防火墙常用技术与性能研究.docx
《防火墙常用技术与性能研究.docx》由会员分享,可在线阅读,更多相关《防火墙常用技术与性能研究.docx(25页珍藏版)》请在冰点文库上搜索。
防火墙常用技术与性能研究
学号:
20080202022
毕业设计论文
题目:
防火墙常用技术与性能研究
专业:
计算机网络技术
班级:
学生姓名:
导师姓名:
起止时间:
2010年9月至2010年12月止
摘要
随着计算机网络技术的快速发展,越来越多计算机连接到Internet,在互联网上进行各种各样的网络活动,而正是因为这些活动也同时促使了网络安全、网络侵权等犯罪活动和行为的出现,并且日益猖獗。
文中就信息网络安全内涵发生的根本变化,网络安全与防护、防火墙技术的概念、作用,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。
论述了网络防火墙安全技术的分类及其主要技术特征,并且介绍了防火墙技术的相关知识。
【关键字】黑客防火墙网络安全
Abstract
Withtherapiddevelopmentofcomputernetworktechnology,moreandmorecomputersconnectedtotheInternet,ontheInternetforavarietyofnetworkactivity,butpreciselybecausetheseactivitiesalsoledthenetworksecurity,networkandothercriminalactivitiesandactsinfringingTheemergenceandgrowingrampant.Thetextcontentofinformationnetworksecurityinplaceforafundamentalchange,networksecurityandprotection,firewalltechnology,concept,function,describesthedevelopmentofnationalinformationsecuritysystemoftheimportanceandestablishmentofanetworksecuritysystemwithChinesecharacteristicsneed.Discussestheclassificationofnetworkfirewallsecuritytechnologyanditsmaintechnicalcharacteristics,anddescribestheknowledgeoffirewalltechnology.
【Keywords】hackerfirewallnetworksecurity
目录
摘要………………………………………………………………………………………1
引言………………………………………………………………………………………3
第一章背景和意义……………………………………………………………………4
第二章防火墙的概述……………………………………………………………………5
§2.1防火墙的定义……………………………………………………………5
§2.2防火墙的分类……………………………………………………………5§2.3防火墙的优点……………………………………………………………7§2.4防火墙的不足……………………………………………………………8
第三章防火墙的简介及基本原理……………………………………………………9
§3.1防火墙的简介……………………………………………………………9§3.2防火墙的基本类型和原理………………………………………………10
第四章防火墙常用技术和性能………………………………………………………13
§4.1防火墙使用的技术………………………………………………………13
§4.2防火墙的包过滤…………………………………………………………13§4.3防火墙的应用代理技术…………………………………………………14§4.4状态检测技术……………………………………………………………15
第五章常用的防火墙实例……………………………………………………………17§5.1360防火墙…………………………………………………………………17§5.2360的主要功能…………………………………………………………17
第六章选择防火墙须考虑的基本原则…………………………………………………19§6.1选择防火墙的基本原则……………………………………………………19§6.2选择防火墙的基本标准……………………………………………………19结束语………………………………………………………………………………20
致谢………………………………………………………………………………21
参考文献…………………………………………………………………………22
引言
在计算机技术和网络技术普遍应用的今天,人们已经不再用太多的脑子去记很多的东西了,主要记载在计算机上或与之相关机器上,只需记载一些密码便可,也方便查询。
但是,由于连上了网,难免有些人有盗取的想法,因此,需要确保信息系统安全。
以前,人们只要设些复杂的密码就可以,但是连上网后,骇客们就有盗窃,破坏的行动了,尤其是敏感信息。
因此,不只要经常给系统打补丁,还要有一个好的防火墙。
有防火墙可以更好的防范骇客攻击,它可以控制端口的连接,把一些危险的端口屏蔽掉,防止他人对的机子配置信息的扫描,可以防范一些有攻击性的病毒,因此,用防火墙是很有必要的。
可以根据自己爱好或用途选择防火墙,如天网防火墙,诺顿安全特警,瑞星防火墙等。
还有,安装防火墙,它的设置不能仅是默认设置,自己适当更改,以便更适合自己。
由此引出的问题和解决办法就是这一课题的主要研究对象。
第一章背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。
做为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。
我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
防火墙有以下几大特点:
第一,防火墙来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,防火墙技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。
对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。
政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
第二章防火墙概述
2.1防火墙的定义
在逻辑上,防火墙是一个分离器,一个所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。
该计算机流入流出的所有网络通信均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
2.2防火墙的分类
2.2.1以软硬件形式区分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
2.2.2软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
江民个人防火墙
2.2.3硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。
很多防火墙还可以进一步扩展端口数目。
天网硬件防火墙
2.2.4芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
芯片级防火墙
2.3防火墙的优点
2.3.1、防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
2.3.2、防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。
作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
2.3.3、防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
2.3.4、防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2.4防火墙的不足
防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方按的全部。
某些威胁是防火墙力所不及的。
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。
内部人员可能滥用被给予的访问权,从而导致事故。
防火墙也不能防止像社会工程攻击――一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息,如网络的口令。
另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。
另一个防止的是怀有恶意的代码:
病毒和特洛伊木马。
虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。
而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
第三章防火墙的简介及基本原理
3.1防火墙的简介
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:
无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。
国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。
在这一层上,企业对安全系统提出的问题是:
所有的IP是否都能访问到企业的内部网络系统?
如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
但包过滤技术的缺陷也是明显的。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的JAVA小程序以及电子邮件中附带的病毒。
有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。
由于这种产品是基于应用的,应用网关能提供对协议的过滤。
例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。
正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
3.2防火墙的基本类型和原理图
3.2.1包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:
系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(包过滤防火墙工作原理图)
3.2.2、应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:
一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(应用网关防火墙工作原理图)
3.2.3、状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(状态检测防火墙工作原理图)
3.2.4、复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。
以防火墙功能为基础平台,以其他的安全模块为多层次应用环境,构筑了一套完整的立体的网络安全解决方案。
(复合型防火墙工作原理图)
第四章防火墙的常用技术和性能
4.1防火墙使用的技术
防火墙从原理上主要有三种技术:
包过滤技术、代理服务技术和状态检测技术。
按照实现形式,可以将防火墙分为软件防火墙和硬件防火墙。
无论是哪种防火墙,从实现技术看,都使用了一种或者是多种技术。
4.2防火墙的包过滤
包过滤是一种安全筛选机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。
包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的处理。
丢弃(DROP)这个包或接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。
它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
防火墙包过滤技术
4.21包过滤性能
包过滤优点:
●处理速度快
●提供透明的服务,与应用层无关,用户不用改变客户端程序,无需用户名密码登录。
●成本低,路由器通常集成了简单包过滤的功能,基本不再需要单独的实现包过滤功能的防火墙设备
4.3防火墙的应用代理技术
代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。
防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。
这些程序接受用户对因特网服务的请求(如文件传输FTP和远程登录Telnet等),并按照安全策略转发它们到实际的服务。
所谓代理就是一个提供替代连接并且充当服务的网关。
代理也称之为应用级网关。
代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。
代理在幕后处理所有用户和因特网服
务之间的通信以代替相互间的直接交谈.
代理的实现过程
4.1.2.1代理技术性能
代理技术的优点:
●可以识别并实施高层的协议,如http等,安全级别高于包过滤防火墙,同时也能处理数据包
●代理服务型防火墙可以配置成唯一的可被外边看见的主机,以保护内部主机免受外部的攻击
●可以强制执行用户认证
●代理工作在客户机和真实服务器之间,可记录和控制所有进出流量,能提供较详细的审计日志
4.4状态检测技术
状态检测,又叫状态包检查,它是动态包过滤的一种。
传统的包过滤防火墙只能通过检测正包头的相关信息来决定数据流的通过或拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测技术
4.41状态检测技术性能
状态检测技术的优点:
●指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。
●通过限制某些协议的传出请求,来减少网络中不必要的服务。
●大多数代理防火墙能够记录所有的连接,包括地址和持续时间。
这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
第五章常用的防火墙实例
5.1360防火墙
360防火墙是一款保护用户上网安全的产品,奇虎公司研发的防火墙产品。
在您浏览网页、玩网络游戏、聊天时,它可以阻截各类网络风险。
360防火墙拥有云安全引擎,解决了传统网络防火墙频繁拦截、识别能力弱的问题,轻巧快速保护上网安全。
360防火墙
5.2360的主要功能
1、360网络防火墙加入了云防御监控,这样可疑动作通过云端校验,安全性肯定加强不少。
2、上网信息中包括共享资源保护,地位端口保护,端口扫描检测,ping扫描防护,主机名称防泄漏等,这些应该是对网络安全是一个比较全面的防护了。
3、入侵检测,该功能开启我估计如果没有设置规则的话,应该会有不少弹窗来给用户判断的。
当然如果前面的云监控及时达到效果的话,可以避免太多弹窗的。
4、ARP防火墙也加入到了网络防火墙中。
其实我这里想考虑一个问题了,如果和360安全卫士同时使用的话,那安全卫士中的ARP防火墙和网络防火墙中的ARP防火墙如何协调的。
5、另外还有网络流量监控等功能。
主界面显示4个状态,分为网络访问云监控、上网信息保护、入侵检测、ARP防火墙
1。
连入监控:
管理程序访问网页、下载、传送消息时发起的网络请求,可通过“管理”选项控制程序的上网访问。
包括,检测连入网络进程,协议,本地端口、远程端口,状态(监听,等待,已关闭),上传、下载流量
2。
入侵检测:
解决常见的网络攻击,让电脑不受黑客侵害。
可防30中网络攻击,分三个等级
3。
程序规则:
通过云安全引擎,智能分析程序上网行为,对可疑网络行为进行拦截,提高看网页、玩网络游戏、聊天的安全性。
可通过添加规则设置。
程序规则有四个等级
4。
网络连接规则:
封堵系统中存在的网络漏洞,保护共享图片/文档、系统信息安全。
包括上网信息保护和自定义网络规则
上网信息保护:
包括主机名称防泄漏、保护共享资源、防止Ping扫描、允许Ping方式探测其他主机
第六章选择防火墙须考虑的基本原
升级会员 