《防火墙技术--信息安全课程期末论文.doc》由会员分享,可在线阅读,更多相关《防火墙技术--信息安全课程期末论文.doc(7页珍藏版)》请在金锄头文库上搜索。
1、目 录1 引言12 防火墙的概念13 防火墙的基本原理14 防火墙的技术和种类14.1 防火墙技术24.2防火墙的种类及功能35 防火墙技术在计算机安全中的具体应用45.1 安全服务配置45.2 配置访问策略55.3 日志监控56 防火墙的未来发展趋势56.1防火墙未来发展设想57 结束语6参考文献6防火墙技术1 引言计算机网络安全问题主要有:信息在传输的过程中,数据被篡改和复制,以及拦截和查看,甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行,出现系统瘫痪或重要数据的泄漏,造成不可挽回的严重后果。为了构建安全可靠的网络安全环境,我国除了从法律和政策方面建立网络安全体系,还
2、从技术方面进行完善。由于网络内部和外部环境的特殊性,因此防火墙技术是目前保护网络安全最为有效地技术。不仅能够对网络传输的数据进行检查,还能对整个网络进行监控。2 防火墙的概念防火墙一词是古代延伸而来的,在古代人们为了防止天灾的发生和天灾的蔓延,使用坚硬的物体放在一起作为屏蔽,这种屏蔽就叫做防火墙。在现代,防火墙是指内部网和Internet分开的一种方法,是一种防御系统,也是目前最重要的一种网络防护的手段。它通过设定的安全措施来对各个网络之间的数据进行检测,从而决定哪个网络需要访问,哪个网络不能访问。3 防火墙的基本原理防火墙的原理是数据信息的隔离掌控作用,它是一个数据分析系统,也是一个数据流限
3、制系统。防火墙技术主要目的是实现一个安全的网络环境,它要求凡是进出网络的信息包和数据包都一定要有授权、计划和策略,从而达到内网与外网的分离。4 防火墙的技术和种类 4.1 防火墙技术防火墙的技术分成深度数据包处理技术、网络地址转换技术、代理技术、SOCKS技术、虚拟专用网技术和状态检测技术等。(1)深度数据包处理技术。深度数据包处理技术是把多个相关联的数据包统一放在一个数据流里面使其保持平稳的状态,在受到攻击或者发生异常时,还要保证这个数据流可以平稳运行,所以它对处理要求的速度、检测、分析和组装都异常的高,为了避免使用应用时间的延退,需要处理要求进行整体的提升。(2)网络地址转换技术。网络地址
4、转换技术也称之为NAT,它可以分成静态地址转换技术、端口级地址转换技术、地址转换技术池和三种。网络地址转换技术是指把IP报头上没有经过合法注册的IP地址换成经过合法注册的IP地址,让范围内的所有主机可以自由的在局域网上访问Internet。而网络地址转换技术的作用是在隐藏了计算机主机的真正网络地址的同时,也顺利解决了地址不足够的问题,其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。网络地址转换技术的优点是保证了网络的安全,让黑客没有办法对网络进行直接的攻击。 (3)代理技术。代理技术是指在征求网络管理员的意见之后,接受或者阻止设置在网络防火墙上的代码,在现实生活中用于数据的报
5、告、数据的监控、数据的记录和数据的过滤等方面。代理技术的工作过程相对简单不是特别复杂,简单来说就是代理用户与服务器之间数据的转发,首先必须确定用户和服务器必须连接,然后把目标网络点告知代理服务器,并发出连接请求,最后代理过滤请求的合法性,只有请求合法代理才能以应用层网关的身份与目标网络点连接。 代理技术的优点是有状态性,可以提供日志功能、审计功能和完全的信息传输功能,并且可以隐藏遗留的IP地址,实现了更稳定、更全面的安全策略。每一个代理技术都有一个针对的特定应用,使代理选择更自由,如网络管理员可以选择安装自己需要的代理。每个代理之间不会相互影响,哪怕有一个代理出现问题也不会阻碍其他的功能,只需
6、要把有问题的代理卸掉,就能保证代理模块整体的正常工作,也保证了防火墙不会因为失效而出现安全问题。 (4) SOCKS技术。SOCKS是目前比较新的协议标准,它主要针对电路层网关。SOCKS是指在防火墙上运行的代理服务软件包与各个网络连接的程序库文件包所组成的系统,它只针对于TCP服务包,这样的结构可以使代理软件的选择更自由,根据个人的需求来制定相对应的代理软件。 (5)虚拟专用网技术。虚拟专用网技术也称之为VPN,它是一种通信方式,是利用公共网络来对数据包进行加密和检查的,所以虚拟专用网技术可以实现远程用户、企业的分公司、供货商和商业伙伴与合作企业所在的内部网,进行信息和数据的连接,并保证这些
7、数据流安全传输。(6)状态检测技术。状态检测技术也称之为动态包过滤技术,是在包过滤的基础上进行的功能扩展,目前已经是整体性能和安全性能最好的一种防火墙技术,它是利用检测模块来建立的。检测模块就是一个软件引擎,它的功能就是对各个层次的网络通信进行安全监控。检测模块运行的前提是不能影响正常的工作,在此前提下对数据进行随机的抽取,并以动态的形式保存起来。4.2防火墙的种类及功能 防火墙的技术实现有以下五种,网络级防火墙、电路级网关、应用级网关和混合型防火墙。每一种的功能和使用都不同,具体情祝要进行具体分析。 (1)网络级防火墙。网络级防火墙也称之为包过滤型防火墙,它是判断每个地址端口和IP源地址、协
8、议能否通过。随着网络的发展,一个路由器就能代表一个包过滤型防火墙,这种防火墙配置简中,安全系数偏低,绝大部分的数据都能通过路由器并进行转发,但是对于数据的IP地址的方向判断不清。越先进的路由器,其自带的防火墙也越先进,它可以快速的判断出数据包的合法性。网络及防火墙的功能有三种,在路由器的数据转发和选择的时候实施包过滤、在工作开始的站点上实施包过滤和在屏蔽路由器开始工作时实施包过滤。 (2)电路级网关。电路级网关的重要作用是监视、控制受信任的用户与网络服务器,而对于不受信任的TCP进行握手,以此来决定该行为是否合法,它比网络级防火墙和应用级网关都要高。 电路级网关的优点是,它本身有一个自带的代理
9、服务器的防火墙,这个防火墙是通过地址转移来运行的,把用户所有的IP地址都反射到安全地带,它的缺点是,无法实现数据包的检查,运行时必须要联合其他应用级网关才能启动。 (3)应用级网关。应用级网关是目前安全性能比较好的一种防火墙技术,它有较好的选择控制和访问控制,但相对的缺少透明程度,实现比较困难。应用级网关是通过对网关数据的复制和传送来检查数据包的,它可以切断用户与不受信任服务器之间的联系,有效的保护用户的网络数据安全。 应用级网关虽然可以做一些比较复杂的访问、协议、控制和注册,但它所需要的代理软件也相对比较复杂,并且时间长、工作量大,运行效率偏低,在使用时,会经常出现访问时间延长或者多次登录的
10、情况。 (4)混合型防火墙。混合型防火墙是一种新的突破,它综合了透明度、代理和检测三种功能,把过滤和预防全部集于一体,也结合了包过滤烈防火墙的OSI网络层端口和IP地址上进行数据包的过滤、电路级网关的序列数字与SYN和ACK之间的比对和应用级网关的对数据包在OSI应用层的检查。混合型防火墙不仅包括传统的网络流量检测和应用层扫描,还包括OSI的第七层检测。混合型防火墙的优点是独立的存在,不依靠其他的应用层网络,而是依据一种算法来进行数据包的过滤,其缺点是不能打破用户机和服务机的数据包分析,使得不受信任的网络和受信任的用户进行连接。5 防火墙技术在计算机安全中的具体应用5.1 安全服务配置安全服务
11、隔离区(DMZ)把服务器机群和系统管理机群单独划分出来,设置为安全服务隔离区,它既是内部网络的一部分,又是一个独立的局域网,单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址,保护内部网络的安全,也可以大大节省公网IP地址的使用,节省了投资成本。如果单位原来已有边界路由器,则可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ
12、区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。5.2 配置访问策略访问策略是防火墙的核心安全策略,所以要经过详尽的信息统计才可以进行设置。在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、TCP或UDP 的端口,并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。5.3 日志
13、监控日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息就去采集。如:所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但每天进出防火墙的数据有上百万甚至更多,所以,只有采集到最关键的日志才是真正有用的日志。一般而言,系统的告警信息是有必要记录的,对于流量信息进行选择,把影响网络安全有关的流量信息保存下来。6 防火墙的未来发展趋势6.1防火墙未来发展设想(1)形成以防火墙为核心的计算机网络安全体系。迄今为止,防火墙技术仍是应用最广泛的计算机网络安全防护技术,其重要性不可替代,但是要想最大程度地保护网络安全,仅凭防火墙单方面的作用是不行的,还必须借
14、助其他手段构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。(2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步向基于网络处理器ASIC芯片架构上发展。网络处理器由于内含多个数据处理引擎,能够直接完成网络数据处理工作从而减轻CPU的负担。(3)智能技术的进一步发展。目前的防火墙只能识别一些已知的攻击行为,对于未知的攻击则显得力不从心,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。(4)分布式技术的进一步发展。分布式技术将是未来的趋势,多台物理防火墙协同工作,组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且
15、集中管理,大大降低了资金、人力及管理成本。(5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要的矛盾,经济高效的防火墙将是未来研究的方向。7 结束语防火墙作为网络安全的基本手段和安全措施,是一项非常复杂的工程,随着研究课题的不断增多,防火墙技术也不断在变化,变得对信息包和数据包更容易通过和识别,使应用级防火墙朝着透明化和简单化方面发展。参考文献 1陈文惠,朱卫未,防火墙技术分析J,信息安全与通信保密,2009 ( 5 ) :112-114. 2宿洁,袁军鹏,防火墙技术及其进展J,计算机工程,2010 (9):179-181 3林晓东,杨义先,防火墙技术J,电信科学,2008 (3):56-57 4欧志刚,黄志军,防火墙原理与应用J,计算机与数学工程,2009 ( 6) :177-179.5魏利华,防火墙技术及其性能研究J,能源信息与信息,2008 (7) :189-191.6雷光洪.计算机网络安全与防火墙技术的发展J.自贡师范高等专科学校学报,2008(13).6