第一篇:防火墙责任书(公安机关)
构筑社会消防安全“防火墙”
工 作 责 任 书
南宁市公安局良庆分局
为深入贯彻落实《消防法》和全国构筑社会消防安全防火墙工程现场会精神,积极推动落实政府、部门、单位、公民消防安全职责,推动社会消防安全管理创新,前移火灾预防关口,提升社会火灾防控水平,坚决预防和遏制重特大尤其是群死群伤恶性火灾事故发生,确保全市火灾形势稳定,根据公安部和自治区人民政府、市政府、市公安局的工作部署,2010年至2012年,在全良庆区实施构筑社会消防安全“防火墙”工程。为明确和下达工作任务,确保工作的顺利开展,特制定本责任书。
一、工作任务
(一)落实政府部门消防工作“四项责任”。良庆区公安机关消防机构提请良庆区人民政府将消防工作纳入国民经济和社会发展计划和政府任期工作目标;将“四个能力”建设纳入城区社会治安综合治理、“平安建设”内容;2010年,研究制定良庆区消防“十二五”发展规划(2011-2015年),2011年全面启动实施;每季度提请良庆区政府至少召开一次良庆区消防工作联席会议;提请良庆区政府适时开展消防安全专项治理,在重大节假日期间以及火灾多发季节,组织开展消防安全检查、消防知识宣传提示和教育培训;每年提请良庆区政府挂牌督办一批重大火灾隐患并如期销案;提请政府组织对实施构筑社会消防安全“防火墙”工程工作情况进行检查考核。
(二)深入开展社会单位消防安全“四个能力”建设,提高社会单位防控火灾水平。良庆区公安分局要督促良庆区消防大队、公安派出所按照《广西社会单位消防安全“四个能力”建设通用指南》和《九类场所“四个能力”建设指南》,指导良庆区单位开展“四个能力”建设工作,组织达标验收。良庆区列管消防安全重点单位“四个能力”建设由良庆区消防大队负责督促指导和进行达标验收,属于人员密集场所的一般单位和三级重点单位“四个能力”建设由良庆区各派出所负责督促指导和进行达标验收。2010年底前,属于人员密集场所的消防安全重点单位要实现全部达标;2011年底前,所有消防安全重点单位实现全部达标;2012年底前,属于人员密集场所的一般单位要实现基本达标。
(三)夯实农村、社区火灾防控“四个基础”,提升社会抗御火灾的整体能力。良庆区公安分局要督促良庆区各公安派出所指导帮助村民委员会、社区居民委员会开展群众性的消防工作:
1.夯实组织建设基础。督促村民委员会、社区居民委员会确定消防安全管理人,组织村(居)民签订《村(居)民防火公约》,2010年,30%的村(居)委会落实消防安全专(兼)职管理人员,负责日常消防安全工作。2011年,所有村(居)委会落实消防安全专(兼)职管理人员。
2.夯实设施建设基础。指导督促每个社区要设臵公共消防器材配臵点,配足配齐灭火器材,保证扑救初起火灾的需要。2010年完成所有社区的20%,2011年完成50%,2012年全部完成;将农村公共消防设施建设纳入新农村建设总体规划,2011年50%以上的新农村建设示范村完成公共消防基础设施建设总体规划并实施,2012年全部完成。
3.夯实群防群治工作基础。督促指导社区内的小场所实行消防安全区域联防制度,开展消防安全互查互督,保证一旦发生火灾能够联合组织扑救。2010年完成所有农村、社区的30%,2011年完成50%,2012年全部完成。
4.夯实队伍建设基础。2010年前,确保30%的乡镇、村庄、社区要按照有关规定建成专(兼)职、志愿或义务消防队伍,2011年前,50%的乡镇、村庄、社区要按照有关规定建成专(兼)职、志愿或义务消防队伍,2012年前,所有乡镇、村庄、社区要按照有关规定建成专(兼)职、志愿或义务消防队伍,使专兼职消防力量基本覆盖每个镇、街、村和社区。
5、贯彻实施广西社区、农村消防工作建设标准,大力开展达标建设。2010年,争取20%的社区、农村达标;2011年内各行政村、城市社区落实消防安全专(兼)职管理人员,并确保50%的社区、农村消防建设达标;2012年争取所有农村、社区消防建设基本达标。
(四)提高公安机关消防监督管理“四个水平”,更好地服务于经济社会建设
1.提高火灾隐患排查整治水平。良庆区公安分局建立消防、治安、内保、警务督察及公安派出所“多警联勤”的消防执法机制,开展联检联查;有针对性地开展“会诊式”火灾隐患排查整治行动,大力排查整治城乡结合部、城中村及出租屋、三合一场所、建设工地工棚、外来务工人员聚集地、集体宿舍等存在的消防安全突出问题;完善“错时制”消防监督检查制度,切实加大消防执法力度,严厉查处消防违法行为;督促指导公安派出所依法做好良庆区有关单位的消防监督检查工作;2010年,要抓好建筑消防设施专项治理。
2.提高消防监督执法规范化水平。督促各公安派出所深入贯彻《广西壮族自治区公安派出所消防监督管理规定》和《广西壮族自治区公安派出所消防监督检查规定》,全面应用“派出所消防监督管理系统”;要进一步深化警务公开,加强执法廉政建设,集中整改人民群众反映强烈的突出问题;各县区消防大队要定期开展公安派出所民警消防业务指导培训,使其做到“四懂四会”(懂政策、懂法律、懂规范、懂业务,会监督执法、会宣传教育、会培训指导、会管理服务),全面提升消防执法能力和水平;2010年,各县区公安机关要突出抓好公安派出所消防监督执法规范化建设工作。
3.提高消防宣传教育水平。督促良庆区政府和有关部门、团体、单位落实消防宣传教育责任,充分利用社会资源开展消防宣传,推动良庆区政府将消防知识纳入学历教育、医务教育、职业教育以及领导干部和国家公务员培训内容;;2010年11月底以前,建立“五进”工作示范点,推动消防宣传“五进”活动的深入开展;2010年,各县区建立消防志愿者队伍,开展消防志愿服务活动和优秀消防志愿者评选活动,2011年,所有消防志愿者完成网上注册;建立 “消防安全教育示范学校”,2011年,各县区至少建立1所“消防安全教育示范学校”。2010年,建立2所以上“消防安全教育示范学校”;大力开展单位“四个能力”建设宣传,重点单位全部悬挂“四个能力”建设挂图,一般单位全部悬挂“一懂三会”挂图。
4.提高社会管理创新水平。各县区公安机关消防机构利用互联网公共消防服务平台,开展消防技术咨询服务; 2010年11月前,完善消防执法便民利民措施,并且公布执行;部署开展“爱民执法”活动,深入开展大接访、大走访、大帮扶、大服务活动;推行社会单位消防安全等级评估;从2011年起,推行单位消防安全管理人、消防控制室值班操作人员、消防检查人员职业资格证制度。
二、责任期限
本责任书期限至2012年12月31日止。
三、考核及奖惩
市公安局将构筑社会消防安全“防火墙”工程纳入公安消防部门、公安派出所的绩效考核,对成绩突出的给予表彰和奖励,对工作进展迟缓、成效不明显的给予通报批评,对重视不够、组织不力、工作不到位,导致发生重特大尤其是群死群伤火灾事故的,实行“一票否决”,并依纪依规追究有关人员的责任。同时,市公安局将适时开展督察,督察情况计入年终考核成绩。
南宁市公安局良庆分局 良庆区公安分局 派出所 签名:
签名:
第二篇:珠海市公安机关党风廉政建设责任书
珠海市公安机关党风廉政建设责任书
(2012)
为确保党风廉政建设和反腐败工作任务的落实,根据中共中央、国务院2010修订的《关于实行党风廉政建设责任制的规定》和省厅对落实党风廉政建设责任制的要求,按照“谁主管、谁负责”的原则,结合我市公安机关实际,制定本责任书。
一、责任内容
各单位班子主要负责人是职责范围内的党风廉政建设第一责任人,对本单位的党风廉政建设负全面领导责任,对下属科、所、队的党风廉政建设负指导、监督责任。责任内容如下:
(一)把党风廉政建设放在更加突出的位置,列入党委(党总支、支部)重要议事日程,结合实际贯彻落实上级的部署和要求,研究制定党风廉政建设工作计划、目标要求和具体措施。每年亲自组织召开专题会议,对党风廉政建设工作任务进行责任分解,明确领导班子、领导干部在党风廉政 1
建设上的职责和任务分工,并按照计划推动落实。
(二)组织开展党性党风党纪和廉洁从警教育,积极开展纪律教育学习月活动,教育党员、民警学习党风廉政建设理论和法规制度,带头给民警上廉政党课,大力开展公安廉政文化建设,积极营造廉荣贪耻的氛围。
(三)带头贯彻落实党风廉政建设法规制度,严格执行中央纪委《关于领导干部廉洁从政若干准则》和公安部“五个严禁”,全面落实领导干部个人有关事项报告登记制度,严格落实领导干部民主生活会制度和述职述廉制度,认真开展廉政谈话、任职谈话、提醒谈话和诫勉谈话。积极推进制度创新,深化体制机制改革,从源头上预防和治理腐败。
(四)强化权力制约和监督,建立健全决策权、执行权、监督权既相互制约又相互协调的权力结构和运行机制,推进权力运行程序化和公开透明。
(五)监督检查本地区、本部门的党风廉政建设情况和下级领导班子、领导成员廉洁从政、廉洁从警情况。
(六)严格按照规定选拔任用干部,防止和纠正选人用人上的不正之风。
(七)加强作风建设,纠正损害群众利益的不正之风,切实解决党风政风警风方面存在的突出问题。
(八)领导、组织并支持各级纪检监察、督察、审计等
监督部门组织机构建设和队伍建设,支持纪检监督部门依法依规履行职责。
二、落实责任的要求
(一)各单位主要领导要切实履行第一责任人的政治职责,切实加强对党风廉政建设和反腐败工作的领导,结合实际制定落实责任的具体措施,做到重要工作亲自部署、重大问题亲自过问、重点环节亲自协调、重要案件亲自督办,确保党风廉政建设和反腐败工作各项任务的落实。
(二)各单位主要领导要加强对领导班子成员的党风廉政情况实施监督和管理,督促其抓好自身建设及职责范围内的党风廉政建设和反腐败工作。加强对副科以上领导干部及各科、所、队领导班子的党风廉政情况进行监督、检查和指导。
三、检查考核与责任追究
(一)市局党委将不定期对各单位的党风廉政建设责任制执行情况进行检查,每组织进行考核。检查、考核的结果,将作为对领导干部业绩评定、奖励惩处、选拔任用的重要依据。
(二)市局党委将定期对各单位领导班子成员进行廉政测评,了解领导干部廉洁从政、廉洁从警情况。测评结果为“一般”、“较差”的,予以提醒教育;反映的违法违纪线索,由纪检监察部门核查处理。
(三)实行党风廉政建设责任制执行情况报告制度。各单位党委(党总支、支部)贯彻落实党风廉政建设责任制的情况,在年底12月20日前书面报市局党委、纪委。
(四)对不认真贯彻执行党风廉政建设责任制,没有履行好职责导致队伍中不正之风严重,群众反映强烈的问题,长期得不到治理;领导干部的配偶、子女和身边工作人员利用该领导干部职权和职务上的影响获取非法利益,造成恶劣影响;对职责范围内的反腐败工作敷衍塞责,不抓不管,以致屡屡发生大案要案;选拔任用干部违反有关政策规定,用人失察等违反责任制规定的问题,要进行严肃的责任追究。单位主要领导要向市局党委作出检讨,并按规定承担责任、接受处理。
四、本责任书一式两份,市局、责任单位各一份。
市局党委书记、局长单位责任人
签名:签名:
二Ο一二年月日
第三篇:防火墙论文
防火墙技术论文
姓 名:王田辉 学 号:2012110438 专 业:网络工程
摘要
本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处 和解决方案。最后展望了防火墙的反战前景以及技术方向。
关键字:防火墙;网络;网络安全;功能;Internet;
Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,目录
一、防火墙是什么.........................................1
二、防火墙的分类.........................................1
三、防火墙的发展历程.....................................1
四、防火墙的工作原理.....................................2
五、防火墙应该具备的特性.................................2
六、防火墙主要技术.......................................2
七、常见攻击方式以及应对策略.............................3
八、防火墙的反战前景以及技术方向.........................3
九、结束语...............................................4
十、参考文献.............................................4 现在无论是企业,还是个人,随着计算机的应用由单机发展到网络,网络面临着大量的安全威胁,其安全问题日益严重,日益成为广泛关注的焦点。在这样一个大环境下,网络安全问题凝了人们的注意力,大大小小的企业纷纷为自己的内部网络“筑墙”,防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
一、防火墙是什么
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
二、防火墙的分类
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
三、防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙,后来演变为目前所说的状态监视技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
四、防火墙的工作原理
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
五、防火墙应该具备的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1、安全、成熟、国际领先的特性;
2、具有专有的硬件平台和操作系统平台;
3、采用高性能的全状态检测(Stateful Inspection)技术;
4、具有优异的管理功能,提供优异的GUI管理界面;
5、支持多种用户认证类型和多种认证机制;
6、需要支持用户分组,并支持分组认证和授权;
7、支持内容过滤;
8、支持动态和静态地址翻译(NAT;
9、支持高可用性,单台防火墙的故障不能影响系统的正常运行;
10、支持本地管理和远程管理;
11、支持日志管理和对日志的统计分析;
12、实时告警功能,在不影响性能的情况下,支持较大数量的连接数;
13、在保持足够的性能指标的前提下,能够提供尽量丰富的功能;
14、可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯;
15、支持在线升级;
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能;
17、防火墙能够与入侵检测系统互动。
六、防火墙主要技术
先进的防火墙产品将网关与安全系统合二为一,具有以下技术:双端口或三端口的结构;透明的访问方式;灵活的代理系统;多级的过滤技术;网络地址转换技术(NAT);Internet网关技术;安全服务器网络(SSN);用户鉴别与加密;用户定制服务;审计和告警。
七、常见攻击方式以及应对策略
(一)病毒
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
(二)口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
(三)邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
(四)IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
八、防火墙的反战前景以及技术方向
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患
九、结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
十、参考文献
[1] 作者:彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者:IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料
[3] 作者:楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者:聂元铭 丘平《网络信息安全技术》 科学出版社
第四篇:防火墙基础知识
防火墙基础知识
3.3 包过滤包过滤技术(Ip Filtering or packet filtering)的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway.网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。
Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容)过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。
*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接,则Router舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种:
.允许特定名单内的内部主机进行Telnet输入对话
.只允许特定名单内的内部主机进行FTP输入对话
.只允许所有Telnet 输出对话
.只允许所有FTP 输出对话
.拒绝来自一些特定外部网络的所有输入信息
* 独立于服务的过滤
有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获悉:研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种:.源IP地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。
.源路由攻击源站指定了一个信息包穿越Internet时应采取的路径,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。
.残片攻击入侵者利用Ip残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包,即可挫败残片的攻击。从以上可看出定义一个完善的安全过滤规则是非常重要的。通常,过滤规则以表格的形式表示,其中包括以某种次序排列的条件和动作序列。每当收到一个包时,则按照从前至后的顺序与表格中每行的条件比较,直到满足某一行的条件,然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时,“动作”这一项还询问,若包被丢弃是否要通知发送者(通过发ICMP信息),并能以管理员指定的顺序进行条件比较,直至找到满足的条件。以下是两个例子: * 例 一
某公司有一个B类地址 123.45.0.0,它不希望Internet上的其他站点对它进行访问。但是,该公司网中有一个子网123.45.6.0 用于和某大学合作开发项目,该大学有一个B类地址 135.79.0.0,并希望大学的各个子网都能访问123.45.6.0 子网。但是,由于135.79.99.0 子网中存在着不安全因素,因此,它除了能访问123.45.6.0 子网之外,不能访问公司网中的其它子网。为了简单起见,假定只有从大学到公司的包,表一中列出了所需的规则集。
表 一
规 则
源
地 址
目 的 地 址
动
作
A
135.79.0.0
123.45.6.0
permit
B
135.79.99.0
123.45.0.0
deny
C
0.0.0.0
0.0.0.0
deny
其中0.0.0.0代表任何地址,规则C是缺省规则,若没有其它的规则可满足,则应用此规则。如果还有从公司到大学的包,相对称的规则应加入到此表格中,即源地址与目的地址对调,再定义相应的动作。
现在,我们按照规则ABC的顺序来进行过滤和按照BAC的顺序来进行过滤后采取的动作的结果如表二所示(注意:两种动作的结果有不同)
表
二 Packet 源 地 址
目 的 地 址
希望的动作 执行ABC后 执行BAC后
135.79.99.1
123.45.1.1
deny
deny(B)
deny(B)
* 2
135.79.99.1
123.45.6.1
permit
permit(A)deny(B)3
135.79.1.1
123.45.6.1
permit
permit(A)permit(A)4
135.79.1.1
123.45.1.1
deny
deny(C)
deny(c)
从表二可以看出,以ABC的顺序来应用规则的Router能达到预想的结果: 从135.79.99.0子网到公司网的包(如包1)都被拒绝(根据规则B),从135.79.99.0子网到123.45.6.0子网的包(如包2)将被转发(根据规则A),从大学中的其它子网到123.45.6.0的子网包(如包3)也将被转发(根据规则A),从大学中的其它子网到公司中的其它字网的包(如包4)都被拒绝(根据规则C)。若以BAC的顺序来应用规则,则不能达到预计的目的。实际上,在上面的规则外集中存在着一个小错误,正是由于这个错误,导致了以ABC的顺序和以BAC的顺序来应用规则而出现了不同的结果。该错误就是:规则B似乎用于限制135.79.99.0子网访问公司网,但实际上这是多余的。如果将这条规则去掉,那么顺序ABC和BAC都将归结为AC顺序。以AC的顺序进行过滤后的结果如表三所示。
表
三
Packet
源 地 址
目 的 地 址
希望的动作
AC 动作
135.79.99.1
123.45.1.1
deny
deny(C)
135.79.99.1
123.45.6.1
permit
permit(A)
135.79.1.1
123.45.6.1
permit
permit(A)
135.79.1.1
123.45.1.1
deny
deny(C)
* 例 二如图一所示的网络,由包过滤的Router作为在内部被保护的网络与外部不安全的网络之间的第一道防线。假设网络的安全策略为:从外部主机来的Internet Mail 在一个指定的网关上接收,同时你不信任外部网络上一个名叫HPVC的主机,准备拒绝任何由它发起的网络通信。
本例中,关于使用SMTP的网络安全策略必须转移为包过滤规则。可以将网络安全规则转换成下述用语言表示的规则:
规则1: 拒绝从主机HPVC发起的连接。
规则2:允许连接到我们的E-Mail网关。这些规则可以用下面的表四来表示。星号(*)表示可以匹配该列的任何值。
表
四规则
动作
本地
本地
远地主机
远地
说明
序号
主机
端口号
端口号
Block
*
*
HPVC
*
Block traffic from
HPVC 2
Allow Mail-GW 25
*
*
Allow Connection to Our
Mail gateway
对于表四所示的规则1而言,在远地主机栏中填入了HPVC,而其它所有栏的内容都是星号;在动作栏填入阻塞。这条规则的意义可以理解为:阻塞所有从远地主机HPVC发起的从它的任意端口到我们本地任意主机的任意端口的连接。对于表四所示的规则2而言,在本地主机和本地端口号两栏中都有内容,而其它栏都是星号;在动作栏填入允许。这个规则的意义可以理解为:允许从任意远地主机的任意端口发起的到本地主机Mail-GW的25号端口连接(端口25是为SMTP保留的)规则是按照它们在表中的顺序来执行的。如果一个分组不符合任何规则,则它将被拒绝。
在表四中对规则的描述有一个严重的问题,它允许任意外部主机从端口25发起一个呼叫。端口25是为SMTP保留的,但是一个外部主机有可能利用这个权利从事其它活动。这条规则的一个更好的描述方案是允许本地主机发起呼叫,同远地主机的端口25进行通信。这使得本地主机可以向远地站点发送电子邮件。如果远地主机不是用端口25执行SMTP,则SMTP的发送进程将不能发送电子邮件。这等价与远地主机不支持电子邮件。一个TCP连接是一个全双工连接,信息双向流动。在表四所示的包过滤规则中没有明确指定被发送报文分组中信息的传递方向,即是从本地主机发送远地站点,还是从远地站点发送到本地主机。当一个TCP包在某一个方向上传递时,它必须被接收方确认。接收方通过设置TCP ACK标志来发送应答帧。TCP ACK标志也被用来确认TCP建立连接请求,ACK包将在所有TCP连接上发送。当一个ACK包被发送后,发送方向就逆转过来,包过滤规则应该考虑为响应控制或数据包而发回的ACK包。对于下面的表五中的规则1,在源主机栏中填入199.245.180.0,在目标主机端口号栏中填入25,其它栏中都填入星号,在动作栏中填入允许.整个规则的意义为:允许所有从网络199.245.180.0任意端口发起的任意目标主机端口号为25的连接(其中199.245.180.0是一个C类网络地址,主机号字段为0表示网络上任意一台主机).基于以上的讨论,修改后的包过滤规则如表五中所示.表
五
SMTP的包过滤规则规则 动作
源主机
源端
目标主机
远地
TCP标识
说明
序号
口号
端口号
/IP选项 Allow 199.245.180.0 *
*
Allow packet
from Network
199.245.180.02 Allow
*
199.245.180.0 *
TCP ACK Allow return
acknowledgement
对于表五中的规则2,在源端口号栏中填入25,在目标主机栏中填入199.245.180.0,在TCP标志和IP选项栏中填入TCP ACK,其它栏中都填入星号,在动作栏中填入允许.整个规则的意义为:允许所有从任何外部网络主机上源端口号25发起的到任意本地主机(在网络199.245.180.0上)任意端口号的TCP ACK标志置位的连接.表五中的两条过滤规则合并起来的效果是:允许网络199.245.180上的任意主机同任何外部网络主机的SMTP端口建立连接.由于包过滤器只工作在OSI模型的第二和第三层(数据层和网络层).它无法绝对保证返回的TCP确认帧中是否属于同一个连接.在实际应用中,这个策略运行得很好,因为TCP维护连接两侧的状态信息,它们知道将要发送或接收的序号和确认信息.同时,一些上层应用服务,例如TELNET ,SMTP 和FTP等,只能接受遵循应用层协议规则的包,想要伪造包含正确应答信息的包是非常困难的.如想要使安全程度更高,可考虑和应用层网关一起使用(下节将会讨论).罗罗嗦嗦说了一大通,可以综述为下面两点:包过滤路由器的优点:
绝大多数Internet 防火墙系统只用一个包过滤路由器.与设计过滤器和匹配Router不同的是,执行PACKET FILTER 所用的时间很少或几乎不需要什么时间.因为Internet 访问一般被提供给一个WAN接口.如果通信负载适中且定义的过滤很少的话,则对Router性能没有多大影响.最后一点,包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件.包过滤路由器的局限性:
定义包过滤器可能是一项复杂的工作,因为网管员需要详细地了解Internet 各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的,则过滤规则集可能会变得很长和很复杂,从而很难管理。存在几种自动测试软件,被配置到Router上后即可校验过滤规则。这可能对未检测到的易损部件开放了一个地点。一般来说,一个路由器和信息包吞吐量随过滤器数量的增加而减少。Router 被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表,而后将信息包顺向运行到适当转发接口。如果过滤可执行,Router还必须对每个包执行所有过滤规则。这可能消耗CPU的资源,并影响一个完全饱和的系统性能。
3.4 应用网关
为了克服与包过滤路由器相关联的某些弱点,防火墙需要使用应用软件来转发和过滤Telnet和Ftp等服务的连接。这样一种应用叫做代理服务,而运行代理服务软件的主系统叫做应用网关。应用网关和包过滤路由器可以组合在一起使用,以获得高于单独使用的安全性和灵活性。作为一个例子,请考虑一个用包过滤路由器封锁所有输入Telnet 和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统,即Telnet/Ftp应用网关,然后再连接到目的主系统,过程如下:
1.用户首先把Telnet连接到应用网关,并输入内部主系统的名字;
2.网关检验用户的源IP地址,并根据任何合适的访问准则接受或拒绝;
3.用户可能需要证明自己的身份(可使用一次性口令装置);
4.代理服务软件在网关和内部主系统之间建立Telnet连接;
5.于是,代理服务软件在两个连接之间传送数据;
6.应用网关记录连接情况。这一例子指出了使用代理服务软件的几个好处。第一,代理服务软件只允许有代理的服务通过。换句话说,如果应用网关包含Telnet和Ftp的代理软件,则只有Ftp和Telnet被允许进入受保护的子网,而其它所有服务都完全被封锁住。对有些网点来说,这种程度的安全性是很重要的,因为它保证,只有那些被认为“可信赖的”服务才被允许通过防火墙。它还防止其他不可靠的服务不会背着防火墙管理人员实施。使用代理服务的另一好处是可以过滤协议。例如,有些防火墙可以过滤FTP连接,并拒绝使用FTP 协议中的 put 命令。如果人们要保证用户不能写到匿名FTP服务器软件,则这一点是很有用的。应用网关有三种基本的原型,分别适用于不同的网络规模。
* 双穴主机网关(Dual-Homed Gateway)
* 屏蔽主机网关(Screened Host Gateway)
* 屏蔽子网网关(Screened Subnet Gateway)这三种原型有一个共同的特点,就是都需要一台主机(如上面所述一样),通常称为桥头堡主机(Bastion Host)。该主机充当应用程序转发者、通信登记者以及服务提供者的角色。因此,保护该主机的安全性是至关重要的,建立防火墙时,应将较多的注意力放在该主机上。
* 双穴主机网关该原型的结构如下图所示。其中,桥头堡主机充当网关,因此,需要在此主机中装两块网卡,并在其上运行防火墙软件。受保护网与Internet之间不能直接进行通信,必须经过桥头堡主机,因此,不必显示地列出受保护网与不受保护网之间的路由,从而达到受保护网除了看到桥头堡主机之外,不能看到其他任何系统的效果。同时,桥头堡主机不转发TCP/IP包,网络中的所有服务都必须由此主机的相应代理程序支持。
由于双穴主机网关容易安装,所需的硬件设备也较少,且容易验证其正确性,因此,这是一种使用较多的纺火墙。双穴主机网关最致命的弱点是:一旦防火墙被破坏,桥头堡主机实际上就变成了一台没有寻径功能的路由器,一个有经验的攻击者就能使它寻径,从而使受保护网完全开放并受到攻击。例如,在基于Unix的双穴主机网关中,通常是先修改一个名叫IPforwarding的内核变量,来禁止桥头堡主机的寻径能力,非法攻击者只要能获得网关上的系统特权,就能修改此变量,使桥头堡主机恢复寻径能力,以进行攻击。
* 屏蔽主机网关
该原型的结构如下图所示。其中,桥头堡主机在受保护网中,将带有包屏蔽功能的路由器置于保护网和Internet之间,它不允许Internet对保护网的直接访问,只允许对受保护网中桥头堡主机的访问。与双穴网关类似,桥头堡主机运行防火墙软件。屏蔽主机网关是一种很灵活的防火墙,它可以有选择地允许那些值得信任的应用程序通过路由器。但它不像双穴网关,只需注意桥头堡主机的安全性即可,它必须考虑两方面的安全性,即桥头堡主机和路由器。如果路由器中的访问控制列表允许某些服务能够通过路由器,则防火墙管理员不仅要管理桥头堡主机中的访问控制表,还要管理路由器中的访问控制列表,并使它们互相协调。当路由器允许通过的服务数量逐渐增多时,验证防火墙的正确性就会变得越来越困难。* 屏蔽子网网关该原型的结构如下图所示。其中,一个小型的独立网络放在受保护网与Internet之间,对这个网络的访问受到路由器中屏蔽规则的保护。因此,屏蔽子网中的主机是唯一一个受保护网和Internet都能访问到的系统。从理论上来说,这也是一种双穴网关的方法,只是将其应用到了网络上。防火墙被破坏后,它会出现与双穴主机网关同样的问题。不同的是,在双穴主机网关中只需配置桥头堡主机的寻径功能,而在屏蔽子网网关中则需配置三个网络(受保护网、屏蔽子网和Internet)之间的寻径功能,即先要闯入桥头堡主机,再进入受保护网中的某台主机,然后返回包屏蔽路由器,分别进行配置。这对攻击者来说显然是极其困难的。另外,由于Internet很难直接与受保护网进行通信,因此,防火墙管理员不需指出受保护网到Internet之间的路由。这对于保护大型网络来说是一种很好的方法。应用网关的一个缺点是,就Telnet 等客户机--服务器协议来说,需要采取两个步骤来连接输入信息或输出信息。有些应用网关需要经过修改的客户机,这一点既可看作是缺点,也可看作是优点,视修改的客户机是否更加容易使用防火墙而定。Telnet应用网关不一定需要经过修改的Telnet客户机,但是,它需要修改用户行为:用户必须连接到防火墙(但不记录),而不是直接连接到主系统。但是,经过修改的Telnet客户机可以使防火墙透明,因为它允许用户用Telnet命令规定目的系统(不是防火墙)。防火墙起着通向目的系统通道的作用,从而拦截连接,再按需完成其他步骤,如查询一次性口令。用户行为仍然是相同的,但其代价是每个系统需要一个经过修改的客户机。除了Telnet 外,应用网关一般用于Ftp 和电子邮件,同时也用于XWindows和其他某些服务。有些Ftp应用网关包括拒绝特定主系统的put 和get 命令的能力。例如,一个已同内部系统(如匿名Ftp服务器)建立Ftp对话(通过Ftp应用网关)的外部用户,可能试图把文件上装到服务器。应用网关可以过滤Ftp协议,并拒绝把所有puts命令发送给匿名Ftp服务器;这将保证没有文件能上装到服务器,而且所提供的确信程度要高于只依赖由设置正确的匿名Ftp服务器进行的文件许可。电子邮件应用网关可集中收集电子邮件,并把它分发给内部主系统和用户。对外部用户来说,所有内部用户都拥有电子邮件地址,其格式为:user@emailhost 其中,emailhost是电子邮件网关的名字。网关会接受外部用户的邮件,然后按需把邮件转发到其他内部系统。从内部系统发送电子邮件的用户可以从其主系统直接发送电子邮件,否则在内部系统名字只有受保护的子网知道的情况下,邮件会发送给应用网关,然后应用网关着把邮件转发给目的主系统。有些电子邮件网关使用更加安全的sendmail程序版本来接收电子邮件
第五篇:防火墙论文
河北大学人民武装学院
河北大学人民武装学院2015届毕业论文
防火墙安全技术
河北大学人民武装学院
中 队:三十一中队
专 业:计算机网络技术
班
级:四班
姓 名:马伟韬
防火墙安全技术
摘 要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。
关键词:防火墙
网络安全
包过滤
状态监视
应用代理
河北大学人民武装学院
河北大学人民武装学院
目 录
引
言..............................................................................................5
一、防火墙的概念..............................................................................6
二、防火墙的分类..............................................................................7
三、防火墙技术................................................................................10
四、技术展望....................................................................................13 结
论...............................................................................................14 谢
辞............................................................................................15 参考文献............................................................................................16
河北大学人民武装学院
引
言
随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
河北大学人民武装学院
一、防火墙的概念
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称。
到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(firewall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。
河北大学人民武装学院
二、防火墙的分类
世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(network driver interface specification,ndis)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,ndis直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管ndis接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。
软件防火墙工作于系统接口与ndis之间,用于检查过滤由ndis发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分cpu资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出cpu资源去进行基于软件架构的ndis数据检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的unix系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因
河北大学人民武装学院
素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。
有人也许会这么想,既然pc架构的防火墙也不过如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的,但是工作效率并不能和真正的pc架构防火墙相比,因为pc架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更高度紧密集合,而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能,这些要求并不是安装了多网卡的计算机就能简单替代的,因此pc架构防火墙虽然是与计算机差不多的配置,价格却相差很大。
现实中我们往往会发现,并非所有企业都架设了芯片级硬件防火墙,而是用pc架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最显著的缺点了:它太贵了!购进一台pc架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小企业所能承受的,而且对于一般家庭用户而言,自己的数据和系统安全也无需专门用到一个硬件设备去保护,何况为一台防火墙投入的资金足以让用户购买更高档的电脑了,因而广大用户只要安装一种好用的软件防火墙就够了。
为防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类„„虽然看似种类繁多,但这只是因为业界分类方法不同罢了,例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”,因此这里主要介绍的是技术方面的分类,即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。
那么,那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢?所谓“边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为“边界防火墙”;与之相对的有“个人防火墙”,它们通常是基于软件的防火墙,只处理一台计算机的数据而不是整个网络的数据,现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢,就是我们最常见的一台台硬件防火墙
河北大学人民武装学院
了;一些厂商为了节约成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙。
河北大学人民武装学院
三、防火墙技术
传统意义上的防火墙技术分为三大类。
1.“包过滤”(packet filtering)、据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
2.应用代理技术
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如syn攻击、icmp洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(application proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(transparent proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(application protocol analysis)的新技术。
“应用协议分析”技术工作在osi模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“get /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的
河北大学人民武装学院
功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。
3.状态监视技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是checkpoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(deep packet inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
“状态监视”(stateful inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(session filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间
河北大学人民武装学院
限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
河北大学人民武装学院
四、技术展望
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
河北大学人民武装学院
结
论
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
河北大学人民武装学院
谢
辞
在此我要感谢我的专业老师,是你的细心指导和关怀,使我能够顺利的完成毕业论文。在我的学业和论文的研究工作中无不倾注着老师辛勤的汗水和心血。老师的严谨治学态度、渊博的知识、无私的奉献精神使我深受启迪。从尊敬的老师身上,我不仅学到了扎实、宽广的专业知识,也学到了做人的道理。在此我要向我的老师致以最衷心的感谢和深深的敬意。
河北大学人民武装学院
参考文献
[1] 杨峰,张浩军.信息战与计算机网络攻防.北京市:北京邮电大学出版
社,2011年,115~134页。
[2] 贺雪晨.黑客入侵分析与防范.北京市:清华大学出版社,2012年,58
页。
[3] 伍俊良.计算机网络安全与对抗.北京市:清华大学出版社,2013年,98~105页。
[4] 王淑红.网络安全.北京市:机械工业出版社,2012年,57~89页。