防火墙在网络安全中的应用毕业设计论文.docx

毕 业 设 计（论文）任 务 书 2011 届 信息工程系 计算机网络技术 专业 网络111 班设计（论文）题目 防火墙在网络安全中的应用 学生姓名 设计地点 指导教师 职称 辅导教师 职称 2014 年 3 月 10 日(二稿)防火墙在网络安全中的应用目 录一、引言1二、网络安全1（一）定义及探究背景1（二）网络面临的威胁31.网络安全脆弱的原因32.医院网络安全现状3三、防火墙技术3（一）防火墙的介绍31.概要32.架构43.功能4（二）防火墙技术51.包过滤技术52.代理服务技术53.电路层网关技术64.状态检测技术6四、入侵检测技术（IDS）6（一）IDS介绍6（二）IDS与防火墙结合原理6（三）IDS 与防火墙的互动9五、结语9参考文献10【摘要】医院的网络规模的日趋庞大成为现代大型医院的一个新的特征，随之而来的各种安全问题是摆在网络管理面前的一项紧迫问题，因为它将直接影响到医疗工作的稳定与正常运行，影响到医院信息的准确性和可靠性。一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。随着网络安全技术的发展，各种安全解决方案相继涌现和发展，这些技术可划分为两种：静态和动态安全技术。其中以防火墙为代表的静态安全技术，是保护网络不受外部攻击的主要手段，其缺点是需要人工来实施和维护，不能主动跟踪入侵者，而以入侵检测为代表的动态安全技术，则能够主动检测网络的易受攻击点和安全漏洞。入侵检测技术是继防火墙等传统安全保护措施后，新一代的安全保障技术。本文提出一种将入侵检测系统防火墙结合起来互动运行在医院网络中的新理念，将入侵检测作为防火墙的一个有益的补充。【关键词】网络安全；防火墙技术；入侵检测系统【Abstract】Hospitals increasingly large-scale networks as a new feature of modern large hospitals, various security issues attendant is placed in front of an urgent problem of network management, because it directly affects the stability and normal medical practice operation, affect the accuracy and reliability of the hospital information. Once the network paralysis or loss of data, will be a huge disaster and irreparable damage to hospitals and patients.With the development of network security technology, a variety of security solutions have emerged and developed, these technologies can be divided into two types: static and dynamic security technology. Among the static firewall security technology representatives to protect the network from external attacks is the primary means, the drawback is the need to implement and maintain artificial, can not take the initiative to track the intruder, intrusion detection and to represent the dynamic security technologies, it is possible proactively detect network vulnerable points and vulnerabilities. Intrusion detection technology is following the traditional security measures such as firewalls, next-generation security technologies. This paper presents an intrusion detection system will combine new ideas interactive firewall running in the hospital network, the firewall intrusion detection as a useful complement.【Keywords】Network Security；Firewall technology；Intrusion Detection System一、引言随着互联网的发展,各种信息安全问题层出不穷，病毒种类以几何级数量递增。与此同时，软件领域主要形成了三大安全类软件：杀毒软件、防火墙、木马查杀和清除流氓插件等辅助安全工具软件。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。随着计算机技术的发展，信息安全已日益引起人们的高度重视。依据美国CSI及FBI联合发布的2004年度计算机犯罪及安全调查报告中提供的数据，仅在2003年503家被调查的美国公司因信息安全导致的损失超过38亿美元。如何不断研究和提高信息安全技术已直接关系到社会信息化的发展。目前，普遍采用的技术主要包括加密、VPN、数字身份识别、访问控制、入侵检测、网络防火墙、反病毒等技术。依据上述报告显示，2003年96%的美国公司采用了网络防火墙技术，仅比位居第一位的反病毒技术低2个百分点。可见，网络防火墙技术在信息安全领域扮演着十分重要的角色。二、网络安全（一）定义及探究背景网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全从其说就是网络上的信息安全，涉及的领域很广。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因为偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络服务不中断。包括以下含义：1. 网络运行系统安全2. 网络上系统信息的安全3. 网络上信息传播的安全，即信息传播后果的安全4. 网络上信息内容的安全据美国联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件，1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：如果给我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络运行失常。随着网络的逐步普及，网络安全的问题已经日益突。如同其它任何社会一样，互连网也受到某些无聊之人的困扰，某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。近年来，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰。而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。（二） 网络面临的威胁1.网络安全脆弱的原因(1) Internet所用底层TCP/IP网络协议本身易受到攻击，该协议本身的安全问题极大地影响到上层应用的安全。(2) Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。(3) 快速的软件升级周期，会造成问题软件的出现，经常会出现操作系统和应用程序存在新的攻击漏洞。(4) 现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致，网上保密的法规制度可操作性不强，执行不力。同时，不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施，甚至有一些网络管理员利用职务之便从事网上违法行为。2.医院网络安全现状医院作为数据密集发生地，每天都会产生大量病人费用、临床医嘱以及电子病历等重要数据，现在，医院从病人入院到出院的整个医疗活动均在计算机网络上运行。因此，保障数据安全首先要保证服务器免受外网的攻击、破坏。防火墙主要用于加强内部网络与外部网络之间访问控制的保护系统，有效地起到了保护内部网路资源免受非法入侵的作用，是构造安全网络环境的基础工程。它通常被安置在内部网络与外部网络的连接点上，将内部网络与外部网络隔离。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。三、防火墙技术（一）防火墙的介绍1.概要防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。2.架构防火墙产品的三代体系架构主要为：  第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等； 第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；  第三代架构：iss(integrated security system)集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。 3.功能防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下基本功能：(1) 报警功能，将任何有网络连接请求的程序通知用户，用户自行判断是否放行也或阻断其程序连接网络。(2) 黑白名单功能，可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网网等功能。(3) 局域网查询功能，可以查询本局域网内其用户，并显示各用户主机名。(4) 流量查看功能，对计算机进出数据流量进行查看，直观的完整的查看实时数据量和上传下载数据率。(5) 端口扫描功能，户自可以扫描本机端口，端口范围为0-65535端口，扫描完后将显示已开放的端口。(6) 系统日志功能，日志分为流量日志和安全日志，流量日志是记录不同时间数据包进去计算机的情况，分别记录目标地址，对方地址，端口号等。安全日志负责记录请求连接网络的程序，其中包括记录下程序的请求连网时间，程序目录路径等。(7) 系统服务功能，可以方便的查看所以存在于计算机内的服务程序。可以关闭，启动，暂停计算机内的服务程序。(8) 连网/断网功能，在不使用物理方法下使用户计算机连接网络或断开网络。完成以上功能使系统能对程序连接网络进行管理，大大提高了用户上网的效率，降低的上网风险。从而用户上网娱乐的质量达到提高，同时也达到网络安全保护的目的。（二） 防火墙技术1.包过滤技术包过滤(PacketFilter)技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。2.代理服务技术代理服务是运行在防火墙主机上的专门的应用程序，它位于内部网络上的用户和外部网上的服务之间，内部用户和外部网服务彼此不能直接通信，只能分别与代理打交道。代理负责接收外部网服务请求，再把它们转发到具体的服务中。 代理服务防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。  3.电路层网关技术电路层网关的运行方式与代理服务器相似，它把数据包提交给应用层过滤，并只依赖于TCP的连接。它遵循SOCKS 协议，即电路层网关的标准。它是在网络的传输层实施访问策略，是在内部网和外部网之间建立一个虚拟电路进行通信。 4.状态检测技术状态检测技术是包过滤技术的延伸，使用各种状态表(state tables)来追踪活跃的TCP会话。由用户定义的访问控制列表(ACL)决定允许建立哪些会话(session)，只有与活跃会话相关联的数据才能穿过防火墙。四、 入侵检测系统（IDS）（一）IDS介绍尽管防火墙在很大程度上实现了内部网络的安全，但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的。它无法防范内部攻击，从防火墙的设计思想来看，防范内部攻击从来就不是它的任务，它在这方面是一片空白。另外防火墙只是按照固定的工作模式来防范已知的威胁，因此如果医院网络系统中只安装了防火墙的话，对于内部攻击和未知攻击的防范是很薄弱的，但是据美国FBI-CSI调查显示，80%安全问题来自于内部，20%来自于互联网。在损失的金额上，内部人员泄密导致的损失，是黑客攻击造成损失的16倍，是病毒造成损失的12倍。可以看出，网络信息安全的重心已经从外网安全转移到内网安全上。所以，在安装了防火墙的医院网络系统中，只是针对外部已知攻击提供了应对措施，如果要解决来自内部的攻击和内外部未知攻击，还需要入侵检测技术来加以充实。IDS（入侵检测系统）是一种主动防御攻击的新型网络安全系统，在功能上弥补了防火墙的缺陷，使整个安全防御体系更趋完善、可靠，不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。（二）IDS与防火墙结合原理防火墙是位于两个信任程度不同的网络之间（如校园网与因特网之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到，作为一种周边安全机制，防火墙无法监控内部网络，仅能在应用层或网络层进行访问控制，无法保证信息（即通信内容）安全，有些安全威胁是防火墙无法防范的，比如很容易通过协议隧道绕过防火墙，而且防火墙只是一种基于策略的被动防御措施，是一种粗颗粒的防御手段，无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击，这样就为将二者结合起来应用提供了理论上的依据。IDS能够实时分析医院网络外部及医院网络内部的数据通讯信息，分辨入侵企图，在医院网络系统受到危害之前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护医院网络系统的安全。通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对医院网络关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞，IDS系统仍然可以检测到相应的攻击事件，并调整系统状态，对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力，而没有入侵检测手段，就会出现像战争中的一方一直要等到阵地被占领时，才能意识到遭受敌人攻击一样的情况。显然我们无法完全预防计算机系统受到破坏，但是一旦计算机系统被攻击，我们能够立即实时地检测到攻击并采取相应行动，至少可以防范日后进一步的攻击。这正是入侵检测系统的功能，是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是单靠入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。所以，让IDS与防火墙结合起来互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。本文设计思想是这样的，并不是将两个完整的防火墙系统和入侵检测系统进行简单的叠加，而是在对二者功能和优缺点进行仔细的研究之后，建立了一个简易的入侵检测系统来辅助现有的防火墙系统，将二者进行功能上的互补，IDS的程序设计上参考了一个非常优秀的、有着开放源代码的入侵检测系统snort。这个简易的入侵检测系统平时看起来是透明的，通过软件包的监听（sniffer/logger）获得网络数据包，然后增加入侵检测分析功能，其主要的方法是建立具体的特征库，基于规则审计分析，并能够进行包的数据内容搜索/匹配，从而实现入侵检测分析功能。入侵检测可以放在防火墙之外也可以放在防火墙之内，本文选择将IDS放在防火墙内，主要是考虑到防火墙对于内部入侵能力的天生不足的弱点，IDS可以检测出内部用户的异常行为、黑客突破防火墙和系统限制后的非法入侵，但它自身不能控制攻击，且自身安全也是一个问题，因此将入侵检测主体系统部分置于防火墙之后，可以利用防火墙的技术减少负载工作量，外来不合法的信息可以经过防火墙首先过滤掉一部分，防火墙对入侵检测系统本身也是一种保护，同时对于由外而内的入侵，IDS无疑是防火墙第二道防线，它既面对外面也面对里面。另外，如果攻击者能够发现检测器，就可能会对检测器进行攻击，从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些，如果检测器在防火墙内就会少一些干扰，从而有可能减小误报警。如果本应该被防火墙封锁的攻击渗透进来，检测器在防火墙内检测到后就能发现防火墙的设置失误。因此，将检测器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分“幼稚脚本”的攻击，使检测器不用将大部分的注意力分散在这类攻击上。当有外来入侵者的时候，一部分入侵由于没有获得防火墙的信任，首先就被防火墙隔离在外，而另一部分骗过防火墙的攻击，或者干脆是内部攻击不经过防火墙的攻击，再一次受到了入侵检测系统的盘查，受到怀疑的数据包经预处理模块分检后，送到相应的模块里去进一步检查，当对规则树进行扫描后，发现某些数据包与规则库中的某些攻击特征相符，立即切断这个IP的访问请求，或者报警。（三） IDS与防火墙的互动本文将IDS与防火墙通过开放接口结合起来实现互动，即防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。双方按照固定的协议进行通信，完成网络安全事件的传输。当防火墙和入侵检测系统互动时，所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口，并且相互正确配置对方IP地址，防火墙以服务器的模式来运行，IDS以客户端的模式来运行。防火墙与入侵检测系统具体步骤如下：（1）、初始化通信连接时，一般由IDS向防火墙发起连接。（2）、建立正常连接后，当IDS产生需要通知防火墙的安全事件时，通过发送约定格式的数据包，来完成向传递必要的互动信息。（3）、防火墙收到互动信息后，可以实施互动行为，并将结果（成功与否）以约定格式的数据包反馈给IDS。五、结语本文提出了将静态技术的代表防火墙与动态技术的代表入侵检测系统结合互动的使用方法，并将其应用于医院网络中，这种方法将两个安全保护系统各自的功能展现在新的系统中 ，使网络的防御安全能力定位速度快的优点。而且Path-Loss定位搜索法使用的天线为全向天线，笔记本电脑的标准无线局域网网卡便可提供，价格低廉。PL定位搜索法的缺点在于其软件系统实现较复杂，但对恶意AP搜索过程并无影响。无线局域网中恶意接入点的搜索方法，一直是无线网络管理与维护的必要技术。为了解决无线局域网中恶意接入点搜索问题，本文提出了一种基于路径损耗模型原理的恶意接入点搜索方法，利用信号强度作为搜索的有效参数信息，快速确定恶意接入点的位置。本文详细阐述了路径损耗模型原理与三角测量坐标定位方法，在此基础上设计了恶意接入点PL定位搜索法。它可以在工具简单、廉价与较少的信号强度测量次条件下实现对恶意接入点的快速搜索。但是，PL定位搜索法还存在坐标定位软件实现复杂与定位效果实践考验不足的缺点。今后将对这些方面进行完善。随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。参考文献1谢希仁.计算机网络工程基础.电子工业出版，2012：66-692马程.防火墙在网络安全中的应用.甘肃科，2007：126-1453袁家政.计算机网络安全与应用技术.清华大学出版。2012：31-404王蓉,林海波.网络安全与防火墙技术.清华大学出版社,2010：12-215凌雨欣,常红.网络安全技术与反网络入侵者.冶金工业出版社,2011：216-2206张宝剑.计算机安全与防护技术.机械工业出版社,2013：11-127胡道元.计算机网络.清华大学出版，2009：220-2318石彥杰.计算机网络系统集成技术.高等教育出版社，2013：156-167毕业设计（论文）成绩评定指导教师评语：成绩： 指导教师： 年 月 日答辩小组评语：成绩： 答辩小组组长： 年 月 日毕业设计总成绩：毕业设计领导小组负责人： 年 月 日12