防火墙技术.docx
- 文档编号:24140257
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:26
- 大小:63.88KB
防火墙技术.docx
《防火墙技术.docx》由会员分享,可在线阅读,更多相关《防火墙技术.docx(26页珍藏版)》请在冰豆网上搜索。
防火墙技术
攀枝花学院专科毕业论文
防火墙技术
学生姓名:
李永梅
学生学号:
200821201018
院(系):
工程技术学院
年级专业:
2008级计算机信息管理
指导教师:
刘泽民(副教授)
助理指导教师:
二〇一〇年十一月
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。
因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。
而如何实施防范策略,首先取决于当前系统的安全性。
所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。
防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。
随着计算机技术和网络技术的发展,计算机网络给人们带来了很多便利,于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。
使用防火墙能很好的提高系统的安全性,减少系统受到网络安全方面的威胁。
在现在的计算机时代,网络信息的安全越显得重要。
而对防火墙技术的要求也会越来越高。
所以对防火墙的研究是很有必要的。
而且防火墙技术也会越来越被广泛应用。
关键词:
网络安全,防火墙,防范策略,发展趋势
AbstractTherapiddevelopmentoftheInternettopeople'sliveshasbroughtgreatconvenience,buttheInternetisalsofacingunprecedentedthreats.Therefore,howtouseeffectivemethodforpeopletomakethenetworkdowntoanacceptableriskwithinthescopeofmoreandmoreattention.Andhowtoimplementpreventivestrategies,firstofalldependsonthecurrentsystemsecurity.Sotheseparateelementsofnetworksecurity-firewalls,vulnerabilityscanning,intrusiondetectionandanti-virusandotherriskassessmentisnecessary.Firewalltechnologyasamorematurenowadaysnetworksecuritytechnology,itssecurityisdirectlyrelatedtotheuser'svitalinterests.Withthecomputertechnologyandnetworktechnology,computernetworktobringalotofconvenience,thissamenetworksecurityissuesarealsoassociatedwiththedevelopmentofnetworktechnologyincreasinglyserious.Useafirewalltoenhancethesecurityofthesystemwell,reducingthesystembythenetworksecuritythreats.Inthepresentcomputerage,thenetworkinformationsecurity,themoreimportant.Therequirementsoffirewalltechnologywillbeincreasinglyhigh.Therefore,theresearchonthefirewallisnecessary.Andfirewalltechnologywillbemorewidelyused.Keywords:
networksecurity,firewall,preventionstrategies,trends
目录
摘要1
目录3
第一章绪论4
1.1研究背景4
1.2研究目的4
第二章网络安全6
2.1网络安全问题6
2..1.1网络安全面临的主要威胁6
2.1.2影响网络安全的因素7
2.2网络安全措施7
第三章防火墙概述9
3.1防火墙的概念9
3.1.1传统防火墙介绍10
3.2防火墙的功能11
3.3防火墙的原理及分类13
3.3.1包过滤防火墙13
3.3.2应用级代理防火墙14
3.3.3代理服务型防火墙15
3.3.4复合型防火墙16
第四章防火墙的设计16
4.1区隔的技术:
17
4.2通讯堆叠的技术:
18
4.2.1包过滤技术18
4.2.2状态检查技术:
19
第五章防火墙发展趋势21
5.1防火墙包过滤技术发展趋势22
5.2防火墙的体系结构发展趋势23
5.3防火墙的系统管理发展趋势25
结束语25
参考文献26
致谢28
第一章绪论
1.1研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。
计算机网络给人们带来了很多便利,于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。
人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。
如何建立比较安全的网络体系,值得我们关注研究。
使用防火墙能很好的提高系统的安全性,减少系统受到网络安全方面的威胁。
在现在的计算机时代,网络信息的安全越显得重要。
而对防火墙技术的要求也会越来越高。
所以对防火墙的研究是很有必要的。
而且防火墙技术也会越来越被广泛应用。
1.2研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术。
防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。
用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击,而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。
防火墙可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以根据自己的需要创建防火墙规则,控制互联网到PC以及PC到互联网的所有连接,并屏蔽入侵企图。
防火墙可以有效地阻截各种恶意攻击、保护信息的安全、信息泄漏拦截;保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统,阻挡一切针对硬盘的恶意活动。
防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。
屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。
屏蔽路由器从包头取得信息。
代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。
一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。
代理服务器要求用户提供其要访问的远程主机名。
当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。
整个过程可以对用户完全透明。
用户提供的用户身份及认证信息可用于用户级的认证。
最简单的情况是:
它只由用户标识和口令构成。
但是,如果防火墙是通过Internet可访问的,应推荐用户使用更强的认证机制。
第二章网络安全
2.1网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。
我国对于计算机安全的定义是:
“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。
”
从技术讲,计算机安全分为3种:
1)实体的安全。
它保证硬件和软件本身的安全。
2)运行环境的安全性。
它保证计算机能在良好的环境里持续工作。
3)信息的安全性。
它保障信息不会被非法阅读、修改和泄漏。
随着网络的发展,计算机的安全问题也延伸到了计算机网络。
2..1.1网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。
1)计算机病毒的侵袭:
计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。
2)黑客侵袭:
即黑客非法进入网络非法使用网络资源。
例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据;突破防火墙等。
3)拒绝服务攻击:
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。
严重时会使系统关机,网络瘫痪。
具体讲,网络系统面临的安全威胁主要有如下表现:
身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。
2.1.2影响网络安全的因素
1)单机安全
购买单机时,型号的选择;计算机的运行环境;计算机的操作等,这些都是影响单机安全性的因素。
2)网络安全
影响网络安全的因素有:
节点的安全、数据的安全(保存和传输方面)、文件的安全等。
2.2网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以及安全教育等外部软环境。
二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络防毒等。
三是管理措施,包括技术与社会措施。
主要措施有:
提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防患于未然。
这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。
它的网络安全的关键技术有以下几点:
(1)数据加密:
加密就是把明文变成密文,从而使未被授权的人看不懂它。
有两种主要的加密类型:
私匙加密和公匙加密。
(2)认证:
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(3)防火墙技术:
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户XX的访问。
(4)检测系统:
入侵检测技术是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
(5)防病毒技术:
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。
(6)文件系统安全:
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:
本地和远程。
建立文件权限的时候,必须在Windows2000中首先实行新技术文件系统(NewTechnologyFileSystem,NTFS)。
一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。
你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。
Windows2000操作系统允许建立复杂的文件和文件夹权限,可以完成必要的访问控制。
第三章防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。
因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。
就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。
其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
3.1防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙提供信息安全服务,是实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
防火墙是保障网络安全的一个系统或一组系统,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。
防火墙至少提供两个基本的服务,即:
1.有选择的限制外部网用户对本地网的访问,保护本地网的特定资源。
2.有选择的限制本地网用户对外地网的访问。
安全、管理、速度是防火墙的三大要素。
3.1.1传统防火墙介绍
目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发展历程。
图3.1表示了防火墙技术的简单发展历史。
图3.1
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。
第二代、第三代防火墙:
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。
第五代防火墙:
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品Gauntlet防火墙forNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
3.2防火墙的功能
1、包过滤
包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。
一般包过滤规则如下:
(1)过滤规则序号FRNO,它决定过滤算法执行时过滤规则排列的顺序。
(2)过滤方式包括允许和阻止
(3)源IP地址SIP
(4)源端口SP
(5)目的IP地址DIP
(6)目的端口DP
(7)协议标志PF
(8)最后一项是注释
2、地址转换
网络地址变换是将内部网络或外部网络的IP地址转换,可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。
SNAT用于对内部网络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网络的非授权访问或恶意攻击。
并将有限的IP地址动态或静态的与内部IP地址对应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。
DNAT主要用于外网主机访问内网主机。
3、认证和应用代理
认证指防火墙对访问网络者合法身分的确定。
代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能,并可对这三种协议进行访问控制;同时支持URL过滤功能。
4、透明和路由
指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。
隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网之间的安全访问。
5、防火墙主要功能还有:
1)、防止易受攻击的服务。
2)、控制访问网点。
3)、集中安全性管理。
4)、对网络存取和访问进行监控审计。
5)、检测扫描计算机的企图。
6)、防范特洛伊木马。
7)、防病毒功能。
8)、支持VPN技术。
9)、提供网络地址翻译NAT功能
3.3防火墙的原理及分类
防火墙分成三大类:
包过滤防火墙、应用级代理服务器以及状态包检测防火墙。
3.3.1包过滤防火墙
包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。
包过滤型防火墙又叫筛选路由器或筛选过滤器,它一般作用在网络层,故也称网络层防火墙或IP过滤器。
包过滤规则示例:
表3-1
规则
协议
源IP地址
目标IP地址
源端口
目的端口
行为
1
TCP
Any
192.168.0.1
Any
HTTP
Accept
2
TCP
Any
192.168.0.2
Any
POP3SMTP
Accept
3
UDP
Any
192.168.0.8
Any
53
Accept
4
IP
Any
192.168.0.253/24
Any
ICMP
Accept
5
Any
Any
Any
Any
Any
禁止
(2)包过滤的优点:
不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。
(3)包过滤的缺点:
维护比较困难,不能彻底防止地址欺骗;随着过滤器数目的增加,路由器的吞吐量会下降等。
3.3.2应用级代理防火墙
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。
实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。
一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。
代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。
它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。
这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。
但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。
比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。
如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。
3.3.3代理服务型防火墙
代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。
它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
同时
也常结合入过滤器的功能。
它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
3.3.4复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。
这种结合通常是以下两种方案。
屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
屏蔽子网防火墙体系结构:
堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。
在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。
第四章防火墙的设计
4.1区隔的技术:
最安全最简单的作法便是将网络的实体线路切断。
图4.1
然而完全的中断却否定了网络本身的优势及便利性,所以设计防火墙系统在不同区域间执行连线的管理。
图4.2
防火墙依据其所能区隔网络的数量而有以下的分类:
表4-1
Dual-Home
采用理由:
最早期的防火墙,主要目的是用来区隔互联网络及内部网络,因此大多只支持两片网卡,将网络区分为二。
优点:
设定管理最简单,访问管理条件只需考虑两个方向。
缺点:
公开给互联网络所有用户的服务器,如:
WebServer、FTPServer、News Server等无法受到防火墙保护,或者必须在防火墙上开启可能造成内部网络安全风险的内连代理程序(Inbound Proxy)。
Tri-Home
采用理由:
为解决公开服务器在Dual-Home架构下的问题。
优点:
将公开服务器置于SSN(Secure ServerNetwork)或DMZDelimition Military Zone)网络上,可让这些公开服务器受到防火墙的保护,也避免了将公开服务器置于内部网络时对内部网络所造成的
缺点:
内部网络各部门间视为相互信认,防火墙对各部门间的网络访问无法管理。
Multi-Home
采用理由:
公司内部网络间有不同的安全政策考量。
优点:
可与公司安全政策更紧密结合,具备弹性化的架构。
缺点:
多重方向的访问管理条件,可能造成管理上的负担,必须提供革命性的管理界面。
4.2通讯堆叠的技术:
由于防火墙主要的功能是在区隔保护网络通讯及连线管理,所以防火墙的安全级数及执行效率与防火墙所采用的通讯堆叠技术有著相当密切的关系,防火墙的通讯堆叠可检查到的资料多寡正关系著防火墙的安全级数及执行效率OSI的七层通讯堆叠为例:
图4.3
基本上防火墙所采用的通讯堆叠技术愈在高层,所能检查到的通讯资料愈多,其安全级数也就愈高,然而其执行效率反而较差。
反之如果火墙所采用的通讯堆叠技术愈在低层,所能检查到的通讯资料愈少,其安全级数也就愈低,然而其执行效率反而较佳。
目前在市场上可以看到下列类型的防火墙技术,便是以其所采用的通讯堆叠而区分:
4.2.1包过滤技术
图4.4
1、运作方式:
1)、在TCP/IP网络层可以检查的资料
来源IP位址
目的IP位址
封包类型(TCP/UDP)
来源位址通讯埠号码
目的位址通讯埠号码
2)、内部网络与外部网络间是直接通讯。
3)、防火墙根据进出防火墙的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术