防火牆技術技術論文
防火牆技術作為時下比較成熟的一種網路安全技術,其安全性直接關係到使用者的切身利益。小編整理的,希望你能從中得到感悟!
篇一
淺析防火牆技術
【摘要】防火牆技術作為時下比較成熟的一種網路安全技術,其安全性直接關係到使用者的切身利益。隨著計算機技術和網路技術的發展,計算機網路給人們帶來了很多便利,於此同時網路安全的問題也伴隨著網路技術的發展而日趨嚴重。使用防火牆能很好的提高系統的安全性,減少系統受到網路安全方面的威脅。在現在的計算機時代,網路資訊的安全越顯得重要。而對防火牆技術的要求也會越來越高。
【關鍵詞】防火牆;網路安全;網路技術
為了解決網際網路時代個人網路安全的問題,近年來新興了防火牆技術。防火牆具有很強的實用性和針對性,它為個人上網使用者提供了完整的網路安全解決方案,可以有效地控制個人電腦使用者資訊在網際網路上的收發。
使用者可以根據自己的需要,通過設定一些引數,從而達到控制本機與網際網路之間的資訊交流阻止惡性資訊對本機的攻擊而且防火牆能夠實時記錄其它系統試圖對本機系統的訪問,使計算機在連線到網際網路的時候避免受到網路攻擊和資料洩漏的安全威脅。
一套完整的防火牆系統通常是由遮蔽路由器和代理伺服器組成。遮蔽路由器是一個多埠的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。遮蔽路由器從包頭取得資訊。代理伺服器是防火牆中的一個伺服器程序,它能夠代替網路使用者完成特定的TCP/TP功能。一個代理伺服器本質上是一個應用層的閘道器,一個為特定網路應用而連線兩個網路的閘道器。代理伺服器要求使用者提供其要訪問的遠端主機名。當用戶答覆並提供了正確的使用者身份及認證資訊後,代理伺服器連通遠端主機,為兩個通訊點充當中繼。整個過程可以對使用者完全透明。使用者提供的使用者身份及認證資訊可用於使用者級的認證。最簡單的情況是,它只由使用者標識和口令構成。但是,如果防火牆是通過Internet可訪問的,應推薦使用者使用更強的認證機制。
當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的裝置。當Internet使用者企圖訪問你網路上的資源時,首先進入的機器就是堡壘主機。因為堡壘主機是直接連線到Internet上的,其上面的所有資訊都暴露在公網之上。這種高度地暴露規定了硬體和軟體的配置。堡壘主機就好像是在軍事基地上的警衛一樣。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什麼地方。警衛還經常準備好強制阻止進入。同樣地,堡壘主機必須檢查所有進入的流量並強制執行在安全策略裡所指定的規則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日誌記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會採取行動。
當構造防火牆裝置時,經常要遵循下面兩個主要的概念。第一,保持設計的簡單性。第二,要計劃好一旦防火牆被滲透應該怎麼辦。
保持設計的簡單性。一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的元件。建立你的堡壘主機時要儘可能使用較小的元件,無論硬體還是軟體。堡壘主機的建立只需提供防火牆功能。在防火牆主機上不要安裝像WEB服務的應用程式服務。要刪除堡壘主機上所有不必需的服務或守護程序。在堡壘主機上執行少量的服務給潛在的黑客很少的機會穿過防火牆。
安全,通常是指只有被授權的人才能使用其相應資源的一種機制。我國對於電腦保安的定義是:“計算機系統的硬體、軟體、資料受到保護,不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統能連續正常執行。”
從技術講,電腦保安分為3種:
1.實體的安全。它保證硬體和軟體本身的安全。
2.執行環境的安全性。它保證計算機能在良好的環境裡持續工作。
3.資訊的安全性。它保障資訊不會被非法閱讀、修改和洩漏。
隨著網路的發展,計算機的安全問題也延伸到了計算機網路。 面對這一系列的安全性問題的解決,我們就要採用防火牆來進行抵禦。然而最簡單的防火牆配置,就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用閘道器。為更好地實現網路安全,有時還要將幾種防火牆技術組合起來構建防火牆系統。目前比較流行的有以下三種防火牆配置方案。
1.雙宿主機閘道器***Dual Homed Gateway***
這種配置是用一臺裝有兩個網路介面卡的雙宿主機做防火牆。雙宿主機用兩個網路介面卡分別連線兩個網路,又稱堡壘主機。堡壘主機上執行著防火牆軟體***通常是代理伺服器***,可以轉發應用程式,提供服務等。雙宿主機閘道器有一個致命弱點,一旦入侵者侵入堡壘主機並使該主機只具有路由器功能,則任何網上使用者均可以隨便訪問有保護的內部網路
2.遮蔽主機閘道器***Screened Host Gateway***
遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。一個包過濾路由器連線外部網路,同時一個堡壘主機安裝在內部網路上。堡壘主機只有一個網絡卡,與內部網路連線。通常在路由器上設立過濾規則,並使這個單宿堡壘主機成為從Internet惟一可以訪問的主機,確保了內部網路不受未被授權的外部使用者的攻擊。而Intranet內部的客戶機,可以受控制地通過遮蔽主機和路由器訪問Internet。
雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網絡卡,一塊連線內部網路,一塊連線包過濾路由器。雙宿堡壘主機在應用層提供代理服務,與單宿型相比更加安全。
3.遮蔽子網***Screened Subnet***
這種方法是在Intranet和Internet之間建立一個被隔離的子網,用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端,在子網內構成一個“緩衝地帶”,兩個路由器一個控制Intranet 資料流,另一個控制Internet資料流,Intranet和Internet均可訪問遮蔽子網,但禁止它們穿過遮蔽子網通訊。可根據需要在遮蔽子網中安裝堡壘主機,為內部網路和外部網路的互相訪問提供代理服務,但是來自兩網路的訪問都必須通過兩個包過濾路由器的檢查。對於向Internet公開的伺服器,像WWW、FTP、Mail等Internet伺服器也可安裝在遮蔽子網內,這樣無論是外部使用者,還是內部使用者都可訪問。這種結構的防火牆安全效能高,具有很強的抗攻擊能力,但需要的裝置多,造價高。
不論從功能還是從效能來講,防火牆產品的演進並不會放慢速度,反而產品的豐富程度和推出速度會不斷的加快,這也反映了安全需求不斷上升的一種趨勢,而相對於產品本身某個方面的演進,更值得我們關注的還是平臺體系結構的發展以及安全產品標準的釋出,這些變化不僅僅關係到某個環境的某個產品的應用情況,更關係到資訊保安領域的未來。
參考文獻
[1]石志國,薛為民,尹浩.計算機網路安全教程[M].北京:清華大學出版社,2011.
[2]石志國,薛為民,尹浩.計算機網路安全教程實驗指導[M].北京:清華大學出版社,2011.
[3]李太君,林元乖,張晉.計算機網路[M].北京:清華大學出版社,2009.
篇二
防火牆技術研究
摘 要:隨著網路安全問題日益嚴重,網路安全產品也被人們重視起來。防火牆作為最早出現的網路安全產品和使用量最大的安全產品,也受到使用者和研發機構的青睞。對防火牆的原理以及分類、作用進行了詳細的介紹,旨在為選擇防火牆的使用者提供借鑑。
關鍵詞:網路安全;防火牆
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1672-3198***2007***09-0240-02
1 從軟、硬體形式上分
如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆以及晶片級防火牆。
***1***軟體防火牆。
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機作業系統的支援,一般來說這臺計算機就是整個網路的閘道器。俗稱“個人防火牆”。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的作業系統平臺比較熟悉。
***2***硬體防火牆。
這裡說的硬體防火牆是指“所謂的硬體防火牆”。之所以加上“所謂”二字是針對晶片級防火牆說的了。它們最大的差別在於是否基於專用的硬體平臺。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上執行一些經過裁剪和簡化的作業系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的核心,因此依然會受到OS***作業系統***本身的安全性影響。
***3***晶片級防火牆。
晶片級防火牆基於專門的硬體平臺,沒有作業系統。專有的ASIC晶片促使它們比其他種類的防火牆速度更快,處理能力更強,效能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS***作業系統***,因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
2 從防火牆技術分
防火牆技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
***1***包過濾***Packet filtering***型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網路服務採取特殊的處理方式,適用於所有網路服務;之所以廉價,是因為大多數路由器都提供資料包過濾功能,所以這類防火牆多數是由路由器整合的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程式,因為它工作在網路層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網路層和傳輸層的有限資訊,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,效能會受到很大地影響;由於缺少上下文關聯資訊,不能有效地過濾如UDP、RPC***遠端過程呼叫***一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭資訊,而不能對使用者身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程式中的作用有較深入的理解。因此,過濾器通常是和應用閘道器配合使用,共同組成防火牆系統。
***2***應用代理***Application Proxy***型。
應用代理型防火牆是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網路通訊流,通過對每種應用服務編制專門的代理程式,實現監視和控制應用層通訊流的作用。其典型網路結構如圖所示。
在代理型防火牆技術的發展過程中,它也經歷了兩個不同的版本:第一代應用閘道器型代理防火和第二代自適應代理防火牆。
代理型別防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網路中任何一層資料通訊進行篩選保護,而不是像包過濾那樣,只是對網路層的資料進行過濾。
另外代理型防火牆採取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網路之間的通訊不是直接的,而都需先經過代理伺服器稽核,通過後再由代理伺服器代為連線,根本沒有給內、外部網路計算機任何直接會話的機會,從而避免了入侵者使用資料驅動型別的攻擊方式入侵內部網。
代理防火牆的最大缺點是速度相對比較慢,當用戶對內外部網路閘道器的吞吐量要求比較高時,代理防火牆就會成為內外部網路之間的瓶頸。那因為防火牆需要為不同的網路服務建立專門的代理服務,在自己的代理程式為內、外部網路使用者建立連線時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3 從防火牆結構分
從防火牆結構上分,防火牆主要有:單一主機防火牆、路由器整合式防火牆和分散式防火牆三種。
單一主機防火牆是最為傳統的防火牆,獨立於其它網路裝置,它位於網路邊界。
這種防火牆其實與一臺計算機結構差不多***如下圖***,同樣包括CPU、記憶體、硬碟等基本元件,主機板更是不能少的,且主機板上也有南、北橋晶片。它與一般計算機最主要的區別就是一般防火牆都集成了兩個以上的乙太網卡,因為它需要連線一個以上的內、外部網路。其中的硬碟就是用來儲存防火牆所用的基本程式,如包過濾程式和代理伺服器程式等,有的防火牆還把日誌記錄也記錄在此硬碟上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐效能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火牆技術的發展及應用需求的提高,原來作為單一主機的防火牆現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火牆功能,還有的防火牆已不再是一個獨立的硬體實體,而是由多個軟、硬體組成的系統,這種防火牆,俗稱“分散式防火牆”。
原來單一主機的防火牆由於價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網路投資,現在許多中、高檔路由器中集成了防火牆功能。如Cisco IOS防火牆系列。但這種防火牆通常是較低階的包過濾型。這樣企業就不用再同時購買路由器和防火牆,大大降低了網路裝置購買成本。
分散式防火牆再也不只是位於網路邊界,而是滲透於網路的每一臺主機,對整個內部網路的主機實施保護。在網路伺服器中,通常會安裝一個用於防火牆系統管理軟體,在伺服器及各主機上安裝有整合網絡卡功能的PCI防火牆卡 ,這樣一塊防火牆卡同時兼有網絡卡和防火牆的雙重功能。這樣一個防火牆系統就可以徹底保護內部網路。各主機把任何其它主機發送的通訊連線都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火牆那樣,僅對外部網路發出的通訊請求“不信任”。
4 按防火牆的應用部署位置分
按防火牆的應用部署位置分,可以分為邊界防火牆、個人防火牆和混合防火牆三大類。
邊界防火牆是最為傳統的,它們於內、外部網路的邊界,所起的作用的對內、外部網路實施隔離,保護邊界內部網路。這類防火牆一般都屬於硬體型別,價格較貴,效能較好。
個人防火牆安裝於單臺主機中,防護的也只是單臺主機。這類防火牆應用於廣大的個人使用者,通常為軟體防火牆,價格最便宜,效能也最差。
混合式防火牆可以說就是“分散式防火牆”或者“嵌入式防火牆”,它是一整套防火牆系統,由若干個軟、硬體元件組成,分佈於內、外部網路邊界和內部各主機之間,既對內、外部網路之間通訊進行過濾,又對網路內部各主機間的通訊進行過濾。它屬於最新的防火牆技術之一,效能最好,價格也最貴。
5 按防火牆效能分
按防火牆的效能來分可以分為百兆級防火牆和千兆級防火牆兩類。
因為防火牆通常位於網路邊界,所以不可能只是十兆級的。這主要是指防火的通道頻寬***Bandwidth***,或者說是吞吐率。當然通道頻寬越寬,效能越高,這樣的防火牆因包過濾或應用代理所產生的延時也越小,對整個網路通訊效能的影響也就越小。
雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的使用者們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或檔案,以及無法防範資料驅動型的攻擊。
參考文獻
[1]孫建華等.網路系統管理-Linux實訓篇[M].北京:人民郵電出版社,2003,***10***.
[2][美]Terry William Ogletree.防火牆原理與實施[M].北京:電子工業出版社,2001,***2***.
[3]鄧亞平.計算機網路安全[M].北京:人民郵電出版社,2004,***9***.