安装在内部网络上的两个不同的路由器进行包过滤,对符合过滤规则的数据包作为连接外部的主机,这就避免了外部未授权的不明程序对用户产生恶意攻击。
当用户对本地网络进行访问或账户登录时,由于没有路由器的限制,防火墙就会对网盾的主机进行过滤,确保了本地网络的安全性。但是不能忽略的一点就是,一旦网络黑客设法对内部网络进行登录,那内部网络的各项信息依然会受到恶意威胁。
3.2屏蔽路由器
防火墙系统能够实现路由器的屏蔽技术。一般厂家会对路由器进行屏蔽技术的授权,如果路由器本身不具有屏蔽的功能,用户通过主机操作也能够实现。因为屏蔽路由器是用户与外部信息连接的唯一途径,所有收发的数据包都必须经过这项考验,安装在路由器IP层的过滤软件可对信息进行实时筛选,便捷安全。
3.3屏蔽子网
防火墙系统能够对子网进行屏蔽。通过其与外部建立的独立子网,分别由路由器对子网内部、外部进行子网掩码的分离。
虚拟机管理程序(hypervisor)是虚拟机管理器的运行核心,不同于传统的操作系统。在基础物理硬件的管理与配套上,服务器虚拟化的核心部的安全性直接关系到虚拟机的安全性。如果虚拟机管理器的安全机制不健全,被一种恶意软件利用其漏洞获取了一个高层次的协议端口,就可以享有高于操作系统的硬件部署的特权,这就给其他用户造成极大的安全威胁。
IAAS常常将一台物理机器的使用权划分给多个虚拟机。对于同一物理服务器上的虚拟机用户可以无限制的互相访问,不需要以防火墙和交换机做桥接,这就给虚拟机互相攻击的提供了便利条件,所以说必须保证防火墙对虚拟机的高度隔离,是IAAS安全问题解决的关键。
综上所述,随着互联网技术的发展,防火墙的防御工作是一项复杂而漫长的任务,我们必须针对网络传播中的任何可能发生的威胁进行有效的防护,才能保证用户的信息安全。总之,网络是把双刃剑,计算机在给人们带来了快捷与高效的同时,其中的安全隐患也给人们带来了一些损失和困扰。所以我们要共同努力,构建一个和谐的网络传播环境。
参考文献: [1]刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,2010(09). [2]郭伟.数据包过滤技术与防火墙的设计[J].江汉大学学报,2011(03). [3]朱艳琴,钱龙华,陈承勤.计算机组网技术教程[M].北京:北京电子希望出版社,2011
第四篇:实验一 矿山安全救护仪器应用演示实验
实验类型:演示性实验 实验学时:2 实验要求:限修
实验房间:安全432
一、实验目的
熟悉并掌握呼吸器、自救器等救护设备的工作原理及使用方法。通过实验,巩固和加深对矿井工作中安全自救技术知识的理解及应用。
二、实验内容
(一)过滤式自救器的使用
(二)化学氧自救器的使用
(三)压缩氧自救器的使用
(四)正压氧气呼吸器的使用
三、仪器设备
1、AZL-60型过滤式自救器
2、ZH15(30)型隔绝式系列化学氧化自救器
3、ZYX-30(45)型隔绝式系列压缩氧自救器
4、HYZ4/2型正压氧气呼吸器 隔绝式系列压缩氧自救器主要用于煤矿井下或环境空气发生有毒气体污染及缺氧窒息性灾害时,现场人员迅速佩戴,保护佩戴人员正常呼吸迅速逃离灾区实现自救。
四、所需耗材
无。
五、实验原理、方法和手段
(一)过滤式自救器
工作原理:含有CO的空气经干燥后进入自救器中的触媒层发生氧化反应,将CO氧化成无毒的CO2气体,进入人体肺部,再呼出体外。在井下工作,当发现有火灾或瓦斯爆炸时,必须立即佩用自救器,撤离现场。灾区空气中氧浓度不低于18%和一氧化碳浓度不高于1.5%,仅能防护一氧化碳一种气体。
(二)化学氧自救器
工作原理:化学氧自救器是利用生氧剂与人体呼出的CO2与水汽结合,发生化学反应而生成氧气来供给人呼吸。这些富氧气体通过气囊、降温网、孔板、口具形成闭路循环系统,供人呼吸。
(三)压缩氧自救器
ZY45 型压缩氧自救器是一种隔绝式再生式闭路呼吸保护装置,主要用于煤矿或在普通大气压的作业环境中发生有毒有害气体突出及缺氧窒息性灾害时,现场人员迅速佩戴自救逃生. 构造:本自救器主要由鼻夹,口具,气囊,清净罐,清净罐底盖,排气阀, 氧气瓶,减压器,安全阀,手动供气阀,开关,开关把手,压力表组成。
工作原理:
1、供气原理:转动开关把手,打开气瓶阀氧气瓶中的高压氧气就通过开关流入减 压器和手动供气阀,这时减压器将以≥1.2L/min 的流量向气囊供气,如果 定量供气量不能满足人体需要时,可短时间按压补气压板,以>60L/min 的流量向气囊供气。
2、呼吸原理:使用时,佩戴者咬住口具,夹上鼻夹,人体就和自救器组成了"人—机"呼吸系统。呼气时,气流通过呼气阀经内气囊进入清净罐,其中的二氧化碳与清净罐中的二氧化碳吸收剂发生化学反应而被吸收,余下的氧气进入外气囊,吸气时,通过吸气阀进入人体,就完成了整个呼吸循环过程。在整个佩戴过程中,人的鼻孔被鼻夹夹住,通过“人口—口具”的呼吸连接,完全用嘴进行呼吸。“人—机”呼吸系统与外界完全隔绝.有效 的防止了甲烷瓦斯等有害气体进入人体。
3、减压器安全保护原理,当减压器出现故障压力升高到0.7~0.8Mpa 时,
2 安全阀开启,向外泄气泄压,保护减压器不发生爆炸。
(四)正压氧气呼吸器
HYZ4正压氧气呼吸器其呼吸循环系统内始终牌正压状态,在面罩不严密的情况下,外界的有毒有害气体不能进入到呼吸循环系统内,安全性高。正压氧气呼吸器具有整体重量轻、结构紧凑、安全性高、防护性能好、佩戴舒适、操作简单、维护量小、价格低廉等优点,是矿山救护队员、消防特勤指战员、特种工程技术人员在严重污染、毒气类型不明确或缺氧的恶劣环境下从事抢险救援工作必不可少的人体防护装备。
六、实验步骤
(一)过滤式自救器
1、自救器随身携带;
2、揭起保护罩;
3、掀起红色开启扳手,打开外壳密封;
4、揭开并扔掉上外壳;
5、抓住口具,拉出过滤器;
6、将口具片塞进牙齿与嘴唇之间,紧闭嘴唇;
7、双手拉开鼻夹弹簧,夹好鼻子用口呼吸;
8、取下安全帽,戴好头带;
9、戴好安全帽,开始撤离危险区。
(二)化学氧自救器
1、将专用腰带穿入自救器皮带卡,固定在背部腰间。
2、使用时先将自救器转到腹前,一手托底,另一手拉开封口带。
3、去掉上外罐,手提头带将自救器抽出后将下外罐丢弃。
4、戴好头带,整理好气囊。
5、拔掉口具塞,迅速启动氧烛(若氧烛启动失效,应深吸气后通过口具向药罐呼气以强制生氧)。
6、将口具放入口中,口具片置于唇齿之间,牙齿咬紧牙垫,用鼻夹垫夹住鼻子,开始用口呼吸。
7、均匀呼吸,快速撤离灾区。
(三)压缩氧自救器
1、将自救器从佩戴时的腰部侧面移到人体正前面。
2、用手水平拉开左边的塑料挂钩下部,使上壳上的塑料挂钩从下壳脱出;再解开上,下外壳另一边的挂钩;然后用手沿竖直方向将上壳提起,使它与下壳脱离,这样就完成了自救器的启封。
3、将口具放在嘴唇与牙齿之间,牙齿紧紧咬住口具牙垫, 并紧闭嘴唇, 使人体口腔与口具之间有可靠的气密。
4、转动气瓶开关把手,打开气瓶阀,马上按动补气压板,当气囊鼓起后松开手指,停止手动补气.然后迅速掰开鼻夹弹簧,用鼻夹夹住鼻翼两侧,使鼻腔与外界隔绝,用嘴通过口具呼吸。
5、使用过程中,减压器以≥1.2L/min 的流量向气囊连续供气,供人体吸气,如定量供气不能满足人体需要时,可按压补气压板,向气囊内及时手动补气,气囊鼓起后,停止手动供气。由于手动补气流量很大,故不能长时间按压手动补气,也不能频繁按压手动补气。
(四)正压氧气呼吸器
1、工作时,打开气瓶开关;
2、氧气经减压后,连续供给呼吸舱,当使用者吸气时,氧气从呼吸舱经冷却罐、吸气软管、吸气阀进入面罩。
3、呼气时,气体经呼气阀、呼气软管、进入呼吸舱与定量孔供给的氧气混合后,通过清净罐吸收掉呼气中的CO2,然后进入呼吸舱,完成一次循环;
4、使用过程中,依次反复循环,保证工作人员正常呼吸。
当使用者从事重体力劳动时,呼吸量大,耗氧量高,流量不能满足呼吸需求。呼吸舱内气体压强会不断降低,正压弹簧推动膜片开启自动补给阀,补充氧气。反之,定量供给的氧气用不完,呼吸舱内气体压强会不断升高,推动膜片开启排气阀,排出多余气体。
正压弹簧、自动补给阀和排气阀的共同运作,使整个呼吸过程中系统内气体压强始终保持一定范围的正压值。这一系统称之为正压系统。
七、实验结果处理
无。
八、实验注意事项
(一)过滤式自救器的注意事项
1.佩用自救器时,吸气时会有些干、热的感觉,这是正常现象。必须佩戴到安全地带,方能取下自救器,切不可因干、热感觉而取下。
2.佩戴自救器撤离时,要求匀速行走,禁止狂奔和取下鼻夹、口具或通过口具讲话。
3.在佩用自救器时,因外壳变形,不能取出过滤器,也能正常使用,可以用手托住罐体。
4.平时要避免摔落、碰撞自救器,自救器不能当坐垫用,防止漏气失效。
(二)化学氧自救器的注意事项
1、佩戴自救器撤离灾区时要注意口具和鼻夹一定要咬紧夹好,绝不能中途取下口具和鼻夹。
2、生氧剂产生的氧气要比环境空气温度干热,但对人体无害。
3、佩戴时不要压迫气囊,以防损坏漏气。
4、佩带自救器要求操作准确迅速,使用者必须经过预先训练,并经考试合格方可配备。
(三)压缩氧自救器的注意事项
1、携带自救器下井前,应观察压力表的示值不得低于 18Mpa。
2、使用中应特别注意防止利器刺伤撞伤气囊。扣盖时应将气囊叠好,装入上壳内,再扣盖,以免将气囊压坏。
3、储存自救器应避免阳光直射,严禁与油脂混放一处。储存环境干燥、无腐蚀性气体,温度应在 0℃以上。
4、自救器每次使用完后,应对口具、气囊进行清洗,酒精消毒,晾干;重新装二氧化碳吸收剂;重新对氧气瓶充气;并对重新组装后的自救器进行校验扣盖,使自救器处于可再次使用的完好状态。对长期未使用的自救器也应定期(六个月)更换二氧化碳吸收剂,补充氧气。
九、预习与思考题
无。
十、实验报告要求
1、实验目的
2、实验仪器
3、实验内容:介绍过滤式自救器、化学氧自救器、压缩氧自救器、正压氧气呼吸器的工作原理及使用方法
4、实验小结。
第五篇:实验 防火墙技术实验
实验九
防火墙技术实验
1、实验目的
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。
2、题目描述
根据不同的业务需求制定天网防火墙策略,并制定、测试相应的防火墙的规则等。
3、实验要求
基本要求了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。提高要求能够使用WindowsDDK开发防火墙。
4、相关知识
1)防火墙的基本原理防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(securitygateway),也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。典型的网络防火墙如下所示。
防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2)防火墙的分类前市场的防火墙产品主要分类如下:
(1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。 (2)从防火墙技术“包过滤型”和“应用代理型”两大类。
(3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。 (5)按防火墙性能百兆级防火墙和千兆级防火墙两类。 3)防火墙的基本规则
■一切未被允许的就是禁止的(No规则)。 ■一切未被禁止的就是允许的(Yes规则)。
很多防火墙(例如SunScreenEFS、CiscoIOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条„„当它发现一条匹配规则时,就停止检查并应用那条规则。
4)防火墙自身的缺陷和不足
■限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
■无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 ■Internet防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP联接进入Internet。
■对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。 ■Internet防火墙也不能完全防止传送已感染病毒的软件或文件。
■防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
■不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。
5、实验设备
主流配置PC,安装有windows 2000 SP4操作系统,网络环境,天网防火墙个人版。
6、实验步骤
1)从指导老师处得到天网防火墙个人版软件。
2)天网防火墙个人版的安装。按照安装提示完成安装,并重启后系统。
3)系统设置。在防火墙的控制面板中点击“系统设置”按钮,即可展开防火墙系统设置面板。
天网个人版防火墙系统设置界面如下。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口,如下:
如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置在局域网内的地址。防火墙将会以这个地址来区分局域网或者是INTERNET 的IP来源。日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
4)安全级别设置天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级。了解安全级别的说明请查看防火墙帮助文件。为了了解规则的设置等情况,我们选择自定义安全级别。
然后点击左边的
将打开自定义的IP规则。
从中可以看出,规则的先后顺序为IP规则、ICMP规则、IGMP规则、TCP规则和UDP规则。自定义IP规则的工具条如下,可以使用这些工具完成规则的增加、修改、删除、保存、调整、 导入导出操作。重要:规则增加、修改、删除等操作后一定要点击保存图标进行保存,否则无效。
单击规则前面的,可使该规则不起作用,且其形状变为。
5)修改规则双击该规则,或者点击工具条上的修改按钮可以打开该规则的修改窗体。然后按照需求对各部分进行修改。
(1)首先输入规则的“名称”和“说明”,以便于查找和阅读。 (2)然后,选择该规则是对进入的数据包还是输出的数据包有效。
(3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: ■“任何地址”是指数据包从任何地方来,都适合本规则, ■“局域网网络地址”是指数据包来自和发向局域网,
■“指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。
(4)除了录入选择上面内容,还要录入该规则所对应的协议,其中:
■‘IP’协议不用填写内容,注意,如果你录入了IP协议的规则,一点要保证IP协议规则的最后一条的内容是:“对方地址:任何地址;动作:继续下一规则”。
■‘TCP’协议要填入本机的端口范围和对方的端口范围,如果只是指定一个端口,那么可以在起始端口处录入该端口,结束处,录入同样的端口。如果不想指定任何端口,只要在起始端口都录入0。TCP标志比较复杂,你可以查阅其他资料,如果你不选择任何标志,那么将不会对标志作检查。
■‘ICMP’规则要填入类型和代码。如果输入255,表示任何类型和代码都符合本规则。 ■‘IGMP’不用填写内容。
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ■‘通行’指让该数据包畅通无阻的进入或出去。 ■拦截’指让该数据包无法进入你的机器
■继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对该包的处理。 (6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
6)新增规则点击工具条的新增规则按钮可以新增一条规则,并弹出该规则的编辑界面。比如新增一条允许
访问WWW端口的规则,可以按如下方法设置。设置完成后点击“确定”,并点击工具条的保存按钮。
7)普通应用程序规则设置天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能,它可以控制应用程序发送和接收数据传输包的类型、通讯端口,并且决定拦截还是通过。在天网防火墙个人版打开的情况下,首次激活的任何应用程序只要有通讯传输数据包发送和接收存在,都会被天网防火墙个人版先截获分析,并弹出窗口,询问你是通过还是禁止。这时可以根据需要来决定是否允许应用程序访问网络。如果不选中“该程序以后按照这次的操作运行”,那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包,并且弹出警告窗口。如果选中“该程序以后按照这次的操作运行”选项,该应用程序将自加入到应用程序列表中,可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。
8)高级应用程序规则设置单击
可以打开详细的应用程序规则设置。单击应用程序规则面板中对应每一条应用程序规则都有几个按钮
点击“选项”即可激活应用程序规则高级设置页面。
“该应用程序可以”窗口是设定该应用程序可以做的动作。其中:是指此应用程序进程可以向外发出连接请求,通常是用于各种客户端软件。则是指此程序可以在本机打开监听的端口来提供网络服务,这通常用于各种服务器端程序中。
9)根据以上功能,分别完成如下不同需求的防火墙规则设置并进行测试。
需求1:ICMP规则允许ping进来,其它禁止,TCP规则允许访问本机的WWW服务和主动模式的FTP服务,其它禁止,UDP禁止。 需求2:ICMP规则允许ping出去,其它禁止,TCP规则禁止所有连接本机,允许IE访问Internet的80端口,UDP规则允许DNS解析,其它进出UDP报文禁止。
7、实验思考
1)根据你所了解的网络安全事件,你认为天网防火墙不具备的功能有哪些? 2)防火墙是不是绝对的安全?攻击防火墙系统的手段有哪些?