毕业论文网络安全与防火墙技术

毕业论文网络安全与防火墙技术内容摘要：

如果黑客对专用网络内部的机器具有了不知从何得 来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。 ●在公共网络，只允许目的地址为 80 端口的包通过。 这条规则只允许传入的连接为 Web 连接。 这条规则也允许与 Web 连接使用相同端口的连接，所以它并不是十分安全。 ●丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减少IP 欺骗性的攻击。 ●丢弃包含源路由信息的包，以减少源路由攻击。 要记住，在源路由攻击中，防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合 传入的包包含路由信息，它覆盖了包通过网 络应采取得正常路由，可能会绕过已有的安全程序。 通过忽略源路由信息，防火墙可以减少这种方式的攻击。 （ 2） 状态 /动态检测防火墙 状态 /动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。 它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。 当包过滤防火墙见到一个网络，包是孤立存在的。 它没有防火墙所关心的历史或未来。 允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。 包中没有包含任何描述它在信息流中的 位置的信息，则该包被认为是无状态的；它仅是存在而已。 一个有状态包检查防火墙跟踪的不仅是包中包含的信息。 为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。 例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定 IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。 如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。 一个状态 /动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。 因为防火墙跟踪内部出去的请求，所有 按要求传入的数据 9 被允许通过，直到连接被关闭为止。 只有未被请求的传入通信被截断。 如果在防火墙内正运行一台服务器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。 例如，可以将防火墙配置成只允许从特定端口进入的通信，只可传到特定服务器。 如果正在运行 Web 服务器，防火墙只将 80 端口传入的通信发到指定的 Web 服务器。 状态 /动态检测防火墙可提供的其他一些额外的服务有： ●将某些类型的连接重定向到审核服务中去。 例如，到专用 Web 服务器的连接，在 Web 服务器连接被允许之前，可能被发到 SecutID 服务器（用一次性口令来使用）。 ●拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含 ActiveX 程序的 Web 页面。 跟踪连接状态的方式取决于包通过防火墙的类型： ●TCP 包。 当建立起一个 TCP 连接时，通过的第一个包被标有包的 SYN 标志。 通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。 对内部的连接试图连到外部主机，防火墙注明连接包，允许响应及随后再两个系统之间的包，直到连接结束为止。 在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被 允许通过。 ●UDP 包。 UDP 包比 TCP 包简单，因为它们不包含任何连接或序列信息。 它们只包含源地址、目的地址、校验和携带的数据。 这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。 可是，如果防火墙跟踪包的状态，就可以确定。 对传入的包，若它所使用的地址和 UDP 包携带的协议与传出的连接请求匹配，该包就被允许通过。 和 TCP 包一样，没有传入的 UDP 包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。 对其他种类的包，情况和 UDP 包类似。 防火墙仔细 地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。 （ 3） 应用程序代理防火墙 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。 相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。 网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。 这种建立方式拒绝任何没有明确配置的连 接，从而提供了额外的安全性和控制性。 例如，一个用户的 Web 浏览器可能在 80 端口，但也经常可能是在 1080 端口，连接到了内部网络的 HTTP 代理防火墙。 防火墙然后会接受这个连接请求，并把它转到所请求的 Web 服务器。 这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。 代理防火墙通常支持的一些常见的应用程序有： 10 ●HTTP ●HTTPS/SSL ●SMTP ●POP3 ●IMAP ●NNTP ●TELNET ●FTP ●IRC 应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。 要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。 如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。 （ 4） NAT 讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。 网络地址转换 (NAT)协议将内部网络的多个IP 地址转换到一个公共地址发到 Inter 上。 NAT 经常用于小型办公室、家庭等网络，多个用户分享单一的 IP 地址，并为 Inter 连接提供一些安全机制。 当内部用户与一个公共主机通信时， NAT 追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共 IP 地址，然后再打开连接。 一旦建立了连接，在内部计算机和 Web 站点之间来回流动的通信就都是透明的了。 当从公共网络传来一个未经请求的 传入连接时， NAT 有一套规则来决定如何处理它。 如果没有事先定义好的规则， NAT 只是 简 单的丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。 可是，就像对包过滤防火墙一样，你可以将 NAT 配置为接受某些特定端口传来的传入连接，并将它们送到一个特定的主机地址。 （ 5） 个人防火墙 现在网络上流传着很多的个人防火墙软件，它是应用程序级的。 个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态 /动态检测防火墙相同的方式，保护一台计算机免受攻击。 通常，这些防火墙 是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。 一旦安装上个人防火墙，就可以把它设置成 “学习模式 ”，这样的话，对遇到的每一种新的网络通信，个人防火墙都会提示用户一次，询问如何处理那种通信。 然后个人防火墙便记住响应方式，并应用于以后遇到的相同那种网络通信。 例如，如果用户已经安装了一台个人 Web 服务器，个人防火墙可能将第一个传入的Web 连接作上标志，并询问用户是否允许它通过。 用户可能允许所有的 Web连接、来自某些特定 IP 地址范围的连接等，个人防火墙然后把这条规则应用于所有传入的 Web 连接。 基本上，你可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。 不再是计算机的操作系统直接通过网卡进行通信，而是以操作系统通过和个人防火墙对话，仔细检查网络通信，然后再通过网卡通信。 防火墙的基本功能 11 网络安全的屏障 防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。 由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。 防火墙可以禁止诸如不安全的 NFS 协议进出受保护的网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。 防火 墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向路径。 防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。 强化网络安全策略 通过以防火墙为中心的安全方案配置。 能将所有安全软件 (如口令、加密、身份认证等 )配置在防火墙上。 与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。 对网络存取和访问进行监控审 计 由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用的情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 另外，收集一个网络的使用和误用情况也是一项非常重要的工作。 这不仅有助于了解防火墙的控制是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。 防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离， 限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全。 另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节，可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至由此而暴露了内部网络的某些安全漏洞。 使用防火墙就可以隐藏那些透露内部细节的服务，如 Finger、 DNS 等。 Finger 显示了主机的所有用户的用户名、真名、最后登录时间和使用 Shell 类型等。 但是 Finger 显示的信息非常容易被 12 攻击者所获悉。 攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户在连线上网，这个系统是否在 被攻击时引起注意等等。 防火墙可以同样阻塞有关内部网络的 DNS 信息，这样一台。