信息安全技术论文学院:计算机科学与信息工程学院学生姓名:牛亚学号:201103030018专业班级:网络工程13-1指导教师:齐万华2016年5月信息安全技术论文——基于防火墙技术的思考摘要:随着信息技术的不断发展,信息安全技术已经越来越被人们所重视。文中首先介绍了信息安全的起源,近几年由于安全问题所带来的巨大损失,然后给出了信息安全的几个定义以及它的特点,具体分析了信息安全所面对的不同方面的威胁,同时简单的介绍了信息安全的体系结构,具体的介绍了信息安全技术的两个重要技术:密码技术和网络防御技术。其中密码技术包括基于数学的密码技术和基于非数学的密码技术,网络防御技术主要讲的是防火墙技术。最后,对为了进行了一些期望,希望能够及时的掌握信息安全技术,避免过多的损失。关键词:信息技术;信息安全;密码技术;防火墙技术1.信息安全面对的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是认为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用,归结起来,针对网络安全的威胁主要有以下几种:(1)人为的无一失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞、“后门”和自然灾害。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计程序人员为了自使而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。自然灾害包括地震、雷击、洪水等,可直接导致物理设备的损害或零部件故障,这类威胁具有突发性、自然性和不可抵抗性等特点,当然还有环境的干扰。2.防火墙技术的引入“防火墙”是一个通用术语,是指两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙通常是有软件系统和硬件设备组合而成,在内部网和外部网之间构建起安全的保护屏障。从逻辑上讲,防火墙是起分隔、限制、分析的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙现在已成为各企业网络中实施安全保护的核心。防火墙一般有以下几个功能:(1)限制他人进入内部网络,过滤不安全服务和非法用户;(2)防止入侵者接近其他防御设备;(3)限制用户访问特殊站点;(4)为监视Internet的安全提供方便。防火墙的发展经过了五个阶段。第一代防火墙几乎是与路由器同时出现,采用了包括过滤技术;第二代防火墙是贝尔实验室1989年推出的电路层火墙,同时提出了第三代防火墙—应用层防火墙(代理防火墙)的初步结构;1994年以色列的Checkpoint公司开发出采用状态监视技术的第四代防火墙;1998年,NAI推出了采用自适应代理技术的防火墙,标志着第五代防火墙的诞生。目前的防火墙主要有两种类型:其一,是包过滤型防火墙。它是一般由路由器实现,故也称包过滤路由器。它在网络层对进出内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的规则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击记录。其二,是应该级防火墙。大多数的应该级防火墙产品使用的是代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的转换。若外部网的用户要访问内部网,它只能到达代理服务器,若符合条件,代理服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过代理服务器的转接,但它不允许内部用户直接访问外部,会使未被服务器支持的服务。3.防火墙的历史与发展趋势(1)防火墙的历史防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短矩的几年内异军突起很快形成了一个产业:1995年,刚刚面市的防火墙产品市场量还不到1万套,到l996年底,就猛增到10万套,据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,到2000年将达150万套。纵观近年来Internet防火墙市场的发展,可以看到安全需求、安全产品和安全技术正以相辅相成的趋势迅猛发展。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,在防火墙产品的开发中,人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段,纵观防火墙产品近年内的发展,可将其分为四个阶段:①基于路由器的防火墙第一代防火墙产品的特点是:利用路由器本身对分组的解析,以访问控制表方式实现对分组的过滤。过滤判决的依据可以是:地址、端口号、IP旗标及其他网络特征。只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。第一代防火墙产品的不足之处十分明显:路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。路由器上的分组过滤规则的设置和配置存在安全隐患。最大隐患是:攻击者可以假冒”地址。本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的,固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。②用户化的防火墙工具套作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:将过滤功能从路由器中独立出来,并加上审计和告警功能。针对用户需求,提供模块化的软件包。软件可通过网络发送,用户可自己动手构造防火墙。与第一代防火墙相比,安全性提高了,价格降低了。由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,安全性和处理速度均有局限;实践表明,使用中出现差错的情况很多。③建立在通用操作系统上的防火墙近年来今市场上广泛可用的就是这一代产品,它具有以下特点:包括分组过滤或者借用路由器的分组过滤功能。装有专用的代理系统,监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。安全性和速度大为提高。第三代防火墙是以纯软件实现的,也有以硬件方式实现的,已得到广大用户的认同。随着安全需求的变化和使用时间的推延,仍表现出个别问题,比如:作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责。从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商;上述问题在基于WindowsNT开发的防火墙产品中表现得十分明显。④具有安全操作系统的防火墙防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年切,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码,另一种通过固化操作系统内核来提高可靠性,由此建立的防火墙系统具有以下特点:防火墙厂商只有操作系统的源代码,并可实现安全内核;对安全内核实现加固处理,即去掉不必要的系统特性,加上内核特性,强化安全保护。对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务?只能限制在此服务器内,不会对网络的其他部分构成威胁;在功能上包括了分组过滤、应用网关、电路级网夫,且具有加密鉴别功能;透明性好,易于使用。(2)防火墙的发展趋势考虑到Internet发展的凶猛势头和防火墙产品和更新步伐,要全面展望防火墙技术的发展几乎是不可能的,但是,从产品及功能上,却又可以看出一些动向和趋势,下面几点可能是下一步的走向和选择:防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。过滤深度不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤,关键字过滤和对ActiveX、***等的过滤,并逐渐有病毒扫除功能。利用防火墙建立专用网(VPN是较长一段时间的用户使用的主流,IP加密需求越来越强,安全协议的开发是一大热点。单向防火墙(又叫网络二极管)将作为一种产品门类而出现。对网络攻击的检测和各地告警将成为防火墙的重要功能。安全管理工具不断完善,特别是可疑活动的日志分析工具。4.防火墙技术的优点和缺点(1)防火墙的优点①防火墙能强化安全策略:因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的交通警察,它执行站点的安全策略,仅仅容许认可的和符合规则的请求通过。②防火墙能有效地记录Internet上的活动:因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。③防火墙限制暴露用户点:防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。④防火墙是一个安全策略的检查站:所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。(2)防火墙的不足之处上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在:①不能防范恶意的知情者:防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。②不能防范不通过它的连接:防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。③不能防备全部的威胁:防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。④防火墙不能防范病毒:防火墙不能消除网络上的PC机的病毒。结束语通过这段时间的学习,使我对网络防火墙方面有了更深层次的了解,尤其是包过滤技术,从以前只是初步的了解到现在的深入学习,使我掌握了这一技术。但是,由于时间仓促,