网络安全与防火墙技术.doc_第1页
网络安全与防火墙技术.doc_第2页
网络安全与防火墙技术.doc_第3页
网络安全与防火墙技术.doc_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络安全与防火墙技术工商管理系 09电子商务 2009110122 兰姣姣摘 要 随着网络的普及,网络安全日显重要。本文先介绍了网络不安全因素入手,其次介绍了防火墙技术的实现方法和应用实例,最后讲述了其发展趋势。关键词 网络安全、防火墙网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。然而,随着网络应用的不断增多,网络安全问题也越来越突出,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。网络防火墙是最常被采用的网络安全技术。一 网络不安全因素 网络的安全因素主要有: 1.网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。 2.网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。 3.网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。 4.网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。 5.恶意攻击。就是人们常见的黑客攻击及网络病毒是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。二 网络安全防御方式 网络安全技术的主要代表是防火墙,下面简要介绍一下这种技术。防火墙技术 网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙。 1.防火墙的主要功能防火墙的主要功能包括: (1)防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。 (2)防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。 (3)防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。 (4)防火墙可以控制网络内部人员对Internet上特殊站点的访问。2.防火墙的类型根据防火墙所采用的技术不同,我们可以将它分为以下四种基本类型。(1)包过滤型。包过滤型产品技术依据是网络中的分包传输技术。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,将危险站点的数据包拒之门外。包过滤技术优点是简单实用,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术,无法识别基于应用层的恶意侵入。(2)网络地址转化NAT。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。(3)代理型。代理型防火墙也可以被称为代理服务器。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。代理型防火墙的优点是安全性较高,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,系统管理的复杂性较高。(4)监测型。 监测型防火墙是能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。这种检测型防火墙产品一般还带有分布式探测器,不仅能够检测来自网络外部的攻击,对来自内部的恶意破坏也有极强的防范作用。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3.防火墙的实现方法和应用实例防火墙的实现方式主要有双宿主机、堡垒主机、屏蔽路由器以及过滤子网,下面主要从理论原理和实践两方面介绍堡垒主机的实现方式。(1)堡垒主机的实现原理。堡垒主机是防火墙体系结构中一个对网络安全至关重要的主机系统,它通常作为内部网络与外部不可信网之间的连接桥梁,在网络安全中起到了阻止的作用。由于堡垒主机作为内部网与外部网之间接口的接口点,它经常需要高度安全的配置,堡垒主机软件和系统安全也需要定期审核,以便检查关于潜在的安全破坏和企图对堡垒主机进行攻击的访问记录。(2)堡垒主机的应用构建过滤型路由防火墙的实例。本例中的过滤性路由防火墙基于数据包路由记录,它是在Linux系统中包过滤防火墙软件ip_fw.C和X/OS Experts的ipfwadm.C的基础上进行的改进,增加了检查数据包路由的功能。实例器材:一台主机,配置两个网卡,实现路由兼作防火墙功能。外部连线可连接到校园网,从而连入Internet。一个10M/100M自适应8口的以太网集线器HUB,带有一批Windows95/98/XP/Linux台式机。构建的具体过程:首先修改Linux系统的TCP/IP内核源程序,再重新编译内核。在Linux系统中安装双网卡,设置路由。有两种方法可以Linux实现系统自动检测多个网卡:第一,在Linux加载程序配置文件etc/lilo.Conf文件中设置:append=“ether=irq0,io-port0 ether=irql-portl,ethl”;第二,修改Linux系统的内核源程序,修 usr/src/Linux/drivers/net/Space,e的eth I控制结构,用0代替Oxffe0,然后用make config 重新配置Linux的基本内核。系统性能分析:安全性能:系统由于不具备IP地址,所以能够很好的抵御来自各方面的入侵活动,使那些黑客根本没有办法破坏我们的系统。因此,大大提高了系统的安全性。网络性能:包过滤防火墙系统在网络中起着网桥的作用,其运行机制和以太网网桥基本一致,包过滤操作也仅仅是对数据指针的移动并做比较的操作,对系统的性能没有影响。使用的方便性:无论是对系统管理人员还是普通内部网络用户,本系统的使用都是非常简单的。对于普通用户,他们根本不会感觉到我们的包过滤系统的存在。上面的透明包过滤防火墙对网络用户是真正的透明,安装设置本系统不需要更改任何设置,放置在合适位置上,将网络联起来就可以使用本系统。三发展趋势1.模式转变传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。但这种设计的最大问题是,恶意攻击的发起不仅仅来自于外网,内网环境同样存在着很多安全隐患,而对于这种问题,边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防御理念的升华。防火墙的几种基本类型可以说各有优点,所以很多厂商将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足,例如比较简单的方式就是既针对传输层面的数据包特性进行过滤,同时也针对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力,可以说是在自身基础之上进行再发展的最有效途径之一,目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤,其实这已经成为现有防火墙产品的一种主流检测模式了,可以预见,未来的防火墙检测模式将继续整合进更多的范畴,而这些范畴的配合也同时获得大幅的提高。就目前的现状来看,防火墙的信息记录功能日益完善,通过防火墙的日志系统,可以方便地追踪过去网络中发生的事件,还可以完成与审计系统的联动,具备足够的验证能力,以保证在调查取证过程中采集的证据符合法律要求。相信这一方面的功能在未来会有很大幅度的增强,同时这也是众多安全系统中一个需要共同面对的问题。2功能扩展现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,这样的设计会对管理性能带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。防火墙的管理功能一直在迅猛发展,并且不断地提供一些方便好用的功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断地涌现出来,例如短信功能,至少在大型环境里会成为标准配置,当防火墙的规则被变更或类似的被预先定义的管理事件发生之后,报警行为会以多种途径被发送至管理员处,包括即时的短信或移动电话拨叫功能,以确保安全响应行为在第一时间被启动,而且在将来,通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。3、性能提高未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯地升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构,当然,从某种角度来说,我们祈祷这种状况最好还是不要发生。另据经验,除硬件因素之外,规则处理的方式及算法也会对防火墙性能造成很明显的影

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论