防火墙技术在计算机网络安全中的应用论文正文

防火墙技术在计算机网络安全中的应用论文正文内容摘要：

Winsock 2 SPI 的优点是非常明显的：其工作在应用层以 DLL 的形式存在，编程、测试方便；跨 Windows 平台，可以直接在 Windows98/ME/NT/2020/XP 上通用， Windows95 只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层， CPU 占用率低；封包还没有按照低层协议进行切片，所以比较完整。 而防火墙正是在TCP/IP 协议在 windows 的基础上才得以实现。 6 防火墙的典型配置 目前比较流行的有以下三种防火墙配置方案。 双宿主机网关（ Dual Homed Gateway） 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。 双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。 堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。 双宿主 机网关有一个致命弱点， 一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图 1）。 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 9 页 屏蔽主机网关（ Screened Host Gateway） 屏蔽主机网关易于实现，安全性好，应用广泛。 它又分为单宿堡垒主机和双宿堡垒主机两种类型。 先来看单宿堡垒主机类型。 一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。 堡垒主机只有一个网卡，与内部网络连接（如图 2）。 通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 Inter 惟一可以访问的主机， 确保了内部网络不受未被授权的外部用户的攻击。 而 Intra 内部的客户中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 10 页 机，可以受控制地通过屏蔽主机和路由器访问 Inter。 双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图 3）。 双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。 屏蔽子网（ Screened Sub） 这种方法是在 Intra 和 Inter 之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与 Intra 和 Inter 分开。 两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带” (如图 4)，两个路由器一个控制Intra 数据流，另一个控制 Inter 数据流， Intra 和 Inter 均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。 可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务， 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 11 页 但是来自两网络的访问都必须通过两个包过滤路由器的检查。 对于向Inter 公开的服务器，像 WWW、 FTP、 Mail等 Inter 服务器也可安装在屏蔽子网内，这 样无论是外部用户，还是内部用户都可访问。 这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。 当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自内部的攻击等等。 总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的， 安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。 7 各种防火墙体系结构 的 优缺点 双重宿主主机体系结构 它 提供来自与多个网络相连的主机的服务 (但是路由关闭 )，它围绕双重宿主主计算机构筑。 该计算机至少有 2 个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。 2 个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的 IP 通信被完全禁止。 双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。 它能提供级别非常高的控制，并保证内部网上没有外部的 IP 包。 但这种体系结构中用户访问因特网的速度会较慢，也会中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 12 页 因为双重宿主主机的被侵袭而失效。 被屏蔽主机体系结构 使用 1 个单独的路由器提供来自仅仅与内部网络相连的 主机的服务。 屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。 堡垒主机是 1 个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。 这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。 它也可以开放一些连接 (由站点安全策略决定 )到外部世界。 在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接 (允许那些经由数据包过滤的服务 )。 ②不允许来自内部主机的所有连接 (强迫这些主机经由堡垒主机使 用代理服务 )。 这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，因此这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。 弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。 被屏蔽子网体系结构 考虑到堡垒主机是内部网上最易被侵袭的机器 (因为它可被因特网上用户访问 )，我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全 层，构成了这种体系结构。 这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。 这种体系结构有 2 个屏蔽路由器，每 1 个都连接到周边网。 1 个位于周边网与内部网之间，称为内部路由器，另 1 个位于周边网与外部网之间，称之为外部路由器。 堡垒主机位于周边网上。 侵袭者若想侵袭内部网络，必须通过 2 个路由器，即使他侵入了堡垒主机，仍无法进入内部网。 因此这种结构没有损害内部网络的单一易受侵袭点。 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 13 页 8 常见攻击方式以及应对策略 常见攻击方式 病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍 然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。 口令字 对口令字的攻击方式有两种：穷举和嗅探。 穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。 嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。 策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。 邮 件 来自于邮件的攻击方 式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。 策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。 IP 地址 黑客利用一个类似于内部网络的 IP 地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。 策略：通过打开内核 rp_filter 功能，丢弃所有来自网络外部但却有内部中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 14 页 地址的数据包；同时将特定 IP 地址与 MAC 绑定，只有拥有相应 MAC 地址的用户才能使用被绑定的 IP 地址进行网络访问。 应对策略 方案选择 市场上的防火墙大致有软件防火墙和硬件防火墙两大类。 软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。 硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。 由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。 在制造上，硬件防火墙须同时设计硬件和软件两方面。 国外厂家基本上是将软件运算硬件化，将主要运算程序做成芯片，以减少 CPU 的运算压力；国内厂家的防火墙硬件平台仍使用通用 PC 系统，增加了内存容量，增大了 CPU 的频率。 在软件性能方面，国外一些著名的厂家均采用专用的操作系统，自行设计防火墙，提供高性能的产品；而国内厂家大部分基于 Linux 操作平台，有针对性的修改代码、增加技术及系统补丁等。 因此，国产防火墙与国外的相比仍有一定差距，但科技的进步，也生产出了较为优秀的产品。 如北京天融信的NG 系列产品，支持 TOPSEC 安全体系、多级过滤、透明应用代理等先进技术。 结构透明 防火墙的透明性是指防火墙对于用户是透明的。 以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意 识不到防火墙的存在。 然后根椐自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第 3 点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。 坚持策略 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 15 页 （ 1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止来自内外部的攻击。 （ 2）使用 FTP、 Tel、 News 等服务代理，以提供高水平的审计和潜在的安全性。 （ 3）支持“除非明确允许，否则就禁止”的安全防范原则。 （ 4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流通过。 实施措施 好的防火墙产品应向使用者提供完整 的安全检查功能，应有完善及时的售后服务。 但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。 9 防火墙的发展历程 基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第一代防火墙产品的特点： 1)利用路由器本身对分组的解析，以访问控制表 (Access List)方式实现对分组的过滤； 2)过滤判断的依据可以是 ：地址、端口号、 IP 旗标及其他网络特征； 3)只有分组过滤的功能，且防火墙与路由器是一体的。 这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。 第一代防火墙产品的不足之处 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 16 页 具体表现为： 1) 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。 例如，在使用 FTP 协议时，外部服务器容易从 20 号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的 20 号端口仍可以由外部探寻。 2) 路由器上分组过滤规则的设置和配置 存在安全隐患。 对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。 作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 3) 路由器防火墙的最大隐患是：攻击者可以 “假冒 ”地址。 由于信息在网络上是以明文方式传送的，黑客 (Hacker)可以在网络上伪造假的路由 信息 欺骗防火墙。 路由器防火墙的本质缺陷是： 由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。 用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包； 3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。 第二代防火墙产品 的缺点 中南林业科技大学 本 科毕 业 设计 防火墙技术在网络安全中的应用 第 17 页 1) 无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求， 2) 配置和维护过程复。