防火墙与计算机安全研究.doc

防火墙与计算机安全研究9摘要介绍了计算机安全的定义、防火墙防御机理与构架等，对计算机安全策略的组成部分以及防火墙是如何对计算机本身进行保护防御外来攻击的工作步骤进行了阐述。关键词：防火墙；计算机安全防火墙与计算机安全研究11、计算机安全及防火墙的定义12、防火墙的工作原理及计算机网络的发展23、防火墙的分类与构架33.1分类防火墙有很多种分类方法33.2构架34、计算机安全策略44.1物理安全策略物理安全策略的目的是保护计算机系统44.2访问控制策略访问控制是网络安全防范和保护的主要策略44.3网络安全管理策略在网络安全45、 防火墙的防御机理55.1包过滤型防火墙数据55.2应用级网关型防火墙应用级网关55.3代理服务型防火墙代理服务56、防火墙的入侵检测与计算机安全66.1入侵检测可被定义为对计算机和网络资源66.2入侵检测技术的检测系统66.3入侵检测（IDS）与防火墙互动运行66.4IDS 与防火墙的接口互动方式IDS67、结束语8参考文献91、计算机安全及防火墙的定义 1、计算机安全及防火墙的定义计算机安全及防火墙的定义所谓计算机安全就是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。计算机安全的定义包含物理安全和逻辑安全两方面的内容， 其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。这个是国际化的标准，虽然计算机一直在更新，系统软件也在不断升级，但计算机的安全还是受到一部分非法黑客的威胁， 所以我们需要一种更为先进的计算机安全系统， 在这里我可以称之为一种理念，也就是计算机策略及安全的理念。防火墙的技术含量比较高，其定义也比较晦涩：防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集，它强制执行对内部网络（如校园网）和外部网络（如Internet）的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，实现保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负载等。2、防火墙的2、防火墙的工作原理及计算机网络的发展防火墙的工作原理及计算机网络的发展，加快了企业和社会信息化进程，同时也带来了许多网络安全问题。用户自己储存于计算机里的隐私以及一些网络上的敏感信息、保密数据都在网络里都存在着受到主动攻击和被动攻击的危险。一种解决方法是对我们网络上的服务器和工作站安装强大的安全设备，但这显然是一种不切实际的想法，因为对于具有成百上千个节点的网络，每个节点的程序可能都不尽相同，如果发现一个节点出现缺陷，那么与它相关的节点很可能也要进行修改并修复其缺陷。另一种方法就是安装适于计算机本身的防火墙，防火墙是安装于私有网络与外部网络之间的一个设备或一组设备。对于私有网络与外部网络而言，防火墙就是设置于这个单存点之间的一个防御墙壁，他可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的攻击与入侵破坏。3、防火墙的分类与构架3、防火墙的分类与构架3.1分类防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（Packet Filtering） 防火墙、应用级网关型（Applicntion LevelGateway）防火墙和代理服务型（Proxy Service）防火墙。3.2构架第一构架： 基于X86 体系构架的防火墙，X86 架构采用通用CPU 和PCI 总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整， 增加或减少功能模块，产品比较灵活，功能十分丰富。产品主要表现形式为PC机、控制机等。第二构架：基于NP 体系构架的防火墙，随着IP 网络的快速发展， 路由器交换机逐渐从百兆走到了千兆甚至是万兆，对防火墙的转发性能和延迟有了更高要求。这种情况下，NP 技术加入到安全领域，成为较高性能防火墙技术的象征。NP 通过专门的指令集和配套的软件开发系统， 提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。产品主要表现形式为BOX 等。第三构架： 基于ASIC 体系构架的防火墙，ASIC 防火墙通过专门设计的ASIC 芯片逻辑进行硬件加速处理。ASIC 通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。4、计算机安全策略4、计算机安全策略4.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。该抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护。4.2访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。4.3网络安全管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：保证数据的完整性；保证系统的保密性；保证数据的可获性；信息的不可抵赖性；信息的可信任性。5、防火墙的防御机理5、 防火墙的防御机理5.1包过滤型防火墙数据包过滤技术是在网络层对数据包进行选择、过滤，选择、过滤的标准是以网络管理员事先设置的过滤逻辑（即访问控制表）为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息，来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。5.2应用级网关型防火墙应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议，采用不同的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告，大大提高了网络的安全性。应用级网关型防火墙的工作流程见图1。特别需要指出的是： 应用级网关型防火墙和包过滤型防火墙有一个共同的特点， 它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统就建立起直接的联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，从而使非法访问和攻击容易得逞。5.3代理服务型防火墙代理服务也称链路级网关（Circuit Level Gateways）或TCP通道（TCP Tunnels），也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、注册登记，形成报告。当发现被攻击迹象时，代理服务器会向网络管理员发出警报。比较贵，但性能很好，其安装和使用也比采用数据包过滤技术的防火墙复杂一些。6、防火墙的入侵检测与计算机安全6、防火墙的入侵检测与计算机安全6.1入侵检测可被定义为对计算机和网络资源上的恶意慎用行为进行识别和响应，它不仅检测来自外部的入侵与攻击，还检测用户未被授权的活动。6.2入侵检测技术的检测系统（IDS）是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。入侵检测技术（IDS）能够实时分析网络外部及计算机内部的数据通讯信息，分辨入侵企图，在网络系统受到危害之前以各种方式发出警报，但是入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。6.3入侵检测（IDS）与防火墙互动运行，实现有效的安全防护体系一个有效的安全体系至少是由防护、检测、响应3 部分组成，可以说这3 个部分构成一个最小的安全体系，3 个方面缺一不可。而且这三者之间要实现基于时间的简单关系：PDR（式中P 代表防护手段所需支持的时间，D 代表入侵检测手段发现入侵行为所需的时间，R 代表事件响应设施产生效力所需的时间）才能有效。从这个公式可以知道：如果在入侵者尚未能突破防护设施的防御时， 检测系统已经发现了这一入侵企图，且响应设施随即进行了有效的处理，那么尽管保护不能百分之百地有效，但只要检测快速，响应及时，在攻击企图未能达到目的之前，防护系统能发现并成功地做出正确响应，那整个安全系统作为一个整体，仍是有可能实现有效防御的。这里防护是指防火墙一类防御手段，检测指入侵检测手段，响应指网络系统对检测手段所发现的入侵企图做出的反应。这就是说IDS 与防火墙有效互动就可以实现一个较为有效的安全防护体系，解决了传统信息安全技术的弊端，解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。所以，让IDS 与防火墙结合起来互动运行，防火墙便可通过IDS 及时发现其策略之外的攻击行为，IDS 也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。在防火墙之后加入入侵检测的好处有；如果能够足够迅速地检测到入侵，那么就能确认入侵者，并能在破坏发生或数据损坏之前把他驱逐出系统，即使未能足够迅速地检测出入侵并加以阻止，也是越迅速地检测出入侵，越能减少破坏的危害并能够迅速地加以恢复。高效的检测系统能够起到威慑作用，因此也能从一定程度上阻止入侵。入侵检测系统能够收集有关入侵技术的信息，这样可以用来加强入侵阻止设。6.4IDS 与防火墙的接口互动方式IDS 与防火墙的接口目前实现入侵检测系统和防火墙之间的互动一般有两种方式：一种方式是实现紧密结合，把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于数据包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙的检测规则的验证，还要判断是否是有攻击，以达到真正的实时阻断。这样实际上是把两个产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度上，还是合成后的整体性能上，都会受很大的影响；第二种方式是通过开发接口来实现互动，即防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。经过比较之后，将IDS 与防火墙通过开放接口结合起来实现互动要比将两者紧密结合在一起要好，因为系统越复杂其自身的安全问题就难以解决。所以选择将防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。当防火墙和入侵检测系统互动时，所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口，并且互相正确配置对方IP 地址，防火墙以服务器（Server）的模式来运行，IDS 以客户端（Client）的模式来运行。具体步骤如下：第一步，初始化通信连接时，一般由IDS 向Firewall 发起连接。第二步， 建立正常连接后，当IDS 产生需要通知Firewall的安全事件时，通过发送约定格式的数据包，来完成向Firewall传递IDS 与防火墙结合所必要的互动信息。其中主网站内部模式库匹配进入防火墙，外来入侵者被防火墙挡住，入侵防火墙报警。日志模块使用 调用要的信息包括：源IP 地址、目的IP地址、IDS 的IP 地址、实施阻断的时间、源端口、目的端口、通信协议、端阻断模式（阻断源、阻断目的、两者都阻断）、是否要求回应的标识、其它保留字段。第三步：Firewall 收到互动信息后， 可以实施互动行为，并将结果（成功与否）以约定格式的数据包反馈给IDS。7、结束语7、结束语防火墙技术与入侵检测系统结合互动的使用是将两个系统各自的功能展现在新的系统