计算机网络安全-7

第七章防火墙 防火墙概念采用防火墙的必要性防火墙的功能防火墙的的技术分类防火墙的技术 防火墙的系统环境设置防火墙的要素防火墙的抗攻击能力防火墙的局限性防火墙产品的展望 来源 点点网 防火墙概念 防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统 防火墙的最主要功能就是屏蔽和允许指定的数据通讯 而该功能的实现又主要是依靠一套访问控制策略 由访问控制策略来决定通信的合法性防火墙可以被安装在一个单独的路由器中 用来过滤不想要的信息包 也可以被安装在路由器和主机中 发挥更大的网络安全保护作用 防火墙被广泛用来让用户在一个安全屏障后接入互联网 还被用来把一家企业的公共网络服务器和企业内部网络隔开 另外 防火墙还可以被用来保护企业内部网络某一个部分的安全 例如 一个公司会计子网可能很容易受到来自企业内部网络里面的窥探 防火墙的位置 防火墙的实质 防火墙包含着一对矛盾 或称机制 一方面它限制数据流通 另一方面它又允许数据流通 由于网络的管理机制及安全策略 securitypolicy 不同 因此这对矛盾呈现出不同的表现形式 存在两种极端的情形 第一种是除了非允许不可的都被禁止 第二种是除了非禁止不可都被允许 第一种的特点是安全但不好用 第二种是好用但不安全 而多数防火墙都在两者之间采取折衷 这里所谓的好用或不好用主要指跨越防火墙的访问效率 在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点 采用防火墙的必要性 保护脆弱的服务控制对系统的访问集中的安全管理增强私有信息的保密性记录和统计网络利用数据以及非法使用数据策略执行网络地址转换 保护脆弱的服务 通过过滤不安全的服务 Firewall可以极大地提高网络安全和减少子网中主机的风险 例如 Firewall可以禁止NIS NFS服务通过 Firewall同时可以拒绝源路由和ICMP重定向封包 控制对系统的访问 Firewall可以提供对系统的访问控制 如允许从外部访问某些主机 同时禁止访问另外的主机 例如 Firewall允许外部访问特定的MailServer和WebServer 集中的安全管理 Firewall对企业内部网实现集中的安全管理 在Firewall定义的安全规则可以运行于整个内部网络系统 而无须在内部网每台机器上分别设立安全策略 Firewall可以定义不同的认证方法 而不需要在每台机器上分别安装特定的认证软件 外部用户也只需要经过一次认证即可访问内部网 增强私有信息的保密性 使用Firewall可以阻止攻击者获取攻击网络系统的有用信息 如Finger和DNS 记录和统计 Firewall可以记录和统计通过Firewall的网络通讯 提供关于网络使用的统计数据 并且 Firewall可以提供统计数据 来判断可能的攻击和探测 策略执行 Firewall提供了制定和执行网络安全策略的手段 未设置Firewall时 网络安全取决于每台主机的用户 网络地址转换 防火墙还具有网络地址转换器 NAT 的功能 当受保护网络连到Internet时 受保护网用户使用的主机必须有一个合法的IP地址 但由于IP地址资源有限 通常内部网络有一套自己的IP地址规划 NAT就是在防火墙上设置一个合法IP地址集 当内部某一用户要访问Internet时 防火墙动态地分配一个未使用的IP地址 网络地址转换 同时 对于内部的某些服务器如Web服务器 网络地址转换器允许为其分配一个固定的合法地址 外部网络的用户就可通过防火墙来访问内部的服务器 这种技术既缓解了少量的IP地址和大量的主机之间的矛盾 又对外隐藏了内部主机的IP地址 提高了安全性 防火墙的功能 网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄 网络安全的屏障 一个防火墙 作为阻塞点 控制点 能极大地提高一个内部网络的安全性 并通过过滤不安全的服务而降低风险 由于只有经过精心选择的应用协议才能通过防火墙 所以网络环境变得更安全 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络 防火墙同时可以保护网络免受基于路由的攻击 如IP选项中的源路由攻击和ICMP重定向中的重定向路径 防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员 强化网络安全策略 通过以防火墙为中心的安全方案配置 能将所有安全软件 如口令 加密 身份认证 审计等 配置在防火墙上 与将网络安全问题分散到各个主机上相比 防火墙的集中安全管理更经济 例如在网络访问时 一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上 而集中在防火墙一身上 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙 那么 防火墙就能记录下这些访问并作出日志记录 同时也能提供网络使用情况的统计数据 当发生可疑动作时 防火墙能进行适当的报警 并提供网络是否受到监测和攻击的详细信息 另外 收集一个网络的使用和误用情况也是非常重要的 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击 并且清楚防火墙的控制是否充足 而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的 防止内部信息的外泄 通过利用防火墙对内部网络的划分 可实现内部网重点网段的隔离 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响 再者 隐私是内部网络非常关心的问题 一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣 甚至因此而暴漏了内部网络的某些安全漏洞 使用防火墙就可以隐蔽那些透漏内部细节如Finger DNS等服务 防止内部信息的外泄 Finger显示了主机的所有用户的注册名 真名 最后登录时间和使用shell类型等 但是Finger显示的信息非常容易被攻击者所获悉 攻击者可以知道一个系统使用的频繁程度 这个系统是否有用户正在连线上网 这个系统是否在被攻击时引起注意等等 防火墙可以同样阻塞有关内部网络中的DNS信息 这样一台主机的域名和IP地址就不会被外界所了解 防火墙的构成 防火墙的主要组成部分有 网络策略先进的验证工具包过滤应用网关 防火墙的技术分类 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型 但总体来讲可分为包过滤 应用级网关和代理服务器等几大类型 数据包过滤型防火墙应用级网关型防火墙代理服务型防火墙复合型防火墙 防火墙的抗攻击能力 作为一种安全防护设备 防火墙在网络中自然是众多攻击者的目标 故抗攻击能力也是防火墙的必备功能 网络攻击手段一般包括IP地址假冒攻击 病毒攻击 口令字探询攻击 网络安全性分析攻击 邮件诈骗攻击等 防火墙的局限性 尽管利用防火墙可以保护安全网免受外部黑客的攻击 但其目的只是能够提高网络的安全性 不可能保证网络绝对安全 事实上仍然存在着一些防火墙不能防范的安全威胁 如防火墙不能防范不经过防火墙的攻击 例如 如果允许从受保护的网络内部向外拨号 一些用户就可能形成与Internet的直接连接 另外 防火墙很难防范来自于网络内部的攻击以及病毒的威胁 黑客利用QQPro