防火墙在安全防御中的应用

-.z摘要随着网络的开展，网络的平安性显得非常重要。这是由于怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络冒充合法用户非法进入远程主机，获取存储在主机中的**信息，或者占用网络资源，组织其他用户使用等，这些问题的产生对网络营运部门和用户的信息平安构成了威胁，影响了计算机网络的进一步推广应用。因此对计算机网络上的各种非法行为进展主动控制和有效防御，是计算机网络平安亟待解决的问题。网络的平安性成为当今最热门的话题之一，而且网络平安防*对我们校园网的正常运行来讲也显得十分重要。现在各种网络平安技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现，内容十分广泛。而其中防火墙技术在网络平安技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝效劳等攻击，还能防止内网中木马的主机系统信息泄露等。随着科技的开展，防火墙也逐渐被群众所承受。本文在简要论述防火墙的根本分类、工作方式等的根底上，对防火墙的优缺点以及局限性进展了说明，也简述了防火墙技术在校园网中的应用，并对其的开展趋势作简单展望。

关键词：网络平安；防火墙；校园网;防御

目录1防火墙31.1防火墙的概念31.2.防火墙的功能41.3防火墙的分类 71.4各类防火墙的优缺点 121.5防火墙技术的局限性 141.5防火墙的未来开展趋势 152防火墙技术在校园网中的应用 152.1校园网防火墙部署 162.2校园网防火墙配置 162.3校园网防火墙构造 173总结与展望 18参考文献 181防火墙1.1防火墙技术所谓防火墙〔Firewall〕，是建立在内外网络边界上的过滤封锁机制，它认为内部网络是平安的和可信赖的，而外部网络被认为是不平安和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络，通过边界控制强化内部网络的平安策略。它的实现有多种形式，但原理很简单，可以把它想象成一个开关，其中一个用来阻止传输，另一个用来允许传输。防火墙作为网络平安体系的根底和核心控制设备，贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进展平安处理，如控制、审计、报警和反响等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，自身还要面对各种平安威胁，因此，选用一个平安、稳定和可靠的防火墙产品，其重要性不言而喻。在网络层，防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以通过或者制止哪些目的地址的主机。在传输层，这个可以被端到端的加密，也就是进程到进程的加密。在应用层，它可以进展用户级的身份认证、日志记录和账号管理等。因此，防火墙技术简单来说，就是一套身份认证、加密、数字签名和内容检测集成为一体的平安防*措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙，由防火墙进展分析，以确保它们符合站点设定的平安策略，以提供一种内部节点或网络与Internet的平安屏障。1.2防火墙的功能〔1〕防火墙是网络平安的屏障防火墙〔作为阻塞点、控制点〕能极大地提高一个内部网络的平安性，并通过过滤不平安的效劳而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更平安。〔2〕防火墙可以强化网络平安策略通过以防火墙为中心的平安方案配置，能将所有平安软件〔如口令、加密、身份认证、审计等〕配置在防火墙上。〔3〕对网络存取和进展监控审计所有的都经过防火墙，则，防火墙就能记录下这些并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙进展适当的报警，并提供网络是否收到监测和攻击的详细信息。〔4〕防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或宁安网络平安问题对全局网络造成影响。1.3防火墙的分类防火墙技术经历了包过滤、应用代理网关和状态检测三个阶段。包过滤行的防火墙常直接转发报文，它对用户完全透明，速度较快；应用代理网关防火墙是通过效劳器机那里连接的，可以有更强的身份验证和注册功能；状态检测防火墙是在其核心局部建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态。状态检测对每一个包的检测不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。〔1〕包过滤型防火墙包过滤防火墙一般有一个包检查快〔通常称为包过滤器〕，数据包过滤可以根据数据**中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层〔即TCP和IP层〕之间。通过检查模块，防火墙能够检查和拦截所有进站和出站的数据，它首先翻开包，取出**，根据**信息确定该包是否符合包过滤规则，并进展记录。对于不符合规则的包，应进展报警并丢弃该包。包过滤防火墙工作在网络层，对数据包的源及目的IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还数UDP及所有的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进展分析，如果一条规则阻止包传输或接收，则此包便不被允许通过，否则该包可以被继续处理。包过滤防火墙的处理速度较快，并且易于配置。包过滤防火墙的优点：防火墙对每条传入和传出网络的包实行低水平控制；每个IP包的字段都被检查，例如源地址、目的地址、协议和端口等；防火墙可以识别和丢弃带欺骗性源IP地址的包；包过滤防火墙是两个网络之间的唯一来源；包过滤通常被包含在路由器数据包中，多以不必额外的系统来处理这个特征。包过滤防火墙的缺点：不能防*黑客攻击，因为网管不可能区分出可信网路有不可信网络的界限；不支持应用层协议，因为它不认识数据包中的应用层协议，控制粒度太粗糙;不能处理新的平安威胁。〔2〕应用代理网关防火墙应用代理网关防火墙彻底割断内网与外网的直接通信，内网用户对外网的变成防火墙对外网的，然后再由防火墙转发给内网用户。所有通信都必须经应用代理软件转发，者任何时候都不能与效劳器建立直接的TCP连接，应用层的协议会话过程必须符合代理的平安策略要求。应用代理网关的优点：可以检查应用层、传输层和网络层的协议特征；对数据包的检测能力比较强。应用代理网关的缺点：难于配置。由于每个应用都要求单独的代理过程，这就要求网管能理解每项应用协议的弱点，并能合理的配置平安策略。由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的平安防*能力处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使用代理防火墙具有极高的平安性。但是实际应用中并不行，因为对于内网的每个web请求，应用代理都需要开一个单独的代理过程，它要保护内网的web效劳器、数据库效劳器、文件效劳器、效劳器及义务程序等，这就需要建立一个个的效劳代理、以处理客户端的请求。这样，应用代理的处理延迟会很大，内网用户的正常web不能及时得到响应。总之，应用代理网关防火墙不能支持大规模的并发连接，对速度要求的行业不能使用这类防火墙。另外，防火墙核心要求预先内置一些应用程序代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。〔3〕状态检测技术防火墙状态检测技术防火墙结合了代理防火墙的平安性和包过滤防火墙的高速度等优点，在不是平安性的根底上将代理防火墙的性能提高了10倍。Internet上使用的TCP/IP，TCP的每个可靠连接均需要经过“客户端同步请求〞、“效劳器应答〞、“客户端应答〞三次握手。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考察数据包的IP地址等几个参数，而不关心数据包的连接状态变化的缺点，在防火墙的核心局部建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态。状态检测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙在提高平安防*能力的同时也改进了流量处理速度。因为它采用了一些列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是一些规则复杂的大型网络上。1.4防火墙技术的局限性随着防火墙技术的开展，其在信息平安体系中的地位越来越不可替代，网络平安的严峻形势也对防火墙技术的开展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下，我们也应该清醒地认识到：防火墙并不是“包治百病〞的，它对于一些特殊的攻击或其他行为有时也无能为力。所以，我们也应该了解其技术方面的一些局限性，毕竟没有任何一种技术能绝对保证平安。首先，防火墙技术最突出的缺点在于不能防*跳过防火墙的各种攻击行为。这其中比较典型的就是难以防*来自网络内部的恶意攻击。“堡垒往往容易从内部攻破〞这句话用于防火墙再适宜不过了。因此，用户在构建好防火墙的同时，也不要忘记了防火墙内的平安保障。其次，防火墙技术的另外一个显著缺乏是无法有效地应付病毒。当网络内的用户在外网中的含有病毒的数据时，防火墙无法区分带毒数据与正常数据，内部网络随时都有受到病毒危害的可能，防火墙技术的这个缺点给网络带来很大的隐患。另外，由于防火墙技术的自身不断开展，其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统，其软、硬件在开展过程中必然也有其自己的bug和漏洞，所以各种故障和因漏洞所遭受的各种攻击也不可防止。防火墙的技术原理与杀毒软件类似：先出现病毒，杀毒软件获得病毒的特征码，将其参加到病毒库内来实现查杀。防火墙的防御、检测策略，也是在发生攻击行为后分析其特征而设置的。如果出现新的未知攻击行为，防火墙也将束手无策。最后，防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包，所以当数据流量较大时，容易导致数据拥塞，影响整个网络性能。严重时，如果发生溢出，就像大坝决堤一般，无法阻挡，任何数据都可以来去自由了，防火墙也就不再起任何作用。1.5防火墙的未来开展趋势尽管罗列了这么多防火墙技术的局限性，但防火墙在网络平安中所扮演的重要角色是不可撼动的。未来的防火墙开展朝高速、多功能化、更平安的方向开展。实现高速防火墙，可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络平安功能，入侵检测、防病毒、防御拒绝效劳攻击等平安技术都可以模块形式安装到防火墙的机箱内。既节省珍贵的机柜空间，又能为企业节约一局部平安支出，更主要的是可以实现网络平安设备之间的联动。防火墙将会更加的行业化。任何一种防火墙只是为内部网络提供平安保障，但网络平安不能完全依赖于防火墙，还需要加强内部的平安管理，完善平安管理制度，提高用户的平安意识，从而形成全方位的平安防御体系。

2防火墙技术在校园网中的应用随着高校信息化进程的推进，学院校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。校园网的效劳器群构成了校园网的效劳系统，主要包括DNS、虚拟主机、贾eb、FTP、视频点播以及Mail效劳等。校园网通过不同的专线分别接入了教育网、电信网和党政网。随着学院网络出口带宽不断加大，应用效劳系统逐渐增多，校园网用户数烈剧上升，网络的平安也就越来越严竣。2.1校园网防火墙部署防火墙是网络平安的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的平安性，并通过过滤不平安的效劳而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更平安。在防火墙设置上我们按照以下原则配置来提高网络平安性：〔1〕根据校园网平安策略和平安目标，规划设置正确的平安过滤规则，规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等工程，严格制止来自公网对校园内部网不必要的、非法的。总体上遵从“不被允许的效劳就是被制止〞的原则。〔2〕将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防*源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。〔3〕在防火墙上建立内网计算机的IP地址和以C地址的对应表，防止IP地址被盗用。〔4〕在局域网的入口架设千兆防火墙，并实现VNP的功能，在校园网络入口处建立第一层的平安屏障，VPN保证了管理员在家里或出差时能够平安接入数据中心。〔5〕定期查看防火墙日志，及时发现攻击行为和不良上网记录。〔6〕允许通过配置网卡对防火墙设置，提高防火墙管理平安性。2.2校园网防火墙配置默认情况下，所有的防火墙都是按以下两种情况配置的：〔1〕拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。〔2〕允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为平安选项。一旦你安装防火墙后，你需要翻开一些必要的端口来使防火墙内的用户在通过验证之后可以系统。换句话说，如果你想让校园网用户能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。2.3校园网防火墙构造在网络拓扑构造上校园网可以有两种选择，这主要根据其拥有的网络设备情况而定。如果原来已有边界路由器，则可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公共效劳器