防火墙技术范文
时间:2023-03-13 11:54:37
防火墙技术范文第1篇
关键词:网络安全;防火墙;技术
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 05-0000-01
Summary of Firewall Technology
Li Huimin
(Hunan Vocational College of Information Science,Changsha410151,China)
Abstract:This article starting from the current network security issues at home.Described in detail the information security technology familiar firewall technology,a comparative analysis of the characteristics various types of firewall technology,and architecture.And to outlook on the firewall.
Keywords:Network security;Firewall;Technology
一、前言
Internet的流行,与WEB技术的发展是密不可分的。标准的WEB服务通过客户端的WEB浏览器向WEB服务器发出请求,以进行文件读取,数据提交或信息检索等操作。因此黑客攻击猖獗。随着人们对WEB依赖性的增强,针对WEB的攻击也越来越多。那些越是流行的服务器、越是流行的应用软件,越发成为被攻击的对象。美国杂志进行一年一度的信息安全行业调查表明,与2000年相比,2001年美国WEB服务器受攻击的次数翻了一翻。近50%的受调查企业收到外界对他们的WEB服务器的攻击,高于2000年的24%,而通过WEB对个人主机发起的攻击更是举不胜举。我们可以看出网络的不安全原因是:自身缺陷+开放性+黑客攻击。与网络安全相关的技术有:(1)防火墙技术;(2)PKI技术;(3)VPN技术;(4)入侵检测技术;(5)病毒防护技术。
针对出现的各种网络安全防护技术,本文将对防火墙技术做详细介绍。
二、防火墙技术
(一)防火墙的概念。防火墙是一种用来加强网络之间访问控制的特殊网络互连设备。是一种非常有效的网络安全模型。它的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道。以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
(二)防火墙的分类
1.个人防火墙。是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能。常用的个人防火墙有:Norton、天网个人防火墙、瑞星防火墙等。
2.软件防火墙。个人防火墙也是一种纯软件的防火墙,但其应用范围较小,且只支持windows系统。功能相对来说要弱很多。并且安全性和并发连接处理能力较差。作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
3.纯硬件防火墙。采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片);纯硬件防火墙最大的亮点:高性能,非常高的并发连接数和吞吐量;采用ASIC芯片的方法在国外比较流行,技术也比较成熟。
三、防火墙的体系结构
防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能,性能及使用范围。常见的防火墙的体系结构有:
(一)分组过滤路由器。作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件,就可利用过滤规则实现报文过滤功能。
(二)双宿主机。双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机,IP层的通信完全被阻止,两个网络之间的通信可以通过应用层数据共享或应用层服务来完成。通常采用服务的方法.堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等。
(三)屏蔽主机。一个分组过滤路由器连接外部网络,同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则,使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高,因为它实现了网络层安全(包过滤)和应用层安全(服务)。
(四)屏蔽子网。屏蔽子网是最安全的防火墙系统,它在内部网络和外部网络之间建立一个被隔离的子网(非军事区,DMZ(Demilitarized Zone)),如图4所示。在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中。
四、防火墙技术展望
随着技术的发展,防火墙技术也得到了长足的发展。在今后将会有智能防火墙,分布式防火墙,网络产品的系统化的应用。
(一)智能防火墙。智能防火墙是采用人工智能识别技术(统计,记忆,概率和决策等)。因此智能防火墙具有安全,高效的特点。在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。
(二)分布式防火墙。分布式防火墙是一种新的防火墙体系结构,包含网络防火墙,主机防火墙和管理中心。由于传统防火墙属于边界防火墙。缺陷是:结构性限制;内部威胁;效率和故障。但是分布式防火墙是一种新的防火墙体系结构,在网络内部增加了另一层安全,支持基于加密和认证的网络应用,与拓扑无关,支持移动计算的特点。
(三)网络产品的系统化。以防火墙为核心的网络安全体系的解决方法。(1)直接把相关安全产品“做”到防火墙中。(2)各个产品相互分离,但是通过某种通信方式形成一个整体。
五、总结
随着Internet技术的发展,网络安全将会面临更加严峻的挑战。本文从网络安全角度出发,对防火墙技术进行了详细的介绍,希望能对不同的用户提供参考。
参考文献:
[1]Timothy S.Ramteke.计算机网络[M].北京:机械工业出版社,2004
[2]李惠芳,吴友武.网络攻击防范的策略分析与思考[J].中国公安大学学报(自然科学版),2005,2
防火墙技术范文第2篇
关键词:防火墙;包过滤;网络安全策略;屏蔽路由器;TCP/IP
中图分类号:F49文献标识码:A 文章编号:1672-3198(2012)03-0252-01
1 防火墙的概念
计算机网络的安全防护系统用建筑行业的“防火墙”来命名,主要是两者之间有很多相似之处。在计算机网络中,防火墙是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件的集合。
2 防火墙的功能
防火墙能够确保在互联网中系统间信息交换的安全。如电子邮件,文件传输,远程登录等。防火墙的主要功能如下:防火墙是网络安全的屏障;可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄等。
3 防火墙技术分类
(1)包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。
(2)应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。
4 防火墙的体系结构
(1)屏蔽路由器结构。屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。
(2)双宿主机结构。双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。双宿主机是唯一隔开内部网和外部因特网之间的屏障,如果入侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。
(3)屏蔽主机结构。屏蔽主机结构中提供安全保护的主机仅仅与内部网相连,还有一台单独的过滤路由器,这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。该防火墙系统提供的安全等级比包过滤防火墙系统要高。过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果遭到破坏,则数据包就不会被路由到堡垒主机上。
(4)屏蔽子网体系结构。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。
5 防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
6 设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值付出这种代价;和可用性相比,站点的安全性放在什么位置。
7 防火墙的不足
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献
[1]黎连业.防火墙及其实用技术[M].北京:清华大学出版社,2004.
防火墙技术范文第3篇
一、防火墙概述
防火墙是指一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度,它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之问的通信是否被允许:其中被保护的网络称为内部网络,未保护的网络称为外部网络或公用网络。应用防火墙时,首先要明确防火墙的缺省策略,是接受还是拒绝。如果缺省策略是接受,那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝,那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络问不受欢迎的信息交换,而允许那些可接受的通信。从逻辑上讲,防火墙是分离器、限制器、分析器;从物理上讲,防火墙由一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用和状态检测。
1.包过滤
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.应用
应用完全接管了用户与服务器的访问,把用户主机与服务器之间的数据包的交换通道给隔离起来。应用不允许外部主机连接到内部的网络,只允许内部主机使用服务器访问Internet主机,同时只有被认为””可信任的””服务器才可以允许通过应用。在实际的应用中,应用的功能是由服务器来完成的。型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.状态检测
防火墙技术是网络安全领域应用较普遍的一种技术,传统上防火墙基本分为两大类,即包过滤防火墙和应用网关防火墙,这两种防火墙由于其受限的地方,逐渐不能适应当前的需求,因此新一代的防火墙Stateful-inspection防火墙应运而生,这种防火墙既继承了传统防火墙的优点,又克服了传统防火墙的缺点,是一种革新式的防火墙。
Stateful-inspection防火墙是新一代的防火墙技术,由Check Point公司引入。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。和应用网关不同,Stateful-inspection防火墙使用用户定义的过滤规则,不依赖预先的应用信息,执行效率比应用网关高,而且它不识别特定的应用信息,因此不用对不同的应用信息制定不同的应用规则,伸缩性好
三、防火墙的发展趋势
1.新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化,着眼未来,防火墙技术有的新需求如下:远程办公的增长:企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
2.黑客攻击引发的技术走向
防火墙作为内网的贴身保镖。黑客攻击的特点也决定了防火墙的技术走向。数据包的深度检测:IT业界权威机构Gagner认为不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为。包检测的技术方案需要增加签名检测等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。协同性:从黑客攻击事件分析,对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。目前主要支持和IDS的联动和认证服务器进行联动。
防火墙技术范文第4篇
关键字:防火墙技术 防火墙体系结构 构建
随着internet的发展,网络已经成为人民生活不可缺少的一部分,网络安全问题也被提上日程,作为保护局域子网的一种有效手段,防火墙技术备受睐。
1.防火墙的定义
internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接的点上。internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nternet的连接处,但是防火墙系统也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性:1)不能防范恶意的知情者:2)不能防范不通过它的连接:3)不能防范全部的威胁。4)不能防范病毒。
由此可见,要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用。
2防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查ip数据包来确定是否该数据包通过。而那些不符合规定的ip地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的ip包:源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如udp和rpc难以有效的过滤。
(2)技术
技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到服务器而看不到任何内部资源。与包过滤技术相比,技术是一种更安全的技术。
缺点:在应用支持方面存在不足,执行速度较慢。
(3)状态监视技术
这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过ip地址、端口号以及tcp标记,过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠
与应用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通
过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测rpc和udp端口信息,而包过滤和都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在osi最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个。
3.防火墙的体系结构
目前,防火墙的体系结构有以几种:
(1)包过滤防火墙
也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:
包过滤防火墙
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对用户进行特定的培训。
缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
(2)双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行服务器,故被称为双宿主主机防火墙。它不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关,隔断ip层之间的直接传输。两个网络中的主机不能直接通信,两个网络之间的通信通过应用层数据共享或应用层服务来实现。如下图所示:
双宿主主机防火墙
优点: 1)网关将被保护的网络与外界完全隔离开;2)提供日志,有助于发现入侵。3) 内部网络的名字和ip地址对外界来说是不可见的。
缺点:服务,服务器必须为每种应用专门设计,所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。
(3)屏蔽主机网关防火墙
它由一台过滤路由器和一台堡垒主机组成。在这种配置下,堡垒主机配置在内部网络上,过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其它主机。内部网络在向外通信时,必须先到堡垒主机,由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信的唯一通道。如下图所示。
屏蔽主机网关防火墙
优点:1)配置更为灵活,它可以通过配置过滤路由器将某些通信直接传到内部网络的其它站点而不是堡垒主机。2)包过滤路由器的规则较简单。
缺点:一旦堡垒主机被攻破,内部网络将完全暴露。
(4)屏蔽子网防火墙
屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由
器,如下图所示。
屏蔽子网防火墙
在屏蔽主机网关防火墙中,堡垒主机最易受到攻击。而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。
优点:提供多层保护,一个入侵者必须通过两个路由器和一个应用网关,是目前最为安全的防火墙系统。
缺点:1)价格较贵;2)整个系统的配置较为困难。该防火墙适合大、中型企业,以及对安全性要求高的单位。
参考文献:
[1]贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
[2]eric maiwald, wi1lieducation, security planning&disaster recovery,2003,
posts&telecommunications press
[3]john viega,gary mcgraw,构建安全的软件,钟向群,王鹏译,第一版,2003.04,清华大学出版社
防火墙技术范文第5篇
关键词:防火墙;包过滤;;网络安全
中图分类号:TP393.03 文献标识码:A 文章编号:1674-7712 (2012) 10-0138-01
一、防火墙的概念和原理
防火墙原来就是在保护房屋安全的一到屏障,在当今网络社会,防火墙就是各个计算机与互联网连接方面通过一系列的软硬件设备组成的访问控制技术,用于防止外面的互联网对局域网的威胁与入侵,位计算机正常运行提供安全保障。防火墙的主要目的就是为保护网络安全而把内网和外网分隔开的。
二、防火墙的分类
防火墙技术可以分为好多类,但是根据防火墙对数据的处理,我们可以把防火墙大致分为包过滤防火强和型防火墙两大体系。
(一)包过滤防火墙:数据包过滤技术是防火墙位系统提供安全保障的主要技术,主要是通过对进出网络的数据包进行检查过滤控制,从而对数据进行选择。包过滤型防火墙是作用于网络层与传输层之间通过路由来检测数据包的技术。因为每个数据包都包含有特定信息,而路由器就只是对数据包包头的信息进行检测,具有较高性价比。包过滤防火墙又分为静态包过滤、动态包过滤技术和状态监测防火墙。
1.静态包过滤:最传统的包过滤防火墙就是静态包过滤防火墙,静态包过滤规则是在启动配置好的,只有系统管理员才可以修改的一种过滤规则。这种防火墙就好似根据原来定义好的过滤规则来审查每一个数据包,把每个数据包与规则表中的信息进行匹配来审核,以便确定其中是否与某一条包过滤规则匹配。
2.动态包过滤:这种防火墙相比较静态包过滤防火墙来说最大的有点就是他可以动态的监测用户可以使用的服务范围,比较灵活,而且只有符合条件的网络服务才被防火墙打开端口允许访问,在结束后再关闭端口。这种技术的包过滤防火墙是对通过的每一条连接进行跟踪监测,然后再根据需要在过滤规则中可以动态的增加或者更新规则条目。这就是采用了基于连接状态的监测和动态设置包过滤规则的方法。
3.状态监测防火墙:状态监测防火墙把网络中的不同链接阶段表现为状态,状态的改变表现为连接数据包不同标志位参数的不同。状态监测防火墙在根据规则表检查完数据包后,再根据状态的变化检查各个数据包之间的关联性。防火墙的内部放置了分布探测器,这些探测器安置在各种应用服务器和其他网络节点上,不仅能防范外网的入侵也能制止内患,具有双重防范作用。
(二)型防火墙:防火墙是为对每一个用户的请求进行处理,是用一个比较安全的应用程序来处理,然后再传递到真实的服务器上,就是通过先处理安全后再转发。真实的服务器应答后再将答复发给最终用户。型防火墙工作在应用层上,这样就使内网外网间阻断,任何想进入内网的数据流都必须经过审核,使得系统更安全不易遭受攻击。应用网关防火墙起到了一个特殊的作用,它首先对用户发来的服务请求进行解析,当服务通过审核后防火墙就再把数据封装成数据包,让防火墙代替用户把服务进行转发。电路级网关防火墙是工作在传输层上的,在传输层上对通信端点之间转换数据包。自适应服务器和动态包过滤组成自适应型防火墙。
三、几种防火墙的技术比较
(一)包过滤防火墙是对数据包本身进行过滤的而不是针对具体的网络服务,所以包过滤防火墙能适应于所有的网络。而且包过滤防火墙主要是通过路由器进行数据包检测的,大多数路由器都集成了数据包检测的功能,所以包过滤型防火墙的价格比较低,性价比很高,处理速度也比较快。但是,这种防火墙安全性并不是很高,难以对用户的身份进行辨别等缺点。
(二)型防火墙是工作在应用层上的,对网络连接中的内容可以进行监控,他在一定程度上断开了内外网络的连接,使得网络活动更安全,但是它在对网络中更深的内容进行检测的时候也使得它的速度减慢,当数据的吞吐量比较大事容易出现问题,所以不适用于高速网。
四、防火墙的局限性
防火墙对我们信息的正确性与安全性有着重要的作用,防火墙是网络安全不可或缺的一部分,那么防火墙的局限性在哪呢?1.防火墙是防外不防内——防火墙可以阻止外部网上的不安全用户对内网的攻击和危险入侵,也可以对内屏蔽内网上连接外网的重要站点和端口。但是却很难解决内部网的管理人员的安全问题,便是防外不防内。而有些统计表明,网络上的安全问题绝大一部分就是来自于内部网络管理人员。2.防火墙管理和配置有难度——相信第一次配置防火墙的人员都有这样经验,它的配置和管理相当复杂,有一系列的问题。因此对于管理人员来说它的维护就更要求要熟悉防火墙的系统配置,对它要有深刻了解才能更好的对它进行安全的管理。它的安全策略无法集中地管理。3.防火墙的访问控制不够彻底——防火墙不能对网络连接中的所有数据包进行拆分检查只能实现粗粒度的访问控制,并且不能与网络内部的其他安全措施进行集中使用。
五、防火墙未来的展望
防火墙是整个网络安全系统中很重要的一部分。在现实生活中,要把防火墙与其他技术进行配合使用才能更好地保证网络安全,当今社会,最重要最有价值的就是数据,要保证它的安全与正确,要更加注重防火墙的发展,才更能保证在信息安全系统中的堡垒作用。各种防火墙技术各有各的优缺点,防火墙技术的发展可以从这几个方面着手:1.改进防火墙的体系结构,防火墙是防外不防内的,在防止外部危险网络入侵的同时也要加强对内网的管理和控制,可以对防火墙进行分布式的管理。内部网中对防火墙造成的安全隐患更大些,因此要即时改进更新防火墙的体系结构来保障局域网的安全。2.深度过滤与检测速度的提高。深度过滤技术是对数据进行更深层次的检测,要是进行深度过滤就是要以付出检测速度为代价,要实现两者的结合就是最好。
参考文献:
[1]马春光,郭芳芳.防火墙、入侵检测与VPN[M].北京邮电大学出版社
[2]宁章.计算机及网络安全与防护基础[M].北京航空航天出版社
[3]楚狂.网络安全与防火墙技术[M].人民邮电出版社
防火墙技术范文第6篇
【关键词】IP地址 网关 网络防火墙 地址
互联网的安全技术是目前非常热门的一项安全技术,也是国际社会非常关心的重要话题。
互联网的发展势头非常迅速,致使各类信息在互联网中迅速蔓延,但是信息技术的发展还不够健全,需要不断的创新。互联网的普及在给社会大众带来许多便捷和效率的同时,也给人们造成了许多困扰。目前计算机网络已经普及到了各行各业,而行业中的各类商业机密都会保存在计算机中,倘若网络不能够保证安全,这些商业机密就很有可能会被窃取。这就需要应用防火墙技术来保障计算机网络的安全。
1 防火墙安全技术概述
1.1 防火墙安全技术的定义
通常防火墙所指的是由电脑硬件与软件结合构成的一种保护措施,其是存在于公用网与专用网以及外网与内网之间的一种保护屏障。所谓的防火墙技术采用的是通过加强网络控制访问,以此来预防外网用户采用非法手段入侵内网,从而窃取内容的重要机密,从而达到保障网络安全操作环境目的的安全技术。防火墙技术是采用一定的技术来安全检查互联网中传输的各类数据,从而实现保障网络的安全,防火墙在检查传输数据的同时还时刻监视着互联网运行的状况。
1.2 防火墙安全技术的作用
一是防火墙可以过滤不良的信息,从而保障互联网的安全运行,相关的网络协议必须通过仔细的选择才可以通过防火墙的安全过滤。因此,防火墙在一定程度上保障了互联网的安全。
二是防火墙安全技术可以行之有效的保障内部信息的安全。防火墙可以有效的对内网进行区分,以此来照顾关键网段,采取针对性的隔离措施,就可以控制一些较为敏感或关键性的安全问题对网络造成的威胁。与此同时,内部网络的机密问题一直都是互联网中非常关键的问题,而我们在预防非法信息入侵的同时,还必须要注意内网中的潜在问题,在内网中极有可能隐藏了一些隐患,而防火墙技术可以很好的过滤这些潜在的隐患,并且隔离这些隐患。
三是防火墙安全技术可以实现网络访问的控制。防火墙还具备一个非常重要的作用,即有访问在通过防火墙的时候,其可以自动记录访问者的具体信息,并省城对应的日志,从而提供对应的查询数据。只要出现非法操作,防火墙就可以及时发现,并发出警报,同时还可以提供攻击方的具体资料,从而有效的控制网络访问者。
2 计算机防火墙安全技术的几种类型
2.1 防火墙技术之包过滤型
防火墙技术中最为基本的模式就是包过滤型,其是网络防
火墙当中最为简单的方式,这种技术是根据“网络分包传输技术”完成的。“包”是互联网中信息传输的基本传输单位,互联网中的数据在传输的时候,通常都会被分成若干个数据包,其中不同的数据包所包括的信息也不尽相同。而防火墙就是采取安全过滤这些数据包,从而判断其中是否有不安全因素,只要发现数据包中包含隐患又或者是来自于不安全网站的数据包,包过滤型防火墙就会采取隔离的方式来针对这些数据包,管理员在隔离区根据情况进行对应的处理措施。
包过滤型防火墙技术具备一定的安全保护能力,然而作为较为初级的保护措施,其也存在着不足。其优势在于技术简单,成本不高,可以应付较为简单的网络环境。包过滤型防火墙可以对数据包实施简单的过滤监督,针对数据包的协议、源地址及目标地址进行对应的检查,其也是互联网之间进行访问的唯一途径,其可以对数据包进行有效的控制。其缺点是不支持应用方面协议的监控,针对高端的黑客入侵无可赖何,并且不能过滤新增的安全隐患。
2.2 防火墙技术之型
型防火墙就是我们俗称的服务器,其安全性要远远高于包过滤型防火墙。所以,其正在向包过滤型防火墙不能涉及到的方向发展。存在于服务器与客户机器当中的型防火墙,可以针对内外网当中的通信信息,特别是直接通信方面能够彻底的隔绝,组织外部网及内部网之间的信息流通,其对于客户机器来说,型防火墙就充当了服务器的角色。而针对服务器方面来说,型防火墙又充当了客户机器的角色。型防火墙的优势在于安全性得以提升,缺点则是其让网络管理变得较为繁杂,对网络管理员的专业知识要求过高。
2.3 防火墙技术之监测型
监测型防火墙技术己经超越了原始防火墙的定义,监测型防火墙主要是对各个层面都能实现实时的检测,同时,对检测到的数据进行分析,从而判断出来自不同层面的不安全因素。一般情况下监测型防火墙的产品还带有探测器,这种探测器是一种分布式的探测器,它能够对内网和外网进行双重的监测,防御外部网络攻击的同时还能够防范内部网络的破坏。因此,监测型防火墙在安安全性上远远超越了传统防火墙,但是当前市面上的价格比较高,应用的资金投入较大。
3 小结
而当前主流的防火墙技术,大部分都是采用服务器结合了包过滤的技术,将这两种技术有机的结合起来显然要比单独使用其中之一的技术更为全面。因为这种技术是以应用为本的,应用型网关都可以提升协议的过滤作用,并且采用应用,应用网关可以有效的防止内部机密的泄露。
参考文献
[1] 王淑琴,海丽军.对计算机网络安全技术的探讨[J].内蒙古科技与经济,2007(20).
[2] 谭建辉.电子商务时代的网络安全技术问题探究[J].大众科技,2005(10).
[3] 阿迪亚・扎曼别克,木合布力・谢力甫汗. 浅谈计算机网络安全技术[J].中国教师, 2008(S1).
作者单位
防火墙技术范文第7篇
关键词:防火墙;配置技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
Brief Analysis Firewall Disposition Technology
ZHENG Wei
(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)
Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.
Key words:Firewall;disposition;technology
1 引言
今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。
但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外,如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。
2 防火墙配置技术
一般来说,防火墙由包过滤(静态的或动态的)和应用网关(或者是电路级网关或者应用级网关)组成,当前主要有:过滤路由器防火墙;主机过滤防火墙;屏蔽子网防火墙;双宿主机防火墙。
2.1 过滤路由器防火墙配置结构
在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于是在单机上实现,形成了网络中的“单失效点”。路由器的基本功能是转发分组,一旦过滤机能失效,被入侵后就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效―安全”型,也违反了阻塞点原理。因此,我们认为这种防火墙尚不能提供有效的安全功能,仅在早期的因特网中应用。
2.2 主机过滤防火墙配置结构
这种防火墙由过滤路由器和运行网关软件的堡垒主机(指一个计算机系统,它是防火墙配置的一部分,并且是一个或数个应用网关的主机,它暴露于来自外部网络的直接攻击之中)构成。该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间。
该主机可完成多种,如FTP、Telnet和WWW,还可以完成认证和交互作用,能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不理想。但是该结构防火墙具有可操作性强、投资少,安全功能容易实现和扩充,因而目前也有比较广泛的应用。
2.3 屏蔽子网防火墙配置结构
该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。简而言之,一个屏蔽子网防火墙就是由两个屏蔽路由器构成,它们是用来创建一个称为屏蔽子网或非军事化区域(DMZ)的外部网络段。DMZ把堡垒主机看成是应用层网关,在堡垒主机上可以运行各种各样的服务器。除了外部服务器,也还有一个被屏蔽路由器所分开的内部网络段,内部服务器可以运行在连接到内部网络段的机器上。如图1所示。
在这种结构下,入侵者要攻击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机,它还必须通过内部网络路由器才能抵达内部网。这样,整个网络安全机制就不会因一点被攻击而全部瘫痪。
这种防火墙把主机的通信功能分散到多个主机组成的网络中,有的作为FTP服务器,有的作为E-mail服务器,有的作为WWW服务器,有的作为Telnet服务器,而堡垒主机则作为服务器和认证服务器置于周边网络中,以维护因特网与内部网络的连接,服务器和认证服务器是内部网络的第一道防线,内部路由器是内部网络的第二道防线,而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部网络的安全风险。
2.4双宿主机防火墙配置结构
在TCP/IP中,多宿主机拥有多个网络接口,每一个接口都连接在物理和逻辑上分离的不同网段上,而且可以在不同的网络段之间转发或路由IP宝,如果在多宿主机中不能转发或路由IP包,则不同的网络段间被隔绝,因此可以用来配置防火墙,使IP路由无效是相对简单和直截了当的任务。
双宿主机是多宿主机中最常见的一个例子,双宿主机是一种拥有两个连接到不同网络上的网络接口的防火墙,一个网络接口连接到外部的不可信任的网络上,另一个网络接口连接到内部的可信任的网络上,如图2所示
这种防火墙的最大的特点在于其IP转发和路由能够被取消,所以IP包不再可能在两个网段之间被路由,应用网关运行在堡垒主机(双宿主机)上,此外,一个屏蔽路由器被特别地放置在堡垒主机和外部网络之间,在这个配置中,堡垒主机的外部网络接口连接到一个外部网段(通过一个屏蔽路由器),屏蔽路由器的目的是保证来自外部网络的任何IP包准确地到达堡垒主机(双宿主机),如果一个包来自其他目标地址,则舍弃这个包。同时在堡垒主机(双宿主机)和内联网之间配置了另外一个屏蔽路由器,是堡垒主机的内部网络接口连接到以另一个屏蔽路由器为宿主的内部网段。
由于双宿主防火墙配置的堡垒主机也可以因为效率原因被复制,因此而得的配置优势叫做并行双宿主防火墙,它可以由几个同时连接到内部或外部网段的堡垒主机构成,在这种情况下,可以在不同的主机上运行各种和SOCKS服务器。
总之,双宿主机防火墙是一种简单而安全的配置,在互联网中被广泛使用,但是对于非标准TCP/IP应用协议没有服务器,双宿主机防火墙配置显得很不灵活了,这对许多WEB站点来说是一个缺点。
3 典型的防火墙结构
建造防火墙时,一般很少采用单一的技术,通常是使用多种解决不同问题的技术组合。这种组合取决于网络管理中心向用户提供什么样的服务,以及网管中心能接受什么等级的风险。采用哪种技术主要取决于经费,制冷的大小或技术人员的技术、时间因素。一般有以下几种形式。
(1)使用多堡垒主机。
(2)合并内部路由器与外部路由器。
(3)合并堡垒主机与外部路由器。
(4)合并堡垒主机与内部路由器。
(5)使用多台内部路由器。
(6)使用多台外部路由器。
(7)使用多个周边网络。
(8)使用双重宿主主机与屏蔽子网。
4 结束语
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
防火墙系统作为一个有效的防范手段,已经得到了广泛的认可和应用,它们为企业部门提供有效的访问控制服务,并且根据不同的组成和配置,形成不同安全等级的网络系统,但是防火墙决不是任何意义上的灵丹妙药,也不是解决所有与网络有关的安全问题的仙丹,其最大的缺点就是不能保护站点或者内联网用户免受来自内部的攻击,因此它们决不能替代企业部门内联网的安全管理。如何进一步从软件和硬件的实现上加强网络安全防范工作已成为一项刻不容缓的亟需解决的现实问题,建立较为完善的网络安全体系,防止各类网络安全事件的发生,正是今后进一步开展研究工作的方向。
参考文献:
[1]Rolf Oppliger,著.杨义先,冯运波,李忠献,译.WWW安全技术.人民邮电出版社,2001.
[2]Wes Noonan,Ido Dubrawsky,防火墙基础.人民邮电出版社.
[3]付爱英.防火墙技术标准教程.北京理工大学出版社,2007.
收稿日期:2008年2月28日
防火墙技术范文第8篇
关键词:防火墙技术;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 防火墙的概念
防火墙一词是古代延伸而来的,在古代人们为了防止天灾的发生和天灾的蔓延,使用坚硬的物体放在一起作为屏蔽,这种屏蔽就叫做防火墙。在现代,防火墙是指内部网和Internet分开的一种方法,是一种防御系统,也是目前最重要的一种网络防护的手段。它通过设定的安全措施来对各个网络之间的数据进行检测,从而决定哪个网络需要访问,哪个网络不能访问。
2 防火墙的基本原理
防火墙的原理是数据信息的隔离掌控作用,它是一个数据分析系统,也是一个数据流限制系统。防火墙技术主要目的是实现一个安全的网络环境,它要求凡是进出网络的信息包和数据包都一定要有授权、计划和策略,从而达到内网与外网的分离。
3 防火墙的技术和种类
3.1 防火墙技术
防火墙的技术分成深度数据包处理技术、网络地址转换技术、技术、SOCKS技术、虚拟专用网技术和状态检测技术等。
(1)深度数据包处理技术。深度数据包处理技术是把多个相关联的数据包统一放在一个数据流里面使其保持平稳的状态,在受到攻击或者发生异常时,还要保证这个数据流可以平稳运行,所以它对处理要求的速度、检测、分析和组装都异常的高,为了避免使用应用时间的延迟,需要毒地处理要求进行整体的提升。
(2)网络地址转换技术。网络地址转换技术也称之为NAT,它可以分成静态地址转换技术、端口级地址转换技术、地址转换技术池和三种。
网络地址转换技术是指把IP报头上没有经过合法注册的IP地址换成经过合法注册的IP地址,让范围内的所有主机可以自由的在局域网上访问Internet。而网络地址转换技术的作用是在隐藏了计算机主机的真正网络地址的同时,也顺利解决了地址不足够的问题,其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。网络地址转换技术的优点是保证了网络的安全,让黑客没有办法对网络进行直接的攻击。
(3)技术。技术是指在征求网络管理员的意见之后,接受或者阻止设置在网络防火墙上的代码,在现实生活中用于数据的报告、数据的监控、数据的记录和数据的过滤等方面。技术的工作过程相对简单不是特别复杂,简单来说就是用户与服务器之间数据的转发,首先必须确定用户和服务器必须连接,然后把目标网络点告知服务器,并发出连接请求,最后过滤请求的合法性,只有请求合法才能以应用层网关的身份与目标网络点连接。
技术的优点是有状态性,可以提供日志功能、审计功能和完全的信息传输功能,并且可以隐藏遗留的IP地址,实现了更稳定、更全面的安全策略。每一个技术都有一个针对的特定应用,使选择更自由,如网络管理员可以选择安装自己需要的。每个之间不会相互影响,哪怕有一个出现问题也不会阻碍其他的功能,只需要把有问题的卸掉,就能保证模块整体的正常工作,也保证了防火墙不会因为失效而出现安全问题。
(4)SOCKS技术。SOCKS是目前比较新的协议标准,它主要针对电路层网关。SOCKS是指在防火墙上运行的服务软件包与各个网络连接的程序库文件包所组成的系统,它只针对于TCP服务包,这样的结构可以使软件的选择更自由,根据个人的需求来制定相对应的软件。
(5)虚拟专用网技术。虚拟专用网技术也称之为VPN,它是一种通信方式,是利用公共网络来对数据包进行加密和检查的,所以虚拟专用网技术可以实现远程用户、企业的分公司、供货商和商业伙伴与合作企业所在的内部网,进行信息和数据的连接,并保证这些数据流安全传输。
(6)状态检测技术。状态检测技术也称之为动态包过滤技术,是在包过滤的基础上进行的功能扩展,目前已经是整体性能和安全性能最好的一种防火墙技术,它是利用检测模块来建立的。检测模块就是一个软件引擎,它的功能就是对各个层次的网络通信进行安全监控。检测模块运行的前提是不能影响正常的工作,在此前提下对数据进行随机的抽取,并以动态的形式保存起来。
3.2 防火墙的种类及功能
防火墙的技术实现有以下五种,网络级防火墙、电路级网关、应用级网关和混合型防火墙。每一种的功能和使用都不同,具体情况要进行具体分析。
(1)网络级防火墙。网络级防火墙也称之为包过滤型防火墙,它是判断每个地址端口和IP源地址、协议能否通过。随着网络的发展,一个路由器就能代表一个包过滤型防火墙,这种防火墙配置简单,安全系数偏低,绝大部分的数据都能通过路由器并进行转发,但是对于数据的IP地址的方向判断不清。
越先进的路由器,其自带的防火墙也越先进,它可以快速的判断出数据包的合法性。网络及防火墙的功能有三种,在路由器的数据转发和选择的时候实施包过滤、在工作开始的站点上实施包过滤和在屏蔽路由器开始工作时实施包过滤。
(2)电路级网关。电路级网关的重要作用是监视、控制受信任的用户与网络服务器,而对于不受信任的TCP进行握手,以此来决定该行为是否合法,它比网络级防火墙和应用级网关都要高。
电路级网关的优点是,它本身有一个自带的服务器的防火墙,这个防火墙是通过地址转移来运行的,把用户所有的IP地址都反射到安全地带,它的缺点是,无法实现数据包的检查,运行时必须要联合其他应用级网关才能启动。
(3)应用级网关。应用级网关是目前安全性能比较好的一种防火墙技术,它有较好的选择控制和访问控制,但相对的缺少透明程度,实现比较困难。应用级网关是通过对网关数据的复制和传送来检查数据包的,它可以切断用户与不受信任服务器之间的联系,有效的保护用户的网络数据安全。
应用级网关虽然可以做一些比较复杂的访问、协议、控制和注册,但它所需要的软件也相对比较复杂,并且时间长、工作量大,运行效率偏低,在使用时,会经常出现访问时间延长或者多次登录的情况。
(4)混合型防火墙。混合型防火墙是一种新的突破,它综合了透明度、和检测三种功能,把过滤和预防全部集于一体,也结合了包过滤型防火墙的OSI网络层端口和IP地址上进行数据包的过滤、电路级网关的序列数字与SYN和ACK之间的比对和应用级网关的对数据包在OSI应用层的检查。混合型防火墙不仅包括传统的网络流量检测和应用层扫描,还包括OSI的第七层检测。
混合型防火墙的优点是独立的存在,不依靠其他的应用层网络,而是依据一种算法来进行数据包的过滤,其缺点是不能打破用户机和服务机的数据包分析,使得不受信任的网络和受信任的用户进行连接。
4 结束语
防火墙作为网络安全的基本手段和安全措施,是一项非常复杂的工程,随着研究课题的不断增多,防火墙技术也不断在变化,变得对信息包和数据包更容易通过和识别,使应用级防火墙朝着透明化和简单化方面发展。
参考文献:
[1]陈文惠,朱卫未.防火墙技术分析[J].信息安全与通信保密,2009(5):112-114.
[2]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与.2010(9):179-181
[3]林晓东,杨义先.防火墙技术[J].电信科学.2008(3):56-57.
[4]欧志刚,黄志军.防火墙原理与应用[J].计算机与数学工程.2009(6):177-179.
防火墙技术范文第9篇
关键词:网络安全;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1672-3198(2007)09-0240-02
1 从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2 从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packet filtering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(Application Proxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3 从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4 按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5 按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
[2][美]Terry William Ogletree.防火墙原理与实施[M].北京:电子工业出版社,2001,(2).
防火墙技术范文第10篇
关键词:网络、安全、VPN、加密技术、防火墙技术
1绪论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
2方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
3安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程
完整性:保证数据不被未授权修改
可控性:控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
5解决方案
5.1设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理分步实施。
5.2安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。超级秘书网
2.采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)NAT技术:隐藏内部网络信息。
(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
[2]王春森.系统设计师.[M].北京:清华大学出版社,2001
[3]郭军.网络管理.[M].北京:北京邮电大学出版社,2001
[4]张铎.电子商务加油站.[M].北京:北京邮电出版社,2001
[5]王缜,叶林.电子商务中的安全技术.[M].河北:河北工业科技报,2002
[6]张炯明.电子商务安全使用技术.[M].北京:清华大学出版社,2002
[7]劳帼龄.网络安全与管理.[M].北京:高等教育出版社,2003
[8]祁明.网络安全与保密.[M].北京:高等教育出版社,2001
[9]白以恩.计算机网络基础及应用.[M].黑龙江:哈尔滨工业大学出版社,2003