购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 防火墙技术论文范文

防火墙技术论文精选(九篇)

防火墙技术论文

第1篇:防火墙技术论文范文

关键词:网络安全;防火墙

1从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙。

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

(2)硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙。

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2从防火墙技术分

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1)包过滤(Packetfiltering)型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。

(2)应用(ApplicationProxy)型。

应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。

另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。

3从防火墙结构分

从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。

这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。

随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。

个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

参考文献

[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).

第2篇:防火墙技术论文范文

1防火墙的基本分类

时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、主机系统;②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即packfilter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonicwall。

2防火墙的主要功能

无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。

3防火墙的主要应用

第3篇:防火墙技术论文范文

关键词:防火墙技术;计算机;网络安全

随着网络技术的发展,互联网的普及,网络安全问题已经被越来越多的人所重视。在网络安全中,最大的威胁是黑客恶意入侵或攻击,由于这种安全威胁的存在,使得电子商务、政府网上工程无法顺利的进行。就目前为止,解决网络安全问题的最有效的方法是采用防护墙技术。

1.网络安全问题

    随着信息技术的快速发展,互联网技术已经渗透到多领域内。计算机网络技术的发展,改变人们生活方式和观念的同时,对社会的意识形态及面貌也有一定的影响。病毒的侵袭、黑客的攻击及电磁泄漏等严重的影响人们正常的工作、生活。网络安全问题出现的原因是人不经意的失误和有人故意对网络进行攻击。操作人员在操作过程中,由于缺乏安全意识、口令操作信息不准确或是无意中将自己的信息泄露给别人,都会导致网络安全威胁问题,此外,人为的恶意攻击也是威胁网络安全的重要因素,同时也是网络安全中所面临的最大难题。因此,不管是计算机惯犯的攻击,还是竞争方的恶意攻击,都会对计算机网络安全造成一定的威胁。

2.防火墙概况

2.1防火墙概念

    所谓的防火墙就是在建筑大厦时,为了防止火灾通过传递的方式从一个地点传到另一个地点而设置的。计算机网络防火墙也是为了防止类似事件发生而设计的。网络安全防火墙是指两个网络之间为了加强访问控制而设置的一整套装置,是网络内部与外部之间的安全防范系统,正常情况下,安装在网络内部和网络外部的连接点上。当外部网有信息传递时,都需要经过防火墙检测,确定没有问题才能将安全信息转发至内部网络。计算机网络系统防火墙主要是由分离器、限制器、分析器等构成的。有特殊情况下,防火墙的实现方式是不同的,而在正常情况下是相同的,都是由一个路由器和路由器组合、一台主机和适当的软件组成的。

2.2防火墙特性

防火墙在网络信息传输过程中其起着网络安全把关作用,同时其可以将安全防范集中在内部网络和外部外网络连结的阻塞点上。防火墙的特性就是具有阻塞通信信息的功能,网络上所有进出的信息都必须经过防火墙这一阻塞点进行检查和传递;防火墙有阻止不合规范信息传递功能。随着网络的普及,给人们的生活、工作带来了方便。据统计,每天都有成百上千万人用互联网进行信息交换或是收集,在这一过程中,难免会有人为了达到某种目的,对网络发起攻击或是恶意侵犯。为了解决这一问题,研究人员研究出防火墙。防火墙可以充当安全卫士,对出入的信息进行安全检测,只有符合系统安全规定的的信息才可以通过防火墙;由于网络内部和网络外部进行信息交换,都需要经过防火墙,依据防火墙的特性,收集和记录相关的系统或是网络上使用的信息是最合适不过的。此外,防火墙还可以将内部网络分成不同的网段,限制不良网站的访问,对阻止恶意网站的侵袭有重要的作用。防火墙能够防止不良信息的恶意侵袭,但是随着科技的发展,新的问题还会出现,面对新的问题,现在的防火墙技术还不能有效的阻止不良网站的侵袭,再加上防火墙的局限性,不能防范不通过它的连接,同时也不能防范病毒入侵等网络安全问题,防火墙技术还有待于研究。

3.防火墙的种类

3.1防火墙的种类很多,目前网络上常用的防火墙主要有分组过滤型防火墙、应用型防火墙及复合型防火墙。每一种防火墙都有其独特的功能作用。分组过滤性防火墙是最基本的防火墙,实际上也是包过滤路由器。包过滤路由器是在网络合适的位置,一系统被设置的过滤原则为依据,对数据包进行有选择的通过,这里的数据包的工作原理及技术是各种网络防火墙最基础的构件,防火墙要想有效的工作,需要过滤包对过滤路由器与IP包过滤配合,才可以顺利实施。当过虑网关收到数据包后就会先对报文头进行扫面,随后对报文头源的IP 地址、目的IP和目的TCP/ UDP端口等域进行检查,确定之后,才可以决定其丢出与否,最后有管理人员按照相关规则对路由器进行配置。这里的数据包有着无法比拟优势的同时,也有不足之处。虽然数据包有不用其他自定义软件或是客户配置,一个数据包过滤路由器对整个网络有协助保护作用,大部分路由器可以做数据包进行过滤等优点,同时也有当前过滤工具存在缺陷,协议与数据包不符或是数据包不能正常执行某些策略等缺点。因此,要想有效的控制网络安全问题,还需要不断的研究新的防火墙技术;所谓的应用型防火墙实际上就是内部网和外部网的隔离点,对隔离点上的不良信息有监视和隔绝应用的作用。其中的服务就是在防火墙主机上运行的专门应用程序或是服务程序,这些程序服务的依据用户对网络服务的请求运行的安全策略,再加上是是提供链接并进行服务的网关,很多时候也将其叫做应用级网关。因此,服务对阻止外部网络信息进入内部网有重要作用;防火墙中的网络通信链路是由内、外部主机和服务器两部分构成的。服务器的主要作用是根据安全策略分析信息是否安全,此外,服务器可以检查来自客户的请求,并将其转送到主机上,还可以根据安全策略控制用户的请求。服务器既有优势又有劣势,其优势条件是服务可以为用户提供相关的网络服务并具有优化日志的作用;劣势是服务没有非服务有优势,服务正常情况下,要求同时对客户和过程之一服务或是分别对其进行服务。由于服务有一定限制性因素,对于一些服务是不适用的,不能保护所有协议的弱点。

3.2此外,复合型防火墙是将数据包过滤和服务结合在一起进行使用的,这种防火墙可以使络安全性、性能和透明度有效的互补。随着互联网技术的发展,新的问题还会不断的出现,研究人员还要根据新出现的问题研究出新的防火墙技术。只有不断的完善防火墙技术,才能使网络安全得到有效的保证。目前为止,状态技术、安全操作系统、实施侵入检测系统已经出现。在未来的防火墙技术中,还会出现符合时展潮流的新技术。

结束语:

    防 火墙技术是解决网络安全的有效手段,但随着信息技术的迅速发展,新的网络安全问题还会不断的出现。要想使防火墙技术更好的满足网络安全的需要,还需要研究人员研究出安全性更高、透明性更好、网络化性能更加的防护墙技术。

参考文献:

[1]王琦.计算机网络安全防护管理探析[J].科技传播.2010.(17).

[2]刘璇.互联网通讯网络安全防护[J].煤炭技术.2011.(06).

[3]占科.计算机网络防火墙技术浅析[J].企业导报.2011.(11).

[4]吴晓东.计算机网络信息安全防护探析[J].现代商业.2010.(27).

第4篇:防火墙技术论文范文

关键词:分布式防火墙 数字校园 信息安全

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)05-0000-00

1引言

随着我国各大高校数字校园的发展建设,网络信息安全问题已经成为了校园信息化建设中不可忽视的重点问题。为了解决校园网络信息安全问题,越来越多的现代信息安全技术被广泛应用于数字校园建设中,防火墙技术在网络安全防护建设中应用得最为普遍。但是,传统的边界防火墙技术存在性能较差和单点失效等明显弊端,更需要基于网络拓扑结构来实现防火墙安全策略。因此,分布式防火墙技术在这种背景下应运而生,分布式防火墙技术通过在某些受保护的主机上进行部署,以解决传统防火墙技术的瓶颈问题。本文主要对分布式防火墙在数字校园中的部署进行了方案设计。

2传统防火墙中存在的问题

(1)内部安全问题。传统的防火墙技术无法对内部数据进行安全监控,更无法实现出现在网络内部攻击的安全防护。(2)性能瓶颈问题。传统防火墙技术的性能较差,数据处理速度较慢,防护恶意攻击的安全功能不够完善。(3)单点失效问题。整个网络的安全防护全部依赖防火墙技术,一旦恶意攻击者翻越防火墙,或者防火墙配置出现问题,内部网络将完全暴露于攻击人员面前。(4)授权访问问题。由于网络环境非常复杂,很容易造成恶意攻击人员绕过防火墙设置直接与内部网络进行连接,给网络安全防护带来极大威胁。(5)端对端加密威胁。当基于新型网络协议进行数据加密时,传统防火墙技术经常会由于没有密钥而无法识别合计检查通过的数据包内容。(6)安全模式简单。传统防火墙技术的安全防护策略主要针对的是内部网络,内部网络中部署的主机全部采用相同的安全模式,很容易造成信息安全威胁。

3分布式防火墙的部署设计

3.1体系结构设计

本文主要基于Linux系统环境下,通过服务器部署防火墙策略,在防火墙基础上进行安全策略协商,以确保各个防火墙可以协同工作,对整个网络系统进行安全防护,构建分布式防火墙系统的原型。分布式防火墙系统结构如图1所示,采用对话控制方式的协调机制,具有典型分散型防火墙系统的部署结构。

3.2控制中心结构设计

控制中心主要负责实现资料收集、相互对话、日志管理和证书签发功能。控制中心的各个节点处都配置了防火墙的安全策略库、数字密钥库和数字证书等内容。控制中心的本质是CA认证中心,CA认证中心是分布式防火墙系统唯一授权和承认的数字证书签发机构。控制中心结构主要包括策略模块、日志模块、策略分析模块和策略协商模块。

3.3防火墙结构设计

防火墙的设计主要采用了分布式结构,以分担网络数据流量的方法减少每个网络节点承担的数据处理量。分布式防火墙的部署能够有效避免某个网络节点感染木马病毒而导致整个网络受到严重的安全威胁,每个网络节点必须针对需要经过的数据进行识别和检查。防火墙系统的体系结构包括通用层接口、IP过滤模块、服务程序、联动接口、冲突检测、网络解析、策略协商和日志管理等。接口层主要为用户使用管理进行支持,IP过滤模块负责对生成的日志信息进行保存,以记录网络访问地址。冲突检测模块负责检查各个数据输入接口与防火墙连接的位置是否存在异常情况。安全解析模块负责解析安全版图,将其转换成为系统可以识别和执行的形式。策略协商模块负责利用控制中心实现其他防火墙的安全防护策略的协同运行。

4结语

综上所述,由于各大高校校园网络建设规模非常庞大,网络结构也十分复杂,本文提出了防火墙的部署方案,主要利用控制中心对安全防护策略进行协商,但这也可能会造成系统性能降低等问题,在下一步的设计研究中应该增加多个控制中心,由每个控制中心负责承担部分防火墙安全策略的协商任务,再通过完善的数据通信机制使各个控制中心之间实现协商策略的交换。同时,还可以将控制中心的各项功能与防火墙功能结合,防止由于过于依赖策略中心给系统安全漏洞和威胁。

参考文献

第5篇:防火墙技术论文范文

关键词:防火墙 网络安全防护 网络漏洞

中图分类号:TP39 文献标识码:A 文章编号:1007-9416(2012)01-0187-02

1、简介防火强防火墙

1.1 防火墙概念解析

防火墙就是一种将软件和硬件相结合,作用在各种网络认界面上的一种网络屏障,这个网络屏障能够屏蔽掉网络上不安全的信息和程序,只对已知的安全的信息大开方便之门。防火墙利用自己的网关技术避免了非法用户的侵入,确保和合法用户的权限。防火墙是由访问规则、验证工具、包过滤以及应用网关四部分构成。这四部分相互协作将网络防火墙安全技术了搭建起来。小到我们个人用的私人电脑大多国家安全局应用的大型计算机都离不开防火墙技术的保护,计算机的流入和流出的所有网络信号都需要经过防火墙的筛选。

防火墙顾名思义就是保护计算机安全的系统。有些用户会将防火墙技术误当做成杀毒软件,其实两者是完全不同的概念。杀毒软件需要用户自己购买安装,而防火墙是在计算机系统运行时就带有的一套安全程序,不需要用户自己安装,但是用户可以调节防火墙的强度,自己设定防火墙安全保护的程度,更加方便用户的操作。

安装了防火墙之后,电脑会监控各个端口的使用情况,只要你一打开某个需要连接网络的软件比IE浏览器,防火墙就会提示你允不允许该软件连接网络。如果你看到提示里的软件名不认识,你又没有打开什么软件,那就不通过连接就可以了。这就需要你有一定的辩别能力。当然,你可以使用防火墙关闭某些不常用的端口使电脑更安全。

打一个现实的比方,防火墙就像是防盗门一样,当有小偷进入的时候,防盗门能够讲小偷成功的挡在门外,而拥有门钥匙的正常住户就可以没有阻拦的进出,没有任何限制。网络应用中的防火墙技术,就是一个尺度,他限制了访问以及受访机制的权限,超出权限的指令无法在系统中运行而被遣返或者留滞。防火墙有效的阻止了黑客的袭击。如果不通过防火墙,“墙”内外的用户就不能进行信息的互动交流。

1.2 防火墙的动能介绍

防火墙,正如字面上的意思就是保证网络的安全。防火墙内部存储了许多数据,这些数据能够反馈给系统哪些程序允许通过,哪些程序则需要返回。防火墙只允许那些默认被允许的程序被访问,而且防火墙自身也必须避免黑客系统的破坏。下面,我们简单介绍一下防火墙的极大功能:

(1)防火墙允许网络系统管理员自定义一套系统来限定网络的访问机制。系统自身携带的防火墙中有固定的阻挡危险访问的程序编制,但是这些编制因为创造的时间较早,而网络发展非常迅速黑客程序的反侦查能力越来越强,有很多高级的黑客程序还是可以穿透防火墙进入计算机系统,这也是杀毒软件盛行的原因。当时防火墙屏蔽比杀毒软件来的更加彻底,因此防火墙允许网络系统管理员在防火墙内部开辟一个空间来自我定义一套限定网络的访问机制。这些被阻止的网络机制是那些被防火墙漏掉的疑似威胁程序,管理员通过自己的设定将这些系统人为的分离出去。这样做的好处是,增强网络防火墙的安全性能,使受到防火墙保护的计算机可以安全的在系统中运行。

(2)防火墙规范了网络的访问,杜绝了危险程序的访问,便于管理。在办公室工作的你是否在进入某个网站或者安装某种程序时,会弹出输入管理员密码的对话框。只有在获得权限之后才能够进行下一步操作。这是管理员根据公司的规定,将一些操作屏蔽掉,防止员工在工作中做一些与工作无关的事情。管理员的这些操作就是在防火墙上设置的,管理员在防火墙中进行了进一步的筛选,这样做可以智能的管理员工的工作,是一个非常便捷的方法。防火墙对网络访问的规范,方便了管理人员对员工的管理,这是一个既省钱又方便的好方法。

(3)可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。

共享内存这一话题,是防火墙技术比较深层次的利用。网络管理员可以通过部署作为NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将本机上的IP地址动态或者静态的与网络.NET中的IP地址相对应,这样做,可以缓解自己本机上IP地址紧缺的压力,解决地址空间不足的问题。

(4)防火墙位置可以用来记录计算机访问网络所产生的费用。上面已经提过,计算机内部与外界网络的相互沟通都需要经过计算机防火墙的过滤,同样的,在这些信息进入通过防火墙时,防火墙都会对这些信息加以记录。根据这一特点,我们就可以在防火墙位置上记录计算机访问网络时所产生的费用,这种费用的统计方式是最为科学而且可靠的。

这是我们根据防火墙的自身特点善加利用的很好的例子。防火墙如同一个阻隔内、外界的屏障,无论是允许通行或者是被阻挡,这些信息都会记录在防火墙中,通过对这些信息的采集,我们可以分析出许多问题,获得出许多我们需要掌握的信息。除了上面所说到的防火墙可以用来记录访问网络产生的费用之外,防火墙内存储的信息还可以用来分析黑客程序的类型,从而开发出更加权威的杀毒、防毒系统。

2、防火墙分类

防火墙的发展不是一蹴而就的,它也是经过了一个漫长而复杂的发展过程的。尽管防火墙发展到今天已经经历了上述几代的变更,但是从防火墙处理信息的方式上说,可以将防火墙划分为两大体系:一个是以以色列的Checkpoint防火墙为代表的包过滤式的防火墙,另一个以美国NAI公司开发的Gauntlet防火墙为代表的防火墙。但不论是哪种防火墙,运用什么的信息处理方式,两种防火墙都各自有自己的优势,并存在自己的缺点,需要进一步的发展、改善。

2.1 包过滤防火墙

第一代防火墙就是采用了采用了包过滤(Packetfilter)技术。所谓的包过滤技术就是对所有防火墙需要检查的网络访问程序进行解包检查,并且将检查获得的数据信息与防火墙系统内部原有的信息进行比对,这种将包打开每个都检查并且再逐一比对的过程非常的浪费时间,采用包过滤防火墙技术的计算机运行等待的时间会相对较长,给需要快速操作的人员带来了不便。但是包过滤防火墙到目前为止并没有被淘汰,这是为什么呢?这主要是因为包过滤机制检查处理信息的时候操作更加简单、透明性也相对较高,所以,一些计算机仍然采用这种包过滤防火墙技术。

2.2 防火墙

防火墙是在包过滤防火墙基础上发展起来的。防火墙又被称为应用层网关(ApplicationGateway)防火墙,顾名思义也就是说防火墙是作用在应用网关层的。这种防火墙通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种服务器能够在接收到用户发出的链接信息请求的时候,采用特定的安全系数比较高的Proxy应用程序进行处理,从而反馈答复给用户,并采取相应的措施进行进一步操作。

3、新型防火墙技术的发展趋势

很多人都在揣测下一代防火墙会是什么样子,下一代防火墙是会沿袭包过滤和代处理防火墙技术,还是会重新开辟一条新的道路来呢?据初步了解,下一代防火墙拥有的技术包括了阻止与针对细粒度网络安全策略违规情况发出警报的功能。例如当我们在web邮件中看见一个陌生未知的邮件的时候,这个未知邮件如果有病毒等,防火墙就会通过这个警报系统通知给用户,这样用户就可以避免打开这个包含病毒的邮件,防止病毒被打开后释放到电脑里,造成电脑中毒或者损失电脑中的私人信息。这就意味着,即使有些应用程序设计可避开检测或采用SSL加密,下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制,例:因为拒绝了无用或不允许进入的端到端流量,从而大幅降低了带宽的耗用。

国内首先开发出下一代防火墙技术的是NGAF防火墙厂商。NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等等方面的巨大不足,同时也开启了所有功能后性能不会有大幅度的下降。对系统的正常操作不会有太大的影响。

参考文献

[1]李海泉.计算机网络防火墙的体系结构[J].微型机与应用,2000(1).

[2]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].甘肃科技纵横,2005(6).

[3]刘玉莎,张晔,张志浩.嵌入式防火墙系统的实现 [J].计算机工程与用,2000(7).

[4]张永华.计算机网络安全策略的探讨[J].计算机光盘软件与应用,2000(7).

第6篇:防火墙技术论文范文

[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。

防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。

从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。

一、包过滤型防火墙的攻击

包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。

包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。

(一)ip欺骗

如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以骗过防火墙的检测。如:我将Packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。

这种攻击应该怎么防范呢?

如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。

eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的Packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的Packet,那么这种直接到达eth1的伪造包就会被丢弃。

(二)分片伪造

分片是在网络上传输IP报文时采用的一种技术手段,但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。

在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。

那我们先发送第一个合法的IP分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器TCP/IP堆栈来说,它还是能够正确重组的。

二、NAT防火墙的攻击

这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为UDP打洞技术。

UDP打洞技术允许在有限的范围内建立连接。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中,NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包,这样就在NAT上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的UDP通信了。

但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地,NAT见了的端口映射,如果一段时间不活动后就是过期。为了保持UDP端口映射,必须每隔一段时间就发送UDP包,就算没有数据的时候,只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。

由于各方面原因,这次没有对建立TCP的连接做研究,估计是能连接的。

三、防火墙的攻击

防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。 WinGate是以前应用非常广泛的一种Windows95/NT防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:

(一)非授权Web访问

某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

检测WinGate主机是否有这种安全漏洞的方法如下:

(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

(2)把浏览器的服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。

(二)非授权Socks访问

在WinGate的缺省配置中,Socks(1080号Tcp端口)同样是存在安全漏洞。与打开的Web(80号Tcp端口)一样,外部攻击者可以利用Socks访问因特网。

转贴于

(三)非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

检测WinGate主机是否有这种安全漏洞的方法如下:

1)使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris'^]'.

Wingate>10.50.21.5

2)如果接受到如上的响应文本,那就输入待连接到的网站。

3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。

四、监测型防火墙的攻击

一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!

(一)协议隧道攻击

协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

比如说,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。

由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。

(二)利用FTP-pasv绕过防火墙认证的攻击

FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。

五、通用的攻击方法

(一)木马攻击

反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。

(二)d.o.s拒绝服务攻击

简单的防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。

Land(Land Attack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。

IP欺骗DOS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为a.a.a.a,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。

六、结论

我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。

在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。

参考文献

[1]W.Richard As.TCP/IP详解 卷一:协议[M].机械工业出版社,2000.

[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.

[3]Marcus Goncalves. 防火墙技术指南[M].北京:机械工业出版社,2000.

第7篇:防火墙技术论文范文

【关键词】高层住宅;外墙保温;防火与扑救

在高层住宅建筑外墙建造有效的保温层,可以起到保温隔热的效果。这种新型的技术既可以用在新建筑的墙体上,也可以对原有的建筑外墙进行改造。高层建筑的外墙保温技术对墙体起到了较好的保护作用,发挥的作用也日益明显。

1 高层住宅建筑外墙保温技术的主要类型

1.1 高层住宅建筑外墙保温技术

将保温隔热系统放在高层住宅建筑外墙的外侧,可以有效起到保温的功能。高层住宅建筑外墙的保温技术,对冷桥或热桥都能起到有效隔断的重要作用,可以保护高层住宅建筑的主体结构,达到延长住宅建筑寿命的效果。由于高层建筑外墙保温技术应用的保温材料主要放在外墙外侧,可以增加住宅建筑的室内空间。住宅建筑外墙保温技术可以消除热桥对房屋内墙的破坏,有效减少了房屋内墙滴水或发霉的现象,改善住宅建筑墙体的热工性能,有效保护了住宅建筑内墙的墙体。这种技术既可以用在新建的住宅上,也可以对原有的住宅建筑进行改装,达到了良好的保温、隔热作用[1]。

1.2 高层住宅建筑内墙保温技术

高层住宅建筑内墙保温技术就是将保温材料放在住宅建筑外墙的内侧部分,可以起到外墙保温的重要作用。内墙保温技术虽然在施工取材上都很方便,但墙体容易出现裂缝,还会大面积地占用室内空间。这种技术只能用于新的住宅建筑上,不适合改造原有的建筑,还会加大热桥对墙体的不良影响,使墙体的损失面积加大,甚至还会影响到居民的正常生活,应用并不广泛。

2 高层住宅建筑外墙保温施工过程中防火与扑救的措施

从高层住宅建设外墙保温技术的施工角度来看,发生火灾的可能性主要分为三个阶段:保温材料进入施工现场码放时段发生火灾;保温材料施工上墙时段发生的火灾;施工竣工验收后,建筑物投入使用时段发生的外墙保温火灾。因此,施工人员在安装外墙保温材料的过程中,要注意做好防火与扑救工作,最大程度上减少经济损失。

2.1 保温材料进入施工现场码放时的防火与扑救

从当前国内高层住宅建筑外墙保温施工过程发生的火灾情况开阔,大部分都是保温材料进入施工现场码放时发生的火灾[2],最主要的原因在于施工过程中有机保温板是裸放的,没有任何防火保护的措施。施工现场没有有效的防火安全管理措施,保温材料在堆放时发生火灾也得不到有效的扑救。其次,某些保温材料的燃烧性不符合产品标准也是引发火灾的重要原因。因此,施工队伍在具体施工过程中,必须要派专业的人员检测保温材料的燃烧性是否合格,对于不合格的保温材料,杜绝进入施工现场,从源头上避免发生火灾。同时,也要加强外墙保温材料的防火安全管理,建立完善的管理制度。即使是保温材料进入施工现场发生火灾,也可以采用防火安全措施有效防火,保证施工作业人员的安全,建少施工材料的经济损失。

2.2 保温材料施工上墙时的防火与扑救

高层住宅建设外墙保温材料进入施工现场码放有序后,施工人员要把保温材料集中存放并进行防火系统的覆盖,及时将保温材料的碎屑进行清除,保持保温材料的干净,并制定专业人员进行看护负责。同时,施工人员也要加强施工现场的消防安全管理建设,尤其是禁止施工现场的任何人员动用明火。如果有需要动用明火的,需要向上级部门申请,并严格遵循明火管理制度实行施工程序。在使用明火的施工过程中,相关部门要指派相关的负责监护人,在确定没有火灾与爆炸的危险后,方可准许使用明火施工。动火施工人员要严格遵守相关的消防安全规定,特别是要施工上墙时,如果有火灾发生,及时确定防火部位,进行灭火扑救。同时,还要根据施工的特定环境,提出相关的补救措施,配置专用的灭火设备,如灭火器材、消防器材、砂箱等[3]。

2.3 住宅建筑物投入使用时的防火与扑救

施工人员在建筑保温材料投入使用的过程中,要遵循相关的消防安全规定,特定是那些严密高空电焊环境下的防护工作人员,需要持证上岗,并对这些施工人员进行安全教育,加大检查监督力度,严格落实这些规章制度,以保证施工程序的安全,减少不必要的人员伤亡与财产损失。一旦高层住宅建设保温材料在投入使用中发生任何危险,要及时控制外墙保温的火势蔓延,尤其是竖向的蔓延,这是避免经济损失最关键的部分,施工人员采取科学、合理地措施可以有效组织火势的蔓延。施工人员在具体使用外墙保温材料的过程中,必须要谨慎对待,切实落实相关的安全使用制度[4]。

2.4 研发低烟节能的高效保温材料

我国应加大对外墙保温材料的科技投入,合理借鉴国外保温材料的先进经验,辩证地对待有机保温材料的燃烧性能,将外墙保温材料的安全性能一次研发到位,保证使用产品的合格率。同时根据不同的建筑类型,开发低烟、低毒、价格合理的高效高温材料,这是解决外墙保温材料安全性能的关键因素[5]。此外,国家也应该建立与建筑外墙外保温系统防火试验方法相关的法律制度,满足我国建筑领域运用的需求。

3 结语

综上所述,高层建筑住宅外墙保温技术在建筑节能中发挥着重要的作用,有效提高了住宅外墙的保温作用,避免了冷桥、热桥现象,延长了高层住宅建设的使用寿命。因此,在高层建设具体的施工过程中,广泛推广外墙保温技术,切实做好防火与扑救工作,为保护环境做出贡献。

参考文献

[1]陈红,张德兵.适应寒冷地区高层住宅护结构节能技术的探讨[J].华中建筑,2011(4).

[2]许剑飞.论建筑施工中建筑外墙保温技术及施工工艺的运用[J].科技与企业,2013(14).

[3]于勐,刘双明,邱艳艳.浅析建筑外墙保温节能技术在建筑施工中的应用[J].城市建设理论研究(电子版),2013(31).

第8篇:防火墙技术论文范文

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及vpn等相关问题。

abstract:along with the fast computer development and the universal application of the network technology, along with information times coming up on, information is attracting the world’s attention and employed as a kind of important resources. internet is a very actively developed field. because it may be illegally attacked by hackers, it is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. firewall is the first consideration when plan how to protect your local area network against endangers brought by internet attack. the core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. this paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: one is based on packet filtering, which is to realize fire-wall function through screening router; and the other is proxy and the typical representation is the gateway on application level.....

第一章 绪论

§1.1概述

随着以 internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。wWW.133229.COM伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的 internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用 internet提高办事效率、市场反应能力和竞争力。通过 internet,他们可以从异地取回重要数据,同时也面临 internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。

§1.2本文主要工作

了解防火墙的原理 、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与vpn的概念及相关测试方法

第二章 防火墙的原理 、架构、技术实现

§2.1什么是防火墙?

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

§2.2防火墙的原理

随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. dmz外网和内部局域网的防火墙系统。

§2.3防火墙的架构

防火墙产品的三代体系架构主要为:

第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;

第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;

第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。

§2.4防火墙的技术实现

从windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由zonealarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,windows软件防火墙从开始的时候单纯的一个截包丢包,堵截ip和端口的工具,发展到了今天功能强大的整体性的安全套件。

第三章 防火墙的部署和使用配置

§ 3.1防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉ftp连接中的put命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢?

----首先,应该安装防火墙的位置是公司内部网络与外部 internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(vlan),则应该在各个vlan之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(vpn)。

----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

§ 3.2 防火墙的使用配置

一、防火墙的配置规则:

没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过acl开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤:

1、确定设置防火墙的部署模式;

2、设置防火墙设备的ip地址信息(接口地址或管理地址(设置在vlan 1上));

3、设置防火墙设备的路由信息;

4、确定经过防火墙设备的ip地址信息(基于策略的源、目标地址);

5、确定网络应用(如ftp、email等应用);

6、配置访问控制策略。

第四章 防火墙测试的相关标准

防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准gb/t 18019-1999《信息技术包过滤防火墙安全技术要求》、gb/t18020-1999《信息技术应用级防火墙安全技术要求》和gb/t17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:

4.1 规则配置方面

要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。

§ 4.2 防御能力方面

对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了x-scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。

§ 4.3 主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§ 4.4 自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:

高级:预设的防火墙安全等级,用户可以上网,收发邮件;l

中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, ftp、telnet等;l

低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l

自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l

§ 4.5 其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。

§ 4.6 资源占用方面

这方面的测试包括空闲时和浏览网页时的cpu占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。

§ 4.7 软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§ 4.8 软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护

第五章 防火墙的入侵检测

§ 5.1 什么是入侵检测系统?

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。

入侵检测系统 (ids)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。ids被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵

§ 5.2 入侵检测技术及发展

自1980年产生ids概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段:

第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即ims——入侵管理系统。

新一代的入侵检测系统应该是具有集成hids和nids的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统

§ 5.3入侵检测技术分类

从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法:

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。

§ 5.4入侵检测技术剖析

1)信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

2)模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

3)统计分析

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用guest帐号登录的,突然用admini帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。

4)完整性分析

完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如md5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

§ 5.5防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。

§ 5.6什么是vpn ?

vpn的英文全称是“virtual private network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§ 5.7vpn的特点

1.安全保障虽然实现vpn的技术和方式很多,但所有的vpn均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于vpn直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其vpn上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证(qos)

vpn网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建vpn的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。qos通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.可扩充性和灵活性

vpn必须能够支持通过intranet和extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。vpn管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,vpn管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、qos管理等内容。

§ 5.8 vpn防火墙

vpn防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由vpn防火墙过滤的就是承载通信数据的通信包。

最简单的vpn防火墙是以太网桥。但几乎没有人会认为这种原始vpn防火墙能管多大用。大多数vpn防火墙采用的技术和标准可谓五花八门。这些vpn防火墙的形式多种多样:有的取代系统上已经装备的tcp/ip协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的vpn防火墙只对特定类型的网络连接提供保护(比如smtp或者http协议等)。还有一些基于硬件的vpn防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做vpn防火墙,因为他们的工作方式都是一样的:分析出入vpn防火墙的数据包,决定放行还是把他们扔到一边。

所有的vpn防火墙都具有ip地址过滤功能。这项任务要检查ip包头,根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个vpn防火墙,vpn防火墙的一端有台unix计算机,另一边的网段则摆了台pc客户机。

当pc客户机向unix计算机发起telnet请求时,pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来,协议栈将这个tcp包“塞”到一个ip包里,然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里,这个ip包必须经过横在pc和unix计算机中的vpn防火墙才能到达unix计算机。

现在我们“命令”(用专业术语来说就是配制)vpn防火墙把所有发给unix计算机的数据包都给拒了,完成这项工作以后,比较好的vpn防火墙还会通知客户程序一声呢!既然发向目标的ip数据没法转发,那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。

还有一种情况,你可以命令vpn防火墙专给那台可怜的pc机找茬,别人的数据包都让过就它不行。这正是vpn防火墙最基本的功能:根据ip地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用ip地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的vpn防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用dns主机名建立过滤表,对dns的伪造比ip地址欺骗要容易多了。

后记:

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。

同样入侵检测技术也存在许多缺点,ids的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:

1)利用加密技术欺骗ids;

2)躲避ids的安全策略;

3)快速发动进攻,使ids无法反应;

4)发动大规模攻击,使ids判断出错;

5)直接破坏ids;

6)智能攻击技术,边攻击边学习,变ids为攻击者的工具。

我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。

参考文献 :

1..marcus goncalves著。宋书民,朱智强等译。防火墙技术指南[m]。机械工业出版社

2.梅杰,许榕生。internet防火墙技术新发展。微电脑世界 .

第9篇:防火墙技术论文范文

1 传统防火墙的不足

传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:

(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用Internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。

(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。

(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。

(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。

2 分布式防火墙的概念

为了解决传统防火墙面临的问题,美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:

(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。

(2) 主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。

(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。

3 分布式防火墙的工作模式

分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。

分布式防火墙工作模式结构

从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。

4 分布式防火墙的构建

分布式防火墙的构建主要有如下四个步骤:

(1) 策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。

(2) 日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。

(3) 策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。

(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据IP地址进行认证。为了避免IP地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、IP Sec等。

5 分布式防火墙的主要优势

在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:

(1) 分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。

(2) 分布式防火墙消除了结构性瓶颈问题,提高了系统性能。

(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

6 结论

总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。

参考文献

[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).

相关文章阅读
精选范文推荐
相关期刊推荐