T920S2何武防火墙的研究与讨论.docx
- 文档编号:24798195
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:39
- 大小:324.85KB
T920S2何武防火墙的研究与讨论.docx
《T920S2何武防火墙的研究与讨论.docx》由会员分享,可在线阅读,更多相关《T920S2何武防火墙的研究与讨论.docx(39页珍藏版)》请在冰豆网上搜索。
T920S2何武防火墙的研究与讨论
2010届毕业设计(论文)
题目:
防火墙的研究与讨论
班级:
08计算机2班
学号:
2008AST16225
姓名:
何武
指导教师:
刘中胜
毕业时间:
2009年12月
防火墙的研究与讨论
学生姓名:
何武
学号:
2008AST16225
班级:
08计算机02班
指导教师:
刘中胜
完成日期:
2009年12月
目录
第1章计算机网络安全3
1.1计算机网络安全的定义3
1.2计算机网络安全的重要性3
1.3计算机网络系统面临的威胁3
1.4安全威胁的来源4
1.5威胁的具体表现形式4
1.6操作系统安全的脆弱性4
1.7网络安全的脆弱性5
1.8数据库管理系统安全的脆弱性5
1.9防火墙的局限性6
1.10其他方面的原因6
1.11计算机网络安全技术的研究内容6
1.12计算机网络安全技术的发展过程6
1.13计算机网络安全的安全立法7
1.14计算机网络安全的安全管理7
1.15计算机网络安全的安全技术措施7
第2章防火墙与防火墙的作用8
2.1防火墙的基本概念8
2.2防火墙的功能9
2.3防火墙的技术分类11
2.3.1屏蔽路由器实现。
11
2.3.2包过滤防火墙13
2.3.3代理服务14
2.3.4状态监视器16
2.4基于防火墙构建安全网络的基本原则22
2.4.1防火墙的基本准则22
2.4.2企业网的安全策略23
2.4.3防火墙的费用23
2.5Internet防火墙技术24
2.5.1Internet防火墙技术简介24
2.5.2基于路由器的防火墙25
2.5.3用户化的防火墙工具套26
2.5.4建立在通用操作系统上的防火墙26
2.5.5第四代防火墙的主要技术及功能27
2.5.6第四代防火墙技术的实现方法29
2.5.7第四代防火墙的抗攻击能力31
2.5.8防火墙技术展望32
2.6Windows防火墙的设计与实现33
2.6.1 防火墙的基本策略33
2.6.2包过滤防火墙34
2.7防火墙基本配置35
参考文献41
致谢42
第1章计算机网络安全
1.1计算机网络安全的定义
从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
1.2计算机网络安全的重要性
1.成为敌对势力、不法分子的攻击目标。
2.存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。
3.计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境,……,这些环境都比机房恶劣,出错率和故障的增多必将导致可靠性和安全性的降低
4.随着计算机系统的广泛应用,操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。
5.计算机网络安全问题涉及许多学科领域,是一个非常复杂的综合问题,随着系统应用环境的变化而不断变化。
6.从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题。
1.3计算机网络系统面临的威胁
1.对硬件实体的威胁和攻击
2.对信息的威胁和攻击
3.同时攻击软、硬件系统
4.计算机犯罪
1.4安全威胁的来源
1.天灾
2.人祸
3.系统本身的原因
1.5威胁的具体表现形式
1.伪装
2.非法连接
3.非授权访问
4.拒绝服务
5.抵赖
6.信息泄露
7.业务流分析
8.改动信息流
9.篡改或破坏数据
10.推断或演绎信息
11.非法篡改程序
1.6操作系统安全的脆弱性
1.操作系统结构体制本身的缺陷。
2.在网络上传输文件,加载与安装程序,包括可执行的文件。
3.在于创建进程,甚至可以在网络的节点上进行远程的创建和激活。
4.操作系统中有一些守护进程,实际上是一些系统进程,它们总是在等待一些条件的出现。
5.操作系统都提供远程过程调用(RPC)服务,而提供的安全验证功能却很有限。
6.操作系统提供网络文件系统(NFS)服务,NFS系统是一个基于RPC的网络文件系统。
7.操作系统的debug和wizard功能。
8.操作系统安排的无口令入口,是为系统开发人员提供的边界入口,但这些入口也可能被黑客利用。
9.操作系统还有隐蔽的信道,存在着潜在的危险。
10.尽管操作系统的缺陷可以通过版本的不断升级来克服,但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值。
1.7网络安全的脆弱性
使用TCP/IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素,存在着许多漏洞。
同时,网络的普及,使信息共享达到了一个新的层次,信息被暴露的机会大大增多。
特别是Internet网络就是一个不设防的开放大系统。
另外,数据处理的可访问性和资源共享的目的性之间是一对矛盾。
它造成了计算机系统保密性难。
1.8数据库管理系统安全的脆弱性
当前,大量的信息存储在各种各样的数据库中,然而,这些数据库系统在安全方面的考虑却很少。
而且,数据库管理系统安全必须与操作系统的安全相配套。
例如,DBMS的安全级别是B2级,那么操作系统的安全级别也应该是B2级,但实践中往往不是这样做的。
1.9防火墙的局限性
尽管利用防火墙可以保护安全网免受外部黑客的攻击,但它只是能够提高网络的安全性,不可能保证网络绝对安全。
事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。
另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。
1.10其他方面的原因
1.计算机领域中重大技术进步都对安全性构成新的威胁。
2.安全性的地位总是列在计算机网络系统总体设计规划的最后面,勿略了网络系统的安全。
3.易受环境和灾害的影响。
4.电子技术基础薄弱,抵抗外部环境较弱。
5.剩磁效应和电磁泄漏的不可避免。
1.11计算机网络安全技术的研究内容
1.实体硬件安全
2.软件系统安全
3.网络安全防护
4.数据信息安全
5.病毒防治技术
6.网络站点安全
1.12计算机网络安全技术的发展过程
50年代,计算机应用范围很小,安全问题并不突出,70年代以来,推动了密码学的应用和发展。
80年代规定了操作系统的安全要求。
进入90年代以来,出现了防火墙和适应网络通令的加密技术。
有效地提高了网站的整体安全防护水平。
近年来,随着信息高速公路的兴起,全球信息化建设步伐不断加快,网络的安全保密研究将会得到更进一步的发展。
1.13计算机网络安全的安全立法
1.社会规范
2.国外的主要计算机安全立法
3.我国计算机信息系统安全法规简介
4.有关计算机软件知识产权的保护问题
5.技术规范
1.14计算机网络安全的安全管理
安全管理是安全的三个层次中的第二个层次,从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度,方方面面的规章制度是一切技术措施得以贯彻实施的重要保证。
1.15计算机网络安全的安全技术措施
安全技术措施是计算机网络安全的重要保证,是方法、工具、设备、手段乃至需求、环境的综合,也是整个系统安全的物质技术基础。
贯彻落实在系统开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。
第2章防火墙与防火墙的作用
2.1防火墙的基本概念
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
RichKosinski(InternetSecurity公司总裁):
防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。
换句话说,防火墙是一道门槛,控制进/出两个方向的通信。
WilliamCheswick和SteveBeilovin(1994):
防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质:
只允许本地安全策略授权的通信信息通过
双向通信信息必须通过防火墙
•防火墙本身不会影响信息的流通
简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
注意:
防火墙主要用于保护安全网络免受不安全网络的侵害。
防火墙示意图:
在逻辑上,防火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。
在物理上,防火墙通常是一组硬件设备——路由器、主计算机,或者是路由器、计算机和配有软件的网络的组合。
防火墙一般可分为多个部分,某些部分除了执行防火墙功能外还执行其它功能。
如:
加密和解密——VPN。
防火墙的实质是一对矛盾(或称机制):
限制数据流通、允许数据流通。
两种极端的表现形式:
除了非允许不可的都被禁止,安全但不好用。
(限制政策)
除了非禁止不可的都被允许,好用但不安全。
(宽松政策)
多数防火墙都在两种之间采取折衷。
防火墙的存在形式:
软件、硬件。
2.2防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
2.3防火墙的技术分类
根据防范方式和侧重点的不同可分为三类:
1.包过滤;2.代理服务器; 3.状态监视器
数据包过滤是一个网络安全保护机制,它用来控制流出和流入网络的数据。
对数据包实施有选择的通过(源地址、目标地址、端口号等)。
过滤系统是一台路由器或是一台主机,其中用于过滤数据包的路由器称为屏蔽路由器。
2.3.1屏蔽路由器实现。
屏蔽路由器与一般路由器的区别:
除了决定是否有到达目的地址的路径,还要决定是否“应该”发送数据包。
大多数数据包过滤系统在数据本身上不做任何事,即它们不做基于内容的决定。
数据包过滤一般要检查网络层的IP头和传输层的头
IP源地址
IP目标地址
协议类型(TCP包、UDP包和ICMP包)
TCP或UDP包的目的端口
TCP或UDP包的源端口
ICMP消息类型
TCP包头的ACK位
TCP包的序列号、IP校验和等
TCP连接的建立使用三次握手协议。
如果要阻止TCP的连接,仅阻止第一个连接请求包就够了。
因为没有第一个数据包,接收端不会把之后的数据组装成数据流,且不再有连接。
TCP的启动连接请求包中ACK位为0,而其它数据包的ACK位为1。
所以可以通过对ACK位的判断来确定是否是启动连接请求。
UDP包:
1)UDP是一种无连接的不可靠传输协议。
2)UDP包的过滤特性与TCP包的过滤特性不同,因UDP数据包无确认号、序列号、ACK位,包过滤系统无法检查UDP包是客户到服务器的请求,还是服务器对客户的响应。
3)要对UDP数据包过滤必须采用动态数据包过滤方法。
防火墙应记住流出的UDP数据包。
当一个UDP数据包要进入防火墙时,防火墙会判断它是否和流出的UDP数据包相匹配,如果匹配则允许进入,否则阻塞该数据包。
UDP动态数据包过滤:
2.3.2包过滤防火墙
优点:
速度快,性能高,对应用程序透明(无帐号口令等)。
缺点:
安全性低(IP欺骗等),不能根据状态信息进行控制,不能处理网络层以上的信息,伸缩性差,维护不直观。
2.3.3代理服务
代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。
将所有跨越防火墙的网络通信链路分为两段。
防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现。
外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
代理服务要求有两个部件:
代理服务器和代理客户。
代理服务器运行在防火墙上,客户代理运行在客户机上。
代理服务可分为应用级代理与回路级代理。
应用级代理是已知代理服务向哪一应用提供的代理,它在应用协议中理解并解释命令。
应用级代理的优点为它能解释应用协议从而获得更多的信息,缺点为只适用于单一协议。
回路级代理是在客户和服务器之间不解释应用协议即建立回路。
回路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。
2.3.4状态监视器
监测引擎:
一个在网关上执行网络安全策略的软件模块。
监测引擎采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。
当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
优点:
一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。
u它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息。
缺点:
降低网络速度,配置比较复杂。
3、防火墙的主要体系结构:
双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构
其它的防火墙结构
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕双重宿主主机构建的,双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。
然而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻止了内外网络之间的IP通信。
两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。
一般情况下采用代理服务的方法。
图示如下:
双重宿主主机的特性:
安全至关重要(唯一通道),其用户口令控制安全是关键。
必须支持很多用户的访问(中转站),其性能非常重要。
缺点:
双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。
(2)屏蔽主机体系结构
屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。
一般这种防火墙较简单,可能就是简单的路由器。
典型构成:
包过滤路由器+堡垒主机。
包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。
堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。
屏蔽路由器可按如下规则之一进行配置:
允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。
不允许所有来自内部主机的直接连接。
优点:
安全性更高,双重保护:
实现了网络层安全(包过滤)和应用层安全(代理服务)。
缺点:
过滤路由器能否正确配置是安全与否的关键。
如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。
图示如下:
(3)屏蔽子网体系结构
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。
堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。
原因:
堡垒主机是用户网络上最容易受侵袭的机器。
通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
如图所示:
周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。
周边网络的作用:
即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。
E.g.:
netxray等的工作原理。
堡垒主机:
堡垒主机位于周边网络,是整个防御体系的核心。
堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。
对于出站服务不一定要求所有的服务经过堡垒主机代理,但对于入站服务应要求所有服务都通过堡垒主机。
外部路由器(访问路由器)的作用:
保护周边网络和内部网络不受外部网络的侵犯。
它把入站的数据包路由到堡垒主机。
防止部分IP欺骗,它可分辨出数据包是否真正来自周边网络,而内部路由器不可。
内部路由器(阻塞路由器)的作用:
保护内部网络不受外部网络和周边网络的侵害,它执行大部分过滤工作。
外部路由器一般与内部路由器应用相同的规则。
(4)结构的变体
一个堡垒主机和一个非军事区:
堡垒主机+过滤路由器;堡垒主机的一个网络接口接到非军事区DMZ,另一个网络接口接到内部网上。
过滤路由器一端接到因特网,一端接到DMZ;过滤路由器把规则允许的网络流量转发给堡垒主机;非军事区上没有主机,只有两个网络接口,可被专用的点对点连接所代替;堡垒主机使用了双重宿主主机,提高了系统安全性。
如下图:
两个堡垒主机和两个非军事区的应用如下:
2.4基于防火墙构建安全网络的基本原则
在进行防火墙设计过程中,网络管理员应考虑的问题为:
防火墙的基本准则:
整个企业网的安全策略;防火墙的财务费用的预算;以及防火墙的部件或构建块。
2.4.1防火墙的基本准则
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
其一、未经说明允可的就是拒绝。
防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。
约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。
当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。
2.4.2企业网的安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。
企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
2.4.3防火墙的费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。
对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
因而,防火墙的配备是需要相当的费用,如何以最小的费用来最大限度地满足企业网的安全需求,这将是企业网决策者应该周密考虑的问题。
当然,防火墙本身也有其局限性,即不经过防火墙的入侵,防火墙则是无能为力的,如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户,则会造成安全隐患。
此时,为了保证安全性,防火墙代理服务器在使用到ISP的SLIP和PPP连接时,需要附加一些新的权限条件。
同时,硬件方式构建的防火墙,如:
PIX520,其不够灵活的问题也是固化防火墙的共同问题,所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取相应的安全策略。
2.5Internet防火墙技术
随着Internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。
本文全面介绍了Internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了Internet防火墙技术的发展趋势。
2.5.1Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。
从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。
它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。
而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1.限定人们从一个特定的控制点进入;2.限定人们从一个特定的点离开;3.防止侵入者接近你的其他防御设施;4.有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入防火墙在Internet中的位置所有来自Internet的传输信息或你发出的信息都必须经过防火墙。
这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。
从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。
那么,防火墙究竟是什么呢?
实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- T920S2 防火墙 研究 讨论