《计算机网络安全与防火墙技术研究》由会员分享,可在线阅读,更多相关《计算机网络安全与防火墙技术研究(13页珍藏版)》请在金锄头文库上搜索。
1、计算机网络平安与防火墙技术探讨摘要:近年来,网络犯罪的递增、大量黑客网站的诞生,网络系统的平安问题越来越受到重视。网络系统的平安对于国家机关、银行、企业是至关重要的,即使是对于学校、甚至个人也是如此。因此,平安保密工作越来越成为网络建设中的关键技术,防火墙技术就是其中重要的一环。防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流,允许合法数据包通过,组织非法数据包通过,从而达到有效爱护内部网络平安的目的。本文探讨了防火墙的平安功能、体系结构和实现防火墙的主要技术手段及配置等。关键字:计算机网络;防火墙;网络平安;防范措施引言反恐是
2、现今世界的重要课题,计算机网络平安是其中一个重要方面,尤其是银行、航空等关系到国计民生的行业。探讨网络平安具有重要的现实意义。影响计算机网络平安的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为:计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理平安问题。而防火墙技术又是网络平安最基本的技术之一。人们应当了解一些防火墙技术,更好地设置防火墙,使它可以防卫网络中的各种威逼,并且做出刚好的响应,将那些危急的连接和攻击行为隔绝在外。1. 防火墙的概念网络防火墙技术是种用来加强网络之间访问
3、限制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内互联设备。它对两个或的平安策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态。设立防火墙的主要目的是爱护个网络不受来自另一个网络的攻击。防火墙相当于个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种状况下,防火墙检查进人和离去的报文分组的IP和TCP头部,依据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。防火墙是一种爱护计算机网络平安的技术性措施,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它事实上是一种隔离技术。防火墙是在
4、两个网络通讯时执行的一种访问限制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻挡网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。2. 防火墙的分类a) 按防火墙的软硬件形式来分1) 软件防火墙软件防火墙运行于特定的计算机上,它须要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。2) 硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于
5、PC架构,就是说,它们和一般的家庭用的PC没有太大区分。3) 芯片级防火墙芯片级防火墙基于特地的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理实力更强,性能更高。b) 按防火墙的处理机制来分1) 包过滤型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它依据数据包头源地址,目的地址、端口号和协议类型等标记确定是否允许通过。只有满意过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。2) 应用代理型应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制特地的代理程序,实现监视和限制应用层
6、通信流的作用。3) 状态检测型状态检测型干脆对分组里的数据进行处理,并且结合前后分组的数据进行综合推断,然后确定是否允许该数据包通过。c) 按防火墙的结构来分1) 单一主机防火墙单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。2) 路由器集成式防火墙3) 分布式防火墙d) 按防火墙的应用部署位置来分1) 边界防火墙边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,爱护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。2) 个人防火墙个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广阔的个人用户,通常为
7、软件防火墙,价格最便宜,性能也最差。3) 混合式防火墙混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。3. 防火墙的功能a) 限制他人进入内部网络,过滤掉担心全服务和非法用户;b) 防止入侵者接近防卫设施;c) 限制访问特别站点;d) 为监视网络平安和预警供应便利;e) 防止资源被滥用。4. 防火墙系统的构建a) 创建步骤创建胜利的防火墙系统一般须要6步:制订平安安排、构建平安
8、体系、制订规则程序、落实规则集、留意更换限制、做好审计工作。b) 应遵循的原则在构建过程中,应遵循以下两个原则:1) 未经说明许可的就是拒绝防火墙堵塞全部流经的信息,每一个服务恳求或应用的实现都建立在逐项审查的基础上。这是一个值得举荐的方法,它将创建一个特别平安的环境。当然,该理念的不足在于,过于强调平安,而减弱了可用性,限制了用户可以申请的服务的数量。2) 未说明拒绝的均为许可的约定防火墙总是传递全部的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝的。当然,该理念的不足在于,它将可用性置于比平安性更为重要的地位,增加了保证企业网平安性的难度。c) 防火墙的体系架构目前,成熟的体
9、系构架有X86架构,它采纳通用CPU和PCI总线接口,具有很高的敏捷性和可扩展性,过去始终是防火墙开发的主要平台。而对于一些对网络平安有肯定要求的中小企业来说,选择NP防火墙是最佳的选择。NP技术通过特地的指令集和配套的软件开发系统,供应强大的编程实力,因而便于开发应用。假如你受到的网络攻击太过困难,那么运用基于ASIC的防火墙是你的最佳选择。ASIC将指令或计算逻辑固化到芯片中,获得了很高的处理实力,因而明显提升了防火墙的性能。5. 防火墙的特点a) 特性1) 全部的通信都经过防火墙;2) 防火墙只放行经过授权的网络流量;3) 防火墙能经受的住对其本身的攻击。b) 优点1) 防火墙可以通过执
10、行访问限制策略而爱护整个网络的平安,并且可以将通信约束在一个可管理和牢靠性高的范围之内;2) 防火墙可以用于限制对某些特别服务的访问;3) 防火墙功能单一,不须要在平安性,可用性和功能上做取舍;4) 防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长平安响应的周期。c) 弱点1) 不能防卫已经授权的访问,以及存在于网络内部系统间的攻击;2) 不能防卫合法用户恶意的攻击.以及社交攻击等非预期的威逼;3) 不能修复脆弱的管理措施和存在问题的平安策略;4) 不能防卫不经过防火墙的攻击和威逼。6. 防火墙的入侵检测a) 入侵检测系统的概念 入侵检测系统IDS(Intrusion Detect
11、ion System)指的是一种硬件或者软件系统,该系统对系统资源的非授权运用能够做出刚好的推断、记录和报警。 b) 入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法运用受爱护网络和计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威逼的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。c) 误报没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,缘由主要有四个方面:1) 缺乏共享数据的机制;2) 缺乏集中协调的机制;3) 缺乏揣摩数据在一段时间内变更的实力
12、;4) 缺乏有效的跟踪分析。d) 入侵检测系统的类型和性能比较 依据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。1) 基于主机的入侵检测系统主要用于爱护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已胜利入侵了系统。通过查看日志文件,能够发觉胜利的入侵或入侵企图,并很快地启动相应的应急响应程序。2) 基于网络的入侵检测系统主要用于实时监控网络关键路径的信息,它监听网络上的全部分组来采集数据,分析可疑现象。e) 入侵检测的方法 1)
13、 目前入侵检测方法有三种分类依据:i. 依据物理位置进行分类;ii. 依据建模方法进行分类;iii. 依据时间分析进行分类。2) 常用的方法有三种: i. 静态配置分析 静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。采纳静态分析方法主要有以下几方面的缘由:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。ii. 异样性检测方法异样性检测技术是一种在不须要操作系统及其平安性缺陷的特地学问的状况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在很多环境中,为用
14、户建立正常行为模式的特征轮廓以及对用户活动的异样性进行报警的门限值的确定都是比较困难的事。因为并不是全部入侵者的行为都能够产生明显的异样性,所以在入侵检测系统中,仅运用异样性检测技术不行能检测出全部的入侵行为。而且,有阅历的入侵者还可以通过缓慢地变更他的行为,来变更入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开运用异样性检测技术的入侵检测系统的检测。iii. 基于行为的检测方法 基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违反系统平安规则的行为,来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势:
15、假如检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避开系统以后再遭遇同样的入侵攻击。7. 防火墙的平安措施一个有效的平安体系,至少由防护、检测、响应3部分组成。这三者之间要实现基于时间的简洁关系:PD+R(式中:P代表防护手段所需支持的时问,D代表入侵检测手段发觉入侵行为所需的时间,尺代表事务响应设施产生效力所需的时间)。从这个关系式可以知道:假如在入侵者尚未突破防护设施的防卫时检测系统就发觉了这一入侵企图,且响应设施随即进行了有效的处理。这样,尽管爱护不能百分之百地有效,但只要检测快速、响应刚好,整个平安系统作为一个整体,仍是有可能实现有效防卫的。防护是防火墙一类防卫手段,检测是入侵检测手段,响应是网络系统对检测手段所发觉的入侵企图所做出的反应。这就是说,IDS与防火墙有效互动就可以实现一个较为有效的平安防护体系,克服了传统信息平安技术的弊端,解决原先防火墙的粗颗粒防卫和检测系统只能发觉、难以响应的问题。所以,把IDS与防火墙结合起来、互动运行,防火墙便可通过IDS刚好发觉其策略之外的攻击行为,也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性
