防火墙技术的分类(精选8篇)
防火墙技术的分类 篇1
1.包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足?
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。那么,即使成功设置了防火墙后,这512K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6.防火墙本身也会出现问题和受到攻击
防火墙也是一个os,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7.防火墙不处理病毒
不管是funlove病毒也好,还是CIH也好。在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。
不管怎么样,防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。那么,怎么选择需要的防火墙呢?
防火墙的分类
首先大概说一下防火墙的分类。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种:
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的os专用。
第三种:芯片级防火墙
它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。
在这里,特别纠正几个不正确的观念:
1.在性能上,芯片级防火墙>硬件防火墙>软件防火墙。
在价格上看来,的确倒是如此的关系。但是性能上却未必。防火墙的“好”,是看其支持的并发数、最大流量等等性能,而不是用软件硬件来区分的。事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙,原因1是考虑到用户网络管理员的素质等原因,还有就是基于我国大多数民众对“看得见的硬件值钱,看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让自己那加上了外壳的普通pc+一个被修改后的内核+一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢?坦白说,国内没有公司有技术实力。而且在中国市场上来看,某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡,使用过的人都能猜到是哪家,我就不点名了。真正看防火墙,应该看其稳定性和性能,而不是用软、硬来区分的。至少,如果笔者自己选购,我会选择购买CheckPoint而非某些所谓的硬件防火墙的。
2.在效果上,芯片防火墙比其他两种防火墙好
这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立,的确在OS本身出漏洞的机会上比较少,但是由于其固化,导致在面对新兴的一些攻击方式时,无法及时应对;而另外两种防火墙,则可以简单地通过升级os的内核来获取系统新特性,通过灵活地策略设置来满足不断变化的要求,不过其OS出现漏洞的概率相对高一些。
3.唯技术指标论
防火墙技术的分类 篇2
防火墙在设计实现过程中的失误可能会为产品带来巨大的安全漏洞,所以防火墙每一部分的模块的设计都必须经过周全的考虑。然而研究发现, 在定义防火墙最基础最根本的过滤规则时,产生策略异常的可能性相当大。如下表1、表2所示:
表1和表2分别从集中式防火墙和分布式防火墙的角度,对各级人员在定义防火墙规则时的出错率进行了统计。可见,即使是资深级的防火墙管理人员在定义时出错的可能性也非常大 (集中式防火墙错误率为8%,分布式防火墙错误率为18%) 。因此在下面的内容中提出一种基于策略异常的发现方法。首先对策略模型和异常类型进行定义, 然后对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行了分类,并提出一个基于典型的分布式防火墙系统的过滤策略检测模型-策略树,该模型以分布式防火墙系统过滤策略的全局一致性与完整性为出发点,能够有效地检测出分布式防火墙系统中各过滤节点上的过滤规则之间的冗余、冲突、不完整等异常。
1 分布式防火墙过滤策略模型
1.1 分布式防火墙过滤规则的形式化表示
防火墙是网络安全中一个核心元素,然而管理防火墙规则,尤其是在多防火墙的网络中,渐渐成为一种复杂、极易出错的工作。防火墙的过滤规则需要被定义,排序,小心的分发,避免因策略异常而导致的网络脆弱。因此,插入、修改过滤规则,需要对防火墙内外进行全面地分析,来决定规则摆放位置和在防火墙中的排序。
防火墙安全策略由一系列排序的过滤规则组成。它们对满足一定条件的数据包做出决策。一个规则由一组过滤域组成,如协议类型,源IP地址,目的IP地址,源端口,目的端口,以及决策。一个规则的过滤域体现了当网络中的报文符合这项规则时的相应处理。过滤结果可以是接收,即允许报文进入安全网络,或者是拒绝,将报文阻隔在安全网络之外。数据报能否通过防火墙,取决于它的包头是否满足防火墙定义的规则的过滤域。若是满足,则继续与下面的规则匹配,或者执行缺省的策略行为。
过滤规则格式:在过滤规则中可以使用IP, UDP, TCP报头,然而,实际上用得比较多的匹配域是:协议类型,源IP地址,源端口,目的IP地址和目的端口。以下是防火墙包过滤规则中最常用的格式:
1.2 防火墙规则策略树的表达法
用一棵单根节点树来表示防火墙策略,称之为策略树。策略树模型提供了一个过滤规则的简单表示法,便于发现这些规则之间的关系和可能出现异常。策略树的每一个节点代表一个过滤域,这些节点的每一个分支代表过滤域的域值。通过建立一个哈希表来为每个分枝存储域值。根节点是规则的协议域protocol,叶子代表过滤规则的决策action,中间的节点顺序表示各个过滤域。树的每一个分枝开始于根节点,终止于叶子节点,代表策略中的一个规则。拥有特定节点相同域值的规则分享同一个分枝代表的值。
图1给出了一个防火墙策略的规则集,图2表示了该策略的过滤树模型。树中的每个规则都有一个决策叶子节点,下面的虚线框表示它代表的规则。从规则树中可以看出,规则1到规则9拥有相同的协议域分枝,因为它们的协议域值都是“tcp”。协议1和5有不同的源地址分枝因此它们有不同的源地址域值。规则2, 4, 6, 7有相同的源地址所以它们共享相同的域值分枝。规则8有单独的分枝,但又和规则7出现在一起,这是因为规则8是规则7父集。规则4也有一个单独的分枝,它同样也出现在规则3的分枝上,在这里规则4是规则3的一个子集。
2 分布式防火墙规则异常的分类
(1)覆盖性异常 (Shadowing anomaly) 。所有符合规则Ry的数据包,都能与Ry的上一条规则Rx匹配,且它们的过滤决策不相同。由于Ry永远不会被执行,所以如果将覆盖性异常的规则删除,对整个安全策略没有丝毫影响。表示为:
(2)相关性异常 (Correlation anomaly) 。两个规则相互关联,与Ry匹配的部分数据包也能与Rx匹配,而能与Rx匹配的部分数据包也能与Ry匹配,但Ry和Rx却有不同的过滤决策。表示为
(3)广义性异常 (Generalization anomaly) 。所有与规则Rx匹配的数据包都与排在它后面的规则Ry匹配,且两条规则有不一样的过滤决策,那么Rx就是Ry的广义性异常。表示为:
(4)冗余异常 (Redundancy anomaly) 。一条冗余规则与另外一条规则匹配同样的数据包,拥有一样的过滤决策,所以如果将该规则删除,整个安全策略没有丝毫影响。表示为:
Ry是Rx的冗余:
(5)枝节异常 (Irrelevance anomaly) 。防火墙中的某一条规
则对任何一个可能经过的数据包都不进行过滤,那么这个规则就属于枝节异常。例如规则定义的从源地址到目的地址的路径并不通过防火墙。表示为:
3 防火墙策略的异常发现
过滤规则的排序在制定防火墙的策略中是非常关键的。这是因为过滤过程是一个顺序的规则匹配过程。如果过滤规则没有关联,规则的排序就不再重要。然而过滤规则通常都是相关的,如果规则的顺序不仔细设定,一些规则始终被其他规则覆盖,产生错误的策略。而且,当策略中包含很多过滤规则时,出现冲突和冗余的机率相对较大。
内部防火墙策略异常被定义为存在两个或多个过滤规则,同时匹配一个数据包或者存在一个规则,不能匹配网络中的任何数据包使之通过防火墙。
异常发现的基本思想是确定两个规则在决策树中是否有共同的路径。如果一个规则的路径与另一个规则的路径相同,则根据上文异常的定义,可以确定它们之间存在一个潜在的异常。如果规则路径不同,那么这些规则之间是不关联的,它们之间也没有异常。详细的防火墙规则异常状态转换流程如下图所示:
假设最初没有关联,Ry中每个域与Rx中相应域比较协议,源地址和端口,目的地址和端口。两个规则的关系是由这些比较决定的。如果Ry的每个域都是Rx的子集或者等价,而且两个规则的过滤决策是一样的,Ry就是Rx的冗余 (Redundancy) ;如果过滤决策不一样,那么Ry就被Rx屏蔽了。如果Ry的每个域是Rx对应域的父集或者等价,且它们有相同的过滤决策,则Rx是Ry的潜在冗余;如果它们的过滤决策不一样,那么助是Rx的概括异常 (Generalization) 。如果Rx中的一些域是Ry的子集或者等价,另一些域是Ry的父集,且它们的过滤决策不一样,则Rx与Ry相关联异常 (Correclation) 。状态的转换和异常的确定在流程图中可以很清楚的分析出来。
4 结束语
分布式防火墙的安全性极大地依赖于过滤规则的正确配置,如果过滤规则之间出现不一致,分布式防火墙体系结构的优势则体现不出来,整个系统也就成为多个过滤节点的松散集合,而不是作为一个整体保护整个网络。本文对分布式防火墙可能出现的异常情况进行了比较全面的分类, 同时提出分布式防火墙过滤策略异常检测模型-策略树,该模型能够检测出分布式防火墙系统中各过滤节点上的过滤规则之间的不一致,包括冗余、冲突、不完整等各种异常。根据该模型编写的工具可以部署在分布式防火墙的策略制定中心服务器上,对已制定的过滤策略进行检测后再将这些过滤规则分发到各个过滤节点上,从而保证整个分布式防火墙系统的一致性和完整性。本模型的不足之处是复杂度比较高,在分布式防火墙系统的过滤节点的数目比较多的情况下检测的时间会很长。因此今后的研究工作主要在简化模型以及改进效率方面,同时对分布式防火墙的过滤规则进行增、删、改等操作引起新的异常和网络结构的变动引发的异常如何检测等问题还需要进一步的研究。
摘要:在Internet高度发展的今天, 作为网络安全第一道防线的防火墙的地位日益重要。经研究发现, 过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常, 对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类, 并提出了一种过滤策略异常检测的模型-策略树。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常, 从而保证了分布式防火墙过滤策略的完整性和一致性。
关键词:分布式防火墙,过滤策略,异常检测,过滤结点,过滤规则
参考文献
[1]荀宝铖, 罗军勇.一种分布式防火墙过滤策略的异常检测模型[J].计算机工程与设计, 2006 (22) .
[2]张志云.分布式防火墙的策略分发与执行[M].大连:大连理工大学, 2004.
[3]何荣盛.分布式防火墙的策略表示与认证加密[M].大连:大连理工大学, 2004.
浅析防火墙的安全技术策略 篇3
摘要:本文针对目前防火墙在网络中的重要性,针对防火墙技术进行了简单的分析,论述了防火墙的安全策略设计。
关键词:网络 防火墙 安全策略
0 引言
网络技术的飞速发展,在给信息共享带来了翻天覆地的变化的同时,也带来了安全隐患,随之而来的问题就是如何保护网络的安全。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。
1 防火墙技术分析
防火墙是一种连接内网和外网(比如Internet) 的网关,提供对进入内部网络连接的访问控制能力。它能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,抵御黑客入侵,保护内部网的安全,防止机密数据的丢失。防火墙通常用于保护公司的内部网络,但也用于隔离不同部门之间的网络。防火墙在保护网络安全方面已经发挥出越来越重要的作用。
1.1 包过滤技术 包过滤防火墙是最早的防火墙技术。顾名思义,包过滤就是根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口,及其协议类型。若是可信连接,就允许其通过;否则就丢弃。由于包过滤防火墙处于OSI 七层模型的网络层,它只检查数据包头信息,处理数据包的速度很快。但是由于这种防火墙没有检查应用层的数据,也没有跟踪连接状态,并且没有用户和应用的验证,因此存在安全漏洞。
1.2 应用代理技术 应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。
1.3 状态检测技术 状态检测防火墙也叫自适应防火墙又叫动态包过滤防火墙。1992年USC 信息科学院的Bobbradon 提出了动态包过滤防火墙,在此基础上1994年Check Point公司提出了状态检测防火墙,Check Point公司的FireWall-1 就是基于这种技术。后来Progressive System 公司又提出了自己的自适应防火墙,它们的Phoenix 防火墙也是基于此技术,状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态的保存起来作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等处理动作。
1.4 自适应代理技术 自适应代理防火墙是由Network Associates 公司提出的,它整合了动态包过滤防火墙技术和应用代理技术,本质上也是状态检测防火墙。Network Associates公司的Gauntlet就是用这种技术。
自适应代理防火墙一般是通过应用层验证新的连接,这种防火墙同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。
2 防火墙安全策略设计
2.1 创建安全策略 策略对防火墙来说是关键因素,有两种网络级的策略可以直接影响到防火墙系统的设计、安装和使用:
2.1.1 网络服务访问权限策略:一种较高级别的策略,用来定义允许的和明确拒绝的服务,包括提供这些服务的使用方法及策略的例外情况;
2.1.2 防火墙设计策略:一种较低级别策略,用来描述防火墙如何对网络服务访问权限策略中所定义的服务进行具体的限制访问和过滤。
安全策略是防火墙系统的重要组成部分和灵魂,而防火墙设备是它的忠实执行者和体现者,二者缺一不可。安全策略决定了受保护网络的安全性和易用性,一个成功的防火墙系统首先应有一个合理可行的安全策略,这样的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎,就会拒绝用户的正常请求的合法服务或者给攻击者制造了可乘之机。
安全策略的制定受到多种因素的影响,对每一个具体的网络环境,应根据各自的具体情况制定不同的安全策略。总的来说有两种策略:没有被列为允许的服务都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许可的服务,防火墙封锁所有信息流,然后逐项使能每一种许可的服务。而后者允许一切没被禁止的服务,防火墙转发所有的信息,然后逐项删除所有被禁止的服务。
虽然针对具体的网络没有固定的安全策略,但在制定具体的安全策略时,是可以遵循一定的原则:①支持一条“禁止一切未明确允许的服务”或“允许一切未被禁止的服务”的规则。②在实现既定规则时不能漏掉任何一条。③只要适当修改规则,便可以适应新的服务和需求。④要在身份验证和透明性之间作出权衡。⑤在分组过滤时,可以针对某个具体的机器系统允许或禁止。⑥对于需要的各种服务,如FTP, Telnet, SMTP, HTTP等要加上相应的代理服务,考虑加入通用代理服务方便扩展。⑦对于拨号用户集中管理,并做好过滤和日志统计工作。
2.2 确定分组过滤规则安全策略创建后,防火墙作用的发挥最大的因素依赖于好的规则库,规则库是一组规则,当特定种类的通信量试图通过防火墙时,这组规则告诉防火墙要采取什么工作,如果简单的防火墙具有构造良好的规则,那么它就比虽然复杂但是规则不能阻止应当阻止的入侵企图的防火墙有效。所以要将规则库建立在安全策略的基础上,并不断对规则库进行简化,实现过滤优化。
防火墙逐一审查每一个数据包是否与其分组过滤规则相匹配,由规则确定包的取舍。分组过滤规则处理IP包头信息为基础,其中以IP源地址、IP目的地址、封装协议(UDP/TCP)、端口号等来制定检查规则。在确定规则时一般把最常用的规则放在最前面,而且大多时候Web服务是最主要的,从而它的流量也是最大的,所以应该对它的响应进行调整,尽量把它往前移动。
3 结束语
防火墙的安全技术策略是一项不断发展和完善的技术,国内外对防火墙技术策略的应用正处在不断的摸索中。本文对防火墙的安全技术及防火墙的应用策略进行剖析,防火墙的安全技术策略还需进一步发展,它必将成为信息安全领域研究计论的重点。
参考文献:
[1]韦巍,乐国友.组策略在网络安全中的应用[J].法制与经济.2006年08期.
[2]刘晓辉.网管从业宝典——交换机·路由器·防火墙.重庆大学出版社.
防火墙技术的应用 篇4
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
防火墙技术发展的三个发展趋势 篇5
防火墙可说是信息安全领域最成熟的产品之一,但是成熟并不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。
模式转变
传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。但这种设计的最大问题是,恶意攻击的发起不仅仅来自于外网,内网环境同样存在着很多安全隐患,而对于这种问题,边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防御理念的升华。
防火墙的几种基本类型可以说各有优点,所以很多厂商将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足,例如比较简单的方式就是既针对传输层面的数据包特性进行过滤,同时也针对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力,可以说是在自身基础之上进行再发展的最有效途径之一,目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤,其实这已经成为现有防火墙产品的一种主流检测模式了,可以预见,未来的防火墙检测模式将继续整合进更多的范畴,而这些范畴的配合也同时获得大幅的提高。
就目前的现状来看,防火墙的信息记录功能日益完善,通过防火墙的日志系统,可以方便地追踪过去网络中发生的事件,还可以完成与审计系统的联动,具备足够的验证能力,以保证在调查取证过程中采集的证据符合法律要求。相信这一方面的功能在未来会有很大幅度的增强,同时这也是众多安全系统中一个需要共同面对的问题。
功能扩展
现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,这样的设计会对管理性能带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。
防火墙的管理功能一直在迅猛发展,并且不断地提供一些方便好用的功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断地涌现出来,例如短信功能,至少在大型环境里会成为标准配置,当防火墙的规则被变更或类似的被预先定义的管理事件发生之后,报警行为会以多种途径被发送至管理员处,包括即时的短信或移动电话拨叫功能,以确保安全响应行为在第一时间被启动,而且在将来,通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。
性能提高
未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的`负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯地升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构,当然,从某种角度来说,我们祈祷这种状况最好还是不要发生。
另外根据经验,除了硬件因素之外,规则处理的方式及算法也会对防火墙性能造成很明显的影响,所以在防火墙的软件部分也应该会融入更多先进的设计技术,并衍生出更多的专用平台技术,以期缓解防火墙的性能要求。
防火墙技术的分类 篇6
天网防火墙负载分担技术
1.负载分担——大型服务节点的解决方案
拥有大量的访问量和用户是信息服务提供者的目标,但是大量的访问会给服务器带来沉重的负担,随着出色的Inte.net应用服务的用户人数不断增加,服务器变得不胜负荷,如果无法及时处理大量的用户服务请求,将出现服务中断的情况。以往在解决这些问题的时候,只能采用更强计算能力的服务器来替换原来的服务器,旧的服务器只能淘汰掉。即使这样,单台服务器的负载能力也是有限的,不可能无限扩展,同时,高档服务器的价格是随着服务器的性能呈现指数型上升,因此,采用多台廉价服务器组成负载分担的系统模型日渐成为主流。
2.负载分担系统的原理
负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。在负载分担方式出现的初期,有不少网络的设计采用域名轮转的方式,即是一个域名对应多台服务器,作为一种廉价的方案,域名轮转的方式可以解决一些服务器的负载问题,但是,由于这种负载分担的方式有很大的局限性:无法根据各台服务器的负载情况,将用户服务请求发送到不同的服务器上;在其中一台服务器出现问题无法工作的时候,系统仍然会将用户访问请求发送到出现故障的服务器上,造成一部分服务的中断;由于域名解释一般在各地的服务器上都会有Cache存在,因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上,采用域名轮转的方式来做系统负载分担,其效果并不明显。
3.天网防火墙的负载分担系统模块
使用天网防火墙的分布式方案,可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块,可以智能地将用户的服务请求分布到多台服务器上,同时,提供容错功能,可以自动隔离出问题的服务器。系统具体功能如下:
1)动态负载均衡
天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU 占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。
2)容错处理
天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到该机器上,保证了系统的正常运作。
4.天网防火墙负载分担模块的工作原理
天网防火墙负载分担模块的工作原理主要是将用户的访问按照一定算法分布到多台服务器上。
天网防火墙可以采用多种不同方式实现负载分担。从功能上可以分为两类:
1)智能类
直接探测
方式:天网防火墙负载分担模块直接向服务器发送服务请求数据,根据服务器响应时间,将无响应的服务器标志为问题服务器,确立用户服务请求转发的优先级。
优点:与服务器采用的系统无关,用户服务器可以采用任何种类的服务器。
缺点:得到的数据不准确,无法做到完全的负载分担。
服务器Agent
方式:在服务器端安装天网防火墙的负载检测代理软件,实时向天网防火墙负载分担模块发送服务器的负载情况,包括CPU 占用量,系统Load,网络流量等情况,天网防火墙根据服务器负载的综合指数,确立用户服务请求转发的优先级。
优点:可以准确地将用户服务请求转发到真正空闲的服务器上,保证服务品质。
缺点:必须针对不同操作系统的服务器安装负载检测代理软件,目前只有Unix系统的负载检测代理软件。
2)固定类
按照固定顺序循环或随即将用户服务请求转发到服务器上面。用在某些特殊的场合,例如服务器端对不正确的服务请求不响应或返回数据不正常。
5.IIDR算法
在实际应用中,由于服务器端常常存在着CGI程序,这些程序会将用户的信息保存在服务器的内存中,如果负载分担系统不能识别用户来源,就会将同一个用户的请求分布到不同的服务器上,就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR(智能身份识别)算法,能够保证同一个用户的CGI请求可以保留在同一台服务器上,保证服务的正常运作。
6.天网防火墙负载分担模块
防火墙技术的分类 篇7
在全球信息技术高度发达的今天,随着互联网的日益普及,网络对我们来说已经成为工作和生活中必不可少的一部分。但网络在带给人们极大便利的同时,也带来了一个棘手的问题,就是网络安全问题。
为实现网络安全,防范网络攻击,最常用的对策就是构建防火墙。防火墙是指在内部网和互联网之间或者其他外部网之间插入一个中介系统,阻断来自外部通过网络对内部网的威胁和入侵。虽然防火墙是保护网络免遭黑客袭击的有效手段,但是防火墙也有一些缺陷和不足,如防火墙不能防备新的网络安全问题,它也无法防护内部网络用户的攻击等等,所以仅仅使用防火墙技术来保障网络安全是远远不够的,必须寻找新的解决方法来弥补防火墙的不足,本文提出将入侵检测技术与防火墙技术相结合提供一个更加安全的解决方案。
2 现有入侵检测系统与防火墙的不足
入侵检测系统(Intrusion Delection System)简称IDS可以定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理系统。它通过对计算机系统进行监视,提供实时的人侵检测并采取相应的防护手段。人侵检测系统的目的在于检测可能存在的攻击行为。它不仅能检测来自外部的入侵行为,还可以检测内部用户的未授权行为。是一种积极主动的安全防卸技术。目前就检测的数据来源IDS可分为基于主机的IDS(Host-Based IDS)和基于网络的IDS(Network-Based IDS)基于主机IDS主要根据系统的审计记录,用户的位置和命令,CPU和I/O及内存的使用情况文件系统的变化因素等来进行检测;基于网络的IDS系统通过获取网络上传送的IP包来进行安全检测分析,对IP包的获取一般采用被动的基于包侦听的方式,如采用Sniffer或Tcpdump等工具来实现。入侵检测系统的主要不足如下:
1)采用侦听方式的网络IDS只能实现被动的侦听即使检测到攻击,也很难实施有效的阻止或有效控制。
2)易受拒绝服务攻击(Denial Of Server简称DOS),NIDS为了不漏掉攻击,需要近可能对每一个包进行检测,而不相防火墙在处理不过来的时候可以丢掉包而不威胁系统安全。这样当攻击者向内部网发送大量的NIDS需要处理时,便造成NIDS拒绝服务。
3)没有控制外部网对内部网访问的能力。
防火墙是一种用来加强网络之间访问控制的特出网络互联设备它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是不是被允许,从而达到保护内部网络的信息不被外部网络的非法用户访问,防火墙系统本质上是一种访问控制系统,它存在以下不足:
1)防火墙规则的制定,更多的是一种粗粒度的检查,对一些协议细节无法做到完全的解释。
2)防火墙提供的是静态防卸,它的规则都是事先设置的,需要人工来维护对于实施的攻击或异常的行为不能做出实时反应,不能主动跟踪入侵者。
3)防火墙无法自动调整策略来阻断正在进行的攻击。
4)防火墙具有防外不防内的局限性,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。
通过以上分析我们集两种技术之所长提出了一种将网络入侵检测技术与放火墙技术相接合的体系结构。防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,二者各有所长,行成互补,但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起,共同提供一个安全防御系统。
3 结合方法
防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,二者各有所长,形成互补,但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起,共同提供一个安全防御系统。
在国外,软件形式的产品已经开始成为低端网络安全市场中非常重要的一部分。针对个人来讲,无论防火墙还是入侵检测都可以采用公开源代码的软件。选择公开源代码软件的原因是:公开源软件不仅是免费的,而且随着不断的发展,正变得高效和稳定。如防火墙可以选用Ipfilter,入侵检测系统可以选用Snort,并将Snort嵌入在Ipfilter中,让其运行Openbsd上。本文以防火墙选用Ipfilter,入侵检测系统选用Snort,将二者进行联动研究:Snort是一种基于误用检测模型的网络入侵检测系统,对每一种入侵行为,提炼出其特征值,按照Snort的规范写成检测规范,形成一个规则数据库。检查时,Snort收到的数据包在规则库中逐一匹配,如果匹配成功,则认为发生入侵。
Netfilter/Iptables是Linux内核(2.4.x)集成的IP信息包过滤系统,由两个组件Netfilter和Iptables组成。Netfilter组件称为内核空间,提供了一个对IP包进行操作的框架Iptables组件称为用户空间,它是用户插入,删除和修改保存在Netfilter组件中的包过滤规则的工具。
网络环境:图1是Netfilter/Iptables和Snort联动应用的网络环境。内部网络一以太网,取C类地址192.168.*.*通过防火墙以IP伪装方式访问Internet。防火墙硬件是一台安装有eth1和eth2两快网卡的主机,eth1连接外部网络,eth2连接内部网络;软件采用Netfilter/Iptables,提供网络地址转换,在内部网络的每个子网中,有一台运行的Snort主机。
安全联动设计:为了克服防火墙和入侵检测系统各自的缺点采用NetfilterIptables和Snort联动的安全方式,联动具有以下两种功能:
1)Snort检测自身的丢包率并与用户在规则中指定的丢包率做比较,如果大于用户的设定值,设置远程NetfilterIptables规则,减少流入Snort所在子网的流量,以避免对Snort的拒绝服务攻击。
2)Snort检测到攻击后,设置远程Netfilter/Iptables的规则,抵御来自外部网络的攻击。对于内部网络的攻击,可以在规则选项中指定关键字Flexresp来抵御这类攻击。
通过以上分析我们可以看出NetfilterIptables和Snort联动应用大大提高了网络的安全性。
4 结束语
安全是相对的,不安全才是绝对的。防火墙和IDS技术,只是网络安全环节中一个防御步骤。在网络内进行防火墙与IDS的设置,并不能保证网络绝对安全了,但是设置得当的防火墙及入侵检测技术,至少能使网络相对安全一些,并且能提供更多的攻击信息来进行分析。
目前国际上围绕信息的获取、使用和控制的竞争愈演愈烈,网络信息安全在维护国家安全、保持社会稳定、保障经济发展、保护个人隐私方面起的作用日益突显,网络信息安全保障能力已经成为21世纪综合国力、经济竞争实力和生存与发展能力的重要标志,同时,网络信息安全技术也已成为新世纪世界各国争相攀登的制高点。我们必须为此付出努力。
参考文献
[1]宋劲松.Snort2.0入侵检测[M].北京:国防工业出版社,2004.
[2]曹汉平.linux防火墙技术研究[J].武汉理工大学学报(交通科学与工程版),2002,26(1):120-12.
[3]朱建刚,刘乃崎.入侵检测系统:分析方法的设计[J].福建电脑,2004(4):10-12.
防火墙技术在网络安全方面的运用 篇8
关键词:防火墙技术;网络安全;信息;黑客
一、防火墙在网络中的应用
(一)防火墙在企业网络中的应用
防火墙技术作为企业内部网络连接到外部网络的第一道安全屏障,防止非法用户入侵攻击,为保护企业内部网络的安全做出了贡献。
人们可能认为只要拥有一个防火墙所有的安全问题都已经得到解决了,但事实上,仍有很多危险是防火墙解决不了的。如果一个企业不能明确内部网络信息安全制度。有些企业在连接局域网的时候,如果不做好PC机的安全措施,这样当他们把局域网连接到因特网的时候,就不能保证局域网的安全了。然而,防火墙更不是万能的,也绝没有真正达到完善的地步。由于防火墙要保证信息安全,采取了许多访问控制机制,会限制用户的访问,因此防火墙设置必须在安全性和服务访问的方便性之间进行取舍。
(二)防火墙技术在局域网中的应用
目前网络中主要使用防火墙来保证局域网络的安全,当防火墙位于内部网络和外部網络的连接处时,可以保护组织内的局域网络和数据免遭来自外部网络的非法访问或恶意攻击。网络攻击,一般是侵入或破坏网上的服务器,直接破坏网络设备,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护局域网免受恶意攻击,保证内部局域网络及系统的正常运行。但是一些攻击者以技术手段攻击局域网成功后,可能发起相当有破坏力的攻击,使局域网中的重要数据和技术资源全部丧失,并破坏网络系统的正常运行,导致整个网络的崩溃,造成不可估量的损失。
某些个人电脑或是有些单位的电脑都认为电脑只要装上了杀毒软件就可以了,但是杀毒软件只能防范一些常见的病毒和木马程序,对于防范不常见的黑客程序和木马程序还有一定的困难。如果这时候不安装防火墙,那么这时它们就更加地为所欲为,而如果及时安装上了防火墙就像为每一台电脑安装上了一层保护伞,使那些黑客程序及木马程序难以在电脑系统里实行攻击,这样就保护了个人电脑和局域网及其他电脑的安全。因而,局域网内的每一台电脑一定少不了防火墙系统,这样就能在一定程度上保护了电脑系统的安全。在构建安全局域网络的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。
(三)防火墙技术在个人电脑上的应用
个人防火墙是一种运行在个人电脑上的软件。它可以对个人电脑与网络间相互传送的IP数据包进行监视,并按预先确定的标准来判断让数据包通过或者是阻断。企业所设置的防火墙通常位于因特网和企业内部网之间,目的是保护企业内部网不受侵害;而个人防火墙则可以看作是用来保护个人电脑中的信息不受来自因特网的威胁的一个工具。
人们可以利用电脑来实现办公自动化,极大地提高了工作效率。网络在为人们日常工作和生活带来便利的同时,由于网络本身的开放性,网络自我安全防护能力弱,存在着极大的安全风险和隐患。如今,个人计算机系统经常受到来自外部网络的病毒和黑客的不断攻击,病毒感染和黑客入侵,常常让人们防不胜防,给人们的工作和生活带来了很多不必要的麻烦。
二、防火墙技术在网络中的作用
(一)可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
(二)可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
(三)可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
参考文献:
[1]叶丹.网络安全实用技术[M].北京:清华大学出版,2002.
【防火墙技术的分类】推荐阅读:
防火墙技术分类论文06-30
防火墙的分类和作用06-09
防火墙:深度包检测技术的演进历程和技术反思防火墙技术06-05
防火墙的基础技术07-09
防火墙技术的应用研究08-17
防火墙与入侵检测技术的联动05-26
防火墙技术09-15
防火墙技术综述06-09
防火墙技术分析07-14
防火墙技术主要用来07-09