第一篇:防火墙技术研究报告
防火墙技术研究报告
防火墙技术
摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
目录
一、概述.....................................................................................................................................4
二、防火墙的基本概念.............................................................................................................4
三、防火墙的技术分类.............................................................................................................4
四、防火墙的基本功能.............................................................................................................5
(一)包过滤路由器.........................................................................................................5
(二)应用层网关.............................................................................................................6
(三)链路层网关.............................................................................................................6
五、防火墙的安全构建.............................................................................................................6
(一)基本准则..............................................................................错误!未定义书签。
(二)安全策略.................................................................................................................6
(三)构建费用..............................................................................错误!未定义书签。
(四)高保障防火墙......................................................................错误!未定义书签。
六、防火墙的发展特点.............................................................................................................7
(一)高速.........................................................................................................................7
(二)多功能化.................................................................................................................8
(三)安全.........................................................................................................................8
七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10
防火墙技术研究报告
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
二、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
三、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新 的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
四、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问
相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
五、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
六、防火墙的发展特点
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字
符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
(三)安全
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
七、防火墙的发展趋势
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进 行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
参考文献
[1] 谢希仁.计算机网络(第5版)[M].北京:电子工业出版社
[2] 吴秀梅,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社 [3] 张红旗,王鲁 等编著.信息安全技术.高等教育出版社
[4] 张华贵,王海燕.计算机网络在安全分析与对策
[5] 黄思育.浅议防火墙.达县师范高等专科学校学报(自然科学版)
第二篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
第三篇:防火墙技术报告
《网络与信息安全技术》
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成 分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1.防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2)防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3.防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。(4)实施主机策略:对网络中的各节点可以起到更安全的防护。(5)应用更为广泛,支持VPN通信。
3.数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则:(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
1)袁津生 吴砚农 《计算机网络安全基础》 北京:人民邮电出版社 2013 2)黎连业,张维,防火墙及其应用技术,清华大学出版社.2004 3)程代伟,网络安全完全手册,电子工业出版社.2006 4)李涛,网络安全概论,电子工业出版社.2004
第四篇:实验 防火墙技术实验
实验九
防火墙技术实验
1、实验目的
防火墙是网络安全的第一道防线,按防火墙的应用部署位置分类,可以分为边界防火墙、个人防火墙和分布式防火墙三类。通过实验,使学生了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。
2、题目描述
根据不同的业务需求制定天网防火墙策略,并制定、测试相应的防火墙的规则等。
3、实验要求
基本要求了解各种不同类型防火墙的特点,掌握个人防火墙的工作原理和规则设置方法,掌握根据业务需求制定防火墙策略的方法。提高要求能够使用WindowsDDK开发防火墙。
4、相关知识
1)防火墙的基本原理防火墙(firewall)是一种形象的说法,本是中世纪的一种安全防务:在城堡周围挖掘一道深深的壕沟,进入城堡的人都要经过一个吊桥,吊桥的看守检查每一个来往的行人。对于网络,采用了类似的处理方法,它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(securitygateway),也就是一个电子吊桥,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。它决定了哪些内部服务可以被外界访问、可以被哪些人访问,以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。典型的网络防火墙如下所示。
防火墙也并不能防止内部人员的蓄意破坏和对内部服务器的攻击,但是,这种攻击比较容易发现和察觉,危害性也比较小,这一般是用公司内部的规则或者给用户不同的权限来控制。
2)防火墙的分类前市场的防火墙产品主要分类如下:
(1)从软、硬件形式上软件防火墙和硬件防火墙以及芯片级防火墙。(2)从防火墙技术“包过滤型”和“应用代理型”两大类。
(3)从防火墙结构单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。(4)按防火墙的应用部署位置边界防火墙、个人防火墙和混合防火墙三大类。(5)按防火墙性能百兆级防火墙和千兆级防火墙两类。3)防火墙的基本规则
■一切未被允许的就是禁止的(No规则)。■一切未被禁止的就是允许的(Yes规则)。
很多防火墙(例如SunScreenEFS、CiscoIOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条„„当它发现一条匹配规则时,就停止检查并应用那条规则。
4)防火墙自身的缺陷和不足
■限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
■无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。■Internet防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP联接进入Internet。
■对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。■Internet防火墙也不能完全防止传送已感染病毒的软件或文件。
■防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
■不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。
5、实验设备
主流配置PC,安装有windows 2000 SP4操作系统,网络环境,天网防火墙个人版。
6、实验步骤
1)从指导老师处得到天网防火墙个人版软件。
2)天网防火墙个人版的安装。按照安装提示完成安装,并重启后系统。
3)系统设置。在防火墙的控制面板中点击“系统设置”按钮,即可展开防火墙系统设置面板。
天网个人版防火墙系统设置界面如下。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口,如下:
如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置在局域网内的地址。防火墙将会以这个地址来区分局域网或者是INTERNET 的IP来源。日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
4)安全级别设置天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级。了解安全级别的说明请查看防火墙帮助文件。为了了解规则的设置等情况,我们选择自定义安全级别。
然后点击左边的将打开自定义的IP规则。
从中可以看出,规则的先后顺序为IP规则、ICMP规则、IGMP规则、TCP规则和UDP规则。自定义IP规则的工具条如下,可以使用这些工具完成规则的增加、修改、删除、保存、调整、导入导出操作。重要:规则增加、修改、删除等操作后一定要点击保存图标进行保存,否则无效。
单击规则前面的,可使该规则不起作用,且其形状变为。
5)修改规则双击该规则,或者点击工具条上的修改按钮可以打开该规则的修改窗体。然后按照需求对各部分进行修改。
(1)首先输入规则的“名称”和“说明”,以便于查找和阅读。(2)然后,选择该规则是对进入的数据包还是输出的数据包有效。
(3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: ■“任何地址”是指数据包从任何地方来,都适合本规则,■“局域网网络地址”是指数据包来自和发向局域网,■“指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。
(4)除了录入选择上面内容,还要录入该规则所对应的协议,其中:
■‘IP’协议不用填写内容,注意,如果你录入了IP协议的规则,一点要保证IP协议规则的最后一条的内容是:“对方地址:任何地址;动作:继续下一规则”。
■‘TCP’协议要填入本机的端口范围和对方的端口范围,如果只是指定一个端口,那么可以在起始端口处录入该端口,结束处,录入同样的端口。如果不想指定任何端口,只要在起始端口都录入0。TCP标志比较复杂,你可以查阅其他资料,如果你不选择任何标志,那么将不会对标志作检查。
■‘ICMP’规则要填入类型和代码。如果输入255,表示任何类型和代码都符合本规则。■‘IGMP’不用填写内容。
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ■‘通行’指让该数据包畅通无阻的进入或出去。■拦截’指让该数据包无法进入你的机器
■继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对该包的处理。(6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
6)新增规则点击工具条的新增规则按钮可以新增一条规则,并弹出该规则的编辑界面。比如新增一条允许
访问WWW端口的规则,可以按如下方法设置。设置完成后点击“确定”,并点击工具条的保存按钮。
7)普通应用程序规则设置天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能,它可以控制应用程序发送和接收数据传输包的类型、通讯端口,并且决定拦截还是通过。在天网防火墙个人版打开的情况下,首次激活的任何应用程序只要有通讯传输数据包发送和接收存在,都会被天网防火墙个人版先截获分析,并弹出窗口,询问你是通过还是禁止。这时可以根据需要来决定是否允许应用程序访问网络。如果不选中“该程序以后按照这次的操作运行”,那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包,并且弹出警告窗口。如果选中“该程序以后按照这次的操作运行”选项,该应用程序将自加入到应用程序列表中,可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。
8)高级应用程序规则设置单击
可以打开详细的应用程序规则设置。单击应用程序规则面板中对应每一条应用程序规则都有几个按钮
点击“选项”即可激活应用程序规则高级设置页面。
“该应用程序可以”窗口是设定该应用程序可以做的动作。其中:是指此应用程序进程可以向外发出连接请求,通常是用于各种客户端软件。则是指此程序可以在本机打开监听的端口来提供网络服务,这通常用于各种服务器端程序中。
9)根据以上功能,分别完成如下不同需求的防火墙规则设置并进行测试。
需求1:ICMP规则允许ping进来,其它禁止,TCP规则允许访问本机的WWW服务和主动模式的FTP服务,其它禁止,UDP禁止。需求2:ICMP规则允许ping出去,其它禁止,TCP规则禁止所有连接本机,允许IE访问Internet的80端口,UDP规则允许DNS解析,其它进出UDP报文禁止。
7、实验思考
1)根据你所了解的网络安全事件,你认为天网防火墙不具备的功能有哪些? 2)防火墙是不是绝对的安全?攻击防火墙系统的手段有哪些?
第五篇:防火墙概技术及其特点
防火墙概技术及其特点
大家知道,传统防火墙的类型主要有三种:包过滤、应用层网关和代理,每种都有各自的特点。
1、数据包过滤防火墙技术
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Contro*Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
包过滤的优点是一个过滤路由器能协助保护整个网络,数据包过滤对用户透明,过滤路由器速度快、效率高;缺点是不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略。
2、应用层网关防火墙技术
应用层网关(Application Leve*Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
3、代理防火墙技术 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Leve*Gateways or TCP Tunnels),也有人将它归于应用层网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
三、新一代防火墙技术及其应用
新一代防火墙的目的主要是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏;产生一个新的防火墙理论。
新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性提升到又一高度。
智能防火墙的关键技术有:
*防攻击技术
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
*防扫描技术 智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
*防欺骗技术
智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
*入侵防御技术
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
*包擦洗和协议正常化技术
智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
*AAA技术
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
2009年12月26日