网络安全及防护 ——防火墙.docx

2013-2014学年第二学期信息安全技术课程期末考试论文论文名称 学 院 年 级 专 业 学 号 姓 名 任课教师 完成时间 成 绩 摘要：防火墙是部署在两个网络之间，按照预先制定的安全策略惊醒访问控制的软件或设备，主要是用来阻止外部网络对内部网络的侵扰。防火墙基本技术主要有包过滤、状态监测和代理服务三种、在实际应用中，根据不同的安全需要，其部署方式可以分为屏蔽路由结构、双重宿主主机结构、屏蔽主机结构和屏蔽子网结构几种方式。关键字：网络安全、信息安全、防火墙网络信息安全问题自网络诞生之初，就一直是一个困扰网络的建设者和使用者的难题。随着网络的普及与发展，以及新兴网络技术的发展，网络信息安全已经越来越成为网络社会中的关键问题随着科技的高速发展，信息时代的到来，计算机与网络已经成为当今社会生活不可或缺的一部分。同时，计算机病毒、蠕虫、恶意软件、黑客、网络犯罪等正对计算机与网络的攻击也越来越多，信息安全事件逐年增加。计算机网络安全也受到前所未有的威胁。本文分析了网络安全的主要因素及防护的主要方式，并着重从防火墙就计算机网络安全及防护进行初步的探讨。一、网络信息安全概述信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。网络信息安全可分为：1、硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。2、软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。3、运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。4、数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。二、计算机网络安全存在的问题1、网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。2、网络的国际,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以网络的安全面临着国际化的挑战。3、网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。三、防火墙概述防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器 限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。1、防火墙的形态纯软件防火墙是运行在通用计算机上的纯软件，简单易用，配置灵活，但因底层操作系统是一个通用型的系统，七数据处理能力、安全性能水平都比较低。纯硬件防火墙是将防火墙软件固化在专门的设计的硬件上，数据处理能力与安全性能水平都得到了很大的提高。但因来自网络的威胁不断变化，防火墙的安全策略、配置等也需要经常进行调整，而纯硬件防火墙的调整非常困难。软硬件结合的防火墙，这种防火墙结合了上述两种防火墙的优点，设计、开发出了防火墙专用的硬件、安全操作系统平台，然后在此平台上运行防火墙软件。2、防火墙的功能防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。 防火墙的主体功能归纳为以下几点：(1)根据应用程序访问规则可对应用程序联网动作进行过滤。(2)对应用程序访问规则具有自学习功能。(3)可实时监控，监视网络活动。(4)具有日志，以记录网络访问动作的详细信息。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。四、防火墙技术原理防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。1、包过滤数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。通过控制存在于某一网段的网络流量类型，包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量；基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filter Router）。基于包过滤技术的防火墙有如下优点：不需要内部网络用户做任何配置，对用户来说是完全透明的；使用简单、有效。缺点如下：1、只能检查数据包的包头信息，无法检查内容。2、没有考虑数据包的上下文关系，每一个数据包都要与设定的规则匹配，影响数据包的通过速率，无法满足一下访问控制要求。3、过滤规则复杂，容易产生冲突或漏洞，出现因配置不当面带来的安全的问题。2、代理服务技术代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理服务器作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。 当某用户（不管是远程的还是本地的）想和一个运行代理的网络建立联系时，此代理（应用层网关）会阻塞这个连接，然后对连接请求的各个域进行检查。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。换句话说，“桥”上设置了很多控制。 另一种类型的代理技术称为电路层网关（Circuit Gateway）。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码，但通常要受到限制。如果支持应用程序，那也很可能是TCP/IP应用程序。 在电路层网关中，特殊的客户机软件可能要安装，用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。 代理服务技术的优点如下： 1、内部网络的拓扑、IP地址等被代理防火墙屏蔽，能有效实现内外网络的隔离。2、具有强鉴别和日志能力，支持用户身份识别，实现用户级的安全。3、能进行数据内容的检查，实现基于内容的过滤，对通信进行严密的监控。4、过滤规则比数据包过滤规则简单。缺点如下： 1、代理服务的额外处理请求降低了过滤性能，其过滤速度比包过滤慢。2、需要为每一种应用服务编写代理软件模块，所提供的服务数目有限。3、对操作系统的依赖程度高，容易因操作系统和应用软件的缺陷而受攻击。3、状态检测 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。状态检测防火墙的缺点：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 五、防火墙技术发展趋势展望传统的防火墙通常是基于访问控制列表(acl)进行包过滤的，位于在内部专用网的入口处，所以也俗称“边界防火墙”。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这有的工作在osi参考模式的网络层，有的工作在传输层，还有的工作在应用层。在这些已出现的防火墙技术中，现在已基本上没有防火墙厂商单独使用静态包过滤技术。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查，由于动态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而目前大多数防火墙厂商都采用这种技术。综上所述，未来防火墙技术会全面考虑网络的安