搜索
通信与信息系统管理专业高等教育自学考试毕业论文1毕业论文论文标题作者姓名考号工作单位职务通信地址邮编指导教师职称完成时间年月日信息技术应用与管理专业主考学校办公室制通信与信息系统管理专业高等教育自学考试毕业论文2防火墙技术的现状与展望【内容摘要】随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术,已经成为计算机网络安全体系结构中的一个重要组成部分。随着互联网的迅猛发展,为了满足新的网络安全形势的需要,防火墙技术也在不断地更新发展,以提供更加高速、系统、功能多样化的安全保障。本文从防火墙技术的发展现状出发,对防火墙技术的下一步走向和发展趋势进行了展望。【关键字】防火墙技术计算机网络网络安全发展现状展望1.引言防火墙是防范网络攻击最常用的方法,从技术理论上看,如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关,不仅能完成传统防火墙的过滤任务,同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问,它把网络分为两个部分:外部网络和受保护网络(内部网络)。相比企业而言,外部网络一般指的是Internet,而受保护网络一般指企业自己建立的Internet防火墙,放在受保护网络和外部网络之间,如下图图1所示外部网络受保护网络防火墙图1防火墙示意图防火墙一方面限制外部网络访问受保护网络,对外屏蔽受保护网络的实现细节,保证数据的安全,另一方面限制受保护网络对外部网络的访问,防止不良信息的获取部分,减少信息的泄露。防火墙就是用来隔离受保护的网络和不受保护的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从因特网到受保护网络的连接。防火墙(阻塞类防火墙)可以确保除非通过检查点的审查,否则你从网中将不能直接到达因通信与信息系统管理专业高等教育自学考试毕业论文3特网。2.防火墙技术的发展现状防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。2.1包过滤技术包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,如表1所示。表1一些常用网络服务和使用的端口服务名称端口号协议说明FTP-DATA20TCPFTP数据FTP21TCPFTP数据TELNET23TCP如BBSSMTP25TCP发EmailTIME37TCPtimserverTIME37UDPtimserverDOMAIN53TCPDNSDOMAIN53UDPDNSTFTP69UDPFTPGOPHER70TCPgopherHTTP80TCP新闻组,usernNETBIOS137TCPNETBIOSSNMP161UDPSNMP包过滤技术(IPFilteringorpacketfiltering)的原理在于利用路由器监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。由于Internet与Intranet的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP过滤功能,过滤路由器也可以称作包过滤路由器或筛选路由器(PacketFilterRouter)。防火墙常常就是这样一个具备包过滤功能的简单路由器,这种Firewall应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的通信与信息系统管理专业高等教育自学考试毕业论文4场合,通常还配合使用其它的技术来加强安全性。常用的优秀的个人防火墙有NormanPersonalFirewall、天网防火墙等现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙具有根本的缺陷:(1)不能防范黑客攻击包过滤防火墙的工作基于一个前提,就是网管知道哪些IP是可信网络,哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源IP包改成合法IP即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行IP地址欺骗。(2)不支持应用层协议假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。(3)不能处理新的安全威胁它不能跟踪TCP状态,所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。2.2应用代理网关技术由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(ApplicationProxy)技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(TransparentProxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技通信与信息系统管理专业高等教育自学考试毕业论文5术,而是一种被称为“应用协议分析”(ApplicationProtocolAnalysis)的新技术。“应用协议分析”技术工作在OSI模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“GET/sql.asp?id=1and1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。通信与信息系统管理专业高等教育自学考试毕业论文62.3状态检测技术我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段,我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。任何一款高性能的防火墙,都会采用状态检测技术。从2000年开始,国内的著名防火墙公司,如北京天融信等公司,都开始采用这一最新的体系架构,并在此基础上,天融信NGFW4000创新推出了核检测技术,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,在实现安全目标的同时可以得到极高的性能。目前支持的协议有HTTP/1.0/1.1、FTP、SMTP、POP3、MMS、H.232等最新和最常用的应用协议。3.防火墙技术的展望3.1新需求引发的技术走向防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求:(1)远程办公的增长。这次全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。(2)内部网络“包厢化”(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信通信与信息系统管理专业高等教育自学考试毕业论文7的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。3.2黑客攻击引发的技术走向防火墙作为内网的贴身保镖,黑客攻击的特点也决定了防火