第一篇:企業內部網中防火墻的應用與發展
防火墻從原理上主要有三種技術:包過濾(Packet Filtering)技術、代理服務(Proxy Service)技術不和狀態檢測(State Inspection)技術。
3.1.1 包過濾(packet Filtering)技術
包過濾技術是一種簡單、有效的安全控制技術,它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址和TCP端口號等規則,對通過設備的數據包進行檢查,限制數據包在內部網絡的進出。由于包過濾技術要求內外通信的數據包必須通過使用這項技術的計算機,才能進行過濾,因而,包過濾技術必須用在路由器上。它通常由包過濾路由器對IP包進行選擇,允許或拒絕特定的包通過。包過濾技術具有數據包過濾對用戶透明、一個過濾路由器能協助保護整個網絡、過濾路由器速度快、效率高等優點。
包過濾技術的缺點:配置訪問控制列表比較復雜,要求網絡管理員對Interne服務有深入了解,其性能隨訪問控制列表的長度的增加而呈指數下降,沒有跟蹤記錄能力,不能從日志記錄中發現黑客的攻擊記錄,不能在用戶級別上進行過濾,即不能鑒別不同的用戶和防止IP地址盜用,只檢查地址和端口,對通過網絡應用鏈路層協議實現的威脅無防范能力,無法抵御數據驅動型攻擊不能理解特定服務的上下文環境和數據包過濾防火墻技術雖然能實現定的安全保護,但有許多優點,但是包過濾畢竟是第一代防火墻技術,本身存在較多缺陷,不能提供較高的安全性。在實際應用中,很少把包過濾技術當作單獨的安全解決力案,而是把它與其他防火墻技術結合在一起使用。
TCP/IP是一種端對端協議,每個網絡節點都具有唯一的地址。網絡節點的應用層也是這樣,處于應用層的每個應用程序和服務都具有自己的對應“地址”,也就是端口號。地址和端口都具備了才能建立客戶機和服務器的各種應用之間的有效通信聯系。比如(如圖3-4),telnet服務器在端口23偵聽入站連接。同時telnet客戶機也有一個端口號,否則客戶機的IP棧怎么知道某個數據包是屬于哪個應用程序的呢? 由于歷史的原因,幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶才可以訪問1024以下的端口,而這些端口還保留為服務器上的服務所用。所以,除非我們讓所有具有大于1023端口號的數據包進入網絡,否則各種網絡連接都沒法正常工作。
還有一種情況,你可以命令防火墻拒絕那臺PC機的信息,別人的數據包都讓過就它不行。這正是防火墻最基本的功能:根據IP地址做轉發判斷。但由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。3.2.2.2 服務器TCP/UDP 端口過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,比方說,我們不想讓用戶采用 telnet的方式連到系統,但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務器吧?所以說,在地址之外我們還要對服務器的TCP/ UDP端口進行過濾。
圖3-3 服務器的TCP/ UDP端口過濾
這對防火墻而言可就麻煩了,如果阻塞入站的全部端口,那么所有的客戶機都沒法使用網絡資源。因為服務器發出響應外部連接請求的入站(就是進入防火墻的意思)數據包都沒法經過防火墻的入站過濾。反過來,打開所有高于1023的端口就可行了嗎?也不盡然。由于很多服務使用的端口都大于1023,比如X client、基于RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那么讓達到1023端口標準的數據包都進入網絡的話網絡還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的。
圖3-4 客戶端的TCP/ UDP端口過濾 3.2.2.4 雙向過濾
現在換個思路。我們給防火墻這樣下命令:已知服務的數據包可以進來,其他的全部擋在防火墻之外。比如,如果我們知道用戶要訪問Web服務器,那就只讓具有源端口號80的數據包進入網絡:(如圖3-5)比如,(如圖3-3),默認的telnet服務連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是服務器)的telnet連接,那么我們只需命令防火墻檢查發送目標是UNIX服務器的數據包,把其中具有23目標端口號的包過濾就行了。但這樣,我們還是不能把IP地址和目標服務器TCP/UDP端口結合起來作為過濾標準來實現相當可靠的防火墻。3.2.2.3 客戶機TCP/UDP端口
第二篇:企業內部網中防火墻技術的應用于發展
企業內部網中防火墻技術的應用于發展
摘要:
隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信心和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。正是因為安全威脅的無處不在,為了解決這個問題防火墻出現了。防火墻是網絡安全的關鍵技術,是隔離在本地網絡與外界網絡之間的一道防御系統。在IT安全領域,防火墻是一個重要的角色,通常被部署在企業網絡和外部互聯網中間,來保護企業網中的計算機、應用程序和其它資源免遭外部攻擊。本文對防火墻的概念、保護對象、保護功能的實現、分類、如何選購和使用防火墻以及防火墻的發展做了簡單的概述。關鍵字:防火墻 企業內部網 應用 發展
一.防火墻的概念
防火墻(Firewall)在網絡中是一個邏輯裝置,用來保護內部的網絡不受來自Internet的侵害。嚴格意義的防火墻,就是一個或一組系統,用來在兩個或多個網絡間加強訪問控制。它的目的在于把那些不信任的網絡隔離在特定的網絡之外,但又不影響正常工作。其核心思想就是在不安全的網絡環境中構造一個相對安全的子網環境。
二.防火墻的保護對象以及如何實現保護功能
從廣義上講,防火墻保護的是企業內部網絡信息的安全,比如防止銀行服務器用戶賬號信息、政府部門的保密信息、部隊中的作戰計劃和戰略等重要信息的泄漏。從狹義上講,防火墻保護的是企業內部網絡中各個電腦的安全,防止計算機受到來自企業外部非安全網絡中的所有惡意訪問或攻擊行為。防火墻實現對內部網絡的保護功能是通過將內外網絡進行物理隔離來實現的,然后根據預先定制的安全策略控制通過防火墻的訪問行為,從而達到對企業內部網絡訪問的有效控制。防火墻通常有兩種工作模式:網橋模式和路由模式。
如果防火墻安裝在企業內網與因特網之間作為安全屏障,最好選擇路由模式,在該模式下可以使用防火墻的網絡地址轉換功能和代理功能,充分保護企業網絡免受來自互聯網的攻擊。如果需要保護同一子網上不同區域(部門)的主機,可選擇網橋模式,這時,原來的網絡拓撲結構無須做任何改變。比如,企業的財務部是企業重要部門,即使內部員工也不允許隨便訪問,因此,需要特別的保護。但企業網絡已經建成,相應改造會帶來許多工作。此時,就可以選擇防火墻的網橋工作模式,既不用改造企業網絡結構,也可以在沒有經過防火墻授權的情況下,禁止非法人員訪問財務部的主機。如此一來,起到了局部信息保密和保護的效果。
其實,對內外網之間通過防火墻的的不當訪問行為,防火墻都是非常敏感的。即使是內部員工,如果違反企業的安全策略,一樣會被防火墻及時的阻止并通告網絡管理員。比如具有MAC地址綁定功能的瑞星企業級防火墻RFW-100,它可將內網每臺主機的IP地址與該主機上網卡的物理地址進行一對一的綁定,能夠有效阻止用戶通過修改IP地址所進行的非授權訪問。此外,防火墻還支持雙向網絡地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換,使外部網絡無法了解內部網絡的結構,從而提高了內網的安全性;同時,通過源地址變換,可以節省IP地址資源(內網主機可全部使用私有地址)。瑞星企業級防火墻RFW-100允許管理員定義一個時間范圍,使該條規則只在這一時間范圍內起作用。通過這種控制機制,可以為企業提供更加靈活的配置策略,例如,可以定義規則只允許公司市場部員工和經理在任何時間訪問因特網,而其他部門員工只允許在午休時間訪問互聯網。具有這項功能不僅為企業節省了一大筆的網絡接入費,而且也提高了內網的安全防范能力 三.防火墻的分類
防火墻有很多種分類方法:依據采用的技術的不同,防火墻產品可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻;按照應用對象的不同,防火墻產品可分為企業級防火墻與個人防火墻;根據防御方式的不同,防火墻產品又可分為包過濾型(Packet Filtering)防火墻、應用級網關型(Application Level Gateway)防火墻和代理服務型(Proxy Service)防火墻。
四.如何選購和使用防火墻產品 為了提高防火墻的安全性,用戶可以將防火墻和其他安全工具相結合,例如和漏洞掃描器與IDS搭配使用。購買防火墻前應查看企業網是否安裝了漏洞掃描或IDS等其他安全產品,以及具體產品名稱和型號,然后確定所要購買的防火墻是否有聯動功能(即是否支持其他安全產品,尤其是IDS產品),支持哪些品牌和型號,是否與已有的安全產品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產品聯動的防火墻。保護網絡安全不僅僅需要防火墻一種產品,只有將多種安全產品無縫地結合起來,充分利用它們各自的優點,才能最大限度地保證網絡安全。
安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,只有保持不斷地升級與更新才能應付不斷發展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,要與廠商保持密切的聯系,時刻注視廠商的動態,時刻留心廠家發布的升級包,及時給防火墻打上最新的補丁,對它進行升級和維護,及時對防火墻進行更新。
五.防火墻的發展
沒有人懷疑防火墻在企業所有的安全設備采購中占據第一的位置。但傳統的防火墻并沒有解決網絡主要的安全問題。目前網絡安全的三大主要問題是:以拒絕訪問(DDOS)為主要目的的網絡攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題。而這三大問題,傳統的防火墻是無能為力的。原因有三,首先是傳統防火墻計算能力的限制。傳統的防火墻是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。其次是傳統防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器,不具有智能功能,無法應對復雜的攻擊。最后是傳統的防火墻無法區分識別善意和惡意的行為,該特征決定了傳統的防火墻無法解決惡意的攻擊行為。
新一代防火墻是應該加強放行數據的安全性,因為網絡安全的真實需求是既要保證安全,也必須保證應用的正常進行。新一代防火墻既有包過濾的功能,又能在應用層進行代理。較傳統的防火墻來說,具有先進的過濾和代理體系,能從數據鏈路層到應用層進行全方位安全處理,TCP/IP協議和代理的直接相互配合,使本系統的防欺騙能力和運行的健壯性都大大提高;除了訪問控制功能外,新一代的防火墻應當還集成了其它許多安全技術,如NAT和VPN、病毒防護等。
結束語:一個計算機網絡,從應用層到網絡層直至物理層都存在安全問題。防火墻只是整個網絡安全防護體系的一部分,其他的防護措施和技術,如密碼技術、訪問技術、權限管理、病毒防治等,對網絡安全都相當重要,也只有運用先進認證技術,并在網絡層上實施統一的端對端的數據流加密技術,同時結合防火墻技術進行必要的內容檢測、攻擊檢測,以及再結合其他一些手段,才能真正解決內部網絡的安全問題,并最終提供一套一體化的解決方案。
雖然防火墻在保護網絡的安全上起著重要的作用,但并非有了防火墻就可以高枕無憂。防火墻需要經常性的動態維護,并隨時關注網絡安全的新問題、新動向,及時采取相應的預防措施,最大限度地保障網絡的安全。
防火墻安全測試技術、測試工具和軟件都在不斷發展,并越來越受到人們的重視。但是,日前由于測試水平及測試手段的限制,很難證明防火墻的安全保護能力是否滿足安全政策的需要。
未來防火墻技術會在全面考慮“網絡的安全”、“操作系統的安全”、“應用程序的安全”、“用戶的安全”和“數據的安全”的基礎上,將它們結合起來,成為一種更新的信息安全產品。企業網絡安全是一個永遠說不完的話題,今天企業網絡安全已被提到重要的議事日程。一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點,把握住企業網絡安全的大門,從而確保企業的順利成長。
第三篇:軌道交通企業內部網OA的應用介紹[范文]
摘 要 隨著我國信息化建設的速度加快,計算機信息技術在企業內得到了充分的應用。天津濱海快速交通發展有限公司為解決辦公條件與環境,提高員工的辦公質量和工作效率的問題,在公司內全面推進oa系統,使公司的管理走上規范化、科學化、網絡化的臺階。這極大地推進了城市軌道交通有限公司事業的發展。企業結合公司的文化,開發制定出具有企業特色的oa系統平臺,該系統的應用梳理了辦公流程,提高了分散辦公的公文流轉速度,給公司的管理帶來了明顯的效益,并提升了公司的形象。本文主要介紹了項目背景優勢、系統應用及意義。
關鍵詞 軌道交通 企業內部網 oa
一、oa辦公系統
(一)oa辦公系統的介紹
近年來,隨著網絡技術的迅速發展和普及,通過利用先進的網絡資訊技術實現辦公自動化的解決方法被稱為網絡辦公自動化解決方案。下文簡稱oa系統。
oa辦公自動化,oa是office automation的簡寫,是利用電腦進行全自動的辦公模式,目的是提高工作效率。日常工作的所有內容都可以歸入oa處理的范疇,如文字處理、文件謄寫、傳真、申請審批、辦公用品、公文管理、會議管理、資料管理……這些都是日常辦公工作的處理范圍。從廣義的角度講,提高日常工作效率的軟硬件系統包括打印機、復印機以及辦公軟件,這些都可以成為oa系統的一部分。從狹義的角度講,oa系統是處理組織內部的事務性工作,也是輔助管理,提高辦公效率和管理手段的系統。
(二)oa辦公系統的優勢
首先,它能極大地提高工作效率,節省公司的運營成本,包括時間和紙張。它也使傳遞信息的速度加快,突破時間和空間限制,辦公不再受時間和地點的約束,可以實現移動辦公。工作人員不用拿著各種文件、申請單、單據在各部門跑來跑去,等候審批、簽字、蓋章,這些都可在網絡上進行,尤其適合辦公地點分散的企業。其次,規范單位管理,把一些彈性太大不夠規范的工作流程變得井然有序,如公文會簽,計劃日志,用款報銷等工作的審批都可在網上進行。第三,可以提高企業的競爭力和凝聚力,這讓員工與上級的溝通很方便,反饋信息會很暢通,為發揮員工的智慧和積極性提供了舞臺。無疑將大大增強企事業單位內部的凝聚力。第四,決策變得迅速科學,高層決策不再是不了解情況,在缺乏數據的環境下拍腦袋的事,而是以數據和真相為依據做出的科學的決策。
二、oa辦公系統的應用
針對濱海快速交通發展有限公司辦公業務地點分散,報送紙板公文和傳真不便的背景,制定出符合企業需求的濱海快速智能辦公系統。oa的運行不僅提高個人的辦公效率,更重要的是可以實現群體信息的交流,實現信息快捷交換和高集成度的工作協同,節約了企業的成本、提高了工作效率。
(一)系統模塊組成
第一,個人事務處理系統。其包含待辦事項、電子郵件、個人文檔、個人通訊錄以及日程安排。第二,日常辦公系統。作為日常公文的主要應用模塊,實現了電子審批發放公文、請示。其包括了文件發放管理、文件接收管理、報告請示公文管理、領導監督、通知管理、會議管理以及檔案管理。第三,資源管理。這一項中包含信息摘要、信息共享、法律法規、會議室、文件庫和資料庫。第四,輔助模塊管理。包含基本的物品管理、用車管理、圖書管理、值班管理、接待管理和資產管理。第五,系統管理。這一模塊是辦公自動化系統中最后一項,其包含的是更多的管理。例如,用戶管理、部門管理、授權管理、備份管理等。以上五個模塊主要構成成了計算機網絡辦公自動化系統,其功能要比傳統的現代化辦公系統強大得多。
通過定制模塊功能可以實現將信息采集、查詢、統計等功能與具體業務密切關聯的目標,高管只需點擊按鈕就可以得到想要的結果,從而極大或極快地方便了公司的管理和決策。
(二)門戶應用
豐富的門戶應用,通過單點登陸、信息整合、流程整合、應用整合等門戶技術為用戶提供一站式的統一登陸,一站式的信息集成,一站式的流程審批,一站式的應用整合。企業能夠自主規劃和量身定制各類知識管理體系,進行分布式管理與擴展式應用。基于配置的應用集成中間件,通過配置便可與各種業務系統集成,實現賬戶、信息、流程、應用等的集成整合。
三、oa辦公系統技術支持介紹
(一)技術集成
報表定義可定義多種類型的報表。例如,數值報表、分組報表、交叉報表、圖形報表等。基于配置的應用集成中間件,通過配置便可與各種業務系統集成,實現賬戶、信息、流程、應用等的集成整合。它支持各種主流數據庫,包括db2、oracle、sybase、ms sql等。
(二)自定義技術
oa系統可以自定義公文格式與工作表格,讓用戶可以根據自己的需求進行自我設計,這不但簡化了系統的維護,還擺脫了對開發商的依賴,提升了系統的通用性,這一特性賦予了辦公自動化系統更加頑強的生命力。系統的修改編輯界面也直接與office辦公軟件相連接,突出了系統的通用性。全b/s結構的圖形化工作流,流程的設計和管理形象直觀,簡單易用。強大的流程嵌套可以方便地把龐大、復雜的流程分解成相對獨立的邏輯清晰而易管理的可復用的多個子流程。
(三)安全機制
四、oa辦公系統的意義
(一)建立發布信息的平臺
在內部建立一個有效的發布和交流信息的場所。例如,電子公告、電子論壇、電子刊物,使內部的規章制度、新聞簡報、技術交流、公告事項等能夠在企業或機關內部員工之間得到廣泛的傳播,使員工能夠了解單位的發展動態。
(二)實現工作流程的自動化
這牽涉到流轉過程的實時監控、跟蹤,解決多崗位、多部門之間的協同工作問題,從而實現高效率的協作。各個單位都存在著大量的流程化的工作。例如,公文的處理、收發文、各種審批、請示、匯報等都是流程化的工作,通過實現工作流程的自動化就可以規范工作,提高單位協同工作的效率。
(三)實現文檔管理的自動化
第四篇:防火墻技術在企業財務管理系統中的應用
防火墻技術在企業財務管理系統中的應用
2010-06-10 09:02:02 作者:韓曉 來源:萬方數據 分享 | 摘要: 目前企業局域網上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網中存在的眾多隱患,企業必須實施了安全防御措施。主要包括防火墻技術,數據 關鍵詞: 防火墻企業防火墻防火墻功能信息安全代理服務器
目前企業局域網上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網中存在的眾多隱患,企業必須實施了安全防御措施。主要包括防火墻技術,數據加密技術、認證技術等,其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統中的應用進行較為深入的探討。
1、防火墻技術
1.1防火墻的基本概念
防火墻是保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻是用來防止外部網上的各類危險程序傳播到某個受保護網內,財務上主要用于保護計算機和服務器不受攻擊。確保數據安全。從邏輯上講,防火墻是分離器,限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是1組硬件設備(路由器、主機)和軟件的多種組合,而從本質上看防火墻是1種保護裝置,用來保護網絡數據、資源和用戶的聲譽,從技術上來說,網絡防火墻是1種訪問控制技術,在某個機構的網絡和不安壘的網絡之間設置障礙,阻止對信息資源的非法訪問,所以防火墻是一道門檻,控制進出2個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵。
1.2防火墻的工作原理
防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻的數據流,只允許授權的數據通過,同時記錄有關的鏈接來源,服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤。
1.3防火墻的功能
防火墻主要有以下四種功能:(1)能夠防止非法用戶進入內部網絡;(2)可以很方便地監視網絡的安全性,并報警;(3)可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來。用來緩解地址空間短缺的問題;(4)可以連接到1個單獨的網段上,從物理上和內部網段隔開,并在此部署www.tmdps.cn)原創之作品(文字、圖片、圖表),轉載請務必注明出處,違者本網將依法追究責任。
第五篇:淺談辦公網絡中防火墻的應用
淺談辦公網絡中防火墻的應用
作者:未知 文章來源:網絡 點擊數:80 更新時間:2008-6-23 發表文章 全站搜索 收藏本文 QQ書簽 百度收藏
摘要: 隨著時代的發展,Internet日益普及,網絡已經成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網絡,經常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網絡數據和文件丟失,系統癱瘓。因此,計算機網絡系統安全問題必須放在首位。本文就辦公網絡中應用最多的防火墻技術做了探討。
關鍵字:計算機網絡; 網絡安全;
防火墻技術
一、前言
企業內部辦公自動化網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet,它具有開放性,因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果,給正常的企業經營活動造成極大的負面影響。因此企業需要一個更安全的辦公自動化網絡系統。
目前企業內部辦公網絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數據監聽等,在這眾多的安全隱患中要數黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業網絡中應該以防范黑客和病毒為首。
針對企業辦公網絡存在的眾多隱患,各個企業也實施了安全防御措施,其中包括防火墻技術、數據加密技術、認證技術、PKI技術等,但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業辦公中的應用給予探討,希望能給廣大企業辦公網絡安全建設帶來一定幫助。
二、防火墻技術概述
1.防火墻的基本概念
防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻,在這里引申為保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻服務的原理與其類似,它用來防止外部網上的各類危險傳播到某個受保護網內。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是一組硬件設備(路由器、主機)和軟件的多種組合;而從本質上來說防火墻是一種保護裝置,用來保護網絡數據、資源和用戶的聲譽;從技術上來說,網絡防火墻是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,換句話說,防火墻是一道門檻,控制進/出兩個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵,如安全網絡可能是企業的內部網絡,不安全網絡是因特網,當然,防火墻不只是用于某個網絡與因特網的隔離,也可用于企業內部網絡中的部門網絡之間的隔離。
2.防火墻的工作原理
防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻的數據流,只允許授權的數據通過,同時記錄有關的聯接來源、服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤,并且防火墻本身也必須能夠免于滲透。
3.防火墻的功能
一般來說,防火墻具有以下幾種功能: ①能夠防止非法用戶進入內部網絡。
②可以很方便地監視網絡的安全性,并報警。
③可以作為部署 NAT(Network Address Translation,網絡地址變換)的地點,利用 NAT 技術,將有限的 IP 地址動態或靜態地與內部的 IP 地址對應起來,用來緩解地址空間短缺的問題。
④可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署 WWW服務器和 FTP 服務器,將其作為向外部發布內部信息的地點。從技術角度來講,就是所謂的停火區(DMZ)。
4.防火墻的分類
①包過濾型防火墻,又稱篩選路由器(Screening router)或網絡層防火墻(Network level firewall),它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制,根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協議類型和數據包中的各種標志等為參數,與用戶預定的訪問控制表進行比較,決定數據是否符合預先制定的安全策略,決定數據包的轉發或丟棄,即實施過濾。
②代理服務器型防火墻
代理服務器型防火墻通過在主機上運行代理的服務程序,直接對特定的應用層進行服務,因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程,它代替網絡用戶完成特定的TCP/IP功能。一個代理服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。
③復合型防火墻
由于對更高安全性的要求,通常把數據包過濾和代理服務系統的功能和特點綜合起來,構成復合型防火墻系統。所用主機稱為堡壘主機,負責代理服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或代理服務器型防火墻,而是將各種安全技術結合起來,形成一個混合的多級防火墻,以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態包過濾;②內核透明技術;③用戶認證機制;④內容和策略感知能力:⑤內部信息隱藏;⑥智能日志、審計和實時報警;⑦防火墻的交互操作性等。
三、辦公網絡防火墻的設計
1.防火墻的系統總體設計思想
1.1設計防火墻系統的拓撲結構
在確定防火墻系統的拓撲結構時,首先必須確定被保護網絡的安全級別。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統的拓撲結構。
1.2制定網絡安全策略
在實現過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流,逐一完成每一項許可的服務;第二條策略是允許一切沒有被禁止的服務,防火墻轉發所有的信息,逐項刪除被禁止的服務。
1.3確定包過濾規則
包過濾規則是以處理IP包頭信息為基礎,設計在包過濾規則時,一般先組織好包過濾規則,然后再進行具體設置。
1.4設計代理服務
代理服務器接受外部網絡節點提出的服務請求,如果此請求被接受,代理服務器再建立與實服務器的連接。由于它作用于應用層,故可利用各種安全技術,如身份驗證、日志登錄、審計跟蹤、密碼技術等,來加強網絡安全性,解決包過濾所不能解決的問題。1.5 嚴格定義功能模塊,分散實現
防火墻由各種功能模塊組成,如包過濾器、代理服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現,功能分散減少了實現的難度,增加了可靠程度。
1.6防火墻維護和管理方案的考慮
防火墻的日常維護是對訪問記錄進行審計,發現入侵和非法訪問情況。據此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據網絡拓撲結構的改變或安全策略的變化,對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能,以保證網絡極其信息的安全性。
2.一種典型防火墻設計實例——數據包防火墻設計
數據包過濾防火墻工作于DOD(Department of Defense)模型的網絡層,其技術核心是對是流經防火墻每個數據包進行行審查,分析其包頭中所包含的源地址、目的地址、封裝協議(TCP,UDP、ICMP,IP Tunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統預先設定的安全策略相匹配,以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用,這一過程就稱為數據包過濾。
本例中網絡環境為:內部網絡使用的網段為192.168.1.0,eth0為防火墻與Internet接口的網卡,eth1為防火墻與內部網絡接口的網卡。
數據包過濾規則的設計如下:
2.1與服務有關的安全檢查規則
這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸.這類服務包括WWW,FTP,Telnet,SMTP等.我們以WWW包過濾為例,來分析這類數據包過濾的實現.WWW數據包采用TCP或UDP協議,其端口為80,設置安全規則為允許內部網絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內部網部的WWW服務器,(假定其IP地址為192.168.1.11)。
要實現上述WWW安全規則,設置WWW數據包過濾為,在防火eth0端僅允許目的地址為內部網絡WWW服務器地址數據包通過,而在防火墻eth 1端允許所有來自內部網絡WWW數據包通過。
#Define HTTP packets
#允許Internet客戶的WWW包訪問WWW服務器
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.1.11/32 www-i eth0 –j ACCEPT
/sbin/ipchains-A input-p tcp-s 0.0.0.0/fl 1024:-d 192.168.1.11132 www-i eth0 –j ACCEPT
#允許WWW服務器回應Internet客戶的WWW訪問請求
/sbin/ipchains-A input-ptcp-s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT
/sbin/ipchains-A input-p udp-s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT
顯然,設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。
與此相似,我們可以建立起與FTP,Telnet,SMTP等服務有關的數據包檢查規則;
2.2與服務無關的安全檢查規則
這類安全規則是通過對路由表、數據包的特定IP選項和特定段等內容的檢查來實現的,主要有以下幾點:
①數據包完整性檢查(Tiny Fragment):安全規則為拒絕不完整數據包進人Ipchains本身并不具備碎片過濾功能,實現完整性檢查的方法是利用REDHAT,在編譯其內核時設定IP ; always defrayments set to‘y’。REDHAT檢查進人的數據包的完整性,合并片段而拋棄碎片。②源地址IP(Source IP Address Spoofing)欺騙:安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機,以期能滲透到內部網絡中.要實現這一安全規則,設置拒絕數據包過濾規則為,在防火墻eth0端拒絕1P源地址為內部網絡地址的數據包通過。
③源路由(Source Routing)欺騙:安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息,實現的方法也是借助REDHAT的路由功能,拒絕來自外部的包含源路由選項的數據包。
總之,放火墻優點眾多,但也并非萬無一失。所以,安全人員在設定防火墻后千萬不可麻痹大意,而應居安思危,將防火墻與其他安全防御技術配合使用,才能達到應有的效果。
參考文獻:
[1]張 曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統應用, 1999
[2]王麗艷.淺談防火墻技術與防火墻系統設計.遼寧工學院學報.2001 [3]郭偉.數據包過濾技術與防火墻的設計.江漢大學學報.2001
[4]Anthony Northup.NT Network Plumbing: Routers, Proxies, and Web Services [M].New York: IDG Books Worldwide, 1998.[5](美)Chris Hare Karanjit Siyan.Internet防火墻與網絡安全.北京:機械工業出版社,1998
點擊咨詢 