前言:中文期刊网精心挑选了防火墙技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
防火墙技术范文1
2、双端口或三端口的结构。新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
3、透明的访问方式。以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4、灵活的系统。系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种机制,一种用于从内部网络到外部网络的连接,另一种用于从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
5、多级的过滤技术。为保证系统的安全性和防护水平,新一代防火墙采用了三级过滤措施,并辅以鉴别手段。在 分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
6、网络地址转换技术(NAT)。新一代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
7、同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。 NAT的另一个显而易见的用途是解决IP地址匮乏问题。
8、Internet网关技术。由于是直接串连在网络之中,新一代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、 Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用改变根系统调用(chroot)作物理上的隔离。
9、在域名服务方面,新一代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主要处理内部网络的DNS信息,另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部份DNS信息。
防火墙技术范文2
关键词:防火墙;配置技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
Brief Analysis Firewall Disposition Technology
ZHENG Wei
(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)
Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.
Key words:Firewall;disposition;technology
1 引言
今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。
但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外,如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。
2 防火墙配置技术
一般来说,防火墙由包过滤(静态的或动态的)和应用网关(或者是电路级网关或者应用级网关)组成,当前主要有:过滤路由器防火墙;主机过滤防火墙;屏蔽子网防火墙;双宿主机防火墙。
2.1 过滤路由器防火墙配置结构
在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于是在单机上实现,形成了网络中的“单失效点”。路由器的基本功能是转发分组,一旦过滤机能失效,被入侵后就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效―安全”型,也违反了阻塞点原理。因此,我们认为这种防火墙尚不能提供有效的安全功能,仅在早期的因特网中应用。
2.2 主机过滤防火墙配置结构
这种防火墙由过滤路由器和运行网关软件的堡垒主机(指一个计算机系统,它是防火墙配置的一部分,并且是一个或数个应用网关的主机,它暴露于来自外部网络的直接攻击之中)构成。该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间。
该主机可完成多种,如FTP、Telnet和WWW,还可以完成认证和交互作用,能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不理想。但是该结构防火墙具有可操作性强、投资少,安全功能容易实现和扩充,因而目前也有比较广泛的应用。
2.3 屏蔽子网防火墙配置结构
该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。简而言之,一个屏蔽子网防火墙就是由两个屏蔽路由器构成,它们是用来创建一个称为屏蔽子网或非军事化区域(DMZ)的外部网络段。DMZ把堡垒主机看成是应用层网关,在堡垒主机上可以运行各种各样的服务器。除了外部服务器,也还有一个被屏蔽路由器所分开的内部网络段,内部服务器可以运行在连接到内部网络段的机器上。如图1所示。
在这种结构下,入侵者要攻击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机,它还必须通过内部网络路由器才能抵达内部网。这样,整个网络安全机制就不会因一点被攻击而全部瘫痪。
这种防火墙把主机的通信功能分散到多个主机组成的网络中,有的作为FTP服务器,有的作为E-mail服务器,有的作为WWW服务器,有的作为Telnet服务器,而堡垒主机则作为服务器和认证服务器置于周边网络中,以维护因特网与内部网络的连接,服务器和认证服务器是内部网络的第一道防线,内部路由器是内部网络的第二道防线,而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部网络的安全风险。
2.4双宿主机防火墙配置结构
在TCP/IP中,多宿主机拥有多个网络接口,每一个接口都连接在物理和逻辑上分离的不同网段上,而且可以在不同的网络段之间转发或路由IP宝,如果在多宿主机中不能转发或路由IP包,则不同的网络段间被隔绝,因此可以用来配置防火墙,使IP路由无效是相对简单和直截了当的任务。
双宿主机是多宿主机中最常见的一个例子,双宿主机是一种拥有两个连接到不同网络上的网络接口的防火墙,一个网络接口连接到外部的不可信任的网络上,另一个网络接口连接到内部的可信任的网络上,如图2所示
这种防火墙的最大的特点在于其IP转发和路由能够被取消,所以IP包不再可能在两个网段之间被路由,应用网关运行在堡垒主机(双宿主机)上,此外,一个屏蔽路由器被特别地放置在堡垒主机和外部网络之间,在这个配置中,堡垒主机的外部网络接口连接到一个外部网段(通过一个屏蔽路由器),屏蔽路由器的目的是保证来自外部网络的任何IP包准确地到达堡垒主机(双宿主机),如果一个包来自其他目标地址,则舍弃这个包。同时在堡垒主机(双宿主机)和内联网之间配置了另外一个屏蔽路由器,是堡垒主机的内部网络接口连接到以另一个屏蔽路由器为宿主的内部网段。
由于双宿主防火墙配置的堡垒主机也可以因为效率原因被复制,因此而得的配置优势叫做并行双宿主防火墙,它可以由几个同时连接到内部或外部网段的堡垒主机构成,在这种情况下,可以在不同的主机上运行各种和SOCKS服务器。
总之,双宿主机防火墙是一种简单而安全的配置,在互联网中被广泛使用,但是对于非标准TCP/IP应用协议没有服务器,双宿主机防火墙配置显得很不灵活了,这对许多WEB站点来说是一个缺点。
3 典型的防火墙结构
建造防火墙时,一般很少采用单一的技术,通常是使用多种解决不同问题的技术组合。这种组合取决于网络管理中心向用户提供什么样的服务,以及网管中心能接受什么等级的风险。采用哪种技术主要取决于经费,制冷的大小或技术人员的技术、时间因素。一般有以下几种形式。
(1)使用多堡垒主机。
(2)合并内部路由器与外部路由器。
(3)合并堡垒主机与外部路由器。
(4)合并堡垒主机与内部路由器。
(5)使用多台内部路由器。
(6)使用多台外部路由器。
(7)使用多个周边网络。
(8)使用双重宿主主机与屏蔽子网。
4 结束语
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
防火墙系统作为一个有效的防范手段,已经得到了广泛的认可和应用,它们为企业部门提供有效的访问控制服务,并且根据不同的组成和配置,形成不同安全等级的网络系统,但是防火墙决不是任何意义上的灵丹妙药,也不是解决所有与网络有关的安全问题的仙丹,其最大的缺点就是不能保护站点或者内联网用户免受来自内部的攻击,因此它们决不能替代企业部门内联网的安全管理。如何进一步从软件和硬件的实现上加强网络安全防范工作已成为一项刻不容缓的亟需解决的现实问题,建立较为完善的网络安全体系,防止各类网络安全事件的发生,正是今后进一步开展研究工作的方向。
参考文献:
[1]Rolf Oppliger,著.杨义先,冯运波,李忠献,译.WWW安全技术.人民邮电出版社,2001.
[2]Wes Noonan,Ido Dubrawsky,防火墙基础.人民邮电出版社.
[3]付爱英.防火墙技术标准教程.北京理工大学出版社,2007.
防火墙技术范文3
关键词:网络安全;防火墙;技术
引言
随着网络的普及和推广,电子商务的规模越来越大,网络安全已经不仅仅是科技人员和少数黑客所涉足的领域,庞大的网络用户也必须进行了解和掌握,以便能够在网络交易中确保自己财产和个人信息的安全,如何更有效的保护重要信息数据,已经成了全世界共同关注的话题,防火墙可以提高和加强网络的安全性,保护当今的网络安全。所以防火墙的基础技术普及是至关重要的。
1 防火墙概述
防火墙是一种将内部网络和公众网络分开的方法,其实它是一种隔离技术,是在两个网络通讯时执行的一种访问控制尺度,最大限度的阻止黑客访问你的网络。
2 防火墙功能特性与分类
主要功能分为访问控制和业务感知:(1)逻辑区域过滤器;(2)隐藏内网网络结构;(3)自身安全保障;(4)主动防御攻击。防火墙按照形态分为硬件防火墙和软件防火墙;按照保护对象可分为单机防火墙和网络防火墙;按照访问控制方式可分为包过滤防火墙、防火墙和状态检测防火墙,TCP-IP层-数据链路层-PC-防火墙-服务器-数据链路层-IP层-TCP层。防火墙组网方式:二层以太网接口(对网络拓扑透明、不需要更改组网);三层以太网接口(支持更多安全特性、对网络拓扑有所影响)
防火墙硬件平台分类
(1)intel X86适用于百兆网络,受CPU处理能力和PCI总线速度的限制。
(2)ASIC硬件集成电路,它把指令或计算机逻辑固化到硬件中,提升防火墙性能。
(3)NP网络处理器是专门为处理数据包而设计的可编程处理器,是X86与ASIC之间的折衷方案。
(4)多核新一代的硬件平台。多核方案,更高的集成度、更高效的核间通信和管理机制。
什么是安全区域?安全区域(Security Zone),或者简称为区域(Zone)。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。
防火墙安全区域分类:(1)缺省安全区域:a.非受信区域Untrust;b.非军事化区域DMZ;c.受信区域Trust;d.本地区域Local。
防火墙安全攻击防范:
网络攻击主要分为四大类:(1)流量型攻击;(2)扫描窥探攻击;(3)畸形报文攻击;(4)特殊报文攻击。
防火墙报文统计:
(1)报文统计。对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计、计算与分析。
(2)防火墙对报文统计结果的分析有两个方面。a.专门的分析软件事后分析日志信息。b.防火墙实时完成一部分分析功能。
防火墙黑名单:
(1)黑名单。黑名单是一个IP地址列表。防火墙将检查报文源地址,如果命中,丢弃所有报文。并且快速有效地屏蔽特定IP地址的用户。
(2)创建黑名单表项,有如下两种方式:a.通过命令手工创建。b.通过防火墙攻击防范模块或IDS模块动态创建。
防火墙性能指标:
(1)吞吐量:防火墙能同时处理的最大数据量。
(2)有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率。
(3)时延:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标,是用于测量防火墙处理数据的速度理想的情况。
(4)每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP连接,是用来衡量防火墙数据流的实时处理能力。
(5)并发连接数:防火墙是针对连接进行处理报文的,并发连接数目是指防火墙可以同时容纳的最大连接数目,一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数。
3 防火墙设备管理
3.1 设备登陆管理
(1)通过console口登陆设备:USG配置口登陆的缺省用户名为admin,缺省用户密码为Admin@123。其中,用户名不区分大小写,密码要区分大小写。
(2)通过web方式登陆设备:设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连,或者通过交换机中转相连。在PC的浏览器中访问http;//192.168.0.1,进入Web界面的登录页面。缺省用户名为admin,密码为Admin@123。
(3)通过telnet方式登陆设备:设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。通过Putty telnet192.168.0.1,进入登录页面。缺省用户名为admin,密码为Admin@123。
(4)通过ssh方式登陆设备:新建用户名为Client001的SSH用户,且认证方式为password。
[USG]ssh user client001
[USG]ssh user client001 authentication-type password
为SSH用户Client001配置密码为Admin@123。
[USG]aaa
[USG-aaa]local-user client001 password ciher Admin@123
[USG-aaa]local-user client001 service-type ssh
配置SSH用户Client001的服务方式为Stelnet,并启用Stelnet服务。
[USG]ssh user client001 service-type stelnet
[USG]stelnet server enable
以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。
3.2 设备文件管理
3.2.1 配置文件类型:saved-configuration current-configuration
3.2.2 配置文件操作
(1)保存配置文件;(2)擦出配置文件(恢复出厂设置);(3)配置下次启动时的系统软件和配置文件;(4)重启设备。
4 防火墙基本配置
(1)Vrp命令行级别分为:参观级、监控级、配置级、管理级。(2)vrp命令视图:用户视图、系统视图、接口视图、协议视图。
防火墙技术范文4
本文结合工作实际的维护工作介绍防火墙技术的部分应用,对如何保护各类网络和应用的安全,如何保护信息安全成为了本文探讨的重点。
关键词:bss网、mss网、防火墙
正文
1、 防火墙 简介
通过防火墙的运用,将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。。
1.1防火墙功能
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算
机网络,简单的概括就是,对网络进行访问控制。
防火墙是一种计算机硬件和软件的结合,使不同网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
1.2防火墙基本原理
防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络
2、 防火墙种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤
型防火墙)、应用级网关、电路级网关和规则检查防火墙。
2.1网络级防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。
2.2应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
2.3电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:服务器(Proxy Server)。
2.4规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。
3、防火墙实际应用
在实际工作中,按照承载业务的不同,某运营商的网络大致可以分为两类。
一是BSS网络,用于承载运营商的计费业务;二是MSS网络,用于满足日常办公的需要;
3.1 网络结构
3.2网络说明
如图3-1所示,BSS网络承载主用IP承载网,一条ATM可以承载办公网,N*2M电路作为MSS网络备用电路,达到了热备和扩容的目的。而且出口的拥塞不会影响MSS网络的使用,保证日常办公正常。
3.3安全域的划分
安全域的划分根据设备的用途、存储数据的重要性等因素,分为五个层级。从0-4安全等级依次递减。划分设备安全等级的原则包括以下几个要点:
存储私密数据,除系统工程师外不允许其他人随意访问的设备安全等级最高;
需要存取数据,又要提供对外接口的设备,安全等级次之;
有互联网出口的网络安全等级更低,如:办公网设备;
公网或VPN接入的设备可信度最低,所以安全等级最低。
3.4核心安全区域划分
3.4.1 核心安全网络图3-3
3.4.2
如图3-3所示,以两对防火墙作为分割线。PIX525以内的主机属于第0级;PIX525和NetScreen 500F之间的主机属于第1级;NetScreen 500F以外BSS网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由VPN接入的设备等级最低,统一归属于第4安全等级。
以两对防火墙作为分割线。PIX525以内的主机属于第0级;PIX525和NetScreen 500F之间的主机属于第1级;NetScreen 500F以外BSS网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由VPN接入的设备等级最低,统一归属于第4安全等级。
3.5地市网络安全域的划分
地市网络可以分为两级,纯生产终端划入高安全区域,办公终端划入低安全区域,中间增加安全隔离设备。注意到这里BSS网络和MSS网络的概念已经被淡化了,我们只是根据重要程度的不同把所有设备置入了不同的安全区域里,再根据业务需要定制访问控制列表。
3.6访问控制列表
参照图3-3所示,我们把最重要的设备至于0级,并为其分配独立的IP地址空间。在安全设备上启用NAT功能(地址映射),对1-4级设备隐藏其真实地址,即0级设备从表象上看是不存在的。并制订严格的访问策略,仅允许指定主机访问特定主机的特定协议端口。默认拒绝一切网络连接请求。
1级设备的访问控制列表是双向的,对内允许特定服务器对特定主机数据库端口的访问;对外允许特定的客户群访问特定的协议端口。
2级设备是指重要性较低的生产设备。此级设备可根据业务需求设定访问控制策略。
3-4级就是办公终端了,因为其能与互联网互通,或者通过互联网接入,所以较易感染病毒或受到攻击。一般仅开放最小的系统访问权限,给预最为严格的认证,和路由控制。
为了更好的保护0-1级设备,我们在接口处设置了入侵检测系统,并对进入0-1级区域的操作进行了审计。审计系统还可以关联系统帐户和访问进程,限制合法的用户只能通过合法的程序操作授权范围内的数据。
4、.部分配置
4.1限制客户端物理位置和设备的功能(即要求软件、硬件VPN产品在使用过程中只能是公司指定的地点、机器和人员)通过访问控制列表来实现。
又比如通过MAC访问列表,限制只有特定物理地址的主机才能接入:
4.2控制访问时间的功能(包括按小时、按天的控制)
防火墙技术范文5
关键词:防火墙;linux;iptables;netfilter
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着网络的开放性、共享性和互连程度扩大,特别是Internet的发展,网络的重要性和对社会的影响也越来越大。随着网络上各种新兴业务的兴起,比如电子商务、电子现金、数字货币网络银行等,以及各种专用网的建设,比如金融网等,使得安全问题显得越来越重要。因此网络安全成了数据通信领域研究和发展的一个重要方向,对网络安全技术的研究成了现在计算机和通信领域的一个热点。而防火墙技术是针对网络安全特点而建立的防范措施。而LINUX操作系统不仅具有开放源代码的巨大优势,而且能适用于多种CPU和硬件平台,性能稳定,非常适合作为一些嵌入式防火墙设备的操作系统,因此,研究基于LINUX的防火墙技术具有重要的意义。
1 防火墙原理
1.1 防火墙的概念和工作原理
防火墙技术是目前各种网络安全解决方案中常用的技术,它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受阻碍地访问网络资源,从总体上看,防火墙应具有以下五大基本功能:
过滤进出网络的数据包。
管理进出网络的访问行为。
封堵某些禁止的访问行为。
记录通过防火墙的信息内容和活动。
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们要应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的技术手段。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。防火墙应该能够记录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时、防火墙自身也应具备较高的抗攻击性能。
1.2 防火墙的分类
按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和防火墙(应用层网关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
表1 两种防火墙的比较
包过滤防火墙分为静态和动态。静态包过滤防火墙根据定义好的过滤规则审查每个数据包。以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制b},报头信息中包括IP源地址、IP目标地址、传输协议(TCP, UDP, ICMP等等)、TCP/UDP目标端口, ICMP消息类型等,包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。动态包过滤防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
自适应技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应服务器 (Adaptive Proxy Server)与动态包过滤器 (Dynamic Packet filter)。
在自适应与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应就可以根据用户的配置信息,决定是使用服务从应用层请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
2 linux防火墙的实现
2.1 linux 防火墙简介
Linux最初从2.0内核的ipfwadm开始具备了基本的包过滤功能。ipfwadm能透过IP据包头的分析,分辨出数据包的来源IP与目的地IP、数据包类型、来源端口号与目的端口号、数据包流向、数据包进入防火墙的网卡界面等,并依此分析结果来对比规则进行数据包过滤,同时也支持IP伪装的功能,利用这个功能可以解决IP不足的问题,但是这些程序缺乏弹性设计,用户无法自行建立规则组合(rule set)作更精简的设定,同时也缺乏网址转换功能,无法应付越来越复杂的网络环境,已经逐渐被淘汰。随后取而代之的是ipchains。Ipchains不但指令语法更容易理解,功能也较ipfwadm优越:ipchain允许自订规则组合(rule set),称之为user-define chains,可以将彼此相关的规则组合在一起,在需要的时候跳到该组规则进行过滤,有效的将规则数量大幅缩减,克服了以往ipfw仅能进行循序过滤,导致规则过长的缺陷。同时,ipchains能提供网址转换的能力,从而满足NAT的完整需求,基本构成一套成熟的防火墙。,
在Linux2.4内核以后,被称为iptables/netfilter的防火墙以更好的结构重新构造,并实现了许多新功能,如完整的动态NAT(2.2内核实际是多对一的"地址伪装")、基于MAC及用户的过滤、真正的基于状态的过滤(不再是简单的查看tcp的标志位等)、包速率限制等。它比以前任何一个Linux内核的防火墙子系统都要完善和强大。
2.2 iptables/netfilter框架
Netfilter提供了一个抽象的、通用的框架,该框架定义的一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。当前的Netfilter,已经基于IPv4, IPX, IPv6等协议开发了对应的钩子函数。
Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上。网络报文按照来源和去向,可以分为三类:流入的、流经的和流出的。其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程,即从一个NIC转到另一个NIC。 Netfilter就是根据网络报文的流向,在以下几个点插入处理过程:
(1)NF_IP_PRE_ROUTING,在报文作路由以前执行;
(2)NF_IP_FORWARD,在报文转向另一个NIC以前执行;
(3)NF_IP_POST_ROUTING,在报文流出以前执行;
(4)NF_IP_LOCAL_IN,在流入本地的报文作路由以后执行;
(5)NF_IP_LOCAL_OUT,在本地报流出路由前执行。
Netfilter框架为多种协议提供了一套类似的钩子(HOOK),用一个struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二维数组结构存储,一维为协议族,二维为上面提到的各个调用入口。每个希望嵌入Netfilter中的模块都可以为多个协议族的多个调用点注册多个钩子函数(HOOK ),这些钩子函数将形成一条函数指针链,每次协议栈代码执行到NF HOOK()函数时(有多个时机),都会依次启动所有这些函数,处理参数所指定的协议栈内容。
每个注册的钩子函数经过处理后都将返回下列值之一,告知Neifilter核心代码处理结果,以便对报文采取相应的动作:
(1)NF_ACCEPT, 继续正常传输数据报;
(2)NF_DROP, 丢弃该数据报,不再传输;
(3)NF_STOLEN, 模块接管该数据报,不要继续传输该数据报;
(4)NF_QUEUE, 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理);
(5)NF_REPEAT, 再次调用该钩子函数。
如图1所示,数据报从左边进入系统,进行IP校验以后,数据报经过第一个钩子函数NF_IP_PRE ROUTING进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子函数NF_IP_LOCAL_IN处理以后然后传递给上层协议;若该数据包应该被转发则它被NF IP FORWARD处理;经过转发的数据报经过最后一个钩子函数NF_IP_POST_ROUTING处理以后,再传输到网络上。本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理以后发送到网络接口。
Netfilter组件也称为内核空间(kernel space),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
与之相对应的iptables组件是一种工具,也称为用户空间(user space),它使插入、修改和除去信息包过滤表中的规则变得容易。通过使用用户空间,可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。这些规则具有目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配,那么使用日标ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并杀死信息包。
内核模块提供三个规则表((table),分别是数据报过滤表(filter table),网络地址转换表(nat table)及数据报处理表(mangle table)。
数据报过滤表(filter table):
表格不会对数据报进行修改,而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进,因为在ipchains中一个被转发的数据报会遍历三条链。
网络地址转换表(nat table):
NAT表格监听三个Netfilter钩子函数:NF_IP_PRE_ROUTING,NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。
NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT,伪装(其是源NAT的一个特例)及透明(其实是目的NAT的一个特例)。
数据报处理表(mangle table):
mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用
mangle表,可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。
3 iptables的命令配置与应用
Iptables的基本语法是:
iptables [-t table] command [match] [- j target/jump]
其中Ct参数用来指定规则表,当未指定规则表时,则默认认为是filter
下面根据实例来详细解释下iptables的用法,配置防火墙的基本规则是先拒绝所有的服务,然后根据需要再添加新的规则。在实例中,我们开放了WEB服务器,邮件服务器,FTP服务器等常用的端口,在实际情况中可以根据特定的网络状况,特定的安全要求做特别的处理:
iptables CF#删除已经存在的规则
iptables -P INPUT DROP#配置默认的拒绝规则。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打开WEB服务端口的tcp协议
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打开POP3服务端口的tcp协议
iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打开SMTP服务端口的tcp协议
iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打开FTP服务端口的tcp协议
4 结论
Linux内核防火墙的iptables/netfilter框架设计得非常成功,它将所有对数据包的处理都统一到这个一个框架之下。Netfilter不仅仅有此高效的设计,同时还具备很大的灵活性,这主要表现在iptable/netfilter中的很多部分都是可扩充的,包括Table, Match, Target等。
参考文献:
[1]毛德操,胡希明.Linux内核源代码情景分析[M].浙江大学出版.2001,9.
[2]Marcus Goncalves.宋书民,等,译.防火墙技术指南[M].机械工业出版社,2000,11.
[3]Robert L.Ziegler..余青霓,等,译.LINUX防火墙[M].人民工业出版社,2000,10.
[4]博嘉科技主编.LINUX防火墙技术探秘[M].国防工业出版社,2002,10.
防火墙技术范文6
【关键词】计算机网络 防火墙技术 功能 趋势
随着信息化时代的到来,计算机网络逐渐成为人们有效开展信息交换的重要手段,并渗透到社会生活的各个方面,给人们生活带来了巨大影响。与此同时,保障计算机网络信息安全,愈来愈成为当今社会面临的亟需解决的课题。
1 防火墙技术的含义
“所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。”它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。它实际上是一种隔离技术。
2 防火墙的功能
防火墙对计算机网络具有很好的保护作用。入侵者必须先穿越防火墙的安全防线,才能接触目标计算机。具体来说防火墙有以下功能。
2.1 防火墙有保障计算机网络安全的功能
防火墙通过自身过滤功能将不安全的数据包隔挡在“代码墙”以外,降低Internet给计算机造成的风险。然后通过验证程序检测哪些数据包是安全的,并使之进入计算机,由此使得网络环境变得更安全。
2.2 防火墙具有监控网络存取和访问的功能
由于进入计算机的数据包都要经过防火墙的检测和筛选,那么防火墙就能记录下这些数据包并对网络的使用情况进行统计。当发生可疑数据包时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。因此,防火墙对网络使用统计与监控具有非常重要的作用。
2.3 可以防止内部信息的外泄
隐私是网络使用者最关心的问题。很多隐私的被流露于公众的视野,多数都是因为计算机网络内部某些安全漏洞。而使用防火墙就可以利用防火墙对内部网络的划分,实现内部网的隔离,从而限制了局部或敏感网络安全问题对全局网络造成的影响。进而隐蔽了那些透漏内部细节DNS服务。这样一台主机的域名和IP地址就不会被外界所了解。
2.4 防火墙对数据库安全的实时保护功能
防火墙通过验证工具和包过滤系统分析,根据预定义的禁止和许可策略让合法的SQL 操作通过,阻断非法违规操作,形成数据库的防御圈,实现SQL 危险操作的主动预防、实时审计。同时,还可以对来自于外部的入侵行为,提供SQL 注入禁止和数据库虚拟补丁包功能。
3 防火墙技术的发展趋势
随着新的网络病毒的出现,防火墙技术的发展更应该注重放行数据的安全性研究。因为使用者对网络安全的要求是既要保证网络安全,也必须保证网络的正常运行。因此,新型防火墙技术在研发过程中要集成其它安全技术,使防火墙的安全性得以进一步提升。这一些新的发展趋势,可以从防火墙体系结构、包过滤技术和防火墙系统管理三方面展开。
3.1 防火墙的体系结构发展趋势
随着信息化潮流的到来,计算机网络的应用更加广泛,规模更加庞大。使用者对网络宽带的安全提出了更高的要求。这意味着防火墙技术必须紧跟时代的发展,加快提升自身处理数据的能力,为计算机网络提供更加有效的安全保护和有效的运行保障。尤其是,在当今信息化社会的生活中,计算机网络、手机网络等网络媒体的应用越来越普遍,这就要求防火墙技术对流入网络的数据处理更加有效、准确、及时。要想满足这种需要,防火墙技术研发人员就必须制定超前的研发方案,完善防火墙的结构体系。例如当前部分制造商开发的基于ASIC的防火墙和基于网络处理器的防火墙。
3.2 防火墙数据包过滤技术发展趋势
(1)防火墙的主要功能就是对来自外网的木马程序、病毒程序等危险程序进行防范和抵御。因而,在实际网络使用中使用主体通常经防火墙称之为病毒防火墙。从目前网络使用者通过各种途径选取不同的防火墙,并按照与计算机内,目的就是防范病毒的入侵。
(2)注重研发多级过滤技术。“所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段”。该过滤技术主要是通过编制不同的程序系统,逐级设立功能。各级根据自身的功能开展对流入网络的数据流进行识别,检测。层层把关,能够更加有效的抵御病毒对计算机网络的入侵。这是一种综合性防火墙技术,它可以弥补各种单一过滤技术的不足。
(3)为了进一步强化防火墙的安全策略功能。目前,很多防火墙技术生产商在现有的防火墙技术的基础上,又增加了用户认证系统。用户认证系统随着无线网络的普及应用,获得了众多无线网络电信商和用户的青睐。并逐渐成为无线网络安全应用的必备系统。
3.3 防火墙的系统管理发展趋势
随着防火墙技术的快速发展,加强防火墙的系统管理也成为网络技术发展的重点。首先是集中式管理。集中式管理的优点就是能够使生产商以最小的投入获取最大的效益。同时,还可以保证网络安全保障系统的一致性。从目前成功研发的事例来看,Cisco(思科)、3Com等几个大的防火墙技术开发商已经在注重加强防火墙的系统管理发展。其次是加大开发防火墙的监控和审计功能的力度。在防火墙技术研发过程中,我们不仅要注重事后治理,更要注重事前预防,未雨绸缪,将潜在的威胁扼杀在流入之初。最后是建立以防火墙为核心的网络安全体系。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
参考文献
[1]罗霁.并行多模式匹配算法及硬件实现研究[D].杭州电子科技大学,2013(06):10.
[2]杨旭.计算机网络信息安全技术研究[D]. 南京理工大学,2008(06):43
[3]信息技术研究中心.网络信息安全新技术与标准规范实用手册(第1版) [M].北京:电子信息出版社,2004:20-21.
作者简介
邓龙敏(1998-),男 ,湖北省黄石市人。现就读于鄂南高中,热衷于计算机网络技术研究。
