本科生毕业论文(设计)-关于网络安全及防火墙技术的研究
本科生毕业论文
关于网络安全及防火墙技术的研究
Reserch on Network Security and Firewall Technology
学生姓名
所在专业
所在班级
申请学位
指导教师职称
副指导教师职称
答辩时间
目录
摘要 .................................................................................................................................... I ABSTRACT ........................................................................................................................ II 1绪论 .. (1)
1.1 网络安全 (1)
1.1.1 网络安全的定义 (1)
1.1.2 理想的安全网络应有的特征 (2)
1.2 计算机网络所面临的威胁及攻击 (2)
1.2.1 各种网络威胁 (2)
1.2.2 各种网络攻击 (3)
1.3 保障网络安全的一般措施 (4)
2网络安全技术简介 (5)
2.1 网络安全技术 (5)
2.2 网络安全策略 (5)
2.2.1 风险分析 (5)
2.2.2 安全策略的制定 (6)
3防火墙的基本介绍 (9)
3.1 防火墙的基本概念 (9)
3.2 防火墙的发展历程 (9)
3.3 防火墙的分类 (10)
3.4 防火墙的优势和不足 (10)
3.5 使用防火墙的意义 (11)
4防火墙设计方案及技术 (12)
4.1 普通防火墙设计方案 (12)
4.1.1 DMZ (12)
4.1.2 堡垒主机 (13)
4.1.3 过滤网关 (16)
4.1.4 三种设计方案的比较 (18)
4.2 防火墙技术 (18)
4.2.1 包过滤器 (19)
4.2.2 应用级网关 (21)
4.2.3 电路级网关 (23)
4.2.4 状态包检查(SPI) (24)
4.2.5 防火墙技术的选择 (26)
5防火墙的高级功能 (27)
5.1 身份验证和授权 (27)
5.2 网络地址转换 (28)
5.3 虚拟专用网络VPN (30)
5.4 网络监控 (32)
5.5 配置实例 (33)
5.5.1 个人防火墙配置实例 (33)
5.5.2 企业防火墙配置实例 (36)
5.6 防火墙高级功能的选择 (39)
6防火墙未来的发展 (40)
7结束语 (42)
鸣谢 (43)
参考文献 (44)
摘要
Internet以惊人的速度在全球发展,正广泛渗透到人们生活的各个领域,在不远的将来,我们的社会将进入一个全面的网络时代,我们的生活将与计算机网络更加息息相关,联系更加紧密,例如:Email,电子商务,获取信息等等,可以说我们的生活离不开计算机网络。然而随之而来的网络安全问题,使人民在享受网络便利的同时,还要面临网络入侵的威胁。显然网络安全对于我们来说是非常重要的。网络安全是一个十分广泛的题目,它包括:网络安全的本质含义,理想安全网络的特征,不同领域对网络安全的理解,保障网络安全的技术,网络安全的保障措施等等。为了应对日益严峻的网络安全形势,出现了各种各样的安全技术,防火墙技术是其中非常重要的防御手段,正被广泛应用于各种网络环境中。
本文将介绍目前较流行的网络威胁,及其带来的影响,并集中从防火墙的基本技术、设计、功能等方面介绍防火墙的工作原理、体系结构和防火墙的一些高级功能如:网络地址转换,虚拟专用网等,并介绍防火墙现阶段所存在的问题,以及分析防火墙未来的发展趋势。
关键词:网络安全;防火墙
ABSTRACT
ABSTRACT
With the drastically world-wide booming of the Internet,it has penetrated into our life,we are living in a net world now.Our life is related to the network,we can’t live without it.For example:Email,electronic business,acquiring information etc.However,with the rise of the problem of the network security,we have to confront the threat of Internet while enjoying the convenience from it.So it is without saying that the network security is very https://www.wendangku.net/doc/5b13367850.html,work security is a big topic,which includes:the definition of the network security ,the identification of the ideal safe network ,different understanding of the net security ,proving the network security and the measures of protecting the network security etc.A variety of security technologies have been developed to deal with the more and more worse network situation.Firewall is one of the most important defensive measures,which is utilized in diverse network..
In this paper,we will talk about the popular network threaten at present and the influence they have made.We will analysis the technology,design project and function to introduce firewall’s work theory,system structure and the high function such as NAT and VPN.We will also point out the problem of the firewall at present, and analysis the development of firewall. KEYWORDS: Network security;firewall
关于网络安全及防火墙技术的研究
1绪论
Internet已经成为了人类所构建的最为丰富多彩的虚拟世界。其绝对用户的数目正成百上千的在世界各地增长,而且这种增长速度将一直持续下去。网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。通过网络获得信息,共享资源已经成为现代人生活的一个重要环节。但是,随着网络的延伸,安全问题受到人们越来越多的关注。它也存在被误用、滥用和用来实施犯罪的可能性,而这种会导致危害的可能性使得用来保护Internet资源的安全措施和设备变得不可或缺。
1.1网络安全
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。在网络安全的形势日益严峻的情况下,网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,成为一项受到人们重视的网络安全技术。
1.1.1网络安全的定义
网络安全的通常定义是指网络系统的硬件、软件及系统中数据信息能够受到保护,不会因为偶然或者恶意的原因而遭破坏、更改、泄露,系统能够可靠运行,网络服务不中断[1]。
对网络安全的定义,存在着许多不同的解释,不同角度会有不同的见解,例如:就用户(个人、企业)角度来说,网络安全定义侧重的是个人隐私或商业信息在网络上传输时受到机密性、完整性和真实性的保护,避免被窃听、冒充、篡改等侵犯,同时当信息保存在某个计算机系统上时,不受非法用户非授权的访问和破坏。
从网络运营和管理者角度来说,本地网络中的信息访问等操作受到保护和控制,避免出现网络资源非法占用、非法控制、病毒、拒绝服务等威胁,有效防御网络黑客攻击
等,这就是网络安全的内容。
对安全保密部门来说,网络安全应该能够对那些非法的、有害的或者涉及国家机密的信息进行过滤和防堵,避免其网络泄露,避免由此产生对社会的危害、对国家经济的损失。
就社会教育和意识形态而言,网络安全就是能对网络上不健康的内容进行控制等[2]。
1.1.2理想的安全网络应有的特征
通过上面的分析,可知一个理想的安全网络应具有如下的特性:
保密性:信息不泄露给非授权用户、实体、进程或供其利用的特性。
完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按其要求使用的特性,即当需要时应能存储所需的信息。其中网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。
1.2计算机网络所面临的威胁及攻击
当前的计算机网络系统在许多方面存在弱点,比如数据弱点、软件弱点、物理弱点、传输弱点等。当系统接入Internet后,就面临不断增多的各种安全威胁和攻击。
1.2.1各种网络威胁
所谓网络威胁,不光是指“CIH”、“冲击波”等传统病毒,还包括特洛伊木马、后门程序、流氓软件(包括间谍软件、广告软件、浏览器劫持等)、网络钓鱼(网络诈骗)、垃圾邮件等等。它往往是集多种特征于一体的混合型威胁[3]。
网络威胁大体可以分为两类:一是对网络中信息的威胁;二是对网络中设备的威胁。这些威胁可能是有意的,也可能是无意的,可能是人为的,也可能是非人为的。具体论述如下:
人为的无意失误:一些安全漏洞可能是人为失误原因造成的,如:系统安全配置不当;用户口令选择不慎;帐户随意转借或共享等。
人为的恶意的攻击:人为的恶意攻击正是计算机网络面临的最大威胁,敌对攻击和计算机犯罪即属于此类。此类攻击一般包括两种情况:一种是主动攻击,它有选择的破坏网络信息的有效性和完整性;另一种为被动攻击,它是在不破坏网络正常运作的情况下,对网络信息进行截获、窃取、破译,从而获得其所需信息。无论哪种攻击,都会给网络带来极大危害,导致发生不可知的后果。
网络软件的漏洞和后门:网络软件在设计上不可能无缺陷和无漏洞,恰恰就是这些漏洞和缺陷,时常被黑客利用作为攻击的首选入口,有很多黑客攻入网络内部的案例的
原因多数是因为安全措施不完善的结果,软件后门一般是开发人员预留的,通常情况下外人不知道,倘若后门泄露,其后果无法想象。
1.2.2各种网络攻击
网络攻击简单的说就是黑客攻击或者蠕虫、木马攻击。网络攻击的方法有很多,例如:
基于口令的攻击:
口令攻击是黑客最常采用的攻击网络的方法。最常见的方法是:首先,黑客会试图用一个注册证书和口令闯入系统。他们通常用基于“字典”的方法进行攻击,也就是用一类程序按排列组合方法逐个尝试每个可用字符,直至成功为止,这种方法费时不费力,因为所有工作都是程序自动完成的。对于Unix系统来讲,因为它不像其它系统那样在一定次数失败注册后会封锁该用户,所以它更容易受到基于字典的攻击,黑客可以无数次的以错误的口令尝试进入Unix系统,而Unix系统既不会断开连接,也不会提醒管理员。
一些黑客能成功使用诸如Telnet、FTP等Unix服务,从而得到口令文件。操作系统一般会对口令文件进行加密,然而Unix加密所有口令文件都采用同一种算法。黑客能轻易的绕过用该算法读取口令文件。
网络偷窥和报文劫持攻击:
这可能算是最难的攻击方法,它对Internet商务同样具有极大的威胁,从理论角度来讲,Internet传输的报文在到达目的地之前需要通过数台计算机,如使用报文窥探方法,黑客就能阻截两地间传输的报文,获得报文后打开并盗取该报文的主机名、用户名及口令。黑客通常把报文窥探作为网络偷窥的一种常用方法。
利用受托访问的攻击:
该攻击方式常在有受托访问机制操作系统的网络中使用,特别对Unix系统而言,这种受托机制是极大的安全隐患。在这种系统中,用户能创建受托主机文件,该文件包含主机名或用户访问系统的地址。如果我们想有一个受托系统连接,只能用rlogin或其它类似的命令,因此如果黑客能够猜到受托主机的名字,他就获得系统的扩展访问权,更糟的是大多数黑客知道:Unix系统管理员在根目录创建rhosts文件,从而使用户能以超级用户权限在主机间随意移动访问,现在多数管理员已经开始意识到rhosts花费太大,而且它会轻易的授予未认证的根目录访问权,这很容易被乘机而入。
IP欺骗攻击:
顾名思义,这种攻击方法就是在用IP协议传送报文时,黑客使用IP欺骗法攻击网络,提供假认证通过复制主机的IP地址来宣称自己是网络中主机或受托网中的主机,从而获得返回的报文。利用许多自动工具,黑客只需在二十秒内就能执行一次完全的IP 欺骗攻击。
伪社会角色攻击:
随着Internet越来越广泛的使用,这种攻击方式也变得越来越常见和危险,黑客通常给目标用户发送一个E-mail告诉他自己是系统管理员,伪装成社会角色进行攻击。这类E-mail通常会要求目标用户以E-mail形式把用户口令等重要信息回复给“管理员”。这类攻击往往针对那些对网络了解不多的对象
顺序号预测攻击:
这是黑客利用IP欺骗进入Unix的另一种常见方法。任何TCP/IP连接在开始时都需要与连接的计算机交换“握手”信息或是含有顺序号的开始报文,计算机把顺序号当作每次传输的一部分,它依据内部时钟来创建序号。黑客就是利用预测手段,猜测到目标系统的“握手”信息或开始报文从而对其发动攻击的。
会话劫持攻击:
会话劫持攻击比IP欺骗更多见,原因是起对进出网络的数据都能实施攻击,而且它不需经预测“握手”信息和顺序号,而使得入侵行为变得易行。在这种攻击方式中,攻击者会寻找到现有的两台计算机间的一条连接,通常是服务器和客户间的连接,然后穿过未加保护的路由器或不合适的防火墙,他就能检测到交换信息的计算机所用的相关顺序号。入侵者得到合法用户的地址信息后,他模拟用户地址来劫持用户通话。这样主机会断开与合法用户的连接,正中攻击者的圈套。
1.3保障网络安全的一般措施
保障网络安全的措施一般应有两大类:技术上的和政策上的。
这里所讲的技术措施主要是指逻辑技术。具体来说,逻辑技术指的是诸如安全协议、密码技术、数字签名、防火墙、安全管理、安全审计等网络安全技术。通过提高这些网络技术水平,来有效地防止网络上传输的信息被非法窃取、篡改、伪造,保证其保密性和完整性:有效地防止非法用户(或程序)的侵入,限制网络上用户(或程序)的访问权限,保证信息存入的私有性及通信双方的身份真实性和信息的可用性[4]。
就政策措施而言,指的是通过制定完善细致的管理和控制措施,来保障网络活动秩序,建立网上道德和法律体系,保障网民合法权益。当然,这是一项长期任务,它会随着计算机网络发展而不断完善[5]。
2网络安全技术简介
2.1网络安全技术
第一章中论述了种种网络威胁和攻击,它们对网络安全具有极大的影响。在这一章中,将研究保护网络安全的几种技术。网络设计之初只考虑到网络的方便性、开放性,这使得网络非常脆弱,极易受到破坏,无论这种破坏是有意的还是无意的,都将给网络带来极大的破坏。为了解决这个问题,专家做了大量研究,主要包括数据加密、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全协议、IC卡(包括存储卡、加密存储卡、CPU卡)、拒绝服务、网络安全性分析、网络信息安全监测、信息安全标准化等方面[6]。
这其中,密码技术应称作网络安全的核心技术。因为密码技术是目前解决网络上信息传输安全的主要方法。对于密码技术,目前公开的加密算法远多于100种,根据密钥性质不同,常见加密算法可分为传统密钥体制(Conventional Cryptosystems)和分开密钥体制(Public key Cryptosystems)。需要指出的是,密码技术的安全性不仅依赖于加密算法的设计,而且也取决于安全协议所设计的安全性上。众所周知,TCP/IP协议安全性不够。目前对此改进的方法有一些,如NETSCAPE在应用层和传输层间增加一个安全子层,即安全套接子层SSL(Secure Socket Layer)。还有Err公司的安全超文本传输协议SHTTP,在协议的应用层对信息进行加密,提供点对点的安全交互。
防火墙是保障内部网络安全的最有效手段。防火墙在防止非法入侵、确保内部网络安全上,是目前最有效的一种方法。防火墙是一种综合技术,它涉及网络技术、密码技术、软件技术、ISO的安全规范及安全操作系统等多方面。当然,目前防火墙技术尚不完善,其标准也不健全,实用效果亦不甚理想。它是本论文后续章节中论述的重点内容。
其它网络安全技术还有审计跟踪、访问控制、弱点保护、病毒防范等,这些技术可以统称为本地安全技术,因为其多是在本机(或内部网)上采取的技术措施,此时暂不多述。
2.2网络安全策略
网络安全策略的制定是一个复杂的过程,需要经过风险分析、分清安全的要求,最后才能制定出安全策略[7][8]。
2.2.1风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物
理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。风险因素主要有:自然因素,物理破坏,系统不可用,备份数据的丢失,信息泄漏等因素。
2.2.2安全策略的制定
(1)网络安全策略的构成
1)物理安全
因为网络“机器”的大小或形状或实体能跨越(由于网络互联和信赖关系)建筑物,校园,国家或世界,所以网络安全与物理安全互相影响。没有物理安全其它问题(如:保密性、可靠性、完整性)会受极大的危险。物理安全部分陈述应如何保护设备和硬件。该部分也将确定哪种职员应该被允许到限制区(例如服务器室和布线室)。
2)网络安全
网络安全部分讲述在网络上被储存的资产将会如何被保护。这个部分可能包括访问限制,防火墙,网络审核,远程访问,目录服务,英特网服务与文件系统目录结构。
3)访问限制
访问限制决定谁有权访问什么。需有适当的程序来确保只有授权者才能使用数据或服务。好的访问限制包括管理远程访问和促成系统管理员高效工作。它需操作简单,不易出错。
4)验证
验证是使用者告诉网络他们是谁的方式。验证类型随验证地点不同而改变。由于伴随着物理安全,从他们的桌面,一个简单使用者的身份证和密码可能已足够;当连接英特网时,一个更安全的双元验证 (以表征为基础的证明) 成为必需的。
5)密码技术
密码技术能确保数据完整或保护关键数据在非安全区传送。该保护对于远程访问重要资源或做为使用内网时的一个额外保护是至关重要的。
6)密码管理
密码是用于对数据进行加密和解密的。密码技术的一个严重争议是密码管理。适当的措施需被建立以控制以下问题:密码长度、密码变化频率、密码附加条件、密码生成、密码分配。
7)顺应性
顺应性部分解释如何执行网络安全策略。它也可能陈述调查策略破绽的方法以及处罚措施
8)审计和检查
安全策略一经执行,必需确保所有的成份和职员服从。没有充分的审计,对于可能的安全破绽,组织缺乏合法的依赖。审计也可防范于未然。安全策略也应被有规律地检查以确定它们仍然有效。
9)安全意识
“愚笨的使用者”广泛地被认为是网络安全威胁之最。如果职员不了解网络的正确使用,他们就无法遵守安全策略。特别地,职员必需适当管理密码而且意识到“社会工程”攻击。
10)事件响应与灾祸应急计划
发现入侵与面临灾祸时,组织是最脆弱的。在随后的几分钟和小时中发生的事件能决定数十亿元的知识财产能否被恢复。灾祸应急计划解释一个组织在遭受天然的灾祸或攻击(包括来自黑客或雇员)后如何恢复。例如,它可能包含用来支持服务器的安全措施(详细描述备份频率与其如何非现场存储。)灾祸应急计划也可能列出紧急响应成员。此外,计划可能包括引导培训的措施以确保所有使用者和紧急响应队知道当灾祸或攻击发生时该做什么。
11)接受使用策略
接受使用策略部分陈述使用者将会如何被允许使用网络资源。例如,它可能描述能被包含电子邮件中的数据类型并解释何时电子邮件中的数据被加密。它也可能就一些问题进行解释:如使用者能否玩电脑游戏或使用诸如电子邮件与访问英特网等资源。
12)软件安全
软件安全部分解释组织如何在服务器、工作站、网络上使用商业和非商业的软件。它也能识别谁被授权购买并安装与安全检测从网上下载的软件
(2)网络安全策略的制定步骤
1)目标
首先应有清楚的目标以防策略偏移。目标定义了达成网络安全的途径。一个典型的目标可能是:数据是一份重要的资产,而且组织将会利用安全措施加以保护。
2)范围
范围限定将会被网络安全策略保护的资产。网络安全是一个涉及面很广的课题(从物理安全到人员安全到程序安全)。范围可能限定策略只行针对网络安全或包括其他安全。范围也明确了遵守安全策略的人员。(仅包括职员不是扩展到联接到公司网络的承包商,客户和厂商)。
3)来自高层管理的支持
在定义范围和目标后,在制定安全策略前,应从高层获取支持,否则很难保证遵守
安全策略。如果可能,安全委员会也应该包括一些高层管理人员。
4)其他策略参考
为了获得一种比较安全的策略,应参考其他策略。这将有助于重新定义策略的范围和目的。
5)危险评估
彻底的危险评估需在策略的实际制定之前。危险评估将会决定针对的问题。危险评估报告将会是网络安全策略中有价值的工具。
6)制定策略与成份决定
安全策略成份的确定依赖危险评估报告。不是所有的成份一定被包括在内。这起决于网络结构,组织的位置和结构。策略应旨在控制在危险评估报告中所陈述的危险。失控危险应被注明。
7)评估
在策略制定后,应评估策略是否能达到目标。讨论应包括以下问题:
策略符合法律和对第三者的责任?
策略符合职员,组织或第三者的利益?
策略的实际可操作性?
策略针对不同形式的信息和记录?
策略是否被各方面接受与正确陈述?
在认真执行完以上几个步骤之后一个比较安全的网络安全策略就完成了。网络安全策略的制定不是在短期内能完成的。它也不仅仅是一个留给个人的技术问题。策略的成功将会在很大程度上依赖于高层管理者的支持和职员的安全意识。并非通过网络安全策略制定的整个过程就足够了。威胁改变,脆弱性的改变,这些全部都需定期地重新评估以使网络安全策略有效可行。
3防火墙的基本介绍
3.1防火墙的基本概念
网络防火墙是一个用来控制经过其上的网络应用服务和数据信息的系统。它结合了硬件和软件来防御未经受权的出入访问,目的是保护我们的网络和系统不受侵犯。它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备,更可以是它们的组合。
在查阅的文献中,一个比较值得提及的关于防火墙的定义是:防火墙是一种将局域网和广域网分开的方法,它能限制被保护的内网与外网之间的信息存取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身就有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地控制了内部网和外部网之间的活动,保证了内部网络的安全。
防火墙是在可信网络和不可信网络之间的一个缓冲,用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
防火墙有如下特性:首先,所有通信都经过防火墙。其次,防火墙只放行通过授权的网络流量。再次,防火墙能经受得起对其本身的攻击。
3.2防火墙的发展历程
防火墙从其诞生的时候开始,共经历了五次革命性发展:
第一代防火墙技术几乎与路由器同时出现,采用包过滤技术;1989年,贝尔实验室的Dave Presotto和Howard Trichey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构;第四代防火墙是基于动态包过滤技术的,诞生于1992年,由USC信息科学院的Bob Braden开发;而在1998年,NAI公司开发的自适应代理技术应用到防火墙中,成为第五代防火墙,在网络安全技术上迈出了一大步。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止
病毒与黑客侵入等方向发展。
3.3防火墙的分类
防火墙的分类标准很多,按其分类方式不同有以下几种常见分类:按产品形式分类,防火墙可以分为硬件和软件两类;按性能分类,防火墙可以分为百兆级和千兆级两类;按操作模式,防火墙可以分为透明模式、路由模式和NAT模式;按部置位置,防火墙又可分为边界防火墙和主机/个人防火墙两类;按OSI模型层次划分可分为包过滤、状态检测和应用代理防火墙三类。
3.4防火墙的优势和不足
防火墙仅仅是整体安全构架的一个部分然而作为一个比较独立的部分,防火墙的设计应该满足整体设计中的至关重要的安全需求。和其它事物一样,防火墙也有它的优势和不足。
防火墙的优势:
防火墙可以出色地完成执行公司整体安全策略的任务。经过适当配置,防火墙应能把通信约束在管理决策所能接受的范围之内。
防火墙可用于限制对某些特殊服务的访问。例如,防火墙可以允许公众访问WEB 服务器但禁止他们访问Telnet远程访问端口和其它公开的域。大多数防火墙可以提供在授权机制下的具有可选择性的访问服务。
防火墙功能专一,因此,不必在安全性和可用性之间进行权衡妥协。
防火墙有出色的审计功能,若有足够的磁盘空间或远程记录功能,防火墙能够存录所有经过的网络流量。
防火墙可以向相关人员发出警告信息。
防火墙的不足:
防火墙不能防范经过授权的东西。这就是说防火墙允许其所保护的系统应用正常的通信流量通过防火墙,如果一个应用程序自身就有错误,那么防火墙也不会阻止由此引起的攻击,因为对于防火墙来说这是经过授权的。
防火墙只是对其配置的规则进行有效的工作。一个过于随便的规则配置可能会减弱防火墙的功效。
防火墙对于社交工程类型的攻击或一个授权用户利用合法访问进行的恶意攻击不起作用。
防火墙不能修复脆弱的管理措施或设计有问题的安全策略。
防火墙不能阻止那些不经过它的攻击。
防火墙不具有专业的杀毒功能。
3.5使用防火墙的意义
虽然防火墙不是万能的,但是没有防火墙却是万万不能,网络的危险主要是因为它的无边性造成的,而防火墙就是将内部网络和外部网络分隔开的工具,它可以使内部网络的管理变得简单,同时将外部网络的不安全因素阻隔在防火墙之外,因此可以说防火墙是内部网络的第一道防线。如果这一道防线足够坚固的话,一般的黑客都不会进行强硬的进攻,因为一般黑客都会有一个心理暗示时间,在这段时间内,黑客往往认为自己是安全的,不会被别人发现,而一旦过了这段时间,黑客往往会选择放弃,因为他们怕自己的入侵行为会被网络管理员发现[5],所以使用防火墙是必要的!
4防火墙设计方案及技术
4.1普通防火墙设计方案
防火墙设计是满足网络访问的需求的关键部分。设计过程中的访问点将考虑安全问题,之后会应用适当的安全措施。当在网络边界使用安全措施时,每台设备所应用的构架和策略会对其吞吐量及延迟有一些负面影响。以下列出实施防火墙设计时要考虑的一些事项:
第一,性能需要在充分的可用性和安全性之间做精心的平衡。在访问列表或过滤处理中应用的安全水平越高,可用性就越差。第二,过滤器在使用IP地址进行访问控制时效率较高。然而,对于许多设备来说,过滤表越长则需要对每个包进行检查的时间就越长。第三,系统提供过滤服务的速度受不同应素影响会有所不同,这些因素包括使用了多少过滤器、软件对包的扫描有多深还有流量的类型。第四,加密会产生迟延。第五,阻止对某些端口的访问是保证性能的有效手段,但这将会同时阻止那些使用这些端口的应用。
设计网络边界时可采用不同的技术,以提供不同层次的安全、服务和性能。有几种防火墙设计中常见的技术类型,可以提供出色的安全:第一种是DMZ,第二种是堡垒主机,还有一种是过滤网关。
4.1.1DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem 池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的
电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是很高的。
DMZ的拓扑结构如图4-1:
图4-1 DMZ拓扑图
由上图可看出,DMZ位于外部防火墙和内部防火墙之间,在DMZ中所安放的都是一些需要让外部网络访问的资源,如Web服务器、FTP服务器和论坛等,而在内部防火墙的后面安放的则是需要保护的主机和服务器,因此这种设计不仅加强了网络的安全性,而且能让外部网络获取企业对外公开的资料,是一个一举两得的设计方案,使网络的安全性和可用性都得到一定程度的提高,然而这是以提高网络成本为代价的,按照这种设计方案成本将成倍增加!
4.1.2堡垒主机
堡垒主机指的是各种对网络安全至关重要的防火墙主机。堡垒主机是一个组织机构网络安全的中心主机,因为堡垒主机对网络安全至关重要,对它必须进行完善的防御。这就是说,堡垒主机是由网络管理员严密监视的。堡垒主机软件和系统的安全情况应该定期地进行审查,对访问记录应进行查看,以发现潜在的安全漏洞和对堡垒主机的试探性攻击。堡垒主机是一台既安全但是又允许公众访问的计算机。堡垒主机位于周边网络面向公众的一侧。堡垒主机不受防火墙或过滤路由器的保护,因此它完全暴露在攻击中。因此,我们必须花大力气来设计和配置堡垒主机,将其可能遭到攻击的机会减到最少。堡垒主机通常被用做Web服务器、域名服务器、文件传输协议服务器、简单邮件传输服
务器及网络新闻传输服务器等。理想情况下,堡垒主机应该只执行这些副物中的某一个功能,因为它扮演的角色越多,出现安全漏洞的可能性就越大。安全的堡垒主机的配置与一般主机有很大区别,所有不必要的服务、协议、程序和网络接口都应该被禁用或删除,而且每个堡垒主机通常被配置成只承担一个角色。按照此方法加强的堡垒主机可以免遭某些类型攻击的威胁。
4.1.2.1堡垒主机的类型
堡垒主机目前一般有以下三种类型:
无路由双重宿主主机:
无路由双重宿主主机有多个网络接口,但这些接口间没有信息流,这种主机本身就可以作为一个防火墙,也可以作为一个更复杂的防火墙的一部分。无路由双重宿主主机的大部分配置类同于其它堡垒主机,但是用户必须确保它没有路由。如果某台无路由双重宿主主机就是一个防火墙,那么它可以运行堡垒主机的例行程序。
牺牲品主机:
有些用户可能想用一些无论使用代理服务还是包过滤都难以保障安全的网络服务或者一些对其安全性没有把握的服务。针对这种情况,使用牺牲品主机就是非常有用的(也称替罪羊主机)。牺牲品主机是一种上面没有任何需要保护信息的主机,同时它又不与任何入侵者想要利用的主机相连。用户只有在使用某种特殊服务时才需要用到它。
牺牲品主机除了可让用户随意登录外,其配置基本上与其它堡垒主机一样。用户总是希望在堡垒主机上存有尽可能多的服务与程序。但是牺牲品主机出于安全性的考虑,不可随意满足用户的要求,否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷。牺牲品主机的主要特点是它易于被管理,即使被侵袭也无碍内部网的安全。
内部堡垒主机:
在大多数配置中,堡垒主机可与某些内部主机有特殊的交互。例如,堡垒主机可传送电子邮件给内部主机的邮件服务器、传送Usenet新闻给新闻服务器、与内部域名服务器协同工作等。这些内部主机其实是有效的次级堡垒主机,对它们就应象保护堡垒主机一样加以保护。我们可以在它的上面多放一些服务,但对它们的配置必须遵循与堡垒主机一样的过程。
4.1.2.2堡垒主机建设的诸因素的选择
建设堡垒主机时,有下列因素是我们必须考虑的:
第一,操作系统的选择。
应该选择较为熟悉的、较为安全的操作系统作为堡垒主机的操作系统。一个配置好的堡垒主机是一个具有高度限制性的操作环境的软件平台,对它的进一步开发与完善最好应在其它机器上完成后再移植。这样做也为在开发时与内部网的其它外设与机器交换信息时提供方便。
用户需要能够可靠地提供一系列Internet服务的机器,这些服务能够为多个用户同时工作,如果用户的网点全部使用MS-DOS、Windows或者Macintosh系统,这时便发现还需要其它的平台(或是UNIX、Windows NT等)作为用户的堡垒主机。由于UNIX 是能提供Internet服务的最流行操作系统,当堡垒主机在UNIX操作系统运行时,有大量现成的工具可以使用。因此,在没有发现更好的操作系统之前,可选用UNIX作为堡垒主机的操作系统。同时,在UNIX下面也易于找到建立堡垒主机的工具软件。当然还可以选择其它操作系统,但要考虑对以后的工作的影响。
第二,对机器速度的要求。
作为堡垒主机的计算机并不要求有很高的速度。实际上,选用功能并不十分强大的机器作为堡垒主机反而更好。除了经费问题外,选择机器只要物尽其用即可,因为在堡垒主机上提供的服务运算量并不很大。
人们经常使用速度介于2-5MBPS的机器(如Sun-3、386或486的UNIX 平台)作为堡垒主机。这些机种对普通的使用已经足够了。堡垒主机上的运算量并不很大。对其运算速度的要求主要由它的内部网和外部网的速度决定。网络在56KB/S(T1干线)速度下,处理电子邮件、DNS、FTP和代理服务并不占用很多CPU资源。但是如果在堡垒主机上运行具有压缩/解压功能的软件(如NNTP)和搜索服务(如WWW)或有可能同时为几十个用户提供代理服务,那就需要更高速的机器了。如果站点在Internet上非常受欢迎,那么对外的服务也很多,也就需要速度较快的机器来充当堡垒主机。针对这种情况,也可使用多堡垒主机结构。在Internet上提供多种连接服务的大公司一般均有多台高速、大型的堡垒主机。不使用功能过高的机器充当堡垒主机主要出于下列考虑:首先,低档的机器对入侵者的吸引力要小一些。入侵者往往以入侵高档计算机为荣。其次,若堡垒主机被破坏,低档的堡垒主机对于入侵者进一步侵入内部网提供的帮助要小一些。因为它编译较慢,运行一些有助于入侵的破密码程序也较慢。所有这些因素会使入侵者对侵入我们的内部网络的兴趣减少,也容易被用户发现。而且对于内部网用户来讲,使用低档的机器作为堡垒主机,也可降低黑客损坏堡垒主机的可能。如果使用一台高速堡垒主机,会将大量时间花费在等待内部网用户往外的慢速连接,这是一种浪费。再则,如果堡垒主机很快,内部网用户会利用这台机器的高性能做一些其它工作,而我们在有用户运行程序的堡垒主机上再进行安全控制就较为困难。在堡垒主机上闲置的功能本身就是一种安全隐患。
第三,堡垒主机的硬件配置。
因为我们总是希望堡垒主机具有高可靠性,所以,在选择堡垒主机及它的外围设备时,应慎重选择新产品。因为我们考虑的是:堡垒主机具有高兼容性、成熟性。
第四,堡垒主机的位置。
堡垒主机应放置在没有重要的或机密信息流的网络上,最好放在一个单独的网络上。目前,大多数以太网和令牌环网的接口都可工作在混合模式,所谓混合模式就是在一个接口上可捕捉到与该接口连接的网络上的所有的数据包,而且不仅仅是那些发给该