防火墙常用技术和性能.doc

防火墙常用技术和性能摘 要 I第一章 背景和意义 1第二章 什么是防火墙2.1什么是防火墙2.2防火墙的益处第三章 防火墙的简介3.1防火墙的简介第四章 防火墙常用技术和性能4. 1防火墙的四种基本类型4. 2防火墙的选择致 谢 参考书目 关键字 黑客 防火墙 网络安全 内容摘要 文中就信息网络安全内涵发生的根本变化，网络安全与防护、防火墙技术的概念、作用，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征，并且介绍了防火墙技术的相关知识。引言 在计算机技术和网络技术普遍应用的今天，人们已经不再用太多的脑子去记很多的东西了，主要记载在计算机上或与之相关机器上，只需记载一些密码便可，也方便查询。但是，由于连上了网，难免有些人有盗取的想法，因此，需要确保信息系统安全。以前，人们只要设些复杂的密码就可以，但是连上网后，骇客们就有盗窃，破坏的行动了，尤其是敏感信息。因此，不只要经常给系统打补丁，还要有一个好的防火墙。有防火墙可以更好的防范骇客攻击，它可以控制端口的连接，把一些危险的端口屏蔽掉，防止他人对的机子配置信息的扫描，可以防范一些有攻击性的病毒，因此，用防火墙是很有必要的。可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警，瑞星防火墙等。还有，安装防火墙，它的设置不能仅是默认设置，自己适当更改，以便更适合自己。由此引出的问题和解决办法就是这一课题的主要研究对象。第一章 背景和意义随着计算机的发展，人们越来越意识到网络的重要性，通过网络，分散在各处的计算机被网络联系在一起。做为网络的组成部分，把众多的计算机联系在一起，组成一个局域网，在这个局域网中，可以在它们之间共享程序、文档等各种资源；还可以通过网络使多台计算机共享同一硬件，如打印机、调制解调器等；同时我们也可以通过网络使用计算机发送和接收传真，方便快捷而且经济。21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。 防火墙有以下几大特点：第一，防火墙来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，防火墙技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章 什么是防火墙2.1什么是防火墙1.什么是防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。 2. 2使用防火墙的益处保护脆弱的服务 通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如， 防火墙可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理防火墙对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。记录和统计网络利用数据以及非法使用数据防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。第三章 防火墙的简介3.1防火墙的简介网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的JAVA小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。3.1防火墙体系结构目前,防火墙的体系结构一般有以下几种: （1）双重宿主主机体系结构； （2）被屏蔽主机体系结构； （3）被屏蔽子网体系结构。 1.双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。 2.屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。 数据包过滤也允许堡垒主机开放可允许的连接（什么是可允许将由用户的站点的安全策略决定）到外部世界。 在屏蔽的路由器中数据包过滤配置可以按下列之一执行： 允许其它的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。 不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。用户可以针对不同的服务混合使用这些手段；某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。 因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来，实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败（因为这种失败类型是完全出乎预料的，不大可能防备黑客侵袭）。进而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。 然而，比较其它体系结构屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。 3.屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。 为什么这样做？由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时（除了它们可能有的主机安全之外，这通常是非常少的）。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间（通常为Internet）。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。要点说明如下： （1）周边网络 周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此（而且以太网是当今使用最广泛的局域网技术）；对若干其它成熟的技术，诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等等；探听者能完全监视何人在使用网络。 对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。 一般来说，来往于堡垒主机，或者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。 （2）堡垒主机 在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如： 1.对于进来的电子邮件（SMTP）会话，传送电子邮件到站点； 2.对于进来的FTP连接，转接到站点的匿名FTP服务器； 3.对于进来的域名服务（DNS）站点查询等等。另一方面，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理： 1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 2.设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信（即拨号入网方式）。 （3）内部路由器 内部路由器（在有关防火墙著作中有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。 （4）外部路由器 在理论上，外部路由器（在有关防火墙著作中有时被称为访问路由器）保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。 一般，外部路由器由外部群组提供（例如，用户的Internet供应商），同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使维护复杂或者使用频繁变化的规则组。 外部路由器实际上需要做什么呢？外部路由器能有效地执行的安全任务之一（通常别的任何地方不容易做的任务）是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。摘要：本文通过防火墙的分类、工作原理、应用等分析，同时对防火墙技术在企业网络安全中的作用及影响进行论述。51-论文-网-欢迎您关键词：防火墙 网络安全 技术 0 引言 随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。51-论文-网-欢迎您 1 防火墙的分类 防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于Internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有:IGA (InternetGatewayAppciance)防毒墙；SonicWall防火墙以及Cink TvustCyberwall等。51-论文-网-欢迎您 按防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。51-论文-网-欢迎您 网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。51-论文-网-欢迎您 2 防火墙在网络安全中的作用 防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的:限制他人进入内部网络，过滤掉不安全服务和非法用户。防止入侵者接近你的防御设施。限定用户访问特殊站点。为监视Intemet安全提供方便。51-论文-网-欢迎您 3 防火墙的工作原理 防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质:内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙；三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。51-论文-网-欢迎您 4 防火墙技术 防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有: 4.1 屏蔽路由技术 最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过滤通过检查每个IP网络包，取得其头信息，一般包括:到达的物理网络接口，源IP地址，目标IP地址，传输层类型(TCPUDP ICMP)，源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作(禁止或允许)。51-论文-网-欢迎您 4.2 基于代理的(也称应用网关)防火墙技术 它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。51-论文-网-欢迎您 4.3 包过滤技术 系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。51-论文-网-欢迎您 4.4 动态防火墙技术 动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(102465 535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。51-论文-网-欢迎您 4.5 一种改进的防火墙技术(或称复合型防火墙技术) 由于过滤型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其他处理。51-论文-网-欢迎您 5 防火墙的应用 5.1 硬件防火墙的设置