最新浅谈防火墙技术与网络安全.doc

浅谈防火墙技术与网络安全 摘要：随着计算机的普及和互联网的快速发展，网络安全问题显得愈来愈重要。为解决这一问题，产生了很多网络安全产品，防火墙就是其中使用较广的一个。论文在介绍了当前网路安全现状的基础上，详细介绍分析了防火墙的分类、工作原理和配置的基本方法，同时对防火墙技术的发展趋势进行了论述。关键词：信息安全 防火墙 配置原则 发展趋势 随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。一、 目前信息安全的现状 当前网络与信息安全的现状不容乐观，以网络攻击为例：据调查2004年专门针对美国政府的网站的非法入侵事件发生了5.4万件，2005年上升至7.9万件。中国公安部进行的一项调查显示，在被调查的7072家单位网络中，有58%曾在2004年遭到攻击。这些单位包括金融机构、国防、商贸、能源和电信等政府部门。此外，我国每年都会出现包括网路瘫痪、网络突发事件在内的多种网络安全事件。因此，网络与信息安全方面的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系，20世纪70年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及911等事件的出现，以美国为首的各个国家在网络与信息安全方面都在加速研究。我国自2003年以来也在网络与信息方面有了较大的进展，但是总体相对落后。目前网络上常见的安全防线主要有：防火墙、入侵检测、VPN等，这些技术为我们提供了相对安全的网络环境。二、 防火墙的简介（一）防火墙概述和分类防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，该计算机流入和流出的所有网络通信和数据包均要经过此防火墙，从而保护内部网免受非法用户的侵入。按防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。按防火墙的实现技术，一般可以将防火墙分为包过滤、应用级网关和状态检测。1包过滤技术包过滤是防火墙最基本的过滤技术，它要求将防火墙置于内外网络的边界，作为内部、外部网络的唯一通道，一切数据包都必须经过防火墙。防火墙的包过滤技术就是对内外网之间传输的数据包按照某些特征事先设置的一系列的安全规则，经过过滤或筛选，符合安全规则的数据包通过，而丢弃那些不符合安全规则的数据包。（如图1所示） 图1 包过滤防火墙拓扑结构2应用级网关应用级网关即代理服务器，代理服务器通常运行在两个网络之间，它为内部网络的客户提供HTTP、FTP等特定的Internet服务。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将该请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网的用户。应用级网关比单一的包过滤更为安全，而且会详细地记录所有的访问状态信息。（如图2所示）图2 应用级网关防火墙工作原理3.状态检测技术状态检测技术防火墙不仅仅像包过滤防火墙只考查数据包的IP地址等几个孤立的信息，而是增加了对数据包连接状态变化的考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内部网间传输的数据包以会话角度进行监测，利用状态表跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。（二）防火墙的功能和优缺点1防火墙的功能防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质：内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙；三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。2防火墙的优点和不足 防火墙能极大地提高一个内部网络的安全性，它主要有以下优点：防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可以管理和可靠性高的范围之内。防火墙可以用于限制对某些特殊服务的访问。防火墙功能单一，不需要在安全性、可用性和功能上做取舍。防火墙有审计和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。 同样，防火墙也存在许多的不足之处：不能防御已经授权的访问，以及存在于网络内部系统间的攻击。不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁。不能修复脆弱的管理措施和存在问题的安全策略。不能防御不经过防火墙的攻击和威胁。三、 防火墙的基本配置方法 现实生活中对防火墙的应用很多，我们需要根据不同的安全需求对防火墙进行配置。首先介绍一些基本的防火墙配置原则：默认情况下，所有的防火墙都是按以下两种情况配置的：一是拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型；二是允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）简单实用（2）全面深入（3）内外兼顾。对防火墙的配置分为硬件防火墙的配置和软件防火墙的配置。下面以软件防火墙天网防火墙（Skynet）为例对防火墙的配置进行介绍。天网防火墙的设置主要有基本系统设置、应用程序访问网络权限设置、自定义IP规则设置、安全级别设置四个方面。（一）系统设置系统设置有启动、规则设定、应用程序权限、局域网地址设定、其他设置几个方面。启动一项是设定开机后自动启动防火墙，在默认情况下不启动，我们一般选择自动启动，这也是安装防火墙的目的。规则设定是个设置向导，可以分别设置安全级别、局域网信息设置、常用应用程序设置。局域网地址设定和其他设置用户可以根据网络环境和安全需要设置。（如图3所示） 图3 防火墙的系统设置（二）安全级别设置天网防火墙的安全级别分为高、中、低、自定义四类（如图4所示）。低安全级别情况下，完全信任局域网，允许局域网中的机器访问自己提供的各种服务，但禁止互联网上的机器访问这些服务。中安全级别下，局域网中的机器只可以访问共享服务，但不允许访问其它服务，也不允许互联网中的机器访问这些服务，同时运行动态规则管理。高安全级别下系统屏蔽掉所有向外的端口，局域网和互联网中的机器都不能访问自己提供的网络共享服务，网络中的任何机器都不能查找到该机器的存在。自定义级别适合了解TCP/IP协议的用户，可以设置IP规则，而如果规则设置不正确，可能会导致不能访问网络。对普通个人用户，一般推荐将安全级别设置为中级。这样可以在已经存在一定规则的情况下，对网络进行动态的管理。 图4 防火墙的安全级别设置（三）应用程序访问网络权限设置当有新的应用程序访问网络时，防火墙会弹出警告对话框，询问是否允许访问网络，保险起见，对用户不熟悉的程序，都可以设为禁止访问网络。在设置的高级选项中，还可以设置该应用程序是通过TCP还是UDP协议访问网络，及TCP协议可以访问的端口，当不符合条件时，程序将询问用户或禁止操作。对已经允许访问网络的程序，下一次访问网络时，按缺省规则管理。（如图5所示） 图5 应用程序访问网络权限设置（四）自定义IP规则设置在选中中级安全级别时，进行自定义IP规则的设置是很必要的。在这一项设置中，可以自行添加、编辑、删除IP规则，对防御入侵可以起到很好的效果。IP规则的设置分为规则名称的设定、规则的说明、数据包方向、对方IP地址，对于该规则IP、TCP、UDP、ICMP、IGMP协议需要做出的设置，当满足上述条件时，对数据包的处理方式，对数据包是否进行记录等。如果IP规则设置不当，天网防火墙的警告标志就会闪，而如果正确的设置了IP规则，则既可以起到保护电脑安全的作用，又可以不必时时去关注警告信息。在天网防火墙的默认设置中有两项防御ICMP和IGMP攻击，这两种攻击形式一般情况下只对Win 98系统起作用，而对Win 2000和Win XP的用户攻击无效，因此可以允许这两种数据包通过，或者拦截而不警告。用Ping命令探测计算机是否在线是黑客经常使用的方式，因此要防止别人用Ping探测。如果用户知道某个木马或病毒的工作端口，就可以通过设置IP规则封闭这个端口。方法是增加IP规则，在TCP或UDP协议中，将本地端口设为从该端口到该端口，对符合该规则的数据进行拦截，就可以起到防范该木马的效果。增加木马工作端口的数据拦截规则，是IP规则设置中最重要的一项技术。 图6 自定义IP规则设置四、 防火墙的发展趋势针对传统防火墙不能解决的问题以及新的攻击问题的出现，防火墙技术也出现了新的发展趋势，主要可以从包过滤技术、防火墙体系和防火墙系统管理三方面体现。（一）防火墙包过滤技术的发展趋势1安全策略功能一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常重要。具有用户身份认证的防火墙通常是采用应用级网关技术的，而包过滤技术的防火墙不具有。2多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或入的协议和有害的数据包；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和检测Internet提供的所有通用服务。3功能扩展功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSet等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中。（二）防火墙的体系结构发展趋势 随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所到来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是一种基于软件的解决方案，它需要在很大程度上依赖于软件的功能，但是由于这类防火墙中有一些专门用于处理数据层任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。（三）防火墙的系统管理发展趋势 在系统管理方面，防火墙的发展主要体现在以下几个方面：一是集中式管理，分布式和分层的安全结构；二是强大的审计功能和自动日志分析功能；三是网络安全产品的系统化。纵观防火墙技术的发展、黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。防火墙技术是目前应对网络安全问题的有效的技术手段之一，但是网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等，这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施，即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构，这样才能真正做到整个系统的安全。 参考文献1丁志芳，徐梦春.评说防火墙和入侵检测J.网络安全技术与应用，2002,37-412倪惠莲.网络安全与防火墙技术D.浙江师范大学,2002年3王代潮,曾德超.防火墙技术的演变及其发展趋势分析A.第九届保密通信与信息安全现状研讨会论文集C,2005年4张志安.网络安全应用防火墙的研究J.常州工学院学报,2006年5振海.天网个人防火墙使用问答J.电子科技,2000年