防火墙技术(精选9篇)
1.防火墙技术 篇一
当构筑和使用木制结构房屋的时侯,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙,在今日的电子信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机系统构成的。
今天的防火墙被用来保护计算机网络免受非授权人员的骚扰与 的入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间,我们目前广泛使用的互联网络便是世界上最大的不安全网,近年来媒体报导的很多 入侵事件都是通过互联网络进行攻击的。
通常架设防火墙需要相当大的硬软件资金投入,而且防火墙需要运行于一 立的计算机上,这样只用一台计算机连入互联网络的用户是不宜架设防火墙的,况且这样做也太不合算。一般来说,防火墙是用来保护由许多台计算机组成的大型网络,这也是 真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换,防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。当你将公司的局域网联入互联网络时,你肯定不希望让全世界的人随意翻阅你公司内部的工资单、个人资料或是客户数据库。即使在公司内部,同样也存在这种数据非法存取的可能性,例如一些对公司不满的员工可能会修改工资表和财务报告。而通过设置防火墙你可以允许公司内部员工使用电子邮件,进行web浏览以及文件传输,但不允许外界随意访问公司内部的计算机,你也可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可有效阻止来自外界的攻击。而防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求。例如一台www代理(proxy)服务器,使用者的web访问需求都间接地由它进行处理,这台服务器会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被送到目标www服务器上;当目标www服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照规定检查这个结果是否违反了安全规则,当这一切检查都通过后,结果才会真正地送到请求者的手里。
1、为什么需要架设防火墙
防火墙可以使你的网络规划清晰明了,有效防止跨越权限的数据访问。如果你的网络联入了互联网络而没有设置防火墙的话,你可能会接到许多系统入侵的报告。在这个世界上, 袭击的例子有许许多多,你可以在一些讨论计算机安全的站点上找到许多案例。你最好提前考虑这些问题, 可以攻击美国国防部的网络,也可能会对你的公司发生兴趣。
2、防火墙的几种形式
防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说业界的分类有三种:包过滤防火墙,应用级网关和状态监视器。
(1)包过滤防火墙
关 键 字:防火墙
2.防火墙技术 篇二
1 包过滤技术
包过滤就是根据数据包头信息和过滤规则决定是否允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口及其协议类型。若是可信连接,就允许通过,否则就丢弃。
包过滤防火墙是基于子过滤规则来实现的,实现步骤为:建立安全策略,写出所允许的和禁止的任务,将安全策略转化为数据包的包过滤规则。过滤规则的设计可以按IP地址过滤,也可以按封装的协议类型过滤或端口号过滤,也可以将上述几种方式组合起来制定过滤规则。数据包过滤规则具体体现在过滤规则表上,过滤规则表定义了各种规则来表明同意或拒绝包的通过。
包过滤最大的优点是对用户透明,传输性能高。但由于安全控制层次在网络层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。另外包过滤防火墙只按照规则丢弃数据包,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
2 应用代理技术
应用层代理防火墙也叫应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质不同。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。
代理服务技术的防火墙可以实现对应用层协议的分析工作,整个代理防火墙把自身映射为一条透明线路,但是这个连接的数据收发实际上是经过了代理防火墙转向的,而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。
由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,一旦数据交换过于频繁,代理防火墙很可能成为整个网络的瓶颈。
3 状态检测技术
状态检测防火墙也叫自适应防火墙或动态包过滤防火墙。状态检测防火墙在包过滤的同时,检查数据包之间的关联性和数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态保存作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等动作。
状态检测防火墙只是在网络层和传输层检测数据包,功能比较有限。只要数据包的目的地址和源地址是合法的就不再对其进行检测,对网络提供的保护仅限于此。它是目前使用最为广泛的防火墙,用来防护黑客攻击,但在专门针对应用层的Web攻击中其有效性却越来越低。
4 自适应代理技术
自适应代理防火墙一般是通过应用层验证新的连接,同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。
5 内容过滤技术
内容过滤技术是建立在包过滤技术基础之上的。内容过滤不仅对数据包进行地址、协议、端口等信息的过滤,更重要的是对数据包中传递的内容信息进行检索过滤,这样有效的防止了各种网络危险,使得网络安全上升了一个台阶。
内容过滤技术一般包括URL过滤、关键词匹配、图像过滤、模版过滤和智能过滤等。目前内容过滤技术还处于初级阶段,图像过滤和模版过滤还处于理论研究阶段,许多技术瓶颈尚未解决,实际应用并不多见。智能过滤同样只限于研究领域,没有大量应用。相比之下,URL过滤和关键词匹配基本成熟。其中,URL过滤己经成为内容过滤产品的基本功能,但其主要用途在于访问控制而不是内容安全。所以,提供关键词过滤或应用层命令、病毒、攻击代码扫描和垃圾邮件过滤的功能是防火墙的发展趋势。
6 防火墙的优点与不足
6.1 防火墙的优点
过滤易受攻击的服务:防火墙将那些安全程度很低的服务隔离在受保护子网外,以防护那些有用的服务被外部攻击者所利用,降低使用风险,简化安全管理,提高内部网的安全性。
控制访问:防火墙能控制对网点系统的访问。
集中的安全性:将需要改动的软件与附加的安全软件集中放置在防火墙系统中。
执行网络政策:用户通过防火墙可执行既定的网络访问政策。
封锁域名信息:可防止攻击者从域名中获取有关信息。
监控网络使用状态:防火墙能提供网络访问记录,并随时对可疑活动进行报警。
6.2 防火墙的不足
防火墙不能防范不经过防火墙的攻击。第一,内部知情者对系统的破坏对防火墙来说无能为力;第二,网内用户通过PPP或SLIP不受限制地对外拨号,与Internet直接连接,形成了一个潜在的攻击渠道。
防火墙不能防范数据驱动型的攻击。有些数据从表面上看不出异常,当被发送或复制到主机上并被执行时,就会发生数据驱动攻击。现在很多流行的网络黑客攻击或者病毒程序都是使用数据驱动方式在Internet中进行传播的。
防火墙不能防范计算机病毒的破坏。现在的计算机病毒可以感染各类文件,防火墙很难做到逐个扫描查找病毒,这样做会大大降低系统通信效率。
防火墙不能防备全部的威胁。防火墙是一种被动的防护手段,它只能用来防备己知的威胁。一个优秀的防火墙设计方案可以提前防备新的可能威胁,但是绝对没有任何一个防火墙能够自动的防御所有的新的威胁。
摘要:深入分析防火墙技术,并对现有防火墙的优缺点加以总结。
关键词:防火墙,防火墙技术
参考文献
[1]郭乐群.基于策略防火墙的设计与实现[J].通信技术,2001,2(2).53-55。
[2]徐斌,徐悦.防火墙技术与Internet信息安全[J].现代电子技术,2001(1):55-59.
[3]陈伟,汪琼.网络安全与防火墙技术[J].东莞理工学院学报,2002,6(1).19-23.
3.网络防火墙技术发展 篇三
关键词:网络;防火墙
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Network Firewall Technology Development
Chen Xi
(Baoding Branch of China Tietong,Baoding71000,China)
Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.
Keywords:Network;Firewall
網址对于网络安全来说防火墙是主要的一个防御机制,在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素,是网络安全性的决定性因素,而在网络迅猛发展的今天,对网络安全和防护的要求就越来越迫切,网络防火墙被用作为加强控制网络之间的互访,严防外部网络用户恶意通过外网入侵内部网络,并对网络之间的数据包的传输进行实时监控,判断网络之间通信的合法性,以及网络运行的状态。
一、防火墙的类型
网络在人们的平常生活中越来越普及化,网络的安全就越来越受到了人们的重视,防火墙成为网络安全的一个重要保障。防火墙的种类多样化,根据应用技术的不同,可分为一下几类:
(一)防火墙的初级产品:包过滤型防火墙它的核心为传输技术,通过读取数据包中的地址信息来辨别数据包的合法性,辨别其来自的网站是否安全,如果是危险的数据包,防火墙最自动将其抑制,包过滤技术具有简单实用的优点,而且成本低,经常是以较小的代价实现对系统的保障,但是其常常无法识别应用层的恶意攻击。
(二)网络地址转化(network address translation)NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址,同时允许私有IP地址用户访问因特网,系统将源端口和源地址映射为一个伪装的地址和端口,用伪装的地址与端口与外网建立连接,从而以达到隐藏真实的IP地址。
(三)代理型防火墙代理型防火墙亦可称作为代理服务器,它是一种安全性相对较高的产品,其位于服务器与用户级之间,对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用,避免了外部的一些恶意攻击,为网络与用户之间建立了一条有效安全的绿色通道,其优点是安全性较高,对应用层可以做到有效的扫描和侦测,对于抑制应用层的病毒侵入和感染十分有效,劣势就是管理起来相对复杂。
(四)监测型防火墙监测型防火墙是一种新的产品,它对网络各层的数据予以主动的、实时的监控,对于各层中的恶意入侵和非法操作的监控、判断更为行之有效,而且防范能力也得到了大幅度的提升,其优点它的防御能力已完全超越了前几种类型防火墙,但劣势也比较明显,成本高,管理困难。
二、在网络安全的五个体系中防火墙处于五层中的最低层,负责网络数据的安全传输与认证
由于网络的全球化和重要性,网络安全的重要性也随之深入人心。从发展的角度看,防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级,随之其防火墙的技术与职能也在迅速的拓展。
(一)向着多级过滤技术发展网络会向着多级过滤技术发展,多级过滤技术的定义是:采用多级过滤措施,在分组过滤(网络层)一级,对所有的源路由分组和假冒的IP源地址进行过滤;应遵循过滤规则,过滤掉所有(传输层)一级,违反规则的的协议和有害数据包;在应用网关(应用层)一级,能利用不同的网关,操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。
(二)动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较:传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃,动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测;过滤;加密解密或者传输,并作进一步的用户身份认证,他能够深入检查出数据包,查出内部存在的恶意行为,识别恶意数据流量,阻断恶意攻击的出现,并且具备识别黑客的非法扫描,有效阻断非法的欺骗信息。
三、网络防火墙产品发展趋势
网络信息技术的飞速发展,硬件设施的不断更新,随之带来防火墙产品的不断换代以及产品技术的迅速进展,数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向,其发展趋势主要有:
(一)模式转变。传统的防火墙主要是用来把数据流,形成分隔开来,从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范,而新的防火墙产品以网络节点为保护对象,最大限度的保护对象,提高网络安全级别,增强保护作用。
(二)技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。
(三)性能提高。随着网络的飞速发展,千兆网络也逐渐在普及,在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上,千兆防火墙的主要选择将会为网络处理器(Network Processor)和专用集成电路(ASIC)技术。可以通过优化存储器等资源,使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求,未来将会融入更多的先进技术理念并应用到实践中去,从而做到与性能相匹配。
四、结束语
在网络已成为人们普遍使用工具的当下,网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人,也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害,安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化,更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域,更会涉及到信息安全的未来。
参考文献:
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104
[2]爱博科研究室.网络攻防零距离[M].上海:上海科学技术出版社,2003:11
4.防火墙技术论文 篇四
关键词:计算机网络安全;防火墙;计算机自我防御
0引言
计算机网络安全主要指的是网络信息传输的安全性和保密性,防止系统安装的病毒软件或者外界强制攻击造成的个人信息泄密。开启防火墙的计算机不管是系统数据的安全还是日常运行,都会有一定的保障,现代我国的计算机网络安全保护技术有很多,本文主要讲解的方向就是防火墙,分析防火墙在计算机网络安全保护的作用和所处的位置,直观的理解防火墙--在计算机在进行网络互动的时候实施信息保护,先排除一些自弹危险窗口和自动下载病毒,再而保护整个计算机的操作系统,设置监管节点。防火墙在计算机网络安全保护中有着至关重要的作用。
1计算机网络存在的安全问题
1.1概述
我国现在的计算机都或多或少都存在一些安全问题,如访问系统的监管能力不强,没有一套针对性的措施来避免计算机网络安全上造成的损失。现代的一些入门防护措施只能对一些旧型的入侵进行简单防护,一旦出现稍微复杂的系统,就极可能被入侵,从而造成计算机系统的损坏和个人信息的泄露。现在很多从事秘密工作的人员对于计算机网络安全没有一个较为完善的概念,没有对计算机进行有效的网络安全防护,就很容易出问题,而等到发现问题以后再想办法为时已晚,无法补救,这样的情况造成的损失通常都是很严重的[1]。
1.2对于计算机安全系统防御力不高方面
首先,对于我国的计算机系统来说,其对网络攻击的防御效果不佳,安全防范体系并不完善,防御系统升级调整不及时,由此导致网络安全问题十分严重。目前,网络病毒与网络攻击十分猖獗,网络攻击大多是利用计算机或网络防御体系中的漏洞,进行隐秘是或者毁灭性的入侵,从而达到破坏或者盗取信息的目的。目前,最常见的网络攻击方式有木马病毒攻击、IP攻击、端口攻击、拒绝服务攻击。
1.3对安全监测数据信息上存在的问题方面
安全监测数据信息上存在的问题主要是由于系统的访问存在一定的缺陷,导致系统在访问控制系统时只能够解决程序内部设定的问题解决,对于新出现的安全问题不能进行及时的预警和解决,导致实际的数据安全受到一定的威胁,且计算机网络系统出现问题之后,往往会对原本的计算机处理系统造成严重的威胁,给计算机内部数据造成更加严重的威胁。例如,20xx年出现的“敲诈者病毒”、“勒索病毒”给人们的财产安全带来重大威胁。然而,大多数杀毒软件都没有做好数据监测工作,只是在事后制定防御机制,而不能有效改变这一问题。对此,相关技术人员必须树立正确的思想意识,加强系统防护。严格按照相关规定对数据进行监测,一旦发现问题及时启动预警防御措施。
2针对计算机网络信息安全对防火墙技术的应用分析方面
对于计算机的网络信息系统安全方面存在的问题,要建立起科学的防火墙技术,利用网络防火墙保证计算机网络系统的安全工作。计算机网络信息安全的保障思路,首先要考虑到的是数据加密的方法对于数据安全性的促进作用,在实际的操作当中,可以将数据进行加密,结合计算机网络防火墙实现对相应数据的强化保护[2]。对于实际的数据加密的方式,主要是通过网络连接和相应的端口加密来进行的,因此需要网络安全维护程序当中的控制端与协议类型符合实际的网络数据筛选条件,以实现对数据的实时转发。
3防火墙的种类及具体的使用方面
3.1对于包过滤防火墙技术的叙述
包过滤技术主要是指有选择性的对信息进行合理的判断,分辨信息的实际意义,并拒绝不良信息传输的技术。包过滤防火墙主要通过网络参考模型中的数据传输与控制,来实现相应计算机网络的保护。例如,网络传输工作当中,在对网络传输的目的IP进行相应的保护工作时,能够主动获取信息传输中的IP,并对其中的数据包进行必要的分析与识别,以保证正确信息传输的安全性和可靠性。另一方面,包过滤防火墙技术可以在计算机的内部形成新的监测网,从内到外对信息进行全面的控制和监督,从而实现过滤数据、防御攻击的目的[3]。另外,实际的包过滤防火墙技术往往应用在路由器和电脑的主机上,它可以通过实际的需求选择内网封闭或者外网开放的应用形式来实现对数据的监控管理。
3.2应用型防火墙与网路型防火墙方面
对于应用型防火墙和网络型防火墙的运用来说,网络型防火墙主要是通过网络的IP端口地址转化、注册来确保与外网的连接正确,加强对网络的实时控制。在实际的计算机访问网络的时候,即内部网络与外部网络沟通的时候,网络防火墙发挥主要作用,它能够对自动的网络终端地址和相应的端口进行监督、分析、管理,通过改变终端地址和外界网络与实际端口的连接来保证网络得到有效的控制。计算机的防火墙是为了保护计算机各项工作稳定进行的基础,只有建立完善计算机防火墙,才能够保证计算机各项数据的安全性,保证相应用户的各项隐私。所有数据要进入系统必须经过防火墙的筛选与过滤,这就给防火墙保护功能的发挥提供了可能,例如通过对某一频繁发送信息的IP进行锁定,以抵御不法分子的攻击。多防火墙联合防御是提高网络安全的重要方法。该技术方法结合了多种防火墙系统,对网络防火墙采用多种类型共同配置的方式配置防火墙,在计算机的内部将防火墙的工作内容分层次、分等级的设置,以保证相互之间的工作不受冲突。多个防火墙组成的安全系统可以监控到不同区域的安全问题,各个防火墙通过相互之间的转化,对网络的不良信息进行分层次的过滤,达到提升网络系统整体安全的目的。
4计算机网络信息安全中防火墙技术的有效运用
计算机网络的系统安全主要靠对整体网络的实时监控来实现,简单来说就是将先进的科学技术融入到计算机网络系统当中,然后利用这些技术手段实现对网络的全面管理,从而保证计算机用户相关数据的机密性,保证相关数据的安全。在计算机实际使用的过程中,由于使用者之间存在一定的差异,他们对计算机安全防护墙的认识也并不全面。例如,计算机网络使用者会认为防火墙的设置保护的是网络形式的隐私和相应信息,同时认为防火墙能够保证网络不受外界各个因素的影响而安全运行。在网络系统的专业人员看来,防火墙技术对维护网络信息的安全具有一定的促进作用,其在网络系统发生异常或者出现问题时,能够保护网络信息。对于网络信息的交流而言,信息的传送方可以将相应的信息加密处理,建立全面的安全网络系统规则,从而实现计算机网络与外界连接传输信息的机密性和安全性,保证在不法分子入侵系统时,无法窥探到信息的具体内容。计算机的网络防火墙技术在维护计算机网络信息安全上发挥了巨大的作用:
(1)计算机网络防火墙能够对存在风险的文件和信息进行有效的分析、研究、过滤,确认文件安全后传输到计算机当中,防止计算机被病毒侵入;
(2)计算机网络防火墙能够在一些没有得到正确授权的登入者登入时,拒绝登入,及时防范不法分子侵入计算机盗取信息;
(3)计算机网络防火墙也可以规范计算机用户本身的操作,对于一些违规的和不安全的网站,能够及时进行屏蔽,规范用户安全、合法地使用计算机网络。实际的工作当中,计算机网络防火墙对于用户来说,既是保障计算机网路安全的一种有效手段,又是规范用户使用计算机网络的一种行之有效的方式;
(4)对于一些企业或有工作需要的个人来说,计算机上涉及大量的数据,计算机网络防火墙的存在使得用户数据文件的安全得到保障,避免用户数据的安全受到威胁,避免文件被盗。计算机网络防火墙是保障计算机网络安全的一项基本措施,因此,要不断的将先进的技术融入到计算机网络防火墙的建设当中,已对其不断的进行优化管理,充分发挥计算机网络防火墙的真正作用。
5结论
综上所述,对于计算机网络信息安全中防火墙技术的有效运用与分析要从实际的科学技术出发,将先进的科学技术与实际的计算机网络防火墙相结合,建立安全网络信息安全管理系统,使计算机用户的实际信息得到可靠的保护;将网络安全管理与防火墙相结合,对网络数据进行必要的检查的同时,注重对系统本身的监控管理,从而不断的提高计算机网络信息的安全性。
参考文献:
[1]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑(理论版),20xx(9):193-194.
[2]谢平.计算机网络信息安全中防火墙技术的有效运用研究[J].通讯世界,20xx(19):97-98.
5.防火墙技术研究报告 篇五
防火墙技术
摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
目录
一、概述.....................................................................................................................................4
二、防火墙的基本概念.............................................................................................................4
三、防火墙的技术分类.............................................................................................................4
四、防火墙的基本功能.............................................................................................................5
(一)包过滤路由器.........................................................................................................5
(二)应用层网关.............................................................................................................6
(三)链路层网关.............................................................................................................6
五、防火墙的安全构建.............................................................................................................6
(一)基本准则..............................................................................错误!未定义书签。
(二)安全策略.................................................................................................................6
(三)构建费用..............................................................................错误!未定义书签。
(四)高保障防火墙......................................................................错误!未定义书签。
六、防火墙的发展特点.............................................................................................................7
(一)高速.........................................................................................................................7
(二)多功能化.................................................................................................................8
(三)安全.........................................................................................................................8
七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10
防火墙技术研究报告
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
二、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
三、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新 的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
四、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问
相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
五、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
六、防火墙的发展特点
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字
符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
(三)安全
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
七、防火墙的发展趋势
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进 行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
参考文献
[1] 谢希仁.计算机网络(第5版)[M].北京:电子工业出版社
[2] 吴秀梅,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社 [3] 张红旗,王鲁 等编著.信息安全技术.高等教育出版社
[4] 张华贵,王海燕.计算机网络在安全分析与对策
6.浅谈防火墙技术 篇六
防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。
防火墙可以强化网络安全:通过以防火墙为中心的安全方案配置, 能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上;对网络存取和访问进行监控审计:如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据;防止内部信息的外泄:通过利用防火墙对内部网络的划分, 可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
2. 防火墙技术的分类及特点
2.1 包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包, 或者丢弃, 或者放行, 取决于所建立的一套规则。这称为包过滤防火墙。
本质上, 包过滤防火墙是多址的, 表明它有两个或两个以上网络适配器或接口。包过滤防火墙检查每一个传入包, 查看包中可用的基本信息 (源地址和目的地址、端口号、协议等) 。然后, 将这些信息与设立的规则 (多个复杂规则的组合也是可行的) 相比较。。如果允许Web连接, 但只针对特定的服务器, 目的端口和目的地址二者必须与规则相匹配, 才可以让该包通过。
包过滤防火墙是两个网络之间访问的唯一来源, 它对每条传入和传出网络的包实行低水平控制, 识别和丢弃带欺骗性源IP地址的包。但是包过滤防火墙很复杂, 人们经常会忽略建立一些必要的规则, 或者错误配置了已有的规则, 在防火墙上留下漏洞, 不能防范黑客攻击, 不能处理新的安全威胁。包过滤防火墙技术虽然可以对网络安全进行基本的控制, 但技术层面太过初级, 就好比一位保安只能根据访客来自哪个省市来判断是否允许他 (她) 进入一样, 难以履行保护内网安全的职责
2.2 状态检测防火墙
状态检测防火墙:用了一个在网关上执行网络安全策略的软件模块, 称之为监测引擎。监测引擎在不影响网络正常运行的前提下, 采用抽取有关数据的方法对网络通信的各层实施监测, 抽取状态信息, 并动态地保存起来作为以后执行安全策略参考。监测引擎支持多种协议和应用程序, 并可以很容易地实现应用和服务的扩充。通过状态检测技术动态记录、维护各个连接的协议状态, 并在网络层和IP之间插入一个检查模块, 对IP包的信息进行分析检测, 决定是否允许通过。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数, 而不关心数据包连接状态变化的缺点, 在防火墙的核心部分建立状态连接表, 并将进出网络的数据当成一个个的会话, 利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表, 更考虑了数据包是否符合会话所处的状态, 因此提供了完整的对传输层的控制能力。
状态检测防火墙检查IP包的每个字段, 并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包, 记录有关通过的每个包的详细信息。但是状态检测防火墙对信息的记录、测试和分析工作可能会造成网络连接的某种迟滞, 特别是在同时有许多连接激活的时候, 或者是有大量的过滤网络通信的规则存在时。
网关防火墙的一个挑战就是能处理的流量, 状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术, 使防火墙性能大幅度提升, 能应用在各类网络环境中, 尤其是在一些规则复杂的大型网络上。
2.3 应用程序代理防火墙
由于包过滤技术无法提供完善的数据保护措施, 而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害 (如SYN攻击、ICMP洪水等) , 因此人们需要一种更全面的防火墙保护技术, 在这样的需求背景下, 采用“应用代理” (Application Proxy) 技术的防火墙诞生了。我们都知道, 一个完整的代理设备包含一个服务端和客户端, 服务端接收来自用户的请求, 调用自身的客户端模拟一个基于用户请求的连接到目标服务器, 再把目标服务器返回的数据转发给用户, 完成一次代理工作过程。那么, 如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙, 这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器 (Transparent Proxy) , 但是它并不是单纯的在一个代理设备中嵌入包过滤技术, 而是一种被称为“应用协议分析” (Application Protocol Analysis) 的新技术。
应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反, 它是接受来自内部网络特定用户应用程序的通信, 然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信, 所以服务器不能直接访问内部网的任何一部分。
应用程序代理防火墙通过限制某些协议的传出请求, 来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接, 包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件是很有用的。但是必须在一定范围内定制用户的系统, 这取决于所用的应用程序, 一些应用程序可能根本不支持代理连接。
3. 防火墙技术的局限
尽管利用防火墙可以保护安全网免受外部黑客的攻击, 但其目的只是能够提高网络的安全性, 不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁, 如防火墙不能防范不经过防火墙的攻击。例如, 如果允许从受保护的网络内部向外拨号, 一些用户就可能形成与Internet的直接连接。另外, 防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由于防火墙技术的自身不断发展, 其自身问题和漏洞也使其具有局限性。
4. 防火墙技术的发展趋势
防火墙作为维护网络安全的关键设备, 在目前采用的网络安全的防范体系中, 占据着举足轻重的位置, 在网络安全中所扮演的重要角色是不可撼动的。但是伴随计算机技术的发展和网络应用的普及, 防火墙技术的局限性也出现在人们面前, 而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高, 因此需要将更多的防攻击技术融入到防火墙技术体内, 让防火墙技术向更加行业化的方向发展, 实现网络安全设备之间的联动。
参考文献
[1]姜文红.网络安全与管理[M].北京:清华大学出版社, 2007.
[2]荣海迅.防火墙技术及其发展趋势剖析[J].淮北职业技术学院学报, 2008, (3) .
7.浅析防火墙的安全技术策略 篇七
摘要:本文针对目前防火墙在网络中的重要性,针对防火墙技术进行了简单的分析,论述了防火墙的安全策略设计。
关键词:网络 防火墙 安全策略
0 引言
网络技术的飞速发展,在给信息共享带来了翻天覆地的变化的同时,也带来了安全隐患,随之而来的问题就是如何保护网络的安全。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。
1 防火墙技术分析
防火墙是一种连接内网和外网(比如Internet) 的网关,提供对进入内部网络连接的访问控制能力。它能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,抵御黑客入侵,保护内部网的安全,防止机密数据的丢失。防火墙通常用于保护公司的内部网络,但也用于隔离不同部门之间的网络。防火墙在保护网络安全方面已经发挥出越来越重要的作用。
1.1 包过滤技术 包过滤防火墙是最早的防火墙技术。顾名思义,包过滤就是根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口,及其协议类型。若是可信连接,就允许其通过;否则就丢弃。由于包过滤防火墙处于OSI 七层模型的网络层,它只检查数据包头信息,处理数据包的速度很快。但是由于这种防火墙没有检查应用层的数据,也没有跟踪连接状态,并且没有用户和应用的验证,因此存在安全漏洞。
1.2 应用代理技术 应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。
1.3 状态检测技术 状态检测防火墙也叫自适应防火墙又叫动态包过滤防火墙。1992年USC 信息科学院的Bobbradon 提出了动态包过滤防火墙,在此基础上1994年Check Point公司提出了状态检测防火墙,Check Point公司的FireWall-1 就是基于这种技术。后来Progressive System 公司又提出了自己的自适应防火墙,它们的Phoenix 防火墙也是基于此技术,状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态的保存起来作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等处理动作。
1.4 自适应代理技术 自适应代理防火墙是由Network Associates 公司提出的,它整合了动态包过滤防火墙技术和应用代理技术,本质上也是状态检测防火墙。Network Associates公司的Gauntlet就是用这种技术。
自适应代理防火墙一般是通过应用层验证新的连接,这种防火墙同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。
2 防火墙安全策略设计
2.1 创建安全策略 策略对防火墙来说是关键因素,有两种网络级的策略可以直接影响到防火墙系统的设计、安装和使用:
2.1.1 网络服务访问权限策略:一种较高级别的策略,用来定义允许的和明确拒绝的服务,包括提供这些服务的使用方法及策略的例外情况;
2.1.2 防火墙设计策略:一种较低级别策略,用来描述防火墙如何对网络服务访问权限策略中所定义的服务进行具体的限制访问和过滤。
安全策略是防火墙系统的重要组成部分和灵魂,而防火墙设备是它的忠实执行者和体现者,二者缺一不可。安全策略决定了受保护网络的安全性和易用性,一个成功的防火墙系统首先应有一个合理可行的安全策略,这样的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎,就会拒绝用户的正常请求的合法服务或者给攻击者制造了可乘之机。
安全策略的制定受到多种因素的影响,对每一个具体的网络环境,应根据各自的具体情况制定不同的安全策略。总的来说有两种策略:没有被列为允许的服务都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许可的服务,防火墙封锁所有信息流,然后逐项使能每一种许可的服务。而后者允许一切没被禁止的服务,防火墙转发所有的信息,然后逐项删除所有被禁止的服务。
虽然针对具体的网络没有固定的安全策略,但在制定具体的安全策略时,是可以遵循一定的原则:①支持一条“禁止一切未明确允许的服务”或“允许一切未被禁止的服务”的规则。②在实现既定规则时不能漏掉任何一条。③只要适当修改规则,便可以适应新的服务和需求。④要在身份验证和透明性之间作出权衡。⑤在分组过滤时,可以针对某个具体的机器系统允许或禁止。⑥对于需要的各种服务,如FTP, Telnet, SMTP, HTTP等要加上相应的代理服务,考虑加入通用代理服务方便扩展。⑦对于拨号用户集中管理,并做好过滤和日志统计工作。
2.2 确定分组过滤规则安全策略创建后,防火墙作用的发挥最大的因素依赖于好的规则库,规则库是一组规则,当特定种类的通信量试图通过防火墙时,这组规则告诉防火墙要采取什么工作,如果简单的防火墙具有构造良好的规则,那么它就比虽然复杂但是规则不能阻止应当阻止的入侵企图的防火墙有效。所以要将规则库建立在安全策略的基础上,并不断对规则库进行简化,实现过滤优化。
防火墙逐一审查每一个数据包是否与其分组过滤规则相匹配,由规则确定包的取舍。分组过滤规则处理IP包头信息为基础,其中以IP源地址、IP目的地址、封装协议(UDP/TCP)、端口号等来制定检查规则。在确定规则时一般把最常用的规则放在最前面,而且大多时候Web服务是最主要的,从而它的流量也是最大的,所以应该对它的响应进行调整,尽量把它往前移动。
3 结束语
防火墙的安全技术策略是一项不断发展和完善的技术,国内外对防火墙技术策略的应用正处在不断的摸索中。本文对防火墙的安全技术及防火墙的应用策略进行剖析,防火墙的安全技术策略还需进一步发展,它必将成为信息安全领域研究计论的重点。
参考文献:
[1]韦巍,乐国友.组策略在网络安全中的应用[J].法制与经济.2006年08期.
[2]刘晓辉.网管从业宝典——交换机·路由器·防火墙.重庆大学出版社.
8.防火墙的核心技术及工作原理 篇八
防火墙是一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙的包含如下几种核心技术:
包过滤技术
包过滤技术是一种简单、有效的安全控制技术,它工作在网络层,通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
应用代理技术
应用代理防火墙工作在OSI的第七层,它通过检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
状态检测技术
状态检测防火墙工作在OSI的第二至四层,采用状态检测包过滤的技术,是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。
完全内容检测技术
9.计算机防火墙技术毕业论文 篇九
doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
计算机防火墙技术论文
毕 业 论 文
计算机防火墙技术
姓 学
名: 号:
指导老师: 系 专 班 名: 业: 级:
二零一零年十一月十五日 1 计算机防火墙技术论文
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临 着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范 围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安 全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒 等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用 户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件 的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全 等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展 使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络 防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学 其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。
关键词: 关键词 :包过滤 智能防火墙
应用层网关
分布式防火墙
监测型防火墙 嵌入式防火墙
网络安全,防火墙,防范策略,发展趋势 2 计算机防火墙技术论文
摘要„„ 1 第一章 引言 „„ 4 1.1 研究背景„„ 4 1.2 研究目的„„ 4 1.3 论文结构„„ 5 第二章 网络安全 „„ 6 2.1 网络安全问题„„ 6 2.1.1 网络安全面临的主要威胁 „„ 6 2.1.2 影响网络安全的因素 „„ 6 2.2 网络安全措施„„ 7 2.2.1 完善计算机安全立法 „„ 7 2.2.2 网络安全的关键技术 „„ 7 2.3 制定合理的网络管理措施„„ 8 第三章 防火墙概述 „„ 9 3.1 防火墙的概念„„ 9 3.1.1 传统防火墙介绍 „„ 9 3.1.2 智能防火墙简介 „„ 10 3.2 防火墙的功能„„ 11 3.2.1 防火墙的主要功能 „„ 11 3.2.2 入侵检测功能 „„ 11 3.2.3 虚拟专网功能 „„ 12 3.2.4 其他功能 „„ 12 3.3 防火墙的原理及分类„„ 13 3.3.1 包过滤防火墙 „„ 13 3.3.2 应用级代理防火墙 „„ 13 3.3.3 代理服务型防火墙 „„ 14 3.3.4 复合型防火墙 „„ 14 3.4 防火墙包过滤技术„„ 14 3.4.1 数据表结构 „„ 15 3.4.2 传统包过滤技术 „„ 16 3.4.3 动态包过滤 „„ 17 3.4.4 深度包检测 „„ 17 3.4.5 流过滤技术 „„ 18 第四章 防火墙的配置 „„ 20 4.1 硬件连接与实施„„ 20 4.2 防火墙的特色配置„„ 20 4.3 软件的配置与实施„„ 21 第五章 防火墙发展趋势 „„ 23 5.1 防火墙包过滤技术发展趋势„„ 23 5.2 防火墙的体系结构发展趋势„„ 24 5.3 防火墙的系统管理发展趋势„„ 24 结论„„ 25 参考文献„„ 26 致谢„„ 27 3 计算机防火墙技术论文
第一章
1.1 研究背景
引言
随着互联网的普及和发展,尤其是 Internet 的广泛使用,使计算机应用更 加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受 到攻击的一面。据美国 FBI 统计,美国每年因网络安全问题所造成的经济损失高 达 75 亿美元,而全求平均每 20 秒钟就发生一起 Internet 计算机侵入事件[1]。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在 利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的 网络体系,值得我们关注研究。
1.2 研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解 决方案,可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自 己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止 恶性信息对本机的攻击,比如 ICMPnood 攻击、聊天室炸弹、木马信息破译并修 改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问,使 计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙 可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以 根据自己的需要创建防火墙规则,控制互联网到 PC 以及 PC 到互联网的所有连接,并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄 漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视 邮件系统,阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机 Windows 系统上,采取一些安全防护措施,使得本机 的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软 件,按一定的规则对 TCP,UDP,ICMP 和 IGMP 等报文进行过滤,对网络的信息流 和系统进程进行监控,防止一些恶意的攻击。目前市场上大多数的防火墙产品仅 仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:内部网是 安全可靠的,所有的威胁都来自网外。因此,他们防外不防内,难以实现对企业 内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主 机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。个人上网用户多使用 Windows 操作系统,而 Windows 操作系统,特别是
计算机防火墙技术论文
WindowsXP 系统,本身的安全性就不高。各种 Windows 漏洞不断被公布,对主机 的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏 洞来实现攻击。如假冒 IP 包对通信双方进行欺骗:对主机大量发送正数据包[3] 进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共 网)或网络安全域之间的一系列部件的组合[ 1 ]。它可通过监测、限制、更改跨 越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以 此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一 个分析器,有效地监控了内部网和 Internet 之间的任何活动, 保证了内部网络 的安全。一个高效可靠的防火墙必须具有以下典型的特性: 1 从里到外和从外到里的所有通信都必须通过防火墙; 2 只有本地安全策略授权的通信才允许通过; 3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据;管理进出网络的访问行为;封 堵某些禁止的业务; 记录通过防火墙的信息内容和活动;对网络攻击进行检测 和报警
1.3 论文结构
在论文中接下来的几章里,将会有下列安排: 第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安 全的因素,及保护网络安全的关键技术。第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等。第四章,以 H3CH3C 的 F100 防火墙为例,介绍防火墙配置方法。第五章,系统阐述防火墙发展趋势。5 计算机防火墙技术论文
第二章 网络安全 2.1 网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于 计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的 或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 从技术讲,计算机安全分为 3 种: 1)实体的安全。它保证硬件和软件本身的安全。2)运行环境的安全性。它保证计算机能在良好的环境里持续工作。3)信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展,计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁 一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和 拒绝服务攻击三个方面。1)计算机病毒的侵袭。当前,活性病毒达 14000 多种,计算机病毒侵入 网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2)黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通 道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号 和密码;非法获取网上传输的数据;突破防火墙等。3)拒绝服务攻击。例如“点在邮件炸弹”,它的表现形式是用户在很短 的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统 关机,网络瘫痪。具体讲,网络系统面临的安全威胁主要有如下表现:身份窃取、非授权访 问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。2.1.2 影响网络安全的因素 1)单机安全 购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作„„等等,这些都是影响单机安全性 的因素。2)网络安全 影响网络安全的因素有:节点的安全、数据的安全(保存和传输方面)、文件的安全等。6 计算机防火墙技术论文 2.2 网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。一个完整的网络
信息安全体系至少应包括三类措施:一是法律政策、规章制度以及安全教育等外 部软环境。二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络 防毒等。三是管理措施,包括技术与社会措施。主要措施有:提供实时改变安全 策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防 患于未然。这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。2.2.1 完善计算机安全立法 我国先后出台的有关网络安全管理的规定和条例。但目前,在这方面的立 法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的 基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的 发展提供强有力的保障。2.2.2 网络安全的关键技术(1)数据加密 加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的 加密类型:私匙加密和公匙加密。(2)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用 认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防 止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应 用网关、子网屏蔽等。但是,防火墙技术在网络安全防护方面也存在一些不足: 防火墙不能防止内部攻击防火墙不能取代杀毒软件; 防火墙不易防止反弹端口木 马攻击等。(4)检测系统 入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技 术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之 前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智 能化入侵检测和全面的安全防御方案。7 计算机防火墙技术论文
(5)防病毒技术 随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒 防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网 络、以及它们之间相互关系和接口的综合系统。(6)文件系统安全 在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个 方面:本地和远程。建立文件权限的时候,必须在 Windows 2000 中首先实行新 技术文件系统(New Technology File System,NTFS)。一旦实现了 NTFS,你 可以使用 Windows 资源管理器在文件和文件夹上设置用户级别的权限。你需要了 解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000 操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3 制定合理的网络管理措施
(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的
培养教育以及相关技术培训。(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励 和监督的作用。(3)管理措施要标准化、规范化和科学化。8 计算机防火墙技术论文
第三章
防火墙概述
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可 预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部 网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服 务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和 信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的 安全。3.1.1 传统防火墙介绍 目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发 展历程。图 1 表示了防火墙技术的简单发展历史。
图1 第一代防火墙 第 一 代 防 火 墙 技 术 几 乎 与 路 由 器 同 时 出 现,采 用 了 包 过 滤(Packet filter)技术。二代、第三代防火墙 第二代、第三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推 9 计算机防火墙技术论文
出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—— 应用层防火墙(代理防火墙)的初步结构。
第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技 术 的 第 四 代 防 火 墙,后 来 演 变 为 目 前 所 说 的 状 态 监 视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了 第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在 其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全 新的意义,可以称之为第五代防火墙。[5] [5] 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的 三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主 要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题 占据网络安全问题九成以上。而这三大问题,传统防火墙都无能为力。主要有以 下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代 价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个 简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法检测复杂 的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统 的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解 决上面的问题。3.1.2 智能防火墙简介 智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利 用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目 的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特 征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。10 计算机防火墙技术论文 3.2 防火墙的功能
3.2.1 防火墙的主要功能 1.包过滤。包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数 据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端 口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2.地址转换。网络地址变换是将内部网络或外部网络的 IP 地址转换,可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。SNAT 用于对内部网 络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网 络的非授权访问或恶意攻击。并将有限的 IP 地址动态或静态的与内部 IP 地址对 应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。DNAT 主要用于 外网主机访问内网主机。3.认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数 据库;提供 HTTP、FTP 和 SMTP 代理功能,并可对这三种协议进行访问控制;同时 支持 URL 过滤功能。4.透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提 供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网 络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网 之间的安全访问。3.2.2 入侵检测功能 入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技 术,包括以下内容: 1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主 机的哪些非常用端口是打开的;是否支持 FTP、服务;且 FTP 服务是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,进而对内部网络的主 机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有: 关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该 端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用 过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;11 计算机防火墙技术论文
而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生 的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多 的受控主机同时发起进攻,以比 DoS 更大的规模(或者说以更高于受攻主机处理 能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多种 DOS/DDOS 攻 击。3.检 测 多 种 缓 冲 区 溢 出 攻 击(Buffer Overflow)。缓 冲 区 溢 出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的 溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更 为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各 种非法操作,防火墙设备可检测对 FTP、Telnet、SSH、RPC 和 SMTP 等服务的远 程堆栈溢出入侵。4.检测 CGI/IIS 服务器入侵。CGI 就是 Common Gateway Inter——face 的 简称。是 World Wide Web 主机和 CGI 程序间传输资讯的定义。IIS 就是 Internet Information server 的简称,也就是微软的 Internet 信息服务器。防火墙设备 可检测包括针对 Unicode、ASP 源码泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百种的有安全隐患的 CGI/IIS 进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个 特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开 那个特殊的端口的程序。木马程序的全称是 “特洛依木马” 它们是指寻找后门、,窃取计算机的密码的一类程序。网络蠕虫病毒分为 2 类,一种是面向企业用户和 局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成 瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql 蠕虫王”为代 表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿 透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程 序。3.2.3 虚拟专网功能 指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络 中传播。VPN 的基本原理是通过 IP 包的封装及加密、认证等手段,从而达到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址绑定。可支持任一网络接口的 IP 地址和 MAC 地址的绑 12 计算机防火墙技术论文
定,从而禁止用户随意修改 IP 地址。2.审计。要求对使用身份标识和认证的机制,文件的创建,修改,系统管 理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日 志。3.特殊站点封禁。内置特殊站点数据库,用户可选择是否封禁色情、反动 和暴力等特殊站点。3.3 防火墙的原理及分类
国际计算机安全委员会 ICSA 将防火墙分成三大类:包过滤防火墙,应用级代
理服务器[8]以及状态包检测防火墙。3.3.1 包过滤防火墙 顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过 滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层 IP 包包头信 息的比较。包过滤防火墙工作在网络层,IP 包的包头中包含源、目的 IP 地址,封装协议类型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口号,ICMP 消息类型,TCP 包头中的 ACK 等等。如果接收的数据包与允许转发的规则相匹配,则数据包 按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有 匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它 处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就 可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网 络,使之遭受攻击。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 许内部员工访问网站,包过滤防火墙可能设置允所有 80 端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防 火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完 善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。3.3.2 应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代 理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防 火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理 13 计算机防火墙技术论文
机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑 客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络 服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支 持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问 WEB 站点的 HTTP,用于文件传输的 FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进 行转发;同时升级一种应用时,相应的代理程序也必须同时升级。3.3.3 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包 过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代 理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对 过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网 络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔 离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在 OSI 模型的最高层,掌握着应用系统中可用 作安全决策的全部信息。3.3.4 复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法 结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防 火墙体系结构,在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时 一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设 置,使堡垒机成为 Internet 上其他节点所能到达的唯一节点,这确保了内部网 络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网 内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤 路由器共同构成了整个防火墙的安全基础。
3.4 防火墙包过滤技术
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 14 计算机防火墙技术论文
重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定 的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与 透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作,所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程,可以认为包过滤的核心问题就是如何充分利用数据 包中各个字段的信息,并结合安全策略来完成防火墙的功能[11]-[15] 3.4.1 数据表结构 当应用程序用 TCP 传送数据时,数据被送入协议栈中,然后逐个通过每一层 直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部 信息。TCP 传给 IP 的数据单元称作 TCP 报文段(TCP Segment);IP 传给网络接口 层的数据单元称作 IP 数据报(IP Datagram);通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包,顺序正好与此相反,头部信息逐层剥掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部长 服务类型 标识 生存时间 协议 源 IP 地址 目的 IP 地址 选项 标志 首部校验和
总 长 度 片偏移
表 2-2 TCP 首部格式 源端口号 目的端口号 序列号 15 计算机防火墙技术论文
确认号 首 保 L 部 留 R 长 C T B L P R C B C J H T H TCP 校验和 H J R 窗口大小
紧急指针 选项
对于帧的头部信息主要是源/目的主机的 MAC 地址;IP 数据报头部信息主要 是源/目的主机的 IP 地址;TCP 头部的主要字段包括源/目的端口、发送及确认序 号、状态标识等。理论上讲,数据包所有头部信息以及有效载荷都可以作为判断包通过与否的 依据,但是在实际情况中,包过滤技术上的问题主要是选取哪些字段信息,以及 如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作,并尽可能 提高安全控制力度。3.4.2 传统包过滤技术 传统包过滤技术,大多是在 IP 层实现,它只是简单的对当前正在通过的单 一数据包进行检测,查看源/目的 IP 地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。这种技术实现简单,处理速度快,对应用透明,但是它存在的问题也很多,主要表现有: 1.所有可能会用到的端口都必须静态放开。若允许建立 HTTP 连接,就需 要开放 1024 以上所有端口,这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个 ACK 数据包,就认为这是 一个己建立的连接,这就导致许多安全隐患,一些恶意扫描和拒绝服务攻击就是 利用了这个缺陷。3.无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或 包含病毒代码,也无法进行控制和阻断。综合上述问题,传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺 乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测,而没有考虑前 后数据包之间的联系;(4)只检查包头信息,而没有深入检测数据包的有效载荷。传统包过滤技术必须发展进化,在继承其优点的前提下,采用新的技术手 段,克服其缺陷,并进一步满足新的安全应用要求。从数据包结构出发考虑,目 前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间 的关系,充分利用包头信息中能体现此关系的字段,如 IP 首部的标识字段和片 16 计算机防火墙技术论文
偏移字段、TCP 首部的发送及确认序号、滑动窗口的大小、状态标识等,动态执 行数据包过滤。(2)纵向发展。深入检测数据包有效载荷,识别并阻止病毒代码 和基于高层协议的攻击,以此来提高应用防御能力。这两种技术的发展并不是独 立的,动态包过滤可以说是基于内容检测技术的基础。实际上,在深度包检测技 术中己经体现了两种技术的融合趋势。3.4.3 动态包过滤 动态包过滤[16]又称为基于状态的数据包过滤,是在传统包过滤技术基础 之上发展起来的一项过滤技术,最早由 Checkpoint 提出。与传统包过滤技术只检查单个、孤立的数据包不同,动态包过滤试图将数 据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下 该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到 达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据 包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法 的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较 大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通 1024 号以 上的端口,使安全性得到进一步地提高。动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则 静态不可变的缺陷,使得防火墙的安全控制力度更为细致。3.4.4 深度包检测 目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用 了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新 的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对这种需求,深入检测数据 包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需 要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描 检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割 到 10 个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻 17 计算机防火墙技术论文
击特征进行匹配: 要清楚地知道有效载荷,必须采取有效方法,将单个数据包重 新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高 达 100 倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这 就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和 行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图 3.1 所示。
图 3.1 深度包检测框图 在接收到网络流量后,将需要进行内容扫描的数据流定向到 TCP/IP 堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到 TCP/IP 堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内 容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容 协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个 HTTP 数据 流,则命令解析器检查上载和下载的文件;如果数据是 Mail 类型,则检查邮件的 附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引 擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤 的设置进行匹配,通过或拒绝数据。3.4.5 流过滤技术 流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过 滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方 案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状 态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的 TCP/IP 协议栈,实现了透明的应用信息过滤机制。18 计算机防火墙技术论文
流过滤技术[17]的关键在于其架构中的专用 TCP/IP 协议栈:这个协议栈是 一个标准的 TCP 协议的实现,依据 TCP 协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识 别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或 IP 层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在 防火墙内部都存在两个完全独立的 TCP 会话,数据以“流”的方式从一个会话流 向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代 替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制 能力。如在对 SMTP 协议的处理中,系统可以在透明网桥的模式下实现完全的对 邮件的存储转发,并实现丰富的对 SMTP 协议的各种攻击的防范功能一流过滤的 示意图如图 3.2 所示。
图 3.2 流过滤示意图 19 计算机防火墙技术论文
第四章
4.1 硬件连接与实施
防火墙的配置
一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次 与价格不同而在百兆与千兆之间有所区别。(如图 4.1)图 4.1 对于中小企业来说一般出口带宽都在 100M 以内,所以我们选择 100M 相关产 品即可。网络拓扑图中防火墙的位置很关键,一般介于内网与外网互连中间区域,针对外网访问数据进行过滤和监控。如果防火墙上有 WAN 接口,那么直接将 WAN 接口连接外网即可,如果所有接 口都标记为 LAN 接口,那么按照常规标准选择最后一个 LAN 接口作为外网连接端 口。相应的其他 LAN 接口连接内网各个网络设备。4.2 防火墙的特色配置
从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙
具备 CONSOLE 接口通过超级终端的方式初始化配置,而另外一部分则直接通过默 认的 LAN 接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同 优先级别的区域,另外还需要针对相应接口隶属的区域进行配置,例如 1 接口划 分到 A 区域,2 接口划分到 B 区域等等,通过不同区域的访问权限差别来实现防 火墙保护功能。默认情况下防火墙会自动建立 trust 信任区,untrust 非信任区,DMZ 堡垒主机区以及 LOCAL 本地区域。相应的本地区域优先级最高,其次是 trust 信任区,DMZ 堡垒主机区,最低的是 untrust 非信任区域。20 计算机防火墙技术论文 在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操 作,否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级 终端下的命令行参数进行配置或者通过 WEB 管理界面配置。4.3 软件的配置与实施
以 H3C 的 F100 防火墙为例,当企业外网 IP 地址固定并通过光纤连接的具体
配置。首先当企业外网出口指定 IP 时配置防火墙参数。选择接口四连接外网,接 口 一 连 接 内 网。这 里 假 设 电 信 提 供 的 外 网 IP 地 址 为 202.10.1.194 255.255.255.0。第一步:通过 CONSOLE 接口以及本机的超级终端连接 F100 防火墙,执行 system 命令进入配置模式。第二步:通过 firewall packet default permit 设置默认的防火墙策略为 “容许通过”。第三步:进入接口四设置其 IP 地址为 202.10.1.194,命令为 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:进入接口一设置其 IP 地址为内网地址,例如 192.168.1.1 255.255.255.0,命令为 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 将两个接口加入到不同的区域,外网接口配置到非信任区 untrust,内网接口加入到信任区 trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墙运行基本是通过 NAT 来实现,各个保护工作也是基于此 功能实现的,所以还需要针对防火墙的 NAT 信息进行设置,首先添加一个访问控 制列表—— acl num 2000 21 计算机防火墙技术论文
rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下来将这个访问控制列表应用到外网接口通过启用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或 外网电信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如图 2)执行 save 命令保存退出后就可以在企业外网出口指定 IP 时实现防火墙数据转发 以及安全保护功能了。22 计算机防火墙技术论文
第五章
防火墙发展趋势
针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也 出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管 理三方面来体现。5.1 防火墙包过滤技术发展趋势
(1)安全策略功能 一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常 必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的 防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带 来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验 证。(2)多级过滤技术 所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分 组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的 IP 源地址;在传输层 一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如 nuke 包、圣诞树包等;在应用网关(应用层)一级,能利用 FTP、SMTP 等各种网关,控 制和监测 Internet 提供的所用通用服务。这是针对以上各种已有防火墙技术的 不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这 个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(3)功能扩展 功能扩展是指一种集成多种功能的设计趋势,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中 了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功 能为主了,即其已经逐渐向我们普遍称之为 IPS(入侵防御系统)的产品转化了。23 计算机防火墙技术论文
有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还 是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可 以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护 功能的防火墙可以大大减少公司的损失。5.2 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要
能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普 遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防 火墙制造商开发了基于 ASIC 的防火墙和基于网络处理器的防火墙。从执行速度 的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大 程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面 任务的引擎,从而减轻了 CPU 的负担,该类防火墙的性能要比传统防火墙的性能 好许多。与基于 ASIC 的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流,比 起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程 性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方 案是增加 ASIC 芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以 同时满足来自灵活性和运行性能的要求。5.3 防火墙的系统管理发展趋势
(1)集中式管理,分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化 纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智
能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。防火墙技术只 有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增 长的需求。24 计算机防火墙技术论文
结论
随着 Internet 和 Intranet 技术的发展,网络的安全已经显得越来越重要, 网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯 罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客 技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内 和外的攻击;克服传统“边界防火墙”的缺点,集成了 IDS、VPN 和防病毒等安 全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际 应用和发展的安全要求。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中 的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。25 计算机防火墙技术论文
参考文献
[1] 王艳.浅析计算机安全[J].电脑知识与技术.2010,(s):1054 一 1055.[2] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79 一 82.[3] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311 一 312.[4] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17 一 18.[5] 郑林.防火墙原理入门[Z].E 企业.2000.[6] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57 一 62 [7] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59 一 61 [8] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技 术大学学报.2004,34(4):400 一 409 [11] 邵华钢,杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003,29(12):123 一 124 [12] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76 一 78 [13] 付 歌,杨 明 福,王 兴 军.基 于 空 间 分 解 的 数 据 包 分 类 技 术.计 算 机 工 程 与 应 用.2004(8):63 一 65 [14] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504 一 508 [15] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188 一 192 [16] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387 一 392 [17] 余胜生,张宁,周敬利,胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工 程.2004,30(7):49 一 51 26 计算机防火墙技术论文
致谢
【防火墙技术】推荐阅读:
防火墙技术实验报告11-29
防火墙技术习题参考答案12-16
计算机防火墙与应用——网络安全技术.论文07-31
煤粉生产防火防爆安全技术规范07-20
生产技术复习资料 矿井防火08-09
中专职业技术学校消防安全每日防火巡查制度08-06
防火墙08-13
电力防火墙配置09-24
消防安全“防火墙”工程12-01