第一篇:防火墙的技术与发展
信息技术应用与管理专业毕业论文
摘 要
防火墙作为一种网络或系统之间强制实行的访问控制机制,是确保网络安全的重要手段,有基于通用操作系统设计的防火墙,也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性,所以,Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些基本技术:包过滤。Linux下常用的防火墙规则配置软件Iptables;从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能;并给出了Linux下简单防火墙的搭建。
关键字:防火墙,Netfilter,Iptables
I 信息技术应用与管理专业毕业论文
ABSTRACT
The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables
II 信息技术应用与管理专业毕业论文
目录
摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 绪 论…………………………………………………1
1.1 前言1 1.2开发背景1
第二章 防火墙技术 2
2.1防火墙概述2 2.2包过滤技术 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4
3.1.1 Netfilter框架的介绍4 3.1.2数据包流经网络协议栈的分析4 3.2 管理工具:Iptables5
3.2.1 Iptables 防火墙规则配置管理工具5 3.2.1 Iptables工具的应用方法5 第四章 Linux下简单防火墙的搭建6 4.1防火墙搭建的战略规划6 4.2 Iptables规则脚本7 第五章 总结与展望8 5.1 应用前景8 5.2 总体体会8 参考文献9 致 谢10
III 信息技术应用与管理专业毕业论文
第一章 绪 论
1.1 前言
Linux 可以追溯到UC Berkeley分校的Unix,因此从某种意义上讲,Linux本身就是一种网络操作系统,Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux 1.1内核中,到Linux 2.0内核时,其部件IPFwadm对防火墙部分已进行了很大改进和增强;Linux 2.2.x内核发布时,IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能,从Linux的2.4内核开始的Netfilter最终废除了Ipchains,其主要原因有:IPchain是以内核级运行的C及C++代码,没有很好地提供从用户空间访问IPchains的接口,限制了IPchains的可扩展性。
1.2 开发背景
在网络安全问题日趋严峻的今天,防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。信息技术应用与管理专业毕业论文
第二章 防火墙技术
2.1防火墙概述
防火墙是一个或一组实施访问控制策略的系统。它在内部网络(专用网络)与外部网络(功用网络)之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。防火墙的主要功能包括:
1.防火墙本身支持一定的安全策略。2.提供一定的访问或接入控制机制。3.容易扩充、更改新的服务和安全策略。4.具有代理服务功能,包含先进的鉴别技术。5.采用过滤技术,根据需求来允许或拒绝某些服务。
6.防火墙的编程语言应较灵活,具有友好的编程界面。并用具有较多的过滤属性,包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。
2.2 包过滤技术
包过滤技术是防火墙的一种最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出,包过滤技术中的数据包大部分是基于TCP/IP协议平台的,其中包括网络层的IP数据包,运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三部分内容。信息技术应用与管理专业毕业论文
过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙:
1.包的目的地址及目的端口; 2.包的源地址及源端口; 3.包的传输协议。信息技术应用与管理专业毕业论文
第三章 Netfilter/Iptables
3.1 Netfilter框架
3.1.1 Netfilter框架的介绍
Netfilter是Linux 2.4实现的防火墙框架,Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。每一个协议对应的钩子函数都定义在协议具体的头文件中,如对应于IPv4的钩子函数就定义在内核头文件:/Linux/netfilter_ipv4.h中。
3.1.2 数据包流经网络协议栈的分析
1、收到数据,中断发生
通常的,当一块网卡接收到属于其自己MAC地址或者广播的以太网络数据帧时,就会引发一个中断,网卡驱动的中断处理程序获得机会,通过I/O,DMA复制网络帧数据到内存中。然后网络驱动程序将创建一个skb结构,将网络帧数据填充,设置时间戳,区分类型后,将skb送入对应的包接收队列(其实就是添加到系统中的一个双向链表中)。
2、数据接收软中断
内核调用kernel/softirq.c:do_softirq()执行数据包接收软中断(NET_RX_SOFTIRQ),将skb从CPU的接收队列中取出来,交给对应IPv4协议处理程序。协议处理程序将对传入的数据包进行一些完整性监测,如果监测失败,则将数据包丢弃。通过完整性监测以后,将进行一些必要的清理操作,去掉可能多余的填充数据,并且重新计算数据包的长度。信息技术应用与管理专业毕业论文
3.2 管理工具:Iptables
3.2.1 Iptables 防火墙规则配置管理工具
Netfilter框架在内核中主要负责PACKET的获得和重新注入,而对PACKET的匹配预处理主要由规则表来完成。
当我们用Iptables命令配置工具配置一条规则后,Iptables应用程序会运用iptables-standalone.c::main()::do_command(),然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。该函数根据请求会设置一个struct ipt_replace结构,用来描述规则所涉及的表和HOOK点等信息,并在其后附接当前这条规则(一个struct ipt_entry结构)。从而将命令行输入转换为程序可读的格式。组织好这些数据后,iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求:
setsockopt(sockfd, //通过socket创建的原始套接字,TC_IPPROTO,//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl,//struct ipt_replace结构
sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的应用方法
一个Iptables命令基本上包含如下五部分(1)希望工作在哪个表上(2)希望使用该表的哪个链
(3)进行操作(插入、添加、删除、修改)(4)对特定规则的目标动作(5)匹配数据报条件 信息技术应用与管理专业毕业论文
第四章
Linux下简单防火墙的搭建
4.1防火墙搭建的战略规划
包过滤防火墙的规则是由一组接收和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。防火墙规则通过数据包头的字段是否允许一个数据包通过。当默认策略设置为禁止一切时,若数据包头的字段与规则匹配,则路由器将该数据包转发至指定的目的地,否则将该数据包丢弃或被阻止并反馈一个错误状态信息给发出端的计算机。
一、输入包过滤
1、远程源地地址过滤
在包过滤的层次上,数据包头中的源地址是识别IP数据包发送者的唯一方法。
(1)假冒本地IP地址
从外部输入的数据包声称是来自本地计算机的数据包,因为源地址是唯一可获得的信息,而它可以被修改,所以这是用户在包过滤的层次上唯一检测到的欺骗形式。
(2)回环接口地址
回环地址是TCP/IP协议在本地网络服务使用的内部专用地址,目的是将网络通信请求或处理通过回环地址发给本机的网络服务,而不许发送到网络上。通常,回环网络的网络地址是127.0.0.0,回环地址是127.0.0.1,主机名使用localhost,回环网络标识lo。
2、本地目的地址过滤
网卡只接收发给本机的数据包和广播数据包。也就是说,网卡将滤掉除广播数据包以外的,目的地址不是本机地址的普通数据包。例如,地址信息技术应用与管理专业毕业论文
255.255.255.255是对网络上的所有主机进行广播。
二、输出包过滤
输出消息过滤的重要应用层运行局域网服务时,不把本地数据包和本地系统信息泄漏到因特网上。
1、本地源地址过滤
通过本地源地址过滤,可以防止本地用户仿造IP地址,欺骗其他的网站。
2、远程目的地址过滤
对于输出数据包,需要限定特定类型的数据包,这个目的地址只能是特定的远程网络或单机。此时,防火墙规则将定义这些数据包允许到达的目的地必须是有明确的IP地址或限定的IP地址范围内的目的地。
4.2 Iptables规则脚本
1.删除任何已存在的规则。记住在定义任何一个防火墙规则前,都要删除存在于所有链的规则。命令如下[3][4][6]: iptables-F 2.配置默认的拒绝规则。实际应用中配置的基本原则是:先拒绝所有的服务,然后再根据用户的需要设置相应的服务。参考配置程序如下: iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技术应用与管理专业毕业论文
第五章 总结与展望
5.1 应用前景
Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经验和全世界用户反馈的分析,重新设计,改造而形成的相对成熟的Linux内核包过滤框架。
本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析,目的是使一般小型企业针对自己实际情况,设计专门的防火墙成为可能。
5.2 总体体会
经过几个月的磨炼和努力,总结出只有在强压与竞争中才会有意想不到的收获和进步。
毕业设计培养了作者本人综合运用所学的基础理论,基本知识和基本技能,分析解决实际问题的能力,它在某种程度上是前面各个学习环节的继续,深化和检验。认为自身在这次毕业设计中培养了以下四方面的能力:
综合运用所学专业基本理论,提高查阅文献、论文和资料的能力。提高自身进行技术总结和撰写论文的能力。
编程的过程是不断学习的过程,当有更好、更简洁的程序时,要注意扬弃的结合。
设计既要重视分工,重视设计作品的完整性,重视风格的统一性。要注重编程过程中的细节,有时细小的失误也会形成极大的麻烦。
毕业设计让作者本人体会到科学的精神。面对随时而来的挫折,自己不断的给自己鼓劲,克服困难,勇往直前。信息技术应用与管理专业毕业论文
参考文献
[1] 博嘉科技主编.Linux防火墙技术探秘.国防工业出版社,2002 [2] James F.Kurose,,Keith W.Ross 著.计算机网络------用自顶向下方法描述因特网特色.人发邮电出版社,2004 [3] 张斌等编.Linux网络编程.清华大学出版社,2000 [4] 刘伟,龚汉明,朱青编著.UNIX基础教程.清华大学出版社,2003 [5] 张琳等编著.网络管理与应用.人民邮电出版社,2000 [6] 孙建华等编著. 网络系统管理------Linux实训篇.人民邮电出版社,2003 [7] W.Richard Stevens著.TCP/IP详解卷1:协议.机械工业出版社,2006 [8] 鸟哥编著.LINUX私房菜服务器架设篇.科学出版社,2005 信息技术应用与管理专业毕业论文
致 谢
首先衷心地感谢指导老师王则林,每星期的指导与教学,以及平时对我的不懈支持和帮助,他对我的谆谆教诲和诚挚关怀, 严谨治学的态度、睿智的学者风度和敏锐的洞察力令我敬佩,并将会使我终生受益。才使我的毕业设计顺利完成。
感谢与我同组毕业设计的同学们,他们良好的合作精神以及认真严谨的科学态度深深地感染了我,这也是我们毕业设计能够顺利完成的保证。
最后感谢同窗四年的兄弟姐妹们,他们的关心和帮助陪伴我度过了人生中最值得回忆,最难以忘怀的大学四年。
第二篇:计算机网络与防火墙技术论文
计算机网络安全与防火墙技术
张帅
计算机学院计算机科学与技术(师范)专业06级 指导教师:蒲静
摘要:本文由计算机网络安全问题出发,分析了网络安全面临的主要威胁,及保护网络安全的关键技术,提出了防火墙是计算机网络安全体系的核心的观点,并着重介绍了防火墙的相关技术。同时,说明了防火墙并不是万能的,指出了防火墙技术的缺陷,并就现今防火墙技术的现状,提出未来防火墙技术的发展设想。关键词:计算机网络;安全;关键技术;缺陷;防火墙
Computer-network Security and Firewall Technology
Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words: computer-network;security;key-technology;deficiencies;firewall 1
目录
中文摘要····························································1 英文摘要····························································1 目录································································2 1 绪论······························································3 2 计算机网络安全的主要问题··········································3 2.1 网络安全的定义················································3 2.2 网络安全面临的主要威胁········································3 2.2.1 计算机病毒的侵袭···········································3 2.2.2 黑客侵袭···················································3 2.2.3 拒绝服务攻击···············································3 2 2.3 实现计算机安全的关键技术···································4 2.3.1 数据加密···················································4 2.3.2 认证·······················································4 2.3.3 入侵检测技术···············································4 2.3.4 防病毒技术·················································4 2.3.5 文件系统安全···············································4 2.3.6 防火墙技术·················································4 3 防火墙概述························································4 3.1 防火墙概念····················································4 3.2 防火墙的主要功能··············································5 3.2.1 强化网络安全策略···········································5 3.2.2 对输入进行筛选·············································5 3.2.3 防止内部信息的外泄·········································5 3.2.4 限制内部用户活动···········································5 3.2.5 网络地址转换···············································5 3.2.6 对网络使用情况进行记录监控·································6 3.3 防火墙的原理及分类············································6
3.3.1 包过滤防火墙···············································6 3.3.2 应用代理防火墙·············································6
3.3.3 状态检测防火墙·············································6
3.4 防火墙的主要技术优缺点分析····································6
3.4.1 包过滤技术·················································6 3.4.2 应用代理技术··············································7 3.4.3 状态检测技术···············································7 4 防火墙的缺陷及未来发展趋势·······································7 4.1 防火墙的十大缺陷··············································7 4.2 关于防火墙未来发展的几点设想··································8 结束语······························································8 参考文献····························································8 致谢································································9 绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,计算机与信息技术以其广泛的渗透力和罕见的亲和力,正从整体上影响着世界经济和社会发展的进程,引发了计算机应用技术一场空前的技术革命。但是,伴随而来的是计算机屡屡遭到破坏,轻者丢掉数据,重者系统平台和计算机资源被攻击,其损失常常是不可估量的,这是一个日益严峻的问题即计算机网络安全。
为了保护自己的计算机、服务器和局域网资源免受攻击破坏而丢掉数据、系统重新安装等,利用防火墙技术是当前比较流行且比较可行的一种网络安全防护技术。其既是计算机高新技术的产物,又具有低廉实惠的特点,故简要探究防火墙技术的特点和以及其在计算机网络安全中的作用。计算机网络的主要安全问题
2.1 网络安全的定义
我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 2.2 网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。2.2.1 计算机病毒的侵袭
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2.2.2 黑客侵袭
即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取 3 网上传输的数据;突破防火墙等。2.2.3 拒绝服务攻击
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。2.3.实现计算机安全的关键技术 2.3.1 数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的加密类型:私匙加密和公匙加密。2.3.2 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。2.3.3 入侵检测技术
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。2.3.4 防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。2.3.5 文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:本地和远程。建立文件权限的时候,必须在Windows 2000中首先实行新技术文件系统(New Technology File System,NTFS)。一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3.6 防火墙技术
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是计算机网络安全的第一道关卡。防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染 4 显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤、应用代理、状态检测三类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的[1]。3.2 防火墙的主要功能 3.2.1 强化网络安全策略
在没有防火墙的环境里,网络安全管理是分散到每一个主机上的,所有主机必须同心协力才能维持网络的安全性。而防火墙能够实现集中安全管理,可以将所有安全软件配置在防火墙上,而不是分布在内部网络的所有主机上。3.2.2 对输入进行筛选
防火墙可以通过对传入数据包的源地址、目标地址及其他信息的检查,确定是否允许通过。只有满足防火墙配置规则的数据包才能通过防火墙,否则阻止数据包的传人。
3.2.3 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全。3.2.4 限制内部用户活动
防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站。3.2.5 网络地址转换(NAT,Network Address Translation)
内部网主机经常要访问Internet,而NAT可以将内部网的专用地址转换成Internet地址。这样可以掩藏服务器的真正IP地址,起到一定的隔离作用,使内部网络用户不被暴露在外部网络中。此外防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
3.2.6 对网络使用情况进行记录监控
防火墙能够记录所有经过防火墙的访问并形成完整的日志,提供有关网络使 5 用情况的统计数据。当网络受到扫描或攻击等可疑活动时,防火墙能进行报警,并提供详细信息。
3.3 防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙,应用级代理服务器[3]以及状态包检测防火墙。3.3.1 包过滤防火墙
包过滤防火墙[4]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址、传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。3.3.2 应用代理防火墙
它是针对数据包过滤[5]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。应用代理型防火墙设置在内部网络与外部网络之间,当用户访问目的站点时,对于符合安全规则的连接,首先用户与代理服务器建立连接,应用代理型防火墙将会代替目的站点进行响应,并重新向目的站点发出一个同样的请求。代理系统实际上是用户和真实服务器之间的中介。3.3.3 状态包检测防火墙
状态检测又称动态包过滤,是为了解决包过滤模式安全性不足的问题,在包过滤技术的基础上,采用了一个执行网络安全策略的软件引擎——检测模块。当建立连接时,状态检测检查预选设定的安全规则,符合规则的连接允许通过,并记录下该连接的相关信息,动态保存生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。3.4 防火墙的主要技术优缺点分析
如上文所述,防火墙技术主要有:包过滤技术、应用代理技术、状态检测技术。
3.4.1 包过滤技术
优点:包过滤防火墙因为工作在网络层,因此处理包的速度快;此外它提供透明服务,即不需要用户名和密码来登录,用户不用改变客户端程序。
缺点:网络层在OSI体系中处于较低的层次,因而安全防护也是较低级;不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略,不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。3.4.2 应用代理技术
优点:应用代理型防火墙工作在0SI体系的最高层——应用层,安全级别高于包过滤型防火墙;应用代理型防火墙对用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击;代理系统可以控制户机和服务器之间的流量,并对此加以记录,提供详细的日志。
缺点:代理速度较路由器慢,代理对用户不透明,对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制,代理不能改进底层协议的安全性。3.4.3 状态检测技术
优点:配置了“专用检测模块”,它可以支持多种协议和应用程序,可以很容易地实现应用和服务的扩充;安全性更佳。
缺点:配置复杂,因而降低了网络的速度。防火墙的缺陷及未来发展趋势
4.1 防火墙的十大缺陷
防火墙在网络安全防护中起着举足轻重的作用,但它并不是万能的,它仍然存在一定的局限性和不足。总体说来,存在十大方面的缺陷:
(1)防火墙不能防范不经过它的攻击。没有经过防火墙的数据,不能防范。(2)防火墙不能解决来自内部网络的攻击和安全问题。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,防火墙是无能为力的。
(3)防火墙不能防止TCP/IP协议、服务器系统的缺陷进行的攻击。TCP/IP的缺陷和服务器系统漏洞是天然存在的,防火墙不能防止。
(4)防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据或邮件拷贝到内部的主机上进行执行时,可能引发数据驱动式的攻击。
(5)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。
(6)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件,就目前而言,要完成这种深度检测仍是十分困难的。
(7)防火墙不能防范受到病毒感染的文件、软件。防火墙本身并不具有病毒的查杀功能,即使有,也不能查杀所有的病毒。
(8)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。
7(9)防火墙的安全性和实用性成反比。防火墙越安全,则功能也就越少,速度也就越慢,防火墙的安全性和实用性将在一定的时间内是一对主要矛盾。
(10)防火墙不能防止自身的安全漏洞的威胁。目前还没有厂商能够保证防火墙绝对不存在安全漏洞,防火墙能保护别人却不能保护自己,因此对防火墙也必须进行安全防护。
4.2 关于防火墙未来发展的五点设想
既然防火墙存在缺陷在所难免,那么网络安全又该如何保证呢?对防火墙技术研究的道路究竟该何去何从呢?在此,提出以下设想:
(1)形成以防火墙为核心的计算机网络安全体系。到目前为止,防火墙技术仍然是应用最广泛的计算机网络安全防护技术,防火墙的重要性不能替代,所以在相当长的一段时间内,防火墙是计算机网络安全的核心。但是,要想最大程度地保护网络安全,仅凭防火墙技术单方面的作用是不可行的,还必须借助其他手段,构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
(2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步地向基于网络处理器和ASIC芯片的技术架构方向发展。网络处理器由于内含有多个数据处理引擎,能够直接完成网络数据处理工作,减轻了CPU的负担,在性能上有很大的提升;ASIC芯片有专门的数据包处理流水线,可以获得很高的处理能力。
(3)智能技术的进一步发展。目前的防火墙只是识别一些已知的攻击行为,对于未知的攻击或未列出的攻击防火墙显得有些无能为力,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
(4)分布式技术的进一步发展。分布式技术将是未来的趋势。多台物理防火墙协同工作,共同组织成一个强大的、具备并行处理能力、负载均衡能力的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理大大降低了经济、人力及管理成本。
(5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要矛盾,要找到网络安全性与实用性之间的平衡点是防火墙未来发展面临的问题。经济高效的防火墙将是未来研究的方向。
结束语
随着网络技术的发展,网络安全正面临着越来越大的威胁。防火墙至关重要,但它并不是万能的,在专业黑客和一些非法入侵者面前,防火墙也很无奈。我们除了设好防火墙这第一道关卡外,还应当借助其他安全防御手段一起来保护网络的安全。参考文献:
[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 郑林.防火墙原理入门[Z].E企业.2000.[3] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004,34(4):400一409.致 谢
本文是在蒲老师的悉心指导下完成的,从文献的查阅、论文的选题、撰写、修改、定稿,蒲老师给子了我很大的帮助。在此一并向所有帮助和关心过我的老师和朋友,表示真挚的感谢!
第三篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
第四篇:防火墙技术报告
《网络与信息安全技术》
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成 分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1.防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2)防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3.防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。(4)实施主机策略:对网络中的各节点可以起到更安全的防护。(5)应用更为广泛,支持VPN通信。
3.数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则:(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
1)袁津生 吴砚农 《计算机网络安全基础》 北京:人民邮电出版社 2013 2)黎连业,张维,防火墙及其应用技术,清华大学出版社.2004 3)程代伟,网络安全完全手册,电子工业出版社.2006 4)李涛,网络安全概论,电子工业出版社.2004
第五篇:防火墙技术研究报告
防火墙技术研究报告
防火墙技术
摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
目录
一、概述.....................................................................................................................................4
二、防火墙的基本概念.............................................................................................................4
三、防火墙的技术分类.............................................................................................................4
四、防火墙的基本功能.............................................................................................................5
(一)包过滤路由器.........................................................................................................5
(二)应用层网关.............................................................................................................6
(三)链路层网关.............................................................................................................6
五、防火墙的安全构建.............................................................................................................6
(一)基本准则..............................................................................错误!未定义书签。
(二)安全策略.................................................................................................................6
(三)构建费用..............................................................................错误!未定义书签。
(四)高保障防火墙......................................................................错误!未定义书签。
六、防火墙的发展特点.............................................................................................................7
(一)高速.........................................................................................................................7
(二)多功能化.................................................................................................................8
(三)安全.........................................................................................................................8
七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10
防火墙技术研究报告
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
二、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
三、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新 的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
四、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问
相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
五、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
六、防火墙的发展特点
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字
符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
(三)安全
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
七、防火墙的发展趋势
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进 行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
参考文献
[1] 谢希仁.计算机网络(第5版)[M].北京:电子工业出版社
[2] 吴秀梅,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社 [3] 张红旗,王鲁 等编著.信息安全技术.高等教育出版社
[4] 张华贵,王海燕.计算机网络在安全分析与对策
[5] 黄思育.浅议防火墙.达县师范高等专科学校学报(自然科学版)
点击咨询 