1、防火墙浅析本文由 alpengold 贡献doc 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT,或下载源文件到本机查看。防火墙技术分析 防火墙技术分析摘要: 摘要:防火墙是网络安全的重要组成部分。本文首先叙述了防火墙的概念、分类,然后说明了防火墙的作 用及其设计策略,最后分析了防火墙目前的存在的优缺点及未来的发展趋势。 关键字:关键字:防火墙,网络安全,安全策略Ate Analysis of Firewall TechnologyAbstract:The firewall is an important part of network security. This article
2、 first elaborates the conception and categories of Firewall, then describes the firewalls functions and design strategy. In the end, we analyses the firewalls advantage, disadvantage and its future development trend. Keyword:Firewall, network security, security policy1. 防火墙概述随着信息处理技术的发展, 互联网已经在全球普及,
3、 越来越多的工作需要依赖网络才能 完成。 互联网以其开放性和信息传递的迅速性给人们的生产生活带来了许多便利, 但同时带 来的风险也不可忽视。随着人们对互联网的依赖性加深,网络入侵、网络攻击所带来的损失 也越来越大,防火墙是防御网络入侵和攻击的重要技术手段之一。1.1 基本概念所谓防火墙(Firewall)是指一种将内部网和公众网络(如 Internet)分开的方法,它实 际上是一种隔离技术,是在两个网络通信时执行的一种访问控制手段1。它作为两个网络间 信息通信的通道, 可以根据用户设定的安全标准来判断是否让信息通过这个关口, 从而达到 保护用户网络的目的。 概括地说,防火墙具有以下 3 个基本
4、特性: 1) 位置特性: 所有在内部网和公众网络间传递的信息都要经过防火墙, 也就是说防火 墙是这些信息的唯一出入口, 这从位置上决定了它是保护用户网络安全的一个重要 前提。2) 工作原理特性: 它可根据一定的安全策略来判断是否让相关信息在内部网和公众网 络间传递,只有经过授权的信息才可以通过防火墙。 3) 保护用户网络的先决条件: 防火墙本身必须是建立在一个安全的操作系统上, 且有 非常强的抵御网络入侵及网络攻击的能力。1.2 防火墙分类根据不同的分类标准,防火墙所分的类别也不同。 根据实现原理的不同可分为:数据包过滤路由器防火墙、应用层网关防火墙、电路层网 关防火墙。 根据基于防火墙的硬件
5、环境来分为:基于路由器的防火墙、基于主机的防火墙。 根据防火墙的功能来分,可分为:FTP 防火墙、Telnet 防火墙、E-mail 防火墙、病毒防 火墙、个人防火墙等。11.2.1 数据包过滤路由器防火墙网络中的数据都是以包的形式传递的,通过检查包内所包含的 IP 头、源地址、目标地 址等信息,可以选择是否让这个包通过,只有满足过滤规则的包才会被允许通过。包过滤技 术在网络应用层上实现,它可能在进入、输出或两个时刻都进行,它可以有效地组织一些内 部人员对受限站点的访问。 数据包过滤可以控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控 制传输的数据内容1,因此,它的优点就是速度快
6、、效率高,只要在关键位置设置好就能达 到保护整个网络的效果,且对用户是透明的,缺点就是配置比较复杂,且过滤时不能检查所 传输的具体内容,很容易就会被包中假冒的 IP 头等信息迷惑,从而达不到过滤的效果。 包过滤的模型图见图 1.1 包过滤模型图1。图 1.1 包过滤模型图11.2.2 应用层网关防火墙应用层网关防火墙与数据包过滤路由器防火墙一样, 工作于应用层, 但是它针对每一个应用都有一个程序,主要特点是有状态性。它可以分析数据包并形成相关报告,详细记录下 数据包的访问情况,从这一点上看,它比数据包过滤路由器防火墙更可靠。 应用层网关防火墙的优点是相较于数据包过滤路由器防火墙来说更容易配置也
7、更安全, 它所提供的代理服务可以有效地保护内部主机, 还能够提供详细的日志信息。 但它同样存在 一些缺点:它会使用户访问网络的速度变慢,且需要安装专门的客户端软件,兼容性也存在 一些问题。 应用层网关防火墙的工作原理与结构见图 1.2 应用层网关防火墙的工作原理与结构图2。图 1.2 应用层网关防火墙的工作原理与结构图21.2.3 电路层网关防火墙电路层网关防火墙工作在传输层上,它不能过滤数据包,对数据包只起转发作用。它的 工作原理是: 网关建立两个 TCP 连接, 一个是网关本身和内部主机上的一个 TCP 用户之间, 一个是在网关和外部之际上的一个 TCP 用户之间。一旦两个连接建立起来以后
8、,网关的中 继程序从一个连接向另一个连接转发 TCP 报文,而不检查其内容。其安全功能具体体现在 决定哪些连接时允许的1。 相对于前面叙述的数据包过滤路由器防火墙和应用层网关防火墙来说,电路层网关防火 墙对于数据包的控制性没有那么严密。 但只要对它做出适当的修改, 就可以使它对不同协议 提供服务,因此,它的优点就是适应性强,兼容性较好。2. 防火墙的作用及设计策略 防火墙的作用及设计策略防火墙作为一种抵御网络入侵和网络攻击的重要技术手段, 其最主要的功能及作用就是控制外部网和内部网之间的网络通信,它在 OSI/RM7 层中的 5 层都能设置。2.1 防火墙的作用防火墙的作用主要由以下几个: 1
9、) 隔离不同的网络, 防止内部信息泄露: 防火墙通过对内部网络和外部网络之间访问 的控制来决定从外部访问内网的权限,从而保护内部的信息。 2) 记录和统计内部网络和外部网络上的活动: 因为防火墙是所有内部网和公众网络间 传递的信息所必须经过的一个关口,因此它可以对所有这些信息进行记录和统计, 从而发现问题并报警。 3) 一个安全策略的检查站: 防火墙可以监视和检查所有通过它的网络流量信息, 从而 拒绝可疑的访问。 4) 防止易受攻击的服务:防火墙可以禁止某些易受攻击的服务(如 NFS) 进入或离开 受保护的子网,以防护这些服务不会被外部攻击者利用3。 5) 增强保密性、强化私有权:防火墙通过代
10、理技术可以保护内部网络真实的 IP 信息, 使攻击者在外部网上无法轻易地获得这些信息。 代理技术防火墙工作的示意图见图 2.1 代理技术防火墙工作示意图4。 6) 强化安全策略: 防火墙仅容许被内部网的用户认可的数据通过, 将网络安全进行了 集中的管理,使各种网络安全措施及策略更好更高效地发挥作用。图 2.1 代理技术防火墙工作示意图42.2 防火墙的设计策略想要防火墙能够对更好地发挥保护作用, 必须首先来制定安全策略。 制定一个完善的安 全策略必须要考虑的问题有: 用户需要使用的网络服务有哪些?使用这些服务带来的风险有哪些?抵御这些风险所需要的代价是什么?总而言之, 企业的安全策略就是要在对
11、商务需求 做细致全面分析的基础上来制定的。 防火墙安全策略主要分为两个层次:网络服务访问策略和防火墙安全设计策略1。 网络服务访问策略有:a)不允许从外部的互联网访问内部网络,但从“内”到“外”的 访问是允许的;b)只允许从外部的互联网访问例如邮件服务器之类的特定系统。防火墙只允 许执行 a)和 b)中的一个。它是一种具体到事件的策略,决定了防火墙对那些网络协议或服 务进行过滤。 防火墙安全设计策略有:a)除非特别的拒绝,否则允许所有服务;b)除非特别的允许, 否则拒绝所有服务。一般说来,防火墙必须执行 a)和 b)其中的一种。它是具体针对防火墙 制定相应的规章制度来实施网络服务访问的策略1。
12、 a) 除非特别的拒绝,否则允许所有服务。这种策略相对来说防护能力较弱,因为它默 认情况下除了管理员明确禁止的服务,其他服务都允许,但是管理员不可能考虑到 全部有危险的服务,攻击者很容易就可以利用新的服务或绕过防火墙(如:利用协 议隧道绕过防火墙)来入侵或攻击内部网络。因此,这种策略在一般情况下是不可 取的。 b) 除非特别的允许,否则拒绝所有服务。这种策略默认情况下除了管理员明确规定允 许的服务以外,拒绝其他所有的服务,相较 a)来说更为安全,但是它的要求较为严 格,如果设置不好就会导致一些必要的服务无法使用,给内部网络用户的工作带来 不便。 总之,防火墙安全策略的设定没有一个统一的标准,也
13、不是设定的越严格就越好,关键 是要根据用户的实际情况来“量身定做” ,最终防火墙的好坏还要取决于系统对安全性和灵 活性的要求。3. 未来的优缺点与发展趋势 未来的优缺点与 优缺点防火墙技术的发展经历了基于路由器的防火墙、 用户化的防火墙工具套、 建立在通用操 作系统上的防火墙、 具有安全操作系统的防火墙 4 个阶段, 目前正处于第 4 代防火墙发展阶 段1。3.1 防火墙的优点与不足防火墙将内部网络与外部网络之间隔离开来, 通过一定的安全策略来保护内部网络不受 侵害,它的有点主要有:能对内部网络实行集中的安全管理;能监视、统计并记录所有网络 访问, 并在必要的时候拦截危险性的操作或发出警报;
14、利用防火墙还可以对内部网络进行划 分,从而使问题被局限在一个很小的范围内,防止因为网络的连通性而使问题扩散开来。 但目前防火墙仍然存在一定的局限性: 防火墙为了更好地保护内部网络, 往往会限制很多的网络服务, 因此会禁止一些有用但也存在一定风险的网络服务; 防火墙只能保护内部网 络部受外来攻击者的攻击,但如果攻击者本身是在内部网络的,它就无法起到保护作用;目 前有许多绕过防火墙的攻击手段是它还无法防护的(如:利用协议隧道绕过防火墙) ;不能 防范已感染病毒的文件传输、数据驱动型攻击及一些位未知的网络安全问题。3.2 防火墙的发展趋势 防火墙的未来防火墙的发展应该朝着界面友好,操作简单、高效的方
15、向发展。针对以上所叙述的 防火墙的局限性及发展目标,防火墙可以朝以下三个方向发展。 1) 透明接入技术。对用户透明,不需要设置 IP 地址,以无 IP 方式运行,不让用户觉 察到防火墙的存在,这样就大大简化了用户的操作。 2) 分布式防火墙技术。在各网络、子网、节点间的边界位置设置防火墙,从而形成一 个多层次、多协议,内外皆防的全方位安全体系。 3) 以防火墙为核心的网络信息安全体系。 防火墙是防止网络攻击的重要技术手段, 但 仍有许多安全问题是它不能防护的, 因此需要与其他网络安全产品及服务结合起来 使用,才能进一步保护好内部网络。 总之, 防火墙在发展本身防护技术及完善安全策略的同时, 也
16、要注意与其他说网络 安全产品的兼容与结合,取长补短,更好地发挥它在网络安全防护中的作用。4. 结论随着我国信息化建设的发展和各种网络安全问题的增多, 防火墙已近越来越被人们所重 视, 并在各个领域得到了广泛的应用。 目前防火墙所采用的主要是包过滤技术和代理服务技 术,当然,它还存在一些不足之处,想要更好地防护我的网络,不仅要从技术上、管理上发 展防火墙本身,还要注意它与其他服务及产品的协调发展。参考文献1张仕斌,陈麟.网络安全基础教程M.北京:人民邮电出版社,2009.145166 2崔文斌.防火墙技术原理和展望J.才智, 2010, (02):26 3黎宙.防火墙的作用与缺陷J.微机发展, 2002, (05):9293 4李文杰.浅析防火墙安全技术及发展J.科技信息(科学教研), 2008, (10):6768 5吴海燕,刘宝旭,许榕生.绕过防火墙的攻击手段及其防护技术J.计算机工程与应用,2001, (18):2539 6 裴衣非,贾茹.计算机网络的安全屏障防火墙技术的研究J.科技信息, 2009, (08):364
