计算机防火墙技术.docx
《计算机防火墙技术.docx》由会员分享,可在线阅读,更多相关《计算机防火墙技术.docx(17页珍藏版)》请在冰点文库上搜索。
计算机防火墙技术
<<计算机新技术专题>>课程论文
1.
论文题目:
信息安全技术之防火墙技术
姓名:
颜晓云学号:
************
专业:
计算机科学与技术班级:
08.2班
评阅成绩:
论文提交时间:
2011年11月14日
题目
信息安全技术之防火墙技术
摘要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。
与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。
这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。
所有这些,都促使了计算机网络互联技术迅速的大规模使用。
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
对网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
这以要求我们与Internet互连所带来的安全性问题予以足够重视。
关键词:
网络防火墙技术安全
(以下为中文摘要对应的英文)
【Abstract】
TitleTheDocumentOfComputerNetworkSecurityAbstractWiththecomputernetworkdevelopment.Internethasalreadyturnedfromthefirstgenerationthesecond.Meanwhile,thousandsofcompanyandgovernmentsrealizetheimportanceofInternetandtakemeasurestobuildtheirownNetwork,sothatextendthedevelopmentoftheInternet.ThismakestheInternettransferfromthesecondgenerationtothethirdwhichfeature’sbasisofInterconnecting.AllofthisabovecontributestothelargescaleuseofInterconnecting.Asitisknowntousall,Internethasthelargestinformationnet,Itistheopennessoftheprotocolthatconvinentthelinkofvarietynetsandextendthesharingresources.However,becauseoftheneglectingofNetworksecurityandthegovernmentmanagementseriouslythreatsthesafetyofInternet.Thedangersappears:
illegealvisiting,prentendingthemanagerment,destroyingthedatabase,interruptingthesetupofsystem,spreadingthevirusandsoon.ThisasksustopaymoreattentiontothesafetyofInternettwister.
KeyWords:
Network、Firework、Networksecurity
1.防火墙的概念……………………………………………………………………1
2.防火墙的发展史…………………………………………………………………2
3.防火墙的分类以及实现方式……………………………………………………2
3.1按软、硬件划分……………………………………………………………2
3.2按防火墙技术划分…………………………………………………………3
4.主要功能…………………………………………………………………………4
5.小结………………………………………………………………………………5
6.参考文献…………………………………………………………………………6
引言
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。
目前广泛运用和比较成熟的网络安全技术主要有:
防火墙技术、数据加密技术、PKI技术等,以下就此谈谈亦关防火墙胡一些技术。
1.防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。
该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:
金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。
使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。
防火墙是汽车中一个部件的名称。
在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。
防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。
从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。
从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。
防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
2.防火墙的发展史
对于防火墙的发展历史,基于功能划分,可分为如下五个阶段:
20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤(Packetfilter)技术,是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。
到1989年,贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙,即电路层防火墙;到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的,后来演变为目前所说的状态监视(Statefulinspection)技术。
1994年,市面上出现了第四代防火墙,即以色列的CheckPoint公司推出的基于这种技术的商业化产品;到了1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
基于实现方式划分,可分为如下四个阶段:
第一代防火墙:
基于路由器的防火墙,由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第二代防火墙:
用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。
针对用户需求,提供模块化的软件包,是纯软件产品。
第三代防火墙:
建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。
包括分组过滤和代理功能。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的。
第四代防火墙:
具有安全操作系统的防火墙:
具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上得到提高。
3.防火墙的分类以及实现方式
3.1按软、硬件划分
从软、硬件形式上分类
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
■软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
■硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上“所谓”二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
■芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
3.2按防火墙技术划分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。
前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
■包过滤(Packetfiltering)型
包过滤方式是一种通用、廉价和有效的安全手段。
之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
1、第一代静态包过滤类型防火墙
这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。
过滤规则基于数据包的报头信息进行制订。
报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
2、第二代动态包过滤类型防火墙
这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。
这种技术后来发展成为包状态监测(StatefulInspection)技术。
采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:
过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。
对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■流过滤技术
流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:
以状态包过滤的形态实现应用层的保护能力:
通过内嵌的专门实现的TCP/IP协议栈,实现了透明的应用信息过滤机制。
流过滤技术[17]的关键在于其架构中的专用TCP/IP协议栈:
这个协议栈是一个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识别并拦截应用层的攻击企图。
在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据以“流”的方式从一个会话流向另一个会话。
由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。
如在对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的
■深度包检测
目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用了应用的弱点。
利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新的要求。
防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。
深度包检测(DeepPacketInspection)就是针对这种需求,深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。
应用防御的技术问题主要包括:
(l)需要对有效载荷知道得更清楚;
(2)也需要高速检查它的能力。
简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描检测,但是对于应用防御的要求而言,这是远远不够的。
如一段攻击代码被分割到10个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻击特征进行匹配:
要清楚地知道有效载荷,必须采取有效方法,将单个数据包重新组合成完整的数据流。
应用层的内容过滤要求大量的计算资源,很多情况下高达100倍甚至更高。
因而要执行深度包检测,带来的问题必然是性能的下降,这就是所谓的内容处理障碍。
为了突破内容处理障碍,达到实时地分析网络内容和行为,需要重点在加速上采取有效的办法。
通过采用硬件芯片和更加优化的算法,可以解决这个问题。
一个深度包检测的流程框图如图3.1所示。
图3.1深度包检测框图
在接收到网络流量后,将需要进行内容扫描的数据流定向到TCP/IP堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。
定向到TCP/IP堆栈的数据流,首先转换成内容数据流。
服务分析器根据数据流服务类型分离内容数据流,传送数据流到一个命令解析器中。
命令解析器定制和分析每一个内容协议,分析内容数据流,检测病毒和蠕虫。
如果检测到信息流是一个HTTP数据流,则命令解析器检查上载和下载的文件;如果数据是Mail类型,则检查邮件的附件。
如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引擎,所有其他内容传输到内容过滤引擎。
如果内容过滤启动,数据流将根据过滤的设置进行匹配,通过或拒绝数据。
■应用代理(ApplicationProxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。
其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:
第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。
由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网
4.主要功能
(1)访问控制:
■限制XX的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。
网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和realaudio,vodlive、netmeeting和internetphone等这样的多媒体应用及internet广播服务。
■提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;
■访问控制对象的多种定义方式支持多种方式定义访问控制对象:
ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配置防火墙的安全策略极为方便。
■高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。
http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。
通过应用层策略实现了url和文件级的访问控制。
■双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:
nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。
网络卫士防火墙提供了nat功能,并可根据用户需要灵活配置。
当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。
防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。
internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet用户就可以通过防火墙系统访问主机了。
映射类型可以为ip级和端口级。
端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。
■用户策略:
可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。
用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。
一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。
■接口策略:
防止外部机器盗用内部机器的ip地址,这通过防火墙的接口策略实现。
网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的ip被此接口区域内的主机冒用。
如在正常情况下,内部ip不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。
■ip与mac地址绑定:
防止防火墙广播域内主机的ip地址不被另一台机器盗用。
也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。
■ip与用户绑定:
绑定一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。
■支持流量管理:
流量管理与控制.
■可扩展支持计费功能:
计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。
计费模块还可以提供用户化计费信息接口,将计费信息导出到用户自的计费处理软件中。
■基于优先级的带宽管理:
用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。
(2)防御功能
■防tcp、udp等端口扫描:
网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。
■抗dos/ddos攻击:
拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。
防火墙通过控制、检测与报警机制,阻止dos黑客攻击。
■可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击:
网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
■阻止activex、java、javascript等侵入:
属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■提供实时监控、审计和告警功能:
网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■可扩展支持第三方ids入侵检测系统,实现协同工作:
网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
■多层次多级别的防病毒系统
防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。
它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。
防病毒系统设计原则
1.整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。
2.安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。
在安装过程中应尽量减少关闭和重启整个系统。
3.防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。
4.防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。
5
升级会员 