防火墙在网络安全中的应用论文
- 格式:doc
- 大小:115.00 KB
- 文档页数:9
摘要 关键字 引言 研究背景 研究意义
一. 防火墙概念 1. 定义 2. 类型 3. 特征 4. 发展历史 二. 防火墙的安全功能 三. 防火墙技术 1. 包过滤技术 2. 状态包过滤技术 3. NAT网络地址转换技术 4. 代理技术
四. 防火墙结构体系 五. 防火墙的局限性 六. 防火墙面临的攻击 七. 防火墙未来趋势 八. 总结
摘要网络安全是指网络系统能够可靠正常运行,软硬件及其数据不因偶然或恶意因素遭受到破坏、更改、泄露。网络安全的主要威胁主要有非法访问,冒充合法用户,破坏数据,干扰系统正常运行,病毒攻击,信息泄露等方面。随着计算机技术的发展和网络应用的普及,面对日益强大的网络威胁,人们逐渐意识到网络安全的重要性,而在网络安全结构体系中,防火墙占据举足重轻的位置。 本文首先叙述防火墙的一些概念特点,为下文的介绍做铺垫,而将本文重点放在研究防火墙各种技术以及作用原理,并对此进行分析评价,以及提出一些改进意见,再简单叙述一些针对防火墙攻击的策略。同时以用户的角度叙述了如何使用和选购防火墙来实现自身的安全需求,最后在对防火墙的未来前景进行展望。 研究意义 随着计算机的广泛应用,以及Internet网络的迅猛发展,网络安全的问题日益突出,人们越来越重视网络安全问题。目前,网络安全面临的威胁主要有:病毒与恶意攻击、非授权访问、间谍软件入侵等,2012年我国计算机病毒感染率高达45.07%,通过网络下载或浏览传播病毒的比例占75.42%。国家互联网应急中心,2014年2月10-16日网络安全信息与动态周报显示,本周境内感染网络病毒的主机数量约为 69.0 万个,其中包括境内被木马或被僵尸程序控制的主机约 35.0 万以及境内感染飞客(conficker)蠕虫的主机约 34.0 万。放马站点是网络病毒传播的源头,根据对放马 URL 的分析发现,大部分放马站点是通过域名访问,而通过 IP 直接访问的涉及 94 个 IP。因此,防病毒防黑客已经成为防范网络威胁的基本策略,而大部分的不安因素都是通过不安全的外部网络环境侵入内部网络而实施破坏的。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施,所以,我们有必要对防火墙技术进行深入分析和研究,并能充分利用这项技术,努力改善防火墙技术,使网络更稳定,更安全。
绪论 随着计算机的广泛应用,以及Internet网络的迅猛发展,网络安全的问题日益突出,人们越来越重视网络安全问题。目前,网络安全面临的威胁主要有:病毒与恶意攻击、非授权访问、间谍软件入侵等,2012年我国计算机病毒感染率高达45.07%,通过网络下载或浏览传播病毒的比例占75.42%。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施,截至今日,防火墙已经成为维护网络安全至关重要的一种安全设备,在网络安全的防范体系中占据着举足轻重的位置,而研究发展防火墙技术是网络安全发展进程相当中重要的部分。
一.防火墙概念 1.防火墙指在内部网和外部网或专用网和公共网之间的一种由软件、硬件设备组合的安全网关,保护内部网免受非法用户的侵入.,防火墙的安全性一般包括访问控制能力、抗攻击能力、自身的安全性3方面。 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分构成,流经安装防火墙的计算机的所有网络通信和数据包都要经过此防火墙。防火墙可以是一种硬件(如专用防火墙)、固件或者软件(如代理服务器软件)。软件防火墙是以逻辑形式存在的,工作在系统接口与网络驱动接口规范之间,是安装在负责内外网络转换的网关服务器或者独立计算机上的一种特殊程序,信息处理效率较硬件防火墙低,很多企业往往使用的是硬件防火墙。硬件防火墙是一种以物理形式存在的专用设备,通常建设在两个网络的驳接处,直接从网络设备上检查过滤数据报文,硬件防火墙的硬件规格也是分档次的,对吞吐量要求高的网络里,经常选用芯片级的硬件防火墙。
2.类型: (1).按照作用区域不同,可以分为网络层防火墙、应用层防火墙、数据库防火墙。网络层防火墙运作在底层的TCP/IP协议堆栈上、应用层防火墙运作在TCP/IP协议堆栈的应用层上,数据库防火墙是基于数据库协议分析和控制技术的数据库安全防护系统。
(2).按照工作原理,防火墙可分为包过滤防火墙(包括状态监测型防火墙)、应用代理防火墙、复合型防火墙,其中复合型防火墙是将包过滤技术和应用代理技术相结合。
3.特征: (一).内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 (二)只有符合安全策略的数据流才能通过防火墙。 (三)防火墙具有相当强的抗攻击能力。 (四)应用层防火墙具备更细致的防护能力。 (五)数据库防火墙针对数据库恶意攻击具有阻断能力。 历史发展: 第一代防火墙技术采用了包过滤技术,通过路由器的控制功能来实现。 第二代防火墙即电路层防火墙,数据包在应用层管理,向不同协议提供服务。 第三代防火墙代理(应用)防火墙,拥有很强的日志记录和审计功能。 第四代防火墙是基于动态包过滤技术,后来发展成为状态监视技术。 第五代防火墙一种自适应代理技术,结合代理防火墙安全性和包过滤防火墙高效率的优点。
二防火墙的安全功能 防火墙是内外网之间的安全屏障,对流经防火墙的数据进行过滤,阻止有害或者不需要的信息通过,过滤掉一些攻击保障用户的安全。防火墙不能把所有的数据拒之门外,所以如何设置防火墙规则非常关键,这直接决定了防火墙的性能。 一般防火墙都应该兼有报警功能、端口扫描功能、日志功能、黑白名单功能等,为满足用户的安全需求和查询需求。 三防火墙技术 防火墙技术是一种综合技术,一般很少采用单一技术,通常是多种为解决不同问题而进行技术组合,主要包括以下技术 (一)包过滤技术 1.这是一门最早的防火墙技术,主要是基于数据包过滤技术,通过检测数据包的首部信息来决定是否丢弃,工作原理是检查发送方IP地址、接收方IP地址,TCP端口、TCP标志位等信息是否满足数据包过滤访问控制列表来判断是传送还是丢弃,工作在网络层和传输层。包过滤技术粗略可分为包过滤技术和状态检测技术,详细可分静态包过滤技术、动态包过滤技术、状态包检测技术、深度包检测技术。 包过滤优点是效率高速度快,逻辑简单,成本低,但是缺点亦明显。因为是利用部分数据包的首部信息、通过过滤规则来检测,不仅依据信息少,而且性能受过滤规则数目影响较大,若设置数量过少,则不能满足安全性的要求,数目过多效率会大大降低。因为网络管理员要设置过滤规则,所以对网络员的专业素质较高。并且不能防止IP地址欺骗,因为过滤依据是IP地址、目的IP地址,而IP地址的伪造是很容易并且很普遍的。该技术还缺少审计和报警机制、缺少上下文关联信息,所以不能对网络上流动的信息做出全面的记录和控制,不能进行身份验证、不能有效过滤等UDP、RPC一类的协议。即使再完善的数据包过滤仍有一些应用协议如FTP、RPC不适合于数据包过滤。因为该技术是动态分配端口号,所以必须全部打开客户端动态分配端口区域,不能实现使用哪个端口就打开哪个端口,这时若防火墙没有记住已存在的TCP连接,则无法抵御TCP的ACK扫描。目前,防火墙已经较少使用该技术,市场上主要使用状态包过滤技术和应用代理技术。 (二)状态包过滤技术 状态包过滤技术也称状态检测技术 1.近几年才应用的新技术,是对过去包过滤技术的一种升级模式,基于连接的状态检测技术,判断同属于一个连接的所有包是否属于当前合法连接,通过规则表与状态表的共同配合,从而进行动态过滤。 过滤规则不仅决定是否接受数据包,还包含是否在状态表中添加新连接,状态表会跟踪每一个会话过程,使数据包伪装攻击的机会大大减少,比传统包过滤防火墙的静态过滤规则,更安全更灵活。因为借助状态表可以按需开放端口,连接结束端口就关闭,大大减少了端口暴露的机会,所以可以抵御TCP的ACK扫描,加大了安全性。 但状态包过滤技术仍存在不少问题,由于IP地址数目巨大且经常变动,所以在访问控制列表的配置和维护方面较为困难。因为包过滤防火墙不是会话连接的发起者,所以对主机之间的会话关系难以详细了解,容易受到欺骗攻击。由于工作在网络层和传输层,难以过滤应用层服务,容易遭受如HTTP/ICMP隧道攻击等的攻击。查询状态表会影响一些性能,不过影响较小,可以通过使用专用芯片解决。使用该技术时,若增加身份认证功能则会大大增加防火墙的安全性,但同时也会降低处理效率。能与包过滤技术配合使用的还有多级过滤技术,这时一种综合过滤型技术,分别在网络层、传输层、应用层进行分组过滤,该技术弥补了单一过滤技术过滤力度的不足。
(三)NAT网络地址转换技术 1. 也称IP地址伪装技术,是一种在数据包通过防火墙时转换源IP地址或者目的IP地址的技术,可分为静态NAT和动态NAT技术。工作原理是,内部原理内部主机和外部主机建立会话连接时,若数据包来自内网则防火墙检查NAT映射表是否已为该地址配置地址转换,若已配置则用公网IP地址替换内网地址并转发数据包。若来自外网,检查NAT映射表是否存在匹配项,若存在,用内部地址替换目的IP地址并转发,否则拒绝数据包。静态和动态的NAT对来自内网的数据包处理略微不同,静态NAT过程中,若NAT映射表中没有配置静态地址转换,则防火墙不对内部地址进行转换,丢弃或转发数据包。动态NAT过程中,若NAT映射表中没有建立地址转换映射项,防火墙则会进行地址转换。该技术并非为了防火墙设计,优点是节约了合法公网IP地址,NAT的主要功能是处理IPv4的地址空间不足,倘若IPv6得到广泛采用,则对该技术的需求会大大减少。 该技术具有隐藏内部主机地址、.实现网络负载均衡、处理网络地址交迭等作用,但仍存在一些问题待解决。比如,一些应用层协议无法使用NAT技术,端口改变时,有些协议不能正确执行他们的功能。静态NAT是一对一替换IP地址的,但应用层协议数据包所包含的相关地址不能同时得到替换,这种情况可使用应用层代理服务来实现。动态NAT,对于内部网络攻击,NAT不存在任何安全保护。若是内部用户主动与黑客主机或引诱到恶意外部主机上,内部主机将完全暴露,防火墙则无效。 (四)代理技术 1.与包过滤技术原理完全不同,着重于应用级别,分析经过防火墙的应用信息来决定丢弃还是传送,利用代理服务器来屏蔽双方网络,避免直接的端对端连接,代理技术可细分为应用层代理、电路层代理、自适应代理。通信时,外网用户首先和代理服务器连接,代理服务器检查其身份和数据安全合法后,再由代理服务器与目标服务器连接。 应用层代理工作原理:对每一种应用服务编制专门的代理程序,信息经过时检查验证其合法性,如其合法,会像一台客户机一样取回所需的信息再转发给客户,这样就会对应用层信息流实现监视和控制,可代理HTTP/FTP/SMTP/POP3/Telnet等协议使用户在安全的情况下浏览网页、收发邮件和远程登录等,。该技术有很多优点,能够解释应用协议,支持用户