防火墙技术论文精选7篇
防火墙技术论文 篇一
1.1黑客攻击的问题
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2防火墙技术在校园网络安全中的应用
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
2.3配置路由器防火墙
防火墙技术在校园网络安全当中的应用一方面除了使用服务器,另一方面就是通过路由器来接入到Internet。路由器作为连接多个网络的设备,可以在不同网络间实现数据信息交换。现在路由器的功能日益增多,其中一个重要功能就是具备安全功能,集成防火墙以及VPN(虚拟专有网络)等方面的功能。通常情况下,安全路由器在接入Internet的时候采用防火墙技术,基于源以及目标IP地址和端口过滤环节的防火墙技术,并且通过防火墙技术,能够让内部局域网避免受到外网的攻击,从而发挥安全防护作用。
防火墙技术论文 篇二
1 包过滤防火墙实验
包过滤防火墙[1]可以在网络层或数据链路层截获数据,使用一些规则来确定是否转发或丢弃各个数据包。该文中将以Linux OS下的IPtables软件为例来说明包过滤防火墙实验设计,其实验环境搭建如图1所示。
在该环境中只设置1台Linux主机用于运行IPtables防火墙,三台Windows主机分别连接到防火墙主机的三块网卡(NIC)上,用于模拟私有网络、Internet区域和DMZ。为了满足实验的要求,在这三台Windows主机上需要安装一些必要软件如各种服务器软件并加以配置使其正确运行。在该实验环境中,设计满足如下网络安全要求的防火墙实验。
1) 允许网络接口eth1、eth2相连接的LAN1和LAN2之间进行相互通信。
2) LAN1和LAN2的任何主机可以使用internet中的任何服务(Web,E-mail,Ftp等)。
3) 来自internet的主机不能访问1023以下的LAN1和LAN2中的内部端口。
4) 拒绝从网络接口eth0直接访问防火墙本机的ICMP数据包,但是允许相应防火墙TCP请求的数据包进入。
5) 允许internet中的主机访问LAN1中的DNS服务、WEB服务、FTP服务,其它服务如telnet等禁止。
通过该实验可以使学生掌握防火墙包过滤技术, IPtables的防火墙规则编写方法、IPtables中的表和链的概念、数据包控制方法,防火墙在网络系统中的部署、安装、配置和测试方法等,为以后真正利用防火墙解决网络安全工程中的实际问题奠定坚实的基础。
2 网络地址翻译NAT实验
网络地址翻译(NAT)[2]也是一种重要的防火墙技术,它隐藏了内部的网络结构,外部攻击者无法确定内部网络的连接状态。通过设置规则,在不同的时候,内部网络向外连接使用的地址都可以不同,给外部攻击者造成了困难。同样NAT通过定义各种映射规则,可以屏蔽外部的连接请求,并可以将外部连接请求映射到不同的主机上。NAT实验环境如图2所示,可以设计如下实验。
1) 利用NAT进行IP地址伪装
将向外部网络上提供服务的服务器在物理上放置于私用网络中,假如私用网络中的一台服务器的IP地址为192.168.1.3/24,如果要对外部网络提供Web服务,就可以利用IPtables进行IP地址伪装,当外部网络中的主机对210.45.144.254进行Web请求时,该防火墙就转向私用网络中的192.168.1.3的服务器进行Web请求。可以使用下面的IPtables规则加以实现。
#IPtables -t nat -A PREROUTING -p tcp -d 210.45.144.254 —dport 80 -j DNAT —to-destination 192.168.1.3
2) 使用NAT访问外部服务
使私有网络中的主机通过NAT访问外部网络中的服务,可以使用下面的IPtables规则加以实现。
3 应用层服务器防火墙实验
服务器防火墙[3] 通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。
服务器可以用于禁止防问特定的网络服务,而允许其他服务的使用,通过防火墙服务器的通信信息,可以提供源于部分传输层,全部应用层和部分会话层的信息。另外还有识别并实施高层的协议,如http和ftp等的优点。
本实验项目拟用Squid服务器[4]实现高速Web,并且实现认证以及流量计费系统。图3是实现该实验项目的平台。
在以上的实验环境中,设计满足如下要求的实验:
1) 限制内网某些IP使用服务器,例如要使用地址范围10.10.43.1到10.10.43.254的主机允许访问Squid服务器可使用下面的方法定义acl。
一旦定义地址范围以后就可以用带allow动作的http_access命令把allowed_hosts指定为aacl进行下面的定义。
2) 实现认证,指定认证程序,并且指定认证的身份认证口令文件为/usr/local/squid/etc/passwd。
3) 实现Squid服务器访问报告生成器。Squid服务器访问统计系统可以利用Sarg软件加以实现,该软件可以从下载sarg-2.3.1.tar.gz源代码软件包。该软件通过访问Squid的日志文件access.log实现用户访问情况统计、站点访问统计、拒绝访问统计、认证失败统计、访问流量统计、访问时间统计等各种信息统计。
4 结论
本文利用Linux OS下的IPtables、Squid以及其它开放源代码软件,灵活地使用Linux主机实现各种防火墙技术,包括使用IPtables实现包过滤防火墙、NAT、IP地址伪装、Squid服务器、认证、服务访问统计系统等,设置了若干防火墙技术实验项目,给出了实验环境的搭建。在节约实验设备硬件投资的情况下,使学生更深入地掌握防火墙原理、技术及实现,并提高学生的专业实践能力。
参考文献:
[1] 叶惠卿。 基于Linux iptables防火墙规则生成的研究与实现[D].广州:中山大学,2010.
[2] 崔建, 钱杰, 张蓓。 校园网中服务器和NAT设备的监控与防范[J]. 大连理工大学学报,2005,45(z1):s91-s94.
防火墙技术论文 篇三
[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
一、包过滤型防火墙的攻击
包过滤技术是一种完全基于网络层的安全技术,只能根据packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。
包过滤防火墙是在网络层截获网络packet,根据防火墙的规则表,来检测攻击行为。根据packet的源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口来过滤。所以它很容易受到如下攻击。
(一)ip欺骗
如果修改packet的源,目的地址和端口,模仿一些合法的packet就可以骗过防火墙的检测。如:我将packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。
这种攻击应该怎么防范呢?
如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。
eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的packet,那么这种直接到达eth1的伪造包就会被丢弃。
(二)分片伪造
分片是在网络上传输ip报文时采用的一种技术手段,但是其中存在一些安全隐患。ping of death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。
在ip的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有tcp端口号的信息。当ip分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。
那我们先发送第一个合法的ip分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器tcp/ip堆栈来说,它还是能够正确重组的。
二、nat防火墙的攻击
这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同nat后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为udp打洞技术。
udp打洞技术允许在有限的范围内建立连接。stun(the simple traversal of user datagram protocol through network address translators)协议实现了一种打洞技术可以在有限的情况下允许对nat行为进行自动检测然后建立udp连接。在udp打洞技术中,nat分配的外部端口被发送给协助直接连接的第三方。在nat后面的双方都向对方的外部端口发送一个udp包,这样就在nat上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的udp通信了。
但是udp连接不能够持久连接。udp是无连接的并且没有对谁明确的通信。一般地,nat见了的端口映射,如果一段时间不活动后就是过期。为了保持udp端口映射,必须每隔一段时间就发送udp包,就算没有数据的时候,只有这样才能保持udp通信正常。另外很多防火墙都拒绝任何的外来udp连接。
由于各方面原因,这次没有对建立tcp的连接做研究,估计是能连接的。
三、防火墙的攻击
防火墙运行在应用层,攻击的方法很多。这里就以wingate为例。 wingate是以前应用非常广泛的一种windows95/nt防火墙软件,内部用户可以通过一台安装有wingate的主机访问外部网络,但是它也存在着几个安全脆弱点。
黑客经常利用这些安全漏洞获得wingate的非授权web、socks和telnet的访问,从而伪装成wingate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
导致wingate安全漏洞的原因大多数是管理员没有根据网络的实际情况对wingate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:
(一)非授权web访问
某些wingate版本(如运行在nt系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用wingate主机来对web服务器发动各种web攻击( 如cgi的漏洞攻击等),同时由于web攻击的所有报文都是从80号tcp端口穿过的,因此,很难追踪到攻击者的来源。
检测wingate主机是否有这种安全漏洞的方法如下:
(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。
(2)把浏览器的服务器地址指向待测试的wingate主机。
如果浏览器能访问到因特网,则wingate主机存在着非授权web访问漏洞。
(二)非授权socks访问
在wingate的缺省配置中,socks(1080号tcp端口)同样是存在安全漏洞。与打开的web(80号tcp端口)一样,外部攻击者可以利用socks访问因特网。
(三)非授权telnet访问
它是wingate最具威胁的安全漏洞。通过连接到一个误配置的wingate服务器的telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。
检测wingate主机是否有这种安全漏洞的方法如下:
1)使用telnet尝试连接到一台wingate服务器。
[root@happy/tmp]#telnet172.29.11.191
trying172.29.11.191….
connectedto172.29.11.191.
escapecharacteris'^]'.
wingate>10.50.21.5
2)如果接受到如上的响应文本,那就输入待连接到的网站。
3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。
connectedtohost10.50.21.5…connected
sunos5.6
login:
其实只要我们在wingate中简单地限制特定服务的捆绑就可以解决这个问题。
四、监测型防火墙的攻击
一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!
(一)协议隧道攻击
协议隧道的攻击思想类似与vpn的实现原理,攻击者将一些恶意的攻击packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。
比如说,许多简单地允许icmp回射请求、icmp回射应答和udp分组通过的防火墙就容易受到icmp和udp协议隧道的攻击。loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应ip分组)嵌入在icmp或udp包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。
由于许多防火墙允许icmp和udp分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。
(二)利用ftp-pasv绕过防火墙认证的攻击
ftp-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如checkpoint的firewall-1,在监视ftp服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的tcp连接。
攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。
五、通用的攻击方法
(一)木马攻击
反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。
说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。
(二)d.o.s拒绝服务攻击
简单的防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。
land(land attack)攻击:在land攻击中,黑客利用一个特别打造的syn包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送syn-ack消息,结果这个地址又发回ack消息并创建一个空连接,每一个这样的连接都将保留直到超时,在land攻击下,许多unix将崩溃,nt变得极其缓慢。
ip欺骗dos攻击:这种攻击利用tcp协议栈的rst位来实现,使用ip欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的tcp数据,伪装自己的ip为a.a.a.a,并向服务器发送一个带有rst位的tcp数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
六、结论
我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。
在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。
参考文献:
[1]w.richard 详解 卷一:协议[m].机械工业出版社,2000.
[2]黎连业,张维。防火墙及其应用技术[m].北京:清华大学,2004.
[3]marcus goncalves. 防火墙技术指南[m].北京:机械工业出版社,2000.
防火墙技术论文范文 篇四
关键词:网络防火墙技术;设计过程;问题
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Network Firewall Technology and Design Process Related Issues
Shi Yang
(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)
Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.
Keywords:Network firewall technology;Design process;Problem
一、网络防火墙的相关理论研究
随着和网络时代的到来,网络防火墙逐渐成为当前最为重要相关网络的防护手段,英文叫做“Firewall”。随着信息技术的不断发展,防火墙的过滤和防护机制的设计从最初的只注重外网的信息通讯防护和检测,对内网传输的绝对信任发展成为现在的不仅对于外网的通信需要进行有效过滤和排查,也需要对内部网络用户发出的数据或者通讯信息进行安全过滤,这样的设计和安排符合网络防火墙的基本设计初衷和安全的要求。由此可见,防火墙并不是完全封闭不可透过的,它存在的过滤机制可以让安全的通讯正常传输,而阻止具有破坏性的、危险的通讯,以保护网络安全。
网络防火墙作为网络安全的屏障具有自身特征:首先是网络防火墙具有本身坚固的抵御攻击的免疫能力,这也是防火墙能担当网络安全屏障的前提条件,只有防火墙自身具有完善的可以信任的安全防护系统,才谈得上为网络提供安全保证;其次,防火墙的工作原理和设计理念就是只有符合安全设置的数据和信号才能通过防火墙,才能顺利传输;最后,防火墙是所有信息传输的唯一通道,无论是内部网络还是外部网络传输的信号和数据都需要经过防火墙,这样防火墙才能起到真正过滤威胁,维护网络通信安全的作用。
网络防火墙通常情况下从软硬件的形式上来划分主要有硬件防火墙和软件防火墙两类;从防火墙的技术职能上来划分主要可分为“包过滤型”和“应用型”两大类;如果按防火墙的应用部署位置来划分主要由边界防火墙、个人防火墙和混合防火墙三大类;再从防火墙的结构上来划分主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。不同分类之下的防火墙通过在内部和外部网络的相关设置的检查点来检测和控制传输的数据和信号,将不同的网络隔离开来,互相区分,以保证内部信息和数据不会外泄和流失,强化了网络安全防护的效果,有效审查网络的相关活动,保证网络安全。
二、网络防火墙设计和运行中的相关问题研究
随着网络防火墙主要技术的不断发展变革,主要包括的技术有:包过滤,是防火墙最为传统、最基本的过滤技术之一;网络地址转换(NAT,Network Address Translate);应用级网关(服务器);电路级网关技术是会话层过滤的数据包,较之包过滤要高出两层左右;非军事化区(DMZ)在网络内部设置公开化的网络服务器设施,这样较比其他的防火墙要多一道防护;透明模式也叫做透明技,此技术使得用户也意识不到防火墙的存在;邮件转发技术使得外部网络只知道防火墙的域名或者IP地址,这样只能将信息和数据传输到防火墙在进行转发,以实现保护内网;堡垒主机经常配置相关网关服务,设置一个监测点,使所有内网的完全问题集中在一个主机上解决;阻塞路由器和屏蔽路由器,在内部网和内外网连接中起到防护作用;隔离域名服务器是可以起到保证受保护网络的IP地址不被外部网络侵害或者知悉;状态监视器是最新的防火墙技术,安全防护的性能最佳,功能最强大。
在网络防火墙设计结构模式的发展历程见证了不同时代的防火墙技术,这里主要介绍屏蔽路由器模式、屏蔽主机模式以及非军事区结构模式几种。
屏蔽主机模式,在发展的一定阶段的时候,防火墙技术在路由器后增加一道用于进行安全控制点的计算机,眨眼那个可靠的计算,只有侵害透过了路由和堡垒主机才能到达内网,加强了安全防护。
屏蔽路由器,较之屏蔽主机模式就略显单一,也是之前的防火墙技术不够完善的表现,这种防护策略是很原始、很单一,只限于在现有的硬件的基础上实现单一的防护,加之过滤包的过滤,是最简单的防火技术原理。
非军事区结构,在这个防火墙技术设计中,同时存在着两个防火墙系统,外部防火墙主要负责抵挡来自外部网络的侵害和攻击,内部防火墙主要负责管理DMZ对于内部网络的输入和访问。内部防火墙是对于内部网络的除了外部防火墙和堡垒主机之外的第三道安全屏障和防护,当外部防火墙被侵害而失效时,它还可以继续起到保护内部网络安全运行的功能。在这样涉及到防火墙安全结构里,一个黑客想要进攻内网,必须完全通过三个相互独立的防护区域(包括外部防火墙、内部防火墙和堡垒主机)才能实际到达内部局域网展开攻击。保护的强度和范围大大加大,网络的稳定性和安全性也就大大提升,当然,随之而来的,在这样的网络防火墙结构设计里,经济成本投入毋庸置疑的也是最大的。
三、结束语
网络信息时代,利用网络进行的经济活动和社会生活也越来越广泛和多样,带给人们社会生活的实际影响也就越来越大,因此,如何有效实现网络安全也就成为当今时代最为热点的问题。网络防火墙最为有效保护网络安全的技术,需要在实践里不断研究探索和发展完善。在经历了不同时代防火墙技术的发展之后,现如今的防火墙技术已经在一定程度上实现了有效保护内网安全和稳定的目的。但是,未来在具体的设计网络防火墙还是任重道远的,因而黑客在不断的进步和技术更新,自然,网络防火墙技术也相应地需要在网管设置、技术更新、屏蔽形式、硬软件设置和配备等多方面提升和完善,加大技术和资金投入,保证未来信息时代网络安全运行,为经济生产和社会生活保驾护航。
参考文献:
防火墙技术论文范文 篇五
本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。
【关键词】网络防火墙服务器
绪论
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
一、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
二、网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
三、型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
四、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
防火墙技术论文范文 篇六
关键词:网络攻击 防火墙 嵌入式
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01
信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
参考文献
[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).
[2]江文,浅议新一代防火墙技术的应用与发展[J].科学之友,2011(12).
防火墙技术论文 篇七
防火墙是当前公认的确保网络安全最有效的手段。它通过对访问权限的控制,对所涉及用户的操作进行审查和过滤,有效降低了计算机网络的安全风险。防火墙可以对内部网与互联网之间的所有活动进行即时有效的监督,不管是对运行秩序还是内部网的安全运行都能起到很好的保护作用。
1.1计算机防火墙技术
防火墙对计算机网络保护作用的实现是通过将内部网络与互联网分开来实现的,具有相当强的隔离性。在防火墙的使用上,通常都是依靠包的源地址和数据包协议等进行设置的。此外,防火墙的实现途径还有服务器的软件这种形式,不过使用频率相对少一些。防火墙在过去比较长的时间里,它的主要目的除了限制主机之外,再就是规范网络访问控制,功能相对单一和简单,不过,随着近些年网络技术的不断更新和完善,防火墙的功能越来越丰富了,集成了信息的解密、加密等多种功能,另外还具有压缩机解压这种新的功能,计算机网络的安全性因此得到了非常大的提高。
1.2防火墙的主要功能
防火墙的功能是比较多的,最主要的是以下几个方面:首先,对本机的数据进行筛选和过滤,这样可以有效避免非法信息及各种网络病毒的攻击和侵入,另外防火墙还可以对网络中部分特殊站点进行严格规范,这样可以有效避免因相关人员的无意操作所带来的网络风险。其次,防火墙能够比较彻底地拦截不安全访问,外部人员如果想进入内部网,必须先经过防火墙的审查,只有审查合格了才能够进入,在这一个环节中,那些不安全的访问用户就会被过滤掉,大大降低了网络安全的风险。再次,防火墙能够很好地保存网络运行中产生的各种信息数据,当它发现网络中出现威胁网络安全的非法活动时,能够在第一时间发出警报,并采取针对性的措施[3]。
二、结语
随着信息化和网络化建设的不断推进,网络安全问题也越来越受到人们的关注,尤其是近年来美国的斯诺登事件不断发酵,使得计算机网络安全问题超出了以往的技术性问题,而演化成了具有广泛影响力的社会问题。为切实维护好上至政府部门,下至普通百姓的网络安全,预防和减少网络安全威胁带来的各方面损失,有必要广泛应用以防火墙为基础的网络安全技术,并加大投入不断进行研发和更新,保证即使面对着最新、最先进的网络攻击技术,也能起到必要的防护作用,保证人们生活生产秩序的稳定。
以上内容就是差异网为您提供的7篇《防火墙技术论文》,希望对您有一些参考价值,更多范文样本、模板格式尽在差异网。