防火墙技术论文

防火墙技术论文 江西渝州科技职业学院 计算机分院 毕业设计论文 : 防火墙技术 软 件 工 程 : xxxxxxxxxxx : xxxxxxx : 06计软(1)班 : xxxxxxx 论文成绩 毕业论文：防火墙技术 摘要 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„1前言 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„2 1防火墙是什么 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„2 2防火墙的分类„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„2 2.1静态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„„„„„„„2 2.2动态包过滤防火墙„„ „„„„„„„„„„„„„„„„„„„„„„„„„„2 2.2.1代理防火墙„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„3 2.2.2自适应代理防火墙„„„„„„„„„„„„„„„„„„„„„„„„„„„„4 3防火墙功能概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„4 4防火墙的不足„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 5防火墙的主要技术特点 „„„„„„„„„„„„„„„„„„„„„„„„„„„6 6防火墙的典型配置„„„„„„„„ „„„„„„„„„„„„„„„„„„„„„6 6.1、双宿主机网关 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 6.2屏蔽主机网关„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 6.3屏蔽子网„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„7 7各种防火墙体系结构的优缺点„„„„„„„„„„„„„„„„„„„„„„„„„7 7.1双重宿主主机体系结构 „„„„„„„„„„„„„„„„„„„„„„„„„7 7.2被屏蔽主机体系结构„„„„„„„„„„„„„„„„„„„„„„„„„„„„7 7.3被屏蔽子网体系结构 „„„„„„„„„„„„„„„„„„„„„„„„„„„7 8常见攻击方式以及应对策略„„„„„„„„„„„„„„„„„„„„„„„„„„8 8．1常见攻击方式 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„8 8.2应对策略 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„8 9防火墙的发展历程„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„8 9.1第一代防火墙产品——基于路由器的防火墙„„„„„„„„„„„„„„„„„„9 9.2第二代防火墙产品——用户化的防火墙工具套 „„„„„„„„„„„„„„„„10 9.3第三代防火墙产品——建立在通用操作系统上的防火墙„ „„„„„„„„„„„11 9.4第三代防火墙——网关与安全系统合二为一 „„„„„„„„„„„„„„„„„12 9.4.1第三代防火墙的主要技术功能„„„„„„„„„„„ „„„„„„„„„„„12 9.4.2第四代防火墙的抗攻击能力„„„„„„„„„„„ „„„„„„„„„„„15 10防火墙的发展趋势 „„„„„„„„„„„„„„„„„ „„„„„„„„„„„17 10.1优良的性能 „„„„„„„„„„„„„„„„„„„ „„„„„„„„„„„17 10.2可扩展的结构和功能„„„„„„„„„„„ „„„„„ „„„„„„„„„„17 10.3简化的安装和管理„„„„„„„„„„„„„„„„„„„„„„„„„„„„17 10.4主动过滤„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„17 10.5防病毒与防黑客„„„„„„„„„„„„„„„„„„„„„„„„„„„„„18 11防火墙的反战前景以及技术方向„„„„„„„„„„„„„„„„„„„„„„„18 12结束语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„19 1 毕业论文：防火墙技术 本文介绍了防火墙的概念及其功能。防火墙是一种访问控制技术，它通过在某个机构的 网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。又系统地介绍了网络防火墙 系统的基本设计原则的基础上阐述了Internet网络中的防火墙技术。了防火墙技术在 Internet安全上的重要作用，并提出其不足之处和解决。最后阐述了用户在选择防火墙 软件时应注意哪些问题。 关键字：防火墙；包过滤技术；代理技术；网络；Internet；网络安全；网关 We introduce the conception and function of firewall at frist. Firewall is a kind of access control technology which can prevent the information from being illegally accessed by means of setting up the obstruction between the network of a certain organization and the unsafe network.. On the basis of system atically introducting the basic design principe of firewall system, the paper desicribes the firewall technology in the Internet. The paper describes the importance of firewall technology on the security of Internet, and puts forward its shortcomings and their solution.At last we analyze what’s we should care about in choosing firewall. Keywords：Firewall；Packet Filtering Technology；Proxy Technology；Network；Internet； Network Security；Geteway 2 毕业论文：防火墙技术 前言 科学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会 的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给 人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然 而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面 对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在 网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因 此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分 重视。 因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们 既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因 特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说 还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有 效地办法。 1 防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络 的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于 因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器 限制器和分析器； 在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机， 或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取 决于安全策略，预算以及全面规划等。 2 从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据 防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和 代理防火墙。 包过滤防火墙经历了两代： ： 3 毕业论文：防火墙技术 静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP 地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信 息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所 有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都 和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干 个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发 送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这 种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它 的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻 击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单 纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容 易的。其中“信息包冲击”是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发 出一系列地址被替换成一连串顺序IP地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内 部网有攻击性的信息。 2.2 静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为 “包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或 更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。 在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于， 它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序， 其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日 志和审记服务。 代理防火墙也经历了两代： 2.2.1 代理（应用层网关）防火墙： 这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据 包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结 4 毕业论文：防火墙技术 构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类 型的攻击方式入侵内部网。 2.2.2自适应代理防火墙： 自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防 火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理 防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。 我们把两种防火墙的优缺点的对比用下列图表的形式表示如下： 优点 缺点 价格较低性能开销小，定义复杂，容易出现速 处理速度较快 度较慢，不太适用于高 包过滤速网之间的应用 防火墙 内置了专门为提高安不能理解特定服务的 全性而编制的Proxy应上下文环境，相应控制 用程序，能够透彻地理只能在高层由代理服 解相关服务的命令，对务和应用层网关来完代理防 来往的数据包进行安成 火墙 全化处理 3 防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改 过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组 织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间 5 毕业论文：防火墙技术 也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制， 它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安 全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。 防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件 过滤这些功能都是基于封包过滤技术的。 防火墙的主体功能归纳为以下几点： (1)根据应用程序访问规则可对应用程序连网动作进行过滤 (2)对应用程序访问规则具有自学习功能。 (3)可实时监控，监视网络活动。 (4)具有日志，以记录网络访问动作的详细信息。 (5)被拦阻时能通过声音或闪烁图标给用户报警提示。 防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个 基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。 防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。 某些威胁是防火墙力所不及的。 防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可 能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会攻击――一 种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。 另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。 另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火 墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能 让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。 6 毕业论文：防火墙技术 （1）应用层采用Winsock 2 SPI进行网络数据控制、过滤； （2）核心层采用NDIS HOOK进行控制，尤其是在Windows 2000 下，此技术属微软未公开技术。 此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock 2 SPI ；二是核心层封包过滤，采用NDIS_HOOK。 Winsock 2 SPI 工作在API之下、Driver之上，属于应用层的范畴。利用这项技术可 以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用Winsock 2 SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows 平台，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95 只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层， CPU 占用率低；封包还没有按照低层进行切片，所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。 目前比较流行的有以下三种防火墙配置方案。 6.1、双宿主机网关（Dual Homed Gateway） 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配 器分别连接两个网络，又称堡垒主机。 堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双 宿主机网关有一个致命弱点， 一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有 保护的内部网络（如图1）。 6.2、屏蔽主机网关（Screened Host Gateway） 屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机 两种类型。先来看单宿堡垒主机类型。 一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个 网卡，与内部网络连接（如图2）。 通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机， 确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制 地通过屏蔽主机和路由器访问Internet。 7 毕业论文：防火墙技术 双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络， 一块连接包过滤路由器（如图3）。 双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。 6. 3、屏蔽子网（Screened Subnet） 这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器 将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网 内构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据 需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务， 但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户， 还是内部用户都可访问。 这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。当然， 防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病 毒感染的软件或文件的传输；难以避免来自内部的攻击等等。总之，防火墙只是一种整体安 全防范策略的一部分，仅有防火墙是不够的， 安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、 磁盘和数据加密以及病毒防护等有关的安全策略。 7.1双重宿主主机体系结构 它提供来自与多个网络相连的主机的服务(但是路由关闭)，它围绕双重宿主主计算机构筑。 该计算机至少有2个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。它能提供级别非常高 的控制，并保证内部网上没有外部的IP包。但这种体系结构中用户访问因特网的速度会较 慢，也会因为双重宿主主机的被侵袭而失效。 7.2被屏蔽主机体系结构 使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网 与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它 暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上， 数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些 连接(由站点安全策略决定)到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一 执行：?允许其他内部主机，为了某些服务而开放到因特网上的主机连接(允许那些经由数据包过滤的服务)。?不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用代理 服务)。 这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现， 因为它提供了非常有限的服务组，因此这种体系结构提供了比双重宿主主机体系结构更好的 安全性和可用性。 弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络 安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。 7.3)被屏蔽子网体系结构 考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问)，我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。 这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。 这种体系结构有2个屏蔽路由器，每1个都连接到周边网。1个位于周边网与内部网之间， 8 毕业论文：防火墙技术 称为内部路由器，另1个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边 网上。侵袭者若想侵袭内部网络，必须通过2个路由器，即使他侵入了堡垒主机，仍无法进 入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。 8.1 .1 病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒 （或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意代码 进入内部网。 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用 的基于主机的安全方法来保护网络。 8.1.2 口令字 对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管 理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。 策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止 直接登录防火墙。 8.1.3 邮件 来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千 上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码 即可进入。 策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。 8.1.4 IP地址 黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻 击的目的。 策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同 时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行 网络访问。 8.2.1 方案选择 市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台的主 机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功 能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一 起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目 前已普遍使用。 在制造上，硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化， 将主要运算程序做成芯片，以减少CPU的运算压力；国内厂家的防火墙硬件平台仍使用通用 PC系统，增加了内存容量，增大了CPU的频率。在软件性能方面，国外一些著名的厂家均 采用专用的操作系统，自行设计防火墙，提供高性能的产品；而国内厂家大部分基于Linux 操作平台，有针对性的修改代码、增加技术及系统补丁等。因此，国产防火墙与国外的相比 仍有一定差距，但科技的进步，也生产出了较为优秀的产品。如北京天融信的NG系列产品， 支持TOPSEC安全体系、多级过滤、透明应用代理等先进技术。 8.2.2 结构透明 防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用 户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根椐自己企业的网络规模， 9 毕业论文：防火墙技术 以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。 8.2.3 坚持策略 （1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止来自内外部的攻击。 （2）使用FTP、Telnet、News等服务代理，以提供高水平的审计和潜在的安全性。 （3）支持“除非明确允许，否则就禁止”的安全防范原则。 （4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流通过。 8.2.4 实施措施 好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安 全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断 记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。 9.1基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而 使具有分组过滤功能的路由器成为第一代防火墙产品。 9.1.1第一代防火墙产品的特点： 1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤； 2)过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征； 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用 路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防 火墙。 9.1.2第一代防火墙产品的不足之处 具体表现为： 10 毕业论文：防火墙技术 1) 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在 使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过 滤规则，内部网络的20号端口仍可以由外部探寻。 2) 路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置 十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络 系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往 会带来很多错误。 3) 路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。 路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由， 而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规 则设置会大大降低路由器的性能。 可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客 的攻击是十分危险的。 9.2 用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己 的网络，从而推动了用户防火墙工具套的出现。 9.2.1作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包； 11 毕业论文：防火墙技术 3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。 9.2.2第二代防火墙产品的缺点 1) 无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求， 2) 配置和维护过程复杂、费时； 3) 对用户的技术要求高； 4) 全软件实现，使用中出现差错的情况很多。 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。 9.3.1作系统上的防火墙的特点： 1)是批量上市的专用防火墙产品； 2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。 12 毕业论文：防火墙技术 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同 。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。 9.3.2.1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安 全性 无从保证； 9.3.2.2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系 统的 安全性负责； 9.3.2.3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统 厂商 的攻击； 9.3.2.4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能； 9.3.2.5)透明性好，易于使用。 第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。 9.4.1.1 双端口或三端口的结构 13 毕业论文：防火墙技术 新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。 9.4.1.2 透明的访问方式 以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全 风险和出错概率。 9.4.1.3 灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种 代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部 网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制代理或 保密的代理系统技术来解决。 9.4.1.4 多级过滤技术 为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在 分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级，能利用FTP、 SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内 部主机与外部站点的透明连接，并对服务的通行实行严格控制。 9.4.1.5 网络地址转换技术 第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部 网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记 录每一个主机的通信，确保每个分组送往正确的地址。 14 毕业论文：防火墙技术 9.4.1.6 Internet网关技术 由于是直接串联在网络之中，第四代防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性， 对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。 在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。 在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关 的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件 映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理， 网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。 9.4.1.7 安全服务器网络 为了适应越来越多的用户向Internet上提供服务时对服务器的需要，第四代防火墙采用分 别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独 立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务 器网络(SSN)技术。而对SSN上的主机既可单独管理，也可设置成通过FTP、Tnlnet等方式从内部网上管理。 15 毕业论文：防火墙技术 SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之 下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。 9.4.1.8 用户鉴别与加密 为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。 第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。 用户定制服务 为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支 持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据 库的代理，便可以利用这些支持，方便设置。 9.4.1.10 审计和告警 第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、 核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访 问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告 警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。 此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火 墙的必备功能。在Internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来 评估第四代防火墙的抗攻击能力。 16 毕业论文：防火墙技术 9.4.2.1 抗IP假冒攻击 IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。 9.4.2.2 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的 程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。 第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防 止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个 主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。 9.4.2.3 抗口令字探寻攻击 在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信， 截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获 含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。 第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字 的攻击。 9.4.2.4 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的 手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATA软件可以从网上免费获得，Internet Scanner可以从市面上购买，这些分析工具给网络安全构成了直 17 毕业论文：防火墙技术 接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具 无法从外部对内部网络做分析。 9.4.2.5 抗邮件诈骗攻击 邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式 对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户 仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。 10.1.优良的性能 新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更 为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也 成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙 性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通 过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产 品都支持NAT功能，它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边，但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成 为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。 10.2. 可扩展的结构和功能 对于一个好的防火墙系统而言，它的规模和功能应该能够适应内部网络的规模和安全策略的 变化。选择哪种防火墙，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需 求与未来网络的升级。 未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密 功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的 防火墙体系。 10.3. 简化的安装与管理 防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无 异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之 一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的 错误。同时，若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。 因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常 落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的 防火墙的销售。 10.4. 主动过滤 防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具 有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天，许多防火墙 18 毕业论文：防火墙技术 都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎 Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能，允许非工作 时间的冲浪和登录，并提供冲浪活动的报告。 10.5. 防病毒与防黑客 尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP／IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃，使Internet无法供企业使用。防火墙市场已经对此做 出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能 阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工 具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免 方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。 伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防 火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。 1) 2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤， 3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全 4)单向防火墙(又叫做网络二极管) 5) 6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易 于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。 网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学 习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安 全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和 应用的安全，如何保护信息安全，成为了本文探讨的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各 种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息 已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和 共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大 的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使 得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患 19 毕业论文：防火墙技术 随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火 墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的 访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果 使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上 的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内 部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防 火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、 制定网络法规、提高网络管理人员的安全意识等等。 20 毕业论文：防火墙技术 13参考文献 [1] 作者：彭涛. 《计算机网络教程 》 机械工业出版社， [2] 作者：IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料， [3] 作者：楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [3]作者：聂元铭 丘平 《网络信息安全技术》 科学出版社 21