常见防火墙技术分析
摘要:
计算机网络是一把双刃剑,它的开放性和便利性的同时,也增加了私有信息和数据被破坏或侵犯的可能性。
本文首先会简单地讲述目前计算机网络存在的安全隐患,我国网络安全的现状及网络安全问题产生的原因。
其次,由于网络安全威胁的存在,防火墙应运而生。防火墙是网络安全的关键技术, 其本质是一种隔离技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。 本文将重点从安全功能、体系结构、实现防火墙的主要技术手段及配置等方面分析防火墙。 关键词:网络安全 ,防火墙 , 防火墙类型
1.我国网络安全的现状
1.1研究背景
“计算机网络安全”定义:国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。其具有以下五个方面的特征:保密性、完整性、可用性、可控性和可审查性。
当前,计算机已经被广泛地用于社会生产和生活的各个领域。特别是随着信息化和技术化的不断推进,计算机也在更加深刻地影响着社会的方方面面。
计算机网络安全问题主要有:信息在传输的过程中,数据被篡改和复制,以及拦截和查看,甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行,出现系统瘫痪或重要数据的泄漏,造成不可挽回的严重后果。
网络安全的主要威胁有:窃听、网络嗅探、拒绝服务、假冒、授权侵犯、计算机病毒。
1.2研究意义
为了有效解决网络安全问题和威胁,构建安全可靠的网络安全环境,我国有必要从技术方面对防火墙进行完善。基于网络内部和外部环境的特殊性,防火墙技术是目前保护网络安全最为有效地技术,不仅能够对网络传输的数据进行检查,还能对整个网络进行监控。
2.防火墙技术的概述
2.1防火墙技术的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,主要用来保护安全网络免受来自不安全网络的入侵,实际上是一种隔离技术。简单地说就是,防火墙是在两个网络间进行访问控制,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要
信息。不同的防火墙,配置的方法也不同,这取决于安全策略,预算以及全面规划等。
它是不同网络或网络安全域之间信息的唯一出入口,有效地加强网络之间访问控制。它是提供信息安全服务,实现网络和信息安全的基础设施,是一种非常有效的网络安全模型。
如图1:
2.2防火墙技术的发展史及分类
纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)及相应的分类。
2.2.1 第一代防火墙:基于路由器的防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术,从而使具有分组过滤功能的路由器成为第一代防火墙产品。简单地说,第一代防火墙产品一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作为出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包自哪里,即将去哪里。
特点:
(1)网络级防火墙简洁、速度快、费用低,并且对用户透明;
(2)可利用路由器实现对分组的过滤;
(3)把地址、端口号、IP旗标及其他网络特征作为判断依据
不足:
(1)本身具有安全漏洞,外部网络要探寻内部网络十分容易。
(2)分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
(3)路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
(4)路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
2.2.2第二代防火墙:用户防火墙工具套
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙。为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
他能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。他并且能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
特点:
(1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
(2)针对用户需求,提供模块化的软件包;
(3)软件可以通过网络发送,用户可以自己动手构造防火墙;
(4)与第一代防火墙相比,安全性提高了,价格也降低了。
不足:
(1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求;
(2)对用户的技术要求高;
(3)全软件实现,安全性和处理速度均有局限,使用中出现差错的情况很多。
2.2.3 第三代防火墙:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品
特点:
(1)是批量上市的专用防火墙产品;
(2)包括分组过滤或者借用路由器的分组过滤功能;
(3)装有专用的代理系统,监控所有协议的数据和指令;
(4)保护用户编程空间和用户可配置内核参数的设置;
(5)安全性和速度大大提高。
不足:
(1)缺乏安全保障,因为作为基础的操作系统及其内核往往不为防火墙管理者所知;
(2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的 安全性负责;
(3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
2.2.4第四代防火墙:具有安全操作系统的防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。
特点:
(1)防火墙厂商具有操作系统的源代码,并可实现安全内核。
(2)对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护。
(3)对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁。
(4)在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能。
(5)透明性好,易于使用。
2.3 防火墙技术的功能
(1)访问控制功能。是一种简单、有效的安全控制技术,也是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源。
(2)防止内部信息外泄。根据数据内存进行控制,如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地Web服务器中一部分信息。
(3)集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全需要,需要制定不同的安全策略,然后在防火墙上实施,使用中还需要根据情况改变安全策略,因此防火墙应具备集中管理功能。
(4)阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。
(5)自身的安全和可用性。防火墙要保证自身的安全不被非法侵入,保证正常的运作。如果防火墙被侵入,防火墙的安全策略被修改,这样内网就变得不安全。
(6)数据包的透明转发。由于防火墙一般部署在提供某些服务或应用的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。因此,防火墙具备网关功能,方便数据包的转发。
3防火墙技术在计算机网络安全中的运用
从整体上来说,计算机网络安全是通过网络的管理控制,以及技术的解决办法,确保在网络的环境中,保护数据进行使用和保密,及完整性。计算机网络安全主要有物理和逻辑安全。但是根据使用者的不一样,对网络安全的理解也就会不一样。如:一般的使用者认为,计算机网络安全就是在网络上传自己的隐私或者是重要的信息时,能够保护信息不能被窃听和篡改,以及伪造。而网络的供应商们则认为,除了保证网络信息的安全,还要考虑各种对网络硬件破坏因素的保护,以及在出现异常时恢复网络通信的保护。
(1)加密技术。即信息的发送方先对信息做加密处理,密码由和接收方掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
(2)身份验证。通过对网络用户的使用授权,在信息的发送方和接收方之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。
(3)防病毒技术。主要涉及对病毒的预防、检测以及清除三方面。
其一,在网络建设中,安装防火墙对互联网之间的交换信息按照某种规则进行控制,构
成一道安全屏障来保护内网与外网间的
信息和数据传输,确保网络不被其他未经授权的第三方侵入。
其二,网络的连接如果是由路由器和互联网相连,服务器有WWW和DNS、FIP
和Email等,且IP地址确定,同时该网络拥有一个C类IP地址。那么该网络首先要进入主干网,对主干网的中心资源采取访问控制,禁止服务器以外的服务访问。然后,为了防御外来非法访问盗用,在连接端口接收数据的同时,就要检查IP和以太网的地址,丢弃盗用IP地址数据包,并将有关的信息进行记录。实际的操作过程是:预设控制位102,当防火墙与IP、以太网地址访问到某个地址属于非法访问,那么防火墙就会自动将路由器中的存取控制表进行更改,过滤非法的IP地址包,以阻止外来的非法访问。
结束语
随着计算机网络的快速发展和运用,网络为人们带来便捷的同时,也带来了一定的安全问题。由于网络安全不仅与技术和管理有联系,对网络的使用和维护等也有联系。虽然目前防火墙技术是防止网络威胁的主要手段,只有将网络安全与防火墙技术结合进行研究,才能消除安全隐患,确保整个网络的安全、稳定、可靠的运行,提供更好的安全服务。
为提高防火墙对网络的安全性能,未来的防火墙技术将全面考虑网络的安全、操作系统的安全、应用程序的安全和数据的安全。未来防火墙将朝着智能化、高速、多功能化、更安全的方向发展。
参考文献
唐昊,论防火墙技术在网络安全中的作用,2011年第7期
张瑞,计算机网络安全及防火墙技术分析 ,2012年第24期
安淑林,防火墙技术分析 ,2008年第6期
王春璞,网络安全与防火墙技术分析 ,2012年第1期
刘益洪,陈 林,基于防火墙的网络安全技术分析,2008年第06期
致谢 本论文是在我的老师的亲切关怀和悉心指导下完成的。他以严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。曾老师上课的时候以幽默风趣的教学风格,师生互动的教学模式,生动的举例,传授计算机网络基础相关知识。在此谨向曾老师致以诚挚的谢意和崇高的敬意!
The analysis of the common firewall technology
Deluxe Zhang
Abstract:
It’s well known that computer network is a double-edged sword.It can not only provide us with great openne and convenience, but also increase the poibility of damaged or violated private information and data.
To begin with, this article will relate the current risks of network security and explain main reasons of the network security problems.
Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In eence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment .
This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.
Key words:Network security ,Firewall ,The type of firewall
