第一篇:防火墙知识点
第一章
1.防火墙定义:防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件的集合。(或者防火墙是设置在本地计算机或内联网络与外联网络之间,保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。)
2.防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。
逻辑位置:防火墙与网络协议相对应的逻辑层次关系。3.防火墙理论特性:根据信息安全理论对其提出的要求而设置的安全功能,是各种防火墙的共性作用。
防火墙从理论上讲是分离器、限制器和分析器,即防火墙要实现四类控制功能: 方向控制:防火墙能够控制特定的服务请求通过它的方向; 服务控制:防火墙可以控制用户可以访问的网络服务类型; 行为控制:防火墙能够控制使用特定服务的方式; 用户控制:防火墙能够控制能够进行网络访问的用户。4.防火墙规则(1)过滤规则
(2)设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断所有的数据流,只允许符合开放规则的数据流进出。
b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下,防火墙只禁止符合屏蔽规则的数据流,而允许转发其他所有数据流。5.防火墙分类
按采用的主要技术划分:包过滤型防火墙、代理型防火墙 按具体实现划分:(1)多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它提供最少两个网络接口,一个与内联网络连接,另一个与外联网络连接。
(2)筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析,并按照一定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。
(3)屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接,而不让他们与内部主机直接相连。
(4)屏蔽子网:它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。6.防火墙的优点
(1)防火墙是网络安全的屏障
(2)防火墙实现了对内网系统的访问控制(3)部署NAT机制
(4)提供整体安全解决平台(5)防止内部信息外泄(6)监控和审计网络行为
(7)防火墙系统具有集中安全性
(8)在防火墙上可以很方便的监视网络的信息流,并产生警告信息。7.防火墙的缺点(1)限制网络服务
(2)对内部用户防范不足(3)不能防范旁路连接(4)不适合进行病毒检测(5)无法防范数据驱动型攻击(6)无法防范所有威胁
(7)配置问题。防火墙管理人员在配置过滤规则时经常出错。(8)无法防范内部人员泄露机密信息(9)速度问题
(10)单失效点问题
第二章
1.TCP/IP包头 2.包过滤技术
(1)概念:又称为报文过滤技术,执行边界访问控制功能,即对网络通信数据进行过滤。(2)技术原理:(3)过滤对象:a.针对IP的过滤,查看每个IP数据包的包头,将包头数据与规则集相比较,转发规则集允许的数据包,拒绝规则集不允许的数据包。
b.针对ICMP的过滤。阻止存在泄漏用户网络敏感信息的危险的ICMP数据包进出网络;拒绝所有可能会被攻击者利用、对用户网络进行破坏的ICMP数据包。
c.针对TCP的过滤,常见的为端口过滤和对标志位的过滤。d.针对UDP的过滤,要么阻塞某个端口,要么听之任之。(4)优点:包过滤技术实现简单、快速;
包过滤技术的实现对用户是透明的;
包过滤技术的检查规则相对简单,因此操作耗时极短,执行效率非常高
(5)缺点:
包过滤技术过滤思想简单,对信息的处理能力有限;
当过滤规则增多时,对过滤规则的维护是一个非常困难得问题; 包过滤技术控制层次较低,不能实现用户级控制。
3.状态检测技术
(1)技术原理:状态检测技术根据连接的“状态”进行检查,当一个连接的初始数据报文到达执行状态检测的防火墙时,首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合,则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则,然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行,包括从内向外和从外向内的双向数据流。在通信结束、释放该连接以后,防火墙将自动删除该连接的过滤规则。动态过滤规则存储在连接状态表中,并由防火墙维护。
(2)状态:状态根据使用的协议的不同而有不同的形式,可以根据相应协议的有限状态机来定义,一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。(3)状态检测技术的优点
安全性比静态包过滤技术高;
与静态包过滤技术相比,提高了防火墙的性能。
(4)状态检测技术的缺点
主要工作在网络层和传输层,对报文的数据部分检查很少,安全性还不够高; 检查内容多,对防火墙的性能提出了更高的要求。
4.代理技术
(1)代理的执行分为以下两种情况:一种情况是代理服务器监听来自内联网络的服务请求;另一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发送的信息。
(2)代理代码:
(3)代理服务器的实现:双宿主网关的IP路由功能被严格禁止,网卡间所有需要转发的数据必须通过安装在双宿主网关上的代理服务器程序控制。由此实现内联网络的单接入点和网络隔离。
(4)代理技术优点:
代理服务提供了高速缓存;
代理服务器屏蔽了内联网络,所以阻止了一切对内联网络的探测活动; 代理服务在应用层上建立,可以更有效的对内容进行过滤;
代理服务器禁止内联网络与外联网络的直接连接,减少了内部主机直接受到攻击的危险;
代理服务可以提供各种身份认证手段,从而加强服务的安全性; 代理防火墙不易受IP地址欺骗的攻击;
代理服务位于应用层,提供了详细的日志记录,有助于进行细致的日志分析和审计; 代理防火墙的过滤规则比包过滤防火墙的过滤规则更简单。(5)代理技术的缺点
代理服务程序很多都是专用的,不能够很好的适应网络服务和协议的发展; 在访问数据流量较大的情况下,代理技术会增加访问的延时,影响系统的性能; 应用层网关需要用户改变自己的行为模式,不能够实现用户的透明访问; 应用层代理还不能够支持所有的协议;
代理系统对操作系统有明显的依赖性,必须基于某个特定的系统及其协议; 相对于包过滤技术来说,代理技术执行的速度较慢。
第三章
1.过滤路由器的实现:过滤路由器对经过它的所有数据流进行分析,按照预定义的过滤规则,也就是网络安全策略的具体实现,对进出内联网络的信息进行限制。允许经过授权的信息通过,拒绝非授权的信息通过。2.过滤路由器优缺点
(1)过滤路由器优点:快速、性能高、透明、容易实现
过滤路由器是从普通路由器发展而来,继承了普通路由器转发速率快的优点; 购买过滤路由器比单独购买独立的防火墙产品具有更大的成本优势; 过滤路由器对用户来说是完全透明的; 过滤路由器的实现极其简单。(2)缺点:
过滤路由器配置复杂,维护困难;
过滤路由器只针对数据包本身进行检测,只能检测出部分攻击行为; 过滤路由器无法防范数据驱动式攻击;
过滤路由器只针对到达它的数据包的各个字段进行检测,无法确定数据包发出者的真实性;
随着过滤规则的增加,路由器的吞吐量会下降;
过滤路由器无法对数据流进行全面的控制,不能理解特定服务的上下文和数据。2.过滤规则(1)表3—1给图填数据
(2)由规则生成策略(协议具有双向性,一写就写俩)(3)逐条匹配深入原则(填空)3.屏蔽冲突:当排在过滤规则表后面的一条规则能匹配的所有数据包也能被排在过滤规则表前面的一条过滤规则匹配的时候,后面的这条过滤规则将永远无法得以执行,这种冲突称为屏蔽冲突。4.堡垒主机
(1)定义:堡垒主机是一种网络完全机制,也是安全访问控制实施的一种基础组件。通常情况下堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内联网络和外联网络。
(2)作用:隔离内联网络和外联网络,为内联网络设立一个检查点,对所有进出内联网络的数据包进行过滤,集中解决内联网络的安全问题。(3)设计原则:
a.最小服务原则:尽可能减少堡垒主机提供的服务,对于必须设置的服务,只能授予尽可能低的权限;
b.预防原则:用户必须加强与堡垒主机的联系,对堡垒主机的安全情况进行持续不断的监测,仔细分析堡垒主机的日志,及时对攻击行为作出响应。(4)类型
a.内部堡垒主机 b.外部堡垒主机 c.牺牲主机
5.多重宿主主机防火墙实现方法
采用一台堡垒主机作为连接内联网络和外联网络的通道,在这台堡垒主机中安装多块网卡,每一块网卡都连接不同的内联子网和外联网络,信息的交换通过应用层数据共享或者应用层代理服务实现,而网络层直接的信息交换是被绝对禁止的。与此同时,在堡垒主机上还要安装访问控制软件,用以实现对交换信息的过滤和控制功能。
多重宿主主机有两种经典的实现:第一种是采用应用层数据共享技术的双宿主主机防火墙,另一种是采用应用层代理服务器技术的双宿主网关防火墙。6.双宿主主机防火墙
(1)优点:作为内联网络与外联网络的唯一接口,易于实现网络安全策略;
使用堡垒主机实现,成本较低。(2)缺点:
a.用户账户的存在给入侵者提供了一种入侵途径,入侵者可以通过诸如窃听、破译等多种手段获取用户的账号和密码进而登录防火墙;
b.双宿主主机防火墙上存在用户账户数据库,当数据库的记录数量逐渐增多时,管理 员需要花费大量的精力和时间对其进行管理和维护,这项工作是非常复杂的,容易出错;
c.用户账户数据库的频繁存取将耗费大量系统资源,会降低堡垒主机本身的稳定性和可靠性,容易出现系统运行速度低下甚至崩溃等现象;
d.允许用户登录到防火墙主机上,对主机的安全性是一个很大的威胁。用户的行为是不可预知的,各种有意或者无意的破坏都将给主机带来麻烦,而且这些行为也很难进行有效的监控和记录。
(3)双宿主主机构成(填空):双宿主主机防火墙是一台具有安全控制功能的双网卡堡垒主机,两块网卡中的一块负责连接内联网络,另一块负责连接外联网络。7.双宿主网关(1)工作原理:在防火墙主机上安装各种网络服务的代理服务器程序。当内联网络中的主机意图访问外联网络时,只需要将请求发送至双宿主网关防火墙相应的代理服务器上,通过过滤规则的检测并获得允许后,再由代理服务器程序代为转发至外联网络指定主机上。而外联网络中的主机所有对内联网络的请求都由(2)优点
a.无需管理和维护用户账户数据库
b.由于采用代理服务器技术,防火墙提供的服务具有良好的可扩展性
c.信息通过代理服务器转发,屏蔽了内联网络的主机,阻止了信息泄露现象的发生(3)缺点
a.入侵者只要攻破堡垒主机就可以直接面对内联网络,因此防火墙主机的安全配置非常复杂且重要
b.防火墙本身的性能是影响系统整体性能的瓶颈
c.单点失效,一旦防火墙主机停止运行,则内联网络的链接将全部中断 d.灵活性较差 8屏蔽主机(1)工作原理
过滤路由器的路由表是定制的,将所有外联网络对内联网络的请求都定向到堡垒主机处,而堡垒主机上运行着各种网络服务的代理服务器组件,外联网络的主机不能直接访问内联网络的主机,对内联网络的所有请求必须要由堡垒主机上的代理服务器进行转发,对于内联网络到发起的连接或由过滤路由器重新定向到堡垒主机,对于特定的主机和特定的服务,则直接访问
(2)优点:a.安全性更高
b.可扩展性高
c.屏蔽主机本身是可靠稳定的
(3)缺点:在堡垒主机和其他内联网络的主机放置在一起,他们之间没有一道安全隔离屏障,如果堡垒主机被攻破,那么内联网络将全部曝光于攻击者的面前 屏蔽子网
(1)非军事区DMZ:又称屏蔽子网,在用户内联网络和外联网络之间构建的一个缓冲区域,目的是最大限度地减少外部入侵者对内联网络的侵害,内部部署了安全代理网关(执行安全代理功能)和各种公用的信息服务器(执行网络层包过滤)
在边界上,通过内部过滤器与内联网络相联,通过外部过滤路由器与外部网络相联。(2)优点:a.内联网络实现了与外联网络的隔离,内部结构无法探测,外联网络只能知道外部路由器和非军事区的存在,而不知道内部路由器的存在,也就无法探测到内部路由器后面的内联网络了
b.内联网络安全防护严密
c.降低了堡垒主机处理的负载量,减轻了堡垒主机的压力,增强了堡垒主机的可靠性和安全性
d.将用户网络的信息流量明确地划分成不同的等级,通过内部路由器的隔离作用,机密信息流受到严密的保护,减少了信息泄露的发生
(3)缺点
第四章 1防火墙性能指标(1)可靠性(2)可用性(3)可扩展性(4)可审计性(5)可管理性(6)成本耗费
2防火墙的评估参数(1)吞吐量(2)时延(3)丢包率(4)并发连接数
(5)工作模式:路由模式,NAT模式,透明模式(6)配置管理
(7)接口的数量和类型(8)日志和审计参数 3防火墙技术的发展趋势
(1)分布式执行和集中式管理:分布式或分层的安全策略执行,集中式管理(2)深度过滤:正常化,双向负载检测,应用层加密和解密,协议一致性(3)建立以防火墙为核心的综合安全体系
(4)防火墙本身的多功能化,变被动防御为主动防御(5)强大的审计与自动日志分析功能(6)硬件化(7)专用化
第六章 入侵检测
1入侵检测:对企图入侵,正在进行的入侵或者已经发生的入侵进行识别的过程 2入侵检测的作用:
(1)识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护系统造成损害
(2)识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对受保护系统有意或者无意的破坏
(3)检查受保护系统的重要组成部分及各种数据文件的完整性
(4)审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠正错误的系统配置信息
(5)记录并分析用户和系统的行为,描述这些行为变化的正常区域,进而识别异常的活动
(6)通过蜜罐等技术手段记录入侵者的信息,分析入侵者的目的和行为特征,优化系统安全策略
(7)加强组织或机构对系统和用户的监督与控制能力,提高管理水平和管理质量
3入侵检测按数据来源划分:
(1)基于主机的入侵检测:通过分析特定主机上的行为来发现入侵,判断的依据是系统内的各种数据及其相关记录 优点:能够确定攻击是否成功
不需要额外的硬件来主持
能够适合加密的环境
可监视特定的系统文件 缺点:额外产生的安全问题
不具有平台无关性,可移植性差
实时性差
依赖性强,检测效果取决于日志系统
占用主机资源,影响主机性能
如果主机数目多,维护和管理代价大
隐蔽性差,对入侵者不透明(2)基于网络的入侵检测 优点:具有平台无关性
不影响受保护主机的性能
对主机来说是透明的
检测范围广,监测主机数量大时相对成本低
实时检测和响应
可检测基于底层协议的攻击行为 缺点:很难发现应用层的攻击行为
很难处理加密传输
对于交换网络的不足
不能及时有效的分析处理大规模的数据
容易受到拒绝服务攻击
很难进行复杂攻击的检测(3)混合式的入侵检测
4入侵检测按检测方法划分:异常检测和滥用检测
(1)异常检测根据系统或者用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术,基础是建立系统正常活动状态或用户正常行为模式的描述模型,异常检测的操作是将用户当前的行为模式或系统的当前状态与该正常模型进行比较,如果当前值超出了预设的阈值,则认为存在着攻击行为(2)滥用入侵检测通过对现有的各种手段进行分析,找到能够代表该攻击行为的特征集合,对当前数据的处理就是与这些特征集合进行匹配,如果匹配成功则说明发生了一次确定的攻击 第七章
1入侵检测的性能指标:有效性(攻击检测率,攻击误警率,可信度),可用性,安全性(抗攻击能力,数据通信机制)
2入侵检测的发展趋势:标准化的入侵检测,高速入侵检测,大规模分布式的入侵检测,多种技术的融合,实时入侵响应,入侵检测的评估,与其他安全技术的联动
VPN篇
1定义:是企业在因特网等公共网络上的延伸,指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网,并采用认证,访问控制,保密性,数据完整性等技术,使得数据通过安全的“加密隧道”在公用网络中进行传输
2原理:在直接和公用网络连接的计算机之间建立一条专用通道,私有网络之间的通信内容经过发送端计算机或者设备打包,通过公用网络的专用通道进行传输,然后在接收端解包,还原成私有网络的通信内容,转发到私有网络中
3按应用范围划分:远程接入VPN,企业内部VPN,企业扩展VPN 4按隧道协议划分:第二层隧道协议,第三层隧道协议 5按隧道建立方式划分:自愿隧道,强制隧道 6特点:具备完善的安全保障机制,具备用户可接受的服务质量保证,总成本低
可扩展,安全性,灵活性
管理便捷
7安全机制:加密技术,认证技术,密钥管理与交换
第二篇:防火墙论文
防火墙技术论文
姓 名:王田辉 学 号:2012110438 专 业:网络工程
摘要
本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处 和解决方案。最后展望了防火墙的反战前景以及技术方向。
关键字:防火墙;网络;网络安全;功能;Internet;
Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,目录
一、防火墙是什么.........................................1
二、防火墙的分类.........................................1
三、防火墙的发展历程.....................................1
四、防火墙的工作原理.....................................2
五、防火墙应该具备的特性.................................2
六、防火墙主要技术.......................................2
七、常见攻击方式以及应对策略.............................3
八、防火墙的反战前景以及技术方向.........................3
九、结束语...............................................4
十、参考文献.............................................4 现在无论是企业,还是个人,随着计算机的应用由单机发展到网络,网络面临着大量的安全威胁,其安全问题日益严重,日益成为广泛关注的焦点。在这样一个大环境下,网络安全问题凝了人们的注意力,大大小小的企业纷纷为自己的内部网络“筑墙”,防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
一、防火墙是什么
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
二、防火墙的分类
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
三、防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙,后来演变为目前所说的状态监视技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
四、防火墙的工作原理
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
五、防火墙应该具备的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1、安全、成熟、国际领先的特性;
2、具有专有的硬件平台和操作系统平台;
3、采用高性能的全状态检测(Stateful Inspection)技术;
4、具有优异的管理功能,提供优异的GUI管理界面;
5、支持多种用户认证类型和多种认证机制;
6、需要支持用户分组,并支持分组认证和授权;
7、支持内容过滤;
8、支持动态和静态地址翻译(NAT;
9、支持高可用性,单台防火墙的故障不能影响系统的正常运行;
10、支持本地管理和远程管理;
11、支持日志管理和对日志的统计分析;
12、实时告警功能,在不影响性能的情况下,支持较大数量的连接数;
13、在保持足够的性能指标的前提下,能够提供尽量丰富的功能;
14、可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯;
15、支持在线升级;
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能;
17、防火墙能够与入侵检测系统互动。
六、防火墙主要技术
先进的防火墙产品将网关与安全系统合二为一,具有以下技术:双端口或三端口的结构;透明的访问方式;灵活的代理系统;多级的过滤技术;网络地址转换技术(NAT);Internet网关技术;安全服务器网络(SSN);用户鉴别与加密;用户定制服务;审计和告警。
七、常见攻击方式以及应对策略
(一)病毒
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
(二)口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
(三)邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
(四)IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
八、防火墙的反战前景以及技术方向
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患
九、结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
十、参考文献
[1] 作者:彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者:IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料
[3] 作者:楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者:聂元铭 丘平《网络信息安全技术》 科学出版社
第三篇:防火墙基础知识
防火墙基础知识
3.3 包过滤包过滤技术(Ip Filtering or packet filtering)的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway.网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。
Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容)过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。
*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接,则Router舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种:
.允许特定名单内的内部主机进行Telnet输入对话
.只允许特定名单内的内部主机进行FTP输入对话
.只允许所有Telnet 输出对话
.只允许所有FTP 输出对话
.拒绝来自一些特定外部网络的所有输入信息
* 独立于服务的过滤
有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获悉:研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种:.源IP地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。
.源路由攻击源站指定了一个信息包穿越Internet时应采取的路径,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。
.残片攻击入侵者利用Ip残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包,即可挫败残片的攻击。从以上可看出定义一个完善的安全过滤规则是非常重要的。通常,过滤规则以表格的形式表示,其中包括以某种次序排列的条件和动作序列。每当收到一个包时,则按照从前至后的顺序与表格中每行的条件比较,直到满足某一行的条件,然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时,“动作”这一项还询问,若包被丢弃是否要通知发送者(通过发ICMP信息),并能以管理员指定的顺序进行条件比较,直至找到满足的条件。以下是两个例子: * 例 一
某公司有一个B类地址 123.45.0.0,它不希望Internet上的其他站点对它进行访问。但是,该公司网中有一个子网123.45.6.0 用于和某大学合作开发项目,该大学有一个B类地址 135.79.0.0,并希望大学的各个子网都能访问123.45.6.0 子网。但是,由于135.79.99.0 子网中存在着不安全因素,因此,它除了能访问123.45.6.0 子网之外,不能访问公司网中的其它子网。为了简单起见,假定只有从大学到公司的包,表一中列出了所需的规则集。
表 一
规 则
源
地 址
目 的 地 址
动
作
A
135.79.0.0
123.45.6.0
permit
B
135.79.99.0
123.45.0.0
deny
C
0.0.0.0
0.0.0.0
deny
其中0.0.0.0代表任何地址,规则C是缺省规则,若没有其它的规则可满足,则应用此规则。如果还有从公司到大学的包,相对称的规则应加入到此表格中,即源地址与目的地址对调,再定义相应的动作。
现在,我们按照规则ABC的顺序来进行过滤和按照BAC的顺序来进行过滤后采取的动作的结果如表二所示(注意:两种动作的结果有不同)
表
二 Packet 源 地 址
目 的 地 址
希望的动作 执行ABC后 执行BAC后
135.79.99.1
123.45.1.1
deny
deny(B)
deny(B)
* 2
135.79.99.1
123.45.6.1
permit
permit(A)deny(B)3
135.79.1.1
123.45.6.1
permit
permit(A)permit(A)4
135.79.1.1
123.45.1.1
deny
deny(C)
deny(c)
从表二可以看出,以ABC的顺序来应用规则的Router能达到预想的结果: 从135.79.99.0子网到公司网的包(如包1)都被拒绝(根据规则B),从135.79.99.0子网到123.45.6.0子网的包(如包2)将被转发(根据规则A),从大学中的其它子网到123.45.6.0的子网包(如包3)也将被转发(根据规则A),从大学中的其它子网到公司中的其它字网的包(如包4)都被拒绝(根据规则C)。若以BAC的顺序来应用规则,则不能达到预计的目的。实际上,在上面的规则外集中存在着一个小错误,正是由于这个错误,导致了以ABC的顺序和以BAC的顺序来应用规则而出现了不同的结果。该错误就是:规则B似乎用于限制135.79.99.0子网访问公司网,但实际上这是多余的。如果将这条规则去掉,那么顺序ABC和BAC都将归结为AC顺序。以AC的顺序进行过滤后的结果如表三所示。
表
三
Packet
源 地 址
目 的 地 址
希望的动作
AC 动作
135.79.99.1
123.45.1.1
deny
deny(C)
135.79.99.1
123.45.6.1
permit
permit(A)
135.79.1.1
123.45.6.1
permit
permit(A)
135.79.1.1
123.45.1.1
deny
deny(C)
* 例 二如图一所示的网络,由包过滤的Router作为在内部被保护的网络与外部不安全的网络之间的第一道防线。假设网络的安全策略为:从外部主机来的Internet Mail 在一个指定的网关上接收,同时你不信任外部网络上一个名叫HPVC的主机,准备拒绝任何由它发起的网络通信。
本例中,关于使用SMTP的网络安全策略必须转移为包过滤规则。可以将网络安全规则转换成下述用语言表示的规则:
规则1: 拒绝从主机HPVC发起的连接。
规则2:允许连接到我们的E-Mail网关。这些规则可以用下面的表四来表示。星号(*)表示可以匹配该列的任何值。
表
四规则
动作
本地
本地
远地主机
远地
说明
序号
主机
端口号
端口号
Block
*
*
HPVC
*
Block traffic from
HPVC 2
Allow Mail-GW 25
*
*
Allow Connection to Our
Mail gateway
对于表四所示的规则1而言,在远地主机栏中填入了HPVC,而其它所有栏的内容都是星号;在动作栏填入阻塞。这条规则的意义可以理解为:阻塞所有从远地主机HPVC发起的从它的任意端口到我们本地任意主机的任意端口的连接。对于表四所示的规则2而言,在本地主机和本地端口号两栏中都有内容,而其它栏都是星号;在动作栏填入允许。这个规则的意义可以理解为:允许从任意远地主机的任意端口发起的到本地主机Mail-GW的25号端口连接(端口25是为SMTP保留的)规则是按照它们在表中的顺序来执行的。如果一个分组不符合任何规则,则它将被拒绝。
在表四中对规则的描述有一个严重的问题,它允许任意外部主机从端口25发起一个呼叫。端口25是为SMTP保留的,但是一个外部主机有可能利用这个权利从事其它活动。这条规则的一个更好的描述方案是允许本地主机发起呼叫,同远地主机的端口25进行通信。这使得本地主机可以向远地站点发送电子邮件。如果远地主机不是用端口25执行SMTP,则SMTP的发送进程将不能发送电子邮件。这等价与远地主机不支持电子邮件。一个TCP连接是一个全双工连接,信息双向流动。在表四所示的包过滤规则中没有明确指定被发送报文分组中信息的传递方向,即是从本地主机发送远地站点,还是从远地站点发送到本地主机。当一个TCP包在某一个方向上传递时,它必须被接收方确认。接收方通过设置TCP ACK标志来发送应答帧。TCP ACK标志也被用来确认TCP建立连接请求,ACK包将在所有TCP连接上发送。当一个ACK包被发送后,发送方向就逆转过来,包过滤规则应该考虑为响应控制或数据包而发回的ACK包。对于下面的表五中的规则1,在源主机栏中填入199.245.180.0,在目标主机端口号栏中填入25,其它栏中都填入星号,在动作栏中填入允许.整个规则的意义为:允许所有从网络199.245.180.0任意端口发起的任意目标主机端口号为25的连接(其中199.245.180.0是一个C类网络地址,主机号字段为0表示网络上任意一台主机).基于以上的讨论,修改后的包过滤规则如表五中所示.表
五
SMTP的包过滤规则规则 动作
源主机
源端
目标主机
远地
TCP标识
说明
序号
口号
端口号
/IP选项 Allow 199.245.180.0 *
*
Allow packet
from Network
199.245.180.02 Allow
*
199.245.180.0 *
TCP ACK Allow return
acknowledgement
对于表五中的规则2,在源端口号栏中填入25,在目标主机栏中填入199.245.180.0,在TCP标志和IP选项栏中填入TCP ACK,其它栏中都填入星号,在动作栏中填入允许.整个规则的意义为:允许所有从任何外部网络主机上源端口号25发起的到任意本地主机(在网络199.245.180.0上)任意端口号的TCP ACK标志置位的连接.表五中的两条过滤规则合并起来的效果是:允许网络199.245.180上的任意主机同任何外部网络主机的SMTP端口建立连接.由于包过滤器只工作在OSI模型的第二和第三层(数据层和网络层).它无法绝对保证返回的TCP确认帧中是否属于同一个连接.在实际应用中,这个策略运行得很好,因为TCP维护连接两侧的状态信息,它们知道将要发送或接收的序号和确认信息.同时,一些上层应用服务,例如TELNET ,SMTP 和FTP等,只能接受遵循应用层协议规则的包,想要伪造包含正确应答信息的包是非常困难的.如想要使安全程度更高,可考虑和应用层网关一起使用(下节将会讨论).罗罗嗦嗦说了一大通,可以综述为下面两点:包过滤路由器的优点:
绝大多数Internet 防火墙系统只用一个包过滤路由器.与设计过滤器和匹配Router不同的是,执行PACKET FILTER 所用的时间很少或几乎不需要什么时间.因为Internet 访问一般被提供给一个WAN接口.如果通信负载适中且定义的过滤很少的话,则对Router性能没有多大影响.最后一点,包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件.包过滤路由器的局限性:
定义包过滤器可能是一项复杂的工作,因为网管员需要详细地了解Internet 各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的,则过滤规则集可能会变得很长和很复杂,从而很难管理。存在几种自动测试软件,被配置到Router上后即可校验过滤规则。这可能对未检测到的易损部件开放了一个地点。一般来说,一个路由器和信息包吞吐量随过滤器数量的增加而减少。Router 被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表,而后将信息包顺向运行到适当转发接口。如果过滤可执行,Router还必须对每个包执行所有过滤规则。这可能消耗CPU的资源,并影响一个完全饱和的系统性能。
3.4 应用网关
为了克服与包过滤路由器相关联的某些弱点,防火墙需要使用应用软件来转发和过滤Telnet和Ftp等服务的连接。这样一种应用叫做代理服务,而运行代理服务软件的主系统叫做应用网关。应用网关和包过滤路由器可以组合在一起使用,以获得高于单独使用的安全性和灵活性。作为一个例子,请考虑一个用包过滤路由器封锁所有输入Telnet 和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统,即Telnet/Ftp应用网关,然后再连接到目的主系统,过程如下:
1.用户首先把Telnet连接到应用网关,并输入内部主系统的名字;
2.网关检验用户的源IP地址,并根据任何合适的访问准则接受或拒绝;
3.用户可能需要证明自己的身份(可使用一次性口令装置);
4.代理服务软件在网关和内部主系统之间建立Telnet连接;
5.于是,代理服务软件在两个连接之间传送数据;
6.应用网关记录连接情况。这一例子指出了使用代理服务软件的几个好处。第一,代理服务软件只允许有代理的服务通过。换句话说,如果应用网关包含Telnet和Ftp的代理软件,则只有Ftp和Telnet被允许进入受保护的子网,而其它所有服务都完全被封锁住。对有些网点来说,这种程度的安全性是很重要的,因为它保证,只有那些被认为“可信赖的”服务才被允许通过防火墙。它还防止其他不可靠的服务不会背着防火墙管理人员实施。使用代理服务的另一好处是可以过滤协议。例如,有些防火墙可以过滤FTP连接,并拒绝使用FTP 协议中的 put 命令。如果人们要保证用户不能写到匿名FTP服务器软件,则这一点是很有用的。应用网关有三种基本的原型,分别适用于不同的网络规模。
* 双穴主机网关(Dual-Homed Gateway)
* 屏蔽主机网关(Screened Host Gateway)
* 屏蔽子网网关(Screened Subnet Gateway)这三种原型有一个共同的特点,就是都需要一台主机(如上面所述一样),通常称为桥头堡主机(Bastion Host)。该主机充当应用程序转发者、通信登记者以及服务提供者的角色。因此,保护该主机的安全性是至关重要的,建立防火墙时,应将较多的注意力放在该主机上。
* 双穴主机网关该原型的结构如下图所示。其中,桥头堡主机充当网关,因此,需要在此主机中装两块网卡,并在其上运行防火墙软件。受保护网与Internet之间不能直接进行通信,必须经过桥头堡主机,因此,不必显示地列出受保护网与不受保护网之间的路由,从而达到受保护网除了看到桥头堡主机之外,不能看到其他任何系统的效果。同时,桥头堡主机不转发TCP/IP包,网络中的所有服务都必须由此主机的相应代理程序支持。
由于双穴主机网关容易安装,所需的硬件设备也较少,且容易验证其正确性,因此,这是一种使用较多的纺火墙。双穴主机网关最致命的弱点是:一旦防火墙被破坏,桥头堡主机实际上就变成了一台没有寻径功能的路由器,一个有经验的攻击者就能使它寻径,从而使受保护网完全开放并受到攻击。例如,在基于Unix的双穴主机网关中,通常是先修改一个名叫IPforwarding的内核变量,来禁止桥头堡主机的寻径能力,非法攻击者只要能获得网关上的系统特权,就能修改此变量,使桥头堡主机恢复寻径能力,以进行攻击。
* 屏蔽主机网关
该原型的结构如下图所示。其中,桥头堡主机在受保护网中,将带有包屏蔽功能的路由器置于保护网和Internet之间,它不允许Internet对保护网的直接访问,只允许对受保护网中桥头堡主机的访问。与双穴网关类似,桥头堡主机运行防火墙软件。屏蔽主机网关是一种很灵活的防火墙,它可以有选择地允许那些值得信任的应用程序通过路由器。但它不像双穴网关,只需注意桥头堡主机的安全性即可,它必须考虑两方面的安全性,即桥头堡主机和路由器。如果路由器中的访问控制列表允许某些服务能够通过路由器,则防火墙管理员不仅要管理桥头堡主机中的访问控制表,还要管理路由器中的访问控制列表,并使它们互相协调。当路由器允许通过的服务数量逐渐增多时,验证防火墙的正确性就会变得越来越困难。* 屏蔽子网网关该原型的结构如下图所示。其中,一个小型的独立网络放在受保护网与Internet之间,对这个网络的访问受到路由器中屏蔽规则的保护。因此,屏蔽子网中的主机是唯一一个受保护网和Internet都能访问到的系统。从理论上来说,这也是一种双穴网关的方法,只是将其应用到了网络上。防火墙被破坏后,它会出现与双穴主机网关同样的问题。不同的是,在双穴主机网关中只需配置桥头堡主机的寻径功能,而在屏蔽子网网关中则需配置三个网络(受保护网、屏蔽子网和Internet)之间的寻径功能,即先要闯入桥头堡主机,再进入受保护网中的某台主机,然后返回包屏蔽路由器,分别进行配置。这对攻击者来说显然是极其困难的。另外,由于Internet很难直接与受保护网进行通信,因此,防火墙管理员不需指出受保护网到Internet之间的路由。这对于保护大型网络来说是一种很好的方法。应用网关的一个缺点是,就Telnet 等客户机--服务器协议来说,需要采取两个步骤来连接输入信息或输出信息。有些应用网关需要经过修改的客户机,这一点既可看作是缺点,也可看作是优点,视修改的客户机是否更加容易使用防火墙而定。Telnet应用网关不一定需要经过修改的Telnet客户机,但是,它需要修改用户行为:用户必须连接到防火墙(但不记录),而不是直接连接到主系统。但是,经过修改的Telnet客户机可以使防火墙透明,因为它允许用户用Telnet命令规定目的系统(不是防火墙)。防火墙起着通向目的系统通道的作用,从而拦截连接,再按需完成其他步骤,如查询一次性口令。用户行为仍然是相同的,但其代价是每个系统需要一个经过修改的客户机。除了Telnet 外,应用网关一般用于Ftp 和电子邮件,同时也用于XWindows和其他某些服务。有些Ftp应用网关包括拒绝特定主系统的put 和get 命令的能力。例如,一个已同内部系统(如匿名Ftp服务器)建立Ftp对话(通过Ftp应用网关)的外部用户,可能试图把文件上装到服务器。应用网关可以过滤Ftp协议,并拒绝把所有puts命令发送给匿名Ftp服务器;这将保证没有文件能上装到服务器,而且所提供的确信程度要高于只依赖由设置正确的匿名Ftp服务器进行的文件许可。电子邮件应用网关可集中收集电子邮件,并把它分发给内部主系统和用户。对外部用户来说,所有内部用户都拥有电子邮件地址,其格式为:user@emailhost 其中,emailhost是电子邮件网关的名字。网关会接受外部用户的邮件,然后按需把邮件转发到其他内部系统。从内部系统发送电子邮件的用户可以从其主系统直接发送电子邮件,否则在内部系统名字只有受保护的子网知道的情况下,邮件会发送给应用网关,然后应用网关着把邮件转发给目的主系统。有些电子邮件网关使用更加安全的sendmail程序版本来接收电子邮件
第四篇:防火墙论文
河北大学人民武装学院
河北大学人民武装学院2015届毕业论文
防火墙安全技术
河北大学人民武装学院
中 队:三十一中队
专 业:计算机网络技术
班
级:四班
姓 名:马伟韬
防火墙安全技术
摘 要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。
关键词:防火墙
网络安全
包过滤
状态监视
应用代理
河北大学人民武装学院
河北大学人民武装学院
目 录
引
言..............................................................................................5
一、防火墙的概念..............................................................................6
二、防火墙的分类..............................................................................7
三、防火墙技术................................................................................10
四、技术展望....................................................................................13 结
论...............................................................................................14 谢
辞............................................................................................15 参考文献............................................................................................16
河北大学人民武装学院
引
言
随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
河北大学人民武装学院
一、防火墙的概念
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称。
到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(firewall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。
河北大学人民武装学院
二、防火墙的分类
世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(network driver interface specification,ndis)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,ndis直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管ndis接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。
软件防火墙工作于系统接口与ndis之间,用于检查过滤由ndis发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分cpu资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出cpu资源去进行基于软件架构的ndis数据检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的unix系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因
河北大学人民武装学院
素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。
有人也许会这么想,既然pc架构的防火墙也不过如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的,但是工作效率并不能和真正的pc架构防火墙相比,因为pc架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更高度紧密集合,而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能,这些要求并不是安装了多网卡的计算机就能简单替代的,因此pc架构防火墙虽然是与计算机差不多的配置,价格却相差很大。
现实中我们往往会发现,并非所有企业都架设了芯片级硬件防火墙,而是用pc架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最显著的缺点了:它太贵了!购进一台pc架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小企业所能承受的,而且对于一般家庭用户而言,自己的数据和系统安全也无需专门用到一个硬件设备去保护,何况为一台防火墙投入的资金足以让用户购买更高档的电脑了,因而广大用户只要安装一种好用的软件防火墙就够了。
为防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类„„虽然看似种类繁多,但这只是因为业界分类方法不同罢了,例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”,因此这里主要介绍的是技术方面的分类,即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。
那么,那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢?所谓“边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为“边界防火墙”;与之相对的有“个人防火墙”,它们通常是基于软件的防火墙,只处理一台计算机的数据而不是整个网络的数据,现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢,就是我们最常见的一台台硬件防火墙
河北大学人民武装学院
了;一些厂商为了节约成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙。
河北大学人民武装学院
三、防火墙技术
传统意义上的防火墙技术分为三大类。
1.“包过滤”(packet filtering)、据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
2.应用代理技术
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如syn攻击、icmp洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(application proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(transparent proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(application protocol analysis)的新技术。
“应用协议分析”技术工作在osi模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“get /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的
河北大学人民武装学院
功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。
3.状态监视技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是checkpoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(deep packet inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
“状态监视”(stateful inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(session filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间
河北大学人民武装学院
限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
河北大学人民武装学院
四、技术展望
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
河北大学人民武装学院
结
论
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
河北大学人民武装学院
谢
辞
在此我要感谢我的专业老师,是你的细心指导和关怀,使我能够顺利的完成毕业论文。在我的学业和论文的研究工作中无不倾注着老师辛勤的汗水和心血。老师的严谨治学态度、渊博的知识、无私的奉献精神使我深受启迪。从尊敬的老师身上,我不仅学到了扎实、宽广的专业知识,也学到了做人的道理。在此我要向我的老师致以最衷心的感谢和深深的敬意。
河北大学人民武装学院
参考文献
[1] 杨峰,张浩军.信息战与计算机网络攻防.北京市:北京邮电大学出版
社,2011年,115~134页。
[2] 贺雪晨.黑客入侵分析与防范.北京市:清华大学出版社,2012年,58
页。
[3] 伍俊良.计算机网络安全与对抗.北京市:清华大学出版社,2013年,98~105页。
[4] 王淑红.网络安全.北京市:机械工业出版社,2012年,57~89页。
第五篇:防火墙总结
大石头中心校
构筑校园消防安全“防火墙”工作总结
学校消防安全工作是学校综合治理的重要内容,关系到学校财产安全和教师员工的生命安全。对于这项工作,我们从来不敢有丝毫懈怠与麻痹大意。为了深入贯彻实施《中华人民共和国消防法》,切实加强火灾防控工作,创新校园消防安全管理模式,提升学校消防安全管理水平,提高我校师生消防安全意识和自救自护能力,保证全校师生的人身、财产安全,根据市政府统一部署和《敦化市构筑社会消防安全“防火墙”工程实施方案》,根据市教育局的要求,我校全面深入制定计划,在实际工作中能坚持做到不断总结经验教训,不断改进和完善工作方法,提高安全防范能力,将事故隐患减少到最低指数,最大可能的提供安全保障,确保学校发展不受影响。以下是构筑校园消防安全“防火墙”三年工作总结:
一、宣传发动,统一思想,营造创建学校消防安全工作氛围
学校在学生安全方面所采取的一系列措施,充分利用学校的校园网、宣传橱窗、黑板报、学校广播等宣传阵地进行大力宣传。对师生进行交通安全、防电、防火、预防食物中毒、预防手足口病等教育,学校建立了义务消防队,对有关人员定期培训,熟悉消防防备,掌握火警处置及启动消防设施设备的程序和方法。我校加大“防火墙”工程主题的宣传,普及消防知识,组织学生进行了消防安全演练,教给学会正确使用灭火器以及掌握逃生的方法,使每一位学生普遍掌握火警电话,知道如何报警等基本常识。另外学校加强了值班管理制度,1
值班领导和教师要提前到岗,严禁校外人员进入学校,从而保证学生的安全。
通过学习宣传,大家统一了思想,提高了认识。因此,把安全防范和教学质量作为学校一切工作中最主要的两件事来抓,做到“两手都硬”。同时重视并抓好学校消防安全工作。近几年,教学资源和教学设施还不能完全跟上变化的形势,还不能满足教学的需要。因此,校园不安全因素较以前增多,校园发生安全事故的可能性比以前大大增加。这就给学校的消防安全工作提出了更高的要求,决不能掉以轻心,麻痹大意。再者,创建平安学校是实践“三个代表”重要思想的具体体现,这对于坚持社会主义办学方向,全面贯彻党的教育方针,构建社会主义和谐社会,培养合格的社会主义事业建设者和接班人同样具有重要意义。
在教育活动中,每学期学校做到了“六个一”即:一份计划、一次国旗下讲话、一次安全知识讲座、一堂主题班会、一次图片展览、一期黑板报。同时,对创建中的典型事例和经验做法及时利用校广播加以宣传报道,积极营造创建学校消防安全工作的良好氛围。
二、健全组织,落实责任,探索创建学校消防安全工作新机制
学校领导高度重视学校消防安全工作,成立了由张校长总负责的消防安全工作领导小组。
组 长:张 波(校长)负责学校的全面安全防火工作
副组长:赵永成(德育副校长)协助校长做好学校安全防火工作、各领导办公室安全防火工作
胡学文(教学副校长)协助校长做好学校安全防火工作、各教师办公室安全防火工作
刘书昌(工会主席)具体负责学校安全防火工作
组 员:陈 赞(支部副书记)负责宿舍、卫生室、图书室、档案室、会议室安全防火工作
高永清(教导主任)负责实验室、微机室、多功能室安全防火工作
宋立刚(少先队辅导员)负责各班级安全防火工作 李志强(总务主任)负责食堂、商店、库房、村小学安全防火工作
朱 哲(保卫干事)负责警务室、值班室安全防火工作 武吉富(保卫科长)负责学校安全防火检
贯彻实施《消防法》和《吉林省消防条例》,认真落实“政府统一领导、部门依法监管、单位全面负责、公民积极参与”的消防工作原则,学校把消防安全工作具体任务落实到班级负责人,按照“谁主管,谁负责”的原则,各层次负责人分别和下属各部门责任人签订消防安全责任书。这样明确分工,责任到人,使全校创建最安全学校工作“事事有人做,人人有事做”,形成了“上下联动,齐抓共管” 的管理格局。学校消防安全工作领导小组具体统筹、组织、协调学校消防安全工作的日常督查、记载等工作。做到工作有计划、有布置、有检查。把此项工作落到实处,推进学校消防安全管理创新,前移火灾预防关口,提升学校火灾防控水平
三、完善制度,奖惩结合,落实创建各项措施
1、落实消防安全责任制:制定各岗位消防安全职责,学校逐级与消防安全责任人之间签订消防安全责任书。
2、建立、完善和落实消防安全规章制度:学校建立了《消防安 3
全宣传教育制度》《防火巡查、检查制度》《安全疏散设施管理制度》《消防器材、设施维护保养制度》、《灭火和应急疏散预案演练制度》。按照“安全第一,预防为主”的原则,要求各责任部门、责任人对安全工作做到“每天必查,有查必记,有患必除”,保证安全工作一项不漏,一个盲点不留,一个隐患不存。
3、坚持落实学校消防安全工作的考核机制。
4、完善消防基础设施:按国家规范配置灭火器,电器产品的安装、使用和线路敷设符合国家规范,无私拉乱接电气线路,学生宿舍内无违章用电的行为,疏散通道畅通,学生宿舍外窗无影响安全疏散和应急救援的栅栏,图书室、学校宿舍置火灾应急照明。
5、加强防火巡查、检查,及时消防火灾隐患:学校每月组织开展一次防火检查。防火巡查对查出的火灾隐患要及时整改。
6、制定应急疏散预案,适时组织开展演练:学校每年组织开展1-2次应急疏散预案演练。
四、以人为本,“三防”齐抓,构建创建工作网络、加强消防消安全宣传教育工作,强化“四个能力”建设。
1、将消防安全教育纳入学校的日常教学内容,每个学期每个班级都安排2节消防安全知识课。
2、每个学期组织学生接受一次消防安全教育。
3、在校园内或学生宿舍都有永久性消防安全宣传标语,在校园内开辟1个消防安全教育宣传栏。
4、学校组织开展了“消防安全宣传教育月”活动。向学生传授日常防火、火场逃生自救等消防常识。
五、输导结合,形式多样,重视法制宣教工作
采取多种形式,开展安全教育。学校利用升旗、班会、健康教育课对学生进行安全意识教育和自救自护的常识教育。组织师生开展消防疏散演练活动,教会学生火灾逃生自救的方法。
学校消防安全工作是学校工作的重要组成部分。做好这项工作是维护稳定大局的需要,是学校生存、发展的需要。我校消防安全工作,取得了一些成绩,但与上级领导的要求相比,与日益变化的客观形势要求相比还存在一定的差距。三年“防火墙”工程虽已结束,但我们绝不会松懈、放松警惕,我们仍将一如既往,加大工作力度,促使我校消防安全学校工作再上新的台阶。
2012年10月28日
点击咨询 