防火墻技術(shù)技術(shù)論文
防火墻技術(shù)技術(shù)論文
防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù),其安全性直接關(guān)系到用戶的切身利益。學習啦小編整理的防火墻技術(shù)技術(shù)論文,希望你能從中得到感悟!
防火墻技術(shù)技術(shù)論文篇一
淺析防火墻技術(shù)
【摘要】防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù),其安全性直接關(guān)系到用戶的切身利益。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)給人們帶來了很多便利,于此同時網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴重。使用防火墻能很好的提高系統(tǒng)的安全性,減少系統(tǒng)受到網(wǎng)絡(luò)安全方面的威脅。在現(xiàn)在的計算機時代,網(wǎng)絡(luò)信息的安全越顯得重要。而對防火墻技術(shù)的要求也會越來越高。
【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)技術(shù)
為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題,近年來新興了防火墻技術(shù)。防火墻具有很強的實用性和針對性,它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案,可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。
用戶可以根據(jù)自己的需要,通過設(shè)定一些參數(shù),從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問,使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。
一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息。代理服務(wù)器是防火墻中的一個服務(wù)器進程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān),一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。代理服務(wù)器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,代理服務(wù)器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的情況是,它只由用戶標識和口令構(gòu)成。但是,如果防火墻是通過Internet可訪問的,應(yīng)推薦用戶使用更強的認證機制。
當建設(shè)你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設(shè)備。當Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時,首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的,其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準備好強制阻止進入。同樣地,堡壘主機必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。
當構(gòu)造防火墻設(shè)備時,經(jīng)常要遵循下面兩個主要的概念。第一,保持設(shè)計的簡單性。第二,要計劃好一旦防火墻被滲透應(yīng)該怎么辦。
保持設(shè)計的簡單性。一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件,無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要刪除堡壘主機上所有不必需的服務(wù)或守護進程。在堡壘主機上運行少量的服務(wù)給潛在的黑客很少的機會穿過防火墻。
安全,通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。我國對于計算機安全的定義是:“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護,不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運行。”
從技術(shù)講,計算機安全分為3種:
1.實體的安全。它保證硬件和軟件本身的安全。
2.運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。
3.信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。
隨著網(wǎng)絡(luò)的發(fā)展,計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。 面對這一系列的安全性問題的解決,我們就要采用防火墻來進行抵御。然而最簡單的防火墻配置,就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全,有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。
1.雙宿主機網(wǎng)關(guān)(Dual Homed Gateway)
這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò),又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務(wù)器),可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)
2.屏蔽主機網(wǎng)關(guān)(Screened Host Gateway)
屏蔽主機網(wǎng)關(guān)易于實現(xiàn),安全性好,應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡(luò),同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡,與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則,并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機,確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機,可以受控制地通過屏蔽主機和路由器訪問Internet。
雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是,堡壘主機有兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)絡(luò),一塊連接包過濾路由器。雙宿堡壘主機在應(yīng)用層提供代理服務(wù),與單宿型相比更加安全。
3.屏蔽子網(wǎng)(Screened Subnet)
這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng),用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”,兩個路由器一個控制Intranet 數(shù)據(jù)流,另一個控制Internet數(shù)據(jù)流,Intranet和Internet均可訪問屏蔽子網(wǎng),但禁止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機,為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù),但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器,像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi),這樣無論是外部用戶,還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高,具有很強的抗攻擊能力,但需要的設(shè)備多,造價高。
不論從功能還是從性能來講,防火墻產(chǎn)品的演進并不會放慢速度,反而產(chǎn)品的豐富程度和推出速度會不斷的加快,這也反映了安全需求不斷上升的一種趨勢,而相對于產(chǎn)品本身某個方面的演進,更值得我們關(guān)注的還是平臺體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標準的發(fā)布,這些變化不僅僅關(guān)系到某個環(huán)境的某個產(chǎn)品的應(yīng)用情況,更關(guān)系到信息安全領(lǐng)域的未來。
參考文獻
[1]石志國,薛為民,尹浩.計算機網(wǎng)絡(luò)安全教程[M].北京:清華大學出版社,2011.
[2]石志國,薛為民,尹浩.計算機網(wǎng)絡(luò)安全教程實驗指導[M].北京:清華大學出版社,2011.
[3]李太君,林元乖,張晉.計算機網(wǎng)絡(luò)[M].北京:清華大學出版社,2009.
防火墻技術(shù)技術(shù)論文篇二
防火墻技術(shù)研究
摘 要:隨著網(wǎng)絡(luò)安全問題日益嚴重,網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品和使用量最大的安全產(chǎn)品,也受到用戶和研發(fā)機構(gòu)的青睞。對防火墻的原理以及分類、作用進行了詳細的介紹,旨在為選擇防火墻的用戶提供借鑒。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1672-3198(2007)09-0240-02
1 從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持,一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2 從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packet filtering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價,是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。
在整個防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。
包過濾方式的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序,因為它工作在網(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計和報警機制,它只能依據(jù)包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高,建立安全規(guī)則時,必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2)應(yīng)用代理(Application Proxy)型。
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個不同的版本:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護,而不是像包過濾那樣,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。
另外代理型防火墻采取是一種代理機制,它可以為每一種應(yīng)用服務(wù)建立一個專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。
代理防火墻的最大缺點是速度相對比較慢,當用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時,代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間,所以給系統(tǒng)性能帶來了一些負面影響,但通常不會很明顯。
3 從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統(tǒng)的防火墻,獨立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實與一臺計算機結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡,因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和代理服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質(zhì),決定了它要具備非常高的穩(wěn)定性、實用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺主機,對整個內(nèi)部網(wǎng)絡(luò)的主機實施保護。在網(wǎng)絡(luò)服務(wù)器中,通常會安裝一個用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ,這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡(luò)。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。
4 按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離,保護邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價格也最貴。
5 按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網(wǎng)絡(luò)邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時也越小,對整個網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
參考文獻
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實訓篇[M].北京:人民郵電出版社,2003,(10).
[2][美]Terry William Ogletree.防火墻原理與實施[M].北京:電子工業(yè)出版社,2001,(2).
[3]鄧亞平.計算機網(wǎng)絡(luò)安全[M].北京:人民郵電出版社,2004,(9).
看了“防火墻技術(shù)技術(shù)論文”的人還看: