浅谈Internet防火墙技术.docx
《浅谈Internet防火墙技术.docx》由会员分享,可在线阅读,更多相关《浅谈Internet防火墙技术.docx(34页珍藏版)》请在冰豆网上搜索。
浅谈Internet防火墙技术
学院
本科毕业设计(论文)
题 目:
浅谈Internet防火墙技术
学生姓名:
学号:
系(部):
数学与计算机科学系专业:
计算机科学与技术
入学时间:
201 年 月
导师姓名:
职称/学位:
导师所在单位:
浅谈Internet防火墙技术
摘要
21世纪全球互联网技术的迅猛发展为现代人们的生产生活带来了翻天覆地的变化。
不仅仅是使我们的生活变得丰富多彩,而在更大程度上使整个社会的生产力的大幅度提升。
Internet的快速发展,使全球各个角落的资源实现共享,资源之丰富可谓是应有尽有,但是同时给我们带来了一个日益严峻的问题——网络安全。
互联网的发展必然把网络安全这个话题推上了风头浪尖。
现在的网络安全技术有防火墙技术,IDS、加密技术和防病毒技术等等,而防火墙技术在网络安全技术中是最简单,也是最有效的解决方法。
所以防火墙技术越来越受到人们的关注和广泛应用。
本文从防火墙技术的概念、发展过程这两个方面进行研究分析,并对防火墙技术的发展趋势以及前景做简要展望。
关键字:
Internet;防火墙;过滤
OntheInternetFirewallTechnology
Abstract
TherapiddevelopmentofInternettechnologyinthetwenty-firstCenturyhasbroughtdramaticchangestomodernpeople'sproductionandlife.Itnotonlymakesourliferichandcolorful,butalsotoagreaterextentcangreatlyenhancetheproductivityofthewholesociety.ThefastdevelopmentofInternet,makeeverycorneroftheworldrealizethesharingofresources,andtherichresourceshaveeverythingthatoneexpectstofind.Butitalsobringsusanincreasinglyseriousproblem--networksecurity.ThedevelopmentofInternetwillinevitablyputthesubjectofnetworksecurityintolimelightwave.Networksecuritytechnologyhasfirewalltechnology,IDS,encryptiontechnologyandanti-virustechnologyandetc.However,firewalltechnologyinnetworksecuritytechnologyisthesimplestandthemosteffectivesolution.Sofirewalltechnologygetsmoreandmoreattentionofpeopleandwidelyused.Thispaperisbasedontheresearchanalysisofthetwoaspectsofconcept,firewalltechnologyanddevelopmentprocess,andbrieflyoutlooksthefirewalltechnologydevelopingtrendandprospects.
Keywords:
Internet;Firewall;Filtering
目录
前言1
第一章防火墙的基本知识2
1.1防火墙的基本概念2
1.2防火墙的工作原理2
1.3防火墙的功能2
1.4防火墙的分类2
第二章防火墙的配置5
2.1防火墙的初始配置5
2.2过滤型防火墙的访问控制表(ACL)配置6
2.3双宿主机网关(DualHomedGateway)10
2.4屏蔽主机网关(ScreenedHostGateway)10
2.5屏蔽子网(ScreenedSubnet)11
第三章防火墙的应用现状12
3.1防火墙现状概说12
3.2包过滤防火墙和代理12
3.3状态检测技术13
3.4高保障防火墙13
第四章防火墙的发展以及关键技术14
4.1第一代防火墙14
4.2第二代防火墙14
4.3第三代防火墙15
4.4第四代防火墙16
4.5第四代防火墙技术的实现方法18
4.6小结19
第五章防火墙技术的发展展望21
总结24
参考文献25
致 谢26
浅谈Internet防火墙技术
前言
古代防火墙作用:
古人在建筑物的两侧山墙和后檐墙上,不开门窗,不采用可燃材料,谓之风火檐,也称封火檐。
这是防火墙的一种形式。
故宫内也有这种防火墙。
雍正皇帝为了接受皇宫内过去发生火灾的教训,命令工部大臣将三大殿东西配殿以及东六宫、西六宫的两侧山墙和后檐墙统统改为风火檐,全然不用木质材料。
这十三处防火墙的总长度约4000米,对于防止故宫内火势蔓延发挥了应有的作用。
当今社会所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway)。
随着网络应用越来越广泛,给我们带来的便利无处不在,但是这项技术的普及给我们的生活带来了很多新的问题。
如银行密码被偷、商业机密被窃取、网络欺诈、网络虚拟资产被偷窃等等现象越来越严重,这些现象使得人们对网络技术长生了畏惧。
在互联网领域存在的“黑客经济”,已经发展出黑客培训、信息窃取、恶意广告、垃圾邮件、敲诈勒索、网站仿冒等多种盈利模式。
根据CNCERT的初步估计,目前这条“黑色产业链”的年“产值”已超过2.38亿元,给中国互联网产业造成的损失则超过76亿元。
作为网络安全保障第一道防线的防火墙技术此时显得尤为重要。
本文将从防火墙的原理入手充分解析什么是防火墙,再分析各代防火墙的技术特点,剖析防火墙现在依然存在的弊端和不足之处,最后结合现今互联网发展状况作出展望。
第一章防火墙的基本知识
1.1防火墙的基本概念
从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。
[1]从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
1.2防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
1.3防火墙的功能
一般来说,防火墙具有以下几种功能:
a.能够防止非法用户进入内部网络。
b.可以很方便地监视网络的安全性,并报警。
c.可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
d.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。
从技术角度来讲,就是所谓的停火区(DMZ)。
1.4防火墙的分类
1.4.1按防火墙使用方法分为个人防火墙、网络层防火墙、应用层防火墙。
1.4.1.1个人防火墙
个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何XX允许的数据进入或发出到互联网及其他网络系统。
[2]个人防火墙产品如著名Symantec公司的诺顿、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。
这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。
1.4.1.2网络层防火墙
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
1.4.1.3应用层防火墙
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
1.4.2从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。
1.4.3从防火墙技术分为“包过滤型”、“代理服务器型”和“复合型防火墙”三大类。
1.4.3.1包过滤型防火墙。
又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall),它工作在网络层和传输层。
它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
1.4.3.2代理服务器型防火墙
代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。
其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/IP功能。
一个代理服务器实际上是一个为特定网络应用而连接两个网络的网关。
1.4.3.3复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。
所用主机称为堡垒主机,负责代理服务。
各种类型的防火墙都有其各自的优缺点。
当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。
混合型防火墙一般采用以下几种技术:
(1)动态包过滤;
(2)内核透明技术;
(3)用户认证机制;
(4)内容和策略感知能力;
(5)内部信息隐藏;
(6)智能日志、审计和实时报警;
(7)防火墙的交互操作性等。
1.4.3.4从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
1.4.3.5按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。
1.4.3.6按防火墙性能分为百兆级防火墙和千兆级防火墙两类。
第二章防火墙的配置
2.1防火墙的初始配置
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。
但因各种防火墙的初始配置基本类似,所以在此仅以CiscoPIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(yperTerminal)程序进行选项配置。
[3]防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见(图2-1)所示。
图2-1:
防火墙的初始配置物理连接图
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:
普通模式(Unprivilegedmode)、特权模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode),进入这四种用户模式的命令也与路由器一样:
普通用户模式无需特别命令,启动后即进入;
进入特权用户模式的命令为"enable";进入配置模式的命令为"configterminal";而进入端口模式的命令为"interfaceethernet()"。
不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"全局配置模式"。
防火墙的具体配置步骤如下:
(1)将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见(图2-1)。
(2)打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
(3)运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
(4)当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
(5)输入命令:
enable,进入特权用户模式,此时系统提示为:
pixfirewall#。
(6)输入命令:
configureterminal,进入全局配置模式,对系统进行初始化设置。
①首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interfaceethernet0auto#0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型Interfaceethernet1auto
②配置防火墙内、外部网卡的IP地址
IPaddressinsideip_addressnetmask#Inside代表内部网卡
IPaddressoutsideip_addressnetmask#outside代表外部网卡
③指定外部网卡的IP地址范围:
global1ip_address-ip_address
④指定要进行转换的内部地址:
nat1ip_addressnetmask
⑤配置某些控制选项:
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
其中,global_ip:
指的是要控制的地址;port:
指的是所作用的端口,0代表所有端口;protocol:
指的是连接协议,比如:
TCP、UDP等;foreign_ip:
表示可访问的global_ip外部IP地址;netmask:
为可选项,代表要控制的子网掩码。
(7)配置保存:
wrmem
(8)退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。
它与Quit命令一样。
下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
pixfirewall(config)#exit
pixfirewall#exit
pixfirewall>
(9)查看当前用户模式下的所有可用命令:
show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
(10)查看端口状态:
showinterface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
(11)查看静态地址映射:
showstatic,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
2.2过滤型防火墙的访问控制表(ACL)配置
除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。
下面介绍一些用于此方面配置的基本命令。
2.2.1access-list:
用于创建访问规则
这一访问规则配置命令要在防火墙的全局配置模式中进行。
同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过showaccess-list命令看到。
在这个命令中,又有几种命令格式,分别执行不同的命令。
(1)创建标准访问列表
命令格式:
access-list[normal special]listnumber1{permit deny}source-addr[source-mask]
(2)创建扩展访问列表
命令格式:
access-list[normal special]listnumber2{permit deny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2] icmp-type[icmp-code]][log]
(3)删除访问列表
命令格式:
noaccess-list{normal special}{all listnumber[subitem]}
上述命令参数说明如下:
●normal:
指定规则加入普通时间段。
●special:
指定规则加入特殊时间段。
●listnumber1:
是1到99之间的一个数值,表示规则是标准访问列表规则。
●listnumber2:
是100到199之间的一个数值,表示规则是扩展访问列表规则。
●permit:
表明允许满足条件的报文通过。
●deny:
表明禁止满足条件的报文通过。
●protocol:
为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
●source-addr:
为源IP地址。
●source-mask:
为源IP地址的子网掩码,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
●dest-addr:
为目的IP地址。
●dest-mask:
为目的地址的子网掩码。
●operator:
端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:
等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
●icmp-type:
在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
●icmp-code:
在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
●log:
表示如果报文符合条件,需要做日志。
●listnumber:
为删除的规则序号,是1~199之间的一个数值。
●subitem:
指定删除序号为listnumber的访问列表中规则的序号。
例如,现要在华为的一款防火墙上配置一个"允许源地址为10.20.10.0网络、目的地址为10.20.30.0网络的WWW访问,但不允许使用FTP"的访问规则。
相应配置语句只需两行即可,如下:
Quidway(config)#access-list100permittcp10.20.10.0255.0.0.010.20.30.0255.0.0.0eqwww
Quidway(config)#access-list100denytcp10.20.10.0255.0.0.010.20.30.0255.0.0.0eqftp
2.2.2clearaccess-listcounters:
清除访问列表规则的统计信息
命令格式:
clearaccess-listcounters[listnumber]
这一命令必须在特权用户模式下进行配置。
listnumber参数是用指定要清除统计信息的规则号,如不指定,则清除所有的规则的统计信息。
如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。
访问配置语句为:
clearaccess-listcounters100
如有清除当前所使用的所有规则的统计信息,则以上语句需改为:
Quidway#clearaccess-listcounters
2.2.3ipaccess-group
使用此命令将访问规则应用到相应接口上。
使用此命令的no形式来删除相应的设置,对应格式为:
ipaccess-grouplistnumber{inout}
此命令须在端口用户模式下配置,进入端口用户模式的命令为:
interfaceethernet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。
进入后再用ipaccess-group命令来配置访问规则。
listnumber参数为访问规则号,是1~199之间的一个数值(包括标准访问规则和扩展访问规则两类);in表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。
一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。
对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。
所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用showaccess-list命令来查看。
例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由器上):
ipaccess-group100in
如果要删除某个访问控制表列绑定设置,则可用noipaccess-grou