计算机网络安全与防火墙技术文档格式.docx
《计算机网络安全与防火墙技术文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络安全与防火墙技术文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
[Abstract]Thisthesismainlyresearchfirewalltechnologyandnetworksecurity.Discussesthefunctionoffirewallsecuritytechnology,maintechnicalandsafetymeasuresandfirewalldesignideas,etc.Ensurethatthenetworksecurityanddatasecurity,dataencryptiontechnology,firewalletc,herewemainlystudyisafirewalltechnology.Andthenintroducedthefirewalltwobasictechnology:
groupfiltering,applicationagent.Firewalltechnologyisstillinadevelopingstage,therearestillmanyproblemsremaintobesolved
[paperkeywords]NetworksecurityfirewallPreventivemeasuresPacketfilteringagentForthost
目录
一、绪论
二、网络安全
三、防火墙简介
四、防火墙的配置
五、防火墙的发展趋势
六、谢辞
七、参考文献
1、计算机网络安全概述
2、目前计算机网络安全策略
3、防火墙技术
3.1防火墙的定义
3.2防火墙的功能
3.3防火墙的分类及其原理(这里写详细点)
3.4常见的攻击技术及应对策略
3.5防火墙的发展趋势
4、结论
一.网络安全
1.网络安全概念
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。
我国对于计算机安全的定义是:
“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。
”
(1)网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面,第一计算机病毒的侵袭;
第二黑客侵袭;
第三拒绝服务攻击。
具体讲,网络系统面临的安全威胁主要有如下表现:
身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。
(2)影响网络安全的因素
第一是单机安全,购买单机时,型号的选择;
计算机的运行环境(电压、湿度、强电磁场等);
计算机的操作等等,这些都是影响单机安全性的因素。
第二是网络安全,影响网络安全的因素有:
节点的安全、数据的安全、文件的安全等。
2.网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以及安全教育等外部软环境。
二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络防毒等。
三是管理措施。
二:
目前计算机网络安全策略
制定安全策略是一件非常复杂的事情,通常可从以下两个方面来考虑。
1.物理安全策略
物理安全策略包括以下几个方面:
一是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路,以免受自然灾害、人为破坏和搭线攻击;
二是验证用户的身份和使用权限,防止用户越权操作;
三是确保计算机系统有一个良好的电磁兼容工作环境;
四是建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.访问控制策略
访问控制是对要访问系统的用户进行识别,并对访问权限进行必要的控制。
访问控制策略是维护计算机系统安全、保护其资源的重要手段。
访问控制的内容有入网访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。
另外,还有加密策略、防火墙控制策略等。
三.防火墙的简介
1.防火墙的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙提供信息安全服务,是实现网络和信息安全的基础设施。
2.防火墙的功能
防火墙具有如下的功能:
(1)包过滤。
(2)地址转换。
(3)认证和应用代理。
(4)透明和路由。
(5)入侵检测功能。
(6)虚拟专网功能。
3.防火墙的原理及分类
国际计算机安全委员会将防火墙分成三大类:
包过滤防火墙,应用级代理服务器以及状态包检测防火墙。
包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。
代理服务型防火墙也称链路级网关或TCP通道,它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。
复合型防火墙是指由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。
4.防火墙的过滤技术
所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定的安全策略来决定数据包是通过还是不通过。
(1)数据表结构
当应用程序用TCP传送数据时,数据被送入协议栈中,然后逐个通过每一层直到被当作一串比特流送入网络。
其中每一层对接收到的数据都要增加一些首部信息。
IP,TCP首部格式如表3-1表3-2所示。
表3-1IP首部格式
版本
首部长
服务类型
总长度
标识
标志
片偏移
生存时间
协议
首部校验和
源IP地址
目的IP地址
选项
表3-2TCP首部格式
源端口号
目的端口号
序列号
确认号
保留
L
R
C
T
B
P
H
J
窗口大小
TCP校验和
紧急指针
(2)传统包过滤技术
传统包过滤技术,大多是在IP层实现,它只是简单的对当前正在通过的单一数据包进行检测,查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。
这种技术存在的问题主要表现有:
有可能会用到的端口都必须静态放开;
不能对数据传输状态进行判断;
无法过滤审核数据包上层的内容。
(3)动态包过滤
动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。
这种方法的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较大提高
动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致。
(4)深度包检测
目前许多造成大规模损害的网络攻击,都是利用了应用的弱点。
利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新的要求。
防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。
深度包检测(DeepPacketInspection)就是针对这种需求,深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。
应用防御的技术问题主要包括:
第一需要对有效载荷知道得更清楚;
第二也需要高速检查它的能力。
一个深度包检测的流程框图如图3.1所示。
图3.1深度包检测框图
(5)流过滤技术
流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方案,它以状态监测技术为基础。
如在对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的示意图如图3.2所示。
图3.2流过滤示意图
1.硬件连接与实施
一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次与价格不同而在百兆与千兆之间有所区别。
(如图4.1)
图4.1
如果防火墙上有WAN接口,那么直接将WAN接口连接外网即可,如果所有接口都标记为LAN接口,那么按照常规标准选择最后一个LAN接口作为外网连接端口。
相应的其他LAN接口连接内网各个网络设备。
2.防火墙的特色配置
从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置,而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。
除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。
3.软件的配置与实施
以H3C的F100防火墙为例,当企业外网IP地址固定并通过光纤连接的具体配置。
首先当企业外网出口指定IP时配置防火墙参数。
选择接口四连接外网,接口一连接内网。
这里假设电信提供的外网IP地址为202.10.1.194255.255.255.0。
第一步:
通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。
第二步:
通过firewallpacketdefaultpermit设置默认的防火墙策略为“容许通过”。
第三步:
进入接口四设置其IP地址为202.10.1.194,命令为
inte0/4
ipadd202.10.1.194255.255.255.0
第四步:
进入接口一设置其IP地址为内网地址,例如192.168.1.1255.255.255.0,命令为
inte0/1
ipadd192.168.1.1255.255.255.0
第五步:
将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust
firezoneuntrust
addinte0/4
firezonetrust
addinte0/1
第六步:
由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表
aclnum2000
rulepersource192.168.0.00.0.255.255
ruledeny
第七步:
接下来将这个访问控制列表应用到外网接口通过启用NAT——
natoutbound2000
第八步:
最后添加路由信息,设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址——
iproute-static0.0.0.00.0.0.0202.10.1.193(如图2)
执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
五.防火墙的发展趋势
针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也出现了新的发展趋势。
主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
1.防火墙包过滤技术发展趋势
(1)安全策略功能
(2)
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。
该功能在无线网络应用中非常必要。
具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。
在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;
在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;
在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。
(3)功能扩展
功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中。
2.防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。
这意味着防火墙要能够以非常高的速率处理数据。
另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。
为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。
从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
3.防火墙的系统管理发展趋势
(1)集中式管理,分布式和分层的安全结构。
(2)强大的审计功能和自动日志分析功能。
(3)网络安全产品的系统化。
纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。
防火墙技术只有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增长的需求。
谢辞
在这里我应该首先感谢培养我的大学——湖南环境生物职业技术学院,特别是信息技术系的全体领导和老师们,感谢他们在三年的大学生活、学习中对我的教育、指导和关心,才能让我顺利的完成三年的大学学习。
得到进一步深造的机会。
在我将毕业之际,衷心的祝愿环境生物职业技术学院的明天会更辉煌,祝三年来对我关心、教导的所有老师们身体健康、工作顺利、万事如意。
参考文献
1.王艳.浅析计算机安全.电脑知识与技术.2010
2.艾军.防火墙体系结构及功能分析.电脑知识与技术.2004
3.高峰.许南山.防火墙包过滤规则问题的研究.计算机应用.20034.孟涛、杨磊.防火墙和安全审计.计算机安全.2004
4.魏利华.防火墙技术及其性能研究.能源研究与信息.2004
5.王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006
升级会员 