資源描述:
《張楠楠(防火墻功能的實(shí)現(xiàn))》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1���、中國人民解放軍高等教育自學(xué)考試計(jì)算機(jī)應(yīng)用(本科)專業(yè)畢業(yè)論文論文題目:防火墻功能的實(shí)現(xiàn)作者姓名:張楠楠準(zhǔn)考證號(hào):111809250427起止時(shí)間:2011年3月1日-2011年4月30日防火墻功能的實(shí)現(xiàn)摘要防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境.本文介紹了防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)���,討論了實(shí)現(xiàn)防火墻的兩種主要技術(shù)手段:一種是基于分組過濾技術(shù)(Packetfiltering),它的代表是在篩選路由器上實(shí)現(xiàn)的防火墻功能�;一種是基于代理技術(shù)(Proxy),它的代表是在應(yīng)用層網(wǎng)關(guān)上實(shí)現(xiàn)的防火墻功能�����。關(guān)鍵字防火墻網(wǎng)絡(luò)安全代
2、理服務(wù)器包過濾流過濾應(yīng)用層網(wǎng)關(guān)堡壘主機(jī)目錄第一章計(jì)算機(jī)網(wǎng)絡(luò)的定義與安全策略2第二章防火墻的體系結(jié)構(gòu)62.1什么是防火墻62.2防火墻的結(jié)構(gòu)62.2.1代理(Proxy)主機(jī)結(jié)構(gòu)62.2.2路由器加過濾器(ScreenedHost)結(jié)構(gòu)62.3防火墻的功能72.4防火墻系統(tǒng)的組成及分類72.4.1組成72.4.2分類8第三章防火墻的安全標(biāo)準(zhǔn)133.1Secure/WAN(S/WAN)標(biāo)準(zhǔn)]133.2防火墻測試標(biāo)準(zhǔn)13第四章結(jié)束語13致謝:15參考文獻(xiàn):16第一章計(jì)算機(jī)網(wǎng)絡(luò)的定義與安全策略所謂計(jì)算機(jī)網(wǎng)絡(luò)����,就是利用通信設(shè)備和線路將地理位置不同、功能獨(dú)立的
3���、多個(gè)計(jì)算機(jī)系統(tǒng)互連起來���,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議��、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)����。防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò),簡單的概括就是���,對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制��。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)(Internal)和不可信任網(wǎng)絡(luò)(Internet)之間��。防火墻一般有三個(gè)特性:A.所有的通信都經(jīng)過防火墻B.防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量C.防火墻能經(jīng)受的住對(duì)其本身的攻擊我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖�,防火墻可以是一臺(tái)有訪問控制策略的路由器(R
4、oute+ACL)�����,一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)����,服務(wù)器等,被配置成保護(hù)指定網(wǎng)絡(luò)��,使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響��。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界���,例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻���,將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。為什么要使用防火墻�?很多人都會(huì)有這個(gè)問題,也有人提出�����,如果把每個(gè)單獨(dú)的系統(tǒng)配置好,其實(shí)也能經(jīng)受住攻擊�。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)�,我們不得不承認(rèn)在Windows2003以前的時(shí)代,Windows默認(rèn)開放了太多不必要的服務(wù)和端口����,共享信息沒有合理配置與審核。如果管理員通過安
5��、全部署�����,包括刪除多余的服務(wù)和組件���,嚴(yán)格執(zhí)行NTFS權(quán)限分配,控制系統(tǒng)映射和共享資源的訪問���,以及帳戶的加固和審核����,補(bǔ)丁的修補(bǔ)等�。做好了這些,我們也可以非常自信的說,Windows足夠安全��。也可以抵擋住網(wǎng)絡(luò)上肆無忌憚的攻擊��。但是致命的一點(diǎn)是��,該服務(wù)器系統(tǒng)無法在安全性����,可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。對(duì)于此問題我們的回答是:“防火墻只專注做一件事����,在已授權(quán)和未授權(quán)通信之間做出決斷?����!比绻麤]有防火墻�,粗略的下個(gè)結(jié)論,就是:整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值�����。遺憾的是這并不是一個(gè)正確的結(jié)論��,真實(shí)的情況比這更糟:整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱
6、的部分所嚴(yán)格制約����。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)�����。網(wǎng)絡(luò)越龐大��,把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜�,將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受��,最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰�。防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶,我們通過部署防火墻�,就可以通過關(guān)注防火墻的安全來保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進(jìn)行審記和保存����,對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)�。總之�����,防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。隨著因特網(wǎng)(Internet)的
7����、發(fā)展給人們的通信帶來了革命性的變革,人們可以通過Internet從異地取回重要的數(shù)據(jù)等等�����,但在獲得便利的同時(shí)���,也要面對(duì)Internet在數(shù)據(jù)完全方面所帶來的挑戰(zhàn)���。為此,本文著重討論了網(wǎng)絡(luò)安全的問題�����,主要包括以下兩個(gè)方面:(1)確保網(wǎng)絡(luò)上傳輸信息的私有性�,不被非法竊取、篡改和偽造���;(2)限制用戶在網(wǎng)絡(luò)上(或程序)的訪問權(quán)限��,防止非法用戶(或程序)的侵入�����。目前��,解決第一個(gè)問題的方法主要是采用信息加密技術(shù)����,而解決第二個(gè)問題,普遍采用的是防火墻技術(shù)�,即為了確保客戶���、銷售商���,移動(dòng)用戶、異地員工和內(nèi)部員工間訪問的安全以及保護(hù)企業(yè)內(nèi)部機(jī)密信息不受黑客和工業(yè)間諜的
8��、入侵����,一些企業(yè)、政府機(jī)構(gòu)���,都在內(nèi)部網(wǎng)與未知因素眾多的公網(wǎng)(Internet)之間加筑了“防護(hù)工事”-------防火墻��。防
