第一篇:企业内部网中防火墙的应用与发展
防火墙从原理上主要有三种技术:包过滤(Packet Filtering)技术、代理服务(Proxy Service)技术不和状态检测(State Inspection)技术。
3.1.1 包过滤(packet Filtering)技术
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则,对通过设备的数据包进行检查,限制数据包在内部网络的进出。由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机,才能进行过滤,因而,包过滤技术必须用在路由器上。它通常由包过滤路由器对IP包进行选择,允许或拒绝特定的包通过。包过滤技术具有数据包过滤对用户透明、一个过滤路由器能协助保护整个网络、过滤路由器速度快、效率高等优点。
包过滤技术的缺点:配置访问控制列表比较复杂,要求网络管理员对Interne服务有深入了解,其性能随访问控制列表的长度的增加而呈指数下降,没有跟踪记录能力,不能从日志记录中发现黑客的攻击记录,不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用,只检查地址和端口,对通过网络应用链路层协议实现的威胁无防范能力,无法抵御数据驱动型攻击不能理解特定服务的上下文环境和数据包过滤防火墙技术虽然能实现定的安全保护,但有许多优点,但是包过滤毕竟是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。在实际应用中,很少把包过滤技术当作单独的安全解决力案,而是把它与其他防火墙技术结合在一起使用。
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如(如图3-4),telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢? 由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
还有一种情况,你可以命令防火墙拒绝那台PC机的信息,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。3.2.2.2 服务器TCP/UDP 端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用 telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
图3-3 服务器的TCP/ UDP端口过滤
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
图3-4 客户端的TCP/ UDP端口过滤 3.2.2.4 双向过滤
现在换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果我们知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:(如图3-5)比如,(如图3-3),默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。但这样,我们还是不能把IP地址和目标服务器TCP/UDP端口结合起来作为过滤标准来实现相当可靠的防火墙。3.2.2.3 客户机TCP/UDP端口
第二篇:企业内部网中防火墙技术的应用于发展
企业内部网中防火墙技术的应用于发展
摘要:
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信心和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络之间的一道防御系统。在IT安全领域,防火墙是一个重要的角色,通常被部署在企业网络和外部互联网中间,来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。本文对防火墙的概念、保护对象、保护功能的实现、分类、如何选购和使用防火墙以及防火墙的发展做了简单的概述。关键字:防火墙 企业内部网 应用 发展
一.防火墙的概念
防火墙(Firewall)在网络中是一个逻辑装置,用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙,就是一个或一组系统,用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外,但又不影响正常工作。其核心思想就是在不安全的网络环境中构造一个相对安全的子网环境。
二.防火墙的保护对象以及如何实现保护功能
从广义上讲,防火墙保护的是企业内部网络信息的安全,比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行物理隔离来实现的,然后根据预先定制的安全策略控制通过防火墙的访问行为,从而达到对企业内部网络访问的有效控制。防火墙通常有两种工作模式:网桥模式和路由模式。
如果防火墙安装在企业内网与因特网之间作为安全屏障,最好选择路由模式,在该模式下可以使用防火墙的网络地址转换功能和代理功能,充分保护企业网络免受来自互联网的攻击。如果需要保护同一子网上不同区域(部门)的主机,可选择网桥模式,这时,原来的网络拓扑结构无须做任何改变。比如,企业的财务部是企业重要部门,即使内部员工也不允许随便访问,因此,需要特别的保护。但企业网络已经建成,相应改造会带来许多工作。此时,就可以选择防火墙的网桥工作模式,既不用改造企业网络结构,也可以在没有经过防火墙授权的情况下,禁止非法人员访问财务部的主机。如此一来,起到了局部信息保密和保护的效果。
其实,对内外网之间通过防火墙的的不当访问行为,防火墙都是非常敏感的。即使是内部员工,如果违反企业的安全策略,一样会被防火墙及时的阻止并通告网络管理员。比如具有MAC地址绑定功能的瑞星企业级防火墙RFW-100,它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定,能够有效阻止用户通过修改IP地址所进行的非授权访问。此外,防火墙还支持双向网络地址变换:源地址变换(SNAT)和目的地址变换(DNAT)。通过源地址变换,使外部网络无法了解内部网络的结构,从而提高了内网的安全性;同时,通过源地址变换,可以节省IP地址资源(内网主机可全部使用私有地址)。瑞星企业级防火墙RFW-100允许管理员定义一个时间范围,使该条规则只在这一时间范围内起作用。通过这种控制机制,可以为企业提供更加灵活的配置策略,例如,可以定义规则只允许公司市场部员工和经理在任何时间访问因特网,而其他部门员工只允许在午休时间访问互联网。具有这项功能不仅为企业节省了一大笔的网络接入费,而且也提高了内网的安全防范能力 三.防火墙的分类
防火墙有很多种分类方法:依据采用的技术的不同,防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙;按照应用对象的不同,防火墙产品可分为企业级防火墙与个人防火墙;根据防御方式的不同,防火墙产品又可分为包过滤型(Packet Filtering)防火墙、应用级网关型(Application Level Gateway)防火墙和代理服务型(Proxy Service)防火墙。
四.如何选购和使用防火墙产品 为了提高防火墙的安全性,用户可以将防火墙和其他安全工具相结合,例如和漏洞扫描器与IDS搭配使用。购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持哪些品牌和型号,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。保护网络安全不仅仅需要防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。
安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,只有保持不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,要与厂商保持密切的联系,时刻注视厂商的动态,时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁,对它进行升级和维护,及时对防火墙进行更新。
五.防火墙的发展
没有人怀疑防火墙在企业所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。原因有三,首先是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。其次是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法应对复杂的攻击。最后是传统的防火墙无法区分识别善意和恶意的行为,该特征决定了传统的防火墙无法解决恶意的攻击行为。
新一代防火墙是应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。新一代防火墙既有包过滤的功能,又能在应用层进行代理。较传统的防火墙来说,具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理,TCP/IP协议和代理的直接相互配合,使本系统的防欺骗能力和运行的健壮性都大大提高;除了访问控制功能外,新一代的防火墙应当还集成了其它许多安全技术,如NAT和VPN、病毒防护等。
结束语:一个计算机网络,从应用层到网络层直至物理层都存在安全问题。防火墙只是整个网络安全防护体系的一部分,其他的防护措施和技术,如密码技术、访问技术、权限管理、病毒防治等,对网络安全都相当重要,也只有运用先进认证技术,并在网络层上实施统一的端对端的数据流加密技术,同时结合防火墙技术进行必要的内容检测、攻击检测,以及再结合其他一些手段,才能真正解决内部网络的安全问题,并最终提供一套一体化的解决方案。
虽然防火墙在保护网络的安全上起着重要的作用,但并非有了防火墙就可以高枕无忧。防火墙需要经常性的动态维护,并随时关注网络安全的新问题、新动向,及时采取相应的预防措施,最大限度地保障网络的安全。
防火墙安全测试技术、测试工具和软件都在不断发展,并越来越受到人们的重视。但是,日前由于测试水平及测试手段的限制,很难证明防火墙的安全保护能力是否满足安全政策的需要。
未来防火墙技术会在全面考虑“网络的安全”、“操作系统的安全”、“应用程序的安全”、“用户的安全”和“数据的安全”的基础上,将它们结合起来,成为一种更新的信息安全产品。企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保企业的顺利成长。
第三篇:轨道交通企业内部网OA的应用介绍[范文]
摘 要 随着我国信息化建设的速度加快,计算机信息技术在企业内得到了充分的应用。天津滨海快速交通发展有限公司为解决办公条件与环境,提高员工的办公质量和工作效率的问题,在公司内全面推进oa系统,使公司的管理走上规范化、科学化、网络化的台阶。这极大地推进了城市轨道交通有限公司事业的发展。企业结合公司的文化,开发制定出具有企业特色的oa系统平台,该系统的应用梳理了办公流程,提高了分散办公的公文流转速度,给公司的管理带来了明显的效益,并提升了公司的形象。本文主要介绍了项目背景优势、系统应用及意义。
关键词 轨道交通 企业内部网 oa
一、oa办公系统
(一)oa办公系统的介绍
近年来,随着网络技术的迅速发展和普及,通过利用先进的网络资讯技术实现办公自动化的解决方法被称为网络办公自动化解决方案。下文简称oa系统。
oa办公自动化,oa是office automation的简写,是利用电脑进行全自动的办公模式,目的是提高工作效率。日常工作的所有内容都可以归入oa处理的范畴,如文字处理、文件誊写、传真、申请审批、办公用品、公文管理、会议管理、资料管理……这些都是日常办公工作的处理范围。从广义的角度讲,提高日常工作效率的软硬件系统包括打印机、复印机以及办公软件,这些都可以成为oa系统的一部分。从狭义的角度讲,oa系统是处理组织内部的事务性工作,也是辅助管理,提高办公效率和管理手段的系统。
(二)oa办公系统的优势
首先,它能极大地提高工作效率,节省公司的运营成本,包括时间和纸张。它也使传递信息的速度加快,突破时间和空间限制,办公不再受时间和地点的约束,可以实现移动办公。工作人员不用拿着各种文件、申请单、单据在各部门跑来跑去,等候审批、签字、盖章,这些都可在网络上进行,尤其适合办公地点分散的企业。其次,规范单位管理,把一些弹性太大不够规范的工作流程变得井然有序,如公文会签,计划日志,用款报销等工作的审批都可在网上进行。第三,可以提高企业的竞争力和凝聚力,这让员工与上级的沟通很方便,反馈信息会很畅通,为发挥员工的智慧和积极性提供了舞台。无疑将大大增强企事业单位内部的凝聚力。第四,决策变得迅速科学,高层决策不再是不了解情况,在缺乏数据的环境下拍脑袋的事,而是以数据和真相为依据做出的科学的决策。
二、oa办公系统的应用
针对滨海快速交通发展有限公司办公业务地点分散,报送纸板公文和传真不便的背景,制定出符合企业需求的滨海快速智能办公系统。oa的运行不仅提高个人的办公效率,更重要的是可以实现群体信息的交流,实现信息快捷交换和高集成度的工作协同,节约了企业的成本、提高了工作效率。
(一)系统模块组成
第一,个人事务处理系统。其包含待办事项、电子邮件、个人文档、个人通讯录以及日程安排。第二,日常办公系统。作为日常公文的主要应用模块,实现了电子审批发放公文、请示。其包括了文件发放管理、文件接收管理、报告请示公文管理、领导监督、通知管理、会议管理以及档案管理。第三,资源管理。这一项中包含信息摘要、信息共享、法律法规、会议室、文件库和资料库。第四,辅助模块管理。包含基本的物品管理、用车管理、图书管理、值班管理、接待管理和资产管理。第五,系统管理。这一模块是办公自动化系统中最后一项,其包含的是更多的管理。例如,用户管理、部门管理、授权管理、备份管理等。以上五个模块主要构成成了计算机网络办公自动化系统,其功能要比传统的现代化办公系统强大得多。
通过定制模块功能可以实现将信息采集、查询、统计等功能与具体业务密切关联的目标,高管只需点击按钮就可以得到想要的结果,从而极大或极快地方便了公司的管理和决策。
(二)门户应用
丰富的门户应用,通过单点登陆、信息整合、流程整合、应用整合等门户技术为用户提供一站式的统一登陆,一站式的信息集成,一站式的流程审批,一站式的应用整合。企业能够自主规划和量身定制各类知识管理体系,进行分布式管理与扩展式应用。基于配置的应用集成中间件,通过配置便可与各种业务系统集成,实现账户、信息、流程、应用等的集成整合。
三、oa办公系统技术支持介绍
(一)技术集成
报表定义可定义多种类型的报表。例如,数值报表、分组报表、交叉报表、图形报表等。基于配置的应用集成中间件,通过配置便可与各种业务系统集成,实现账户、信息、流程、应用等的集成整合。它支持各种主流数据库,包括db2、oracle、sybase、ms sql等。
(二)自定义技术
oa系统可以自定义公文格式与工作表格,让用户可以根据自己的需求进行自我设计,这不但简化了系统的维护,还摆脱了对开发商的依赖,提升了系统的通用性,这一特性赋予了办公自动化系统更加顽强的生命力。系统的修改编辑界面也直接与office办公软件相连接,突出了系统的通用性。全b/s结构的图形化工作流,流程的设计和管理形象直观,简单易用。强大的流程嵌套可以方便地把庞大、复杂的流程分解成相对独立的逻辑清晰而易管理的可复用的多个子流程。
(三)安全机制
四、oa办公系统的意义
(一)建立发布信息的平台
在内部建立一个有效的发布和交流信息的场所。例如,电子公告、电子论坛、电子刊物,使内部的规章制度、新闻简报、技术交流、公告事项等能够在企业或机关内部员工之间得到广泛的传播,使员工能够了解单位的发展动态。
(二)实现工作流程的自动化
这牵涉到流转过程的实时监控、跟踪,解决多岗位、多部门之间的协同工作问题,从而实现高效率的协作。各个单位都存在着大量的流程化的工作。例如,公文的处理、收发文、各种审批、请示、汇报等都是流程化的工作,通过实现工作流程的自动化就可以规范工作,提高单位协同工作的效率。
(三)实现文档管理的自动化
第四篇:防火墙技术在企业财务管理系统中的应用
防火墙技术在企业财务管理系统中的应用
2010-06-10 09:02:02 作者:韩晓 来源:万方数据 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据 关键词: 防火墙企业防火墙防火墙功能信息安全代理服务器
目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。
1、防火墙技术
1.1防火墙的基本概念
防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。
1.2防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
1.3防火墙的功能
防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署www.xiexiebang.com)原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
第五篇:浅谈办公网络中防火墙的应用
浅谈办公网络中防火墙的应用
作者:未知 文章来源:网络 点击数:80 更新时间:2008-6-23 发表文章 全站搜索 收藏本文 QQ书签 百度收藏
摘要: 随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。本文就办公网络中应用最多的防火墙技术做了探讨。
关键字:计算机网络; 网络安全;
防火墙技术
一、前言
企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。
针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。
二、防火墙技术概述
1.防火墙的基本概念
防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
2.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
3.防火墙的功能
一般来说,防火墙具有以下几种功能: ①能够防止非法用户进入内部网络。
②可以很方便地监视网络的安全性,并报警。
③可以作为部署 NAT(Network Address Translation,网络地址变换)的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。
④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署 WWW服务器和 FTP 服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
4.防火墙的分类
①包过滤型防火墙,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
②代理服务器型防火墙
代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/IP功能。一个代理服务器实际上是一个为特定网络应用而连接两个网络的网关。
③复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
三、办公网络防火墙的设计
1.防火墙的系统总体设计思想
1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
1.2制定网络安全策略
在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
1.4设计代理服务
代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。1.5 严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于DOD(Department of Defense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IP Tunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。
本例中网络环境为:内部网络使用的网段为192.168.1.0,eth0为防火墙与Internet接口的网卡,eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下:
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW,FTP,Telnet,SMTP等.我们以WWW包过滤为例,来分析这类数据包过滤的实现.WWW数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器,(假定其IP地址为192.168.1.11)。
要实现上述WWW安全规则,设置WWW数据包过滤为,在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙eth 1端允许所有来自内部网络WWW数据包通过。
#Define HTTP packets
#允许Internet客户的WWW包访问WWW服务器
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.1.11/32 www-i eth0 –j ACCEPT
/sbin/ipchains-A input-p tcp-s 0.0.0.0/fl 1024:-d 192.168.1.11132 www-i eth0 –j ACCEPT
#允许WWW服务器回应Internet客户的WWW访问请求
/sbin/ipchains-A input-ptcp-s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT
/sbin/ipchains-A input-p udp-s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT
显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。
与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则;
2.2与服务无关的安全检查规则
这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点:
①数据包完整性检查(Tiny Fragment):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP ; always defrayments set to‘y’。REDHAT检查进人的数据包的完整性,合并片段而抛弃碎片。②源地址IP(Source IP Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。
③源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包。
总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。
参考文献:
[1]张 晔,刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用, 1999
[2]王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001 [3]郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001
[4]Anthony Northup.NT Network Plumbing: Routers, Proxies, and Web Services [M].New York: IDG Books Worldwide, 1998.[5](美)Chris Hare Karanjit Siyan.Internet防火墙与网络安全.北京:机械工业出版社,1998
点击咨询 