毕业设计 论文 题目 防火墙设计方案 学 院 信 息 技 术 工 程 学 院 年 级 2010 级 专 业 通 信 技 术 学 号 学生姓名 罗素君 指 导教师 孟 勇 2011 年 5 月 四川科技职业学院毕业设计 论文 第 2 页 毕业设计 论文 鉴萣表 院 系 信息技术工程学院 专 业 通信技术 年 级 2010 级 姓 名 罗素君 题 目 防火墙 设计方案 指导教师 评 语 过程得分 占总成绩 20 是否同意参加毕业答辩 指導教师 签 字 答辩教师 评 语 答辩得分 占总成绩 80 毕业论文总 成绩 等级 答辩组成员签字 年 月 日 四川科技职业学院毕业设计 论文 第 3 页 毕业设计 论文 任务书 班 级 2010 级通信班 学生姓名 罗素君 学 号 发题日期 2010 年 5 月 6 日 完成日期 5 月 7 日 题 目 防火墙设计方案 1、本论文的目的、意 义 目的 合服网络宽带工程嘚进展和社会广大群众对对网络应 用的扩大为了为了保证网络的安全 ，稳定畅通的的运行 意义作防火墙设计方案的意义是让社会广大囚民知道什么是防火墙，防火墙是如何应 用的和防火墙的作用防火墙是设置在被保护网络和外部网络之间的一道屏障，以防 止发生不可預测的潜在破坏性的侵入。让网络不在受第三方软件的入侵更有利的让 使网络的安全与畅通 2、学生应完成的任务 （ 1）作设计方案相关知识的搜集熟悉相关系统的操作和原理 （ 2）查找系统学习的相关资料和，进行智能规划的制定和代码的编写 （ 3）代码的软件环境测试和調试校定。 （ 4）软件代码加入整个课题系统调试校定 （ 5）论文的编写。 3、论文各部分内容及时间分配 第 20 周 第一部分 查找资料文献，了解题目 1-2 周 ） 第二部分 熟悉各种加密方法 3-4 周 第三部分 开始写论文（在老师的指导下） 5-6 周 第四部分 参考别人的论文把自己的完成的更好 7-8 周 第伍部分 编写论文 9-14 周 评阅及答辩 修改论文及答辩 15-20 周 备 注 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专 用网与公囲网之间的界面上构造的保护屏障 .是一种获取安全性方法的形象说法，它是 一种计算机硬件和软件的结合使 Internet 与 Intranet 之间建立起一个安全网关 （ Security Gateway），从而保护内部网免受非法用户的侵入防火墙主要由服务访问 规则、验证工具、包过滤和应用网关 4 个部分组成 。 四川科技职业学院畢业设计 论文 第 4 页 指导 教师 孟勇 2010 年 5 月 6 日 审 批 人 年 月 日 摘 要 随着计算机网络的日益普及安全问题变得越来越重要。当今的 Internet 每时每 刻都存在著危险如果用户在使用 Internet 时不采用任何保护措施，就很容易遭受黑 客的攻击 Windows 操作系统不开放源代码，网络安全专家无法直接修改、增加操作系 统中关于网络协议实现的代码来改善操作系统的安全性因此在 Windows 平台下保护个 人计算机安全上网是个值得研究的问题。 本文主要讨論 Windows 环境下的个人防火墙的实现技术论文的第一部分介绍了网络 安全的定义和个人防火墙的概念以及防火墙的发展史和分类。第二部分分析了各种网络 协议架构分析了它们的区别与联系并在此基础上分析了 Windows 网络体系结构。第三 部分分析了内核模式下的数据包拦截技术对 TDI 囷 NDIS 数据包拦截技术进行了分析， 并着重介绍了 TDI 过滤驱动程序第四部分详细设计了个人防火墙的实现。第五部分对 实现的个人防火墙进行功能和性能测试并分析了结果 系统在开发实现过程中采用模块化、结构化的程序 设计 思想，提高了系统的灵活性和 可移植性可以很方便的通过控管规则实现对网络封包的认证操作，提高了系统的过滤 效率 关键词 网络安全；防火墙； TDI； NDIS；过滤 pix 将采取报警动作（缺省动作），四川科技职业学院毕业设计 论文 第 27 页 向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出 tcp 连接 复位 信号等动莋需另外配置。 第四章 防火墙的安全管理和维护 4.1 日常管理 日常管理是经常性的琐碎工作以使防火墙保持清洁和安全。为此需要经常詓完 成的主要工作数据备份、账号管理、磁盘空间管理等。 1.数据备份 一定要备份防火墙的数据使用一种定期的、自动的备份系统为一般鼡途的机器做 备份。当这个系统正常做完备份之后最好还能发送出一封确定信，而当它发现错误的 时候也最好能产生一个明显不同的信息。 为什么只是在错误发生的时候送出一封信就好了呢 如果这个系统只在有错误的时 候产生一封信或许就有 可能不会注意到这个系统根本就没有运作。那为什么需要明显 不同的信息呢 如果备份系统正常和执行失败时产生的信息很类似那么习惯于忽略成 功信息的人，也囿可能会忽略失败信息理想的情况是有一个程序检查备份有没有执行， 并在备份没有执行的时候产生一个信息 2.账号管理 账号的管理。包括增加新账号、删除旧账号及检查密码期限等是最常被忽略 的日常管理工作。在防火墙上正确的增加新账号、迅速地删除旧账号以忣适时地变更 密码，绝对是一项非常重要的工作 建立一个增加账号的程序，尽量使用一个程序增加账号即使防火墙系 统上没 有多少用戶，但每一个用户都可能是一个危险一般人都有一个毛病，就是漏掉一些步 骤或在过程中暂停几天。如果这个空档正好碰到某个账号沒有密码入侵者就很容易四川科技职业学院毕业设计 论文 第 28 页 进来了。 账号建立程序中一定要标明账号日期以及每隔一阶段就自动检查账号。虽然 不需要自动关闭账号但是需要自动通知那些账号超过期限的人。可能的话设置一个 自动系统监控这些账号。这可以在 UNIX 系統上产生账号文件然后传送到其他的机器 上，或者是在各台机器上产生账号自动把这些账号文件拷贝到 UNIX 上，再检查它们 如果系统支歭密码期限的功能，应该 把该功能打开选择稍微长一点的期限， 譬如说三到六个月如果密码有效期太短，例如一个月用户可能会想盡办法躲避期限， 也就无法在安全防护上得到真正的收益同理如果密码期限功能不能保证用户在账号被 停用前看到密码到期通知，就不偠开启这个功能否则，用户会很不方便而且也会冒 着锁住急需使用机器的系统管理者的风险。 3.磁盘空间管理 数据总是会塞满所有可用嘚空间即使在几乎没有什么用户的机器上也一样。 人们总是向文件系统的各个角落丢东西把各种数据转存到文件系统的临时地址中。這 样引起的问题可能常常会超出人们的想象 暂且不说可能需要使用那些磁盘空间，只是 这种碎片就容易造成混乱使事件的处理更复杂。于是有人可能会问那是上次安装新 版程序留下来的程序吗 是入侵者放进来的程序吗 那真的是一个普通的数据文件吗 是 一些对入侵者有特殊意义的东西 等等不幸的是能自动找出这种“垃圾”的方法没有， 尤其是可以在磁盘上到处写东西的系统管理者因此，最好有一个人萣期检查磁盘如 果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东 西 在大多数防火墙中，主要的磁盘空间问题会被日志记录下来这些记录应该自 动进行，自 动重新开始这些数据最好把它压缩起来。 Trimlon 程序能够使这个处理程 序自动化当系统管理者要截断或搬移记录时，一定要停止程序或让它们暂停记录如 果在截断或搬移记录时，还有程序在尝试写入记录文件显嘫就会有问题。事实上即 使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦 4.2 监视系统 对防火墙的维护、监视系统是维护防火牆的重点，它可以告诉系统管理者以下 的问题 四川科技职业学院毕业设计 论文 第 29 页 （ 1）防火墙已岌岌可危了吗 （ 2）防火墙能提供用户需求嘚服务吗 （ 3）防火墙还在正常运作吗 （ 4）尝试攻击 防火墙的是哪些类型的攻击 要回答这几个问题首先应该知道什么是防火墙的正常工作狀态。 1.专用设备的监视 虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据但是也可能会觉 得如果有一些专用的监视设备会佷方便。例如可能需要在周围网络上放一个监视站， 以便确定通过的都是预料中的数据包可以使用有网络窥视软件包的一般计算机，吔可 以使用特殊用途的网络检测器 如何确定这一台监视机器不会被入侵者利用呢 事实上，最好根本不要让入侵者知 道它的存在在某些網络硬件设备上，只要利用一些技术和一对断线器 wire cutter 取消网络接口的传输功能就可以使这台机器无法被检测到，也很难被入侵者利用如 果有操作系统的原始程序，也可以从那里取消传输功能随时停止传输。但是在这种 情况下很难确认操作是否已经做成功了。 2.应该监视嘚内容 理想的情况是应该知道通过防火墙的一切事情，包括每一条连接以及每一 个丢弃或接受的数据包。然而实际的情况是很难做到嘚而折衷的办法是，在不至于影 响主机速度也不会太快填满磁盘的情况下尽量多做记录，然后再为所产生的记录整理 出摘要 在特殊凊况下，要记录好以下内容一是所有抛 弃的包和被拒绝的连接 ；二是 每一个成功的连接通过堡垒主机的时间、协议和用户名 ；三是所有从蕗由器中发现的错 误、堡垒主机和一些代理程序 3.监视工作中的一些经验 应该把可疑的事件划分为几类一是知道事件发生的原因，而且这鈈是一个安 全方面的问题 ；二是不知道是什么原因也许永远不知道是什么原因引起的，但是无论 它是什么它从未再出现过 ；三是有人試图侵入，但问题并不严重只是试探一下 ；四是 有人事实上已经侵入。 这些类别之间的界限比较含糊要提供以上任何问题的详细征兆昰不可能的，四川科技职业学院毕业设计 论文 第 30 页 但是下面这些归纳出的经验可能会 对网络系统管理员有所帮助如果发现以下情况，网 絡系统管理员就有理由怀疑有人在探试站点一是试图访问在不安全的端口上提供的服 务 如企图与端口映射或者调试服务器连接 ；二是试图利用普通账户登录 如 guest；三 是请求 FTP 文件传输或传输 NFSNetwork File System网络文件系统 映射 ；四是给站 点的 SMTPSimple Mail Transfer Protocol，简单邮件传输协议 服务器发送 debug 命 令 如果网络系统管理员见到以下任何情况，应该更加关注因为侵袭可能正在进 行之中一 是多次企图登录但多次失败的合法账户，特别是因特网上的通用賬户 ；二是 目的不明的数据包命令 ；三是向某个范围内每个端口广播的数据包 ；四是不明站点的成 功登录 如果网络系统管理员了发现以丅情况，应该怀疑已有人成功地侵入站点一是 日志文件被删除或者修改 ；二是程序突然忽略所期望的正常信息 ；三是新的日志文件包 含有鈈能解释的密码信息或数据包痕迹 ；四是特权用户的意外登录 例如 root 用户 或 者突然成为特权用户的意外用户 ；五是来自本机的明显的试探戓者侵袭，名字与系统程 序相近的应用程序 ；六是登录提示信息发生了改变 4.对试探作出的处理 通常情况下，不可避免地发觉外界对防火牆进行明显试探 有人向没有向 Internet 提供的服务发送数据包企图用不存在的账户进行登录等。试探通常进行一 两次如果他们没有得到令人感興趣的反应，他们通常就会走开而如果想弄明白试探 来自何方，这可能就要花大量时间追寻类似的事件然而，在大多数情况下这样莋不 会有很大成效，这种追寻试探的新奇感很快就会消失 一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如在匿名的 FTP 区 域设置装有用户账号数据的文件，即使试探者破译了密码看到的也只是 一个虚假信息。 这对于消磨空闲时间是没有害处的这还能得到報复的快感，但是事实上它不会改善防 火墙的安全性它只能使入侵者恼怒，从而坚定了入侵者闯入站点的决心 4.3 保持最新状态 保持防火牆的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的四川科技职业学院毕业设计 论文 第 31 页 领域中每天都产生新的事粅、发现新的毛病，以新的方式进行侵袭同时现有的工具 也会不断地被更新。因此要使防火墙能同该领域的发展保持同步。 当防火墙需要修补、升级一些东西或增加新功能时，就必须投入较多的时间当 然所花的时间长短视修补、升级、或增加新功能的复杂 程度而定。如果开始时对站点需 求估计的越准确防火墙的设计和建造做的越好，防火墙适应这些改变所花的时间就越 少 . 结 论 网络安全的重要性越來越引起网民们的注意大大小小的单位纷纷为自己的内部网 络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火牆是目前最 重要的一种网络防护设备是处于不同网络（如可信任的局域内部网和不可信的公共网） 或网络安全域之间的一系列部件的组匼。它是不同网络或网络安全域之间信息的惟一出 入口能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具 囿较强的抗攻击 能力它是提供信息安全服务，实现网络和信息安全的基础设施 致 谢 在本次论文设计过程中，老师对该论文从选题构思到最后定稿的各个环节给予细 心指引与教导 ,使我得以最终完成毕业论文设计。在学习中 ,老师严谨的治学态度、丰富 渊博的知识、敏锐的學术思维、精益求精的工作态度以及侮人不倦的师者风范是我终生 学习的楷模导师们的高深精湛的造诣与严谨求实的治学精神，将永远噭励着我这三 年中得到众多老师的关心支持和帮助。在此谨向老师们致以衷心的感谢和崇高的敬意 感谢 四川科技职业 学院的所有领导囷老师。他们严谨的学风、渊博的 知识、诲人不 倦的品格一直感染和激励着我不断上进使我大学 三 年的时光充实而有意义。 “ 海纳百 川取则行远 ” ，在这所美丽的校园里不断成长，在这里我所学到的必将使我受益 终生。 在本论文的写作中我也参照了大量的著作和攵章，许多学者的科研成果及写作思 路给我很大启发在此向这些学者们表示由衷的感谢。感谢我的家人、同学、朋友对我 的大力支持怹们的无私奉献、关爱和支持使我能够继续去追求自己的人生理想和目标。 感谢所有关心、帮助和支持我的人 四川科技职业学院毕业设计 論文 第 32 页 本论文虽然几经修改但由于才疏学浅，本文疏漏之处在所难免还望各位老师批 评指正。 最后我要向百忙之中抽时间对本文進行审阅，评议和参与本人论文答辩的各位 老 师表示感谢 四川科技职业学院毕业设计 论文 第 33 页 参考文献 1.学用 UNIX 和 Linux 徐小青等编著 电子工业出蝂社 . Linux 上的 C 编程 怀石工作室编著 中国电力出版社 . Linux 防火墙 （美）齐格勒著 电子工业出版社 ．网络安全技术与应用 丁志芳 徐孟春 电 子工业出版社 ．防火墙技术 王永群 电子工业出版社 .网络安全策略 钟建伟 武汉科技学院学报 .信息安全保护方法分析 李赫男 张娟 洛阳工业高等专科学院学报 .Linux防火墙系统设计 张少中 唐毅 辽宁工业学院学报 2001.03