论文-083-防火墙技术在网络安全中的应用研究

论文-083-防火墙技术在网络安全中的应用研究内容摘要：

和应用层加强防范。 三、防火墙概述 （一）、防火墙定义 防火墙是指设置在不同网络 （如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Inter 之间的任何活动，保证了内部网络的安全。 一般是一个由软件或和硬件设备组合而成，处于企 业或网络群体计算机与外界通道 (Inter)之间，限制外界用户对 内部网络访问及管理内部用户访问外界网络的 6 权限。 首先大概说一下防火墙的分类。 就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种： 第一种：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。 软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 使用这类防火墙，需要网管对所工作的 操作系统平台比较熟悉。 第二种：硬件防火墙 硬件防火墙只是监测所有通过的包是否是合法的结构，然后与 IDS（入侵检测系统）规则做校对，过滤掉规则所定义的包。 如果是利用系统漏洞进入系统修改页面的话，防火墙肯定是防不住的。 第三种：芯片级防火墙 它们基于专门的硬件平台，没有操作系统。 专有的 ASIC 芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 做这类防火墙最出名的厂商莫过于 NetScreen.其他的品牌还有 FortiNet,算是后起之秀了。 这类防火墙由于是专用 OS,因此防火墙本身的漏洞比较少 ，不过价格相对比较高昂，所以一般只有在 “ 确实需要 ” 的情况下才考虑。 软件防火墙、硬件防火墙和芯片级防火墙优缺点： 软件防火墙的安装较复杂，安全性高，性能依赖硬件平台，管理简单，维护费用低，扩展性高，配置灵活性高，价格低。 而硬件防火墙安装简单，安全性较高，性能高，管理较复杂，维护费用高，扩展性低，配置灵活性低，价格高。 最后芯片级防火墙安装简单，安全性高，性能高，管理简单，维护费用低，扩展性高，配置灵活性高，价格较低。 （二）、防火墙的发展史 防火墙的发展过程大致分为 5 代，即： 第 1 代防火墙。 第 1 代防火墙技术几乎与路由器同时出现，采用包过滤技术（ packet filter）技术 第 3 代防火墙。 1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第 2代防火墙，即电路层防火墙，同时提出了第 3 代防火墙 应用层防火墙（代理防火墙）的初步结构。 第 4 代防火墙。 1992 年， USC 信息科学院的 BobBraden 开发出了基于动态包过 （ Dynamic packet Filter）技术的第 4 代防火墙，后来演变为目前所说的状态监视（ Stateful Inspection）技术。 1994 年，以色列 Checkpoint 公司开发出了第一个基于这种技术的商业化产品。 第 5 代防火墙。 1998 年， NAI 公司推出了一种自适应代理（ Adaptive proxy）技术， 7 在其产品 Gauntlet Firewall for NT 中得以实现，给代量类型的防火墙赋予了全新意义，称之为第 5 代防火墙。 从技术角度来看，防火墙是作为一种连接内部网络和公众网的网关，提供对进入内部网络连接的访问控制能力。 它能根据预先定义的安全策略，允许合法连接进入内部网，阻止非法连接。 防火墙的基本功能包括：访问控制、数据 过滤、身份验证、告警、日志和审计。 （三）、防火墙各阶段的特点 防火墙技术经历了以下阶段： 包过滤防火墙（ Pack Filter Firewall） 这是最早的防火墙技术，它根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。 当数据包到达防火墙时，防火墙检查数据包包头的源地址、目的地址、源端口、目的端口及其协议类型。 若是可信连接，就允许通过；否则丢失数据包。 但它有自身的弱点，因此它一般用于对安全性要求不高、要求高速处理数据的网络路由器上。 它的优点和缺点分别是： ① 优点 高速度、用户透明、若过滤规则简单、 则容易配置。 ② 缺点 低安全性、过滤规则复杂，难以配置，且其完备性难以得到检验、不能检查应用层数据、没有用户和应用验证。 应用代理防火墙（ Application Proxy Filewall） 应用代理防火墙检查数据包的应用数据，并且保持完整的连接状态，它能够分析不同协议的完整命令集，根据安全规则禁止或允许某些特殊的协议命令；还具有其他类似于 UPL过滤、数据修改、用户验证、日志等功能。 应用代理防火墙包含 3 个模块；代理服务器、代量客户和协议分析模块。 这种防火墙在通信中执行二传手的角色，能很好地从 Inter 中隔离出受信网络，不允许受信网络和不受信网络之间的直接通信，获得很高的安全性。 但是由于所有的数据包都要经过防火墙 TCP/IP协议栈并返回，因此处理速度较慢，其优点和缺点分别是： ① 优点 较高的安全性、要检查应用层数据、具有完整的用户和应用验证、有效隔离内外网的直接通信。 ② 缺点 速度慢、不能检测未攻击。 入侵状态检测防火墙（ Stateful Inspection Firewall） 也叫自适应防火墙，或动态包过滤防火墙， Check point 公司的 Filewall1 就是基于这种技术的。 它根据过去的通 信信息和其他应用程序获得的状态信息动态生成过滤规则，根据新生成的过滤规则过滤新的通信。 当新的通信结束是，新生成的过滤规则将自动从规则表中删 8 除。 这种类型防火墙的主要优缺点分别是： ① 优点 高速度、保存数据包的状态信息，提高了安全性 ② 缺点 不能完全检查应用层数据、不能检测未知攻击 自适应代理防火墙（ Adaptive Proxy Filrwall） 这种防火墙整合了动态包过滤防火墙和应用代理技术，本质上是状态检测防火墙。 它通过应用层验证新的连接，若新的连接是合法的，它可以被重定向到网络层。 这种防火墙同时具有代理 防火墙和状态检测防火墙的特性，其优缺点是： ①优点 处理数据包的速度比应用代理防火墙快、安全性比包过滤防火墙好、可以进行相应的用户和应用论证。 ②缺点 不能完全检查应用层数据、不能检测未知攻击。 （四）、防火墙的体系结构 防火墙的体系结构主要以下几种分别是：屏蔽路由器、双穴主机网关、被屏蔽主机网关、被屏蔽子网。 屏蔽路由器 (ScreeningRouter) 屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。 屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。 路由器上可以安装基 于 IP 层的报文过滤软件，实现报文过滤功能。 许多路由器本身带有报文过滤配置选项，但一般比较简单。 单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。 屏蔽路由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。 双穴主机网关 (DualHomedGateway) 双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。 两块网卡各自与受保护网和外部网相连。 堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。 与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护系统日志、硬件拷贝 日志或远程日志。 但弱点也比较突出，一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。 被屏蔽主机网关 (ScreenedGateway) 屏蔽主机网关易于实现也最为安全。 一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。 如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。 危险带限制在堡垒主机和 9 屏蔽路由器。 网关的基本控制 策略由安装在上面的软件决定。 如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。 这与双穴主机网关受攻击时的情形差不多。 被屏蔽子网 (ScreenedSub) 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个 DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。 有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网 关代理。 这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。 但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。 在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。 （五）、防火墙的展望 目前，防火墙技术已经引起了人们的普遍关注，随着新技术的发展，逐步出现了一些混合使用 包过滤技术、代理服务技术和其他一些新技术的防火墙。 包过滤系统向着更具灵活性和多功能的方向发展。 比如动态包过滤系统在 CheckPoint、 Firewall Karl Brige/Karl Brouter 以及 Morning Star Secure connect Router 中的包过滤规则可由路由器灵活、快速地设置。 一个输出的 UDP 数据包可以引起对应的允许应答， UDP 创立一个临时的包过滤规则，允许其对应的 UDP 包进入内部网。 随着 Inter 基础技术的发展，也要求防火墙技术不断更新，而作为 Inter 的协议 IP也面临着巨大的变革，促使 IP 变革的主要原因是：现在 IP 协议的四字节方式（也称为 IP Version 4）已不能提供足够多的相互独立的 IP 网址以满足越来越多的 Inter 用户对网址的要求。 为了解决这个问题，人们曾试图将 IP 地址的组成数据划小，以使有更高比例的理论地址投入实际使用。 但这样做不但会引起路由协议方面的问题，实际上也没有提供更多的地址。 据专家估计，在最近几年内， Inter 上的现存网址资源将被用尽 目前，人们正在设计新 的 IP 协议（也称为 IP Version 6）。 IP 协议的变化将对防火墙的建立与运行产生深刻的影响。 同时，目前大多数网络上的机器信息流都有可能被偷看到，但采用如帧中继、异步传输模式（ ATM）可将数据包从源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。 四、防火墙技术 防火墙技术主要分为两大类分别是：包过滤技术和代理技术。 （一）、包过滤技术 包过滤 (PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的 10 过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址、以 及包所使用端口确定是否允许该类数据包通过。 在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包括发送者的 IP 地址和接收者的 IP 地址。 当这些包被送上互联网时，路由器会读取接收者的 IP 并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。 包过滤式的防火墙会检查所有通过信息包里的 IP 地址，并按照系统管理员所给定的过滤规则过滤信息包。 数据包过滤的工作原理 ①包过滤技术依据以下根。