防火墙技术研究报告

防火墙技术研究报告 防火墙技术防火墙技术 摘要 随着计算机的飞速发展以及网络技术的普遍应用 随着信息 时代的来临 信息作为一种重要的资源正得到了人们的重视与应用 因特网是一个发展非常活跃的领域 可能会受到黑客的非法攻击 所以在任何情况下 对于各种事故 无意或有意的破坏 保护数据 及其传送 处理都是非常必要的 比如 计划如何保护你的局域网 免受因特网攻击带来的危害时 首先要考虑的是防火墙 防火墙的 核心思想是在不安全的网际网环境中构造一个相对安全的子网环境 文介绍了防火墙技术的基本概念 原理 应用现状和发展趋势 Abstract along with the universal application of the rapid development of computer and network technology with the advent of the information age information as an important resource is paid attention to and used by people The Internet is a development of very active domain may be illegally attacked by hackers so in any case for a variety of accident accidental or intentional damage protection of data and transfer processing is very necessary For example plans to protect your network from the hazards brought by Internet attack firewall is the first consideration The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment This paper introduces the basic concept of firewall technology principle application status and development trend Keywords firewall network security 目目 录录 一 概述 4 二 防火墙的基本概念 4 三 防火墙的技术分类 4 四 防火墙的基本功能 5 一 包过滤路由器 5 二 应用层网关 6 三 链路层网关 6 五 防火墙的安全构建 6 一 基本准则 6 二 安全策略 6 三 构建费用 7 四 高保障防火墙 7 六 防火墙的发展特点 7 一 高速 7 二 多功能化 8 三 安全 8 七 防火墙的发展特点 9 参考文献 10 防火墙技术研究报告 一 概述 4 随着计算机网络的广泛应用 全球信息化已成为人类发展的大趋势 互联 网已经成了现代人生活中不可缺少的一部分 随着互联网规模的迅速扩大 网 络丰富的信息资源给用户带来了极大方便的同时 由于计算机网络具有联结形 式多样性 终端分布不均匀性和网络的开放性 互连性等特征 致使网络易受 黑客 怪客 恶意软件和其他不轨的攻击 为了保护我们的网络安全 可靠性 所以我们要用防火墙 防火墙技术是近年来发展起来的一种保护计算机网络安 全的技术性措施 二 二 防火墙的基本概念 防火墙是一个系统或一组系统 在内部网与因特网间执行一定的安全策略 它实际上是一种隔离技术 一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都 将经过防火墙 所有流经防火墙的信息都应接受检查 通过防火墙可以定义一 个关键点以防止外来入侵 监控网络的安全并在异常情况下给出报警提示 尤 其对于重大的信息量通过时除进行检查外 还应做日志登记 提供网络地址转 换功能 有助于缓解 IP 地址资源紧张的问题 同时 可以避免当一个内部网更 换 ISP 时需重新编号的麻烦 防火墙是为客户提供服务的理想位置 即在其上 可以配置相应的 WWW 和 FTP 服务等 三 防火墙的技术分类 现有的防火墙主要有 包过滤型 代理服务器型 复合型以及其他类型 双宿主主机 主机过滤以及加密路由器 防火墙 包过滤 Packet Fliter 通常安装在路由器上 而且大多数商用路由器都 提供了包过滤的功能 包过滤规则以 IP 包信息为基础 对 IP 源地址 目标地 址 协议类型 端口号等进行筛选 包过滤在网络层进行 代理服务器型 Proxy Service 防火墙通常由两部分构成 服务器端程序 和客户端程序 客户端程序与中间节点连接 中间节点再与提供服务的服务器 实际连接 复合型 Hybfid 防火墙将包过滤和代理服务两种方法结合起来 形成新 5 的防火墙 由堡垒主机提供代理服务 各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙 主要有 双宿主主机防火墙 它是由堡垒主机充当网关 并在其上运行防火墙 软件 内外网之间的通信必须经过堡垒主机 主机过滤防火墙是指一个包过滤 路由器与外部网相连 同时 一个堡垒主机安装在内部网上 使堡垒主机成为 外部网所能到达的惟一节点 从而确保内部网不受外部非授权用户的攻击 加 密路由器对通过路由器的信息流进行加密和压缩 然后通过外部网络传输到目 的端进行解压缩和解密 四 防火墙的基本功能 典型的防火墙应包含如下模块中的一个或多个 包过滤路由器 应用层网 关以及链路层网关 一 包过滤路由器 一 包过滤路由器 包过滤路由器将对每一个接收到的包进行允许 拒绝的决定 具体地 它 对每一个数据报的包头 按照包过滤规则进行判定 与规则相匹配的包依据路 由表信息继续转发 否则 则丢弃之 与服务相关的过滤 是指基于特定的服务进行包过滤 由于绝大多数服务 的监听都驻留在特定 TCP UDP 端口 因此 阻塞所有进入特定服务的连接 路 由器只需将所有包含特定 TCP UDP 目标端口的包丢弃即可 独立于服务的过滤 有些类型的攻击是与服务无关的 比如 带有欺骗性 的源 IP 地址攻击 源路由攻击 细小碎片攻击等 由此可见此类网上攻击仅仅 借助包头信息是难以识别的 此时 需要路由器在原过滤规则的基础附上另外 的条件 这些条件的判别信息可以通过检查路由表 指定 IP 选择 检查指定帧 偏移量等获得 二 应用层网关 二 应用层网关 应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略 为每一个期望的应用服务在其网关上安装专用的代码 同时 代理代码也可以 配置成支持一个应用服务的某些特定的特性 对应用服务的访问都是通过访问 6 相应的代理服务实现的 而不允许用户直接登录到应用层网关 应用层网关安全性的提高是以购买相关硬件平台的费用为代价 网关的配 置将降低对用户的服务水平 但增加了安全配置上的灵活性 三 链路层网关 三 链路层网关 链路层网关是可由应用层网关实现的特殊功能 它仅仅替代 TCP 连接而无 需执行任何附加的包处理和过滤 五 防火墙的安全构建 在进行防火墙设计构建中 网络管理员应考虑防火墙的基本准则 整个企 业网的安全策略 以及防火墙的财务费用预算等 一 基本准则 一 基本准则 可以采取如下两种理念中的一种来定义防火墙应遵循的准则 第一 未经 说明许可的就是拒绝 防火墙阻塞所有流经的信息 每一个服务请求或应用的 实现都基于逐项审查的基础上 这是一个值得推荐的方法 它将创建一个非常 安全的环境 当然 该理念的不足在于过于强调安全而减弱了可用性 限制了 用户可以申请的服务的数量 第二 未说明拒绝的均为许可的 约定防火墙总 是传递所有的信息 此方式认定每一个潜在的危害总是可以基于逐项审查而被 杜绝 当然 该理念的不足在于它将可用性置于比安全更为重要的地位 增加 了保证企业网安全性的难度 二 安全策略 二 安全策略 在一个企业网中 防火墙应该是全局安全策略的一部分 构建防火墙时首 先要考虑其保护的范围 企业网的安全策略应该在细致的安全分析 全面的风 险假设以及商务需求分析基础上来制定 三 构建费用 三 构建费用 简单的包过滤防火墙所需费用最少 实际上任何企业网与因特网的连接都 需要一个路由器 而包过滤是标准路由器的一个基本特性 对于一台商用防火 墙随着其复杂性和被保护系统数目的增加 其费用也随之增加 7 至于采用自行构造防火墙方式 虽然费用低一些 但仍需要时间和经费开 发 配置防火墙系统 需要不断地为管理 总体维护 软件更新 安全修补以 及一些附带的操作提供支持 六 防火墙的发展特点 一 高速 一 高速 从国内外历次测试的结果都可以看出 目前防火墙一个很大的局限性是速 度不够 真正达到线速的防火墙少之又少 防范 DoS 拒绝服务 是防火墙一个 很重要的任务 防火墙往往用在网络出口 如造成网络堵塞 再安全的防火墙 也无法应用 应用 ASIC FPGA 和网络处理器是实现高速防火墙的主要方法 但尤以采用 网络处理器最优 因为网络处理器采用微码编程 可以根据需要随时升级 甚 至可以支持 IPv6 而采用其他方法就不那么灵活 实现高速防火墙 算法也是一个关键 因为网络处理器中集成了很多硬件 协处理单元 因此比较容易实现高速 对于采用纯 CPU 的防火墙 就必须有算 法支撑 例如 ACL 算法 目前有的应用环境 动辄应用数百乃至数万条规则 没有算法支撑 对于状态防火墙 建立会话的速度会十分缓慢 上面提到 为什么防火墙不适宜于集成内容过滤 防病毒和 IDS 功能 传输 层以下的 IDS 除外 这些检测对 CPU 消耗小 呢 说到底还是因为受现有技术的 限制 目前 还没有有效的对应用层进行高速检测的方法 也没有哪款芯片能 做到这一点 因此 对于 IDS 目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理 这样可以避免流量较大时造成网络堵塞 此外 应用层漏洞 很多 攻击特征库需要频繁升级 对于处在网络出口关键位置的防火墙 如此 频繁地升级也是不现实的 这里还要提到日志问题 根据国家有关标准和要求 防火墙日志要求记录 的内容相当多 网络流量越来越大 如此庞大的日志对日志服务器提出了很高 的要求 目前 业界应用较多的是 SYSLOG 日志 采用的是文本方式 每一个字 8 符都需要一个字节 存储量很大 对防火墙的带宽也是一个很大的消耗 二进 制日志可以大大减小数据传送量 也方便数据库的存储 加密和事后分析 可 以说 支持二进制格式和日志数据库 是未来防火墙日志和日志服务器软件的 一个基本要求 二 多功能化 二 多功能化 多功能也是防火墙的发展方向之一 鉴于目前路由器和防火墙价格都比较 高 组网环境也越来越复杂 一般用户总希望防火墙可以支持更多的功能 满 足组网和节省投资的需要 例如 防火墙支持广域网口 并不影响安全性 但 在某些情况下却可以为用户节省一台路由器 支持部分路由器协议 如路由 拨号等 可以更好地满足组网需要 支持 IPSec VPN 可以利用因特网组建安 全的专用通道 既安全又节省了专线投资 据 IDC 统计 国外 90 的加密 VPN 都是通过防火墙实现的 三 安全 三 安全 未来防火墙的操作系统会更安全 随着算法和芯片技术的发展 防火墙会 更多地参与应用层分析 为应用提供更安全的保障 魔高一尺 道高一丈 在信息安全的发展与对抗过程中 防火墙的技术一定会不断更新 日新月异 在信息安全的防御体系中 起到堡垒的作用 未来防火墙的操作系统会更安全 随着算法和芯片技术的发展 防火墙会更多地参与应用层分析 为应用提供更 安全的保障 七 防火墙的发展趋势 近年来 计算机网络获得了飞速的发展 它不知不觉的占据了我们生活的 大半部分 成为我们社会结构的一个基本组成部分 从 Internet 的诞生之日起 就不可避免的面临着网络信息安全的问题 而随着 Internet 的迅速发展 计算 机网络对安全的要求也日益增高 越来越多的网站因为安全性问题而瘫痪 公 司的机密信息不断被窃取 政府机构和组织不断遭受着安全问题的威胁等等 9 尽管利用防火墙可以保护内部网免受外部黑客的攻击 但其只能提高网络 的安全性 不可能保证网络的绝对安全 事实上仍然存在着一些防火墙不能防 范的安全威胁 如防火墙不能防范不经过防火墙的攻击 例如 如果允许从受 保护的网络内部向外拨号 一些用户就可能形成与 Internet 的直接连接 另外 防火墙很难防范来自于网络内部的攻击以及病毒的威胁 所以在一个实际的网 络运行环境中 仅仅依靠防火墙来保证网络的安全显然是不够 此时 应根据 实际需求采取其他相应的安全策略 计算机的安全问题正面临着前所未有的挑