网络防火墙技术研究.docx
《网络防火墙技术研究.docx》由会员分享,可在线阅读,更多相关《网络防火墙技术研究.docx(27页珍藏版)》请在冰豆网上搜索。
网络防火墙技术研究
武汉工业学院
毕业论文
论文题目:
网络防火墙技术研究
姓名:
甘勤操
学号:
071203227
院系:
数理科学系
专业:
电子信息科学与技术___
指导老师:
李丹_
2011年5月28日
目录
摘要
Abstract
1绪论1
1.1研究背景1
1.2研究目的1
1.3论文结构2
2网络安全3
2.1网络安全问题3
2.1.1网络安全面临的主要威胁3
2.1.2影响网络安全的因素3
2.2网络安全措施4
2.2.1完善计算机安全立法4
2.2.2网络安全的关键技术4
2.3制定合理的网络管理措施5
3防火墙概述6
3.1防火墙的概念6
3.1.1传统防火墙介绍6
3.1.2智能防火墙简介8
3.2防火墙的功能8
3.2.1防火墙的主要功能8
3.2.2入侵检测功能11
3.2.3虚拟专网功能11
3.2.4其他功能12
3.3防火墙的原理及分类13
3.3.1包过滤防火墙13
3.3.2应用级代理防火墙13
3.3.3代理服务型防火墙14
3.3.4复合型防火墙14
3.4防火墙包过滤技术14
3.4.1数据表结构15
3.4.2传统包过滤技术16
3.4.3动态包过滤17
3.4.4深度包检测18
3.4.5流过滤技术18
4防火墙的配置20
4.1硬件连接与实施20
4.2防火墙的特色配置20
4.3软件的配置与实施21
5防火墙发展趋势25
5.1防火墙包过滤技术发展趋势25
5.2防火墙的体系结构发展趋势26
5.3防火墙的系统管理发展趋势26
结论27
致谢28
参考文献29
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。
因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。
而如何实施防范策略,首先取决于当前系统的安全性。
所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。
防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。
针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。
对网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
这以要求我们与Internet互连所带来的安全性问题予以足够重视。
计算机网络技术的飞速发展使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。
本文阐述了网络防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。
关键词:
嵌入式防火墙;智能防火墙;网络安全;防火墙;防范策略
Abstract
TherapiddevelopmentoftheInternettopeople'sliveshasbroughtgreatconvenience,buttheInternetisalsofacingunprecedentedthreats.Therefore,howtouseeffectivemethodforpeopletomakethenetworkdowntoanacceptableriskwithinthescopeofmoreandmoreattention.Andhowtoimplementpreventivestrategies,firstofalldependsonthecurrentsystemsecurity.Sotheseparateelementsofnetworksecurity-firewalls,vulnerabilityscanning,intrusiondetectionandanti-virusandotherriskassessmentisnecessary.
Firewalltechnologyasamorematurenowadaysnetworksecuritytechnology,itssecurityisdirectlyrelatedtotheuser'svitalinterests.Independentelementfornetworksecurity-firewall,thefirewalllogfilethroughanalysis,design,mathematicalmodelsandcorrespondingsoftwareprototype,themethodsusedpointssystemtodeterminethesystem'ssecurityleveltoachievethetargetnetworknetworksecurityriskassessment,Toenhancethesecurityofthesystemtoprovideascientificbasis.Threatstonetworksecuritymainlyin:
unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.ThisrequiresustointerconnectwiththeInternetsecurityissuesbroughttoattention.Therapiddevelopmentofcomputernetworktechnologytonetworksecurityissuesbecomeincreasinglyprominent,whilethefirewallisthemostwidelyusedsecurityproducts.Thispaperdescribestheworkingprincipleofnetworkfirewallandtheprosandconsoftraditionalfirewallswerecompared,andfinallywithotherareasofcomputersciencerelatedtonewtechnologies,raisednewfirewalltechnology,andfutureprospectsofitsdevelopment.
Keywords:
embeddedfirewall;intelligentfirewall;networksecurity;firewall;preventionstrategies
1绪论
1.1研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。
同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。
据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机侵入事件[1]。
在我国,虽然计算机网络的应用起步较晚,但在金融界也已发生过多起盗窃案。
人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。
如何建立比较安全的网络体系,值得我们关注研究。
1.2研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。
防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。
用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击,比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。
而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。
防火墙可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以根据自己的需要创建防火墙规则,控制互联网到PC以及PC到互联网的所有连接,并屏蔽入侵企图。
防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统,阻挡一切针对硬盘的恶意活动。
个人防火墙就是在单机Windows系统上,采取一些安全防护措施,使得本机信息得到一定的保护。
个人防火墙是面向单机操作系统的一种小型安全防护软件,按一定的规则对TCP,UDP,ICMP和IGMP等报文进行过滤,对网络的信息流和系统进程进行监控,防止一些恶意的攻击。
目前市场上大多数的防火墙产品仅仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:
内部网是安全可靠的,所有的威胁都来自网外。
因此,他们防外不防内,难以实现对企业内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。
个人上网用户多使用Windows操作系统,而Windows操作系统,特别是WindowsXP系统,本身的安全性就不高。
各种Windows漏洞不断被公布,对主机的攻击也越来越多。
一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。
如假冒IP包对通信双方进行欺骗:
对主机大量发送正数据包[3]进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。
因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。
所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合[4]。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
一个高效可靠的防火墙必须具有以下典型的特性:
1从里到外和从外到里的所有通信都必须通过防火墙;
2只有本地安全策略授权的通信才允许通过;
3防火墙本身是免疫的,不会被穿透的。
防火墙的基本功能有:
过滤进出网络的数据;管理进出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警
1.3论文结构
在论文中接下来的几章里,将会有下列安排:
第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安全的因素,及保护网络安全的关键技术。
第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等;。
第四章,以cisco的pix防火墙为例,介绍防火墙配置方法。
第五章,系统阐述防火墙发展趋势。
2.网络安全
2.1网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。
我国对于计算机安全的定义是:
“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。
”
从技术讲,计算机安全分为3种:
1)实体的安全。
它保证硬件和软件本身的安全。
2)运行环境的安全性。
它保证计算机能在良好的环境里持续工作。
3)信息的安全性。
它保障信息不会被非法阅读、修改和泄漏。
随着网络的发展,计算机的安全问题也延伸到了计算机网络。
2.1.1网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。
1)计算机病毒的侵袭。
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。
2)黑客侵袭。
即黑客非法进入网络非法使用网络资源。
例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据;突破防火墙等。
3)拒绝服务攻击。
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。
严重时会使系统关机,网络瘫痪。
具体讲,网络系统面临的安全威胁主要有如下表现:
身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户……等。
2.1.2影响网络安全的因素
1)单机安全
购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作……等等,这些都是影响单机安全性的因素。
2)网络安全
影响网络安全的因素有:
节点的安全、数据的安全(保存和传输方面)、文件的安全等。
2.2网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以及安全教育等外部软环境。
二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络防毒等。
三是管理措施,包括技术与社会措施。
主要措施有:
提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防患于未然。
这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。
2.2.1完善计算机安全立法
我国先后出台的有关网络安全管理的规定和条例。
但目前,在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。
2.2.2网络安全的关键技术
(1)数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。
有两种主要的加密类型:
私匙加密和公匙加密。
(2)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(3)防火墙技术
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户XX的访问。
目前,防火墙采取的技术,主要是包过滤、应用网关、子网屏蔽等。
但是,防火墙技术在网络安全防护方面也存在一些不足:
防火墙不能防止内部攻击防火墙不能取代杀毒软件;防火墙不易防止反弹端口木马攻击等。
(4)检测系统
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
随着时代的发展,入侵检测技术将朝着三个方向发展:
分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(5)防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。
(6)文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:
本地和远程。
建立文件权限的时候,必须在Windows2000中首先实行新技术文件系统(NewTechnologyFileSystem,NTFS)。
一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。
你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。
Windows2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。
2.3制定合理的网络管理措施
(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。
(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励和监督的作用。
(3)管理措施要标准化、规范化和科学化。
3防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。
因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。
就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。
其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
3.1防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙提供信息安全服务,是实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
3.1.1传统防火墙介绍
目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发展历程。
图1表示了防火墙技术的简单发展历史。
图1.防火墙的发展历史
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。
第二代、第三代防火墙:
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。
1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙:
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
[5]
下一代防火墙:
Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”(参见“工具包:
评估信息安全预算,2007年升级版”)。
例,第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁(参见“案例研究:
计算机早期探测功能被僵尸网络客户端所威胁”)。
由于当前采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口(如:
HTTP与HTTPS)及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。
深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
Gartner将网络防火墙定义为在线安全控制措施,即:
可实时在各受信级网络间执行网络安全策略。
Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。
但传统的防火墙并没有解决目前网络中主要的安全问题。
目前网络安全的三大主要问题是:
以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。
这三大安全问题占据网络安全问题九成以上。
而这三大问题,传统防火墙都无能为力。
主要有以下三个原因:
一是传统防火墙的计算能力的限制。
传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。
二是传统防火墙的访问控制机制是一个简单的过滤机制。
它是一个简单的条件过滤器,不具有智能功能,无法检测复杂的攻击。
三是传统的防火墙无法区分识别善意和恶意的行为。
该特征决定了传统的防火墙无法解决恶意的攻击行为。
现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解决上面的问题。
3.1.2智能防火墙简介
前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。
包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。
因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。
用一个定律来描述,就是防火墙的安全性与效率成反比
智能防火墙是相对传统的防火墙而言的,顾名思义,它更聪明、更智能。
80%的用户非常接受智能防火墙的概念,在他们的眼里,不聪明就是不可靠、不安全。
找个不聪明的保镖,你觉得安全吗?
传统防火墙存在的很多问题,用户往往难以理解。
用户经常会问,为什么防火墙不能防止黑客的攻击?
安全专家用记录的数据来分析,一眼就发现黑客的攻击,为什么防火墙不行?
原因就是传统的防火墙是一个简单机制,只能机械地执行安全策略。
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。
新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。
由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
3.2防火墙的功能
3.2.1防火墙的主要功能
具体来说,防火墙主要有以下几方面功能:
创建一个阻塞点
隔离不同网络,防止内部信息的外泄
强化安全策略
有效地审计和记录内、外部网络上的活动
1.创建一个阻塞点
防火墙在一个公司内部网络和外部网络间建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。
这样一个检查点,在网络安全行业中称之为“阻塞点”。
通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的地方来实现安全目的。
如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
2.隔离不同网络,防止内部信息的外泄
这是防火墙的最基本功能,它通过隔离内、外部网络来确保内部网络的安全。
也限制了局部重点或敏感网络安全问题对全局网络造成的影响。
企业秘密是大家普遍非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所截获,攻击者通过所获取的信息可以知道一个系统使用的频繁程
升级会员 