信息安全技术结课论文.doc

信息安全概论论文 _基于防火墙的有关知识本文我主要对防火墙相关的知识讲解自己的见解和想法。Internet的迅速发展为人们发布和检索信息提供了方便，但它也使污染和破坏信息变得更容易。人们为了保护数据和资源的安全，创建了防火墙。防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。实际上，防火墙就是用来在一个可信网络（如内部网）与一个不可信网络（外部网）间起保护作用的一整套装置，在可信网络和不可信网络之间的界面上构造一个保护层，并强制所有的访问或连接都必须经过这一保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。由软件和硬件组成的防火墙应该具有以下功能： 所有进出网络的通信流都应该通过防火墙 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权 理论上说，防火墙是穿不透的 利用防火墙能保护站点不被任意联接，甚至能建立跟踪工具，帮助总结并记录有关正在进行的联接。总之，防火墙是用来防止外面的各类危险传播到你的网络的，从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，它通常是软件和硬件的组合体，根据一些规则来挑选想要或不想要的地址。防火墙能强化安全策略；能有效的记录因特网上的活动；可以实现网段控制；是一个安全策略的检查站。但是防火墙也存在着不足之处，如不能防范恶意的知情者；不能防范不通过它的连接；不能防备全部的威胁；不能防范病毒。大多数防火墙采用不同的方式来保护不同类型的机器，当数据在网络上进行传输时，要被打包并经常被压缩，这样便给病毒带来了可乘之机。无论防火墙是多么安全，用户只能在防火墙后面清除病毒。防火墙的形式 防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说分类有三种：包过滤防火墙；应用网关，也称为屏蔽主机防火墙；和应用层电路网关，也称为代理防火墙。 1包过滤防火墙 包过滤防火墙通常在操作系统内部实现，并且操作在IP网络和传输协议层。它在对基于IP包头中信2.屏蔽主机防火墙 屏蔽主机防火墙实现于网络体系结构和系统配置层。网络业务流从不通过应用网关机传递。外部的访问仅允许到网关机，内部的访问也仅允许到网关机。本地用户必须注册到网关机上，然后再从网关机访问Internet。此外，位于网关机内、外接口处的包过滤防火墙对它进行保护。 3代理防火墙 代理防火墙通常是为每个受其代理服务的应用程序而分别实现的。每个代理应用对于客户程序而言就好似服务器，而对于真正的服务器而言就似客户机。特别的客户机程序或特别配置的客户机程序只连接到此代理服务器，0而非连接到远程服务器。代理在以自己的地址替换掉客户的源地址后，以应用客户的名义创建到远程服务器的连接。代理应用能确保数据完整性即数据适合于正在交换的服务，对病毒进行过滤，并且能增强高级、细致的访问控制策略。防火墙的历史与发展趋势1. 防火墙的历史 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短矩的几年内异军突起 很快形成了一个产业：1995年，刚刚面市的防火墙产品市场量还不到1万套，到l996年底，就猛增到10万套，据国际权威商业调查机构的预测，防火墙市场将以173的复合增长率增长，到2000年将达150万套。 纵观近年来Internet 防火墙市场的发展，可以看到安全需求、安全产品和安全技术正以相辅相成的趋势迅猛发展。 防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理， 在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：(1)基于路由器的防火墙 第一代防火墙产品的特点是： 利用路由器本身对分组的解析，以访问控制表（access list）方式实现对分组的过滤。 过滤判决的依据可以是：地址、端口号、IP旗标及其他网络特征。 只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。 第一代防火墙产品的不足之处十分明显： 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。 路由器上的分组过滤规则的设置和配置存在安全隐患。最大隐患是：攻击者可以假冒”地址。 本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的，固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 (2)用户化的防火墙工具套 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能。 针对用户需求，提供模块化的软件包。 软件可通过网络发送，用户可自己动手构造防火墙。 与第一代防火墙相比，安全性提高了，价格降低了。 由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了 相当复杂的要求，并带来以下问题： 配置和维护过程复杂、费时； 对用户的技术要求高； 全软件实现，安全性和处理速度均有局限； 实践表明，使用中出现差错的情况很多。 (3)建立在通用操作系统上的防火墙 近年来今市场上广泛可用的就是这一代产品，它具有以下特点： 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统，监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高。 第三代防火墙是以纯软件实现的，也有以硬件方式实现的，已得到广大用户的认同。随着安全需求的变化和使用时间的推延，仍表现出个别问题，比如： 作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证； 由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责。 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击； 用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商； 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。(4)具有安全操作系统的防火墙 防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年切，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。 具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码，另一种通过固化操作系统内核来提高可靠性，由此建立的防火墙系统具有以下特点： 防火墙厂商只有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理，即去掉不必要的系统特性，加上内核特性，强化安全保护。对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务?只能限制在此服务器内，不会对网络的其他部分构成威胁； 在功能上包括了分组过滤、应用网关、电路级网夫，且具有加密鉴别功能； 透明性好，易于使用。2. 防火墙的发展趋势 考虑到Internet发展的凶猛势头和防火墙产品和更新步伐，要全面展望防火墙技术的发展几乎是不可能的，但是，从产品及功能上，却又可以看出一些动向和趋势，下面几点可能是下一步的走向和选择： 防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。 过滤深度不断加强，从目前的地址、服务过滤，发展到URL（页面）过滤，关键字过滤和对Active X、 * 等的过滤，并逐渐有病毒扫除功能。 利用防火墙建立专用网（VPN是较长一段时间的用户使用的主流，IP加密需求越来越强，安全协议的开发是一大热点。 单向防火墙（又叫网络二极管）将作为一种产品门类而出现。 对网络攻击的检测和各地告警将成为防火墙的重要功能。 安全管理工具不断完善，特别是可疑活动的日志分析工具。防火墙的优点和缺点防火墙的优点 （1）防火墙能强化安全策略 因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的交通警察，它执行站点的安全策略，仅仅容许认可的和符合规则的请求通过。 （2）防火墙能有效地记录Internet上的活动 因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。 （3）防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 防火墙的不足之处 上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在： （1）不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。 （2）不能防范不通过它的连接 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 （4）防火墙不能防范病毒 防火墙不能