第一篇:防火墻技術(shù)報(bào)告
《網(wǎng)絡(luò)與信息安全技術(shù)》
防火墻技術(shù)淺談
班 級(jí):
11計(jì)算機(jī)科學(xué)與技術(shù)3班
學(xué) 號(hào):
2011404010306
姓 名: 王 志 成 分 數(shù):
2013年12月12日
防火墻技術(shù)淺談
摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,全球上網(wǎng)的人數(shù)在不斷地增大,網(wǎng)上的資源也不斷地增加,網(wǎng)絡(luò)的開放性、共享性、互連程度也隨之不斷擴(kuò)大。然而,因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來了極大方便的同時(shí),因特網(wǎng)本身也正遭遇著前所未有的威脅。所以,網(wǎng)絡(luò)的安全問題也越來越成為人們現(xiàn)在考慮的十分重視的問題。
本文主要介紹討論了防火墻的定義、特點(diǎn)、基本功能,數(shù)據(jù)包頭分析后與過濾規(guī)則的匹配、對(duì)數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫的存儲(chǔ)。關(guān)鍵詞:防火墻技術(shù) 數(shù)據(jù)包過濾 數(shù)據(jù)庫
引言
網(wǎng)絡(luò)的安全問題正越來越成為人們現(xiàn)在十分重視的問題。如何使用有效、可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)已越來越受到人們的關(guān)注。而如何實(shí)施防范策略,首先取決于當(dāng)前系統(tǒng)的安全性。對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估也是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一 種技術(shù),其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù),判斷系統(tǒng)的安全等級(jí),實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:非授權(quán)訪問,冒充合法用戶,破壞數(shù)據(jù)完整性,干擾系統(tǒng)的安全等級(jí);其中,對(duì)網(wǎng)絡(luò)安全的威脅表現(xiàn)在:非授權(quán)訪問,冒充合法用戶,破壞數(shù)據(jù)完整性,干擾正常運(yùn)行,利用網(wǎng)絡(luò)傳播病毒,線路竊聽等方面,實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以及對(duì)風(fēng)險(xiǎn)的防范,為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。
1.防火墻概述
1.1防火墻的定義
所謂“防火墻”,是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行說控制策略的一個(gè)或一組系統(tǒng),包括硬伯和軟件,目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。它是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的
封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。
(2)防火墻的基本功能
? 防火墻能夠強(qiáng)化安全策略
因?yàn)橐蛱鼐W(wǎng)上每天都有上百萬人瀏覽信息、交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過。? 防火墻能有效地記錄因特網(wǎng)上的活動(dòng)
因?yàn)樗羞M(jìn)出信息都必須通過防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn),防火墻記錄著被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行的所有事件。
? 防火墻限制暴露用戶點(diǎn)
防火墻駒用來隔開網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣,就能夠有效控制影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。
? 防火墻是一個(gè)安全策略的檢查站
所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻,防火墻便成為一個(gè)安全檢查點(diǎn),使可疑的訪問被拒絕于門外。
1.3.防火墻的體系結(jié)構(gòu)
目前,防火墻的體系結(jié)構(gòu)一般有3種:雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過濾體系結(jié)構(gòu)和子網(wǎng)過濾體系結(jié)構(gòu)。
(1)雙重宿主主機(jī)體系結(jié)構(gòu)
雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口,這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器,并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信,同時(shí)防火墻
分布式防火墻的優(yōu)勢:
(1)增強(qiáng)了系統(tǒng)安全性:增加了針對(duì)主機(jī)的入侵檢測和防護(hù)功能,加強(qiáng)了對(duì)來自內(nèi)部攻擊防范,可以實(shí)施全方位的安全策略。
(2)提高了系統(tǒng)性能:消除了結(jié)構(gòu)性瓶頸問題,提高了系統(tǒng)性能。
(3)系統(tǒng)的擴(kuò)展性:分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。(4)實(shí)施主機(jī)策略:對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。(5)應(yīng)用更為廣泛,支持VPN通信。
3.數(shù)據(jù)包過濾處理原理分析
防火墻技術(shù)其實(shí)是基于對(duì)工作在網(wǎng)絡(luò)層中的數(shù)據(jù)包的過濾,數(shù)據(jù)包的過濾原理要遵揗一些過濾規(guī)則:(1)過濾規(guī)則
本系統(tǒng)采用的默認(rèn)過濾規(guī)則是:默認(rèn)接收所有的進(jìn)入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進(jìn)出包。當(dāng)要有選擇地接收數(shù)據(jù)包時(shí),本地的過濾規(guī)則需要進(jìn)行相應(yīng)的設(shè)置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內(nèi)的一主機(jī)的IP地址)的主機(jī)與本地主機(jī)通信,在用戶相應(yīng)的選項(xiàng)卡中,填上這一I地址就是表示拒絕此IP地址主機(jī)向本機(jī)發(fā)出的所有數(shù)據(jù)包,這就是數(shù)據(jù)包的IP 過濾功能。
當(dāng)然也要實(shí)現(xiàn)端口的過濾功能。比如:想禁止某一服務(wù)的業(yè)務(wù)功能,就可以在相應(yīng)的IP 號(hào)下同時(shí)設(shè)置端口號(hào),就是表示對(duì)任一用戶的這一服務(wù)被禁止。其實(shí),這只能對(duì)某一些常用的端口號(hào)進(jìn)行過濾,如:對(duì)HTTP(端口80)進(jìn)行過濾,就是禁止外部用戶通過防火墻訪問內(nèi)部HTTP 服務(wù)器;對(duì)FTP(端口20,21)進(jìn)行過濾,就是禁止外部主機(jī)通過防火墻訪問內(nèi)部FTP服務(wù)器。
數(shù)據(jù)處理模塊用到的過濾規(guī)則將在用戶界面中直接對(duì)規(guī)則數(shù)據(jù)庫操作進(jìn)而來設(shè)置要過濾的規(guī)則,而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫中直接調(diào)用。因此,過濾規(guī)則是在數(shù)據(jù)庫中定義,由用戶在數(shù)據(jù)庫操作界面上輸入的,供底層應(yīng)用程序調(diào)用。
外部命令,在C語言中可以用execlp()這一函數(shù)來執(zhí)行外部命令。(4)存入日志數(shù)據(jù)庫
對(duì)數(shù)據(jù)包頭分析處理后,可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數(shù)據(jù)庫的連接與上文所說的一樣,因此,此處存入的是被拒絕的數(shù)據(jù)包頭信息。
5.結(jié)束語
防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種用來拒絕未經(jīng)授權(quán)用戶的訪問,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源的主要手段。如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題,比如防火墻雖然能對(duì)來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù),但對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需要有其它技術(shù)和非技術(shù)因素的考慮,如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。
參考文獻(xiàn):
1)袁津生 吳硯農(nóng) 《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》 北京:人民郵電出版社 2013 2)黎連業(yè),張維,防火墻及其應(yīng)用技術(shù),清華大學(xué)出版社.2004 3)程代偉,網(wǎng)絡(luò)安全完全手冊(cè),電子工業(yè)出版社.2006 4)李濤,網(wǎng)絡(luò)安全概論,電子工業(yè)出版社.2004
第二篇:防火墻技術(shù)實(shí)訓(xùn)報(bào)告
XXXXXXXXX學(xué)校
防火墻技術(shù)課程設(shè)計(jì)總結(jié)報(bào)告
課程: 班級(jí): 姓名: 學(xué)號(hào): 指導(dǎo)老師: 實(shí)訓(xùn)地點(diǎn): 成績:
目錄:
1.windows 2003防火墻的配置;
2.天網(wǎng)防火墻的配置及其測試;
3.ISA企業(yè)級(jí)防火墻(2006版)的配置
4.基于網(wǎng)絡(luò)設(shè)備類型X86平臺(tái)的硬件防火墻的結(jié)構(gòu)以及工作原理。
一、windows 2003防火墻的配置:
1.在server 2003 中啟用防火墻服務(wù):
2.打開‘Windows 防火墻’ 屬性窗口,在常規(guī)對(duì)話框中選擇‘啟用’并勾選‘不允許例外’:
3.點(diǎn)擊‘例外’屬性,在選擇按鈕中點(diǎn)擊‘添加程序’:
4.在彈出的二級(jí)對(duì)話框中點(diǎn)擊‘瀏覽’按鈕:
5.在彈出的三級(jí)對(duì)話框中選中在啟用防火墻的情況下不允許例外放行的程序,點(diǎn)擊‘打開’按鈕,確定后完成此步驟的操作:
6.下一步開始設(shè)置防火墻的高級(jí)選項(xiàng),在勾選對(duì)話框中的‘本地連接’后單擊‘設(shè)置’按鈕:
7.進(jìn)入‘服務(wù)’屬性選項(xiàng)卡,勾選在啟用防火墻的情況下允許運(yùn)行在本地連接上的網(wǎng)絡(luò)服務(wù): 8.選擇‘ICMP’屬性,選擇來自Internet的此計(jì)算機(jī)將要響應(yīng)的信息請(qǐng)求類型:
windows 2003防火墻的配置完成。
二、天網(wǎng)防火墻的配置及其測試:
1.在系統(tǒng)設(shè)置中勾選‘開機(jī)后自動(dòng)啟用防火墻’選項(xiàng)以及設(shè)定局域網(wǎng)的地址:
2.在‘管理權(quán)限設(shè)置’屬性選項(xiàng)卡中點(diǎn)擊‘設(shè)置密碼’按鈕,設(shè)定密碼后點(diǎn)擊‘確定’:
3.在‘日志管理’屬性選項(xiàng)卡中勾選‘自動(dòng)保存日志’并選擇保存路徑:
4.在‘入侵檢測設(shè)置’屬性選項(xiàng)卡中,勾選‘啟用入侵檢測功能’并設(shè)置‘默認(rèn)靜默時(shí)間’:
5.在‘應(yīng)用程序規(guī)則’設(shè)置中添加已安裝的應(yīng)用程序的網(wǎng)絡(luò)訪問規(guī)則,具體設(shè)置如下:
6.在‘IP規(guī)則管理’屬性設(shè)置中,增加必要的IP規(guī)則對(duì)外部網(wǎng)絡(luò)所進(jìn)行的訪問進(jìn)行必要的監(jiān)控,具體設(shè)置如下所示: 7.在天網(wǎng)防火墻系統(tǒng)中,應(yīng)用程序網(wǎng)絡(luò)使用狀態(tài)部分顯示界面截圖:
8.針對(duì)其他網(wǎng)絡(luò)訪問內(nèi)網(wǎng)的IP規(guī)則測試:
三、ISA企業(yè)級(jí)防火墻(2006版)的配置:
1、打開ISA服務(wù)器管理,會(huì)看到已經(jīng)創(chuàng)建好的陣列,點(diǎn)擊陣列名稱——配置會(huì)看到網(wǎng)絡(luò)選項(xiàng),郵件單擊,選擇啟動(dòng)網(wǎng)絡(luò)負(fù)載平衡集成:
2、點(diǎn)擊后會(huì)彈出網(wǎng)絡(luò)負(fù)責(zé)平衡集成向?qū)Вc(diǎn)擊下一步:
3、選擇啟用負(fù)載均衡的網(wǎng)絡(luò),我們選擇內(nèi)部:
4、點(diǎn)擊完成,配置好負(fù)載均衡:
5、字防火墻策略中,右鍵單擊——選擇新建——訪問規(guī)則:
6、打開想到后,添加訪問規(guī)則的名稱(名字要比較容易理解,避免以后規(guī)則過多混亂):
7、選擇允許,點(diǎn)擊下一步:
8、此處選擇所選協(xié)議,單擊添加:
9、選擇需要允許通過的協(xié)議,點(diǎn)擊確定:
10、確定協(xié)議后,點(diǎn)擊下一步:
11、添加源網(wǎng)絡(luò):
12、選擇目標(biāo)網(wǎng)絡(luò):
13、單擊添加選擇賬戶類型點(diǎn)擊下一步:
14、創(chuàng)建好后,點(diǎn)擊完成:
15、點(diǎn)擊陣列——網(wǎng)絡(luò)——雙擊內(nèi)部打開屬性 :
16、在web代理處,選擇“為此網(wǎng)絡(luò)啟用web代理客戶端連接”并設(shè)置代理端口;點(diǎn)擊身份驗(yàn)證配置身份驗(yàn)證方法:
17、選擇身份驗(yàn)證為“集成”,也就是通過AD域驗(yàn)證的方式,點(diǎn)擊確定:
18、配置好ISA服務(wù)器后,在左上角可以看到“應(yīng)用”:
19、應(yīng)用后,選擇“保存更改并重啟服務(wù)”:
20、保存完成后,5分鐘左右配置生效:
四、基于網(wǎng)絡(luò)設(shè)備類型X86平臺(tái)的硬件防火墻的結(jié)構(gòu)以及工作原理:
防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu),分別如下:
通用CPU架構(gòu):
通用CPU架構(gòu)最常見的是基于Intel X86架構(gòu)的防火墻,在百兆防火墻中Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞;由于采用了PCI總線接口,Intel X86架構(gòu)的硬件雖然理論上能達(dá)到2Gbps的吞吐量甚至更高,但是在實(shí)際應(yīng)用中,尤其是在小包情況下,遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱性能,通用CPU的處理能力也很有限。國內(nèi)安全設(shè)備主要采用的就是基于X86的通用CPU架構(gòu)。ASIC架構(gòu):
ASIC(Application Specific Integrated Circuit,專用集成電路)技術(shù)是國外高端網(wǎng)絡(luò)設(shè)備幾年前廣泛采用的技術(shù)。由于采用了硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù),ASIC架構(gòu)防火墻解決了帶寬容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。
網(wǎng)絡(luò)處理器架構(gòu):
由于網(wǎng)絡(luò)處理器所使用的微碼編寫有一定技術(shù)難度,難以實(shí)現(xiàn)產(chǎn)品的最優(yōu)性能,因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場份額。
工作原理:
防火墻技術(shù) 傳統(tǒng)意義上的防火墻技術(shù)分為三大類,“ 包過濾 ”(Packet Filtering)“ 應(yīng)用代、理”(Application Proxy)和“狀態(tài)監(jiān)視”(Stateful Inspection),無論一個(gè)防火墻的實(shí)現(xiàn)過程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。1.包過濾技術(shù)
包過濾是最早使用的一種防火墻技術(shù),它的第一代模型是“靜態(tài)包過濾”(Static Packet Filtering),使用包過濾技術(shù)的防火墻通常工作在 OSI 模型中的網(wǎng)絡(luò)層(Network Layer)上,后來發(fā)展更新的“動(dòng)態(tài)包過濾”(Dynamic Packet Filtering)增加了傳輸層(Transport Layer),簡而言之,包過濾技術(shù)工作的地方就是各種基于 TCP/IP 協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道,它把這兩層作為數(shù)據(jù)監(jiān)控的對(duì)象,對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析,并與預(yù)先設(shè)定好的防火墻過濾規(guī)則(Filtering Rule)進(jìn)行核對(duì),一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過濾規(guī)則匹配并且條件為“阻止”的時(shí)候,這個(gè)包就會(huì)被丟棄。適當(dāng)?shù)脑O(shè)置過濾規(guī)則可以讓防火墻工作得更安全有效,但是這種技術(shù)只能根據(jù)預(yù)設(shè)的過濾規(guī)則進(jìn)行判斷,一旦出現(xiàn)一個(gè)沒有在設(shè)計(jì)人員意料之中的有害數(shù)據(jù)包請(qǐng)求,整個(gè)防火墻的保護(hù)就相當(dāng)于擺設(shè)了。
2.應(yīng)用代理技術(shù)
代理服務(wù)器作為一個(gè)為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道,在網(wǎng)絡(luò)上應(yīng)用廣泛。我們都知道,一個(gè)完整的代理設(shè)備包含一個(gè)服務(wù)端和客戶端,服務(wù)端接收來自用戶的請(qǐng)求,調(diào)用自身的客戶端模擬一個(gè)基于用戶請(qǐng)求的連接到目標(biāo)服務(wù)器,再把目標(biāo)服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶,完成一次代理工作過程。“應(yīng)用代理”防火墻實(shí)際上就是一臺(tái)小型的帶 有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器(Transparent Proxy),但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過濾技術(shù),而是一種被稱為“應(yīng)用協(xié)議分析”(Application Protocol Analysis)的新技術(shù)。
3.狀態(tài)監(jiān)視技術(shù)
這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù),它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動(dòng)態(tài)包過濾”技術(shù)發(fā)展而來的與之類似的有其他廠商聯(lián)合發(fā)展的 “深度包檢測”(Deep Packet Inspection)技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視” 的模塊,在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測,并根據(jù)各種過濾規(guī)則作出安全決策。
(1)包過濾防火墻
包過濾防火墻一般在路由器上實(shí)現(xiàn),用以過濾用戶定義的內(nèi)容,如IP地址。包過濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無關(guān)。這樣系統(tǒng)就具 有很好的傳輸性能,可擴(kuò)展能力強(qiáng)。但是,包過濾防火墻的安全性有一定的缺陷,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知,也就是說,防火墻不理解通信的內(nèi)容,所以可能被 黑客所攻破。(2)應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,并將檢查的內(nèi)容信息放入決策過程,從 而提高網(wǎng)絡(luò)的安全性。然而,應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接:一個(gè)是從客戶端到防火墻,另一個(gè)是 從防火墻到服務(wù)器。另外,每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程,或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序,對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序,否則不能使用該服 務(wù)。所以,應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。
(3)狀態(tài)檢測防火墻
狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn),性能比較好,同時(shí)對(duì)應(yīng)用是透明的,在此基礎(chǔ)上,對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防 火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理。可以 這樣說,狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。
實(shí)訓(xùn)總結(jié)
紙上得來終覺淺,絕知此事要躬行!”在短暫的實(shí)訓(xùn)過程中,讓我深深的感覺到在實(shí)際運(yùn)用中的專業(yè)知識(shí)的重要性,只有把理論知識(shí)應(yīng)用到實(shí)際,才能發(fā)現(xiàn)自己對(duì)所學(xué)知識(shí)的掌握程度,也才能真正領(lǐng)悟到“學(xué)無止境”的含義。
第三篇:防火墻技術(shù)論文
【摘要】
21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍,大大提高了工作效率,豐富了人們的生活,彌補(bǔ)了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展,經(jīng)歷了從無到有,從有到快;網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩,應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快,資源越來越豐富,與此同時(shí)也給人們帶來了一個(gè)日益嚴(yán)峻的問題———網(wǎng)絡(luò)安全。
網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一,而且網(wǎng)絡(luò)安全防范對(duì)我們校園網(wǎng)的正常運(yùn)行來講也顯得十分重要。現(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn),內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡單,也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。但是,由于防火墻是屬于高科技產(chǎn)物,許多的人對(duì)此還并不是了解的十分透徹。
本文在簡要論述防火墻的基本分類、工作方式等的基礎(chǔ)上,對(duì)防火墻的優(yōu)缺點(diǎn)以及局限性進(jìn)行了說明,也簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用,并對(duì)其的發(fā)展趨勢作簡單展望。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全 防火墻 發(fā)展
防火墻
1.1 防火墻的概念
所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法,它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。
防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少,例如國防部以及大型機(jī)房等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。
防火墻,英語為firewall,《英漢證券投資詞典》的解釋為:金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開來的法律屏障,旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。
當(dāng)然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護(hù)乘客安全,而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中,當(dāng)然就不是這個(gè)意思了,我們可以類比來理解,在網(wǎng)絡(luò)中,所謂“防火墻”,顧名思義,是一種隔離設(shè)備。防火墻是一種高級(jí)訪問控制設(shè)備,臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域之間通信流的唯一
通道,能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講,防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講,防火墻就是被放臵在用戶計(jì)算機(jī)與外網(wǎng)之間的防御體系,網(wǎng)絡(luò)發(fā)往用戶計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過其判斷處理,才決定能否將數(shù)據(jù)交給計(jì)算機(jī),一旦發(fā)現(xiàn)數(shù)據(jù)異常或有害,防火墻就會(huì)將數(shù)據(jù)攔截,從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)。防火墻是網(wǎng)絡(luò)安全策略的組成部分,它只是一個(gè)保護(hù)裝臵,通過監(jiān)測和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,其主要目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
1.2 防火墻的功能
(1)訪問控制:
■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施,訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議,支持所有的internet服務(wù),包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。
■ 提供基于狀態(tài)檢測技術(shù)的ip地址、端口、用戶和時(shí)間的管理控制; ■ 訪問控制對(duì)象的多種定義方式支持多種方式定義訪問控制對(duì)象: ip/mask(如202.100.100.0/24),ip區(qū)間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區(qū)間與通配符等,使配臵防火墻的安全策略極為方便。
■ 高效的url和文件級(jí)細(xì)粒度應(yīng)用層管理控制;應(yīng)用層安全控制策略主要針對(duì)常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp,控制策略可以實(shí)現(xiàn)定義訪問源對(duì)象到目標(biāo)對(duì)象間的常用協(xié)議命令通過防火墻的權(quán)限,源對(duì)象可以是網(wǎng)段、主機(jī)。http和ftp的協(xié)議端口用戶可根據(jù)實(shí)際情況在策略中定義,協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實(shí)現(xiàn)了url和文件級(jí)的訪問控制。
■ 雙向nat,提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射,實(shí)現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu):nat在ip層上通過地址轉(zhuǎn)換提供ip復(fù)用功能,解決ip地址不足的問題,同時(shí)隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu),強(qiáng)化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能,并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對(duì)外訪問時(shí),防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己,并將結(jié)果透明地返回用戶,相當(dāng)于一個(gè)ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換,可以針對(duì)具體的通信事件進(jìn)行地址轉(zhuǎn)換。internet用戶訪問對(duì)內(nèi)部網(wǎng)絡(luò)中具有保留ip主機(jī)的訪問,可以利用反向nat實(shí)現(xiàn),即為內(nèi)部網(wǎng)絡(luò)主機(jī)在防火墻上映射一注冊(cè)ip地址,這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機(jī)了。映射類型可以為ip級(jí)和端口級(jí)。端口映射
■阻止activex、java、javascript等侵入:屬于http內(nèi)容過濾,防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險(xiǎn)的代碼,同時(shí),能夠過濾用戶上載的cgi、asp等程序。
■ 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警功能:網(wǎng)絡(luò)衛(wèi)士防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控,當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)行為時(shí),防火墻提供告警等功能。
■ 可擴(kuò)展支持第三方ids入侵檢測系統(tǒng),實(shí)現(xiàn)協(xié)同工作:網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議,可與第三方ids產(chǎn)品實(shí)現(xiàn)無縫集成,協(xié)同工作。
(3)用戶認(rèn)證
因?yàn)槠髽I(yè)網(wǎng)絡(luò)為本地用戶、移動(dòng)用戶和各種遠(yuǎn)程用戶提供信息資源,所以為了保護(hù)網(wǎng)絡(luò)和信息安全,必須對(duì)訪問連接用戶采用有效的權(quán)限控制和身份識(shí)別,以確保系統(tǒng)安全。
■ 提供高安全強(qiáng)度的一次性口令(otp)用戶認(rèn)證:一次性口令認(rèn)證機(jī)制是高強(qiáng)度的認(rèn)證機(jī)制,能極大地提高了訪問控制的安全性,有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò),保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認(rèn)證的基本過程是:首先用戶向防火墻發(fā)送身份認(rèn)證請(qǐng)求,并指明自己的用戶名,防火墻收到請(qǐng)求后,向用戶提出挑戰(zhàn)及同步信息,用戶收到此信息后,結(jié)合自己的口令,產(chǎn)生一次性口令并發(fā)送給防火墻,防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性,為防止口令猜測,如果用戶連續(xù)三次認(rèn)證失敗則在一定時(shí)間內(nèi)禁止該用戶認(rèn)證。由于采用一次性的口令認(rèn)證機(jī)制,即使竊聽者在網(wǎng)絡(luò)上截取到口令,由于該口令的有效期僅為一次,故也無法再利用這個(gè)口令進(jìn)行認(rèn)證鑒別。在實(shí)際應(yīng)用中,用戶采用一次性口令登錄程序登陸時(shí),防火墻向用戶提供一個(gè)種子及同步次數(shù),登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計(jì)算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同,每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌脩艨梢远ㄆ诟淖兎N子來達(dá)到更高的安全目標(biāo).■ 可擴(kuò)展支持第三方認(rèn)證和支持智能ic卡、ikey等硬件方式認(rèn)證:網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴(kuò)展性,可擴(kuò)展支持radius等認(rèn)證,提供撥號(hào)用戶等安全訪問。也可通過擴(kuò)展支持支持職能ic卡、ikey等硬件方式認(rèn)證。
(4)安全管理
■ 提供基于otp機(jī)制的管理員認(rèn)證。
■ 提供分權(quán)管理安全機(jī)制;提供管理員和審計(jì)員分權(quán)管理的安全機(jī)制,保證安全產(chǎn)品的安全管理。
過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
■ 應(yīng)用代理(Application Proxy)型
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外代理型防火墻采取是一種代理機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。
代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
(3)從防火墻結(jié)構(gòu)上分類
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
0
信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。
(5)按防火墻性能分類
按防火墻的性能來分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。
因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小,對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
1.4 各類防火墻的優(yōu)缺點(diǎn)
(1)包過濾防火墻
使用包過濾防火墻的優(yōu)點(diǎn)包括:
■ 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。
■ 每個(gè)IP包的字段都被檢查,例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。
■ 防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。
■ 包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻,繞過是困難的。
■ 包過濾通常被包含在路由器數(shù)據(jù)包中,所以不必額外的系統(tǒng)來處理這個(gè)特征。
使用包過濾防火墻的缺點(diǎn)包括:
■ 配臵困難。因?yàn)榘^濾防火墻很復(fù)雜,人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則,或者錯(cuò)誤配臵了已有的規(guī)則,在防火墻上留下漏洞。然而,在市場上,許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn),如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。
■ 為特定服務(wù)開放的端口存在著危險(xiǎn),可能會(huì)被用于其他傳輸。例如,Web服務(wù)器默認(rèn)端口為80,而計(jì)算機(jī)上又安裝了RealPlayer,那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口,而不管這個(gè)端口是否被其他協(xié)議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務(wù)器的端口。
■ 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò),例如撥入連接。但這個(gè)并不是
213
也不要忘記了防火墻內(nèi)的安全保障。
其次,防火墻技術(shù)的另外一個(gè)顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時(shí),防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù),內(nèi)部網(wǎng)絡(luò)隨時(shí)都有受到病毒危害的可能,防火墻技術(shù)的這個(gè)缺點(diǎn)給網(wǎng)絡(luò)帶來很大的隱患。
另外,由于防火墻技術(shù)的自身不斷發(fā)展,其自身問題和漏洞也使其具有局限性。防火墻本身作為一個(gè)獨(dú)立的系統(tǒng),其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞,所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似:先出現(xiàn)病毒,殺毒軟件獲得病毒的特征碼,將其加入到病毒庫內(nèi)來實(shí)現(xiàn)查殺。防火墻的防御、檢測策略,也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為,防火墻也將束手無策。
最后,防火墻的檢測機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過它的數(shù)據(jù)包,所以當(dāng)數(shù)據(jù)流量較大時(shí),容易導(dǎo)致數(shù)據(jù)擁塞,影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí),如果發(fā)生溢出,就像大壩決堤一般,無法阻擋,任何數(shù)據(jù)都可以來去自由了,防火墻也就不再起任何作用。
1.6 防火墻的未來發(fā)展趨勢
盡管羅列了這么多防火墻技術(shù)的局限性,但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。
實(shí)現(xiàn)高速防火墻,可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好,因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程,可以根據(jù)需要隨時(shí)升級(jí),甚至可以支持IPv6;并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元,通過算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能,入侵檢測、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間,又能為企業(yè)節(jié)約一部分安全支出,更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。
任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障,但網(wǎng)絡(luò)安全不能完全依賴于防火墻,還需要加強(qiáng)內(nèi)部的安全管理,完善安全管理制度,提高用戶的安全意識(shí),從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用
隨著高校信息化進(jìn)程的推進(jìn),學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多,信息
51617
第四篇:防火墻技術(shù)研究報(bào)告
防火墻技術(shù)研究報(bào)告
防火墻技術(shù)
摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,隨著信息時(shí)代的來臨,信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域,可能會(huì)受到黑客的非法攻擊,所以在任何情況下,對(duì)于各種事故,無意或有意的破壞,保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。比如,計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí),首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢。
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
目錄
一、概述.....................................................................................................................................4
二、防火墻的基本概念.............................................................................................................4
三、防火墻的技術(shù)分類.............................................................................................................4
四、防火墻的基本功能.............................................................................................................5
(一)包過濾路由器.........................................................................................................5
(二)應(yīng)用層網(wǎng)關(guān).............................................................................................................6
(三)鏈路層網(wǎng)關(guān).............................................................................................................6
五、防火墻的安全構(gòu)建.............................................................................................................6
(一)基本準(zhǔn)則..............................................................................錯(cuò)誤!未定義書簽。
(二)安全策略.................................................................................................................6
(三)構(gòu)建費(fèi)用..............................................................................錯(cuò)誤!未定義書簽。
(四)高保障防火墻......................................................................錯(cuò)誤!未定義書簽。
六、防火墻的發(fā)展特點(diǎn).............................................................................................................7
(一)高速.........................................................................................................................7
(二)多功能化.................................................................................................................8
(三)安全.........................................................................................................................8
七、防火墻的發(fā)展特點(diǎn).............................................................................................................9 參考文獻(xiàn)...................................................................................................................................10
防火墻技術(shù)研究報(bào)告
一、概述
隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢。互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。
二、防火墻的基本概念
防火墻是一個(gè)系統(tǒng)或一組系統(tǒng),在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略,它實(shí)際上是一種隔離技術(shù)。
一個(gè)有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻,所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來入侵;監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示,尤其對(duì)于重大的信息量通過時(shí)除進(jìn)行檢查外,還應(yīng)做日志登記;提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能,有助于緩解IP地址資源緊張的問題,同時(shí),可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩;防火墻是為客戶提供服務(wù)的理想位置,即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。
三、防火墻的技術(shù)分類
現(xiàn)有的防火墻主要有:包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型(雙宿主主機(jī)、主機(jī)過濾以及加密路由器)防火墻。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行。
代理服務(wù)器型(Proxy Service)防火墻通常由兩部分構(gòu)成,服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點(diǎn)連接,中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。
復(fù)合型(Hybfid)防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來,形成新 的防火墻,由堡壘主機(jī)提供代理服務(wù)。
各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻,主要有:雙宿主主機(jī)防火墻,它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān),并在其上運(yùn)行防火墻軟件,內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī);主機(jī)過濾防火墻是指一個(gè)包過濾路由器與外部網(wǎng)相連,同時(shí),一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn),從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊;加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓縮,然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。
四、防火墻的基本功能
典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè):包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。
(一)包過濾路由器
包過濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許/拒絕的決定。具體地,它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭,按照包過濾規(guī)則進(jìn)行判定,與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則,則丟棄之。
與服務(wù)相關(guān)的過濾,是指基于特定的服務(wù)進(jìn)行包過濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口,因此,阻塞所有進(jìn)入特定服務(wù)的連接,路由器只需將所有包含特定 TCP/UDP目標(biāo)端口的包丟棄即可。
獨(dú)立于服務(wù)的過濾,有些類型的攻擊是與服務(wù)無關(guān)的,比如:帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的,此時(shí),需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件,這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
(二)應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾路由器更為嚴(yán)格的安全策略,為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼,同時(shí),代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問
相應(yīng)的代理服務(wù)實(shí)現(xiàn)的,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺(tái)的費(fèi)用為代價(jià),網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平,但增加了安全配置上的靈活性。
(三)鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。
五、防火墻的安全構(gòu)建
在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中,網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則;整個(gè)企業(yè)網(wǎng)的安全策略;以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。
(一)基本準(zhǔn)則
可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準(zhǔn)則:第一,未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息,每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法,它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然,該理念的不足在于過于強(qiáng)調(diào)安全而減弱了可用性,限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。第二,未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然,該理念的不足在于它將可用性置于比安全更為重要的地位,增加了保證企業(yè)網(wǎng)安全性的難度。
(二)安全策略
在一個(gè)企業(yè)網(wǎng)中,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。
(三)構(gòu)建費(fèi)用
簡單的包過濾防火墻所需費(fèi)用最少,實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器,而包過濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加,其費(fèi)用也隨之增加。
至于采用自行構(gòu)造防火墻方式,雖然費(fèi)用低一些,但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng),需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。
六、防火墻的發(fā)展特點(diǎn)
(一)高速
從國內(nèi)外歷次測試的結(jié)果都可以看出,目前防火墻一個(gè)很大的局限性是速度不夠,真正達(dá)到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù),防火墻往往用在網(wǎng)絡(luò)出口,如造成網(wǎng)絡(luò)堵塞,再安全的防火墻也無法應(yīng)用。
應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法,但尤以采用網(wǎng)絡(luò)處理器最優(yōu),因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程,可以根據(jù)需要隨時(shí)升級(jí),甚至可以支持IPv6,而采用其他方法就不那么靈活。
實(shí)現(xiàn)高速防火墻,算法也是一個(gè)關(guān)鍵,因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元,因此比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻,就必須有算法支撐,例如ACL算法。目前有的應(yīng)用環(huán)境,動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則,沒有算法支撐,對(duì)于狀態(tài)防火墻,建立會(huì)話的速度會(huì)十分緩慢。
上面提到,為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外,這些檢測對(duì)CPU消耗小)呢?說到底還是因?yàn)槭墁F(xiàn)有技術(shù)的限制。目前,還沒有有效的對(duì)應(yīng)用層進(jìn)行高速檢測的方法,也沒有哪款芯片能做到這一點(diǎn)。因此,對(duì)于IDS,目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理,這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。此外,應(yīng)用層漏洞很多,攻擊特征庫需要頻繁升級(jí),對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻,如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。
這里還要提到日志問題,根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求,防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來越大,如此龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前,業(yè)界應(yīng)用較多的是SYSLOG日志,采用的是文本方式,每一個(gè)字
符都需要一個(gè)字節(jié),存儲(chǔ)量很大,對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量,也方便數(shù)據(jù)庫的存儲(chǔ)、加密和事后分析。可以說,支持二進(jìn)制格式和日志數(shù)據(jù)庫,是未來防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。
(二)多功能化
多功能也是防火墻的發(fā)展方向之一,鑒于目前路由器和防火墻價(jià)格都比較高,組網(wǎng)環(huán)境也越來越復(fù)雜,一般用戶總希望防火墻可以支持更多的功能,滿足組網(wǎng)和節(jié)省投資的需要。例如,防火墻支持廣域網(wǎng)口,并不影響安全性,但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器;支持部分路由器協(xié)議,如路由、撥號(hào)等,可以更好地滿足組網(wǎng)需要;支持IPSec VPN,可以利用因特網(wǎng)組建安全的專用通道,既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì),國外90%的加密VPN都是通過防火墻實(shí)現(xiàn)的。
(三)安全
未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展,防火墻會(huì)更多地參與應(yīng)用層分析,為應(yīng)用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的發(fā)展與對(duì)抗過程中,防火墻的技術(shù)一定會(huì)不斷更新,日新月異,在信息安全的防御體系中,起到堡壘的作用。未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展,防火墻會(huì)更多地參與應(yīng)用層分析,為應(yīng)用提供更安全的保障。
七、防火墻的發(fā)展趨勢
近年來,計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分,成為我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分。從Internet的誕生之日起,就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。而隨著Internet的迅速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全的要求也日益增高。越來越多的網(wǎng)站因?yàn)榘踩詥栴}而癱瘓,公司的機(jī)密信息不斷被竊取,政府機(jī)構(gòu)和組織不斷遭受著安全問題的威脅等等。
盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊,但其只能提高網(wǎng)絡(luò)的安全性,不可能保證網(wǎng)絡(luò)的絕對(duì)安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經(jīng)過防火墻的攻擊。例如,如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào),一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中,僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠,此時(shí),應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。
計(jì)算機(jī)的安全問題正面臨著前所未有的挑戰(zhàn)。在這場網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中,永遠(yuǎn)沒有終點(diǎn)。黑客的攻擊手段不斷翻新,決定了信息安全技術(shù)也必須進(jìn) 行革新,防火墻是防范黑客攻擊的常用手段,但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起,才能更有效地防范各種新的攻擊手段。
參考文獻(xiàn)
[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京:電子工業(yè)出版社
[2] 吳秀梅,傅嘉偉編著.防火墻技術(shù)及應(yīng)用教程.北京:清華大學(xué)出版社 [3] 張紅旗,王魯 等編著.信息安全技術(shù).高等教育出版社
[4] 張華貴,王海燕.計(jì)算機(jī)網(wǎng)絡(luò)在安全分析與對(duì)策
[5] 黃思育.淺議防火墻.達(dá)縣師范高等專科學(xué)校學(xué)報(bào)(自然科學(xué)版)
第五篇:實(shí)驗(yàn) 防火墻技術(shù)實(shí)驗(yàn)
實(shí)驗(yàn)九
防火墻技術(shù)實(shí)驗(yàn)
1、實(shí)驗(yàn)?zāi)康?/p>
防火墻是網(wǎng)絡(luò)安全的第一道防線,按防火墻的應(yīng)用部署位置分類,可以分為邊界防火墻、個(gè)人防火墻和分布式防火墻三類。通過實(shí)驗(yàn),使學(xué)生了解各種不同類型防火墻的特點(diǎn),掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法,掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。
2、題目描述
根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略,并制定、測試相應(yīng)的防火墻的規(guī)則等。
3、實(shí)驗(yàn)要求
基本要求了解各種不同類型防火墻的特點(diǎn),掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法,掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。
4、相關(guān)知識(shí)
1)防火墻的基本原理防火墻(firewall)是一種形象的說法,本是中世紀(jì)的一種安全防務(wù):在城堡周圍挖掘一道深深的壕溝,進(jìn)入城堡的人都要經(jīng)過一個(gè)吊橋,吊橋的看守檢查每一個(gè)來往的行人。對(duì)于網(wǎng)絡(luò),采用了類似的處理方法,它是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(securitygateway),也就是一個(gè)電子吊橋,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問,以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。
防火墻也并不能防止內(nèi)部人員的蓄意破壞和對(duì)內(nèi)部服務(wù)器的攻擊,但是,這種攻擊比較容易發(fā)現(xiàn)和察覺,危害性也比較小,這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。
2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下:
(1)從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。(2)從防火墻技術(shù)“包過濾型”和“應(yīng)用代理型”兩大類。
(3)從防火墻結(jié)構(gòu)單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。(4)按防火墻的應(yīng)用部署位置邊界防火墻、個(gè)人防火墻和混合防火墻三大類。(5)按防火墻性能百兆級(jí)防火墻和千兆級(jí)防火墻兩類。3)防火墻的基本規(guī)則
■一切未被允許的就是禁止的(No規(guī)則)。■一切未被禁止的就是允許的(Yes規(guī)則)。
很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包,當(dāng)防火墻接收到一個(gè)信息包時(shí),它先與第一條規(guī)則相比較,然后是第二條、第三條??當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí),就停止檢查并應(yīng)用那條規(guī)則。
4)防火墻自身的缺陷和不足
■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性,限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。
■無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù),對(duì)來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。■Internet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如,在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥出存在,內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP聯(lián)接進(jìn)入Internet。
■對(duì)用戶不完全透明,可能帶來傳輸延遲、瓶頸及單點(diǎn)失效。■Internet防火墻也不能完全防止傳送已感染病毒的軟件或文件。
■防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上,但一旦執(zhí)行就開始攻擊。例如,一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件,使得入侵者很容易獲得對(duì)系統(tǒng)的訪問權(quán)。
■不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動(dòng)式的防護(hù)手段,它只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。
5、實(shí)驗(yàn)設(shè)備
主流配置PC,安裝有windows 2000 SP4操作系統(tǒng),網(wǎng)絡(luò)環(huán)境,天網(wǎng)防火墻個(gè)人版。
6、實(shí)驗(yàn)步驟
1)從指導(dǎo)老師處得到天網(wǎng)防火墻個(gè)人版軟件。
2)天網(wǎng)防火墻個(gè)人版的安裝。按照安裝提示完成安裝,并重啟后系統(tǒng)。
3)系統(tǒng)設(shè)置。在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕,即可展開防火墻系統(tǒng)設(shè)置面板。
天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如下。
防火墻自定義規(guī)則重置:占擊該按鈕,防火墻將彈出窗口,如下:
如果確定,天網(wǎng)防火墻將會(huì)把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置,你對(duì)安全規(guī)則的修改和加入的規(guī)則將會(huì)全部被清除掉。
防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻,天網(wǎng)防火墻個(gè)人版專門為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)АS脩艨梢愿S它一步一步完成天網(wǎng)防火墻的合理設(shè)置。
應(yīng)用程序權(quán)限設(shè)置:勾選了該選項(xiàng)之后,所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下,不需要對(duì)所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。(譬如在運(yùn)行某些游戲程序的時(shí)候)
局域網(wǎng)地址:設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會(huì)以這個(gè)地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存:選中每次退出防火墻時(shí)自動(dòng)保存日志,當(dāng)你退出防火墻的保護(hù)時(shí),天網(wǎng)防火墻將會(huì)把當(dāng)日的日志記錄自動(dòng)保存到SkyNet/FireWall/log文件下,打開文件夾便可查看當(dāng)日的日志記錄。
4)安全級(jí)別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級(jí)別分為低、中、高三個(gè)等級(jí),默認(rèn)的安全等級(jí)為中級(jí)。了解安全級(jí)別的說明請(qǐng)查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況,我們選擇自定義安全級(jí)別。
然后點(diǎn)擊左邊的將打開自定義的IP規(guī)則。
從中可以看出,規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下,可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要:規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存,否則無效。
單擊規(guī)則前面的,可使該規(guī)則不起作用,且其形狀變?yōu)椤?/p>
5)修改規(guī)則雙擊該規(guī)則,或者點(diǎn)擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對(duì)各部分進(jìn)行修改。
(1)首先輸入規(guī)則的“名稱”和“說明”,以便于查找和閱讀。(2)然后,選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。
(3)“對(duì)方的IP地址”,用于確定選擇數(shù)據(jù)包從那里來或是去哪里,這里有幾點(diǎn)說明: ■“任何地址”是指數(shù)據(jù)包從任何地方來,都適合本規(guī)則,■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng),■“指定地址”是你可以自己輸入一個(gè)地址,“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。
(4)除了錄入選擇上面內(nèi)容,還要錄入該規(guī)則所對(duì)應(yīng)的協(xié)議,其中:
■‘IP’協(xié)議不用填寫內(nèi)容,注意,如果你錄入了IP協(xié)議的規(guī)則,一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對(duì)方地址:任何地址;動(dòng)作:繼續(xù)下一規(guī)則”。
■‘TCP’協(xié)議要填入本機(jī)的端口范圍和對(duì)方的端口范圍,如果只是指定一個(gè)端口,那么可以在起始端口處錄入該端口,結(jié)束處,錄入同樣的端口。如果不想指定任何端口,只要在起始端口都錄入0。TCP標(biāo)志比較復(fù)雜,你可以查閱其他資料,如果你不選擇任何標(biāo)志,那么將不會(huì)對(duì)標(biāo)志作檢查。
■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255,表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。
(5)當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí),你就可以對(duì)該數(shù)據(jù)包采取行動(dòng)了: ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去。■攔截’指讓該數(shù)據(jù)包無法進(jìn)入你的機(jī)器
■繼續(xù)下一規(guī)則’指不對(duì)該數(shù)據(jù)包作任何處理,由該規(guī)則的下一條同協(xié)議規(guī)則來決定對(duì)該包的處理。(6)在執(zhí)行這些規(guī)則的同時(shí),還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容,并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來“警告”,或發(fā)出聲音提示。
6)新增規(guī)則點(diǎn)擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則,并彈出該規(guī)則的編輯界面。比如新增一條允許
訪問WWW端口的規(guī)則,可以按如下方法設(shè)置。設(shè)置完成后點(diǎn)擊“確定”,并點(diǎn)擊工具條的保存按鈕。
7)普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對(duì)應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能,它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口,并且決定攔截還是通過。在天網(wǎng)防火墻個(gè)人版打開的情況下,首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在,都會(huì)被天網(wǎng)防火墻個(gè)人版先截獲分析,并彈出窗口,詢問你是通過還是禁止。這時(shí)可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運(yùn)行”,那么天網(wǎng)防火墻個(gè)人版在以后會(huì)繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包,并且彈出警告窗口。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng),該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中,可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。
8)高級(jí)應(yīng)用程序規(guī)則設(shè)置單擊
可以打開詳細(xì)的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對(duì)應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕
點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級(jí)設(shè)置頁面。
“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動(dòng)作。其中:是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請(qǐng)求,通常是用于各種客戶端軟件。則是指此程序可以在本機(jī)打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù),這通常用于各種服務(wù)器端程序中。
9)根據(jù)以上功能,分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測試。
需求1:ICMP規(guī)則允許ping進(jìn)來,其它禁止,TCP規(guī)則允許訪問本機(jī)的WWW服務(wù)和主動(dòng)模式的FTP服務(wù),其它禁止,UDP禁止。需求2:ICMP規(guī)則允許ping出去,其它禁止,TCP規(guī)則禁止所有連接本機(jī),允許IE訪問Internet的80端口,UDP規(guī)則允許DNS解析,其它進(jìn)出UDP報(bào)文禁止。
7、實(shí)驗(yàn)思考
1)根據(jù)你所了解的網(wǎng)絡(luò)安全事件,你認(rèn)為天網(wǎng)防火墻不具備的功能有哪些? 2)防火墻是不是絕對(duì)的安全?攻擊防火墻系統(tǒng)的手段有哪些?
點(diǎn)擊咨詢 