防火墙技术在网络安全中的实际应用文档格式.docx
《防火墙技术在网络安全中的实际应用文档格式.docx》由会员分享,可在线阅读,更多相关《防火墙技术在网络安全中的实际应用文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
网络文献:
PIX525防火墙的应用配置.
指导教师肖丹丹
2011年11月1日
指导教师评语
建议成绩:
优良中及格不及格
指导教师签字
年月日
最终评定成绩:
系主任签字
年月日
摘要
针对目前面临的网络安全问题,对网络安全和防火墙的基本概念进行了概括。
防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。
又系统地阐述了主机兴网络防火墙的工作原理和关键技术。
分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处和解决方案。
最后阐述了实例CiscoPIX硬件防火墙,以及防火墙发展趋势和防火墙的反战前景及技术方向。
关键词:
网络安全,防火墙技术,PIX
Abstract
Aimingattheproblemofnetworksecurity,facingtothenetworksecurityandthebasicconceptoffirewallweresummarized.Afirewallisakindofaccesscontroltechnology,itthroughataninstitutionofnetworkandunsafenetworkbetweenupbarriers,preventinformationresourcesofunauthorizedaccess.Andsystematicallyexpoundsthehostxingnetworkfirewallworkingprincipleandkeytechnology.AnalyzesthefirewalltechnologyintheInternetsecurityontheimportantrole,andalsoputforwardthedeficienciesandsolutions.FinallyexpoundedCiscoPIXhardwarefirewall,examplesandfirewalldevelopmenttrendandfirewallanti-warprospectandtechnicaldirection.
Keywords:
networksecurity,firewalltechnology,PIX
目录
绪论6
一网络安全的基础知识简介1
(一)网络安全1
1.网络安全定义1
2.不同环境和应用中的网络安全1
3.网络安全的威胁源1
4.网络安全中的其它技术2
二防火墙概述6
(一)防火墙的介绍6
1.防火墙6
2.防火墙的原理6
3.防火墙的架构6
4.防火墙系统的解决方案6
(二)防火墙的发展历史7
(三)防火墙各个阶段的特点8
1.静态包过滤防火墙8
2.动态包过滤防火墙8
3.代理(应用层网关)防火墙9
4.自适应代理防火墙9
(四)防火墙的体系结构9
1.双重宿主主机体系结构9
2.被屏蔽主机体系结构10
3.被屏蔽子网体系结构11
三防火墙技术14
(一)包过滤技术14
1.过滤规则14
2.包过滤规则的制定过程14
3.包过滤策略14
(二)代理服务技术14
(三)电路层网关技术15
(四)状态检测技术15
四防火墙的应用方案17
(一)CiscoPIX防火墙的产品特点17
1.内部区域(内网):
17
2..外部区域(外网):
3.停火区(DMZ):
(二)CiscoPIX525防火墙的配置17
1.PIX管理访问模式17
2.PIX525配置的基本步骤18
五防火墙的未来发展22
(一)防火墙发展趋势22
1.优良的性能22
2.可扩展的结构和功能22
3.简化的安装和管理22
4.主动过滤22
5.防病毒与防黑客22
(二)防火墙的反战前景及技术方向23
结束语24
参考文献25
绪论
科学技术的飞速发展,人们已经生活在信息时代。
计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。
近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。
然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。
“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。
“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。
因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。
对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;
也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。
不断地提高自身网络的安全才是行之有效地办法。
在我国,虽然计算机网络应用起步比较晚,但在金融界也已发生过多起盗窃案,在科技界也发生了用户帐号被盗用,使被盗用户一个月的网络费用损失高达2万余元的情况。
因此,对计算机网络安全系统采取措施,鉴别合法用户惊醒的操作就显得非常重要。
这可以拒绝对敏感数据进行非授权的访问、使用,防止黑客的入侵和计算机病毒的破坏,把计算机网络安全措施落实到实处。
随着计算机技术的发展,信息安全已日益引起人们的高度重视。
依据美国CSI及FBI联合发布的《2004年度计算机犯罪及安全调查报告》中提供的数据,仅在2003年503家被调查的美国公司因信息安全导致的损失超过38亿美元。
如何不断研究和提高信息安全技术已直接关系到社会信息化的发展。
目前,普遍采用的技术主要包括加密、VPN、数字身份识别、访问控制、入侵检测、网络防火墙、反病毒等技术。
依据上述报告显示,2003年96%的美国公司采用了网络防火墙技术,仅比位居第一位的反病毒技术低2个百分点。
可见,网络防火墙技术在信息安全领域扮演着十分重要的角色。
一网络安全的基础知识简介
(一)网络安全
1.网络安全定义
网络安全的具体含义会随着“角度”的变化而变化。
比如:
从用户(个人、企业等)的角度来说,他们希望涉及个人隐私火商业利益的信息在网络上传输受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其他用户的非法授权访问和破坏。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作收到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄漏,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其控制。
从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统的数据收到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄密,系统连续可靠的运行,网络服务中断。
广义来说,凡事涉及到网络上信息的保密性、完整性、可用性、真实性、和可控制性的相关技术和理论都是网络安全索要研究的领域。
网络安全涉及到的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
技术方面主要侧重于防范外部非法用户的攻击管理方面则侧重于内部认为因素的管理。
如何更有效的保护重要的信息数据、提高计算机网络系统的安全性已成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
2.不同环境和应用中的网络安全
运行系统安全:
保证信息处理和传输系统的安全。
它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输造成破坏和损失,避免由于电磁泄漏,产生信息泄漏,干扰他人,受他人干扰。
网络上系统信息的安全:
包括用户口令鉴别,用户存取权限控制,数据存取权限,方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
网络上信息传播安全:
即信息传播后果的安全。
包括信息过滤等。
它侧重于防治和控制非法、有害的信息进行传播后的后果。
避免公用网络上大量自由传输的信息失控。
网络上信息内容的安全:
它侧重于保护数据的保密性、真实性和完整性。
避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
本质上是保护用户的利益和隐私。
3.网络安全的威胁源
网络安全性面临的威胁
对于网络安全性,可以通过甲、乙两个用户在计算机网络上的通信来考虑计算机网络
面临的威胁,主要有一下几种情况:
(1)信息泄露
当甲通过网络与乙进行通信时,如果不采取任何保密措施,那么其他人就与可能偷看到他们的通信内容。
(2)识别
对于进入计算机网络系统的用户,系统必须检验其合法性。
如果不是系统的合法用户,系统将不给予服务。
因此系统要有“身份识别的功能”。
(3)假冒
甲和乙是系统的合法用户,网络为他们提供应有的服务。
丙也想获得这些服务,于是丙系统发出:
“我是乙”。
系统怎么才能识别这一服务请求不是由乙发出的,而是假冒的呢?
(4)篡改
乙给甲发了如下一份文报:
“请给丁汇100元钱。
乙”。
文报在转发过程中经过了丙的手。
丙就把“丁”改成了“丙”。
(5)恶意程序的攻击
除了上述用户之间通信中的信息安全问题外,网络本身也容易遭受一些恶意程序(rogueprogram)的攻击。
恶意程序种类繁多,对网络安全威胁较大主要有以下几种:
计算机病毒、计算机蠕虫特洛伊木马逻辑炸弹。
这里所说的计算机病毒是侠义的也有人把所有的恶意程序指为计算机病毒。
目前,计算机病毒被分为3大类型,即分区病毒、文件病毒和宏病毒。
人为威胁源
人为威胁源有两种,一种是指计算机黑客闯入用户的网络计算机系统,我们把他称为外部危险;
一种来自系统的内部,我们把它称为内部危险。
(1)网络内部危险包括一下几个方面:
设计安全过程中,没有考虑员工和公司之间的关系。
网络安全需要花费管理人员的精力来维护和实施,造成经费的增加。
网络安全主要来自企业内部松懈的、甚至完全不存在的安全措施。
用户对限制访问的安全策略有抵触情绪、不遵守安全标准。
(2)外部危险,网络外部危险包括一下几个方面,窃取机密信息,向外部透露敏感信息,非法访问网络服务程序和资源,干扰网络正常服务,故意损坏、修改和删除数据,窃取或损坏硬件和软件。
4.网络安全中的其它技术
网络安全其它技术还有加密技术、rsa算法、pki技术、认证机构。
信息交换加密技术分为两类:
即对称加密和非对称加密。
在对称加密技术中,对信息的加密和解密都是用相同的钥,也就是说一把钥匙开一把锁。
这种加密的方法可简化加密处理过程,信息交换双方都不彼此研究和交换专用的加密算法。
在非对称加密算法需要
两个密钥:
公开密钥(publickey)和私有密钥(privatekey)。
公开密钥与私有密钥是一对,
如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;
如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。
rsa算法是rivest、shamir和adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。
在rsa体制中使用了这样一个基本事实:
到目前为止,无法找到一个有效的算法来分解两大素数之积。
Rsa算法的描述如下:
公开密钥:
n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:
d=e-1{mod(p-1)(q-1)}
加密:
c=me(modn),其中m为明文c为密文。
解密:
m=cd(modn)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经能够超过64位计算机的运算能力,因此在目前和预见的未来,它是足够安全的。
pki(publickeyinfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。
Pki技术是信息安全技术的核心,也是电子商务的关键和基础技术。
由于通过网络进行的电子商务、电子政务、电子事物等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。
而pki技术恰好是一种适合电子商务、电子政务、电子事物的密码技术,它能够有效的解决电子商务应用中的机密性、真实性、安全性、不可否认性和存取控制等安全问题。
ca(certificationauthorty)就是这样一个确保信任度发热权威实体,它主要职责是颁发证书、验证用户身份的真实性。
传统的网络防火墙,存在着以下不足之处:
无法检测加密的Web流量
如果你正在部署一个关键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。
这个需求,对于传统的网络防火墙而言,是个大问题由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。
普通应用程序加密后,也能轻易躲过防火墙的检测
网络防火墙无法看到的,不仅仅是SSL加密的数据。
对于应用程序加密的数据,同样也看不到。
在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵检测系统(IDS,IntrusionDetectSystem)的原理类似。
只有当应用层攻击行为的特征与防火墙中的数据
库已有的特征完全匹配时,防火墙才能识别和截获攻击数据。
但如今,采用常见的编码技术,就能够将恶意代码和其它攻击命令隐藏起来,转换成形式,既能够前端的网络安全系
统,又能够在后台服务器中执行。
这种加密后的攻击代码,只要与防火墙规则库中的不一样,就能够躲过防火墙,成功避开特征匹配。
对于Web应用程序,防范能力不足
网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。
基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,AccessControlLists)。
在这一方面,网络防火墙表现确实十分出色。
今年来,实际应用过程中,HTTP是主要的传输协议。
主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目的,不在只是重要的业务数据。
网络防火墙的防护范围,也发生了变化。
由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流也无法截获应用层的攻击。
由于对正体的应用数据流,缺乏完整的、基于会话级别的监控能力,因此很难预防新的未知的攻击。
应用防护特征,只适用于简单情况
目前的数据中心服务器,时常会发生变动,比如:
定期需要部署新的应用程序;
经常需要增加或更新软件模块;
经常会发现代码中的bug,已部署的系统需要定期打补丁。
虽然一些先进的网络防火墙供应商,提出了应用防护的特征,但只是适用于简单的环境中。
细看就会发现,对于实际的企业应用来说,这些特征存在着局限性。
在多数情况下,弹性概念(Proof-Of-Concept)的特征无法应用于现实生活中的数据中心上。
比如,有些防火墙供应商,曾经声称能够阻止缓存溢出:
当黑客在浏览器的URL中输入太长数据,试图使用后台服务崩溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。
细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。
如果使用这个规则,讲对所有的应用程序生效。
如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。
网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层竞选防护,除非是一些很简单的应用程序。
无法扩展带深度的检测功能
基于状态检测的网络防火墙,如果希望只扩展深度检测(deepinspection)功能,而没有相应增加网络性能,这是不行的。
真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面;
SSL加密/解密功能;
完全的双向有效负载检测;
确保所有合法流量的正常化;
广泛的协议性能;
这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC
平台,但进一步研究,就能发现:
旧的基于网络的ASIC平台对于新的深度检测功能是无
法支持的。
小结:
应用层受到攻击的概率越来越大,而传统的网络防火墙在这方面有存在着不足之处。
对此,少数防火墙供应商也开始意识到应用层的威胁,在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征,试图防范这些威胁。
传统的网络防火墙对于应用安全的防范上效果不佳,对于上述出的五大不足之处,将来需要在网络层和应用层加强防范。
二防火墙概述
(一)防火墙的介绍
1.防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
2.防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。
一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。
另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。
防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏DMZ外网和内部局域网的防火墙系统。
3.防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:
主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:
以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:
iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
4.防火墙系统的解决方案
防火墙就如一道墙壁,把内部网络(也称私人网络)和外部网络(也称公共网络)隔离开。
起到区域网络不同安全区域的防御性设备的作用,例如:
互联网络(internet)与企业内部网络(intranet)之间,如图1所示。
图1内部网络和外部网络
根据已经设置好的安全规则,决定是允许(allow)或者拒绝(deny)内部网络和外部网络的连接,如图2所示。
图2内部网络与外部网络的连接
(二)防火墙的发展历史
防火墙的发展历程可分为5代,即:
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。
下图图3表示了防火墙技术的简单发展历史。
自适应代理
动态包过滤∣
代理∣∣
包过滤电路层∣∣∣
1980↓↓1990↓↓↓2000
图3防火墙技术的发展历史
第二、三代防火墙
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。
1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
(三)防火墙各个阶段的特点
防火墙技术经历了以下几个阶段:
1.静态包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。
它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其
升级会员 