防火墙在网络安全中应用初稿.docx

摘 要网络安全是指网络系统能够可靠正常运行，软硬件及其数据不因偶然或恶意因素遭受到破坏、更改、泄露。网络安全的主要威胁主要有非法访问，冒充合法用户，破坏数据，干扰系统正常运行，病毒攻击，信息泄露等方面。随着计算机技术的发展和网络应用的普及，面对日益强大的网络威胁，人们逐渐意识到网络安全的重要性，而在网络安全结构体系中，防火墙占据举足重轻的位置。本文首先叙述防火墙的一些概念特点，为下文的介绍做铺垫，而将本文重点放在研究防火墙各种技术以及作用原理，并对此进行分析评价，以及提出一些改进意见，重点叙述一些针对防火墙攻击的策略。同时以用户的角度叙述了如何使用和选购防火墙来实现自身的安全需求，最后在对防火墙的未来前景进行展望。本文共包括以下六个部分：防火墙概念、防火墙技术、防火墙的局限性、防火墙面临的攻击和对策、发展趋势、总结本文的创新之处在于对防火墙面临的攻击进行详细论述，并且提出了相应对策。关键词：防火墙 网络攻击 发展趋势ABSTRACT Network security is the normal operation of the network system capable of reliable hardware and software and the data is not due to accidental or malicious damage suffered factors , changes leakage. The main threats to network security are mainly illegal access, impersonate legitimate users , destroy data , interfere with the normal operation of the system , virus attacks , information leaks and other aspects . With the popularity of computer technology and network applications , the face of increasingly powerful network threats, people have gradually realized the importance of network security , and network security architecture , the firewall give enough weight to occupy the position of the light .This paper first describes the firewall features some of the concepts , laying the groundwork for the later introduction , the paper focuses on research and firewall technology and the role of the various principles and this analysis and evaluation , as well as make some improvements , focusing on description of some attacks against the firewall strategy. While the users point of view and an optional description of how to use a firewall to implement their own security needs , the last in the future prospects of the firewall will be discussed.This thesis consists of the following six sections:Firewall concept , firewall technology , the limitations of the firewall , the firewall facing attacks and countermeasures , trends, summarizedThe innovation of this paper is facing attacks on firewalls discussed in detail , and proposed countermeasures.Key words: Firewall ; Network attacks; development trend; 摘 要1一、防火墙概念2二、防火墙技术3三、防火墙的局限性5四、防火墙面临的攻击以及应对策略6五、未来趋势9六、总结10防火墙在网络安全中的应用随着计算机的广泛应用，以及Internet网络的迅猛发展，网络安全的问题日益突出，人们越来越重视网络安全问题。目前，网络安全面临的威胁主要有：病毒与恶意攻击、非授权访问、间谍软件入侵等，2012年我国计算机病毒感染率高达45.07%，通过网络下载或浏览传播病毒的比例占75.42%。国家互联网应急中心，2014年2月10-16日网络安全信息与动态周报显示，本周境内感染网络病毒的主机数量约为 69.0 万个，其中包括境内被木马或被僵尸程序控制的主机约 35.0 万以及境内感染飞客（conficker）蠕虫的主机约 34.0 万。放马站点是网络病毒传播的源头，根据对放马 URL 的分析发现，大部分放马站点是通过域名访问，而通过 IP 直接访问的涉及 94 个 IP。因此，防病毒防黑客已经成为防范网络威胁的基本策略，而大部分的不安因素都是通过不安全的外部网络环境侵入内部网络而实施破坏的。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施，所以，我们有必要对防火墙技术进行深入分析和研究，并能充分利用这项技术，努力改善防火墙技术，使网络更稳定，更安全。一、防火墙概念防火墙指在内部网和外部网或专用网和公共网之间的一种由软件、硬件设备组合的安全网关，保护内部网免受非法用户的侵入.，防火墙的安全性一般包括访问控制能力、抗攻击能力、自身的安全性3方面。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分构成，流经安装防火墙的计算机的所有网络通信和数据包都要经过此防火墙。防火墙可以是一种硬件（如专用防火墙）、固件或者软件（如代理服务器软件）。特征：（一）.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（二）只有符合安全策略的数据流才能通过防火墙。（三）防火墙具有相当强的抗攻击能力。(四)应用层防火墙具备更细致的防护能力。(五）数据库防火墙针对数据库恶意攻击具有阻断能力。二、防火墙技术防火墙技术是一种综合技术，一般很少采用单一技术，通常是多种为解决不同问题而进行技术组合，主要包括以下技术(一)包过滤技术1.这是一门最早的防火墙技术，主要是基于数据包过滤技术，通过检测数据包的首部信息来决定是否丢弃，工作原理是检查发送方IP地址、接收方IP地址，TCP端口、TCP标志位等信息是否满足数据包过滤访问控制列表来判断是传送还是丢弃，工作在网络层和传输层。包过滤技术粗略可分为包过滤技术和状态检测技术，详细可分静态包过滤技术、动态包过滤技术、状态包检测技术、深度包检测技术。包过滤优点是效率高速度快，逻辑简单，成本低，但是缺点亦明显。因为是利用部分数据包的首部信息、通过过滤规则来检测，不仅依据信息少，而且性能受过滤规则数目影响较大，若设置数量过少，则不能满足安全性的要求，数目过多效率会大大降低。因为网络管理员要设置过滤规则，所以对网络员的专业素质较高。并且不能防止IP地址欺骗，因为过滤依据是IP地址、目的IP地址，而IP地址的伪造是很容易并且很普遍的。该技术还缺少审计和报警机制、缺少上下文关联信息，所以不能对网络上流动的信息做出全面的记录和控制，不能进行身份验证、不能有效过滤等UDP、RPC一类的协议。即使再完善的数据包过滤仍有一些应用协议如FTP、RPC不适合于数据包过滤。因为该技术是动态分配端口号，所以必须全部打开客户端动态分配端口区域，不能实现使用哪个端口就打开哪个端口，这时若防火墙没有记住已存在的TCP连接，则无法抵御TCP的ACK扫描。目前，防火墙已经较少使用该技术，市场上主要使用状态包过滤技术和应用代理技术。（二）状态包过滤技术状态包过滤技术也称状态检测技术1.近几年才应用的新技术，是对过去包过滤技术的一种升级模式，基于连接的状态检测技术，判断同属于一个连接的所有包是否属于当前合法连接，通过规则表与状态表的共同配合，从而进行动态过滤。过滤规则不仅决定是否接受数据包，还包含是否在状态表中添加新连接，状态表会跟踪每一个会话过程，使数据包伪装攻击的机会大大减少，比传统包过滤防火墙的静态过滤规则，更安全更灵活。因为借助状态表可以按需开放端口，连接结束端口就关闭，大大减少了端口暴露的机会，所以可以抵御TCP的ACK扫描，加大了安全性。但状态包过滤技术仍存在不少问题，由于IP地址数目巨大且经常变动，所以在访问控制列表的配置和维护方面较为困难。因为包过滤防火墙不是会话连接的发起者，所以对主机之间的会话关系难以详细了解，容易受到欺骗攻击。由于工作在网络层和传输层，难以过滤应用层服务，容易遭受如HTTP/ICMP隧道攻击等的攻击。查询状态表会影响一些性能，不过影响较小，可以通过使用专用芯片解决。使用该技术时，若增加身份认证功能则会大大增加防火墙的安全性，但同时也会降低处理效率。能与包过滤技术配合使用的还有多级过滤技术，这时一种综合过滤型技术，分别在网络层、传输层、应用层进行分组过滤，该技术弥补了单一过滤技术过滤力度的不足。（三）NAT网络地址转换技术1. 也称IP地址伪装技术，是一种在数据包通过防火墙时转换源IP地址或者目的IP地址的技术，可分为静态NAT和动态NAT技术。工作原理是，内部原理内部主机和外部主机建立会话连接时，若数据包来自内网则防火墙检查NAT映射表是否已为该地址配置地址转换，若已配置则用公网IP地址替换内网地址并转发数据包。若来自外网，检查NAT映射表是否存在匹配项，若存在，用内部地址替换目的IP地址并转发，否则拒绝数据包。静态和动态的NAT对来自内网的数据包处理略微不同，静态NAT过程中，若NAT映射表中没有配置静态地址转换，则防火墙不对内部地址进行转换，丢弃或转发数据包。动态NAT过程中，若NAT映射表中没有建立地址转换映射项，防火墙则会进行地址转换。该技术并非为了防火墙设计，优点是节约了合法公网IP地址，NAT的主要功能是处理IPv4的地址空间不足，倘若IPv6得到广泛采用，则对该技术的需求会大大减少。该技术具有隐藏内部主机地址、.实现网络负载均衡、处理网络地址交迭等作用，但仍存在一些问题待解决。比如，一些应用层协议无法使用NAT技术，端口改变时，有些协议不能正确执行他们的功能。静态NAT是一对一替换IP地址的，但应用层协议数据包所包含的相关地址不能同时得到替换，这种情况可使用应用层代理服务来实现。动态NAT，对于内部网络攻击，NAT不存在任何安全保护。若是内部用户主动与黑客主机或引诱到恶意外部主机上，内部主机将完全暴露，防火墙则无效。（四）代理技术1.与包过滤技术原理完全不同，着重于应用级别，分析经过防火墙的应用信息来决定丢弃还是传送，利用代理服务器来屏蔽双方网络，避免直接的端对端连接，代理技术可细分为应用层代理、电路层代理、自适应代理。通信时，外网用户首先和代理服务器连接，代理服务器检查其身份和数据安全合法后，再由代理服务器与目标服务器连接。应用层代理工作原理：对每一种应用服务编制专门的代理程序，信息经过时检查验证其合法性，如其合法，会像一台客户机一样取回所需的信息再转发给客户，这样就会对应用层信息流实现监视和控制，可代理HTTP/FTP/SMTP/POP3/Telnet等协议使用户在安全的情况下浏览网页、收发邮件和远程登录等,。该技术有很多优点，能够解释应用协议，支持用户认证，还可缓存经常访问的信息，对于同一数据则无需向服务器发出新请求，优化了性能。还能够提供详详细的注册信息，比包过滤技术更容易配置和测试，能够隐藏内网的IP地址，内部的IP可以通过代理访问因特网，所以解决IP地址不够的问题。尽管应用代理技术有很多优点，但是仍有不少缺陷。因为注重应用层并详细搜索协议对数据控制多且细，CPU和内存的开销大，所以当网关的吞吐量高时，速度会大受影响。对有些通用协议如RPC/Talk，无法使用应用层代理技术。而且一般代理服务器只能解释某一种服务，可能需要提供很多种不同的代理服务器，这样的话便不能支持大规模的并发连接，只适合单一协议，效率大受影响。并且当一种应用升级的时候代理服务器也要随之升级，所以伸缩性有限。解决方法：传输层代理。传输层代理也包含传输层代理服务器和传输层代理客户端，与一般代理的区别是服务端实现在应用层，顾客端实现在应用层和传输层之间，无需IP连通性便可实现服务端两端的互访。并且传输层可以代理所有的具体应用。功能有数据加密、访问控制、信息认证和身份认证。（五）VPN虚拟专用网技术1. 提供现有网络或点对点连接上建立一至多条安全数据通信的机制,是一种网络互连方式和将远程用户连接到网络的方法。安全目标是抵御未授权的访问，只分配给受限的用户独占使用，并能在需要时动态的建立和撤销。其中有端到点和点到点的VPN接入。端到点的VPN接入：远程用户通过因特网建立到内网的VPN连接，建立到远程访问服务器的vpn后，会得到一个内网的IP地址，用户便可访问内部主机。点到点的VPN接入：跨越不安全公网来连接两个端点的安全数据通道。一般，不能仅仅靠虚拟专用网络来实现网络安全，还应结合路由器、代理服务器、等一种或者多种网络软硬件。（六）其他相关技术常与防火墙技术配合使用的有数据加密技术。数据加密技术是将信息利用加密钥匙、加密函数转换，变成无意义的密文，接受方收到密文后通过解密函数、解密钥匙还原成明文这样提高信息系统及数据的安全性和保密性。根据作用不同数据加密技术可分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术。而与数据加密技术息息相关的是智能卡技术。智能卡就是密钥的一种媒体，由持有者设置一个口令或密码字，使用该卡时，该密码字要与内部网络服务器上注册的密码、口令与身份特征一致时才能使用，其保密性能相当有效，目前，很多网上银行为提高安全性都提供该种服务。虽然防火墙在网络安全中占据重要位置，但是网络安全单靠防火墙是不够的，还需要有考虑其它技术和非技术因素，如身份验证技术、信息加密技术、入侵检测技术、防病毒技术、制定规范的网络法规、同时提高网络管理人员的安全素质和安全意识等。三、防火墙的局限性1.防火墙防外不防内，内网用户可能误用被给予的权限或则被攻击者引诱而对内网造成破坏。根据IDC等统计表明，网络上70%以上的安全事件来自内网。2.对那些不经过防火墙的攻击无能为力。如不严格的拨号上网、Fax服务器等。3. 在防范病毒方面能力有限，既不能拒绝所有被病毒感染的文件也不能杀掉通过防火墙的病毒，目前已有一些防火墙只能够查杀病毒，但只限在已知的病毒，对新病毒往往无能为力。4.防火墙配置和管理复杂，对网络管理员专业素质要求高，这就容易造成安全漏洞，特别是多个系统组成的防火墙，管理上的疏漏往往是不可避免。5.防火墙的安全性和效率性两方面往往形成冲突，在实现安全性的同时会影响网络效率，若同时兼顾，成本经费也会加大。6.应用代理防火墙需要不断更新新服务的应用代理，这不仅耗费人力物力，若操作不当还会引起安全漏洞。 7.防火墙的检测机制容易造成拥塞以及溢出现象。当需要处理的数据流量过大时，容易导致数据拥塞，影响整个网络性能，甚至会发生溢出，使防火墙瘫痪。四、防火墙面临的攻击以及应对策略1.防火墙面临的攻击可分为探测攻击和穿透攻击。探测攻击是通过构造特殊的数据包来探测防火墙信息，目的是为了随后的攻击提供信息，如探测是何种防火墙系统、协议类型、允许通过的端口、IP信息等。穿透攻击是伪装攻击数据包以通过或者绕过防火墙，并对内网进行攻击。探测攻击可分为防火墙存在性探测（如使用traceroute命令对目标主机进行跟踪）、防火墙类型探测（利用连接防火墙的某些端口会返回特征标识这一特性）、防火墙规则探测、防火墙后的主机探测（又可分为正常数据包探测和异常数据包探测）。正常数据包探测就是利用正常、合法的数据包去探测目标主机的一些信息，主要是主机状态和端口开放信息等。异常数据包是通过发送一个异常的数据包以诱使目标主机生成一个ICPM报文，向源主机报告差错，借此来判断目标主机的存活性。常见的探测攻击有TCP/SYN报文段探测、TTL探测法，而正常数据包探测有TCP报文段探测、UDP数据报探测、ICMP报文探测。 穿透技术包括IP欺骗、协议隧道、报文分片等。IP欺骗技术是利用虚假的IP地址来躲过防火墙认证的一种技术，目前，针对TCP协议常用的是TCP序列号猜测技术。协议隧道是一个网络协议的载体，即原本在一条通道上传输数据包，数据包经过封装后在另一条通道传输。常见的穿透防火墙隧道技术是ICMP隧道技术和HTTP隧道技术，此种攻击是利用前面已经探测出的防火墙规则，对攻击数据进行伪装，在通信双方之间建立秘密隧道，穿透防火墙，一般采用C/S工作模式。报文分片攻击原理是攻击者首先向目标主机发送一个合法正常的报文分片，防火墙检测通过后，继续发送装有恶意数据的后续报文，这样后续的报文就可以直接穿过防火墙，威胁内网和主机安全。2.常见攻击方式以及应对策略（1）DoS (Denial of Service)攻击拒绝服务攻击是一种使网络遭受严重破坏的恶意攻击，计算机遭到这种攻击会出现无响应、死机的现象，常见的DoS攻击手段有死亡之ping （PingofDeath）、SYN泛洪、UDP泛洪、Land攻击、TearDrop等。DoS攻击有计算机网络带宽攻击和连通性攻击这两种，带宽攻击利用巨大的通信量冲击网络,使网络带宽消耗殆尽，而连通性攻击使用的是连接请求去冲击计算机，大量消耗了操作系统资源，这两者都会造成合法用户的请求无法通过,甚至造成系统或网络瘫痪而无法提供正常的网络服务。要了解DoS攻击的攻击原理，首先分析TCP连接的“三次握手”。传输控制协议TCP（Transfer Control Protocol）是传输层协议，提供服务包括建立连接、数据传输、断开连接这三个部分，而TCP是通过“三次握手”来建立连接。TCP连接的三次握手过程如下图：服务器客户机 发送SYN 进入SYN SEND状态 确认后发送SYN+ACK包客户机 进入SYN_RECV状态 发送确认包ACK 都进入ESTABLISHED状态第一次握手:首先客户端发送SYN包到服务器，客户端进入SYN SEND状态并等待服务器回应;第二次握手:服务器收到SYN包后会确认客户的SYN，同时向客户端发送一个SYN+ACK包，服务器进入SYN_RECV状态;第三次握手:客户端收到来自服务器的SYN+ACK包，并向服务器发送确认包ACK，此时客户端和服务器都进入ESTABLISHED状态。这样就完成三次握手，客户端与服务器便开始传送数据。以SYN洪水攻击为例，攻击者发送大量的半连接请求（半连接请求是指收到SYN包而还没有收到ACK包时的一种请求，即处在尚未完成第三次握手），因为服务器未收到ACK确认包会重发请求包，直到超时才将此请求从未连接队列删除，由于服务器这样的处理机制，耗费了大量的CPU和内存资源，长时间的占据系统造成正常的SYN 请求被丢弃，同时导致目标系统运行变慢，严重的会引起网络堵塞甚至系统崩溃。过去，攻击者会因为网络规模和网速而遇到网络带宽的问题，因为没有高宽带往往无法发出大量请求，后来衍生出分布式的攻击即DDoS(Distributed Denial of Service)攻击，它是通过集合众多网络宽带来解决的。对策：限制tcp的连接个数，防止连接过多而造成网络堵塞，同时缩短半连接状态的等待时间，为系统资源占用量设一个临界值，当占用情况超过这个限定值时提出警告，通知网络管理员处理此时的拥挤状态，避免系统崩溃。针对此攻击还可以使用3ComSuperStack3防火墙它不仅可以防止DoS以及DDoS等攻击，还可以抵制来自外网的安全威胁；同时网络管理员要经常维护系统，确保没有安全隐患或漏洞，并建议定期检查安全设备日志，及时发现网络威胁。（2）木马攻击主流防火墙特别是状态监测防火墙对来自外网的数据包有严格的检查机制，但对来自内网的数据包却放松许多，这便提供了木马攻击的可能性。木马病毒可以分为好几类，针对防火墙的主要有Dos攻击木马、FTP木马、反弹式木马、代理木马等。而不论是何种木马，此种攻击都是通过运行被植入服务器的木马来实现的，一旦在内部网络安装了木马，防火墙基本上是无能为力的。木马都会设置有一个信息反馈机制，木马运行后通过通过E-MAIL、IRC或者ICO等方式将IP地址、端口等信息泄露给控制端，同时开启事先定义好的木马端口，接着准备与控制端建立连接。所以如何植入木马是非常关键的一步。木马传播一般是通过邮件或者是软件下载，攻击者在邮件附件上藏有木马或在软件上捆绑木马，当对方无意中打开邮件或是下载软件时，木马就已经悄然入侵了，因为木马程序非常小，很难发现被捆绑上。当然也可以通过别的方式植入木马，比如通过Active、Script及ASP、CGI交互脚本的方式植入。攻击过程六个过程，分别是配置木马、传播木马、运行木马、信息泄露、与客户机建立连接、远程控制。木马连接成功后，控制端端口和木马端口之间会形成一条通道，攻击者就是利用这条通道对服务器进行远程控制，能够窃取服务器密码、对服务器文件进行操作、还可以修改注册表和操作系统等。对策：防止被植入木马即加强网络管理员的安全意识是目前最有效的方式，虽然目标主机都会有查杀木马的软件，但是如果是攻击者自己编写的新程序则不会被查杀软件检测出来。例如避免打开可疑陌生的邮件，尽可能不要下载不需要的软件，尽管它看起来是安全的。上网时运行反木马实时监控程序如the cleaner，这是专门检测和清除侵入木马的程序, TheCleaner2010内置2289个木马标识，能识别大多数木马。网络管理员要特别注意扩展名为VBS、SHS、PIF的文件，这些文件多为木马程序的特征文件，发现后不要打开，最好删除掉。为了保险起见，最好隐藏自己计算机的IP地址，例如使用代理服务器。倘若已经被植入木马，首先应该断网，避免攻击者对计算机的进一步控制，先用小红伞等杀毒软件进行全面查杀，如果还不能彻底清除木马则可以选择手动查杀，编辑Win.ini文件、System.ini文件，修改注册表等步骤来清除。最后，网络管理员在设置防火墙时应按照自己的需求去配置数据，设定严格的安全等级，确保没有安全漏洞，同时禁止执行未经用户允许的程序或软件。（3）IP地址欺骗常与拒绝服务攻击配合使用，因为攻击数据包会来自众多虚假来源，难以追查攻击者，同时使依靠禁用特定IP的防御方法失去效用，常发生在安全措施不完备的网络内，特别是互相信任的企业局域网。攻击原理：通过修改数据包的源、目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。只要系统发现发送地址在其自己的范围值内，它就将数据包归入内部通信而让其通过。TCP的三次握手的第三次握手需要客户端的ACK包，因为客户端的IP地址是伪造的，接收不到服务器发出的SYN+ACK包，从而无法发出确认包，所以可以抵御IP地址欺骗。对策：防火墙若能结合接口、地址来匹配，这种攻击就不能奏效。例如可以在网络的入口、出口点处设置包过滤器，外部入口点过滤器拒绝声称来自内网主机的入站包，内部出口点过滤器则允许来自内网主机的出站包， 这样就可以避免外网的数据包IP地址伪装成内网的，从而骗过防火墙。（4）隧道攻击协议隧道指根据网络协议对数据包进行封装并传递到另一个网络里，而针对防火墙，隧道攻击原理可以简单的解释为：被防火墙阻挡的协议可以被包在另一个没被防火墙阻挡的协议里，比如超文本传输协议，倘若防火墙没有排除这种包装，该数据包就能避开防火墙的检测。实质是在标准协议中嵌入特殊的数据，这样便可以在被允许的协议中建立起隐秘的通道，以此来穿透防火墙。隧道攻击的关键在于封装，封装可以在多个协议层次中进行，包括传输载体、封装格式、用户数据包这三部分。对策：建立适当的安全策略尽量减少隧道攻击的可能性，例如遵循最小开放原则，使用白名单，尽可能减少开放的端口数和协议。如果使用的是状态监测包过滤防火墙，则关闭ping可以做为切断ICMP隧道攻击的有效方法，因为很多攻击比如扫描攻击和隧道攻击都是通过ping作为途径入侵的。这种防火墙会动态记录出入的数据包信息，不会影响内部对外ping。但是其他类型的防火墙就不能使用这种方法，因为其他类型的防火墙在内部对外Ping时会允许外网的回应信息进入，留下了漏洞。网络管理员还应该提高系统口令的安全性，定期、不定期的更换，防范系统漏洞，及时打好补丁，提高系统的安全性，同时加固web应用程序，可以设置多级权限，对输入数据 进行过滤等，设置数据库最小的运行权限等。（5）分片报文攻击攻击原理是使用IP分片包，在只在第一个分片包中输入TCP端口号信息，其他分片使用分片偏移字段来标注其顺序，由于防火墙只依据第一个分片的信息来判断是否让其通过，只要第一个分片通过，后续的分片不做检测直接通过防火墙，这些分片在目标主机上进行重组，可以形成各种攻击。对策：可以使用IP虚拟分片重组技术，防火墙全部收到IP报文后就对分片