防火墙技术.docx
《防火墙技术.docx》由会员分享,可在线阅读,更多相关《防火墙技术.docx(11页珍藏版)》请在冰点文库上搜索。
防火墙技术
南阳师范学院
学生期末考试论文(设计)
题目:
浅析网络防火墙技术
的策略探讨
系(院):
物理与电子工程学院
专业:
通信工程
班级:
09级通信四班
学号:
09006510461
指导教师:
乔路
论文作者:
张艳艳
浅析网络防火墙技术
摘要
在当今的计算机世界,随着网络技术的发展,因特网的使用无处不在,网络的安全成为人们最为关注的问题。
为了安全的使用“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:
防火墙。
目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
关键词:
防火墙网络安全包过滤体系结构安全策略
代理服务选购原则
1、防火墙的体系结构
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。
通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:
包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
a)包过滤防火墙包过滤防火墙是防火墙常见的类型,也称为分组过滤防火墙,作用在网络层和传输层。
其技术依据是网络中的包传输技术。
网络上的数据都是数据包中以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都带有传输数据的特征信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等,包过滤防火墙判断所依据的信息,均来源于IP、TCP、或UDP包头特征信息。
通过读取数据包头中的特征满足过滤规则的数据包,才会被防火墙转发相应目标网络接口。
一旦发现有来自危险网络的特征数据包,依据预先配置的过滤规则,防火墙便会将这些数据拒之门外。
根据过滤数据包的方式和技术发展上的需要,包过滤防火墙在实际应用中又可分为静态包过滤和动态包过滤防火墙两种类型。
静态包过滤是分组防火墙的第一代品种,这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配,过滤规则基于数据包的报头信息特征进行制定,包括IP源地址、IP目标地址、传输协议(TCP、UDP和ICMP等)、TCP/UDP目标端口和ICMP消息类型等。
(一)静态包过滤类型的防火墙要遵循一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其它的数据包。
动态包过滤是分组过滤防火墙的新一代品种,这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题,这种技术后来发展成为所谓的包状态监测(StatefulInspction)技术。
采用这种技术的防火墙,对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
(二)包过滤防火墙中的分组过滤技术优点是简单实用,实现成本低。
在应用环境比较简单的情况下,能够以比较小的代价,在一定程度上保障系统的安全,实用一种通用、廉价、有效的安全手段。
之所以通用,实因为它不针对各个具体网络服务,采取特殊的处理方式;之所以廉价,实因为大多数路由器都提供分组路由功能;之所以有效,实因为它能很大程度地满足企业网的基本安全需求。
但包过滤防火墙的缺陷也实明显的,包过滤技术实一种完全基于网络层的安全保障技术,只能根据数据包的来源、目标和端口等网络信息进行判断。
包过滤防火墙一般工作在网络层和传输层,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中的附带的病毒。
有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(三)应用代理防火墙应用代理防火墙一可以称为带来服务器,它的安全性要高于包过滤型产品。
应用带来防火墙工作在应用层,其特点是能够完全阻隔网络通信的数据流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,应用代理型防火墙是内部网与外部网的隔离点起着监视好隔绝应用层通信流的作用。
它通常工作在OSI模型的最高层,掌握着应用系统中安全决策的全部信息。
第一代代理防火墙也叫应用层网关防火墙,这种防火墙通过一种代理(Proxy)技术实现一个TCP连接全过程。
代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。
从客户机来看,代理服务器相当与一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。
当客户需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器在根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
应用层网关防火墙最大缺点就是速度相对比较慢,当用户对外网络网关吞吐量要求比较高时,代理防火墙会成为内外网络之间瓶颈所幸的是,目前用户接入Internet的速度一般远低于这个数字。
第二代代理防火墙也叫自适应代理防火墙,自适应代理防火墙技术(AdaptiveProxy)是最近在商业应用防火墙中实现的一种革命性的技术。
它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上,组成这种类型防火墙的基本要素有两个:
自适应代理服务器(AdaptiveProxyServer)和动态包过滤器(DynamicPacketFilter)。
(四)在自适应代理与动态包过滤器之间存在着一个控制通道。
在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了,然后,自适应代理就可以根据用户配置信息,决定是使用代理服务器从应用层代理请求还是从网络层转发包。
如果是后者,它将动态地通知包过滤增减过滤规则,满足用户对速度和安全性的双重要求。
从表现形式上来分,防火墙大致可分为硬件防火墙和软件防火墙两种类型硬件防火墙是指把防火墙程序做到芯片里面,有硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙一般有着这样的核心要求:
它的硬件和软件需要单独设计,有专用网络芯片来处理数据包。
同时,采用专门的操作系统平台,从而避免操作系统的安全性漏洞。
硬件防火墙一般都是有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用的比较多。
通过在硬件防火墙上设置适当的规则,利用这些规则防火墙对流经自己的数据做出判断,让这些数据通过或者不通过,以达到禁止非正常数据通过,保护网络安全的目的。
通常,硬件防火墙部署在网络的出口或者是网络重点保护区域,需要完成两个工作:
第一,作为网络互联设备实现网络互联互通;第二,作为网络安全设备检测流经数据,保护网络安全。
软件防火墙其实就是安全防护软件,是运行于特定的计算机平台上的软件产品,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。
软件防火墙就像其他的软件产品一样,需要先在计算机上安装并做好配置才可以使用,它通过在操作系统底层工作来实现网络管理和防御功能的优化。
随着宽带网络的迅速发展,软件防火墙在大数据流量面前显得里不经心,例如天网防火墙、金山网镖和蓝盾防火墙等。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:
双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
防火墙可以看成是安置在可信任网络和不可信任网络之间的一个缓冲其基本功能就是对网络间通讯进行筛选,防止未授权的访问进出网络,从而实现对网络进行访问控制。
防火墙只专注一件事,在已授权和未授权之间做出决断。
防火墙最初假设对内部网络总是信任的,而对外部网络总是不信任。
体现在防火墙的设计上只是对外部进来的通信进行过滤,而对内部网络网络用户发出通信不做限制。
目前才有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求数据包同样需要过滤,但防火墙仍只让符合安全策略的通信通过。
1.防火墙是网络安全的屏障防火墙作为网络的控制点能极大提高内部网络的安全性,通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用才能通过防火墙,这样来自外部网络的攻击者就不可能通过防火墙来攻击内部网络,所以网络环境变得更安全。
2.防火墙可以强化网络安全策略通过建立以防火墙未中心的安全方案配置,能将所有安全软件如(口令、加密、身份证件)配置在防火墙上。
与将网络安全管理问题分散到各个主机上相比,防火墙的集中安全管理更经济、更统一。
3.对网络存取和访问进行监控由于所有来自外部网络的访问都经过防火墙,因此防火墙是审计和记录Internet使用状况最佳地点。
防火墙能记录下这些访问,并根据这些访问记录做出日志,提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当报警,并提供网络是否受到监测和攻击的详细信息。
使用防火墙的统计信息,分析网络需求和威胁,对保护网络安全非常重要。
4.防止内网信息外泄隐私是内部网络非常关心的问题,内部网络中不引人注意的细节,可能包含了有关网络安全的线索,其信息的外泄可能引起外部攻击者的兴趣,暴露内网安全漏洞。
通过防火墙实施对你不网络的规划,可实现内部网重点网段的隔离,限制重点或敏感网络安全问题泄露,造成对全网安全形成的影响。
5.具有VPN性能防火墙除了具有安全作用外,还支持通过Internet服务特性见了的企业内部网络技术体系VPN。
通过VPN,将分布在全世界各地的企业内部网络,在Internet上建立企业的私有专用子网,把企业分布在各地的网络有机的连成一个整体。
不仅省去了专用通信线路,而且为信息共享提供了技术保障。
6.提供NAT技术;NAT的主要用途是解决IP地址匮乏问题,NAT技术能透明的对所有内部地址做转换,使外部网络无法了解内部网络的内部结构。
防火墙具有NAT技术,从当内网的中介和代理,截断与外部网络的直接连接,极大提高内部网络的安全性。
利用NAT技术,将有限的IP地址动态或静态与内部IP地址对应起来,用来缓解地址空间短缺的问题。
7.强大的抗攻击能力作为一种网络安全防护设备,防火墙在网络中自然是众多攻击者的目标,因此抗攻击能力也是防火墙的必备功能,抗攻击能力的高低也是衡量设备性能的一个重要技术指标。
当然防火墙在网络安全的防范上也不是万能的铜墙铁壁,也存在着一些不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。
例如如果允许从受保护的网络内部向外拨号一些用户就可能形成与Internet的直接连接。
另外,防火墙很难防范来自与网络内部的攻击以及病毒的威胁。
四:
防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:
第一,未经说明许可的就是拒绝。
防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
第二,未说明拒绝的均为许可的。
约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。
当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。
企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(3)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。
对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙如何工作如今,防火墙的形式多种多样:
有的系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆是独立的一套操作系统;还有一些应用型的防火墙只对特定类型的网络连接提供保护(如SMTP或者HTTP协议等)。
基于硬件的防火墙产品,其实应该归入安全路由器一类产品。
在日常网络中,把以上的产品都可以笼统地叫做防火墙。
因为他们的工作模式都是一样的:
分析出、入防火墙的数据包,决定放行还是把他们仍在一边。
所有的防火墙都具有IP地址数据包过滤功能,这项任务只要检查数据包头特征信息,做出相关的放行/丢弃决定动作。
当用户网络中的PC客户机向UNIX服务器发起Telnet请求时,PC上的Telnet客户程序就产生一个TCP包,并把它传给本地协议栈准备发送。
接下来,本地计算机上安装的协议栈将这个TCP包封装到IP数据包里,然后通过网络将它发送给UNIX服务器。
在这里,IP包必须经过连接PC和NUIX服务器之间的防火墙,才能到达UNIX服务器。
如果通过配置防火墙规则;把所有发给UNIX服务器的数据包都给拒绝,以保护UNIX服务器的安全。
防火墙上该配置规则生效以后,只有和UNIX服务器在同一网段的用户才能访问UNIX服务器,其它网络中的数据包都给予拒绝。
根据IP地址做出数据包的转发判断,这正是防火墙最基本的功能。
仅仅依靠地址进行书籍过滤数据流来保护网络,在实际网络安全保护上还是不可信任的,无法到达真正的安全保护的目的。
主要原因是目标网络中的UNIX服务器上,往往运行着多中通信服务。
例如,不想让用户采用Telnet的法式连到系统,但这绝不等于非得同时禁止使用SMTP/POP邮件服务、HTTP万维网服务?
所以或在IP地址过滤技术之外,防火墙还需要具有对网络上所有服务的TCP/UDP端口过滤。
因此只有把IP地址和目标服务器TCP/UDP端口服务结合起来作为过滤标准此案能实现相当可靠的防火墙,保护目标网络。
五:
防火墙设备选购原则
网络和信息安全是目前的一个热门话题,各个安全公司和厂家都在从事这方面的研究、开发和市场工作,其中各个公司的市场定位和安全方面的定位也是不一样的。
安全领域包含了防火墙、防病毒、防黑客、安全评估和审计、认证、签名、加密、安全监控、系统备份和恢复等,其中每一项技术提供了系统的一个方面的技术保证;而一个系统往往是包含很多内容和组件,这就使任何一种单一的技术只能为系统的安全发挥一定的作用。
理想的安全系统应该是集成所有各种可能的安全技术,防范所有可能的安全漏洞。
在一个合理的安全模型中,安全应该是技术、管理、策略的紧密结合体,只有任何一个方面都不能保证系统的安全。
目前,市场上有很多安全公司为客户提供了技术保证,实现基础就是他们的产品。
防火墙作为系统安全的主要手段和技术保证之一,主要定位在保证网络层的安全和网络之间的隔离,阻止来自外部的攻击和破坏。
目前,防火墙的种类和厂家有很多,实现技术细节也各个不同,每个厂家在推销产品时引进很多新的概念和术语,给客户选择产品时造成了不便。
如何选择适合客户自己网络环境下的防火墙,满足自己的需要是一个很难的问题。
对于防火墙来说,安全性是它的第一功能,所有其它功能都是围绕防火墙的安全性来展开的,有的是功能上扩充、有的是性能上的提高、有的是易用性强调。
下面就防火墙选择时几个重要的指标作一描述。
关于防火墙的安全性防火墙的安全功能是防火墙的本职功能,衡量和选择防火墙首先要考虑的就是它的安全性。
六:
防火墙实现技术
目前,防火墙的实现技术有三种:
应用层网关、状态检测、包过滤,另外也有三者的混合技术。
传统的观念是应用层网关最安全、包过滤最不安全,这种描述不一定正确;应该是应用层网关的控制粒度最细,包过滤的控制粒度最粗;关键要看这种粒度控制是否适合您的网络环境和安全需要。
在客户的环境中,防火墙系统和厂商的防火墙产品是不一样的,防火墙系统包括了防火墙产品、防火墙的运行平台和环境、相应的防火墙安全控制策略、防火墙的审计策略及防火墙的管理手段等;而防火墙产品只是防火墙系统中一个重要的部分,也就是厂商提供的部分。
防火墙系统的安全性和防火墙产品的安全性不是等同的。
一般来说,厂商所说的防火墙的安全性是指产品本身的安全性,而不能等同于客户环境下防火墙系统的安全性;各个评测机构所说的哪个防火墙最安全,指的是测试环境下防火墙系统的安全性,它体现了防火墙及其合理、坚固、安全配置的安全性,包含了测试安装人员的经验和技术。
对于客户来说,所需要的是防火墙系统的安全性,而不是防火墙产品本身的安全性。
关于防火墙的性能防火墙的性能包含几个方面的指标防火墙的并发连接数:
同时访问的用户数有关;防火墙的包速率:
每秒包转发速率,与包大小有关;防火墙的转发速率:
每秒通讯吞吐量;防火墙的延时:
由于防火墙带来的通讯延时。
防火墙的性能衡量基准是与没有防火墙时网络比较的,即直接用线连接通讯时的比较。
七、防火墙技术发展趋势
1.防火墙包过滤技术发展趋势
一些防火墙把AAA用户认证技术扩展到防火墙中,增加了用户的安全策略功能。
具有用户身份验证的防火墙,通常采用应用级网关技术,用户身份验证功能越强安全级别越高。
但它也给网络通信带来了负面影响,因为用户身份验证需要时间,特别是加密型的身份验证。
所谓多级过滤技术,是指防火墙采用多级过滤措施,辅以鉴别手段。
在网络层分组过滤掉所有的源路由分组和假冒IP地址;在传输层遵循过滤规则,过滤掉所有禁止出入的协议;在应用网管级,利用FTP/SMTP等各种网关,控制和监测Internet提供的所用通用服务。
这种综合型过滤技术弥补了各种单独过滤技术的不足。
具有病毒防护功能称之为“病毒防火墙”,目前主要在个人防火墙中体现,因为它是除海南软件形式,概念股容易实现。
这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发送更加积极。
2.防火墙体系结构发展趋势随着网络应用的增加,对网络宽带提出更高的要求,着意味着防火墙要以更高的速度率处理数据。
多媒体普遍应用,要求数据穿过防火墙所带来的延迟足够小。
为了满足这些需要,一些防火墙制造开发商开发了基于ASIC芯片技术的防火墙,基于ASIC的防火墙使用专门的硬件处理数据流,比其他类型的防火墙具有更高的性能。
但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。
3.防火墙系统管理发展趋势首先是集中式管理,分布式和分层的安全结构防火墙式将来的趋势。
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。
快速响应和快速防御也要求采用集中式管理系统。
强大审计功能和自动日志分析功能,可以更早地发现潜在网络攻击发生。
日志功能还可以帮助管理员有效发现系统中的安全漏洞,及时地调整安全策略。
网络安全产品的系统化。
随着网络安全技术发展,建立以防火墙为核心的网络安全体系,仅靠现有的防火墙技术难以满足当前网络安全需求。
通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
八、防火墙的局限性
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。
事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。
例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。
另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。
所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是
不够,此时,应根据实际需求采取其他相应的安全策略。
参考文献
【1】李涛:
《网络安全概论》,电子工业出版社,2006年。
【2】龚文云:
《入侵学术论》,山东大学出版社,2006年。
【3】程代伟:
《网络安全完全手册》,电子工业出版社,2007年。
【4】杨旭明:
《互联网安全策略》,齐鲁电子音响出版社,2007年。
【5】李文静:
《防火墙在网络中的安全策略》,鲁东大学出版社,2008年。
【6】黎连业:
张维,《防火墙及其应用技术》,清华大学出版社2008年。
【7】银石动力:
《实战网络安全》,北京邮电大学出版社,2009年。
【8】姚羽:
《网络互联技术于实践》,清华大学出版社,2009年。
升级会员 