logo资料库

网络安全——防火墙论文.doc

发布时间:2022-06-10 发布人:admin 分类:说明书 资料大小:0.16M 资料格式:doc 举报 版权申诉
第1页 / 共6页
第2页 / 共6页
第3页 / 共6页
第4页 / 共6页
第5页 / 共6页
第6页 / 共6页
资料共6页,全文预览结束
    防火墙概论 关键词:防火墙、特点、类型、定义、工作原理、应用、体系结构、 配置、安全技术分析、缺点、发展。 引言: 防火墙是一类防范措施的总称。所谓“防火墙”,是指一种将内联网和公众访问网(外联网 Internet)分开的方法,它使得内联网与外联网互相隔离,限制网络互访来保护内部网络。它是 一个或一组由软件和硬件构成的系统,在两个网络通讯时执行的一种访问控制尺度,它能允许 你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止 网络中的黑客访问网络,防止重要信息被更改、拷贝、毁坏。设置防火墙目的都是为了在内部 网与外部网之间设立唯一的通道,简化网络的安全管理。 随着网络技术的发展,防火墙技术的发展也原来越快,本文仅是对其技术的概述。 1、防火墙的特点 一般防火墙具备以下特点: 1、控制对特殊站点的访问,广泛的服务支持:通过将动态的、应用层的过滤能力和认证相 结合,可实现WWW浏览器、HTTP服务器、FTP等。 2、提供监视Internet安全和预警的方便端点,对私有数据的加密支持,保证通过Internet 进行的虚拟私人网络和商务活动不受损坏。 3、客户端认证只允许指定的用户访问内部网络或选择服务,过滤掉不安全服务和非法用户。 4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它令数据包像是来自网络内部。防 火墙能监视这样的数据包并扔掉它们。 5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制另一平台的监视模块。 6、邮件保护:保护网络免受对电子邮件服务的攻击。 2。防火墙的基本类型 从实现防火墙的技术来分,有四大类: 网络级防火墙、应用级网关、电路级网关、规则 检查防火墙。下面一一介绍: 2.1网络级防火墙 2.1.1定义 该防火墙是在IP层实现的,基于源IP地址和目的IP地址、应用或协议、每个IP包的源端 口、目的端口及报文传递方向等报头信息来作出通过与否的判断,输入单个的IP包。 2.1.2工作原理 一台简单的路由器是“传统的”网络级防火墙,大多数的路由器都能通过检查这些信息来 决定是否将所收到的包转发,但不能判断出一个包的实际含意或包的实际出处。现代网络级防 火墙越来越复杂,先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的 连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则 来验证同意或拒绝包的通过。包过滤防火墙检查每一条规则直至包中的信息与某规则相符。如 果没有一条规则符合,防火墙就会使用默认规则丢弃该包。其次,通过定义基于TCP或UDP数据 包的端口号,防火墙能判断是否允许建立特定的连接,如Telnet、FTP连接。许多网络级防火墙 之间的重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效 的IP地址块。 2.1.3某一网络级防火墙的访问控制规则: (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上;
    (3)允许任何地址的E-mail(25口)进入主机150.0.0.3; (4)允许任何WWW数据(80口)通过; (5)不允许其他数据包进入。 2.1.4特点 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为 它只检查地址和端口,对网络更高协议层的信息无理解能力。 2.2应用级网关 2.2.1定义与工作原理 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客 户机与不受信任的主机间直接建立联系,在网络应用层提供授权检查及代理服务。它能够理解 应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。但每一种协议需要相应的代 理软件,使用时工作量大,效率不如网络级防火墙。它一般是运行代理服务器的主机,不允许 传输流在网络间直接传输,并对通过它的传输流记录和审计。由于代理应用程序是运行在防火 墙上的软件部件,故它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地 址翻译器,因为传输流通过有效地屏蔽起始接入原址的应用程序后,从一“面”进来,从另一“面” 出去。 2.2.2在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。 (1)应用代理服务器(Application Gateway Proxy) 在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须 先在防火墙上经过身份认证。通过认证之后,防火墙运行一个专门为该网络设计的程序,把外 部主机与内部主机连接。该过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。 同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。 应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗 用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全 性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。 这种代理技术需要为每个应用写专门的程序。 (2)回路级代理服务器 即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方 式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。 套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络 应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检 查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。 对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络 用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网 络用户访问公共网所使用的IP地址也都是防火墙的IP地址。 (3)代管服务器 代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器, 对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。 而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样 从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。 (4)IP通道(IP Tunnels) 如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。 (5)网络地址转换器(NAT Network Address Translate) 当受保护网连到Internet上时,用户若要访问Internet,必须使用一个合法的IP地址。 但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP 地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet
    时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地 址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固 定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量 的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。 (6)隔离域名服务器(Split Domain Name Server) 这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部 网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受 保护网络的IP地址不被外部网络知悉。 (7)邮件技术(Mail Forwarding) 当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从 外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的 源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其 进行转发。 2.3电路级网关 2.3.1定义 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,并决定 该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,比包过滤防火墙 要高两层。 2.3.2应用 电路 级网 关与其 他的 应用 级网关 结合 在一起 ,如 Trust Information Systems公司 的 Gauntlet Internet Firewall; DEC公司的Alta Vista Firewall等产品。另外,电路级网关还 有一个重要的安全功能:代理服务器(Proxy Server) ,代理服务器是个防火墙,其上运行一 个叫做“地址转移”的进程,将所有你公司内部的IP地址映射到一个有防火墙使用的“安全”的IP 地址上。电路级网关也有缺陷,因为该网关是在会话层工作的,就无法检查应用层级的数据包。 2.4规则检查防火墙 2.4.1特点 规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。规则检查防火墙 能够同包过滤防火墙一样在OSI网络层上通过IP地址和端口号,过滤进出的数据包;也能够像电 路级网关一样检查SYN和ACK标记和序列数字是否逻辑有序;也可以像应用级网关一样在OSI应用 层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。 2.4.2规则检查防火墙与应用级网关的区别 该防火墙不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受 信任的主机建立直接连接。它不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应 用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,就能比应用级代理在过滤 数据包上更有效。 2.4.3应用 目前流行的防火墙多属规则检查防火墙,因为该防火墙对于用户透明,在OSI最高层上加密 数据,不需要修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。 如现在最流行的防火墙之一,On Technology软件公司生产的On Guard和Check Point软件公司 生产的Fire Wall-1防火墙都是一种规则检查防火墙。 2.5小结 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间。即网络级防火墙 将变得更加能够识别通过的信息,对信息越来越“了解”(aware),而应用级防火墙在目前的功 能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册核查系统,可保护数据以 加密方式通过,使所有组织可以放心地在节点间传送数据。 3.防火墙的体系结构
    3.1屏蔽路由器(Screening Router) 它是防火墙最基本的构件,可以由路由器实现,也可以用主机来实现。屏蔽路由器作为内外 连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可装基于IP层的报文过滤软 件,实现报文过滤。 3.2双穴主机网关(Dual Homed Gateway) 这种配置是用一台装有两块网卡的堡垒主机做防火墙。其两块网卡各自与受保护网和外部网 相连,其防火墙软件,可以转发应用程序,提供服务等。堡垒主机的系统软件可用于维护系统 日志、硬件拷贝日志或远程日志。但一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何 网上用户均可以随便访问内网。 3.3被屏蔽主机网关(Screened Host Gateway) 屏蔽主机网关易于实现也很安全,应用广泛。例如,一个分组过滤路由器连接外部网络,同 时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从 外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受 保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏 蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的 软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。 3.4被屏蔽子网(Screened Subnet) 这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这 一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端, 在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持 终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、 外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不 把自己锁在外面,同时又不使自己被发现,这样仍是可能的。但若禁止网络访问路由器或只允 许内网中的某些主机访问它,则攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏 屏蔽路由器,整个过程中不能引发警报,这样攻击会变得很困难。 4.防火墙的配置 防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。 4.1 Dual- homed方 式 最 简 单 。 Dual- homed Gateway放 置 在 两 个 网 络 之 间 , 又 称 为 Bastionhost,成本较低,但是没有自我防卫能力,往往受“黑客”攻击,一旦被攻破,整个网络 也就暴露了。 4.2 Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它 将信息先送往Bastionhost,并只接受来自Bastionhost的数据作为出去的数据。该结构依赖 Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。 4.3 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网 络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置 在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本 很昂贵。 5.防火墙的安全技术分析 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理 和实现方式进行分析和研究,对它的安全性有如下几点认识。 5.1正确选用、合理配置防火墙非常不容易 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效 的防火墙应遵循这样四个基本步骤:(1)风险分析;(2)需求分析;(3)确立安全政策;(4)选择 准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分
    的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火 墙,这样的防火墙能否“防火”还是个问题。 5.2需要正确评估防火墙的失效状态 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕 捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何。 按级别来分,有四种状态:(1)未受伤害能够继续正常工作;(2)关闭并重新启动,同时恢 复到正常工作状态;(3)关闭并禁止所有的数据通行;(4)关闭并允许所有的数据通行。前两种 状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证, 无法确定其失效状态等级,因此网络必然存在安全隐患。 5.3防火墙必须进行动态维护 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进 行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存 在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒), 并对防火墙进行更新。 5.4目前很难对防火墙进行测试验证 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客” 的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大: (1)防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是 寥寥无几。目前只有美国ISS公司提供防火墙性能测试的工具软件。 (2)防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的 效果。 (3)选择“谁”进行公正的测试也是一个问题。 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要。 5.5非法攻击防火墙的基本“招数” (1)通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖, 虽说成功与否尚取决于机遇等因素,但对攻击者而言很值得一试。 (2)破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁 忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。 (3)要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁 止了,这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会 对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火 墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。 以上分析表明,防火墙的安全防护性能依赖的因素很多,防火墙并非万能。目前大多数防 火墙都是基于路由器的数据包分组过滤类型,防护能力差,存在多种网络外部或网络内部攻击 防火墙的技术手段。 6.防火墙的缺点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 它不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一 些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙 发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实, 能够反映出整个网络安全的水平。 它不能防止感染了病毒的软件或文件的传输,只能在每台主机上装反病毒软件。 它不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并 被执行而发起攻击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用
    户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入 呼叫、磁盘和数据加密以及病毒防护的有关政策。 7.防火墙的未来发展趋势 目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、代理 服务技术和其它一些新技术的防火墙正向我们走来。 越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,许多WWW客户服 务软件包就具有代理能力,而许多象SOCKS这样的软件在运行编译时也支持类代理服务。 包 过 滤 系 统 向 着 更 具 柔 性 和 多 功 能 的 方 向 发 展 。 如 动 态 包 过 滤 系 统 , 在 CheckPoint Firewall-1、Karl Brige/Karl Brouter 以及Morning Star Secure Connect router中的包过 滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对应的UDP 包进入内部网。 “ 第三代”产品的第一批系统已开始进入市场。如Border网络技术公司的Border产品和 Truest信息系统公司的Gauntlet 3.0产品从外部向内看起来像是代理服务(任何外部服务请求 都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交 互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提 供相关的伪像。Karl Bridge/Karl Brouter产品拓展了包过滤的范围,它对应用层上的包过滤 和授权进行了扩展。这比传统的包过滤要精细得多。 目前,人们正在设计新的IP协议(也被称为IP version 6)。IP协议的变化将对防火墙的建 立与运行产生深刻的影响。同时,目前大多数网络上的机器的信息流都有可能被偷看到,但更 新式的网络技术如帧`中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从 而防止信息流在传输中途被泄露。 8.参考资料: 《对付黑客的常规武器——防火墙》 作者:吴会松 1999年12月03日 21:07
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料