防火墙技术论文计算机专业1.docx
- 文档编号:23292696
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:8
- 大小:20.66KB
防火墙技术论文计算机专业1.docx
《防火墙技术论文计算机专业1.docx》由会员分享,可在线阅读,更多相关《防火墙技术论文计算机专业1.docx(8页珍藏版)》请在冰豆网上搜索。
防火墙技术论文计算机专业1
计算机防火墙技术浅析
科学技术的飞速发展,人们已经生活在信息时代。
计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。
对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。
不断地提高自身网络的安全才是行之有效地办法。
一、防火墙是什么
防火墙是一种非常有效的网络安全模型。
主要用来保护安全网络免受来自不安全网络的入侵,比如安全网络可能是企业的内部网络,不安全网络是因特网。
但防火墙不只是用于因特网,也用于Intranet中的部门网络之间。
在逻辑上,防火墙是过滤器限制器和分析器;在物理上,防火墙的实现有多种方式。
通常,防火墙是一组硬件设备-路由器,主计算机,或者是路由器,计算机和配有的软件的网络的组合。
不同的防火墙配置的方法也不同,这取决于安全策略,预算以及全面规划等。
二、防火墙的分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:
包过滤防火墙和代理防火墙。
静态包过滤防火墙:
静态包过滤防火墙采用的是一个都不放过的原则。
它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:
如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。
相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。
静态包的过滤原理就是:
将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。
这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。
但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。
而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。
动态包过滤防火墙:
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。
它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。
它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。
在这里我们了解的是代理防火墙。
代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:
服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。
代理服务器型防火墙提供了日志和审记服务。
代理(应用层网关)防火墙:
这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的作用。
由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
自适应代理防火墙:
自适应代理技术是商业应用防火墙中实现的一种革命性技术。
它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。
三、防火墙功能
防火墙是一个保护装置,它是一个或一组网络设备装置。
通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。
防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。
它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。
防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。
防火墙的核心功能主要是包过滤。
其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。
防火墙的主体功能归纳为以下几点:
(1)根据应用程序访问规则可对应用程序联网动作进行过滤。
(2)对应用程序访问规则具有自学习功能。
(3)可实时监控,监视网络活动。
(4)具有日志,以记录网络访问动作的详细信息。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。
四、防火墙的不足
防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方按的全部。
某些威胁是防火墙力所不及的。
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。
内部人员可能滥用被给予的访问权,从而导致事故。
防火墙也不能防止像社会工程攻击——种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息,如网络的口令。
另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。
另一个防止的是怀有恶意的代码:
病毒和特洛伊木马。
虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。
而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
五、常见攻击方式以及应对策略
(1)常见攻击方式
病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,很容易欺骗用户下载一个程序从而让恶意代码进入内部网。
策略:
设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
口令字
对口令字的攻击方式有两种:
穷举和嗅探。
穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。
探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:
设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:
打开防火墙上的过滤功能,在主机上采取相应阻止措施。
IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网络达到攻击的目的。
策略:
通过打开内核功能,丢弃所有来自网络外部却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
(2)应对策略
方案选择
市场上的防火墙大致有软件防火墙和硬件防火墙两大类。
软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。
硬件防火墙是一个把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台。
由于硬件防火墙集合了软件方面,从功能上更为强大,目前已普遍使用。
结构透明
防火墙的透明性是指防火墙对于用户是透明的。
以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
然后根据自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构(可参照本文第3点分析),如果经济实力雄厚的可采用屏蔽子网的拓扑结构。
实施措施
好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。
但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。
七、防火墙的发展历程
(1)基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,网络访问控制可能通过路由器控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代防火墙产品的特点:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:
地址、端口号及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。
这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
(2)第一代防火墙产品的不足之处
具体表现为:
1)路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。
2)路由器上分组过滤规则的设置和配置存在安全隐患。
对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。
作用端口的有效性和规则的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
3)路由器防火墙的最大隐患是:
攻击者可以“假冒”地址。
由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:
由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
(4)用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
第二代防火墙产品的缺点
1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,
2)配置和维护过程复杂、费时;
3)对用户的技术要求高;
4)全软件实现,使用中出现差错的情况很多。
(5)建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。
系统上的防火墙的特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。
但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
(6)操作系统上的防火墙的缺点
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)透明性好,易于使用。
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。
防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝XX用户的访问,阻止XX用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。
如果使用得当,可以在很大程度上提高网络安全。
但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。
事实上60%以上的网络安全问题来自网络内部。
因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。
仅供个人用于学习、研究;不得用于商业用途。
Forpersonaluseonlyinstudyandresearch;notforcommercialuse.
NurfürdenpersönlichenfürStudien,Forschung,zukommerziellenZweckenverwendetwerden.
Pourl'étudeetlarechercheuniquementàdesfinspersonnelles;pasàdesfinscommerciales.
толькодлялюдей,которыеиспользуютсядляобучения,исследованийинедолжныиспользоватьсявкоммерческихцелях.
以下无正文
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 论文 计算机专业