网络安全毕业论文2

浙江职业技术学院毕业论文（2011届）杭州设备安装有限公司的安全网络构建学生姓名学号0分院计算机分院专业指导教师完成日期天融信防火墙在大中型企业网络安全的应用摘要本文主要讨论基于天融信防火墙设备，对内部网络的安全体系进行实时的维护和有序的管理。对于一家大中型企业，安全性较低、功能单一的软件防火墙已经不能够满足公司的使用了，因此，购买一款安全性更高，功能更加全面的硬件防火墙才是首选。通过一款高效可靠的硬件防火墙，来作用于公司内网和互联网之间是非常有必要的，天融信的防火墙就可以为我们营造一个合理、高效、有序的网络安全体系。天融信防火墙就是诸多同行中的佼佼者，通过有效的配置和管理该硬件设备，可以大大的增强公司内网和互联网之间的安全性，文中主要讲述了如何转换源地址和目的地址，从而有效合理的使用IP地址；访问控制的配置，帮助提高网络资源的使用；上网时间的限制，带宽流量的限制，帮助提高员工的工作效率；服务器IP使用的规划，有效的保护内部资源的安全性，合理规划可访问的权限。关键词计算机网络安全防火墙局域网安全目录第一章防火墙简介..........................................................................................................41.1防火墙的概念和作用...........................................................................................41.2防火墙的分类.......................................................................................................41.2.1包过滤防火墙............................................................................................41.2.2应用代理防火墙........................................................................................61.2.3状态检测防火墙........................................................................................71.3天融信防火墙的主要功能...................................................................................8第二章局域网分析和设计..............................................................................................92.1背景描述...............................................................................................................92.2可行性分析.........................................................................................................102.3需求分析............................................................................................................112.4局域网结构图.....................................................................................................122.5局域网功能图.....................................................................................................12第三章天融信防火墙在企业网络安全的详细配置..................................................143.1IP地址的分配.................................................................................................143.1.1防火墙物理接口地址配置......................................................................143.1.2各部门的IP地址范围配置...................................................................153.2源地址转换的配置............................................................................................163.3访问控制的配置...............................................................................................173.4深度过滤...........................................................................................................213.4.1HTTP流量的带宽限制............................................................................213.4.2限制上网时间..........................................................................................233.5内部服务器的配置...........................................................................................243.5.1内部服务器IP地址的规划.....................................................................243.5.2内部服务器访问控制的配置..................................................................263.5.3内部服务器目的地址的转换..................................................................29结论..................................................................................................................................32致谢..................................................................................................................................33参考文献..........................................................................................................................34第一章防火墙简介1.1防火墙的概念和作用防火墙(firewall)是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。防火墙可通过实时的监测、合理的配置、监控来往于防火墙的数据流，最大程度的监控、记录、屏蔽信息、结构和运行状况，是处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络权限的重要的安全工具。防火墙的作用也是非常重要的，当一台计算机接上Internet之后，除了保护系统的安全中不被计算机病毒感染之外，更主要的就是防止非法用户的入侵。而目前最有效防止的措施主要是靠防火墙的技术完成。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。1.2防火墙的分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。因此，可以将防火墙分为包过滤防火墙、应用代理（网关）防火墙和状态（检测）防火墙三类。1.2.1包过滤防火墙包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和5控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。包过滤防火墙具有根本的缺陷：1.不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。2.不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。3.不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以墙。TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他进入一样，难以履行保护内网安全的职责。61.2.2应用代理防火墙应用代理防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理防火墙的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。缺点也非常突出，主要有：1.难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。2.处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就