防火墙的安全性分析论文.docx

1、防火墙的安全性分析论文软件学院专 科 生 毕 业 实 践 报 告题 目： 防火墙的安全性分析 专 业： 计算机网络技术 年(班)级： 学 号： 姓 名： 指导教师： 完成日期： 2010 年 03 月 17 日 防火墙的安全性分析摘要：本文从防火墙的定义、为什么使用防火墙、防火墙的概念、防火墙的功能等方面介绍了防火墙的基本信息；并从防火墙的安全技术分析、防火墙的基本类型、防火墙的工作原理、防火墙的配置、防火墙的安全措施这五个方面来对防火墙的安全性进行分析。关键词：黑客，防火墙，网络安全目 录引言.4一、 防火墙简介.41.1防火墙的概念.41.2防火墙出现的背景和意义.51.3 防火墙的发展史

2、.51.4 防火墙的功能.6二、防火墙的基本类型.72.1 包过滤型.72.2 网络地址转化型NAT.72.3 代理型.82.4 监测型.8三、防火墙的工作原理.8 3.1相关术语.8 3.2 防火墙的防御机理.9四、 防火墙的配置.10五、 防火墙的安全技术分析.11六、防火墙的安全措施.14七、 总结.14致谢.参考文献.引 言在计算机技术和网络技术普遍应用的今天，人们已经不再用脑子去记很多的东西了，而主要记载在计算机上或与之相关机器上，很多时候我们只需记载一些密码便可，也方便查询。但是，网络也是不安全的，很多时候我们的计算机中的信息都有被盗的可能，因此，需要确保我们信息系统安全。以前，我

3、们只需设置一些复杂的密码就可以，但是上网后，黑客们还是能从各种途径盗取我们的重要信息，包括我们的密码和各种敏感信息。因此，我们不只要经常给系统打补丁，还要有一个好的防火墙。有防火墙可以更好的防范黑客攻击。它可以控制端口的连接，将一些危险的端口屏蔽，防止他人对我们计算机的配置信息进行扫描；可以防范一些有攻击性的病毒。因此，给我们的计算机安装强有力的防火墙是很有必要的。我们可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警，瑞星防火墙等。这里，我将运用自己所学知识，先介绍防火墙出现的背景、意义，防火墙的发展史，防火墙的概念及其功能。然后从防火墙的类型、工作原理、配置、安全技术分析及其安全

4、措施对防火墙的安全性进行分析。一、 防火墙简介1.1防火墙的概念防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。 在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的

5、信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。防火墙的优点：（1）防火墙能强化安全策略。（2）防火墙能有效地记录Internet上的活动。（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。1.2防火墙出现的背景和意义随着计算机的发展，人们越来越意识到网络的重要

6、性，通过网络，分散在各处的计算机被网络联系在一起。作为网络的组成部分，把众多的计算机联系在一起，组成一个局域网，在这个局域网中，可以在它们之间共享程序、文档等各种资源；还可以通过网络使多台计算机共享同一硬件，如打印机、调制解调器等；同时我们也可以通过网络使用计算机发送和接收传真，方便快捷而且经济。 21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。信息安全是国家发展所面临的一个重要问题。发展安全产业是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信

7、息化的发展将起到非常重要的作用。1.3防火墙的发展史第一代防火墙： 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。第二、三代防火墙： 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。 第四代防火墙： 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的

8、CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙： 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。1.4 防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。例如：TCP/IP Port 1

9、35139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。防火墙的主要功能有以下几点：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。 防火墙能极

10、大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并

11、提供网络是否受到监测和攻击的详细信息。 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。二、 防火墙的基本类型根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT型、代理型和监测型。2.1包过滤型网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可

12、以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 2.2网络地址转化NAT型 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它

13、并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 2.3代理型 代理型防火墙也称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真

14、正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 2.4监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时

15、,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。三、 防火墙的工作原理3.1 相关术语网关 网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关，这个术语是非常常见的。电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级

16、网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。应用级网关 应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。 包过滤 包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施

17、方法是通过标准的路由器。在上文的防火墙类型中做过介绍。代理服务器 代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。 网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。3.2防火墙的防御机理包过滤型防火墙：数据包过滤技术是在网络层对数据包进行选择、过滤，选择、过滤的标准是以网络管理员事先设置的过滤逻辑(即访问控制表)为依据的。防火墙通过检查数据流中每个数据包的

18、源地址、目的地址、所用端口号、协议状态等信息，来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。包过滤（PacketFliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。应用级网关型防火墙：应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议，采用不同的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告，大大提高了网络的安全性。 特别需要指出的是：应用级网关型防火墙和包过滤型防火墙有一个共同的特点，它们仅

19、仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统就建立起直接的联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，从而使非法访问和攻击容易得逞。代理服务型防火墙：代理服务也称链路级网关(Circuit Level Gateways)或TCP通道(TCP Tunnels)，也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外

20、，代理服务器也对过往的数据包进行分析、注册登记，形成报告。当发现被攻击迹象时，代理服务器会向网络管理员发出警报。应用级网关型和代理服务型防火墙大多是基于主机的，价格比较贵，但性能很好，其安装和使用也比采用数据包过滤技术的防火墙复杂一些。四、防火墙的配置防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，

21、而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone）

22、,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。五、防火墙的安全技术分析防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并并监视网络运行状态。（1）只有正确选用、合理配置防火墙，才能有效发挥其安全防护作用防火墙作为网络安全的一种防护手段，自多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步

23、骤：1、风险分析2、需求分析：3、确定安全政策：4、选择准确的防护手段，并使之与安全政策保持一致。（2）应正确评估防火墙的失效状态评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何？按级别来分，它应有这样种状态：1、未受伤害能够继续正常工作；2、关闭并重新启动，同时恢复到正常工作状态；3、关闭并禁止所有的数据通行；4、关闭并允许所有的数据通行。前两种状态比较理想，而第4种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。防火墙能否起到

24、防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大，原因是：1、防火墙性能测试目前还是一种很新的技术，可用的工具和软件较少。2、防火墙测试技术尚不先迸，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。3、选择“谁”进行公正的测试也是一个问题。可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当重要。（3）防火墙必须进行动态维护 防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，商家一旦发现其产品存在安全漏洞，就会尽快发布补救产品，此时应尽快确认真伪(防止特洛伊木

25、马等病毒)，并对防火墙软件进行更新。 （4）非法攻击防火墙的基本“招数” 1、通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。 通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。

26、具体分三个步骤： 1主机A产生它的ISN，传送给主机B，请求建立连接； 2B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A； 3.A再将B传送来的ISN及应答信息ACK返回给B。 至此，正常情况，主机A与B的TCP连接就建立起来了。 IP地址欺骗攻击的第一步是切断可信赖主机.这样可以使用TCP淹没攻击，使得信赖主机处于自顾不暇的忙碌状态，相当于被切断，这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST包而无暇顾及其他。 攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25)，通常它是开放的，邮件能够通过这个端口，与目标主机打开一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。 请求发出后，目标主机会认为它是TCP连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的合法请求，因此目标主机不能得到来自于信赖主机的响应。 现在攻击者发出回答响应，并连同预测的目标主机的ISN一同发给目标主机。 随着不断地纠正预测的ISN，攻击者