目录1.课题研究的目的和意义 .11.1 防火墙安全控制的背景.11.2 防火墙安全控制的目的.11.3 防火墙安全控制的意义.22.防火墙安全控制程序原理 .42.1 防火墙安全控制概念.42.2 防火墙安全控制基本原理.42.3 防火墙安全控制常用技术.52.4 防火墙安全控制程序的 IP 过滤功能.7A3.防火墙安全控制程序总体结构 .93.1 防火墙安全控制程序设计整体架构.93.2 防火墙安全控制拓扑图及其分析 .93.3 防火墙防火墙安全控制部署方案.114.防火墙安全控制程序详细设计 .144.1 开发环境.144.2 防火墙安全控制程序的实现方法.144.3 主要模块的程序实现.155.系统结果与分析 .186.总结与展望 .206.1 总结.206.2 展望.20参考文献 .221.课题研究的目的和意义1.1 防火墙安全控制的背景据了解，从 1997 年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。随着网络的逐步普及，网络安全的问题已经日益突。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。目前在互连网上大约有将近 80%以上的用户曾经遭受过黑客的困扰，而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。1.2 防火墙安全控制的目的一般的防火墙都可以达到以下目的：限制他人进入内部网络，过滤掉不安全的服务和非法用户；防止入侵者接近内部网络的防御设施；限制人们访问特殊站点；为监视 Internet 安全提供方便。由于防火墙是一种被动技术，因此对内部的非法访问难以有效控制，防火墙适合于相对独立的网络。由于防火墙是网络安全的一个屏障，因此一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络安全环境变得更安全。例如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙还可以同时保护网络免受基于路由的攻击。而网络安全控制是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。1.3 防火墙安全控制的意义现在网络的观念已经深入人心，越来越多的人们通过网络来了解世界，人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已经成为当今社会关注的重要问题之一。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。在互连网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问，而有效的控制用户的上网安全。防火墙是实施网络安全控制得一种必要技术，它是一个或一组系统组成，它在网络之间执行访问控制策略。实现它的实际方式各不相同，但是在原则上，防火墙可以被认为是这样同一种机制：拦阻不安全的传输流，允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息，仅让安全的、核准了的信息进入；它可以限制他人进入内部网络，过滤掉不安全服务和非法用户；它可以封锁特洛伊木马，防止机密数据的外泄；它可以限定用户访问特殊站点，禁止用户对某些内容不健康站点的访问；它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙不但能完成以上介绍的基本功能，还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止小孩子或员工查看不合适的网页内容，允许按特定关键字以及特定网地进行过滤等、同时还能对 DNS 缓存进行保护、对 Web 页面的交互元素进行控制如过滤不需要的 GIF， Flash 动画等界面元素。随着时代的发展和科技的进步防火墙功能日益完善和强大，但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。2.防火墙安全控制程序原理2.1 防火墙安全控制概念防火墙【1】的本义原是指古代人们在建造木制结构的房屋时，为防止火灾时不会蔓延到别的房屋而在房屋周围堆砌的石块，而计算机网络中所说的防火墙，是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Internet 与 Intranet 之间建立起一个安全网关【2】（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。2.2 防火墙安全控制基本原理最简单的防火墙是以太网桥，一些应用型的防火墙只对特定类型的网络连接提供保，还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定接受还是拒绝。所有的防火墙都具有 IP 地址过滤功能。这项任务要检查 IP 包头，根据其 IP 源地址和目标地址作出放行丢弃决定。防火墙就如一道墙壁，把内部网络（也称私人网络）和外部网络（也称公共网络）隔离开，起到区域网络不同安全区域的防御性设备的作用。例如：互联网络（internet）与企业内部网络（intranet）之间，如图 2-1 所示。图 2-1 内部网络和外部网络其中 DMZ(demilitarized zone)【3】的缩写中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP 服务器和论坛等。另一方面，通过这样一个 DMZ 区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。根据已经设置好的安全规则，决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接，如图 2-2 所示。2.3 防火墙安全控制常用技术2.3.1 防火墙技术网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自 Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。图 2-2 内部网络与外部网络的连接2.3.2数据加密技术数据加密【4】技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术 4 种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。2.3.3系统容灾技术集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成的数据存储系统，是数据技术发展的重要阶段。随着存储网络化时代的发展，传统的功能单一的存储器，将越来越让位于一体化的多功能网络存储器。2.3.4 入侵检测技术入侵检测【5】技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。 2.4 防火墙安全控制程序对源 IP 地址和目的 IP 过滤功能所有基于 Windows 操作系统的个人防火墙核心技术在于 Windows 操作系统下数据包拦截技术。包过滤系统工作在 OSI 模型中的网络层，可以根据数据包报头等信息来制定规则。数据包过滤是包过滤路由器可以决定对它所收到的每个数据包的取舍。是基于路由器技术的，建立在网络层、传输层上。路由器对每