序論:在您撰寫(xiě)防火墻技術(shù)的研究時(shí)�����,參考他人的優(yōu)秀作品可以開(kāi)闊視野��,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞: 防火墻 技術(shù)原理 體系結(jié)構(gòu)
一�、防火墻簡(jiǎn)介
1.防火墻的概念
防火墻的本義是指古代人們房屋之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋��。防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱(chēng)。
2.防火墻的發(fā)展
(1)第一代防火墻
第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)����,采用了包過(guò)濾(Packet filter)技術(shù)。
(2)第二�����、三代防火墻
1989年����,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻�,同時(shí)提出了第三代防火墻——應(yīng)用層防火墻(防火墻)的初步結(jié)構(gòu)。
(3)第四代防火墻
1992年�,USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(Dynamic packet filter)技術(shù)的第四代防火墻�����,后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)���。
(4)第五代防火墻
1998年���,NAI公司推出了一種自適應(yīng)(Adaptive proxy)技術(shù)����,并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)����,給類(lèi)型的防火墻賦予了全新的意義,可以稱(chēng)之為第五代防火墻�。
二、防火墻的類(lèi)型
從技術(shù)上看�����,防火墻有三種基本類(lèi)型:包過(guò)濾型���、服務(wù)器型和復(fù)合型���。
包過(guò)濾型防火墻(Packet Filter Firewall)通常建立在路由器上,在服務(wù)器或計(jì)算機(jī)上也可以安裝包過(guò)濾防火墻軟件�。包過(guò)濾型防火墻工作在網(wǎng)絡(luò)層,基于單個(gè)IP包實(shí)施網(wǎng)絡(luò)控制���。它對(duì)所收到的IP數(shù)據(jù)包的源地址�����、目的地址���、TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號(hào)及目的端口號(hào)�、包出入接口�����、協(xié)議類(lèi)型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)��,與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪(fǎng)問(wèn)控制表進(jìn)行比較�,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。
服務(wù)器型防火墻(Proxy Service Firewall)通過(guò)在計(jì)算機(jī)或服務(wù)器上運(yùn)行的服務(wù)程序����,直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù),因此也稱(chēng)為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻��。服務(wù)器型防火墻的核心�����,是運(yùn)行于防火墻主機(jī)上的服務(wù)器進(jìn)程�,實(shí)質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。
復(fù)合型防火墻(Hybrid Firewall)把包過(guò)濾�、服務(wù)和許多其他的網(wǎng)絡(luò)安全防護(hù)功能結(jié)合起來(lái),形成新的網(wǎng)絡(luò)安全平臺(tái)��,以提高防火墻的靈活性和安全性�����。
三����、防火墻技術(shù)原理
防火墻從原理上主要有三種技術(shù):包過(guò)濾(PackeFiltering)技術(shù)、服務(wù)(ProxyService)技術(shù)和狀態(tài)檢測(cè)(StateInspection)技術(shù)���。
1.包過(guò)濾(PacketFiltering)技術(shù)
在基于TCP/IP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)上�����,所有網(wǎng)絡(luò)上的計(jì)算機(jī)都是利用IP地址的唯一標(biāo)志來(lái)確定其在網(wǎng)絡(luò)中的位置的����,而所有來(lái)往于計(jì)算機(jī)之間的信息都是以一定格式的數(shù)據(jù)包的形式來(lái)傳輸?shù)?���,?shù)據(jù)包中包含了標(biāo)志發(fā)送者位置的IP地址�����、端口號(hào)和接受者位置的IP地址���、端口號(hào)等地址信息。當(dāng)這些數(shù)據(jù)包被送上計(jì)算機(jī)網(wǎng)絡(luò)時(shí)���,路由器會(huì)讀取數(shù)據(jù)包中接受者的IP地址��,并根據(jù)這一IP地址選擇一條合適的物理線(xiàn)路把數(shù)據(jù)包發(fā)送出去�,當(dāng)所有的數(shù)據(jù)包都到達(dá)目的主機(jī)之后再被重新組裝還原����。包過(guò)濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡(luò)上的這一傳輸原理來(lái)設(shè)計(jì)的,它可以實(shí)現(xiàn)網(wǎng)絡(luò)中數(shù)據(jù)包的訪(fǎng)問(wèn)控制�。首先包過(guò)濾防火墻會(huì)檢查所有通過(guò)它的數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的IP包頭信息,然后按照網(wǎng)絡(luò)管理員所設(shè)定的過(guò)濾規(guī)則進(jìn)行過(guò)濾�����。
2.服務(wù)(ProxyService)技術(shù)
實(shí)際是設(shè)置在Internet防火墻網(wǎng)關(guān)上有特殊功能的應(yīng)用層代碼�,是在網(wǎng)管員允許下或拒絕特定的應(yīng)用程序或者特定服務(wù),還可應(yīng)用于實(shí)施數(shù)據(jù)流監(jiān)控�����、過(guò)濾����、記錄和報(bào)告等功能。在應(yīng)用層����,提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用��,內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求�,拒絕外部網(wǎng)絡(luò)其他接點(diǎn)的直接請(qǐng)求。的工作原理比較簡(jiǎn)單���。用戶(hù)與服務(wù)器建立連接����,將目的站點(diǎn)告知�����,對(duì)于合法的請(qǐng)求��,以自己的身份(應(yīng)用層網(wǎng)關(guān))與目的站點(diǎn)建立連接,然后在這兩個(gè)連接中轉(zhuǎn)發(fā)數(shù)據(jù)��。其主要特點(diǎn)是有狀態(tài)性����,能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息,能提供全部的審計(jì)和日志功能�����,能隱藏內(nèi)部IP地址���,能實(shí)現(xiàn)比包過(guò)濾路由器更嚴(yán)格的安全策略�。
3.狀態(tài)檢測(cè)(StateInspection)技術(shù)
狀態(tài)檢測(cè)又稱(chēng)動(dòng)態(tài)包過(guò)濾���,是在傳統(tǒng)包過(guò)濾上的功能擴(kuò)展����,最早由Checkpoint提出�����。狀態(tài)檢測(cè)作為防火墻技術(shù)其安全特性最佳�����,它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱(chēng)為檢測(cè)模塊���。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下,采用抽取相關(guān)數(shù)據(jù)(狀態(tài)信息)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)���,并動(dòng)態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考�。
四����、各防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn)
1.雙重宿主主機(jī)體系結(jié)構(gòu)提供來(lái)自于多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉),它圍繞雙重宿主主計(jì)算機(jī)構(gòu)筑��。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口�,位于因特網(wǎng)與內(nèi)部網(wǎng)之間,并被連接到因特網(wǎng)和內(nèi)部網(wǎng)�����。兩個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信�,但相互之間不行,它們之間的IP通信被完全禁止�。雙重宿主主機(jī)僅能通過(guò)或用戶(hù)直接登錄到雙重宿主主機(jī)來(lái)提供服務(wù)����。
2.被屏蔽主機(jī)體系結(jié)構(gòu)使用1個(gè)單獨(dú)的路由器提供來(lái)自?xún)H僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)���。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間�,提供數(shù)據(jù)包過(guò)濾功能����。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng),通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下�,作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶(hù)的橋梁,易受到侵襲損害����。這里它位于內(nèi)部網(wǎng)上,數(shù)據(jù)包過(guò)濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機(jī)系統(tǒng)�。它也可以開(kāi)放一些連接(由站點(diǎn)安全策略決定)到外部世界。在屏蔽路由器中���,數(shù)據(jù)包過(guò)濾配置可以按下列之一執(zhí)行:①允許其他內(nèi)部主機(jī)�,為了某些服務(wù)而開(kāi)放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù))����。②不允許來(lái)自?xún)?nèi)部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用服務(wù))�。這種體系結(jié)構(gòu)通過(guò)數(shù)據(jù)包過(guò)濾來(lái)提供安全����,而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn),因?yàn)樗峁┝朔浅S邢薜姆?wù)組��,所以這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性�����。弊端是����,若是侵襲者設(shè)法入侵堡壘主機(jī)�,則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無(wú)任何保護(hù)網(wǎng)絡(luò)安全的東西存在;路由器同樣可能出現(xiàn)單點(diǎn)失效�,若被損害,則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開(kāi)放����。
3.被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機(jī)是內(nèi)部網(wǎng)上最易被侵襲的機(jī)器(因?yàn)樗杀灰蛱鼐W(wǎng)上用戶(hù)訪(fǎng)問(wèn)),我們添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)中����,將堡壘主機(jī)放在額外的安全層�,構(gòu)成了這種體系結(jié)構(gòu)�����。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò)�����,為系統(tǒng)提供了安全的附加層����,稱(chēng)之為周邊網(wǎng)。這種體系結(jié)構(gòu)有兩個(gè)屏蔽路由器��,每一個(gè)都連接到周邊網(wǎng)���。1個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間����,稱(chēng)為內(nèi)部路由器���,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)之間����,稱(chēng)之為外部路由器。堡壘主機(jī)位于周邊網(wǎng)上�。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò),必須通過(guò)兩個(gè)路由器����,即使他侵入了堡壘主機(jī),仍無(wú)法進(jìn)入內(nèi)部網(wǎng)����。因此這種結(jié)構(gòu)沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點(diǎn)。
五��、對(duì)防火墻技術(shù)造成的安全漏洞的建議
防火墻的管理及配置相當(dāng)復(fù)雜�����,要想成功地維護(hù)防火墻����,防火墻管理員必須對(duì)網(wǎng)絡(luò)安全的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解���。防火墻的安全策略無(wú)法進(jìn)行集中管理����。一般來(lái)說(shuō),由多個(gè)系統(tǒng)組成的防火墻�,管理上有所疏忽也是在所難免的。
對(duì)此可作如下改進(jìn):管理上的安全問(wèn)題�,關(guān)鍵在于提高管理員的素質(zhì),積極學(xué)習(xí)安全管理及網(wǎng)絡(luò)安全知識(shí)�,熟練掌握防火墻的系統(tǒng)配置關(guān)系,多多實(shí)踐�,積累足夠的經(jīng)驗(yàn),多個(gè)系統(tǒng)防火墻的管理一定要有高度認(rèn)真��、負(fù)責(zé)到底的精神���??偠灾?,提高管理者的素質(zhì)至關(guān)重要。
參考文獻(xiàn):
第2篇
關(guān)鍵詞:防火墻�;帶寬技術(shù);網(wǎng)絡(luò)端口�����;阻塞
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2013) 01-0164-02
防火墻帶寬控制技術(shù)就是通過(guò)某些控制工具實(shí)現(xiàn)數(shù)據(jù)的分類(lèi)整理��,進(jìn)行順暢通過(guò)的技術(shù)。防火墻控制技術(shù)的實(shí)現(xiàn)解決了互聯(lián)網(wǎng)的一個(gè)技術(shù)瓶頸����,帶來(lái)了網(wǎng)速的飛躍;但是也帶來(lái)了問(wèn)題�����。帶寬控制技術(shù)的實(shí)現(xiàn)帶來(lái)了哪些飛躍���,又帶來(lái)了哪些問(wèn)題呢�����?
1 防火墻帶寬控制技術(shù)
隨著網(wǎng)絡(luò)的發(fā)展�����,帶寬也得到了飛速的發(fā)展。雖然帶寬已經(jīng)達(dá)到了比較高的水平���,但是在公司或者學(xué)校等集中使用網(wǎng)絡(luò)的地方還是容易出現(xiàn)一些問(wèn)題����。因?yàn)樵谄髽I(yè)或者學(xué)校使用的是局域網(wǎng),所有的網(wǎng)絡(luò)數(shù)據(jù)都通過(guò)一個(gè)渠道輸送�����。因此�,雖然在企業(yè)或者單位使用的網(wǎng)速很好,已經(jīng)達(dá)到很多兆了�,但是在數(shù)據(jù)的輸出網(wǎng)口還是會(huì)出現(xiàn)堵塞的情況。這就影響了用戶(hù)的正常使用�。因此,為了解決這一問(wèn)題���,電腦研發(fā)者研究出了防火墻帶寬控制技術(shù)����,這是專(zhuān)門(mén)為了解決局域網(wǎng)大量數(shù)據(jù)擁擠的情況而研究的�����。防火墻帶寬控制技術(shù)就是通過(guò)對(duì)數(shù)據(jù)流進(jìn)行分組����,讓同一種類(lèi)的數(shù)據(jù)流可以同時(shí)通過(guò)而不影響通過(guò)速度。簡(jiǎn)單來(lái)說(shuō)�����,就是在同一時(shí)間將通過(guò)端口的數(shù)據(jù)流按照類(lèi)型進(jìn)行分類(lèi),然后按等級(jí)通過(guò)�����,等級(jí)高的先通過(guò)���,等級(jí)低的后通過(guò)��。同一等級(jí)的可以同時(shí)通過(guò)�����。有了防火墻帶寬控制技術(shù)很多企業(yè)由于大數(shù)據(jù)流量同時(shí)通過(guò)而造成的擁擠現(xiàn)象解決了�����。這項(xiàng)技術(shù)的研發(fā)目前還不是特別成熟��,因?yàn)樗趯?duì)數(shù)據(jù)流進(jìn)行分類(lèi)的同時(shí)也影響了防火墻的性能�����。防火墻也是在斷口處進(jìn)行設(shè)卡�,以阻止不良信息的通過(guò)����,但是通過(guò)帶寬控制技術(shù)將信息進(jìn)行分類(lèi)后,有些不良信息可能混進(jìn)某一類(lèi)而進(jìn)入電腦中����,從而給電腦帶來(lái)傷害。
2 防火墻帶寬控制技術(shù)實(shí)現(xiàn)的必要性
2.1 網(wǎng)絡(luò)端口的阻塞問(wèn)題�。網(wǎng)絡(luò)是新時(shí)代的產(chǎn)物,是改變我們生活的一種工具�����,它讓生活變得更方便���、更快捷�����?�;ヂ?lián)網(wǎng)提供給人們的不僅僅是隨時(shí)隨地的新聞��,身邊的電影院�����,還為企業(yè)提供一系列的服務(wù)����。企業(yè)可以利用互聯(lián)網(wǎng)開(kāi)展電子商務(wù),就是在互聯(lián)網(wǎng)上進(jìn)行業(yè)務(wù)的洽談�����,為了企業(yè)內(nèi)部交流的需要���,IT研究者研發(fā)了局域網(wǎng)��,局域網(wǎng)的好處就是企業(yè)內(nèi)部使用同一個(gè)端口����,便于交流��,也可以節(jié)省一些網(wǎng)絡(luò)費(fèi)用��。但同時(shí)也出現(xiàn)了一些問(wèn)題���,因?yàn)槠髽I(yè)內(nèi)部同時(shí)使用網(wǎng)絡(luò)的人員較多���,所以容易造成數(shù)據(jù)流的集中,如果大量的數(shù)據(jù)同時(shí)通過(guò)端口�����,就有可能造成端口的堵塞����,從而影響整個(gè)局域網(wǎng)的網(wǎng)速。通俗來(lái)講��,就跟堵車(chē)一樣����,如果在同一個(gè)路口有大量車(chē)同時(shí)通過(guò),通過(guò)的速度就會(huì)變慢���,甚至出現(xiàn)停滯不前的情況����。如果端口堵塞了�����,就會(huì)影響企業(yè)的辦公效率。因此����,必須研發(fā)一種帶寬控制技術(shù),讓所有的數(shù)據(jù)按照一定的規(guī)則通過(guò)���,這樣就不會(huì)造成堵塞的現(xiàn)象了���。
2.2 某些應(yīng)用長(zhǎng)期占用網(wǎng)速。在企業(yè)的電子商務(wù)中��,人們從事的崗位不同�,工作所處理的任務(wù)不同,因此使用互聯(lián)網(wǎng)所傳輸?shù)臄?shù)據(jù)也就有了區(qū)別�����,有些數(shù)據(jù)流量較大�����,占用網(wǎng)速較多���,有些數(shù)據(jù)流量較小����,占用網(wǎng)速也少。但是如果流量大的數(shù)據(jù)和流量小的數(shù)據(jù)同時(shí)通過(guò)端口的時(shí)候��,流量大的數(shù)據(jù)就會(huì)長(zhǎng)期占用網(wǎng)速����,導(dǎo)致流量小的數(shù)據(jù)無(wú)法通過(guò)��。就好像我們?nèi)绻螺d大型游戲的同時(shí)觀看電影�,就會(huì)造成電影的不順暢,甚至很多網(wǎng)頁(yè)都打不開(kāi)��,兩者是同一個(gè)道理����。所以為了優(yōu)化處理這個(gè)問(wèn)題,就需要帶寬控制技術(shù)�����,通過(guò)在防火墻的端口實(shí)施帶寬控制����,就能?chē)?yán)禁某些數(shù)據(jù)長(zhǎng)期占用網(wǎng)速�。通過(guò)帶寬控制技術(shù)����,將數(shù)據(jù)流進(jìn)行分類(lèi),讓數(shù)據(jù)流量小的內(nèi)容也能順利通過(guò)���。
3 帶寬控制工具TC的功能實(shí)現(xiàn)
TC是帶寬控制技術(shù)的一個(gè)實(shí)現(xiàn)工具�,通過(guò)在網(wǎng)絡(luò)端口安裝TC�,達(dá)到規(guī)范數(shù)據(jù)流順暢通過(guò)的目的。TC的工作原理就是將同時(shí)通過(guò)端口的數(shù)據(jù)按照隊(duì)列進(jìn)行分類(lèi)�����,然后按照次序一次通過(guò)����,同一種類(lèi)的數(shù)據(jù)可以同時(shí)通過(guò)。就好比十字路口的紅綠燈����,發(fā)揮著指揮的作用。如果在十字路口����,沒(méi)有交通信號(hào)燈的管制���,幾個(gè)方向的車(chē)同時(shí)通過(guò),不僅通過(guò)的速度緩慢��,還有可能造成事故����。而采用了紅綠燈后����,對(duì)車(chē)輛進(jìn)行分類(lèi),每個(gè)方向的車(chē)都按照“直行”“左轉(zhuǎn)”“右轉(zhuǎn)”排好隊(duì)����,這樣通過(guò)時(shí)就能順暢了。TC的工作原理就等同于路口紅綠燈的功能���,將所有要通過(guò)的數(shù)據(jù)按照不同種類(lèi)進(jìn)行分類(lèi)后���,然后再一次通過(guò),就保障了網(wǎng)速的順暢��。
4 防火墻帶寬控制技術(shù)的優(yōu)缺點(diǎn)
第3篇
關(guān)鍵詞:防火墻;linux�����;iptables��;netfilter
中圖法分類(lèi)號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)08-10ppp-0c
隨著網(wǎng)絡(luò)的開(kāi)放性���、共享性和互連程度擴(kuò)大��,特別是Internet的發(fā)展���,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。隨著網(wǎng)絡(luò)上各種新興業(yè)務(wù)的興起�����,比如電子商務(wù)���、電子現(xiàn)金���、數(shù)字貨幣網(wǎng)絡(luò)銀行等,以及各種專(zhuān)用網(wǎng)的建設(shè)���,比如金融網(wǎng)等�����,使得安全問(wèn)題顯得越來(lái)越重要��。因此網(wǎng)絡(luò)安全成了數(shù)據(jù)通信領(lǐng)域研究和發(fā)展的一個(gè)重要方向��,對(duì)網(wǎng)絡(luò)安全技術(shù)的研究成了現(xiàn)在計(jì)算機(jī)和通信領(lǐng)域的一個(gè)熱點(diǎn)��。而防火墻技術(shù)是針對(duì)網(wǎng)絡(luò)安全特點(diǎn)而建立的防范措施���。而LINUX操作系統(tǒng)不僅具有開(kāi)放源代碼的巨大優(yōu)勢(shì)�����,而且能適用于多種CPU和硬件平臺(tái)����,性能穩(wěn)定����,非常適合作為一些嵌入式防火墻設(shè)備的操作系統(tǒng)�,因此����,研究基于LINUX的防火墻技術(shù)具有重要的意義����。
1 防火墻原理
1.1 防火墻的概念和工作原理
防火墻技術(shù)是目前各種網(wǎng)絡(luò)安全解決方案中常用的技術(shù),它通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全管理�。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來(lái)拒絕未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)�����,阻止未經(jīng)授權(quán)的用戶(hù)存取敏感數(shù)據(jù)����,同時(shí)允許合法用戶(hù)不受阻礙地訪(fǎng)問(wèn)網(wǎng)絡(luò)資源,從總體上看�����,防火墻應(yīng)具有以下五大基本功能:
過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包�����。
管理進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為��。
封堵某些禁止的訪(fǎng)問(wèn)行為。
記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)�����。
對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警�����。
為實(shí)現(xiàn)以上功能��,在防火墻產(chǎn)品的開(kāi)發(fā)中�����,人們要應(yīng)用網(wǎng)絡(luò)拓?fù)浼夹g(shù)����、計(jì)算機(jī)操作系統(tǒng)技術(shù)�、路由技術(shù)、加密技術(shù)��、訪(fǎng)問(wèn)控制技術(shù)����、安全審計(jì)技術(shù)等成熟或先進(jìn)的技術(shù)手段��。其工作原理是:按照事先規(guī)定好的配置與規(guī)則���,監(jiān)測(cè)并過(guò)濾通過(guò)防火墻的數(shù)據(jù)流,只允許授權(quán)的或者符合規(guī)則的數(shù)據(jù)通過(guò)�����。防火墻應(yīng)該能夠記錄有關(guān)連接的信息��、服務(wù)器或主機(jī)間的數(shù)據(jù)流量以及任何試圖通過(guò)防火墻的非法訪(fǎng)問(wèn)記錄���。同時(shí)����、防火墻自身也應(yīng)具備較高的抗攻擊性能��。
1.2 防火墻的分類(lèi)
按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法���,大致可以將防火墻分為兩大體系:包過(guò)濾防火墻和防火墻(應(yīng)用層網(wǎng)關(guān)防火墻)�����。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表��,后者以美國(guó)NAI公司的Gauntlet防火墻為代表��。
表1 兩種防火墻的比較
包過(guò)濾防火墻分為靜態(tài)和動(dòng)態(tài)�。靜態(tài)包過(guò)濾防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包。以便確定其是否與某一條包過(guò)濾規(guī)則匹配��。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制b}�����,報(bào)頭信息中包括IP源地址�����、IP目標(biāo)地址��、傳輸協(xié)議(TCP, UDP, ICMP等等)��、TCP/UDP目標(biāo)端口, ICMP消息類(lèi)型等�,包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包��,禁止其他的數(shù)據(jù)包���。動(dòng)態(tài)包過(guò)濾防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法�,避免了靜態(tài)包過(guò)濾所具有的問(wèn)題����。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤��,并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新條目���。
防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻�����。這種防火墻通過(guò)一種(Proxy)技術(shù)參與到一個(gè)TCP連接的全過(guò)程����。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后�����,就好像是源于防火墻外部網(wǎng)卡一樣����,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用�。這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻�����。類(lèi)型防火墻的最突出的優(yōu)點(diǎn)就是安全����。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)Proxy的介入和轉(zhuǎn)換,通過(guò)專(zhuān)門(mén)為特定的服務(wù)如Http編寫(xiě)的安全化的應(yīng)用程序進(jìn)行處理�����,然后由防火墻本身提交請(qǐng)求和應(yīng)答�,沒(méi)有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話(huà)的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類(lèi)型的攻擊方式入侵內(nèi)部網(wǎng)��。
自適應(yīng)技術(shù)(Adaptive proxy)是最近在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)�����。它可以結(jié)合類(lèi)型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)�,在毫不損失安全性的基礎(chǔ)之上將型防火墻的性能提高10倍以上。組成這種類(lèi)型防火墻的基本要素有兩個(gè):自適應(yīng)服務(wù)器 (Adaptive Proxy Server)與動(dòng)態(tài)包過(guò)濾器 (Dynamic Packet filter)����。
在自適應(yīng)與動(dòng)態(tài)包過(guò)濾器之間存在一個(gè)控制通道���。在對(duì)防火墻進(jìn)行配置時(shí)����,用戶(hù)僅僅將所需要的服務(wù)類(lèi)型、安全級(jí)別等信息通過(guò)相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了����。然后,自適應(yīng)就可以根據(jù)用戶(hù)的配置信息�,決定是使用服務(wù)從應(yīng)用層請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者�,它將動(dòng)態(tài)地通知包過(guò)濾器增減過(guò)濾規(guī)則,滿(mǎn)足用戶(hù)對(duì)速度和安全性的雙重要求��。
2 linux防火墻的實(shí)現(xiàn)
2.1 linux 防火墻簡(jiǎn)介
Linux最初從2.0內(nèi)核的ipfwadm開(kāi)始具備了基本的包過(guò)濾功能����。ipfwadm能透過(guò)IP據(jù)包頭的分析,分辨出數(shù)據(jù)包的來(lái)源IP與目的地IP�、數(shù)據(jù)包類(lèi)型、來(lái)源端口號(hào)與目的端口號(hào)���、數(shù)據(jù)包流向��、數(shù)據(jù)包進(jìn)入防火墻的網(wǎng)卡界面等���,并依此分析結(jié)果來(lái)對(duì)比規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾�,同時(shí)也支持IP偽裝的功能���,利用這個(gè)功能可以解決IP不足的問(wèn)題�,但是這些程序缺乏彈性設(shè)計(jì)�,用戶(hù)無(wú)法自行建立規(guī)則組合(rule set)作更精簡(jiǎn)的設(shè)定,同時(shí)也缺乏網(wǎng)址轉(zhuǎn)換功能�,無(wú)法應(yīng)付越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境,已經(jīng)逐漸被淘汰�����。隨后取而代之的是ipchains�����。Ipchains不但指令語(yǔ)法更容易理解�����,功能也較ipfwadm優(yōu)越:ipchain允許自訂規(guī)則組合(rule set)����,稱(chēng)之為user-define chains��,可以將彼此相關(guān)的規(guī)則組合在一起�,在需要的時(shí)候跳到該組規(guī)則進(jìn)行過(guò)濾�����,有效的將規(guī)則數(shù)量大幅縮減���,克服了以往ipfw僅能進(jìn)行循序過(guò)濾,導(dǎo)致規(guī)則過(guò)長(zhǎng)的缺陷���。同時(shí)���,ipchains能提供網(wǎng)址轉(zhuǎn)換的能力,從而滿(mǎn)足NAT的完整需求����,基本構(gòu)成一套成熟的防火墻。����,
在Linux2.4內(nèi)核以后�,被稱(chēng)為iptables/netfilter的防火墻以更好的結(jié)構(gòu)重新構(gòu)造����,并實(shí)現(xiàn)了許多新功能,如完整的動(dòng)態(tài)NAT(2.2內(nèi)核實(shí)際是多對(duì)一的"地址偽裝")�、基于MAC及用戶(hù)的過(guò)濾、真正的基于狀態(tài)的過(guò)濾(不再是簡(jiǎn)單的查看tcp的標(biāo)志位等)���、包速率限制等�。它比以前任何一個(gè)Linux內(nèi)核的防火墻子系統(tǒng)都要完善和強(qiáng)大��。
2.2 iptables/netfilter框架
Netfilter提供了一個(gè)抽象的��、通用的框架����,該框架定義的一個(gè)子功能實(shí)現(xiàn)的就是包過(guò)濾子系統(tǒng)。Netfilter由一系列基于協(xié)議棧的鉤子組成���,這些鉤子都對(duì)應(yīng)某一具體的協(xié)議��。當(dāng)前的Netfilter�,已經(jīng)基于IPv4, IPX, IPv6等協(xié)議開(kāi)發(fā)了對(duì)應(yīng)的鉤子函數(shù)。
Netfilter是嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口�,設(shè)置在報(bào)文處理的路徑上。網(wǎng)絡(luò)報(bào)文按照來(lái)源和去向�,可以分為三類(lèi):流入的、流經(jīng)的和流出的���。其中流入和流經(jīng)的報(bào)文需要經(jīng)過(guò)路由才能區(qū)分��,而流經(jīng)和流出的報(bào)文則需要經(jīng)過(guò)投遞���,此外,流經(jīng)的報(bào)文還有一個(gè)FORWARD的過(guò)程���,即從一個(gè)NIC轉(zhuǎn)到另一個(gè)NIC。 Netfilter就是根據(jù)網(wǎng)絡(luò)報(bào)文的流向���,在以下幾個(gè)點(diǎn)插入處理過(guò)程:
(1)NF_IP_PRE_ROUTING���,在報(bào)文作路由以前執(zhí)行;
(2)NF_IP_FORWARD���,在報(bào)文轉(zhuǎn)向另一個(gè)NIC以前執(zhí)行�����;
(3)NF_IP_POST_ROUTING��,在報(bào)文流出以前執(zhí)行�����;
(4)NF_IP_LOCAL_IN���,在流入本地的報(bào)文作路由以后執(zhí)行����;
(5)NF_IP_LOCAL_OUT��,在本地報(bào)流出路由前執(zhí)行���。
Netfilter框架為多種協(xié)議提供了一套類(lèi)似的鉤子(HOOK)�����,用一個(gè)struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二維數(shù)組結(jié)構(gòu)存儲(chǔ)�,一維為協(xié)議族��,二維為上面提到的各個(gè)調(diào)用入口。每個(gè)希望嵌入Netfilter中的模塊都可以為多個(gè)協(xié)議族的多個(gè)調(diào)用點(diǎn)注冊(cè)多個(gè)鉤子函數(shù)(HOOK )����,這些鉤子函數(shù)將形成一條函數(shù)指針鏈,每次協(xié)議棧代碼執(zhí)行到NF HOOK()函數(shù)時(shí)(有多個(gè)時(shí)機(jī))�����,都會(huì)依次啟動(dòng)所有這些函數(shù)���,處理參數(shù)所指定的協(xié)議棧內(nèi)容�����。
每個(gè)注冊(cè)的鉤子函數(shù)經(jīng)過(guò)處理后都將返回下列值之一����,告知Neifilter核心代碼處理結(jié)果��,以便對(duì)報(bào)文采取相應(yīng)的動(dòng)作:
(1)NF_ACCEPT�����, 繼續(xù)正常傳輸數(shù)據(jù)報(bào)��;
(2)NF_DROP���, 丟棄該數(shù)據(jù)報(bào)�,不再傳輸����;
(3)NF_STOLEN, 模塊接管該數(shù)據(jù)報(bào)����,不要繼續(xù)傳輸該數(shù)據(jù)報(bào);
(4)NF_QUEUE����, 對(duì)該數(shù)據(jù)報(bào)進(jìn)行排隊(duì)(通常用于將數(shù)據(jù)報(bào)給用戶(hù)空間的進(jìn)程進(jìn)行處理);
(5)NF_REPEAT�����, 再次調(diào)用該鉤子函數(shù)���。
如圖1所示��,數(shù)據(jù)報(bào)從左邊進(jìn)入系統(tǒng)�,進(jìn)行IP校驗(yàn)以后,數(shù)據(jù)報(bào)經(jīng)過(guò)第一個(gè)鉤子函數(shù)NF_IP_PRE ROUTING進(jìn)行處理;然后就進(jìn)入路由代碼����,其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的;若該數(shù)據(jù)包是發(fā)被本機(jī)的�����,則該數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù)NF_IP_LOCAL_IN處理以后然后傳遞給上層協(xié)議;若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF IP FORWARD處理;經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)經(jīng)過(guò)最后一個(gè)鉤子函數(shù)NF_IP_POST_ROUTING處理以后�����,再傳輸?shù)骄W(wǎng)絡(luò)上�。本地產(chǎn)生的數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù)NF_IP_LOCAL_OUT處理可以后,進(jìn)行路由選擇處理����,然后經(jīng)過(guò)NF_IP_POST_ROUTING處理以后發(fā)送到網(wǎng)絡(luò)接口。
Netfilter組件也稱(chēng)為內(nèi)核空間(kernel space)����,是內(nèi)核的一部分�����,由一些信息包過(guò)濾表組成,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集�。
與之相對(duì)應(yīng)的iptables組件是一種工具,也稱(chēng)為用戶(hù)空間(user space)���,它使插入��、修改和除去信息包過(guò)濾表中的規(guī)則變得容易��。通過(guò)使用用戶(hù)空間���,可以構(gòu)建自己的定制規(guī)則,這些規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表中����。這些規(guī)則具有目標(biāo),它們告訴內(nèi)核對(duì)來(lái)自某些源����、前往某些目的地或具有某些協(xié)議類(lèi)型的信息包做些什么。如果某個(gè)信息包與規(guī)則匹配����,那么使用日標(biāo)ACCEPT允許該信息包通過(guò)。還可以使用目標(biāo)DROP或REJECT來(lái)阻塞并殺死信息包��。
內(nèi)核模塊提供三個(gè)規(guī)則表((table),分別是數(shù)據(jù)報(bào)過(guò)濾表(filter table)��,網(wǎng)絡(luò)地址轉(zhuǎn)換表(nat table)及數(shù)據(jù)報(bào)處理表(mangle table)����。
數(shù)據(jù)報(bào)過(guò)濾表(filter table):
表格不會(huì)對(duì)數(shù)據(jù)報(bào)進(jìn)行修改,而只對(duì)數(shù)據(jù)報(bào)進(jìn)行過(guò)濾����。iptables優(yōu)于ipchains的一個(gè)方面就是它更為小巧和快速。它是通過(guò)鉤子函數(shù)NF_IP_LOCAL_IN����,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此對(duì)于任何一個(gè)數(shù)據(jù)報(bào)只有一個(gè)地方對(duì)其進(jìn)行過(guò)濾��。這相對(duì)ipchains來(lái)說(shuō)是一個(gè)巨大的改進(jìn)�����,因?yàn)樵趇pchains中一個(gè)被轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)會(huì)遍歷三條鏈����。
網(wǎng)絡(luò)地址轉(zhuǎn)換表(nat table):
NAT表格監(jiān)聽(tīng)三個(gè)Netfilter鉤子函數(shù):NF_IP_PRE_ROUTING,NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT����。NF_IP_PRE_ROUTING實(shí)現(xiàn)對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)的源地址進(jìn)行地址轉(zhuǎn)換而NF_IP_POST_ROUTING則對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進(jìn)行地址轉(zhuǎn)換。對(duì)于本地?cái)?shù)據(jù)報(bào)的目的地址的轉(zhuǎn)換則由NF_IP_LOCAL_OUT來(lái)實(shí)現(xiàn)�����。
NAT表格不同于filter表格�,因?yàn)橹挥行逻B接的第一個(gè)數(shù)據(jù)報(bào)將遍歷表格,而隨后的數(shù)據(jù)報(bào)將根據(jù)第一個(gè)數(shù)據(jù)報(bào)的結(jié)果進(jìn)行同樣的轉(zhuǎn)換處理�。NAT表格被用在源NAT,目的NAT,偽裝(其是源NAT的一個(gè)特例)及透明(其實(shí)是目的NAT的一個(gè)特例)�����。
數(shù)據(jù)報(bào)處理表(mangle table):
mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進(jìn)行注冊(cè)���。使用
mangle表�����,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)的修改或給數(shù)據(jù)報(bào)附上一些帶外數(shù)據(jù)�����。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段��。
3 iptables的命令配置與應(yīng)用
Iptables的基本語(yǔ)法是:
iptables [-t table] command [match] [- j target/jump]
其中Ct參數(shù)用來(lái)指定規(guī)則表�,當(dāng)未指定規(guī)則表時(shí),則默認(rèn)認(rèn)為是filter
下面根據(jù)實(shí)例來(lái)詳細(xì)解釋下iptables的用法�,配置防火墻的基本規(guī)則是先拒絕所有的服務(wù),然后根據(jù)需要再添加新的規(guī)則���。在實(shí)例中�,我們開(kāi)放了WEB服務(wù)器���,郵件服務(wù)器�,F(xiàn)TP服務(wù)器等常用的端口��,在實(shí)際情況中可以根據(jù)特定的網(wǎng)絡(luò)狀況�����,特定的安全要求做特別的處理:
iptables CF#刪除已經(jīng)存在的規(guī)則
iptables -P INPUT DROP#配置默認(rèn)的拒絕規(guī)則����。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打開(kāi)WEB服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打開(kāi)POP3服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打開(kāi)SMTP服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打開(kāi)FTP服務(wù)端口的tcp協(xié)議
4 結(jié)論
Linux內(nèi)核防火墻的iptables/netfilter框架設(shè)計(jì)得非常成功,它將所有對(duì)數(shù)據(jù)包的處理都統(tǒng)一到這個(gè)一個(gè)框架之下�。Netfilter不僅僅有此高效的設(shè)計(jì),同時(shí)還具備很大的靈活性,這主要表現(xiàn)在iptable/netfilter中的很多部分都是可擴(kuò)充的���,包括Table, Match, Target等����。
參考文獻(xiàn):
[1]毛德操,胡希明.Linux內(nèi)核源代碼情景分析[M].浙江大學(xué)出版.2001,9.
[2]Marcus Goncalves.宋書(shū)民,等,譯.防火墻技術(shù)指南[M].機(jī)械工業(yè)出版社,2000,11.
[3]Robert L.Ziegler..余青霓,等,譯.LINUX防火墻[M].人民工業(yè)出版社,2000,10.
[4]博嘉科技主編.LINUX防火墻技術(shù)探秘[M].國(guó)防工業(yè)出版社,2002,10.
第4篇
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 防火墻技術(shù) 功能 趨勢(shì)
隨著信息化時(shí)代的到來(lái)�����,計(jì)算機(jī)網(wǎng)絡(luò)逐漸成為人們有效開(kāi)展信息交換的重要手段�����,并滲透到社會(huì)生活的各個(gè)方面�����,給人們生活帶來(lái)了巨大影響�。與此同時(shí)��,保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全����,愈來(lái)愈成為當(dāng)今社會(huì)面臨的亟需解決的課題。
1 防火墻技術(shù)的含義
“所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間�����、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障�����?�!彼且环N計(jì)算機(jī)硬件和軟件的結(jié)合����,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入�����。它實(shí)際上是一種隔離技術(shù)�。
2 防火墻的功能
防火墻對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有很好的保護(hù)作用。入侵者必須先穿越防火墻的安全防線(xiàn)�,才能接觸目標(biāo)計(jì)算機(jī)。具體來(lái)說(shuō)防火墻有以下功能�����。
2.1 防火墻有保障計(jì)算機(jī)網(wǎng)絡(luò)安全的功能
防火墻通過(guò)自身過(guò)濾功能將不安全的數(shù)據(jù)包隔擋在“代碼墻”以外,降低Internet給計(jì)算機(jī)造成的風(fēng)險(xiǎn)��。然后通過(guò)驗(yàn)證程序檢測(cè)哪些數(shù)據(jù)包是安全的�����,并使之進(jìn)入計(jì)算機(jī)��,由此使得網(wǎng)絡(luò)環(huán)境變得更安全�。
2.2 防火墻具有監(jiān)控網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)的功能
由于進(jìn)入計(jì)算機(jī)的數(shù)據(jù)包都要經(jīng)過(guò)防火墻的檢測(cè)和篩選�����,那么防火墻就能記錄下這些數(shù)據(jù)包并對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行統(tǒng)計(jì)��。當(dāng)發(fā)生可疑數(shù)據(jù)包時(shí)����,防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息�。因此,防火墻對(duì)網(wǎng)絡(luò)使用統(tǒng)計(jì)與監(jiān)控具有非常重要的作用��。
2.3 可以防止內(nèi)部信息的外泄
隱私是網(wǎng)絡(luò)使用者最關(guān)心的問(wèn)題��。很多隱私的被流露于公眾的視野,多數(shù)都是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)內(nèi)部某些安全漏洞���。而使用防火墻就可以利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分����,實(shí)現(xiàn)內(nèi)部網(wǎng)的隔離�����,從而限制了局部或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響���。進(jìn)而隱蔽了那些透漏內(nèi)部細(xì)節(jié)DNS服務(wù)�����。這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解���。
2.4 防火墻對(duì)數(shù)據(jù)庫(kù)安全的實(shí)時(shí)保護(hù)功能
防火墻通過(guò)驗(yàn)證工具和包過(guò)濾系統(tǒng)分析,根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL 操作通過(guò)��,阻斷非法違規(guī)操作����,形成數(shù)據(jù)庫(kù)的防御圈���,實(shí)現(xiàn)SQL 危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)��。同時(shí)���,還可以對(duì)來(lái)自于外部的入侵行為�����,提供SQL 注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)丁包功能��。
3 防火墻技術(shù)的發(fā)展趨勢(shì)
隨著新的網(wǎng)絡(luò)病毒的出現(xiàn),防火墻技術(shù)的發(fā)展更應(yīng)該注重放行數(shù)據(jù)的安全性研究��。因?yàn)槭褂谜邔?duì)網(wǎng)絡(luò)安全的要求是既要保證網(wǎng)絡(luò)安全�����,也必須保證網(wǎng)絡(luò)的正常運(yùn)行���。因此��,新型防火墻技術(shù)在研發(fā)過(guò)程中要集成其它安全技術(shù)��,使防火墻的安全性得以進(jìn)一步提升���。這一些新的發(fā)展趨勢(shì)�,可以從防火墻體系結(jié)構(gòu)��、包過(guò)濾技術(shù)和防火墻系統(tǒng)管理三方面展開(kāi)���。
3.1 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)
隨著信息化潮流的到來(lái)���,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用更加廣泛,規(guī)模更加龐大����。使用者對(duì)網(wǎng)絡(luò)寬帶的安全提出了更高的要求。這意味著防火墻技術(shù)必須緊跟時(shí)代的發(fā)展�����,加快提升自身處理數(shù)據(jù)的能力�,為計(jì)算機(jī)網(wǎng)絡(luò)提供更加有效的安全保護(hù)和有效的運(yùn)行保障。尤其是�����,在當(dāng)今信息化社會(huì)的生活中,計(jì)算機(jī)網(wǎng)絡(luò)����、手機(jī)網(wǎng)絡(luò)等網(wǎng)絡(luò)媒體的應(yīng)用越來(lái)越普遍,這就要求防火墻技術(shù)對(duì)流入網(wǎng)絡(luò)的數(shù)據(jù)處理更加有效����、準(zhǔn)確、及時(shí)��。要想滿(mǎn)足這種需要���,防火墻技術(shù)研發(fā)人員就必須制定超前的研發(fā)方案�����,完善防火墻的結(jié)構(gòu)體系。例如當(dāng)前部分制造商開(kāi)發(fā)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻���。
3.2 防火墻數(shù)據(jù)包過(guò)濾技術(shù)發(fā)展趨勢(shì)
(1)防火墻的主要功能就是對(duì)來(lái)自外網(wǎng)的木馬程序����、病毒程序等危險(xiǎn)程序進(jìn)行防范和抵御��。因而,在實(shí)際網(wǎng)絡(luò)使用中使用主體通常經(jīng)防火墻稱(chēng)之為病毒防火墻����。從目前網(wǎng)絡(luò)使用者通過(guò)各種途徑選取不同的防火墻,并按照與計(jì)算機(jī)內(nèi)��,目的就是防范病毒的入侵���。
(2)注重研發(fā)多級(jí)過(guò)濾技術(shù)�����?�!八^多級(jí)過(guò)濾技術(shù)��,是指防火墻采用多級(jí)過(guò)濾措施�,并輔以鑒別手段”�。該過(guò)濾技術(shù)主要是通過(guò)編制不同的程序系統(tǒng),逐級(jí)設(shè)立功能���。各級(jí)根據(jù)自身的功能開(kāi)展對(duì)流入網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行識(shí)別�,檢測(cè)�����。層層把關(guān),能夠更加有效的抵御病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵��。這是一種綜合性防火墻技術(shù)����,它可以彌補(bǔ)各種單一過(guò)濾技術(shù)的不足。
(3)為了進(jìn)一步強(qiáng)化防火墻的安全策略功能�����。目前����,很多防火墻技術(shù)生產(chǎn)商在現(xiàn)有的防火墻技術(shù)的基礎(chǔ)上,又增加了用戶(hù)認(rèn)證系統(tǒng)����。用戶(hù)認(rèn)證系統(tǒng)隨著無(wú)線(xiàn)網(wǎng)絡(luò)的普及應(yīng)用,獲得了眾多無(wú)線(xiàn)網(wǎng)絡(luò)電信商和用戶(hù)的青睞���。并逐漸成為無(wú)線(xiàn)網(wǎng)絡(luò)安全應(yīng)用的必備系統(tǒng)。
3.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)
隨著防火墻技術(shù)的快速發(fā)展�����,加強(qiáng)防火墻的系統(tǒng)管理也成為網(wǎng)絡(luò)技術(shù)發(fā)展的重點(diǎn)。首先是集中式管理�。集中式管理的優(yōu)點(diǎn)就是能夠使生產(chǎn)商以最小的投入獲取最大的效益。同時(shí)���,還可以保證網(wǎng)絡(luò)安全保障系統(tǒng)的一致性����。從目前成功研發(fā)的事例來(lái)看���,Cisco(思科)��、3Com等幾個(gè)大的防火墻技術(shù)開(kāi)發(fā)商已經(jīng)在注重加強(qiáng)防火墻的系統(tǒng)管理發(fā)展���。其次是加大開(kāi)發(fā)防火墻的監(jiān)控和審計(jì)功能的力度。在防火墻技術(shù)研發(fā)過(guò)程中�����,我們不僅要注重事后治理��,更要注重事前預(yù)防,未雨綢繆�,將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網(wǎng)絡(luò)安全體系����。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn),僅現(xiàn)有的防火墻技術(shù)難以滿(mǎn)足當(dāng)前網(wǎng)絡(luò)安全需求�����。通過(guò)建立一個(gè)以防火墻為核心的安全體系�����,就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線(xiàn)�����,各種安全技術(shù)各司其職���,從各方面防御外來(lái)入侵����。
參考文獻(xiàn)
[1]羅霽.并行多模式匹配算法及硬件實(shí)現(xiàn)研究[D].杭州電子科技大學(xué)��,2013(06):10.
[2]楊旭.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D]. 南京理工大學(xué),2008(06):43
[3]信息技術(shù)研究中心.網(wǎng)絡(luò)信息安全新技術(shù)與標(biāo)準(zhǔn)規(guī)范實(shí)用手冊(cè)(第1版) [M].北京:電子信息出版社�,2004:20-21.
作者簡(jiǎn)介
鄧龍敏(1998-)��,男 �����,湖北省黃石市人?��,F(xiàn)就讀于鄂南高中���,熱衷于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)研究。
第5篇
關(guān)鍵詞:因特網(wǎng)��;網(wǎng)絡(luò)安全�;計(jì)算機(jī)防火墻技術(shù)
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 16-0000-02
計(jì)算機(jī)防火墻是一種獲取安全性方法的形象說(shuō)法,它由硬件設(shè)備和軟件組合而成����、在專(zhuān)用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的界面上構(gòu)造一個(gè)保護(hù)屏障���,使得不同的網(wǎng)絡(luò)之間建立一個(gè)安全網(wǎng)關(guān)����,以保護(hù)內(nèi)部專(zhuān)門(mén)網(wǎng)絡(luò),使其免受非法用戶(hù)的入侵[1]�。
計(jì)算機(jī)防火墻的主要功能有:過(guò)濾掉不安全服務(wù)和非法用戶(hù)[2];控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)�����;提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)���。其功能主要體現(xiàn)在訪(fǎng)問(wèn)控制���,內(nèi)容控制,全面的日志���;集中管理����,自身的安全和可用性����;流量控制,NAT��,VPN等方面。
目前防火墻技術(shù)正在朝著智能化和分布化的方向發(fā)展��,其中智能防火墻技術(shù)對(duì)數(shù)據(jù)的識(shí)別是通過(guò)利用記憶�����、概率�����、統(tǒng)計(jì)和決策的智能方法來(lái)進(jìn)行的���,以實(shí)現(xiàn)訪(fǎng)問(wèn)控制。智能防火墻采用新的數(shù)學(xué)方法���,消除了匹配檢查所需要的海量計(jì)算�,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值��,直接進(jìn)行訪(fǎng)問(wèn)控制�����,可以很好的解決目前存在的網(wǎng)絡(luò)安全問(wèn)題���。智能防火墻技術(shù)是計(jì)算機(jī)防火墻技術(shù)發(fā)展的必然趨勢(shì)[3�����,4]���。
1 計(jì)算機(jī)防火墻的分類(lèi)及其原理
計(jì)算機(jī)防火墻根據(jù)工作機(jī)制的不同可分為包過(guò)濾防火墻�、應(yīng)用型防火墻��、網(wǎng)絡(luò)地址翻譯及復(fù)合型防火墻�。
1.1 包過(guò)濾防火墻
包過(guò)濾防火墻技術(shù)中預(yù)先設(shè)定有包過(guò)濾規(guī)則,包過(guò)濾防火墻工作在網(wǎng)絡(luò)層�����,接收到的每個(gè)數(shù)據(jù)包都要同包過(guò)濾規(guī)則進(jìn)行比較��,然后決定該數(shù)據(jù)包是通過(guò)還是阻塞����。
包過(guò)濾防火墻又分為無(wú)狀態(tài)包過(guò)濾和有狀態(tài)檢查包過(guò)濾。無(wú)狀態(tài)包過(guò)濾防火墻是最原始的防火墻��,它是根據(jù)每個(gè)包頭部的信息來(lái)決定是否要將包繼續(xù)傳輸����,從而增強(qiáng)安全性����。其安全程度相對(duì)較低�,它的內(nèi)部網(wǎng)絡(luò)很容易暴露,進(jìn)而容易遭受攻擊�。在通信中,無(wú)法維持足夠的信息來(lái)決定是否應(yīng)該放棄這個(gè)包����,因?yàn)槿魏我粭l不完善的過(guò)濾規(guī)則都會(huì)給網(wǎng)絡(luò)黑客可乘之機(jī)��。但是有狀態(tài)檢查包過(guò)濾其可以記住經(jīng)過(guò)防火墻的所有通信狀態(tài)�,并依據(jù)其記錄下來(lái)的狀態(tài)信息數(shù)據(jù)包的允許與否。動(dòng)態(tài)包過(guò)濾防火墻是目前最流行的防火墻技術(shù)�。
1.2 應(yīng)用型防火墻
是指服務(wù)器利用偵聽(tīng)網(wǎng)絡(luò)內(nèi)部客戶(hù)的服務(wù)請(qǐng)求,然后將這些請(qǐng)求發(fā)到外部的網(wǎng)絡(luò)中���;當(dāng)服務(wù)器從公共服務(wù)器處接收到響應(yīng)后����,其再將響應(yīng)返回給原始的客戶(hù)�,其與原始的公共服務(wù)器所起的作用是一樣的[3]����。
應(yīng)用級(jí)技術(shù)采用在OSI的最高層檢查每一個(gè)IP包����,進(jìn)而獲得安全策略。應(yīng)用技術(shù)雖然在一定程度上保證了網(wǎng)絡(luò)的安全��,但是它對(duì)每一種服務(wù)都需要����,且它工作在協(xié)議棧高層,執(zhí)行效率明顯降低��,有時(shí)會(huì)成為網(wǎng)絡(luò)的瓶頸��。
1.3 網(wǎng)絡(luò)地址翻譯
網(wǎng)絡(luò)地址翻譯將專(zhuān)用網(wǎng)絡(luò)中的ip地址轉(zhuǎn)換成在因特網(wǎng)上使用的全球唯一的公共ip地址���。盡管最初設(shè)計(jì)nat的目的是為了增加在專(zhuān)用網(wǎng)絡(luò)中可使用的ip地址數(shù)��,但是它有一個(gè)隱蔽的安全特性�����,如內(nèi)部主機(jī)隱蔽等����。這在一定程度上保證了網(wǎng)絡(luò)安全。nat實(shí)際上是一個(gè)基本的����,一個(gè)主機(jī)代表內(nèi)部所有主機(jī)發(fā)出請(qǐng)求,并代表外部服務(wù)器對(duì)內(nèi)部主機(jī)進(jìn)行響應(yīng)等�。但nat工作在傳輸層,因此它還需要使用低層和高層服務(wù)來(lái)保證網(wǎng)絡(luò)的安全�。
1.4 復(fù)合型防火墻
出于更高安全性的要求,有些開(kāi)發(fā)商常把包過(guò)濾的方法與應(yīng)用的方法結(jié)合起來(lái)�����,開(kāi)發(fā)出復(fù)合型的防火墻產(chǎn)品����,這種復(fù)合型的防火墻用以下兩種方式實(shí)現(xiàn)網(wǎng)絡(luò)安全維護(hù)功能:(1)通過(guò)屏蔽主機(jī)防火墻體系結(jié)構(gòu)�,使分組過(guò)濾路由器或防火墻與互聯(lián)網(wǎng)相連,同時(shí)在內(nèi)部網(wǎng)絡(luò)安裝一個(gè)堡壘機(jī)��,利用對(duì)過(guò)濾規(guī)則的設(shè)置��,使堡壘機(jī)成為互聯(lián)網(wǎng)上其他網(wǎng)絡(luò)訪(fǎng)問(wèn)所能到達(dá)的唯一節(jié)點(diǎn)����,確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)的外部用戶(hù)的攻擊���。(2)通過(guò)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu),將堡壘機(jī)安裝在一個(gè)內(nèi)部子網(wǎng)內(nèi)���,同時(shí)在這一子網(wǎng)的兩端安裝兩個(gè)分組過(guò)濾路由器�����,使這一子網(wǎng)與互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)分離����,進(jìn)而確保這一子網(wǎng)不受未授權(quán)的外部用戶(hù)的攻擊�。在結(jié)構(gòu)中,堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)屏蔽子網(wǎng)防火墻體系的安全基礎(chǔ)��。
2 常見(jiàn)網(wǎng)絡(luò)攻擊方式及網(wǎng)絡(luò)安全策略
2.1 網(wǎng)絡(luò)攻擊方式
2.1.1 病毒
盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過(guò)時(shí)進(jìn)行病毒掃描的功能��,但仍然很難將所有的病毒阻止于網(wǎng)絡(luò)之外���,黑客欺騙用戶(hù)下載某個(gè)程序�����,從而使惡意代碼進(jìn)入到計(jì)算機(jī)內(nèi)網(wǎng)����。應(yīng)對(duì)策略:設(shè)置網(wǎng)絡(luò)安全等級(jí),對(duì)于未經(jīng)安全檢測(cè)的下載程序���,嚴(yán)格阻止其任務(wù)執(zhí)行[5]�。
2.1.2 口令字
窮舉與嗅探是口令字的兩種攻擊方式�����。窮舉是通過(guò)外部網(wǎng)絡(luò)的攻擊對(duì)防火墻的口令字進(jìn)行猜測(cè)��。嗅探通過(guò)監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)來(lái)獲取主機(jī)給防火墻的口令字����。應(yīng)對(duì)策略:通過(guò)設(shè)計(jì)使主機(jī)和防火墻通過(guò)單獨(dú)接口進(jìn)行通信或是采用一次性口令等�。
2.1.3 郵件
借助郵件進(jìn)行的網(wǎng)絡(luò)攻擊方式日益明顯,垃圾郵件的制造者通過(guò)復(fù)制方式���,把一條消息變成幾百幾萬(wàn)份消息��,并將其發(fā)送到很多人�����,當(dāng)郵件被收到并打開(kāi)時(shí)���,惡意代碼便進(jìn)入到計(jì)算機(jī)系統(tǒng)����。應(yīng)對(duì)策略:打開(kāi)防火墻上的過(guò)濾功能�����,在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施�。
2.1.4 IP地址
黑客通過(guò)利用與內(nèi)部網(wǎng)絡(luò)相似的IP地址,能夠避開(kāi)服務(wù)器的檢測(cè)���,從而進(jìn)入到內(nèi)部網(wǎng)進(jìn)行攻擊�����。應(yīng)對(duì)策略:打開(kāi)內(nèi)核的rp_filter功能���,把具有內(nèi)部地址但是是來(lái)自網(wǎng)絡(luò)外部的數(shù)據(jù)包全部丟棄�����;同時(shí)把IP地址和計(jì)算機(jī)的MAC綁定�,擁有相應(yīng)MAC地址的用戶(hù)才能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)[5]����。
2.2 網(wǎng)絡(luò)安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保護(hù)計(jì)算機(jī)、服務(wù)器�、打印機(jī)等硬件設(shè)備與通信鏈路不受到人為破壞與搭線(xiàn)攻擊等。(2)驗(yàn)證用戶(hù)身份與使用權(quán)限�,防止越權(quán)操作。(3)為計(jì)算機(jī)系統(tǒng)提供良好的工作環(huán)境�����。(4)建立安全管理制度���,防止發(fā)生非法進(jìn)入計(jì)算機(jī)控制室以及偷竊破壞活動(dòng)等[6]��。
目前�,物理安全的防護(hù)措施主要有:(1)傳導(dǎo)發(fā)射進(jìn)行防護(hù)�。如:在信號(hào)線(xiàn)與電源線(xiàn)上加裝濾波器�����,使導(dǎo)線(xiàn)與傳輸阻抗間的交叉耦合減到最小。(2)對(duì)輻射進(jìn)行防護(hù)�。主要采取電磁屏蔽措施與干擾措施,在計(jì)算機(jī)系統(tǒng)工作時(shí)�����,通過(guò)利用屏蔽裝置或者干擾裝置來(lái)產(chǎn)生一種噪聲����,該噪聲輻射到空中,能夠掩蓋計(jì)算機(jī)系統(tǒng)的信息特征與工作頻率�����。
2.2.2 訪(fǎng)問(wèn)控制策略
作為最重要的網(wǎng)絡(luò)安全策略之一�����,訪(fǎng)問(wèn)控制是確保網(wǎng)絡(luò)安全運(yùn)行的技術(shù)策略�����,其主要任務(wù)是指保護(hù)網(wǎng)絡(luò)資源不被非常訪(fǎng)問(wèn)和非法使用�。防火墻技術(shù)就是網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制策略在實(shí)踐中主要的應(yīng)用�����。
2.2.3 網(wǎng)絡(luò)安全管理策略
為了保證網(wǎng)絡(luò)安全�,除了采用物理安全策略和訪(fǎng)問(wèn)控制策略之外��,加強(qiáng)網(wǎng)絡(luò)的安全管理���,制訂有關(guān)規(guī)章制度�,對(duì)于確保網(wǎng)絡(luò)安全�����、可靠地運(yùn)行��,能起到十分有效的作用���。
3 結(jié)論
隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展�����,網(wǎng)絡(luò)安全方面的問(wèn)題必將引起人們?cè)絹?lái)越多的重視�����。計(jì)算機(jī)防火墻技術(shù)是用來(lái)維護(hù)網(wǎng)絡(luò)安全的一種重要措施和手段��,它主要作用是:拒絕未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)相關(guān)數(shù)據(jù)�,阻止未經(jīng)授權(quán)的用戶(hù)存儲(chǔ)或下載敏感數(shù)據(jù)��,同時(shí)也要確保合法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源不受影響���。防火墻目的在于為用戶(hù)提供信息的保密����,認(rèn)證和完整性保護(hù)機(jī)制��,使網(wǎng)絡(luò)中的服務(wù)�����,數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞����。相信,隨著新的計(jì)算機(jī)安全問(wèn)題的出現(xiàn)和科學(xué)技術(shù)的進(jìn)一步發(fā)展��,計(jì)算機(jī)防火墻也將獲得進(jìn)一步的改進(jìn)�。
參考文獻(xiàn):
[1] Richard Tibbs��, Edward Oakes. 防火墻與VPN原理與實(shí)踐[M].清華大學(xué)出版社���,2008.
[2]閻慧.防火墻原理與技術(shù)[M].機(jī)械工業(yè)出版社,2004.
[3]王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù)�����,2010���,5:1054-1055.
[4]欒江.計(jì)算機(jī)防火墻發(fā)展現(xiàn)狀及應(yīng)用前景[J].信息與電腦�����,2010��,6:17.
[5]周立.計(jì)算機(jī)防火墻技術(shù)原理分析及應(yīng)用展望[J].硅谷�,2008�,10:49-50.
第6篇
關(guān)鍵詞:防火墻 深度檢測(cè) 研究分析
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)04-0000-00
傳統(tǒng)的防火墻主要在訪(fǎng)問(wèn)控制列表為基礎(chǔ)進(jìn)行過(guò)濾的,它有專(zhuān)門(mén)的內(nèi)部網(wǎng)絡(luò)入口��,也被人稱(chēng)作“邊界防火墻”����。在近幾年來(lái)防火墻技術(shù)的地位越來(lái)越重要����,其最新改進(jìn)的技術(shù)――深度包檢測(cè)技術(shù)����,是可以看到傳統(tǒng)防火墻的入侵檢測(cè)與阻止的整合���,也是解決傳統(tǒng)防火墻所遇到問(wèn)題的新技術(shù)����,在防火墻發(fā)展過(guò)程中具有重要的作用���。
1 防火墻技術(shù)發(fā)展歷程
1.1 包過(guò)濾防火墻
第一代防護(hù)墻包過(guò)濾是沒(méi)有相關(guān)狀態(tài)的概念��,管理工作人員只需要通過(guò)過(guò)濾就可以允許或是禁止訪(fǎng)問(wèn)控制列表中的選項(xiàng)����。包過(guò)濾防火墻在發(fā)展中其安全屬性具有一定的缺陷����,應(yīng)用層的信息是系統(tǒng)沒(méi)有辦法獲取的,防火墻沒(méi)有辦法理解通信的內(nèi)容是非常容易被黑客攻擊的�����。正是因?yàn)檫@個(gè)原因,人們更多的人們包過(guò)濾防火墻技術(shù)不夠安全����,在發(fā)展中慢慢被狀態(tài)檢測(cè)防火墻技術(shù)取代了。
2.2 狀態(tài)檢測(cè)防火墻
相對(duì)于包過(guò)濾防火墻技術(shù)來(lái)說(shuō)���,狀態(tài)防火墻技術(shù)在性能��、擴(kuò)展等方面的表現(xiàn)出來(lái)的優(yōu)勢(shì)使其很快就成為防火墻技術(shù)的佼佼者���。在上個(gè)世紀(jì)九十年代推出第一臺(tái)商用的狀態(tài)檢測(cè)防火墻產(chǎn)品,隨后得到快速的發(fā)展��。狀態(tài)檢測(cè)防火墻主要是在網(wǎng)絡(luò)層工作��,對(duì)包過(guò)濾防火墻比較看��,它所做出的決策是在會(huì)話(huà)信息基礎(chǔ)上而不是包的信息��。狀態(tài)檢測(cè)防火墻在驗(yàn)證數(shù)據(jù)包時(shí)候會(huì)先判定這個(gè)數(shù)據(jù)是否符合當(dāng)前的會(huì)話(huà)���,同時(shí)還可以在狀態(tài)中保存這些信息����。狀態(tài)檢測(cè)防火墻技術(shù)對(duì)異常的TCP網(wǎng)絡(luò)層的攻擊有著一定的阻止作用。有些網(wǎng)絡(luò)設(shè)備是可以將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀����。該種防火墻技術(shù)在一定的時(shí)間內(nèi)是人們使用最廣泛的技術(shù),用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不受到黑客的攻擊��,但是專(zhuān)門(mén)對(duì)應(yīng)用層網(wǎng)絡(luò)攻擊的現(xiàn)象越來(lái)越多時(shí)候�,狀態(tài)檢測(cè)防火墻技術(shù)的有效性也在不斷的下降�。由于狀態(tài)防火墻在設(shè)計(jì)的時(shí)候并沒(méi)有專(zhuān)門(mén)的根據(jù)Web應(yīng)用程序的攻擊進(jìn)行設(shè)計(jì),這樣深度包檢測(cè)防火墻技術(shù)應(yīng)用而生���。
2.3 深度包檢測(cè)防火墻
深度包檢測(cè)防火墻技術(shù)可以更好的處理應(yīng)用程序上的流量問(wèn)題��,可以很好的防范目標(biāo)系統(tǒng)受到各種復(fù)雜的攻擊����,將狀態(tài)檢測(cè)的優(yōu)勢(shì)很好的結(jié)合起來(lái)��。它可以對(duì)數(shù)據(jù)流量進(jìn)行分析同時(shí)還可以做出訪(fǎng)問(wèn)的控制判決����,根據(jù)允許的數(shù)據(jù)流量對(duì)負(fù)載做出相關(guān)的決策����。
3 深度包檢測(cè)技術(shù)特點(diǎn)
隨著科技的發(fā)展�,深度包檢測(cè)技術(shù)在不斷的更新?lián)Q代中進(jìn)而實(shí)現(xiàn)深度包檢測(cè)的功能。深度包檢測(cè)防火墻技術(shù)在一定的程度上融合了包過(guò)濾與狀態(tài)檢測(cè)防火墻技術(shù)的功能���,主要具有以下4個(gè)功能特征���。
3.1 應(yīng)用層加密與解密
SSL通常被運(yùn)用在Web瀏覽器與服務(wù)器之間認(rèn)證身份的加密數(shù)據(jù)傳輸,進(jìn)而確保數(shù)據(jù)的安全性�����。該種技術(shù)在運(yùn)用的時(shí)候?qū)Ψ阑饓σ簿吞岢隽烁叩囊蟥D―要對(duì)數(shù)據(jù)的加密與解密進(jìn)行處理����。若是不能夠?qū)SL加密的數(shù)據(jù)進(jìn)行解密的話(huà)嗎,那么防火墻就沒(méi)有辦法對(duì)負(fù)載的信息進(jìn)行相關(guān)的分析����,更沒(méi)有辦法判斷出數(shù)據(jù)中是否具有相關(guān)應(yīng)用層的攻擊信息,同時(shí)沒(méi)有辦法體現(xiàn)出深度包檢測(cè)的優(yōu)勢(shì)���。SSL的加密性能非常高��,當(dāng)前很多企業(yè)使用來(lái)保證應(yīng)用程序數(shù)據(jù)的安全�,若是深度包檢測(cè)技術(shù)沒(méi)有辦法對(duì)企業(yè)中的關(guān)鍵應(yīng)用程序提高安全性能的化,那么也就是說(shuō)整個(gè)深度包檢測(cè)失去它的意義�����。
3.2 正?����;夹g(shù)
為了可以很好的防范應(yīng)用層的攻擊通常情況下主要是依賴(lài)字符串的匹配��,但是不正常的匹配在很大的程度上會(huì)造成安全漏洞�。例如,為了能知道某種請(qǐng)求是否可以啟用�,防火墻的請(qǐng)求就會(huì)與安全策略來(lái)匹配����,只有匹配成功了,防火墻才會(huì)采用安全策略�����。在解決字符匹配的時(shí)候是需要利用正常化技術(shù)的����,只有深度包檢測(cè)才具備這樣的功能,可以識(shí)別與阻止大量的危險(xiǎn)攻擊���。
3.3 協(xié)議一致性
應(yīng)用層協(xié)議一致性通常在應(yīng)用程序中會(huì)用到���,協(xié)議都是由RFC進(jìn)行規(guī)范建設(shè)的。因?yàn)樯疃劝鼨z測(cè)是在應(yīng)用層中進(jìn)行狀態(tài)檢測(cè)的�����,因而就必須要明確應(yīng)用層中的數(shù)據(jù)是否與這些協(xié)議一致���,這樣才會(huì)防止隱藏的攻擊���。
3.4 雙向負(fù)載檢測(cè)
與包過(guò)濾檢測(cè)、狀態(tài)檢測(cè)來(lái)說(shuō)���,深度包檢測(cè)具有很強(qiáng)大的功能����,它是可以允許與拒絕數(shù)據(jù)包的通過(guò),通常主要是檢查與修改四到七層的數(shù)據(jù)包��,主要有包頭�����、負(fù)載��。深度檢測(cè)防火墻是可以自動(dòng)的進(jìn)行匹配��,這樣能正確檢測(cè)出服務(wù)質(zhì)量如何���。若是請(qǐng)求不匹配那么深度包檢測(cè)就會(huì)自動(dòng)將其丟掉���,同時(shí)將其寫(xiě)入到日志中,也會(huì)向管理員發(fā)出警告����。另外,深度包檢測(cè)技術(shù)是可以進(jìn)行修改URL�,這一點(diǎn)是與應(yīng)用層的NAT相似���。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中����,為了可以提供全面的防護(hù),進(jìn)行深度包檢測(cè)是一定的��。深度包檢測(cè)技術(shù)還在不斷的發(fā)展中��,但其基本具有以上的特點(diǎn)�����。最近幾年里��,隨著編程ASIC技術(shù)發(fā)展與有效的規(guī)則算法出現(xiàn)使得深度包檢測(cè)引擎的執(zhí)行能力加強(qiáng)�����,應(yīng)用深度檢測(cè)技術(shù)越來(lái)越受到好評(píng)�,很多防火墻的供應(yīng)商都在不斷的增加對(duì)防火墻產(chǎn)品中應(yīng)用數(shù)據(jù)進(jìn)行分析。
4 結(jié)語(yǔ)
雖然深度包檢測(cè)技術(shù)受到越來(lái)越多好評(píng)����,但是其也具有相當(dāng)多的缺點(diǎn)。當(dāng)前的深度包檢測(cè)產(chǎn)品通常都是一體化的安全設(shè)備���,這樣就會(huì)由于單個(gè)安全組件的癱瘓而引起整個(gè)網(wǎng)絡(luò)處于安全漏洞的狀態(tài)下����。同時(shí)將更多的功能集中在一起,也就越可能的限制單個(gè)產(chǎn)品供應(yīng)商��,這樣在一定的程度上就會(huì)使我們喪失了靈活性�。網(wǎng)絡(luò)安全問(wèn)題正在處于復(fù)雜的境地,有著各種各樣的傳統(tǒng)防火墻與入侵技術(shù)���,因而當(dāng)深度包檢測(cè)的融合能否降低復(fù)雜性���,還是需要不斷的發(fā)展觀察。
參考文獻(xiàn)
[1] 劉坤燦.防火墻深度包檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)���,2013(01).
[2] 蘆志朋.深度包檢測(cè)主機(jī)防火墻的研究與實(shí)現(xiàn)[D].電子科技大學(xué)����,2010(03).
[3] 艾鑫.眾核環(huán)境下深度包檢測(cè)系統(tǒng)的設(shè)計(jì)與優(yōu)化[D].哈爾濱工業(yè)大學(xué)����,2013(06).
第7篇
關(guān)鍵詞:網(wǎng)絡(luò)隔離;防火墻技術(shù)��;比較
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 09-0000-01
Comparative Study of Network Isolation and Firewall Technology
Wang Lei
(Hunan Women's University,Changsha410004,China)
Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.
Keywords:Network isolation;Firewall technology;Comparison
一�����、前言
隨著Internet的飛速發(fā)展以及我國(guó)政府信息化為代表的電子政務(wù)的蓬勃發(fā)展����,寬帶網(wǎng)已經(jīng)得到普及。業(yè)界電子商務(wù)的開(kāi)展���,海量的網(wǎng)絡(luò)信息���,日趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。辦公信息化帶來(lái)了辦公效率質(zhì)的飛躍����,但辦公信息化的安全,也極大地引起人們的關(guān)注和思考��,相應(yīng)的網(wǎng)絡(luò)隔離技術(shù)與防火墻技術(shù)的應(yīng)用研究引起了人們的高度重視���。
二����、網(wǎng)絡(luò)隔離技術(shù)簡(jiǎn)介
(一)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程
網(wǎng)絡(luò)隔離,英文名為Network Isolation��,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過(guò)不可路由的協(xié)議(如:IPX/SPX�����、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的�。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)�。
(二)網(wǎng)絡(luò)隔離技術(shù)原理
網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù),是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備�。由于兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間,不存在通信的物理連接���、邏輯連接�、信息傳輸命令�����、信息傳輸協(xié)議��,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)�,只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令��。所以,網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離�����、阻斷了具有潛在攻擊可能的一切連接����,使“黑客”無(wú)法入侵�����、無(wú)法攻擊����、無(wú)法破壞,實(shí)現(xiàn)了真正的安全�。
(三)網(wǎng)絡(luò)隔離設(shè)備的實(shí)現(xiàn)機(jī)制
網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專(zhuān)用隔離硬件組成���。網(wǎng)絡(luò)隔離硬件包括一個(gè)獨(dú)立的固態(tài)存儲(chǔ)單元和一個(gè)獨(dú)立的調(diào)度和控制單元�����,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時(shí)刻最多只有一個(gè)同固態(tài)存儲(chǔ)單元建立非TCP/IP協(xié)議的數(shù)據(jù)連接�,并通過(guò)私有協(xié)議進(jìn)行數(shù)據(jù)的交換。
三����、防火墻的體系架構(gòu)介紹
目前的防火墻大都依靠于對(duì)數(shù)據(jù)包的信息進(jìn)行檢查,檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議的信息����。防火墻主要查看IP包中的IP包頭、TCP包頭�、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭,要了解防火墻的具體架構(gòu)����,就需要分析檢查它是哪一層協(xié)議的信息。根據(jù)OSI模型���,防火墻架構(gòu)包含以下幾種:包過(guò)濾防火墻���,電路網(wǎng)關(guān)防火墻,應(yīng)用網(wǎng)關(guān)防火墻���,狀態(tài)檢測(cè)包過(guò)濾防火墻和切換防火墻�����。防火墻是建立在內(nèi)外網(wǎng)邊界上的過(guò)濾封鎖機(jī)制�����,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴(lài)的�����,而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴(lài)的�����。防火墻的作用是防止不希望的�����、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)���。防火墻對(duì)網(wǎng)絡(luò)安全的保護(hù)程度,很大程度上取決于防火墻的體系架構(gòu)�����。隨著網(wǎng)絡(luò)應(yīng)用的增加��,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)����。一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)�����,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案���,它需要在很大程度上依賴(lài)于軟件的性能���,但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān)����,該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。
四�����、防火墻存在的安全漏洞
防火墻設(shè)備側(cè)重于網(wǎng)絡(luò)層到應(yīng)用層的策略隔離�,操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞�����、通用協(xié)議的缺陷等都成為不安全的潛在因素。首先由防火墻的體系架構(gòu)可知���,防火墻可能會(huì)產(chǎn)生網(wǎng)絡(luò)層短路�����,從而導(dǎo)致偽造合法數(shù)據(jù)包帶來(lái)的危害�;防火墻還難以抵御數(shù)據(jù)驅(qū)動(dòng)式攻擊����,即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使正常通信癱瘓��。其次���,防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵����。第三���,防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素��,當(dāng)防火墻主機(jī)被控制后�����,內(nèi)部受保護(hù)網(wǎng)絡(luò)就會(huì)暴露無(wú)疑����。第四,要使防火墻發(fā)揮有效的安全性��,需要正確�、合理地配置防火墻相關(guān)的安全策略,而配置的復(fù)雜程度不僅帶來(lái)繁瑣的工作量���,同時(shí)也增加了配置不當(dāng)帶來(lái)的安全隱患���。
五、安全性分析比較
(一)指導(dǎo)思想不同
1.防火墻的思路是在保障互聯(lián)互通的前提下���,盡可能安全����;
2.網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下����,盡可能互聯(lián)互通�����。
(二)體系架構(gòu)不同
網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機(jī)或三機(jī)系統(tǒng)����,而防火墻由一臺(tái)處理機(jī)組成�,為單機(jī)系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實(shí)現(xiàn)了OSI模型七層的斷開(kāi)和應(yīng)用層內(nèi)容的檢查機(jī)制����,因而不會(huì)產(chǎn)生網(wǎng)絡(luò)層短路,消除了基于網(wǎng)絡(luò)協(xié)議的攻擊�����。
(三)安全規(guī)則配置的復(fù)雜程度不同
防火墻主要依據(jù)網(wǎng)絡(luò)治理工程師配置的規(guī)則進(jìn)行安全檢查����,其安全性的高低與規(guī)則配置情況密切相關(guān)���。規(guī)則配置十分復(fù)雜��,規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān)���,而且與每條規(guī)則的先后順序�����、規(guī)則之間的相關(guān)性都有很大關(guān)系����。網(wǎng)絡(luò)治理工程師必須仔細(xì)檢查每條規(guī)則���,以保證其結(jié)果是其預(yù)期的結(jié)果�����。從另一個(gè)方面講�����,防火墻的配置要求網(wǎng)絡(luò)治理工程師有較高的網(wǎng)絡(luò)知識(shí)和技術(shù)水平���。防火墻只是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備,防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅,規(guī)則配置錯(cuò)誤將造成不安全通道打開(kāi)�����。而網(wǎng)絡(luò)隔離設(shè)備無(wú)需進(jìn)行復(fù)雜的規(guī)則配置�����,只需設(shè)定一些內(nèi)外網(wǎng)訪(fǎng)問(wèn)政策�����。網(wǎng)絡(luò)隔離設(shè)備僅答應(yīng)定制的信息進(jìn)行交換���,即使出現(xiàn)錯(cuò)誤�,也至多是數(shù)據(jù)不再答應(yīng)傳輸����,而不會(huì)造成重大安全事故。
參考文獻(xiàn):
