2022年防火墙常用技术和性能 .pdf

《2022年防火墙常用技术和性能 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙常用技术和性能 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙常用技术和性能防火墙常用技术和性能摘 要 , I 第一章 背景和意义 , 1 第二章 什么是防火墙,2.1 什么是防火墙 ,2.2 防火墙的益处 ,第三章 防火墙的简介 ,3.1 防火墙的简介 ,第四章 防火墙常用技术和性能 ,4. 1 防火墙的四种基本类型,4. 2 防火墙的选择 ,致谢 ,参考书目 ,关键字黑客 防火墙 网络安全内容摘要文中就信息网络安全内涵发生的根本变化，网络安全与防护、防火墙技术的概念、作用，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。 论述了网络防火墙安全技术的分类及其主要技术特征，并且介绍了防火墙技术的相关知识。引言在计算机技术

2、和网络技术普遍应用的今天，人们已经不再用太多的脑子去记很多的东西了， 主要记载在计算机上或与之相关机器上，只需记载一些密码便可， 也方便查询。但是，由于连上了网，难免有些人有盗取的想法，因此，需要确保信息系统安全。以前，人们只要设些复杂的密码就可以，但是连上网后，骇客们就有盗窃，破坏的行动了， 尤其是敏感信息。 因此，不只要经常给系统打补丁， 还要有一个好的防火墙。有防火墙可以更好的防范骇客攻击，它可以控制端口的连接， 把一些危险的端口屏蔽掉， 防止他人对的机子配置信息的扫描，可以防范一些有攻击性的病毒，因此，用防火墙是很有必要的。 可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警

3、，瑞星防火墙等。还有，安装防火墙，它的设置不能仅是默认设置， 自己适当更改， 以便更适合自己。 由此引出的问题和解决办法就是这一课题的主要研究对象。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 第一章 背景和意义随着计算机的发展， 人们越来越意识到网络的重要性，通过网络， 分散在各处的计算机被网络联系在一起。做为网络的组成部分，把众多的计算机联系在一起，组成一个局域网， 在这个局域网中， 可以在它们之间共享程序、 文档等各种资

4、源；还可以通过网络使多台计算机共享同一硬件，如打印机、 调制解调器等； 同时我们也可以通过网络使用计算机发送和接收传真，方便快捷而且经济。21 世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。 它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想

5、真正解决网络安全问题， 最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。防火墙有以下几大特点： 第一，防火墙来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸， 进入网络的手段也越来越多， 因此，防火墙技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升， 所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题， 我们还没

6、有从系统的规划上去考虑它， 从技术上、 产业上、政策上来发展它。 政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到， 发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章 什么是防火墙2.1 什么是防火墙1. 什么是防火墙防火墙是指设置在不同网络 （如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上， 防火墙是一个分离器， 一个限制器， 也是一个分析

7、器， 有效地监控了内部网和 Internet之间的任何活动，保证了内部网络的安全。2. 2 使用防火墙的益处保护脆弱的服务通过过滤不安全的服务， 防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止 NIS、NFS服务通过， Firewall同时可以拒绝源路由和 ICMP重定向封包。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - 控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机， 同时

8、禁止访问另外的主机。 例如， Firewall允许外部访问特定的Mail Server 和 Web Server 。集中的安全管理防火墙对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Figer 和 DNS 。记录和统计网络利用数据以及非法使用数据防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并

9、且， Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时， 网络安全取决于每台主机的用户。第三章 防火墙的简介3.1 防火墙的简介网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源， 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查， 以决定网络之间的通信是否被允许， 并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关( 代理服务器 )虽然防火墙是目前保护网络免遭黑客袭击

10、的有效手段，但也有明显不足： 无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁， 也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。自从 1986 年美国 Digital公司在 Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后， 防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。防火墙处于 5 层网络安全体系中的最底层, 属于网络层安全技术范畴。在这一层上, 企业对安全系统提出的问题是: 所有的 IP 是否都能访问到企业的内部网络系统?如果答案是“是” , 则说明企业内部网还没有

11、在网络层采取相应的防范措施。为内部网络与外部公共网络之间的第一道屏障, 防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看 , 防火墙处于网络安全的最底层, 负责网络间的安全认证与传输 , 但随着网络安全技术的整体发展和网络应用的不断变化, 现代防火墙技术已经逐步走向网络层之外的其他安全层次, 不仅要完成传统防火墙的过滤任务 , 同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

12、- - - - 第 3 页，共 6 页 - - - - - - - - - 但包过滤技术的缺陷也是明显的。 包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断, 无法识别基于应用层的恶意侵入 , 如恶意的 JAVA小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造 IP 地址, 骗过包过滤型防火墙。实际上 , 作为当前防火墙产品的主流趋势, 大多数代理服务器 ( 也称应用网关 ) 也集成了包过滤技术 , 这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的, 应用网关能提供对协议的过滤。例如, 它可以过滤掉FTP连接中的 PU

13、T 命令, 而且通过代理应用 , 应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点, 使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。3.1 防火墙体系结构目前, 防火墙的体系结构一般有以下几种: （1）双重宿主主机体系结构；（2）被屏蔽主机体系结构；（3）被屏蔽子网体系结构。1. 双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP 数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能

14、。因而，IP 数据包从一个网络（例如，因特网）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信， 同时防火墙外部的系统 （在因特网上） 能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP 通信被完全阻止。双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间， 并且被连接到因特网和内部的网络。2. 屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭 ),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中, 主要的安全由数据包过滤。在屏蔽的路由

15、器上的数据包过滤是按这样一种方法设置的: 即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件） 。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。数据包过滤也允许堡垒主机开放可允许的连接（什么是 可允许 将由用户的站点的安全策略决定）到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行：允许其它的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务） 。用户可以针对不

16、同的服务混合使用这些手段；某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - 来， 实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败（因为这种失败类型是完全出乎

17、预料的，不大可能防备黑客侵袭）。进而言之， 保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。然而，比较其它体系结构屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时， 而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。3. 屏蔽子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构, 即通过添加周边网络更进一步地把内部网络与Internet隔离开。为什么这样做？由它们的性质决定

18、。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。 如果在屏蔽主机体系结构中， 用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时（除了它们可能有的主机安全之外， 这通常是非常少的） 。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会， 但不是全部。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一

19、个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间（通常为Internet）。为了侵入用这种类型的体系结构构筑的内部网络， 侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机， 他将仍然必须通过内部路由器。在此情况下， 没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。要点说明如下：（1）周边网络周边网络是另一个安全层, 是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。对于周边网络的作用， 举例说明如下。 在许多网络设置中， 用给定

20、网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此 （而且以太网是当今使用最广泛的局域网技术）；对若干其它成熟的技术，诸如令牌环和 FDDI也是如此。探听者可以通过查看那些在Telnet 、FTP以及 rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等等；探听者能完全监视何人在使用网络。对于周边网络， 如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机

21、之间的通信，这通常是敏感的或者专有的 ) 能越过周边网。 所以，如果堡垒主机被损害， 内部的通信仍将是安全的。一般来说， 来往于堡垒主机， 或者外部世界的通信， 仍然是可监视的。 防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - （2）堡垒主机在屏蔽的子网体系结构中， 用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如：1. 对于

22、进来的电子邮件（ SMTP ）会话，传送电子邮件到站点；2. 对于进来的 FTP连接，转接到站点的匿名FTP服务器；3. 对于进来的域名服务（ DNS ）站点查询等等。另一方面，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理：1. 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。2. 设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信（即拨号入网方式）。（3）内

23、部路由器内部路由器（在有关防火墙著作中有时被称为阻塞路由器）保护内部的网络使之免受 Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机（在周边网上） 和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。（4）外部路由器在理论上， 外部路由器（在有关防火墙著作中有时被称为访问路由器）

24、保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站， 并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。一般，外部路由器由外部群组提供（例如，用户的Internet供应商），同时用户对它的访问被限制。 外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使维护复杂或者使用频繁变化的规则组。外部路由器实际上需要做什么呢？外部路由器能有效地执行的安全任务之一（通常别的任何地方不容易做的任务）是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -