《防火墙论文》由会员分享,可在线阅读,更多相关《防火墙论文(8页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术分析防火墙技术分析陈关胜(管理科学与工程)摘要摘要文献主要论述了防火墙安全技术发展过程、分类及其主要技术特征,通过图 例分析了各种防火墙的工作原理;并对各类防火墙进行了优缺性的比较,最后 介绍了防火墙未来的发展趋势。关键字: 防火墙 包过滤技术 复合型 状态检测AbstractThis literature mainly discusses the firewall security technology development, classification and main technical characteristics; through the illustrations
2、analyzes various firewall principle of work; and makes a comparison of the advantages and disadvantages of various types of firewall. Finally, introduces the future development trend of the firewall.Keyword: Firewall Packct Filtering Inter-disciplinary Stateful Inspection一、概述一、概述随着 INTERNET 的发展, 网络已
3、经走进千家万户。因而, 网络安全成为了 人们最为关注的问题。而且由于网络的开放性, 网络安全防护的方式发生了根 本变化, 使得安全问题更为突出。在此情形下, 防火墙技术应运而生。防火墙技 术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲可分为以 下几类。第一代防火墙, 又称包过滤防火墙, 主要通过对数据包源地址、目的地 址、端口号等参数来决定是否允许该数据包通过, 对其进行转发, 但这种防火墙 很难抵御地址欺骗等攻击, 而且审计功能很差。第二代防火墙, 也称代理服务器,它 用来提供网络服务级的控制, 起到外部网络向被保护的内部网络申请服务时中 间转接作用, 这种方法可以有效地防止
4、对内部网络的直接攻击, 安全性较高。第 三代防火墙有效地提高了防火墙的安全性, 称为状态监控功能防火墙, 它可以对 每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展, 新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出 了原来传统意义上防火墙的范畴, 已经演变成一个全方位的安全技术集成系统, 我们称之为第四代防火墙, 它可以抵御目前常见的网络攻击手段, 如地址欺骗、 特洛伊木马攻击、玩蠕虫、口令探寻攻击、邮件攻击等等。第五代防火墙,主 要指的是复合型防火墙,指综合了状态检测与透明代理的新一代的防火墙,进 一步基于 ASIC 架构,把防病毒、内容过滤整合到防
5、火墙里,其中还包括 VPN、IDS 功能,多单元融为一体,是一种新突破。二、防火墙的定义二、防火墙的定义“ 防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇 里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一 旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个 重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但 这个门在提供增强安全性的同时允许必要的访问。 在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今 天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需
6、要什么样的服务并且什么样的服务对于内部用户和外部用 户都是有效的。 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之 间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形 象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立 起一个安全网关(Security Gateway) ,从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。三、防火墙的发展史三、防火墙的发展史下面展示了防火墙技术的简单发展历史。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet f
7、ilter) 技术。第二、三代防火墙。1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙 应用层防火墙(代理防火墙)的初步结构。 第四代防火墙。1992 年,USC 信息科学院的 BobBraden 开发出了基于动 态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说 的状态监视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司 开发出了第一个采用这种技术的商业化的产品。第五代防火墙。1998 年,NAI 公司
8、推出了一种自适应代理(Adaptive proxy)技术,并在其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的 防火墙赋予了全新的意义,可以称之为第五代防火墙。 一体化安全网关 UTM(Unified Threat Management)。UTM 即是统一威 胁管理,主要包含入侵防御、VPN、防火墙、网络和电子邮件的过滤等。随着 万兆 UTM 的出现,UTM 代替防火墙的趋势不可避免。在国际上,Juniper,飞 塔公司高性能的 UTM 占据了一定的市场份额,国内,启明星辰的高性能 UTM 则一直领跑国内市场。三、防火墙技术三、防火墙技术防火墙通常使用的安全控
9、制手段主要有包过滤、状态检测、代理服务。 包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接 的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口号等规 则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大 优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安 全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的 安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段, 则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态 检测检查预先设置的安全规则,允许符合规则的连接通过,并在内
10、存中记录下 该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表, 就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查, 而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行 状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而 可以有选择地、动态地开通 1024 号以上的端口,使得安全性得到进一步地提高。四、防火墙工作原理四、防火墙工作原理1、 包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如 IP 地址 。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这 样系统就具有很好的传输性能,可扩展
11、能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信 的内容,所以可能被黑客所攻破。(包过滤防火墙工作原理图)2、 应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策 过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机服 务器模式实现的。每个客户机服务器通信需要两个连接:一个是从客户端到 防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进 程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务 程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(应用网关
12、防火墙工作原理图)3、 状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对 应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简 单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防 火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个 的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行 为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(状态检测防火墙工作原理图)4、 复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步 基于 ASIC 架构,把防病毒、内容过滤整合到
13、防火墙里,其中还包括 VPN、IDS 功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止 隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与 防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施 OSI 七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服 务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网 4 大 功能模块。以防火墙功能为基础平台,以其他的安全模块为多层次应用环境, 构筑了一套完整的立体的网络安全解决方案。(复合型防火墙工作原理图)(2)新型复合型防火墙的设计 合并内外路由器:如果路由器有足够的功能和灵活性时
14、,可将内、外路由 的功能由一台路由器来完成。优点是:凡符合路由器规则的数据包可在内、外 部网间互传;缺点:仍需要参数网络,需要一台各端口可以分别设置输入/输出 的路由器。如下图:合并堡垒主机和外部路由器:采用让双宿主主机同时充当堡垒主机(堡 垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查 点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不 用考虑其它主机的安全的目的)和外部路由器的机构。优点:是内部网络的性 能增强。缺点:使系统效能(信息交换)变差,灵活性低,由于堡垒主机对外 更暴露,保护更加困难。如下图:多内部路由器:用多台路由器链接参数网络和内部网的
15、各个部分。优点: 内部处理数据的速度增快。缺点:使包过滤系统的设置更加复杂,有时会导致 站点间不能建立连接。如下图:五、四类防火墙的对比五、四类防火墙的对比包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状 态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查 IP、TCP 报头,不建立连接状态表,网络层 保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关, 应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表 ,网络层保护强,应用层控制细,会话控制较弱。六、防火墙的优缺性六、防火墙的优缺性1、反防火墙的优点 (1)防火墙能强化安
16、全策略。 (2)防火墙能有效地记录 Internet 上的活动。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一 个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙, 防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。2、防火墙的脆弱性 防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范 网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安 全。防火墙保护你免受一类攻击的威胁,但是却不能防止从 LAN 内部的攻击, 若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚 至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破 解的方法也使得防火墙造成一定隐患。七、防火墙的未来发展趋势七、防火墙的未来发展趋势未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。 目前防火墙一个很大的局限性是速度不够。要实现高速防火墙, 算法是一个 关键, 因为网络处理器中集成
