防火墙技术的基本原理范文1
【关键词】防火墙 历程 功能 升级换代 趋势
秦皇岛市广播电视台门户网站在2014年上半年对原有防火墙系统进行了升级换代,本文结合网站防火墙的升级换代工作,对防火墙技术进行了探讨。
1 防火墙的概念和发展历程
1.1 防火墙的概念
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是一种非常有效的网络安全模型。防火墙不只是用于因特网,也用于部门网络之间。
1.2 防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个阶段。
20世纪80年代初,最早的防火墙几乎与路由器同时出现,是依附于路由器的静态包过滤功能实现的防火墙。
1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙;
20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做防火墙);
1994年,以色列的CheckPoint公司推出了基于动态包过滤技术的第四代防火墙;
1998年,NAI公司推出了一种自适应技术,可以称之为第五代防火墙。
2 防火墙的分类及其主要功能
防火墙可以是一种硬件、固件或者软件,专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而服务器等软件就是软件形式的防火墙。
2.1 防火墙的分类
根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和防火墙。
(1)静态包过滤防火墙
根据数据包头信息和过滤规则,阻止或允许数据包通过防火墙。
(2)应用防火墙
检查数据包的应用数据,根据安全规则禁止或允许某些特殊的协议命令;还具有其他类似于URL过滤,数据修改,用户验证,日志等功能。
(3)入侵状态检测防火墙(动态包过滤防火墙)
根据过去的通信信息和其他应用程序获得的状态信息,动态生成过滤规则,根据新生成的过滤规则过滤新的通信。当通信结束时,过滤规则将自动从规则表中删除。
(4)自适应防火墙
这种防火墙整合了动态包过滤防火墙技术和应用技术,本质上是状态检测防火墙。其同时具有防火墙和状态检测防火墙的特性,即保证了安全性又保持了高速度,这次秦皇岛广播电视台门户网站升级的防火墙就是这种防火墙。
2.2 防火墙的功能
防火墙主要有以下几方面功能:
(1)创建一个阻塞点,通过这个阻塞点防火墙设备就可以监视、过滤和检查所有进出的流量。
(2)隔离不同网络,防止内部信息的外泄。
(3)通过以防火墙为中心的安全方案配置,强化网络安全策略。
(4)有效地审计和记录内、外部网络上的活动。
3 秦皇岛市广播电视台门户网站防火墙的升级换代
3.1 防火墙的需求
根据这些年秦皇岛市广播电视台门户网站实际应用和未来发展的需要,对防火墙的基本功能需求如下:
(1)先进的认证手段,可以安装认证方法。
(2)能运用过滤技术允许和禁止服务,集中和过滤拨入访问,可以根据数据包的性质进行包过滤;拥有界面友好、易于编程的语言。
(3)支持FTP和Telnet等服务, 包含NNTP、XWindow、HTTP和Gopher等服务程序。
(4)具有精简日志的能力,可以记录网络流量和可疑的活动。
(5)防火墙应该有网络地址转换功能(NAT)、双重DNS、虚拟专用网络(VPN)。
(6)能为用户提供完整的安全检查功能,为用户管理时记录、改进和追踪等安全操作提供便利。
(7)防火墙便于管理和使用,并且自身安全措施完备。
(8)售后服务完善,保证用户能及时堵住新的安全漏洞。
根据这些需求,我们经过多方考证接触,基本圈定交大捷普和东大软件两家公司的产品和服务。再经过与交大捷普和东大软件的深入沟通探讨,结合产品报价和售后服务,最后决定引进东大软件推荐的深信服硬件防火墙。
3.2 防火墙的安全构建
3.2.1 基本准则
此次秦皇岛市广播电视台门户网站防火墙系统的升级换代是基于“未经说明许可的就是拒绝”这个基本准则而设置的。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
3.2.2 安全策略
在一个内网中,内网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。根据秦皇岛市广播电视台门户网站对外提供的服务,确定了各个服务器的IP、应用及开放端口,在防火墙上实施。
3.2.3 构建费用
此次对防火墙系统升级换代的构建费用合计:5.54万元,其中防火墙4.6万元,交换机0.38万元,检测工作站0.56万元。
4 防火墙的发展趋势
(1)防火墙将向远程集中管理的方式发展。
(2)IP的加密需求越来越强,安全协议的开发是一大热点。
(3)单向防火墙将作为一种产品门类而出现。
5 结束语
秦皇岛市广播电视台门户网站的防火墙升级换代之后,网站服务器的安全性有较大的改善,有效的拦截了来自Internet外部对服务器的攻击,节省了网站带宽和服务器资源,提高了用户体验和访问速度。但是,没有一种技术可以百分之百地解决网络上的所有问题,防火墙只是整体安全防范策略的一部分,仅有防火墙是不够的,防火墙还处于发展阶段,仍有许多问题需要解决。因此,网络安全不能单靠防火墙,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。
参考文献
[1]聂元铭,丘平.网络信息安全技术[M].北京:科学出版社,2001.
[2]王蓉,林海波.网络安全与防火墙技术[M].北京:清华大学出版社,2000.
[3]阎惠,王伟,宁宇鹏,防火墙原理与技术[M].北京:机械工业出版社,2004,48-54.
[4]黎连业,张维.防火墙及其应用技术[M].北京:清华大学出版社,2004.
防火墙技术的基本原理范文2
关键词:网络安全;防火墙技术;防火墙应用
中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003
0引言
随着网络的迅速普及,网络安全问题也日益突出。虽然网络安全技术得到了迅速发展,但网络安全问题也增加了新的内容 ,主要是由网络的开放性、无边界性、自由性造成的,包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务,如TELNET NFS,DNS,Active X 等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击,追查比较困难,因为攻击可以来自Internet的任何地方。
目前,保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一,成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来,防火墙产品多,更新快,且不断有新的信息安全技术应用到防火墙的开发上,如服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。
那么,什么是防火墙呢?在古代,人们在构筑木制结构房屋时,常在住所之间砌一道砖墙,防止火灾蔓延。在网络中,防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网,犹如一道护栏,置于不安全的非信任的网络与被保护网络之间,阻断外部对内网的威胁和入侵,保护内网的安全。
一般来说,防火墙是一种置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制(包括允许、拒绝、记录和监视)通过网络的访问行为,是一种高级的访问控制设备。狭义上,防火墙是指装了防火墙软件的路由器系统或者主机;广义上,防火墙是指整个网络的安全行为和安全策略。
1防火墙的发展
1986年,在Internet上,美国Digital公司安装了全球第一个防火墙系统。这之后,防火墙产品成为安全领域发展最快的安全技术产品之一,它先后经历了如下发展阶段:
第一代防火墙,又称为包过滤路由器或屏蔽路由器,是基于路由器的防火墙,通过检查经由路由器的数据包的地址(源地址、目的地址)、端口号(源端口号、目的端口号)、协议等参数,来决定是否让数据包通过,如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击,而且审计功能差。
第二代防火墙,是用户化的防火墙工具套,它用来提供应用服务级的控制,起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难,且的时间延迟也较大。
第三代防火墙,是建立在通用操作系统上的商用防火墙产品,有以硬件方式实现的,也有以纯软件方式实现的。采用这种防火墙,用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。
第四代防火墙,是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中,同时也采用了一些主动的网络安全技术,比如网络安全性分析、网络信息安全监测等。总之,它将网关和安全系统合二为一。
2防火墙的基本类型
按使用技术,防火墙主要分为包过滤型防火墙(又可分为静态包过滤、状态动态检测包过滤)、应用、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。
2.1按使用技术分类
2.1.1包过滤型防火墙
静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表,在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑,在收到网络数据包后,检查数据流中的每个数据包,根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素,以确定是转发还是丢弃,它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关,所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。
状态动态检测包过滤防火墙直接对数据分组进行处理,而且结合前后的数据分组进行综合判断,来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务,并能动态地打开服务端口,且能减少端口的开放时间。所以状态动态检测防火墙安全性高,能够检测所有进入防火墙网关的数据包,并能根据通信和应用程序状态确定是否允许包的通行。它性能高,在数据包进入防火墙时就进行识别和判断;伸缩性好,可以识别不同的数据包;已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等,用户可方便添加新应用,而且对用户、应用程序透明。
2.1.2应用型防火墙
型防火墙,又可分为电路级和应用级。
应用技术是在网络的应用层提供网络数据流保护功能,用来过滤应用层的服务,是内部网与外部网的隔离点,起着内外网之间申请服务时的中间转接作用,监视并隔绝应用层的通信流。应用服务是运行在防火墙主机上的特殊的应用程序或者服务器程序,不同服务的功能需要开发不同的服务程序,而对大多数服务来说,要求要有合适的服务器软件。由于提供替代连接并充当服务的网关,所以,应用有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是,它的速度比包过滤慢,且对用户不透明,对于一些服务不适用,而且不能保护所有协议。
电路级适用于多个协议,能接收客户端的各种服务请求,建立一个回路,对数据包只起转发的作用,工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置,并能隐藏内网的信息,但它不能识别同一个协议栈上运行的不同应用程序。
2.1.3复合型防火墙
所谓复合型防火墙,就是将包过滤和服务整合在一起使用,以实现如网络安全性、性能和透明度的优势互补。复合型防火墙,可以检查整个数据包的内容,并根据需要建立状态连接表,网络层和应用层的保护强,会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等,突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及服务技术是未来防火墙的趋势。
2.1.4核检测防火墙
核检测防火墙,检查整个数据包,当数据包到达防火墙时,建立连接状态,重写会话,检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强,而且前后报文有联系,上下文相关。
2.2按实现方式分类
硬件防火墙,是指采用ASIC芯片设计实现的复杂指令专用系统,它的指令、操作系统、过滤软件都采用定制的方式,一般采取纯硬件设计即嵌入式或者固化计算机的方式,而固化计算机的方式是当前硬件防火墙的主流技术,通常将专用的Linux操作系统和特殊设计的计算机硬件相结合,从而达到内外网数据过滤的目的。
软件防火墙,一般安装在隔离内外网的主机或服务器上,一般来说,这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙,俗话叫“个人防火墙”,因为它是装在个人主机上的,只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。
3防火墙的主要功能
防火墙能提高网络、主机(主机群)以及应用系统的安全性,它主要有以下功能:
(1)网络安全的屏障。对网络存取和访问进行监控和审计,提供内部网络的安全性,过滤不安全的服务,对网络攻击进行检测和报警,比如说,它可以禁止NFS(网络文件系统)服务。把防火墙作为网络通信的阻塞点,为网络安全起到了把关的作用,所以,我们就可以把网络安全防范集中在这个阻塞点上。
(2)强化网络安全策略。通过集中的安全管理,在防火墙上可以实现安全技术应用(加密、身份鉴别与认证、口令密码等),过滤掉不安全的服务和非法用户。
(3)防止内部信息外泄。对于内部网络,可以根据不同的服务设置不同的安全级别,从而实现内部重点网段的隔离与保护,限制敏感的安全问题影响整个网络。
(4)限制暴露用户。封堵禁止的访问行为,有效记录Internet上的活动,管理进出网络的访问行为。
(5)实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。
虽然,防火墙能对网络威胁起到极好的防范作用,但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等,防火墙也是无能为力的。
4防火墙的设计策略
防火墙的设计策略是基于特定的防火墙,通常有两种基本的设计策略:限制策略,拒绝任何服务除非被明确允许;宽松策略,接受任何服务除非被明确禁止。第一种相对保守,也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。
在配置防火墙时,必须要遵循一定的原则,首要的原则是安全且实用。从这个角度,在防火墙的配置过程需要坚持3个原则:①简单实用,越简单,越容易理解和使用,越不容易出错,管理也越可靠、简便;②全面深入,只有采用全面的、多层次的防御战略体系才能实现真正的系统安全,系统地对待整个网络的安全防护体系,使各方面的配置相互加强,进而从深层次上保护整个系统;③内外兼顾,每种产品都有它的主要功能定位,在配置时要针对具体的网络环境进行配置,不必对每一种功能都进行配置。
在站点上配置安全策略,防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型,可以提供软件,也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务,如过滤垃圾邮件、限制外部访问,只允许他们访问本地web服务器的一些信息等。
在大型网络系统中,可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。
防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。
5防火墙的选型和实施
5.1选型原则
防火墙产品众多,如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术,都有自己的定位,让用户眼花缭乱,难以选择。一般来说,防火墙选型时的基本原则有以下几点:
安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此,选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。
明确投资范围和标准,以此来衡量防火墙的性价比。
在相同条件下,比较不同防火墙的各项指标和参数。
综合考虑安全管理人员的经验、能力和技术素质,考查防火墙产品的管理和维护的手段与方法。
根据实际应用的需求,了解防火墙附加功能的定义和日常系统的维护手段与策略。
5.2防火墙的测试与管理
为更好地了解防火墙产品的特点,选择适合自己应用需求的产品,必须先对防火墙产品进行测试,测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中,管理是网络安全的关键,功能是防火墙应用的基础,性能保证了网络的传输效率,而抗攻击能力是网络安全的保证。
选择安装适合的防火墙后,还要对防火墙进行管理与维护,目的是为了让防火墙正常发挥作用,并延长使用寿命。这要求管理维护人员必须接受一定的专业培训,且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测,及时发现问题,堵上漏洞;保证通信线路畅通,当发生网络安全问题时能及时报警,并及时处理;与厂家保持联系,及时获得防火墙有关的升级与维护信息。
6结语
防火墙虽是一项比较成熟的产品,但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能,是网络安全人员面临的一个艰巨课题。
参考文献:
[1]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.
[2]杨文虎.网络安全技术与实训[M].北京:人民邮电出版社,2011.
防火墙技术的基本原理范文3
关键词:计算机网络,防火墙,信息,技术
随着计算机网络的发展,各行各业的网络新技术也不断涌现并得到广泛应用。然而病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙是防御网络信息遭受攻击的有效技术之一。
一、防火墙的概念
防火墙是指设置在不同网络之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,是提供信息安全服务,实现网络和信息安全的基础设施。
当今的防火墙所采用的安全策略有很多种,不同的防火墙侧重点不同。在设置防火墙之前必须明确该防火墙所要保护的网络系统的数据需求,确定允许那些类型的信息通过防火墙,那些信息必须阻止,然后由防火墙对外部网络与内部网络之间交换的信息进行检查,符合设置条件的予以放行通过,不符合设置条件的则拒之门外。
二、常用构建防火墙技术的分析与研究
防火墙通常采用的技术有分组过滤技术、应用层网关技术和服务技术等。
1、分组过滤技术的基础是网络中的分包传输技术。网络上的数据是分组以“包”的形式传输的,每个数据包都包含数据的源地址、目标地址、TCP/UDP源端口和目标端口等等信息。分组过滤技术就是依据系统内预设的过滤逻辑条件,检查数据流中的每组数据,根据数据包的源地址、目标地址、TCP/UDP源端口号和目的端口号以及数据包头中的标志位来确定是否允许通过,拒绝来源于非安全站点的数据。采用这种技术的防火墙其核心在于过滤算法的设计。例如:在以太网中,得到的数据包大致是如下结构:以太帧头14个字节,放在PUCHAR 结构数组的第0个元素到第13个元素中,其中前六个字节是目的MAC地址,之后是六个字节源MAC地址,最后两个字节是协议类型,通常的协议类型有0x08 0x00->IP,0x08 0x06->ARP,0x08 0x35->RARP,所以,可以通过数组的第12个元素和第13个元素来判断协议类型,过滤规则就是在这个基础之上建立。如果要过滤特定协议,只要在相应的字节读取数据,判断是否符合要过滤的规则即可。
分组过滤技术的优点是逻辑简单、速度快、易于安装和使用, 网络性能和透明性好且价格便宜,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙不需要很多额外的费用。
分组过滤技术的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
2、应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制的输入输出通信环境进行严格控制,以防止内部数据被窃取。另外,应用层网关还负责对网络交流的信息进行记录,比如:用户登录的时间,登录的网址,用户频繁使用的网络界面等。数据包过滤和应用网关防火墙有一个共同的特点,它们都是依靠特定的逻辑判定来决定是否允许数据包通过。。如果满足逻辑条件,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。。
应用网关技术的优点是可以在LAN 机器上被透明配置、保护在一个或多个外部 IP 地址之后的许多机器,简化管理任务、用户到LAN 的出入可以通过打开和关闭 NAT 防火墙/网关上的端口来限制。
应用网关技术的缺点是一旦用户从防火墙外连接了服务,则无法防止其蓄意活动。
3、服务技术
服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的'链接', 由两个终止服务器上的'链接'来实现,外部计算机的网络链路只能到达服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
服务技术的优点是使管理员拥有对LAN 之外的应用程序和协议功能的控制权、某些服务器可以缓存数据,因此当客户存取频繁请求的数据时,这些数据就可以从本地缓存调出而不必使用互联网连接,这有助于减少不必要的带宽用量、服务可以被密切地监视和记录,从而允许在网络资源用量方面进行更严格的控制。
服务技术的缺点是通常是应用程序特有的(HTTP、telnet 等)或在协议方面有限制的(多数只能用于 TCP 连接的服务)、应用程序服务无法在后面运行,因此用户的应用程序服务器必须使用另一种网络保安措施、可能会成为网络的瓶颈,因为所有的请求和传输都要经过一个中介而不是让客户直接连接远程服务。
三、防火墙技术的发展趋势
未来防火墙系统将从高效和高速两个角度去发展。
防火墙的几种基本类型各有优点和不足之处,所以将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足就是防火墙技术发展的一个重要的方向,例如,我们在对传输层面的数据包特性进行过滤的同时,也对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力提高防火墙的工作效率。
另外无论采用怎样的技术手段设计的防火墙,都必须设置日志系统,这样才能方便地追踪过去网络中发生的事件。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,较多的防火墙系统的日志都采用文本方式记录网络事件。而文本方式的每一个字符都需要占用一个字节,对带宽消耗很大。如果直接采用二进制数据记录日志可以大大减小数据传送量。所以,支持二进制格式的日志数据库,是未来防火墙日志和日志服务器软件的发展方向。
新型的防火墙系统还需要与移动设备有机地结合,当网络防火墙所保护的网络系统遭到攻击时,可以通过移动设备及时得到通知,在第一时间作出应急处理,以保护数据安全,将损失降到最低。
四、结束语
防火墙技术已经广泛地应用到政府机关、医疗卫生、金融业、零售、远程通讯等行业,但是选择哪一种防火墙技术来保障网络安全,是用户需要深入研究的问题。。期望通过本文的探讨和研究,能够帮助各行业用户根据各自的网络应用特性正确选择应用防火墙。
参考文献:
防火墙原理与技术阎慧
Internet 安全与防火墙[美]普端萨姆
The Defence Strategy In Network Security
防火墙技术的基本原理范文4
关键词:职业岗位;项目化;四维一体模式;教材建设
中图分类号:G642 文献标识码:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2 教材建设的依据(The basis of textbook construction )
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3 《防火墙技术》教材建设的依据(The basis of textbook construction on firewall technology)
3.1 吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2 融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3 项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4 教材开发(The development of textbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5 结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1] 李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2] 刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3] 杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4] 王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5] 王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
作者简介:
防火墙技术的基本原理范文5
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
防火墙技术的基本原理范文6
关键字:计算机网络; 网络安全; 防火墙技术
一、前言
企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。
针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。
二、防火墙技术概述
1.防火墙的基本概念
防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
2.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙
的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的
通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
3.防火墙的功能
一般来说,防火墙具有以下几种功能:
①能够防止非法用户进入内部网络。
②可以很方便地监视网络的安全性,并报警。
③可以作为部署 NAT(Network Address Translation,网络地址变换)的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。
④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署 WWW服务器和 FTP 服务器,将其作为向外部内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
4.防火墙的分类
①包过滤型防火墙,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
②服务器型防火墙
服务器型防火墙通过在主机上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的服务器进程,它代替网络用户完成特定的TCP/IP功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。
③复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
三、办公网络防火墙的设计
1.防火墙的系统总体设计思想
1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
1.2制定网络安全策略 在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
1.4设计服务
服务器接受外部网络节点提出的服务请求,如果此请求被接受,服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。
1.5 严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于DOD ( Department of Defense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP, UDP、ICMP, IP Tunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。
本例中网络环境为:内部网络使用的网段为192.168.1.0, eth0为防火墙与Internet接口的网卡,eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下:
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW, FTP, Telnet, SMTP等.我们以WWW包过滤为例,来分析这类数据包过滤的实现.
WWW数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器,(假定其IP地址为192.168.1.11)。
要实现上述WWW安全规则,设置WWW数据包过滤为,在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙eth 1端允许所有来自内部网络WWW数据包通过。
#Define HTTP packets
#允许Internet客户的WWW包访问WWW服务器
/sbin/ipchains-A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.11/32 www -i eth0 –j ACCEPT
/sbin/ipchains-A input -p tcp -s 0.0.0.0/fl 1024:-d 192.168.1.11132 www -i eth0 –j ACCEPT
#允许WWW服务器回应Internet客户的WWW访问请求
/sbin/ipchains-A input-ptcp -s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT
/sbin/ipchains-A input -p udp -s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT
显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。
与此相似,我们可以建立起与FTP, Telnet, SMTP等服务有关的数据包检查规则;
2.2与服务无关的安全检查规则
这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点:
①数据包完整性检查(Tiny Fragment ):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP ; always defrayments set to‘y’。 REDHAT检查进人的数据包的完整性,合并片段而抛弃碎片。
②源地址IP ( Source IP Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。
③源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包。
总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。
参考文献
[1]张 晔,刘玉莎 . 防火墙技术的研究与探讨[J] . 计算机系统应用, 1999
[2]王丽艳 . 浅谈防火墙技术与防火墙系统设计 . 辽宁工学院学报 . 2001
[3]郭伟 . 数据包过滤技术与防火墙的设计 . 江汉大学学报 . 2001
[4]Anthony Northup. NT Network Plumbing: Routers, Proxies, and Web Services [M].
