【ASP.NET设计栏目提醒】:网学会员为需要ASP.NET设计的朋友们搜集整理了多层防火墙技术的研究-状态检测相关资料,希望对各位网友有所帮助!
黑客技术的提升和黑客工具的泛滥,造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击,或面临随时被攻击的危险。迫使大家不得不加强对自身电脑网络系统的安全防护,根据系统管理者设定的安全规则把守企业网络,提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网、身份认证、虚拟网桥、网络地址转换、提供完善的安全性设置,通过高性能的网络核心进行访问控制的功能我决定进一步来实现。系统采用了VB管理界面,通过直观、易用的界面管理强大、复杂的系统功能。界面全中文化,操作简单直接,真的是量身定做。从而大大减少了他们对企业的攻击。事实上,多层防火墙技术已经成为当今网络安全的主流策略。
.关键字:防火墙、状态检测、多层防火墙、VB。
With the hacker of technology and hacker tool promotion , cause a large number of enterprise , organization , personal computer system suffer degree different invasion and attack, or face the danger attacked at any time. Force everybody to have to strengthen the safe protection of the network system of one''s own computer, guard enterprise''s network according to the safety regulation that the system administrator establishes, offer the strong one , use strobe , information filtering , flow controlling , such functions as the network intercepts . A other one is it control VPN , identity authentication , virtual net bridge , network address change , offer perfect security establishment to visit, go on through high-performance network core function controlled to visit I is it is it realize to come further to determine. The system has adopted VB to manage interfaces , the systematic function strong in management , complicated through the ocular , apt to use interface. The interface hits culture completely, it is simple and direct to operate , really make to measure. Thus reduced their attack of enterprises greatly In fact,the protection of multiter firewalls have becomed the main ways Current online security.
KEY WORDS: Firewall 、NPacket state check、Multitier firewall and VB.
目 录
摘 要 III
ABSTRACTOR IV
引 言 V
第一章 防火墙技术的概论 1
1.1 防火墙的概念 1
1.2 防火墙的功能 2
1.3 防火墙的特性 3
1.4 防火墙技术的发展 4
第二章 多层防火墙技术的研究背景 5
2.1 多层防火墙技术的研究背景 5
2.2 多层防火墙技术的概论 6
第三章 多层防火墙系统的功能及其组成 8
3.1 地址转换技术 8
3.2 数据包过滤技术 9
3.3 状态检测技术 11
3.4 电路级网关技术 13
3.5 应用代理网关技术 14
第四章 状态检测技术概论 17
4.1 状态检测技术的优点 17
4.2 状态检测技术的原理 18
4.3 状态检测技术的工作机制 19
4.4 状态检测技术的新技术 24
第五章 防火墙系统的设计 29
5.1 防火墙的分层技术 29
5.2 防火墙系统设计工具 32
5.3 防火墙系统设计与实现 33
5.3.1 系统概要设计 33
5.3.2 基本功能 34
5.3.3 增强功能 35
5.3.4 系统详细设计 35
5.3.5 功能实现的设计 37
5.3.6 系统具体实现 38
5.3.7 其他说明界面 40
5.3.8 系统测试 41
5.3.9 需要注意的几个问题 42
5.3.10 系统维护和总结 43
第六章 防火墙技术发展动态和趋势 45
结 束 语 48
致 谢 49
参考文献 50
附录:(程序源代码) 51
随着网络技术的快速发展和应用的日渐普及,黑客工具不仅变得越来越先进,而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥,造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击,或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护,甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。
但是,正如一些网络安全专家和专业厂商所强调的,没有一个公司的安全系统能保证100%的安全。安全总是相对的。本文阐释的所谓“多层次防护”,就是应用和实施一个基于多层次安全系统的全面信息安全策略。在各个层次上部署相关的网络安全产品,采用“多层过滤技术”,构成多层防护屏障,对网络中传送的信息进行重重检测,鉴定其安全性,从而来对网络进行层层防护,从而增加攻击者侵入所花费的时间、成本和所需要的资源,既而卓有成效地降低被攻击的危险,达到安全防护的目标。事实上,多层次防护已经成为当今网络安全的主流策略。
地址转换技术(Network Address Translation,NAT)。也称地址翻译技术就是将一个IP地址用另一个IP地址代替。它是多层防火墙技术的第一道防护屏障。通过此项功能就可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。
NAT的实现过程是这样的:通常在一个firewall或者router上起NAT,firewall有两个NIC,一个接Internet,为合法IP,一个接LAN,为保留IP。LAN的用户的defualt gateway指向NAT的内部(LAN)接口,所有从LAN通过NAT出去的包在NAT处会进行一个转换,通常会把这些包的源IP地址转换成NAT的外部接口的合法I P地址,同时NAT在自己的连接表中添加一条记录,以便这个包的应答包回来时知道应该送到哪里。改了源IP地址的包送到Internet,他的应答包肯定能够回到NAT的外部接口,NAT接到应答包后,通过查看自己的连接表的记录,更改应答包的目标I P,然后送到发出请求的工作站。
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法因特网IP地址有限,而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术,就需要在防火墙上配置一个合法IP地址集,当内部网络用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址,内部网络用户就可通过防火墙来访问外部网络。
在防火墙上部署NAT的方式可以有以下几种:
①M-1:多个内部网地址转换到1个IP地址
②1-1:简单的一对一地址转换
③M-N:多个内部网地址转换到N个IP地址池
通过这样的地址转换后,既缓解了少量的因特网IP地址和大量主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。如果防火墙使用了NAT技术,所有的内部地址将会被转换成防火墙WAN端口上合法的因特网IP地址,以达到隐藏了内部网络用户身份的目的。
NAT技术又分为“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换,对外部网络是屏蔽的,使得外部非常用户对内部主机的攻击更加困难,同时可以节省有限的公网IP资源,通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,防火墙首先把目的地址转换为自己的地址,然后再转发外部网络的通信连接,这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。在防火墙中主要用于外部网络主机对内部网络和DMZ区(非军事区)主机的访问。
数据包过滤技术工作在OSI网络参考模型的网络层和传输层,它是多层防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口,根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
所谓的数据包过滤技术。又称“报文过滤”技术,它是防火墙最传统、最基本的过滤技术。防火墙的产生也是从这一技术开始的,最早是于1989所提出的。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选),使符合事先规定的安全规则(或称“安全策略”)的数据包通过,而使那些不符合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本,它是通过对各种网络应用、通信类型和端口的使用来规定的。
上一篇:企业人事工资管理系统