《防火墙技术的现状与展望 论文》由会员分享,可在线阅读,更多相关《防火墙技术的现状与展望 论文(10页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术的现状与展望 考号:11240829544 姓名:张三内容提要随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术,已经成为计算机网络安全体系结构中的一个重要组成部分。本文简要介绍了防火墙在网络信息安全中的重要作用,描述了防火墙的原理及分类,分析了构建防火墙时对防火墙的选择与设置,说明了防火墙的主要规则设置方法。接着,描述了防火墙技术的应用现状。最后提出了面对网络安全问题应用防火墙所面临的挑战,论述了防火墙在网络安全中起的重要作用以及应用需求,并
2、对该技术的未来发展进行了展望。关键词 防火墙网络安全网关 包过滤一、防火墙技术的概述 防火墙是防范网络攻击最常用的方法,从技术理论上看,如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关,不仅能完成传统防火墙的过滤任务,同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问,它把网络分为两个部分:外部网络和受保护网络(内部网络)。 相比企业而言,外部网络一般指的是Internet ,而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间,如图1 所示 图1 防火墙示意图外部网络防火墙受保护网络防火墙一方面限制外部
3、网络访问受保护网络,对外屏蔽受保护网络的实现细节,保证数据的安全,另一方面限制受保护网络对外部网络的访问,防止不良信息的获取部分,减少信息的泄露。防火墙就是用来隔离受保护的网络和不受保护的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从因特网到受保护网络的连接。防火墙(阻塞类防火墙)可以确保除非通过检查点的审查,否则你从网中将不能直接到达因特网。二、 防火墙的构成及安全功能为了更好的理解防火墙及其作用模型来加以分析。网络中继器和集线器是在最底层物理层工作;交换机和网桥是在第二层数据链路层工作;路由器是在第三层网络层工作。防火墙建立在所有这些层上,工作于第六层和第七层会话层和应用层,
4、这两层分别负责会话的建立、控制和应用。因此,通过防火墙,我们可以控制会话建立期间的所有信息流,甚至可以决定当前的任何操作是否被允许。防火墙的基本构成包括:安全策略、高层认证、包过滤、应用网关。其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。服务/访问策略是建立防火墙中最重要的组成部分,其余3部分在实现和执行策略中是必要的。保护网站防火墙的有效性,取决于使用防火墙的实现类型,以及使用正确的程序和服务/访问策略。防火墙的一个基本目的是保护站点不被黑客攻击,组织未经认证的外部登录,利用防火墙,可以防止站点的任意连结,并能建立跟踪工具,利用日志摘要可以查找连
5、接的起点、服务器提供的服务量,甚至还包括是否有攻击进入等信息。三、防火墙的设计原则构建防火墙时,要考虑的问题很多,主要有以下几个原则:1. 防火墙的设计策略应遵循安全防范的基本原则“除非明确允许,否则禁止”。这个原则创造了一种比较安全的环境,但其安全性高于用户使用的方便性,对用户进行了约束。2.“除非明确禁止,否则允许某种服务”的设计原则。这种原则创造了一种非常灵活的环境,用户可以得到尽可能多的服务。3. 防火墙本身支持安全策略,而不是添加上去的。4. 组织机构的安全策略发生改变,可以加人新的服务。5. 有先进的认证手段或有挂钩程序,可以安装先进的认证方法。6. 可运用过滤技术允许和禁止服务。
6、7. 可以使用FTP和Telnet等服务代理,便于先进的认证手段被安装和运行到防火墙。8. 拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤。数据包的性质在目标和源IP地址、协议类型、源和目的TCP端口、TCP包的ACK位、出站和入站网络接口等。防火墙自身的安全问题是其维护服务器网络安全的基础。防火墙自身的安全问题一般包含了防火墙认证的安全问题,防火墙管理权限体系管理,防火墙管理程序易于操作性等。由于防火墙一般都是通过管理程序进行控制的,因此它们之间的认证方式和安全也是很重要的。有些防火墙采用密码认证的方式,这种方式安全性较差,一旦密码本身被泄漏,那别人就可以轻松控制防火
7、墙。企业在构建具体的防火墙时,根据自己的实际情况,以及对安全性和灵活性的要求,制定出自己的设计原则。四、防火墙的应用现状4.1. 防火墙现状概述下图是一个防火墙典型应用的示意图。 防火墙的功能主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止SYN FLOOD等;NAT;VPN;路由;认证和加密; 日志记录; 支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QOS特性的支持和对H.323、SIP 等多种应用协议的支持也必不可少。 为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火
8、墙上也常常把其他网络技术结合进来,例如支持DHCP SERVER、DHCP RELAY;支持动态路由,如RIP 、OSPF等;支持拨号、PPPOE等特性;支持广域网口; 支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。 但是,目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤,防病毒和IDS等的支持,实际的应用效果并不好。因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对CPU的消耗很大。这些功能的启动,会导致性能急剧下降,本来100M的处理能力,可能会下降到几兆,导致网络严重
9、阻塞甚至瘫痪,失去了防火墙存在的意义。4.2. 包过滤防火墙和代理 防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。 此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在NA
10、T情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。 4.3. 状态检测技术 下面,重点描述一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。对于部分协议,如FTP、H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。例如FTP,除了开始要建立命令通道外,还要动态协商数据通道。以PORT方式为例,PORT模式下的工作过程如下:
11、 (1) 客户端向服务器21端口发起连接,建立控制命令通道; (2) 客户端向服务器发出命令,要求建立数据连接; (3) 客户端打开一个端口; (4) 客户端通过PORT命令,从控制通道把端口号发给服务器; (5) 服务器向客户端该端口发送一个主动连接。 从上述过程可以看出,客户端打开的端口号是未知的,所以防火墙必须对FTP控制通道的命令进行解码,从而知道协商后的端口号。然后,防火墙临时打开一个通道,允许服务器连接客户端的这个端口。对于状态防火墙,只需要通过ACL设置,开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙,如果想支持PORT模式,还得对外开放所有的端口,这显然是不安
12、全的。 状态防火墙可以对特定的协议进行解码,因此安全性也比较好。有的防火墙可以对FTP、SMTP 等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,亦即根据当前防火墙繁忙程度做出判断:如果防火墙忙,则只做基本检测,如FTP,只监测PORT命令,其他有害命令就不检测,因此处理速度很快。 状态防火墙的抗攻击功能,还有一个特色是,当检测到SYN FLOOD攻击时,会启动代理,此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。 4.4. 高保障防火墙 防火墙因为软件复杂,实现的功能较多,必须有操作系统
13、支持,操作系统的安全是防火墙安全的基石。1998年,在中国一家机构和美国计算机学会ACM共同举办的国际会议上,我首次提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记、MAC、 强实体认证等。入关具有入关证,出关具有出关证。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现了传统防火墙的全部功能。不久前,安胜防火墙应运而生,通过了国家权威机构的测评认证,是我国第一个研制成功的高保障防火墙,目前已经在我国31个省市广泛应用。 五、新型防火墙技术与优点新型防火墙更应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,
14、也必须保证应用的正常进行。新型防火墙技术主要是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;TCPIP协议和代理的直接相互配合,使系统的防欺骗能力和运行的健壮性都大大提高;并且能够实现TCPIP协议的微内核,从而在TCPIP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏等。新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著
15、优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性能有很大提高。5.1 分布式防火墙技术分布式防火墙是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品;从广义来讲,“分布式防火墙”是一种新的防火墙体系结构,它包含如下产品:网络防火墙用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品,后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。主机防火墙对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或移动办公的便携机。中心管理边界防火墙只是网络中的单一设备,管理是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。在新的安全体系结构下,分布式防火墙代表新型防火墙技术的发展潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次,多协议,内外皆防的全方位安全体系,它的主要功能如下:(1)Internet访问控制 依据工作站名称、设备指纹等属陛,使用“Internet访问规则”,控制该
