分布式防火墙技术(共8篇)
分布式防火墙技术 篇1
浅谈分布式防火墙技术的应用与发展趋势
传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是“分布式防火墙”,英文名为“Distributed Firewalls”。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了:集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为“嵌入式防火墙”,其实其核心技术就是“分布式防火墙”技术。
1.分布式防火墙的产生
1.1 传统防火墙的缺陷
传统防火墙根据所采用的技术,可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。
包过滤防火墙的工作原理:包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知――也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。基于这种工作机制,包过滤防火墙有以下缺陷:
(1)特洛伊木马使包过滤器失效;
(2)第0个分段中便过滤TCP;
(3)只能访问部分数据包的头信息;
(4)不能保存来自于通信和应用的状态信息;
(5)处理信息的能力有限。
(6)允许1024以上的端口通过; 应用网关防火墙也存在着许多缺陷:
(1)不能为UDP、RPC等协议族提供代理;
(2)可提供的服务数和伸缩性也有限;
(3)不能被设置为网络透明工作;
(4)容易消除阻断的URL;
(5)无法保护操作系统;
(6)管理复杂,影响系统的整体性能等。
基于上述原因,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,它通过把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。
1.2 分布式防火墙定义
1.广义分布式防火墙
防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。
图
(二)其工作原理由图所示。
广义分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三部分:
(1)网络防火墙(Network Firewall):用于内部网与外部网之间(即传统的边界防火墙)和内部网与子网之间的防护产品,后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。
(2)主机防火墙(Host Firewall):有纯软件和硬件两种产品,是用于对网络的服务器和桌面机进行防护。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。它达到了应用层的安全防护,比起网络层更加彻底。
(3)中心管理(Central Management):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。
2.分布式防火墙的特点
综合起来分布式防火墙技术具有以下几个主要特点:
1.保护全面性
分布式防火墙把Internet和内部网络均视为“不友好的”。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。
2.主机驻留性
分布式防火墙是一种主机驻留式的安全系统。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
3.嵌入操作系统内核
主要是针对目前的纯软件式分布式防火墙。操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。
4.类似个人防火墙
针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处,如都对应个人系统,但两者的差别又是本质的。首先,它们的管理方式不同,个人防火墙的安全策略由系统使用者自己设置,目标是防止外部攻击;而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置,除了对该桌面系统起到保护作用外,还对该桌面系统的对外访问加以控制,并且这种安全机制是使用者不能改动的。其次,个人防火墙面向个人用户,而针对桌面应用的狭义防火墙面向的是企业级用户,是企业级安全解决方案的组成部分。
5.适用于服务器托管
不同的托管用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。对于安装了中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。3.分布式防火墙的优点
综合起来这种新的防火墙技术具有以下几个主要优点:
1.分布式体系结构保护内网安全
分布式的系统构架能够满足不同形态和规模的网络,能够适应网络结构和规模的变化,系统的灵活性得到充分的体现。[5]分布式的安全思路是在保证每个节点安全的前提上,达到整个网络的安全,某个节点的脆弱环节不会导致整个网络的安全遭到破坏。因此,创新的分布式的体系架构对于内网和移动办公的防黑和防木马、防病毒都起到很好的防护作用。
2.集中管理
独特的集中管理方式,对所有节点的管理可以通过统一的安全策略管理服务器来完成。中央策略管理服务器是一个集成的管理环境,负责给各个节点分发安全策略,记录客户端的工作状态,记录客户端强制复制的日志,记录服务器日志,并可以生成,指派,扫描和检查所有的客户端安全策略。通过集中管理控制中心,统一制定和分发安全策略,真正做到多主机统一管理,最终用户“零”负担。同时,通过不同的集中管理控制策略的制定,还可以对最终用户的上网行为进行控制。
3.中央控制策略动态更新
管理员在管理服务器更新安全策略之后,会在很短的时间内动态分发到各个客户端节点,只要客户端的机器空闲,客户端就会自动从统一策略服务器更新策略,用户也可以手动启动安全策略更新程序。客户端将会自动加载这些新的安全策略。安全策略在网络传输的过程中是以加密的形式完成的,不会被黑客窃听安全策略的具体内容。同时客户端所自行采用的安全策略只能比统一分发的中央控制策略的安全级别更高,不可以低于统一分发的中央控制策略的安全级别。
4.系统扩展性增强
分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
4.分布式防火墙的主要功能
综合起来分布式防火墙技术具有以下几个主要功能:
1.控制网络连接(包过滤、基于状态的过滤)
2.应用访问控制
3.网络状态监控
4.入侵检测
5.防御黑客攻击
6.脚本过滤(对常见的各种脚本,如JavaScript、VBScript等ActiveX脚本进行分析检查)
7.日志管理
8.客户端定制的安全策略
9.对安全策略、日志和数据库的备份
10.统一的安全策略管理服务器 5.分布式防火墙技术的发展
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将主要向两个方向发展:分布式主动型防火墙技术和分布式智能型防火墙技术。
1.分布式主动型防火墙
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将向分布式主动型防火墙技术发展。不是被动地防止攻击,而是将内部的攻击拒绝在攻击者处。有效防止来自内部的拒绝服务攻击,使服务器能正常提供服务,从而克服分布式防火墙在防止拒绝服务攻击上的不足。
2.分布式智能型防火墙
分布式智能型防火墙是未来分布式防火墙发展的另一个方向。它具有以下几个特点:
(1)透明流量分担技术
保证了防火墙能够加大带宽,同时又起到双机设备的作用,显著提高防火墙的可用性。其巨大的吞吐能力,保证了客户网络巨大数据流的来往,并且不会影响网络速度和性能。
(2)内核集成IPS模块
分布式智能型防火墙将IPS作为一个模块集成到里面,直接在主干上直接监测并且阻断供给,更高效更安全。并且,如果单独放置IPS,那么这些DOS攻击以及防扫描的工作就被提到了应用空间去完成,显然没有集成之后的IPS直接在防火墙的内核处理的效率和稳定性高。
(3)预置防IP欺骗策略
智能型分布式防火墙的“防黒客”功能,能够对IP欺骗,碎片攻击,源路由攻击,DOS攻击等各种黑客攻击进行有效的抵抗和防御。
结论:
纵观防火墙技术的发展历史,分布式防火墙技术无疑是一座里程碑。它不但弥补了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。分布式防火墙分布在整个企业的网络或服务器中,具有无限制的扩展能力,随着网络的增长,它们的处理负荷也在网络中进一步分布,进而持续保持高性能。然而当前黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展,对分布式防火墙技术提出了更高的要求。分布式防火墙技术只有不断向主动型和智能型等方向发展,才能满足人们对防火墙技术日益增长的需求。
分布式防火墙技术 篇2
1分布式防火墙性能分析
传统防火墙是一种成熟、有效的安全技术, 但是无论是边界防火墙还是主机防火墙, 均存在一定问题。其中边界防火墙过于依赖网络拓扑结构, 易形成网络流量瓶颈, 仅能提供粗粒度安全保护, 且对于可信网络的内部攻击无能为力; 而主机防火墙自身处理能力极为有限, 往往由用户自行设置安全策略, 对于一个组织而言无法对主机防火墙进行集中、 有效的安全配置, 也就无法做到组织的网络安全保护。与传统防火墙技术相比, 分布式防火墙的优势主要体现在以下几个方面。首先, 提高了服务器的安全性。分布式防火墙具有主机入侵监测及防护功能, 可防范系统内部攻击, 从根本上保证了服务器系统运行的安全性及稳定性。其次, 具有过滤功能。分布式防火墙共有三层过滤检查, 即包过滤、特洛伊木马过滤、脚本过滤等, 只要各终端系统正常使用网络即可最大程度上免受非法访问的攻击。分布式防火墙具有侵入检测系统, 可利用预先定义的特征对数据包进行过滤检测, 通过匹配的方法判断数据包的合法性, 以实现保证网络安全的管理目标。再次, 提高了系统防护的全面性。分布式防火墙与边界防火墙的最大区别在于其不仅可加强外部保护, 还可保护内部服务器。分布式防火墙有多个接入点, 每个终端设备只要安装防火墙均认为是一个接入点, 设备数量直接决定了接入点数量, 因此, 不仅可保证有效的安全防护, 而且极大提高了网络的可靠性与可扩展性, 全面提高系统性能。最后, 强大的安全策略。分布式防火墙采用的是主机驻留的方法, 在被保护主机以外的网络均是不可信任的, 因此, 极大提高了该主机上运行的系统数据安全策略的针对性。
2分布式防火墙原理及应用分析
2.1分布式防火墙系统原理
防火墙的基本原理可总结如下:界定合法连接的安全策略集中定义, 再由相关节点独自执行安全策略。在一个典型分布式防火墙系统中, 每个节点都有一个与公钥对应的数字证书, 无论是系统安全管理员还是本地系统管理, 均可凭数字证书证明其身份, 网络拓扑不会对其访问采取任何限制措施。与传统防火墙一样, 安全策略也是先集中定义, 再分发至对应节点, 然后由各节点独立实施。各节点必须咨询安全策略文件后才能处理相关数据包, 与整个系统的安全策略保持统一。由此可见, 分布式防火墙是由各终端节点执行安全策略, 故传统防火墙的许多缺点得到了有效解决。
2.2分布式防火墙应用
分布式防火墙的主要应用包括以下几个方面。
首先, 杀毒及防止黑客攻击。传统的边界防火墙在系统漏洞及病毒检测方面作用不大, 但是分布式防火墙却能够比较有效地阻止内部网络受到攻击, 并且各主机均分布有防护节点, 网络带宽、资源等不会受到影响, 极大提高了系统性能。 分布式防火墙具备个人防火墙、入侵检测、脚本过滤、应用程序访问控制、中央管理等功能, 尤其是中央管理功能, 其通过分布式防火墙中央管理器实现每个终端的防火墙配置、 管理及更新, 基于整体的角度对整个网络的防火墙进行控制及管理。这种管理不仅可以在企业内部网络中进行, 也可通过因特网实现远程管理。在局域网中, 可采用分布式防火墙与网络杀毒的组合管理模式。
另一方面, 防火墙可应用于网络安全解决方案的构建。 分布式防火墙的网络安全解决方案是在内部网络主服务器上安装分布式防火墙安全策略管理服务, 将用户分别分配给对应的服务器及PC机工作站, 并设置安全策略。在这种工作模式下, 内网及外网中所有PC机工作站上均设置有客户端防火墙, 客户端连接安全策略管理服务器通过SSL协议建立安全通道用于通信, 保证了下载安全策略及日志通信的安全性。并且, 客户端防火墙采用多层过滤、入侵检测、日志记录等方法, 保证了主机的安全运行。此外, 虽然远程主机在物理层面上仅是系统的业务延伸, 不属于内网, 但是在系统逻辑层面其仍然属于内网主机, 因此, 同样要通过VPN技术及防火墙隔离技术控制接入, 即基于分布式防火墙技术, 远程内部主机与物理上的内部主机所受的保护是相同的。
3分布式防火墙的优化设计
3.1分布式防火墙的不足
尽管分布式防火墙具有诸多优势, 但是其也存在以下问题。
首先, 结构方面受到限制。分布式防火墙最大的问题在于结构性限制。一个组织中各个用户均可访问对应网络, 互联网中会存储这些数据, 用户通过互联网架构的方式访问组织网络的数量越多, 内部网络与外部网络就越易形成逻辑方面的关系, 相应的分布式防火墙来自于结构方面的限制也越来越多。其次, 易受外界攻击。分布式防火墙无法实现局域网内部用户的安全控制, 主要是由于分布式防火墙通常以IP地址为核心, 更改服务器或主机的IP地址后, 其内部配置文件也发生改变, 网络拓扑会对分布式防火墙产生限制作用。 如果IP分别采用外部与内部网络的主式在主机中通信, 则防火墙无法监测到IP所包含的内容, 也就无法过滤传输数据, 故会受到外部攻击。最后, 故障率较高。分布式防火墙通常都是集中的网络边阶, 其单点可能会导致网络故障。
3.2分布式防火墙的优化设计
针对分布式防火墙存在的一系列问题, 可以从以下几个方面对其进行优化设计。
首先, IDS设备与防火墙联合应用。IDS根据特定安全策略监测网络及系统的运行状况, 及时发现非法入侵及攻击行为, 以保证网络系统资源的安全性。与防火墙不同, ISD实际上是一种监听设备, 其没有跨接在任何链路上, 无需网络流量流经便可工作。不过ISD设备的防护功能十分有限, 因此, 可采用与防火墙配合应用的策略。在每个交换机上安插一个IDS设备, 以对内网接口进行侦听检测, 监测每个端口的流量、IP地址、MAC地址及包的可靠性, 发现异常后及时报警, 并确定出现问题的用户端口。
此外, 还可采用多层次过滤技术。近年来攻击者由端口扫描及DOS攻击逐渐转向对网页、电子邮件或数据库的攻击, 对防火墙的要求越来越高。传统防火墙技术仅可过滤第三层、 第四层的IP地址及协议端口, 但是这些包在大部分情况下都是合法的, 但是其内容却有攻击性, 只有将所有的包都接收完毕, 对其重组、扫描, 才能保证内容的安全性。但是要接收、扫描所有的包不仅要耗费大量时间, 还会占用大量流量, 影响到整个网络的使用性能, 因此, 要采用多层过滤技术以解决该问题。多层过滤技术先在内网与外网的接口处设置主防火墙带, 多个防火墙协同工作, 主防火墙负责过滤网络层所有源路由分组、假冒IP源地址, 传输层则过滤掉所有禁止出或入的协议、有害数据包等。每个交换机均设置嵌入式防火墙, 即交换级防火墙, 其主要作用是在应用层一级利用各种网关监控因特网提供的通用服务。其在运行过程中, 间隔一段时间即读取一组包, 对这组包进行重组扫描, 如无问题并打印已扫描标志后再进行转发, 每隔一段时间再读取一组未打印标记的包并进行扫描。最后再在用户端上面设置一个用户级防火墙, 用户级防火墙主要分为硬件防火墙及软件防火墙, 其中硬件防火墙主要用于特殊保护的用户端, 而其他位置则采用软件防火墙。其中硬件防火墙不仅具备更高的安全性能, 而且不可人为关闭, 所以即使非法用户攻击其中一台也不会威胁到其他用户。
4结语
总之, 在组织中的计算机网络安全防护中, 分布式防火墙技术不仅弥补了传统边界式防火墙的不足, 而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个组织网络或服务器中, 具有无限制的扩展能力。随着网络的增长, 它们的处理负荷也会在网络中进一步分布, 从而持续地保持高性能, 最终给网络提供全面的安全防护。
参考文献
[1]张然, 钱稳沛, 过晓兵.防火墙与入侵检测技术[J].计算机应用研究, 20116 (1) :4.
[4]陈丹伟, 陈春玲.分布式防火墙体系结构的研究[J].计算机应用与软件, 2014 (10) :21.
[5]彭志豪, 李冠宇.分布式入侵检测系统研究综述[J].微电子学与计算机, 2015, 23 (9) :191.
[3]蒋建春, 马恒太, 任党恩, 等.网络安全入侵检测:研究综述[J].软件学报, 2015, 11 (11) :1460-1466.
[4]阂君, 龚晶莹.入侵检测技术的研究[J].计算机应用研究, 2015, 19 (2) :1-4.
[5]胡平, 李臻, 彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机, 2015 (6) .
[6]王元生.基于分布式防火墙的高校校园网信息安全建设方案[J].安徽广播电视大学学报, 2015 (3) .
[7]张庆敏.基于防火墙技术对网络安全防护的认识[J].计算机光盘软件与应用, 2015 (11) :74-76.
分布式防火墙技术 篇3
【关键词】分布式防火墙 网络安全 应用
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01—0138-01
0 引言
近几年来,随着互联网应用的飞速发展,许多政府机构、企事业单位及各类学校都纷纷建成了诸如城域网、企业网、校园网等内部互联网。但人们在享受网络带来的诸多便利的同时,也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击,使政务、商务等信息系统能正常运行,将成为影响企业利益、国家安全和社会稳定的重要因素。因此,作为新一代的网络安全技术,分布式防火墙技术已应运而生,并逐渐取代传统防火墙技术,成为目前网络安全应用的主流。
1 分布式防火墙技术的主要优势
1.1 增强的系统安全性
分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自网络内部的攻击防范,可以实施全方位的安全策略。
1.2 提高了系统性能
传统防火墙由于具有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点,而使这一问题迎刃而解。另一方面,分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运行效率。
1.3 系统的可扩展性
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
1.4 实施主机策略
传统防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也是显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题,对网络中的各节点可以起到更安全的防护。
1.5 支持VPN通信
分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络,但位于逻辑上的“内部”网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接人,而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性。这种方法使原本可以直接通信的双方必须经过防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与此相反,分布式防火墙从根本上防止了这种情况的发生,因为它本身就是基于逻辑网络的概念,对它而言,远程“内部”主机与物理上的内部主机没有任何区别。
2 分布式防火墙技术的应用
2.1 利用分布式防火墙查杀病毒
企业级防火墙作为企业网络安全的“门神”,有着不可替代的作用。但实践证明,企业级防火墙也不能令人完全满意。与企业级防火墙相比,个人防火墙(主机防火墙)可以有效地阻止内部网络攻击,并且由于防护节点在主机,可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题,没有统一整体的管理,个人防火墙也不会起到应有的作用。
分布式防火墙技术的出现,有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙为例,它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器,可以对网络内每台计算机上的防火墙进行配置、管理和更新,从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行,也可以通过Iternet实现远程管理。另外,对于应用较简单的局域网,网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。
2.2 利用分布式防火墙堵住内网漏洞
随着网络安全技术的不断发展,传统边界防火墙逐渐暴露出一些弱点,具体表现在以下几个方面。
(1)受网络结构限制边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。
(2)内部不够安全边界防火墙设置安全策略是基于这样一个基本假设:企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些不必要的协议通过,从而阻止了非法入侵的发生。
(3)效率不高与故障点多边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。
针对传统边界防火墙存在的缺陷,专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系,并且符合未来的发展趋势,所以使得这一技术刚出现便为许多用户所接受,成为目前公认的最有效的网络安全解决方案。
3 结束语
防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙,并日益与IDS(入侵检测系统)相融合,分布式防护的理念已逐渐被主流安全厂商所拥护,也逐步得到使用者的认可。但大多数的企业网络都非常复杂,要保护它们免受当今难以捉摸且快速传播的混合威胁,是一件非常不容易的事。“集中式管理、分布式防护”是近年来提出的一个新话题,它能真正解决高速网络带来的入侵检测困难的问题。网络安全技术未来的发展目标,势必是各种分布式安全模块在统一的网络管理软件框架内的融合,共同构架起一个从内到外、安全无处不在的大安全体系,使企业尽可能地全面保护自己的网络信息安全。
参考文献
[1]John Viga,Gary McGraw[美],Building Secure Software[M],北京:清华大学出版社,2003,160-162
[2]王伟,曹元大,分布式防火墙下主机防火墙Agent技术[J],计算机工程,2004,30(8)
[3]叶丹,网络安全实用技术[M],北京:清华大学出版社,2003,85-86
[4]曹宇,分布式防火墙构建网络屏障[J],网络安全技术与应用,2004(2)
防火墙技术论文 篇4
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。
关键词:防火墙 网络安全 外部网络 内部网络
防火墙技术
1、什么是防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2、防火墙的类型和各个类型的特点及原理
防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。2.1、个人防火墙
个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。2.2、网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。2.3、应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
3、目前防火墙中的最新技术及发展情况
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为“边界防火墙(Perimeter Firewall)”。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受,它具有很好的发展前景。
分布式防火墙的特点:主机驻留、嵌入操作系统内核、类似于个人防火墙、适用于服务器托管。
分布式防火墙的功能:Internet访问控制、应用访问控制、网络状态监控、黑客攻击的防御、日志管理、系统工具。
分布式防火墙的优势:
(1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
(5)应用更为广泛,支持VPN通信。
4、个人防火墙的设计与实现
4.1、研究内容及其意义
本文提出了一种基于Linux的个人防火墙来保证网络安全的解决方案,该防火墙主要分成3个模块来实现,它们分别是数据包捕获模块、数据处理模块、过滤规则设置和查询模块。文章首先讲述了数据包进行捕获,提取数据包头信息,然将包头信息传递给数据包处理部分,并与包头信息进行匹配和处理,将处理后的信息写入日志数据库,规则设置模块则对数据库进行添加规则和显示相应的日志信息
包过滤防火墙是实现防火墙基本功能的最重要最基础的原型,是学习防火墙技术的必经之路,也为进一步设计与提高防火墙性能提供了必要的储备。4.2、数据包处理模块结构与原理分析
本节主要介绍了防火墙的数据处理的原理,叙述了过滤规则、调用数据库数据包否决等的实现,最后对日志数据库的存储进行了简单介绍。
1、数据包处理模块的结构
网络捕获模块负责从网络上截获所有的数据包,而数据包处理模块则是对截获的数据包根据数据包类型的源地址、目的地址、端口等基本信息逐个进行分析比较。数据包处理模块在对数据包进行分析后,根据数据包的特性,调用特定的过滤匹配规则确定数据包是否可以通过。其结构如图1 所示。数据包过滤功能的实现是在网络中运行程序对数据包实施有选择的通过,选择的依据就是系统内 设置的过滤规则,只要与过滤规则相匹配的的数据包就被否决,其余的数据包则默认允许通过,并将这些过滤信息存入相应的数据库。其流程图如图2 所示。
图1 数据处理模块示意图
图2 数据包处理流程图
2、数据包处理模块原理分析(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。(2)调用过滤规则数据库
程序调用过滤规则数据库来判断捕获的数据包头信息是否与过滤规则库中设置的IP 以及端口匹配。因此,它保存的是不被允许通过的IP 号或者端口号,在每次数据调用时,都要进行调用规则,如果与捕获到的数据包头信息符合,则丢弃该数据包,否则就允许该数据包通过。
首先要连接并打开过滤规则数据库,从规则库中读取被禁止的IP以及端口号,匹配后根据情况执行拒绝或者允许通过的命令。MySQL 数据库提供了一种数据库接口-CAPIs,MySQL数据库提供的CAPIs函数。CAPIs包含在mysqlclient库文件当中与MySQL 的源代码一块发行,用于连接到数据库和执行数据库查询。
现在假设MySQL 已安装,在数据库中的相关用户和数据表已被创造。MySQL 的头文件在/usr/include/mysql 目录下,因此你的程序头部必须有以下语句:include
为了实现连接,首先必须创建一个连接数据库的变量:MYSQL *mysql。MYSQL 这个结构表示对一个数据库连接的句柄,它被用于几乎所有的MySQL 函数。这些变量类型在MySQL 的库当中已有定义,我们需要这些变量是为了使用MySQL的C APIs函数。这些变量在头文件里都有详细的实现代码和解释,但是这些实现代码和解释对于程序编写来说并不重要。
为了连接服务器,调用函数mysql_init()以初始化一个连处理器,初始化这个变量:Mysql_init(MYSQL *mysql);然后就用以下函数实现对数据库的连接:MYSQL * STDCALL mysql_real_connect(MYSQLysql,const char *host,const char *user,const char *passwd,const char *db,unsigned int port,const char *unix_socket,unsigned int clientflag)。
此函数是一个非常重要的函数,其功能是连接一个MYSQL 数据库服务器。它试图建立到运行MySQL 数据库引擎的HOST 的一个连接。host 是MySQL 服务器的主机名,是一个现存MySQL 软件的主机地址。它可以是主机名或者是一个IP地址,假定它为NULL或者字符串“localhost”,则是到本地主机的一个连接。user是登录的用户名,passwd是登录密码,db 是要连接的数据库,port 是MySQL服务器的TCP/IP端口,unix_socket是连接类型,clientflag是MySQL运行成ODBC 数据库的标记。参数PORT 若不是0,对于TCP/IP连接这个值将用作端口号。参数unix_socket如果不是NULL,字符串指定套接字或应将是被使用的命名管道。参数clientflag的值通常是0。连接寻建立成功后,这个函数将返回0。至此,对数据库连接的功能基本已实现,然后就可以对数据库进行查询和添加等操作了。这是连接数据库的第一步,也是一个比较关键的地方,此连接返回的数值关系到此程序调用的各种基本信息。现在,我们可以连接数据库并进行查询。查询之前,建立个查询语句字符串: har *query。这样可以创立任何SQL 查询语句进行查询。
查询之后,我们要到一个MYSQL_RES 变量来使用查询的结果。以下这行创立这个变量:MYSQL_RES *res。
MYSQL_RES 这个结构代表返回行的一个查询的(SELECT,SHOW,DESCRIBE,EXPLAIN)的结果,返回的数据称为“数据集”。然后用mysql_use_result(MYSQL*query)。
函数读出查询结果。mysql_use_result()的一个优点是客户为结果集合需要较少的内存,因为它一次只是维持一行(并且因为有较少的分配开销,mysql_use_result()能更快些)。缺点是你必须尽快处理每一行以避免困住服务器,你不必再结果集合中随意存取行(你只能顺序存取行),而且你不知道在结果集合中有多少行,直到你检索全部结果。还有,你必须检索出所有行,即使你在检索中途确定你已找到了想寻找的信息。尽管可以很容易地查询了,要用这个查询的结果还要用到其它的函数。第一个是:MYSQL_ROW STDCALL mysql_fetch_row(MYSQL_RES *result)。
该函数把结果转换成“数组”。该函数返回的是MYSQL_ROW 变量类型。MYSQL_ROW 这个结构是数据行的一个安全表示法。当前它实现为一个计数字节的字符串数组(如果字段值可能包含二进制数据,不能将这些视为空终止串 因为这样的值可以在内部包含空字节),行通过调用其它函数获得。无法使用以空字符结束的串,因为数据在这个串可以是二进制,也许没有包括任何字符。
以下语句创立字符串数组变量:MYSQL_ROW row。
当我们用mysql_fetch_row的时候,接着变量row会取得结果的下一组数据。当到了结果的尾部,该函数返回一负值。最后我们查询完成后就要关闭这个连接了。mysql_close(MYSQL *mysql)。另外,还有一些与本程序相关的操作函数:unsigned int STDCALL mysql_num_fields(MYSQL*mysql)。这个函数返回表格里有多少个字段;取得“数据集”的数目,用到:my_ulonglong STDCALL mysql_num_rows(MYSQL_RES *res);my_ulonglong STDCALL mysql_affected_rows(MYSQL*mysql)。
这些函数是用来得到受INSERT、DELETE、UPDATE 查询语句影响的“数据集”数目。my_ulonglong该类型用于行数。这种类型提供0到1。84e19的一个范围,为了打印出这样的值,将它变换到unsigned long并且使用一个%lu打印格式。
3、与过滤规则中规则对比
(1)数据包源或目的IP地址过滤
这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/ 丢弃决定。如果数据包的源或目的IP 地址与我们设定的丢弃数据包的地址匹配,那么该数据包将被丢弃。首选要检查收到的数据包的源IP(在本程序中只对UDP数据报进行了实验,其它协议的数据包以此类推),若为本地地址则一定丢弃,其他地址则要应用过滤规则。unsigned char *deny_ip =“x7fx00x00x01”;
/* 127.0.0.1 */ if(ss==*(unsigned int *)deny_ip){
flag=1;
},接着就是检查源IP与设定的禁止的IP地址进行匹配:if(ss== row[t]){flag=1;}row[t]是规则数据库中的返回查询值,变量flag则为丢弃行为时的依据。
(2)数据包传送协议过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,因此除地址之外还要对服务器的TCP/UDP 端口进行过滤。只要在数据捕获程序的检查出相应的数据包传输协议之后,在其后只要运行拒绝命令就行了。一般来说最好匹配规则就是IP 地址与端口结合起来,9 这样就是只针对某用户某一服务来拒绝,这样的选择性更加符合实际。
(3)对数据包的否决
通过包过滤,防火墙可以拦截和检查捕获的数据包。当该数据包不符合过滤规则或者与过滤规则相一致时,防火墙就丢掉该数据包,并存入日志数据库。由于对数据包的否决是一外部命令,在C语言中可以用execlp()这一函数来执行外部命令。函数原型为:
int execlp(const char *filename,const char *arg0,.../ *(char *)0*/);比如,拒绝一IP 可以这样: execlp(“/sbin/iptables”,“iptables”,“-A”,“INPUT”,“-p”,“tcp”,“-s”,ss,“-j”,“DROP”);
对端口的过滤则只是外部命令的不一样而已。常用的否决命令有:
iptables-F // 删除已经存在的规则;
iptables-A INPUT-p tcp--dport *-j DROP // 关闭某一服务端口为*的tcp协议;
iptables-A INPUT-p tcp-s 192.168.0.130--dport22-j ACCEPT // 关闭某一IP 地址为192.1168.0.130 这台主机连接本地的SSH服务断口;
iptables-A INPUT-p udp--dport 53-j ACCEPT // 关闭DNS 服务端口的udp 数据包流入;
iptables-A INPUT-p icmp-icmp-type echo-re-quest-i eth1-j DROP // 防止死亡之ping,从接口eth1进入的icmp 协议的请求全部丢弃;
根据服务器情况,你也可以自行添加规则。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。而且实现一样用到函数:int mysql_real_query(MYSQL*mysql,const char*query,unsigned int length),只是用函数sprintf()将query值改为插入语句即可,如下:sprintf(query,“insert into logs(remove_ip,local_ip)values(‘%c’,‘%c’”,dd,ss))。这样就可以将包过滤情况轻易地存入日志数据库,以供用户查询包过滤情况。
4.3总结与展望
本文重点讨论了数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。实验证明达到了预期目的。但该防火墙系统的一些功能还有待提高,主要是如下几个方面:规则设置规则有待于进一步探讨,这关系数据包过滤的依据;包头信息提取还过于简单,提取出来供包处理模块的内容有待加强;应用层信息无法感知,也就是说,防火墙不理解通信的内容,这是状态检测发展方向。
基于以上等原因包过滤防火墙已经逐渐被状态检测防火墙所取代,虽然状态检测防火墙判断允许还是禁止数据包的依据也是源IP地址、目的IP地址、源端口、目的端口和通讯协议等,但状态检测防火墙是基于会话信息做出决策的,判断当前数据包是否符合先前允许的会话。NAT 功能可以使得防火墙受保护一边的IP 地址不至于暴露在没有保护的另一边。
新一代的防火墙系统不仅能够更好地保护防火墙后面内部网络的安全,而且应该有更为优良的整体性能。未来的防火墙将会把最强的性能和最大限度的安全性有机结合在一起,有效地解决网络安全的问题。当然防火墙只是确保网络安全的一个环节,还需要和其他安全措施一起来确保网络安全,如和IDS、IPS、信息保障等结合起来,在此不作赘述。结论
防火墙技术论文 篇5
关键词:计算机;网络安全;防火墙技术
计算机网络技术的应用给用户带来诸多便利,但是由于网络处于开放状态中,因而用户在应用网络系统的过程中,也会面临诸多安全隐患和威胁,用户自身操作系统的不完善、网络协议存在漏洞、电脑高手的恶意攻击都会给成为导致计算机网络安全问题的主要因素,发生计算机网络安全问题可能导致用户的数据信息丢失、系统瘫痪,严重影响计算机网络系统的正常应用。防火墙是计算机网络安全主动防御的有效途径,探究计算机网络安全及防火墙技术的相关问题进行探讨,对于促进计算机行业领域的持续发展具有现实意义。
1计算机网络安全
计算机网络技术的应用主要以各种程序信息为平台和载体,而在程序和系统运行的过程中也会衍生诸多数据信息,从某种层面而言计算机网络技术的应用便是数据信息的应用,网络数据安全也成为保障计算机网络技术应用价值的关键,保证计算机网络技术的应用安全便需要保证网络数据信息的安全。用户在应用计算机的过程中会从不同途径遭受数据丢失、泄露或者破坏等风险,造成网络数据安全威胁的节点较多,病毒以及电脑高手攻击多以节点攻击为主要方式造成计算机操作系统的损坏,用户不良的计算机网络应用习惯,可能是造成病毒植入或者感染的重要原因。由于当前计算机网络领域应用范围的不断拓展,计算机网络应用行为所产生的网络信息也体现更高价值,不法分子对于网络数据信息的恶意侵犯行为也愈发频繁,用户需要实现常态化的网络安全防护,才能够保证自身应用网络系统的安全。
2防火墙技术
用户进行计算机网络系统的应用,对于防火墙技术的应用程度也相对较高,防火墙是计算机系统安全保护的有效屏障,通过其技术形式进行划分可以分为软件型、硬件型和嵌入型三种类型,从其技术层面进行划分也可以分为状态检测型、包过滤型以及应用型等三种类型,不同类型的防火墙都有自身特点以及应用利弊,用户可以根据自身的应用需求以及网络系统配置进行合理的防火墙选择。
2.1状态检测型防火墙
状态监测性防火墙主要是对网络系统的运行数据进行检测和分析,通过自身的数据检测功能对网络运行状态中存在的不安全因素进行辨别,进而为保证系统的运行安全,对不安全状态进行必要处理,应用防火墙实现对于网络系统的安全防护作用。相较于其他类型的防火墙而言,状态监测型防火墙的安全防护系数相对较高,能够根据应用需求进行拓展和伸缩,值得注意的是,进行拓展和伸缩需要一定的应急反应和处理时间,因而会出现防护保护延迟的情况发生,网络连接状态也会出现延缓或者滞留的情况。
2.2包过滤型防火墙
包过滤型防火墙的重点在于包过滤技术的应用,包过滤技术对于计算机网络协议具有严格要求,系统运行的各项操作都需要在保障协议安全的基础和范畴内进行。防火墙的工作机制相对透明,用户进行网络系统的应用过程中,防火墙会对存在安全威胁的网站访问行为和被访问行为进行过滤,运行和防护工作效率相对较快,但是对于携带新型病毒的恶意访问或者电脑高手攻击不具有防护功能,对于原有的数据信息具有较强的依赖性,不能够进行自动更新以及程序包的升级。
2.3应用型防火墙
应用型防火墙主要通过IP转换的方式,对网络系统的入侵者进行防护,应用伪装新IP或者端口作为诱导,达到对真正网络系统的防护作用,以伪装方式迷惑不法入侵行为,实现网络系统通讯流的阻隔作用,同时也能够对网络运行状况进行实时监控,体现较高的安全性能。此种防火墙技术的应用会使网络系统的运行环境更加复杂,同时对于网络信息安全管理也提出更高要求。
3防火墙技术在计算机网络安全领域的应用
3.1身份验证
身份验证是防火墙技术的主要应用方式,通过用户的身份验证授权其各应用平台和系统的使用行为,保证其计算机网络系统操作的合法性。防火墙能够在信息的发送和接收环节中都能够发挥身份验证作用,在数据传输的过程中形成天然屏障,形成对于不法访问和传输行为的阻碍作用,保证信息的传输安全。
3.2防病毒技术
防病毒是防火墙的主要功能,同时也是其技术应用的主要方式,防病毒的功能体现也是用户进行防火墙技术应用的主要目的。防火墙在网络系统中对外界第三方访问的数据信息进行检查,非法路径访问行为会被制止,防病毒技术的应用效果比身份验证更为明显,对于处理技术的应用要求也相对较高。
3.3日志监控
防火墙在对网络系统进行应用的过程中会自动生成日志,对各类访问信息进行记载,便于在日后的应用过程中对数据信息进行分析和防护,日志监控在防火墙的应用中发挥至关重要的影响作用,用户在进行程序应用的过程中,不需要进行全面操控,仅需要针对关键信息进行操作。由于用户应用计算机网络系统会产生大量的数据信息,因而日志信息的生成量也非常大,如果用户进行全面操作需要耗费大量的时间和精力,对网络防护的即时性产生影响,用户可以对网络数据信息进行分类,并针对不同类型进行重点操作,有助于系统防护工作效率的提高。
4结束语
计算机网络安全是用户进行计算机程序和系统应用关注的重点问题,防火墙技术的应用有助于实现对于网络系统的安全防护,身份验证、防病毒技术、日志监控是防火墙技术应用的主要方式。用户进行计算机网络系统的应用,需要养成良好的网络访问习惯,积极应用防火墙技术保护系统的有序运行,以促进计算机技术应用价值的提升。
参考文献
[1]赵建青.浅议计算机网络的安全问题与防范研究[J].网络安全技术与应用,20xx(02):3,26.
[2]刘意先,慕德俊.基于CIA属性的网络安全评估方法研究[J].计算机技术与发展,20xx(04):141-143,147.
网络防火墙技术论文 篇6
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
分布式防火墙技术 篇7
本文基于IPSec的分布式防火墙系统体系结构,主要由策略控制中心、策略执行器以及IPSec通信三部分组成。策略控制中心的主要功能是注册受保护主机、为受保护主机制定安全策略、向受保护主机发送策略文件;策略执行器是驻留在受保护主机的状态包过滤防火墙,解释并强制执行策略控制中心发放的安全策略:IPSec通信是对内部主机之间的通信进行加密保护以防止内部的窃探、欺骗以及熏放等攻击。下面分别对各个部分进行说明:
二、策略执行器
策略执行器是运行在受保护主机,解释并强制执行由策略控制中心发放的安全策略的程序,它是真正行使保护端点主机职责的程序,主要完成包过滤功能,另外还要实现与策略控制中心的通信,进行策略文件的接收以及将策略文件翻译成包过滤模块可识别的规则表达形式。策略执行器的模块的内核空间的包过滤模块负责实际的数据包过滤,策略翻译模块负责把从策略控制中心发送过来的策略文件翻译成包过滤模块所能识别的规则表达形式,策略接收模块负责和策略控制中心进行通信,接收发送的策略文件并传给策略翻译模块进行处理。策略执行器的包过滤模块采用Linux2.4内核防火墙IPTables的包过滤模块来实现。
Netfilter框架
Netfilter框架位于Linux网络层和防火墙内核功能模块之间,在Linux2.4内核中实现的防火墙虽然建立在IP层中但是并没有对Linux2.4内核的网络结构造成破坏,而是通过Netfilter结构将防火墙对数据包的处理引入IP层中,从而构成不同的模块,使得网络层和防火墙在结构上很清晰,防火墙代码修改和功能扩充更加容易。
Netfilter框架包括下面三个部分:
(1)为每种网络协议(1Pv4、IPX、IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数)这些钩子函数在数据报流过协议栈的几个关键点被调用,在这几个点中,协议栈将把数据报及钩子嚼数标号作为参数调用Netfilter框架。
(2)内核的任何模块可以对每种协议的一个或多个钩子进行注册,实现挂接,这样当某个数据报被传递给Netfilter框架时,内核能检测是否有任何横块对该协议和钩子函数进行了注册,若注册了,则调用该模块注册时使用的回调函数,这样这些模块就有机会检查该数据报、丢弃该数据报及指示Netfilter将该数据报传入用户空间的队列。
(3)那些传递的数据报是被传递给用户空间异步地进行处理,一个用户进程能检查数据报,修改数据报,甚至可以熏新将该数据报通过离开内核的同~个钩子函数中注入到内核中。Netfilter可以被多种协议使用来实现防火墙功能。
三、策略控制中心的设计
策略控制中心的主要功能是注册受保护主机、为受保护主机制定安全策略、向受保护主机发送策略文件。策略控制中心的结构主要包括主机注册模块、策略编辑模块以及策略发送模块。主机注册模块主要完成受保护主机在策略控制中心的注册,向控制中心添加受保护主机,设置受保护主机的参数如主机名、IP地址、子网掩码和策略文件等。
四、IPSec通信的设计
1. IPSec的实现
目前,国际上对IPSec的研究已经比较成熟,不少操作系统已经在其内部实现了对IPSec的支持,其中包括W'm2000系列、FreeBSD等。另外还有一些公开源码组织在进行IPSec的开发,其中最著名的就是FreeS/WAN, FreeS/WAN是一个专门从事IPSec开发的开发组为其1PSec系统所起的名字,这个系统可以在Linux系统中编译安装。
FreeS/WAN可以分为三大部分:IPSee基本协议(KLIPS)、PLUTO和WHACK。其中,IPSee基本协议实现了对m数据包的分析处理以及AH、ESP的处理,同时还包括了对SPD和SADB的检索引擎;PLUTO负责IKE密钥交换,通过监听UDP500端口(IKE交换所使用的端口)来实现SADB的建立和维护;WHACK则是用户与PLUTO的交互界面,通过WHACK,用户可以建立和维护SPD,并且启动和停止PLuTO的运行,同时还可以启动IKE交换。
(1) IPSec基本协议(KLIPS)
FreeS/WAN通过在系统中增加了名为ipsec0的虚拟设各来支持对球数据包的分析处理,最多可以增加4个虚拟设备,达到支持4个网络接口,在Linux系统中,FreeS/WAN可以被完全编译到内核中或是只在内核中增加若干虚拟设备,而将其处理部分编译为可加载模块。
(2) PLUTO
从实现上来看,PLUTO是一个普通的网络服务程序,与系统内核并没有太大的关系,但是由于PLUTO需要对SADB进行维护,而SADB是属于系统内核的数据结构,因此需要设计一个接口,使得PLUTO可以对SADB进行修改。在实现中,FreeS/WAN实现了一个新的协议族PF_KEY可以以发送网络数据包的相同方式访问SADB。
(3) WHACK
WHACK是FreeS/WAN设计用来实现人机交互的界面,通过WHACK,用户可以对SPD、SADB等核心数据结构进行维护。WHACK使用与PLUTO一样的内核接门PF KEY同内核进行通信。另外,WHACK与PLUTO也有一个接口,通过此接口,WHACK可以操纵PLUTO的行为。WHACK的另外一个功能就是可以让用户随时查询目前SADB和SPD的状态。
2. IPSec对内部通信的保护
本文采用IPSec对分布式防火墙内部之间的通信进行保护,以防止内部的窥探、欺骗以及重放等攻击,下面对IPSec的通信处理过程进行介绍。发送包处理:IPSec协议要先查询SPD,确定为数据包应使用安全策略,如果检索到的数据策略是应用IPSec,再查询SAD,确定是否存在有效的SA,顺序如下:
(a)若存在有效的SA,则取出相应的参数,将数据包封装(包括加密、验证,添加IPSec头和IP头等),然后发送。
(b)若尚未建立SA,则启动或触发IKE协商,协商成功后按1中步骤处理,不成功则应将数据包丢弃,并记录融错信息。
(c)存在SA但无效,将此信息向IKE通告,请求协商新的SA,(协商成功后按1中的步骤处理,不成功则应将数据包丢弃,并记录出错信息。接收包处理:IPSec协议先查询SAD,如得到有效的SA,则对数据包进行解除封装(还原),再查询SPD,验证为该数据包提供的安全保护是否与策略配置的相符。如相符,则将还原后的数据包交给TCP层或转发。如不相符,或要求应用IPSec但未建立SA,或SA无效,则将数据包丢弃,并记录出错信息。
分布式防火墙是一种全新的防火墙体系结构,它在发挥传统防火墙优势的同时弥补传统防火墙的不足,更加适应网络技术的发展。
参考文献
[1]刘华.颜国正.丁国清在Linux下用Iptables建立防火墙的方法[期刊论文]-计算机工程2003 (10)
[2]张惠卿.严峰.沈金龙在Linux下用iptables构建防火墙[期刊论文]-中国数据通信, 200 (28)
防火墙八大实用安全技术 篇8
那么什么是保护这些应用不受恶意攻击的困难所在呢?在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80(主要用于HTrP)和端口443(用于SSL)时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢?下文总结了八项应用安全技术,全文如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求。即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动能整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HFrPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应厍流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输。你就需要在流量发送到Web服务器之前重新进行加密。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作。可以阻止通常的脚本类型的攻击,但无力抵御大部分的应用层漏洞。
请求分析
全面的请求分析技术比单单采用URL过滤来得有效。可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其他漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。
用户会话跟踪
更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话。把单个用户的行为关联起来。这项功能通常借助于通过URL重写(uRL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块。还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应。并从中提取信息块信息。
响应横式匹配
响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动。防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面。应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除。或者干脆封阻响应。
采用“停走”宇(‘stop and goword)的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说,可以要求应用提供的每个页面都要有版权声明。
行为建模
【分布式防火墙技术】推荐阅读:
分布式技术09-08
分布式计算技术10-19
分布式缓存技术10-30
分布式云存储技术06-24
分布式光纤监测技术09-08
分布式数据库技术07-30
技术分布分析08-29
分布式发电技术与智能电网技术的发展论文09-01
.NET分布技术09-29
基于分布式层次模型的诊断技术研究与应用05-16