《个人计算机的安全问题和防火墙的设计 毕业设计.doc》由会员分享,可在线阅读,更多相关《个人计算机的安全问题和防火墙的设计 毕业设计.doc(12页珍藏版)》请在三一文库上搜索。
1、 引言: 随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,是应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。本文就网
2、络信息的发展,组成,与安全问题的危害做一个简单的探讨本文就网络信息安全这个课题进行展开说明,特别针对防火墙引发的信息安全问题 本系统用VB开发而成的,分为3个窗体、2个模块。主要由日志、网络状态列表、网络状态控制组成。本系统对个人计算机的安全问题和防火墙的设计提供解决方案。关键字:计算机安全 防火墙 VB FOREWORDWith computer constant development of technology, computer network become important characteristic for information age already, people cal
3、l it the information superhighway. It is in network computer technology and communication,it is should what requirements for information sharing and information transmission social develop, various countries are building ones own information superhighway. The pace of network development of the compu
4、ter is very fast too in recent years in our country, there is extensive application in national defence , telecommunication , bank , broadcasting ,etc. I believe in a short time , the computer network is sure to get great development, would enter information age in an all-round way at that time . Ju
5、st because network application is so extensive, play a very important role in life, so its security cant be ignored, it is a key whether the network could withstand tests , if security is not good will bring much trouble to people . The information interchange of network has already been an essentia
6、l link in life now, but information can not get the corresponding attention safely. This text on network development of information , make up, until safe danger of problem do one simple discussion this text launch explaining on network information safe the subject, question of information safety tha
7、t especially initiates to the fire wall This system was developed with VB, is divided into body of 3 windows , 2 pieces of module . Mainly controlled and made up by daily record , state tabulation of the network , network state. This system security problem and design of the fire wall of the persona
8、l computer offer the solutionKeyword: Computer security Fire wall VB 网络信息安全毕业论文目录: 第1章 课程的基本术语、目的及意义;.第2章 计算机网络安全概述;第3章 系统分析;第4章 防火墙技术及其发展; 第5章 结语第1章 课程的基本术语、目的及意义一、 基本术语 什么叫计算机安全?国际标准化委员会的定义是为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。美国国防部国家计算机安全中心的定义是要讨论计算机安全首先必须讨论对安全需求的陈述,.。一般说来,安
9、全的系统会利用一些专门的安全特性来控制对信息的访问,只有经过适当授权的人,或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。我国公安部计算机管理监察司的定义是计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害 什么叫网络安全? 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 什么叫防火墙(Firewall)? 用于将因特网的子网与因特网的其余部分相隔离,以达到网络和信息安全效果的软件或硬件设施。防火墙可以被安装在一个单独的路由器中,用来过滤不
10、想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。例如,一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。 防火墙可以确定哪些内部服务允许外部访问,哪些外人被许可访问所允许的内部服务,哪些外部服务可由内部人员访问。为了使防火墙发挥效力,来自和发往因特网的所有信息都必须经由防火墙出入。防火墙只允许授权信息通过,而防火墙本身不能被渗透。、什么是信息安全? 信息可以有多种存在方式,可以写在纸上、储存在电子文
11、档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适当地保护起来。信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机 什么叫计算机病毒(Computer Virus)? 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 什么叫黑客? 计算机黑客是指未经许可擅自进入某个计算机网络系统的非法用户。计算机黑客往往具有一定的计算机技术,采取截获密码等方法,非法闯入某
12、个计算机系统,进行盗窃、修改信息,破坏系统运行等活动,对计算机网络造成很大的损失和破坏。 我国新修订的刑法,增加了有关利用计算机犯罪的条款,非法制造、传播计算机病毒和非法进入计算机网络系统进行破坏都是犯罪行为。二、目的及意义通过大学三年的计算机理论知识的学习之后,我们即将投入新的环境,为了适应社会快速的发展需要,我们必须提高自己的实际动手能力。但是,在这种身份的转变同时,我们尴尬地发现,有限的理论知识和匮乏的动手能力同社会的需求相距甚远。幸运的是,毕业设计可以让我们暂时缓解这种尴尬,让我们有充分的时间和空间来真正地研究一个实际的课题。计算机在社会生活中日益普及,随着因特网延伸到人类世界的层层面
13、面,特别是电子商务的发展大大的突出了计算机安全、特别是网络安全在计算机发展中的重要性。防火墙是计算机安全发展中一个不可替代的产物本系统从侧面揭示了防火墙的部分设计原理,监视本地计算机 异常连接警告 删除可疑连接 网络维护日志。是个很好的学习课题。所以我选择其作为我的毕业设计。第2章计算机网络安全概述互联网络(Internet)起源于1969年的ARPANet,最初用于军事目的,1993年开始用于商业应用,进入快速发展阶段。到目前为止,互连网已经覆盖了175个国家和地区的数千万台计算机,用户数量超过一亿。随着计算机网络的普及,计算机网络的应用向深度和广度不断发展。企业上网、政府上网、网上学校、网
14、上购物.,一个网络化社会的雏形已经展现在我们面前。在网络给人们带来巨大的便利的同时,也带来了一些不容忽视的问题,网络信息的安全保密问题就是其中之一。一、网络信息安全的涵义 网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真实性(Authenticity)。网络信息的机密性是指网络信息的内容不会被未授
15、权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议(如TCP/IP)等,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。 前不久,美国计算机安全专家又提出了一种新的安全框架,包括:机密性(Con
16、fidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、实用性(Utility)、占有性(Possession), 即在原来的基础上增加了实用性、占有性,认为这样才能解释各种网络安全问题:网络信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用,导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制方法;维护和检查有关盗窃文件的审记记录、使用标签等。二、攻击互联网络安全性的
17、类型 对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击。对静态数据的攻击主要有:口令猜测:通过穷举方式搜索口令空间,逐一测试,得到口令,进而非法入侵系统。IP地址欺骗:攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的源IP地址,冒名他人,窃取信息。指定路由:发送方指定一信息包到达目的站点的路由,而这条路由是经过精心设计的、绕过设有安全控制的路由。根据对动态信息的攻击形式不同,可以将攻击分为主动攻击和被动攻击两种。被动攻击主要是指攻击者监听网络上传递的信息流,从而获取信息的内容(interception),或仅仅希望得到信息流的长度、传输频率等数据,称为流
18、量分析(traffic analysis)。除了被动攻击的方式外,攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种。中断是指阻断由发送方到接收方的信息流,使接收方无法得到该信息,这是针对信息可用性的攻击。篡改是指攻击者修改、破坏由发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信息的完整性。伪造是针对信息的真实性的攻击,攻击者或者是首先记录一段发送方与接收方之间的信息流,然后在适当时间向接收方或发送方重放(playback)这段信息,或者是完全伪造一段信息流,冒
19、充接收方可信任的第三方,向接收方发送。三。网络安全机制应具有的功能 由于上述威胁的存在,因此采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能: 身份识别:身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户的身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。 存取权限控制:其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问
20、哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。 数字签名:即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。 保护数据完整性:既通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。 审计追踪:既通过记录日志、对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。密钥管理:信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,都会对通信安全造成威胁。因此,对密钥的产生
21、、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性也是非常重要的。四。网络信息安全常用技术通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。 防火墙技术:“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现
22、对内部网络的保护。 数据加密与用户授权访问控制技术:与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。前面已经提到,对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另
23、一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。DES(Data Encryption Standard)是对称加密算法中最具代表性的, DES可以对任意长度的数据加密,密钥长度64比特,实际可用密钥长度56比特,加密时首先将数据分为64比特的数据块,采用ECB(Electronic CodeBook)、CBC(Ciper Block Chaining)、CFB(Ciper Block Feedback)等模式之一,每次将输入的64比特明文变换为64比特密文。最终,将所有输出数据块合并,实现数据加密。如果加密、解密过程
24、各有不相干的密钥,构成加密、解密密钥对,则称这种加密算法为非对称加密算法,或称为公钥加密算法,相应的加密、解密密钥分别称为公钥、私钥。在公钥加密算法下,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者;私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA(Ronald L Rivest,Adi Shamir,Leonard Adleman),是目前使用比较广泛的加密算法。在互联网上的数据安全传输,如Netscape Navigator 和 Microsoft Internet Explorer都使用了该算法。 有了信息加密的手段,我们就可以对动态信息采取保
25、护措施了。为了防止信息内容泄露,我们可以将被传送的信息加密,使信息以密文的形式在网络上传输。这样,攻击者即使截获了信息,也只是密文,而无法知道信息的内容。为了检测出攻击者篡改了消息内容,可以采用认证的方法,即或是对整个信息加密,或是由一些消息认证函数(MAC函数)生成消息认证码(Message Authentication Code),再对消息认证码加密,随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致,从而达到检测消息完整性的目的。为了检测出攻击者伪造信息,可以在信息中加入加密的消息认证码和时间戳,这样,若是攻击者发送自己生成的信息,将无法生成对应的消息认证码,若是攻击者重放
26、以前的合法信息,接收方可以通过检验时间戳的方式加以识别。五。对网络信息安全的前景的展望 随着网络的发展,技术的进步,网络安全面临的挑战也在增大。一方面,对网络的攻击方式层出不穷:1996年以报道的攻击方式有400种,1997年达到1000种,1998年即达到4000种,两年间增加了十倍,攻击方式的增加意味着对网络威胁的增大;随着硬件技术和并行技术的发展,计算机的计算能力迅速提高,原来认为安全的加密方式有可能失效,如1994年4月26日,人们用计算机破译了RSA发明人17年前提出的数学难题:一个129位数数字中包含的一条密语,而在问题提出时预测该问题用计算机需要850万年才能分解成功;针对安全通
27、信措施的攻击也不断取得进展,如1990年6月20日美国科学家找到了155位大数因子的分解方法,使“美国的加密体制受到威胁”。另一方面,网络应用范围的不断扩大,使人们对网络依赖的程度增大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求,也使网络信息安全学科的地位越显得重要,网络信息安全必然随着网络应用的发展而不断发展。 第3章 系统分析 开发背景:随着计算机及网络技术的飞速发展,Internet/Intranet应用在全球范围内日益普及,当今社会正快速向信息化社会前进,网络安全也越来越重要。防火墙技术更是重中之重,但是很大一部分人对防火墙技术还是朦胧和好奇
28、。对其原理不甚了了,本系统旨在解析防火墙技术,使大家对防火墙有进一步的了解。 主要功能: 监视网络连接状态; 异常连接警告 删除可疑连接 日志管理 关键技术 监控TCP连接 黑客程序或木马程序的本质是实现数据传输。TCP和UDP是2个最常用来承载数据传输的协议,他们都使用设置监听端口的方法来完成数据传输。实时监控所有端口的连接情况,即使对异常连接发出警告并提示用户关闭异常连接就可以有效地达到目的使用微软的IP助手库函数(iphlpapi.dll),其中的GETTCPTABLES函数能返回当前系统中全部有效的TCP连接。其定义为:declare function gettcptables lib
29、 “iphlpapi.dll(byrefptcptable as mib_tcptable,byref pdwsize as long byval border as long) as long 其中参数一是TCP连接表缓冲区的指针,参数二是缓冲区大小(当缓冲区不够大时,该参数返回实际需要的大小),参数三指示连接表是否按 “lccal ip”、”localport”、”remote ip”、”remoteport” 依次进行排序。定义一些ICMP协议Public MIBICMPSTATS As MIBICMPSTATSPublic Type MIBICMPSTATS dwEchos As Lo
30、ng dwEchoReps As LongEnd TypePublic MIBICMPINFO As MIBICMPINFOPublic Type MIBICMPINFO icmpOutStats As MIBICMPSTATSEnd TypePublic MIB_ICMP As MIB_ICMPPublic Type MIB_ICMP stats As MIBICMPINFOEnd TypeGetIcmpStatistics函数能够让你查看当前ICMP数据报的流量Public Declare Function GetIcmpStatistics Lib iphlpapi.dll (pStat
31、s As MIBICMPINFO) As LongPublic Last_ICMP_Cnt As Integer-定义一些TCP协议Type MIB_TCPROW dwState As Long dwLocalAddr As Long dwLocalPort As Long dwRemoteAddr As Long dwRemotePort As LongEnd Type 异常警告及删除连接 通过定时比较前后2个TCP连接,我们可以立即发现异常并发出警告。收到警告信号后,我们应首先将可疑连接删除掉,然后再仔细查找系统中是否有安全漏洞或有可以进程在工作。IP助手库函数中的SetTcpEntry函
32、数可以帮助我们删除可疑连接。其定义为pubic declare function settcpentry lib “iphipapi” (ptcprow as mib_tcprow) as long this is used to close an open port 在调用此函数之前,应将欲删除连接的状态置为mib_tcp_state_delete_tcp(删除)。Mib_tcp_state_ delete_tcp也是目前唯一可运行时设置的状态。Type MIB_TCPTABLE dwNumEntries As Long table(100) As MIB_TCPROWEnd TypePub
33、lic MIB_TCPTABLE As MIB_TCPTABLEGetTcpTable函数能返回当前系统中全部有效的 TCP连接Declare Function GetTcpTable Lib iphlpapi.dll (ByRef pTcpTable As MIB_TCPTABLE, ByRef pdwSize As Long, ByVal bOrder As Long) As LongSetTcpEntry函数可以帮助我们删除可疑连接Public Declare Function SetTcpEntry Lib IPhlpAPI (pTcpRow As MIB_TCPROW) As Lon
34、g This is used to close an open port.定义连接状态为13个Public IP_States(13) As StringPrivate Last_Tcp_Cnt As Integer第4章 防火墙技术及其发展 一、防火墙技术发展概述 传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称边界防火墙。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层
35、。 在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS(拒绝服务)、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案,它们在应用层检查数据包。但是,我们不可能对每一个应用都运行这样一个代理服务器,而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查,由于动态包过滤解决了静态包过滤的安全限制,并且比代理技术在性能上有了很大的改善,因
36、而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多,状态包过滤技术也面临着巨大的挑战,更需要其它新技术的辅助。除了访问控制功能外,现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT和VPN、病毒防护等。 二、防火墙未来的技术发展趋势 随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。1. 防火墙包过滤技术发展趋势(1). 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常
37、是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。(2). 多级过滤技术 所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,
38、它可以弥补以上各种单独过滤技术的不足。 这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。 (3). 使防火墙具有病毒防护功能。现在通常被称之为病毒防火墙,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。2. 防火墙的体系结构发展趋势随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要
39、求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟
40、不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。 首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DE
41、S速度可达600Mbps。易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能,3. 防火墙的系统管理发展趋势防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:(1). 首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的分布式防火墙和嵌入式防火墙。关于这一新技术在本篇下面将详细介绍。(2). 强大的审计功能和自动日志
42、分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。 (3). 网络安全产品的系统化 随着网络安全技术的发展,现在有一种提法,叫做建立以防火墙为核心的网络安全体系。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为了确
43、保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接做到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立
44、,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式较前一种容易许多。 第5章 结语 经过一番深入的学习和研究,我深入的了解了文件系统编程技术,通过本次毕业设计,将理论联系到实际应用中去。我深切感到毕业设计是一次非常难得的锻炼机会,极大的增强了自己的学习能力和实践动手能力,为步入社会发展打下了基础。通过本次毕业设计设计,我在网络方面获益非浅。我做的网络安全,使用VB编程工具,winsock编程语言等.当然本系统存在不足之处也是在再所难免的,诚恳地希望各位导师能对我提出宝贵的意见和介意。除了对自己的不足之处有所认识,此外,我对winsock也有一更进一步的了解 参 考 文 献顾巧论 、贾春福 编著 计算机网络安全 清华大学出版社邓全良 编著 Winsock网络程序设计 中国铁道出版社作者无 防火墙技术指南(美)Swartyfager编著 健莲工作室译 Visual Basic开发人员指南