防火墙技术简介.doc

目 录摘 要1关键词11.防火墙技术简介12.防火墙技术概念13.防火墙的种类24.防火墙功能34.1网络安全的屏障34.2强化网络安全策略34.3监控审计34.4防止内部信息的外泄35.特征与意义45.1数据必经之地45.2网络流量的合法性55.3抗攻击免疫力56.防火墙的缺点5论析防火墙技术姓名：李德强 学号:20095031313数学与信息科学学院 数学与应用数学指导老师：潘虹 职称：讲师摘 要：本文主要介绍防火墙方面的知识，对防火墙系统的介绍。并对其优缺点进行比较。关键词：防火墙；介绍；优缺点1.防火墙技术简介防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬防火墙件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。2.防火墙技术概念在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器防火墙上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。3.防火墙的种类防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、应用代理。 分组过滤(Packet filtering)：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。应用代理(Application Proxy)：也叫应用网关(Application Gateway)，它作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。4.防火墙功能防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 4.1网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内 部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 4.2强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 4.3监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.4防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。防火墙在Windows系统与在企业中的实际应用.也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。 对于企业来说，防火墙将保护以下三个主要方面的风险： A机密性的风险B数据完整性的风险C用性的风险5.特征与意义 5.1数据必经之地内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性，同时也是一个前提。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙，只有符合安全策略的数据流才能通过防火墙。 5.2网络流量的合法性防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。 5.3抗攻击免疫力防火墙自身应具有非常强的抗攻击免疫力：这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：通用CPU架构：通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构：ASIC（Application Specific Integrated Circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。