防火墙技术(第二十一讲)
- 格式:doc
- 大小:469.50 KB
- 文档页数:5


IT w0 I--D ■■■■● 信息技术
一、网络防火墙技术 网络防火墙技术作为内部网络与外部网络之间的 第一道安全屏障,是最先受到人们重视的网络安全技 术,就其产品的主流趋势而言,大多数代理服务器(也 称应用网关)集成了包滤技术。 我们应该在哪些地方部署防火墙呢?首先,安装防 口 网 各 部 应 该同时将总部与各分支机构组成虚拟专用网(VPN)。 安装防火墙的基本原则是:只要有恶意侵入的可 能。无论是内部网络还是与外部公网的连接处,都应该 安装防火墙。 选择防火墙的标准有: 1.总拥有成本。防火墙产品作为网络系统的安全屏 障,其总拥有成本ffCO)不应该超过受保护网络系统可能
2.不随意公开自己的信箱地址。用户上网的时候会 不经意的把信箱地址留在Intemet上,垃圾邮件制造者 使用叫“bot”的专用应用程序来搜索Intemet上的E— mail地址,搜索目标是各个网址、聊天室、网上讨论区、 新闻组、公共讨论区以及任何能够充实他们数据库的地 方。用户不要随便地把真实信箱地址公布于众。 3.隐藏电子邮件地址。为防止非法用户窃取信息, 用户可以对自己要公布出来的地址进行“加工”。使对 方能看懂而计算机却不识别。这样垃圾邮件制造者的自 动搜索器只能搜索到修改后的地址,而无法检测到真正 的地址。 4.谨慎使用自动回信功能。“自动回信”功能本来 给大家带来了方便,但同时可能会制造成邮件炸弹。如 果收、发信双方使用的邮件账号系统都开启了自动回信 功能,当双方都没有及时收取信件时,自动发送的确认 信便会在双方的系统中不断重复发送,直到把双方的信 箱都撑爆为止。 5.使用转信功能。邮件服务器为了提高服务质量往 往设有“自动转信”功能,利用该功能可以在一定程度 上解决容量特大的邮件的攻击。利用转信信箱的转信功 能和过滤功能,可以将那些不愿意看到的邮件统统过滤 掉,删除在邮件服务器中,或者将垃圾邮件转移到自己 其他免费的信箱中,或者干脆放弃使用被轰炸的邮箱, 另外申请一个新信箱。
计算机网络应用 防火墙主要技术
为了更加全面地了解Internet防火墙及其应用,还有必要从技术角度对防火墙进行深入考究。防火墙上常用的技术大体包括包过滤技术、应用服务器技术、网络地址转换技术(NAT)、虚拟专用网(VPN)技术及审计技术等多种技术,并且每种防火墙技术都存在它实现的原理。
1.包过滤技术
包过滤技术是一种简单、有效的安全控制技术,包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容。其原理是对通过设备的数据包进行检查,限制数据包进出内部网络。由于包过滤无法有效的区分相同的IP地址和不同的用户(因为包过滤只对网络层的数据报头进行监测,并不检测网络层以上的传输层和应用层),安全性相对较差。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
第一代静态包过滤类型防火墙
这类防火墙是最传统的防火墙,几乎是与路由器同时产生。它是根据定义好的过滤规对网络中传输的每个数据包进行检查,用来确定该数据包是否与某一条包过滤规则匹配。过滤规则基于数据包的报头内容进行制定。报头内容中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP目标端口、ICMP消息类型等。IP数据报头格式如图11-14所示。
版本报头长度服务类型总长度标识标志分段偏移生存时间协议报头校验和源IP地址目标IP地址任选项填充项
图11-14 IP数据报头格式
第二代动态包过滤类型防火墙
这类防火墙采用动态生成包过滤规则的方法,避免了设置静态包过滤规则时所产生的错误。包状态监测(Stateful Inspection)技术就是由该技术发展而来的。采用该技术的防火墙对通过它建立的每个连接都进行跟踪,并且能够根据需要动态地在过滤规则中增加或更新条目。
2.代理服务技术
其原理是在网关计算机上运行应用代理程序,运行时由两部分连接构成:一部分是应用网关同内部网用户计算机建立的连接,另一部分是代替原来的客户程序与服务器建立的连接。通过代理服务,内部网用户可以通过应用网关安全地使用Internet服务,而对于非法用户的请求将予拒绝。代理服务技术与包过滤技术不同之处,在于内部网和外部网之间不存在直接连接,同时提供审计和日志服务。
1 防火墙几种常见的攻击方法及对策
防火墙技术是计算机网络信息安全防护的常用技术,可以有效的控制网络之间的访问,防治非法用户进入网络内部,对维护网络安全起到良好的效果。
《网络新媒体技术》网络技术期刊,创刊于1980年,是由中国科学院声学研究所主办,海洋出版社出版的公开发行的科技刊物。其办刊宗旨是发展信息科学,推广计算机在各行各业的应用和发展,促进计算机科学领域的技术交流与合作,为祖国的社会主义现代化建设服务。荣获1990年获海洋出版社优秀期刊奖、中文核心期刊(1992)。
通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
2 一、包过滤型防火墙的攻击
包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。
包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。
1 四川警安职业学院标准教案纸
课程名称 防火墙技术(第二讲) 任课教师 陈 平
授课时间 地点 多媒体 授课班级 06级 人数 17人
教学目标 1. 掌握OSI七层模型
2. 理解OSI每层的主要功能
3. 掌握数据封装的概念及原理
教学重点 1. OSI七层模型及每层主要功能
2. 数据封装的概念
教学难点 1. OSI七层模型的层间关系
教学时数 2节 教学方法 讲授法、演示法、实践操作法 教学手段 多媒体教学
教学内容:
第2章 TCP/IP(一)
2.1 OSI七层模型
2.1.1 OSI七层模型的产生
在计算机网络中,除了TCP/IP以外,还使用着由制造开发商开发的数量众多的协议。为了使不同协议的网络实现互联,协议的标准化变得极为必要。因此,通过国际标准化组织-ISO(International
Organaization for Standarization),推动了网络体系标准化。
OSI参考模型的一个很重要特性就是它采用的是分层体系结构,OSI参考模型共划分为七层。
总结起来,OSI七层参考模型具有以下优点:
● 简化了相关的网络操作。
● 提供即插即用的兼容性和不同厂商之间的标准接口。
● 使各个厂商能够设计出具备互操作性的网络设备,加快数据通信网络发展。
● 防止一个区域网络发生的变化移向另一个区域的网络,因此,每一个区域的网络都能够单独快速升级。
● 把复杂的网络问题分解成小的简单问题,易于学习和操作。
2.1.2 OSI模型层次结构及各层功能
OSI参考模型的七层分别是:第一层物理层(Physical Layer)、第二层数据链路层(Data Link Layer)、第三层网络层(Network Layer)、第四层传输层(Transport Layer)、第五层会话层(Session Layer)、第六层表示层(Presentation Layer)和第七层应用层(Application Layer),如图2 1所示。