防火墙在安全防御中的应用

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

-1-摘要随着网络的发展,网络的安全性显得非常重要。这是由于怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络冒充合法用户非法进入远程主机,获取存储在主机中的机密信息,或者占用网络资源,组织其他用户使用等,这些问题的产生对网络营运部门和用户的信息安全构成了威胁,影响了计算机网络的进一步推广应用。因此对计算机网络上的各种非法行为进行主动控制和有效防御,是计算机网络安全亟待解决的问题。网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网中木马的主机系统信息泄露等。随着科技的发展,防火墙也逐渐被大众所接受。本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。关键词:网络安全;防火墙;校园网;防御-2-目录1防火墙.....................................................31.1防火墙的概念.........................................31.2.防火墙的功能.........................错误!未定义书签。1.3防火墙的分类.........................................71.4各类防火墙的优缺点..................................121.5防火墙技术的局限性..................................141.5防火墙的未来发展趋势................................152防火墙技术在校园网中的应用................................152.1校园网防火墙部署....................................172.2校园网防火墙配置....................................162.3校园网防火墙结构....................................183总结与展望................................................18参考文献....................................................18-3-1防火墙1.1防火墙技术所谓防火墙(Firewall),是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全的和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。它的实现有多种形式,但原理很简单,可以把它想象成一个开关,其中一个用来阻止传输,另一个用来允许传输。防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警和反应等,同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。在网络层,防火墙被用来处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层,这个链接可以被端到端的加密,也就是进程到进程的加密。在应用层,它可以进行用户级的身份认证、日志记录和账号管理等。因此,防火墙技术简单来说,就是一套身份认证、加密、数字签名和内容检测集成为一体的安全防范措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙,由防火墙进行分析,以确保它们符合站点设定的安全策略,以提供一种内部节点或网络与Internet的安全屏障。1.2防火墙的功能(1)防火墙是网络安全的屏障防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。(2)防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。(3)对网络存取和访问进行监控审计所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙进行适当的报警,并提供-4-网络是否收到监测和攻击的详细信息。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或宁安网络安全问题对全局网络造成影响。1.3防火墙的分类防火墙技术经历了包过滤、应用代理网关和状态检测三个阶段。包过滤行的防火墙常直接转发报文,它对用户完全透明,速度较快;应用代理网关防火墙是通过服务器机那里连接的,可以有更强的身份验证和注册功能;状态检测防火墙是在其核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每个会话状态。状态检测对每一个包的检测不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。(1)包过滤型防火墙包过滤防火墙一般有一个包检查快(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。通过检查模块,防火墙能够检查和拦截所有进站和出站的数据,它首先打开包,取出包头,根据包头信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。包过滤防火墙工作在网络层,对数据包的源及目的IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还数UDP及所有的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,如果一条规则阻止包传输或接收,则此包便不被允许通过,否则该包可以被继续处理。包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙的优点:1)防火墙对每条传入和传出网络的包实行低水平控制;2)每个IP包的字段都被检查,例如源地址、目的地址、协议和端口等;3)防火墙可以识别和丢弃带欺骗性源IP地址的包;4)包过滤防火墙是两个网络之间访问的唯一来源;5)包过滤通常被包含在路由器数据包中,多以不必额外的系统来处理这个特征。包过滤防火墙的缺点:1)不能防范黑客攻击,因为网管不可能区分出可信网路有不可信网络的界限;2)不支持应用层协议,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙;3)不能处理新的安全威胁。(2)应用代理网关防火墙应用代理网关防火墙彻底割断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点:1)可以检查应用层、传输层和网络层的协议特征;2)对数据包的检测能力比较强。应用代理网关的缺点:1)难于配置。由于每个应用都要求单独的代理过程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略。由于配置繁琐,难于理解,容易出现配置失-5-误,最终影响内网的安全防范能力2)处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使用代理防火墙具有极高的安全性。但是实际应用中并不行,因为对于内网的每个web访问请求,应用代理都需要开一个单独的代理过程,它要保护内网的web服务器、数据库服务器、文件服务器、邮件服务器及义务程序等,这就需要建立一个个的服务代理、以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常web访问不能及时得到响应。总之,应用代理网关防火墙不能支持大规模的并发连接,对速度要求的行业不能使用这类防火墙。另外,防火墙核心要求预先内置一些已知应用程序代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。(3)状态检测技术防火墙状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不是安全性的基础上将代理防火墙的性能提高了10倍。Internet上使用的TCP/IP,TCP的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”、“客户端应答”三次握手。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包的连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每个会话状态。状态检测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一些列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是一些规则复杂的大型网络上。1.4防火墙技术的局限性随着防火墙技术的发展,其在信息安全体系中的地位越来越不可替代,网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下,我们也应该清醒地认识到:防火墙并不是“包治百病”的,它对于一些特殊的攻击或其他行为有时也无能为力。所以,我们也应该了解其技术方面的一些局限性,毕竟没有任何一种技术能绝对保证安全。首先,防火墙技术最突出的缺点在于不能防范跳过防火墙的各种攻击行为。这其中比较典型的就是难以防范来自网络内部的恶意攻击。“堡垒往往容易从内部攻破”这句话用于防火墙再合适不过了。因此,用户在构建好防火墙的同时,也不要忘记了防火墙内的安全保障。其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大-6-的隐患。另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设置的。如果出现新的未知攻击行为,防火墙也将束手无策。最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。1.5防火墙的未来发展趋势尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更

1 / 9
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功