用的操作系统样，但在防火墙上运行个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。正像前面提到的那样，每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。防火墙实现基础原理防火墙通常使用的安全控制手段主要有包过滤状态检测代理服务。下面，我们将介绍这些手段的工作机理及特点。包过滤技术是种简单有效的安全控制技术，它通过在网络间相互连接的设备上加载允许禁止来自些特定的源地址目的地址端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层传输层，安全控制的力度也只限于源地址目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于由于不需要对每个数据包进行规则检查，而是个连接的后续数据包通常是大量的数据包通过散列算法，直接进行状态检查，从而使得性能得到了较大提高而且，由于状态表是动态的，因而可以有选择地动态地开通号以上的端口，使得安全性得到进步地提高。代理服务型防火墙，代表个专用网络同互联网进行通讯的防火墙，类似在股东会上人以你的名义代理你来投票。当你将浏览器配置成使用代理功能时，防火墙就将你的浏览器的请求转给互联网当互联网返回响应时，代理服务器再把它转给你的浏览器。代理服务器也用于页面的缓存，代理服务器在从互联网上下载特定页面前先从缓存器取出这些页面。内部网络与外部网络之间不存在直接连接。代理服务器提供了详细的日志和审计功能，大大提高了网络的安全性，也为改进现有软件的安全性能提供了结构与原理系列配置方法探讨黎连业，张维，向东明防火墙及其应用技术北京清华大学出版社阎慧，王伟，宁宇鹏防火墙原理与技术北京机械工业出版社目录第章绪论引言课题设计介绍第二章防火墙介绍什么是防火墙及防火墙的作用防火墙的架构防火墙的技术实现防火墙的特点第三章硬件防火墙硬件防火墙的基本功能防火墙实现基础原理包过滤防火墙应用网关防火墙状态检测防火墙复合型防火墙第四章网络防火墙的硬件实现网络防火墙的硬件结构接口芯片协议栈在下的实现第五章利用做个硬件防火墙Ⅱ软件安装和使用概述Ⅱ设计硬件防火墙程序实例设计程序部分波形仿真部分结束语致谢参考文献第章绪论引言随着现代科学技术的迅猛发展，能源问题环境问题的日益成为人民所关注的问题。在电子科学领域也在以前所未有的革新速度，向着功能多样化，体积最小化功耗最低化的方向迅速发展。现代电子产品在设计上有了新的突破大量使用大规模的可编程逻辑器件，以提高产品的性能，缩小产品的体积，降低产品的消耗广泛使用现代计算机技术，以提高电子设计的自动化程度，缩短开发周期，提高产品的竞争力。就是这样个例子，技术的发展，将大量复杂电路缩小到块小芯片上实现原来电路的功能。课题设计介绍本设计就以硬件防火墙的实现为主要内容，简单介绍各类防火墙的实现，应用及功能。然后就为设计实例来具体说明硬件防火墙的原理实现。就硬件防火墙而言，般具备下的基本功能要求当设置的特真码与输入的代码相同时输出就按照防火墙的功能对其处理。当设置的特真码与输入的代码不同时输出原代码。对设计硬件防火墙的要求能在平台上设计硬件代码，并编译通过。用仿真能实现防火墙的基本功能。第二章防火墙介绍什么是防火墙及防火墙的作用防火墙是指设置在不同网络如可信任的企业内部网和不可信的公共网或网络安全域之间的系列部件的组合。它是不同网络或网络安全域之间信息的唯出入口，能根据企业的安全政策控制允许拒绝监测出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服现浏览器服务器等。提供监视安全和预警的方便端点，对私有数据的加密支持，保证通过进行的虚拟私人网络和商务活动不受损坏。客户端认证只允许指定的用户访问内部网络或选择服务，过滤掉不安全服务和非法用户。反欺骗欺骗是从外部获取网络访问权的常用手段，它令数据包像是来自网络内部。防火墙能监视这样的数据包并扔掉它们。模式和跨平台支持能使运行在平台的管理模块控制另平台的监视模块。邮件保护保护网络免受对电子邮件服务的攻击。第三章硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少的负担，使路由更稳定。网络级防火墙般根据源目的地址做出决策，输入单个的包。台简单的路由器是传统的网络级防火墙，因为它不能做出复杂的决策，不能判断出个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态些数据流的内容等等有关信息。许多网络级防火墙之间的个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的地址块。网络级防火墙般速度都很快，对用户很透明。硬件防火墙的基本功能防火墙的基本功能防火墙系统可以说是网络的第道防线，因此个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。个成功的防火墙产品应该具有下述基本功能防火墙的设计策略应遵循安全防范的基本原则除非明确允许，否则就禁止防火墙本身支持安全策略，而不是添加上去的如果组织机构的安全策略发生改变，可以加入新的服务有先进的认证手段或有挂钩程序，可以安装先进的认证方法如果需要，可以运用过滤技术允许和禁止服务可以使用和等服务代理，以便先进的认证手段可以被安装和运行在防火墙上拥有界面友好易于编程的过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源地址协议类型源和目的端口包的位出站和入站网络接口等。如果用户需要网络消息传输协议和等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应务，实现网络和信息安全的基础设施。随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征例如入侵检测，但这几乎是种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另种选择就是防火墙，防火墙是用来在安全私有网络可信任网络和外部不可信任网络之间安全连接的个设备或组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏外网和内部局域网的防火墙系统。防火墙的架构防火墙产品的三代体系架构主要为第代架构主要是以单作为整个系统业务和管理的核心，有等多类型，产品主要表现形式是机工控机或等第二代架构以或作为业务处理的主要核心，对般安全业务进行加速，嵌入式为管理核心，产品主要表现形式为等第三代架构集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。防火墙的技术实现从软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术近年来由等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，软件防火墙从开始的时候单纯的个截包丢包，堵截和端口的工具，发展到了今天功能强大的整体性的安全套件。防火墙的特点般防火墙具备以下特点控制对特殊站点的访问，广泛的服务支持通过将动态的应用层的过滤能力和认证相结合，可实Ⅱ的图形设计输入是较其他软件更容易使用的，因为Ⅱ提供了丰富的库单元供设计者调用，尤其是在Ⅱ里提供的库几乎包含了所有的系列的器件，在库里提供了数字电路中所有的分离器件。因此只要具有数字电路的知识，几乎不需要过多的学习就可以利用Ⅱ进行的设计。Ⅱ还包括多种特殊的逻辑宏功能以及新型的参数化的兆功能模块。充分利用这些模块进行设计，可以大大减轻设计人员的工作量和成倍地缩短设计周期。文本编辑输入Ⅱ的文本输入和编译系统支持语言语言语言三种输入方式。波形输入方式如果知道输入输出波形，也可以采用波形输入方式。混合输入方式Ⅱ设计开发环境，可以进行图形设计输入文本编辑输入波形编辑输入混合编辑。具体操作方法是在图形编辑波形编辑时形成模块，在文本编辑时通过模块名或者采用„„的方式进行调用。同样，文本编辑输入形成的模块，也可以在图形编辑时调用，语言编译的结果可以在语言下使用，语言编译的结果也可以在语言或图形输入时使用。这样灵活多变的输入方式，给设计使用者带来了极大的方便。设计与器件的结构无关Ⅱ系统支持公司的及等各种类型的可编程器件。而在设计输入编译逻辑功能和功能仿真时并不关心器件的结构。只有在形成具体应用