当前位置:文档之家 › 防火墙概述

防火墙概述

  • 格式:doc
  • 大小:73.50 KB
  • 文档页数:12

下载文档原格式

  / 21
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机网络安全与防火墙技术

摘要防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境. 本文

介绍了防火墙技术的基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packet filtering),它的代表是在筛选路由器上实现的防火墙功能;一种是基于代理技术(Proxy),它的代表是在应用层网关上实现的防火墙功能.

关键词网络安全,防火墙,分组过滤,代理,堡垒主机

一防火墙的概念与构成

所谓防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制. 它的实现有好多种形式,有些实现还是很复杂的,但基本原理原理却很简单. 你可以把它想象成一对开关,一个开关用来阻止传输, 另一个开关用来允许传输.

设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击. 通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全. 对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源.

不同的防火墙侧重点不同. 从某种意义上来说,防火墙实际上代表了一个网络的访问原则. 如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy),即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙. 防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外.

在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构. 一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间. 防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进入和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过.

防火墙是用来实现一个组织机构的网络安全措施的主要设备. 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施. 本文主要介绍下列防火墙的基本构件和技术:筛选路由器(screening router)、分组过滤(packet filtering)技术、双宿主机(dual-homed host)、代理服务(Proxy Service)、应用层网关(application level gateway)和堡垒主机(bastion host). 象筛选路由器这样的能够实现安全措施的路由器常常被称为安全路由器或安全网关,而实现安全管理的应用层网关又称为安全应用层网关.

二防火墙的基本构件和技术

2.1筛选路由器(Screening Router)

许多路由器产品都具有根据给定规则对报文分组进行筛选的功能,这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段. 例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能,这种路由器被称为筛选路由器. 最早的Cisco路由器只能根据IP数据报头部内容进行过滤,而目前的产品还可以根据TCP端口及连接建立的情况进行过滤, 而且在过滤语法上也有了一定改进.

筛选路由器提供了一种强有力的机制,可用于控制任何网络段上的通信业务类型. 而通过控制一个网络段上的通信业务类型,筛选路由器可以控制该网络段上网络服务的类型,从而可以限制对网络安全有害的服务.

筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务. 路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤. 因此,筛选路由器又称为分组过滤路由器. 下面我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题,以及筛选路由器与OSI模型的关系,分组过滤技术将在下一节讨论.

识别危险区域

根据1996年1月的统计,连入INTERNET的网络大约为60,000个左右,主机总数则已超过900万台. 由于INTERNET上有如此众多的用户,其中难免有少数居心不良的所谓“黑客”. 这种情况就象迁入一个大城市时会遇到犯罪问题一样. 在大城市中,使用带锁的门来保护我们的居室是明智之举. 在这种环境下要求凡事要小心谨慎,因此当有人来敲我们的门时,应首先查看来人,再决定是否让来人进入. 如果来人看起来很危险(安全风险很高),则不应让其进来. 类似地,筛选路由器也通过查看进入的分组来决定它们当中是否有可能有害的分组. 企业网络中的边界被称为安全环形防线. 由于在INTERNET 上危险的“黑客”很多,确定一个危险区域是很有用的. 这个危险区域就是指通过INTERNET可以直接访问的所有具有TCP/IP功能的网络. 这里“具有TCP/IP功能”是指一台主机支持TCP/IP协议和它所支持的上层协议. “直接访问”是指在INTERNET和企业网络的主机之间没有设置强有力的安全措施(没有“锁门”).

从我们自己的角度上看,INTERNET中的地区网、国家网和主干网都代表着一个危险区域,在危险区域内的主机对于外来攻击的防范是很脆弱的. 因此,我们当然希望把自己的网络和主机置于危险区域之外. 然而,没有相应的设备去拦截对自己网络的攻击,则危险区域将会延伸至自己的网络上. 筛选路由器就是这样一种设备,它可以用来减小危险区域,从而使其不能渗透到我们网络的安全防线之内.

在我们的企业网络中,可能不是所有的主机都具有TCP/IP功能. 即使这样,这些非TPC/IP主机也可能成为容易攻击的,尽管从技术上说它们不属于危险区域. 如果一台非TCP/IP主机与一台TCP/IP主机相连,就会发生这种情况. 入侵者可以使用一种TCP/IP主机和非TCP/IP主机都支持的协议来通过TCP/IP主机访问非TCP/IP主机,例如:如果这两台主机都连在同一个以太网网段上,入侵者就可以通过以太网协议去访问非TCP/IP主机.

筛选路由器本身不能够消除危险区域. 但它们可以极为有效地减小危险区域.

筛选路由器和防火墙与OSI模型的关系

相关主题