防火墙技术论文范文1
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
防火墙技术论文范文2
关键词:网络安全;防火墙;技术特征
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。
一、网络安全的产品特点
从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。
就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。随着新技术的不断发展,安全产业也将会不断发生变化。国家发展过程中,必须面临信息安全问题,这个问题十分重要。国家要站在系统论的战略高度,系统地考虑这个事情,应该从技术、产业以及政策等若干方面着手和发展。
二、防火墙技术
防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。
眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。
1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。
在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统? 假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。
防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。
三、防火墙产品的类型
防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、以及监测型。
(一)包过滤型
防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输的数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。
(二)网络地址转化——NAT
经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络,也称为地址转换。在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。如此一来,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。
(三)型
型防火墙,也叫服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且型防火墙开始在应用层有所作为。该类型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给服务器。按照此请求,服务器再从服务器申请想要的数据,之后,数据被经由服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。
(四)监测型
新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。
同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。
四、结束语
眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。
参考文献:
[1]陆树芬.网络安全中防火墙的作用[J].中国电子商务,2009,11
[2]黄金波,殷诚.计算机网络基础与应用[M].北京:北京交通大学出版社,2007
防火墙技术论文范文3
【关键词】网络安全,防火墙,技术特征
随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。
一、网络安全的产品特点
从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。
就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。
二、防火墙技术
防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。
眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。
1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。
在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统?假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。
防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。
三、防火墙产品的类型
防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、以及监测型。
1、包过滤型。
防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。
2、网络地址转化—NAT。经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络,也称为地址转换。在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。这样,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。
3、型。型防火墙,也叫服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且型防火墙开始在应用层有所作为。该类型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给服务器。按照此请求,服务器再从服务器申请想要的数据,之后,数据被经由服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。
4、监测型。新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。
同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。
四、结束语。
眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。
参考文献:
防火墙技术论文范文4
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
防火墙技术论文范文5
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
防火墙技术论文范文6
[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
一、包过滤型防火墙的攻击
包过滤技术是一种完全基于网络层的安全技术,只能根据packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。
包过滤防火墙是在网络层截获网络packet,根据防火墙的规则表,来检测攻击行为。根据packet的源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口来过滤。wwW.133229.cOM所以它很容易受到如下攻击。
(一)ip欺骗
如果修改packet的源,目的地址和端口,模仿一些合法的packet就可以骗过防火墙的检测。如:我将packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。
这种攻击应该怎么防范呢?
如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。
eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的packet,那么这种直接到达eth1的伪造包就会被丢弃。
(二)分片伪造
分片是在网络上传输ip报文时采用的一种技术手段,但是其中存在一些安全隐患。ping of death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。
在ip的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有tcp端口号的信息。当ip分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。
那我们先发送第一个合法的ip分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器tcp/ip堆栈来说,它还是能够正确重组的。
二、nat防火墙的攻击
这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同nat后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为udp打洞技术。
udp打洞技术允许在有限的范围内建立连接。stun(the simple traversal of user datagram protocol through network address translators)协议实现了一种打洞技术可以在有限的情况下允许对nat行为进行自动检测然后建立udp连接。在udp打洞技术中,nat分配的外部端口被发送给协助直接连接的第三方。在nat后面的双方都向对方的外部端口发送一个udp包,这样就在nat上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的udp通信了。
但是udp连接不能够持久连接。udp是无连接的并且没有对谁明确的通信。一般地,nat见了的端口映射,如果一段时间不活动后就是过期。为了保持udp端口映射,必须每隔一段时间就发送udp包,就算没有数据的时候,只有这样才能保持udp通信正常。另外很多防火墙都拒绝任何的外来udp连接。
由于各方面原因,这次没有对建立tcp的连接做研究,估计是能连接的。
三、防火墙的攻击
防火墙运行在应用层,攻击的方法很多。这里就以wingate为例。 wingate是以前应用非常广泛的一种windows95/nt防火墙软件,内部用户可以通过一台安装有wingate的主机访问外部网络,但是它也存在着几个安全脆弱点。
黑客经常利用这些安全漏洞获得wingate的非授权web、socks和telnet的访问,从而伪装成wingate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
导致wingate安全漏洞的原因大多数是管理员没有根据网络的实际情况对wingate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:
(一)非授权web访问
某些wingate版本(如运行在nt系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用wingate主机来对web服务器发动各种web攻击( 如cgi的漏洞攻击等),同时由于web攻击的所有报文都是从80号tcp端口穿过的,因此,很难追踪到攻击者的来源。
检测wingate主机是否有这种安全漏洞的方法如下:
(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。
(2)把浏览器的服务器地址指向待测试的wingate主机。
如果浏览器能访问到因特网,则wingate主机存在着非授权web访问漏洞。
(二)非授权socks访问
在wingate的缺省配置中,socks(1080号tcp端口)同样是存在安全漏洞。与打开的web(80号tcp端口)一样,外部攻击者可以利用socks访问因特网。
(三)非授权telnet访问
它是wingate最具威胁的安全漏洞。通过连接到一个误配置的wingate服务器的telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。
检测wingate主机是否有这种安全漏洞的方法如下:
1)使用telnet尝试连接到一台wingate服务器。
[root@happy/tmp]#telnet172.29.11.191
trying172.29.11.191….
connectedto172.29.11.191.
escapecharacteris'^]'.
wingate>10.50.21.5
2)如果接受到如上的响应文本,那就输入待连接到的网站。
3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。
connectedtohost10.50.21.5…connected
sunos5.6
login:
其实只要我们在wingate中简单地限制特定服务的捆绑就可以解决这个问题。
四、监测型防火墙的攻击
一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!
(一)协议隧道攻击
协议隧道的攻击思想类似与vpn的实现原理,攻击者将一些恶意的攻击packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。
比如说,许多简单地允许icmp回射请求、icmp回射应答和udp分组通过的防火墙就容易受到icmp和udp协议隧道的攻击。loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应ip分组)嵌入在icmp或udp包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。
由于许多防火墙允许icmp和udp分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。
(二)利用ftp-pasv绕过防火墙认证的攻击
ftp-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如checkpoint的firewall-1,在监视ftp服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的tcp连接。
攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。
五、通用的攻击方法
(一)木马攻击
反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。
说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。
(二)d.o.s拒绝服务攻击
简单的防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。
land(land attack)攻击:在land攻击中,黑客利用一个特别打造的syn包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送syn-ack消息,结果这个地址又发回ack消息并创建一个空连接,每一个这样的连接都将保留直到超时,在land攻击下,许多unix将崩溃,nt变得极其缓慢。
ip欺骗dos攻击:这种攻击利用tcp协议栈的rst位来实现,使用ip欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的tcp数据,伪装自己的ip为a.a.a.a,并向服务器发送一个带有rst位的tcp数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
六、结论
我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。
在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。
参考文献:
[1]w.richard as.tcp/ip详解 卷一:协议[m].机械工业出版社,2000.
[2]黎连业,张维.防火墙及其应用技术[m].北京:清华大学,2004.
[3]marcus goncalves. 防火墙技术指南[m].北京:机械工业出版社,2000.
