发布时间:
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。2 防火墙的概述及其分类 网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。2.1 概述 在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。 1)什么是防火墙 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。 防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。 2)防火墙的功能 防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点: ·根据应用程序访问规则可对应用程序联网动作进行过滤; ·对应用程序访问规则具有学习功能; ·可实时监控,监视网络活动; ·具有日志,以记录网络访问动作的详细信息; ·被拦阻时能通过声音或闪烁图标给用户报警提示。 3)防火墙的使用 由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。2.2 防火墙的分类 市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。 2)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 3)监测型 监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点 防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。3.1 防火墙的作用 防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。3.2 防火墙的特点 我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。 防火墙一般具有如下显著特点: ·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等; ·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏; ·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息; ·反欺 欺是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃; ·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。3.3 防火墙的优势和存在的不足 防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。 1) 防火墙的优势 (1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。 (2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。 (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 2) 防火墙存在的不足 (1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。 (2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护 如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。4.1 建立防火墙的安全策略 要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 3.1 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 3.2 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 3.3 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 4.1 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 4.2 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 4.3 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 4.4 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 4.5 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� 4.6 internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 4.7 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 4.8 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 4.9 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 4.10 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 5.1 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 5.2 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 5.3 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 5.4 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 5.5鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 6.1 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 6.2 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 6.3 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 6.4 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 6.5 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
模拟器实现的,要将配置文件发给师肯定知道更多了解的
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。2 防火墙的概述及其分类 网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。2.1 概述 在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。 1)什么是防火墙 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。 防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。 2)防火墙的功能 防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点: ·根据应用程序访问规则可对应用程序联网动作进行过滤; ·对应用程序访问规则具有学习功能; ·可实时监控,监视网络活动; ·具有日志,以记录网络访问动作的详细信息; ·被拦阻时能通过声音或闪烁图标给用户报警提示。 3)防火墙的使用 由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。2.2 防火墙的分类 市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。 2)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 3)监测型 监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点 防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。3.1 防火墙的作用 防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。3.2 防火墙的特点 我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。 防火墙一般具有如下显著特点: ·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等; ·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏; ·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息; ·反欺 欺是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃; ·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。3.3 防火墙的优势和存在的不足 防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。 1) 防火墙的优势 (1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。 (2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。 (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 2) 防火墙存在的不足 (1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。 (2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护 如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。4.1 建立防火墙的安全策略 要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
去ftp.openbsd.org然后下载pf的帮助翻译一下不就好了,还是顶呱呱的东西
企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,研究解决网络安全问题的方案显得及其重要。下面是我带来的关于企业网络安全解决方案论文的内容,欢迎阅读参考!
浅谈中小企业网络安全整体解决方案
摘要:随着企业内部网络的日益庞大及与外部网络联系的逐渐增多,一个安全可信的企业网络安全系统显得十分重要。局域网企业信息安全系统是为了防范企业中计算机数据信息泄密而建立的一种管理系统,旨在对局域网中的信息安全提供一种实用、可靠的管理方案。
关键词:网络安全 防病毒 防火墙 入侵检测
一、网络安全的含义
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全,通常定义为网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
二、中小企业网络安全方案的基本设计原则
(一)综合性、整体性原则。应用系统工程的观点、 方法 ,分析网络的安全及具体 措施 。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
(二)需求、风险、代价平衡的原则。对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
(三)分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需要,亦可节省费用开支。
三、中小企业网络安全方案的具体设计
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的 操作系统 、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
该方案主要包括以下几个方面:
(一)防病毒方面:应用防病毒技术,建立全面的网络防病毒体系。随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。
(二)应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙技术是今年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。
防火墙可以完成以下具体任务:通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘。
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的产品,已经充斥了整个网络世界。在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然。
参考文献:
[1]陈家琪.计算机网络安全.上海理工大学,电子教材,2005
[2]胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室,电子教材,2005
浅谈网络安全技术与企业网络安全解决方案
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为 企业管理 中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为代理服务防火墙和包过滤技术防火墙。代理服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其解除。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的 网络技术 对传输的数据审核,避免信息通过其他 渠道 外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客解除企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被解除的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码解除技术也要花费相当长的时间,等到数据被解除后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力,系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙,用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包,用一台闲置的PC就可以替代昂贵的专门防火墙硬件,对于某些中小企业或部门级用户,很值得参考。 一、防火墙的类型和设计策略 在构造防火墙时,常采用两种方式,包过滤和应用代理服务。包过滤是指建立包过滤规则,根据这些规则及IP包头的信息,在网络层判定允许或拒绝包的通过。如允许或禁止FTP的使用,但不能禁止FTP特定的功能(例如Get和Put的使用)。应用代理服务是由位于内部网和外部网之间的代理服务器完成的,它工作在应用层,代理用户进、出网的各种服务请求,如FTP和Telenet等。 目前,防火墙一般采用双宿主机(Dual-homedFirewall)、屏蔽主机(ScreenedHostFirewall)和屏蔽子网(ScreenedSubnetFirewall)等结构。双宿主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连。屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中,即添加了周边网络,进一步把内部网和外部网隔开。 防火墙规则用来定义哪些数据包或服务允许/拒绝通过,主要有2种策略。一种是先允许任何接入,然后指明拒绝的项;另一种是先拒绝任何接入,然后指明允许的项。一般地,我们会采用第2种策略。因为从逻辑的观点看,在防火墙中指定一个较小的规则列表允许通过防火墙,比指定一个较大的列表不允许通过防火墙更容易实现。从Internet的发展来看,新的协议和服务不断出现,在允许这些协议和服务通过防火墙之前,有时间审查安全漏洞。 二、基于Linux操作系统防火墙的实现 基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面,让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。 由于Linux的内核各有不同,提供的包过滤的设置办法也不一样。IpFwadm是基于Unix中的ipfw,它只适用于Linux2.0.36以前的内核;对于Linux2.2以后的版本,使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它们配置的4个链中,有3个在Linux内核启动时进行定义,分别是:进入链(InputChains)、外出链(OutputChains)和转发链(ForwardChains),另外还有一个用户自定义的链(UserDefinedChains)。进入链定义了流入包的过滤规则,外出链定义了流出包的过滤规则,转发链定义了转发包的过滤规则。 这些链决定怎样处理进入和外出的IP包,即当一个包从网卡上进来的时候,内核用进入链的规则决定了这个包的流向;如果允许通过,内核决定这个包下一步发往何处,如果是发往另一台机器,内核用转发链的规则决定了这个包的流向;当一个包发送出去之前,内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的,如果这个包与第一条规则不匹配,则接着检查下一条规则,当找到一条匹配的规则后,规则指定包的目标,目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。 其中,Accept指允许通过;Deny指拒绝;Reject指把收到的包丢弃,但给发送者产生一个ICMP回复;Return指停止规则处理,跳到链尾;Masq指对用户定义链和外出链起作用,使内核伪装此包;Redirect只对进入链和用户定义链起作用,使内核把此包改送到本地端口。为了让Masq和Redirect起作用,在编译内核时,我们可以分别选择Config_IP_Masquerading和Config_IP_Transparent_Proxy。 假设有一个局域网要连接到Internet上,公共网络地址为202.101.2.25。内部网的私有地址根据RFC1597中的规定,采用C类地址192.168.0.0~192.168.255.0。为了说明方便,我们以3台计算机为例。实际上,最多可扩充到254台计算机。 具体操作步骤如下: 1、在一台Linux主机上安装2块网卡ech0和ech1,给ech0网卡分配一个内部网的私有地址191.168.100.0,用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25,用来与Internet相连。 2、Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出,还允许转发包,但禁止一些危险包,如IP欺包、广播包和ICMP服务类型攻击包等的设置策略。 具体设置如下: (1)刷新所有规则 Iptables -F #刷新规则(默认链)Iptables -X #删除规则(自定义的链)(2)设置初始规则 Iptables -P INPUT ACCEPTIptables -P OUTPUT ACCEPTIptables -p FORWARD ACCEPT(3)设置本地环路规则 本地进程之间的包允许通过。 Iptables -A INPUT -i lo -j ACCEPTIptables -A OUTPUT -o lo -j ACCEPT(4)禁止IP欺 Iptables -A INPUT -i eth1 -s 127.0.0.1/8 -j DROPIptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROPIptables -A INPUT -i eth1 -s 240.0.0.0/3Iptables -A INPUT -i eth1 -s 0.0.0.0/8(5)禁止广播包 Iptables -A INPUT -p UDP -s 255.255.255.255 -d 本机IP地址 -j DROP(6)设置ech1转发规则 Iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 --to-source 本机地址 -j SNATIptables -t nat -A PREROUTING -i eth1 -d 本机地址 --to-destinations 192.168.0.0/16 -j DNAT将规则保存到/etc/rc.firewallrules文件中,用chmod赋予该文件执行权限,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules,这样当系统启动时,这些规则就生效了。 service iptables stopchkconfig iptables off
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。2 防火墙的概述及其分类 网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。2.1 概述 在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。 1)什么是防火墙 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。 防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。 2)防火墙的功能 防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点: ·根据应用程序访问规则可对应用程序联网动作进行过滤; ·对应用程序访问规则具有学习功能; ·可实时监控,监视网络活动; ·具有日志,以记录网络访问动作的详细信息; ·被拦阻时能通过声音或闪烁图标给用户报警提示。 3)防火墙的使用 由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。2.2 防火墙的分类 市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。 2)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 3)监测型 监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点 防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。3.1 防火墙的作用 防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。3.2 防火墙的特点 我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。 防火墙一般具有如下显著特点: ·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等; ·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏; ·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息; ·反欺 欺是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃; ·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。3.3 防火墙的优势和存在的不足 防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。 1) 防火墙的优势 (1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。 (2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。 (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 2) 防火墙存在的不足 (1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。 (2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护 如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。4.1 建立防火墙的安全策略 要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
可以结合防火墙基本特性来写(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。(三)防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 3.1 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 3.2 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 3.3 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 4.1 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 4.2 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 4.3 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 4.4 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 4.5 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� 4.6 internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 4.7 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 4.8 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 4.9 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 4.10 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 5.1 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 5.2 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 5.3 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 5.4 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 5.5鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 6.1 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 6.2 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 6.3 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 6.4 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 6.5 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
去购买一套卡巴斯基企业版杀毒软件套装,里面包括有杀毒,防御及防火墙,可以进行局域网的设置。
硬件,软件,混合式硬件就是成本高,但是安全性好软件就是便宜,安全性当然没有硬件的好最好的是混合式,但是也最贵
1] 王铁方, 李涛. 蜜网与防火墙及入侵检测的无缝结合的研究与实现[J]. 四川师范大学学报(自然科学版) , 2005,(01) [2] 高晓蓉. 基于Linux的防火墙[J]. 扬州职业大学学报 , 2003,(04) [3] 李赫男, 张娟, 余童兰. 信息安全保护方法分析[J]. 洛阳工业高等专科学校学报 , 2003,(01) [4] 钟建伟. 基于防火墙与入侵检测技术的网络安全策略[J]. 武汉科技学院学报 , 2004,(04) [5] 林子杰. 基于Linux的防火墙系统[J]. 电脑学习 , 2001,(02) [6] 赵萍, 殷肖川, 刘旭辉. 防火墙和入侵检测技术分析[J]. 计算机测量与控制 , 2002,(05) [7] 谈文蓉, 刘明志, 谈进. 联动防御机制的设计与实施[J]. 西南民族大学学报(自然科学版) , 2004,(06) [8] 王永群. 试论防火墙技术[J]. 微机发展 , 2001,(03) [9] 丁志芳, 徐孟春, 王清贤, 曾韵. 评说防火墙和入侵检测[J]. 网络安全技术与应用 , 2002,(04) [10] 张少中, 聂铁志, 唐毅谦, 王中鹏. 一种Linux防火墙系统的设计[J]. 辽宁工学院学报(自然科学版) , 2001,(03)
随着计算机网络的飞速发展,网络安全越来越被人们所认识和重视,在维护网络正常运行方面越来越起到举足轻重之作用,已成为当代信息社会的一个重要特征。在众多安全措施中,防火墙首当其中。以网络安全为中心,考虑网络的各个层面,整体把握网络在应用中的安全性。在构造防火墙的过程中,阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP/IP(传输控制协议/网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看,文中总体把握包过滤防火墙的思想,深入细致地介绍了网络会话的细节,基于输入包和输出包的过滤思想,如何有选择性地开放Internet公共服务三方面重要的内容,并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明,包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上,本文是基于Redhat Linux操作系统,主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述,给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起,介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计,阐述防火墙设计的两种安全策略:默认禁止一切和默认接受一切,并对其进行相互的比较,给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明,阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙,旨在保护其网络安全并节俭网络费用,为此实现NAT共享IP,屏蔽保护子网共享防火墙外网真实IP,达到伪装保护且节俭网络费用之功效,从而减轻网络负担;构造DMZ,将保护子网与网络服务器分离,有效地解决服务器提供网络服务与子网安全保护这一对矛盾,从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点,同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不,这是大学生防火墙论文的。我去年用的
自己写才是王道
防火墙的应用研究:随着计算机网络的不断发展,网络安全问题越来越受到关注。防火墙是其中一种应用非常广泛的用于保护网络安全的技术。本文论述了防火墙的研究与应用。包括防火墙的概念、功能、防火墙的应用,最后对防火墙的未来发展做出了展望