防火墙技术--信息安全课程期末论文.doc

目 录 1 引言1 2 防火墙的概念1 3 防火墙的基本原理1 4 防火墙的技术和种类1 4.1 防火墙技术2 4.2 防火墙的种类及功能3 5 防火墙技术在计算机安全中的具体应用4 5.1 安全服务配置4 5.2 配置访问策略5 5.3 日志监控5 6 防火墙的未来发展趋势5 6.1 防火墙未来发展设想5 7 结束语6 参考文献6 1 防火墙技术 1 引言引言 计算机网络安全问题主要有：信息在传输的过程中，数据被篡改和复制，以及拦截 和查看，甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行， 出现系统瘫痪或重要数据的泄漏，造成不可挽回的严重后果。为了构建安全可靠的网络 安全环境，我国除了从法律和政策方面建立网络安全体系，还从技术方面进行完善。由 于网络内部和外部环境的特殊性，因此防火墙技术是目前保护网络安全最为有效地技术。 不仅能够对网络传输的数据进行检查，还能对整个网络进行监控。 2 防火墙的概念防火墙的概念 防火墙一词是古代延伸而来的，在古代人们为了防止天灾的发生和天灾的蔓延，使 用坚硬的物体放在一起作为屏蔽，这种屏蔽就叫做防火墙。在现代，防火墙是指内部网 和 internet 分开的一种方法，是一种防御系统，也是目前最重要的一种网络防护的手段。 它通过设定的安全措施来对各个网络之间的数据进行检测，从而决定哪个网络需要访问， 哪个网络不能访问。 3 防火墙的基本原理防火墙的基本原理 防火墙的原理是数据信息的隔离掌控作用，它是一个数据分析系统，也是一个数据 流限制系统。防火墙技术主要目的是实现一个安全的网络环境，它要求凡是进出网络的 信息包和数据包都一定要有授权、计划和策略，从而达到内网与外网的分离。 4 防火墙的技术和种类防火墙的技术和种类 2 4.1 防火墙技术防火墙技术 防火墙的技术分成深度数据包处理技术、网络地址转换技术、代理技术、socks 技 术、虚拟专用网技术和状态检测技术等。 (1)深度数据包处理技术。深度数据包处理技术是把多个相关联的数据包统一放在一 个数据流里面使其保持平稳的状态，在受到攻击或者发生异常时，还要保证这个数据流 可以平稳运行，所以它对处理要求的速度、检测、分析和组装都异常的高，为了避免使 用应用时间的延退，需要处理要求进行整体的提升。 (2)网络地址转换技术。网络地址转换技术也称之为 nat，它可以分成静态地址转换 技术、端口级地址转换技术、地址转换技术池和三种。 网络地址转换技术是指把 ip 报头上没有经过合法注册的 ip 地址换成经过合法注册的 ip 地址，让范围内的所有主机可以自由的在局域网上访问 internet。而网络地址转换技术 的作用是在隐藏了计算机主机的真正网络地址的同时，也顺利解决了地址不足够的问题， 其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。网络地址转 换技术的优点是保证了网络的安全，让黑客没有办法对网络进行直接的攻击。 (3)代理技术。代理技术是指在征求网络管理员的意见之后，接受或者阻止设置在网 络防火墙上的代码，在现实生活中用于数据的报告、数据的监控、数据的记录和数据的 过滤等方面。代理技术的工作过程相对简单不是特别复杂，简单来说就是代理用户与服 务器之间数据的转发，首先必须确定用户和服务器必须连接，然后把目标网络点告知代 理服务器，并发出连接请求，最后代理过滤请求的合法性，只有请求合法代理才能以应 用层网关的身份与目标网络点连接。 代理技术的优点是有状态性，可以提供日志功能、审计功能和完全的信息传输功能， 并且可以隐藏遗留的 ip 地址，实现了更稳定、更全面的安全策略。每一个代理技术都有 一个针对的特定应用，使代理选择更自由，如网络管理员可以选择安装自己需要的代理。 每个代理之间不会相互影响，哪怕有一个代理出现问题也不会阻碍其他的功能，只需要 把有问题的代理卸掉，就能保证代理模块整体的正常工作，也保证了防火墙不会因为失 效而出现安全问题。 (4) socks 技术。socks 是目前比较新的协议标准，它主要针对电路层网关。 socks 是指在防火墙上运行的代理服务软件包与各个网络连接的程序库文件包所组成的 3 系统，它只针对于 tcp 服务包，这样的结构可以使代理软件的选择更自由，根据个人的 需求来制定相对应的代理软件。 (5)虚拟专用网技术。虚拟专用网技术也称之为 vpn,它是一种通信方式，是利用公共 网络来对数据包进行加密和检查的，所以虚拟专用网技术可以实现远程用户、企业的分 公司、供货商和商业伙伴与合作企业所在的内部网，进行信息和数据的连接，并保证这 些数据流安全传输。 (6)状态检测技术。状态检测技术也称之为动态包过滤技术，是在包过滤的基础上进 行的功能扩展，目前已经是整体性能和安全性能最好的一种防火墙技术，它是利用检测 模块来建立的。检测模块就是一个软件引擎，它的功能就是对各个层次的网络通信进行 安全监控。检测模块运行的前提是不能影响正常的工作，在此前提下对数据进行随机的 抽取，并以动态的形式保存起来。 4.2 防火墙的种类及功能防火墙的种类及功能 防火墙的技术实现有以下五种，网络级防火墙、电路级网关、应用级网关和混合型 防火墙。每一种的功能和使用都不同，具体情祝要进行具体分析。 (1)网络级防火墙。网络级防火墙也称之为包过滤型防火墙，它是判断每个地址端口 和 ip 源地址、协议能否通过。随着网络的发展，一个路由器就能代表一个包过滤型防火 墙，这种防火墙配置简中，安全系数偏低，绝大部分的数据都能通过路由器并进行转发， 但是对于数据的 ip 地址的方向判断不清。越先进的路由器，其自带的防火墙也越先进， 它可以快速的判断出数据包的合法性。网络及防火墙的功能有三种，在路由器的数据转 发和选择的时候实施包过滤、在工作开始的站点上实施包过滤和在屏蔽路由器开始工作 时实施包过滤。 (2)电路级网关。电路级网关的重要作用是监视、控制受信任的用户与网络服务器， 而对于不受信任的 tcp 进行握手，以此来决定该行为是否合法，它比网络级防火墙和应 用级网关都要高。 电路级网关的优点是，它本身有一个自带的代理服务器的防火墙，这个防火墙是通 过地址转移来运行的，把用户所有的 ip 地址都反射到安全地带，它的缺点是，无法实现 4 数据包的检查，运行时必须要联合其他应用级网关才能启动。 (3)应用级网关。应用级网关是目前安全性能比较好的一种防火墙技术，它有较好的 选择控制和访问控制，但相对的缺少透明程度，实现比较困难。应用级网关是通过对网 关数据的复制和传送来检查数据包的，它可以切断用户与不受信任服务器之间的联系， 有效的保护用户的网络数据安全。 应用级网关虽然可以做一些比较复杂的访问、协议、控制和注册，但它所需要的代 理软件也相对比较复杂，并且时间长、工作量大，运行效率偏低，在使用时，会经常出 现访问时间延长或者多次登录的情况。 (4)混合型防火墙。混合型防火墙是一种新的突破，它综合了透明度、代理和检测三 种功能，把过滤和预防全部集于一体，也结合了包过滤烈防火墙的 osi 网络层端口和 ip 地址上进行数据包的过滤、电路级网关的序列数字与 syn 和 ack 之间的比对和应用级 网关的对数据包在 osi 应用层的检查。混合型防火墙不仅包括传统的网络流量检测和应 用层扫描，还包括 osi 的第七层检测。 混合型防火墙的优点是独立的存在，不依靠其他的应用层网络，而是依据一种算法 来进行数据包的过滤，其缺点是不能打破用户机和服务机的数据包分析，使得不受信任 的网络和受信任的用户进行连接。 5 防火墙技术在计算机安全中的具体应用防火墙技术在计算机安全中的具体应用 5.1 安全服务配置安全服务配置 安全服务隔离区(dmz)把服务器机群和系统管理机群单独划分出来，设置为安全服务 隔离区，它既是内部网络的一部分，又是一个独立的局域网，单独划分出来是为了更好 的保护服务器上数据和系统管理的正常运行。建议通过nat(网络地址转换)技术将受保护 的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网ip地址。这不仅可以 对外屏蔽内部网络结构和ip地址,保护内部网络的安全，也可以大大节省公网ip地址的使 用，节省了投资成本。如果单位原来已有边界路由器，则可充分利用原有设备，利用边 界路由器的包过滤功能,添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能 了。然后再利用防火墙与需要保护的内部网络连接。对于dmz区中的公用服务器,则可直 5 接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构 中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个 dmz区，用来放置那些允许外部用户访问的公用服务器设施。 5.2 配置访问策略配置访问策略 访问策略是防火墙的核心安全策略，所以要经过详尽的信息统计才可以进行设置。 在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、tcp或 udp 的端口，并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序，然后 才能实施配置。原因是防火墙进行规则查找时是顺序执行的，如果将常用的规则放在首 位就可以提高防火墙的工作效率。 5.3 日志监控日志监控 日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息 就去采集。如:所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志 信息十分完善，但每天进出防火墙的数据有上百万甚至更多，所以,只有采集到最关键的 日志才是真正有用的日志。一般而言，系统的告警信息是有必要记录的，对于流量信息 进行选择，把影响网络安全有关的流量信息保存下来。 6 防火墙的未来发展趋势防火墙的未来发展趋势 6.1 防火墙未来发展设想防火墙未来发展设想 (1)形成以防火墙为核心的计算机网络安全体系。迄今为止，防火墙技术仍是应用最 6 广泛的计算机网络安全防护技术，其重要性不可替代，但是要想最大程度地保护网络安 全，仅凭防火墙单方面的作用是不行的，还必须借助其他手段构建以防火墙为核心，多 个安全系统协作配合的计算机网络安全体系。 (2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步向基于网络处理器 asic 芯 片架构上发展。网络处理器由于内含多个数据处理引擎，能够直接完成网络数据处理工 作从而减轻 cpu 的负担。 (3)智能技术的进一步发展。目前的防火墙只能识别一些已知的攻击行为，对于未知 的攻击则显得力不从心，因此智能化是将来的发展趋势，能自动识别并防御黑客的各种 手法及相应的变种。 (4)分布式技术的进一步发展。分布式技术将是未来的趋势，多台物理防火墙协同工 作，组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙，不仅保证了在大 型网络安全策略的一致，而且集中管理，大大降低了资金、人力及管理成本。 (5)经济高效的发展趋势。防火墙要防止各种网络的攻击，其性能势必会下降。安全 性和实用性是一对主要的矛盾，经济高效的防火墙将是未来研究的方向。 7 结束语结束语 防火墙作为网络安全的基本手段和安全措施，是一项非常复杂的工程，随着研究课 题的不断增多，防火墙技术也不断在变化，变得对信息包和数据包更容易通过和识别， 使应用级防火墙朝着透明化和简单化方面发展。 参考文献参考文献 1陈文惠，朱卫未，防火墙技术分析j，