《浅析网络防火墙技术》由会员分享,可在线阅读,更多相关《浅析网络防火墙技术(11页珍藏版)》请在金锄头文库上搜索。
1、中国人民解放军高等教育自学考试信息技术应用与管理专业毕 业 论 文 浅析网络防火墙技术考号:姓名:摘要在当今的计算机世界,随着网络技术的发展,因特网的使用无处不在,网络的安全成为人们最为关注的问题。为了安全的使用“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。关键词防火墙 网络安全 安全策略一、防火墙的基本概念防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的
2、信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。二、防火墙的技术分类现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。a) 包过滤防火墙包过滤防火墙是防火墙常见的类型,也称为分组过滤防火墙,作用在网络层和传输层。其技术依据是网络中的包传输技
3、术。网络上的数据都是 数据包中以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都带有传输数据的特征信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等,包过滤防火墙判断所依据的信息,均来源于IP、TCP、或UDP包头特征信息。通过读取数据包头中的特征满足过滤规则的数据包,才会被防火墙转发相应目标网络接口。一旦发现有来自危险网络的特征数据包,依据预先配置的过滤规则,防火墙便会将这些数据拒之门外。根据过滤数据包的方式和技术发展上的需要,包过滤防火墙在实际应用中又可分为静态包过滤和动态包过滤防火墙两种类型。静态包过滤是分组防火墙的第一代品种,这种类型的防火墙根据定义
4、好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配,过滤规则基于数据包的报头信息特征进行制定,包括IP源地址、IP目标地址、传输协议(TCP、UDP和ICMP等)、TCP/UDP目标端口和ICMP消息类型等。静态包过滤类型的防火墙要遵循一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其它的数据包。动态包过滤是分组过滤防火墙的新一代品种,这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题,这种技术后来发展成为所谓的包状态监测(Stateful Inspction)技术。采用这种技术的防火墙,对通过其建立的每一个连接都进行跟踪,并且根
5、据需要可动态地在过滤规则中增加或更新条目。包过滤防火墙中的分组过滤技术优点是简单实用,实现成本低。在应用环境比较简单的情况下,能够以比较小的代价,在一定程度上保障系统的安全,实用一种通用、廉价、有效的安全手段。之所以通用,实因为它不针对各个具体网络服务,采取特殊的处理方式;之所以廉价,实因为大多数路由器都提供分组路由功能;之所以有效,实因为它能很大程度地满足企业网的基本安全需求。但包过滤防火墙的缺陷也实明显的,包过滤技术实一种完全基于网络层的安全保障技术,只能根据数据包的来源、目标和端口等网络信息进行判断。包过滤防火墙一般工作在网络层和传输层,无法识别基于应用层的恶意侵入,如恶意的Java小程
6、序以及电子邮件中的附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。2. 应用代理防火墙应用代理防火墙一可以称为带来服务器,它的安全性要高于包过滤型产品。应用带来防火墙工作在应用层,其特点是能够完全阻隔网络通信的数据流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,应用代理型防火墙是内部网与外部网的隔离点起着监视好隔绝应用层通信流的作用。它通常工作在OSI模型的最高层,掌握着应用系统中安全决策的全部信息。第一代代理防火墙也叫应用层网关防火墙,这种防火墙通过一种代理(Proxy)技术实现一个TCP连接全过程。代理服务器位于客户机与服务器之间,完全阻挡了二者
7、间的数据交流。从客户机来看,代理服务器相当与一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器在根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。应用层网关防火墙最大缺点就是速度相对比较慢,当用户对外网络网关吞吐量要求比较高时,代理防火墙会成为内外网络之间瓶颈所幸的是,目前用户接入Internet的速度一般远低于这个数字。第二代代理防火墙也叫自适应代理防火墙,自适应代理防火墙技术(Adaptive
8、 Proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上,组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)和动态包过滤器(Dynamic Packet Filter)。在自适应代理与动态包过滤器之间存在着一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了,然后,自适应代理就可以根据用户配置信息,决定是使用代理服务器从应用层代理请求还是从网络层转发包
9、。如果是后者,它将动态地通知包过滤增减过滤规则,满足用户对速度和安全性的双重要求。从表现形式上来分,防火墙大致可分为硬件防火墙和软件防火墙两种类型硬件防火墙是指把防火墙程序做到芯片里面,有硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般有着这样的核心要求:它的硬件和软件需要单独设计,有专用网络芯片来处理数据包。同时,采用专门的操作系统平台,从而避免操作系统的安全性漏洞。硬件防火墙一般都是有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用的比较多。通过在硬件防火墙上设置适当的规则,利用这些规则防火墙对流经自己的数据做出判断,让这些数据通过或者
10、不通过,以达到禁止非正常数据通过,保护网络安全的目的。通常,硬件防火墙部署在网络的出口或者是网络重点保护区域,需要完成两个工作:第一,作为网络互联设备实现网络互联互通;第二,作为网络安全设备检测流经数据,保护网络安全。软件防火墙其实就是安全防护软件,是运行于特定的计算机平台上的软件产品,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。软件防火墙就像其他的软件产品一样,需要先在计算机上安装并做好配置才可以使用,它通过在操作系统底层工作来实现网络管理和防御功能的优化。随着宽带网络的迅速发展,软件防火墙在大数据流量面前显得里不经心,例如天网防火
11、墙、金山网镖和蓝盾防火墙等。各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。三、防火墙的基本功能防火墙可以看成是安置在可信任网络和不可信任网络之间的一个缓冲其基本功能就是对网络间通讯进行筛选,防止未授权的访问进出网络,从而
12、实现对网络进行访问控制。防火墙只专注一件事,在已授权和未授权之间做出决断。防火墙最初假设对内部网络总是信任的,而对外部网络总是不信任。体现在防火墙的设计上只是对外部进来的通信进行过滤,而对内部网络网络用户发出通信不做限制。目前才有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求数据包同样需要过滤,但防火墙仍只让符合安全策略的通信通过。1. 防火墙是网络安全的屏障防火墙作为网络的控制点能极大提高内部网络的安全性,通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用才能通过防火墙,这样来自外部网络的攻击者就不可能通过防火墙来攻击内部网络,所以网络环境变得更安全
13、。2. 防火墙可以强化网络安全策略通过建立以防火墙未中心的安全方案配置,能将所有安全软件如(口令、加密、身份证件)配置在防火墙上。与将网络安全管理问题分散到各个主机上相比,防火墙的集中安全管理更经济、更统一。3. 对网络存取和访问进行监控由于所有来自外部网络的访问都经过防火墙,因此防火墙是审计和记录Internet使用状况最佳地点。防火墙能记录下这些访问,并根据这些访问记录做出日志,提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当报警,并提供网络是否受到监测和攻击的详细信息。使用防火墙的统计信息,分析网络需求和威胁,对保护网络安全非常重要。4. 防止内网信息外泄隐私是内部网络非常
14、关心的问题,内部网络中不引人注意的细节,可能包含了有关网络安全的线索,其信息的外泄可能引起外部攻击者的兴趣,暴露内网安全漏洞。通过防火墙实施对你不网络的规划,可实现内部网重点网段的隔离,限制重点或敏感网络安全问题泄露,造成对全网安全形成的影响。5. 具有VPN性能防火墙除了具有安全作用外,还支持通过Internet服务特性见了的企业内部网络技术体系VPN。通过VPN,将分布在全世界各地的企业内部网络,在Internet上建立企业的私有专用子网,把企业分布在各地的网络有机的连成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。6. 提供NAT技术NAT的主要用途是解决IP地址匮乏问
15、题,NAT技术能透明的对所有内部地址做转换,使外部网络无法了解内部网络的内部结构。防火墙具有NAT技术,从当内网的中介和代理,截断与外部网络的直接连接,极大提高内部网络的安全性。利用NAT技术,将有限的IP地址动态或静态与内部IP地址对应起来,用来缓解地址空间短缺的问题。7. 强大的抗攻击能力作为一种网络安全防护设备,防火墙在网络中自然是众多攻击者的目标,因此抗攻击能力也是防火墙的必备功能,抗攻击能力的高低也是衡量设备性能的一个重要技术指标。当然防火墙在网络安全的防范上也不是万能的铜墙铁壁,也存在着一些不能防范的 安全威胁,如防火墙不能防范不经过防火墙的攻击。例如如果允许从受保护的网络内部向外
16、拨号一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自与网络内部的攻击以及病毒的威胁。四、防火墙的安全构建在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。(一)基本准则可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个
