防火墙.docx
《防火墙.docx》由会员分享,可在线阅读,更多相关《防火墙.docx(9页珍藏版)》请在冰豆网上搜索。
防火墙
目录
1.引言1
2.防火墙的定义2
3.防火墙的作用和类型2
3.1作用2
3.2类型2
4.防火墙基本特性3
5.防火墙的功能3
6.防火墙的工作原理4
7.防火墙的入侵检测5
7.1什么是入侵检测系统?
5
7.2入侵检测技术及发展5
7.3防火墙与入侵检测的联动6
8.防火墙的使用配置和防御能力6
8.1防火墙的配置规则6
8.2防火墙设备的设置步骤7
8.3防御能力方面7
9.几款防火墙的优缺点7
10.360防火墙9
10.1主要功能9
10.2主界面9
11.心得体会10
参考文献:
10
1.引言
我们生存的世界并不安宁,人们渴望有一个安全、和平的生存空间,随着信息技术的发展,特别是网络的发展,人们的诸多活动越来越多地依赖于网络空间,然而,网络空间并非总是安全的。
当前我国的网络安全正面临着严峻的挑战。
一方面随着电子政务工程的启动、电子商务的开展以及国家关键基础设施的网络化,网络安全的需求更加严格和迫切。
另一方面,黑客攻击、病毒传播以及形形色色的网络攻击日益增加,网络安全防线十分脆弱。
网络安全是在分布网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容或能力拒绝被非授权使用、篡改。
从本质上讲,安全就是风险管理,风险是构成安全基础的基本观念。
风险是丢失需要保护的资产的可能性,是威胁和漏洞的综合结果。
没有漏洞的威胁就没有风险,而没有威胁的漏洞也没有风险。
通过对《网络安全》的学习,下面我们着重从防火墙问题展开讨论。
2.防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
3.防火墙的作用和类型
3.1作用
防火墙具有很好的保护作用,相当于人的免疫系统,可有效防止病毒的入侵。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流,文件接收等,但至少这是你自己的保护选择。
但一旦病毒穿透防火墙,那防火墙对这种病毒就形同虚设,由于都是先有病毒,才会有相应的防火墙病毒库,所以也不是,说装了防火墙就可以一劳永逸。
3.2类型
一个个人防火墙,通常软件应用过滤信息进入或留下。
一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs(解除军事管制区域)界限。
这样防火墙过滤所有信息进入或留下被连接的网络。
当前主要有两类防火墙:
网络层防火墙和应用层防火墙。
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:
来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。
也能经由通信协议、TTL值、来源的网域名称或网段等属性来进行过滤。
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML防火墙是一种新型态的应用层防火墙。
4.防火墙基本特性
1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙
2、只有符合安全策略的数据流才能通过防火墙
3、防火墙自身应具有非常强的抗攻击免疫力
5.防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
网络安全的屏障,强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄等等都包括在它的功能职责范围内。
6.防火墙的工作原理
所有的internet通信都是通过独立数据包的交换来完成的。
每个包由源主机向目标主机传输。
包是internet上信息传输的基本单位,虽然我们常说电脑之间的“连接”,但这“连接”实际上是由被“连接”的两台电脑之间传送的独立数据包组成的。
实质上,它们“同意”相互之间的“连接”,并各自向发送者发出“应答包”,让发送者知道数据被接收。
为了到达目的地――不论两台电脑是隔着两步远还是在不同的大洲上――每个internet数据包都必须包含一个目标地址和端口号,和源主机的IP地址及端口号,以便接收者知道是谁发出了这个包。
也就是说,每一个在internet上传送的包,都必须含有源地址和目标地址。
一个IP地址总是指向internet上的一台单独机器,而端口号则和机器上的某种服务或会话相关联。
那么,这意味着什么呢?
既然防火墙检查每个到达你的电脑的数据包,那么,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收internet上的任何东西。
当第一个请求建立连接的包被你的电脑回应后,一个TCP/IP端口被打开。
如果到达的包不被受理,这个端口就会迅速地从internet上消失,谁也别想和它连上。
但防火墙的真正力量在于选择哪些包该拦截,哪些包该放行。
既然每个到达的包都含有正确的发送者的IP地址(以便接收者发送回应包),那么,基于源主机IP地址及端口号和目标主机IP地址及端口号的一些组合,防火墙可以“过滤”掉一些到达的包。
例如,你正在运行web服务器,需要允许远程主机在80端口(http)和你的电脑连接,防火墙就可以检查每个到达的包,并只允许由80端口开始的连接。
新的连接将会在所有的其他端口上被拒绝。
即使你的电脑不小心被装入了“特洛依木马”程序,向外界打开了一个监听端口,禁止“特洛依木马”通行的扫描也可以检测到“特洛依木马”的存在,因为所有联络系统内“特洛依木马”程序的企图都被防火墙拦截了。
也许你想在internet上建立一条“安全隧道”,以便你的家庭电脑和办公室电脑可以共享文件而不受外来的侵入。
防火墙使这成为可能并相对简单。
你可以在办公室电脑的防火墙上设定,只允许来自你家庭电脑的IP地址的连接,使用NetBios文件共享端口137-139;类似的,在家庭电脑的防火墙上可以设定,只允许来自你办公室电脑的IP地址的连接,使用137-139端口。
这样,两台机器都可以看到对方的NetBios端口,而internet上的其它人都看不见这两台机器之间建立了一条“安全隧道”。
如果你想把自己的电脑连接到internet上的其它机器上呢?
例如,当你在网上冲浪时,你会连接具有任何IP地址的web服务器。
你不会因为想拦截某个企图入侵的家伙而把所有包都挡在外面吧?
对于防火墙来说,这也是很容易的。
既然internet连接的每一端都会回应另一端的数据,在网上传送的包都有一个“应答位”,这一位是用来说明已经收到了前面的数据。
这意味着,只有最初建立新连接的包不含应答信息。
也就是说,防火墙可以很容易地区分开要求建立新连接的包和已有连接的后续包,使用已有连接的端口的数据包会被放行,而要求建立新连接的包会被拒绝。
这样,防火墙可以放行外出请求连接的包,拦截外来的请求连接包。
有些高性能的防火墙还具有“应用程序级”的过滤和反应功能。
绝大部分的防火墙都做到了上面所说的要求,而这的确提供了很大的保护。
但它们不会尝试去理解它们所放行或拦截的包里面的数据,它们的放行和拦截都是建立在源IP地址和目标IP地址上。
但一个“应用程序级”的防火墙会进入到对话实际发生的地方。
例如,我们知道Microsoft文件和打印机共享的一个大问题是对密码缺乏保护,骇客可以不断重试,直到破译为止。
但一个智能型的“应用程序级”防火墙可以显示139端口(保护密码的地方)正发生什么,并进而完全拦截住那台远程主机。
它可以自动将其源地址加入“黑名单”,以制止这位外来者现在和将来的任何访问。
7.防火墙的入侵检测
7.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。
7.2入侵检测技术及发展
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。
这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。
以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统。
7.3防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。
理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。
其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。
图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
8.防火墙的使用配置和防御能力
8.1防火墙的配置规则
1、没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙(内部发起的连接可以回包,通过ACL开放的服务器允许外部发起连接)。
2、inside可以访问任何outside和dmz区域。
3、dmz可以访问outside区域。
4、inside访问dmz需要配合static(静态地址转换)。
5、outside访问dmz需要配合acl(访问控制列表)。
8.2防火墙设备的设置步骤
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上)
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
8.3防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。
但是可以使用了X-Scan等安全扫描工具来测试。
虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
1.主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。
这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
2.自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。
防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。
一般的防火墙共有四个级别:
高级:
预设的防火墙安全等级,用户可以上网,收发邮件;
中级:
预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;
低级:
预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;
自定义:
用户可自定义防火墙的安全规则,可以根据需要自行进行配置。
9.几款防火墙的优缺点
Look“n”stop(以下简称LNS)
最顶尖的防火墙,优点是短小精悍,功能强大,占用内存很小。
缺点是设置复杂,更新速度慢,这些优缺点我是深有体会的,LNS大小不到2M,内存占用仅4-5MB,随着流量的增大会增加到20-30MB,据说日志记录特别占资源,启动快,不会减慢网速,功能丰富,不过导致了设置复杂,一旦你没有设置好的话就会出现问题,比如网络连不上,或是网速大大降低之类,还有就是更新速度慢,2005-2007两年才更新了一次,总的来说适合有经验的专业人士,电脑配置差的用户也可以试试不过现在网上有“傻瓜教程”,即使你是菜鸟也能用上LNS了。
ZoneAlarm(以下简称ZA)
传说是世界第三的防火墙,因为它功能强大,防范力度强,后来我就在电脑中装了一个安装的时候没有LNS麻烦,基本上都自动帮你设置好了,你要做的最多也是选一下安全级别,就算你对电脑一窍不通,也能用上,不过发现开机速度变得超慢,使用也不如平时流畅了,时不时有程序不响应(就是卡死了),更说明了ZA占用资源较高的特点,ZA在电脑使用的过程中会不断弹出“是否信任此程序”的提示,虽然可以“记住此设置”,不过还是有些烦ZA还能禁止广告,添加信任程序,停止通信或锁住网络只让信任程序访问,更新也很好,总的来说很强大,推荐大家使用(一般电脑都能用,如果你电脑实在差那就没办法啦,只能忍痛割爱)。
诺顿个人防火墙(NortonPersonalFirewall,以下简称NPF)
由世界一流的防病毒厂商诺顿打造,优点是占用内存适中,能够自动判断是否信任此程序,从不弹出“是否信任程序”的提示,顶多告诉你“拦截了IP是*.*.*.*的攻击”,它提供拦截入侵、网络流量控制、隐私权控管等功能,安装简便,使用简单。
缺点是防护能力一般(个人感觉),适合初级及一般用户。
PCToolsFirewall
优点是占用资源方面属于轻巧型、免费、有中文版(很多著名外国的防火墙都是汉化的,官方不提供中文版,比如ZoneAlarm),并且默认规则组的不错,无需再过多设置。
缺点是没有HIPS(主动防御功能,只能手工设置信任与非信任程序),并且防ARP功能能力偏弱(国外的防火墙好像不太注重ARP攻击)。
天网防火墙
天网防火墙的个人版是免费的,诱惑力很大,可免费升级,永久使用,不过好像开机会弹出“购买方式”窗口。
天网防火墙体积小,占资源也小(我的机子基本不卡),在国内口碑极好。
天网防火墙有程序MD5值校验系统,一旦程序被黑客或病毒修改,MD5值会改变,天网就会发出警告,及时阻止恶意行为,这应该是一大亮点了吧,其他的都和别的防火墙差不多,但是不提供恶意程序检测及帮助文档。
瑞星个人防火墙
优点是很尽责,默认设置很好,用起来方便。
缺点是可能会和除瑞星以外的杀毒软件起冲突,另外规则库每几天更新一次。
10.360防火墙
360防火墙是一款保护用户上网安全的产品,奇虎公司研发的防火墙产品。
在您浏览网页、玩网络游戏、聊天时,它可以阻截各类网络风险。
360防火墙拥有云安全引擎,解决了传统网络防火墙频繁拦截、识别能力弱的问题,轻巧快速保护上网安全。
10.1主要功能
1、360网络防火墙加入了云防御监控,这样可疑动作通过云端校验,安全性肯定加强不少。
2、上网信息中包括共享资源保护,地位端口保护,端口扫描检测,ping扫描防护,主机名称防泄漏等,这些应该是对网络安全是一个比较全面的防护了。
3、入侵检测,该功能开启我估计如果没有设置规则的话,应该会有不少弹窗来给用户判断的。
当然如果前面的云监控及时达到效果的话,可以避免太多弹窗的。
4、ARP防火墙也加入到了网络防火墙中。
其实我这里想考虑一个问题了,如果和360安全卫士同时使用的话,那安全卫士中的ARP防火墙和网络防火墙中的ARP防火墙如何协调的。
5、另外还有网络流量监控等功能。
10.2主界面
主界面显示4个状态,分为网络访问云监控、上网信息保护、入侵检测、ARP防火墙
1、连入监控:
管理程序访问网页、下载、传送消息时发起的网络请求,可通过“管理”选项控制程序的上网访问。
包括,检测连入网络进程,协议,本地端口、远程端口,状态(监听,等待,已关闭),上传、下载流量。
2、入侵检测:
解决常见的网络攻击,让电脑不受黑客侵害。
3、程序规则:
通过云安全引擎,智能分析程序上网行为,对可疑网络行为进行拦截,提高看网页、玩网络游戏、聊天的安全性。
4、网络连接规则:
封堵系统中存在的网络漏洞,保护共享图片/文档、系统信息安全。
包括上网信息保护和自定义网络规则。
(上网信息保护:
包括主机名称防泄漏、保护共享资源、防止Ping扫描、允许Ping方式探测其他主机)。
此外还有日志查看,设置,问题反馈功能,升级功能。
11.心得体会
通过这学期对防火墙的学习,在老师的指导下,我了解了关于防火墙的很多东西,并且认识到计算机网络和计算机网络安全就像矛和盾,自计算机诞生之日起就彼消此长。
随着因特网的高速发展和应用,其安全越来越引起人们的关注、如何保护企业和个人在网络上的敏感信息不受侵犯已成为当前摆在人们面前的一个重大问题,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。
防火墙技术作为一种用来保护内部第一道安全屏障,始终受到人们的关注和重视,并成为网络安全产品的首选。
防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。
参考文献:
[1]王铁方,李涛。
蜜网与防火墙及入侵检测的无缝结合的研究与实现。
四川师范大学学报(自然科学版),2005
[2]高晓蓉。
基于Linux的防火墙。
扬州职业大学学报,2003
[3]李赫男,张娟,余童兰。
信息安全保护方法分析。
洛阳工业高等专科学校学报,2003
[4]钟建伟。
基于防火墙与入侵检测技术的网络安全策略。
武汉科技学院学报,2004
[5]林子杰。
基于Linux的防火墙系统。
电脑学习,2001
[6]赵萍,殷肖川,刘旭辉。
防火墙和入侵检测技术分析。
计算机测量与控制,2002
[7]谈文蓉,刘明志,谈进。
联动防御机制的设计与实施。
西南民族大学学报(自然科学版),2004
[8]王永群。
试论防火墙技术。
微机发展,2001
[9]丁志芳,徐孟春,王清贤,曾韵。
评说防火墙和入侵检测。
网络安全技术与应用,2002
[10]张少中,聂铁志,唐毅谦,王中鹏。
一种Linux防火墙系统的设计。
辽宁工学院学报(自然科学版),2001