第一篇:网络隔离和防火墙技术的比较研究
网络隔离和防火墙技术的比较研究
2012-8-6 21:20:21 文章来源:万方数据
摘要: 目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构。
关键词: 网络隔离防火墙
一、前言
随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展,宽带网已经得到普及。业界电子商务的开展,海量的网络信息,[J趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃,但办公信息化的安全,也极大地引起人们的关注和思考,相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。
二、网络隔离技术简介
(一)网络隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。
(二)网络隔离技术原理
网络隔离产品采用了网络隔离技术,是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之问,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,网络隔离产品从物理上隔离,阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(三)网络隔离设备的实现机制 网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元,内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接,并通过私有协议进行数据的交换。
三、防火墙的体系架构介绍
目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构,就需要分析检查它是哪一层协议的信息。根据OSI模型,防火墙架构包含以下几种:包过滤防火墙,电路网关防火墙,应用网关防火墙,状态检测包过滤防火墙和切换代理防火墙。防火墙是建立在内外网边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
四、防火墙存在的安全漏洞
防火墙设备侧重丁二网络层到应用层的策略隔离,操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安哞:的潜在因素。首先由防火墙的体系架构可知,防火墙可能会产生网络层短路,从而导致伪造合法数据包带来的危害:防火墙还难以抵御数据驱动式攻击,即大量合法的数据包将导致网络阻塞而使止常通信瘫痪。其次,防火墙很难阻止由通用协议本身漏洞发起的入侵。第三,防火墙系统本身的缺陷也是影响内部网络安全的重要因素,当防火墙土机被控制后,内部受保护网络就会暴露无疑。第四,要使防火墙发挥有效的安全性,需要正确、合理地配置防火墙相关的安全策略,而配置的复杂程度不仅带来繁琐的工作量,同时也增加了配置不当带来的安全隐患。
五、安全性分析比较
(一)指导思想不同 1.防火墙的思路是在保障互联互通的前提下,尽可能安全;
2.网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
(二)体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了0SI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
(三)安全规则配置的复杂程度不同
防火墙主要依据网络治理工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之问的相关性都有很大关系。网络治理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。从另一个方面讲,防火墙的配置要求网络治理上程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仪答应定制的信息进行交换,即使出现错误,也至多足数据不再答应传输,而不会造成重大安全事故。
第二篇:网络信息安全与防火墙技术
网络信息安全与防火墙技术
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展,计算机工程与应用(期刊论文),2004 [2]马利,梁红杰.计算机网络安全中的防火墙技术应用研究,电脑知识与技术,2014 [3]解静静.网络信息安全与防火墙技术,计算机光盘软件与应用,2014 [4]陈倩.浅析网络安全及防火墙技术在网络安全中的应用,网络安全技术与应用,2014 [5]赵子举.浅谈入侵检测与防火墙技术,电子世界,2014
第三篇:构建网络防火墙
让我们修筑起一道道网络“防火墙”
——501班心理团辅课
网络为学生提供了一条很好的学习和娱乐途径,但如果沉溺其中肯定弊多利少。小学五年级是学生意志品质形成的关键时期,也是人格发展的重要时期,大家接触网络的时间越来越长,对网络也越来越迷恋,其中相当一部分学生盲目追求个人兴趣,缺乏自我控制能力,浪费大量宝贵时间,以致荒废了学业,严重影响了其身心健康成长。老师发现咱班有好多同学爱好上网,并且网络聊天时语言不够文明,还发一些不文明的图片,上一些不健康的网站,玩游戏毫无节制,有些同学经常不完成作业。于是,为了引导我们正确认识网络的利弊,了解不适度上网对自身造成的危害,初步尝试预防过度上网的方法,让我们正确地利用网络资源为我们的学习、生活增添色彩,今天下午老师特意给我们上了一节生动的心理团辅课。
课前老师对本班学生进行了相关的调查。活动在拍手游戏中拉开了序幕。神奇的网络给我们的生活带来了前所未有的便利,我们的生活也日益被网络占据。那么网络给我们带来了什么好处呢?同学们你一言我一语地说开了,有的说,可以听音乐看电影,休闲娱乐;有的说,可以聊天,结交笔友增进友谊;有的说,可以玩游戏放松心情;有的说,可以查阅资料增长见识,非常便捷;还有的说,可以购买物品既方便又便宜„„看来,网络的确给我们的生活、学习带来了便利,好处多多。“那么大家从网络中得到的是否都是快乐呢?下面我们一起来看一则小品”老师向我们抛出了这样一个疑问,紧接着郭一鸣、马圣隆、卢懿、施芷蕴四位同学上台为大家表演了一则小品——《小刚上网记》。这则小品再现了个别同学的风貌,老师还从PPT中出示了小刚因此成为“网虫”的惨痛日记,很值得同学们深思啊!紧接着老师又出示专家的一些调查研究报告,同学们全神贯注地看着屏幕,个个瞪大了眼睛,真令人吃惊,原来网络还给我们中小学生造成这么大的危害。老师又出示了咱们班的课前调查结果,指出我们班的有些同学也或多或少地存在着这些问题。
怎么办呢?老师请我们想一想,寻找解决的办法。大家又七嘴八舌地讨论开了。最后,老师给我们做了点评,总结,提出了修筑四道“防火墙”工程:
第一道“防火墙”:上网之前先明确任务。第二道“防火墙”:上网之前先限定时间。第三道“防火墙”:时间一到就“思维叫停”。第四道“防火墙”:父母帮助监督提醒。
在修筑第三道网络“防火墙”时,我们还玩了“悬崖勒马思维叫停”的游戏,同学们在轻松的游戏活动中,体验着,逐步提高自我控制力。说到第四道“防火墙”,好多同学还认为自己没有必要修筑呢,都觉得自己的控制力挺强的,呵呵,“道德只是个简单的是与非的问题,可实践起来却很难”,但愿这些同学真的能自我控制能力哦!接下来我们还将这几道“防火墙”编成了儿歌呢!你听,还朗朗上口呢:
你拍一,我拍一,上网之前任务明; 你拍二,我拍二,上网之前定时间; 你拍三,我拍三,时间一到就叫停; 你拍四,我拍四,父母监督来提醒; 你拍五,我拍五,保护视力身体棒; 你拍六,我拍六,上网一定要节制!
老师对我们这堂课的表现很满意,多次奖励我们笑脸,还在信封里装了两份礼物呢!一份是一张精美的书签,老师建议我们将今天编的儿歌誊抄在书签上,时时提醒自己勉励自己;另一份礼物是一张表格,尽管不精美,但对我们很管用,可以借助它养成好习惯。课上完,有的同学就说以后不上网了。尽管,这只是一时的想法,因为学习的需要,我们还是会上网,但相信同学们能把握网络这把双刃剑,因为,我们已开始层层设防啦!
第四篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
第五篇:防火墙技术报告
《网络与信息安全技术》
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成 分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1.防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2)防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3.防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。(4)实施主机策略:对网络中的各节点可以起到更安全的防护。(5)应用更为广泛,支持VPN通信。
3.数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则:(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
1)袁津生 吴砚农 《计算机网络安全基础》 北京:人民邮电出版社 2013 2)黎连业,张维,防火墙及其应用技术,清华大学出版社.2004 3)程代伟,网络安全完全手册,电子工业出版社.2006 4)李涛,网络安全概论,电子工业出版社.2004
点击咨询 