防火墙在网络安全中的应用论文参考

摘要关键字引言研究背景研究意义一 防火墙概念1. 定义2. 类型3. 特征4. 发展历史二 防火墙的安全功能三 防火墙技术1. 包过滤技术2. 状态包过滤技术3. NAT网络地址转换技术4. 代理技术四 防火墙结构体系五 防火墙的局限性六 防火墙面临的攻击七 防火墙未来趋势八 总结 摘要网络安全是指网络系统能够可靠正常运行，软硬件及其数据不因偶然或恶意因素遭受到破坏、更改、泄露。网络安全的主要威胁主要有非法访问，冒充合法用户，破坏数据，干扰系统正常运行，病毒攻击，信息泄露等方面。随着计算机技术的发展和网络应用的普及，面对日益强大的网络威胁，人们逐渐意识到网络安全的重要性，而在网络安全结构体系中，防火墙占据举足重轻的位置。本文首先叙述防火墙的一些概念特点，为下文的介绍做铺垫，而将本文重点放在研究防火墙各种技术以及作用原理，并对此进行分析评价，以及提出一些改进意见，再简单叙述一些针对防火墙攻击的策略。同时以用户的角度叙述了如何使用和选购防火墙来实现自身的安全需求，最后在对防火墙的未来前景进行展望。研究意义随着计算机的广泛应用，以及Internet网络的迅猛发展，网络安全的问题日益突出，人们越来越重视网络安全问题。目前，网络安全面临的威胁主要有：病毒与恶意攻击、非授权访问、间谍软件入侵等，2012年我国计算机病毒感染率高达45.07%，通过网络下载或浏览传播病毒的比例占75.42%。国家互联网应急中心，2014年2月10-16日网络安全信息与动态周报显示，本周境内感染网络病毒的主机数量约为 69.0 万个，其中包括境内被木马或被僵尸程序控制的主机约 35.0 万以及境内感染飞客（conficker）蠕虫的主机约 34.0 万。放马站点是网络病毒传播的源头，根据对放马 URL 的分析发现，大部分放马站点是通过域名访问，而通过 IP 直接访问的涉及 94 个 IP。因此，防病毒防黑客已经成为防范网络威胁的基本策略，而大部分的不安因素都是通过不安全的外部网络环境侵入内部网络而实施破坏的。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施，所以，我们有必要对防火墙技术进行深入分析和研究，并能充分利用这项技术，努力改善防火墙技术，使网络更稳定，更安全。绪论随着计算机的广泛应用，以及Internet网络的迅猛发展，网络安全的问题日益突出，人们越来越重视网络安全问题。目前，网络安全面临的威胁主要有：病毒与恶意攻击、非授权访问、间谍软件入侵等，2012年我国计算机病毒感染率高达45.07%，通过网络下载或浏览传播病毒的比例占75.42%。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施，截至今日，防火墙已经成为维护网络安全至关重要的一种安全设备，在网络安全的防范体系中占据着举足轻重的位置，而研究发展防火墙技术是网络安全发展进程相当中重要的部分。一.防火墙概念1.防火墙指在内部网和外部网或专用网和公共网之间的一种由软件、硬件设备组合的安全网关，保护内部网免受非法用户的侵入.，防火墙的安全性一般包括访问控制能力、抗攻击能力、自身的安全性3方面。 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分构成，流经安装防火墙的计算机的所有网络通信和数据包都要经过此防火墙。防火墙可以是一种硬件（如专用防火墙）、固件或者软件（如代理服务器软件）。软件防火墙是以逻辑形式存在的，工作在系统接口与网络驱动接口规范之间，是安装在负责内外网络转换的网关服务器或者独立计算机上的一种特殊程序，信息处理效率较硬件防火墙低，很多企业往往使用的是硬件防火墙。硬件防火墙是一种以物理形式存在的专用设备，通常建设在两个网络的驳接处，直接从网络设备上检查过滤数据报文，硬件防火墙的硬件规格也是分档次的，对吞吐量要求高的网络里，经常选用芯片级的硬件防火墙。2.类型：（1）.按照作用区域不同，可以分为网络层防火墙、应用层防火墙、数据库防火墙。网络层防火墙运作在底层的TCP/IP协议堆栈上、应用层防火墙运作在TCP/IP协议堆栈的应用层上，数据库防火墙是基于数据库协议分析和控制技术的数据库安全防护系统。（2）.按照工作原理，防火墙可分为包过滤防火墙（包括状态监测型防火墙）、应用代理防火墙、复合型防火墙，其中复合型防火墙是将包过滤技术和应用代理技术相结合。3.特征：（一）.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（二）只有符合安全策略的数据流才能通过防火墙。（三）防火墙具有相当强的抗攻击能力。(四)应用层防火墙具备更细致的防护能力。(五）数据库防火墙针对数据库恶意攻击具有阻断能力。历史发展：第一代防火墙技术采用了包过滤技术，通过路由器的控制功能来实现。第二代防火墙即电路层防火墙，数据包在应用层管理，向不同协议提供服务。第三代防火墙代理（应用）防火墙，拥有很强的日志记录和审计功能。第四代防火墙是基于动态包过滤技术，后来发展成为状态监视技术。第五代防火墙一种自适应代理技术，结合代理防火墙安全性和包过滤防火墙高效率的优点。二防火墙的安全功能防火墙是内外网之间的安全屏障，对流经防火墙的数据进行过滤，阻止有害或者不需要的信息通过，过滤掉一些攻击保障用户的安全。防火墙不能把所有的数据拒之门外，所以如何设置防火墙规则非常关键，这直接决定了防火墙的性能。 一般防火墙都应该兼有报警功能、端口扫描功能、日志功能、黑白名单功能等，为满足用户的安全需求和查询需求。三防火墙技术防火墙技术是一种综合技术，一般很少采用单一技术，通常是多种为解决不同问题而进行技术组合，主要包括以下技术(一)包过滤技术1.这是一门最早的防火墙技术，主要是基于数据包过滤技术，通过检测数据包的首部信息来决定是否丢弃，工作原理是检查发送方IP地址、接收方IP地址，TCP端口、TCP标志位等信息是否满足数据包过滤访问控制列表来判断是传送还是丢弃，工作在网络层和传输层。包过滤技术粗略可分为包过滤技术和状态检测技术，详细可分静态包过滤技术、动态包过滤技术、状态包检测技术、深度包检测技术。包过滤优点是效率高速度快，逻辑简单，成本低，但是缺点亦明显。因为是利用部分数据包的首部信息、通过过滤规则来检测，不仅依据信息少，而且性能受过滤规则数目影响较大，若设置数量过少，则不能满足安全性的要求，数目过多效率会大大降低。因为网络管理员要设置过滤规则，所以对网络员的专业素质较高。并且不能防止IP地址欺骗，因为过滤依据是IP地址、目的IP地址，而IP地址的伪造是很容易并且很普遍的。该技术还缺少审计和报警机制、缺少上下文关联信息，所以不能对网络上流动的信息做出全面的记录和控制，不能进行身份验证、不能有效过滤等UDP、RPC一类的协议。即使再完善的数据包过滤仍有一些应用协议如FTP、RPC不适合于数据包过滤。因为该技术是动态分配端口号，所以必须全部打开客户端动态分配端口区域，不能实现使用哪个端口就打开哪个端口，这时若防火墙没有记住已存在的TCP连接，则无法抵御TCP的ACK扫描。目前，防火墙已经较少使用该技术，市场上主要使用状态包过滤技术和应用代理技术。（二）状态包过滤技术状态包过滤技术也称状态检测技术1.近几年才应用的新技术，是对过去包过滤技术的一种升级模式，基于连接的状态检测技术，判断同属于一个连接的所有包是否属于当前合法连接，通过规则表与状态表的共同配合，从而进行动态过滤。过滤规则不仅决定是否接受数据包，还包含是否在状态表中添加新连接，状态表会跟踪每一个会话过程，使数据包伪装攻击的机会大大减少，比传统包过滤防火墙的静态过滤规则，更安全更灵活。因为借助状态表可以按需开放端口，连接结束端口就关闭，大大减少了端口暴露的机会，所以可以抵御TCP的ACK扫描，加大了安全性。但状态包过滤技术仍存在不少问题，由于IP地址数目巨大且经常变动，所以在访问控制列表的配置和维护方面较为困难。因为包过滤防火墙不是会话连接的发起者，所以对主机之间的会话关系难以详细了解，容易受到欺骗攻击。由于工作在网络层和传输层，难以过滤应用层服务，容易遭受如HTTP/ICMP隧道攻击等的攻击。查询状态表会影响一些性能，不过影响较小，可以通过使用专用芯片解决。使用该技术时，若增加身份认证功能则会大大增加防火墙的安全性，但同时也会降低处理效率。能与包过滤技术配合使用的还有多级过滤技术，这时一种综合过滤型技术，分别在网络层、传输层、应用层进行分组过滤，该技术弥补了单一过滤技术过滤力度的不足。（三）NAT网络地址转换技术1. 也称IP地址伪装技术，是一种在数据包通过防火墙时转换源IP地址或者目的IP地址的技术，可分为静态NAT和动态NAT技术。工作原理是，内部原理内部主机和外部主机建立会话连接时，若数据包来自内网则防火墙检查NAT映射表是否已为该地址配置地址转换，若已配置则用公网IP地址替换内网地址并转发数据包。若来自外网，检查NAT映射表是否存在匹配项，若存在，用内部地址替换目的IP地址并转发，否则拒绝数据包。静态和动态的NAT对来自内网的数据包处理略微不同，静态NAT过程中，若NAT映射表中没有配置静态地址转换，则防火墙不对内部地址进行转换，丢弃或转发数据包。动态NAT过程中，若NAT映射表中没有建立地址转换映射项，防火墙则会进行地址转换。该技术并非为了防火墙设计，优点是节约了合法公网IP地址，NAT的主要功能是处理IPv4的地址空间不足，倘若IPv6得到广泛采用，则对该技术的需求会大大减少。该技术具有隐藏内部主机地址、.实现网络负载均衡、处理网络地址交迭等作用，但仍存在一些问题待解决。比如，一些应用层协议无法使用NAT技术，端口改变时，有些协议不能正确执行他们的功能。静态NAT是一对一替换IP地址的，但应用层协议数据包所包含的相关地址不能同时得到替换，这种情况可使用应用层代理服务来实现。动态NAT，对于内部网络攻击，NAT不存在任何安全保护。若是内部用户主动与黑客主机或引诱到恶意外部主机上，内部主机将完全暴露，防火墙则无效。（四）代理技术1.与包过滤技术原理完全不同，着重于应用级别，分析经过防火墙的应用信息来决定丢弃还是传送，利用代理服务器来屏蔽双方网络，避免直接的端对端连接，代理技术可细分为应用层代理、电路层代理、自适应代理。通信时，外网用户首先和代理服务器连接，代理服务器检查其身份和数据安全合法后，再由代理服务器与目标服务器连接。应用层代理工作原理：对每一种应用服务编制专门的代理程序，信息经过时检查验证其合法性，如其合法，会像一台客户机一样取回所需的信息再转发给客户，这样就会对应用层信息流实现监视和控制，可代理HTTP/FTP/SMTP/POP3/Telnet等协议使用户在安全的情况下浏览网页、收发邮件和远程登录等,。该技术有很多优点，能够解释应用协议，支持用户认证，还可缓存经常访问的信息，对于同一数据则无需向服务器发出新请求，优化了性能。还能够提供详详细的注册信息，比包过滤技术更容易配置和测试，能够隐藏内网的IP地址，内部的IP可以通过代理访问因特网，所以解决IP地址不够的问题。尽管应用代理技术有很多优点，但是仍有不少缺陷。因为注重应用层并详细搜索协议对数据控制多且细，CPU和内存的开销大，所以当网关的吞吐量高时，速度会大受影响。对有些通用协议如RPC/Talk，无法使用应用层代理技术。而且一般代理服务器只能解释某一种服务，可能需要提供很多种不同的代理服务器，这样的话便不能支持大规模的并发连接，只适合单一协议，效率大受影响。并且当一种应用升级的时候代理服务器也要随之升级，所以伸缩性有限。解决方法：传输层代理。传输层代理也包含传输层代理服务器和传输层代理客户端，与一般代理的区别是服务端实现在应用层，顾客端实现在应用层和传输层之间，无需IP连通性便可实现服务端两端的互访。并且传输层可以代理所有的具体应用。功能有数据加密、访问控制、信息认证和身份认证。（五）VPN虚拟专用网技术1. 提供现有网络或点对点连接上建立一至多条安全数据通信的机制,是一种网络互连方式和将远程用户连接到网络的方法。安全目标是抵御未授权的访问，只分配给受限的用户独占使用，并能在需要时动态的建立和撤销。其中有端到点和点到点的VPN接入。端到点的VPN接入：远程用户通过因特网建立到内网的VPN连接，建立到远程访问服务器的vpn后，会得到一个内网的IP地址，用户便可访问内部主机。点到点的VPN接入：跨越不安全公网来连接两个端点的安全数据通道。一般，不能仅仅靠虚拟专用网络来实现网络安全，还应结合路由器、代理服务器、等一种或者多种网络软硬件。（六）其他相关技术常与防火墙技术配合使用的有数据加密技术。数据加密技术是将信息利用加密钥匙、加密函数转换，变成无意义的密文，接受方收到密文后通过解密函数、解密钥匙还原成明文这样提高信息系统及数据的安全性和保密性。根据作用不同数据加密技术可分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术。而与数据加密技术息息相关的是智能卡技术。智能卡就是密钥的一种媒体，由持有者设置一个口令或密码字，使用该卡时，该密码字要与内部网络服务器上注册的密码、口令与身份特征一致时才能使用，其保密性能相当有效，目前，很多网上银行为提高安全性都提供该种服务。虽然防火墙在网络安全中占据重要位置，但是网络安全单靠防火墙是不够的，还需要有考虑其它技术和非技术因素，如身份验证技术、信息加密技术、入侵检测技术、防病毒技术、制定规范的网络法规、同时提高网络管理人员的安全素质和安全意识等。四.防火墙体系结构防火墙体系结构一般分为：屏蔽路由器防火墙、双宿主堡垒主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙。屏蔽路由器防火墙：在原有路由器上进行包过滤配置，适合经费有限、安全性要求不高的防火墙选择。缺点是被攻陷后很难发现，而且不能识别不同的用户。双宿主堡垒主机防火墙：在一台拥有两个网络适配器、能连接到两个不通过网络上的主机上即双宿主机做防火墙。优点是可用于维护系统日志、硬件拷贝日志或远程日志。因为该主机是外网用户访问内网的中间转接点，其安全性能很重要，所以只能安装最小服务、最低的权限，倘若入侵者侵入到堡垒主机并使其只具有路由功能，则任何网上的用户都可以随便访问内网。屏蔽主机防火墙是屏蔽路由器防火墙和双宿主堡垒主机防火墙这两种模式的结合，易于实现也很安全。屏蔽路由器为堡垒主机过滤所有的IP数据包，到达堡垒主机还需进一步检查，危险带限制在堡垒主机和屏蔽路由器中，而网关的基本控制策略由安装在上面的软件决定，倘若攻击者设法登录到它上面，内网中的其余主机则受到很大的威胁。堡垒主机既可用网络层也可用应用层的策略来进行检测，即必须把屏蔽路由器和堡垒主机都攻破，入侵者才能入侵内网，加大了安全性能。但这种体系结构中，堡垒主机可能被绕过而其他内部主机没有其他的维护安全的屏障，这是此种结构的缺陷。屏蔽子网防火墙是目前被应用最广泛的防火墙，使用一个或多个屏蔽路由器和堡垒主机，同时在内外网建立一个被隔离的子网-DMZ非军事区，很多实现情况中，两个分组过滤路由器被放在子网的两端。DMZ网络是一个隔离内外网的小型网络，一般将堡垒主机、Web服务器、邮件服务器以及其他公用服务器放在DMZ网络中。其中存在三道防线，即外部屏蔽路由器管理外网对DMZ的访问，堡垒主机，以及内部屏蔽路由器管理DMZ到内网的访问，安全性能非常好。不足的是，价钱比其他类型的防火墙昂贵，堡垒主机的配置更复杂。五、防火墙的局限性1.防火墙防外不防内，内网用户可能误用被给予的权限或则被攻击者引诱而对内网造成破坏。根据IDC等统计表明，网络上70%以上的安全事件来自内网。2.对那些不经过防火墙的攻击无能为力。如不严格的拨号上网、Fax服务器等。3. 在防范病毒方面能力有限，既不能拒绝所有被病毒感染的文件也不能杀掉通过防火墙的病毒，目前已有一些防火墙只能够查杀病毒，但只限在已知的病毒，对新病毒往往无能为力。4.防火墙配置和管理复杂，对网络管理员专业素质要求高，这就容易造成安全漏洞，特别是多个系统组成的防火墙，管理上的疏漏往往是不可避免。5.防火墙的安全性和效率性两方面往往形成冲突，在实现安全性的同时会影响网络效率，若同时兼顾，成本经费也会加大。6.应用代理防火墙需要不断更新新服务的应用代理，这不仅耗费人力物力，若操作不当还会引起安全漏洞。 7.防火墙的检测机制容易造成拥塞以及溢出现象。当需要处理的数据流量过大时，容易导致数据拥塞，影响整个网络性能，甚至会发生溢出，使防火墙瘫痪。8不能防止数据驱动程序的攻击六防火墙面临的攻击以及应对策略1.防火墙面临的攻击可分为探测攻击和穿透攻击。探测攻击是通过构造特殊的数据包来探测防火墙信息，目的是为了随后的攻击提供信息，如探测是何种防火墙系统、协议类型、允许通过的端口、IP信息等。穿透攻击是伪装攻击数据包以通过或者绕过防火墙，并对内网进行攻击。探测攻击可分为防火墙存在性探测（如使用traceroute命令对目标主机进行跟踪）、防火墙类型探测（利用连接防火墙的某些端口会返回特征标识这一特性）、防火墙规则探测、防火墙后的主机探测（又可分为正常数据包探测和异常数据包探测）。正常数据包探测就是利用正常、合法的数据包去探测目标主机的一些信息，主要是主机状态和端口开放信息等。异常数据包是通过发送一个异常的数据包以诱使目标主机生成一个ICPM报文，向源主机报告差错，借此来判断目标主机的存活性。常见的探测攻击有TCP/SYN报文段探测、TTL探测法，而正常数据包探测有TCP报文段探测、UDP数据报探测、ICMP报文探测。 穿透技术包括IP欺骗、协议隧道、报文分片等。IP欺骗技术是利用虚假的IP地址来躲过防火墙认证的一种技术，目前，针对TCP协议常用的是TCP序列号猜测技术。协议隧道是一个网络协议的载体，即原本在一条通道上传输数据包，数据包经过封装后在另一条通道传输。常见的穿透防火墙隧道技术是ICMP隧道技术和HTTP隧道技术，此种攻击是利用前面已经探测出的防火墙规则，对攻击数据进行伪装，在通信双方之间建立秘密隧道，穿透防火墙，一般采用C/S工作模式。报文分片攻击原理是攻击者首先向目标主机发送一个合法正常的报文分片，防火墙检测通过后，继续发送装有恶意数据的后续报文，这样后续的报文就可以直接穿过防火墙，威胁内网和主机安全。2.常见攻击方式以及应对策略（1）病毒攻击策略：设定严格的安全等级，禁止系统在未经安全检测的情况下执行下载程序同时禁止执行未经用户允许的程序或软件。（2）口令字常见的口令字攻击有：穷举和嗅探。穷举是利用来自外部网络的攻击，来猜测防火墙管理的口令字。而嗅探是针对内部网络的攻击，通过监测网络来获取主机给防火墙的口令字。策略：设计主机与防火墙通过专用服务器端口、禁止直接登录防火墙或者采用一次性口令。（3）邮件目前，来自于邮件的攻击方式越来越多，攻击原理是，垃圾邮件制造者将一条消息复制无数份，然后按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。（4）IP地址欺骗策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包，同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。七实现防火墙的安全性能1. 如何选择防火墙体系2.一般情况下，防火墙在许多时候并不是一个单一的设备，而是一组设备。常用的有以下几种形式：（1）使用多堡垒主机；（2）合并堡垒主机与内/外部路由器； (3)使用多台内/外部路由器； (4)使用多个周边网络； (5)使用双重宿主主机与屏蔽子网。采用什么体系的防火墙这需要根据用户能接受什么等级风险，而采用哪种技术主要取决于经费、投资的大小以及技术人员的技术、时间等因素。2.选择防火墙类型目前，防火墙可分为“胖”和“瘦”两种类型，胖防火墙特点是功能全面，侧重在尽可能多的安全功能。理论上，防火墙、IDS、AV、VPN这四种组合的部署已经能够提供实现相当高的安全保护可以满足绝大多数的安全需求，但也要考虑其部署的财力负担。瘦防火墙的功能是精而少，只做访问控制的专职工作，该类产品以安全管理为核心，以多种安全产品的联动为基础，往往厂商同时还推出信息安全管理平台，它和瘦防火墙协同工作、关联响应，整体提高安全水平，此类适合专业性要求高的大型用户。3.考察防火墙性能实现用户的安全需求，需要在选择防火墙时考察防火墙性能，这就需要考察指标，一般考察指标包括最大吞吐量、传送速率、延迟、丢包率、缓冲能力等，还可以考察混合不同包长和协议后延迟情况等。4. 实现安全方案要实现安全完善的方案，一般还含有以下内容：入侵检测系统部署、网络版杀毒产品部署、安全服务配置、漏洞扫描系统、配置访问策略、日志监控等。5.注意事项（1） 不能仅仅依靠防火墙来作为安全屏障，防火墙只能免受一类攻击的威胁，而不能抵御所有攻击。（2）.建设防火墙时需要按需求来仔细的选择和配置，然后不断的去维护它，而不是一次性设置后然后再将它置之不理。（3）可以使用多个安全层来避免某个失误造成对内网的侵害。（4）尽量不安装不需要的软件或程序，就算它们是安全的。（5）在选购防火墙的时候，在考虑安全需求的同时还应该考虑是否易于管理、灵活性开放性和联动性以及防火墙厂商的实力等。八未来趋势1.随着人们对网络应用要求的进一步加大，防火墙处理数据的效率也必须随之提高，目前已有厂商开发了基于ASIC的防火墙（基于纯硬件防火墙）和基于网络处理器的防火墙（基于软件防火墙），网络处理器的防火墙效率比传统防火墙的效率要好很多而且更灵活。使用专门硬件的ASIC防火墙效率更高，但是缺乏可编程性，不如软件那么容易更新升级，理想的组合是将两者的优点相结合，将基于ASIC的防火墙植入可编程性再与软件防火墙配合使用。2.功能扩展，多种功能集成将成为未来的一种设计趋势。包括AAA、PKI、VPN、IPSec、防病毒、入侵检测等附加功能。3.过滤深度会不断地加强，从地址、服务过滤，发展到URL过滤、关键字过滤、对Java、ActiveX等的过滤，并逐步含有病毒扫描等功能。4.近几年来，由于网络攻击的非常智能化，使攻击者不需要十分了解攻击的原理，只需要简单的操作便可进行攻击，结果便是网络攻击的数量和普遍度急剧上升，这就迫切要求防火墙也需要向高速智能、多功能化、更安全的方向发展。5. 随着防火墙技术的不断发展，用户选择防火墙的标准将会集中在于是否易于管理、鉴别与加密功能、应用透明性、操作环境和硬件要求、成本等几个方面。6.防火墙将从目前对内网管理向远程上网集中管理的方式发展。九总结参考文献：1.信息安全实验室. 防火墙的体系结构及组合形式 来源：希赛网2.成小惠.对防火墙主动攻击技术研究3.百度百科4.陈波，于泠.防火墙技术与应用文档可能无法思考全面，请浏览后下载，另外祝您生活愉快，工作顺利，万事如意!9 / 9