《网络与信息安全技术》
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成
分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。 关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1.防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
- 1
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2) 防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3.防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
- 3
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。 (4)实施主机策略:对网络中的各节点可以起到更安全的防护。 (5)应用更为广泛,支持VPN通信。
3.数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则: (1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
- 5
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。 (4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
1)袁津生 吴砚农 《计算机网络安全基础》 北京:人民邮电出版社 2013 2)黎连业,张维,防火墙及其应用技术,清华大学出版社.2004 3)程代伟,网络安全完全手册,电子工业出版社.2006 4)李涛,网络安全概论,电子工业出版社.2004
- 7 -
