防火墙的体系结构及原理(正式版)

1滨江学院论文学年学期2014-2015学年第二学期课程名称网络安全院系计算机系专业网络工程指导教师朱节中姓名学号二Ｏ一五年六月十五日2防火墙的体系结构及原理姓名南京信息工程大学滨江学院计算机系，江苏南京210044内容摘要我们都知道计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。防火墙是一种广泛使用的网络安全技术，其核心思想是在不安全的网际中网络环境中构造相对安全的子网环境防火墙是实施网络安全控制得一种必要技术。本文介绍了防火墙的概念和他们的优缺点，研究防火墙技术的功能作用，讨论了信息安全的现状中分析了我国信息安全管理的现状，以及存在的问题，现阶段对问提提出的对策，防火墙的结构体系，以及讨论防火墙技术与现有网络的关系。关键词：结构体系，防火墙技术，安全现状3digestweallknowtherapiddevelopmentofcomputernetworktechnology,especiallytheapplicationoftheInternetbecomesmoreandmorewidely,havebroughttheunprecedentedinthemassinformationatthesametime,thenetworkofopennessandfreedomalsoproducedaprivateinformationanddataweredamagedorthepossibilityofinfringement,informationofthenetworksecuritybecomesmoreandmoreimportantup,hasbeeninformationallaspectsofsocialvalue.Afirewallisawidelyusednetworksecuritytechnology,itscorethoughtisnotsafeinthenetworkenvironmentintherelativesafetyoftectonicenvironmentisafirewallsubnetimplementingnetworksecuritycontroltoanecessarytechnology.Thispaperintroducestheconceptofthefirewallandtheiradvantagesanddisadvantages,andstudythefunctionoftheirfirewalltechnology,discussedthepresentsituationofinformationsecurityinChinaisanalyzedinthepresentsituationofinformationsecuritymanagement,aswellastheproblemsandtocarryforwardataskcountermeasures,firewallstructuresystem,anddiscusswithexistingnetworkfirewalltechnologyoftherelationshipkeywords:structuresystem,firewalltechnology,safetysituation41防火墙的概念我们所说的防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网络（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。2防火墙的作用及功能作用：防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。功能：防火墙的功能防火墙的建立是为了防止内部网络免受来自网络以外的干扰、破坏，其主要功能有：（1）访问控制功能。（2）内容控制功能。（3）全面的日志功能。（4）集中管理功能。（5）自身的安全和可用性。（6）其他安全控制，各组织机构可以根据本单位的特殊要求来配置防火墙系统，从而实现其他安全控制。3防火墙的实现技术原理防火墙技术就是通过在Internet与本地子网之间建立一个信息传输控制检查的管理屏障,保护本地子网免受外部Internet网络用户的攻击和本地子网私有信息的外泄。从技术角5度上讲,防火墙是单个或一群用于加强Internet与本地子网到Internet的信息传输的检查与控制,仅允许系统授权访问的信息通过。从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。4防火墙体系架构4.1、包过滤防火墙图(8)包过滤型防火墙，往往可以用一台过滤路由器(ScreenedRouter)来实现，对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层，故也称网络层防火墙或IP过滤器图(9)6路由器审查每个数据包，确定其是否与某一条包过滤规则匹配过滤规则基于可以提供给IP转发过程的包头信息，包头信息中包括：源IP地址、目标IP地址协议类型(TCP、UDP、ICMP等等)TCP/UDP源端口、目标端口ICMP消息类型TCP包头中的ACK位等规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发规则拒绝该数据包，那么该数据包就会被丢弃如果没有匹配规则，根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包如：阻塞所有进入的Telnet连接路由器只需简单地丢弃所有TCP端口号等于23的数据包将进来的Telnet连接限制到内部的数台机器上TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包优点：①处理数据包的速度比较快(与代理服务器相比)，②实现包过滤几乎不再需要费用，③包过滤路由器对用户和应用来讲是透明的缺点：①包过滤防火墙的维护比较困难，②只能阻止一种类型的IP欺骗，③任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险，一些包过滤路由器不支持有效的用户认证，④因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的，⑤不能提供有用的日志，或根本不提供日志，⑥随着过滤器数目的增加，路由器的吞吐量会下降，⑦IP包过滤器可能无法对网络上流动的信息提供全面的控制应用场合(1)机构是非集中化管理(2)机构没有强大的集中安全策略(3)网络的主机数非常少7(4)主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的(5)没有使用DHCP这样的动态IP地址分配协议4.2、双宿/多宿主机防火墙双穴主机网关是用一台装有两块双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制特点：IP层通信被阻止图(10)上图：网络层路由功能未被禁止，数据包绕过防火墙两个网络之间的通信方式：①应用层数据共享，用户直接登录②应用层代理服务，在双宿主机上运行代理服务器用户直接登录的不足：1、支持用户账号会降低机器本身的稳定性和可靠性2、如果双宿主机上有很多账号，管理员维护困难优点:①可以将被保护的网络内部结构屏蔽起来，增强网络的安全性,②可用于实施较强的数据流监控、过滤、记录和报告等缺点:①使访问速度变慢,②提供服务相对滞后,③有些服务无法提供84.3、被屏蔽主机防火墙图(11)专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连过滤路由器连接Internet和内部网络，它是内部网络的第一道防线过滤路由器需要进行适当的配置，使所有的外部连接被路由到堡垒主机上过滤路由器的重要性：是否正确配置是这种防火墙安全与否的关键过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，数据包就不会被路由到堡垒主机上，使堡垒主机被绕过堡垒主机(BastionHost)位于内部网络，是一台安全性很高的主机，其上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地堡垒主机上一般安装的是代理服务器程序，即外部网络访问内部网络的时候，首先经过外部路由器的过滤，然后通过代理服务器代理后才能进入内部网络堡垒主机在应用层对客户的请求做判断，允许或禁止某种服务。如果该请求被允许，堡垒主机就把数据包发送到某一内部主机或屏蔽路由器上，否则抛弃该数据包对于入站连接，根据安全策略，屏蔽路由器可以：①允许某种服务的数据包先到达堡垒主机，然后与内部主机连接，②直接禁止某种服务的数据包入站连接对于出站连接，根据安全策略：9①对于一些服务(Telnet)，可以允许它直接通过屏蔽路由器连接到外部网络，而不通过堡垒主机，②其它服务(等)，必须经过堡垒主机才能连接到Internet，并在堡垒主机上运行该服务的代理服务器屏蔽主机防火墙转发数据包的过程表示层IP包过滤应用层代理物理层数据链路层网络层传输层会话层内部堡垒主机过滤路由器物理层数据链路层Internet内部网图(12)与包过滤型防火墙的比较：①其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全(包过滤)和应用层安全(代理服务)，②入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统，③即使入侵者进入了内部网络，也必须和堡垒主机竞争，堡垒主机是一台安全性很高的主机路由器不被正常路由的例子：正常路由情况：内部网络地址：202.112.108.0，堡垒主机地址：202.112.108.8，路由表内容，所有流量发到堡垒主机上10图(13)路由表被破坏的情况：①堡垒主机的路由项目被从路由表中删除，②进入屏蔽路由器的流量不会被转发到堡垒主机上，可能被转发到另一主机上，外部主机直接访问了内部主机，绕过了防火墙，③过滤路由器成为唯一一道防线，入侵者很容易突破屏蔽路由器，内部网络不再安全。图(14)11本质上同屏蔽主机防火墙一样，但增加了一层保护体系——周边网络(DMZ)。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开图(15)4.4、被屏蔽子网(ScreenedSubnet)被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，