信息安全期末作业Word格式.docx
《信息安全期末作业Word格式.docx》由会员分享,可在线阅读,更多相关《信息安全期末作业Word格式.docx(7页珍藏版)》请在冰点文库上搜索。
Packetfiltering,ApplicationProxyandMonitormodelindetail.FinallydescribedthetrendofdevelopmentofthefirewallstechniquesinInternetbriefly.
Keywords:
networksecurity,firewalls,Packetfiltering,monitor
摘要:
作为关键设施,维护网络的安全性,防火墙采取建立信任与不可靠的网络障碍的目的,并落实相应的安全策略。
在这个文件中,计算机网络安全与防火墙的技术,主要讨论的概念和分类,介绍了防火墙。
它还介绍了三种基本的防火墙实现技术:
分组过滤,代理服务器和应用详细监测模型的。
最后描述对互联网的简单防火墙技术的发展趋势。
关键词:
网络安全,防火墙,包过滤,监控
1介绍
现在,随着计算机网络和电子商务的广泛应用,网络安全已成为一个我们必须考虑和解决的重要问题。
越来越多的专业,企业和个人上网的不同程度的安全问题。
他们正在寻找更可靠的安全解决方案。
在防御系统所采用的网络安全的现状,防火墙占据了非常重要的地位。
作为维护网络安全的关键设施,防火墙采取建立一个障碍在信任和不信任的网络之间,并实施相应的安全策略。
所有的防火墙具有过滤IP地址的功能。
这项任务是检查IP数据包,根据源地址和目的IP地址决定是否释放或放弃这个数据包。
在图1所示,在两个网段中间有一个防火墙,一侧是UNIX计算机,另一侧是PC客户端。
当PC客户端向UNIX计算机发送远程登陆请求时,PC里的远程登陆客户端程序产生一个TCP数据包并把此包传递给本地协议栈准备发送。
协议栈把它填充在一个IP数据包内,然后通过PC的TCP/IP协议栈中定义的路径发送到UNIX计算机。
在它通过PC和UNIX计算机之间的防火墙之前,这个IP包不能送达UNIX计算机。
图1IP地址过滤
在互联网上防火墙是网络安全的非常有效的手段,它安装在信任和不可靠的网络之间,可以隔离安全区域和风险区域的连接,在同一时间并不妨碍人们进入风险区域。
它可以隔离风险区域之间的连接(即有可能是在互联网上一定的风险)和安全区(局域网)上,也不妨碍人们在同一时间进入危险领域。
防火墙可以监控进出网络的通信量,从网络来完成这项任务看似不可能的,它只允许安全和通过检查的信息进入,同时阻止那些可能给企业带来威胁的数据信息。
由于故障和安全问题的缺陷变得越来越普遍,入侵网络不仅来自高超的攻击手段,也可能是来自配置上的低级错误或不合适的密码选择。
因此,这个防火墙的功能是防止不被希望和未经许可的通讯进出网络保护。
。
迫使公司加强自己的网络安全策略。
一般防火墙可以达到以下目的:
第一,制止他人进入内部网络,过滤不安全服务和非法用户;
第二,防止关闭安装到你的防御侵略者;
第三,限制用户访问特殊站点;
第四,提供便利的网络安全监控。
2、防火墙的定义
防火墙一词来源早期的欧式建筑,它是建筑之间的一道矮墙,用来防止发生火灾时火势的蔓延。
而在计算机中,防火墙通过对数据包的筛选和屏蔽,可以防止非法访问者进入内部或外部计算机网络。
因此,防火墙可以定义为:
位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台、多台计算机与路由器。
防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件,用于对网络进行防护和通信控制。
但是多种情况下,防火墙以专门的硬件形式出现,这种硬件也被称为防火墙,它是安装了防火墙软件,并针对安全防护进行了专门设计的网络设备,本质上还是软件在进行控制。
内部网络与外部网络所以通信的数据包都必须经过防火墙,而防火墙之放行合法的数据包,因此它在内部网络与外部网络之间建立了一个屏障。
只要安装一个简单的防火墙。
选择正确的防火墙产品需要权衡很多不同的因素。
很自然,人们总是希望买到的这个小盒子非常容易安装并配置;
可以实现反病毒、反垃圾邮件等外围的安全功能;
最后,还要有合适的价格。
但是,即便是你真的遇到这么多需求,也不要希望你的防火墙能真的做得很好。
除非它真能在提供最高网络性能的同时,还能抵御外部攻击。
3、防火墙的原理
防火墙是汽车中一个部件的名称。
在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可
防火墙
以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。
它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。
作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。
通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。
企业信息系统对于来自Internet的访问,采取有选择的接收方式。
它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。
如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。
如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。
这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。
FireWall一般安装在路由器
上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
4、防火墙技术的分类和实施
一个集成的防火墙系统通常包括筛选路由器和代理服务器。
该筛选路由器是一个多端口的IP路由器,它根据定期的小组来检查每个IP数据包,以判断是否将其发送。
筛选路由器得到分组信息,例如协议号、IP地址、端口号、甚至IP选择中的标志和联系。
代理服务器是防火墙的过程服务器。
它可以代替网络用户还结束一个特殊的TCP/IP协议。
代理服务器是应用层的入口,也是两个网关连接的特定应用程序。
用户通过TCP/IP协议,例如远程登录和FIP协议与代理服务器建立联系。
服务器要求用户先声明想要登录的远程主机名。
用户输入认证的用户名及密码后,服务器即可为用户和远程主机建立联系,作为两者信息传递的平台,这整个过程对于用户是完全透明的。
主要有三种类型的防火墙:
包过滤,应用网关和状态检测。
包过滤防火墙是工作在网络层的,它可以过滤TCP/IP数据包的源地址,目标地址、源端口、目标端口。
它具有效率高,对用户透明度高等优势。
除非用户是以非法身份登录被拒绝,否则不会感觉到分组过滤防火墙的存在。
它的劣势在于不能保证大部分网络服务和协议的安全性,不能有效的区分使用相同IP地址的不同用户,它是很难被设定、监控和管理的。
也不能提供足够的日报记录和警告。
应用网关防火墙工作在应用层,它通过特定的客户端程序与防火墙中的几个节点相连接,然后这些节点再与服务器连接。
与包过滤防火墙不同的是,当使用这种类型的防火墙时,用户不会与外部网络建立直接的联系。
因此,即使有事件发生,外部网络也不会对内部被保护的网络产生影响。
这个应用程序提供了详细的防火墙日常记录和审计功能,很大的提高了网络安全性,同时提供了可以现有的安控软件。
它解决了基于特定应用程序的安全问题。
基于代理服务器的产品也将有可能提高标准和非标准端口的配置与服务。
但是,只要应用程序需要升级,基于代理器的用户将会发现他们必须购买新的代理服务器。
作为一种网络安全技术,与代理服务相联系的防火墙应该具有简单实用这个特点,可以在不修改原有的网络应用系统的情况下,满足特定的安全要求。
如果防火墙遭到破坏,将不在对内部网络具有保护功能。
它不能满足企业希望在网与广大客户进行沟通的需要。
此外,基于代理服务防火墙通常使对网络性能明显下降。
第三代防火墙以状态监测为核心,结合了分组过滤防火墙和应用网关防火墙。
状态检测防火墙通过模块的状态检测履行存取和分析通信层数据的职能。
状态监测作为防火墙技术有很好的安全性,它采用安全软件引擎。
执行策略的网络安全的入口,称为检测模块。
在不影响网络正常工作的情况下,监测模块提取了通信层的数据进行相关网络监控,这些数据中包括状态信息和涉及网络安全的动态信息。
检测组件支持多种协议和应用程序,可以方便得增加应用程序及服务。
在用户进入网关的操作系统之前,各种安全模式会收集相关的数据进行分析,再结合的网络配置和安全规定作出接受、拒绝、待鉴定或者加密通信等决定。
一旦某个进程违反了安全协议,安全报警器会拒绝进行并汇报给系统管理设备。
这种技术也有一些缺陷,例如配置的状态监测是非常复杂的,并会减慢网络进程。
5、新一代的防火墙技术
根据目前的防火墙市场、国内外厂商的防火墙都能支持防火墙的基本功能,包括访问控制、网络地址转换、代理服务器、身份验证、每日检查等。
但是正如前文所述,随着网络攻击次数的增加,和用户对网络安全要求的日益增加,防火墙技术也随之发展。
结合现有技术及成果,一些相关研究表明随着应用技术的发展,如何增强防火墙安全性,提高防火墙性,增加防火墙功能成为许多厂家必须面对的问题。
新一代防火墙主要是想要结合包过滤防火墙和代理服务技术,克服两者在安全性上的缺陷,能够发挥从数据链路层到应用层的全方位控制,实行TCP/IP微内核协议去执行所有TCP/IP协议层的安全控制;
在微内核的基础上,使之速度超越传统的包过滤防火墙,提供代理服务器的透明模式。
闪电配置工作程序;
提供数据加密和解码,支持虚拟专用网络,隐藏内部信息。
这将成为一种新的防火墙理论。
这种新的防火墙技术不仅可以提供传统的包过滤技术提供的全部功能,而且对于防止各种网络袭击有明显优势,加强代理服务、包过滤技术与智能过滤技术相结合,可以使安全防火墙的上升到另一个高度。
6、通信TOP结构
如何配置:
该防火墙跟Cisco路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。
初始使用有一个初始化过程,主要设置:
Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix525采用超级用户(enable),默然密码为空,修改密码用passwd命令。
一般情况下Firewall配置,我们需要做些什么呢?
当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。
我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在官网下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。
还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
7、防火墙规则
既然是防火墙,那么主要功能就是对内部网络和外部网络之间的通信数据包进行筛选,那么它必然要有一些规则来判定哪些数据包是合法,哪些是非法的,这种安全规则称为安全策略。
处理方式主要以下几种:
1)接受:
允许通过
2)拒绝:
拒绝信息通过,通过发送信息的信息源
3)丢弃:
直接丢弃信息,不通知信息源
4、防御过程
防火墙技术已经成为网络安全中必不可少的安全措施。
到目前为止,防火墙技术已经发展的比较成熟。
8、防火墙的优缺点
防火墙的优点主要包括:
1)可以完成整个网络安全策略的实施。
防火墙可以把通信访问权限限制在可管理范围内。
2)可以限制对某种特殊对象的访问,如限制某些用户对重要服务器的访问。
3)具有出色的审计功能,对网络连接的记录、历史记录、故障记录等都具有很好的审计功能。
4)可以对有关的管理人员发出警告。
5)可以将内部网络结构隐藏起来。
对个人用户来说。
安装一个简单的个人防火墙就可以屏蔽掉绝大数非法的探测和访问。
它不仅可以防止入侵者对主机的端口、漏洞进行扫描,还能阻止木马进入主机。
总之,防火墙能够减轻对内部网络被入侵和破坏的危险,使得内部网络的机密数据得到保护。
防火墙的缺点:
1)不能防止不经过它的攻击,不能防止授权访问的攻击。
2)只能对配置的规则有效,不能防止没有配置的访问。
3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。
4)不能防止针对一个设计上有问题的系统攻击。
9、结论
现在该防火墙已被广泛应用于互联网,由于它不受TCP/IP协议限制的特点,使它在英特网之外也有更多的活力。
防火墙不是解决网络安全的主观方法,只是网络安全策略的一个组成部分。
我们要在实际应用中学习和了解防火墙技术,相信每一个朋友都可以在新世纪的网络生活中获益良多。
10、参考文献
[1]王铁方,李涛.蜜网与防火墙及入侵检测的无缝结合的研究与实现[J].四川师范大学学报(自然科学版),2005,(01)
[2]高晓蓉.基于Linux的防火墙[J].扬州职业大学学报,2003,(04)
[3]李赫男,张娟,余童兰.信息安全保护方法分析[J].洛阳工业高等专科学校学报,2003,(01)
[4]钟建伟.基于防火墙与入侵检测技术的网络安全策略[J].武汉科技学院学报,2004,(04)
[5]林子杰.基于Linux的防火墙系统[J].电脑学习,2001,(02)
[6]赵萍,殷肖川,刘旭辉.防火墙和入侵检测技术分析[J].计算机测量与控制,2002,(05)
[7]谈文蓉,刘明志,谈进.联动防御机制的设计与实施[J].西南民族大学学报(自然科学版),2004,(06)
[8]王永群.试论防火墙技术[J].微机发展,2001,(03)
[9]丁志芳,徐孟春,王清贤,曾韵.评说防火墙和入侵检测[J].网络安全技术与应用,2002,(04)
[10]张少中,聂铁志,唐毅谦,王中鹏.一种Linux防火墙系统的设计[J].辽宁工学院学报(自然科学版),2001,(03)
升级会员 