防火墻課程設(shè)計(jì)

1、<p><b>　　目錄</b></p><p>　　1.課題研究的目的和意義1</p><p>　　1.1防火墻安全控制的背景1</p><p>　　1.2防火墻安全控制的目的1</p><p>　　1.3防火墻安全控制的意義2</p><p>　　2.防火墻安全控制程序原理

2、4</p><p>　　2.1防火墻安全控制概念4</p><p>　　2.2防火墻安全控制基本原理4</p><p>　　2.3防火墻安全控制常用技術(shù)5</p><p>　　2.4防火墻安全控制程序的IP過濾功能7A</p><p>　　3.防火墻安全控制程序總體結(jié)構(gòu)9</p><p&g

3、t;　　3.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu)9</p><p>　　3.2 防火墻安全控制拓?fù)鋱D及其分析9</p><p>　　3.3防火墻防火墻安全控制部署方案11</p><p>　　4.防火墻安全控制程序詳細(xì)設(shè)計(jì)14</p><p>　　4.1開發(fā)環(huán)境14</p><p>　　4.2防火墻安全控制程序的

4、實(shí)現(xiàn)方法14</p><p>　　4.3主要模塊的程序?qū)崿F(xiàn)15</p><p>　　5.系統(tǒng)結(jié)果與分析18</p><p>　　6.總結(jié)與展望20</p><p><b>　　6.1總結(jié)20</b></p><p><b>　　6.2展望20</b></p&

5、gt;<p><b>　　參考文獻(xiàn)22</b></p><p>　　1.課題研究的目的和意義</p><p>　　1.1防火墻安全控制的背景</p><p>　　據(jù)了解，從1997年底至今，我國(guó)的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、

6、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國(guó)大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國(guó)的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國(guó)內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對(duì)許多潛在風(fēng)險(xiǎn)認(rèn)識(shí)不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，

7、對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。</p><p>　　隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已經(jīng)日益突。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾，而與此同時(shí)，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。</p><p&g

8、t;　　1.2防火墻安全控制的目的</p><p>　　一般的防火墻都可以達(dá)到以下目的：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；②防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施；③限制人們?cè)L問特殊站點(diǎn)；④為監(jiān)視Internet安全提供方便。由于防火墻是一種被動(dòng)技術(shù)，因此對(duì)內(nèi)部的非法訪問難以有效控制，防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)。由于防火墻是網(wǎng)絡(luò)安全的一個(gè)屏障，因此一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過

9、濾不安全的服務(wù)來降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)安全環(huán)境變得更安全。例如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻還可以同時(shí)保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。而網(wǎng)絡(luò)安全控制是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的

10、復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。</p><p>　　1.3防火墻安全控制的意義</p><p>　　現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡(luò)來了解世界，人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會(huì)關(guān)注的重要問題之一。正是因?yàn)榘踩{的無處不在，為了解決這個(gè)問題防火墻出現(xiàn)了

11、。在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問，而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應(yīng)用程序行為控制等獨(dú)特的自

12、我保護(hù)機(jī)制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進(jìn)入；它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止機(jī)密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點(diǎn)，禁止用戶對(duì)某些內(nèi)容不健康站點(diǎn)的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便。現(xiàn)在國(guó)外的優(yōu)秀防火墻不但能完成以上介紹</p><p>　　2.防火墻安全控制程序原理</p><p>　　2.1防火墻安

13、全控制概念</p><p>　　防火墻【1】的本義原是指古代人們?cè)诮ㄔ炷局平Y(jié)構(gòu)的房屋時(shí)，為防止火災(zāi)時(shí)不會(huì)蔓延到別的房屋而在房屋周圍堆砌的石塊，而計(jì)算機(jī)網(wǎng)絡(luò)中所說的防火墻，是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。</p><p>　　所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方

14、法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)【2】（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。</p><p>　　2.2防火墻安全控制基本原理</p

15、><p>　　最簡(jiǎn)單的防火墻是以太網(wǎng)橋，一些應(yīng)用型的防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保，還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定接受還是拒絕。所有的防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行／丟棄決定。</p><p>　　防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡(luò)（也稱私人網(wǎng)絡(luò)）和外部

16、網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)）隔離開，起到區(qū)域網(wǎng)絡(luò)不同安全區(qū)域的防御性設(shè)備的作用。例如：互聯(lián)網(wǎng)絡(luò)（internet）與企業(yè)內(nèi)部網(wǎng)絡(luò)（intranet）之間，如圖2-1所示。</p><p>　　圖2-1內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)</p><p>　　其中DMZ(demilitarized zone)【3】的縮寫中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的

17、問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來說又多了一道關(guān)卡。</p><p>　　根據(jù)已經(jīng)設(shè)置好的安全規(guī)則，決定是允許（allow）或者拒絕（de

18、ny）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖2-2所示。</p><p>　　2.3防火墻安全控制常用技術(shù)</p><p>　　2.3.1防火墻技術(shù)</p><p>　　網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)

19、上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。</p><p>　　圖2-2內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接</p><p>　　2.3.2數(shù)據(jù)加密技術(shù)</p><p>　　數(shù)據(jù)加密【4】技術(shù)就是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，

20、防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。</p><p>　　數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要

21、求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。</p><p>　　2.3.3系統(tǒng)容災(zāi)技術(shù)</p><p>　　集群技術(shù)是一種系統(tǒng)級(jí)的系統(tǒng)容錯(cuò)技術(shù)，通過對(duì)系統(tǒng)的整體冗余和容錯(cuò)來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是

22、最好的。存儲(chǔ)、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲(chǔ)系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲(chǔ)網(wǎng)絡(luò)化時(shí)代的發(fā)展，傳統(tǒng)的功能單一的存儲(chǔ)器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲(chǔ)器。</p><p>　　2.3.4入侵檢測(cè)技術(shù)</p><p>　　入侵檢測(cè)【5】技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對(duì)這些信息進(jìn)行分析和判斷。通過檢測(cè)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行

23、為或異常行為，入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時(shí)，入侵檢測(cè)系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識(shí)別異常行為和攻擊行為（通過異常檢測(cè)和模式匹配等技術(shù)）、對(duì)攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。 </p><p>　　2.4防火墻安全控制程序?qū)υ碔P地址和目的IP過濾功能</p><p>　

24、　所有基于Windows操作系統(tǒng)的個(gè)人防火墻核心技術(shù)在于Windows操作系統(tǒng)下數(shù)據(jù)包攔截技術(shù)。包過濾系統(tǒng)工作在OSI模型中的網(wǎng)絡(luò)層，可以根據(jù)數(shù)據(jù)包報(bào)頭等信息來制定規(guī)則。數(shù)據(jù)包過濾是包過濾路由器可以決定對(duì)它所收到的每個(gè)數(shù)據(jù)包的取舍。是基于路由器技術(shù)的，建立在網(wǎng)絡(luò)層、傳輸層上。路由器對(duì)每發(fā)送或接收來的數(shù)據(jù)包審查是否與某個(gè)包過濾規(guī)則相匹配。包過濾規(guī)則即訪問控制表，通過檢查每個(gè)分組的源IP地址、目的地址來決定該分組是否應(yīng)該轉(zhuǎn)發(fā)。如果找到一個(gè)匹

25、配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個(gè)與規(guī)則不相匹配的，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。 包過濾系統(tǒng)的工作流程圖如圖2-3所示</p><p>　　圖2-3 防火墻過濾系統(tǒng)工作流程</p><p>　　3.防火墻安全控制程序總體結(jié)構(gòu)</p><p>　　3.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu)</p><

26、;p>　　如圖3-1所示，如果內(nèi)部網(wǎng)絡(luò)地址為10.0.1.1的主機(jī)希望訪問Internet上地址為202.0.1.1的Web服務(wù)器，那么它就會(huì)產(chǎn)生一個(gè)源地址S=10.0.1.1，目的地址為202.0.1.1的分組為1。NAT常與代理、防火墻技術(shù)一起使用。在防火墻中起到了重要的作用。</p><p><b>　　圖3-1工作原理圖</b></p><p>　　防火

27、墻安全控制程序設(shè)計(jì)的實(shí)現(xiàn)框圖如圖3-2所示:</p><p>　　3.2 防火墻安全控制拓?fù)鋱D及其分析</p><p>　　分層設(shè)計(jì)將一個(gè)規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)分為幾個(gè)較小的層次，這些層次之間既相對(duì)獨(dú)立又相對(duì)關(guān)聯(lián)，他們之間可以看做是一個(gè)層次疊加的關(guān)系。每一層都有自己特定的作用。</p><p>　　核心層主要高速處理數(shù)據(jù)流，提供節(jié)點(diǎn)之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，優(yōu)化傳輸鏈路，并實(shí)

28、現(xiàn)安全通信。從網(wǎng)絡(luò)設(shè)計(jì)來看，它的結(jié)構(gòu)相對(duì)簡(jiǎn)單，但是對(duì)核心層的設(shè)備性能的十分嚴(yán)格。一般采用高性能的多層模塊化交換機(jī)，并要盡量減少核心層的路由器配置的復(fù)雜程度，并且核心層設(shè)備應(yīng)該具有足夠的路由信息，將數(shù)據(jù)包發(fā)往網(wǎng)絡(luò)中的任意目的主機(jī)。</p><p>　　圖3-2防火墻安全控制程序設(shè)計(jì)實(shí)現(xiàn)框圖</p><p>　　匯聚層主要提供基于策略的網(wǎng)絡(luò)連接，負(fù)責(zé)路由聚合，收斂數(shù)據(jù)流量，將網(wǎng)絡(luò)服連接到接入層

29、。匯聚層是核心層與接入層的分界面，接入層經(jīng)常處于變化之中，為了避免接入層的變化對(duì)核心層的影響，可以利用匯聚層隔離接入層拓?fù)浣Y(jié)構(gòu)的變化，是核心層的交換機(jī)處于穩(wěn)定，不受外界的干擾。</p><p>　　圖3-3 防火墻安全控制拓?fù)鋱D</p><p>　　接入層為用戶提供網(wǎng)絡(luò)訪問功能，并負(fù)責(zé)將網(wǎng)絡(luò)流量饋入到匯聚層，執(zhí)行用戶認(rèn)證和訪問控制，并提供相關(guān)的網(wǎng)絡(luò)服務(wù)。接入層一般采用星型的拓?fù)浣Y(jié)構(gòu)，而且一

30、般不提供路由功能，也不進(jìn)行路由信息的交換。</p><p>　　通過這樣三層的網(wǎng)絡(luò)設(shè)計(jì)，可以將網(wǎng)絡(luò)分解程序多的小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性；可以使網(wǎng)絡(luò)更容易的處理廣播風(fēng)暴、信號(hào)循環(huán)問題；而且分層的設(shè)計(jì)模型降低了設(shè)備配置的復(fù)雜性，網(wǎng)絡(luò)故障也會(huì)更容易的排除，是網(wǎng)絡(luò)更容易的管理，使企業(yè)的網(wǎng)絡(luò)更安全、穩(wěn)定。</p><p>　　3.3防火墻防火墻安全控制部署方案</p><p

31、>　　防火墻是一個(gè)或一組系統(tǒng),隔離堡壘主機(jī)通過運(yùn)行在其上面的防火墻軟件，控制應(yīng)用程序的轉(zhuǎn)發(fā)以及提供其他服務(wù)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略,同時(shí)也是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織的服務(wù)。</p><p>　　防火墻的主要實(shí)現(xiàn)功能：</p><p>　　1.防止外部的IP地址欺騙：IP地址欺騙是一種常見的對(duì)企業(yè)內(nèi)部服務(wù)器的攻擊手

32、段外部網(wǎng)的攻擊者將其數(shù)據(jù)包的源地址偽裝成內(nèi)部網(wǎng)合法的IP 地址或Loopback 地址，以繞過防火墻，實(shí)現(xiàn)非法訪問?？梢栽诜阑饓Φ娜趾徒涌谂渲弥校ㄟ^命令來實(shí)現(xiàn)防止外部IP地址的欺騙.</p><p>　　2.控制內(nèi)部網(wǎng)的非法IP 地址進(jìn)入外部網(wǎng);通過設(shè)置訪問列表，可以控制內(nèi)部網(wǎng)的哪些機(jī)器可以進(jìn)入外部網(wǎng)，哪些機(jī)器不可以進(jìn)入外部網(wǎng)，保障內(nèi)部網(wǎng)的安全和可靠。</p><p>　　3.對(duì)內(nèi)部網(wǎng)

33、資源主機(jī)的訪問控制：企業(yè)內(nèi)部網(wǎng)的服務(wù)器是非法訪問者的重點(diǎn)攻擊對(duì)象，同時(shí)它又必須為外部用戶提供一定的服務(wù)，對(duì)于特定的服務(wù)器，可以只允許訪問特定的服務(wù)。也就是說，對(duì)于Web 服務(wù)器只允許訪問Web 服務(wù)；而對(duì)FTP服務(wù)器，只允許訪問FTP 服務(wù)。</p><p>　　4.防止外部的ICMP重定向欺騙</p><p>　　5.防止外部的資源路由選擇欺騙</p><p>　

34、　6.對(duì)撥號(hào)上網(wǎng)用戶的訪問控制</p><p>　　7.防止內(nèi)部用戶盜用IP方法</p><p>　　8.防止對(duì)路由器的攻擊</p><p>　　9.內(nèi)部網(wǎng)絡(luò)流量的控制</p><p>　　防火墻的核心技術(shù)：包過濾防火墻【6】。包過濾防火墻也稱為訪問控制表或屏蔽路由器，它通過查看所流經(jīng)的數(shù)據(jù)包，根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，并根據(jù)是否與

35、規(guī)則匹配來決定是否讓該數(shù)據(jù)包通過。包過濾防火墻將對(duì)每一個(gè)接收到的包做出允許或拒絕的決定。具體地講，它針對(duì)每一個(gè)數(shù)據(jù)報(bào)的報(bào)頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。包過濾是在IP層實(shí)現(xiàn)的，包過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等報(bào)頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。包過濾也包括與服務(wù)相關(guān)的過濾，這是指基于特定的服務(wù)進(jìn)行包

36、過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口，因此，為阻斷所有進(jìn)入特定服務(wù)的鏈接，防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。</p><p><b>　　包過濾的原則：</b></p><p>　　(1)包過濾規(guī)則必須被包過濾設(shè)備端口存儲(chǔ)起來。 </p><p>　　(2)當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大

37、多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。 </p><p>　　(3)包過濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。 </p><p>　　(4)若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。 </p><p>　　(5)若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。 </p><p>

38、　　(6)若包不滿足任何一條規(guī)則，則此包便被阻塞。</p><p>　　4.防火墻安全控制程序詳細(xì)設(shè)計(jì)</p><p><b>　　4.1開發(fā)環(huán)境</b></p><p>　　Visual C++6.0【7】簡(jiǎn)稱VC或者VC6.0. 是一個(gè)基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境（integrated development enviro

39、nment，IDE）。Visual C++6.0由許多組件組成，包括編輯器、調(diào)試器以及程序向?qū)ppWizard、類向?qū)lass Wizard等開發(fā)工具。 這些組件通過一個(gè)名為Developer Studio的組件集成為和諧的開發(fā)環(huán)境。</p><p>　　Visual C++它大概可以分成三個(gè)主要的部分：</p><p>　　Developer Studio，這是一個(gè)集成開發(fā)環(huán)境，我們

40、日常工作的99%都是在它上面完成的，Developer Studio提供了一個(gè)很好的編輯器和很多Wizard，但實(shí)際上它沒有任何編譯和鏈接程序的功能。</p><p>　　MFC，從理論上來講，MFC也不是專用于Visual C++，Borland C++，C++Builder和Symantec C++同樣可以處理MFC。</p><p>　　Platform SDK，這才是Visual

41、C++和整個(gè)Visual Studio的精華和靈魂，Platform SDK是以Microsoft C/C++編譯器為核心，配合MASM，輔以其他一些工具和文檔資料。</p><p>　　4.2防火墻安全控制程序的實(shí)現(xiàn)方法</p><p>　　這次設(shè)計(jì)的重點(diǎn)在于防火墻安全控制程序的配置，在配置防火墻的過程中，重點(diǎn)在于設(shè)置NAT和ACL，NAT用來配置內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)時(shí)的地址轉(zhuǎn)換，保證內(nèi)網(wǎng)

42、與外網(wǎng)的計(jì)算機(jī)相互之間能夠成功地訪問對(duì)方。ACL是訪問控制，主要用來設(shè)置內(nèi)網(wǎng)計(jì)算機(jī)的訪問權(quán)限，通過配置ACL，可以禁止或允許內(nèi)網(wǎng)中的計(jì)算機(jī)之間的相互訪問以及內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)。防火墻是在內(nèi)網(wǎng)和外網(wǎng)中設(shè)置的氣到網(wǎng)絡(luò)安全的。實(shí)現(xiàn)防火墻技術(shù)的實(shí)驗(yàn)就需要建立內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的局域網(wǎng)都是通過交換機(jī)來設(shè)計(jì)的。</p><p>　　首先是內(nèi)部網(wǎng)絡(luò)是將PC2、Edge和Core連接起來，然后利用超級(jí)終端軟

43、件對(duì)各個(gè)設(shè)備進(jìn)行配置， 配置如下：首先在PC2計(jì)算機(jī)中對(duì)網(wǎng)絡(luò)地址進(jìn)行配置，IP地址設(shè)置為10.10.10.15，子網(wǎng)掩碼為255.255.255.0；其次對(duì)交換機(jī)2626B進(jìn)行配置，將其分為多個(gè)局域網(wǎng)，此次實(shí)驗(yàn)只分配Vlan 1，其IP地址的范10.1.1.3/24。</p><p>　　其次是對(duì)HP ProCurve 5308xl三層交換機(jī)，其背板交換引擎速度為76.8G bps，吞吐量高達(dá)48mpps，并配置

44、雙冗余電影，保證核心層高速、可靠的三層交換；給它配置兩個(gè)Vlan，Vlan 1的地址為10.1.1.1/24，Vlan 10的地址為10.10.110.1/24，并在vlan 10上配置中繼端口B1，在vlan 1上配置中繼端口在vlan 10上配置中繼端口B2，啟用三層轉(zhuǎn)發(fā)協(xié)議。</p><p>　　在內(nèi)部網(wǎng)絡(luò)的各個(gè)設(shè)備設(shè)置完后，嘗試使用PC2 ping 7102A的出口地址，但是因?yàn)槿鄙俾酚桑詐ing不通

45、。所以我們還需要在5308上寫上內(nèi)網(wǎng)默認(rèn)路由，在7102A上添加10.10.110.0網(wǎng)絡(luò)的出口路由，指令如下：</p><p>　　Core(config)#Ip route 0.0.0.0 0.0.0.0 10.1.1.2</p><p>　　NAT (config)#Ip route 10.10.10.15 255.255.255.0 10.1.1.1</p><

46、p>　　添加上默認(rèn)路由后，內(nèi)部網(wǎng)絡(luò)即構(gòu)建完畢。如果從PC2 ping 7102A的出口地址10.1.1.2，不通的話，還需要認(rèn)真的檢查確保各vlan或端口之間的tagged和untagged配置是否正確。</p><p>　　4.3主要模塊的程序?qū)崿F(xiàn)</p><p><b>　　具體程序如下：</b></p><p>　　typedef

47、struct IpHeader</p><p>　　{ UCHAR iph VerLen； // 版本號(hào)和頭長(zhǎng)度</p><p>　　UCHAR ipTos； // 服務(wù)類型</p><p>　　USHORT ipLength； // 總的數(shù)據(jù)包大小</p><p>　　USHORT ipID； // 特殊標(biāo)識(shí)符</p><

48、;p>　　USHORT ipFlags； // 標(biāo)志</p><p>　　USHORT ipTTL； // 生存期</p><p>　　UCHAR ipProtocol； // 協(xié)議</p><p>　　USHORT ipChecksum； // 數(shù)據(jù)包檢驗(yàn)和</p><p>　　ULONG ipSource； // 源地址</p

49、><p>　　ULONG ipDestination； // 目的地址</p><p>　　} IPPacket；</p><p>　?。?）TCP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)</p><p><b>　　TCP數(shù)據(jù)定義：</b></p><p>　　typedef struct_TCPHeader</p&g

50、t;<p>　　{ USHORT sourcePort； // 源端口號(hào)</p><p>　　USHORT destinationPort； // 目的端口號(hào)</p><p>　　ULONG sequenceNumber； // 序號(hào)</p><p>　　ULONG acknowledgeNumber； // 確認(rèn)序號(hào)</p><p

51、>　　UCHAR dataoffset； // 數(shù)據(jù)指針</p><p>　　UCHAR flags； // 標(biāo)志</p><p>　　USHORT windows； // 窗口大小</p><p>　　USHORT checksum； // 校驗(yàn)和</p><p>　　USHORT urgentPointer； // 緊急指針<

52、/p><p>　　} TCPHeader；</p><p>　　（3）UDP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)</p><p><b>　　UDP數(shù)據(jù)定義：</b></p><p>　　typedef struct_UDPHeader</p><p>　　{ USHORT sourcePort； // 源端口號(hào)</

53、p><p>　　USHORT destinationPort； // 目的端口號(hào)</p><p>　　USHORT len； // 封包長(zhǎng)度</p><p>　　USHORT checksum； // 校驗(yàn)和</p><p>　　} UDPHeader；</p><p>　?。?）過濾規(guī)則的設(shè)計(jì)</p>&l

54、t;p><b>　　過濾規(guī)則定義：</b></p><p>　　struct CIPFilter</p><p>　　{ USHORT protocol； // 使用的協(xié)議</p><p>　　ULONG sourceIP； // 源IP地址</p><p>　　ULONG destinationIP； // 目標(biāo)

55、IP地址</p><p>　　ULONG sourceMask； // 源地址屏蔽碼</p><p>　　ULONG destinationMask； // 目的地址屏蔽碼</p><p>　　USHORT sourcePort； // 源端口號(hào)</p><p>　　USHORT destinationPort； // 目的端口號(hào)</p

56、><p>　　BOOLEAN bDrop； // 是否丟棄此封包</p><p><b>　　}；</b></p><p><b>　　規(guī)則列表定義：</b></p><p>　　struct CFilterList</p><p>　　{ CIPFilter ipf； // 過

57、濾規(guī)則</p><p>　　CFilterList* pNext； // 指向下一個(gè)CFilterList結(jié)構(gòu)</p><p><b>　　}；</b></p><p><b>　　5.系統(tǒng)結(jié)果與分析</b></p><p>　　在超級(jí)終端上的命令是：</p><p>　　2

58、626B(config)#Vlan 1 </p><p>　　2626B(Vlan-1)#ip address 10.1.1.3/24</p><p>　　2626B(Vlan-1)#Vlan 110 tagged 25</p><p>　　調(diào)試結(jié)果如圖5-1所示：</p><p><b>　　圖5-1調(diào)試結(jié)果</b>&

59、lt;/p><p>　　設(shè)置局域網(wǎng)Vlan 1：</p><p>　　Core (config)#Vlan 1 </p><p>　　Core（Vlan-1）# ip address 10.1.1.1/24</p><p>　　Core（Vlan-1）#tagged B2</p><p>　　設(shè)置局域網(wǎng)Vlan 10：&l

60、t;/p><p>　　Core (config)#Vlan 10 ip address 10.10.110.1/24</p><p>　　Core (config)#Vlan 110 tagged B1</p><p>　　調(diào)試結(jié)果如圖5-2所示：</p><p>　　給7102的兩個(gè)以太網(wǎng)口配置地址，并激活。ETH0/1的地址為10.1.1.2

61、/24，ETH0/2的地址為202.100.1.2/24，指令如下：</p><p>　　NAT (config)#interface Ethernet 0/1</p><p>　　NAT (config-eth 0/1)#ip address 10.1.1.2 255.255.255.0</p><p>　　NAT (config-eth 0/1)#no shut

62、down</p><p>　　NAT (config)#interface Ethernet 0/2</p><p>　　NAT (config-eth 0/2)#ip address 202.100.1.2 255.255.255.0</p><p>　　運(yùn)行如圖5-3所示：</p><p><b>　　圖5-2調(diào)試結(jié)果</

63、b></p><p><b>　　圖5-3 調(diào)試結(jié)果</b></p><p><b>　　6.總結(jié)與展望</b></p><p><b>　　6.1總結(jié)</b></p><p>　　課程設(shè)計(jì)是培養(yǎng)學(xué)生綜合運(yùn)用所學(xué)知識(shí),發(fā)現(xiàn),提出,分析和解決實(shí)際問題,鍛煉實(shí)踐能力的重要環(huán)節(jié)

64、,是對(duì)學(xué)生實(shí)際工作能力的具體訓(xùn)練和考察過程.　　</p><p>　　回顧起此次課程設(shè)計(jì)，至今我仍感慨頗多，從理論到實(shí)踐，在整整兩星期的日子里，不僅鞏固了以前所學(xué)過的知識(shí)，而且學(xué)到了很多在書本上所沒有學(xué)到過的知識(shí)。這次課程設(shè)計(jì)使我懂得了理論與實(shí)際相結(jié)合是很重要的，只有把所學(xué)的理論知識(shí)與實(shí)踐相結(jié)合起來，才能提高自己的實(shí)際動(dòng)手能力和獨(dú)立思考的能力。我們通過查閱大量有關(guān)資料，并在小組中互相討論，交流經(jīng)驗(yàn)和自學(xué)，若遇到實(shí)

65、在搞不明白的問題就會(huì)及時(shí)請(qǐng)教老師，使自己學(xué)到了不少知識(shí)，收獲同樣巨大。也使我也發(fā)現(xiàn)了自身存在的不足之處，理論知識(shí)掌握不夠，運(yùn)用到實(shí)踐的過程中就會(huì)有很多困惑，經(jīng)過一番努力才得以解決。這也激發(fā)了我今后努力學(xué)習(xí)的興趣，我想這將對(duì)我以后的學(xué)習(xí)產(chǎn)生積極的影響。</p><p>　　通過這次設(shè)計(jì)，我懂得了學(xué)習(xí)的重要性，了解到理論知識(shí)與實(shí)踐相結(jié)合的重要意義，學(xué)會(huì)了堅(jiān)持、耐心和努力，這將為自己今后的學(xué)習(xí)和工作做出了最好的榜樣&l

66、t;/p><p><b>　　6.2展望</b></p><p>　　網(wǎng)絡(luò)已成為人們生活當(dāng)中信息來源不可缺少的一部分，網(wǎng)絡(luò)的安全是每位用戶必須了解的常識(shí)，可見人們追求的操作系統(tǒng)不僅僅是新鮮、易用，更多的是安全、穩(wěn)定、高效、免費(fèi)、開源。 </p><p>　　未來防火墻的發(fā)展方向：第一，防火墻的性能將不斷突破。隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，網(wǎng)絡(luò)帶寬需求會(huì)不

67、斷的增長(zhǎng)，并對(duì)防火墻的性能提出更高的要求，滿足千兆、萬兆以及更高的帶寬要求是防火墻發(fā)展的一個(gè)方向。第二，防火墻將不斷的深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來越少，但應(yīng)用層的安全問題卻越來越突出，防火墻將會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，不斷挖掘應(yīng)用防護(hù)的深度。第三，防火墻將支持更多的應(yīng)用層協(xié)議。對(duì)應(yīng)用協(xié)議支持的廣度，也是防火墻的發(fā)展趨勢(shì)，它將支持更多新的應(yīng)用協(xié)議，使更多的應(yīng)用程序能和防火墻協(xié)同工作。第四，防

68、火墻將作為企業(yè)安全管理平臺(tái)的一個(gè)組件。隨著安全管理平臺(tái)的發(fā)展，未來企業(yè)所有的安全設(shè)備將由安全管理平臺(tái)統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺(tái)提供安全策略管理接口、安全事件管理接口、安全審計(jì)接口。第五，防火墻將更可靠、更智能化。一方面，防火墻越來越穩(wěn)定可靠，同時(shí)也更趨于智能化，并將解決IPV6未來會(huì)出現(xiàn)的安全問題</p><p>　　未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分