防火墙技术研究报告Word文件下载.docx
- 文档编号:21740523
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:5
- 大小:61.75KB
防火墙技术研究报告Word文件下载.docx
《防火墙技术研究报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《防火墙技术研究报告Word文件下载.docx(5页珍藏版)》请在冰豆网上搜索。
alongwiththeuniversalapplicationoftherapiddevelopmentofcomputerandnetworktechnology,withtheadventoftheinformationage,informationasanimportantresourceispaidattentiontoandusedbypeople.TheInternetisadevelopmentofveryactivedomain,maybeillegallyattackedbyhackers,soinanycase,foravarietyofaccident,accidentalorintentionaldamage,protectionofdataandtransfer,processingisverynecessary.Forexample,planstoprotectyournetworkfromthehazardsbroughtbyInternetattack,firewallisthefirstconsideration.ThecoreideaoffirewallistherelativesafetyofthestructureofanetworkenvironmentintheinsecureInternetenvironment.Thispaperintroducesthebasicconceptoffirewalltechnology,principle,applicationstatusanddevelopmenttrend.
Keywords:
firewall;
networksecurity
一、概述
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:
双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;
主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;
加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
四、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:
包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。
具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:
带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。
由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。
对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。
它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
五、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;
整个企业网的安全策略;
以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:
第一,未经说明许可的就是拒绝。
防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
第二,未说明拒绝的均为许可的。
约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。
当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。
企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。
对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
六、防火墙的发展特点
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。
防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。
对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。
目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?
说到底还是因为受现有技术的限制。
目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。
因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。
此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。
网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。
目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。
二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。
可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。
例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;
支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;
支持IPSecVPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
(三)安全
未来防火墙的操作系统会更安全。
随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。
七、防火墙的发展趋势
近年来,计算机网络获得了飞速的发展。
它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。
从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。
而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。
越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。
事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。
例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。
另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。
所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
计算机的安全问题正面临着前所未有的挑战。
在这场网络安全的攻击和反攻击的信息战中,永远没有终点。
黑客的攻击手段不断翻新,决定了信息安全技术也必须进行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
参考文献
[1]谢希仁.计算机网络(第5版)[M].北京:
电子工业出版社
[2]吴秀梅,傅嘉伟编著.防火墙技术及应用教程.北京:
清华大学出版社
[3]张红旗,王鲁等编著.信息安全技术.高等教育出版社
[4]张华贵,王海燕.计算机网络在安全分析与对策
[5]黄思育.浅议防火墙.达县师范高等专科学校学报(自然科学版)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术研究 报告