第一篇:基于数据包捕获与分析的个人防火墙论文
基于数据包捕获与分析的个人防火墙论文
本套设计论文描述及运行界面展示
摘 要
数据包过滤是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤的功能通常是在将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过(更为常见的是在从英特网向内部网络传输数据时,或从内部网络向英特网传输)。若要完成数据包过滤,你就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。
基于数据包过滤的防火墙,能够很好地保护用户在与网络连接时的安全性。
我们的目标,就是通过截获数据包,并且对其进行分析,来放行或阻止网络访问,从而达到保护计算机安全的目的。
本论文主要讲述了下面几点:
一、数据包捕获及网络安全技术
二、系统的设计与实现
三、测试及其他
关键字:数据包捕获;防火墙;网络安全
Abstract Packet Filtering is the process a piece of software or device takes to selectively control the flow of data to and from a network.Packet Filters allow or block packets, usually while routing them from one network to another(most often from the Internet to an internal network, and vice-versa).To accomplish packet filtering, you set up rules that specify what types of packets are to be allowed and what types are to be blocked.The packet filtering based firewall can protect the security of computers very well.Our goal is to capture and analysis data packets ,so we can examines all packets that pass in and out of it to prevent packets from passing through ,and the computer is protected.The thesis presents these aspects:
1、Technology of Packet Filtering and Network Security
2、How to implement the system
3、Testing document and others Key Words: Packet Filtering、Firewall、network security
目 录 第一章 绪论 1 第一节 课题意义1 第二节 课题综述1
一、国内外发展情况 1
二、网络安全技术介绍 4
三、防火墙介绍 6
四、防火墙技术发展趋势8
五、防火墙产品发展趋势10 第二章 需求分析 11 第一节 需求分析11
一、功能调查11
二、初步设计12 第二节 可行性分析 12
一、技术可行性及方案选择 12 第三节 开发环境及工具 13
一、开发环境13
二、开发工具14 第三章 基础实现技术介绍 15 第一节 MFC介绍15 第二节 数据包过滤技术 15
一、数据包 15
二、数据包过滤是怎样工作的16
三、包过滤的优点 16 第四章 系统总体设计18 第一节 功能分析18 第二节 系统工作流程 19
一、系统工作流程图 18
二、原理分析20
三、系统工作过程描述 21 第五章 子模块设计 22 第一节 模块分析21
一、模块划分原则 22
二、模块划分23
三、模块接口定义 25 第二节 子模块详细设计 26
一、注册模块26
二、查询模块28
三、流量统计模块 29 第六章 出现问题及解决办法 32 第一节 出现问题32 第二节 无法解决的问题 33 第七章 测试 34 第一节 测试方案34 第二节 测试实例35 第三节 测试总结39 结束语 40 致谢 41 参考文献42
第二篇:计算机网络课程设计_IP数据包的捕获与分析[范文]
CENTRAL SOUTH UNIVERSITY
计算机网络课程设计报告
目录
第一章 课程设计的目的与要求..........................错误!未定义书签。1.1 课程设计的目的...................................错误!未定义书签。1.2 课程设计的要求....................................................1 第二章 课程设计的内容.................................................3 2.1 课程设计的内容....................................................3 2.2 内容的要求........................................................3 第三章 程序分析与设计.................................................4 3.1 IP数据包..........................................................4 3.1.1 IP数据包的格式说明..........................................4 3.1.2 IP数据包的格式..............................................4 3.1.3 IP数据包的C++定义...........................................5 3.1.4 IP数据包的解析..............................................6 3.2 套接字............................................................7 3.1.4 套接字的使用.................................................7 3.1.4 使用原始套接字...............................................7 3.3 接受数据包........................................................7 第四章 实验结果.......................................................10 4.1 程序截图.........................................................10 第五章 总结..........................................................11 5.1 实验心得.........................................................11 第六章 附录..........................................................12 6.1 源代码...........................................................12
第一章 课程设计的目的与要求
1.1 课程设计的目的
计算机网络课程设计的目的,是为了让学生更深入地掌握计算机网络的核心内容,实现理论与实践相结合。让学生用具体的实践成果,体现对理论知识的掌握程度。有利于学生提高计算机网络的实践能力,加深对计算机网络理论知识的理解。
1.2 课程设计的要求
(1)编写程序,实现系统的基本功能,鼓励自行增加新功能;
(2)要有用户界面:要求至少采用文本菜单界面;鼓励采用图形菜单界面;(3)写课程设计报告,内容包括: 封面(参见附录I)
需求分析:以无歧义的陈述说明程序设计的任务,强调的是程序要做什么?给出功能模块图和流程图。同时明确规定:输入的形式和输出值的范围;输出的形式;程序所能够达到的功能;测试数据,包括正确的输入及其输出结果和含有错误的输入及其输出结果。
概要设计:包括程序设计组成框图,程序中使用的存储结构设计说明(如果指定存储结构请写出该存储结构的定义)。
详细设计:包括模块功能说明(如函数功能、入口及出口参数说明,函数调用关系描述等),每个模块的算法设计说明(可以是描述算法的流程图)。其中源程序要按照写程序的规则来编写,结构清晰,重点函数的重点变量,重点功能部分要加上清晰的程序注释。
运行结果:包括典型的界面、输入和输出数据等;
总结:包括课程设计中遇到的问题,解决问题的过程及体会、收获、对课程设计的认识与思考等。
附录:包括主要程序清单,要有适当的注释,使程序容易阅读。
(4)课程设计报告书写规范参见附录II,不按照规范书写的,成绩不能评为“优”或“良”。
(5)无论在校外、校内,都要严格遵守学校和所在单位的学习和劳动纪律、1 规章制度,学生有事离校必须请假。课程设计期间,无故缺席按旷课处理;缺席 时间达四分之一以上者,其成绩按不及格处理。
第二章 课程设计的内容
2.1 课程设计的内容
本次实验的要求在网络环境,使用VC++编写程序实现捕获网络中的IP数据包,解析数据包的内容,将结果显示在标准输出上,并同时写入日志文件。
2.2 内容的要求
(1)以命令行形式运行(应如程序名+参数名):ipparse logfile,其中ipparse是程序名,而logfile为该程序所带参数,其代表记录结果的日志文件。(2)在标准输出和日志文件中写入捕获的IP包的版本、头长度、服务类型、数据包总长度、数据包标识、分段标志、分段偏移值、生存时间、上层协议类型、头校验和、源IP地址和目的IP地址等内容。(3)当程序接收到键盘输入Ctrl+C时退出。
第三章 程序设计与分析
3.1 IP数据包
3.1.1 IP数据包的格式说明
IP数据包格式包含了标头固定部分,标头可变部分和数据区三部分。IP数据报标头部分固定为20个字节,其中包含了12个参数域,各参数域隐含着网间协议的传输机制。IP具体的标头格式如图1所示。
各参数域的具体含义如下:
1)版本号:长度4位,表示所使用的IP协议的版本。IPv4版本号字段值为4;IPV6版本号字段号的值为6.2)标头长:长度4位,定义了一个以4B为一个单位的IP包的报头长度 3)服务类型:共8位,高3位组成优先级子域,随后4位组成服务类型子域。4)数据报总长度:总长度为2B(即6位)。定义了以字节为单位的数据报的总长度。5)重装标识:长度16位,用于识别IP数据报的编号,让目的主机判断新来的数据属于哪个分组。
6)分片标识:共3位,最高位为0;DF禁止分片标识。DF=0,可以分片;DF=1,不能分片。MF:分片标识。MF=0,表示接的是最后一个分片;MF=1,不是最后一个分片。
7)片偏移值:共13位,说明分片在整个数据报中的相对位置。
8)生存周期:8位,用来设置数据数据报在整个网络传输过程中的寿命。常以一个数据报可以经过的最多的路由器跳步数来控制。9)协议类型:共8位,表示该IP数据报的高层协议类型。10)标头校验和:共16位,用于存放检查报头错误的校验码。
11)源、宿主机地址:共32位,分别表示发送和接受数据报的源主机和宿主机的IP地址。
选项数据域:0-40B,用于控制和测试
3.1.2 IP数据包的格式
4位版本4位首部长度8位服务类型(TOS)3位标志8位协议32位源IP地址32位目的IP地址16位总长度(字节为单位)13位片偏移16位首部检验和16位标识8位生存时间(TTL)
3.1.3 IP数据包的C++定义 typedef struct _IP { union {
BYTE Version;// 版本
BYTE HdrLen;//IHT };BYTE ServiceType;// 服务类型 WORD TotalLen;// 总长
WORD ID;// 标识
union {
WORD Flags;// 标志
WORD FragOff;// 分段偏移
};BYTE TimeToLive;// 生命期
BYTE Protocol;// 协议
WORD HdrChksum;// 头校验和
DWORD SrcAddr;// 源地址
DWORD DstAddr;// 目的地址 BYTE Options;// 选项
} IP;
3.1.4 IP数据包的解析
通过IP_HEADER解析IP头各个字段的代码: /*获取版本字段*/ ip.Version>>4;/*获取头部长度字段*/ ip.HdrLen & 0x0f;/*获取服务类型字段中的优先级子域*/ ip.ServiceType>>5;/*获取服务类型字段中的TOS子域*/(ip.ServiceType>>1)&0x0f;/*获取总长度字段*/ ip.TotalLen;/*获取标识字段*/ ip.ID;/*解析标志字段*/ DF =(ip.Flags>>14)& 0x01;MF =(ip.Flags>>13)& 0x01;/*获取分段偏移字段*/ ip.FragOff & 0x1fff;/*获取生存时间字段*/ ip.TimeToLive;/*获取协议字段*/ ip.Protocol;/*获取头校验和字段*/ ip.HdrChksum;/*解析源IP地址字段*/ inet_ntoa(*(in_addr*)&ip.SrcAddr);/*解析目的IP地址字段*/ inet_ntoa(*(in_addr*)&ip.DstAddr);3.2 套接字
3.2.1 套接字的使用
本程序使用套接字socket编程,将网卡设为能够接受流经网卡的所有类型的数据包。首先,初始化套接字,然后监听数据包,解析数据包。
SOCKET sock=socket(AF_INET,SOCK_RAW,IPPROTO_IP)用来创建套接字,其参数为通信发生的区字段和套接字的类型。
WSAIoctl(sock,IO_RCVALL ,&dwBufferInLen , sizeof(dwBufferInLen)函数用来把网卡设置为混杂模式。
recv(sock,buffer,65535,0)函数用来接收经过的IP包,其参数分别是套接字描述符,缓冲区的地址,缓冲区的大小。
3.2.1 使用原始套接字
要进行IP层数据包的接收和发送,应使用原始套接字。创建原始套接字的代码如下:
SOCKET sock;sock=WSASoccket(AF_INET,SOCK_RAW,IPPROTO_IP,NULL,0, WSA_FLAG_OVERLAPPED);在WSASoccket函数中,第一个参数指定通信发生的区字段,AF_INET是针对Internet的,允许在远程主机之间通信。第二个参数是套接字的类型,在AF_INET地址族下,有SOCK_STREAM、SOCK_DGRAM、SOCK_RAW三种套接字类型。在这里,设置为SOCK_RAW,表示声明的是一个原始套接字类型。第三个参数依赖于第二个参数,用于指定套接字所有的特定协议,这里使用IP协议。第四个参数为WSAPROTOCOL_INFO位,该位可以置空。第五个参数保留,永远置0。第六个参数是标志位,WSA_FLAG_OVERLAPPED表明可以使用发送接收超时设置。
创建原始套接字后,IP头就会包含在接收的数据中。然后,可以设置IP头操作选项,调用setsockopt函数。其中flag设置为true,并设定IP_HDRINCL选项,表明用户可以亲自对IP头进行处理。
BOOL flag=true;setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(CHAR*)&flag,sizeof(flag));之后,使用如下代码完成对socket的初始化工作: /*获取主机名*/ char hostName[128];gethostname(hostName,100);/*获取本地IP地址*/ hostent * pHostIP;pHostIP = gethostbyname(hostName);/*填充SOCKADDR_IN结构的内容*/ sockaddr_in addr_in;addr_in.sin_addr = *(in_addr *)pHostIP->h_addr_list[0];addr_in.sin_family = AF_INET;addr_in.sin_port = htons(6000);/*绑定socket*/ bind(sock,(PSOCKADDR)&addr_in,sizeof(addr_in));填写sockaddr_in的内容时,其地址值应填写为本机IP地址,本机IP地址可以通过gethostbyname()函数获取;端口号可以随便填写,但不能与系统冲突;协议族应填为AF_INET。使用htons()函数可以将无符号短整型的主机数据转换为网络字节顺序的数据。最后使用bind(0函数将socket绑定到本机网卡上。绑定网卡后,需要用WSAIoctl()函数把网卡设置为混杂模式,使网卡能够接收所有网络数据,其关键代码如下:
#define SIO_RCVALL_WSAIOW(IOC_VENDOR,1)DWORD dwBufferLen[10];DWORD dwBufferInLen = 1;DWORD dwBytesReturned = 0;WSAIoct1(SnifferSocket, IO_RCVALL,&dwBufferInLen,sizeof(dwBufferInLen),&dwBufferLen,sizeof(dwBufferLen),&dwBytesReturned,NULL,NULL);如果接收的数据包中的协议类型和定义的原始套接字匹配,那么接收到的数据就拷贝到套接字中。因此,网卡就可以接收所有经过的IP包。
3.3 接收数据包 在程序中可使用recv()函数接收经过的IP包。该函数有四个参数,第一个参数接收操作所用的套接字描述符;第二个参数接收缓冲区的地址;第三个参数接收缓冲区的大小,也就是所要接收的字节数;第四个参数是一个附加标志,如果对所发送的数据没特殊要求,直接设为0。因为IP数据包的最大长度是65535B,因此,缓冲区的大小不能小于65535B。设置缓冲区后,可利用循环来反复监听接收IP包,用RECV()函数实现接收功能的代码如下:
#define BUFFER_SIZE 65535 char buffer[BUFFER_SIZE];//while(true){ recv(sock,buffer,BUFFER_SIZE,0);// /*然后是解析接收的IP包*/ }
设置缓冲区 接收数据包
第四章 实验结果
4.1 程序截图
第五章 总结
通过这次课程设计,我们了解到关于计算机网络数据传送及处理过程中,软件起到了巨大的作用。熟悉了C++语言在计算机网络方面的应用,是一次难得的机会。此外,我还了解了网络通信协议的基本工作原理及套接字的使用,虽然刚开始的时候比较模糊,但是通过与同学共同探讨和网上查阅资料,最终我成功完成了实验。这次课程设计培养了我们基本掌握网络编程的基本思路和方法,让我们懂得如何去学习这类东西。同时提高我们对所学计算机网络理论知识的理解能力,提高和挖掘我们对所学知识的实际应用能力和创新能力。同学们的合作是实验成功的必要条件,而谨慎对待事物的态度是成功的关键。
第六章 附录
6.1 源代码
#include
//定义IP头 { union {
BYTE Version;
//版本(前4位)
BYTE HdrLen;
//报头标长(后4位),IP头长度
};BYTE ServiceType;
//服务类型
WORD TotalLen;
//数据报总长
WORD ID;
//标识
union {
WORD Flags;
//标识(前3位)
WORD FragOff;
//分段偏移(后13位)
};BYTE TimeToLive;
//生存周期
BYTE Protocol;
//协议
WORD HdrChksum;
//头校验和
DWORD SrcAddr;
//源地址
DWORD DstAddr;
//目地地址
BYTE Options;
//选项 }IP_HEADER;
char * parseServiceType_getProcedence(BYTE b){ switch(b>>5)
//获取服务类型字段中优先级子域
{ case 7:
return “Network Control”;
//网络控制
break;case 6:
return “Internet work Control”;
//网络控制
break;case 5:
return “CRITIC/ECP”;
break;case 4:
return “Flash Override”;
//最优先信号
break;case 3:
return “Flsah”;
break;case 2:
return “Immediate”;
break;case 1:
return “Priority”;
//协议
break;case 0:
return “Routine”;
//路由
break;default:
return “Unknow”;
break;} } char * parseServiceType_getTOS(BYTE b){ b=(b>>1)&0x0f;
//获取服务类型字段中的TOS子域
switch(b)
{
case 0:
return “Normal service”;
//正常运行
break;case 1:
return “Minimize monetary cost”;
//成本
break;case 2:
return “Maximize reliability”;
//可靠性
break;case 4:
return “Maximize throughput”;
//吞吐量
break;case 8:
return “Minimize delay”;
//延迟
break;case 15:
return “Maximize security”;
//安全性
break;default:
return “Unknow”;
} } char * getProtocol(BYTE Protocol)
//获取协议字段共8位 { switch(Protocol)
//以下为协议号说明:
{
case 1:
return “ICMP”;
//Internet控制报文协议
case 2:
return “IGMP”;
//Internet组管理协议
case 4:
return “IP in IP”;
//移动IP数据封装和隧道
case 6:
return “TCP”;
//传输控制协议
case 8:
return “EGP”;
//外部网关协议
case 17:
return “UDP”;
//用户数据报文协议
case 41:
return “IPv6”;case 46:
return “RSVP”;
//资源预留协议
case 89:
return “OSPF”;
//Open Shortest Path First 开发式最短路径优先
default:
return “UNKNOW”;} } void ipparse(FILE* file,char* buffer){ IP_HEADER ip=*(IP_HEADER*)buffer;
//通过指针把缓冲区的内容强制转化为IP_HEADER数据结构
fseek(file,0,SEEK_END);
fprintf(file,“_______________________________________________rn”);fprintf(file,“版本号:IPV%drn”,ip.Version>>4);fprintf(file,“报头标长:%d(BYTE)rn”,((ip.HdrLen & 0x0f)*4));fprintf(file,“服务器类型 : %s,%srn”,parseServiceType_getProcedence(ip.ServiceType),parseServiceType_getTOS(ip.ServiceType));fprintf(file,“总长度 : %d(BYTE)rn”,ip.TotalLen);fprintf(file,“标识 : %drn”,ip.ID);fprintf(file,“标志位 DF:%d , MF=%drn”,((ip.Flags>>14)&0x01),((ip.Flags>>13)&0x01));fprintf(file,“分段偏移值 : %drn”,(ip.FragOff&0x1fff));
fprintf(file,“生存期 : %d(hops)rn”,ip.TimeToLive);fprintf(file,“协议 : %srn”,getProtocol(ip.Protocol));fprintf(file,“头校验和 : 0x%0xrn”,ip.HdrChksum);fprintf(file,“源IP地址 : %srn”,inet_ntoa(*(in_addr*)&ip.SrcAddr));fprintf(file,“目的IP地址 : %srn”,inet_ntoa(*(in_addr*)&ip.DstAddr));fprintf(file,“________________________________________________rn”);}
int main(){
FILE * file;if((file=fopen(“logfile.txt”,“wb+”))==NULL){
printf(“fail to open file %s”);
return-1;
}
WORD rv;WSADATA WSAData;
//定义了能够储存WSAStarup调用返回值的结构
rv=MAKEWORD(2,2);
//Winsock2版本
WSAStartup(rv,&WSAData);
SOCKET sock=socket(AF_INET,SOCK_RAW,IPPROTO_IP);//创建套接字,sock为套接字描述符
BOOL flag=true;setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(CHAR*)&flag,sizeof(flag));//任意类型、任意状态套接口的设置选项值
char hostName[128];gethostname(hostName,100);
//获取主机名
hostent * pHostIP;
//获取本地IP地址
pHostIP = gethostbyname(hostName);
sockaddr_in addr_in;addr_in.sin_addr=*(in_addr *)pHostIP->h_addr_list[0];addr_in.sin_family = AF_INET;addr_in.sin_port = htons(6000);//将无符号短整型主机数据转换为网络字节顺序数据
bind(sock,(PSOCKADDR)&addr_in,sizeof(addr_in));
DWORD dwBufferLen[10];
//设置网卡为混杂模式
DWORD dwBufferInLen=1;DWORD dwBytesReturned=0;WSAIoctl(sock, IO_RCVALL,&dwBufferInLen,sizeof(dwBufferInLen), &dwBufferLen,sizeof(dwBufferLen),&dwBytesReturned,NULL,NULL);
char buffer[BUFFER_SIZE];
//设置缓冲区
char i,a;
printf(“
*************************************n”);
printf(“
*
IP数据包捕获程序
*n”);
printf(“
*
捕获并解析本机的数据包输入Y
*n”);
printf(“
*
放弃执行输入N
*n”);
printf(“
*
退出程序按 Ctrl+c
*n”);
printf(“
*************************************n”);cin>>i;system(“cls”);while(true&&i=='Y'||i=='y'){
int size=recv(sock,buffer,BUFFER_SIZE,0);
//接收数据包
if(size>0)
{
printf(“nnIP数据包捕获解析程序n”);
ipparse(stdout,buffer);
ipparse(file,buffer);
printf(“是否要继续捕获并解析本机的IP数据包? Y/N n”);
fflush(stdin);
cin>>i;
continue;
}
else
fclose(file);
return 0;}
closesocket(sock);}
计算机网络课程的结束已经过去将近1年,当时的学习也仅限于上课和考试。这次计算机网络课程设计给予了我一次难得的锻炼机会。刚拿到题目的时候,感觉还无从下手。后来通过上网查询各种资料和查阅书籍,我们慢慢摸索探讨出了整个组网的设计过程。该组网只是一个简单的酒店网络模拟,它离实际还是有相当的距离,需要进行不断地补充和完善。通过本次课程设计我们学到了不少新的东西,也发现了大量的问题,有些在设计过程中已经解决,有些还有待今后慢慢学习只要学习就会有更多的问题,有更多的难点,但也会有更多的收获。本次课程设计用到的packet tracer软件是我们第一次接触,但通过自学和网络的帮助,我们慢慢掌握了packet tracer软件的使用方法。从一开始的无处着手到通过自己的努力,我基本上完成了这次的任务,但是由于知识的欠缺及时间的限制,我们的成果仅限于现在完成的部分,还有很大的改善空间。总的来说,本次课程设计让我获益匪浅,希望以后还有这样锻炼自己的机会。
第三篇:数据包捕获与协议实验报告
计算机网络实验(实习)报告
Ⅰ.实验(实习)名称 :数据包捕获与协议分析
实验(实习)日期
专业姓名:学号:(或使用青岛农业大学实验报告纸)
1、实验目的(1)掌握网络协议分析工具Ethereal的使用方法;
(2)截获数据包并对它们观察和分析,了解协议的运行机制;
2、实验内容:
(1)设计一个捕获HTTP实现的完整过程,并对捕获的结果进行分析和统计。
要求:
(2)设计一个捕获TCP实现的完整过程,并对捕获的结果进行分析和统计。
要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析
TCP报文(源端口、目的端口、序号、确认号,ACK、SYN、窗口等)。
(3)设计一个捕获ICMP实现的完整过程,并对捕获的结果进行分析和统计
要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析
该ICMP报文。
(4)设计一个捕获IP数据包的过程,并对捕获的结果进行分析和统计
要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析
在该数据包中的内容:版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址
3.实验总结(掌握了哪些内容?遇到了什么问题?如何解决的?你的体会或收获如何?)
第四篇:防火墙的安全性分析论文
软件学院
专 科 生 毕 业
实 践 报 告
题 目: 防火墙的安全性分析
专 业: 计算机网络技术 年(班)级: 学 号: 姓 名: 指导教师: 完成日期: 2010 年 03 月 17 日
防火墙的安全性分析
摘要:本文从防火墙的定义、为什么使用防火墙、防火墙的概念、防火墙的功能等方面介绍了防火墙的基本信息;并从防火墙的安全技术分析、防火墙的基本类型、防火墙的工作原理、防火墙的配置、防火墙的安全措施这五个方面来对防火墙的安全性进行分析。
关键词:黑客,防火墙,网络安全
目 录
引言............................................................................................4
一、防火墙简介................................................................................4 1.1防火墙的概念..........................................................................4 1.2防火墙出现的背景和意义......................................................5 1.3 防火墙的发展史.....................................................................5 1.4 防火墙的功能.........................................................................6
二、防火墙的基本类型......................................................................7 2.1 包过滤型.................................................................................7 2.2 网络地址转化型—NAT..........................................................7 2.3 代理型......................................................................................8 2.4 监测型......................................................................................8
三、防火墙的工作原理.......................................................................8
3.1相关术语...................................................................................8
3.2 防火墙的防御机理..................................................................9
四、防火墙的配置.............................................................................10
五、防火墙的安全技术分析.............................................................11
六、防火墙的安全措施.......................................................................14
七、总结.............................................................................................14 致谢.....................................................................................................参考文献.............................................................................................引 言
在计算机技术和网络技术普遍应用的今天,人们已经不再用脑子去记很多的东西了,而主要记载在计算机上或与之相关机器上,很多时候我们只需记载一些密码便可,也方便查询。但是,网络也是不安全的,很多时候我们的计算机中的信息都有被盗的可能,因此,需要确保我们信息系统安全。以前,我们只需设置一些复杂的密码就可以,但是上网后,黑客们还是能从各种途径盗取我们的重要信息,包括我们的密码和各种敏感信息。因此,我们不只要经常给系统打补丁,还要有一个好的防火墙。有防火墙可以更好的防范黑客攻击。它可以控制端口的连接,将一些危险的端口屏蔽,防止他人对我们计算机的配置信息进行扫描;可以防范一些有攻击性的病毒。因此,给我们的计算机安装强有力的防火墙是很有必要的。我们可以根据自己爱好或用途选择防火墙,如天网防火墙,诺顿安全特警,瑞星防火墙等。这里,我将运用自己所学知识,先介绍防火墙出现的背景、意义,防火墙的发展史,防火墙的概念及其功能。然后从防火墙的类型、工作原理、配置、安全技术分析及其安全措施对防火墙的安全性进行分析。
一、防火墙简介
1.1防火墙的概念
防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。它可 4 通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙的优点:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
1.2防火墙出现的背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。作为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还 从一种专门的领域变成了无处不在。信息安全是国家发展所面临的一个重要问题。发展安全产业是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.3防火墙的发展史
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
第二、三代防火墙:
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙:
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
1.4 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件夹】公开到Internet,供不特定的任何人有机会浏览目录内的文件。防火墙的主要功能有以下几点:
①防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
②防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。
③通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
⑤除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
二、防火墙的基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT型、代理型和监测型。
2.1包过滤型
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况 7 下,能够以较小的代价在一定程度上保证系统的安全。
2.2网络地址转化—NAT型
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3代理型
代理型防火墙也称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分 8 析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。
三、防火墙的工作原理
3.1 相关术语
①网关
网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关,这个术语是非常常见的。②电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。③应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。④包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。在上文的防火墙类型中做过介绍。
⑤代理服务器
代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。⑥网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.2防火墙的防御机理
①包过滤型防火墙:数据包过滤技术是在网络层对数据包进行选择、过滤,选择、过滤的标准是以网络管理员事先设置的过滤逻辑(即访问控制表)为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息,来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。包过滤(PacketFliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
②应用级网关型防火墙:应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议,采用不同的数据过滤逻辑,并在过滤的同时对数据包进行必要的分析、登记和统计,形成报告,大大提高了网络的安全性。
特别需要指出的是:应用级网关型防火墙和包过滤型防火墙有一个共同的特点,它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就建立起直接的联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,从而使非法访问和攻击容易得逞。
③代理服务型防火墙:代理服务也称链路级网关(Circuit Level Gateways)或TCP通道(TCP Tunnels),也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析、注册登记,形成报告。当发现被攻击迹象时,代理服务器会向网络管理员发出警报。应 用级网关型和代理服务型防火墙大多是基于主机的,价格比较贵,但性能很好,其安装和使用也比采用数据包过滤技术的防火墙复杂一些。
四、防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。
Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五、防火墙的安全技术分析
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并并监视网络运行状态。(1)只有正确选用、合理配置防火墙,才能有效发挥其安全防护作用
防火墙作为网络安全的一种防护手段,自多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
1、风险分析.
2、需求分析:
3、确定安全政策:
4、选择准确的防护手段,并使之与安全政策保持一致。(2)应正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何?
按级别来分,它应有这样4种状态:
1、未受伤害能够继续正常工作;
2、关闭并重新启动,同时恢复到正常工作状态;
3、关闭并禁止所有的数据通行;
4、关闭并允许所有的数据通行。
前两种状态比较理想,而第4种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大,原因是:
1、防火墙性能测试目前还是一种很新的技术,可用的工具和软件较少。
2、防火墙测试技术尚不先迸,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
3、选择“谁”进行公正的测试也是一个问题。可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当重要。(3)防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,商家一旦发现其产品存在安全漏洞,就会尽快发布补救产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
(4)非法攻击防火墙的基本“招数”
1、通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无 12 需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3.A再将B传送来的ISN及应答信息ACK返回给B。至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机.这样可以使用TCP淹没攻击,使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。
请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN),而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求,因此目标主机不能得到来自于信赖主机的响应。
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。
随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。
归纳起来,防火墙安全防护面临威胁的几个主要原因有:①SOCK的错误配置;②不适当的安全政策;③强力攻击;④允许匿名的FTP协议;⑤允许TFTP协议;⑥允许Rlogin命令;⑦允许X-Windows或OpenWindows;⑧端口映射;⑨可加载的NFS协议;⑩允许Win95/NT文件共享。
破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了,这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。
六、防火墙的安全措施
各种防火墙的安全性能不尽相同,以下是一些一般防火墙的常用安全措施:
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
七、总结
第五篇:防火墙论文
防火墙技术论文
姓 名:王田辉 学 号:2012110438 专 业:网络工程
摘要
本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处 和解决方案。最后展望了防火墙的反战前景以及技术方向。
关键字:防火墙;网络;网络安全;功能;Internet;
Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,目录
一、防火墙是什么.........................................1
二、防火墙的分类.........................................1
三、防火墙的发展历程.....................................1
四、防火墙的工作原理.....................................2
五、防火墙应该具备的特性.................................2
六、防火墙主要技术.......................................2
七、常见攻击方式以及应对策略.............................3
八、防火墙的反战前景以及技术方向.........................3
九、结束语...............................................4
十、参考文献.............................................4 现在无论是企业,还是个人,随着计算机的应用由单机发展到网络,网络面临着大量的安全威胁,其安全问题日益严重,日益成为广泛关注的焦点。在这样一个大环境下,网络安全问题凝了人们的注意力,大大小小的企业纷纷为自己的内部网络“筑墙”,防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
一、防火墙是什么
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
二、防火墙的分类
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
三、防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙,后来演变为目前所说的状态监视技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
四、防火墙的工作原理
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
五、防火墙应该具备的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1、安全、成熟、国际领先的特性;
2、具有专有的硬件平台和操作系统平台;
3、采用高性能的全状态检测(Stateful Inspection)技术;
4、具有优异的管理功能,提供优异的GUI管理界面;
5、支持多种用户认证类型和多种认证机制;
6、需要支持用户分组,并支持分组认证和授权;
7、支持内容过滤;
8、支持动态和静态地址翻译(NAT;
9、支持高可用性,单台防火墙的故障不能影响系统的正常运行;
10、支持本地管理和远程管理;
11、支持日志管理和对日志的统计分析;
12、实时告警功能,在不影响性能的情况下,支持较大数量的连接数;
13、在保持足够的性能指标的前提下,能够提供尽量丰富的功能;
14、可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯;
15、支持在线升级;
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能;
17、防火墙能够与入侵检测系统互动。
六、防火墙主要技术
先进的防火墙产品将网关与安全系统合二为一,具有以下技术:双端口或三端口的结构;透明的访问方式;灵活的代理系统;多级的过滤技术;网络地址转换技术(NAT);Internet网关技术;安全服务器网络(SSN);用户鉴别与加密;用户定制服务;审计和告警。
七、常见攻击方式以及应对策略
(一)病毒
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
(二)口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
(三)邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
(四)IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
八、防火墙的反战前景以及技术方向
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患
九、结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
十、参考文献
[1] 作者:彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者:IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料
[3] 作者:楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者:聂元铭 丘平《网络信息安全技术》 科学出版社
点击咨询 