第一篇:防火墻策略定義在網絡安全中的應用
防火墻策略定義在網絡安全中的應用
舒曉1(1.中國石油大學(華東)地球科學與技術學院,山東青島 266580)
摘 要
本文主要研究了通過配置linux系統主機ipchains防火墻來保護校園網絡的方法。這種方法可以將多臺教學計算機組成的局域網隱藏于私有網絡之中,并通過防火墻提供的網絡地址轉換功能與互聯網連接。同時通過指定的鏈規則,防止各種危險報文的進入進出,最大化保護網絡安全。
關鍵詞
防火墻 包過濾 校園網絡 網絡安全
隨著越來越多的校園網絡接入互聯網,對其安全進行保護尤其是防止其受到來自黑客的入侵越來越重要。這些攻擊具有多種形式,包括信息泄露、木馬植入和病毒入侵,其中最危險的一種是入侵并接管主機,并通過被入侵的主機進攻其它目標,通常這種做法可以掩蓋黑客的行蹤。因此,有效地保護網絡安全,防止計算機遭受就變得十分需要。但當這一要求是面對校園網絡和校園網絡的主體使用者學生時,這一任務就變得極具困難性。眾所周知,校內網絡教室中計算機所安裝的操作系統往往具有很多安全漏洞,這是因為為了教授學生的基本計算機及網絡知識,且為了不受限制地訪問互聯網中大量的資源,往往提供了一個保護性很弱的操作系統環境,這樣的機器在教育系統是極為常見的,對于一個缺少足夠網絡安全知識的尚處于學習階段的但使用網絡教室中電腦連接互聯網的學生,其很難應付當前日益嚴峻的來自互聯網的安全挑戰,而置于不同安全域之間的訪問控制工具——防火墻則被用以解決這一問題。由于防火墻本質上是對互聯網安全策略的實現,其自身就是一個策略的執行系統。因此應用防火墻進行網絡安全保護最重要的就是配置防火墻并制定有效的安全策略。這一點不僅對于網絡管理人員適用,對于使用計算機的學生而言也是適用的。據此,本文首先討論了當前校園網絡遇到的安全問題,隨后給出了基本的適用于校園網絡的防火墻保護策略。網絡安全問題
當前,互聯網遭受攻擊已經達到了一個相當高的比例,但攻擊頻率常常難以預測的。但最近一份研究指出這一攻擊速率大概是1.5次每秒[1]。這一統計數字進一步證明了主動安全防御計劃推進的必要性,即迫切需要構建穩健而可靠的系統對外界的侵擾進行屏蔽或檢查。但盡管網絡遭受的攻擊量難以估計,這些攻擊的復雜性是可以預測的。大部分攻擊來自現成的可以很容易從互聯網上下載得到的探測器。而許多黑客事實上只是未成年學生,出于對黑客的興趣,它們通過簡單的操作使用黑客軟件攻擊那些網絡中十分脆弱的系統。許多攻擊是十分明顯的,其很容易被追蹤到攻擊源頭。這意味著當前的黑客很少害怕被控告并被法律制裁。但盡管許多攻擊都是來自業余計算機水平的愛好者,專業級別的黑客對網絡安全仍然構成了巨大的危機,其往往是處于某些商業性的目地而有意地有計劃地實施攻擊行為。因此,構建防火墻特別是針對常見的網絡安全問題制定安全策略來切實保護網絡安全至關重要。
對易遭受攻擊目標的調研指出教育和政府系統是最常被攻擊的對象。針對這一問題,美國聯邦政府已考慮將其活動獨立于當前互聯網中,而完全重新構建在虛擬專用網絡中。但對于國內外的校園網絡來說,由于其需要使學生學會應用互聯網并從互聯網中取得新知識,其不能將自身完全脫離互聯網。但另一方面,當前校園網絡對安全問題的重視性相比許多大型商業公司十分不夠,這一方面是由于網絡安全本身的復雜性,許多中小學沒有足夠的技術能力解決這一問題,另一方面是由于購買專業的防火墻產品所需要的經費不足。因此有必要探索更為合適的防火墻解決策略。防火墻實現及策略定義
2.1 防火墻配置環境
校園網絡環境與商業網絡環境的一個顯著區別是其有許多處于原始狀態的未經設置的計算機用于教學目的。學生使用的計算機往往存在許多安全漏洞,但學生在上網時往往采用最直接和簡單的方式連結到互聯網。這種缺少保護的方式和計算機環境正是黑客最喜歡攻擊的目標。由于學生往往沒有能力去快速配置其教學用計算機來獲得一個安全的使用環境。因此,減少遭受攻擊的最簡單的方式就是設置私有網絡,通過防火墻訪問互聯網。這種地址轉換方式隱藏了內部網絡的結構,同時在校園網絡公開地址不足時使用這種方式可以提供IP復用方式。同時,除了校園本身要設置中央防火墻外,內網也應架設獨立的防火墻,這將作為其第一個進入的安全過濾點。這種防火墻配置方式相比于僅僅使用中央校園防火墻來說有更高的靈活性和更強保護能力。此外,因為這種內網的防火墻級別較低,針對出現的緊急問題相比于中央防火墻而言可以進行及時快速的防御和修復。為了實現這一目標,我們將通過通過裝有Linux系統的主機上的ipchains這一包過濾軟件來進行校園網絡安全保護。這一軟件由于是內置于linux系統中的,因此完全無需額外的購買費用,只需要單獨使用一臺電腦安裝linux系統和雙網卡。
2.2 防火墻的構建
首先,校內的某個計算機教室組成的局域網要連接到互聯網中,那么可以構建一個雙宿主機型Linux包過濾防火墻。Linux主機配備用于與互聯網相連的網卡card0(具有公共網絡地址202.101.1.2)和card1用于與局域網(c類私有地址192.168.1.0)相連。Linux系統自帶有ipchains封包過濾軟件,可以通過鏈(規則列表)實現對報文的管理。鏈主要包括輸入鏈、輸出鏈、轉發鏈和用戶定義鏈[2-3]。對于從互聯網進入局域校園網的報文來說,其首先進入輸入鏈經過輸入鏈包含的規則檢查,被允許通過或拒絕通過,隨后還要經過轉發鏈和輸出鏈的檢查。同時還可以設定用戶定義鏈來插入到這些鏈之間加強檢查的力度。
2.3 防火墻配置策略
由于我們采用的是linux系統內置的ipchains包過濾軟件,對于這種類型的防火墻主要有兩種策略。第一種是首先拒絕所有報文通過,再規定可以通過的報文。第二種是先允許所有報文通過,再拒絕某些類型的報文通過。由于校園局域網主要是用于教學目的,其常用的軟件和所需的功能對于教師而言十分熟悉,因此我們選擇第一種策略。如此,鏈中包含的規則可以比較少,因此我們只要設定可以通過鏈的幾種報文。下面我們將對防火墻策略進行設置。
首先刷新輸入鏈、輸出鏈和轉發鏈即刷新所有的防火墻規則。隨后可以設置默認的防火墻規則,這里我們允許所有報文的輸入、輸出和轉發。接著設置本地環路規則,我們允許本地進程之間的報文可以任意通過。然后通過對輸入、輸出鏈指定規則防止IP欺騙報文,其設置如下:
/sbin/ipchains-A input-j DENYi card0-s 192.168.1.1/24 /sbin/ip chains-A output-j DENY-i card0-d 192.168.1.1/24 /sbin/ipchinas-A input-j DENYi card0-d 202.101.1.25/32 隨后我們禁止廣播包: /sbin/ipchains-A input-j DENYi card1-d 0.0.0.0 /sbin/ipchains-A output-j DENYi card0-s 192.168.1.1/24 /sbin/ipchains-A forward-j ACCEPT-i card0-d 192.168.1.1/24 /sbin/ipchains-A forward-j MASQ-i card1-s 192.168.1.1/24 這一功能可以隱藏局域網的IP地址,即對于來自192.168.1.1/24網絡中的所有報文流向card0的進行IP地址偽裝。并實現局域網公用一個公有地址連接互聯網的功能。通過上述步驟,便實現了基本的封包過濾防火墻設置。結論
1.校園局域網絡通過基于linux系統的ipchains防火墻連接互聯網,通過使用IP MASQ網絡地址轉換服務功能不僅隱藏了內網的地址,同時還節省了學校寶貴的IP地址資源。
2.構建雙宿主機型linux防火墻僅需一臺獨立的電腦,而無需額外購買昂貴的硬件防火墻,即可擁有具有強大功能和靈活性的封包過濾防火墻。這對于沒有很高預算的中小學校園來說十分合適。
3.合理的防火墻策略配置能夠建立起靈活而有效的網絡安全保護系統,無論從互聯網進入校園局域網的報文會被檢查,從校園網進入互聯網的報文也會被檢查。通過禁止IP欺騙、廣播包和IP MASQ功能,有效地保護了網絡的安全,實現了以防火墻為基礎對內外網之間所有進出的流量進行檢查的功能。
參考文獻
[1]趙海全, 曾祥萍.基于linux系統的校園網安全設計方案[J].電腦與信息技術, 2: 41-44.[2]沈偉峰, 陳維鈞.基于linux的防火墻的構建[J].微型電腦應用, 2001, 17(1): 11-14.[3]何海賓.基于linux包過濾的防火墻技術及應用[J].電子科技大學學報, 2004, 33(1): 75-78.
第二篇:防火墻在網絡安全中作用
防火墻在網絡安全中作用
隨著信息技術的不斷發展和防火墻技術的不斷完善,目前先進的防火墻已經能從應用層監測數據,對數據的安全性進行判別。我們稱這種防火墻為檢測性防火墻,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,能夠檢測大量來自網絡外部的攻擊。因此安裝了此種防火墻以后如果對于單純的外部網絡攻擊是無法導致內部數據泄露的。
據權威機構統計,在針對網絡系統的攻擊中導致數據泄露,有相當比例是因為來自網絡內部攻擊,或者內部系統軟件、應用軟件存在能夠入侵的漏洞導致。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。再說,網絡本省就是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。另外在對網絡管理上也會存在很大的問題,例如網絡的使用者對自己賬號密碼等私人數據管理不嚴格呆滯泄露,讓黑客有機可乘,竊取大量機密數據。這些情況才是網絡泄密真正應該注意和避免的問題。
綜上所述,如果我們需要避免網絡泄密,防火墻只是硬件上一個保障措施,但并不能完完全全的去依賴防火墻。我們還應該做好對整個系統軟件,尤其是應用軟件的安全策略。例如引入訪問控制技術。
訪問控制技術也就是通常講的認證技術。對合法用戶進行認證可以防止非法用戶獲得對信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。
1、身份認證。當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2、報文認證。主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒有被修改過。
3、訪問授權。主要是確認用戶對某資源的訪問權限。
4、數字簽名與文件加密技術
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。數字簽名是一種使用加密認證電子信息的方法其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數。數字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現。文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被
外部竊取、偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
數據傳輸加密技術。目的是對傳輸中的數據流加密,常用的方針有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端通過專用的加密軟件,采用某種加密技術對所發送文件進行加密,把明文(也即原文)加密成密文(加密后的文件,這些文件內容是一些看不懂的代碼),然后進人TCPAP數據包封裝穿過互聯網,當這些信息一旦到達目的地,將由收件人運用相應的密鑰進行解密,使密文恢復成為可讀數據明文。目前最常用的加密技術有對稱加密技術和非對稱加密技術,對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密方式就是加密和解密所用的密鑰不一樣,它有一對密鑰,稱為“公鑰”和“私鑰”兩個,這兩上密鑰必須配對使用,也就是說用公鑰加密的文件必須用相應人的私鑰才能解密,反之亦然。用非對稱加密方式進行加密的軟件目前最流行的是PGP。
總之,在防火墻配置達到一定水平以后,網絡安全上不能再去深究和依賴防火墻,真正需要我們去關注的應該是本身系統與應用程序的安全策略是否達到要求。從這方面出發與防火墻結合才能構建安全的網絡環境。
第三篇:警專防火墻技術在網絡安全中的應用
山西警官高等專科學校2011屆畢業設計
防火墻技術在計算機網絡安全中的應用
摘要
隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。正是因為安全威脅無處不在,為了解決這個問題,防火墻出現了。防火墻是網絡安全的關鍵技術,是隔離本地網絡與外界網絡之間的一道防御系統,其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境,防火墻是實施網絡安全控制的一種必要技術。
本文從防火墻的工作原理,在網絡安全中的應用、發展趨勢等方面展開論述,表明了防火墻技術在網絡安全中的重要作用。對目前計算機網絡存在的安全隱患進行了分析,闡述了我國網絡安全的現狀以及網絡安全問題產生的原因,對我國網絡安全現狀進行了系統分析,并探討了針對計算機安全隱患的防范策略。
關鍵詞 信息 網絡安全 防火墻技術 威脅
山西警官高等專科學校2011屆畢業設計
目錄
1引言?????????????????????????????????3 2我國網絡安全的現狀?????????????????????????3 2.1研究背景??????????????????????????3 2.2研究意義??????????????????????????4 2.3計算機網絡面臨的威脅???????????????????4 3防火墻的概述????????????????????????????5 3.1防火墻的概念??????????????????????????5 3.2防火墻的原理???????????????????????????6 3.3防火墻的架構??????????????????????????6 4 防火墻技術???????????????????????????????6 4.1包過濾技術????????????????????????????6 4.2代理服務技術???????????????????????????7 4.3電路層網關技術??????????????????????????8 4.4狀態檢測技術???????????????????????????8 5 防火墻各個階段的特點???????????????????????9 5.1靜態包過濾防火墻?????????????????????????9 5.2動態包過濾防火墻???????????????????????10 5.3代理應用層網關防火墻(應用層網關、代理應用層網關)???????10 5.4自適應代理防火墻????????????????????????10 6防火墻在網絡安全防范中技術的缺陷及改進???????????????10 6.1防火墻的缺陷??????????????????????????10 6.2防火墻技術的改進????????????????????????11 7防火墻的發展趨勢????????????????????????????13 全文結論?????????????????????????????????14 參考文獻?????????????????????????????????15 致謝???????????????????????????????????16
山西警官高等專科學校2011屆畢業設計
1引言
隨著Internet技術的飛速發展,網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段,它主要是用來拒絕未經授權用戶的訪問,阻止未經授權用戶存取敏感數據,同時允許合法用戶不受妨礙的訪問網絡資源。
網絡的飛速發展和普及為人們提供了發布信息、檢索信息和相互交流的場所,但同時也帶來了信息破壞、信息盜竊和信息泄漏的危險,這就是網絡的安全威脅。目前對網絡安全的危害主要是兩個方面:病毒入侵和黑客攻擊,這些危害輕則可能使計算機系統運行不正常,重則可能會給個人、企業,甚至國家帶來不可挽回的損失。因此建立網絡安全的防范機制對于網絡的安全有效運 行是十分必要的,而防火墻技術是我們應用最廣、最成熟、最重要的網絡安全設備。
2我國網絡安全的現狀
2.1研究背景
據美國聯邦調查局統計,美國每年因網絡安全早場的損失達75億美元。據美國金融時報報道,世界上平均每20分鐘就發生一次入侵國際互聯網絡的計算機安全事件,三分之一的防火墻唄突破。美國聯邦調查局計算機組負責人吉姆·塞特爾稱:給我精選10名“黑客”,組成小組,90天內,我將使美國趴下。一位計算機專家毫不夸張的說:給我一臺普通計算機、一條電話線和一個調制解調器,就可以令某個地區的網絡運行失常。
據了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國的大量網絡基礎設施和網絡應用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,同時一些負責網絡安全的工程技術人員對許多潛在的風險認識不足,缺乏必要的技術設施和相關的處理經驗,面對形勢嚴峻的現狀很
山西警官高等專科學校2011屆畢業設計
多時候都顯得力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。
隨著網絡的逐步普及,網絡安全的問題已日益突出,如同其他社會一樣互聯網也受到某些無聊之人的困擾。它關系到互聯網的進一步發展和普及,甚至關系到互聯網的生存。近年來,無論在發達國家還是在發展中國家,黑客活動越來越猖狂,他們無孔不入,對社會造成了嚴重危害,目前在互聯網上有近80%的用戶曾受到過黑客的困擾。而與此同時,更讓人不安的是互聯網上黑客和病毒的聯姻、不斷增多的黑客網站,使學習黑客技術、獲得黑客攻擊工具變得輕而易舉。這樣,就使原本十分脆弱的互聯網越發顯得不安全。
2.2研究意義
現在網絡的觀念已深入人心,越來越多的人們通過網絡來了解世界,同時他們也可以通過網絡來發布信息,與朋友進行交流和溝通展示自己以及開展電子商務等等。人們的日常生活也越來越依靠網絡進行。同時網絡攻擊也愈演愈烈,時刻威脅著用戶上網安全,網絡與信息安全已成為當今社會關注的重要問題之一。正是因為安全威脅時刻存在,為了解決這個問題,防火墻出現了。
防火墻是指隔離在本地網絡與外界網絡的一道防御系統,是這一類防御措施的總稱。應該說,在互聯網上防火墻是一種非常有效的網絡安全模式,通過它可以隔離風險區域與安全區域的鏈接,同時不會妨礙人們對風險區域的訪問,從而有效的控制用戶的上網安全。防火墻是實施網絡安全控制的一種必要技術,它是一個或一組系統組成,它在網絡之間執行訪問控制策略。實現它的實際方式各不相同,但原則上防火墻可以被認為是這樣同一種機制:阻攔不安全傳輸流,允許安全的傳輸流通過。隨著時代的發展和科技的進步,防火墻功能日益完善和強大,但面對日益增多的網絡安全威脅,防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網絡安全必不可少的工具之一。
2.3計算機網絡面臨的威脅
對于網絡安全性,可以通過甲、乙兩個用戶在計算機網絡上的通信來考慮計算機網絡面臨的威脅,主要有以下幾種情況:
(1)信息泄露 當甲通過網絡與乙進行通信時,如果不采取任何保密措施,那
山西警官高等專科學校2011屆畢業設計
么其他人就與可能偷看 到他們的通信內容。
(2)識別 對于進入計算機網絡系統的用戶,系統必須檢驗其合法性。如果不是系統的合法用戶,系統將不給予服務。因此系統要有“身份識別的功能”。
(3)假冒 甲和乙是系統的合法用戶,網絡為他們提供應有的服務。丙也想獲得這些服務,于是 丙系統發出:“我是乙”系統怎么才能識別這一服務請求不是由乙發出的。而是假冒的呢?
(4)篡改乙給甲發了如下一份文報:“請給丁匯100元錢。乙”。文報在轉發過程中經過了丙的手。丙就把“丁”改成了“丙”。
(5)惡意程序的攻擊 除了上述用戶之間通信中的信息安全問題外,網絡本身也容易遭受一些惡意程序(rogue program)的攻擊。惡意程序種類繁多,對網絡安全威脅較大主要有以下幾種:計算機病毒、計算機蠕蟲特洛伊木馬邏輯炸彈。這里所說的計算機病毒是俠義的也有人把所有的惡意程序指為計算機病毒。目前,計算機病毒被分為3大類型,即分區病毒、文件病毒和宏病毒。
人為威脅源有兩種,一種是指計算機黑客闖入用戶的網絡計算機系統,我們把他稱為外部危險;一種來自系統的內部,我們把它稱為內部危險。
(1)網絡內部危險包括一下幾個方面:設計安全過程中,沒有考慮員工和公司之間的關系。網絡安全需要花費管理人員的精力來維護和實施,造成經費的增加。網絡安全主要來自企業內部松懈的、甚至完全不存在的安全措施。用戶對限制訪問的安全策略有抵觸情緒、不遵守安全標準。
(2)外部危險,網絡外部危險包括一下幾個方面,竊取機密信息,向外部透露敏感信息,非法訪問網絡服務程序和資源,干擾網絡正常服務,故意損壞、修改和刪除數據,竊取或損壞硬件和軟件。防火墻的概述
3.1防火墻的概念
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,山西警官高等專科學校2011屆畢業設計
且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
3.2防火墻的原理
隨著網絡規模的擴大和開放性的增強,網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節點的網絡,它們可能運行著不同的操作系統,當發現了安全缺陷時,每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備,作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞DMZ外網和內部局域網的防火墻系統。
3.3防火墻的架構
防火墻產品的三代體系架構主要為:
山西警官高等專科學校2011屆畢業設計 的 IP 包,它只允許與指定的 IP 地址通信。它的作用是在可信任網絡和不可信任網絡之間有選擇地安排數據包的去向。信息過濾規則是以其所收到的數據包頭信息為基礎,包頭信息中包括 IP源地址,IP目標端地址、封裝協議類型等。當一個數據包滿足過濾規則,則允許此數據包通過,否則拒絕此包通過,起到了保護內部網絡的作用。4.1.1過濾規則
過濾規則一般包過濾規則如下:(1)過濾規則序號 FRNO(Filter rule Number),它決定過濾算法執行時過濾規則排列的 順序。(2)過濾方式(Action)包括允許(Allow)和阻止(Block)。(3)源IP地址SIP(Source IP address)。18(4)源端口SP(Source Port)。(5)目的IP地址 DIP(Destination IP address)。(6)目的端口 DP(Destination Port)。(7)協議標志 PF(Protocol Flags)。(8)最后一項是注釋(Comment)。4.1.2包過濾規則的制定過程包過濾規則的制定過程
(1)確定自己的安全需求及包過濾規則要達到的安全目標,明確什么是應該和不應該被允許的,然后制定合適的安全策略。
(2)必須正式規定允許的包類型、包字段的邏輯表達。(3)必須用防火墻支持的語法重寫表達式。4.1.3包過濾策略
包過濾路由器根據過濾規則來過濾基于標準的數據包,完成包過濾功能。這里主要從以下幾個方面來考慮包過濾策略:
(1)包過濾控制點(2)包過濾操作過程(3)包過濾規則
(4)防止不安全設計的措施(5)對特定協議包的過濾。
4.2代理服務技術
代理服務是運行在防火墻主機上的專門的應用程序,它位于內部網絡上的用戶和外部網上的服務之間,內部用戶和外部網服務彼此不能直接通信,只能分別
山西警官高等專科學校2011屆畢業設計
與代理打交道。代理負責接收外部網服務請求,再把它們轉發到具體的服務中。代理服務防火墻可以配置成允許來自內部網絡的任何連接,它也可以配置成要求用戶認證后才建立連接,為安全性提供了額外的保證,使得從內部發動攻擊的可能性大大減少。例如,一個公司決定將一個Telnet服務器作為主機,以使得遠程的管理員能夠對其執行某些特定的操作。它代理一個連接過程如下:
(1)有一個用戶通過 23端口 Telnet 到這個代理服務器上。屏蔽設備檢測這個連接的源 IP地址是否在允許的源地址列表中。如果在的話,就對該連接進行下一步的處理;如果不在的話,則拒絕該次連接。
(2)提示用戶進行身份驗證。
(3)在通過了身份驗證后,系統就會提示用戶給用戶一個系統菜單來允許用戶連接到目的主機。
(4)用戶選擇要連接的系統。
(5)如果有要求,系統會提示用戶再輸入另外的身份驗證信息。
4.3電路層網關技術
電路層網關的運行方式與代理服務器相似,它把數據包提交給應用層過濾,并只依賴19于TCP的連接。它遵循 SOCKS協議,即電路層網關的標準。它是在網絡的傳輸層實施訪問策略,是在內部網和外部網之間建立一個虛擬電路進行通信。電路層網關的工作過程如下:
(1)假設有一個用戶正在試圖和一個目的URL進行連接。
(2)該用戶所使用的客戶應用程序是將請求發到地址已被解析的代理服務器的內部上。
(3)如果需要身份驗證的話,網關就會提示用戶進行身份驗證。
(4)如果用戶通過了身份驗證的話,代理服務器就會執行一些另外的任務,然后代理服務器為目的 URL發出一個 DNS請求,接著它再用自己的源 IP 地址和目的 IP地址建立一個連接。
(5)代理服務器將 Web服務器上的應答轉發給客戶。
4.4狀態檢測技術
狀態檢測技術是包過濾技術的延伸,使用各種狀態表(state tables)來追蹤
山西警官高等專科學校2011屆畢業設計
活躍的 TCP會話。由用戶定義的訪問控制列表(ACL)決定允許建立哪些會話(session),只有與活躍會話相關聯的數據才能穿過防火墻。狀態檢測技術防火墻的工作過程如下:
(1)防火墻檢查數據包是否是一個已經建立并且正在使用的通信流的一部分。
(2)根據所使用的協議,決定對數據包的檢查程度。
(3)如果數據包和連接表的各項都不匹配,那么防火墻就會檢測數據包是否與它所配置的規則集相匹配。
(4)在數據包檢測后,防火墻就會將該數據包轉發到它的目的地址,并且防火墻會在其連接表中為此次對話創建或者更新一個連接項,防火墻將使用這個連接項對返回的數據包進行校驗。
(5)防火墻通常對 TCP包中被設置的 FIN位進行檢測或者通過使用計時器來決定何時從連接表中刪除某連接項。狀態檢測技術防火墻是對包過濾技術、電路層網關和代理服務技術的折中,它的速度和靈活性沒有包過濾機制好,但比代理服務技術好。它的應用級安全不如代理服務技術強,但又比包過濾的機制的高。這種結合是對包過濾技術和代理服務技術的折中。防火墻各個階段的特點
防火墻技術經歷了以下幾個階段:
5.1靜態包過濾防火墻
靜態包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的 IP地址號,端口號及其它的包頭信息,并根據系統管理員給定的過濾規則和準備過濾的信息包一一匹配,其中:如果信息包中存在一點與過濾規則不符合,那么這個信息包里所有的信息都會被防火墻屏蔽掉,這個信息包就不會通過防火墻。相反的,如果每條規都和過濾規則相匹配,那么信息包就允許通過。靜態包的過濾原理就是:將信息分成若干個小數據片(數據包),確認符合防火墻的包過濾規則后,把這些個小數據片按順序發送,接收到這些小數據片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態包過濾防火墻,對用戶是透
山西警官高等專科學校2011屆畢業設計
明的,它不需要用戶的用戶名和密碼就可以登錄,它的速度快,也易于維護。但由于用戶的使用記錄沒有記載,如果有不懷好意的人進行攻擊的話,我們即不能從訪問記錄中得到它的攻擊記錄,也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的,對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段:主要是攻擊者對包過濾防火墻發出一系列地址被替換成一連串順序 IP 地址的信息包,一旦有一個包通過了防火墻,那么攻擊者停止再發測試IP地址的信息包,用這個成功發送的地址來偽裝他們所發出的對內部網有攻擊性的信息。
5.2動態包過濾防火墻
靜態包過濾防火墻的缺點,動態包過濾防火墻都可以避免。它采用的規則是發展為“包狀態檢測技術”的動態設置包過濾規則。它可以根據需要動態的在過濾原則中增加或更新條目,在這點上靜態防火墻是比不上它的,它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于,它的內外網之間不存在直接的連接,一般由兩部分組成:服務器端程序和客戶端程序,其中客戶端程序通過中間節點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。
5.3代理應用層網關防火墻(應用層網關、代理應用層網關)這種防火墻被網絡安全專家認為是最安全的防火墻,主要是因為從內部發出的數據包 經過這樣的防火墻處理后,就像是源于防火墻外部網卡一樣,可以達到隱藏內部網結構的 作用。由于內外網的計算機對話機會根本沒有,從而避免了入侵者使用數據驅動類型的攻 擊方式入侵內部網。
5.4自適應代理防火墻
自適應代理技術是商業應用防火墻中實現的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優點,即保證了安全性又保持了高速度,同時它的性能也在代理防火墻的十倍以上,在一般的情況下,用戶更傾向于這種防火墻。防火墻在網絡安全防范中技術的缺陷及改進
6.1防火墻的缺陷
山西警官高等專科學校2011屆畢業設計
防火墻在網絡安全防護中起著舉足輕重的作用,但是它不是萬能的,它仍然存在有它的局限性和不足。
(1)防火墻不能防范不經過它的攻擊。
(2)防火墻不能防范來自內部網絡的攻擊。防火墻只對來自外部網絡的數據進行檢測,以保護內部網絡;而對于內部網絡中的用戶威脅,例如外來入侵者一旦進入了內部網絡,它將成為內部人員,在內部網絡中實施攻擊,而此時防火墻是無能為力的。包過濾防火墻工作在網絡層,通過對每個IP包的源地址、目的地址,傳輸協議等信息與事先設置的安全規則進行比較,如果滿足安全規則定義的IP包則通過,如果不符合安全規則定義的IP包則被排除。
(3)不能有效防范加密信息。防火墻只能識別與其數據庫中已有的特征數據匹配的信息,如果攻擊者將惡意代碼或攻擊指令轉換成其他形式隱藏起來,這種加密后的代碼,只要成功避開防火墻數據庫中的特征匹配,就能成功通過防火墻。
(4)網絡提供的服務應是便捷、靈活、可用的,但是為了較高的網絡安全性,防火墻限制和關閉了一些存在有安全隱患的網絡服務;此外,從網絡安全的角度出發,必須對網絡活動加以監控和管理,而這些是以開銷一部分的網絡資源來完成的。因此,高效的網絡服務與完全的網絡安全是矛盾的,如何找到一個合適的平衡點,防火墻的部署與設置仍是一個難題。
(5)防火墻是一種被動的防范手段,它只能對已知的網絡威脅起作用,對于新的未知的網絡攻擊防火墻是很難防范的。
(6)防火墻不能防范受到病毒感染的文件、軟件。
(7)防火墻的檢測功能是有限的。對于所有網絡和應用程序流量的檢測,需要有空前的處理能力才能保證這些任務的完成,為了獲得高性能,就必然要求使用高端硬件 就目前而言,要完成這種深度檢測仍是十分困難的。
6.2防火墻技術的改進
防火墻是不同網絡或網絡安全區域之間信息的唯一出入口,能根據既已設定的安全策略來控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。單純的
山西警官高等專科學校2011屆畢業設計
防火墻技術,就是對網絡數 據流的控制處理過程,但是這種簡單的處理方式已經遠遠不能滿足日益增長的信息安全要求。在論文中,將防火墻的概念、發展、分類與功能做一詳盡地闡述,并給出了各階段關鍵技術的研究與實現,所做主要工作、技術難點與創新處如下:
(1)防火墻的體系結構,應該是全面面向資源的結構模塊化設計,對不同對象的具體的組成資源,直接進行控制,這樣極大的提高了安全性,并保證了配置的方便性。系統按縱向結構進行層次化設計,包括表示層、執行層、中心數據庫、數據庫操縱層、數據及意外處理控制層和應用程序層;同時,系統按橫向進行了高度的功能模塊化設計,這種高智能、高度模塊化的設計,使得軟件結構極為清晰合理,極易維護和升級,并且提供了高質量,極易獲得升級服務的軟件系統。
(2)防火墻的數據流控制技術采用最先進的狀態包過濾技術。根據狀態包過濾的思路,在核心中維護一個連接鏈表,記錄著相應連接的狀態,對請求建立連接的數據包進行更細粒度的檢查,檢查通過后記錄到狀態鏈表中,從而對后續的或是關聯的數據包只需檢查其是否屬于已建立的連接,不需全部進行規則匹配,經過這樣的狀態處理機制后不僅使安全性得到加強,同時也大大提高了包轉發效率。
(3)搭建高效日志處理平臺,使之能夠處理海量的日志。大多數防火墻使用的日志框架對于處理海量日志和高效分析日志來說是空白的,因此一般都設置另外一臺單獨的日志服務器,但是優化的日志處理平臺可以處理2G以上的日志文件。
(4)網絡安全體系,應該提供可靠的檢測性和防御性的工具,以使當攻擊者試圖攻擊受防火墻設備保護的網絡時,能查明和阻擋其達到上述目的的企圖。
(5)對數據包頭分析過濾,采用正則表達式的模式匹配算法,對一些高層應用進行限制。
(6)防火墻高可用性(HighAvailable)的實現。在同一個網絡節點使用兩個配置相同的防火墻,使用直連線互通。正常情況下一個處于工作狀態,為主機(Primary),另一個處于備份狀態(Second)為從機。當主機發生意外死機、網絡故障、硬件故障等情況時,主從防火墻自動切換工作狀態,從機代替主機正常工
山西警官高等專科學校2011屆畢業設計
作,從而保證了網絡的正常使用。切換過程不需要人為操作和其它系統的參與,并且主防火墻恢復使用功能后,從防火墻自動將控制權交回主防火墻,保證網絡更安全,更高效。
7防火墻的發展趨勢
隨著計算機技術的發展,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體的應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻開發商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度來看,基于網絡處理器的防火墻也是基于軟件的解決方案。它需要很大程度上依賴于軟件的性能,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻性能好上許多。
山西警官高等專科學校2011屆畢業設計
全 文 結 論
經過兩個月的努力,終于完成了本論文,從當初領到論文題目到最后一個模塊的完成,經歷了無數次的修改總結,感覺到平時學的知識是多么的淺薄,給自己敲響了警鐘,有了努力工作的方向。
通過這次寫論文,真真切切地了解到網絡是多么的方便,遇到什么問題上網一查基本都能查到,然后經過自己的修改學習變成自己的東西,互相學習才能共同提高共同進步。
本次畢業論文是工作前一次很好的自我鍛煉和實踐的機會,是培養獨立思考問題和自學能力的鍛煉,使我意識到必須努力學習才能在工作中體現價值適應社會的需要。所以一定要好好學習。
山西警官高等專科學校2011屆畢業設計
參 考 文 獻
[1] 朱雁輝《WLNDOWS 防火墻與網絡技術》電子工業出版社 2002年4月; [2] 袁家政《計算機網絡安全與應用技術》清華大學出版社 2002年5月; [3] 胡道元《計算機網絡》清華大學出版社 1999年1月;
[4] 謝希仁《計算機網絡工程基礎》電子工業出版社 2002年5月; [5] 刑鈞《網絡安全與防火墻技術》電子科技大學出版社 2004年3月; [6] 石彥杰《計算機網絡系統集成技術》高等教育出版社 2006年2月; [7] 馬程《防火墻在網絡安全中的應用》甘肅科技 2007年4月。
山西警官高等專科學校2011屆畢業設計
致 謝
經過了兩個月的努力我完成了題目為:防火墻技術在計算機網絡安全中的應用。本次論文能夠順利完成,首先要感謝李麗蓉指導老師,她自始至終都給予我很大的幫助,對我設計的每一個計劃都提出了至關重要的建議,使我少走彎路,節省了大量時間,可以說這篇論文匯聚了指導老師大量的心血。
另外,還要感謝出版書籍的老師們,他們把這么多有用的知識編輯成書,使我能從書本中輕易地找到自己所需要的內容來完成本論文。
再一次,我向所有幫助我完成這篇論文的人表示由衷感謝。
山西警官高等專科學校2011屆畢業設計
指 導 老 師 評 語
第四篇:防火墻技術在電子商務中的應用
防火墻技術在電子商務中的應用
目 錄
目錄............................................................................(1)內容摘要.........................................................................(2)關鍵詞..........................................................................(2)正文............................................................................(2)
一、電子商務的概念及交易問題.....................................................(2)
(一)、什么是電子商務............................................................(2)(二)、電子商務的交易過程.................................................(2)
二、電子商務中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)
(二)、電子商務中的信息安全問題及威脅.....................................(4)
三、防火墻的技術與體系結構.............................................(6)
四、防火墻的簡介與使用的益處.........................................(6)
五、防火墻常用技術和性能......................................................(11)
六、結論........................................................................(14)參考文獻........................................................................(14)
淺談防火墻技術在電子商務中的應用
內容摘要:防火墻技術作為保證電子商務活動中信息安全的第一道有效屏障,受到越來越多的關注。本文介紹了電子商務的概念、電子商務的交易過程、交易過程中的信息安全問題及威脅、重點介紹了電子商務交易系統的防火墻技術,討論了建立網上安全信任機制的基礎。
關鍵詞:防火墻
電子商務
應用 正文:
一、電子商務的概念及交易問題(一)什么是電子商務
電子商務源于英文Electronic Commerce,簡寫為EC。是指一個機構利用信息和技術手段,改變其和供應商、用戶、員工、合作伙伴、管理部門的互動關系,從而使自己變成為機動響應、快速響應、有效響應的響應性機構。電子商務的核心是商務;本質上是創造更多商機、提供更好商業服務的一種電子交易智能化手段。眼下,電子商務的含義已不僅僅是單純的電子購物,電子商務以數據(包括文本、聲音和圖像)的電子處理和傳輸為基礎,包含了許多不同的活動(如商品服務的電子貿易、數字內容的在線傳輸、電子轉賬、商品拍賣、協作、在線資源利用、消費品營銷和售后服務)。它涉及產品(消費品和工業品)和服務(信息服務、財務與法律服務);它包含了使用Internet和Web技術進行的所有的商務活動。
(二)、電子商務的交易過程
企業間電子商務交易過程大致可以分為交易前準備、交易談判和簽訂合同、辦理交易前手續以及交易合同的履行和索賠四個階段。
(1)交易前的準備
買賣雙方和參與交易的雙方在這一階段所作的簽約前的準備活動。買方根據自己要買的商品,準備購貨款,制訂購貨計劃,進行貨源的市場調查和分析,反復進行市場查詢,通過交換信息來比較價格和條件,了解各個賣方國家的貿易政策,反復修改購貨計劃和進貨計劃,確定和審批購貨計劃。利用Internet和各種電子商務網絡尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃,再按計劃確定購買商品的種類、規格、數量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品,進行全面的市場調查和分析,了解各個買方國家的貿易政策,制訂各種銷售策略和銷售方式,制作廣告進行宣傳,召開商品新聞發布會,利用Internet和各種電子商務網絡發布商品廣告等手段擴大影響,尋找貿易伙伴和交易機會,擴大貿易范圍和商品所占市場的份額。
參加交易的其他各方如中介、銀行金融機構、信用卡、商檢系統、海關系統、保險、稅務系統、運輸公司等,買賣雙方都少不了要為電子商務交易做好準備。
(2)交易談判和簽訂貿易合同
買賣雙方在這一階段利用電子商務系統對所有交易細節在網上談判,將雙方磋商的結果做成文件,即以書面文件形式和電子文件形式簽訂貿易合同。交易雙方可以利用現代電子通信設備和通信方法,經過認真談判和磋商后,將雙方在交易中的權利、所承擔的義務、所購買商品的種類、數量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細的規定,合同雙方可以利用電子數據交換(EDI)進行簽約,也可以通過數字簽名等方式簽約。
(3)辦理交易進行前的手續
買賣雙方從簽訂合同到開始履行合同要辦理各種手續,這也是雙方在交易前的準備過程。交易中要涉及到有關各方,即可能要涉及到中介、銀行金融機構、信用卡、商檢系統、海關系統、保險、稅務系統、運輸公司等與交易有關的各方。買賣雙方要利用EDI與有關各方進行各種電子票據和電子單證的交換,直到辦理完一切手續、商品開始發貨為止。
(4)交易合同的履行和索賠
這一階段是從買賣雙方辦完所有各種手續之后開始,賣方要備貨、組貨,進行報關、保險、取證、信用卡等手續,然后賣方將所購商品交付給運輸公司包裝、起運、發貨。買賣雙方可以通過電子商務服務器跟蹤發出的貨物,金融機構和銀行也按照合同,處理雙方收付款、并進行結算,出具相應的銀行單據等,當買方收到所購的商品,整個交易過程就完成了。索賠是在買賣雙方交易過程中出現違約時,需要進行違約處理的工作,受損方按貿易合同有關條款向違約方進行索賠。
二、電子商務中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性
電子商務安全是一個系統概念,不僅與計算機系統結構有關,還與電子商務應用的環境、人員素質和社會因素有關。其中交易的安全又是電子商務發展的核心和關鍵問題。交易對安全性的要求有如下幾個方面:(1)有效性,因為交易對于交易雙方都是一件十分嚴肅的事情,雙方都對交易的信息認可。(2)保密性,即要求交易的信息只有交易雙方知道,第三方不能通過網絡獲得。(3)完整性,包括過程的完整和數據資料的完整。(4)交易者身份的確定性,這是信用的前提。(5)交易的不可否認性,要求在交易信息的傳輸過程中為參與交易的個人,企業和國家提供可靠的標識。數據的安全主要包括數據的完整,不受損壞,不丟失。系統運行的可靠性要求保證電子商務參與者能在交易的過程始終能與交易對象進行信息資金的交換,保證交易不得中斷。
雖然各種有效的手段可以保證電子商務的基本安全,但是層出不窮的病毒入侵和黑客攻擊使得電子商務安全仍然是一個令人頭痛的問題,那么如何加強電子商務的安全呢?
防火墻可以保證對主機和應用安全訪問,保證多種客戶機和服務器的安全性,保護關鍵部門不受到來自內部和外部的攻擊,為通過Internet與遠程訪問的雇員、客戶、供應商提供安全渠道。
與傳統商務相比,電子商務具有許多特點:
其一,電子商務是一種快速、便捷、高效的交易方式。在電子商務中,信息的傳遞通過網絡完成,速度很快,可以節省寶貴的交易時間。
其二,電子商務是在公開環境下進行的交易,其可以在全球范圍內進行交易。由于借助互聯網,這就使得經濟交易突破了空間的限制;公開環境下的信息公開,使所有的企業可以平等地參與市場競爭。
其三,在電子商務中,電子數據的傳遞、編制、發送、接收都由精密的電腦程序完成,更加精確、可靠。
(二)、電子商務中的信息安全問題及威脅
1、電子商務的安全問題。總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安 全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞 傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
(1)竊取信息。由于未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2).惡意代碼。它們將繼續對所有的網絡系統構成威脅,并且,其數量將隨著Internet 的發展和編程環境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大。
(3)篡改信息。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。這種方法并不新鮮,在路由器或網關上都可以做此類工作。
(4)假冒。由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(5)惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
2、電子商務面臨的安全威脅。根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講,對外部威脅,安全性強調防御;對內部威脅,安全性強調威懾。
(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序,它采用了獨特的設計,可以在受到某個事件觸發時,復制自身,并感染計算機。如果在病毒可以通過某個外界來源進入網絡時,網絡才會感染病毒。
(2)惡意破壞程序。網站會提供一些軟件應用的開發而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果,從而使網站更具有吸引力和互動性。惡意破壞程序是指會導致不同程度破壞的軟件應用或者 Java 小程序。
(3)攻擊。目前已經出現了各種類型的網絡攻擊,它們通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DOS)攻擊。a.探測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網絡數據,用于以后進一步攻擊網。b.訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息。c.DOS 攻擊可以防止用戶對于部分或者全部計算機系統的訪問。
(4)數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息,甚至更改被傳輸的數據分組。犯罪分子可以利用不同的方法來阻截數據。
(5)垃圾信件。垃圾信件被廣泛用于表示那些主動發出的電子郵件或者利用電子郵件廣為發送未經申請的廣告信息的行為。垃圾信件通常是無害的,但是它可能會浪費接收者的時間和存儲空間,帶來很多麻煩。
因此,隨著電子商務日益發展和普及,安全問題顯得異常突出,解決安全問題已成為我國電子商務發展的當務之急。
三、防火墻的技術與體系結構
(一)、什么是防火墻
防火墻是一個或一組在兩個網絡之間執行安全訪問控制策略的系統,包括硬件和軟件,目的是保護內部網絡資源不被可疑人侵擾,防止內部受到外部的非法攻擊。本質上,它遵從的是一種允許或阻止業務來往的網絡通信安全機制,也就是提供可控的過濾網絡通信,只允許授權的通訊。
(二)、使用防火墻的益處
(1)保護脆弱的服務
通過過濾不安全的服務,防火墻可以極大地提高網絡安全和減少子網中主機的風險。例如,防火墻可以禁止NIS、NFS服務通過,防火墻同時可以拒絕源路由和ICMP重定向封包。
(2)集中的安全管理
防火墻對企業內部網實現集中的安全管理,在防火墻定義的安全規則可以運行于整個內部網絡系統,而無須在內部網每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。
(3)控制對系統的訪問
防火墻可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,防火墻允許外部訪問特定的Mail Server和Web Server。
(4)策略執行
防火墻提供了制定和執行網絡安全策略的手段。未設置防火墻時,網絡安全取決于每臺主機的用戶。
(5)增強的保密性
使用防火墻可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Finger和DNS。防火墻可以提供統計數據,來判斷可能的攻擊和探測。并且,防火墻可以記錄和統計通過防火墻的網絡通訊,提供關于網絡使用的統計數據。
四、防火墻的簡介與使用的益處
(一)、防火墻的簡介
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻同時可以保護網絡免受基于路由的攻擊。
防火墻是為防止非法訪問或保護專用網絡而設計的一種系統。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯網用戶訪問接入互聯網的專用網絡。所有的數據在進入或離開內部網絡時都要經過防火墻,防火墻會檢查每個數據包,并且阻止那些不符合指定安全標準的數據包。
一般來說,配置防火墻是為了防止外部無權限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網絡。更復雜的防火墻能夠阻止從外部到內部的流量,但允許內網用戶更自由的與外部交流。
防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能;它們經常為管理員提供關于已處理過的流量類型和數值的摘要。這是個非常重要的“點”,因為阻止點在網絡中的作用相當于警衛保衛財產。
從理論上說,有兩種類型的防火墻:應用層防火墻和網絡層防火墻
它們的區別可能與你所想的不一致。二者的區別取決于防火墻使用的使流量從一個安全區到另一個安全區所采用的機制。國際標準化組織(ISO)開放系統互聯(OSI)模型把網絡分成七層,每一層都為上一層服務。更重要的是要認識到轉發機制所在的層次越低,防火墻的檢查就越少。
(1)應用層防火墻
應用層防火墻通常是代理服務器運行的主機,它不允許網絡之間直接的流量,并在流量通過時做詳細的記錄和檢查。由于代理應用程序只是防火墻上運行的軟件,所以可在這做大量的記錄和訪問控制。應用層防火墻可用于網絡地址轉換,是因為在應用程序有效地偽裝初始連接的來源之后流量可以從一邊進入,另一邊出去。
在某些情況下,有一個應用程序的方式可能會影響防火墻的性能,并可能會使防火墻降低透明度。早期的應用層防火墻對終端用戶不是特別透明,并且還可能需要進行一些培訓。然而,許多現代應用層防火墻是完全透明的。與網絡層防火墻相比,應用層防火墻趨于提供更細化的審計報告,實行更保守的安全模型。
(2)網絡層防火墻
這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統意義上的網絡層防火墻,因為它不能做出復雜的判斷,如數據包的發送目標和來源。現代的網絡層防火墻變得更復雜得多,并且會隨時關注通過防火墻的連接狀態的信息。
另一個重要的不同于許多網絡層防火墻的是它們可使流量直接通過,因此在使用時,你需要一個有效分配的IP地址塊,或者是專用網絡地址塊。網絡層防火墻的發展很迅速,對于用戶來說幾乎是透明的。
未來的防火墻將處于應用層防火墻和網絡層防火墻之間。網絡層防火墻可能會逐漸意識到經過它們的信息,應用層防火墻可能會變得越來越透明。最終將會是一種在數據通過時進行記錄和檢查的快速分組篩選系統。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻可以是硬件型的,所有數據都首先通過硬件芯片監測,也可以是軟件類型,軟件在電腦上運行并監控,其實硬件型也就是芯片里固化了的軟件,但是它不占用計算機CPU處理時間,可以功能作的非常強大處理速度很快,對于個人用戶來說軟件型更加方便實在。
(二)、防火墻的體系結構
防火墻對于企業網絡的防御系統來說,是一個不可缺少的基礎設施。在選擇防火墻防火墻時,我們首先考慮的就是需要一個什么結構的產品,防火墻發展到今天,很多產品已經越來越象是一個網絡安全的工具箱,工具的多少固然很重要,但系統的結構卻是一個起決定性作用的前提。因為防火墻的結構決定了這些工具的組合能力,決定了當你在某種場合需要一個系統聲稱提供的功能的時候是不是真的能夠用得上。
防火墻的基本結構可以分為包過濾和應用代理兩種。包過濾技術關注的是網絡層和傳輸層的保護,而應用代理則更關心應用層的保護。
包過濾是歷史最久遠的防火墻技術,從實現上分,又可以分為簡單包過濾和狀態檢測的包過濾兩種。
簡單包過濾是對單個包的檢查,目前絕大多數路由器產品都提供這樣的功能,所以如果你已經有邊界路由器,那么完全沒有必要購買一個簡單包過濾的防火墻產品。由于這類技術不能跟蹤TCP的狀態,所以對TCP層的控制是有漏洞的,比如當你在這樣的產品上配置了僅允許從內到外的TCP訪問時,一些以TCP應答包的形式進行的攻擊仍然可以從外部通過防火墻對內部的系統進行攻擊。簡單包過濾的產品由于其保護的不完善,在99年以前國外的防火墻市場上就已經不存在了,但是目前國內研制的產品仍然有很多采用的是這種簡單包過濾的技術,從這點上可以說,國內產品的平均技術水準至少比國外落后2到3年。
狀態檢測的包過濾利用狀態表跟蹤每一個網絡會話的狀態,對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優化技術的采用,狀態檢測包過濾的性能也明顯優于簡單包過濾產品,尤其是在一些規則復雜的大型網絡上。
順便提一下免費軟件中的包過濾技術,比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術能力的網絡管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現的原理上分析,雖然它們提供了對TCP狀態位的檢查,但是由于沒有跟蹤TCP的狀態,所以仍然是簡單包過濾。值得關注的是Linux2.4中的IP Table,從其名稱就可以看出,它在進行過濾時建立了一個用來記錄狀態信息的Table,已經具備了狀態檢測技術的基本特征。
包過濾結構的最大的優點是部署容易,對應用透明。一個產品如果保護功能十分強大,但是不能加到你的網絡中去,那么這個產品所提供的保護就毫無意義,而包過濾產品則很容易安裝到用戶所需要控制的網絡節點上,對用戶的應用系統則幾乎沒有影響。特別是近來出現的透明方式的包過濾防火墻,由于采用了網橋技術,幾乎可以部署在任何的以太網線路上,而完全不需要改動原來的拓撲結構。
包過濾的另一個優點是性能,狀態檢測包過濾是各種防火墻結構中在吞吐能力上最具優勢的結構。
但是對于防火墻產品來說,畢竟安全是首要的因素,包過濾防火墻對于網絡控制的依據仍然是IP地址和服務端口等基本的傳輸層以下的信息。對于應用層則缺少足夠的保護,而大量的網絡攻擊是利用應用系統的漏洞實現的。
應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術,最初的代表是TIS工具包,現在這個工具包也可以在網絡上免費得到,它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信,所有通信都必須經應用層的代理轉發,訪問者任何時候都不能直接與服務器建立直接的TCP連接,應用層的協議會話過程必須符合代理的安全策略的要求。針對各種應用協議的代理防火墻提供了豐富的應用層的控制能力。可以這樣說,狀態檢測包過濾規范了網絡層和傳輸層行為,而應用代理則是規范了特定的應用協議上的行為。
對于使用代理防火墻的用戶來說,在得到安全性的同時,用戶也需要付出其它的代價。代理技術的一個主要的弱點是缺乏對應用的透明性,這個缺陷幾乎可以說是天生的,因為它只有位于應用會話的中間環節,才會對會話進行控制,而幾乎所有的應用協議在設計時都不
認為中間應該有一個防火墻存在。這使得對于許多應用協議來說實現代理是相當困難的。代理防火墻通常是一組代理的集合,需要為每一個支持的應用協議實現專門的功能,所以對于使用代理防火墻的用戶來說經常遇到的問題是防火墻是不支持某個正在使用的應用協議,要么放棄防火墻,要么放棄應用。特別是在一個復雜的分布計算的網絡環境下,幾乎無法成功的部署一個代理結構的防火墻,而這種情況在企業內部網進行安全區域分割是尤其明顯。
代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統提供的socket服務接口之上,其對每個訪問實例的處理代價和資源消耗接近于Web服務器的兩倍。這使得應用代理防火墻的性能通常很難超過45Mbps的轉發速率和1000個并發訪問。對于一個繁忙的站點來說,這是很難接受的性能。
代理防火墻的技術發展遠沒有包過濾技術活躍,比較一下幾年以前的TIS和現在的代理類型的商用產品,在核心技術上幾乎沒有什么變化,變化的主要是增加了協議的種類。同時為了克服代理種類有限的局限性,很多代理防火墻同時也提供了狀態檢測包過濾的能力,當用戶遇到防火墻不能支持的應用協議時,就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結合在一起,所以混合型的產品通常更難于配置,也很難真正的結合兩者的長處。
狀態檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術,但兩種技術正在形成一種融合的趨勢,演變的結果也許會導致一種新的結構名稱的出現。我們在NetEye防火墻中以狀態檢測包過濾為基礎實現了一種我們暫時稱之為“流過濾”的結構,其基本的原理是在防火墻外部仍然是包過濾的形態,工作在鏈路層或IP層,在規則允許下,兩端可以直接的訪問,但是對于任何一個被規則允許的訪問在防火墻內部都存在兩個完全獨立的TCP會話,數據是以“流”的方式從一個會話流向另一個會話,由于防火墻的應用層策略位于流的中間,因此可以在任何時候代替服務器或客戶端參與應用層的會話,從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協議的處理中,系統可以在透明網橋的模式下實現完全的對郵件的存儲轉發,并實現豐富的對SMTP協議的各種攻擊的防范功能。
“流過濾”的另一個優勢在于性能,完全為轉發目的而重新實現的TCP協議棧相對于以自身服務為目的的操作系統中的TCP協議棧來說,消耗資源更少而且更加高效,如果你需要一個能夠支持幾千個,甚至數萬個并發訪問,同時又有相當于代理技術的應用層防護能力的系統,“流過濾”結構幾乎是唯一的選擇。
防火墻技術發展這么多年,已經成為了網絡安全中最為成熟的技術,是安全管理員手中有效的防御工具。但是防火墻本身的核心技術的進步卻從來沒有停止過,事實上,任何一個
安全產品或技術都不能提供永遠的安全,因為網絡在變化,應用在變化,入侵的手段在變化。對于防火墻來說,技術的不斷進步才是真實的保障。
五、防火墻常用技術和性能
(一)、防火墻的四種基本類型
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。
(1)、包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
(2)、網絡地址轉化—NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。
網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
(3)、代理型
代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
(4)、監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
(二)、防火墻的選擇
網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,就其產品的主流趨勢而言,大多數代理服務器(也稱應用網關)也集成了包濾技術,這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。選擇防火墻的標準有很多,但最重要的是以下幾條:(1)總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。
(2)防火墻本身是安全的。作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。
(3)管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。
(4)可擴充性。在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。
(5)防火墻的安全性。防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。
六、結論
隨著電子商務的不斷發展,安全是保證電子商務健康有序發展的關鍵因素,防火墻技術必將在網絡安全方面著發揮更加重要的作用和價值。
七、參考文獻
1、《電子商務》 翟才喜 楊敬杰主編 東北財經大學出版社 2002.2
2、《中國電子商務年鑒》2003 卷
第五篇:計算機防火墻與應用——網絡安全技術.論文
防火墻原理與應用—網絡安全技術論文
摘要
計算機網絡安全已經成為當今信息時代的關鍵技術。當前網絡安全問題存在著計算機病毒,計算機黑客攻擊等問題。網絡安全問題有其先天的脆弱性,黑客攻擊的嚴重性,網絡殺手集團性和破壞手段的多無性,解決網絡安全問題重要手段就是防火墻技術。走在中國特色的防火墻技術發展之路,是確保我國網絡安全的有效途徑之一。防火墻技術的核心思想是在不安全的網際網絡環境中構造一個相對安全的子網環境。本文重點介紹防火墻技術的基本概念和系統結構,討論了實現防火墻的兩種主要技術手段:一種是基于分組過濾技術(Packet filtering),它是代表是在應用層網關上實現的防火墻功能。
關鍵詞:網絡安全;防火墻;技術;功能 前言
隨著網絡技術的普遍推廣,電子商務的展開,實施和應用網絡安全已經不再僅僅為科學研究人員和少數黑客所涉足,日益龐大的網絡用戶群同樣需要掌握網絡安全知識。由于在早起網絡協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸是Internet自身安全受到嚴重威脅,與它有關的安全事故屢次發生,一些黑客把先進的計算機網絡技術,當成一種犯罪的工具,不僅影響到了網絡穩定運行和用戶正常使用,造成許多經濟損失,而且還會威脅到國家的安全,一些國家的機密被黑客破壞造成網絡癱瘓。如何更有效的保護重要的信息數據,極高計算機網絡安全性已經成為世界各國共同關注的話題,防火墻可以提供增強網絡的安全性,是當今網絡系統最基礎設施,側重干網絡層安全,對于從事網絡建設與管理工作而言,充分發揮防火墻的安全防護功能和網絡管理功能只管重要。
1防火墻概述
1.1在計算機法網絡中,防火墻是指一種將內部網和公眾訪問網分開的方法,它實際是一種隔離技術,它允許“可以訪問”的人和數據進入網絡,同時將“不允許訪問”的人和數據拒之門外,最大限度的阻止網絡中的和尅來訪問網絡,如果不能通過防火墻,人們就無法訪問Internet,夜無法和其他人進行通訊,它具有較強的抗攻擊能力,提供信息安全服務,實現網絡和信息安全的基礎建設。
1.2防火墻的功能 防火墻的訪問控制功能;訪問控制功能是防火墻設備的最基本功能,其作用就對經過防火墻的所有通信進行連通或阻斷的安全控制,以實現連接到防火墻的各個網段的邊界安全性,為實施訪問控制功能過濾,如電子郵件附件的文件類型可以等可以將IP與MAC地址綁定以防止盜用IP的現象發生,可以對上網時間段進行控制,不同時段執行不同的安全策略,防火墻的訪問控制采用兩種基本策略,即“黑名單”策略和“白名單”策略,指除了規則允許的訪問,其他的都是禁止的,至此一定的安全策略,過濾掉不安全服務和非法用戶,利用網絡地址轉換技術將有限的IP地址動態或靜態地址與內部IP地址對應起來,用來環節地址空間短缺的問題。可以連接到一個單獨的網絡上,在物理上與美不網絡隔離開并部署WWW服務器和FTP服務器,作為向外部外發內部信息的地點。防火墻支持用戶基于用戶身份的網絡訪問控制,不僅具有內置的用戶管理及認證接口,同時夜支持用戶進行外部身份證認證。防火墻可以根據用戶認證的情況動態地址調整安全策略實現用戶對網絡的授權訪問。1.3 防火墻技術
按照實現技術分類防火墻的基本類型有:包過濾型,代理服務器和狀態包過濾型。包過濾通常安裝在路由器上,并且大多數商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制,它在控制哪些數據包可以進出網絡哪些數據包應被網絡拒絕。包過濾是一種有效的安全手段。它在網絡層和傳輸層其作用,它根據分組數據包的源宿地址斷及協議類型,來確定是否允許分組包通過,包過濾的有點是它對用戶是透明的,處理速度快且易維護,通常作為第一道防線。
代理服務技術:代理服務系統一般安裝運行在雙宿主機上,使外部網絡無法了解內部網絡的拓展,比包過濾防火墻安全,由于安全性能較高,所以是使用較多的防火墻技術代理服務軟件運行在一臺主機上構成代理服務器,負責客戶的請求,根據安全規則判斷這個請求是否允許,如果允許才能傳給真正的防火墻。代理系統是客戶機和真實服務器之間的中介,完全控制客戶機和真實服務器之間的流量并對流量情況加以記錄,它具有靈活性和安全性,但可能影響網絡的性對多用戶的透明,且對每一個服務器都要設計一個代理模塊,建立應對的網關層實現起來比較復雜。
代理技術的優點:1提供的安全級高于包過濾型防火墻。2.代理服務型防火墻可以配置成唯一的可被外部看見的主機,以保護內部主機免收外部攻擊。3.可能強制執行用戶認證。4.代理工作在客戶機和真實服務器之間,完全控制會話,所以能提供較詳細的審計日志。1.4 防火墻系統的優點
可以對網絡安全進行集中控制和管理;防火墻將受信任的專用網與不受信任的公用網隔離開來,將承擔分險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上在機構上形成了一個控制中心,大大加強了網絡安全性,并簡化了網絡管理。由于防火墻在結構上的特殊位置,使其方便的提供了監視管理與審計網絡的使用及預警衛解決IP的地址危機提供了可行方案,防火墻系統則正處于設置網絡地址轉換MAT的最佳位置,MAT有助于緩和IP地址空間不足,并使得一個結構改變Internet服務提供商時而不必重新編址。防火墻系統可以作為Internet信息服務器的安裝地點,對外發布信息。新一代的防火墻系統不僅應該能夠更好地保護防火墻后面內部網絡的安全,而且應該具有更為優良的整體性能。傳統的代理型防火墻雖然可以提供較高級別的安全保護,但是同時它也成為限制網絡帶寬的瓶頸,這極大地制約了在網絡中的實際應用。數據通過率是表示防火墻性能的參數,由于不同防火墻的不同功能具有不同的工作量和系統資源要求,因此數據在通過防火墻時會產生延時。自然,數據通過率越高,防火墻性能越好。現在大多數的防火墻產品都支持NAT功能,它可以讓防火墻受保護的一邊的IP地址不至于暴露在沒有保護的另一邊,但是啟用NAT后勢必會對防火墻系統的性能有所影響。目前如何盡量減少這種影響也成為防火墻產品的賣點之一。另外防火墻系統中集成的VPN解決方案必須是真正的線速運行,否則將成為網絡通信的瓶頸。
1.5.防火墻系統的局限性
防火墻系統存在著如下局限性:常常需要有特殊的較為封閉的網絡拓展結構來支持,對網絡安全功能的加強往往以網絡服務的靈活性,多樣性和開放性衛代價。防火墻系統的防范對象來自外部對內部的網絡攻擊,而不能防范不經有防火墻的攻擊。比如通過SLIP和PPP的撥號攻擊,繞過了防火墻系統而直接撥號進入內部網絡,防火墻多這樣的攻擊很難防范。防火墻在技術原理上對來自內部網絡系統的安全威脅不具備防范作用。
結束語 網絡的迅速發展,給我們的工作和生活帶來了巨大的改變。在網絡日益復雜化,多樣化的今天,安全受到人們越來越多的關注。如何保護各類網絡和信息的安全,成為人們研究的焦點,其中防火墻是運用非常廣泛和效果做好的選擇。但是,防火墻技術也有它的不足之處,為了更好的維護網絡安全,還需要其他的技術相結合,以及更先進的技術發現。
參考文獻
[1]鄧亞平.計算機網絡安全[M].北京:北京人民郵電出版社.2004.50—75.[2]馮 元.計算機網絡安全基礎[M].北京:科學出版社.2004.120—150.[3]穆紅濤.Internet實用技術[M].北京:大連理工大學出版社.2005.150—198.[4]張仕斌.網絡安全技術[M].北京:清華大學出版社.2001.17—38.[5]梁亞聲.計算機網絡安全教程[M].北京:機械工業出版社.2004.110—187.致謝
大學生活一晃而過,回首走過的歲月,心中倍感充實,首先誠摯的感謝我的論文指導老師王紅衛老師。他在忙碌的教學工作中抽出時間來審查、修改我的論文。還有教過我的所有老師們,你們嚴謹細致、一絲不茍的作風一直是我工作、學習中的榜樣;他們循循循善誘的教導和不拘一格的思路給予我無盡的啟迪。
感謝大學中中陪伴在我身拜年的同學、朋友、感謝他們為我提出的有意的建議和意見,有了他們的支持、鼓勵和幫助,我才能充實的度過大學的學習生活。
點擊咨詢 