防火墙术研究.docx

《防火墙术研究.docx》由会员分享，可在线阅读，更多相关《防火墙术研究.docx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、绪论科学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还

2、无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。绪论1第一章防火墙是什么2第二章防火墙的分类3第三章防火墙功能概述6(1)根据应用程序访问规则可对应用程序连网动作进行过滤6第四章防火墙的不足7第五章防火墙主要技术特点8第六章防火墙的典型配置96.2. 屏蔽主机网关(ScreenedHostGateway)96.3. 屏蔽子网(ScreenedSubn

3、et)9第七章各种防火墙体系结构的优缺点10第八章常见攻击方式以及应对策略118.1 .1病毒118.1.3邮件128.2 应对策略128.2.1 方案选择128.2.3 坚持策略12第九章防火墙的发展趋势134)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。16第一章防火墙是什么防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备路由器

4、，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。第二章防火墙的分类从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。包过滤防火墙经历了两代：2.1静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这

5、个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。2.2动态包过滤防火墙静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它

6、的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。2.2.1 代理（应用层网关）防火墙这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。2.2.2 自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速

7、度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：优点缺点包过滤防火墙价格较低性能开销小，处理速度较快定义复杂，容易出现速度较慢，不太适用于高速网之间的应用代理防火墙内置了专门为提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成第三章防火墙功能概述防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安

8、装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过也，可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分它，通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：(1)根据应用程序访问规则可对应用程序连网动作进行过滤(2)对应用程序访问规则具有自学习功能。(3)可实时监控，

9、监视网络活动。(4)具有日志，以记录网络访问动作的详细信息。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。第四章防火墙的不足防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很

10、有可能被用来入侵内部网络。另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。第五章防火墙主要技术特点（1）应用层采用Winsock2SPI进行网络数据控制、过滤；（2）核心层采用NDISHOOK进行控制，尤其是在Windows2000下，此技术属微软未公开技术。此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock2SPI；二是核心层封包过滤，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之

11、上，属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用Winsock2SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows平台，可以直接在Windows98/ME/NT/2000/XP上通用，Windows95只需安装上Winsock2for95，也可以正常运行；效率高，由于工作在应用层，CPU占用率低；封包还没有按照低层协议进行切片，所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。第六章防火墙的典型配置目前比较流行的有以下三种

12、防火墙配置方案。6.1. 置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图1）。6.2. 屏蔽主机网关（ScreenedHostGateway）屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡

13、，与内部网络连接（如图2）。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3）。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。6.3. 屏蔽子网（ScreenedSubnet）这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Intern

14、et分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”，两个路由器一个控制Intranet数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。当然，防火墙本身也有其局限性

15、，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。第七章各种防火墙体系结构的优缺点7.1. 双重宿主主机体系结构它提供来自与多个网络相连的主机的服务（但是路由关闭），它围绕双重宿主主计算机构筑。该计算机至少有2个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁

16、止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。它能提供级别非常高的控制，并保证内部网上没有外部的IP包。但这种体系结构中用户访问因特网的速度会较慢，也会因为双重宿主主机的被侵袭而失效。7.2. 被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接（由站点安全策略决定）到外部世界。在屏蔽

17、路由器中，数据包过滤配置可以按下列之一执行：允许其他内部主机，为了某些服务而开放到因特网上的主机连接（允许那些经由数据包过滤的服务）。不允许来自内部主机的所有连接（强迫这些主机经由堡垒主机使用代理服务）。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，因此这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。7.3. 被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器（因

18、为它可被因特网上用户访问），我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有2个屏蔽路由器，每1个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另1个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过2个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。第八章常见攻击方式以及应对策略8.1常见攻击方式8.1 .1病毒尽管某些防火墙产品提供了在数据包通过时

19、进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。8.1.2 口令字对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。8.1.3 邮件来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息

20、复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。8.1.4 IP地址黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。8.2 应对策略8.2.2 方案选择市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上

21、实现防火墙的各种功能，因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。在制造上，硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化，将主要运算程序做成芯片，以减少CPU的运算压力；国内厂家的防火墙硬件平台仍使用通用PC系统，增加了内存容量，增大了CPU的频率。在软件性能方面，国外一些著名的厂家均采用专用的操作系统，自行设计防火墙，提供高性能的产品；而国内厂家大部分基于Linux操作平台，有针对性的修改代码、增加技术及系统补

22、丁等。因此，国产防火墙与国外的相比仍有一定差距，但科技的进步，也生产出了较为优秀的产品。如北京天融信的NG系列产品，支持TOPSEC安全体系、多级过滤、透明应用代理等先进技术。8.2.3 结构透明防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根椐自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。8.2.4 坚持策略（1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止来自内外部的攻击。（2）使用、News等服务代理，

23、以提供高水平的审计和潜在的安全性。（3）支持“除非明确允许，否则就禁止”的安全防范原则。（4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流通过。8.2.5 实施措施好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。第九章防火墙的发展趋势9.1. 优良的性能新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时

24、它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持NAT功能，它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边，但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。9.2. 可扩展的结构和功能对于一个好的防火墙系统而言，它的规模和功能应该能够适应内

25、部网络的规模和安全策略的变化。选择哪种防火墙，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。9.3. 简化的安装与管理防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时，若防火墙的管理过于困难，

26、则可能会造成设定上的错误，反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。WindowsNT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。9.4. 主动过滤防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天，许多防火墙都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎Internet站点的分类清单。防

27、火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。9.5. 防病毒与防黑客尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCPIP协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃，使Internet无法供企业使用。防火墙市场已经对此做出了反应。虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像SYN泛滥这类更复杂的拒绝服务攻击需要厂商部署

28、更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。第十章防火墙的反战前景以及技术方向伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：1）防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。2）过滤深度会不断加强，从目前的地址、服务过滤，发展到URL（页面）过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。3）利用防火墙建立专用网是较长一段时间用户使用的主流，IP的

29、加密需求越来越强，安全协议的开发是一大热点。4）单向防火墙（又叫做网络二极管）将作为一种产品门类而出现。5）对网络攻击的检测和各种告警将成为防火墙的重要功能。6）安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今，Internet遍布世界任

30、何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁甚。至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。

31、这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患结束语随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。参考文献机械工业出艾邦公司资料人民邮电出科学出版社1 作者：彭涛.版社，2 作者：IBON.Marshield3 作者：楚狂等版社3作者：聂元铭丘平计算机网络教程网络安全技术白皮书网络安全与Firewall技术网络信息安全技术