網(wǎng)絡(luò)防火墻技術(shù)論文一
[論文關(guān)鍵詞]
防火墻 網(wǎng)絡(luò)安全
[論文摘要]
在當今的計算機世界,因特網(wǎng)無孔不入。為應(yīng)付“不健全”的因特網(wǎng),人們創(chuàng)建了幾種安全機制,例如訪問控制、認證表,以及最重要的方法之一:防火墻。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,因特網(wǎng)已經(jīng)走進千家萬戶,網(wǎng)絡(luò)的安全成為人們最為關(guān)注的問題。目前,保護內(nèi)部網(wǎng)免遭外部入侵比較有效的方法為防火墻技術(shù)。
一、防火墻的基本概念
防火墻是一個系統(tǒng)或一組系統(tǒng),在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略,它實際上是一種隔離技術(shù)。
一個有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻,所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個關(guān)鍵點以防止外來入侵;監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示,尤其對于重大的信息量通過時除進行檢查外,還應(yīng)做日志登記;提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能,有助于緩解IP地址資源緊張的問題,同時,可以避免當一個內(nèi)部網(wǎng)更換ISP時需重新編號的麻煩;防火墻是為客戶提供服務(wù)的理想位置,即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。
二、防火墻的技術(shù)分類
現(xiàn)有的防火墻主要有:包過濾型、代理服務(wù)器型、復合型以及其他類型(雙宿主主機、主機過濾以及加密路由器)防火墻。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ),對IP源地址、目標地址、協(xié)議類型、端口號等進行篩選。包過濾在網(wǎng)絡(luò)層進行。
代理服務(wù)器型(Proxy Service)防火墻通常由兩部分構(gòu)成,服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點連接,中間節(jié)點再與提供服務(wù)的服務(wù)器實際連接。
復合型(Hybfid)防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來,形成新的防火墻,由堡壘主機提供代理服務(wù)。
各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻,主要有:雙宿主主機防火墻,它是由堡壘主機充當網(wǎng)關(guān),并在其上運行防火墻軟件,內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機;主機過濾防火墻是指一個包過濾路由器與外部網(wǎng)相連,同時,一個堡壘主機安裝在內(nèi)部網(wǎng)上,使堡壘主機成為外部網(wǎng)所能到達的惟一節(jié)點,從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊;加密路由器對通過路由器的信息流進行加密和壓縮,然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M行解壓縮和解密。
三、防火墻的基本功能
典型的防火墻應(yīng)包含如下模塊中的一個或多個:包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。
(一)包過濾路由器
包過濾路由器將對每一個接收到的包進行允許/拒絕的決定。具體地,它對每一個數(shù)據(jù)報的包頭,按照包過濾規(guī)則進行判定,與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則,則丟棄之。
與服務(wù)相關(guān)的過濾,是指基于特定的服務(wù)進行包過濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口,因此,阻塞所有進入特定服務(wù)的連接,路由器只需將所有包含特定 TCP/UDP目標端口的包丟棄即可。
獨立于服務(wù)的過濾,有些類型的攻擊是與服務(wù)無關(guān)的,比如:帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的,此時,需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件,這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
(二)應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾路由器更為嚴格的安全策略,為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼,同時,代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實現(xiàn)的,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺的費用為代價,網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平,但增加了安全配置上的靈活性。
(三)鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。
四、防火墻的安全構(gòu)建
在進行防火墻設(shè)計構(gòu)建中,網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準則;整個企業(yè)網(wǎng)的安全策略;以及防火墻的財務(wù)費用預算等。
(一)基本準則
可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準則:第一,未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息,每一個服務(wù)請求或應(yīng)用的實現(xiàn)都基于逐項審查的基礎(chǔ)上。這是一個值得推薦的方法,它將創(chuàng)建一個非常安全的環(huán)境。當然,該理念的不足在于過于強調(diào)安全而減弱了可用性,限制了用戶可以申請的服務(wù)的數(shù)量。第二,未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然,該理念的不足在于它將可用性置于比安全更為重要的地位,增加了保證企業(yè)網(wǎng)安全性的難度。
(二)安全策略
在一個企業(yè)網(wǎng)中,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時首先要考慮其保護的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細致的安全分析、全面的風險假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。
(三)構(gòu)建費用
簡單的包過濾防火墻所需費用最少,實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器,而包過濾是標準路由器的一個基本特性。對于一臺商用防火墻隨著其復雜性和被保護系統(tǒng)數(shù)目的增加,其費用也隨之增加。
至于采用自行構(gòu)造防火墻方式,雖然費用低一些,但仍需要時間和經(jīng)費開發(fā)、配置防火墻系統(tǒng),需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。
五、防火墻的局限性
盡管利用防火墻可以保護內(nèi)部網(wǎng)免受外部黑客的攻擊,但其只能提高網(wǎng)絡(luò)的安全性,不可能保證網(wǎng)絡(luò)的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經(jīng)過防火墻的攻擊。例如,如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號,一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個實際的網(wǎng)絡(luò)運行環(huán)境中,僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠,此時,應(yīng)根據(jù)實際需求采取其他相應(yīng)的安全策略。
網(wǎng)絡(luò)防火墻技術(shù)論文二
論文導讀:
影響計算機網(wǎng)絡(luò)安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。欺騙,論文參考,計算機網(wǎng)絡(luò)安全與防火墻技術(shù)。
關(guān)鍵詞:
計算機網(wǎng)絡(luò)安全,防火墻,單子網(wǎng),arp欺騙
影響計算機網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類為:計算機病毒、人為的無意失誤、人為的惡意攻擊、網(wǎng)絡(luò)軟件的缺陷和漏洞、物理安全問題。
而防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。
1. 非法攻擊防火墻的基本“招數(shù)”
通常情況下, 有效的攻擊都是從相關(guān)的子網(wǎng)進行的。因為這些網(wǎng)址得到了防火墻的信賴,雖說成功與否尚取決于機遇等其他因素,但對攻擊者而言很值得一試。下面以數(shù)據(jù)包過濾防火墻為例,簡要描述可能的攻擊過程。
通常主機A與主機B 的TCP 連接(中間有或無防火墻) 是通過主機A向主機B 提出請求建立起來的,而其間A和B 的確認僅僅根據(jù)由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack),使得信賴主機處于“自顧不暇”的忙碌狀態(tài),相當于被切斷,這時目標主機會認為信賴主機出現(xiàn)了故障,只能發(fā)出無法建立連接的RST 包,而無暇顧及其他。
攻擊者最關(guān)心的是猜測目標主機的ISN。為此,可以利用SMTP的端口(25),通常它是開放的,郵件能夠通過這個端口,與目標主機打開(Open)一個TCP 連接,因而得到它的ISN。在此有效期間,重復這一過程若干次,以便能夠猜測和確定ISN的產(chǎn)生和變化規(guī)律,這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發(fā)出連接請求。請求發(fā)出后,目標主機會認為它是TCP 連接的請求者,從而給信賴主機發(fā)送響應(yīng)(包括SYN),而信賴主機目前仍忙于處理Flood淹沒攻擊產(chǎn)生的“合法”請求,因此目標主機不能得到來自于信賴主機的響應(yīng),F(xiàn)在攻擊者發(fā)出回答響應(yīng),并連同預測的目標主機的ISN一同發(fā)給目標主機,隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。論文參考,arp欺騙。。如果反復試驗使得目標主機能夠接收對網(wǎng)絡(luò)的ROOT 登錄,那么就可以完全控制整個網(wǎng)絡(luò)。
2. 單防火墻和單子網(wǎng)
由于不同的資源存在著不同的風險程度,所以要基于此來對網(wǎng)絡(luò)資源進行劃分。這里的風險包含兩個因素: 資源將被妥協(xié)的可能性和資源本身的敏感性。例如:一個好的Web 服務(wù)器運行CGI 會比僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認可,但隨之帶來的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò)管理員在服務(wù)器前端配置防火墻,會減少它全面暴露的風險。數(shù)據(jù)庫服務(wù)器中存放有重要數(shù)據(jù),它比Web 服務(wù)器更加敏感,因此需要添加額外的安全保護層。
使用單防火墻和單子網(wǎng)保護多級應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),這里所有的服務(wù)器都被安排在同一個子網(wǎng),防火墻接在邊界路由器與內(nèi)部網(wǎng)絡(luò)之間,防御來自Internet 的網(wǎng)絡(luò)攻擊。論文參考,arp欺騙。。在網(wǎng)絡(luò)使用和基于主機的入侵檢測系統(tǒng)下,服務(wù)器得到了加強和防護,這樣便可以保護應(yīng)用系統(tǒng)免遭攻擊。像這樣的縱向防護技術(shù)在所有堅固的設(shè)計中是非常普遍的,但它們并沒有明顯的顯示在圖表中。
在這種設(shè)計方案中,所有服務(wù)器都安排在同一個子網(wǎng),用防火墻將它們與Internet 隔離,這些不同安全級別的服務(wù)器在子網(wǎng)中受到同等級的安全保護。盡管所有服務(wù)器都在一個子網(wǎng),但網(wǎng)絡(luò)管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護服務(wù)器的方案系統(tǒng)造價便宜,而且網(wǎng)絡(luò)管理和維護比較簡單,這是該方案的一個重要優(yōu)點。因此, 當進一步隔離網(wǎng)絡(luò)服務(wù)器并不能從實質(zhì)上降低重要數(shù)據(jù)的安全風險時,采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。
3. 單防火墻和多子網(wǎng)
如果遇見適合劃分多個子網(wǎng)的情況,網(wǎng)絡(luò)管理員可以把內(nèi)部網(wǎng)絡(luò)劃分成獨立的子網(wǎng),不同層的服務(wù)器分別放在不同的子網(wǎng)中,數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢時連接的端口,就能有效地提高數(shù)據(jù)層服務(wù)器的安全性,也能夠幫助防御其它類型的攻擊。論文參考,arp欺騙。。這時,更適于采用一種更為精巧的網(wǎng)絡(luò)結(jié)構(gòu)???單個防火墻劃分多重子網(wǎng)結(jié)構(gòu)。單個防火墻劃分多重子網(wǎng)的方法就是在一個防火墻上開放多個端口,用該防火墻把整個網(wǎng)絡(luò)劃分成多個子網(wǎng),每個子網(wǎng)分管應(yīng)用系統(tǒng)的特定的層。管理員能夠在防火墻不同的端口上設(shè)置不同的安全策略。
使用單個防火墻分割網(wǎng)絡(luò)是對應(yīng)用系統(tǒng)分層的最經(jīng)濟的一種方法,但它并不是沒有局限性。邏輯上的單個防火墻,即便有冗余的硬件設(shè)備,當用它來加強不同安全風險級別的服務(wù)器的安全策略時,如果該防火墻出現(xiàn)危險或錯誤的配置,入侵者就會獲取所有子網(wǎng)包括數(shù)據(jù)層服務(wù)器所在的最敏感網(wǎng)絡(luò)的訪問權(quán)限。而且,該防火墻需要檢測所有子網(wǎng)間的流通數(shù)據(jù),因此,它會變成網(wǎng)絡(luò)執(zhí)行效率的瓶頸。所以,在資金允許的情況下,我們可以用另一種設(shè)計方案???多個防火墻劃分多個子網(wǎng)的方法,來消除這種缺陷。
4.arp欺騙對策
各種網(wǎng)絡(luò)安全的對策都是相對的,主要要看網(wǎng)管平時對網(wǎng)絡(luò)安全的重視性了。下面介始一些相應(yīng)的對策:
在系統(tǒng)中建立靜態(tài)ARP表,建立后對本身自已系統(tǒng)影響不大的,對網(wǎng)絡(luò)影響較大,破壞了動態(tài)ARP解析過程。論文參考,arp欺騙。。靜態(tài)ARP協(xié)議表不會過期的,我們用“arp?d”命令清除ARP表,即手動刪除。論文參考,arp欺騙。。但是有的系統(tǒng)的靜態(tài)ARP表項可以被動態(tài)刷新,如Solaris系統(tǒng),那樣的話依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊,相反縱容了ARP欺騙攻擊,因為虛假的靜態(tài)ARP表項不會自動超時消失。論文參考,arp欺騙。。 在相對系統(tǒng)中禁止某個網(wǎng)絡(luò)接口做ARP解析(對抗ARP欺騙攻擊),可以做靜態(tài)ARP協(xié)議設(shè)置(因為對方不會響應(yīng)ARP請求報文)如:arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數(shù)操作系統(tǒng)如:Unix、BSD、NT等,都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”和“使用靜態(tài)ARP表”的設(shè)置來對抗ARP欺騙攻擊。而Linux系統(tǒng),其靜態(tài)ARP表項不會被動態(tài)刷新,所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”即可對抗ARP欺騙攻擊。