计算机网络安全与防火墙技术论文Word文档格式.docx
《计算机网络安全与防火墙技术论文Word文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络安全与防火墙技术论文Word文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
1.2研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。
防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。
用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击,比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改密码等等。
而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。
防火墙可以保护人们在网上浏览时免受黑客的攻击,实时防网络黑客的侵袭,还可以根据自己的需要创建防火墙规则,控制互联网到PC以与PC到互联网的所有连接,并屏蔽入侵企图。
防火可以有效地阻截各种恶意攻击、保护信息的安全;
信息泄漏拦截保证安全地浏览网页、遏制病毒的蔓延;
容检测可以实时监视系统,阻挡一切针对硬盘的恶意活动。
个人防火墙就是在单机Windows系统上,采取一些安全防护措施,使得本机的息得到一定的保护。
个人防火墙是面向单机操作系统的一种小型安全防护软件,按一定的规则对TCP,UDP,ICMP和IGMP等报文进行过滤,对网络的信息流和系统进程进行监控,防止一些恶意的攻击。
目前市场上大多数的防火墙产品仅仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:
部网是安全可靠的,所有的威胁都来自网外。
因此,他们防外不防,难以实现对企业部局域网主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络部。
个人上网用户多使用Windows操作系统,而Windows操作系统,特别是WindowsXP系统,本身的安全性就不高。
各种Windows漏洞不断被公布,对主机的攻击也越来越多。
一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。
如假冒IP包对通信双方进行欺骗:
对主机大量发送正数据包[3]进行轰炸攻击,使之际崩溃;
以与蓝屏攻击等。
因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。
所谓的防火墙是指设置在不同网络(如可信任的企业部网和不可信的公共网)或网络安全域之间的一系列部件的组合[1]。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了部网和Internet之间的任何活动,保证了部网络的安全。
一个高效可靠的防火墙必须具有以下典型的特性:
1从里到外和从外到里的所有通信都必须通过防火墙;
2只有本地安全策略授权的通信才允许通过;
3防火墙本身是免疫的,不会被穿透的。
防火墙的基本功能有:
过滤进出网络的数据;
管理进出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息容和活动;
对网络攻击进行检测和报警
1.3论文结构
在论文中接下来的几章里,将会有以下安排:
第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安全的因素,与保护网络安全的关键技术。
第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等;
。
第四章,以H3CH3C的F100防火墙为例,介绍防火墙配置方法。
第五章,系统阐述防火墙发展趋势。
第2章网络安全
2.1网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。
我国对于计算机安全的定义是:
“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。
”
从技术讲,计算机安全分为3种:
1)实体的安全。
它保证硬件和软件本身的安全。
2)运行环境的安全性。
它保证计算机能在良好的环境里持续工作。
3)信息的安全性。
它保障信息不会被非法阅读、修改和泄漏。
随着网络的发展,计算机的安全问题也延伸到了计算机网络。
2.1.1网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。
1)计算机病毒的侵袭。
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。
2)黑客侵袭。
即黑客非法进入网络非法使用网络资源。
例如通过隐蔽通道进行非法活动;
采用匿名用户访问进行攻击;
通过网络监听获取网上用户账号和密码;
非法获取网上传输的数据;
突破防火墙等。
3)拒绝服务攻击。
例如“点在炸弹”,它的表现形式是用户在很短的时间收到大量无用的电子,从而影响正常业务的运行。
严重时会使系统关机,网络瘫痪。
具体讲,网络系统面临的安全威胁主要有如下表现:
身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户……等。
2.1.2影响网络安全的因素
1)单机安全
购买单机时,型号的选择;
计算机的运行环境(电压、湿度、防尘条件、强电磁场以与自然灾害等);
计算机的操作……等等,这些都是影响单机安全性的因素。
2)网络安全
影响网络安全的因素有:
节点的安全、数据的安全(保存和传输方面)、文件的安全等。
2.2网络安全措施
网络信息安全涉与方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以与安全教育等外部软环境。
二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络防毒等。
三是管理措施,包括技术与社会措施。
主要措施有:
提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防患于未然。
这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。
2.2.1完善计算机安全立法
我国先后出台的有关网络安全管理的规定和条例。
但目前,在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国外立法评价的基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。
2.2.2网络安全的关键技术
(1)数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。
有两种主要的加密类型:
私匙加密和公匙加密。
(2)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(3)防火墙技术
防火墙就是用来阻挡外部不安全因素影响的部网络屏障,其目的就是防止外部网络用户XX的访问。
目前,防火墙采取的技术,主要是包过滤、应用网关、子网屏蔽等。
但是,防火墙技术在网络安全防护方面也存在一些不足:
防火墙不能防止部攻击防火墙不能取代杀毒软件;
防火墙不易防止反弹端口木马攻击等。
(4)检测系统
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
随着时代的发展,入侵检测技术将朝着三个方向发展:
分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(5)防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以与它们之间相互关系和接口的综合系统。
(6)文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:
本地和远程。
建立文件权限的时候,必须在Windows2000中首先实行新技术文件系统(NewTechnologyFileSystem,NTFS)。
一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。
你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。
Windows2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。
2.3制定合理的网络管理措施
(1)加强网络用户与有关人员的安全意识、职业道德和事业心、责任心的培养教育以与相关技术培训。
(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励和监督的作用。
(3)管理措施要标准化、规化和科学化。
第3章防火墙概述
随着Internet的迅速发展,网络应用涉与到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;
同时由于黑客入侵以与网络病毒的问题,使得网络安全问题越来越突出。
因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。
就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。
其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
3.1防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
[4]防火墙是指设置在不同网络(如可信任的企业部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙提供信息安全服务,是实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了部网络和互联网之间的任何活动,保证了部网络的安全。
3.1.1传统防火墙介绍
目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发展历程。
图1表示了防火墙技术的简单发展历史。
图1
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。
第二代、第三代防火墙
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。
1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
[5]
但传统的防火墙并没有解决目前网络中主要的安全问题。
目前网络安全的三大主要问题是:
以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子(SPAM)为代表的容控制。
这三大安全问题占据网络安全问题九成以上。
而这三大问题,传统防火墙都无能为力。
主要有以下三个原因:
一是传统防火墙的计算能力的限制。
传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。
二是传统防火墙的访问控制机制是一个简单的过滤机制。
它是一个简单的条件过滤器,不具有智能功能,无法检测复杂的攻击。
三是传统的防火墙无法区分识别善意和恶意的行为。
该特征决定了传统的防火墙无法解决恶意的攻击行为。
现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解决上面的问题。
3.1.2智能防火墙简介
智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。
新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。
由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。
3.2防火墙的功能
3.2.1防火墙的主要功能
1.包过滤。
包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;
可根据地址簿进行设置规则。
2.地址转换。
网络地址变换是将部网络或外部网络的IP地址转换,可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。
SNAT用于对部网络地址进行转换,对外部网络隐藏起部网络的结构,避免受到来自外部其他网络的非授权访问或恶意攻击。
并将有限的IP地址动态或静态的与部IP地址对应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。
DNAT主要用于外网主机访问网主机。
3.认证和应用代理。
认证指防火墙对访问网络者合法身分的确定。
代理指防火墙置用户认证数据库;
提供、FTP和SMTP代理功能,并可对这三种协议进行访问控制;
同时支持URL过滤功能。
4.透明和路由
指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。
隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;
防火墙还支持路由方式,提供静态路由功能,支持部多个子网之间的安全访问。
3.2.2入侵检测功能
入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技术,包括以下容:
1.反端口扫描。
端口扫描就是指黑客通过远程端口扫描的工具,从中发现主机的哪些非常用端口是打开的;
是否支持FTP、Web服务;
且FTP服务是否支持“匿名”,以与IIS版本,是否有可以被成功攻破的IIS漏洞,进而对部网络的主机进行攻击。
顾名思义反端口扫描就是防端口扫描的方法,目前常用的方法有:
关闭闲置和有潜在危险的端口;
检查各端口,有端口扫描的症状时,立即屏蔽该端口,多数防火墙设备采用的都是这种反端口扫描方式。
2.检测拒绝服务攻击。
拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;
而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式,分布式的拒绝服务攻击(DDoS)。
其原理很简单,就是利用更多的受控主机同时发起进攻,以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。
现在的防火墙设备通常都可检测Synflod、Land、PingofDeath、TearDrop、ICMPflood和UDPflod等多种DOS/DDOS攻击。
3.检测多种缓冲区溢出攻击(BufferOverflow)。
缓冲区溢出(BufferOverflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作,防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。
4.检测CGI/IIS服务器入侵。
CGI就是CommonGatewayInter——face的简称。
是WorldWideWeb主机和CGI程序间传输资讯的定义。
IIS就是InternetInformationserver的简称,也就是微软的Internet信息服务器。
防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。
5.检测后门、木马与其网络蠕虫。
后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到存,强行控制机器打开那个特殊的端口的程序。
木马程序的全称是“特洛依木马”,它们是指寻找后门、窃取计算机的密码的一类程序。
网络蠕虫病毒分为2类,一种是面向企业用户和局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性的后果,以“红色代码”,“尼姆达”,以与最新的“sql蠕虫王”为代表。
另外一种是针对个人用户的,通过网络(主要是电子,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。
防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;
检测试图穿透防火墙系统的蠕虫程序。
3.2.3虚拟专网功能
指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。
VPN的基本原理是通过IP包的封装与加密、认证等手段,从而达到安全的目的。
3.2.4其他功能
1.IP地址/MAC地址绑定。
可支持任一网络接口的IP地址和MAC地址的绑定,从而禁止用户随意修改IP地址。
2.审计。
要求对使用身份标识和认证的机制,文件的创建,修改,系统管理的所有操作以与其他有关安全事件进行记录,以便系统管理员进行安全跟踪。
一般防火墙设备可以提供三种日志审计功能:
系统管理日志、流量日志和入侵日志。
3.特殊站点封禁。
置特殊站点数据库,用户可选择是否封禁、反动和暴力等特殊站点。
3.3防火墙的原理与分类
国际计算机安全委员会ICSA将防火墙分成三大类:
包过滤防火墙,应用级代理服务器[8]以与状态包检测防火墙。
3.3.1包过滤防火墙
顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。
过滤规则是基于网络层IP包信息的比较。
包过滤防火墙工作在网络层,IP包的中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IPTunnel),TCP/UDP端口号,ICMP消息类型,TCP中的ACK等等。
如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;
如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;
如果没有匹配规则,则按缺省情况处理。
包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。
但是它的安全程度较低,很容易暴露部网络,使之遭受攻击。
例如,。
通常是使用80端口。
如果公司的安全策略允许部员工访问,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。
包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。
同时,包过滤防火墙一般无法提供完善的日志。
3.3.2应用级代理防火墙
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。
代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。
它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的部网络。
这代理机制提供额外的安全,这是因为它将部和外部网络隔离开来,使网络外部的黑客在防火墙部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。
但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。
比如访问WEB站点的,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。
如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;
同时升级一种应用时,相应的代理程序也必须同时升级。
3.3.3代理服务型防火墙
代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。
它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
防火墙外计算机系统间应用层的“”,由两个终止代理服务器上的“”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
应用代理型防火墙是部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
同时
也常结合入过滤器的功能。
它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
3.3.4复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。
这种结合通常是以下两种方案。
屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了部网络不受未授权外部用户的攻击。
屏蔽子网防火墙体系结构:
堡垒机放在一个子网,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet与部网络分离。
在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。
3.4防火墙包过滤技术
所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定的安全策略来决定数据包是通过还是不通过。
包过滤最主要的优点在于其速度与透明性。
也正是由于此。
包过滤技术历经发展
升级会员 