第一篇:警專防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
摘要
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛,在帶來(lái)了前所未有的海量信息的同時(shí),網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái),已被信息社會(huì)的各個(gè)領(lǐng)域所重視。正是因?yàn)榘踩{無(wú)處不在,為了解決這個(gè)問題,防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境,防火墻是實(shí)施網(wǎng)絡(luò)安全控制的一種必要技術(shù)。
本文從防火墻的工作原理,在網(wǎng)絡(luò)安全中的應(yīng)用、發(fā)展趨勢(shì)等方面展開論述,表明了防火墻技術(shù)在網(wǎng)絡(luò)安全中的重要作用。對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析,闡述了我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀以及網(wǎng)絡(luò)安全問題產(chǎn)生的原因,對(duì)我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)分析,并探討了針對(duì)計(jì)算機(jī)安全隱患的防范策略。
關(guān)鍵詞 信息 網(wǎng)絡(luò)安全 防火墻技術(shù) 威脅
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
目錄
1引言?????????????????????????????????3 2我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀?????????????????????????3 2.1研究背景??????????????????????????3 2.2研究意義??????????????????????????4 2.3計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅???????????????????4 3防火墻的概述????????????????????????????5 3.1防火墻的概念??????????????????????????5 3.2防火墻的原理???????????????????????????6 3.3防火墻的架構(gòu)??????????????????????????6 4 防火墻技術(shù)???????????????????????????????6 4.1包過(guò)濾技術(shù)????????????????????????????6 4.2代理服務(wù)技術(shù)???????????????????????????7 4.3電路層網(wǎng)關(guān)技術(shù)??????????????????????????8 4.4狀態(tài)檢測(cè)技術(shù)???????????????????????????8 5 防火墻各個(gè)階段的特點(diǎn)???????????????????????9 5.1靜態(tài)包過(guò)濾防火墻?????????????????????????9 5.2動(dòng)態(tài)包過(guò)濾防火墻???????????????????????10 5.3代理應(yīng)用層網(wǎng)關(guān)防火墻(應(yīng)用層網(wǎng)關(guān)、代理應(yīng)用層網(wǎng)關(guān))???????10 5.4自適應(yīng)代理防火墻????????????????????????10 6防火墻在網(wǎng)絡(luò)安全防范中技術(shù)的缺陷及改進(jìn)???????????????10 6.1防火墻的缺陷??????????????????????????10 6.2防火墻技術(shù)的改進(jìn)????????????????????????11 7防火墻的發(fā)展趨勢(shì)????????????????????????????13 全文結(jié)論?????????????????????????????????14 參考文獻(xiàn)?????????????????????????????????15 致謝???????????????????????????????????16
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
1引言
隨著Internet技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問題必將愈來(lái)愈引起人們的重視。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。
網(wǎng)絡(luò)的飛速發(fā)展和普及為人們提供了發(fā)布信息、檢索信息和相互交流的場(chǎng)所,但同時(shí)也帶來(lái)了信息破壞、信息盜竊和信息泄漏的危險(xiǎn),這就是網(wǎng)絡(luò)的安全威脅。目前對(duì)網(wǎng)絡(luò)安全的危害主要是兩個(gè)方面:病毒入侵和黑客攻擊,這些危害輕則可能使計(jì)算機(jī)系統(tǒng)運(yùn)行不正常,重則可能會(huì)給個(gè)人、企業(yè),甚至國(guó)家?guī)?lái)不可挽回的損失。因此建立網(wǎng)絡(luò)安全的防范機(jī)制對(duì)于網(wǎng)絡(luò)的安全有效運(yùn) 行是十分必要的,而防火墻技術(shù)是我們應(yīng)用最廣、最成熟、最重要的網(wǎng)絡(luò)安全設(shè)備。
2我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀
2.1研究背景
據(jù)美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全早場(chǎng)的損失達(dá)75億美元。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道,世界上平均每20分鐘就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件,三分之一的防火墻唄突破。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)組負(fù)責(zé)人吉姆·塞特爾稱:給我精選10名“黑客”,組成小組,90天內(nèi),我將使美國(guó)趴下。一位計(jì)算機(jī)專家毫不夸張的說(shuō):給我一臺(tái)普通計(jì)算機(jī)、一條電話線和一個(gè)調(diào)制解調(diào)器,就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。
據(jù)了解,從1997年底至今,我國(guó)的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國(guó)的大量網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國(guó)的產(chǎn)品和技術(shù),在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段,以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國(guó)內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量,同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對(duì)許多潛在的風(fēng)險(xiǎn)認(rèn)識(shí)不足,缺乏必要的技術(shù)設(shè)施和相關(guān)的處理經(jīng)驗(yàn),面對(duì)形勢(shì)嚴(yán)峻的現(xiàn)狀很
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
多時(shí)候都顯得力不從心。也正是由于受技術(shù)條件的限制,很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段,對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。
隨著網(wǎng)絡(luò)的逐步普及,網(wǎng)絡(luò)安全的問題已日益突出,如同其他社會(huì)一樣互聯(lián)網(wǎng)也受到某些無(wú)聊之人的困擾。它關(guān)系到互聯(lián)網(wǎng)的進(jìn)一步發(fā)展和普及,甚至關(guān)系到互聯(lián)網(wǎng)的生存。近年來(lái),無(wú)論在發(fā)達(dá)國(guó)家還是在發(fā)展中國(guó)家,黑客活動(dòng)越來(lái)越猖狂,他們無(wú)孔不入,對(duì)社會(huì)造成了嚴(yán)重危害,目前在互聯(lián)網(wǎng)上有近80%的用戶曾受到過(guò)黑客的困擾。而與此同時(shí),更讓人不安的是互聯(lián)網(wǎng)上黑客和病毒的聯(lián)姻、不斷增多的黑客網(wǎng)站,使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這樣,就使原本十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。
2.2研究意義
現(xiàn)在網(wǎng)絡(luò)的觀念已深入人心,越來(lái)越多的人們通過(guò)網(wǎng)絡(luò)來(lái)了解世界,同時(shí)他們也可以通過(guò)網(wǎng)絡(luò)來(lái)發(fā)布信息,與朋友進(jìn)行交流和溝通展示自己以及開展電子商務(wù)等等。人們的日常生活也越來(lái)越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈,時(shí)刻威脅著用戶上網(wǎng)安全,網(wǎng)絡(luò)與信息安全已成為當(dāng)今社會(huì)關(guān)注的重要問題之一。正是因?yàn)榘踩{時(shí)刻存在,為了解決這個(gè)問題,防火墻出現(xiàn)了。
防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道防御系統(tǒng),是這一類防御措施的總稱。應(yīng)該說(shuō),在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模式,通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的鏈接,同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問,從而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制的一種必要技術(shù),它是一個(gè)或一組系統(tǒng)組成,它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同,但原則上防火墻可以被認(rèn)為是這樣同一種機(jī)制:阻攔不安全傳輸流,允許安全的傳輸流通過(guò)。隨著時(shí)代的發(fā)展和科技的進(jìn)步,防火墻功能日益完善和強(qiáng)大,但面對(duì)日益增多的網(wǎng)絡(luò)安全威脅,防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。
2.3計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅
對(duì)于網(wǎng)絡(luò)安全性,可以通過(guò)甲、乙兩個(gè)用戶在計(jì)算機(jī)網(wǎng)絡(luò)上的通信來(lái)考慮計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅,主要有以下幾種情況:
(1)信息泄露 當(dāng)甲通過(guò)網(wǎng)絡(luò)與乙進(jìn)行通信時(shí),如果不采取任何保密措施,那
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
么其他人就與可能偷看 到他們的通信內(nèi)容。
(2)識(shí)別 對(duì)于進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶,系統(tǒng)必須檢驗(yàn)其合法性。如果不是系統(tǒng)的合法用戶,系統(tǒng)將不給予服務(wù)。因此系統(tǒng)要有“身份識(shí)別的功能”。
(3)假冒 甲和乙是系統(tǒng)的合法用戶,網(wǎng)絡(luò)為他們提供應(yīng)有的服務(wù)。丙也想獲得這些服務(wù),于是 丙系統(tǒng)發(fā)出:“我是乙”系統(tǒng)怎么才能識(shí)別這一服務(wù)請(qǐng)求不是由乙發(fā)出的。而是假冒的呢?
(4)篡改乙給甲發(fā)了如下一份文報(bào):“請(qǐng)給丁匯100元錢。乙”。文報(bào)在轉(zhuǎn)發(fā)過(guò)程中經(jīng)過(guò)了丙的手。丙就把“丁”改成了“丙”。
(5)惡意程序的攻擊 除了上述用戶之間通信中的信息安全問題外,網(wǎng)絡(luò)本身也容易遭受一些惡意程序(rogue program)的攻擊。惡意程序種類繁多,對(duì)網(wǎng)絡(luò)安全威脅較大主要有以下幾種:計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲特洛伊木馬邏輯炸彈。這里所說(shuō)的計(jì)算機(jī)病毒是俠義的也有人把所有的惡意程序指為計(jì)算機(jī)病毒。目前,計(jì)算機(jī)病毒被分為3大類型,即分區(qū)病毒、文件病毒和宏病毒。
人為威脅源有兩種,一種是指計(jì)算機(jī)黑客闖入用戶的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng),我們把他稱為外部危險(xiǎn);一種來(lái)自系統(tǒng)的內(nèi)部,我們把它稱為內(nèi)部危險(xiǎn)。
(1)網(wǎng)絡(luò)內(nèi)部危險(xiǎn)包括一下幾個(gè)方面:設(shè)計(jì)安全過(guò)程中,沒有考慮員工和公司之間的關(guān)系。網(wǎng)絡(luò)安全需要花費(fèi)管理人員的精力來(lái)維護(hù)和實(shí)施,造成經(jīng)費(fèi)的增加。網(wǎng)絡(luò)安全主要來(lái)自企業(yè)內(nèi)部松懈的、甚至完全不存在的安全措施。用戶對(duì)限制訪問的安全策略有抵觸情緒、不遵守安全標(biāo)準(zhǔn)。
(2)外部危險(xiǎn),網(wǎng)絡(luò)外部危險(xiǎn)包括一下幾個(gè)方面,竊取機(jī)密信息,向外部透露敏感信息,非法訪問網(wǎng)絡(luò)服務(wù)程序和資源,干擾網(wǎng)絡(luò)正常服務(wù),故意損壞、修改和刪除數(shù)據(jù),竊取或損壞硬件和軟件。防火墻的概述
3.1防火墻的概念
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
3.2防火墻的原理
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng),網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè)),但這幾乎是一種不切合實(shí)際的方法,因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò),它們可能運(yùn)行著不同的操作系統(tǒng),當(dāng)發(fā)現(xiàn)了安全缺陷時(shí),每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備,作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障,它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流,防止不可預(yù)料的潛在的入侵破壞DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。
3.3防火墻的架構(gòu)
防火墻產(chǎn)品的三代體系架構(gòu)主要為:
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì) 的 IP 包,它只允許與指定的 IP 地址通信。它的作用是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間有選擇地安排數(shù)據(jù)包的去向。信息過(guò)濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ),包頭信息中包括 IP源地址,IP目標(biāo)端地址、封裝協(xié)議類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過(guò)濾規(guī)則,則允許此數(shù)據(jù)包通過(guò),否則拒絕此包通過(guò),起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。4.1.1過(guò)濾規(guī)則
過(guò)濾規(guī)則一般包過(guò)濾規(guī)則如下:(1)過(guò)濾規(guī)則序號(hào) FRNO(Filter rule Number),它決定過(guò)濾算法執(zhí)行時(shí)過(guò)濾規(guī)則排列的 順序。(2)過(guò)濾方式(Action)包括允許(Allow)和阻止(Block)。(3)源IP地址SIP(Source IP address)。18(4)源端口SP(Source Port)。(5)目的IP地址 DIP(Destination IP address)。(6)目的端口 DP(Destination Port)。(7)協(xié)議標(biāo)志 PF(Protocol Flags)。(8)最后一項(xiàng)是注釋(Comment)。4.1.2包過(guò)濾規(guī)則的制定過(guò)程包過(guò)濾規(guī)則的制定過(guò)程
(1)確定自己的安全需求及包過(guò)濾規(guī)則要達(dá)到的安全目標(biāo),明確什么是應(yīng)該和不應(yīng)該被允許的,然后制定合適的安全策略。
(2)必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)。(3)必須用防火墻支持的語(yǔ)法重寫表達(dá)式。4.1.3包過(guò)濾策略
包過(guò)濾路由器根據(jù)過(guò)濾規(guī)則來(lái)過(guò)濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包,完成包過(guò)濾功能。這里主要從以下幾個(gè)方面來(lái)考慮包過(guò)濾策略:
(1)包過(guò)濾控制點(diǎn)(2)包過(guò)濾操作過(guò)程(3)包過(guò)濾規(guī)則
(4)防止不安全設(shè)計(jì)的措施(5)對(duì)特定協(xié)議包的過(guò)濾。
4.2代理服務(wù)技術(shù)
代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序,它位于內(nèi)部網(wǎng)絡(luò)上的用戶和外部網(wǎng)上的服務(wù)之間,內(nèi)部用戶和外部網(wǎng)服務(wù)彼此不能直接通信,只能分別
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
與代理打交道。代理負(fù)責(zé)接收外部網(wǎng)服務(wù)請(qǐng)求,再把它們轉(zhuǎn)發(fā)到具體的服務(wù)中。代理服務(wù)防火墻可以配置成允許來(lái)自內(nèi)部網(wǎng)絡(luò)的任何連接,它也可以配置成要求用戶認(rèn)證后才建立連接,為安全性提供了額外的保證,使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。例如,一個(gè)公司決定將一個(gè)Telnet服務(wù)器作為主機(jī),以使得遠(yuǎn)程的管理員能夠?qū)ζ鋱?zhí)行某些特定的操作。它代理一個(gè)連接過(guò)程如下:
(1)有一個(gè)用戶通過(guò) 23端口 Telnet 到這個(gè)代理服務(wù)器上。屏蔽設(shè)備檢測(cè)這個(gè)連接的源 IP地址是否在允許的源地址列表中。如果在的話,就對(duì)該連接進(jìn)行下一步的處理;如果不在的話,則拒絕該次連接。
(2)提示用戶進(jìn)行身份驗(yàn)證。
(3)在通過(guò)了身份驗(yàn)證后,系統(tǒng)就會(huì)提示用戶給用戶一個(gè)系統(tǒng)菜單來(lái)允許用戶連接到目的主機(jī)。
(4)用戶選擇要連接的系統(tǒng)。
(5)如果有要求,系統(tǒng)會(huì)提示用戶再輸入另外的身份驗(yàn)證信息。
4.3電路層網(wǎng)關(guān)技術(shù)
電路層網(wǎng)關(guān)的運(yùn)行方式與代理服務(wù)器相似,它把數(shù)據(jù)包提交給應(yīng)用層過(guò)濾,并只依賴19于TCP的連接。它遵循 SOCKS協(xié)議,即電路層網(wǎng)關(guān)的標(biāo)準(zhǔn)。它是在網(wǎng)絡(luò)的傳輸層實(shí)施訪問策略,是在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個(gè)虛擬電路進(jìn)行通信。電路層網(wǎng)關(guān)的工作過(guò)程如下:
(1)假設(shè)有一個(gè)用戶正在試圖和一個(gè)目的URL進(jìn)行連接。
(2)該用戶所使用的客戶應(yīng)用程序是將請(qǐng)求發(fā)到地址已被解析的代理服務(wù)器的內(nèi)部上。
(3)如果需要身份驗(yàn)證的話,網(wǎng)關(guān)就會(huì)提示用戶進(jìn)行身份驗(yàn)證。
(4)如果用戶通過(guò)了身份驗(yàn)證的話,代理服務(wù)器就會(huì)執(zhí)行一些另外的任務(wù),然后代理服務(wù)器為目的 URL發(fā)出一個(gè) DNS請(qǐng)求,接著它再用自己的源 IP 地址和目的 IP地址建立一個(gè)連接。
(5)代理服務(wù)器將 Web服務(wù)器上的應(yīng)答轉(zhuǎn)發(fā)給客戶。
4.4狀態(tài)檢測(cè)技術(shù)
狀態(tài)檢測(cè)技術(shù)是包過(guò)濾技術(shù)的延伸,使用各種狀態(tài)表(state tables)來(lái)追蹤
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
活躍的 TCP會(huì)話。由用戶定義的訪問控制列表(ACL)決定允許建立哪些會(huì)話(session),只有與活躍會(huì)話相關(guān)聯(lián)的數(shù)據(jù)才能穿過(guò)防火墻。狀態(tài)檢測(cè)技術(shù)防火墻的工作過(guò)程如下:
(1)防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。
(2)根據(jù)所使用的協(xié)議,決定對(duì)數(shù)據(jù)包的檢查程度。
(3)如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配,那么防火墻就會(huì)檢測(cè)數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。
(4)在數(shù)據(jù)包檢測(cè)后,防火墻就會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地址,并且防火墻會(huì)在其連接表中為此次對(duì)話創(chuàng)建或者更新一個(gè)連接項(xiàng),防火墻將使用這個(gè)連接項(xiàng)對(duì)返回的數(shù)據(jù)包進(jìn)行校驗(yàn)。
(5)防火墻通常對(duì) TCP包中被設(shè)置的 FIN位進(jìn)行檢測(cè)或者通過(guò)使用計(jì)時(shí)器來(lái)決定何時(shí)從連接表中刪除某連接項(xiàng)。狀態(tài)檢測(cè)技術(shù)防火墻是對(duì)包過(guò)濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中,它的速度和靈活性沒有包過(guò)濾機(jī)制好,但比代理服務(wù)技術(shù)好。它的應(yīng)用級(jí)安全不如代理服務(wù)技術(shù)強(qiáng),但又比包過(guò)濾的機(jī)制的高。這種結(jié)合是對(duì)包過(guò)濾技術(shù)和代理服務(wù)技術(shù)的折中。防火墻各個(gè)階段的特點(diǎn)
防火墻技術(shù)經(jīng)歷了以下幾個(gè)階段:
5.1靜態(tài)包過(guò)濾防火墻
靜態(tài)包過(guò)濾防火墻采用的是一個(gè)都不放過(guò)的原則。它會(huì)檢查所有通過(guò)信息包里的 IP地址號(hào),端口號(hào)及其它的包頭信息,并根據(jù)系統(tǒng)管理員給定的過(guò)濾規(guī)則和準(zhǔn)備過(guò)濾的信息包一一匹配,其中:如果信息包中存在一點(diǎn)與過(guò)濾規(guī)則不符合,那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉,這個(gè)信息包就不會(huì)通過(guò)防火墻。相反的,如果每條規(guī)都和過(guò)濾規(guī)則相匹配,那么信息包就允許通過(guò)。靜態(tài)包的過(guò)濾原理就是:將信息分成若干個(gè)小數(shù)據(jù)片(數(shù)據(jù)包),確認(rèn)符合防火墻的包過(guò)濾規(guī)則后,把這些個(gè)小數(shù)據(jù)片按順序發(fā)送,接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過(guò)濾的原理。這種靜態(tài)包過(guò)濾防火墻,對(duì)用戶是透
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
明的,它不需要用戶的用戶名和密碼就可以登錄,它的速度快,也易于維護(hù)。但由于用戶的使用記錄沒有記載,如果有不懷好意的人進(jìn)行攻擊的話,我們即不能從訪問記錄中得到它的攻擊記錄,也無(wú)法得知它的來(lái)源。而一個(gè)單純的包過(guò)濾的防火墻的防御能力是非常弱的,對(duì)于惡意的攻擊者來(lái)說(shuō)是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段:主要是攻擊者對(duì)包過(guò)濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包,一旦有一個(gè)包通過(guò)了防火墻,那么攻擊者停止再發(fā)測(cè)試IP地址的信息包,用這個(gè)成功發(fā)送的地址來(lái)偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。
5.2動(dòng)態(tài)包過(guò)濾防火墻
靜態(tài)包過(guò)濾防火墻的缺點(diǎn),動(dòng)態(tài)包過(guò)濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過(guò)濾原則中增加或更新條目,在這點(diǎn)上靜態(tài)防火墻是比不上它的,它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過(guò)濾防火墻不同之點(diǎn)在于,它的內(nèi)外網(wǎng)之間不存在直接的連接,一般由兩部分組成:服務(wù)器端程序和客戶端程序,其中客戶端程序通過(guò)中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。
5.3代理應(yīng)用層網(wǎng)關(guān)防火墻(應(yīng)用層網(wǎng)關(guān)、代理應(yīng)用層網(wǎng)關(guān))這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻,主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包 經(jīng)過(guò)這樣的防火墻處理后,就像是源于防火墻外部網(wǎng)卡一樣,可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的 作用。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒有,從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻 擊方式入侵內(nèi)部網(wǎng)。
5.4自適應(yīng)代理防火墻
自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過(guò)濾防火墻的優(yōu)點(diǎn),即保證了安全性又保持了高速度,同時(shí)它的性能也在代理防火墻的十倍以上,在一般的情況下,用戶更傾向于這種防火墻。防火墻在網(wǎng)絡(luò)安全防范中技術(shù)的缺陷及改進(jìn)
6.1防火墻的缺陷
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
防火墻在網(wǎng)絡(luò)安全防護(hù)中起著舉足輕重的作用,但是它不是萬(wàn)能的,它仍然存在有它的局限性和不足。
(1)防火墻不能防范不經(jīng)過(guò)它的攻擊。
(2)防火墻不能防范來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻只對(duì)來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測(cè),以保護(hù)內(nèi)部網(wǎng)絡(luò);而對(duì)于內(nèi)部網(wǎng)絡(luò)中的用戶威脅,例如外來(lái)入侵者一旦進(jìn)入了內(nèi)部網(wǎng)絡(luò),它將成為內(nèi)部人員,在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊,而此時(shí)防火墻是無(wú)能為力的。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層,通過(guò)對(duì)每個(gè)IP包的源地址、目的地址,傳輸協(xié)議等信息與事先設(shè)置的安全規(guī)則進(jìn)行比較,如果滿足安全規(guī)則定義的IP包則通過(guò),如果不符合安全規(guī)則定義的IP包則被排除。
(3)不能有效防范加密信息。防火墻只能識(shí)別與其數(shù)據(jù)庫(kù)中已有的特征數(shù)據(jù)匹配的信息,如果攻擊者將惡意代碼或攻擊指令轉(zhuǎn)換成其他形式隱藏起來(lái),這種加密后的代碼,只要成功避開防火墻數(shù)據(jù)庫(kù)中的特征匹配,就能成功通過(guò)防火墻。
(4)網(wǎng)絡(luò)提供的服務(wù)應(yīng)是便捷、靈活、可用的,但是為了較高的網(wǎng)絡(luò)安全性,防火墻限制和關(guān)閉了一些存在有安全隱患的網(wǎng)絡(luò)服務(wù);此外,從網(wǎng)絡(luò)安全的角度出發(fā),必須對(duì)網(wǎng)絡(luò)活動(dòng)加以監(jiān)控和管理,而這些是以開銷一部分的網(wǎng)絡(luò)資源來(lái)完成的。因此,高效的網(wǎng)絡(luò)服務(wù)與完全的網(wǎng)絡(luò)安全是矛盾的,如何找到一個(gè)合適的平衡點(diǎn),防火墻的部署與設(shè)置仍是一個(gè)難題。
(5)防火墻是一種被動(dòng)的防范手段,它只能對(duì)已知的網(wǎng)絡(luò)威脅起作用,對(duì)于新的未知的網(wǎng)絡(luò)攻擊防火墻是很難防范的。
(6)防火墻不能防范受到病毒感染的文件、軟件。
(7)防火墻的檢測(cè)功能是有限的。對(duì)于所有網(wǎng)絡(luò)和應(yīng)用程序流量的檢測(cè),需要有空前的處理能力才能保證這些任務(wù)的完成,為了獲得高性能,就必然要求使用高端硬件 就目前而言,要完成這種深度檢測(cè)仍是十分困難的。
6.2防火墻技術(shù)的改進(jìn)
防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的唯一出入口,能根據(jù)既已設(shè)定的安全策略來(lái)控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。單純的
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
防火墻技術(shù),就是對(duì)網(wǎng)絡(luò)數(shù) 據(jù)流的控制處理過(guò)程,但是這種簡(jiǎn)單的處理方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足日益增長(zhǎng)的信息安全要求。在論文中,將防火墻的概念、發(fā)展、分類與功能做一詳盡地闡述,并給出了各階段關(guān)鍵技術(shù)的研究與實(shí)現(xiàn),所做主要工作、技術(shù)難點(diǎn)與創(chuàng)新處如下:
(1)防火墻的體系結(jié)構(gòu),應(yīng)該是全面面向資源的結(jié)構(gòu)模塊化設(shè)計(jì),對(duì)不同對(duì)象的具體的組成資源,直接進(jìn)行控制,這樣極大的提高了安全性,并保證了配置的方便性。系統(tǒng)按縱向結(jié)構(gòu)進(jìn)行層次化設(shè)計(jì),包括表示層、執(zhí)行層、中心數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)操縱層、數(shù)據(jù)及意外處理控制層和應(yīng)用程序?qū)樱煌瑫r(shí),系統(tǒng)按橫向進(jìn)行了高度的功能模塊化設(shè)計(jì),這種高智能、高度模塊化的設(shè)計(jì),使得軟件結(jié)構(gòu)極為清晰合理,極易維護(hù)和升級(jí),并且提供了高質(zhì)量,極易獲得升級(jí)服務(wù)的軟件系統(tǒng)。
(2)防火墻的數(shù)據(jù)流控制技術(shù)采用最先進(jìn)的狀態(tài)包過(guò)濾技術(shù)。根據(jù)狀態(tài)包過(guò)濾的思路,在核心中維護(hù)一個(gè)連接鏈表,記錄著相應(yīng)連接的狀態(tài),對(duì)請(qǐng)求建立連接的數(shù)據(jù)包進(jìn)行更細(xì)粒度的檢查,檢查通過(guò)后記錄到狀態(tài)鏈表中,從而對(duì)后續(xù)的或是關(guān)聯(lián)的數(shù)據(jù)包只需檢查其是否屬于已建立的連接,不需全部進(jìn)行規(guī)則匹配,經(jīng)過(guò)這樣的狀態(tài)處理機(jī)制后不僅使安全性得到加強(qiáng),同時(shí)也大大提高了包轉(zhuǎn)發(fā)效率。
(3)搭建高效日志處理平臺(tái),使之能夠處理海量的日志。大多數(shù)防火墻使用的日志框架對(duì)于處理海量日志和高效分析日志來(lái)說(shuō)是空白的,因此一般都設(shè)置另外一臺(tái)單獨(dú)的日志服務(wù)器,但是優(yōu)化的日志處理平臺(tái)可以處理2G以上的日志文件。
(4)網(wǎng)絡(luò)安全體系,應(yīng)該提供可靠的檢測(cè)性和防御性的工具,以使當(dāng)攻擊者試圖攻擊受防火墻設(shè)備保護(hù)的網(wǎng)絡(luò)時(shí),能查明和阻擋其達(dá)到上述目的的企圖。
(5)對(duì)數(shù)據(jù)包頭分析過(guò)濾,采用正則表達(dá)式的模式匹配算法,對(duì)一些高層應(yīng)用進(jìn)行限制。
(6)防火墻高可用性(HighAvailable)的實(shí)現(xiàn)。在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻,使用直連線互通。正常情況下一個(gè)處于工作狀態(tài),為主機(jī)(Primary),另一個(gè)處于備份狀態(tài)(Second)為從機(jī)。當(dāng)主機(jī)發(fā)生意外死機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí),主從防火墻自動(dòng)切換工作狀態(tài),從機(jī)代替主機(jī)正常工
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
作,從而保證了網(wǎng)絡(luò)的正常使用。切換過(guò)程不需要人為操作和其它系統(tǒng)的參與,并且主防火墻恢復(fù)使用功能后,從防火墻自動(dòng)將控制權(quán)交回主防火墻,保證網(wǎng)絡(luò)更安全,更高效。
7防火墻的發(fā)展趨勢(shì)
隨著計(jì)算機(jī)技術(shù)的發(fā)展,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體的應(yīng)用將會(huì)越來(lái)越普遍,它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要,一些防火墻開發(fā)商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度來(lái)看,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案。它需要很大程度上依賴于軟件的性能,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻性能好上許多。
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
全 文 結(jié) 論
經(jīng)過(guò)兩個(gè)月的努力,終于完成了本論文,從當(dāng)初領(lǐng)到論文題目到最后一個(gè)模塊的完成,經(jīng)歷了無(wú)數(shù)次的修改總結(jié),感覺到平時(shí)學(xué)的知識(shí)是多么的淺薄,給自己敲響了警鐘,有了努力工作的方向。
通過(guò)這次寫論文,真真切切地了解到網(wǎng)絡(luò)是多么的方便,遇到什么問題上網(wǎng)一查基本都能查到,然后經(jīng)過(guò)自己的修改學(xué)習(xí)變成自己的東西,互相學(xué)習(xí)才能共同提高共同進(jìn)步。
本次畢業(yè)論文是工作前一次很好的自我鍛煉和實(shí)踐的機(jī)會(huì),是培養(yǎng)獨(dú)立思考問題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能在工作中體現(xiàn)價(jià)值適應(yīng)社會(huì)的需要。所以一定要好好學(xué)習(xí)。
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
參 考 文 獻(xiàn)
[1] 朱雁輝《WLNDOWS 防火墻與網(wǎng)絡(luò)技術(shù)》電子工業(yè)出版社 2002年4月; [2] 袁家政《計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)》清華大學(xué)出版社 2002年5月; [3] 胡道元《計(jì)算機(jī)網(wǎng)絡(luò)》清華大學(xué)出版社 1999年1月;
[4] 謝希仁《計(jì)算機(jī)網(wǎng)絡(luò)工程基礎(chǔ)》電子工業(yè)出版社 2002年5月; [5] 刑鈞《網(wǎng)絡(luò)安全與防火墻技術(shù)》電子科技大學(xué)出版社 2004年3月; [6] 石彥杰《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成技術(shù)》高等教育出版社 2006年2月; [7] 馬程《防火墻在網(wǎng)絡(luò)安全中的應(yīng)用》甘肅科技 2007年4月。
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
致 謝
經(jīng)過(guò)了兩個(gè)月的努力我完成了題目為:防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。本次論文能夠順利完成,首先要感謝李麗蓉指導(dǎo)老師,她自始至終都給予我很大的幫助,對(duì)我設(shè)計(jì)的每一個(gè)計(jì)劃都提出了至關(guān)重要的建議,使我少走彎路,節(jié)省了大量時(shí)間,可以說(shuō)這篇論文匯聚了指導(dǎo)老師大量的心血。
另外,還要感謝出版書籍的老師們,他們把這么多有用的知識(shí)編輯成書,使我能從書本中輕易地找到自己所需要的內(nèi)容來(lái)完成本論文。
再一次,我向所有幫助我完成這篇論文的人表示由衷感謝。
山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)
指 導(dǎo) 老 師 評(píng) 語(yǔ)
第二篇:防火墻在網(wǎng)絡(luò)安全中作用
防火墻在網(wǎng)絡(luò)安全中作用
隨著信息技術(shù)的不斷發(fā)展和防火墻技術(shù)的不斷完善,目前先進(jìn)的防火墻已經(jīng)能從應(yīng)用層監(jiān)測(cè)數(shù)據(jù),對(duì)數(shù)據(jù)的安全性進(jìn)行判別。我們稱這種防火墻為檢測(cè)性防火墻,這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,能夠檢測(cè)大量來(lái)自網(wǎng)絡(luò)外部的攻擊。因此安裝了此種防火墻以后如果對(duì)于單純的外部網(wǎng)絡(luò)攻擊是無(wú)法導(dǎo)致內(nèi)部數(shù)據(jù)泄露的。
據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中導(dǎo)致數(shù)據(jù)泄露,有相當(dāng)比例是因?yàn)閬?lái)自網(wǎng)絡(luò)內(nèi)部攻擊,或者內(nèi)部系統(tǒng)軟件、應(yīng)用軟件存在能夠入侵的漏洞導(dǎo)致。比如新增了一個(gè)新的應(yīng)用程序,肯定會(huì)出現(xiàn)新的安全漏洞,必須在安全策略上做一些調(diào)整,不斷完善。再說(shuō),網(wǎng)絡(luò)本省就是病毒傳播的最好、最快的途徑之一。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染,則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散,傳播到網(wǎng)絡(luò)上的所有主機(jī),有些病毒會(huì)在你的系統(tǒng)中自動(dòng)打包一些文件自動(dòng)從發(fā)件箱中發(fā)出。可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。另外在對(duì)網(wǎng)絡(luò)管理上也會(huì)存在很大的問題,例如網(wǎng)絡(luò)的使用者對(duì)自己賬號(hào)密碼等私人數(shù)據(jù)管理不嚴(yán)格呆滯泄露,讓黑客有機(jī)可乘,竊取大量機(jī)密數(shù)據(jù)。這些情況才是網(wǎng)絡(luò)泄密真正應(yīng)該注意和避免的問題。
綜上所述,如果我們需要避免網(wǎng)絡(luò)泄密,防火墻只是硬件上一個(gè)保障措施,但并不能完完全全的去依賴防火墻。我們還應(yīng)該做好對(duì)整個(gè)系統(tǒng)軟件,尤其是應(yīng)用軟件的安全策略。例如引入訪問控制技術(shù)。
訪問控制技術(shù)也就是通常講的認(rèn)證技術(shù)。對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)信息系統(tǒng)的訪問,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無(wú)權(quán)查看的信息。
1、身份認(rèn)證。當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時(shí)要求確認(rèn)是否是合法的用戶,這就是身份認(rèn)證。常采用用戶名和口令等最簡(jiǎn)易方法進(jìn)行用戶身份的認(rèn)證識(shí)別。
2、報(bào)文認(rèn)證。主要是通信雙方對(duì)通信的內(nèi)容進(jìn)行驗(yàn)證,以保證報(bào)文由確認(rèn)的發(fā)送方產(chǎn)生、報(bào)文傳到了要發(fā)給的接受方、傳送中報(bào)文沒有被修改過(guò)。
3、訪問授權(quán)。主要是確認(rèn)用戶對(duì)某資源的訪問權(quán)限。
4、數(shù)字簽名與文件加密技術(shù)
加密就是通過(guò)一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法其安全性和有用性主要取決于用戶私匙的保護(hù)和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的,可用對(duì)稱加密算法、非對(duì)稱加密算法或混合加密算法來(lái)實(shí)現(xiàn)。文件加密與數(shù)字簽名技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被
外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
數(shù)據(jù)傳輸加密技術(shù)。目的是對(duì)傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端對(duì)端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端通過(guò)專用的加密軟件,采用某種加密技術(shù)對(duì)所發(fā)送文件進(jìn)行加密,把明文(也即原文)加密成密文(加密后的文件,這些文件內(nèi)容是一些看不懂的代碼),然后進(jìn)人TCPAP數(shù)據(jù)包封裝穿過(guò)互聯(lián)網(wǎng),當(dāng)這些信息一旦到達(dá)目的地,將由收件人運(yùn)用相應(yīng)的密鑰進(jìn)行解密,使密文恢復(fù)成為可讀數(shù)據(jù)明文。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù),對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密,非對(duì)稱加密方式就是加密和解密所用的密鑰不一樣,它有一對(duì)密鑰,稱為“公鑰”和“私鑰”兩個(gè),這兩上密鑰必須配對(duì)使用,也就是說(shuō)用公鑰加密的文件必須用相應(yīng)人的私鑰才能解密,反之亦然。用非對(duì)稱加密方式進(jìn)行加密的軟件目前最流行的是PGP。
總之,在防火墻配置達(dá)到一定水平以后,網(wǎng)絡(luò)安全上不能再去深究和依賴防火墻,真正需要我們?nèi)リP(guān)注的應(yīng)該是本身系統(tǒng)與應(yīng)用程序的安全策略是否達(dá)到要求。從這方面出發(fā)與防火墻結(jié)合才能構(gòu)建安全的網(wǎng)絡(luò)環(huán)境。
第三篇:防火墻技術(shù)在電子商務(wù)中的應(yīng)用
防火墻技術(shù)在電子商務(wù)中的應(yīng)用
目 錄
目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)
一、電子商務(wù)的概念及交易問題.....................................................(2)
(一)、什么是電子商務(wù)............................................................(2)(二)、電子商務(wù)的交易過(guò)程.................................................(2)
二、電子商務(wù)中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)
(二)、電子商務(wù)中的信息安全問題及威脅.....................................(4)
三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)
四、防火墻的簡(jiǎn)介與使用的益處.........................................(6)
五、防火墻常用技術(shù)和性能......................................................(11)
六、結(jié)論........................................................................(14)參考文獻(xiàn)........................................................................(14)
淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用
內(nèi)容摘要:防火墻技術(shù)作為保證電子商務(wù)活動(dòng)中信息安全的第一道有效屏障,受到越來(lái)越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過(guò)程、交易過(guò)程中的信息安全問題及威脅、重點(diǎn)介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù),討論了建立網(wǎng)上安全信任機(jī)制的基礎(chǔ)。
關(guān)鍵詞:防火墻
電子商務(wù)
應(yīng)用 正文:
一、電子商務(wù)的概念及交易問題(一)什么是電子商務(wù)
電子商務(wù)源于英文Electronic Commerce,簡(jiǎn)寫為EC。是指一個(gè)機(jī)構(gòu)利用信息和技術(shù)手段,改變其和供應(yīng)商、用戶、員工、合作伙伴、管理部門的互動(dòng)關(guān)系,從而使自己變成為機(jī)動(dòng)響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機(jī)構(gòu)。電子商務(wù)的核心是商務(wù);本質(zhì)上是創(chuàng)造更多商機(jī)、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下,電子商務(wù)的含義已不僅僅是單純的電子購(gòu)物,電子商務(wù)以數(shù)據(jù)(包括文本、聲音和圖像)的電子處理和傳輸為基礎(chǔ),包含了許多不同的活動(dòng)(如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費(fèi)品營(yíng)銷和售后服務(wù))。它涉及產(chǎn)品(消費(fèi)品和工業(yè)品)和服務(wù)(信息服務(wù)、財(cái)務(wù)與法律服務(wù));它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。
(二)、電子商務(wù)的交易過(guò)程
企業(yè)間電子商務(wù)交易過(guò)程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個(gè)階段。
(1)交易前的準(zhǔn)備
買賣雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動(dòng)。買方根據(jù)自己要買的商品,準(zhǔn)備購(gòu)貨款,制訂購(gòu)貨計(jì)劃,進(jìn)行貨源的市場(chǎng)調(diào)查和分析,反復(fù)進(jìn)行市場(chǎng)查詢,通過(guò)交換信息來(lái)比較價(jià)格和條件,了解各個(gè)賣方國(guó)家的貿(mào)易政策,反復(fù)修改購(gòu)貨計(jì)劃和進(jìn)貨計(jì)劃,確定和審批購(gòu)貨計(jì)劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿意的商品和商家。然后修改并最后確定和審批購(gòu)貨計(jì)劃,再按計(jì)劃確定購(gòu)買商品的種類、規(guī)格、數(shù)量、價(jià)格、購(gòu)貨地點(diǎn)和交易方式等。而賣方則對(duì)自己所銷售的商品,進(jìn)行全面的市場(chǎng)調(diào)查和分析,了解各個(gè)買方國(guó)家的貿(mào)易政策,制訂各種銷售策略和銷售方式,制作廣告進(jìn)行宣傳,召開商品新聞發(fā)布會(huì),利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴(kuò)大影響,尋找貿(mào)易伙伴和交易機(jī)會(huì),擴(kuò)大貿(mào)易范圍和商品所占市場(chǎng)的份額。
參加交易的其他各方如中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等,買賣雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。
(2)交易談判和簽訂貿(mào)易合同
買賣雙方在這一階段利用電子商務(wù)系統(tǒng)對(duì)所有交易細(xì)節(jié)在網(wǎng)上談判,將雙方磋商的結(jié)果做成文件,即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法,經(jīng)過(guò)認(rèn)真談判和磋商后,將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購(gòu)買商品的種類、數(shù)量、價(jià)格、交貨地點(diǎn)、交貨期、交易方式和運(yùn)輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定,合同雙方可以利用電子數(shù)據(jù)交換(EDI)進(jìn)行簽約,也可以通過(guò)數(shù)字簽名等方式簽約。
(3)辦理交易進(jìn)行前的手續(xù)
買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù),這也是雙方在交易前的準(zhǔn)備過(guò)程。交易中要涉及到有關(guān)各方,即可能要涉及到中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進(jìn)行各種電子票據(jù)和電子單證的交換,直到辦理完一切手續(xù)、商品開始發(fā)貨為止。
(4)交易合同的履行和索賠
這一階段是從買賣雙方辦完所有各種手續(xù)之后開始,賣方要備貨、組貨,進(jìn)行報(bào)關(guān)、保險(xiǎn)、取證、信用卡等手續(xù),然后賣方將所購(gòu)商品交付給運(yùn)輸公司包裝、起運(yùn)、發(fā)貨。買賣雙方可以通過(guò)電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物,金融機(jī)構(gòu)和銀行也按照合同,處理雙方收付款、并進(jìn)行結(jié)算,出具相應(yīng)的銀行單據(jù)等,當(dāng)買方收到所購(gòu)的商品,整個(gè)交易過(guò)程就完成了。索賠是在買賣雙方交易過(guò)程中出現(xiàn)違約時(shí),需要進(jìn)行違約處理的工作,受損方按貿(mào)易合同有關(guān)條款向違約方進(jìn)行索賠。
二、電子商務(wù)中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性
電子商務(wù)安全是一個(gè)系統(tǒng)概念,不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān),還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。交易對(duì)安全性的要求有如下幾個(gè)方面:(1)有效性,因?yàn)榻灰讓?duì)于交易雙方都是一件十分嚴(yán)肅的事情,雙方都對(duì)交易的信息認(rèn)可。(2)保密性,即要求交易的信息只有交易雙方知道,第三方不能通過(guò)網(wǎng)絡(luò)獲得。(3)完整性,包括過(guò)程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性,這是信用的前提。(5)交易的不可否認(rèn)性,要求在交易信息的傳輸過(guò)程中為參與交易的個(gè)人,企業(yè)和國(guó)家提供可靠的標(biāo)識(shí)。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整,不受損壞,不丟失。系統(tǒng)運(yùn)行的可靠性要求保證電子商務(wù)參與者能在交易的過(guò)程始終能與交易對(duì)象進(jìn)行信息資金的交換,保證交易不得中斷。
雖然各種有效的手段可以保證電子商務(wù)的基本安全,但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個(gè)令人頭痛的問題,那么如何加強(qiáng)電子商務(wù)的安全呢?
防火墻可以保證對(duì)主機(jī)和應(yīng)用安全訪問,保證多種客戶機(jī)和服務(wù)器的安全性,保護(hù)關(guān)鍵部門不受到來(lái)自內(nèi)部和外部的攻擊,為通過(guò)Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全渠道。
與傳統(tǒng)商務(wù)相比,電子商務(wù)具有許多特點(diǎn):
其一,電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中,信息的傳遞通過(guò)網(wǎng)絡(luò)完成,速度很快,可以節(jié)省寶貴的交易時(shí)間。
其二,電子商務(wù)是在公開環(huán)境下進(jìn)行的交易,其可以在全球范圍內(nèi)進(jìn)行交易。由于借助互聯(lián)網(wǎng),這就使得經(jīng)濟(jì)交易突破了空間的限制;公開環(huán)境下的信息公開,使所有的企業(yè)可以平等地參與市場(chǎng)競(jìng)爭(zhēng)。
其三,在電子商務(wù)中,電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成,更加精確、可靠。
(二)、電子商務(wù)中的信息安全問題及威脅
1、電子商務(wù)的安全問題。總的來(lái)說(shuō)分為二部分:一是網(wǎng)絡(luò)安全,二是商務(wù)安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全,數(shù)據(jù)庫(kù)安 全,工作人員和環(huán)境等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
在Internet上的電子商務(wù)交易過(guò)程中,最核心和最關(guān)鍵的問題就是交易的安全性。一般來(lái)說(shuō)商務(wù)安全中普遍存在著以下幾種安全隱患:
(1)竊取信息。由于未采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。
(2).惡意代碼。它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且,其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多,擴(kuò)散起來(lái)也更加便利,因此,造成的破壞也就越大。
(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過(guò)各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。這種方法并不新鮮,在路由器或網(wǎng)關(guān)上都可以做此類工作。
(4)假冒。由于掌握了數(shù)據(jù)的格式,并可以篡改通過(guò)的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶通常很難分辨。
(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的。
2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段,可以將威脅歸納為四種基本類型:無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來(lái)講,對(duì)外部威脅,安全性強(qiáng)調(diào)防御;對(duì)內(nèi)部威脅,安全性強(qiáng)調(diào)威懾。
(1)病毒。病毒是由一些不正直的程序員所編寫的計(jì)算機(jī)程序,它采用了獨(dú)特的設(shè)計(jì),可以在受到某個(gè)事件觸發(fā)時(shí),復(fù)制自身,并感染計(jì)算機(jī)。如果在病毒可以通過(guò)某個(gè)外界來(lái)源進(jìn)入網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)才會(huì)感染病毒。
(2)惡意破壞程序。網(wǎng)站會(huì)提供一些軟件應(yīng)用的開發(fā)而變得更加活潑。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫和其他一些特殊效果,從而使網(wǎng)站更具有吸引力和互動(dòng)性。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。
(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊,它們通常被分為三類:探測(cè)式攻擊,訪問攻擊和拒絕服務(wù)(DOS)攻擊。a.探測(cè)式攻擊實(shí)際上是信息采集活動(dòng),黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù),用于以后進(jìn)一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞,以訪問電子郵件賬號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。c.DOS 攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問。
(4)數(shù)據(jù)阻截。通過(guò)任何類型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取。犯罪分子可能會(huì)竊聽通信信息,甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來(lái)阻截?cái)?shù)據(jù)。
(5)垃圾信件。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無(wú)害的,但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間,帶來(lái)很多麻煩。
因此,隨著電子商務(wù)日益發(fā)展和普及,安全問題顯得異常突出,解決安全問題已成為我國(guó)電子商務(wù)發(fā)展的當(dāng)務(wù)之急。
三、防火墻的技術(shù)與體系結(jié)構(gòu)
(一)、什么是防火墻
防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_,防止內(nèi)部受到外部的非法攻擊。本質(zhì)上,它遵從的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信,只允許授權(quán)的通訊。
(二)、使用防火墻的益處
(1)保護(hù)脆弱的服務(wù)
通過(guò)過(guò)濾不安全的服務(wù),防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如,防火墻可以禁止NIS、NFS服務(wù)通過(guò),防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。
(2)集中的安全管理
防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理,在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法,而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過(guò)一次認(rèn)證即可訪問內(nèi)部網(wǎng)。
(3)控制對(duì)系統(tǒng)的訪問
防火墻可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī),同時(shí)禁止訪問另外的主機(jī)。例如,防火墻允許外部訪問特定的Mail Server和Web Server。
(4)策略執(zhí)行
防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí),網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。
(5)增強(qiáng)的保密性
使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Finger和DNS。防火墻可以提供統(tǒng)計(jì)數(shù)據(jù),來(lái)判斷可能的攻擊和探測(cè)。并且,防火墻可以記錄和統(tǒng)計(jì)通過(guò)防火墻的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。
四、防火墻的簡(jiǎn)介與使用的益處
(一)、防火墻的簡(jiǎn)介
一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。
防火墻是為防止非法訪問或保護(hù)專用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過(guò)防火墻,防火墻會(huì)檢查每個(gè)數(shù)據(jù)包,并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。
一般來(lái)說(shuō),配置防火墻是為了防止外部無(wú)權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量,但允許內(nèi)網(wǎng)用戶更自由的與外部交流。
防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能;它們經(jīng)常為管理員提供關(guān)于已處理過(guò)的流量類型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”,因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。
從理論上說(shuō),有兩種類型的防火墻:應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻
它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國(guó)際標(biāo)準(zhǔn)化組織(ISO)開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層,每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低,防火墻的檢查就越少。
(1)應(yīng)用層防火墻
應(yīng)用層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī),它不允許網(wǎng)絡(luò)之間直接的流量,并在流量通過(guò)時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件,所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換,是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來(lái)源之后流量可以從一邊進(jìn)入,另一邊出去。
在某些情況下,有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能,并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶不是特別透明,并且還可能需要進(jìn)行一些培訓(xùn)。然而,許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比,應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告,實(shí)行更保守的安全模型。
(2)網(wǎng)絡(luò)層防火墻
這種類型決定了它的判定一般是基于源地址、目的地址及獨(dú)立IP包中的端口。一個(gè)簡(jiǎn)單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻,因?yàn)樗荒茏龀鰪?fù)雜的判斷,如數(shù)據(jù)包的發(fā)送目標(biāo)和來(lái)源。現(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多,并且會(huì)隨時(shí)關(guān)注通過(guò)防火墻的連接狀態(tài)的信息。
另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過(guò),因此在使用時(shí),你需要一個(gè)有效分配的IP地址塊,或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速,對(duì)于用戶來(lái)說(shuō)幾乎是透明的。
未來(lái)的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過(guò)它們的信息,應(yīng)用層防火墻可能會(huì)變得越來(lái)越透明。最終將會(huì)是一種在數(shù)據(jù)通過(guò)時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。
在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的,所有數(shù)據(jù)都首先通過(guò)硬件芯片監(jiān)測(cè),也可以是軟件類型,軟件在電腦上運(yùn)行并監(jiān)控,其實(shí)硬件型也就是芯片里固化了的軟件,但是它不占用計(jì)算機(jī)CPU處理時(shí)間,可以功能作的非常強(qiáng)大處理速度很快,對(duì)于個(gè)人用戶來(lái)說(shuō)軟件型更加方便實(shí)在。
(二)、防火墻的體系結(jié)構(gòu)
防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來(lái)說(shuō),是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí),我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品,防火墻發(fā)展到今天,很多產(chǎn)品已經(jīng)越來(lái)越象是一個(gè)網(wǎng)絡(luò)安全的工具箱,工具的多少固然很重要,但系統(tǒng)的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力,決定了當(dāng)你在某種場(chǎng)合需要一個(gè)系統(tǒng)聲稱提供的功能的時(shí)候是不是真的能夠用得上。
防火墻的基本結(jié)構(gòu)可以分為包過(guò)濾和應(yīng)用代理兩種。包過(guò)濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù),而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。
包過(guò)濾是歷史最久遠(yuǎn)的防火墻技術(shù),從實(shí)現(xiàn)上分,又可以分為簡(jiǎn)單包過(guò)濾和狀態(tài)檢測(cè)的包過(guò)濾兩種。
簡(jiǎn)單包過(guò)濾是對(duì)單個(gè)包的檢查,目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能,所以如果你已經(jīng)有邊界路由器,那么完全沒有必要購(gòu)買一個(gè)簡(jiǎn)單包過(guò)濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài),所以對(duì)TCP層的控制是有漏洞的,比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時(shí),一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過(guò)防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡(jiǎn)單包過(guò)濾的產(chǎn)品由于其保護(hù)的不完善,在99年以前國(guó)外的防火墻市場(chǎng)上就已經(jīng)不存在了,但是目前國(guó)內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡(jiǎn)單包過(guò)濾的技術(shù),從這點(diǎn)上可以說(shuō),國(guó)內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國(guó)外落后2到3年。
狀態(tài)檢測(cè)的包過(guò)濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài),對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表,更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用,狀態(tài)檢測(cè)包過(guò)濾的性能也明顯優(yōu)于簡(jiǎn)單包過(guò)濾產(chǎn)品,尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。
順便提一下免費(fèi)軟件中的包過(guò)濾技術(shù),比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析,雖然它們提供了對(duì)TCP狀態(tài)位的檢查,但是由于沒有跟蹤TCP的狀態(tài),所以仍然是簡(jiǎn)單包過(guò)濾。值得關(guān)注的是Linux2.4中的IP Table,從其名稱就可以看出,它在進(jìn)行過(guò)濾時(shí)建立了一個(gè)用來(lái)記錄狀態(tài)信息的Table,已經(jīng)具備了狀態(tài)檢測(cè)技術(shù)的基本特征。
包過(guò)濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易,對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大,但是不能加到你的網(wǎng)絡(luò)中去,那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無(wú)意義,而包過(guò)濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上,對(duì)用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來(lái)出現(xiàn)的透明方式的包過(guò)濾防火墻,由于采用了網(wǎng)橋技術(shù),幾乎可以部署在任何的以太網(wǎng)線路上,而完全不需要改動(dòng)原來(lái)的拓?fù)浣Y(jié)構(gòu)。
包過(guò)濾的另一個(gè)優(yōu)點(diǎn)是性能,狀態(tài)檢測(cè)包過(guò)濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢(shì)的結(jié)構(gòu)。
但是對(duì)于防火墻產(chǎn)品來(lái)說(shuō),畢竟安全是首要的因素,包過(guò)濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù),而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。
應(yīng)用代理防火墻可以說(shuō)就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長(zhǎng)的技術(shù),最初的代表是TIS工具包,現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到,它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信,所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā),訪問者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接,應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力。可以這樣說(shuō),狀態(tài)檢測(cè)包過(guò)濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。
對(duì)于使用代理防火墻的用戶來(lái)說(shuō),在得到安全性的同時(shí),用戶也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性,這個(gè)缺陷幾乎可以說(shuō)是天生的,因?yàn)樗挥形挥趹?yīng)用會(huì)話的中間環(huán)節(jié),才會(huì)對(duì)會(huì)話進(jìn)行控制,而幾乎所有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不
認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來(lái)說(shuō)實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合,需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專門的功能,所以對(duì)于使用代理防火墻的用戶來(lái)說(shuō)經(jīng)常遇到的問題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議,要么放棄防火墻,要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下,幾乎無(wú)法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻,而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。
代理的另一個(gè)無(wú)法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上,其對(duì)每個(gè)訪問實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過(guò)45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問。對(duì)于一個(gè)繁忙的站點(diǎn)來(lái)說(shuō),這是很難接受的性能。
代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒有包過(guò)濾技術(shù)活躍,比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品,在核心技術(shù)上幾乎沒有什么變化,變化的主要是增加了協(xié)議的種類。同時(shí)為了克服代理種類有限的局限性,很多代理防火墻同時(shí)也提供了狀態(tài)檢測(cè)包過(guò)濾的能力,當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時(shí),就以包過(guò)濾的方式讓其通過(guò)。由于很難將這兩者的安全策略結(jié)合在一起,所以混合型的產(chǎn)品通常更難于配置,也很難真正的結(jié)合兩者的長(zhǎng)處。
狀態(tài)檢測(cè)包過(guò)濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場(chǎng)中普遍采用的主流技術(shù),但兩種技術(shù)正在形成一種融合的趨勢(shì),演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測(cè)包過(guò)濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱之為“流過(guò)濾”的結(jié)構(gòu),其基本的原理是在防火墻外部仍然是包過(guò)濾的形態(tài),工作在鏈路層或IP層,在規(guī)則允許下,兩端可以直接的訪問,但是對(duì)于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話,數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話,由于防火墻的應(yīng)用層策略位于流的中間,因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話,從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中,系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā),并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。
“流過(guò)濾”的另一個(gè)優(yōu)勢(shì)在于性能,完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來(lái)說(shuō),消耗資源更少而且更加高效,如果你需要一個(gè)能夠支持幾千個(gè),甚至數(shù)萬(wàn)個(gè)并發(fā)訪問,同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng),“流過(guò)濾”結(jié)構(gòu)幾乎是唯一的選擇。
防火墻技術(shù)發(fā)展這么多年,已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù),是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來(lái)沒有停止過(guò),事實(shí)上,任何一個(gè)
安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全,因?yàn)榫W(wǎng)絡(luò)在變化,應(yīng)用在變化,入侵的手段在變化。對(duì)于防火墻來(lái)說(shuō),技術(shù)的不斷進(jìn)步才是真實(shí)的保障。
五、防火墻常用技術(shù)和性能
(一)、防火墻的四種基本類型
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。
(1)、包過(guò)濾型
包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。
包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。
(2)、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。
在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。
網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
(3)、代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
(4)、監(jiān)測(cè)型
監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。
實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。
(二)、防火墻的選擇
網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),就其產(chǎn)品的主流趨勢(shì)而言,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。
安裝防火墻的基本原則是:只要有惡意侵入的可能,無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:(1)總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元,則該部門所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然,對(duì)于關(guān)鍵部門來(lái)說(shuō),其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。
(2)防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。
通常,防火墻的安全性問題來(lái)自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無(wú)從入手,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō),保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過(guò)程中遺留大量的安全漏洞。
(3)管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡(jiǎn)單地計(jì)算購(gòu)置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。
(4)可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。
(5)防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無(wú)法判斷。即使安裝好了防火墻,如果沒有實(shí)際的外部入侵,也無(wú)從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過(guò)了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。
六、結(jié)論
隨著電子商務(wù)的不斷發(fā)展,安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素,防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。
七、參考文獻(xiàn)
1、《電子商務(wù)》 翟才喜 楊敬杰主編 東北財(cái)經(jīng)大學(xué)出版社 2002.2
2、《中國(guó)電子商務(wù)年鑒》2003 卷
第四篇:防火墻技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用研究
防火墻技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用研究
摘要:隨著互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展,網(wǎng)絡(luò)技術(shù)已經(jīng)被廣泛運(yùn)用到各個(gè)領(lǐng)域。但是,目前隨著個(gè)人網(wǎng)絡(luò)技術(shù)水平的提高,有許多非法的組織或者個(gè)人,通過(guò)破解密碼偷竊學(xué)校、企業(yè),甚至是國(guó)家的隱私性機(jī)密文件或者是資金,嚴(yán)重威脅到這些單位的財(cái)產(chǎn)和隱私安全。因此,網(wǎng)絡(luò)在給社會(huì)帶來(lái)巨大便捷性的同時(shí),也隱藏著較大的安全隱患。防火墻技術(shù)是抵御“黑客”非法入侵和非法訪問的有效手段之一。本文在此基礎(chǔ)上重點(diǎn)探討了如何在網(wǎng)絡(luò)安全中合理應(yīng)用防火墻技術(shù),以達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。
關(guān)鍵詞:網(wǎng)絡(luò)安全問題;防火墻技術(shù);應(yīng)用
引言:網(wǎng)絡(luò)技術(shù)憑借著自身快捷性和準(zhǔn)確性等優(yōu)勢(shì),已經(jīng)被廣泛應(yīng)用到社會(huì)各個(gè)領(lǐng)域。我國(guó)正處在由工業(yè)化社會(huì)向信息化社會(huì)過(guò)渡的階段,人們對(duì)網(wǎng)絡(luò)的依賴性較強(qiáng),但企業(yè)、個(gè)人頻繁出現(xiàn)信息資源被盜,機(jī)密性文件被竊取,網(wǎng)絡(luò)被黑客制造的病毒攻擊導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓等惡性事件,這些風(fēng)險(xiǎn)極大影響了企業(yè)的正常運(yùn)行以及個(gè)人信息的保障。網(wǎng)絡(luò)安全問題還不僅僅出現(xiàn)在企業(yè)運(yùn)營(yíng)上以及個(gè)人生活中,甚至還出現(xiàn)在國(guó)家安全部門或者機(jī)關(guān)部門中。所以,如何在信息化高速發(fā)展的今天,實(shí)現(xiàn)防火墻技術(shù)在網(wǎng)絡(luò)安全的有效運(yùn)用是有關(guān)部門需要長(zhǎng)期探討和研究的問題。我們要借鑒防火墻技術(shù)在網(wǎng)絡(luò)安全成功應(yīng)用的經(jīng)驗(yàn),提出創(chuàng)新性的方案和手段,來(lái)克服網(wǎng)絡(luò)安全問題給社會(huì)帶來(lái)的風(fēng)險(xiǎn)。
一、運(yùn)用防火墻技術(shù)強(qiáng)化網(wǎng)絡(luò)安全策略
相關(guān)單位在運(yùn)用防火墻技術(shù)時(shí),要重視配置以防火墻為中心的安全策略方案,將口令、身份認(rèn)證、審查、加密等安全信息全部配置到防火墻上,這樣相比將網(wǎng)絡(luò)安全問題分散與各個(gè)主機(jī)或者是其它部位來(lái)講,都集中在防火墻上更便于管理,安全性強(qiáng),投入成本少,經(jīng)濟(jì)效益高。筆者根據(jù)自己長(zhǎng)期的研究,總結(jié)了一套運(yùn)用防火墻強(qiáng)化網(wǎng)絡(luò)安全策略的相關(guān)配置方案,其基本步驟如下:第一,在控制面板上實(shí)現(xiàn)對(duì)防火墻基礎(chǔ)信息的設(shè)置,這是實(shí)現(xiàn)防火墻強(qiáng)化網(wǎng)絡(luò)安全策略的首要前提和根本保證;第二,實(shí)現(xiàn)對(duì)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換為主的網(wǎng)絡(luò)地址轉(zhuǎn)換的設(shè)置,動(dòng)態(tài)地址轉(zhuǎn)化和靜態(tài)地址轉(zhuǎn)換的功能作用各不相同,動(dòng)態(tài)地址轉(zhuǎn)換主要用于內(nèi)部網(wǎng)絡(luò)的對(duì)外訪問用戶的出口,而靜態(tài)地址轉(zhuǎn)換則用來(lái)幫
助實(shí)現(xiàn)停火區(qū)的服務(wù)區(qū)地址的映射的效果,兩者要緊密相連,缺一不可,否則防火墻也達(dá)不到其應(yīng)有的功效;第三,為了最大程度的實(shí)現(xiàn)防火墻的防護(hù)功能,需要將應(yīng)用于整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全策略應(yīng)用添加到防火墻的安全策略列表當(dāng)中,實(shí)現(xiàn)各個(gè)安全策略之間良性的運(yùn)作效果。
二、發(fā)揮防火墻網(wǎng)絡(luò)安全屏障的作用
防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。實(shí)質(zhì)上是一項(xiàng)信息安全的防護(hù)系統(tǒng),依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò),從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入,從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。各個(gè)企業(yè)或者是單位要積極發(fā)揮防火墻網(wǎng)絡(luò)安全屏障的作用,提高內(nèi)部網(wǎng)絡(luò)的安全性,通過(guò)過(guò)濾外來(lái)網(wǎng)絡(luò)的不安全服務(wù),降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的系數(shù),防火墻只接收外來(lái)信息在系統(tǒng)可以準(zhǔn)確識(shí)別的情況下的相關(guān)應(yīng)用協(xié)議。同時(shí),也極大的保護(hù)了網(wǎng)路免遭受基于路由的攻擊和破壞,防火墻在受到不明信息的攻擊和騷擾時(shí),能夠自覺運(yùn)用并且同時(shí)將該情況通知防火墻的管理人員。從以上角度分析,說(shuō)防火墻是網(wǎng)絡(luò)安全的屏障。為了使防火墻更好的發(fā)揮在網(wǎng)絡(luò)安全的屏障作用,企業(yè)等相關(guān)部門要采取一定的措施:第一,增強(qiáng)職員防火墻在網(wǎng)絡(luò)安全中應(yīng)用的意識(shí);第二,建立其防火墻配置和管理部門,包括對(duì)防火墻管理人員的培訓(xùn)和管理;第三,加大對(duì)防火墻技術(shù)的資金投入,不斷升級(jí)防火墻技術(shù)等。通過(guò)以上策略,完善防火墻技術(shù)在網(wǎng)絡(luò)安全中的硬軟件基礎(chǔ)設(shè)施,在防火墻技術(shù)的屏障保護(hù)下,實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的健康穩(wěn)定安全和可持續(xù)運(yùn)行。
三、運(yùn)用防火墻技術(shù)監(jiān)控網(wǎng)絡(luò)存取和訪問
防火墻能有效地記錄Internet上的任何活動(dòng),當(dāng)其它網(wǎng)絡(luò)用戶等訪問經(jīng)過(guò)防火墻時(shí),防火墻就會(huì)發(fā)揮自身技術(shù)監(jiān)控審計(jì)的功能,不僅能詳細(xì)記錄這些訪問的時(shí)間和來(lái)源,而且還可以自動(dòng)生成日志,可供防火墻管理人員的日后參考和追究。當(dāng)發(fā)生不明來(lái)源的信息和訪問攻擊內(nèi)部網(wǎng)絡(luò)時(shí),防火墻能根據(jù)風(fēng)險(xiǎn)程度自動(dòng)報(bào)警,并能提供網(wǎng)絡(luò)是否受到外部網(wǎng)絡(luò)的攻擊和監(jiān)測(cè)的詳細(xì)信息,為有關(guān)單位指證不法犯罪團(tuán)伙利用網(wǎng)絡(luò)實(shí)施違法行為提供了證據(jù)。除此之外,時(shí)時(shí)記錄網(wǎng)絡(luò)的使用情況為日后調(diào)整防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的控制力度也是具有一定的參考價(jià)值,分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)存在的系數(shù),從而加緊防范,遏制網(wǎng)絡(luò)風(fēng)險(xiǎn)的生根發(fā)芽。有關(guān)部門要注重運(yùn)用防火墻技術(shù)監(jiān)控網(wǎng)絡(luò)存取和訪問這一功能,首先就要確保防火墻技
術(shù)的正常運(yùn)行,保證24小時(shí)不分時(shí)間和部門進(jìn)行監(jiān)測(cè)和存取記錄,做到防患于未然。
四、發(fā)揮防火墻對(duì)信息數(shù)據(jù)庫(kù)安全維護(hù)的補(bǔ)充作用
信息數(shù)據(jù)庫(kù)是各個(gè)企業(yè)必備的存儲(chǔ)區(qū)域,信息,數(shù)據(jù)庫(kù)的建立,不僅為了實(shí)現(xiàn)資源的有效整理,還兼顧保證信息,數(shù)據(jù)的安全。防止內(nèi)部信息的外泄是防火墻的主要優(yōu)點(diǎn)之一,我們之所以在某種程度上將防火墻視為一種隔離技術(shù),是因?yàn)榉阑饓夹g(shù)是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法。利用防火墻我們可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,限制和拒絕了一些非法信息的侵入,確保了整個(gè)網(wǎng)絡(luò)系統(tǒng)不受局部敏感的網(wǎng)絡(luò)安全問題的影響。我們要加大在防墻技術(shù)和數(shù)據(jù)信息庫(kù)這兩者之間實(shí)現(xiàn)有效結(jié)合的技術(shù)研究和開發(fā),使防火墻技術(shù)能夠確保單位的信息和安全,維護(hù)單位和個(gè)人的利益。
結(jié)語(yǔ):
網(wǎng)絡(luò)安全問題的頻繁出現(xiàn),提高了人們對(duì)于維護(hù)網(wǎng)絡(luò)安全的意識(shí)。通過(guò)防火墻技術(shù)在網(wǎng)絡(luò)中的運(yùn)用,網(wǎng)絡(luò)安全已經(jīng)得到了極大的改善。但是,我們不能否認(rèn)一個(gè)防護(hù)墻并不能百分之百的保障網(wǎng)絡(luò)安全,相關(guān)部門需要長(zhǎng)期不斷的探索,在摸索中開發(fā)出更先進(jìn)的防火墻技術(shù),提高網(wǎng)絡(luò)的安全性。
參考文獻(xiàn):
[1]馬利,梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù),2014,16:3743-3745.[2]張琳.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].網(wǎng)友世界,2014,15:15.
第五篇:計(jì)算機(jī)防火墻與應(yīng)用——網(wǎng)絡(luò)安全技術(shù).論文
防火墻原理與應(yīng)用—網(wǎng)絡(luò)安全技術(shù)論文
摘要
計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)今信息時(shí)代的關(guān)鍵技術(shù)。當(dāng)前網(wǎng)絡(luò)安全問題存在著計(jì)算機(jī)病毒,計(jì)算機(jī)黑客攻擊等問題。網(wǎng)絡(luò)安全問題有其先天的脆弱性,黑客攻擊的嚴(yán)重性,網(wǎng)絡(luò)殺手集團(tuán)性和破壞手段的多無(wú)性,解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。走在中國(guó)特色的防火墻技術(shù)發(fā)展之路,是確保我國(guó)網(wǎng)絡(luò)安全的有效途徑之一。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文重點(diǎn)介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu),討論了實(shí)現(xiàn)防火墻的兩種主要技術(shù)手段:一種是基于分組過(guò)濾技術(shù)(Packet filtering),它是代表是在應(yīng)用層網(wǎng)關(guān)上實(shí)現(xiàn)的防火墻功能。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;技術(shù);功能 前言
隨著網(wǎng)絡(luò)技術(shù)的普遍推廣,電子商務(wù)的展開,實(shí)施和應(yīng)用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學(xué)研究人員和少數(shù)黑客所涉足,日益龐大的網(wǎng)絡(luò)用戶群同樣需要掌握網(wǎng)絡(luò)安全知識(shí)。由于在早起網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視,以及在管理和使用上的無(wú)政府狀態(tài),逐漸是Internet自身安全受到嚴(yán)重威脅,與它有關(guān)的安全事故屢次發(fā)生,一些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),當(dāng)成一種犯罪的工具,不僅影響到了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶正常使用,造成許多經(jīng)濟(jì)損失,而且還會(huì)威脅到國(guó)家的安全,一些國(guó)家的機(jī)密被黑客破壞造成網(wǎng)絡(luò)癱瘓。如何更有效的保護(hù)重要的信息數(shù)據(jù),極高計(jì)算機(jī)網(wǎng)絡(luò)安全性已經(jīng)成為世界各國(guó)共同關(guān)注的話題,防火墻可以提供增強(qiáng)網(wǎng)絡(luò)的安全性,是當(dāng)今網(wǎng)絡(luò)系統(tǒng)最基礎(chǔ)設(shè)施,側(cè)重干網(wǎng)絡(luò)層安全,對(duì)于從事網(wǎng)絡(luò)建設(shè)與管理工作而言,充分發(fā)揮防火墻的安全防護(hù)功能和網(wǎng)絡(luò)管理功能只管重要。
1防火墻概述
1.1在計(jì)算機(jī)法網(wǎng)絡(luò)中,防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,它實(shí)際是一種隔離技術(shù),它允許“可以訪問”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò),同時(shí)將“不允許訪問”的人和數(shù)據(jù)拒之門外,最大限度的阻止網(wǎng)絡(luò)中的和尅來(lái)訪問網(wǎng)絡(luò),如果不能通過(guò)防火墻,人們就無(wú)法訪問Internet,夜無(wú)法和其他人進(jìn)行通訊,它具有較強(qiáng)的抗攻擊能力,提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)建設(shè)。
1.2防火墻的功能 防火墻的訪問控制功能;訪問控制功能是防火墻設(shè)備的最基本功能,其作用就對(duì)經(jīng)過(guò)防火墻的所有通信進(jìn)行連通或阻斷的安全控制,以實(shí)現(xiàn)連接到防火墻的各個(gè)網(wǎng)段的邊界安全性,為實(shí)施訪問控制功能過(guò)濾,如電子郵件附件的文件類型可以等可以將IP與MAC地址綁定以防止盜用IP的現(xiàn)象發(fā)生,可以對(duì)上網(wǎng)時(shí)間段進(jìn)行控制,不同時(shí)段執(zhí)行不同的安全策略,防火墻的訪問控制采用兩種基本策略,即“黑名單”策略和“白名單”策略,指除了規(guī)則允許的訪問,其他的都是禁止的,至此一定的安全策略,過(guò)濾掉不安全服務(wù)和非法用戶,利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將有限的IP地址動(dòng)態(tài)或靜態(tài)地址與內(nèi)部IP地址對(duì)應(yīng)起來(lái),用來(lái)環(huán)節(jié)地址空間短缺的問題。可以連接到一個(gè)單獨(dú)的網(wǎng)絡(luò)上,在物理上與美不網(wǎng)絡(luò)隔離開并部署WWW服務(wù)器和FTP服務(wù)器,作為向外部外發(fā)內(nèi)部信息的地點(diǎn)。防火墻支持用戶基于用戶身份的網(wǎng)絡(luò)訪問控制,不僅具有內(nèi)置的用戶管理及認(rèn)證接口,同時(shí)夜支持用戶進(jìn)行外部身份證認(rèn)證。防火墻可以根據(jù)用戶認(rèn)證的情況動(dòng)態(tài)地址調(diào)整安全策略實(shí)現(xiàn)用戶對(duì)網(wǎng)絡(luò)的授權(quán)訪問。1.3 防火墻技術(shù)
按照實(shí)現(xiàn)技術(shù)分類防火墻的基本類型有:包過(guò)濾型,代理服務(wù)器和狀態(tài)包過(guò)濾型。包過(guò)濾通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾是一種安全篩選機(jī)制,它在控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。包過(guò)濾是一種有效的安全手段。它在網(wǎng)絡(luò)層和傳輸層其作用,它根據(jù)分組數(shù)據(jù)包的源宿地址斷及協(xié)議類型,來(lái)確定是否允許分組包通過(guò),包過(guò)濾的有點(diǎn)是它對(duì)用戶是透明的,處理速度快且易維護(hù),通常作為第一道防線。
代理服務(wù)技術(shù):代理服務(wù)系統(tǒng)一般安裝運(yùn)行在雙宿主機(jī)上,使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓展,比包過(guò)濾防火墻安全,由于安全性能較高,所以是使用較多的防火墻技術(shù)代理服務(wù)軟件運(yùn)行在一臺(tái)主機(jī)上構(gòu)成代理服務(wù)器,負(fù)責(zé)客戶的請(qǐng)求,根據(jù)安全規(guī)則判斷這個(gè)請(qǐng)求是否允許,如果允許才能傳給真正的防火墻。代理系統(tǒng)是客戶機(jī)和真實(shí)服務(wù)器之間的中介,完全控制客戶機(jī)和真實(shí)服務(wù)器之間的流量并對(duì)流量情況加以記錄,它具有靈活性和安全性,但可能影響網(wǎng)絡(luò)的性對(duì)多用戶的透明,且對(duì)每一個(gè)服務(wù)器都要設(shè)計(jì)一個(gè)代理模塊,建立應(yīng)對(duì)的網(wǎng)關(guān)層實(shí)現(xiàn)起來(lái)比較復(fù)雜。
代理技術(shù)的優(yōu)點(diǎn):1提供的安全級(jí)高于包過(guò)濾型防火墻。2.代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機(jī),以保護(hù)內(nèi)部主機(jī)免收外部攻擊。3.可能強(qiáng)制執(zhí)行用戶認(rèn)證。4.代理工作在客戶機(jī)和真實(shí)服務(wù)器之間,完全控制會(huì)話,所以能提供較詳細(xì)的審計(jì)日志。1.4 防火墻系統(tǒng)的優(yōu)點(diǎn)
可以對(duì)網(wǎng)絡(luò)安全進(jìn)行集中控制和管理;防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來(lái),將承擔(dān)分險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上在機(jī)構(gòu)上形成了一個(gè)控制中心,大大加強(qiáng)了網(wǎng)絡(luò)安全性,并簡(jiǎn)化了網(wǎng)絡(luò)管理。由于防火墻在結(jié)構(gòu)上的特殊位置,使其方便的提供了監(jiān)視管理與審計(jì)網(wǎng)絡(luò)的使用及預(yù)警衛(wèi)解決IP的地址危機(jī)提供了可行方案,防火墻系統(tǒng)則正處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換MAT的最佳位置,MAT有助于緩和IP地址空間不足,并使得一個(gè)結(jié)構(gòu)改變Internet服務(wù)提供商時(shí)而不必重新編址。防火墻系統(tǒng)可以作為Internet信息服務(wù)器的安裝地點(diǎn),對(duì)外發(fā)布信息。新一代的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全,而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù),但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸,這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù),由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求,因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然,數(shù)據(jù)通過(guò)率越高,防火墻性能越好。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能,它可以讓防火墻受保護(hù)的一邊的IP地址不至于暴露在沒有保護(hù)的另一邊,但是啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運(yùn)行,否則將成為網(wǎng)絡(luò)通信的瓶頸。
1.5.防火墻系統(tǒng)的局限性
防火墻系統(tǒng)存在著如下局限性:常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓展結(jié)構(gòu)來(lái)支持,對(duì)網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性,多樣性和開放性衛(wèi)代價(jià)。防火墻系統(tǒng)的防范對(duì)象來(lái)自外部對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊,而不能防范不經(jīng)有防火墻的攻擊。比如通過(guò)SLIP和PPP的撥號(hào)攻擊,繞過(guò)了防火墻系統(tǒng)而直接撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò),防火墻多這樣的攻擊很難防范。防火墻在技術(shù)原理上對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用。
結(jié)束語(yǔ) 網(wǎng)絡(luò)的迅速發(fā)展,給我們的工作和生活帶來(lái)了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化,多樣化的今天,安全受到人們?cè)絹?lái)越多的關(guān)注。如何保護(hù)各類網(wǎng)絡(luò)和信息的安全,成為人們研究的焦點(diǎn),其中防火墻是運(yùn)用非常廣泛和效果做好的選擇。但是,防火墻技術(shù)也有它的不足之處,為了更好的維護(hù)網(wǎng)絡(luò)安全,還需要其他的技術(shù)相結(jié)合,以及更先進(jìn)的技術(shù)發(fā)現(xiàn)。
參考文獻(xiàn)
[1]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:北京人民郵電出版社.2004.50—75.[2]馮 元.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:科學(xué)出版社.2004.120—150.[3]穆紅濤.Internet實(shí)用技術(shù)[M].北京:大連理工大學(xué)出版社.2005.150—198.[4]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社.2001.17—38.[5]梁亞聲.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京:機(jī)械工業(yè)出版社.2004.110—187.致謝
大學(xué)生活一晃而過(guò),回首走過(guò)的歲月,心中倍感充實(shí),首先誠(chéng)摯的感謝我的論文指導(dǎo)老師王紅衛(wèi)老師。他在忙碌的教學(xué)工作中抽出時(shí)間來(lái)審查、修改我的論文。還有教過(guò)我的所有老師們,你們嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣;他們循循循善誘的教導(dǎo)和不拘一格的思路給予我無(wú)盡的啟迪。
感謝大學(xué)中中陪伴在我身拜年的同學(xué)、朋友、感謝他們?yōu)槲姨岢龅挠幸獾慕ㄗh和意見,有了他們的支持、鼓勵(lì)和幫助,我才能充實(shí)的度過(guò)大學(xué)的學(xué)習(xí)生活。
點(diǎn)擊咨詢 