网络安全技术防火墙(精选8篇)
网络安全技术防火墙 第1篇
计算机网络安全技术现状与防火墙技术探讨
随着计算机网络技术的迅速发展,计算机网络安全日益突显,本文对计算机网络安全技术发展现状、防火墙技术进行了探讨与分析.
作 者:陈树平作者单位:河北省邯郸市涉县党政机关网络管理站,河北邯郸,056400刊 名:科技资讯英文刊名:SCIENCE & TECHNOLOGY INFORMATION年,卷(期):“”(35)分类号:G64关键词:网络安全 防火墙 信息
网络安全技术防火墙 第2篇
了解双宿主机防火墙的安全性是如何被破坏的是很有用的,因为这样一来你就可以采取相应的措施来防止发生这种破坏,
对安全最大的危胁是一个攻击者掌握了直接登录到双宿主机的权限。登录到一个双宿主机上总是应该通过双宿主机上的一个应用层代理进行。对从外部不可信任网络进行登录应该进行严格的身份验证
如果外部用户获得了在双宿主机上进行登录的权利,那么内部网络就容易遭到攻击。这种攻击可以通过以下任何一种方式来进行:
1)通过文件系统上宽松的许可权限制
2)通过内部网络上由NFS安装的卷
3)利用已经被破坏了的用户帐号,通过在这类用户的主目录下的主机等价文件,如。rhosts,来访问由Berkeleyr*工具授权的服务
4)利用可能恢复的过分访问权的网络备份程序
5)通过使用没有适当安全防范的用于管理的SHELL脚本
6)通过从没有适当安全防范的过时软件的修订版和发行文档来掌握系统的漏洞
7)通过安装允许IP传递的老版本操作系统内核,或者安装存在安全问题的老版本操作系统内核。
如果一台双宿主机失效了,则内部网络将被置于外部攻击之下,除非这个问题很快被查出并解决。
在前面,我们已经了解到UNIX内核变量ifrorwarding控制着是否允许进行IP路由选择。如果一个攻击者获得了足够的系统权限,则这个攻击者就可以改变这个内核变量的值,从而允许IP转发。在允许IP转发后,防火墙机制就会被旁路掉了。
双宿主机防火墙上的服务
除了禁止IP转发,你还应该从双宿主机防火墙中移走所有的影响到安全的程序、工具和服务,以免落入攻击者的手中。下面是UNIX双宿主机防火墙的一部分有用的检查点:
1)移走程序开发工具:编译器、链接器等。
2)移走你不需要或不了解的具有SUID和SGID权限的程序。如果系统不工作,你可以移回一些必要的基本程序。
3)使用磁盘分区,从而使在一个磁盘分区上发动的填满所有磁盘空间的攻击被限制在那个磁盘分区当中。
4)删去不需要的系统和专门帐号。
5)删去不需要的网络服务,使用netstat-a来检验。编辑/etc/inetd。conf和/etc/services文件,删除不需要的网络服务定义。
2.4代理服务和应用层网关
代理服务(ProxyService)
代理服务使用的的方法与分组过滤器不同,代理(Proxy)使用一个客户程序(或许经过修改),与特定的中间结点连接,然后中间结点与期望的服务器进行实际连接。与分组过滤器所不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。中间结点通常为双宿主机。
代理服务可提供详细的日志记录(log)及审计(audit)功能,这大大提高了网络的安全性,也为改进现有软件的安全性能提供了可能性。代理服务器可运行在双宿主机上,它是基于特定应用程序的。为了通过代理支持一个新的协议,必须修改代理以适应新协议。
在一个称为SOCKS的免费程序库中包括了与许多标准系统调用基本兼容的代理版本,如SOCKS、BIND()、CONNECT()等,
在URL统一资源定位地址ftp://ftp。inoc。dl。nec。com/pub/security/sock。cstc
代理服务通常由两个部分构成:代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序,系统就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而,它也给软件开发者、网络系统员和最终用户带来了很大的不便,这就是使用代理的代价。也有一些标准的客户程序可以利用代理服务器通过防火墙运行,如mail、FTP和telnet等。即便如此,最终用户也许还需要学习特定的步骤通过防火墙进行通信。
透明性对基于代理服务企的防火墙显然是一个大问题。即使是那些声称是透明性防火墙的代理也期望应用程序使用特定的TCP或UDP端口。假如一个节点在非标准端口上运行一个标准应用程序,代理将不支持这个应用程序。许多防火墙允许系统管理员运行两个代理拷贝,一个在标准端口运行,另一个在非标准端口运行,常用服务的最大数目取决于不同的防火墙产品。
基于代理服务的防火墙厂商正在开始解决这个问题。基于代理的产品开始改进成能够设置常用服务和非标准端口。然而,只要应用程序需要升级,基于代理的用户会发现他们必须发展新的代理。一个明显的例子是许多的Web浏览器中加入了大量的安全措施。防火墙的购买者应留心询问防火墙厂商他们的产品到底能处理哪些应用程序。另外,基于代理服务器的防火墙常常会使网络性能明显下降。相当多的防火墙不能处理高负载的网络通信。
应用层网关
应用层网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当的程序设计,应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制,并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务,是采用应用层网关的主要优点。在需要时,在网关本身中还可以增加额外的安全措施。
对于所中转的每种应用,应用层网关需要使用专用的程序代码。由于有这种专用的程序代码,应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时,必须为其编制专门的程序代码。正是如此,许多应用层网关只能提供有限的应用和服务功能。
为了使用应用层网关,用户或者在应用层网关上登录请求,或者在本地机器上使用一个为该服务特别编制的程序代码。每个针对特定应用的网关模块都有自己的一套管理工具和命令语言。
采用应用层网关的一个缺陷是必须为每一项应用编制专用程序。但从安全角度上看,这也是一个优点,因为除非明确地提供了应用层网关,就不可能通过防火墙。这也是在实践“未被明确允许的就将被禁止”的原则。
探析网络安全技术中的防火墙技术 第3篇
随着计算机网络技术的大范围普及和应用,我们的生活方式得到了明显的创新和改变。由于计算机网络技术的应用具有虚拟性、技术性、公众性等的特点,使得网络安全逐渐成为了人们所关注的问题。防火墙技术作为对计算机网络起到保护作用的安全技术,是网络环境安全健全的重要手段,它在现代的计算机网络安全技术中是最主要的一种保护形式,基于此,文章在对防火墙结构介绍的基础上,分析了其在网络安全技术中的应用状况。
1网络安全技术中防火墙技术的介绍
科学技术的进步,推动了人们生产生活的极大创新,促使社会的文明程度进一步提升,人类社会进入到了信息化时代。网络的普及一方面在给人们带来便利的同时也给信息的安全性埋下了安全隐患。防火墙作为一种保护技术,主要指的是在不同信赖程度的网络结构之间,会设置一系列相关安全部件的组合,它的主要作用就是在众多不同网络之间可以设置一个唯一的安全信息入口,并且在用户设置好的安全策略基础上,对出入网络的信息流进行有效的管理控制,能够对用户信息起到保护作用。它在计算机网络安全技术中的应用,具有十分明显的抗攻击能力,属于是一种保护网络安全的基础性措施。
2防火墙的类别种类
基于网络安全的需要,人们对于防火墙的研究也取得了显著的成就,从当前的网络安全技术构成结构来看,防火墙技术的种类类别出现了很多种,其中最为常用的有分组过滤型、应用代理型以及复合型等三种形式,这三种不同的形式虽然保护的原理不同,各有各自的运行流程,但是,它们最终应用目的是相同的, 都是会对网络安全起到保护作用的。
2.1分组过滤型的防火墙技术
这一类型的防火墙技术也可以称之为包过滤防火墙,这是一种最基础的防火墙形式,具有简单方便、快捷实效的特点,它是在各个不同的网络之间相互连接的设备上对某些特定的IP、TCP端口号等予以许可或禁止,并对设备的数据包进行详细的检查分析,对数据包进出内部网络进行合理的限制。用户普遍选择这一类型的防火墙技术,主要是因为它的传输效率很高并且对用户的开放性也很好。在实际的网络应用中,它的建立是遵循两个原则的,一是针对于专用网络来说,它只允许内部地址的数据包通过, 杜绝了不明来源的信息进入;二是针对于公共网络来说,它只允许地址为80端口的数据包通过。
2.2应用代理型的防火墙技术
从其名称来看,它是在某种特定代理技术的支持下来参与到一个TCP连接的全过程,它的运行开展的核心技术就是代理服务器技术。那么什么是代理服务器技术?它是代表客户处理在服务器连接请求的一种程序,它在外部网络向内部网络申请服务的过程中承担着中间转接的作用,属于是必不可少的环节。代理服务器在得到客户的连接意愿后,会对客户的请求进行核实,然后在特定的代理应用程序作用下来连接请求,最后把处理的请求传输到服务器上,等到服务器应答后,再进行下一步的处理工作, 把答复结果传达到客户手中。在它的作用下,可以对所有应用层的信息数据包进行检查,并把所获得的检查信息纳入到决策过程中,以此来保障网络的安全性。它的应用特点就是便捷、安全。
2.3复合型的防火墙技术
这种防火墙技术是综合了前两者等的新型防护墙,它的保护原理是在ASIC架构的作用下,对防病毒和内容进行过滤整合, 统一集中到防火墙中,在这一过程中还会涉及到VPN等功能。 它所采用的多宿主机结构也大大提高了对网络的保护能力,支持多网络端口和多LAN的管理,也就实现了内部私有网络的安全划分,动态NAT功能和端口重定向在原则上也是属于复合型防火墙技术的一部分。除此之外,在对网络的接口、IP地址等的管理作用下,还可以顺利的实现对IP地址和特殊性服务的带宽控制,保证了带宽的合理分配。
3网络安全技术中的防火墙作用分析
3.1减少具有危险性服务的侵入
防火墙的作用就是保护计算机网络的安全,那么对于一些带有危险性质的网络服务,它就可以进行有效的判断,实现对其的控制。在网络数据的交换或者是传输的过程中,会因为防火墙的保护作用,所进行的数据信息传输都是满足防火墙的过滤保护要求的,因此,就不会轻易被没有经允许的外网所截取,具有很高的保密性和安全性,这样也就确保了内网运行的安全性,不会受到非法攻击。
3.2对特殊网站点访问的控制
这也是防护墙技术的主要功能体现。很多的计算机网络的使用者来说,很多需要被保护的主机,需要在考虑数据传输或者是网站访问的安全性前提下,要对其进行特殊性的保护,进而可以允许其他主机进行数据的交换和传输。这样做的目的是可以规避一些不必要的访问,保证资源的安全完整,基于此,对于防火墙来说,就要在一些特殊情况下,拒绝对内部网的非必要访问,实现对网络安全的有效保护。
3.3安全保护的集中作用
在防火墙技术的应用下,它可以把安全保护进行集中。这对于一个规模较大的内部网络运行来说,这是十分有必要的,而要实现对安全保护的集中管理,就要对其中的某些软件进行改动或者是附加安全软件放置于防火墙结构中,这种做法会比分散的放置在各个不同主机中更能确保信息数据的安全性,尤其是对于一些密码的输入等重要信息来说,更要如此。
3.4网络访问的记录和统计作用
防火墙会对任何的在内外网之间进行流通的访问和数据都有记录,并以日志的形式进行总结,它是一项非常重要的数据情报,它的作用就是可以帮助人们来对可能出现的攻击行为进行分析预测,建立预防防范机制,进而阻止外部不安全因素的攻击, 保证了网络的安全。
4计算机安全网络技术中防火墙技术的应用
4.1安全服务的配置方面
这一方面中的安全服务隔离区主要是指把系统管理机群和服务器机群单独的作为个体来划分出来,安全服务隔离区严格来说并不是真正的完全独立,它还是内部网络的构成部分,保持两者的独立性主要是为了确保服务器数据和系统管理可以健康的运行。而对其的具体建立主要是靠网络地址转化技术实现的,把内部网络中需要进行保护的全部主机地址都映射为不同数量的公共网络IP地址,这样可以对内部网络结构起到屏蔽和IP地址作用,而且这样的做法也可以有效的降低成本费用。
4.2配置访问的具体策略
防火墙的安全策略是多种形式的,在它的众多安全策略中, 访问策略是处于核心地位的,具有重要的作用。在进行设置之前, 需要严格的遵循方案设计要求,按照标准的设计流程,循序渐进, 合理有序。首先,对本单位的众多以实施的应用进行熟练的掌握, 包含整个网络线路;其次,在前者的基础上对每一个具体应用的源地址、目的地址以及TCP进行详细的了解;第三,对于每一个应用的实际执行频繁状况进行把握,对左右的构成策略进行合理的调整,重新的进行排序;第四,再一次的确认无误之后,再把配置投入到使用当中,使其功能价值可以高效发挥。
4.3日志监控方面
它在计算机网络安全技术中也是一种实用价值很高的安全保护措施,很多的管理人员在进行日志信息采集的过程中很容易出现对所有的与之相关的信息都全部收集,这样的做法会浪费很多的时间成本,而且每一个防火墙所经过的数据信息量是十分巨大的,如果稍有不慎,还会对所要采集的主要信息形成“漏掉”的风险,给采集工作带来很大的难度,基于此,对于信息收集人员来说,就要在采集时有所针对性,只选择关键的信息就可以了, 这样不仅方便日志顺利的形成,而且还可以保证其作用的真正高效发挥,同时也大大降低了信息采集的难度和复杂系数,除此之外,对于在进行信息的记录工作开展时,要对系统的警告信息进行记录,而对于流量信息则可以择取重点进行记录,不用全部记录。
5总结
随着我国计算机网络技术的不断发展,人们生产生活的信息化、科技化水平有了显著的提升。在计算机网络安全技术中,防火墙技术是重要的构成部分,也是当前十分常见的一种保护措施,可以对计算机中的数据信息流起到很好的保护和保密作用, 规避了不安全因素的侵入,从而保证了用户信息的安全和完整, 它自身所具有的优势特性要求在实际的应用中,要考虑到诸多的方面,并加强这方面的研究创新,使其效用可以更高效的发挥。
参考文献
[1]陈玉芳,裴祥喜,刘坤峰,舒丹阳.防火墙技术在计算机网络安全中的应用价值探析[J].煤炭技术,2013.
[2]戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑(理论版),2011.
[3]滕秀红.网络安全中防火墙技术探析[J].科技信息,2013.
[4]王德山,王科超.试论计算机网络安全中的防火墙技术[J].网络安全技术与应用,2013.
网络安全之防火墙技术 第4篇
关键词:网络安全 防火墙
1 概论
当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在,网络安全已经成了专门的技术。保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术
防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类
3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低,CPU处理能力弱,通用CPU架构防火墙的数据吞吐量较低,和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。
ASIC(Application Specific Integrated Circuit专用集成电路)技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题,稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案,线速可达千兆。ASIC技术的优势体现在对网络层的数据转发,而对应用层的数据处理不占优势。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。
NP内含多个数据处理器,可以并发处理数据。数据处理能力较通用处理器强大很多,处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高,而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器,能够胜任高速数据处理。
3.3 从技术上分 目前有很多种防火墙技术,根据采用技术的不同,总体可以分为两大类:包过滤型和应用代理型。
3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙,作用在网络层和传输层,技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包,每个数据包都包含一些特定信息,如数据源地址,目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址,其余数据包则被丢弃。
在包过滤防火墙的发展过程中,出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。
静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包,与过滤规则匹配成功则丢弃,否则让其通过。过滤规则基于数据包中的特定信息,如数据源地址,目的地址、协议类型、端口号等。
动态包过滤型防火墙的包过滤规则采用动态设置的方法,解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态,不仅根据规则表检查每一个包,还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为,增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪,并且可根据需要在过滤规则中动态地增加或更新条目。
包过滤技术既简单实用,又能适用于所有的网络服务,基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术,只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵,如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址,骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。
3.3.2 应用代理型防火墙 应用代理型防火墙工作在应用层。它通过对各种应用服务编制专门的代理程序,实现监控应用层通信流的作用。
在代理型防火墙技术的发展过程中,出现了第一代应用网关型代理防火和第二代自适应代理防火墙。
应用网关型防火墙有时也被称为代理服务器,其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间,对于服务器来说,它相当于客户机;对于客户机来说,它相当于服务器。从客户机发出的数据包经过防火墙处理后,可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信,所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
自适应代理型防火墙是一种新型防火墙,近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有代理類型防火墙的安全性的优点,能在不降低安全性的基础上将防火墙的性能提高数倍。自适应代理型防火墙的基本组成要素包括动态包过滤器和自适应代理服务器。
应用代理型防火墙是为防范应用层攻击设计的,它可以筛选保护OIS网络模型中的任意层数据通信。应用代理型防火墙有以下优点:隐藏内部IP;限制某些协议的传出请求;指定对连接的控制;能够记录连接日志,对追踪攻击和非法访问很有用。
应用代理防火墙的缺点:用户每次连接都要认证,带来不便;用户系统须定制;速度相对较慢,当网络通信速率较高时,就会影响内外部通信,但通常情况下不会很明显。
4 结束语
防火墙系统只是一种网络安全防护手段,并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击,某些恶意的访问可以通过客户机的软件绕过放过防火墙,传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。
单纯的防火墙技术逐渐不能满足人们对网络安全的需要,防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有:多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。
随着计算机技术的发展,防火墙技术会不断的向前发展,网络安全问题也会不断涌现。只有不断改进安全策略,才能保证网络安全稳定的发展。
参考文献:
[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008,(03).
[2]庄健平.防火墙技术与网络安全[J].电脑编程技巧与维护.2010,(22).
[3]黄惠烽.计算机网络安全与防火墙技术[J].科技信息,2007,(08).
网络安全技术防火墙 第5篇
internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性,防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往internet的信息都必须经过防火墙,接受防火墙的检查(图1)。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。
图1安全策略建立的防御范围。
应给予特别注意的是,internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中,告诉用户们他们应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
internet防火墙负责管理internet和机构内部网络之间的访问(图2)。在没有防火墙时,内部网络上的每个节点都暴露给internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
图2 internet防火墙的好处
internet防火墙的好处:
・ 集中的网络安全
・ 可作为中心“扼制点”
・ 产生安全报警
・ 监视并记录internet的使用
・ nat的理想位置
・ www和ftp服务器的理想位置
internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如 、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
过去的几年里,internet经历了地址空间的危机,使得ip地址越来越少。这意味着想进入internet的机构可能申请不到足够的ip地址来满足其内部网络上用户的需要。internet防火墙可以作为部署nat(network address translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换isp时带来的重新编址的麻烦。
internet防火墙是审计和记录internet使用量的一个最佳地方络管理员可以在此向管理部门提供internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。
internet防火墙也可以成为向客户发布信息的地点。internet防火墙作为部署
网络安全技术防火墙 第6篇
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;
●管理进、出网络的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动;
●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
网络防火墙技术论文 第7篇
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
防火墙网络安全技术分析 第8篇
1包过滤型防火墙
第一代防火墙的出现,主要就是应用了包过滤技术,是当前防火墙技术中较为初级的一种,它的主要技术依据是分包传输技术。信息数据在网络中进行传输,是以“包”为基本单位,一个数据包中带有相关的数据信息和某些特定信息,比如TCP/ UDP源端口、目标端口、目标地址以及源地址。包过滤型防火墙主要通过对数据包中带有的这些特定信息进行审核,来看数据包的源地址是否安全可靠,如果发现了危险因素就会拒绝接受数据包,以保证网络信息安全。
2网络地址转换NAT
这种防火墙技术是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它可以让具有私有IP地址的内部网络访问因特网,它还意味着用户不许要为其网络中每一台机器取得注册的IP地址, 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。如果访问符合预先定义好的规则,那么对于该访问就被视作是安全的,其请求就可以被接受,相反,如果访问不能符合规则,那么该请求就会被视作是不安全的,其请求也就不能被接受。对于用户自身的计算机网络操作来说,他们不需要进行相关的设置,网络地址转换对于他们来说是看不见的,为了保证安全他们只需要进行安全的计算机网络操作即可。
3代理型防火墙
相比于包过滤型防火墙,代理型防火墙的安全性更高一些,常称代理服务器, 当前这种防火墙技术已经开始在向着开放式系统互联参考模型中的应用实体层在发展。从逻辑层面来讲,代理型防火墙的位置在服务器与客户机两者之间,服务器与客户机之间的数据交流全部都需要经过代理型防火墙。站在客户机的角度上来看,代理型防火墙就相当于是服务器, 而站在服务器的角度上来看,代理型防火墙又相当于就是客户机。客户机向服务器发送的请求数据首先得经过代理型防火墙,由代理型防火墙代劳请求数据,当请求数据成功数据返回时,
服务器又先将数据传送给代理型防火墙,然后防火墙再将数据传送给客户机。在整个过程当中,客户机与服务器之间是不存在直接联系的,这样就有效的防止了网络信息安全风险因素渗。
4监测型防火墙
监测型防火墙的出现拓展了以往人们对防火墙的定义,在传统的防火墙技术中,对网络信息安全风险因素的防范都是较为被动的,而监测型防火墙则是主动的对网络信息安全风险因素进行监测。监测型防火墙可以对各层数据进行监测与分析,并判断是否存在有威胁网络信息安全的因素。除此之外,监测型防火墙的另一个特征是在应用服务器和其他网络的节点中带有分布式探测器,一方面它能够防止外部存在的网络信息安全危险因素,另一方面它还能对内部的恶意破坏起到防范作用,而这一点则对传统的防火墙安全功能起到了很大的弥补作用。因为传统的防火墙主要应对的是外部安全风险因素, 而很难对内部的破坏行为起到有效的控制。但是从一些数据统计来看,在当前发生的所有网络信息安全事故中,来至于内部的攻击也占了很大的比例,监测型防火墙则能对内部起到一定的安全防范作用, 这是以往的防火墙难以做到的,所以说监测型防火墙在安全功能上更为全面。但是在成本方面,这种防火墙技术更高,所以在实际的推广应用方面还存在着限制,但是随着技术的发展以及成本的下降,监测型防火墙将会越来越普及。
