返回
数据包过滤课程设计

数据包过滤课程设计

ID:47517835

大小:331.13 KB

页数:13页

时间:2020-01-12

数据包过滤课程设计_第1页
数据包过滤课程设计_第2页
数据包过滤课程设计_第3页
数据包过滤课程设计_第4页
数据包过滤课程设计_第5页
资源描述:

《数据包过滤课程设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、西南科技大学课程设计报告课程名称:信息对抗专业方向设计设计名称:数据包过滤程序设计姓名:学号:班级:指导教师:潘迎春起止日期:2011.11.25-2011.12.1课程设计任务书学生班级:对抗0802学生姓名:龙钱梅学号:20080877设计名称:数据包过滤程序设计起止日期:2011.11.25-2011.12.1指导教师:潘迎春设计要求:1、了解防火墙原理、现状、发展趋势。2、了解包过滤原理、技术。3、从网上下载1个包过滤程序源代码,结合包过滤原理进行分析,并调试运行。课程设计学生日志时间设计内容11.

2、25-11.26查询资料11.27-11.28翻阅相关程序实例并借鉴11.29-11.30编译程序12.1调试程序课程设计考勤表周星期一星期二星期三星期四星期五课程设计评语表指导教师评语:成绩:指导教师:年月日 数据包程序设计一、设计目的和意义1、了解防火墙原理、现状、发展趋势。 2、了解包过滤原理、技术。二、设计原理1、防火墙原理、现状、发展趋势防火墙原理防火墙就是一种过滤塞,你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。首先,我们需要了

3、解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。 ││---路由器-----网卡│防火墙│网卡│----------内部网络││防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。 说到访问控制,这是防火墙的核心了,防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:  1

4、acceptfrom+源地址,端口to+目的地址,端口+采取的动作  2deny...........(deny就是拒绝。。)  3nat............(nat是地址转换。后面说)防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。但是,不同的防火墙,在判断攻击行为时,有实现上的差别。防火墙的应用现状1.防火墙现状概说,附图是一个防火墙典型应用的示意图。防火墙的功能主要包含以下几个方面:访问控制,如应用ACL进行访

5、问控制;攻击防范,如防止SYNFLOOD等;NAT;VPN;路由;认证和加密;日志记录;支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QoS特性的支持和对H.323、SIP等多种应用协议的支持也必不可少。为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络技术结合进来,例如支持DHCPSERVER、DHCPRELAY;支持动态路由,如RIP、OSPF等;支持拨号、PPPoE等特性;支持广域网口;支

6、持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。但是,目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤,防病毒和IDS等的支持,实际的应用效果并不好。因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对CPU的消耗很大。这些功能的启动,会导致性能急剧下降,本来100M的处理能力,可能会下降到几兆,导致网络严重阻塞甚至瘫痪,失去了防火墙存在的意义。2.包过滤防火墙和代理防火墙的发展,经历了从早期的

7、简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在NAT情况下很

8、难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。3.状态检测技术下面,我们重点讲一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。对于部分协议,如FTP、H.323等协议,是有状态的协议,防火墙必须对这些协议进行分析,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。