防火墙技术研究与应用
防火墙技术在局域网中的应用研究
d i 1 . 9 9 ji n 10 2 9 . 0 0 . 2 o :0 3 6 / .s . 0 5— 7 8 2 1 . 5 0 6 s 1
防 火 墙 技 术 在 局 域 网 中 的应 用研 究
杜 海 英
( 安职业技术学院, 潞 山西 长 治 0 60 ) 4 2 4
1 防火墙的概念及功能
防火 墙 , 名思 义 , 一种隔 离设备 。防火墙 是 顾 是
一
种 高级 访 问控 制设 备 , 于不 同网 络安 全 域 之 间 置
的一系列 部件 的组 合 , 是不 同 网络 安全 域 之 间 通 它
存规 则” 按钮 进行 保存 即可 。例如创 建 一条 防 止 I— n e re 中的 主机 pn t nt e ig的规 则 , 以点击 “ 可 增加 规则 ”
按钮 , 输入 相关 参数 就创 建成功 , 然后 勾选 并保存 该 规则 就可 以 防止 网络 中的主机 恶意 扫描局 域 网了 。
2 3 代理 型 防火墙 .
信 流 的唯一通 道 , 根 据 用 户有 关 的 安 全策 略 控 制 能
进 出 网络 的访 问行 为 。从 专 业 角 , 施 网络 访 问 控 制 的组 件 集 实
它 可 分 为 : 第 一 代 应 用 网 关 ( p l a o ① A pi t n ci G t a ) 防 火 墙 。这 类 防 火 墙 是 通 过 一 种 代 理 awy 型 e
合 。从用 户角 度讲 , 火墙 就 是 被 放 置在 用 户计 算 防
机 与外 网之 间的防 御体 系 , 网络 发 往 用 户计 算 机 的
需 要创 建相 应 的防火 墙 规 则 , 样 可 以 比较 有 效地 这 阻止攻 击者 的恶 意扫 描 。 比如 以天 网 防火 墙 为 例 :
防火墙及其穿越技术的分析与研究
0.前言随着电子商务的展开,办公、生活、交流和信息共享的数字化,极大的方便了人们的日常生活。
但是人们不得不在享受网络带来便利的同时深切关注网络体系结构和和网络安全技术本身所带来的信息安全问题。
防火墙便是人们遇到网络安全问题后首先想到的方案。
与其他的网络安全技术相比,防火墙技术已相当成熟,应用也最广泛。
它通过检测、限制和更改跨越防火墙的数据流等技术,尽可能的对外部网络屏蔽有关被保护网络的结构信息,实现对内部网络的安全保护。
1.防火墙概论1.1防火墙的定义防火墙是一种高级的访问控制设备,置于不同的网络安全域之间一系列部件的组合,这些部件包括硬件和软件,它是不同网络安全域间通信流的唯一通道,能根据有关的安全策略控制进出网络的访问行为(允许,禁止,监视,记录)。
1.2防火墙的分类实际使用的防火墙的类型或者其实现形式分为以下四类:嵌入式防火墙当防火墙能被集成到路由器或者交换器中的时候,这个防火墙就称为嵌入式防火墙。
这种防火墙又名节流防火墙,通常只对分组信息进行IP的无状态检查,这样可以获得较高的性能,但却有较高的使危险代码通过的机会。
软件防火墙软件防火墙有两种不同的类型,一种是企业级软件防火墙用来在大型网络上执行路由选择功能,另一种是SOHO(Sm all Office,Ho me Office,小型办公,家庭办公)级。
软件防火墙通常会提供全面的防火墙功能,可以安装在服务器硬件及操作系统上。
硬件防火墙又称为设备防火墙,设计为一种总体系统,总体系统不需要复杂的安装或者配置就可以提供防火墙服务。
硬件防火墙与软件防火墙相似,可以是针对企业应用市场来设计,也可以针对SOHO环境。
应用程序防火墙应用程序防火墙经常是作为现有硬件或者软件防火墙的组件实现的。
它们的主要目的是提供一种复杂的内容过滤层次,用来对应用层传输的数据进行过滤,随着防火墙功能的提高,对于数据的过滤已经越来越多地集中到了应用层,应用程序防火墙的针对性也越来越强。
IPv6防火墙过滤技术的研究与应用
网络 防火 墙 作 为 内 部 网 与 外 部 网之 间 的一 种访 问 控 制l [ 通 ne l 的连 接 点 I, lt n t re 从 ne e 或 r 从 内部 网上 产 生 的 任 何 活 动 都 必 须 经 过 防 火 墙 。但 必 须 注 意 的 是 它 能 防 止 来 E 内部 网络 的攻 击 {
2)P 6 3 Iv I v - P 4在 过 滤 E的特 点
Iv P 6与 Iv P 4的标 头 之 间有 一 些 的差 异 冈此 存 设 计 过 滤 器 的 时 候 这 需 要 被 考 虑 进 来 。 由丁 I v P 6的封 包 标 已 经做 简 化 过 l所 『 以在 这 个 层 级 做 过 滤 变 得 更 简 单 , 存 I v 但 P 4选择 性标 头 的 部分 , 滤 器 存 实 作 的 时 候 并 没 有 号 虑 到 过 正确 的被 过 滤 是 一 件 重 要 的 事 情 事 文 上 延 伸 标 头 总 是 包 含 了 开 头 的 两个 字 节 , 以 说 明 下 一 个 延 伸 之 起 始 点 与 长 度 i 的延 伸 可 能川 小 同 的 力 设 计 . 用 新 冈此 这 规 则 是 延 伸 的 必 须 条 件) 这 基 本 的封 包 过 滤变 得 十分 简 单 , 乎 可 以 直 接 从 I v , 儿 P 4那 而抄 过 来f 延 佴 被 弩也 的话 1 J 如 I 一 = 层
I N 0 9 0 4 SS 1 0 -3 4
E—mah l ) ・(・n t - i i @【 ・t e .n t f ( ・. ( h t /www. z .e .n Ip: / dn sn tc Te h+86 51 —5 —56 9 56 09 90 63 9 64
通信网络安全防护技术的研究与应用
通信网络安全防护技术的研究与应用近年来,随着信息技术的快速发展,通信网络的普及率越来越高。
大量的个人信息、重要数据和信息交流都依赖于通信网络进行传输。
然而,随之而来的问题是网络安全问题。
网络黑客、病毒、木马等非法入侵,泄露信息的问题也在不断加剧。
因此,通信网络安全防护技术的研究和应用显得尤为重要。
首先,我们需要清楚通信网络安全的概念。
通信网络安全是指在计算机网络中保护网络数据和通信系统不受未经授权的访问、窃取、破坏、篡改及其它威胁的一系列措施。
通信网络安全工作的核心是及时发现并防止网络安全威胁,保护我们的网络安全。
目前,通信网络安全防护技术主要包括以下几个方面:一、入侵检测技术。
入侵检测系统可以帮助网络管理员及时发现入侵行为并应对,减少安全暴露时间。
入侵检测技术可以分为基于网络的入侵检测和基于主机的入侵检测两类。
其中,基于网络的入侵检测技术主要是采用网络流量分析技术、基于特征的入侵检测技术和统计异常检测技术等;而基于主机的入侵检测技术主要包括主机配置文件审计、主机软件行为监测等。
二、防火墙技术。
防火墙是指嵌入在网络中的一台服务器,负责控制内外部之间的网络通信,通过制定策略来保障内部网络的安全。
防火墙技术包括基于包过滤的防火墙、基于代理的防火墙、基于状态的防火墙等。
三、加密技术。
加密技术是将明文转换成密文的技术,使得未经授权的访问者不能轻易破解从而获取信息。
加密技术包括对称密钥加密、非对称密钥加密等。
其中,非对称密钥加密更为安全,因为它使用的是两个密钥,一个作为公开密钥,一个作为私有密钥,保障信息的安全性。
四、蜜罐技术。
蜜罐指埋在网络中的虚拟计算机,它没有实际的使用价值和功能,只是为了吸引黑客。
蜜罐技术通过监控和记录攻击者的入侵行为和进攻方式,从而为通信网络安全提供重要的信息和依据。
通信网络安全防护技术的研究和应用旨在保障网络信息的安全和可靠性,我们应该始终关注技术的发展和应用。
不断地完善通信网络安全防护技术,并保持高度警惕和敏锐的嗅觉,及时采取防范措施,才能实现通信网络的安全和可靠。
防火墙技术的原理与应用 PPT
外部网络
内部网络
路由器
防火墙
图8-1 防火墙部署安装示意图
防火墙根据网络包所提供的信息实现网络通信访问控制: 如果网络通信包符合网络访问控制策略,就允许该网络通信包
通过防火墙,否则不允许,如图 8-2 所示。防火墙的安全策略
有两种类型,即: (1) 只允许符合安全规则的包通过防火墙,其他通信包禁 止。 (2) 禁止与安全规则相冲突的包通过防火墙,其他通信包 都允许。
应用层,首先依据各层所包含的信息判断是否遵循安全规则,
然后控制网络通信连接,如禁止、允许。防火墙简化了网络的 安全管理。如果没有它,网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全,就必须在每台主机上安装 安全软件,并对每台主机都要定时检查和配置更新。归纳起来, 防火墙的功能有: * 过滤非安全网络访问。将防火墙设置为只有预先被允许 的服务和用户才能通过防火墙,禁止未授权的用户访问受保护
惟一网络通道,可以记录所有通过它的访问并提供网络使用情 况的统计数据。依据防火墙的日志,可以掌握网络的使用情况, 例如网络通信带宽和访问外部网络的服务数据。防火墙的日志 也可用于入侵检测和网络攻击取证。
* 网络带宽控制。防火墙可以控制网络带宽的分配使用, 实现部分网络质量服务(QoS)保障。
* 协同防御。目前,防火墙和入侵检测系统通过交换信息
* deny表示若经过Cisco IOS过滤器的包条件匹配,则禁止 该包通过; * permit表示若经过Cisco IOS过滤器的包条件匹配,则允 许该包通过;
* source表示来源的IP地址;
* source-wildcard 表示发送数据包的主机 IP地址的通配 符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任 何来源的IP包; * destination表示目的IP地址; * destination-wildcard 表示接收数据包的主机IP地址的 通配符掩码; * protocol 表示协议选项,如IP、ICMP、UDP、TCP等;
防火墙工作原理与技术之研究
工 程 技 术
C m u e D S f w r n p lc to s o p t r C o ta e a dA p a n i i
21 0 1年第 2 期 l
防火墙工作原理与技术之研究
王 凌 ( 大连市工 贸职业技术 学校 ,辽 宁大连
16 0 1 00)
a d s n a d r i e e t h r wa l n ma y f r :o y tmsh v e n e up e e lc eT / r t c l tc . d n t d r sa e df r n , ef e l i n o mss mes se a e b e q ip dt r pa et CP I p o o o a k a a t i o h P s n s me o e e it g p o o o t c u l h i o o t r d lsS mea p i ain b sd f e l o l rc r i p so o ft xsi r t c l a k t b i t er wn s f h n s o d wa emo u e , o p l t - a e rwal ny f e t n t e f c o i o a y
i e l b c u et i wo k et frwa1 e a s er s r es mea ay i o e aap c eso t f h rwa1 e i e e e c e t r ic r . . h a h a :n l s f h t a k t u ef e l d c d s t d ot i . wh t r o a c p s ad h t od
墙 , 因为他们 的工作 原理 都是 一样 的 :分 析 出入 防 火墙 的数 据 包,决 定接 受还 是丢 弃 。 关键 词 :防火墙 ;I 址 ;服务 器 ;端 口 P地
基于Linux2.4内核的防火墙技术及应用研究
21 Neftr框 架 . t'e l f N 伍l r是 Ln x . 核 中 实 现 包 过 滤 、 A e t e iu 2 4内 NT 和 包 处 理 等 功 能 的 框 架 它 比 以 前 任 何 一 版 的
于 24内核 的 N thrItbe. . ef e/pals它使 得 用 户 能 够 很 i 方 便 地在 网 络边 界定 制 对数 据 包 的各 种 控 制 . 如有
函数 ( v I 4定 义 了 5个 钩 子 函数 ) 这 些 钩子 函数在 P ,
结 构进 行 修 改 或扩 充 . 其 满 足 用户 在实 际应 用 中 使 不 断增 强 的安全 需求 本文 在对 基 于 Lnx . iu24内核 的 N fh r 架结 构 和 其 内置接 口进行 分 析 的基 础 e ie 框
Li u 24 Ke n l n x . r e
HU inl r Ja —i ANG Jaz e , , i.h n UU —h n Ai e z
( eat e t f o p tr nier g C l g f rnn eE g er g S iaha g0 O 0 hn ) D pr n m ue gnei , ol eo d a c n i ei , hj zun 5 o 3C ia m oC E n e O n n i
Ab ta t UP t rsn,N tle 鹊 e n L n x . en li h u — y tm ff e al hc sp r c nf n t n sr c: op ee t eftrb do i u 24 k re stes b sse o rw l i i 。w ih i e e ti u ci f o a d i sc rr山a n s e u e n山o rw ̄ sb sd o 山e id f iu en l. hsat l ic se h rhtcu fNe- e i s f e a e n o rkn so n xk res T i r ceds u sst eac i tr o t L i e e
防火墙技术与应用 第2版课件第7章 基于WFP的简单防火墙实现
7.2 基于WFP的包过滤技术原理
❖ 【应用示例7】基于WFP的包过滤 ▪ 1. 添加拦截功能代码
• 回调函数 Wfp_Sample_Established_ClassifyFn_V4用于获 取网络通信协议类型、网络数据包的通信方向以及 远程端口号,检查TCP协议是否对外连接80端口, 如果是则拦截数据包。
7.2 基于WFP的包过滤技术原理
❖7.2.1 WFP框架结构
▪ 2. WFP框架中的对象实体 • (1)垫片(Shims) • (2)分层(Layer) • (3)子层(Sub Layer) • (4)过滤器(Filter) • (5)呼出接口(Callout)
7.2 基于WFP的包过滤技术原理
❖7.1.1 WFP的概念
▪ WFP的推出旨在取代之前的Winsock LSP(分层服务 提供者)、TDI(传输层驱动接口)以及NDIS Filter (网络驱动接口规范),并新增了以下新功能。 • L2层过滤。 • 虚拟交换机过滤。 • 应用容器管理。 • IPSec更新。
7.1 WFP简介
❖7.1.2 WFP的作用
7.2 基于WFP的包过滤技术原理
❖7.2.2 WFP在包过滤中的应用
通过WFP框架提供的API进行数据包的过滤筛选可 以总结为以下步骤:
• 4)当有数据包经过时,数据包流入网络协议栈,网 络协议栈寻找并调用垫片,在特定的分层上,垫片 调用classification处理模块,在classification过 程中,进行过滤规则的匹配,并确定相应的动作。 如果某个呼出接口过滤规则被匹配,则调用相应的 callout函数。
▪ WFP框架包含了用户态API和内核态API,开发者均可 通过这两者处理网络数据包。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011年第2l期 计算机光盘软件与应用 Computer CD Software and Applications 工程技术 防火墙技术研究与应用 李兵 (长沙南方职业学院,长沙410208)
摘要:在Interact高速发展的同时,如何同步保障网络安全,是个很重要的问题,而防火墙技术正是基于这一问题 而进行研究,防火墙技术的核心思想是在不安全的Intemet环境中构造一个相对安全的子网环境。本文从防火墙的基本特 性入手,主要分析防火墙体系结构及它的实现技术,最后探讨防火墙的选择、配置、应用原则。 关键词:防火墙;堡垒主机;包过滤;应用网关;防火墙的应用 中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599(201 1)21-0035-02
Firewail Technology Research and Application Li Bing (Changsha Nanfang Pmfessional College,Changsha 41 0208,China)
Abstract:The rapid development of the Internet,how to synchronize tO ensure network security,is a very important issue,and firewall technology is based on this research problem,firewall technology,the core idea is in an insecure environment of the Interact to construct a relatively secure subnet environment.In this paper,the basic firewall features to start,the main analysis of the firewall architecture and its implementation techniques,the final choice of a firewall,configuration,application principles. Keywords:Firewall;Bastion hnst;Packet filtering;Application gateway;Firewall applications
随着Internet的广泛应用,网络安全成为人们热衷的话题之 一。
而网络安全问题主要是由于网络的开放性、无边界性、自由 性等其他因素造成的。出于对上述问题的考虑,我们应该把被保 护的网络从开放的、无边界的网络环境中独立出来,成为可管理、 控制、安全的内部网络。而实现它的最基本的分隔手段就是防火 墙。为了确保信息的安全及网络系统的可用性,防火墙技术及其 应用是网络安全系统中的一项重要举措。本文结合实际的工作经 验,探讨防火墙的体系结构及防火墙的技术实现,最后给出防火 墙的选择依据和使用建议。 ~、防火墙 从狭义上说防火墙是指安装了防火墙软件的主机或路由器系 统;从广义上说防火墙还包括整个网络的安全策略和安全行为。 AT&T的两位工程师will Jam Cheswich和Steven Bellovin给出 了防火墙的明确定义:所有的从外部到内部或从内部到外部的通 信都必须经过它;只有内部访问策略授权的通信才能被允许通过; 系统本身有很强的高可靠性。所以防火墙在网络之间执行访问控 制策略,是内部网络和外部网络之间的安全防范系统。从逻辑上 讲,防火墙是分离器、限制器和分析器,有效地监视了内部网络 和外部网络之间的任何活动,保证了内部网络的安全;在物理实 现上,防火墙是位于网络特殊位置的一组硬件设备——路由器、 计算机或者其他特制的硬件设备。 (一)防火墙的功能 防火墙作为网络安全的重要屏障,它主要有以下功能:(1) 是一个安全策略的检查站,对网络攻击进行检查和报警;(2)强 化安全策略,过滤不安全的服务和非法用户;(3)有效记录网络 活动,管理进出网络的访问行为;(4)屏蔽内部网络的拓扑结构, 使内部网络结构对外不可知。 虽然防火墙能对网络威胁起到很好的防范作用,但它不是安 全解决方案的全部,防火墙也有局限性,主要体现在以下几点: (1)不能防御已经授权的访问,以及存在于网络内部之间的系统 攻击;(2)不能防御合法用户恶意的攻击,以及各种非预期的威 胁;(3)不能修复脆弱的管理措施和存在问题的安全策略;(4) 不能防御一些不经过防火墙的攻击和威胁。 总之,只有清楚防火墙的优势和缺陷,才有利于我们更好地 应用防火墙;下面,我们从防火墙的体系结构入手来探讨防火墙 防范理论,从中明确各类防火墙的优势和缺陷。 (二)防火墙的体系结构 1.屏蔽路由器。这是防火墙最基本的构件。它可以由厂家专 门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内 外连接的唯一通道,对所接受的每个数据包作允许或拒绝的决定。
采用这种结构的防火墙优点在于速度快、费用低、实现方便但安 全性差,而且它还有路由功能,内部网络的结构并没有被隐藏, 一旦被攻陷后很难发现,不能识别不同的用户。 2.双穴主机。这种配置是用一台装有两块网卡的堡垒主机做 防火墙,位于内外网络之间,并分别与内外网络相连,通过禁止 堡垒主机的IP转发功能来实现在物理上将内外网络隔开。外部网 络(通常是Internet)能够与堡垒主机通信,内部网络也能够与 堡垒主机通信,但外部网络与内部网络不能直接通信,它们之间 的通信必须通过堡垒丰机的过滤和控制。内外网络之间进出的信 息都需要堡垒主机来实现,所以它负载较大,容易成为系统瓶颈。 双穴主机优于屏蔽路由器的是:堡垒主机的系统软件可用于维护 系统日志。这对于日后的检查很有用。双穴主机的一个致命弱点 是:一旦入侵者侵入堡垒主机并使其具有路由功能,则外部网上 用户就可以随便访问内部网。 3.被屏蔽主机。被屏蔽主机体系结构防火墙使用~个路由器 把内部网络与外部网络隔开,在这种体系结构中,主要的安全由 数据包过滤提供,数据包过滤用于防止人们绕过代理服务器直接 相连。这种体系结构涉及到堡垒主机,堡垒主机是因特网上能够 唯一连接到内部网络上的主机。任何外部网络要访问内部网络的 服务都必须连接到堡垒主机,因此堡垒主机要保持更高等级的安 全。如果攻击者设法登录到堡垒主机上,内网中的其余主机就会 受到很大威胁。这与双穴主机结构受攻击时的情形差不多。 4.被屏蔽子网。被屏蔽子网体系结构通过添加周边网络更进
一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最 简单的形式为两个屏蔽路由器,每一个都连接到周边网,一个位 于周边网与内部网络之间,另一个位于周边网与外部网络之间, 这样就在内部与外部网络之间形成一个隔离带,通常我们称它为 “DMZ”非军事区。要侵入用这种体系结构构筑的内部网络,侵袭 者必须通过两个路由器,即使侵袭者侵入堡垒主机,仍然必须通 过内部路由器。总之,被屏蔽子网结构是一种比较完整的防火墙 体系结构。 综上所述,我们在布置防火墙时,一般很少采用单一的结构, 通常是多种解决不同问题的结构组合。这种组合主要取决于网管 中心向用户提供什么样的服务,以及网管中心能接受什么样的等 级风险。 二、防火墙的技术实现 工程技术 计算机光盘软件与应用 Computer CD Software and Appl i cat io,ns 2011年第21期
(一)包过滤技术。包过滤技术是最早使用的一种防火墙 技术,包过滤技术实现的包过滤防火墙,它根据定义好的规则 审查每个数据包并确定数据包是否与过滤规则匹配,从而决定 数据包是否能够通过,与应用层无关,包过滤器的应用非常广 泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种 防护措施对用户透明,合法用户在进出网络时,根本感觉不到 它的存在,使用起来很方便。因此系统就具有很好的传输性能, 易扩展。但是这种防火墙不太安全,因为系统不理解通信的内 容,不能在用户级别上进行过滤,即不能识别不同的用户和防 止IP地址的盗用。 (二)应用网关技术。应用网关技术是建立在应用层上的协 议过滤,它能针对特别的网络应用服务协议制定数据过滤逻辑, 是基于软件的,并且能够对数据包分析并形成相关的报告,提供 比较成熟的日志功能,但是速度比较慢。 (三)代理服务。代理服务来阻断内部网络和外部网络之间 的通信,达到隐藏内部网络的目的,不允许内部网络和外部网络 之间直接通信,具有很高的安全性。但这是以牺牲速度为代价的, 并且对用户不透明,要求用户了解通信细节。 (四)状态检测技术。动态包过滤防火墙,具有很高的效率, 通过状态检测技术动态记录、维护各个连接的协议状态,根据过 去通信信息和其他应用程序获得的状态信息来动态生成过滤规 则。根据新生成的规则过滤新的通信。当新的通信结束后,生成 的新规则自动被删除。它引入了动态规则的概念,对网络端口可 以动态地打开和关闭,减少网络攻击的可能性,使网络安全得到 提高。 (五)自适应代理技术。自适应代理技术根据用户的安全策 略,动态适应传输中的分组流量。它整合了动态包过滤技术和应 用代理技术。通过应用层验证新的连接,如果新的连接是合法的, 它可以被重新定向到网络层,它同时具有代理技术的安全性和状 态检测技术的高效率。 从上述分析可获得: 1.工作层次是决定防火墙效率及安全的主要因素;一般来说, 工作层次越低,则工作效率越高,安全性越低;反之,工作层次 越高,工作效率越低,安全性越高。 2.防火墙采用的机制,若采用过滤机制,效率高但安全性低; 采用代理机制,安全性高,效率低。 3.不同技术实现的防火墙,有不同的功能,不同的工作方式 和原理,也有不同的优势和缺陷,但只有对不同防火墙技术进行 研究与分析比较,才会有更好的防火墙产品,对防火墙技术的发 展会起到促进作用。为此,建议防火墙采用以下技术实现:(1) 综合代理技术和包过滤技术;(2)从数据链链路层一直到应用层 施加全方位的控制;(3)提供透明代理模式,减轻客户端的配置 工作;(4)提供身份验证功能,并在各种验证机制中选择使用; (5)网络地址翻译,一方面缓解IP地址不足,同时对外隐藏内 部信息,实现内容安全,可自动进行病毒扫描;(6)流量分析, 了解各种服务所占通信流量,或某一服务具体使用情况;(7)提 供加密通信隧道来防止黑客截取信息,实现VPN:(8)攻击检测 以便实时检查各种网络攻击痕迹,并采取相应的对策;(9)增加 防止基于协议攻击的手段,例如:防止IP欺骗,TCPSYN攻击等: (10)服务器负载均衡。 三、防火墙的应用 (一)防火墙的选择原则。防火墙是一类防范措施的总称, 简单的防火墙只用路由器实现,复杂的要用一台主机甚至一个子 网来实现,它可以在IP层设置规则,也可以用应用层软件来阻止 外来攻击,所以我们要根据实际需要,对防火墙进行选择应用, 我们通过对防火墙的评价和分析来决定采用什么样的防火墙。如 何评估防火墙是个很复杂的问题,因为用户在这方面有不同的需 求,很难给出统一的标准,一般说来,选择防火墙应把握以下原 则:1.防火墙自身的安全性。大多数人在选择防火墙时都将注意 力放在防火墙如何控制连接以及防火墙提供多少网络服务,往往 忽略一点,防火墙也是网络上的主机,自身也存在安全问题,如 若不能确保自身安全,则防火墙的控制功能再强,也终究不能保 护内部网络。2.防火墙的管理难易度。防火墙的管理难易度是选 择防火墙时考虑的因素之一。若防火墙的管理过于繁琐,则可能 会造成配置上的错误,影响其功能。一般企业之所以很少以已有 的网络设备直接当作防火墙,是因为除了先前提到的包过滤并不 能达到完全的控制之外,配置工作困难、必须具备完整的知识以 及不易排错等管理问题更是一般企业不愿意使用的主要原因。正 因如此,当前很多防火墙都支持图形化界面配置,配置简单高效。 3.能否向使用者提供完善的售后服务。由于有新的产品出现,就 有人会研究新的破解方法,所以一个好的防火墙供应商必须有一 个庞大的组织作为使用者的安全后盾,为其提供升级与维修服务。 4.应该考虑企业的特殊需求。企业安全政策中往往有些特殊需求 不是每一个防火墙都会提供的,这方面常常成为选择防火墙的考 虑因素之一,常见的需求如下:IP地址转换;双重DNS;流量分 析;扫毒功能;负载均衡、特殊控制需求等。 最后,费用问题是我们用户一直关心的问题。在市场上,防 火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。因 为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品 也有所区分,甚至有些公司还推出类似模块化的功能产品,以符 合各种不同企业的安全要求。安全性越高,实现越复杂,费用也 相应的越高,反之费用较低。这就需要对网络中要保护的信息和 数据进行详细的经济性评估。所以在选择防火墙时,费用与安全 性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是 不存在的。但是可以在现有经济条件下尽可能选择满足企业组织 需求,并有一定扩展能力的防火墙。 (--)防火墙的管理与配置。当用户选择、安装合适的防火 墙后,需要对防火墙进行配置和管理,需要制定安全策略来进行 合理有效的配置,必须经过复核已配置的防火墙,看是否满足了 最初的安全需求。 首先必须把握如下配置原则:(1)应该明确单位的需求,想 要如何操作这个系统,允许或拒绝哪些业务流量;(2)想要达到 什么级别的监测和控制。根据网络用户的实际需要,建立相应的 风险级别,随之便可形成一个需要监测、允许、禁止的清单。再 根据清单的要求来设置防火墙的各项功能。 其次,管理和维护防火墙有以下几个要求:(1)必须经过一 定的专业培训,对所处的网络有一个清楚的了解和认识;(2)定 期进行扫描和检测,以便及时发现问题,及时堵上漏洞;(3)保 证系统监控及防火墙通信线路通畅,根据不同时期和不同时间进 行网络安全监控;(4)与厂家保持联系,以便及时获得有关升级、 维护信息。 最后,在实际使用中要把握以下原则:(1)由内到外,由外 到内的业务流量都要经过防火墙;(2)只允许本地安全策略认可 的业务流通过防火墙,实行默认拒绝原则;(3)严格限制外部网 络的用户进入内部网络;(4)具有透明性,方便内部网络用户, 保证正常的信息通过。 四、结束语 本文着重探讨了防火墙的体系结构、技术实现及防火墙的应 用。防火墙作为一种网络安全机制,不可否认具有很多优点,但 目前防火墙在安全性、效率和功能上的矛盾还是比较突出,未来 的防火墙目标就是要求高安全性和高性能并存。从当前防火墙的 产品和功能上,我们可以看到一些动向和趋势:过滤深度在不断 加强,逐渐有病毒扫描功能;算法不断优化,降低对网络流量的 影响、对网络攻击检测的能力不断提高、与硬件进一步结合,安 全协议的开发使用等。 参考文献: [11刘建伟,王育民.网络安全——技术与实践fM】.清华大学出 版社 2005 [21宋婷禹.网络安全之防火墙技术U1.贵州教育学院学 报,2004,4:85-87 【31魏利华.网络安全:防火墙技术研究Ⅱ1.淮阴工学院学 报,2003,5:61-65