第一篇:防火墙的应用现状调查
防火墙的应用现状调查
1、防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
2、防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简单来说,今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
3、防火墙的任务
防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标
4、实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
5、创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。
6、记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。
7、限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
8、防火墙的功能
从防火墙的功能来说,主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止 SYN FLOOD 等; NAT;VPN ;路由;认证和加密;日志记录;支持网管等。
为了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持 DHCP SERVER,DHCP RELAY;支持动态路由,如RIP,OSPF等;支持拨号,PPPOE 等特性;支持广域网口;支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。
防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。
应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。但关键的是,它的性能比较差,从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。
此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其它技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
9、状态检测技术
状态检测技术要监视每个连接发起到结束的全过程,对于部分协议,如FTP、H.323等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。
状态防火墙可以对特定的协议进行解码,因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,因此处理速度很快。
状态防火墙还有一个特色是,当检测到SYN FLOOD攻击时,会启动代理。此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。
第二篇:防火墙技术的应用
防火墙技术的应用
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14页(共14页)
第三篇:初中信息技术应用现状调查及讨论
初中信息技术应用现状调查及思考
一、调查目的:
二、调查方法:
三、调查范围:
四、调查内容:
五、调查结果
学科教师调查结果
(一)教师对信息技术运用于教学所持的态度
(二)教师的信息技术能力和运用信息技术的情况
1、教师的信息技术能力
2、教师在教学过程中运用信息技术的情况
(三)教师培训情况
1、教师对培训所持态度
2、教师参加培训情况
3、教师对培训的期望
(四)教学资源使用情况
1、教师对教学资源的收集和利用情况
2、教师最需要的教学资源
信息技术学科教学及学生调查结果
1、教师负担过重,学生认识不足
2、学生在校应用信息技术情况(包括上课情况)
3、学生对信息技术学科的学习态度
六、主要结论与对策建议
(一)主要结论和问题
(二)对策建议
1、教学资源建设
2、为学科教师提供更高层次的培训机会
3、配置足够的专业教师,并大量培养具有较高水平的信息技术人才
4、制定切实可行的考核方式
5、为学生提供更多的使用计算机和网络的机会
二、教育信息化重在应用,教师及学生在教育信息化应用中应处于主体地位。为了深入了解各中学应用信息技术的情况,县教研室开展了对各中学信息技术应用情况的问卷调查。
一、调查目的:
通过对各中学学科教师在教学中应用信息技术的情况及学生在校应用信息技术的情况的调查,了解学科教师信息技术与课程整合的现状及存在问题,掌握学生对设备的使用情况,获得一线教师与学生对于信息技术的态度,使用信息技术水平、培训情况,对教学资源的占有和利用情况。
二、调查方法:
本次调查主要采取问卷调查、教师访谈、学生访谈等多种研究方法,该调查主要由县教研室负责组织和实施,主要分为两个部分:于2006年10月至2006年12月给各中学发放教
师问卷,其中填写问卷及接受访谈的教师中有35.9%来自城镇,64.1%来自农村,中青年教师占大多数。填写问卷及接受访谈的学生,30.1%来自城镇,69.9%来自农村。
三、调查范围:
高陵县13所中学教师及学生。
四、调查内容:
调查内容主要分为两大部分:
学科教师的调查包括:教师对信息技术应用于教学所持的态度、教师在教学中运用信息技术的情况、教师培训情况.教学资源占有和使用情况。
信息技术学科教学及学生调查包括:学校信息技术教师对该学科教学的态度、学生在校应用信息技术情况、学生对信息技术学科的学习态度。
五、调查结果
根据问卷设计,我们把调查结果分为两方面,一是学科教师调查结果,二是信息技术学科教学及学生调查结果。
学科教师调查结果
(一)教师对信息技术运用于教学所持的态度
在被调查的教师中,对信息技术运用于教学持各种态度的教师所占比例如下:认为信息技术对于教学很有用的教师占85.2%,认为较有用的教师占13.5%,还有1.3%的教师认为有点用,没有教师认为信息技术对于教学用处不大。调查数据表明,大多数教师已经意识到信息技术对于教学的有效促进作用。
(二)教师的信息技术能力和运用信息技术的情况
在信息化的教育环境中,一种新的基于资源型的学习方式无疑会成为重要的教学模式之一。在这种模式中,教师需要首先通过计算机和网络等信息工具获取相应的信息,对教学内容进行及时有效的补充和改进,以便提高教学质量,优化教学过程。教育信息化要求各学科教师具有良好的信息素养以及较强的运用信息工具的能力。为了解高陵县中学教师的信息技术能力,问卷及访谈针对教师对一些常用的软件、服务器的使用、掌握情况进行了调查,具体包括:文字处理软件、电子表格软件、演示文稿制作软件、多媒体课件使用、因特网使用和网络服务使用。
1、教师的信息技术能力
调查数据表明,大部分中学教师已经掌握了一些基本的软件工具(如WORD、POWERPOINT、EXCEL)的使用,具备了一定程度的信息工具运用技能,及课件制作能力。网络上有丰富的教学资源,为教师的教学带来了极大的方便,调查结果显示,经常使用因特网的教师占61.7%,其中在城市中学工作的教师占35.9%;对于各种网络服务的使用情况也比较好,其中在农村中学工作的教师中有40.1%都经常使用网络服务。这些数据一方面说明了教师的信息技术能力已有了较好的掌握,另一方面,农村中学也已经为教师提供了较好的信息技术运用的环境和条件。
2、教师在教学过程中运用信息技术的情况
信息技术作为工具进入教学过程是教育信息化的第一步,教师在教学中使用信息技术工具可以增加教学信息量,从而提高教学水平和效率。在这次调查中发现,教师在教学中对信息技术的运用比较理想。从调查数据来看,有51.2%的教师经常运用信息技术教学,43.2%的教师偶尔使用信息技术进行教学,不用信息技术教学的教师人数只占被调查教师人数的5.6%。调查发现,教师运用信息技术的目的主要是为充分发挥其优势,提高教学效率,并提高学生的学习积极性。大多数教师已经从内心深处把信息技术作为一种资源获取、加工、利用,深入到服务为教学的层面上。
(三)教师培训情况
1、教师对培训所持态度
由于传统教学方式对教师的影响根深蒂固,信息技术的发展日新月异,对于习惯于传统教学方式的教师来说,接受并主动在教学中运用信息技术无疑是一大挑战,要使教师尽快跟上教育信息化的步伐,首先要使其从观念上接纳信息技术并具有一定的信息技术能力,培训在这一过程中有着重要的作用。数据表明,绝大多数教师已经意识到培训的重要性。
2、教师参加培训情况
为提高教师的信息素养,高陵县积极组织中学学科教师参加各种培训,尤其是农村中学教师。调查结果显示90%以上的教师参加过信息技术培训,大多数教师参加的是校本培训,有一少部分教师参加过市县级培训,这与我县对教师培训所采取的以点带面的策略有关,首先由各校的骨干教师参加较高级别的培训,其次是骨干教师对各学校的一部分教师进行培训,最后由这些教师对全校教师开展校本培训,这种层层推进的培训方式不仅节省了培训经费,而且有利于培训工作的开展。
3、教师对培训的期望
由于大多数教师受原有知识结构的影响及相关学科教学经验的局限,在教学过程中,仍沿用传统教育的思想观念和教学模式,在知识信息呈现方式、教学方法和教学评价上没有实质性的转变。因此,为了尽快改变这种现状,应加大教师培训的力度。为了提高培训的成效,问卷针对培训的方式、时间征求了教师的意见,调查显示,在培训内容方面,有49.5%的教师认为应该在技术与理论结合方面接受培训,30.2%的教师认为培训应提供更多的范例与方法,期望在技术方法得到提高的教师占10.5%,另外还有8.8%的教师认为应该在理念方面接受培训;在培训方式方面,教师比较喜欢的培训方式是专家引领和经验交流;在培训的授课方式方面,大多数(约50%)认为应采取综合型的授课方式,32.4%的教师倾向于演示型的授课方式,也有一小部分教师期望提供讲授型和讨论型授课方式;在培训时间方面,有62.2%的教师认为培训时间应在七天以上,22.2%的教师认为五天的培训时间较合适,这一数据表明,要提高培训效果首先要给予时间上的保证。
(四)教学资源使用情况
1、教师对教学资源的收集和利用情况
新课改的理念是要为学生提供丰富的教学资源,多样化的学习环境,培养学生自主学习的能力和创新能力,资源建设问题成为制约教学改革实验的新瓶颈。调查结果表明,我县中学教学资源较为丰富,大多数(约58.2%)教师对资源的占有和利用较多,36.4%的学校拥有的教学资源比较丰富。这一现状极其有利于信息技术发挥其所蕴藏的教育潜能。
2、教师最需要的教学资源
调查数据显示,目前中学教师最需要的教学资源是优秀教学设计(50.0%),其次是教学软件(35.6%),接下来依次是典型课例(27.9%)、文本备课资料(18.1%),对教育理论著作的需求最低(16.0%)。这一状况与当前信息技术与课程整合的发展趋势以及新课改的实施需要是相适应的,新课改要求教师为学生提供丰富的学习资源,使学生能有效的运用信息技术进行创新学习,在这一过程中教师的角色发生了转变,教师已不再是资讯的传播者,而应该成为领航者,提供学习方法,作为学生学习时的重要指导和支持。因此,对优秀教学设计和教学资源的需求也是自然而然的。
信息技术学科教学及学生调查结果
1、教师负担过重,学生认识不足
在调查中发现,40%的信息技术教师认为自己的工作负担很重,除了担任教学工作之外,还担任了学校的打印、部室管理等其他工作。大多数教师认为每一所学校应根据年级和班级的数量配备2—3位计算机教师,而计算机教师的工作量应为每周12课时左右。
此外,信息技术教师还认为要使学生能够真正的掌握并重视该课程,学校或有关部门应确立
一种有利于学生学习的考核方式,以此引起学生对于该课程的实用性的认识及重视。
2、学生在校应用信息技术情况(包括上课情况)
学生在校使用计算机时间基本上不超过1小时,只有个别学校有课外兴趣小组,对于课外小组的一小部分学生也只开放2个小时。计算机课程开设均为每周一节,有70%以上的学校能够保障80%以上的时间用来上机操作,但仍有个别学校上机时间所仅占到50%,甚至还不到。可见,各中学学生在校以及课外使用学校计算机的时间是非常少的,这样极不利于学生掌握信息技术的实际操作技能。
3、学生对信息技术学科的学习态度
在调查中,80%以上的学生对信息技术学科都非常感兴趣,并且希望能够熟练掌握其操作技术。在新入学的学生当中有40%左右已经学过,也有40%左右基本上没有接触过,但大多数学生希望能够学习到一些比较实用的计算机操作技术及信息搜集技术,以此来帮助自己在其他各门功课上的学习。
六、主要结论与对策建议
(一)主要结论和问题
调查的数据表明,我县中学的信息化建设是比较好的,在日常学科教学中使用计算机的机会也比较多;学科教师的培训情况也实行的较为完善;学校的资源建设也相对比较丰富,资源的使用率基本上能达到要求;但也存在一定的问题,各中学的学科教师在市县级的培训项目较少;计算机教师的工作不够专一,不能做到专人专用;学校的考核方式不够科学合理,不利于学生的学科学习及自学能力的培养;学生的上机时间太少,无法将所学的操作技能熟练掌握。
调查结果反映出,在中学教育信息化过程中,教师虽然已经充分认识到其重要性,并能较好的应用,但是学生还是没有成为信息化应用的主体。信息技术作为一种新的教学手段,虽然已经改变了教师的教学方式,提高教师的教学效果;但是并没有改变学生的学习方式,促进学生综合素质的发展。因此,当前中学教育信息化要转变思路,采取相应措施,迅速实施教育信息化的发展策略。
(二)对策建议
虽然有部分学校投入了一部分资金对硬件和软件进行建设,设备有一定的规模和层次,学校开展信息技术教育的情况是比较好的,而且教师都能充分利用这些软硬件资源进行教学,提高了教与学的质量,促进了教与学观念的转变,培养了学生的信息素养,但这种学校只占很少一部分。大部分中学在学生应用和信息技术学科教学上还存在一定的问题,尤其是农村中学。根据前面的分析结果,对我县信息技术建设提出几点建议:
1、教学资源建设
教学软件和教学信息资源库的建设虽有一定的成绩,但还需要进一步加强。问题的主要原因是:技术与教学结合不够,技术有待于进一步提高。在信息技术的实践中,人们总是把技术和教学实践割裂开来,将重心要么倾注在技术上,要么倾注在传统教学上。表现在:深入课堂的教师了解教学的重点和难点,但制作课件和其他教学软件时技术上不能得心应手;而技术过硬的教辅人员或专业技术人员能够制作出自己理想的教学软件,却因为没有深入课堂而使制作的课件或其他教学软件不能紧贴教学,不能反映出教学的重点和难点;商品化的教学软件多数是作为自学的工具,因此,课件的适用度不高。为解决这一难题,笔者提出了两点建议,首先要加强校本教学资源建设,鼓励教师结合教学实际,制作符合学生认识特点、具有本土特色的教学软件;其次资源建设应由学校向区域提升,避免重复建设,实现信息共享,这一过程要实现以下几个转变:(1)从教师做课件的个体行为提升为新一代优秀教师跨学科、跨学校共同创建教学网站深化教学资源的群体行为;(2)从教师闭门设计教学提升为师生共同探索、创造新型学习模式;(3)从学校各自为政的封闭竞争转向以区域为基础的校际联盟。
各中学可根据自己的实际情况选择相应的方式,如建立学校信息技术资源库,为各学科教师提供信息资源,鼓励各学科教师为资源库提供相应的资源,此外还可通过多媒体教学设备,定期更换教育教学资源,解决教育资源共享问题。
2、为学科教师提供更高层次的培训机会
在以信息技术推进教育改革与发展的进程中,世界各国普遍意识到了教师培训这一环节的重要性,它可以促进教师教育观念的转变,提高对培养学生创新精神和实践能力重要性和迫切性的认识。不同层次的培训能够使教师受到不同的启发和收获,而现在我们所进行的校本培训虽然能够使教师在理论和技术上得到一定的提高,但是如果学科教师能够接受更高层次的培训,那么,对于我们转变教育观念,更新教育理念,转换教育方式,提高教育教学效果,培养学生的综合素养一定会取得更加良好的效果,因此,笔者认为各中学应根据本校的实际情况多组织学科教师参加高层次的培训活动。
3、配置足够的专业教师,并大量培养具有较高水平的信息技术人才
信息技术课程是一门非常重要的技术应用课程,学生除了需要掌握必要的信息技术理论之外,更重要的是要熟练掌握其操作应用技能。然而在现实的教育教学过程中,大多数学校的计算机教师被挪为它用,教师的劳动量远远大于课时量,而且学校的打印等工作使得教师无暇顾及教学,降低了教师在教学中的作用,教学效果显著下降。因此,学校很有必要配置足够的专业教师,以减少计算机教师的课业负担,使其能够专心于教学过程。此外,学校还可以通过培训,使学科教师能熟练掌握信息技术,以减轻专业教师的负担。
4、制定切实可行的考核方式
在现在的教育制度下,考核方式的形式直接影响着学生学习的态度既、学习的方式及学习的效果。合理而有效的考核方式自然有利于学生的学习,然而,现在各中学的信息技术考核方式都不一样,而且不能促进学生的学习。因此,各学校都必须根据实际情况,制定一系列切实可行的考核方式。在调查过程中,笔者咨询了许多信息技术教师,大多数教师认为,应该采取上机操作与理论考核相结合的方式;而且,要使学生真正的重视并掌握信息技术技能,教育局或学校应进行统一的规范的考试。
5、为学生提供更多的使用计算机和网络的机会
学生在学校应用信息技术的最大困难是使用计算机和网络的时间少,计算机还没有以一种学习工具的姿态走向普通学生。调查表明,学校计算机课余不对学生开放的原因主要有时间排不开、管理维护人员不足、担心机器受损等。各中学应通过加强管理,统筹安排,最大限度地提高计算机和校园网的使用效率,给学生提供尽可能多的使用计算机和网络的机会。因为当前信息技术的发展很快,计算机也在不断更新换代,信息化设备不充分利用就是对资源的一种浪费;同时学生只有拥有充足的时间熟练掌握了信息技术之后,才能改变学习方式,让信息技术真正的为学习服务。
第四篇:应用防火墙的物理安全策略
应用防火墙的物理安全策略
应用防火墙的物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
应用防火墙抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
应用防火墙的物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
应用防火墙抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
第五篇:21边界防火墙的应用
在上一篇中我们对防火墙的主要技术及设计模式进行较详细的介绍,大家已对防火墙从技术深度有一个理性认识。本篇要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到防火墙的一些具体应用方式,为我们配置自己企业防火墙的应用打下基础。当然这里所说的防火墙仍是传统边界防火墙,不包括后面将要介绍的个人防火墙和分布式防火墙。首先介绍的是防火墙的几种典型应用拓扑结构。
一、防火墙的主要应用拓扑结构
边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。
传统边界防火墙主要有以下四种典型的应用环境,它们分别是:
●控制来自互联网对内部网络的访问
●控制来自第三方局域网对内部网络的访问
●控制局域网内部不同部门网络之间的访问
●控制对服务器中心的网络访问
下面分别予以介绍。
1、控制来自互联网对内部网络的访问
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业,采用防火墙的目的就是这个。
在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常的访问。或许有人问,这样的话,这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处:一则可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用,节省了企业投资成本。
在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单位原有网络设备情况而定。
如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。
如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。
图1
图2
2、控制来自第三方网络对内部网络的访问
这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。
在这种防火墙应用网络环境中,根据企业是否需要非军事区(放置一些供第三方网络用户访问的服务器)可以有两种具体的网络配置方案:
(1)需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样,整个网络同样可分为三个区域:
内部网络:这是防火墙要保护的对象,包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域,需对第三方用户透明隔离(透明是指“相当于不存在的”意思)。
外部网络:防火墙要限制访问的对象,包括第三方网络主机和设备。为防火墙的非可信网络区域。
DMZ(非军事区):由企业内部网络中一些外部服务器组成,包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。
需要保护的内部网络和DMZ区的安全策略也是不同的:需要保护的内部网络一般禁止来自第三方的访问,而DMZ则是为第三方提供相关的服务,允许第三方的访问。
同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构,保护内网安全。
我们仍考虑企业原有边界路由器设备,通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上,而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器,则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上,构成多宿主机模式。
(2)、没有DMZ区:此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接,作为内部网络的一部分,只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是,这种配置可能带来极大的安全隐患,因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机,并以此为据点,进而破坏和攻击内部网络中的其它主机/服务器等网络资源。
以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样,在这种应用环境中,同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下,企业同样可以没有边界路由器。如果没有边界路由器,则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变,此时如图3和图4所示网络中,防火墙须直接与第三方网络连接,DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意,如图3所示的网络结构中,DMZ区就相当于没有任何保护,其实也称不上“DMZ区”,所以在企业没有边界路由器的情况下,通常不采用如图3所示网络结构,而是采用图4所示结构,把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起,只是在防火墙上对这些公众服务器进行特殊权限配置即可。
图3
图4
3、控制内部网络不同部门之间的访问
这种应用环境就是在一个企业内部网络之间,对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等,在这些部门网络主机中的数据对于企业来说是非常重要,它的工作不能完全离开企业网络,但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置,但这种方法需要配置三层以上交换机,同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的配置(比起VLAN来简单许多)。通过防火墙隔离后,尽管同属于一个内部局域网,但是其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的,而且还要对用户身份的合法性(在防火墙中可以设置允许哪此些用户访问)进行识别。通常为自适应代理服务器型防火墙,这种防火墙方案还可以有日志记录功能,对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。
图5
4、控制对服务器中心的网络访问
对于一个服务器中心,比如主机托管中心,其众多服务器需要对第三方(合作伙伴、互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,其安全策略也各不相同。如果把它们都定义在同一个安全区域中,显然不能满足各用户的不同需求,这时我们就得分别设置。要按不同安全策略保护这些服务器,可以有两种方法:
(1)、为每个服务器单独配置一个独立的防火墙,网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易,但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火,对托管中心来说投资非常之大;而且托管中心管理员面对这么多防火墙,其管理难度可想而知。
图6
(2)、采用虚拟防火墙方式,网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能,先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙,其最终效果如图6一样。这种方案虽然配置较为复杂,但是这也只是首次配置,一旦配置好了,其后的使用和管理就相当方便了,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且这种方案在现实中比较经济可行。
图7
二、防火墙的应用配置
在传统边界防火墙应用配置中,最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。下面具体介绍。
1、DMZ(非军事区)应用配置
DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到,由此可见它非常重要,为此我们有必要再次对这样一个防火墙技术进行更深入的研究。
DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙,只是在此想充分利用企业原有设备,节省企业投资。
之所以要把DMZ区放在边界路由器与防火墙之间,那是因为边界路由器作为网络安全的第一防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常它不会设置的太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问到这些服务器,达不到公共服务的目的。
图8
以上所介绍的是一种典型网络应用环境,有些企事业单位用户网络,可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源,如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口;内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等),当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。
图9
如果企业没有边界路由器,则外部DMZ区就要单独放置在主防火墙的一个LAN端口上,这也就要求主防火墙具有2个以上LAN接口,因为内部DMZ区也需与主防火墙的一个LAN接口单独连接,以此来配置多宿主机模式。其它连接如图9一样。
典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度,提高网络连接性能。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上,不可进入内部DMZ区,更不可能进入受保护的内部网络之中。
VPN(虚拟企业专网)是目前最新的网络技术之一,它的主要优点通过公网,利用隧道技术进行虚拟连接,相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右),加上随上VPN技术的发展,VPN通信的安全问题已基本得到解决,所以目前它是一种企业首选通信方式,得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。
在防火墙网络中对VPN服务器进行配置的方法有两种:
(1)、传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界
2、VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,把VPN服务器放置在外部DMZ区中。
(2)、使用VPN专用防火墙
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。
图10
3、DNS
DNS服务器可为互联网提供域名解析服务,对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息,如用户主机名和IP地址等。正因如此,对DNS服务器要采取特别的安全保护措施。
为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务,需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上,则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子:
图11
在这种典型防火墙DNS服务器配置网络结构中,内部DNS服务器专用来为内部网络系统进行名称解析,使得内部网络用户可以通过它连接到其它内部系统,其中就包括内部防火墙和内部DMZ;外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字,但不能解析出内部网络系统主机的名字。
6、入侵检测
安全检测是信息保障的一个重要环节,也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。
入侵检测系统(Intrusion Detection System,IDS)能够对网络中未经授权用户的访问进行报警,某些时候还能够通过其它手段预防这种非法网络行为。它只能发现已发生的非法访问,而且检测本身不能提供安全保护的作用,但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动,一旦入侵检测发现攻击行为,它可以通知防火墙修改安全规则,阻止后续的攻击网流。
入侵检测方式目前主要分为三类:基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。
建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上,以检测主机应用层次的网络攻击行为,尤其是基于用户的攻击行为检测。这属于一种高级的入侵检测手段,它所检测的范围覆盖整个网络和应用。必须清楚,这两类产品有极大的安全缺陷:
(1)、时间上的滞后性,由于它们的检测资料来源是主机操作系统/应用的日志记录,因此难以做到实时反应;
(2)、其检测分析结果的准确性完全依赖于主机操作系统日志记录的全面性和准确性;
(3)、占用较多主机资源。
如果防火墙具有一定的入侵检测功能,则可以在主防火墙上打开此功能,在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。
部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通,则可以发挥它们之间的联动功能,提高安全效率。
在漏洞和病毒检测方面,边界防火墙比较难以实现,而在个人防火墙和分布式防火墙中却较容易。因为它们之中软件功能非常强大,而且还可以实时自动联网升级。以实现对最新的系统和病毒进行跟踪检测的目的,最大限度地保证检测的有效性。所以在个人防火墙就有好几种防火墙的叫法,如病毒防火墙、网络防火墙和邮件防火墙等。从这些名字我们要吧看出这些防火墙的主要功能。
好了,关于防火墙的主要应用网络结构及应用配置就介绍至此。下一篇将介绍防火墙的一些最新技术,敬请关注!
点击咨询 