第一篇:毕业论文(防火墙的技术与应用)
* * * * 学院
毕业论文
课题名称: 防火墙的技术与应用 作 者: 学 号: 系 别: 电子工程系 专 业: 指导教师:
20**年**月**日
中文摘要
防火墙的技术与应用
摘要
计算机网络安全已成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒,计算机黑客攻击等问题。网络安全问题有其先天的脆弱性,黑客攻击的严重性,网络杀手集团性和破坏手段的多无性,解决网络安全问题重要手段就是防火墙技术。走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径。防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文重点介绍防火墙技术的基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packet filtering),它的代表是在筛选路由器上实现的防火墙功能;一种是基于代理技术(Proxy),它的代表是在应用层网关上实现的防火墙功能。
关键词:网络安全;防火墙;技术;功能
I 郑州电子信息职业技术学院2011届毕业论文
目 录
中文摘要.................................................................I 1 引言..................................................................1 2 网络安全概述..........................................................1 3 协议安全分析..........................................................2 3.1 物理层安全........................................................2 3.2 网络层安全........................................................2 3.3 传输层安全........................................................3 4 网络安全组件..........................................................3 4.1 防火墙............................................................3 4.2 扫描器............................................................3 4.3 防毒软件..........................................................3 4.4 安全审计系统......................................................3 4.5 IDS...............................................................4 5 网络安全的看法........................................................4 5.1 隐藏IP地址有两种方法.............................................5 5.2 更换管理及账户....................................................5 6 防火墙概述............................................................5 6.1 防火墙定义........................................................5 6.2 防火墙的功能......................................................5 6.3 防火墙技术........................................................6 6.4 防火墙系统的优点..................................................7 6.5 防火墙系统的局限性................................................7 7 结论..................................................................8 参考文献.................................................................9 致 谢..................................................................10 郑州电子信息职业技术学院2011届毕业论文 引言
随着网络技术的普遍推广,电子商务的开展,实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足,日益庞大的网络用户群同样需要掌握网络安全知识。由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡次发生,一些黑客把先进的计算机网络技术,当成一种犯罪工具,不仅影响了网络的稳定运行和用户的正常使用,造成许多经济损失,而且还会威胁到国家的安全,一些国家的机密被黑客破坏造成网络瘫痪。如何更有效地保护重要信息数据,提高计算机网络的安全性已经成为世界各国共同关注的话题,防火墙可以提供增强网络的安全性,是当今网络系统最基础设施,侧重干网络层安全,对于从事网络建设与管理工作而言,充分发挥防火墙的安全防护功能和网络管理功能至关重要。网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到了保护,不因偶然的或恶意的原因而遭受到破坏、更改、泄露、系统正常地运行网络服务不中断,网络安全的定义从保护角度来看,是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义上来说,凡是涉及到计算机网络上信息的机密性,完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。
网络安全的具体含义会随着“角度”的变化而变化,比如:从个人的角度来说,凡是涉及到个人隐私的信息在网络上传输时受到机密性完整性和真实性的保护避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
网络安全应具有以下五个方面的特征:机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到授权的实体才能修改数据,并且能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。
从管理者角度说网络信息的访问读写操作受到保护和控制避免病毒侵入,非法存取、非法占用、非法控制等威胁,防止网络黑客的攻击,对安全保密部门来说,对于非 郑州电子信息职业技术学院2011届毕业论文
法的有害的或涉及国家机密的信息进行过滤和防止,对社会造成危害,对国家造成巨大损失的机要信息的泄漏进行防止,做到杜绝。
现在全球普遍存在缺乏网络安全的重要性,这导致大多数网络存在着先天性的安全漏洞和安全威胁,使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素,存在着一些漏洞网络的普及使信息共享达到了一个新的层次,信息被暴露的机会大大增多,特别是Internet网络就是一个不设防的开放大系统,近年来,计算机犯罪案件也急剧上升,计算机犯罪是商业犯罪中最大的犯罪类型之一,每年计算机犯罪造成的经济损失高达50亿美元,在信息安全的发展过程中企业和政府的的要求有一致的地方,也不有一致的地方,企业注重于信息和网络安全的可靠性,政府注重于信息和网络安全的可管性和可控性,在发展中国家,对信息安全的投入还满足不了信息安全的需求,同时投入也常常被挪用和借用。协议安全分析
3.1 物理层安全
物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用,如:设备老化、设备被盗、意外故障,设备损毁等。由于以太局域网中采用广播方式,因此在某个广播域中利用嗅探器可以在设定的侦听端口侦听到所有的信息包,并且对信息包进分析,那么本广播域的信息传递都会暴露无遗,所以需将两个网络从物理上隔断同时保证在逻辑上两个网络能够连通。3.2 网络层安全
网络层的安全威胁主要有两类:IP欺骗和ICMP攻击。IP欺骗技术的一种实现方法是把源IP地址改成一个错误的IP地址,而接收主机不能判断源IP地址的正确性,由此形成欺骗,另外一种方法是利用源路由IP数据包让它仅仅被用于一个特殊的路径中传输,这种数据包被用于攻击防火墙。
ICMP在IP层检查错误和其他条件。ICMP信息、对于判断网络状况非常有用,例如:当PING一台主机想看它是否运去时,就产生了一条ICMP信息。远程主机将用它自己的ICMP信息对PING请求作出回应,这种过程在网络中普遍存在。然而,ICMP信息能够被用于攻击远程网络或主机,利用ICMP来消耗带宽从而有效地摧毁站点。
郑州电子信息职业技术学院2011届毕业论文
3.3 传输层安全
具体的传输层安全措施要取决于具体的协议,传输层安全协议在TCP的顶部提供了如身份验证,完整性检验以及机密性保证这样的安全服务,传输层安全需要为一个连接维持相应的场景,它是基于可靠的传输协议TCP的。由于安全机制与特定的传输协议有关所以像密钥管理这样的安全服务可为每种传输协议重复使用。现在,应用层安全已被分解成网络层、操作系统、数据库的安全,由于应用系统复杂多样不存在一种安全技术能够完全解决一些特殊应用系统的安全问题。网络安全组件
网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。4.1 防火墙
防火墙是指在两个网络之间加强访问控制的一整套装置,是软件和硬件的组合体,通常被比喻为网络安全的大门,在内部网和外部网之间构造一个保护层,用来鉴别什么样的数据包可以进出企业内部网。防火墙可以阻止基于IP包头的攻击和非信任地址的访问,但无法阻止基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网络之间的攻击行为。4.2 扫描器
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以自动发现系统的安全缺陷,扫描器可以分为主机扫描器和网络扫描器,但是扫描器无法发现正在进行的入侵行为,而且它也可以被攻击者加以利用。4.3 防毒软件
防毒软件可以实时检测,清除各种已知病毒,具有一定的对未知病毒的预测能力利用代码分析等手段能够检查出最新病毒。在应用对网络入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但不能有效阻止基于网络的攻击行为。4.4 安全审计系统
安全审计系统对网络行为和主机操作提供全面详实的记录,其目的是测试安全策略是否完善,证实安全策略的一致性,方便用户分析与审查事故原因,协助攻击的分析收 郑州电子信息职业技术学院2011届毕业论文
集证据以用于起诉攻击者。4.5 IDS 由于防火墙所暴露出来的不足,引发人们对IDS(入侵检测系统)技术的研究和开发。它被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击,外部攻击和误操作的实时保护。
IDS的主要功能:监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式,并向网管人员报警。对异常活动的统计分析。操作系统审计跟踪管理,识别违反政策的用户活动。评估重要系统和数据文件的完整性。
IDS可分为主机型和网络型两种:主机型入侵检测系统,主要用于保护运行关键应用的服务器,它通过监视与分析主机的审计记录和日志文件来检测入侵。网络型入侵检测系统主要用于实时监控网络关键路径信息,它通过侦听网络上的所有分组来采集数据、分析可疑现象。网络入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
由于每个网络安全组件自身的限制,不可能把入侵检测和防护做到一应俱全所以不能指望通过使用某一种网络安全产品实现绝对的安全,只有根据具体的网络环境,有机整合这些网络安全组件才能最大限度地满足用户的安全需求,在这个通信发达的时代,网络安全组件是不可缺少的,用户的安全要得到保障那就使用网络安全组件吧!它能给你带来意想不到的效果。网络安全的看法
随着互联网在家庭中的普及,家庭网络安全越来越受欢迎。家庭网络安全主要表现在两个方面,一是个人电脑中毒,二是被非法用户入侵。个人以为可以从“内”和“外”两个方面来解决。
从内的方面来讲“内”指用户本身,防止由于自己的疏忽而造成的损失。主要包括安装一些必要的软件,主要是防火墙、杀毒、防木马等安全软件。要有一个安全的工作习惯。积极备份。积极防范。打好补丁。这几种方法只是网络安全方面常用的方法,实际上保证安全从“内”的方面来说还包括很多方面,如操作不当造成软硬件损坏等。当然这些就不仅仅是网络安全方面了,实际上只要用户在以上所说的五个方面做得不错的 郑州电子信息职业技术学院2011届毕业论文
话,基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意结果造成数据的损失。从外的方面来讲“外”指由外界而来的攻击,一般指黑客攻击。要防止黑客的攻击,我介绍几种简单容易上手同时效果也不错的方法供大家参考。5.1 隐藏IP地址有两种方法
代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。二是使用一些隐藏IP的软件,如赛门铁克公司的Norton Internet security,不论黑客使用哪一个IP扫描工具,都会告诉你根本没有这个IP地址,黑客就无法攻击你的计算机了。5.2 更换管理及账户
Administrator账户拥有最高的系统权限,一旦该账户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码,所以我们要重新配置Administrator账户首先为Administrator账户设置一个强大复杂的密码,然后我们重命名Administrator账户再创建一个没有管理员权限,也就在一定程度上减少了危险。在WINDOWSXP系统中打开控制面板,单击“用户帐户/更改帐户”,弹出“用户帐户”窗口,再点“禁用来宾账户”即可。防火墙概述
6.1 防火墙定义
在计算机网络中,防火墙是指一种将内部网和公众访问网分开的方法,它实际是一种隔离技术,它允许“可以访问”的人和数据进入网络,同时将“不允许访问”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问网络,如果不通过防火墙,人们就无法访问Internet,也无法和其它人进行通信,它具有较强的抗攻击能力,提供信息安全服务,实现网络和信息安全的基础设施。6.2 防火墙的功能
防火墙的访问控制功能;访问控制功能是防火墙设备的最基本功能,其作用就是对经过防火墙的所有通信进行连通或阻断的安全控制,以实现连接到防火墙上的各个网段 郑州电子信息职业技术学院2011届毕业论文 的边界安全性,为实施访问控制功能,可以根据网络地址、网络协议以及TCP UDP端口进行过滤;可以实施简单的内容过滤,如电子邮件附件的文件类型等可以将IP与MAC地址绑定以防止盗用IP的现象发生,可以对上网时间段进行控制,不同时段执行不同的安全策略。防火墙的访问控制采用两种基本策略,即“黑名单”策略和“白名单”策略,指除了规则允许的访问,其他都是禁止的。支持一定的安全策略,过滤掉不安全服务和非法用户。利用网络地址转换技术将有限的IP地址动态或静态地址与内部的IP地址对应起来,用来缓解地址空间短缺的问题。可以连接到一个单独的网络上,在物理上与内部网络隔开并部署WWW服务器和FTP服务器,作为向外部外发布内部信息的地点。防火墙支持基于用户身份的网络访问控制,不仅具有内置的用户管理及认证接口,同时也支持用户进行外部身份认证。防火墙可以根据用户认证的情况动态地调整安全策略实现用户对网络的授权访问。6.3 防火墙技术
按照实现技术分类防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型。包过滤技术;包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。包过滤是一种通用有效的安全手段。它在网络层和传输层起作用。它根据分组包的源宿地址端口号及协议类型,来确定是否允许分组包通过。包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。
代理服务技术;代理服务系统一般安装并运行在双宿主机上,使外部网络无法了解内部网络的拓扑,比包过滤防火墙安全,由于安全性比较高,所以是使用较多的防火墙技术。代理服务软件运行在一台主机上构成代理服务器,负责截客户的请求。根据安全规则判断这个请求是否允许,如果允许才能传给真正的防火墙。代理系统是客户机和真实服务器之间的中介,完全控制客户机和真实服务器之间的流量并对流量情况加以记录,它具有灵活性和安全性,但可能影响网络的性能对用户透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层实现起来比较复杂。
代理服务技术的优点:1.提供的安全级别高于包过滤型防火墙。2.代理服务型防火墙可以配置成惟一的可被外部看见的主机,以保护内部主机免受外部攻击。3.可能强制执行用户认证。4.代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志。郑州电子信息职业技术学院2011届毕业论文
状态检测技术;状态检测防火墙在网络层由一个检测模块截获数据包,并抽取与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表,并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化该连接就被中止。这种技术提供了高度安全的解决方案,同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性不要求每个被访问的应用都有代理,状态检测模块能够理解各种协议和应用以支持各种最新的应用服务。状态检测模块截获分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整网络和各种应用的通信状态动态存储更新到动态状态表中,结合预定义好的规则实现安全策略,状态检测不仅仅对网络层检测而对OSI七层模型的所有层进行检测,它与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳拒绝,身份认证,报警或给该通信加密等处理动作。状态检测技术的特点:安全性、高效性、可伸缩性和易扩展性。
6.4 防火墙系统的优点
可以对网络安全进行集中控制和管理;防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上在结构上形成了一个控制中心,大大加强了网络安全性,并且简化了网络管理。由于防火墙在结构上的特殊位置,使其方便地提供了监视管理与审计网络的使用及预警。为解决IP的地址危机提供了可行方案。由于Internet的日益发展及其IP地址空间的有限,使用户无法获得足够的注册IP地址,防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址。防火墙系统可以作为Internet信息服务器的安装地点,对外发布信息。
6.5 防火墙系统的局限性
防火墙系统存在着如下局限性:常常需要有特殊的较为封闭的网络拓扑结构来支持,对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。防火墙系统的防范对象来自外部对内部网络攻击,而不能防范不经由防火墙的攻击。比如通过SLIP或PPP的拨号攻击,绕过了防火墙系统而直接拨号进入内部网络,防火墙对这样的 7 郑州电子信息职业技术学院2011届毕业论文
攻击很难防范。防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户造成的危害。结论
网络的迅速发展,给我们的工作和生活带来了巨大的改变。在网络日益复杂化,多样化的今天,安全受到人们越来越多的关注。如何保护各类网络和信息的安全,成为人们研究的焦点,其中防火墙是运用非常广泛和效果最好的选择。但是,防火墙技术也有它的不足之处,为了更好的维护网络安全,还需要其他的技术相结合,以及更先进的技术的发现。郑州电子信息职业技术学院2011届毕业论文
参考文献
[1] 邓亚平.计算机网络安全[M].北京:北京人民邮电出版社.2004.50-75.[2] 冯 元.计算机网络安全基础[M].北京:科学出版社.2004.120-150.[3] 穆红涛.Internet实用技术[M].北京:大连理工大学出版社.2005.150-198.[4] 张仕斌.网络安全技术[M].北京:清华大学出版社.2001.17-38.[5] 梁亚声.计算机网络安全技术教程[M].北京:机械工业出版社.2004.110-187.郑州电子信息职业技术学院2011届毕业论文
致 谢
首先,我要特别感谢***老师对我的悉心指导,在本文完成期间他帮助我收集文献资料,理清设计思路,指导方法。**老师渊博的知识、严谨的学风、诲人不倦的态度和学术上精益求精的精神使我有了进一步的提高。
另外,要感谢母校****学院所有老师与同学两年来对我的关心与支持。最后,我要向我的父母致以最崇高的敬意,没有你们无私的支持,就没有我今天的成绩。写作毕业论文是一次再系统学习的过程,毕业论文的完成,同样也意味着新的学习生活的开始。
第二篇:计算机防火墙技术毕业论文
本文由yin528855贡献
doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
计算机防火墙技术论文
毕 业 论 文
计算机防火墙技术
姓 学
名: 号:
指导老师: 系 专 班 名: 业: 级:
二零一零年十一月十五日 1 计算机防火墙技术论文
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临 着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范 围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安 全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒 等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用 户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件 的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全 等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展 使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络 防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学 其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。
关键词: 关键词 :包过滤 智能防火墙
应用层网关
分布式防火墙
监测型防火墙 嵌入式防火墙
网络安全,防火墙,防范策略,发展趋势 2 计算机防火墙技术论文
摘要„„ 1 第一章 引言 „„ 4 1.1 研究背景„„ 4 1.2 研究目的„„ 4 1.3 论文结构„„ 5 第二章 网络安全 „„ 6 2.1 网络安全问题„„ 6 2.1.1 网络安全面临的主要威胁 „„ 6 2.1.2 影响网络安全的因素 „„ 6 2.2 网络安全措施„„ 7 2.2.1 完善计算机安全立法 „„ 7 2.2.2 网络安全的关键技术 „„ 7 2.3 制定合理的网络管理措施„„ 8 第三章 防火墙概述 „„ 9 3.1 防火墙的概念„„ 9 3.1.1 传统防火墙介绍 „„ 9 3.1.2 智能防火墙简介 „„ 10 3.2 防火墙的功能„„ 11 3.2.1 防火墙的主要功能 „„ 11 3.2.2 入侵检测功能 „„ 11 3.2.3 虚拟专网功能 „„ 12 3.2.4 其他功能 „„ 12 3.3 防火墙的原理及分类„„ 13 3.3.1 包过滤防火墙 „„ 13 3.3.2 应用级代理防火墙 „„ 13 3.3.3 代理服务型防火墙 „„ 14 3.3.4 复合型防火墙 „„ 14 3.4 防火墙包过滤技术„„ 14 3.4.1 数据表结构 „„ 15 3.4.2 传统包过滤技术 „„ 16 3.4.3 动态包过滤 „„ 17 3.4.4 深度包检测 „„ 17 3.4.5 流过滤技术 „„ 18 第四章 防火墙的配置 „„ 20 4.1 硬件连接与实施„„ 20 4.2 防火墙的特色配置„„ 20 4.3 软件的配置与实施„„ 21 第五章 防火墙发展趋势 „„ 23 5.1 防火墙包过滤技术发展趋势„„ 23 5.2 防火墙的体系结构发展趋势„„ 24 5.3 防火墙的系统管理发展趋势„„ 24 结论„„ 25 参考文献„„ 26 致谢„„ 27 3 计算机防火墙技术论文
第一章
1.1 研究背景
引言
随着互联网的普及和发展,尤其是 Internet 的广泛使用,使计算机应用更 加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受 到攻击的一面。据美国 FBI 统计,美国每年因网络安全问题所造成的经济损失高 达 75 亿美元,而全求平均每 20 秒钟就发生一起 Internet 计算机侵入事件[1]。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在 利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的 网络体系,值得我们关注研究。
1.2 研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解 决方案,可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自 己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止 恶性信息对本机的攻击,比如 ICMPnood 攻击、聊天室炸弹、木马信息破译并修 改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问,使 计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙 可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以 根据自己的需要创建防火墙规则,控制互联网到 PC 以及 PC 到互联网的所有连接,并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄 漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视 邮件系统,阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机 Windows 系统上,采取一些安全防护措施,使得本机 的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软 件,按一定的规则对 TCP,UDP,ICMP 和 IGMP 等报文进行过滤,对网络的信息流 和系统进程进行监控,防止一些恶意的攻击。目前市场上大多数的防火墙产品仅 仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:内部网是 安全可靠的,所有的威胁都来自网外。因此,他们防外不防内,难以实现对企业 内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主 机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。个人上网用户多使用 Windows 操作系统,而 Windows 操作系统,特别是
计算机防火墙技术论文
WindowsXP 系统,本身的安全性就不高。各种 Windows 漏洞不断被公布,对主机 的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏 洞来实现攻击。如假冒 IP 包对通信双方进行欺骗:对主机大量发送正数据包[3] 进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共 网)或网络安全域之间的一系列部件的组合[ 1 ]。它可通过监测、限制、更改跨 越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以 此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一 个分析器,有效地监控了内部网和 Internet 之间的任何活动, 保证了内部网络 的安全。一个高效可靠的防火墙必须具有以下典型的特性: 1 从里到外和从外到里的所有通信都必须通过防火墙; 2 只有本地安全策略授权的通信才允许通过; 3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据;管理进出网络的访问行为;封 堵某些禁止的业务; 记录通过防火墙的信息内容和活动;对网络攻击进行检测 和报警
1.3 论文结构
在论文中接下来的几章里,将会有下列安排: 第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安 全的因素,及保护网络安全的关键技术。第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等。第四章,以 H3CH3C 的 F100 防火墙为例,介绍防火墙配置方法。第五章,系统阐述防火墙发展趋势。5 计算机防火墙技术论文
第二章 网络安全 2.1 网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于 计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的 或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 从技术讲,计算机安全分为 3 种: 1)实体的安全。它保证硬件和软件本身的安全。2)运行环境的安全性。它保证计算机能在良好的环境里持续工作。3)信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展,计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁 一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和 拒绝服务攻击三个方面。1)计算机病毒的侵袭。当前,活性病毒达 14000 多种,计算机病毒侵入 网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2)黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通 道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号 和密码;非法获取网上传输的数据;突破防火墙等。3)拒绝服务攻击。例如“点在邮件炸弹”,它的表现形式是用户在很短 的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统 关机,网络瘫痪。具体讲,网络系统面临的安全威胁主要有如下表现:身份窃取、非授权访 问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。2.1.2 影响网络安全的因素 1)单机安全 购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作„„等等,这些都是影响单机安全性 的因素。2)网络安全 影响网络安全的因素有:节点的安全、数据的安全(保存和传输方面)、文件的安全等。6 计算机防火墙技术论文 2.2 网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。一个完整的网络
信息安全体系至少应包括三类措施:一是法律政策、规章制度以及安全教育等外 部软环境。二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络 防毒等。三是管理措施,包括技术与社会措施。主要措施有:提供实时改变安全 策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防 患于未然。这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。2.2.1 完善计算机安全立法 我国先后出台的有关网络安全管理的规定和条例。但目前,在这方面的立 法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的 基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的 发展提供强有力的保障。2.2.2 网络安全的关键技术(1)数据加密 加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的 加密类型:私匙加密和公匙加密。(2)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用 认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防 止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应 用网关、子网屏蔽等。但是,防火墙技术在网络安全防护方面也存在一些不足: 防火墙不能防止内部攻击防火墙不能取代杀毒软件; 防火墙不易防止反弹端口木 马攻击等。(4)检测系统 入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技 术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之 前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智 能化入侵检测和全面的安全防御方案。7 计算机防火墙技术论文
(5)防病毒技术 随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒 防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网 络、以及它们之间相互关系和接口的综合系统。(6)文件系统安全 在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个 方面:本地和远程。建立文件权限的时候,必须在 Windows 2000 中首先实行新 技术文件系统(New Technology File System,NTFS)。一旦实现了 NTFS,你 可以使用 Windows 资源管理器在文件和文件夹上设置用户级别的权限。你需要了 解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000 操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3 制定合理的网络管理措施
(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的
培养教育以及相关技术培训。(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励 和监督的作用。(3)管理措施要标准化、规范化和科学化。8 计算机防火墙技术论文
第三章
防火墙概述
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可 预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部 网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服 务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和 信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的 安全。3.1.1 传统防火墙介绍 目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发 展历程。图 1 表示了防火墙技术的简单发展历史。
图1 第一代防火墙 第 一 代 防 火 墙 技 术 几 乎 与 路 由 器 同 时 出 现,采 用 了 包 过 滤(Packet filter)技术。二代、第三代防火墙 第二代、第三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推 9 计算机防火墙技术论文
出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—— 应用层防火墙(代理防火墙)的初步结构。
第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技 术 的 第 四 代 防 火 墙,后 来 演 变 为 目 前 所 说 的 状 态 监 视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了 第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在 其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全 新的意义,可以称之为第五代防火墙。[5] [5] 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的 三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主 要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题 占据网络安全问题九成以上。而这三大问题,传统防火墙都无能为力。主要有以 下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代 价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个 简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法检测复杂 的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统 的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解 决上面的问题。3.1.2 智能防火墙简介 智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利 用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目 的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特 征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。10 计算机防火墙技术论文 3.2 防火墙的功能
3.2.1 防火墙的主要功能 1.包过滤。包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数 据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端 口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2.地址转换。网络地址变换是将内部网络或外部网络的 IP 地址转换,可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。SNAT 用于对内部网 络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网 络的非授权访问或恶意攻击。并将有限的 IP 地址动态或静态的与内部 IP 地址对 应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。DNAT 主要用于 外网主机访问内网主机。3.认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数 据库;提供 HTTP、FTP 和 SMTP 代理功能,并可对这三种协议进行访问控制;同时 支持 URL 过滤功能。4.透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提 供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网 络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网 之间的安全访问。3.2.2 入侵检测功能 入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技 术,包括以下内容: 1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主 机的哪些非常用端口是打开的;是否支持 FTP、服务;且 FTP 服务是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,进而对内部网络的主 机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有: 关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该 端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用 过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;11 计算机防火墙技术论文
而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生 的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多 的受控主机同时发起进攻,以比 DoS 更大的规模(或者说以更高于受攻主机处理 能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多种 DOS/DDOS 攻 击。3.检 测 多 种 缓 冲 区 溢 出 攻 击(Buffer Overflow)。缓 冲 区 溢 出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的 溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更 为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各 种非法操作,防火墙设备可检测对 FTP、Telnet、SSH、RPC 和 SMTP 等服务的远 程堆栈溢出入侵。4.检测 CGI/IIS 服务器入侵。CGI 就是 Common Gateway Inter——face 的 简称。是 World Wide Web 主机和 CGI 程序间传输资讯的定义。IIS 就是 Internet Information server 的简称,也就是微软的 Internet 信息服务器。防火墙设备 可检测包括针对 Unicode、ASP 源码泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百种的有安全隐患的 CGI/IIS 进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个 特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开 那个特殊的端口的程序。木马程序的全称是 “特洛依木马” 它们是指寻找后门、,窃取计算机的密码的一类程序。网络蠕虫病毒分为 2 类,一种是面向企业用户和 局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成 瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql 蠕虫王”为代 表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿 透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程 序。3.2.3 虚拟专网功能 指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络 中传播。VPN 的基本原理是通过 IP 包的封装及加密、认证等手段,从而达到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址绑定。可支持任一网络接口的 IP 地址和 MAC 地址的绑 12 计算机防火墙技术论文
定,从而禁止用户随意修改 IP 地址。2.审计。要求对使用身份标识和认证的机制,文件的创建,修改,系统管 理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日 志。3.特殊站点封禁。内置特殊站点数据库,用户可选择是否封禁色情、反动 和暴力等特殊站点。3.3 防火墙的原理及分类
国际计算机安全委员会 ICSA 将防火墙分成三大类:包过滤防火墙,应用级代
理服务器[8]以及状态包检测防火墙。3.3.1 包过滤防火墙 顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过 滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层 IP 包包头信 息的比较。包过滤防火墙工作在网络层,IP 包的包头中包含源、目的 IP 地址,封装协议类型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口号,ICMP 消息类型,TCP 包头中的 ACK 等等。如果接收的数据包与允许转发的规则相匹配,则数据包 按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有 匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它 处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就 可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网 络,使之遭受攻击。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 许内部员工访问网站,包过滤防火墙可能设置允所有 80 端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防 火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完 善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。3.3.2 应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代 理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防 火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理 13 计算机防火墙技术论文
机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑 客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络 服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支 持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问 WEB 站点的 HTTP,用于文件传输的 FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进 行转发;同时升级一种应用时,相应的代理程序也必须同时升级。3.3.3 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包 过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代 理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对 过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网 络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔 离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在 OSI 模型的最高层,掌握着应用系统中可用 作安全决策的全部信息。3.3.4 复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法 结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防 火墙体系结构,在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时 一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设 置,使堡垒机成为 Internet 上其他节点所能到达的唯一节点,这确保了内部网 络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网 内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤 路由器共同构成了整个防火墙的安全基础。
3.4 防火墙包过滤技术
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 14 计算机防火墙技术论文
重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定 的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与 透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作,所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程,可以认为包过滤的核心问题就是如何充分利用数据 包中各个字段的信息,并结合安全策略来完成防火墙的功能[11]-[15] 3.4.1 数据表结构 当应用程序用 TCP 传送数据时,数据被送入协议栈中,然后逐个通过每一层 直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部 信息。TCP 传给 IP 的数据单元称作 TCP 报文段(TCP Segment);IP 传给网络接口 层的数据单元称作 IP 数据报(IP Datagram);通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包,顺序正好与此相反,头部信息逐层剥掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部长 服务类型 标识 生存时间 协议 源 IP 地址 目的 IP 地址 选项 标志 首部校验和
总 长 度 片偏移
表 2-2 TCP 首部格式 源端口号 目的端口号 序列号 15 计算机防火墙技术论文
确认号 首 保 L 部 留 R 长 C T B L P R C B C J H T H TCP 校验和 H J R 窗口大小
紧急指针 选项
对于帧的头部信息主要是源/目的主机的 MAC 地址;IP 数据报头部信息主要 是源/目的主机的 IP 地址;TCP 头部的主要字段包括源/目的端口、发送及确认序 号、状态标识等。理论上讲,数据包所有头部信息以及有效载荷都可以作为判断包通过与否的 依据,但是在实际情况中,包过滤技术上的问题主要是选取哪些字段信息,以及 如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作,并尽可能 提高安全控制力度。3.4.2 传统包过滤技术 传统包过滤技术,大多是在 IP 层实现,它只是简单的对当前正在通过的单 一数据包进行检测,查看源/目的 IP 地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。这种技术实现简单,处理速度快,对应用透明,但是它存在的问题也很多,主要表现有: 1.所有可能会用到的端口都必须静态放开。若允许建立 HTTP 连接,就需 要开放 1024 以上所有端口,这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个 ACK 数据包,就认为这是 一个己建立的连接,这就导致许多安全隐患,一些恶意扫描和拒绝服务攻击就是 利用了这个缺陷。3.无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或 包含病毒代码,也无法进行控制和阻断。综合上述问题,传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺 乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测,而没有考虑前 后数据包之间的联系;(4)只检查包头信息,而没有深入检测数据包的有效载荷。传统包过滤技术必须发展进化,在继承其优点的前提下,采用新的技术手 段,克服其缺陷,并进一步满足新的安全应用要求。从数据包结构出发考虑,目 前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间 的关系,充分利用包头信息中能体现此关系的字段,如 IP 首部的标识字段和片 16 计算机防火墙技术论文
偏移字段、TCP 首部的发送及确认序号、滑动窗口的大小、状态标识等,动态执 行数据包过滤。(2)纵向发展。深入检测数据包有效载荷,识别并阻止病毒代码 和基于高层协议的攻击,以此来提高应用防御能力。这两种技术的发展并不是独 立的,动态包过滤可以说是基于内容检测技术的基础。实际上,在深度包检测技 术中己经体现了两种技术的融合趋势。3.4.3 动态包过滤 动态包过滤[16]又称为基于状态的数据包过滤,是在传统包过滤技术基础 之上发展起来的一项过滤技术,最早由 Checkpoint 提出。与传统包过滤技术只检查单个、孤立的数据包不同,动态包过滤试图将数 据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下 该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到 达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据 包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法 的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较 大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通 1024 号以 上的端口,使安全性得到进一步地提高。动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则 静态不可变的缺陷,使得防火墙的安全控制力度更为细致。3.4.4 深度包检测 目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用 了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新 的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对这种需求,深入检测数据 包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需 要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描 检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割 到 10 个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻 17 计算机防火墙技术论文
击特征进行匹配: 要清楚地知道有效载荷,必须采取有效方法,将单个数据包重 新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高 达 100 倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这 就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和 行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图 3.1 所示。
图 3.1 深度包检测框图 在接收到网络流量后,将需要进行内容扫描的数据流定向到 TCP/IP 堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到 TCP/IP 堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内 容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容 协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个 HTTP 数据 流,则命令解析器检查上载和下载的文件;如果数据是 Mail 类型,则检查邮件的 附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引 擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤 的设置进行匹配,通过或拒绝数据。3.4.5 流过滤技术 流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过 滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方 案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状 态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的 TCP/IP 协议栈,实现了透明的应用信息过滤机制。18 计算机防火墙技术论文
流过滤技术[17]的关键在于其架构中的专用 TCP/IP 协议栈:这个协议栈是 一个标准的 TCP 协议的实现,依据 TCP 协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识 别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或 IP 层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在 防火墙内部都存在两个完全独立的 TCP 会话,数据以“流”的方式从一个会话流 向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代 替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制 能力。如在对 SMTP 协议的处理中,系统可以在透明网桥的模式下实现完全的对 邮件的存储转发,并实现丰富的对 SMTP 协议的各种攻击的防范功能一流过滤的 示意图如图 3.2 所示。
图 3.2 流过滤示意图 19 计算机防火墙技术论文
第四章
4.1 硬件连接与实施
防火墙的配置
一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次 与价格不同而在百兆与千兆之间有所区别。(如图 4.1)图 4.1 对于中小企业来说一般出口带宽都在 100M 以内,所以我们选择 100M 相关产 品即可。网络拓扑图中防火墙的位置很关键,一般介于内网与外网互连中间区域,针对外网访问数据进行过滤和监控。如果防火墙上有 WAN 接口,那么直接将 WAN 接口连接外网即可,如果所有接 口都标记为 LAN 接口,那么按照常规标准选择最后一个 LAN 接口作为外网连接端 口。相应的其他 LAN 接口连接内网各个网络设备。4.2 防火墙的特色配置
从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙
具备 CONSOLE 接口通过超级终端的方式初始化配置,而另外一部分则直接通过默 认的 LAN 接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同 优先级别的区域,另外还需要针对相应接口隶属的区域进行配置,例如 1 接口划 分到 A 区域,2 接口划分到 B 区域等等,通过不同区域的访问权限差别来实现防 火墙保护功能。默认情况下防火墙会自动建立 trust 信任区,untrust 非信任区,DMZ 堡垒主机区以及 LOCAL 本地区域。相应的本地区域优先级最高,其次是 trust 信任区,DMZ 堡垒主机区,最低的是 untrust 非信任区域。20 计算机防火墙技术论文 在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操 作,否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级 终端下的命令行参数进行配置或者通过 WEB 管理界面配置。4.3 软件的配置与实施
以 H3C 的 F100 防火墙为例,当企业外网 IP 地址固定并通过光纤连接的具体
配置。首先当企业外网出口指定 IP 时配置防火墙参数。选择接口四连接外网,接 口 一 连 接 内 网。这 里 假 设 电 信 提 供 的 外 网 IP 地 址 为 202.10.1.194 255.255.255.0。第一步:通过 CONSOLE 接口以及本机的超级终端连接 F100 防火墙,执行 system 命令进入配置模式。第二步:通过 firewall packet default permit 设置默认的防火墙策略为 “容许通过”。第三步:进入接口四设置其 IP 地址为 202.10.1.194,命令为 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:进入接口一设置其 IP 地址为内网地址,例如 192.168.1.1 255.255.255.0,命令为 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 将两个接口加入到不同的区域,外网接口配置到非信任区 untrust,内网接口加入到信任区 trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墙运行基本是通过 NAT 来实现,各个保护工作也是基于此 功能实现的,所以还需要针对防火墙的 NAT 信息进行设置,首先添加一个访问控 制列表—— acl num 2000 21 计算机防火墙技术论文
rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下来将这个访问控制列表应用到外网接口通过启用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或 外网电信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如图 2)执行 save 命令保存退出后就可以在企业外网出口指定 IP 时实现防火墙数据转发 以及安全保护功能了。22 计算机防火墙技术论文
第五章
防火墙发展趋势
针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也 出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管 理三方面来体现。5.1 防火墙包过滤技术发展趋势
(1)安全策略功能 一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常 必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的 防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带 来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验 证。(2)多级过滤技术 所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分 组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的 IP 源地址;在传输层 一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如 nuke 包、圣诞树包等;在应用网关(应用层)一级,能利用 FTP、SMTP 等各种网关,控 制和监测 Internet 提供的所用通用服务。这是针对以上各种已有防火墙技术的 不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这 个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(3)功能扩展 功能扩展是指一种集成多种功能的设计趋势,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中 了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功 能为主了,即其已经逐渐向我们普遍称之为 IPS(入侵防御系统)的产品转化了。23 计算机防火墙技术论文
有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还 是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可 以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护 功能的防火墙可以大大减少公司的损失。5.2 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要
能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普 遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防 火墙制造商开发了基于 ASIC 的防火墙和基于网络处理器的防火墙。从执行速度 的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大 程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面 任务的引擎,从而减轻了 CPU 的负担,该类防火墙的性能要比传统防火墙的性能 好许多。与基于 ASIC 的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流,比 起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程 性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方 案是增加 ASIC 芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以 同时满足来自灵活性和运行性能的要求。5.3 防火墙的系统管理发展趋势
(1)集中式管理,分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化 纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智
能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。防火墙技术只 有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增 长的需求。24 计算机防火墙技术论文
结论
随着 Internet 和 Intranet 技术的发展,网络的安全已经显得越来越重要, 网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯 罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客 技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内 和外的攻击;克服传统“边界防火墙”的缺点,集成了 IDS、VPN 和防病毒等安 全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际 应用和发展的安全要求。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中 的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。25 计算机防火墙技术论文
参考文献
[1] 王艳.浅析计算机安全[J].电脑知识与技术.2010,(s):1054 一 1055.[2] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79 一 82.[3] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311 一 312.[4] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17 一 18.[5] 郑林.防火墙原理入门[Z].E 企业.2000.[6] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57 一 62 [7] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59 一 61 [8] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技 术大学学报.2004,34(4):400 一 409 [11] 邵华钢,杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003,29(12):123 一 124 [12] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76 一 78 [13] 付 歌,杨 明 福,王 兴 军.基 于 空 间 分 解 的 数 据 包 分 类 技 术.计 算 机 工 程 与 应 用.2004(8):63 一 65 [14] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504 一 508 [15] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188 一 192 [16] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387 一 392 [17] 余胜生,张宁,周敬利,胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工 程.2004,30(7):49 一 51 26 计算机防火墙技术论文
致谢
本文是在李老师的悉心指导卜完成的,从文献的查阅、论文的选题、撰写、修改、定稿,我的每一个进步都和李老师的关注与指导密不可分。李老师在研究 方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿,给子 我巨大、无私的帮助。论文的字里行间无不凝结着老师的悉心指导和浮淳教海,老师渊博的学识和严谨的治学态度给我留下了深刻的印象,我从他那里学到的不 仅仅是专业知识,更重要的是严谨的治学态度、对事业忘我的追求、高度的使命 感、责任感及和蔼热情的品质和做人的道理,这些将使我受益一生,并将激励我 不断向前奋进。还 有 就 是 在 这 次 的 实习中 更要对和我一起并肩战斗的其他几位小组成 员说一声辛苦了,我们有了今天的成绩是我们不懈与团结。让我们共同努力创造 更好的明天。在此过程中我们互相帮助,勉励是我们能完成这次任务的最大动力,也是我们之间最大的收获,最好的精神财富,愿我们还会有更好的合作!经 过 了 这 次 的 实习也 意 味 着 我 学习生 涯 的 结 束。在 TOP 的 三 年 时 间 转 瞬 即 逝,借 此 机 会 我 要 感 谢 两年来传授我知识的老师们,更要感谢所 有对我学业、生活上的支持和鼓励,感谢所有关心帮助过我的人。27
第三篇:防火墙技术的应用
防火墙技术的应用
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14页(共14页)
第四篇:防火墙的技术与应用-选购和应用
防火墙的技术与应用-选购和应用(5)
个人防火墙市场漫步
网络的高速发展已促使信息时代以网络为核心发生了深刻的变革,许多人遨游在网络这个虚拟世界里时,并没有意识到有人正在监视着你的一举一动。网友通过OICQ和你一边亲密地聊天,一边却在偷窥你电脑硬盘里的私人资料,而他“共享”你的电脑就像用自己的一样,你的文件随时有可能成为他的囊中之物,硬盘也有可能“不经意”地给格式化掉了。也许就在你为了隐藏自己的身份与对方周旋的时候,他已经在窃笑了。在以入侵他人计算机系统为乐的黑客眼里,你的电脑对他来说是透明的。
请记住:黑客肆无忌惮的攻击无处不在,网络安全对于个人用户而言并不是一个遥远的话题。在你上网浏览,从网上下载软件接收邮件随时都有可能让病毒和木马混进来。在网上购物、用信用卡进行网上支付、买卖股票或者通过在线银行进行转账等操作的时候,随时随地都存在威胁。这些恶意攻击导致的结果就是:上网账号被窃取,银行账号被盗用,密码被修改,甚至整个系统全线瘫痪。其实,想远程获取你硬盘里的内容并不需要人们所想象中出神入化的技术,只要会使用一些黑客工具就已经足够了,因为许多智能化的黑客工具在20万多个黑客网站中可以轻易地下载。
新一代的黑客们不但自己攻击别人,还编写了各种各样的黑客工具放在网上供人们自由免费下载。同时,黑客工具版本的升级出乎人们意料的快。譬如,专家们正当发出警告:制造出肆虐一时的“库尔尼科娃病毒”的SubSeven黑客工具软件2.0版已经问世,才过几个小时,就又发现一个更新的升级版本呱呱落地了。现在的黑客工具功能越来越强大,使用这个工具更容易催生出智能突破电脑网络防线的黑客软件来。
今年初,某著名的网络安全公司举行了一个“一千个伤心的理由”--互联网不安全因素问卷调查。经过统计,在调查问卷中所列出的众多令人头疼的互联网不安全因素中,最令网友担心的是(按得票多少)排第三的是:网上购物时,我担心我提供给网站的个人信息会被非法利用;第四是:上网时,我的电脑资源会不会暴露;第五是:网上聊天时IP地址被盗用;第六;访问某些网站时,某些程序自动下载到我的电脑;第八:如何才能避开有害的cookies;第九:访问陌生网站是否安全。从上面的调查来看,信息安全越来越引起人们的注意,个人隐私权越来越受到重视。据悉,个人隐私的保护已被列为网络经济面临的八大伦理难题之首。
另外,根据一份国际统计资料显示,平均有大约30%的个人电脑遭受过恶意攻击,这个比例在网络较为发达的国家还要高,在中国的比例要低一些,但随着我国上网人数和上网计算机的增加,这个数字正在呈上升的趋势。互联网萌发的早期重点放在发展,时至今天,衍生出来的网络安全问题却是每个网民必须面对,不容回避的新生问题。我们必须积极采取措施以捍卫自己精彩的网络生活。方法是多种多样的,减少在网上的逗留时间、感觉到攻击立刻强行断线、提高警惕性等等,当然,最稳妥的办法莫过于选择一个适和个人用户的防火墙了。
个人防火墙是安装在每台PC机上的软件,个人防火墙不必象企业防火墙那样导入特定的网络设备,仅仅在用户所使用的PC上安装软件即可。由于管理者可以远距离地进行设置和管理,终端用户在使用时感觉不到防火墙的存在,极为适合个人和小企业等使用。而且,它也可以象防病毒软件那样地安装在公司内部的LAN(Local Area Net 局域网)终端上。
个人防火墙能捍卫PC和机密资料,使其避免受网络漫游可能造成的安全威胁。即使计算机每天连接网络的时间并不长,但智能的恶意入侵程序依然可以找到它。利用宽频上网(包括通过缆线调制解调器或 ADSL 线路上网),长时间处于联机状态的企业和个人用户最容易受到黑客攻击,危险指数更高。宽带带给人们上网高流速的便利,人人都在期盼宽带时代早点到来,可极少人留意到宽带对网络和个人隐私所带来潜在的安全隐患。如果用户上网时未在计算机上做好正确的安全措施,宽带将降低黑客攻击的难度,因为尽管宽带使连接速度更快,但互联网协议地址基本保持不变,不象通过调制解调器拨号上网的用户那样每拨一次电话他们的IP地址就会改变一次,故相当于永远有一条通途直达被攻击的计算机。国外前不久曾做过这样一个实验,在一个受到控制的环境下,经一个月的调查,得出结论:长时间上网者受黑客攻击的几率高达95%。
在网络上执行任何工作时,个人防火墙都会阻止网络服务器在背景窃取您的电子邮件地址或其它个人信息。你可以选择哪些信息需要保密,而不会不慎把这些信息发送到不安全的网站。这样,还可以防止网站服务器在你不察觉的情况下跟踪你的电子邮件地址和其它个人信息。
由于雅虎,微软,Intel等大型网站接二连三遭到黑客入侵,加上各大媒体的宣传,防火墙愈发受到用户认识和青睐,防火墙生产厂商正在大幅度增加市场销售额。而且防火墙在一段时期之内仍会出现销量猛增的局面,其增长的动力主要来源于中小型企业以及家用电脑用户。今后几年这一增长趋势还将继续,而且平均增长率预计可达到38.7%,以往防火墙主要针对网上交易频繁且易受黑客攻击的大型企业和保密性强的机构,许多安全产品厂商只是重视大型网络安全,对个人安全市场比较忽视。但随着黑客攻击事件的不断增加(现在世界上平均每20秒就有一起黑客事件发生)和人们对黑客攻击严重性的意识与日俱增,这种情况近期被打破,防火墙厂商开始研发低价位产品。所谓未雨绸缪,许多小型企业和个人用户也开始购买防火墙。
2001年7月,中国互联网络信息中心(CNNIC)公布了“中国互联网络发展状况统计报告”。报告表明:我国上网计算机数为约1002万台,上网用户人数为约2650万人,其中家庭用户占了61%。“中国互联网的使用目前基本上还处于个人运用阶段”国务院新闻办公室主任赵启正如是说。因此,个人防火墙的市场规模将会是相当庞大的。另外,网民年龄低于24岁的占51.9%,在这个“诱惑太多”的虚拟世界里,少年犯罪占网络犯罪总数的比例越来越高,年龄却越来越小,少年犯罪与网络毒瘤的迅速蔓延有着莫大的关系。
目前,介入我国个人防火墙的国内国外的生产厂商各有5家。最近,国际著名的互联网安全技术厂商Chcek Point开始全面介入中国防火墙市场并在北京设立中国办事处,以及国内一些防病毒软件开发商和知名的IT厂商也逐渐涉足防火墙这一领域,预示着中国网络安全防护意识的兴起。这对于国内防火墙生产厂商来说既是好事也是麻烦事,因为这说明竞争对手的增加的同时市场也在增大。但由于国外个人防火墙价格不菲(每套在40到50美元之间),阻碍了个人防火墙进一步的普及。而且,国外个人防火墙的兴起时间并不长,换句话说,国内与国外个人防火墙基本上是在同一条起跑线上,而提倡“服务”比“产品”更为增值的新价值观在IT业浮头,国产个人防火墙无论是在设计、应用和服务等方面都会较为强调国情化,技术支持响应及时,加之产品价位有一定的优势。据了解,作为防火墙“粤家军”代表的广东天海威数码有限公司近期针对小型企业和家庭用户推出了既可以防止黑客攻击又可以拦截黄色网站的蓝盾个人防火墙V3.0,该版本是在V1.0和V 2.0基础上,在数百万用户下载使用和反馈后,通过不断测试和完善,于9月17日通过了国家公安部的检验并取得了销售许可证,经北京、沈阳、大连等地的试销后,市场反应良好,决定于近期正式推出。
蓝盾个人版防火墙安装智能化,操作简易,既防内又防外,防黑又防黄。个人防火墙对所有内外部提出的服务请求进行过滤,发现非授权的服务请求后立即拒绝。据统计,我国网民年龄低于24岁的占51.9%,在这个“诱惑太多”的虚拟世界里,少年犯罪占网络犯罪总数的比例越来越高,年龄却越来越小,少年犯罪与网络毒瘤的迅速蔓延有着莫大的关系。据了解,美国去年的网络诈骗案中,其中受黄色网站诈骗的占了10%,达1.88多亿美元。蓝盾个人版防火墙可限制内部人员或少儿访问3万多个黄色、暴力和反动网站,同时蓝盾个人版防火墙又强调个性化设计,用户可通过自定义,增加禁止访问的网站。还设有密码管理,防止非法用户进行修改和删除过滤功能。
蓝盾个人版防火墙还能有效防止外部机器利用各种黑客工具探测到本机的IP地址,当受到攻击时能自动报警,同时将反追踪来的黑客踪迹形成详细的报表。阻止黑客窃取用户账号和密码,对E-mail的发送进行信息加密,防止个人隐密信息泄露。抵御外来的蓝屏攻击造成windows系统的崩溃以至死机,亦可击退著名的冰河等特洛伊木马病毒或其他后门程序的攻击,避免黑客掌握本机的所有资源而进行肆意破坏,形成一堵坚固的保护墙,拒绝所有来历不明的访问,将各种可能存在的网络安全威胁挡在保护层之外,使用户清清楚楚地知道自己计算机的安全状况,以确保用户的系统安全。做到既可防黑客又可防病毒。
日前,信息产业部部长吴基传指出:“信息安全保障能力是21世纪综合国力﹑经济竞争实力和民族生存能力的重要组成部分。”如今,如何规范网上行为,保障网络安全,已成为每一个国家所极力关注的一个问题,保卫网络安全,也将成为一个国际性行为。信息安全产业已成为信息产业发展最快﹑最具市场前景的高新技术产业,而个人防火墙也必将在IT产业逆流而上成为新的经济增长点。
第五篇:防火墙技术的现状与展望(毕业论文)
通信与信息系统管理专业高等教育自学考试毕业论文
防火墙技术的现状与展望
摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
关键词:防火墙;网络安全
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
通信与信息系统管理专业高等教育自学考试毕业论文
目录
一、背景和意义........................................................................................................................3
二、防火墙概述........................................................................................................................3
(一)防火墙的概念........................................................................................................3
(二)防火墙的功能及原理............................................................................................3
(三)防火墙的分类与技术............................................................................................4
(一)防火墙现状概说....................................................................................................6
(二)包过滤防火墙和代理............................................................................................7
(三)状态检测技术........................................................................................................7
(四)高保障防火墙........................................................................................................7
(一)高速........................................................................................................................8
(二)多功能化................................................................................................................8
(三)安全........................................................................................................................9
通信与信息系统管理专业高等教育自学考试毕业论文
一、背景和意义
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
二、防火墙概述
(一)防火墙的概念
防火墙是指设臵在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
(二)防火墙的功能及原理
防火墙功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端
通信与信息系统管理专业高等教育自学考试毕业论文
口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙的工作原理:随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设臵在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
(三)防火墙的分类与技术
1.从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。
(1)包过滤(Packet filtering)型
包过滤方式是一种通用、廉价和有效的安全手段。在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网
通信与信息系统管理专业高等教育自学考试毕业论文
络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。转贴于代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设臵,用户只要进行常规操作即可。
(4)监测型
监测型防火墙是新一代产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安臵在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
通信与信息系统管理专业高等教育自学考试毕业论文
3.从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4.按防火墙的应用部署位臵分
按防火墙的应用部署位臵分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
5.按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
三、防火墙的应用现状
(一)防火墙现状概说
附图是一个防火墙典型应用的示意图。
防火墙的功能主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止SYN FLOOD等;NAT;VPN;路由;认证和加密;日志记录;支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QoS特性的支持和对H.323、SIP 等多种应用协议的支持也必不可少。
为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络技术结合进来,例如支持DHCP SERVER、DHCP RELAY;支持动态路由,如RIP、OSPF等;支持拨号、PPPoE等特性;支持广域网口; 支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。
但是,目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤,防病毒和
通信与信息系统管理专业高等教育自学考试毕业论文
IDS等的支持,实际的应用效果并不好。因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对CPU的消耗很大。这些功能的启动,会导致性能急剧下降,本来100M的处理能力,可能会下降到几兆,导致网络严重阻塞甚至瘫痪,失去了防火墙存在的意义。
(二)包过滤防火墙和代理
防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。
此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
(三)状态检测技术
状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。对于部分协议,如FTP、H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。例如FTP,除了开始要建立命令通道外,还要动态协商数据通道。
(四)高保障防火墙
防火墙因为软件复杂,实现的功能较多,必须有操作系统支持,操作系统的安全是防火墙安全的基石。1998年,在中国一家机构和美国计算机学会ACM共同举办的国际会议上,我首次提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记、MAC、强实体认证等。入关具有入关证,出关具有出关证。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现了传统防火墙的全部功能。不久前,安胜防火墙应运而生,通过了国家权威机构的测评认证,是我国第一个研制成功的高保障防火墙,目前已经在我国31个省市广泛应用。
四、防火墙的发展趋势
通信与信息系统管理专业高等教育自学考试毕业论文
可以预见,未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位臵的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
通信与信息系统管理专业高等教育自学考试毕业论文
(三)安全
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
结束语
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进 行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
在本次学习中,因为时间紧,加之本身对这方面的知识的掌握有限,论文必定有考虑不周的地方,恳请老师批评指正。
参考文献
[1] 谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2009 170-231 [2] 吴秀梅,毕烨,王见,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社
[3] 张红旗,王鲁 等编著.信息安全技术.高等教育出版社,2010
235-254 [4] 张华贵,王海燕.计算机网络在安全分析与对策[J].电脑知识与技术,2005.7 46-52 [5] 黄思育.浅议防火墙.达县师范高等专科学校学报(自然科学版)[J].2005
点击咨询 