毕业设计（论文）-基于防火墙的网络安全方案设计与探讨.docx

摘要 1—、弓I 言 1（一） ・防火墙的定义 2（二） .为什么要使用防火墙 2（三） ・防火墙的规则 2二、 防火墙技术 3（一） 、防火墙模型 3（二） 、防火墙技术 31. 防火墙的包过滤技术 32. 防火墙的应用层网络技术 43. 防火墙的电路级网关技术 44. 防火墙的地址翻译技术 4三、 防火墙的体系结构 5（一） ・包过滤防火墙 5（二） ・双宿主机型防火墙 5（三） ・屏蔽主机型防火墙 6（四） •屏蔽子网型防火墙 7四、 基于Windows操作系统内核的包过滤防火墙的系统的实现 8（一） ・方案组成描述 91. Windows 的 NDIS 92. Windows的文件系统 103. 虚拟设备驱动稈序技术 10（二） •网络信息访问控制系统的实现 101•网络信息访问控制系统策略管理 102. 拦截IP包的虚拟设备驱动程序及其与上层程序间的通信 113. 拦截后的TP包处理流程 114. 访问控制对代理的透明 12（三） .安全文件系统的实现 131. 文件系统安全策略管理 132. 文件系统操作的截获 133. 文件系统的保密处理 13五、结束语 14致谢 14参考文献及资料 15ABSTRACT 16基于防火墙的网络安全方案设计与探讨【摘要】：近年来，随着互联网的飞速发展，网络攻击变得越来越普遍，网络安全显得尤为 重要。

在网络的实际运用中，有许多方式用来为网络的安全性提供保护其中防火墙是应用最为 广泛的一种形式，通过数据包过滤和代理服务，防火墙可以完成内部网络和外部网络Z间强有 力的安全屏障木文对防火墙技术和防火墙体系结构讲行了研究，重点论述了基于Windows操 作系统内核的包过滤防火墙及其实现过稈关键词】: 网络安全；防火墙：代理；因特网；NDTS一、引言随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题网络安全性是一个涉及 瓯很广泛的问题，其中也会涉及到是否构成犯罪行为的问题在其最简单的形式中，它主要关 心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息此时，它关心的对彖是 那些无权使丿IJ,但却试图获得远程服务的人安全性也处理合法消息被截获和重播的问题，以 及发送者是否曾发送过该条消息的问题如何不断研究和提高信息安全技术己育接关系到社会 信息化的发展目前，普遍采用的技术主要包括加密、VPN (Virtual Private Network) ＞数字 身份识别、访问控制、入侵检测、网络防火墙、反病毒等技术据报道，96%的美国公司采用了 网络防火墙技术，仅比位居第一位的反病毒技术低2个百分点。

可见，网络防火墙技术在信息 安全领域扮演着十分重要的角色现在无论是企业，还是个人，信息安全问题都LI益成为广泛关注的焦点不要说绝大多数 非专业的企业网站，就边专业的著名网站，如Yahoo!、eBay等著名网站都曾经被黑客用原始 的DoS攻击方法攻陷过，软件系统巨人一一微软公司的网站也难逃“黑”运在这样一个大环 境下，网络安全问题凝聚了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”， 防病毒与防黑客成为确保企业信息系统安全的基本手段一) ・防火墙的定义防火墙就是在可信网络和不可信网络Z间的一个缓冲防火墙这个概念实际是从建筑上 一-种技术派生而来的，这种技术通过用一堵行防火材料建成的墙体来阻止或减缓火势的蔓延 在计算机网络中，防火墙的基木功能是对网络通信进行筛选屏蔽以放未经授权的访问进出计算 机网络防火墙可以有不同的结构和规模通常防火墙是有几台计算机构成的防火墙具有如 下特性：1. 所有的通信都经过防火墙；2. 防火墙以放行经过授权的网络流量；3. 防火墙能经受得起对其自身的攻击⑴；（二） .为什么要使用防火墙人们要提出的第一个问题可能是为什么要使川防火墻？把每个单独的系统配置好能经受住 攻击不就行了吗？对此问题最简单的冋答是：防火墙只专注一件事情——在已授权和未授权通 信Z间作出决断，这就避免的在安全性，可川性和功能上进行权衡和妥协。

防火墙成为了与不可信网络进行联络的惟一纽带于是，管理员就不用再确保多台机器要 尽可能的安全了，他只要集中关注防火墙就行了但这并不是说躲在防火墙里血的系统就不需 要严格的安全措施了，防火墙只是提供了一层避免错谋的额外保护而己总Z,防火墙减轻了系统被用于非法和恶意目的的风险三） .防火墙的规则防火墙不同的设计，防火墙可以在以下方面保护计算机的网络：•谁能够进入网络并发出信息；•什么内容能够进入网络或从网络出去；•用户和数据从哪里进入网络和离开网络，如何进入和离开网络⑵；防火墙的基木原理是对内部网络和外部网络之间的信息流进行控制，控制功能是通过在防 火墙中预先设定一定的安全规则实现的防火墙的安全规则有匹配条件与处理方式两个部分共 同构成其中匹配条件是一些逻辑表达式如果信息使匹配条件的逻辑表达式为真，则说明该 信息与当前规则匹配信息一旦与规则匹配，就必须采用规则中的处理方式进行处理i般来说，大多数防火墙规则中的处理方式主要包括以下几条：• Accept：允许数据或信息通过；• Reject：拒绝数据或信息通过，并且通知信息源该信息被禁止；• Drop：直接将数据包或信息丢弃，并且不通知信息源；所有的防火墙产品在规则匹配的基础上都会采用以下两条基木原则中的一种：• 一切未被允许的就是禁上的；• 一切未被禁止的就是允许的；[3]二、防火墙技术（一）.防火墙模型防火墙模型如图1所示⑷。

0S1/RM 防火墙应用层网关级表不层会话层传输层电路级网络层路山器级数据链路层网桥级■物理层中继器级防火墙系统图1防火墙模型非保护区(二).防火墙技术1. 防火墙的包过滤技术基于包过滤技术的防火墙一般有一个包检查模块，包过滤可以安装在一个双宿网关上或一 个路由器上实现，当然也可以安装在一台服务器上数据包过虑可以控制站点与站点，站点与 网络，网络与网络Z间的相互访问，但不能控制传输的数据的内容，因为内容是应用层数据， 不是包过滤系统能辨认的包检杳模块应该深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包，当我们把包过滤防火墙安装在网关上之示，包过滤检杏模块深入到系统的网络层和数据链防火墙检查模块路层之，间，因为数据链路层是事实上的网卡(NIC, Network Interface Card)，网络层是第一层 协议堆栈，所以包过滤防火墙位于操作系统软件层次的最底层l5][12]o图2.包过滤模型2. 防火墙的应用层网络技术(代理技术)代理(Proxy)技术与包过滤技术完全不同，包过滤技术是网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序通过设置代理服务，应用层网关可以控制网络内部的应用程序访问外界的方式。

该服务充 当客户端的替代品，代表单个用户请求Web页或是发送或接收电了邮件，这样可以避免用户与 Internet的肓接连接这种隐蔽性可以最小化病毒，蠕虫，特洛伊木马等所造成的影响现在，新的协议，服务和应用在不断的出现，代理不再能处理Internet 的各种类型的传 输，不能满足新的商业要求，不能胜任对网络高宽带和安全性的需要[l][91o3. 防火墙的电路级网关技术电路级网关的运行方式与应用级网关很相似，但是它有一个典型的特征：它更多的是面向 非交互式的应用稈序在拥挤通过了战初的身份验证Z后，电路级网关就允许用户穿过网关来 访问服务了，在此过程中，电路级网关只是简单地中转用户和目的服务器之间的连接而已，电 路级网关的典型例了就是代理服务器和SOCKS服务器电路级网关的工作方式是对从受信任的 网络发到不受信任的TCP连接进行中转在中转过稈中，源IP地址被转化成电路级网关的地 址，使得外界看来是网关和目的地址在进行连接电路级网关工作原理如图3所示⑹〔⑹图3.电路级网关工作原理图4. 防火墙的地址翻译技术为了解决IP地址空间的不足和更好的提高内部网络的安全性，可以采用网络地址翻译NAT (Network Address Translation)技术，也称 IP 地址伪装技术(IP Masquerading).因特网 编号分配管理机构(IANA, Internet Assigned Number Authority)保留了以下IP地址空间为 私有网络地址空间：10. 0. 0. 0—10. 255. 255. 255, 172. 16. 0. 0—192. 31. 255. 255,192.168. 0. 0—192. 168. 255. 255,因此我们可以采用私有网络TP地址空间,利用地址伪 装一网络地址翻译技术，建立对外部用户透明的私有网。

对外部网络的用户来说，私有网是透 明的，不存在的这样一来可以防止内部网络结构被人窃取因此从一定稈度上降低了内部网 络被攻击的可能性，提高了私有网络的安全性山三、防火墙的体系结构（一）.包过滤型防火墙包过滤型防火墙可以用一台过滤路由器来实现，对所接收的毎个数据包做允许拒绝的决 定路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配过滤规则基于可以提供 给IP转发过程的包头信息包过滤型防火墙模型如图4所示[7][111[13][15]0根据站点的安全策略來决定是否转发数据包图4.包过滤防火墙通过检杳模块，防火墙能拦截和检杳所冇出站和进站的数据防火墙检杳模块首先验证这 个包是否符合过滤规则，不管是否符合过滤规则，防火墙一-般要记录数据包情况，不符合规则 的包都要进行报警或通知管理员对丢弃的数据包，防火墙可以给发送方一个消息，也可以不 给，这要取决于过滤策略二）双宿主机型防火墙双宿主主机的防火墙体系结构是相当简单的，双宿主主机位于因特网和内部网络Z间双 宿主机是指拥有两个连接到不同网络上的网络借口的主机双宿主机型防火墙的体系结构图如 5所示这中防火墙最大的特点是IP层的通信是被阻止的，两个网络Z间的通信可通过应用层 数据共享或应用层代理服务来完成〔⑹。

图5.双宿主机型防火墙体系结构图双宿主主机能提高级别的控制功能，假设一点也不允许外部网络与内部网络Z间数据包传 输，那么如果在网络上发现了任何具有外部源的数据包，就可以断了存在的某种安全问题一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手 段网络服务本身的特点就是“存储转发”，如HTTP (HyperText TransferProtocol), SMTP (Simple Mail Transfer Protocol)和 NNTP (Network News Transfer Protocol),这些服务很适合于进行代理在双宿主机上，运行各种各样的代理服务器，当要访 问外部站点时，必须先经过代理服务器的认证，然后才能通过代理服务器访问因特网双重宿 主主机是唯一的隔开内部网和Internet Z间的屏障，如果入侵者得到了双重宿主主机的访问 权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证 系统，才可以被阻扌当来自外部不可信网络的非法登陆三) .屏蔽主机型防火墙屏蔽主机型防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们肓接与内部主 机相连。

屏蔽主机防火墙包过滤路由器和堡垒主机纽•成这个防火墙系统提供的安全等级比包 过滤防火墙系统要高屏蔽主机型防火墻结构如图6所示所有入侵者在。