第一篇:防火墙技术的分析与研究任佚
网络教育学院
本 科 生 毕 业 论 文(设 计)
题 目:防火墙技术的分析与研究
学习中心: 万州电大奥鹏学习中心 层 次: 专科起点本科 专 业: 网络工程 年 级: 2011年秋 季 学 号: 111511405189 学 生: 任 佚 指导教师: 龙 珠 完成日期: 2013年06月04日
防火墙技术的分析与研究
内容摘要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注
关键词:防火墙; 网络安全; 外部网络; 内部网络 I
防火墙技术的分析与研究
目 录
内容摘要............................................................I 引 言.............................................................1 1 概述.............................................................2 1.1 背景........................................................2 1.2 本文的主要内容及组织结构....................................2 2 防火墙技术的优缺点...............................................4 2.1 防火墙技术..................................................4 2.1.1 防火墙的定义..........................................4 2.1.2 防火墙的功能.........................错误!未定义书签。2.2 防火墙的优缺点.............................错误!未定义书签。3 防火墙的基本类型及发展...........................................4 3.1 防火墙类型..................................................4 3.1.1 包过滤型..............................................4 3.1.2 网络地址转化一NAT....................错误!未定义书签。3.1.3 代理型...............................错误!未定义书签。3.1.4 监测型...............................错误!未定义书签。3.2 防火墙的发展...............................错误!未定义书签。防火墙的发展主要经历了五个阶段,分别是:........错误!未定义书签。
3.2.1............错误!未定义书签。3.2.2..........错误!未定义书签。3.2.3..错误!未定义书签。3.2.4 第四代防火墙..........................错误!未定义书签。3.2.5 第五代防火墙..........................错误!未定义书签。防火墙在网络安全中的应用.........................................5 4.1防火墙技术在校园网建设中的重要性.............................5 4.2防火墙技术在高校校园网中的选用原则..........错误!未定义书签。4.2.1.防火墙技术............................错误!未定义书签。4.2.2.高校校园网中使用防火墙的选用原则......错误!未定义书签。4.3高校校园网中常用的防火墙技术................错误!未定义书签。
4.3.1包过滤技术.............................错误!未定义书签。4.3.2代理技术...............................错误!未定义书签。4.3.3状态检查技术...........................错误!未定义书签。4.3.4内容检查技术。内容检查技术提供对高层服务 错误!未定义书签。4.4防火墙技术在高校校园网中应用的实例..........错误!未定义书签。5 结论............................................错误!未定义书签。参考文献............................................................6
II
完整论文加QQ:1479352057
引 言
随着网络经济和网络社会时代的到来,网络将会进入一个无所不在的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为国家重要基础设施的网 1
完整论文加QQ:1479352057 概述
1.1 背景
2l世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
第二:网络的安全机制与技术要不断地变化;
第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于五层网络安全体系中的最底层,属于网络层防火墙处于五层网络安全体系中的最底层,属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墒。
1.2 本文的主要内容及组织结构
本文主要对防火墙技术相关理论及应用进行探讨。本文的组织结构: 全文共分五章。
第一章,主要是介绍防火墙的背景及文章的组织结构。
完整论文加QQ:1479352057
第二章,介绍防火墙的技术的概念及防火墙的优缺点。第三章,介绍防火墙的基本类型及防火墙的发展趋势。第四章,介绍防火墙在网络安全中的应用。第五章,对论文进行总结概述。3
完整论文加QQ:1479352057 防火墙技术的优缺点
2.1 防火墙技术
2.1.1 防火墙的定义
防火墙(firewal1)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙的基本类型及发展
3.1 防火墙类型
根据防火墙所采用的技术不同,防火墙可分为四种基本类型:包过滤型、网络地址转换一NAT、代理型和监测型。3.1.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和月标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。
完整论文加QQ:1479352057
应用层表示层会话层传输层应用层表示层会话层传输层应用层表示层会话层传输层 网络层 网络层 网络层数据链路层物理层数据链路层物理层数据链路层物理层 图3.1 简单包过滤防火墙 防火墙在网络安全中的应用
4.1防火墙技术在校园网建设中的重要性
随着计算机网络的迅速发展,网络的安全性显得至关重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。高校校园网虽不像企业网和政府网那样存有大量机密信息,但校园网的稳定和“干净”是保证学校正常教学工作的根本。与其他局域网相比高校校园网有其自身的特点。大部分高校校园网覆盖面积都比较大,包括多栋建筑,在加上现在很多课堂教学逐步走向网络化,学生在线学习、娱乐时间增加,这就使得校园网故障问题定位复杂,管理难度增大。同时,课堂教学走向网络化也造成网络业务容量及资源调配的困难,这包括如何有效合理地对教育网络带宽的调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。由此也产生了相关的安全问题。如在园网缺乏用户认证、授权体系;存在有意和无意的攻击;在课堂上课时间学生能任意上网连接到Internet及Internet上不良或非法信息的传播等。这些问题的存在都势必影响到校园网的稳定性和安全性,从而影响正常的教学工作甚至影响到学生 5
完整论文加QQ:1479352057
心智和道德的正常发展。因此,网络安全技术的合理使用,尤其是防火墙技术的
参考文献
[1]薛庆水,朱永忠.计算机网络安全技术 大连理工出版社,2008.[2]国家计算机网络应急技术处理协调中心.2008年
[3]朱伟华.网络安全技术在校园网中的应用研究[EB/OL],1998.89-90.[4]耿驰远,网络安全技术的比较及在校园网中的应用.2008年 [5] 张万国.网络安全研究.金属工业出版社,2000,34(6):13-17.
第二篇:网络隔离和防火墙技术的比较研究
网络隔离和防火墙技术的比较研究
2012-8-6 21:20:21 文章来源:万方数据
摘要: 目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构。
关键词: 网络隔离防火墙
一、前言
随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展,宽带网已经得到普及。业界电子商务的开展,海量的网络信息,[J趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃,但办公信息化的安全,也极大地引起人们的关注和思考,相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。
二、网络隔离技术简介
(一)网络隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。
(二)网络隔离技术原理
网络隔离产品采用了网络隔离技术,是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之问,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,网络隔离产品从物理上隔离,阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(三)网络隔离设备的实现机制 网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元,内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接,并通过私有协议进行数据的交换。
三、防火墙的体系架构介绍
目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构,就需要分析检查它是哪一层协议的信息。根据OSI模型,防火墙架构包含以下几种:包过滤防火墙,电路网关防火墙,应用网关防火墙,状态检测包过滤防火墙和切换代理防火墙。防火墙是建立在内外网边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
四、防火墙存在的安全漏洞
防火墙设备侧重丁二网络层到应用层的策略隔离,操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安哞:的潜在因素。首先由防火墙的体系架构可知,防火墙可能会产生网络层短路,从而导致伪造合法数据包带来的危害:防火墙还难以抵御数据驱动式攻击,即大量合法的数据包将导致网络阻塞而使止常通信瘫痪。其次,防火墙很难阻止由通用协议本身漏洞发起的入侵。第三,防火墙系统本身的缺陷也是影响内部网络安全的重要因素,当防火墙土机被控制后,内部受保护网络就会暴露无疑。第四,要使防火墙发挥有效的安全性,需要正确、合理地配置防火墙相关的安全策略,而配置的复杂程度不仅带来繁琐的工作量,同时也增加了配置不当带来的安全隐患。
五、安全性分析比较
(一)指导思想不同 1.防火墙的思路是在保障互联互通的前提下,尽可能安全;
2.网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
(二)体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了0SI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
(三)安全规则配置的复杂程度不同
防火墙主要依据网络治理工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之问的相关性都有很大关系。网络治理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。从另一个方面讲,防火墙的配置要求网络治理上程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仪答应定制的信息进行交换,即使出现错误,也至多足数据不再答应传输,而不会造成重大安全事故。
第三篇:防火墙的技术与发展
信息技术应用与管理专业毕业论文
摘 要
防火墙作为一种网络或系统之间强制实行的访问控制机制,是确保网络安全的重要手段,有基于通用操作系统设计的防火墙,也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性,所以,Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些基本技术:包过滤。Linux下常用的防火墙规则配置软件Iptables;从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能;并给出了Linux下简单防火墙的搭建。
关键字:防火墙,Netfilter,Iptables
I 信息技术应用与管理专业毕业论文
ABSTRACT
The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables
II 信息技术应用与管理专业毕业论文
目录
摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 绪 论…………………………………………………1
1.1 前言1 1.2开发背景1
第二章 防火墙技术 2
2.1防火墙概述2 2.2包过滤技术 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4
3.1.1 Netfilter框架的介绍4 3.1.2数据包流经网络协议栈的分析4 3.2 管理工具:Iptables5
3.2.1 Iptables 防火墙规则配置管理工具5 3.2.1 Iptables工具的应用方法5 第四章 Linux下简单防火墙的搭建6 4.1防火墙搭建的战略规划6 4.2 Iptables规则脚本7 第五章 总结与展望8 5.1 应用前景8 5.2 总体体会8 参考文献9 致 谢10
III 信息技术应用与管理专业毕业论文
第一章 绪 论
1.1 前言
Linux 可以追溯到UC Berkeley分校的Unix,因此从某种意义上讲,Linux本身就是一种网络操作系统,Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux 1.1内核中,到Linux 2.0内核时,其部件IPFwadm对防火墙部分已进行了很大改进和增强;Linux 2.2.x内核发布时,IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能,从Linux的2.4内核开始的Netfilter最终废除了Ipchains,其主要原因有:IPchain是以内核级运行的C及C++代码,没有很好地提供从用户空间访问IPchains的接口,限制了IPchains的可扩展性。
1.2 开发背景
在网络安全问题日趋严峻的今天,防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。信息技术应用与管理专业毕业论文
第二章 防火墙技术
2.1防火墙概述
防火墙是一个或一组实施访问控制策略的系统。它在内部网络(专用网络)与外部网络(功用网络)之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。防火墙的主要功能包括:
1.防火墙本身支持一定的安全策略。2.提供一定的访问或接入控制机制。3.容易扩充、更改新的服务和安全策略。4.具有代理服务功能,包含先进的鉴别技术。5.采用过滤技术,根据需求来允许或拒绝某些服务。
6.防火墙的编程语言应较灵活,具有友好的编程界面。并用具有较多的过滤属性,包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。
2.2 包过滤技术
包过滤技术是防火墙的一种最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出,包过滤技术中的数据包大部分是基于TCP/IP协议平台的,其中包括网络层的IP数据包,运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三部分内容。信息技术应用与管理专业毕业论文
过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙:
1.包的目的地址及目的端口; 2.包的源地址及源端口; 3.包的传输协议。信息技术应用与管理专业毕业论文
第三章 Netfilter/Iptables
3.1 Netfilter框架
3.1.1 Netfilter框架的介绍
Netfilter是Linux 2.4实现的防火墙框架,Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。每一个协议对应的钩子函数都定义在协议具体的头文件中,如对应于IPv4的钩子函数就定义在内核头文件:/Linux/netfilter_ipv4.h中。
3.1.2 数据包流经网络协议栈的分析
1、收到数据,中断发生
通常的,当一块网卡接收到属于其自己MAC地址或者广播的以太网络数据帧时,就会引发一个中断,网卡驱动的中断处理程序获得机会,通过I/O,DMA复制网络帧数据到内存中。然后网络驱动程序将创建一个skb结构,将网络帧数据填充,设置时间戳,区分类型后,将skb送入对应的包接收队列(其实就是添加到系统中的一个双向链表中)。
2、数据接收软中断
内核调用kernel/softirq.c:do_softirq()执行数据包接收软中断(NET_RX_SOFTIRQ),将skb从CPU的接收队列中取出来,交给对应IPv4协议处理程序。协议处理程序将对传入的数据包进行一些完整性监测,如果监测失败,则将数据包丢弃。通过完整性监测以后,将进行一些必要的清理操作,去掉可能多余的填充数据,并且重新计算数据包的长度。信息技术应用与管理专业毕业论文
3.2 管理工具:Iptables
3.2.1 Iptables 防火墙规则配置管理工具
Netfilter框架在内核中主要负责PACKET的获得和重新注入,而对PACKET的匹配预处理主要由规则表来完成。
当我们用Iptables命令配置工具配置一条规则后,Iptables应用程序会运用iptables-standalone.c::main()::do_command(),然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。该函数根据请求会设置一个struct ipt_replace结构,用来描述规则所涉及的表和HOOK点等信息,并在其后附接当前这条规则(一个struct ipt_entry结构)。从而将命令行输入转换为程序可读的格式。组织好这些数据后,iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求:
setsockopt(sockfd, //通过socket创建的原始套接字,TC_IPPROTO,//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl,//struct ipt_replace结构
sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的应用方法
一个Iptables命令基本上包含如下五部分(1)希望工作在哪个表上(2)希望使用该表的哪个链
(3)进行操作(插入、添加、删除、修改)(4)对特定规则的目标动作(5)匹配数据报条件 信息技术应用与管理专业毕业论文
第四章
Linux下简单防火墙的搭建
4.1防火墙搭建的战略规划
包过滤防火墙的规则是由一组接收和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。防火墙规则通过数据包头的字段是否允许一个数据包通过。当默认策略设置为禁止一切时,若数据包头的字段与规则匹配,则路由器将该数据包转发至指定的目的地,否则将该数据包丢弃或被阻止并反馈一个错误状态信息给发出端的计算机。
一、输入包过滤
1、远程源地地址过滤
在包过滤的层次上,数据包头中的源地址是识别IP数据包发送者的唯一方法。
(1)假冒本地IP地址
从外部输入的数据包声称是来自本地计算机的数据包,因为源地址是唯一可获得的信息,而它可以被修改,所以这是用户在包过滤的层次上唯一检测到的欺骗形式。
(2)回环接口地址
回环地址是TCP/IP协议在本地网络服务使用的内部专用地址,目的是将网络通信请求或处理通过回环地址发给本机的网络服务,而不许发送到网络上。通常,回环网络的网络地址是127.0.0.0,回环地址是127.0.0.1,主机名使用localhost,回环网络标识lo。
2、本地目的地址过滤
网卡只接收发给本机的数据包和广播数据包。也就是说,网卡将滤掉除广播数据包以外的,目的地址不是本机地址的普通数据包。例如,地址信息技术应用与管理专业毕业论文
255.255.255.255是对网络上的所有主机进行广播。
二、输出包过滤
输出消息过滤的重要应用层运行局域网服务时,不把本地数据包和本地系统信息泄漏到因特网上。
1、本地源地址过滤
通过本地源地址过滤,可以防止本地用户仿造IP地址,欺骗其他的网站。
2、远程目的地址过滤
对于输出数据包,需要限定特定类型的数据包,这个目的地址只能是特定的远程网络或单机。此时,防火墙规则将定义这些数据包允许到达的目的地必须是有明确的IP地址或限定的IP地址范围内的目的地。
4.2 Iptables规则脚本
1.删除任何已存在的规则。记住在定义任何一个防火墙规则前,都要删除存在于所有链的规则。命令如下[3][4][6]: iptables-F 2.配置默认的拒绝规则。实际应用中配置的基本原则是:先拒绝所有的服务,然后再根据用户的需要设置相应的服务。参考配置程序如下: iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技术应用与管理专业毕业论文
第五章 总结与展望
5.1 应用前景
Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经验和全世界用户反馈的分析,重新设计,改造而形成的相对成熟的Linux内核包过滤框架。
本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析,目的是使一般小型企业针对自己实际情况,设计专门的防火墙成为可能。
5.2 总体体会
经过几个月的磨炼和努力,总结出只有在强压与竞争中才会有意想不到的收获和进步。
毕业设计培养了作者本人综合运用所学的基础理论,基本知识和基本技能,分析解决实际问题的能力,它在某种程度上是前面各个学习环节的继续,深化和检验。认为自身在这次毕业设计中培养了以下四方面的能力:
综合运用所学专业基本理论,提高查阅文献、论文和资料的能力。提高自身进行技术总结和撰写论文的能力。
编程的过程是不断学习的过程,当有更好、更简洁的程序时,要注意扬弃的结合。
设计既要重视分工,重视设计作品的完整性,重视风格的统一性。要注重编程过程中的细节,有时细小的失误也会形成极大的麻烦。
毕业设计让作者本人体会到科学的精神。面对随时而来的挫折,自己不断的给自己鼓劲,克服困难,勇往直前。信息技术应用与管理专业毕业论文
参考文献
[1] 博嘉科技主编.Linux防火墙技术探秘.国防工业出版社,2002 [2] James F.Kurose,,Keith W.Ross 著.计算机网络------用自顶向下方法描述因特网特色.人发邮电出版社,2004 [3] 张斌等编.Linux网络编程.清华大学出版社,2000 [4] 刘伟,龚汉明,朱青编著.UNIX基础教程.清华大学出版社,2003 [5] 张琳等编著.网络管理与应用.人民邮电出版社,2000 [6] 孙建华等编著. 网络系统管理------Linux实训篇.人民邮电出版社,2003 [7] W.Richard Stevens著.TCP/IP详解卷1:协议.机械工业出版社,2006 [8] 鸟哥编著.LINUX私房菜服务器架设篇.科学出版社,2005 信息技术应用与管理专业毕业论文
致 谢
首先衷心地感谢指导老师王则林,每星期的指导与教学,以及平时对我的不懈支持和帮助,他对我的谆谆教诲和诚挚关怀, 严谨治学的态度、睿智的学者风度和敏锐的洞察力令我敬佩,并将会使我终生受益。才使我的毕业设计顺利完成。
感谢与我同组毕业设计的同学们,他们良好的合作精神以及认真严谨的科学态度深深地感染了我,这也是我们毕业设计能够顺利完成的保证。
最后感谢同窗四年的兄弟姐妹们,他们的关心和帮助陪伴我度过了人生中最值得回忆,最难以忘怀的大学四年。
第四篇:计算机网络与防火墙技术论文
计算机网络安全与防火墙技术
张帅
计算机学院计算机科学与技术(师范)专业06级 指导教师:蒲静
摘要:本文由计算机网络安全问题出发,分析了网络安全面临的主要威胁,及保护网络安全的关键技术,提出了防火墙是计算机网络安全体系的核心的观点,并着重介绍了防火墙的相关技术。同时,说明了防火墙并不是万能的,指出了防火墙技术的缺陷,并就现今防火墙技术的现状,提出未来防火墙技术的发展设想。关键词:计算机网络;安全;关键技术;缺陷;防火墙
Computer-network Security and Firewall Technology
Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words: computer-network;security;key-technology;deficiencies;firewall 1
目录
中文摘要····························································1 英文摘要····························································1 目录································································2 1 绪论······························································3 2 计算机网络安全的主要问题··········································3 2.1 网络安全的定义················································3 2.2 网络安全面临的主要威胁········································3 2.2.1 计算机病毒的侵袭···········································3 2.2.2 黑客侵袭···················································3 2.2.3 拒绝服务攻击···············································3 2 2.3 实现计算机安全的关键技术···································4 2.3.1 数据加密···················································4 2.3.2 认证·······················································4 2.3.3 入侵检测技术···············································4 2.3.4 防病毒技术·················································4 2.3.5 文件系统安全···············································4 2.3.6 防火墙技术·················································4 3 防火墙概述························································4 3.1 防火墙概念····················································4 3.2 防火墙的主要功能··············································5 3.2.1 强化网络安全策略···········································5 3.2.2 对输入进行筛选·············································5 3.2.3 防止内部信息的外泄·········································5 3.2.4 限制内部用户活动···········································5 3.2.5 网络地址转换···············································5 3.2.6 对网络使用情况进行记录监控·································6 3.3 防火墙的原理及分类············································6
3.3.1 包过滤防火墙···············································6 3.3.2 应用代理防火墙·············································6
3.3.3 状态检测防火墙·············································6
3.4 防火墙的主要技术优缺点分析····································6
3.4.1 包过滤技术·················································6 3.4.2 应用代理技术··············································7 3.4.3 状态检测技术···············································7 4 防火墙的缺陷及未来发展趋势·······································7 4.1 防火墙的十大缺陷··············································7 4.2 关于防火墙未来发展的几点设想··································8 结束语······························································8 参考文献····························································8 致谢································································9 绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,计算机与信息技术以其广泛的渗透力和罕见的亲和力,正从整体上影响着世界经济和社会发展的进程,引发了计算机应用技术一场空前的技术革命。但是,伴随而来的是计算机屡屡遭到破坏,轻者丢掉数据,重者系统平台和计算机资源被攻击,其损失常常是不可估量的,这是一个日益严峻的问题即计算机网络安全。
为了保护自己的计算机、服务器和局域网资源免受攻击破坏而丢掉数据、系统重新安装等,利用防火墙技术是当前比较流行且比较可行的一种网络安全防护技术。其既是计算机高新技术的产物,又具有低廉实惠的特点,故简要探究防火墙技术的特点和以及其在计算机网络安全中的作用。计算机网络的主要安全问题
2.1 网络安全的定义
我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 2.2 网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。2.2.1 计算机病毒的侵袭
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2.2.2 黑客侵袭
即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取 3 网上传输的数据;突破防火墙等。2.2.3 拒绝服务攻击
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。2.3.实现计算机安全的关键技术 2.3.1 数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的加密类型:私匙加密和公匙加密。2.3.2 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。2.3.3 入侵检测技术
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。2.3.4 防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。2.3.5 文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:本地和远程。建立文件权限的时候,必须在Windows 2000中首先实行新技术文件系统(New Technology File System,NTFS)。一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3.6 防火墙技术
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是计算机网络安全的第一道关卡。防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染 4 显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤、应用代理、状态检测三类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的[1]。3.2 防火墙的主要功能 3.2.1 强化网络安全策略
在没有防火墙的环境里,网络安全管理是分散到每一个主机上的,所有主机必须同心协力才能维持网络的安全性。而防火墙能够实现集中安全管理,可以将所有安全软件配置在防火墙上,而不是分布在内部网络的所有主机上。3.2.2 对输入进行筛选
防火墙可以通过对传入数据包的源地址、目标地址及其他信息的检查,确定是否允许通过。只有满足防火墙配置规则的数据包才能通过防火墙,否则阻止数据包的传人。
3.2.3 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全。3.2.4 限制内部用户活动
防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站。3.2.5 网络地址转换(NAT,Network Address Translation)
内部网主机经常要访问Internet,而NAT可以将内部网的专用地址转换成Internet地址。这样可以掩藏服务器的真正IP地址,起到一定的隔离作用,使内部网络用户不被暴露在外部网络中。此外防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
3.2.6 对网络使用情况进行记录监控
防火墙能够记录所有经过防火墙的访问并形成完整的日志,提供有关网络使 5 用情况的统计数据。当网络受到扫描或攻击等可疑活动时,防火墙能进行报警,并提供详细信息。
3.3 防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙,应用级代理服务器[3]以及状态包检测防火墙。3.3.1 包过滤防火墙
包过滤防火墙[4]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址、传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。3.3.2 应用代理防火墙
它是针对数据包过滤[5]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。应用代理型防火墙设置在内部网络与外部网络之间,当用户访问目的站点时,对于符合安全规则的连接,首先用户与代理服务器建立连接,应用代理型防火墙将会代替目的站点进行响应,并重新向目的站点发出一个同样的请求。代理系统实际上是用户和真实服务器之间的中介。3.3.3 状态包检测防火墙
状态检测又称动态包过滤,是为了解决包过滤模式安全性不足的问题,在包过滤技术的基础上,采用了一个执行网络安全策略的软件引擎——检测模块。当建立连接时,状态检测检查预选设定的安全规则,符合规则的连接允许通过,并记录下该连接的相关信息,动态保存生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。3.4 防火墙的主要技术优缺点分析
如上文所述,防火墙技术主要有:包过滤技术、应用代理技术、状态检测技术。
3.4.1 包过滤技术
优点:包过滤防火墙因为工作在网络层,因此处理包的速度快;此外它提供透明服务,即不需要用户名和密码来登录,用户不用改变客户端程序。
缺点:网络层在OSI体系中处于较低的层次,因而安全防护也是较低级;不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略,不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。3.4.2 应用代理技术
优点:应用代理型防火墙工作在0SI体系的最高层——应用层,安全级别高于包过滤型防火墙;应用代理型防火墙对用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击;代理系统可以控制户机和服务器之间的流量,并对此加以记录,提供详细的日志。
缺点:代理速度较路由器慢,代理对用户不透明,对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制,代理不能改进底层协议的安全性。3.4.3 状态检测技术
优点:配置了“专用检测模块”,它可以支持多种协议和应用程序,可以很容易地实现应用和服务的扩充;安全性更佳。
缺点:配置复杂,因而降低了网络的速度。防火墙的缺陷及未来发展趋势
4.1 防火墙的十大缺陷
防火墙在网络安全防护中起着举足轻重的作用,但它并不是万能的,它仍然存在一定的局限性和不足。总体说来,存在十大方面的缺陷:
(1)防火墙不能防范不经过它的攻击。没有经过防火墙的数据,不能防范。(2)防火墙不能解决来自内部网络的攻击和安全问题。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,防火墙是无能为力的。
(3)防火墙不能防止TCP/IP协议、服务器系统的缺陷进行的攻击。TCP/IP的缺陷和服务器系统漏洞是天然存在的,防火墙不能防止。
(4)防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据或邮件拷贝到内部的主机上进行执行时,可能引发数据驱动式的攻击。
(5)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。
(6)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件,就目前而言,要完成这种深度检测仍是十分困难的。
(7)防火墙不能防范受到病毒感染的文件、软件。防火墙本身并不具有病毒的查杀功能,即使有,也不能查杀所有的病毒。
(8)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。
7(9)防火墙的安全性和实用性成反比。防火墙越安全,则功能也就越少,速度也就越慢,防火墙的安全性和实用性将在一定的时间内是一对主要矛盾。
(10)防火墙不能防止自身的安全漏洞的威胁。目前还没有厂商能够保证防火墙绝对不存在安全漏洞,防火墙能保护别人却不能保护自己,因此对防火墙也必须进行安全防护。
4.2 关于防火墙未来发展的五点设想
既然防火墙存在缺陷在所难免,那么网络安全又该如何保证呢?对防火墙技术研究的道路究竟该何去何从呢?在此,提出以下设想:
(1)形成以防火墙为核心的计算机网络安全体系。到目前为止,防火墙技术仍然是应用最广泛的计算机网络安全防护技术,防火墙的重要性不能替代,所以在相当长的一段时间内,防火墙是计算机网络安全的核心。但是,要想最大程度地保护网络安全,仅凭防火墙技术单方面的作用是不可行的,还必须借助其他手段,构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
(2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步地向基于网络处理器和ASIC芯片的技术架构方向发展。网络处理器由于内含有多个数据处理引擎,能够直接完成网络数据处理工作,减轻了CPU的负担,在性能上有很大的提升;ASIC芯片有专门的数据包处理流水线,可以获得很高的处理能力。
(3)智能技术的进一步发展。目前的防火墙只是识别一些已知的攻击行为,对于未知的攻击或未列出的攻击防火墙显得有些无能为力,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
(4)分布式技术的进一步发展。分布式技术将是未来的趋势。多台物理防火墙协同工作,共同组织成一个强大的、具备并行处理能力、负载均衡能力的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理大大降低了经济、人力及管理成本。
(5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要矛盾,要找到网络安全性与实用性之间的平衡点是防火墙未来发展面临的问题。经济高效的防火墙将是未来研究的方向。
结束语
随着网络技术的发展,网络安全正面临着越来越大的威胁。防火墙至关重要,但它并不是万能的,在专业黑客和一些非法入侵者面前,防火墙也很无奈。我们除了设好防火墙这第一道关卡外,还应当借助其他安全防御手段一起来保护网络的安全。参考文献:
[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 郑林.防火墙原理入门[Z].E企业.2000.[3] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004,34(4):400一409.致 谢
本文是在蒲老师的悉心指导下完成的,从文献的查阅、论文的选题、撰写、修改、定稿,蒲老师给子了我很大的帮助。在此一并向所有帮助和关心过我的老师和朋友,表示真挚的感谢!
第五篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
点击咨询 