防火墙技术论文

发布时间:2017-06-17 01:06

防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。小编整理的防火墙技术论文,希望你能从中得到感悟!

防火墙技术论文篇一

浅谈防火墙技术

一、前盲

随着计算机和网络在社会中的应用的不断增多,计算机和网络安垒技术正变得越来越重要,部门能够使用的安全设备和软件的不断增多,大量数据纷纷涌人事件日志,致使网络管理员的工作难度越来越高,负担越来越重。

二、防火墙技术

防火墙是一个由软件和硬件设备组合而成,在网络之间实施访问控制的一个系统,通过执行访问控制策略,限制两个网络之间数据的自由流动,通过控制和检测网络之间的信息交换和访问行为实现对网络安全的有效管理。

网络防火墙是加强网络之间访问控制的设备,防止外部网络用户以非法手段通过外部网络进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

1.防火墙一般有三个特性:

所有的通信都经过防火墙

防火墙只放行经过授权的网络流量

防火墙能经受的住对其本身的攻击

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。

2.防火墙将保护以下三个主要方面的风险:

机密性的风险

数据完整性的风险

用性的风险

3.防火墙的主要优点如下:

防火墙可以通过执行访问控制策略而保护整个网络的安垒,并且可以将通信约束在一个可管理和可靠性高的范围之内。

防火墙可以限制某些特殊服务的访问。

防火墙功能单一,不需要在安全性、可用性和功能上做取舍。

防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。

4.防火墙也有许多弱点:

不能防御已经授权的访问,以及存在于网络内部系统间的攻击。

不能防御合法用户恶意的攻击,以及社交攻击等非预期的威胁。

不能修复脆弱的管理措施和存在问题的安全策略。

不能防御不经过防火墙的攻击和威胁。

5.根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换一NAT、代理型和监测型。

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单、实用和成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

包过滤技术也有明显的缺陷。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵人,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

网络地址转化―NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。其优点是安垒性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型

监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

监测型防火墙由于实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙:基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安垒性需求,同时也能有效地控制安全系统的总拥有成本。

6.防火墙的不足

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文伴,以及无法防范数据驱动型的攻击。

这样各单位均通过其他手段进行安全强化,如:入侵监测、杀毒软件、网络监控、网络认证等。

虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

三、结束语

随着事业的发展,各单位均意识到网络安全的重要,逐步加强了网络的监管与防护工作,在备自的网络边界架设防火墙,定制策略进行边界防护,防止外部网络对内部网络的攻击,起到一定的隔离作用。但是网络的安全、设备的安全不是单纯的增加设备或是安装软件就能万事无忧了,更重要的还是使用人员的意识和素质,对于网络安全来说,采取手段是必要的,但更重要的是人员的管理。

防火墙技术论文篇二

防火墙技术的研究

摘 要: 本文主要阐述了防火墙的概况及其主要技术:包过滤、代理服务器、状态检测技术,分析了防火墙体系结构的一些优缺点,并提出了一些建设性的意见。

关键词: 防火墙 技术原理 体系结构

一、防火墙简介

1.防火墙的概念

防火墙的本义是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。

2.防火墙的发展

(1)第一代防火墙

第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。

(2)第二、三代防火墙

1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。

(3)第四代防火墙

1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。

(4)第五代防火墙

1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

二、防火墙的类型

从技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。

包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。

复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性。

三、防火墙技术原理

防火墙从原理上主要有三种技术:包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。

1.包过滤(PacketFiltering)技术

在基于TCP/IP协议的计算机网络上,所有网络上的计算机都是利用IP地址的唯一标志来确定其在网络中的位置的,而所有来往于计算机之间的信息都是以一定格式的数据包的形式来传输的,数据包中包含了标志发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时,路由器会读取数据包中接受者的IP地址,并根据这一IP地址选择一条合适的物理线路把数据包发送出去,当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的,它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息,然后按照网络管理员所设定的过滤规则进行过滤。

2.代理服务(ProxyService)技术

代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码,是在网管员允许下或拒绝特定的应用程序或者特定服务,还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层,提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接,将目的站点告知代理,对于合法的请求,代理以自己的身份(应用层网关)与目的站点建立连接,然后代理在这两个连接中转发数据。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能实现比包过滤路由器更严格的安全策略。

3.状态检测(StateInspection)技术

状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测,并动态地保存状态信息作为以后制定安全决策的参考。

四、各防火墙体系结构的优缺点

1.双重宿主主机体系结构提供来自于多个网络相连的主机的服务(但是路由关闭),它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口,位于因特网与内部网之间,并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信,但相互之间不行,它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。

2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间,提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统,通常因为它暴露于因特网之下,作为联结内部网络用户的桥梁,易受到侵袭损害。这里它位于内部网上,数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中,数据包过滤配置可以按下列之一执行:①允许其他内部主机,为了某些服务而开放到因特网上的主机连接(允许那些经由数据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用代理服务)。这种体系结构通过数据包过滤来提供安全,而保卫路由器比保卫主机较易实现,因为它提供了非常有限的服务组,所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是,若是侵袭者设法入侵堡垒主机,则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在;路由器同样可能出现单点失效,若被损害,则整个网络对侵袭者开放。

3.被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问),我们添加额外的安全层到被屏蔽主机体系结构中,将堡垒主机放在额外的安全层,构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络,为系统提供了安全的附加层,称之为周边网。这种体系结构有两个屏蔽路由器,每一个都连接到周边网。1个位于周边网与内部网之间,称为内部路由器,另一个位于周边网与外部网之间,称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络,必须通过两个路由器,即使他侵入了堡垒主机,仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。

五、对防火墙技术造成的安全漏洞的建议

防火墙的管理及配置相当复杂,要想成功地维护防火墙,防火墙管理员必须对网络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统组成的防火墙,管理上有所疏忽也是在所难免的。

对此可作如下改进:管理上的安全问题,关键在于提高管理员的素质,积极学习安全管理及网络安全知识,熟练掌握防火墙的系统配置关系,多多实践,积累足够的经验,多个系统防火墙的管理一定要有高度认真、负责到底的精神。总而言之,提高管理者的素质至关重要。

参考文献:

[1]林晓东,杨一先.网络防火墙技术.

[2]梅杰,许榕生.Internet防火墙技术最新发展.

防火墙技术论文的评论条评论