本科生毕业设计(模板)

毕业设计(论文)

防火墙技术研究

系 别 ： 专业（班级）： 作者（学号）： 指导教师： 完成日期：

计算机系

计算机科学与技术07级二班

***(***) 马程（硕士） 2011年5月9日

蚌埠学院教务处制

目 录

摘 要............................................................................................................................ 1 Abstract......................................................................................................................... 2 第一章 引言................................................................................................................ 3

1.1 研究背景........................................................................................................ 3 1.2 研究目的........................................................................................................ 3 1.3 论文结构........................................................................................................ 4 第二章 网络安全........................................................................................................ 5

2.1 网络安全问题................................................................................................ 5

2.1.1 网络安全面临的主要威胁................................................................ 5 2.1.2 影响网络安全的因素........................................................................ 5 2.2 网络安全措施................................................................................................ 6

2.2.1 完善计算机安全立法........................................................................ 6 2.2.2 网络安全的关键技术........................................................................ 6 2.3 制定合理的网络管理措施............................................................................ 7 第三章 防火墙概述 .................................................................................................. 8

3.1 防火墙的概念................................................................................................ 8

3.1.1 传统防火墙介绍................................................................................ 8 3.1.2 智能防火墙简介................................................................................ 9 3.2 防火墙的功能.............................................................................................. 10

3.2.1 防火墙的主要功能.......................................................................... 10 3.2.2 其他功能 ......................................................................................... 12 3.3 防火墙的原理及分类.................................................................................. 12

3.3.1 各类防火墙的分析.......................................................................... 13 3.3.2 各类防火墙的优缺点...................................................................... 14 3.4 防火墙的多种包过滤技术..................................................................... 16 第四章 防火墙的配置 ............................................................................................ 21

4.1 硬件连接与实施.......................................................................................... 21 4.2 防火墙的特色配置...................................................................................... 21 4.3 实验测试...................................................................................................... 22

4.3.1 实验简介.......................................................................................... 22 4.3.2 实验测试及结果.............................................................................. 22

第五章 防火墙发展趋势.......................................................................................... 28

5.1防火墙包过滤技术发展趋势....................................................................... 28 5.2防火墙的体系结构发展趋势....................................................................... 29 5.3防火墙的系统管理发展趋势....................................................................... 29 展 望...................................................................................................................... 32 致 谢...................................................................................................................... 33 参 考 文 献................................................................................................................ 34

蚌埠学院本科毕业设计（论文）

防火墙技术研究

摘 要：因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也

面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。 防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。

关键词：包过滤；应用层网关；分布式防火墙；监测型防火墙；嵌入式防火墙；

智能防火墙；网络安全；防火墙；防范策略；发展趋势

- 1 -

****：防火墙技术研究

Firewall Technology Research

Abstract：The rapid development of the Internet to people's lives has brought great

convenience, but the Internet is also facing unprecedented threats. Therefore, how to use effective method for people to make the network down to an acceptable risk within the scope of more and more attention. And how to implement preventive strategies, first of all depends on the current system security. So the separate elements of network security - firewalls, vulnerability scanning, intrusion detection and anti-virus and other risk assessment is necessary.

Firewall technology as a more mature nowadays network security technology, its security is directly related to the user's vital interests. Independent element for network security - firewall, the firewall log file through analysis, design, mathematical models and corresponding software prototype, the methods used points system to determine the system's security level to achieve the target network network security risk assessment, To enhance the security of the system to provide a scientific basis. Threats to network security mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on. This requires us to interconnect with the Internet security issues brought to attention. The rapid development of computer network technology to network security issues become increasingly prominent, while the firewall is the most widely used security products. This paper describes the working principle of network firewall and the pros and cons of traditional firewalls were compared, and finally with other areas of computer science related to new technologies, raised new firewall technology, and future prospects of its development.

Keywords: distributed packet ；filtering firewall application layer gateway；firewall

embedded；firewall monitoring intelligent；firewall network security； firewall；prevention strategies；trends

- 2 -

蚌埠学院本科毕业设计（论文）

第一章 引言

1.1 研究背景

随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。

1.2 研究目的

为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火墙可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。

个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是

- 3 -

****：防火墙技术研究

安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。

个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。

所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合 。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间的任何活动, 保证了内部网络的安全。一个高效可靠的防火墙必须具有以下典型的特性:

（1）从里到外和从外到里的所有通信都必须通过防火墙； （2）只有本地安全策略授权的通信才允许通过； （3） 防火墙本身是免疫的,不会被穿透的。

防火墙的基本功能有:过滤进出网络的数据；管理进出网络的访问行为；封堵某些禁止的业务； 记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警

1.3 论文结构

在论文中接下来的几章里，将会有下列安排:

第二章，分析研究网络安全问题，网络安全面临的主要威胁，影响网络安全的因素，及保护网络安全的关键技术。

第三章，介绍防火墙的相关技术，如防火墙的原理、功能、包过滤技术等;。 第四章，以H3C的Secpath 100F防火墙为例，介绍防火墙配置方法。 第五章，系统阐述防火墙发展趋势。

- 4 -

蚌埠学院本科毕业设计（论文）

第二章 网络安全

2.1 网络安全问题

安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。”

从技术讲，计算机安全分为3种：

(1）实体的安全。它保证硬件和软件本身的安全。

(2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。 (3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。 随着网络的发展，计算机的安全问题也延伸到了计算机网络。 2.1.1 网络安全面临的主要威胁

一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。

(1）计算机病毒的侵袭。当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。

(2）黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。

(3）拒绝服务攻击。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。

具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。 2.1.2 影响网络安全的因素

(1）单机安全

购买单机时，型号的选择；计算机的运行环境（电压、湿度、防尘条件、强

- 5 -

****：防火墙技术研究

电磁场以及自然灾害等）；计算机的操作„„等等，这些都是影响单机安全性的因素。

(2）网络安全

影响网络安全的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。

2.2 网络安全措施

网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。 2.2.1 完善计算机安全立法

我国先后出台的有关网络安全管理的规定和条例。但目前，在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。 2.2.2 网络安全的关键技术

(1) 数据加密

加密就是把明文变成密文，从而使未被授权的人看不懂它。有两种主要的加密类型：私匙加密和公匙加密。

(2)认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

(3) 防火墙技术

防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止

- 6 -

蚌埠学院本科毕业设计（论文）

外部网络用户未经授权的访问。目前，防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽等。但是，防火墙技术在网络安全防护方面也存在一些不足：防火墙不能防止内部攻击防火墙不能取代杀毒软件；防火墙不易防止反弹端口木马攻击等。

(4)检测系统

入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。

随着时代的发展，入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。

(5)防病毒技术

随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。

(6) 文件系统安全

在网络操作系统中，权限是一个关键性的概念，因为访问控制实现在两个方面：本地和远程。建立文件权限的时候，必须在Windows 2000中首先实行新技术文件系统（New Technology File System，NTFS）。一旦实现了NTFS，你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限，还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限，你可以完成必要的访问控制。

2.3 制定合理的网络管理措施

（1）加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。

（2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励和监督的作用。

（3）管理措施要标准化、规范化和科学化。

- 7 -

****：防火墙技术研究

第三章 防火墙概述

随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。

3.1 防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。 3.1.1 传统防火墙介绍

目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展历程。如图3-1所示

图3-1 防火墙的发展历程

第一代防火墙

- 8 -

蚌埠学院本科毕业设计（论文）

基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代、第三代防火墙

1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，传统防火墙都无能为力。主要有以下三个原因:

一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。

现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。

3.1.2 智能防火墙简介

智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统

- 9 -

****：防火墙技术研究

计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。

3.2 防火墙的功能

3.2.1 防火墙的主要功能

1．包过滤。

包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。

2．地址转换。

网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。

3．认证和应用代理。

认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。

4．透明和路由

指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。

5．入侵检测功能

入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容:

- 10 -

蚌埠学院本科毕业设计（论文）

（1）反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，进而对内部网络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法，目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。

（2）检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种;而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式，分布式的拒绝服务攻击(DDoS)。其原理很简单，就是利用更多的受控主机同时发起进攻，以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测Synflod、Land、Ping of Death、TearDrop、ICMP flood和UDPflod等多种DOS/DDOS攻击。

（3）检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。

（4）检测CGI/IIS服务器入侵。CGI就是Common Gateway Inter——face的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information server的简称，也就是微软的Internet信息服务器。防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。

（5）检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。木马程序的全称是“特洛依木马”，它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅

- 11 -

****：防火墙技术研究

速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。

6．虚拟专网功能

指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密、认证等手段，从而达到安全的目的。 3.2.2 其他功能

1.IP地址/MAC地址绑定。可支持任一网络接口的IP地址和MAC地址的绑定，从而禁止用户随意修改IP地址。

2.审计。要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日志。

3.特殊站点封禁。内置特殊站点数据库，用户可选择是否封禁色情、反动和暴力等特殊站点。

3.3 防火墙的原理及分类

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器 上以保护一个子网，也可以安装在一

- 12 -

蚌埠学院本科毕业设计（论文）

台主机上，保护这台主机不受侵犯。

国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器以及状态包检测防火墙。 3.3.1 各类防火墙的分析

1．包过滤防火墙

顾名思义，包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。

2．应用级代理防火墙

应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E一MAIL的SMTP/POP3等等。

- 13 -

****：防火墙技术研究

如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。

3．代理服务型防火墙

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时

也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

4．复合型防火墙

由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。 3.3.2 各类防火墙的优缺点

1．包过滤防火墙

使用包过滤防火墙的优点包括： 防火墙对每条传入和传出网络的包实行低水平控制。 每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须

- 14 -

蚌埠学院本科毕业设计（论文）

通过防火墙，绕过是困难的。 包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。

使用包过滤防火墙的缺点包括： 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。 为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。 可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。

2．状态/动态检测防火墙

状态/动态检测防火墙的优点有： 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。 状态/动态检测防火墙的缺点： 状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。

3．应用程序代理防火墙

使用应用程序代理防火墙的优点有： 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。 通过限制某些协议的传出请求，来减少网络中不必要的服务。 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发

- 15 -

****：防火墙技术研究

生的未授权访问的事件事很有用的。 使用应用程序代理防火墙的缺点有： 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。

4.复合型防火墙

集包过滤防火墙和应用代理防火墙的优点于一生。相对的价格比较昂贵。

3.4 防火墙的多种包过滤技术

随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。

所谓包过滤，就是对流经网络防火墙的所有数据包逐个检查，并依据所制定的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。

由于其主要是对数据包的过滤操作，所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程，可以认为包过滤的核心问题就是如何充分利用数据包中各个字段的信息，并结合安全策略来完成防火墙的功能。

1．数据表结构

当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部信息。TCP传给IP的数据单元称作TCP报文段(TCP Segment);IP传给网络接口层的数据单元称作IP数据报(IP Datagram)；通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包，顺序正好与此相反，头部信息逐层剥掉。IP，TCP首部格式如表3-2和表3-3所示。

0 版本 4 首部长度 认证 8

12 服务类型 标志 16

19

24 长度 段偏移量 31

- 16 -

蚌埠学院本科毕业设计（论文）

TTL 协议 源IP地址 目的IP地址 校验和 选项 ... 表3-2 IP首部格式

源端口号 目的端口号 序列号 确认号 首保L T P R C H 部留 R B B C J J 长 C L H T H R TCP校验和 紧急指针 选项 表3-3 TCP首部格式

对于帧的头部信息主要是源/目的主机的MAC地址;IP数据报头部信息主要是源/目的主机的IP地址;TCP头部的主要字段包括源/目的端口、发送及确认序号、状态标识等。

理论上讲，数据包所有头部信息以及有效载荷都可以作为判断包通过与否的依据，但是在实际情况中，包过滤技术上的问题主要是选取哪些字段信息，以及如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作，并尽可能提高安全控制力度。

2．传统包过滤技术

传统包过滤技术，大多是在IP层实现，它只是简单的对当前正在通过的单一数据包进行检测，查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等，结合访问控制规则对数据包实施有选择的通过。这种技术实现简单，处理速度快，对应用透明，但是它存在的问题也很多，主要表现有:

（1）所有可能会用到的端口都必须静态放开。若允许建立HTTP连接，就需要开放1024以上所有端口，这无疑增加了被攻击的可能性。

窗口大小 - 17 -

****：防火墙技术研究

（2）不能对数据传输状态进行判断。如接收到一个ACK数据包，就认为这是一个己建立的连接，这就导致许多安全隐患，一些恶意扫描和拒绝服务攻击就是利用了这个缺陷。

（3）无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或包含病毒代码，也无法进行控制和阻断。

综合上述问题，传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测，而没有考虑前后数据包之间的联系;(4)只检查包头信息，而没有深入检测数据包的有效载荷。

传统包过滤技术必须发展进化，在继承其优点的前提下，采用新的技术手段，克服其缺陷，并进一步满足新的安全应用要求。从数据包结构出发考虑，目前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间的关系，充分利用包头信息中能体现此关系的字段，如IP首部的标识字段和片偏移字段、TCP首部的发送及确认序号、滑动窗口的大小、状态标识等，动态执行数据包过滤。(2)纵向发展。深入检测数据包有效载荷，识别并阻止病毒代码和基于高层协议的攻击，以此来提高应用防御能力。这两种技术的发展并不是独立的，动态包过滤可以说是基于内容检测技术的基础。实际上，在深度包检测技术中己经体现了两种技术的融合趋势。

3．动态包过滤

动态包过滤又称为基于状态的数据包过滤，是在传统包过滤技术基础之上发展起来的一项过滤技术，最早由Checkpoint提出。

与传统包过滤技术只检查单个、孤立的数据包不同，动态包过滤试图将数据包的上下文联系起来，建立一种基于状态的包过滤机制。对于新建的应用连接，防火墙检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。这样，当一个新的数据包到达，如果属于已经建立的连接，则检查状态表，参考数据流上下文决定当前数据包通过与否;如果是新建连接，则检查静态规则表。

动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法的好处在于由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常是大量的数据包)通过散列算法，直接进行状态检查，从而使性能得到了较大提高;而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以

- 18 -

蚌埠学院本科毕业设计（论文）

上的端口，使安全性得到进一步地提高。

动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致。

4．深度包检测

目前许多造成大规模损害的网络攻击，比如红色代码和尼姆达，都是利用了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现，对防火墙提出了新的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。

深度包检测(Deep Packet Inspection)就是针对这种需求，深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。

应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需要高速检查它的能力。

简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描检测，但是对于应用防御的要求而言，这是远远不够的。如一段攻击代码被分割到10个数据包中传输，那么这种简单的对单一数据包的内容检测根本无法对攻击特征进行匹配: 要清楚地知道有效载荷，必须采取有效方法，将单个数据包重新组合成完整的数据流。应用层的内容过滤要求大量的计算资源，很多情况下高达100倍甚至更高。因而要执行深度包检测，带来的问题必然是性能的下降，这就是所谓的内容处理障碍。为了突破内容处理障碍，达到实时地分析网络内容和行为，需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法，可以解决这个问题。一个深度包检测的流程框图如图3-4所示

图3-4 深度包检测框图

在接收到网络流量后，将需要进行内容扫描的数据流定向到TCP/IP堆栈，

- 19 -

****：防火墙技术研究

其他数据流直接定向到状态检测引擎，按基本检测方式进行处理。定向到TCP/IP堆栈的数据流，首先转换成内容数据流。服务分析器根据数据流服务类型分离内容数据流，传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容协议，分析内容数据流，检测病毒和蠕虫。如果检测到信息流是一个HTTP数据流，则命令解析器检查上载和下载的文件;如果数据是Mail类型，则检查邮件的附件。如果数据流包含附件或上载/下载文件，附件和文件将传输到病毒扫描引擎，所有其他内容传输到内容过滤引擎。如果内容过滤启动，数据流将根据过滤的设置进行匹配，通过或拒绝数据。

5．流过滤技术

流过滤是东软集团提出的一种新型防火墙技术架构，它融基于状态的包过滤技术与基于内容的深度包检测技术为一体，提供了一个较好的应用防御解决方案，它以状态监测技术为基础，但在此基础上进行了改进其基本的原理是:以状态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的TCP/IP协议栈，实现了透明的应用信息过滤机制。

流过滤技术的关键在于其架构中的专用TCP/IP协议栈:这个协议栈是一个标准的TCP协议的实现，依据TCP协议的定义对出入防火墙的数据包进行了，完整的重组，重组后的数据流交给应用层过滤逻辑进行过滤，从而可以有效地识别并拦截应用层的攻击企图。

在这种机制下，从防火墙外部看，仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接访问，但是任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据以“流”的方式从一个会话流向另一个会话。由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。如在对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的。

- 20 -

蚌埠学院本科毕业设计（论文）

第四章 防火墙的配置

4.1 硬件连接与实施

一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。(如图4-1)

图4-1 H3C的Secpath 100F防火墙

对于中小企业来说一般出口带宽都在100M以内，所以我们选择100M相关产品即可。网络拓扑图中防火墙的位置很关键，一般介于内网与外网互连中间区域，针对外网访问数据进行过滤和监控。

如果防火墙上有WAN接口，那么直接将WAN接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。

4.2 防火墙的特色配置

从外观上看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。

与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同优先级别的区域，另外还需要针对相应接口隶属的区域进行配置，例如1接口划分到A区域，2接口划分到B区域等等，通过不同区域的访问权限差别来实现防火墙保护功能。默认情况下防火墙会自动建立trust信任区，untrust非信任区，DMZ堡垒主机区以及LOCAL本地区域。相应的本地区域优先级最高，其次是trust信任区，DMZ堡垒主机区，最低的是untrust非信任区域。

在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作，否则默认将阻止对该接口的任何数据通讯。

除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终

- 21 -

****：防火墙技术研究

端下的命令行参数进行配置或者通过WEB管理界面配置。

4.3 实验测试

4.3.1 实验简介

以H3C的Secpath 100F的防火墙为例

使用firewall enable（disable）来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

创建规则封闭一些计算机病毒常用的端口，用来防止计算机病毒的入侵。把规则应用到相应的端口上，让规则起到作用。把内部网络添加到Trust区域，再把外部网络添加到Untrust区域，实现Trust区域可以访问Untrust区域，但是Untrust区域不可以访问Trust区域。

配置完成后要保存配置用save命令，然后测试一下。 4.3.2 实验测试及结果

第一步：启动防火墙 firewall packet-filter enable 设置防火墙 firewall packet-filter default permit 第二步：配置aspf策略 aspf-policy 1 detect http //对http协议进行检测 detect smtp //对smtp协议进行检测 detect ftp //对ftp协议进行检测 detect tcp //对tcp协议进行检测 detect udp //对udp协议进行检测 第三步：创建DHCP地址池，定义属性值 #

dhcp server ip-pool test //dhcp服务器的地址池 network 192.168.1.0 mask 255.255.255.0 //地址池的ip地址段 gateway-list 192.168.1.1 //网关地址

- 22 -

蚌埠学院本科毕业设计（论文）

dns-list 172.16.1.99 //dns服务器地址 domain-name huawei-3com.com //dns服务器的域名

第四步：创建ACL #

acl number 2000 //acl规则200

rule 0 permit source 192.168.0.0 0.0.255.255 //允许来自192.168.0.0 255.255.255.0网段的ip访问

rule 1 deny //阻止其他网段访问 #

acl number 3000 //acl规则3000 rule 0 deny ip //阻止其他网段访问

# acl number 3001(封闭一些端口来阻止病毒的侵入)

rule 1 deny tcp source-port eq 3127 rule 2 deny tcp source-port eq 1025

rule 3 deny tcp source-port eq 5554 //“震荡波”病毒入侵的常用端口

rule 4 deny tcp source-port eq 9996 //“震荡波”病毒入侵的常用端口

rule 5 deny tcp source-port eq 1068 rule6 deny udp source-port eq netbios-ns rule7deny udp source-port eq netbios-ssn

rule8 deny udp source-port eq 1434 //蠕虫病毒传播的常用端口 rule9 deny tcp destination -port eq 3127 rule10 deny tcp destination -port eq 1025

rule11 deny tcp destination -port eq 5554 //“震荡波”病毒入侵的常用端口

rule12 deny tcp destination -port eq 9996 //“震荡波”病毒入侵的常用端口

rule13 deny tcp destination -port eq 1068 rule14 deny udp destination -port eq netbios-ns

- 23 -

****：防火墙技术研究

rule15 deny udp destination -port eq netbios-ssn

rule16 deny udp destination -port eq 1434 //蠕虫病毒传播的常用端口

第五步：应用规则

设置interface Ethernet 0/0 #

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0 //interface Ethernet0/0的ip地址

dhcp select interface //dhcp的选择端口 dhcp server dns-list 172.16.1.99

firewall packet-filter 3001 inbound //防火墙过滤在interface Ethernet0/0端口应用

设置interface Ethernet1/0 #

interface Ethernet1/0

ip address 172.16.1.99 255.255.255.0 // interface Ethernet1/0的ip地址

firewall packet-filter 3001 inbound // 防火墙的过滤在interface Ethernet1/0的端口应用

firewall aspf 1 outbound //防火墙应用aspf 1规则 nat outbount 2001 //防火墙应用规则2001 第六步：把interface Ethernat0/0加到信任区（trust） #

firewall zone trust

add interface Ethernet0/0 //把interface Ethernat0/0加到trust set priority 85 //安全等级85 把interface Ethernat1/0加到非信任区（untrust） #

- 24 -

蚌埠学院本科毕业设计（论文）

firewall zone untrust

add interface Ethernet1/0 //把interface Ethernat1/0加到untrust set priority 5 //安全等级5

案例配置如下图4-2至4-5所示。

图4-2 防火墙的配置1

图4-3 防火墙的配置2

- 25 -

****：防火墙技术研究

图4-4 防火墙的配置3

图4-5 防火墙的配置4

访问ftp服务器如图4-6所示：

- 26 -

蚌埠学院本科毕业设计（论文）

图4-6 访问ftp服务器

访问成功！ 总结：

（1）防火墙上配置防病毒列表，对常见病毒的端口访问进行阻断，在欲保护的网段接口上应用防病毒列表。

（2）防火墙收到IP报文后，会到上层进行相关过滤处理，此外还可防攻击检查，如ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。

（3）防火墙实现Trust区域可以访问Untrust区域，但是Untrust区域不可以访问Trust区域。

（4）内部网络能通过防火墙访问外部的ftp服务器。

- 27 -

****：防火墙技术研究

第五章 防火墙发展趋势

针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

5.1防火墙包过滤技术发展趋势

(1)安全策略功能

一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。

(2)多级过滤技术

所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。

这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。

(3)功能扩展

功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可

- 28 -

蚌埠学院本科毕业设计（论文）

以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。

5.2防火墙的体系结构发展趋势

随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

5.3防火墙的系统管理发展趋势

（1） 高速

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。 应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算

- 29 -

****：防火墙技术研究

法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢？说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。

这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

（2） 多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器; 支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

（3）体系结构的发展

要求防火墙能够协同工作，共同组成一个强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。

（4）专业化的发展

单向防火墙、电子邮件防火墙、FTP防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现。

（5） 安全

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更

- 30 -

蚌埠学院本科毕业设计（论文）

多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。

纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。

- 31 -

****：防火墙技术研究

展 望

随着Internet 和Intranet 技术的发展,网络的安全已经显得越来越重要, 网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯罪行为的问题，相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS 、VPN 和防病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。

防火墙目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题，对网络安全技术的有深刻的了解。

新一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。

要做到应用的可视化，新一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流，在多核的基础上，各家厂商还设计了“NP+多核+分布式”、“多核+ASIC”等架构。

当云计算成为无法阻挡的趋势时，防火墙也将借助云的力量变得更强大、更智能，部分国外厂商已经推出了采用此类技术的防火墙。

虚拟化技术是对防火墙的更大挑战，在如何保护虚拟环境的安全性方面，少数防火墙厂商已经提出了解决方案，我们希望能有更多的解决方案出现。

- 32 -

蚌埠学院本科毕业设计（论文）

致 谢

本文是在马老师的悉心指导下完成的，从文献的查阅、论文的选题、撰写、修改、定稿，我的每一个进步都和马老师的关注与指导密不可分。马老师在研究方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿，给于我巨大、无私的帮助。论文的字里行间无不凝结着老师的悉心指导和淳淳教海，老师渊博的学识和严谨的治学态度给我留下了深刻的印象，我从他那里学到的不仅仅是专业知识，更重要的是严谨的治学态度、对事业忘我的追求、高度的使命感、责任感及和蔼热情的品质和做人的道理，这些将使我受益一生，并将激励我不断向前奋进。

还有就是在这次的实习中更要对和我一起并肩战斗的其他几位小组成员说一声辛苦了，我们有了今天的成绩是我们不懈与团结。让我们共同努力创造更好的明天。在此过程中我们互相帮助，勉励是我们能完成这次任务的最大动力，也是我们之间最大的收获，最好的精神财富，愿我们还会有更好的合作！

经过了这次的实习也意味着我学习生涯的结束。在 大学的四年时间转瞬即逝，借此机会我要感谢四年来传授我知识的老师们，更要感谢所有对我学业、生活上的支持和鼓励，感谢所有关心帮助过我的人。

最后，祝愿他们在以后的生活中：工作顺利，生活美满！

- 33 -

****：防火墙技术研究

参 考 文 献

[1] 王艳.浅析计算机安全[J] . 电脑知识与技术.2010，(s):1054一1055. [2] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004，(s):79一82. [3] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003，

23(6):311一312.

[4] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004，(4):17一18. [5] 郑林.防火墙原理入门[Z]. E企业.2000.

[6] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004，20(l):57一62. [7] 李剑，刘美华，曹元大.分布式防火墙系统.安全与环境学报.2002，2(l):59

一61.

[8] 王卫平，陈文惠，朱卫未.防火墙技术分析.信息安全与通信保密.2006，

(8):24一27.

[9] A.Feldman, S.Muthukrishnan. Tradeoffs for Packet ClassifiCation.

Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.

[10] ]王永纲，石江涛，戴雪龙，颜天信.网络包分类算法仿真测试与比较研究.

中国科学技术大学学报.2004，34(4):400一409.

[11] 邵华钢，杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003，

29(12):123一124.

[12] 付歌，杨明福.一个快速的二维数据包分类算法.计算机工程.2004，

30(6):76一78.

[13] 付歌，杨明福，王兴军.基于空间分解的数据包分类技术.计算机工程与应

用.2004(8):63一65.

[14] 〕韩晓非，王学光，杨明福.位并行数据包分类算法研究.华东理工大学学

报.2003，29(5):504一508.

[15] 韩晓非，杨明福，王学光.基于元组空间的位并行包分类算法.计算机工程

与应用.2003，(29):188一192.

[16] http://www.cisco.com.cn/（思科网站）. [17]http://www.huawei.com/cn/（华为网站）.

- 34 -