当前位置:论文网 > 论文宝库 > 信息科技类 > 应用电子技术论文 > 正文

防火墙技术及其应用研究

来源:UC论文网2019-04-08 09:49

摘要:

  摘要:防火墙技术是网络安全的重要技术之一,是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型,并探讨了在实际中如何管理防火墙。  关键词:网络安全;防火墙技术;防火墙应用  作者:林玉梅  中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003  0引言  随着网络的迅速普及,网络安全问题也日益突出。虽然网络安全技...

  摘要:防火墙技术是网络安全的重要技术之一,是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型,并探讨了在实际中如何管理防火墙。


  关键词:网络安全;防火墙技术;防火墙应用


  作者:林玉梅


  中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003


  0引言


  随着网络的迅速普及,网络安全问题也日益突出。虽然网络安全技术得到了迅速发展,但网络安全问题也增加了新的内容,主要是由网络的开放性、无边界性、自由性造成的,包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务,如TELNETNFS,DNS,ActiveX等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击,追查比较困难,因为攻击可以来自Internet的任何地方。


  目前,保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一,成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来,防火墙产品多,更新快,且不断有新的信息安全技术应用到防火墙的开发上,如代理服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。


  那么,什么是防火墙呢?在古代,人们在构筑木制结构房屋时,常在住所之间砌一道砖墙,防止火灾蔓延。在网络中,防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网,犹如一道护栏,置于不安全的非信任的网络与被保护网络之间,阻断外部对内网的威胁和入侵,保护内网的安全。


  一般来说,防火墙是一种置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制(包括允许、拒绝、记录和监视)通过网络的访问行为,是一种高级的访问控制设备。狭义上,防火墙是指装了防火墙软件的路由器系统或者主机;广义上,防火墙是指整个网络的安全行为和安全策略。


  1防火墙的发展


  1986年,在Internet上,美国Digital公司安装了全球第一个防火墙系统。这之后,防火墙产品成为安全领域发展最快的安全技术产品之一,它先后经历了如下发展阶段:


  第一代防火墙,又称为包过滤路由器或屏蔽路由器,是基于路由器的防火墙,通过检查经由路由器的数据包的地址(源地址、目的地址)、端口号(源端口号、目的端口号)、协议等参数,来决定是否让数据包通过,如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击,而且审计功能差。


  第二代防火墙,是用户化的防火墙工具套,它用来提供应用服务级的控制,起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难,且代理的时间延迟也较大。


  第三代防火墙,是建立在通用操作系统上的商用防火墙产品,有以硬件方式实现的,也有以纯软件方式实现的。采用这种防火墙,用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。


  第四代防火墙,是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中,同时也采用了一些主动的网络安全技术,比如网络安全性分析、网络信息安全监测等。总之,它将网关和安全系统合二为一。


  2防火墙的基本类型


  按使用技术,防火墙主要分为包过滤型防火墙(又可分为静态包过滤、状态动态检测包过滤)、应用代理、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。


  2.1按使用技术分类


  2.1.1包过滤型防火墙


  静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表,在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑,在收到网络数据包后,检查数据流中的每个数据包,根据这数据包的源IP地址、目的IP地址和目的TCP/UDP端口及数据包头的各种标志位等因素,以确定是转发还是丢弃,它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关,所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。


  状态动态检测包过滤防火墙直接对数据分组进行处理,而且结合前后的数据分组进行综合判断,来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务,并能动态地打开服务端口,且能减少端口的开放时间。所以状态动态检测防火墙安全性高,能够检测所有进入防火墙网关的数据包,并能根据通信和应用程序状态确定是否允许包的通行。它性能高,在数据包进入防火墙时就进行识别和判断;伸缩性好,可以识别不同的数据包;已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等,用户可方便添加新应用,而且对用户、应用程序透明。


  2.1.2应用代理型防火墙


  代理型防火墙,又可分为电路级代理和应用级代理。


  应用代理技术是在网络的应用层提供网络数据流保护功能,用来过滤应用层的服务,是内部网与外部网的隔离点,起着内外网之间申请服务时的中间转接作用,监视并隔绝应用层的通信流。应用代理服务是运行在防火墙主机上的特殊的应用程序或者服务器程序,不同服务的代理功能需要开发不同的代理服务程序,而对大多数代理服务来说,要求要有合适的代理服务器软件。由于代理提供替代连接并充当服务的网关,所以,应用代理有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是,它的代理速度比包过滤慢,且对用户不透明,对于一些服务不适用,而且不能保护所有协议。电路级代理适用于多个协议,能接收客户端的各种服务请求,建立一个回路,对数据包只起转发的作用,工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置,并能隐藏内网的信息,但它不能识别同一个协议栈上运行的不同应用程序。


  2.1.3复合型防火墙


  所谓复合型防火墙,就是将包过滤和代理服务整合在一起使用,以实现如网络安全性、性能和透明度的优势互补。复合型防火墙,可以检查整个数据包的内容,并根据需要建立状态连接表,网络层和应用层的保护强,会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等,突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及代理服务技术是未来防火墙的趋势。


  2.1.4核检测防火墙


  核检测防火墙,检查整个数据包,当数据包到达防火墙时,建立连接状态,重写会话,检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强,而且前后报文有联系,上下文相关。


  2.2按实现方式分类


  硬件防火墙,是指采用ASIC芯片设计实现的复杂指令专用系统,它的指令、操作系统、过滤软件都采用定制的方式,一般采取纯硬件设计即嵌入式或者固化计算机的方式,而固化计算机的方式是当前硬件防火墙的主流技术,通常将专用的Linux操作系统和特殊设计的计算机硬件相结合,从而达到内外网数据过滤的目的。


  软件防火墙,一般安装在隔离内外网的主机或服务器上,一般来说,这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙,俗话叫“个人防火墙”,因为它是装在个人主机上的,只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。


  3防火墙的主要功能


  防火墙能提高网络、主机(主机群)以及应用系统的安全性,它主要有以下功能:


  (1)网络安全的屏障。对网络存取和访问进行监控和审计,提供内部网络的安全性,过滤不安全的服务,对网络攻击进行检测和报警,比如说,它可以禁止NFS(网络文件系统)服务。把防火墙作为网络通信的阻塞点,为网络安全起到了把关的作用,所以,我们就可以把网络安全防范集中在这个阻塞点上。


  (2)强化网络安全策略。通过集中的安全管理,在防火墙上可以实现安全技术应用(加密、身份鉴别与认证、口令密码等),过滤掉不安全的服务和非法用户。


  (3)防止内部信息外泄。对于内部网络,可以根据不同的服务设置不同的安全级别,从而实现内部重点网段的隔离与保护,限制敏感的安全问题影响整个网络。


  (4)限制暴露用户。封堵禁止的访问行为,有效记录Internet上的活动,管理进出网络的访问行为。


  (5)实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。


  虽然,防火墙能对网络威胁起到极好的防范作用,但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等,防火墙也是无能为力的。


  4防火墙的设计策略


  防火墙的设计策略是基于特定的防火墙,通常有两种基本的设计策略:限制策略,拒绝任何服务除非被明确允许;宽松策略,接受任何服务除非被明确禁止。第一种相对保守,也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。


  在配置防火墙时,必须要遵循一定的原则,首要的原则是安全且实用。从这个角度,在防火墙的配置过程需要坚持3个原则:①简单实用,越简单,越容易理解和使用,越不容易出错,管理也越可靠、简便;②全面深入,只有采用全面的、多层次的防御战略体系才能实现真正的系统安全,系统地对待整个网络的安全防护体系,使各方面的配置相互加强,进而从深层次上保护整个系统;③内外兼顾,每种产品都有它的主要功能定位,在配置时要针对具体的网络环境进行配置,不必对每一种功能都进行配置。


  在站点上配置安全策略,防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型,可以提供代理软件,也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务,如过滤垃圾邮件、限制外部访问,只允许他们访问本地web服务器的一些信息等。


  在大型网络系统中,可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。


  防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。


  5防火墙的选型和实施


  5.1选型原则


  防火墙产品众多,如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术,都有自己的定位,让用户眼花缭乱,难以选择。一般来说,防火墙选型时的基本原则有以下几点:


  安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此,选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。


  明确投资范围和标准,以此来衡量防火墙的性价比。


  在相同条件下,比较不同防火墙的各项指标和参数。


  综合考虑安全管理人员的经验、能力和技术素质,考查防火墙产品的管理和维护的手段与方法。


  根据实际应用的需求,了解防火墙附加功能的定义和日常系统的维护手段与策略。


  5.2防火墙的测试与管理


  为更好地了解防火墙产品的特点,选择适合自己应用需求的产品,必须先对防火墙产品进行测试,测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中,管理是网络安全的关键,功能是防火墙应用的基础,性能保证了网络的传输效率,而抗攻击能力是网络安全的保证。


  选择安装适合的防火墙后,还要对防火墙进行管理与维护,目的是为了让防火墙正常发挥作用,并延长使用寿命。这要求管理维护人员必须接受一定的专业培训,且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测,及时发现问题,堵上漏洞;保证通信线路畅通,当发生网络安全问题时能及时报警,并及时处理;与厂家保持联系,及时获得防火墙有关的升级与维护信息。


  6结语


  防火墙虽是一项比较成熟的产品,但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能,是网络安全人员面临的一个艰巨课题。

核心期刊推荐