防火牆技術論文
防火牆技術是指隔離在本地網路與外界網路之間的一道防禦系統的總稱。小編整理的,希望你能從中得到感悟!
篇一
淺談防火牆技術
一、前盲
隨著計算機和網路在社會中的應用的不斷增多,計算機和網路安壘技術正變得越來越重要,部門能夠使用的安全裝置和軟體的不斷增多,大量資料紛紛湧人事件日誌,致使網路管理員的工作難度越來越高,負擔越來越重。
二、防火牆技術
防火牆是一個由軟體和硬體裝置組合而成,在網路之間實施訪問控制的一個系統,通過執行訪問控制策略,限制兩個網路之間資料的自由流動,通過控制和檢測網路之間的資訊交換和訪問行為實現對網路安全的有效管理。
網路防火牆是加強網路之間訪問控制的裝置,防止外部網路使用者以非法手段通過外部網路進人內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置。它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態。
1.防火牆一般有三個特性:
所有的通訊都經過防火牆
防火牆只放行經過授權的網路流量
防火牆能經受的住對其本身的攻擊
我們可以看成防火牆是在可信任網路和不可信任網路之間的一個緩衝,防火牆可以是一臺有訪問控制策略的路由器***Route+ACL***,一臺多個網路介面的計算機,伺服器等,被配置成保護指定網路,使其免受來自於非信任網路區域的某些協議與服務的影響。所以一般情況下防火牆都位於網路的邊界,例如保護企業網路的防火牆,將部署在內部網路到外部網路的核心區域上。
2.防火牆將保護以下三個主要方面的風險:
機密性的風險
資料完整性的風險
用性的風險
3.防火牆的主要優點如下:
防火牆可以通過執行訪問控制策略而保護整個網路的安壘,並且可以將通訊約束在一個可管理和可靠性高的範圍之內。
防火牆可以限制某些***的訪問。
防火牆功能單一,不需要在安全性、可用性和功能上做取捨。
防火牆有審記和報警功能,有足夠的日誌空間和記錄功能,可以延長安全響應的週期。
4.防火牆也有許多弱點:
不能防禦已經授權的訪問,以及存在於網路內部系統間的攻擊。
不能防禦合法使用者惡意的攻擊,以及社交攻擊等非預期的威脅。
不能修復脆弱的管理措施和存在問題的安全策略。
不能防禦不經過防火牆的攻擊和威脅。
5.根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型、網路地址轉換一NAT、代理型和監測型。
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。包過濾技術的優點是簡單、實用和成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
包過濾技術也有明顯的缺陷。包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵人,如惡意的Java小程式以及***中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
網路地址轉化―NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網路訪問因特網。它還意味著使用者不許要為其網路中每一臺機器取得註冊的IP地址。
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。其優點是安壘性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。缺點是對系統的整體效能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定,大大增加了系統管理的複雜性。
監測型
監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
監測型防火牆由於實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆:基於對系統成本與安全技術成本的綜合考慮,使用者可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安壘性需求,同時也能有效地控制安全系統的總擁有成本。
6.防火牆的不足
雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的使用者們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文伴,以及無法防範資料驅動型的攻擊。
這樣各單位均通過其他手段進行安全強化,如:入侵監測、防毒軟體、網路監控、網路認證等。
雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次。不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著資料安全與使用者認證、防止病毒與黑客侵入等方向發展。
三、結束語
隨著事業的發展,各單位均意識到網路安全的重要,逐步加強了網路的監管與防護工作,在備自的網路邊界架設防火牆,定製策略進行邊界防護,防止外部網路對內部網路的攻擊,起到一定的隔離作用。但是網路的安全、裝置的安全不是單純的增加裝置或是安裝軟體就能萬事無憂了,更重要的還是使用人員的意識和素質,對於網路安全來說,採取手段是必要的,但更重要的是人員的管理。
篇二
防火牆技術的研究
摘 要: 本文主要闡述了防火牆的概況及其主要技術:包過濾、代理伺服器、狀態檢測技術,分析了防火牆體系結構的一些優缺點,並提出了一些建設性的意見。
關鍵詞: 防火牆 技術原理 體系結構
一、防火牆簡介
1.防火牆的概念
防火牆的本義是指古代人們房屋之間修建的那道牆,這道牆可以防止火災發生的時候蔓延到別的房屋。防火牆技術是指隔離在本地網路與外界網路之間的一道防禦系統的總稱。
2.防火牆的發展
***1***第一代防火牆
第一代防火牆技術幾乎與路由器同時出現,採用了包過濾***Packet filter***技術。
***2***第二、三代防火牆
***,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆,即電路層防火牆,同時提出了第三代防火牆——應用層防火牆***代理防火牆***的初步結構。
***3***第四代防火牆
1992年,USC資訊科學院的BobBraden開發出了基於動態包過濾***Dynamic packet filter***技術的第四代防火牆,後來演變為目前所說的狀態監視***Stateful inspection***技術。
***4***第五代防火牆
1998年,NAI公司推出了一種自適應代理***Adaptive proxy***技術,並在其產品Gauntlet Firewall for NT中得以實現,給代理型別的防火牆賦予了全新的意義,可以稱之為第五代防火牆。
二、防火牆的型別
從技術上看,防火牆有三種基本型別:包過濾型、代理伺服器型和複合型。
包過濾型防火牆***Packet Filter Firewall***通常建立在路由器上,在伺服器或計算機上也可以安裝包過濾防火牆軟體。包過濾型防火牆工作在網路層,基於單個IP包實施網路控制。它對所收到的IP資料包的源地址、目的地址、TCP資料分組或UDP報文的源埠號及目的埠號、包出入介面、協議型別和資料包中的各種標誌位等引數,與網路管理員預先設定的訪問控制表進行比較,確定是否符合預定義好的安全策略並決定資料包的放行或丟棄。
代理伺服器型防火牆***Proxy Service Firewall***通過在計算機或伺服器上執行代理的服務程式,直接對特定的應用層進行服務,因此也稱為應用層閘道器級防火牆。代理伺服器型防火牆的核心,是運行於防火牆主機上的代理伺服器程序,實質上是為特定網路應用連線企業內部網與Internet的閘道器。
複合型防火牆***Hybrid Firewall***把包過濾、代理服務和許多其他的網路安全防護功能結合起來,形成新的網路安全平臺,以提高防火牆的靈活性和安全性。
三、防火牆技術原理
防火牆從原理上主要有三種技術:包過濾***PackeFiltering***技術、代理服務***ProxyService***技術和狀態檢測***StateInspection***技術。
1.包過濾***PacketFiltering***技術
在基於TCP/IP協議的計算機網路上,所有網路上的計算機都是利用IP地址的唯一標誌來確定其在網路中的位置的,而所有來往於計算機之間的資訊都是以一定格式的資料包的形式來傳輸的,資料包中包含了標誌傳送者位置的IP地址、埠號和接受者位置的IP地址、埠號等地址資訊。當這些資料包被送上計算機網路時,路由器會讀取資料包中接受者的IP地址,並根據這一IP地址選擇一條合適的物理線路把資料包傳送出去,當所有的資料包都到達目的主機之後再被重新組裝還原。包過濾性防火牆就是根據資料在網路上的這一傳輸原理來設計的,它可以實現網路中資料包的訪問控制。首先包過濾防火牆會檢查所有通過它的資料流中每個資料包的IP包頭資訊,然後按照網路管理員所設定的過濾規則進行過濾。
2.代理服務***ProxyService***技術
代理實際是設定在Internet防火牆閘道器上有特殊功能的應用層程式碼,是在網管員允許下或拒絕特定的應用程式或者特定服務,還可應用於實施資料流監控、過濾、記錄和報告等功能。在應用層,提供應用層服務的控制,起到內部網路向外部網路申請服務時中間轉接作用,內部網路只接受代理提出的服務請求,拒絕外部網路其他接點的直接請求。代理的工作原理比較簡單。使用者與代理伺服器建立連線,將目的站點告知代理,對於合法的請求,代理以自己的身份***應用層閘道器***與目的站點建立連線,然後代理在這兩個連線中轉發資料。其主要特點是有狀態性,能完全提供與應用相關的狀態和部分傳輸方面的資訊,能提供全部的審計和日誌功能,能隱藏內部IP地址,能實現比包過濾路由器更嚴格的安全策略。
3.狀態檢測***StateInspection***技術
狀態檢測又稱動態包過濾,是在傳統包過濾上的功能擴充套件,最早由Checkpoint提出。狀態檢測作為防火牆技術其安全特性最佳,它採用了一個在閘道器上執行網路安全策略的軟體引擎,稱為檢測模組。檢測模組在不影響網路正常工作的前提下,採用抽取相關資料***狀態資訊***的方法對網路通訊的各層實施監測,並動態地儲存狀態資訊作為以後制定安全決策的參考。
四、各防火牆體系結構的優缺點
1.雙重宿主主機體系結構提供來自於多個網路相連的主機的服務***但是路由關閉***,它圍繞雙重宿主主計算機構築。該計算機至少有兩個網路介面,位於因特網與內部網之間,並被連線到因特網和內部網。兩個網路都可以與雙重宿主主機通訊,但相互之間不行,它們之間的IP通訊被完全禁止。雙重宿主主機僅能通過代理或使用者直接登入到雙重宿主主機來提供服務。
2.被遮蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網路相連的主機的服務。遮蔽路由器位於因特網與內部網之間,提供資料包過濾功能。堡壘主機是1個高度安全的計算機系統,通常因為它暴露於因特網之下,作為聯結內部網路使用者的橋樑,易受到侵襲損害。這裡它位於內部網上,資料包過濾規則設定它為因特網上唯一能連線到內部網路上的主機系統。它也可以開放一些連線***由站點安全策略決定***到外部世界。在遮蔽路由器中,資料包過濾配置可以按下列之一執行:①允許其他內部主機,為了某些服務而開放到因特網上的主機連線***允許那些經由資料包過濾的服務***。②不允許來自內部主機的所有連線***強迫這些主機經由堡壘主機使用代理服務***。這種體系結構通過資料包過濾來提供安全,而保衛路由器比保衛主機較易實現,因為它提供了非常有限的服務組,所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是,若是侵襲者設法入侵堡壘主機,則在堡壘主機與其他內部主機之間無任何保護網路安全的東西存在;路由器同樣可能出現單點失效,若被損害,則整個網路對侵襲者開放。
3.被遮蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器***因為它可被因特網上使用者訪問***,我們新增額外的安全層到被遮蔽主機體系結構中,將堡壘主機放在額外的安全層,構成了這種體系結構。這種在被保護的網路和外部網之間增加的網路,為系統提供了安全的附加層,稱之為周邊網。這種體系結構有兩個遮蔽路由器,每一個都連線到周邊網。1個位於周邊網與內部網之間,稱為內部路由器,另一個位於周邊網與外部網之間,稱之為外部路由器。堡壘主機位於周邊網上。侵襲者若想侵襲內部網路,必須通過兩個路由器,即使他侵入了堡壘主機,仍無法進入內部網。因此這種結構沒有損害內部網路的單一易受侵襲點。
五、對防火牆技術造成的安全漏洞的建議
防火牆的管理及配置相當複雜,要想成功地維護防火牆,防火牆管理員必須對網路安全的手段及其與系統配置的關係有相當深刻的瞭解。防火牆的安全策略無法進行集中管理。一般來說,由多個系統組成的防火牆,管理上有所疏忽也是在所難免的。
對此可作如下改進:管理上的安全問題,關鍵在於提高管理員的素質,積極學習安全管理及網路安全知識,熟練掌握防火牆的系統配置關係,多多實踐,積累足夠的經驗,多個系統防火牆的管理一定要有高度認真、負責到底的精神。總而言之,提高管理者的素質至關重要。
參考文獻:
[1]林曉東,楊一先.網路防火牆技術.
[2]梅傑,許榕生.Internet防火牆技術最新發展.