防火墙技术研究(精选12篇)
防火墙技术研究 第1篇
防火墙是设置在不同网络(如可信任的企业内部网和不可信任的Internet)之间或网络的不同安全域之间的一系列软硬部件的组合,通常部署在所保护网络的出入口,根据安全策略执行访问控制,监视内外信息流活动,最大限度地保障通信安全和稳定。其实质是一种分析隔离技术。
防火墙的缺陷可以被攻击者用来瓦解防火墙自身,进而使整个网络受威胁。因此防火墙的配置文件要严格管理,防火墙软件所属操作系统的漏洞要及时修补,对防火墙的管理访问要适当与认证、密码机制结合,最好准备冗余的防火墙使主设备因故障或攻击失效时后援设备可以支持网络继续运行。
2 防火墙的技术类型
2.1 简单数据包过滤器
包过滤(Packet Filtering)技术为第一代防火墙技术,是1985年从Cisco的软件中分离出来的。包过滤器在网络层依照设定的过滤逻辑,即访问控制表(Access Control Table),对数据包进行选择,拒绝或丢弃不符合过滤条件的包。具体而言,是检查每个包的IP源/目的地址、ICMP消息类型、TCP/UDP报头、端口号以及协议类型,审核这些信息是否与某一条包过滤规则匹配,选择匹配的包通过。
优点:只在包通过时拣选,速度快;不用改动应用程序,不存在为具体网络服务提供特殊处理方式,适用广;可以不增加设备就安装,现在多数的路由器、具有路由功能的交换机和一些操作系统都可以增加包过滤功能,成本低。缺点:只识别网络、传输层的有限信息,只逐一检测单个数据包,不识别上下信息的关联和更高协议层的信息,防护力低;过滤规则增加时速度减慢;过滤规则的设定较复杂,要求管理员对协议本身和其在各应用程序中的作用都有较深的理解。
2.2 电路层防火墙
电路层防火墙(Circuit Level Firewall)于l989至l990年间由美国电报公司贝尔实验室的Dave Presotto和Howard Trickey提出,是第二代防火墙。它是工作在传输层的连接中转器,不允许内部端点与外部端点直接进行TCP连接,而是由自己建立两个TCP连接,一个在防火墙与内部主机之间,另一个在防火墙与外部网络之间,代表内部主机与外部网络握手,确保只有当连接建立后才能通信,并且只允许属于该连接的包通过。在转发数据时内部主机源IP地址被转换成电路层网关的地址,与目的地址通信。
优点:不检查数据包的有效载荷,速度较快;可以在电路层网关器上增加功能,具有可塑性。缺点:只能证实握手,不能在TCP以外的协议上做访问限制;通常需要为各个客户端服务程序做修改,透明性差。
2.3 应用层防火墙
应用层防火墙(Application Layer Firewall)是第三代防火墙技术,于1990年至1991年间由美国电报公司贝尔实验室的Bill Cheswick和Marcus Ranum提出,也叫应用网关(Application Gateway)技术。它是内部网与外部网的隔离点,能监视和隔绝应用层信息流,防止受信任的客户机或服务器与不受信任的主机间直接建立联系,为每一个应用服务配置专门的代理程序。具体而言,当内部用户请求访问外部站点,应用层防火墙将验证用户身份并检查请求是否符合规定,如果允许访问,连接会被特定的安全化的代理程序处理然后传递到外部站点,由应用层网关代替用户访问服务器并接受应答,处理应答之后再转给发出请求的用户。
优点:能在应用层有效检查数据包,能记录所有的连接信息(包括地址和持续时间),安全性高;支持可靠的用户注册和认证;参与每一个TCP连接全过程,能控制指定的连接,例如能允许或拒绝对某个IP地址服务器的访问,因而可以只支持经过授权的应用服务,剪除不需要的服务以免其占用网络。缺点:入站流量必须经过代理服务器和终端用户的应用程序处理,工作量大,速度慢;每一个要通过代理服务器的应用都必须在防火墙协议栈作一定修改,且通常对终端用户不透明,系统管理较复杂;某些应用程序还可能不支持代理连接方式。
2.4 状态检测防火墙
l992年,第四代防火墙技术动态包过滤(Dynamic Packet Filter)技术被USC信息科学院的Bob Braden开发出来,后来发展成为状态检测防火墙(Stateful Inspection Firewal1)。状态指的是每个网络连接的状态,即以下信息:源/目的IP地址、源/目的TCP和UDP端口号、协议类型、TCP序列号和标记、基于RFCed TCP状态机的TCP会话状态信息、基于定时器的UDP流量跟踪信息。状态检测技术,是一种以会话为单位、基于连接状态进行检测的技术。检查每一个通过防火墙的数据包时,通过跟踪记录其状态信息,将属于同一连接的所有包作为一个整体数据流看待,生成连接状态表,判断每个包是否属于一个已经得到许可并且正在进行连接的会话;同时,还使用一组与包过滤规则相似的规则集对包进行过滤,通过状态表与规则集共同配合,几乎可以阻止所有意图进入内部网的流量,却又能允许内部计算机所产生流量的返回量进入,具有智能性。
优点:能检查IP包的每个字段,过滤规则能识别包的数据部分的特定数据串,安全性好;既有应用级安全性,又不行使代理功能,也不在源和目的地址间中转,快速而灵活。缺点:当有大量状态记录和过滤规则时,网络性能下降。
3 防火墙发展的趋势
3.1 功能趋势
当前,网络综合防御不仅需要防火墙的功能,还需要入侵检测(IDS)、防病毒等技术。由于用户的需求和购买力有差异,防火墙在功能发展上有两种趋势:
1)功能扩展趋势。这是尽可能地将NAT、VPN、Qo S、入侵检测、防病毒等技术都整合到防火墙中,使防火墙成为功能多而全的综合防御解决方案。这类防火墙可以包含多种功能模块,比如IP包的监听、分析、阻截模块,分布式探测器控制模块,日志的生成、保存和分析模块,用户误用行为的检测模块,系统资源异常的检测模块,攻击事件的存储、分析模块,防火墙的控制模块等,并且根据安全需求的变化功能模块还可以扩充。其适用于大多数对安全性要求较低的用户(如中小型企业网)。这类用户通常并非专家,青睐一站式服务,认为分别购买防火墙、IDS、VPN、防病毒网关等产品很不经济。
2)专业化与联动趋势。功能多而全的防火墙做不到每项功能都很强。因此投资大、对专业性要求高的用户愿意使用各类专业技术(防火墙、防病毒系统、IDS等)的独立设备,希望各种设备不断提升性能,再通过建立安全管理平台使各设备系统进行联动,实现网络的综合防御。例如让防火墙与IDS、防病毒系统联动:当防病毒系统发现病毒,就立即通知防火墙阻断其传播路径,并进行杀除;而当IDS发现入侵行为,就立即通知防火墙进行阻截,并生成阻截该入侵的规则。这一趋势要求防火墙深化本职技术:对访问控制更严格,对协议研究更精细,支持更多通用路由协议,对网络拓扑更适应。
3.2 技术趋势
1)分布式技术。分布式防火墙是将防火墙体系结构设计为三部分:网络防火墙、主机防火墙和中央控制平台。网络防火墙部署于内网与外网之间以及内部子网与子网之间,对数据进行过滤,不必执行最高的安全策略,而是提供最高的性能。主机防火墙部署在内网中重要的主机或服务器前面,默认主机以外的网络(不论内网还是外网)都不可信任,针对主机运行的具体应用和服务执行很高的安全策略,除防御攻击外还能加密数据。中央控制平台对各网络、主机防火墙定制下发安全策略和进行集中管理。这样构成对网络边界、各子网、网内各节点全方位防护的多层次、多协议安全体系。
2)智能技术。智能防火墙主要是采用人工智能学科的方法,摆脱传统的匹配检查所使用的海量计算,用统计、记忆、智能决策等算法识别数据,高效发现非法行为的特征值,实现访问控制。目前,以拒绝服务(DDo S)为代表的攻击、以蠕虫(Worm)为代表的病毒传播、以垃圾电子邮件(SPAM)为代表的内容控制这三大问题,传统防火墙已经难以解决,智能技术势必成为应对的主流。
4 结束语
防火墙已是现今信息安全领域最成熟的产品,今后仍将紧密跟随网络技术的发展而发展,随着IPv6网络、P2P应用、3G网络等技术的普及,未来防火墙的规模和功能必须及时适应安全策略发展的要求,全面保护网络、操作系统、应用程序和数据的安全。
摘要:该文主要分析网络防火墙技术,包括其技术类型和各项功能的优缺点,并探讨防火墙发展的趋势。
关键词:防火墙技术,网络安全
参考文献
[1]钟乐海.网络安全技术[M].北京:电子工业出版社,2007:143-160.
[2]黎连业.防火墙及其应用技术[M].北京:清华大学出版社,2004:123-145.
[3]Antoon W.网络安全[M].北京:人民邮电出版社,2008:314-344.
防火墙技术的分析与研究任佚 第2篇
本 科 生 毕 业 论 文(设 计)
题 目:防火墙技术的分析与研究
学习中心: 万州电大奥鹏学习中心 层 次: 专科起点本科 专 业: 网络工程 年 级: 2011年秋 季 学 号: 111511405189 学 生: 任 佚 指导教师: 龙 珠 完成日期: 2013年06月04日
防火墙技术的分析与研究
内容摘要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注
关键词:防火墙; 网络安全; 外部网络; 内部网络 I
防火墙技术的分析与研究
目 录
内容摘要............................................................I 引 言.............................................................1 1 概述.............................................................2 1.1 背景........................................................2 1.2 本文的主要内容及组织结构....................................2 2 防火墙技术的优缺点...............................................4 2.1 防火墙技术..................................................4 2.1.1 防火墙的定义..........................................4 2.1.2 防火墙的功能.........................错误!未定义书签。2.2 防火墙的优缺点.............................错误!未定义书签。3 防火墙的基本类型及发展...........................................4 3.1 防火墙类型..................................................4 3.1.1 包过滤型..............................................4 3.1.2 网络地址转化一NAT....................错误!未定义书签。3.1.3 代理型...............................错误!未定义书签。3.1.4 监测型...............................错误!未定义书签。3.2 防火墙的发展...............................错误!未定义书签。防火墙的发展主要经历了五个阶段,分别是:........错误!未定义书签。
3.2.1............错误!未定义书签。3.2.2..........错误!未定义书签。3.2.3..错误!未定义书签。3.2.4 第四代防火墙..........................错误!未定义书签。3.2.5 第五代防火墙..........................错误!未定义书签。防火墙在网络安全中的应用.........................................5 4.1防火墙技术在校园网建设中的重要性.............................5 4.2防火墙技术在高校校园网中的选用原则..........错误!未定义书签。4.2.1.防火墙技术............................错误!未定义书签。4.2.2.高校校园网中使用防火墙的选用原则......错误!未定义书签。4.3高校校园网中常用的防火墙技术................错误!未定义书签。
4.3.1包过滤技术.............................错误!未定义书签。4.3.2代理技术...............................错误!未定义书签。4.3.3状态检查技术...........................错误!未定义书签。4.3.4内容检查技术。内容检查技术提供对高层服务 错误!未定义书签。4.4防火墙技术在高校校园网中应用的实例..........错误!未定义书签。5 结论............................................错误!未定义书签。参考文献............................................................6
II
完整论文加QQ:1479352057
引 言
随着网络经济和网络社会时代的到来,网络将会进入一个无所不在的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为国家重要基础设施的网 1
完整论文加QQ:1479352057 概述
1.1 背景
2l世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
第二:网络的安全机制与技术要不断地变化;
第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于五层网络安全体系中的最底层,属于网络层防火墙处于五层网络安全体系中的最底层,属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墒。
1.2 本文的主要内容及组织结构
本文主要对防火墙技术相关理论及应用进行探讨。本文的组织结构: 全文共分五章。
第一章,主要是介绍防火墙的背景及文章的组织结构。
完整论文加QQ:1479352057
第二章,介绍防火墙的技术的概念及防火墙的优缺点。第三章,介绍防火墙的基本类型及防火墙的发展趋势。第四章,介绍防火墙在网络安全中的应用。第五章,对论文进行总结概述。3
完整论文加QQ:1479352057 防火墙技术的优缺点
2.1 防火墙技术
2.1.1 防火墙的定义
防火墙(firewal1)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙的基本类型及发展
3.1 防火墙类型
根据防火墙所采用的技术不同,防火墙可分为四种基本类型:包过滤型、网络地址转换一NAT、代理型和监测型。3.1.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和月标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。
完整论文加QQ:1479352057
应用层表示层会话层传输层应用层表示层会话层传输层应用层表示层会话层传输层 网络层 网络层 网络层数据链路层物理层数据链路层物理层数据链路层物理层 图3.1 简单包过滤防火墙 防火墙在网络安全中的应用
4.1防火墙技术在校园网建设中的重要性
随着计算机网络的迅速发展,网络的安全性显得至关重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。高校校园网虽不像企业网和政府网那样存有大量机密信息,但校园网的稳定和“干净”是保证学校正常教学工作的根本。与其他局域网相比高校校园网有其自身的特点。大部分高校校园网覆盖面积都比较大,包括多栋建筑,在加上现在很多课堂教学逐步走向网络化,学生在线学习、娱乐时间增加,这就使得校园网故障问题定位复杂,管理难度增大。同时,课堂教学走向网络化也造成网络业务容量及资源调配的困难,这包括如何有效合理地对教育网络带宽的调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。由此也产生了相关的安全问题。如在园网缺乏用户认证、授权体系;存在有意和无意的攻击;在课堂上课时间学生能任意上网连接到Internet及Internet上不良或非法信息的传播等。这些问题的存在都势必影响到校园网的稳定性和安全性,从而影响正常的教学工作甚至影响到学生 5
完整论文加QQ:1479352057
心智和道德的正常发展。因此,网络安全技术的合理使用,尤其是防火墙技术的
参考文献
[1]薛庆水,朱永忠.计算机网络安全技术 大连理工出版社,2008.[2]国家计算机网络应急技术处理协调中心.2008年
防火墙技术研究 第3篇
摘要:高校作为我国科学研究的重要基地,对网络信息的需求越来越迫切。我国各大高校都建立了自己的校园网,其规模在日益扩大,校园网为教师和其他科研工作者带来很多便利,同时很多教职员工也在担心校园网安全所带来的不利影响。本文在分析校园网安全隐患基础上,介绍防火墙在校园网安全中的作用及技术原理,针对我校校园网的网络拓扑特点,提出相应的校园网防火墙安全策略。
关键词:防火墙技术 网络安全 校园网
0 引言
21世纪是网络时代,网络的应用已经遍布到人类生活的各个角落,它改变人们的生活方式和工作方式,极大的提高了人们的工作效率和社会生产力。网络给人们的生活和工作带来便利的同时,也给基于网络为基础的信息安全带来隐患。网络在设计之初注重了网络设备之间以及网络设备与终端设备之间的兼容和互通,强调信息在各种设备之间互通交流的便捷性,却忽视了网络本身所存在的一系列安全问题,随着互联网规模在全球迅速壮大,网络的安全性能成为人们非常关注的一个问题。校园网作为互联网的一个组成部分,它所采用的信息交换协议是开放的网络协议,而这些网络协议在设计之初只是突出了通讯功能,并没有强调安全保障,因此,校园网中的安全问题也变得日益严峻。
相对于互联网而言,校园网是一个局限于学校内部的局域网,该局域网通过一个或多个网络出口与互联网相连,从而实现校园网内部与外部的信息交流。为了提高校园网的安全性能,现在应用最为广泛的网络安全技术就是防火墙技术,防火墙是校园网内部和外部分割的第一道安全防线,合理的划分校园网的拓扑结构,正确的设置防火墙设备,可以有效降低校园网的安全风险,保障网络的正常运行。
1 校园网中存在的安全问题
1.1 硬件方面的安全隐患 网络数据的存储、传输和访问离不开网络物理设备的正常运行,因此,网络硬件的安全是整个校园网正常运行的基础。除了网络硬件本身没有故障外,我们还得关注网络设备正常运行的物理环境,比如物理隔离网络设备、适宜的温度、湿度环境、合适的电压、电流,以及防火、防盗、防雷、防震等措施,都是网络硬件方面安全所要考虑的内容。
1.2 软件方面的安全隐患 操作系统及网络软件本身的缺陷。操作系统是我们的系统软件,它的规模随着我们的应用功能增加在急剧增大,导致操作系统本身不可避免地存在这样或那样的安全漏洞,同时,虽然大家已经意识到网络安全的重要性,在网络软件的设计和开发中增加了保障网络安全的机制,但跟其他软件一样,网络软件也会因为开发者的疏忽遗留安全漏洞,这些是网络不安全的重要因素。目前有很多黑客技术已被人们所熟知,有些黑客会专门研究并发现系统中的安全漏洞,通过黑客技术盗用或更改未经授权的服务器上的资料,给企业或个人造成重大损失。由于黑客技术隐蔽性好,破坏性强,目前又缺乏强有力的跟踪和监管手段,黑客已经成为网络安全的主要威胁之一。
2 防火墙技术
2.1 防火墙的作用 防火墙是被设置在不同网络连接处用以分割不同网络安全的一组部件。它可以监测、限制、更改通过防火墙的数据流,对外部网络而言,防火墙尽可能的屏蔽网络内部的相关信息,以此来确保网络内部的信息安全。没有防火墙的网络,外网的非法用户可以直达内网的某台计算机或服务器,网络的安全性就只能依靠计算机或服务器本身的安全机制,在网络中设置防火墙,就是在内网与外网之间设置了一道关卡,增加非法用户获悉内网结构及运行状况的难度,从而提高内网的安全性能。
2.2 防火墙技术原理 防火墙技术一般包括下列四种基本类型:
数据包过滤类型防火墙技术。这种防火墙技术被应用在网络层,在网络层进行数据包的选择。在系统内部设置包过滤逻辑,也就是访问控制表,当网络中传递来一个数据包之后,首先检查该数据包的源地址、目的地址、所用的端口号、协议状态等是否符合过滤逻辑,以此来判断该数据包是否通过防火墙进入内网。这种防火墙逻辑简单,价格便宜,易于安装和使用等优点,但也存在缺乏安全认证机制、数据加密机制的不足,非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击,同时数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应用级网关防火墙技术。该防火墙技术主要应用在网络体系结构的应用层,在应用层建立协议,对数据包进行过滤和转发。针对不同的网络应用服务协议使用特定的数据过滤逻辑,同时对数据包进行必要的分析、统计形成报告,以确定该数据包是否通过防火墙进入到网络内部。应用网关防火墙一般被安装在专用的工作站上,它与数据包过滤防火墙都是通过逻辑判定来确定数据包是否进入内网,一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
代理服务防火墙技术。该技术主要是针对数据包过滤和应用网关技术存在的不足而引入的新的防火墙技术。它是在防火墙上针对每一种应用都建立两个代理服务,外网的数据包先传输到防火墙上的外网代理服务,然后通过设置的规则将该数据包从外网代理服务再传输到内网的代理服务,通过内网的代理服务再传输到指定的主机上,所以该防火墙技术其实将链路划分成两部分,内网的数据包只与内网的代理服务交互,外网的数据包只与外网代理服务交互,外网的数据包要进入内网或者内网的数据包要到达外网,必须通过两个代理服务来交互数据包,从而拒绝外部网络直接与内网连接。这种防火墙提供了比过滤路由器更为严格的安全性,但可能影响网络的性能,实现起来比较复杂。
3 校园网防火墙设计
3.1 校园网拓扑结构 校园网是学校的内部网络,具有一个或多个出口与外网连接。我校包括两个物理距离较远的校区,每个校区都设置了相应的工作部门,每个工作部门所处的物理位置比较分散,比如教学楼、实验楼、培训楼、图书馆、学生宿舍、行政楼,每一栋楼内部构成一个小的局域网,楼与楼之间连接到校园网的骨干网上,两个校区通过一条光纤相连接,在其中的一个校区通过中国电信和中国教育网连接到internet上(如图1所示)。
■图1 校园网图谱结构
整个校园网的物理拓扑结构采用树形的层次结构进行设计,既满足各部门的网络需求,也便于我校网络管理和故障的维护,降低校园网网络设备成本,将防火墙设置在内网与外网的连接处,可以提高校园网内部的网络安全。在逻辑结构上,我们将校园网划分成核心层、汇聚层和接入层这三个层次。
①核心层。核心层的网络设备是我校校园网正常运行重要的基础设备,它连接着各个汇聚设备,如两个校区的核心交换机就是我校校园网核心层的网络设备。核心层设备的稳定性和数据的交换、转发能力直接影响到整个校园网的网络性能,因此我们在两个校区核心交换机之间采用冗余的全双工千兆光纤链路,保证各种数据在核心层设备之间高质量的传输。
②汇聚层。汇聚层设备是网络终端信息传输中的汇聚节点,担负着网络接入层和骨干设备的连接,有着承上启下的重要任务,不但要完成接入层的链路汇聚和流量汇聚,还要完成本地数据的交换以及接入和骨干之间的数据转发,我们在每个楼宇中都设置一个或多个汇聚交换机,汇聚交换机与核心交换机之间以及汇聚交换机之间都通过高速的光纤链路连接,而汇聚交换机与接入层交换机或网络终端设备之间采用双绞线连接,这样既可以保证网络性能,同时也可以降低网络设备成本。
③接入层。接入层设备直接与网络终端设备相连,是最终用户访问网络的直接途径。
3.2 校园网防火墙安全策略 网络安全的原则是允许访问明确许可的任何一种服务,拒绝除明确许可外的任何一种服务,也就是开放校园网提供的服务,并将未被许可的所有其他服务排斥在外,禁止访问。防火墙将网络划分成内网、外网和DMZ三个区域。
内网:是防火墙保护不被外网用户非法访问的区域,该区域是防火墙的可信区域,包括校园网中的所有终端主机和部分服务器。
外网:是防火墙需要防范的区域,对于内网而言,外网是防火墙不可信区域,该区域的主机或其他设备发起的访问都需要经过防火墙进行审核,审核通过后才能访问内网的资源,从而起到保护内网资源的作用。
DMZ区域:该区域也称为非军事区,它是介于内网与外网之间的一个特殊的网络区域。内网中的服务器连接在信任区端口上,不允许外网进行任何访问,在DMZ区域内放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等,这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的机密数据,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
DMZ可以看做是内网的一部分,但又跟内网中其他区域不完全相同,它们的安全级别是不一样的。在校园网中,我们将内网中存放机密数据的服务器置于防火墙之后,提高内网保护的安全级别,拒绝外网直接访问内网中的资源,而DMZ可以放置于路由器与防火墙之间的区域,利用路由器包过滤功能来保护DMZ区域中的服务器,也可以将DMZ区域中的服务器置于防火墙之后,降低该区域的安全级别,以便外网能够访问到该区域的公共服务器。
4 总结
网络的应用已经涉及到人们生活的方方面面,网络安全也越来越得到人们的重视。在校园网中,防火墙技术的应用有效的保护了内网资源不被非法访问,但是,防火墙技术也有不尽完美之处,随着信息技术的发展,防火墙技术和黑客技术也在不断进步,我们需要不断根据实际情况,改进控制策略和法规,使之更加有效地抵御来自网络的攻击[1],同时也要建立健全内网安全机制,避免内网用户恶意破坏网络安全[2],只有将各种安全技术、管理手段结合在一起,才能构建一个更加高效、安全、稳定的校园网络环境。
参考文献:
[1]陶甲寅.校园网安全与防范技术[J].网络通讯与安全,2007,100
(1):64-65.
[2]杜秀娟.FWSM防火墙在校园网络安全中的应用设计[J].电子测量技术,2008.4:26-28.
[3]江文.浅议新一代防火墙技术的应用与发展[J].科学之友, 2011(08).
基金项目:陕西广播电视大学校级课题项目,课题编号:13D-
08-B16。
基于防火墙技术的研究 第4篇
防火墙作为当今网络时代的一个主要的网络安全设备已经被用户普遍接受, 在实际应用中, 不论是从技术还是安全性能上都有着很多缺陷, 不能达到用户预想的效果。深入认识现有防火墙存在的不足, 及时找到解决方案以及开发出高智能、功能强的防火墙, 保证网络的安全乃当务之急。
1 防火墙的定义和作用
所谓“防火墙”, 是指一种将内部网和公共网络 (如Internet) 分开的方法, 它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制手段, 它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之于门外, 最大限度地阻止网络中的黑客来访问你的网络, 防止他们更改、复制和毁坏你的重要信息。
为了保护网络安全, 除保证系统自身安全外, 还需要有效地利用安全技术, 在整体安全策略的控制与指导下, 综合运用各种网络安全防护工具, 其中一方面就是我们内部网与外部网之间第一道屏障的防火墙。防火墙是最先受人们关注, 亦是现在使用最普及的网络安全产品之一, 是防止非法用户入侵的一种技术措施, 它通常分为软件和硬件设备。我们普通用户使用的“天网防火墙”是一种软件防火墙;而很多大公司的服务器所采用的则是有一定资格的硬件防火墙厂商提供的由软件和硬件组成的具有强大功能和防护能力的防火墙。
防火墙是一个系统, 而又不只是一种路由器、主系统或向网络提供安全的系统, 主要用来执行两个受保护网络之间的访问控制, 可以控制外网的人员进入内部网络, 过滤不安全的服务和防止非法用户接受关键数据库, 通过网站访问设置, 可以限定用户访问站点操作, 对局域网进行邮件、FTP、HTTP、QQ等其他应用程序的操作, 可以对IP进行设定, 限制一些不安全的TCP或UDP协议的执行, 进行ICMP和IGMP控制的包过滤和应用代理服务和状态检测等功能。
防火墙内提供的漏洞扫描技术, 可以帮助分析相应操作系统应进行何种补丁程序升级和进行定期最新升级, 以对付黑客利用最新的漏洞技术进行入侵攻击。
防火墙基本是一个独立的进程或一组紧密结合的进程, 运行于路由器或者服务器来控制通过防火墙的网络应用程序的通信流量。其置于公共网络入口处, 基于TCP/IP协议, 运行于网络层, 但现阶段已往应用层高层发展。
2 防火墙技术的分类
防火墙技术主要包含数据包过滤技术、应用代理技术和状态监测技术以及其他一些防火墙技术。
(1) 包过滤防火墙。包过滤是最早使用且应用广泛的一项技术。主要技术原理是监视并过滤网络注入、流出的IP包, 拒绝发送可疑的数据包。其中数据包信息有:IP源地址、IP目的地址、封装协议 (TCP或UDP) 、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。我们常用的瑞星个人防火墙就是基于此原理, 一个可以由用户配置参数进行数据包的放行或丢弃。图1为包过滤防火墙。
包过滤防火墙的优缺点:包过滤技术的优点是简单实用, 成本较低, 在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。缺点就是网络管理员得详细认识Internet的各种服务、包头格式和每个有希望查找的域的特定值。其主要根据数据包的来源、目标和端口进行信息判断, 无法识别应用层的攻击。许多产品的包过滤功能都有一定的局限性, 很难找到一种比较完整的包过滤产品。
包过滤的研究向两个方向发展:一是数据包的横向检测, 也称为基于状态的数据包过滤, 即在包检测过程中, 以前后数据包中的能体现相互关系的包头信息为依据, 来判断数据包是否安全。二是数据包的纵向检测, 也称为深度包检测, 即在数据包通过防火墙时进入数据包内部, 区域进行检测, 识别出有害信息并阻止其进入内网。
(2) 代理型防火墙。针对包过滤防火墙的缺点, 运用代理软件服务软件来转发和过滤Telnet和FTP等服务的连接, 此代理服务软件系统我们叫应用网关或壁垒主机, 具有逻辑上的防火墙作用, 代理服务器通常也称作应用级防火墙。代理型防火墙因为使用了代理软件, 所以其优点是只准许有代理的服务通过, 其他所有服务都完全被封锁;可以过滤协议, 防止不可靠的服务背着管理员进行。其缺点是会使网络的访问速度变慢。图2为Telnet代理服务。
(3) 状态监测防火墙。状态监测防火墙作为防火墙技术其安全特性最佳。基于TCP/IP协议, 根据TCP连接过程分析可知, 我们进行网络的信息交流、传输等都要经过此三过程, 而恰好由于此状态的变化, 状态型监测防火墙就引用了状态检测的技术, 在核心部份建立了状态连接表, 并对网络中流通的数据编成一个个的会话, 并利用状态表跟踪每个会话的状态, 就是说其能够对突破前两种监测的只限于网络层和应用层的局限性, 其能够对各层数据进行主动的、实时的监测, 并对监测数据进行系统的分析, 从而更好地准确判断出各层中的非法入侵行为, 其不仅可以对付外部网络攻击, 而且还对内部网络的恶意破坏有很强的防范作用。状态监测防火墙有高安全性、高效性、可伸缩性和易扩展性、应用范围广等优点, 其缺点是状态监视器的配置非常复杂, 而且会降低网络的速度。
3 防火墙安装的重要性以及选择原则
同其他任何社会一样, Internet也受到某些无聊之人的困扰, 防火墙目的是将那些无聊之人挡在你的网络之外, 同时使你仍可以完成工作。为了网络的安全性, 我们要加强安全意识, 在抵挡入侵的前提条件是我们一定要进行防火墙的安装, 特别是上网时间特别长的子网系统, 由于自身的暴露, 受到网络上的其他地方的试探和攻击机会就相应增多, 网络安全性就完全信赖系统自身的安全性了。黑客可以很容易地利用一个网上发布的后门程序进行控制, 因为现在网上源代码和黑客工具到处泛滥。相反, 我们安装防火墙情况下, 因为有了防火墙最基本的功能作用下, 屏蔽了不需要的端口, 就是说将不安全的大门关上了, 这样供远程主机要留后门的开放端口已给屏蔽, 这样我们的系统相对来说是比较安全的。
对于攻击的入侵和病毒的防护, 我们可以通过安装防火墙和杀毒软件来防范, 但在选择设备上, 我们立足现实条件, 综合分析网络防火墙所起到的作用和我们根据自身的安全因素, 去选择相应价位的设备进行防护, 但每种产品都会有其优缺点, 防火墙都不例外, 我们应本着安全着想, 在分析防火墙漏洞同时, 并能相应考虑以后的扩展性, 尽量采用权威性的大品牌厂商提供的产品。
目前使用最多的是Check Point的FireWall-1防火墙技术, 其市场占有率是全球最大。Check Point Firwall-1是基于状态检测体系结构, 这种体系结构是Check Point发明的新一代防火墙技术。状态检测技术提供全部的防火墙功能, 并确保达到最高的网络安全性。Fire Wall-1的强大检测模块分析所有的包通信层, 并提取相关的通信及应用状态信息。Check Point FireWall-1为工作环境分布式的企业网络提供Internet和Intranet数据的安全保证, 可用于建立和管理TCP/IP协议防火墙的网络安全系统, 能够建立自己规范化的安全政策, 具有灵活性、可伸缩性、可扩充性和支持多平台操作系统的能力。
而对于个人用户本着防护措施目的, 而结合成本原则, 我们可以选择适合个人电脑使用的网络安全程序:如目前流行的天网个人防火墙、金山网镖、瑞星防火墙等, 主要我们根据自己实际情况选择进行安装, 并进行合适的设置不同的方案, 我们完全可以依靠这些设定的管理安全规则进行访问的控制、信息过滤等功能, 进行实时的监控, 让操作者选择系统中应用程序运行与否, 其还提供报警系统和详细的安全日志以及漏洞分析功能, 从而有效地帮助任何方式上网的人们防护网络的非法用户的入侵和攻击, 保护个人隐私和数据的安全性。
4 防火墙存在的问题及解决方案
由于互联网的开放性和复杂性, 防火墙也有其固有的缺点:无法防范通过防火墙以外的其他途径的攻击, 不能防止来自内部变节者和不经心的用户们带来的威胁, 也不能完全防止传送已感染病毒的软件或文件, 以及无法防范数据驱动型的攻击, 更加不能防范所有的威胁, 没有一个防火墙能够自动有效地防御所有的威胁, 因此, 虽然防火墙对于网络安全来说是必不可少的, 但防火墙必须和其他各种技术结合在一起才能真正保证网络的安全, 这些技术主要有: (1) 安全检查 (身份认证) 。用密码或人体生理特征 (如指纹) 、智能卡等多种方法来鉴别一个用户的合法性, 阻止非法用户进入内部网。 (2) 加密和数字签名。加密是通过对信息的重新组合, 使得有收发双方才能解码还原信息。用双密钥进行加密。密文和用来解码的密钥一起发送, 而该密钥本身又被加密, 还需要另一个密钥来解码, 这种组合加密被称为数字签名。它解决了相互间的信任问题。 (3) 内容检查。即使有防火墙、身份认证和加密, 人们仍然担心遭到病毒的攻击, 还要采用反病毒技术加以控制。总之, 防火墙安装和投入使用后, 必须对它进行动态维护, 网管人员应时刻关注防火墙的运行情况, 与商家保持密切联系, 注意软件的维护和升级。
5 防火墙的发展方向
由于目前大多数的防火墙都是基于静态防护策略网关的过滤作用, 其功能只限于对付外部网络的包的过滤等来自外部的入侵, 对内部的连接则显得异常松, 所以一些木马和后门就利用这弱点由内部发出连接申请, 轻易的欺骗了我们的防火墙。其对于网络的原理决定其自身不能设置太多的攻击判断, 否则会严重影响网络的信息流通性能, 阻止了一些正常的网络性能。综上所述, 今后的防火墙的发展方向会表现出智能化、高速度化、分布式、功能强、专业化等发展趋势。
(1) 智能化:改变目前固有的人工设置方式, 能够自动识别攻击方式, 发现网络连接端口不同寻常时候, 能自动分配资源, 优化配置, 对于自身的漏洞能够自动进行修复, 这样就填补了目前大多数黑客利用防火墙自身的漏洞进行攻击的一种方式。
(2) 运算速度提高:由于目前网络数据传输的速度不断提高, 防火墙自身运算速度及包转发速度如果不及时提高, 就会很大程度上限制网络的性能。
(3) 体系结构的新发展:由分布的多个防火墙组成一个防火墙防护体, 将有多个物理防火墙协同工作, 共同组成一个强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。
(4) 功能的发展:加强防火墙功能的开发设计, 广泛性、全方位地提高各项功能。
(5) 专业化的发展方向:将有针对性的开发各种常用服务类型的防火墙。例如电子邮件、FTP、WEB、数据库、应用等特定服务都有其相应的服务器, 所以我们有必要针对电子邮件、FTP等提供开发出专业的专一的防火墙, 如电子邮件防火墙。
总的来说, 智能化、高速度、低成本、功能更加完善、管理更加人性化的防火墙将是未来网络安全的有力保证。
参考文献
[1]北京启明星辰信息技术有限公司编著.防火墙原理与实用技术 (M) .北京:电子工业出版社.2002.
[2]郭新明等.防火墙深度包过滤技术研究.咸阳师范学院学报.2007.
防火墙技术研究 第5篇
[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.[4] 肖玉梅.试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013,(5):14-16.[5] 姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013,(4):33.论文题目:计算机网络安全中的防火墙技术应用研究
摘要:防火墙技术是计算机网络安全维护的主要途径,发挥高效的保护作用。随着计算机的应用与普及,网络安全成为社会比较关注的问题。社会针对计算机网络安全,提出诸多保护措施,其中防火墙技术的应用较为明显,不仅体现高水平的安全保护,同时营造安全、可靠的运行环境。因此,该文通过对计算机网络安全进行研究,分析防火墙技术的应用期刊之家网翟编辑修改发表论文QQ:1452344485。
关键词:计算机;网络安全;防火墙技术
计算机网络安全主要是保障信息传输保密,防止攻击造成的信息泄露。基于网络安全的计算机运行,维护数据安全,保障运行问题,体现网络安全的重要性。计算机网络安全保护技术多种多样,该文主要以防火墙技术为例,分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离,在信息交互的过程中形成防护屏障,一方面过滤危险信息,另一方面提高计算机网络安全保护的能力,强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用,明确各项信息访问论文问题咨询腾讯认证QQ800099353。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,在网络安全的推动下,防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术,如下:
1.1 计算机网络安全
安全是计算机网络运行的首要原则,随着现代社会的信息化发展,计算机网络的运行得到推进,但是其在运行过程中不断出现安全威胁,影响计算机网络的安全水平,例举计算机网络的安全威胁。
1.1.1 数据威胁
数据是计算机网络的主体,数据运行的过程中存在诸多漏洞,引发计算机网络的安全隐患。例如:计算机网络运行中的节点数据,较容易受到攻击者篡改,破坏数据完整性,攻击者利用数据内容的脆弱部分,窥探内网数据,泄漏数据,攻击者利用计算机网络系统的安全漏洞,植入木马、病毒,导致数据系统瘫痪,无法支持计算机网络的安全运行。
1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽略的危险点,最主要的是人为破坏,如:病毒、木马攻击等。目前,计算机网络受到此类影响较大,部分攻击者利用网站病毒、邮件病毒等方式,攻击用户计算机,病毒植入时大多是由于用户不正确的操作习惯,导致计算机网络系统出现漏洞。例如:用户长时间浏览外网网站,但是没有定期查杀病毒,攻击者很容易摸清用户的浏览习惯,在特性网站中添加攻击链接,当用户点击该网站时,病毒立即启动,直接攻击用户的计算机。
1.1.3 环境威胁 计算机网络处于共享环境内,面临资源开放的威胁。环境是计算机网络运行的基础,用户在访问外网时必须经过网络环境,所以存在明显的环境威胁,网络环境内的攻击非常强烈,攻击者利用网络环境设置攻击环节,主要攻击网络环境内交互的数据包,经由数据包将攻击信息带入内网,破坏内网的防护结构,针对环境威胁,必须发挥防火墙技术的全面特点。
1.2 防火墙技术
防火墙技术主要有:(1)状态检测,以计算机网络为研究整体,主要分析数据流,区别计算机网络中的数据信息,识别数据信息中的不安全因素,此类型防火墙技术效益明显,但是缺乏一定的时效性,容易造成保护延迟;(2)包过滤技术,以网络层为保护对象,严格要求计算机网络的协议,在保障协议安全的基础上才可实现防护处理,体现防护价值;(3)应用型防火墙,利用IP转换的方式,伪装IP或端口,确保内外网络连接的安全性,促使用户在访问外网时,能够处于安全、稳定的空间内。防火墙技术在计算机网络安全中的应用价值
防火墙技术在计算机网络安全中确实得到广泛应用,体现防火墙技术的高效价值。针对防火墙技术的应用价值,做如下分析:
2.1 过滤技术的应用价值
过滤技术体现防火墙选择过滤的应用价值,防火墙根据特定位置,提供过滤服务。例如:过滤技术在计算机网络系统TCP位置,防火墙预先检查TCP位置接收到的数据包,全面检查数据包的安全性,如果发现威胁因素或攻击行为,立即阻断数据包的传输,过滤在外网环境内,过滤技术的应用,体现明显的预防特性,科学控制风险信息的传输,组织风险信息进入内网,以此确保TCP区域的安全运行。防火墙中的过滤技术,不仅应用于计算机网络安全控制,其在路由器方面也存在明显的应用价值。
2.1.1 代理技术的应用价值 防火墙中的代理技术,具有一定的特殊性,其可在计算机网络运行的各项模块发挥控制作用,时刻体现强效状态。代理技术的价值体现为:该技术在内外网之间发挥中转作用,计算机网络的内网部分,只接受代理部分发出的请求,而外网请求直接被拒绝,该技术在内网、外网的分割方面,发挥主要作用,杜绝出现内外混淆的现象,所以代理技术在实现应用价值方面,同样面临技术压力。
2.1.2 检测技术的应用价值
检测技术以计算机网络的状态为主,属于新技术领域。检测技术的运行建立在状态机制的基础上,将外网传入的数据包作为整体,准确分析数据包的状态内容,检测技术将分析结果汇总为记录表,分为规则和状态,比对两表后识别数据状态。目前,检测技术应用于各层网络之间,获取网络连接的状态信息,拓宽计算机网络安全保护的范围,由此提高网络信息的运行效率。
2.1.3 协议技术的应用价值 协议技术主要是防止Dos攻击,Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态,促使计算机网络无法正常提供运行信息,此类攻击没有限制要求,基本处于无限制攻击状态。防火墙利用协议技术,在此类攻击中发挥主体保护,在协议技术参与下的防火墙技术,保护计算机的内部网络,提供各类网关服务,网关是连接服务器与信息的直接途径,待防火墙回应后,服务器才可运行。防火墙促使服务器处于高度安全的环境中,规避外网攻击,例如:当外网向内网发送请求信息时,防火墙通过SYN设置访问上限,降低服务器承担的攻击压力,同时完成数据包检测。防火墙技术在计算机网络安全中的应用
防火墙技术研究 第6篇
关键词:电力信息安全;防火墙;
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Research on Firewall Technology in Power System Information Security
Yu Xiaoming
(Cangzhou Power Supply Company,Information Center,Cangzhou061001,China)
Abstract:By the development of our power corporationmore and more computers have been connected to Internet in power system,and hacker attacks,computer viruses,such as network security is increasing in the incident.Firewall as the first network security products and the use of the largest security products,day by day receives favor of the computer user.
Keywords: Power system information security;Firewall
近几年来随着我国经济的飞速发展,我国电力事业也得到了迅速发展。电力系统安全保障越来越依赖电力系统中高效、安全、可靠传输数据信息,因此,电力系统信息安全相关技术的研究具有重要意义。
一、电力系统网络所受到的威胁
目前电力企业网络所受威胁主要来自两个方面:物理方面、逻辑方面。
(一)物理安全威胁
物理设备不仅包括网络、防火墙、路由器、交换机和应用于网络互连的服务器,同时还包括各种提供不同网络服务的服务器,如:域名服务器、网络管理服务器、超文本传输协议、网络文件系统服务器、网络时间服务器、网络审计和入侵检测、用户认证和授权等。当物理设备因自然灾害、人为的损坏而无法正常工作时,从而会导致整个网络陷入瘫痪,无法正常工作,因此,可以说物理设备的安全直接影响着整个电力信息网络安全,物理设备是整个网络的基础,整个信息网络的正常运行离不开物理设备的安全。
(二)逻辑安全威胁
随着中国电力工业的迅速发展,电力系统信息网络化有了持续迅速的发展。随着具有全国性的电力计算机信息服务网络建设,从而有效的保障了电力企业的安全正常生产,提高了企业的效率,同时电力信息网络所面临的安全问题也日益突出。除了上面所说的物理安全威胁外,还受到各种各样的逻辑威胁。这种逻辑威胁可能来源于人为或程序编制缺陷而产生。当电力信息网络和国际互联网相连后,伴随着网络信息的交流,电力信息网络所受的外部威胁几率也大大增加。
二、防火墙主要技术在电力系统中的应用
目前实现防火墙的技术主要只有三种:包过滤技术、代理服务器和状态检测技术。
(一)包过滤防火墙
包过滤技术,顾名思义就是在网络中适当的位置对数据包实施有选择性的通过,是最早出现的防火墙技术。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
(二)应用代理防火墙
应用代理防火墙主要运用了代理服务器的技术。代理服务器在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发的作用。所有跨越防火墙的网络通信鏈路分为两段:内部主机和代理服务器之间的连接,以及代理服务器和外部主机之间的连接。内部主机和外部主机之间的通信都是通过代理服务器来完成的,内部主机和外部主机之间并没有直接的连接。代理服务器运行在两个网络之间,对于客户机来说它像一台真正的服务器,对于外界的服务器来说它有是一台客户机。由于每个内外网之间的连接都要经过代理服务器的介入和转换,没有给内外网直接会话的机会,从而可以确保内部网络的安全。
(三)状态检测防火墙
状态检测防火墙又叫动态包过滤防火墙,是在传统包过滤技术的基础上进行功能的扩展,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来根据过去的通信信息和其他应用程序获得的状态信息动态地生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
目前状态数据包检测技术已经防火墙系统中得到广泛的应用,具有状态数据包检测的防火墙只是检测IP包头的源IP、目的IP、源端口、目的端口、数据流、协议和TCP状态,不检测数据包的负载量以确信它附着在打开的服务上,防火墙将入侵检测和入侵阻止分开。对于网络应用层的脆弱点不能得到防火墙有效的检测,并且不能保护网络免受恶意SQL、震荡波、冲击波等的攻击。
总之,所以随着电力网络的应用越来越普及,网络安全性问题也显得愈发重要。而在众多安全防御的手段中,防火墙莫过于一种非常有效的手段,高性能的防火墙对电力行业的健康发展起到了重要作用。
参考文献:
[1]朱永利,黄敏,邸剑.基于广域网的电力远动系统的研究[J].中国电机工程学报.2005,25(7)
[2]胡炎,谢小荣,韩英铎,辛耀中.电力信息系统安全体系设计方法综述[J].电网技术.2005,29(1)
嵌入式防火墙技术研究 第7篇
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制, 但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善, 无法实现数据的安全防护。为解决该问题, 分布式防火墙技术被提出来解决上述问题, 该技术将安全策略的执行下放到各主机端, 但是在服务端对各主机进行集中管理, 统一控制, 该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题, 具有较好的网络防护性能。随着分布式防火墙技术的提出, 人们不断对其进行改进, 这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统, 该平台具有一体化的安全特性和库, 如IPSec栈、KeyNote和SSL等, 应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间, 向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合, 进而替代主机的应用层代理防火墙接口和系统功能调用, 内容过滤和数据处理。其中, 嵌入式协议栈主要用于对数据和通信策略进行检测, 动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次, 这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比, 本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略, 其中, 网络协议还原将原有的网络通信协议进行了还原处理, 而应用层协议还原则是对应用层协议进行还原解码处理, 经过两次还原, 数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时, 会按照访问规则对数据包进行安全检测, 查看是否符合访问规则, 若不符合访问规则, 则对该数据包进行丢弃处理, 若符合访问规则, 则按照防火墙状态表对数据包进行二次检测, 该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流, 其检测过程为, 数据进行IP分片还原、TCP连接还原以及应用层协议还原, 还原过程结束后应用层的安全策略会产生一个新的状态表, 该状态表用于判断数据包是否安全, 若判定数据不安全则对其进行丢弃处理, 若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等, 可以直接认定为其在安全层是安全的, 可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信, 整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成, 实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率, 减少了不必要的通信流程, 协议栈可以便捷的更新数据包状态表, 数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一, 降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用, 进而就防火墙技术的发展及理论创新进行总结和分析, 确定了嵌入式防火墙技术的应用优势, 最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂, 在进行网络应用时必须要注意做好安全防护措施, 应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
摘要:随着网络应用的日趋普及, 来自网络的攻击也越来越严重, 防火墙技术可以有效阻止来自网络中的内容攻击。本文主要分析了防火墙技术的发展情况, 对嵌入式防火墙技术进行了具体研究。
关键词:网络攻击,防火墙,嵌入式
参考文献
[1]孟英博, 嵌入式防火墙的研究与实现[D].南京航空航天大学, 2007 (1) .
[2]江文, 浅议新一代防火墙技术的应用与发展[J].科学之友, 2011 (12) .
[3]吴塍勤, 防火墙技术的探讨[J].武汉船舶职业技术学院学报, 2009, 8 (6) .
基于Linux的防火墙技术研究 第8篇
随着计算机网络技术飞速发展, 网络所面临的威肋也越来越大, 如何保护网络及信息安全是许多机构面临的重要问题, 现在解决网络安全问题的一个有效方法就是在内部网和外部网之间设置防火墙系统。因此, 对于防火墙技术的研究和实践, 无论从理论上还是实际应用中都具有十分重要的意义。
1. Linux防火墙的简介
从理论上讲, Linux防火墙是根据定义好的安全策略来限制计算机或网络的硬件或软件工具, 它介于外部网络与被保护网络之间, 实现对被保护网络的访问控制。现介绍的Linux防火墙软件称为iptables, 它能够对数据包的连接状态做详尽的分析, 例如:是否为新连接或响应数据包、是否为转向连接等等, 通过这些分析能对一些可能被攻击者利用的弱点加以阻隔[1]。
Linux防火墙底层结构是netfilter结构, netfilter和iptables组成了功能强大的netfilter/iptables IP信息包过滤系统。它可以以对流入和流出的信息进行细化控制, 可用于添加、编辑和除去规则, 这些规则是在做信息包过滤的决定时, 防火墙所遵循和组成的规则。
2. Linux防火墙技术的研究
如今网络服务器的操作系统较多, Linux系统可以称为PC上的免费Unix, 其对硬件要求较低、代码公开、具有良好的收缩性等优势, 从而广受欢迎。所以一种基于Linux操作系统将包过滤、代理和安全IP通道技术有机结合的防火墙系统, 不仅仅可以通过过滤来实现安全, 而且有应用层代理服务。Linux防火墙系统由内层具有包过滤功能的包过滤模块、外层具有代理功能的代理服务模块和安全IP通道技术模块实现安全防护, 下面将Linux防火墙系统的一些关键技术加以介绍。
2.1 数据包过滤技术
数据包过滤技术是在网络层对数据包进行分析、选择, 选择的依据是系统设置的过滤逻辑, 称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素, 或它们的组合来确定是否允许该数据包通过[2]。
其核心是包过滤算法的设计, 由于包过滤器作用于网络层, 因此它只能根据所收到的每个数据包的源和目的地址、TCP/UDP源和目的端口号及数据包头中的各种标志位 (称之为过滤数据) 来进行过滤操作。Linux防火墙系统可以采用混合技术的双层结构, 内部网络给外部网络提供的服务只由代理服务模块提供, 且可以使用标准的代理软件实现, 因此包过滤模块可以根据上述过滤数据按照包过滤规则很好地进行数据过滤。
2.2 代理服务器技术
代理服务器技术作用在应用层, 它用来提供应用层服务的控制, 起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求, 拒绝外部网络其它接点的直接请求。代理技术能进行安全控制又可以加速访问, 能够有效地实现防火墙内外计算机系统的隔离, 安全性好, 还可用于实施较强的数据流监控、过滤、记录和报告等功能。
2.3 安全IP通道技术
本质上, 安全IP通道利用IP安全协议将IP包数据和其包头封装在加密的IP包中, 然后进行传送。包在通道的一端被加密, 如Web服务器, 然后传送到另一端, 如客户机, 包在到达客户机后被解密。通过加密系统对往来的数据包进行加密, 可以使两个组织通过公共网络建立虚拟私有网安全地传输数据, 防止被黑客截获。
3. Linux防火墙配置实例
假设有一个局域网要连接到Internet上, 公共网络地址为159.226.1.1, 内部局域网的私有地址采用C类地址192.168.0.0-192.168.255.0。
具体操作步骤如下:第一, 一台Linux-I机上安装2块网卡echo和ech1, 给echo网卡分配一个内部局域网的私有地址191.168.100.0, 用来与Internet相连;给ech1网卡分配一个公共网络地址159.226.1.1, 用来与Internet相连;第二, Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出, 还允许转发包, 但禁止一些危险包, 如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略, 它具有配置简单、安全性高和抵御能力强等优点[3]。
4. 结束语
Linux防火墙可以对常见的蠕虫、探测扫描、病毒等大多数攻击具有良好的抵御作用。Linux防火墙具有很好的灵活性, 可以方便地对防火墙进行功能扩允。由于配置了防火墙, 可能引起如FTP、QQ、MSN等协议软件无法止常使用, 也有可能引起RPC (远程过程调用) 无法执行, 这需要用户根据实际情况来配置相应的服务来开启这些服务。须特别注意的是, 防火墙也叫能被内部攻击, 它并不是万能的, 还需要和入侵检测等其它网络安全技术配合使用, 起构成完整的网络安全解决方案。
摘要:随着计算机网络技术飞速发展, 网络安全也面临着许多重要的问题, 本文着重介绍了Linux防火墙技术的研究和其关键技术, 并应用于实际。它具有配置简单、安全性高和抵御能力强等优点。
关键词:网络,Linux防火墙,包过滤技术
参考文献
[1]博嘉科技.Linux防火墙技术探秘[M].北京:国防工业出版社, 2002.
[2]焦小焦.基于Linux的防火墙技术[J].大众科技, 2008, 9:44-45.
关于防火墙技术的研究与探讨 第9篇
随着网络经济和网络社会时代的迅速发展, 计算机网络逐渐成为人们生活中不可或缺的一个重要组成部分。与此同时, 新的问题也出现了。由于人们对网络的依赖性和需求性逐渐增强, 大大地加大了网络潜在威胁的风险;安全的网络使用环境面临着不断挑战。防火墙正是一种确保网络安全行之有效的工具, 它是介于内部网与外部网中间的一个安全防范系统。建立防火墙无疑给网络带来了极大的好处。本文介绍并讨论了防火墙的定义和功能, 分析当前防火墙技术的要点和类型。
1、防火墙的定义
所谓防火墙就是一种非常有效的保障网络安全的实用工具, 它是一个系统, 可以对网络数据的进出进行访问控制, 在被保护网络和其他网络之间的界面上建立起来一道安全保护屏障, 防止外部网非法使用内部网的资源, 保护内部网络不会受到破坏, 防止内部网络资源被窃取。防火墙并非单纯的软件或硬件, 它实质上是一个有软件和硬件设备加上一组安全策略组合而成, 使Internet与Intranet之间建立起一个安全网关, 从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
2、防火墙的功能
2.1 防火墙可以过滤进、出网络的数据
防火墙将计算机流入流出的所有网络通信均要经过过滤删选, 然后将符合通过条件的通信从相应的网络送出, 而对于那些不符合通过条件的通信则予以阻断。而且它还可以禁止特定端口的流出通信。由于那些只有经过安全认证授权的网络才能通过防火墙, 所以网络环境变得更安全。
2.2 防火墙可以强化网络安全策略
人类对Internet的日益依赖和信息犯罪技术的飞速发展使安全问题尤为重要, 防火墙就像是一个“交通警察”, 站在站点执行车辆的安全通行。它执行着站点的安全策略, 保护网络免受攻击, 从而强化网络安全策略。
2.3 防火墙可以记录通过防火墙的内容及活动
每天都有成千上万的人在Internet上收集信息、交换信息, 所有的信息通信都必须通过防火墙, 那么, 防火墙就能记录下这些访问数据并作出日志记录, 另外还能提供网络使用情况的具体统计数据。
2.4 防火墙可以防止内部消息的外泄
因为防火墙在被保护网络和其他网络之间的界面上建立起来一道安全保护屏障, 所以它能够隔开网络中一个网络与另外一个网络的通信。这样, 它可以防止内部消息的外泄。防火墙可以同样阻塞有关内部网络中的DNS信息, 这样一台主机的域名和IP地址就不会被外界所了解。
3、防火墙的分类
3.1 包过滤型防火墙
包过滤防火墙是最简单的一种防火墙, 它在网络层截获网络数据包, 根据防火墙的规则表, 来检测攻击行为。包过滤防火墙一般工作在网络层, 故也称网络层防火墙或IP过滤器。数据包过滤是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。
3.2 双宿网关型防火墙
双宿网关型防火墙又成为双重宿主主机防火墙。双宿网关是指一种拥有两个连接到不同网络上的网络接口的防火墙。例如, 一个网络接口连接到外部的不可信任的网络上, 另一个网络接口连接到内部的可信任的网络上。双宿网关型防火墙是惟一隔开内部网和外部网之间的屏障, 如果入侵者得到了双重宿主主机的访问权, 内部网络就会受到入侵。
3.3 屏蔽主机型防火墙
屏蔽主机型防火墙由堡垒主机和包过滤路由器组成, 所有的外部主机与一个堡垒主机连接而不让它们与内部主机直接相连。这种防火墙系统提供的安全等级比包过滤防火墙的系统高, 它实现了包过滤的网络层安全和代理服务的应用层安全。
3.4 屏蔽子网型防火墙
屏蔽子网型防火墙采用两个包过滤路由器和一个堡垒主机, 是一种较安全的防火墙系统。
4、防火墙的关键技术
防火墙涉及的关键技术包括:包过滤技术、代理技术、状态检查技术等。
4.1 包过滤技术
包过滤模块工作在网络层, 它在链路层向IP层返回IP报文时, 于IP协议栈之前截取IP包。包过滤技术一般是由一个包检查模块来实现。包过滤可以安装在一个双宿网关上或一个路由器上来实现, 也可以安装在一台服务器上。包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。
包过滤一般检查下面几项内容:
1) IP源地址
2) IP目标地址
3) 协议类型 (TCP包、UDP包、ICMP包)
4) TCP或UDP的源端口
5) TCP或UDP的目标端口
6) ICMP消息类型
7) TCP包头中的ACK位
另外, TCP的序列号、确认号、IP校验和、分割偏移也是要检查的选项。
包过滤技术的实质是一种基于路由器的技术, 其中它最大的优点就是价格优惠, 对用户完全透明, 不需要添加其他设备, 实现逻辑简单便于安装和使用。缺点:包过滤规则难以配置;包过滤访问信息有限, 只访问网络层和传输层的信息;一些协议不适用数据包过滤;没有跟踪记录能力。
4.2 代理技术
代理技术是在应用层实现防火墙的功能, 其实现是要有一个高层的应用网关作为代理服务器, 对外来的连接请求进行安全身份认证, 然后根据安全策略来决定是否与相应的网络之间进行通信连接。相应地, 内部网络与外部网络的连接通信也会收到认证监控。
代理技术的主要优点:安全性好, 能够有效隔离内外网络的直接通信。代理工作完全控制客户机和真实服务器之间的会话, 可以提供详细的日志文件等。与包过滤技术相比, 代理技术是一种更安全的技术。
代理技术的主要缺点:有限的连接性;有限的技术;性能低;在应用支持方面存在着不足, 执行速度相对较慢。
4.3 状态检查技术
状态检查技术又称动态包过滤, 它能在网络层实现所需要的防火墙能力。状态检查技术是防火墙技术中安全特性最佳, 这是第三代防火墙技术, 它既有包过滤机制的速度和灵活, 也有应用级网关安全的优点, 它是包过滤器和应用级网关的折衷。它具有高安全性、高效性、伸缩性和易扩展性、针对性以及应用范围广的优点。
5、结束语
伴随着Internet技术的飞速发展, 网络安全问题愈来愈凸显, 防火墙技术的应用给网络安全带来了极大的益处。本文旨在介绍防火墙的基本知识以及主要的防火墙技术及其优缺点。充分了解防火墙, 使我们能恰当的运用防火墙来保护网络的安全、免受入侵。
参考文献
[1]宿洁, 袁军鹏.防火墙技术及其进展.计算机工程与应用.2004, 40 (9)
[2]谭玉波, 李爱明, 刘彩霞.防火墙_安全网络的前哨.1999.NO.5
[3]黎宙.防火墙的作用与缺陷.微机发展.2002
[4]荣海迅.防火墙技术及其发展趋势剖析.淮北职业技术学院学报.2008, 7 (3)
[5]刘渊.因特网防火墙技术[M].北京:机械工业出版社, 1998.73-74.
[6]王晓薇, 李锋.防火墙包过滤规则正确性的研究.沈阳师范大学学报.2003, 21 (3)
[7]杨平稳.网络安全与防火墙.云南电业.2003, (6)
防火墙与入侵检测联动技术研究 第10篇
1 网络防火墙的主要技术
随着网络安全技术的整体发展和网络应用的不断变化, 现代防火墙技术也在不断发展, 防火墙所采用的技术主要有以下几种。
1.1 包过滤技术
包过滤技术是对数据包实施有选择的通过, 包过滤技术的核心是安全策略, 即过滤算法的设计。它能拦截和检查所有进出的数据, 通过包检查模块验证包否符合过滤规则, 符合的包允许通过, 不符合规则的数据包要进行报警或通知管理员。另外, 不管是否符合过滤规则, 防火墙一般都要记录数据包的情况。
1.2 代理服务器技术
代理型防火墙也可以被称为代理服务器。代理服务器位于客户机与服务器之间, 完全阻挡了二者的数据交换。从客户机来看, 代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时, 首先将数据请求发给代理服务器。代理服务器再根据这一请求向服务器索取数据, 然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道, 外部的恶意侵害也就很难危害到内部网络系统。
1.3 状态检测技术
传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过或拒绝, 而状态检测技术采用的是一种基于连接的状态检测机制, 将属于同一连接的所有包作为一个整体的数据流看待, 构成连接状态表, 通过规则表与状态表的共同配合, 对表中的各个连接状态因素加以识别。与传统包过滤防火墙的静态过滤规则表相比, 它具有更好的灵活性和安全性。
1.4 网络地址转换技术
网络地址转换是把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。当受保护网络连到Internet上时, 受保护网络可以使用非正式IP地址, 为此网络地址转换器在防火墙上装一个合法IP地址集。当内部某一用户访问Internet时, 防火墙动态地从地址集中选一个未分的地址分配给该用户, 该用户即可使用这个合法地址进行通信。同时, 对内部的某些服务器, 网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾, 又对外隐藏了内部主机的IP地址, 提高了安全性。
1.5 个人防火墙技术
个人防火墙是一种能够保护个人计算机系统安全的软件, 它可以直接在用户计算机上运行, 使用与状态防火墙相同的方式, 保护一台计算机免受攻击。通常, 这些防火墙安装在计算机网络接口的较低级别上, 使得它们可以监视传入、传出网卡的所有网络通信。对遇到的每一种的网络通信, 个人防火墙都会提示用户一次, 询问如何处理那种通信。然后个人防火墙便记住响应方式, 并应用于以后遇到的相同的网络通信。
2 入侵检测与入侵检测系统基本概念
入侵检测是电脑动态的跟踪和检测方法的总称, 主要是用来辨别和回应计算机中网络资源的恶意使用行为, 通过对计算机网络中的系统存在的关键点进行分析, 从而发现计算机网络存在的安全隐患和被攻击的情况。
入侵检测系统是由入侵检测的软件和硬件组成, 如果说防火墙是计算机网络的第一道安全门, 那入侵检测系统就是第二道安全门, 它的安全运行是在不影响计算机本身的网络性能的情况下, 按照一定的规律和策略对计算机网络进行一个全方位的监测, 并通过收集和分析计算机系统网络中存在的有利资源, 对计算机受到外界的攻击和受到的内部攻击作出判断, 起到保护计算机系统的作用。
目前, 入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库, 通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模型的综合。
3 防火墙与入侵检测联动网络构架
专用的攻击检测设备一般是监听网络传输的信息, 不是串接在其中, 不能保证能够切断检测出来的攻击。只有将攻击检测和防火墙结合在一起才能够保证网络不受攻击。入侵检测系统与防火墙联动实现的过程如图1所示。互联网上的黑客开始对受保护网络内的主机发动攻击, 这时位于网络监听状态的入侵检测系统检测到黑客对内网主机的攻击行为后, 入侵检测系统通过它与防火墙之间的“公共语言”发送通知报文通知防火墙, 防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断。
联动控制是基于客户服务器模式, 通过扩展入侵检测系统和防火墙的功能, 在防火墙中驻留一个Server程序, 在IDS端驻留一个Client端程序, Client端在发现需防火墙阻断的攻击行为后, 产生控制信息, 将控制信息传送给Server端, Server端接到Client的控制消息后, 动态生成防火墙的过滤规则, 最终实现联动, 拦截攻击后且攻击停止时, 添加的防火墙规则自动超时删除。
4 防火墙与入侵检测联动软件框架
联动控制模块启动或停止防火墙入侵检测报告的接收, 在一个入侵检测系统向多个防火墙的发送数据的情况下, 可以控制每个防火墙入侵报告的接收的启、停状态。防火墙报告接收模块启动报告接受线程, 负责接收入侵检测系统实时发送的入侵报告, 并对发送来的报告进行解析。入侵检测报告发送模块根据入侵检测系统的告警, 实时发送入侵报告给注册的防火墙系统。
5 防火墙与入侵检测联动的数据加密技术
5.1 SSL协议
S S L协议即安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听, 并且始终对服务器进行认证, 还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议 (TCP) 之上。SSL协议的优势在于它是与应用层协议独立无关的, 高层的应用层协议 (例如:H T T P、FTP、TELNET等) 能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密, 从而保证通信的私密性。通过以上叙述, SSL协议提供的安全信道有以下三个特性。
数据的保密性。信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。加密的过程需要用到密钥来加密数据然后再解密。没有了密钥, 就无法解开加密的数据。数据加密之后, 只有密钥用一个安全的方法传送。加密过的数据可以公开地传送。
数据的一致性。加密也能保证数据的一致性。例如:消息验证码 (MAC) , 能够校验用户提供的加密信息, 接收者可以用MAC来校验加密数据, 保证数据在传输过程中没有被篡改过。
安全验证。加密的另外一个用途是用来作为个人的标识, 用户的密钥可以作为他的安全验证的标识。SSL是利用公开密钥的加密技术 (RSA) 来作为用户端与服务器端在传送机密资料时的加密通讯协定。
5.2 联动系统的验证与加密传输
SSL安全协议为网络应用层通信提供了认证、数据保密和数据完整性的服务, 较好地解决了联动系统数据传输的安全问题。联动系统的数据交互利用OpenSSL提供的开发库, 其通信过程和HTTP协议类似, 在客户端和服务器建立T CP连接 (co n n et和a c c ep t) 成功之后, SSL开始运行, 首先进行安全握手连接即SSL cornet和SSL_accept, 以确定协议版本、密码算法、密钥和压缩方式等密码学参数, 并实现了防火墙与入侵检测系统数据交互前的身份认证;握手成功之后, 入侵检测系统使用SSL write函数对应用层数据进行加密并将密文向其TCP层发送, 而后系统通过网络将报文向对等TCP层 (防火墙服务端) 传送。防火墙使用SSL read函数对其TCP层传上来的数据进行解密, 然后再将明文向上层发送, 从而实现了防火墙与入侵检测系统数据交互的保密性。
参考文献
[1]刘文涛.网络安全开发包详解[M].北京:电子工业出版社.2005
[2]李晓莺.协议分析在入侵检测系统中的应用[J].网络安全技术与应用.2002, 5 (7)
[3]韩东海等.入侵检测系统实例剖析[M].北京:清华大学出版社.2002
[4]顾爱琴.网络安全的入侵检测技术分析[J].邢台职业技术学院学报.2008, 25 (3) .
[5]夏炎, 殷慧文.网络入侵检测技术研究[J].沈阳工程学院学报:自然科学版.2008, 4 (4) .
防火墙技术综述 第11篇
关键词:网络安全;防火墙;技术
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 05-0000-01
Summary of Firewall Technology
Li Huimin
(Hunan Vocational College of Information Science,Changsha410151,China)
Abstract:This article starting from the current network security issues at home.Described in detail the information security technology familiar firewall technology,a comparative analysis of the characteristics various types of firewall technology,and architecture.And to outlook on the firewall.
Keywords:Network security;Firewall;Technology
一、前言
Internet的流行,与WEB技术的发展是密不可分的。标准的WEB服务通过客户端的WEB浏览器向WEB服务器发出请求,以进行文件读取,数据提交或信息检索等操作。因此黑客攻击猖獗。随着人们对WEB依赖性的增强,针对WEB的攻击也越来越多。那些越是流行的服务器、越是流行的应用软件,越发成为被攻击的对象。美国<<信息安全>>杂志进行一年一度的信息安全行业调查表明,与2000年相比,2001年美国WEB服务器受攻击的次数翻了一翻。近50%的受调查企业收到外界对他们的WEB服务器的攻击,高于2000年的24%,而通过WEB对个人主机发起的攻击更是举不胜举。我们可以看出网络的不安全原因是:自身缺陷+开放性+黑客攻击。与网络安全相关的技术有:(1)防火墙技术;(2)PKI技术;(3)VPN技术;(4)入侵检测技术;(5)病毒防护技术。
针对出现的各种网络安全防护技术,本文将对防火墙技术做详细介绍。
二、防火墙技术
(一)防火墙的概念。防火墙是一种用来加强网络之间访问控制的特殊网络互连设备。是一种非常有效的网络安全模型。它的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道。以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
(二)防火墙的分类
1.个人防火墙。是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能。常用的个人防火墙有:Norton、天网个人防火墙、瑞星防火墙等。
2.软件防火墙。个人防火墙也是一种纯软件的防火墙,但其应用范围较小,且只支持windows系统。功能相对来说要弱很多。并且安全性和并发连接处理能力较差。作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
3.纯硬件防火墙。采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片);纯硬件防火墙最大的亮点:高性能,非常高的并发连接数和吞吐量;采用ASIC芯片的方法在国外比较流行,技术也比较成熟。
三、防火墙的体系结构
防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能,性能及使用范围。常见的防火墙的体系结构有:
(一)分组过滤路由器。作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件,就可利用过滤规则实现报文过滤功能。
(二)双宿主机。双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机,IP层的通信完全被阻止,两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务的方法.堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等。
(三)屏蔽主机。一个分组过滤路由器连接外部网络,同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则,使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。
(四)屏蔽子网。屏蔽子网是最安全的防火墙系统,它在内部网络和外部网络之间建立一个被隔离的子网(非军事区,DMZ(Demilitarized Zone)),如图4所示。在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中。
四、防火墙技术展望
随着技术的发展,防火墙技术也得到了长足的发展。在今后将会有智能防火墙,分布式防火墙,网络产品的系统化的应用。
(一)智能防火墙。智能防火墙是采用人工智能识别技术(统计,记忆,概率和决策等)。因此智能防火墙具有安全,高效的特点。在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。
(二)分布式防火墙。分布式防火墙是一种新的防火墙体系结构,包含网络防火墙,主机防火墙和管理中心。由于传统防火墙属于边界防火墙。缺陷是:结构性限制;内部威胁;效率和故障。但是分布式防火墙是一种新的防火墙体系结构,在网络内部增加了另一层安全,支持基于加密和认证的网络应用,与拓扑无关,支持移动计算的特点。
(三)网络产品的系统化。以防火墙为核心的网络安全体系的解决方法。(1)直接把相关安全产品“做”到防火墙中。(2)各个产品相互分离,但是通过某种通信方式形成一个整体。
五、总结
随着Internet技术的发展,网络安全将会面临更加严峻的挑战。本文从网络安全角度出发,对防火墙技术进行了详细的介绍,希望能对不同的用户提供参考。
参考文献:
[1]Timothy S.Ramteke.计算机网络[M].北京:机械工业出版社,2004
[2]李惠芳,吴友武.网络攻击防范的策略分析与思考[J].中国公安大学学报(自然科学版),2005,2
基于防火墙技术的内网安全研究 第12篇
随着ERP、OA和CRM等新型企业生产信息管理系统的普及,企业对内部信息网络的依赖程度越来越高,企业百分之九十的知识产权,如新发明、设计图纸、程序代码等,都是以电子信息的形式存在于企业的内部网络中,因此内网的安全和性能也显得越来越重要。据统计60%以上的企业组织都遭遇过内网安全问题,内网安全对于各种规模的企业来说也在逐渐引起重视。只有内部网络始终运行在安全、可靠、保密的环境,才能帮助企业统一优化、规范管理,保障各类业务正常安全运行。
1 内网安全问题威胁模型
在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全可信的,威胁均来自于外部网络。传统的防火墙、入侵检测系统和VPN都是基于这种思路设计和考虑的。对于来自网络内部对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。
内网安全威胁模型中,假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网。由此可见,相比于外网安全,内网安全具有以下特点:
(1)要求建立一种更加全面、客观和严格的信任体系和安全体系。
(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者均进行更加具有针对性的管理。
(3)要求对信息生命周期进行完善管理。
2 内网安全隐患分析
(1)未经允许,随意安装各类应用软件,容易导致信息网络感染木马和病毒。
(2)计算机硬件设备被随意变更、操作系统随意更换,造成信息软硬件资源管理困难。
(3)上网行为没有有效监控管理,影响日常工作效率,员工自由进入不良网站或玩游戏,无法及时发现和阻断,使用BT等软件下载电影、游戏,大量占用带宽资源造成网络拥堵。
(4)非法变更IP地址或者MAC地址,导致地址冲突造成公司内部网络混乱。
(5)外部计算机非法接入内部网络,移动设备(笔记本电脑等)和新增设备未经过安全检查和处理违规接入或者入侵内部网络,带来病毒传播、黑客入侵等不安全因素。
(6)因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用、密码单一等各种原因与管理不善导致企业内部重要信息泄露或毁灭,造成不可弥补的重大损失。
(7)内网用户利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其它主机甚至是某台网络服务器的重要数据。
(8)蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续影响。
3 内网安全产品与技术
3.1 监控审计类
监控审计类产品主要对计算机终端访问网络、应用程序、系统配置、文件操作以及外设使用等提供集中监控和审计功能,并生成各种类型的报表。
3.2 桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设、应用程序、网络、资产以及补丁管理等功能。
3.3 文档加密类
文档加密类产品主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利、财务、设计资料和图纸资料的泄密问题。
3.4 文件加密类
文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点。
3.5 磁盘加密类
磁盘加密类产品在磁盘驱动层对部分或全部扇区加密,对所有文件进行强制保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
4 基于防火墙技术的内网安全解决方案
防火墙是一个内网监控系统,可以随时监控内部主机的安全状况。它充分利用透明加解密、身份认证、访问控制和审计跟踪等综合技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程,实施安全保护,最大限度地防止信息泄漏、破坏和违规外传,并完整记录涉及信息的操作日志,以便日后审计以及追究相关的泄密责任。利用各种手段构建事前预防、事中保护、事后审计三个层面的信息防护体系,保障内网安全,防止信息泄密。内网安全防火墙系统主要从以下几个方面来构筑:
4.1 身份验证
防火墙系统提供了自身的身份验证,用户登录到防火墙客户端时,除需提供操作系统用户名和口令外,还需提供防火墙用户名和口令,用户口令长度为8位以上的数字和字母组合,保证了口令的可靠性,同时口令的验证与存放均使用哈希函数中的MD5算法,有效防止被暴力破解。
通过身份认证,可以解决非法主机进人。外来计算机即使通过网线接人,防火墙也可以根据策略进行报警和采取其它措施。对想访问系统和其数据的人进行识别,并检验其身份,以保证网络资源不被非法使用或访问,是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。
4.2 可信移动存储管理
可信移动存储管理提供了对可信移动存储介质从购买、使用到销毁整个过程的管理和控制。借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段,对可移动存储介质进行失泄密防护。
4.3 系统资源管理
防火墙系统能够查看所选节点客户端软硬件信息,实时监测、记录客户端软硬件的变化情况,并根据用户所设置的策略和使用状态的阈值,对客户端主机的运行状态进行监测。当发现某种指标超过设定阈值时,防火墙系统将记录相应的越阈信息。
4.4 网络监控
防火墙可以对内网计算机进行远程监控,抓取网上计算机界面。发现问题可以根据策略立即冻结远程计算机的操作。对内网计算机的联网、脱网和工作状况可以做到一目了然。它可以详细记录员工的所有网络活动,如所有浏览的网站(包括所有网页),收发的邮件,上传的文件(文件附件),QQ、MSN等聊天记录和内容等。可以预先对某些需要限制的员工的网络活动进行阻止,防止通过网络传送敏感资料或浏览某些无关工作的网站。从而提高员工的工作效率,使单位的网络资源得到更加有效的利用。
4.5 安全审计
防火墙系统提供的“黑匣子”和“审计平台”,能够快速对出现的安全事件进行审计。所谓“黑匣子”,是指安装于防火墙客户端、用于记录用户操作的加密文件系统,审计平台主要针对历史性的数据库备份文件和日志文件对应审计,进行更全面的问题追责。
4.6 文档安全服务
文档安全服务采用透明加解密技术彻底保护企业涉密数据。当用户进行读写磁盘操作,文件就自动进行加密或解密,但并不控制文件的传播共享,也不影响文件打开,文件在制作和传输过程中始终是密文。安全策略由企业统一制定,并集中发布,对于不同性质的用户群体(财务、研发、销售)可制定不同的策略,从根本上保护了企业数据的安全。文档安全服务根据应用场景不同,支持强制加密文件服务和自主加密文件服务,保证用户需求的完整性。
4.7 失泄密防护
泄密途径主要有网络传输、移动存储带出和打印到纸介质三种情况。防火墙系统针对这三种泄密途径做了全面的防护,可以根据实际情况选择启用或禁用,同时还可记录日志以备事后追踪。
5 结束语
随着用户对内网安全认识的加深,用户内网安全管理制度的完善,整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。对于企业内网来说,企业不仅仅需要依靠技术构筑防御体系,同样需要行之有效的安全管理,以此打造安全和谐的内部环境。
摘要:探讨了企业内网安全问题,介绍了防火墙技术及其应用。
关键词:企业内网,安全,防火墙
参考文献
[1]陆英南.企业内网安全管理策略研究[J].合肥:电脑知识与技术,2008(8):1413-1415.
【防火墙技术研究】相关文章:
防火墙技术分析与研究09-17
防火墙技术研究论文05-09
防火墙技术研究论文提纲08-14
防火墙技术研究论文参考文献08-24
计算机网络安全及防火墙技术分析研究09-10
浅析ISA防火墙技术在企业中的应用研究09-13
计算机网络安全中的防火墙技术应用研究09-14
关于木结构建筑防火技术研究09-11