防火墙技术分类(精选四篇)
防火墙技术分类 篇1
防火墙是一种位于2个或多个网络间, 实施网络之间访问控制的组件集合。对于普通用户来说, 防火墙指的就是一种被放置在自己的计算机与外界网络之间的防御系统, 从网络发往计算机的所有数据都要经过它的判断处理后, 才会决定能不能把这些数据传输给计算机, 一旦发现非法数据的传输, 防火墙就会拦截下来, 实现了对计算机的保护功能。
二、防火墙分类
基于具体实现方法可以分为以下3种类型:
1. 软件防火墙。
防火墙运行于特定的计算机上, 一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样, 需要先在计算机上安装并做好配置后方可使用。使用这类防火墙, 需要网络管理人员对所使用的操作系统平台比较熟悉。
2. 硬件防火墙。
由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上, 采用通用计算机系统、U盘、网卡组成的硬件平台上运行Linux、Free BSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用, 且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核, 因此受到操作系统本身安全性的影响, 处理速度较慢。
3. 专用防火墙。
采用通过特别优化设计的硬件体系结构, 使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势, 其速度快、处理能力强、性能高。由于采用专用操作系统, 因而容易配置和管理, 本身漏洞也比较少, 但是扩展能力有限, 价格也较高。由于专用防火墙系列化程度好, 用户可以根据应用环境选择合适的产品。
三、防火墙的功能
1. 允许网络管理员定义一个中心点来防止非法用户进入到内部网络。
2. 可以很方便地监视网络的安全性, 并实时报警。
3. 可以作为部署NAT (Network Address Translation, 网络地
址变换) 的基础, 利用NAT技术, 将有限的IP地址动态或静态地与内部的IP地址对应起来, 用来缓解地址空间短缺的问题。
4. 是审计和记录Internet使用费用的一个最佳方法。
网络管理员可以在此向管理部门提供Internet连接的费用情况, 查出潜在的带宽瓶颈位置, 并能够依据本机构的核算模式提供部门级的计费结果。
四、防火墙的作用
早期的防火墙一般就是利用设置的条件, 监测通过包的特征来决定放行或者阻止, 因此包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出, 但是包过滤依然是非常重要的一环, 如同4层交换机仍要具备包的快速转发功能一样。通过包过滤, 防火墙可以实现阻挡攻击, 禁止外部和内部访问某些站点, 限制每个IP的流量和连接数。
2. 包的透明转发。
事实上, 由于防火墙一般架设在提供某些服务的服务器前端。用户对服务器访问的请求与服务器反馈给用户的信息, 都需要经过防火墙来转发, 因此, 很多防火墙具备网关的能力。
3. 阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的, 防火墙会立即将其阻断, 避免其进入防火墙之后的服务器中。
4. 记录攻击。
如果有必要, 其实防火墙是完全可以将攻击行为都记录下来的, 但是出于效率方面的考虑, 目前一般记录攻击的功能都交给IDS (入侵检测系统) 来完成。
五、防火墙的选择和实施
1. 选择。
防火墙是一类防范措施的总称, 简单的防火墙可以只用路由器来实现, 复杂的防火墙要用1台主机甚至1个子网来实现, 它可以在IP层设置屏障, 也可以用应用层软件来阻止外来攻击, 所以我们要根据实际需要, 对防火墙进行选择应用, 技术人员的任务是权衡利弊, 在网络服务高效灵活、安全保障和应用成本之间找到一个“最佳平衡点”。
(1) 对防火墙的主要类型和各种类型的优缺点要有所了解。
(2) 防火墙的稳定性和它所支持的平台种类。
(3) 使用单位愿意为防火墙投资多少经费。
(4) 使用单位的技术力量如何, 能否维护复杂的防火墙。
2. 管理和维护。选择、安装适合的防火墙后, 我们还要对防火墙进行管理和维护。
(1) 管理维护人员必须经过一定的专业培训, 对单位自身的网络必须有一个清楚的了解和认识。
(2) 定期进行扫描和检测, 以便及时发现问题和堵住漏洞。
(3) 保证系统监控和防火墙通信线路的畅通, 发生安全问题时及时报警, 并及时处理有关安全问题。
(4) 分清工作重点, 根据不同时期进行网络安全的监控。
(5) 要与厂家保持联系, 以便及时获得有关升级和维护的信息。
网络防火墙的分类及应用方案 篇2
系别:信息工程系统 专业:网络技术专业 班级:网络二班 姓名:武连玲 学号:0903032209 指导教师:吕秀鉴
日期:2011年10月31日星期一
目录
绪论.................................................................................................................................1.防火墙的概念...............................................................................................................1.1 什么是防火墙.......................................................................................................................1.2 防火墙的原理.......................................................................................................................2.防火墙的分类.............................................................................................................2.1基础和分类............................................................................................................................2.2包过滤防火墙........................................................................................................................2.3动态包过滤防火墙................................................................................................................2.4 代理(应用层网关)防火墙...............................................................................................2.5 自适应代理防火墙...............................................................................................................3.防火墙的安全策略.....................................................................................................3.1校校园网防火墙网络安全策略............................................................................................3.2防火墙的基本配置................................................................................................................3.2.1命令行基本信息收集:.....................................................................................................3.2.2能问题需收集下列信息:...............................................................................................3.2.3接口之间实施策略:.......................................................................................................3.2.4接口管理设置...................................................................................................................3.2.5用户帐号的操作...............................................................................................................4.防火墙的功能配置...................................................................................................4.1基于内网的防火墙功能及配置..........................................................................................4.1.1 IP与MAC(用户)绑定功能........................................................................................4.1.2 MAP(端口映射)功能..................................................................................................4.1.3NAT(地址转换)功能....................................................................................................5.外网防火墙功能配置..................................................................................................5.1 基于外网的防火墙功能及配置.........................................................................................5.1.1 DOS攻击防范..................................................................................................................5.1.2访问控制功能...................................................................................................................结论...............................................................................................................................参考文献........................................................................................................................防火墙原是设计用来防止火灾从建筑物的一部分传播到另一部分的设施。从理论上讲,Internet防火墙服务也有类似目的,它防止Internet(或外部网络)上的危险(病毒、资源盗用等)传播到网络内部。Internet(或外部网络)防火墙服务于多个目的:
1、限制人们从一个特别的控制点进入;
2、防止入侵者接近你的其它防御设施;
3、限定人们从一个特别的点离开;
4、有效地阻止破坏者对你的计算机系统进行破坏。
1.2 防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
图1-2-1
2.防火墙的分类
2.1基础和分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙。包过滤防火墙经历了两代:
2.2包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
图2-2-1 2.3动态包过滤防火墙
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。
图2-2-3
校园网网络结构拓扑图如图4-1所示:
图3-1-1校园网网络总拓扑结构图
在实际应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域: 内部网络:这是防火墙要保护的对象,包括全部的内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域制订不同的安全策略。虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络构和IP地址,保护内部网络的
netscreen>get config(得到config信息)netscreen>get log event(得到日志)
3.2.2能问题需收集下列信息:
netscreen>set ffiliter?(设置过滤器)
netscreen>debug flow basic是开启基本的debug功能 netscreen>clear db是清除debug的缓冲区
netscreen>get dbuf stream就可以看到debug的信息了 性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。netscreen>Get per cpu detail(得到CPU使用率)
netscreen>Get session info(得到会话信息)
netscreen>Get per session detail(得到会话详细信息)netscreen>Get mac-learn(透明方式下使用,获取MAC硬件地址)netscreen>Get alarm event(得到告警日志)
netscreen>Get tech>tftp 202.101.98.36 tech.txt(导出系统信息)netscreen>Get log system(得到系统日志信息)
netscreen>Get log system saved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。
设置接口-带宽,网关
设置所指定的各个端口的带宽速率,单位为kb/s Set interface interface bandwidth number unset interface interface bandwidth 设置接口的网关
set interface interface gateway ip_addr unset interface interface gateway 设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部
3.2.3接口之间实施策略:
设置接口的接口的区域
set interface interface zone zone unset interface interface zone 设置接口的IP地址
set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 3.2.4接口管理设置
①set interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui} unset interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui} WebUI:允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。Telnet:选择此选项可启用Telnet管理功能。
SSH:可使用“安全命令外壳”(SSH)通过以太网连接或拨号调制解调器管理NetScreen设备。必须具有与SSH协议版本1.5兼容的SSH客户端。选择此选项可启用SSH管理功能。SNMP:选择此选项可启用SNMP管理功能。
SSL:选择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS安全管理信息流。NS Security Manager:选择此选项将允许接口接收NetScreen-SecurityManager信息流。
Ping:选此选项将允许NetScreen设备响应ICMP回应请求,以确定是否可通过网络访问特定的IP地址。
Ident-Reset:与“邮件”或FTP发送标识请求相类似的服务。如果它们未收到确认,会再次发送请求。处理请求期间禁止用户访问。启用Ident-reset选项后,NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求,然后恢复因未确认标识请求而被阻止的访问。②指定允许进行管理的ip地址
set interface interface manage-ip ip_addr unset interface interface manage-ip 3.2.5用户帐号的操作
①添加只读权限管理员
set admin user Roger password 2bd21wG7 privilege read-only ②修改帐户为可读写权限
unset admin user Roger set admin user Roger password 2bd21wG7 privilege all ③删除用户
unset admin user Roger ④清除所有会话,并注销帐户 clear admin name Roger
4.防火墙的功能配置
4.1基于内网的防火墙功能及配置 4.1.1 IP与MAC(用户)绑定功能
如果在一个局域网内部允许Host A上网而不允许Host B上网,则有一种方式可以欺骗防火墙进行上网,就是在HostA还没有开机的时候,将HostB的IP地址换成Host A的IP地址就可以上网了。那么针对IP欺骗的行为,解决方法是将工作站的IP地址与网卡的MAC地址进行绑定,这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。但是这种绑定只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。但是可以通过IP地址与用户的绑定,因为用户是可以跨网段的。
另外对DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,如何解决这样的问题呢?目前主要有两种方式可以解决这个问题,第一种是在防火墙中内置DHCP服务器,但这种方式由于防火墙内置DHCP服务器,会导致防火墙本身的不安全,如果有一天防火墙失效,造成DHCP服务器宕机会影响整个网络而并不仅仅只对出口造成影响。另一种比较好的解决方法是防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址只添网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
(用户)绑定针对IP欺骗的行为,我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进行绑定。
2个WEB服务器。因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击进行扫描,内网是安全的,因为61.235.51.6地址是防火墙的外端口,真正的WEB服务器的地址是192.168.0.1不会受到攻击,这样可以增加网络的安全性
4.1.3NAT(地址转换)功能
网络地址转换可以将内网的私有地址利用防火墙的地址转换功能,来实现对地址的转换,防火墙可以随机设置静态合发地址或者动态地址池,防火墙向外的报文可以从地址池里随机找一个报文转发出来。利用这个方式也有两个优点:第一可隐藏内网的结构,第二是内部网络可以使用保留地址,提供IP复用功能。
具体NAT功能配置如下:
nat inside source list 22 pool pool100 nat inside destination static 10.106.1.16172.1.1.15 nat inside destination static tcp 10.106.1.16 21 172.1.1.11 21 nat inside destination static tcp 10.106.1.16 80 172.1.1.12 80
5.外网防火墙功能配置
5.1 基于外网的防火墙功能及配置 5.1.1 DOS攻击防范
防范DOS攻击的传统技术主要有4种:
①加固操作系统,即配置操作系统各种参数以加强系统稳固性 ②利用防火墙
③负载均衡技术,即把应用业务分布到几台不同的服务器上 ④带宽限制和QOS保证
本论文主要介绍利用防火墙来应对DOS的攻击。目前绝大数的主流防火墙都支持IPInspect功能,防火墙会对进入防火墙的信息进行严格的检测。这样,各种针对系统漏洞的攻击包会自动被系统过滤掉,从而保护了网络免受来自外部的系统漏洞攻击。通过设置ACL过滤、TCP监听功能,过滤不必要的UDP和ICMP数据报。
防火墙的基本配置如下:
firewall(config)#nameif fa0/1 inside security 100 firewall(config)#nameif fa0/2 inside security 100 firewall(config)#nameif fa0/3 outside security 0 firewall(config)#int fa0/1 auto firewall(config-if)#ip add inside 192.168.6.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/2 auto firewall(config-if)#ip add inside 192.168.7.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/3 auto firewall(config-if)#ip add outside 192.168.5.2 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#exit 由于我们经常会开启一些小服务,例如echo(回显)端口和discard(丢弃)端口,用于诊断,回显端口将重放那些端口所接受到的数据包,而丢弃端口则将数据包丢弃,由于丢弃数据包或回显数据包都会消耗Pcu周期,一些DOS攻击就采用这些端口。所以建议在防火墙接口上关闭这些服务
firewall(config)#no service tcp-small-servers firewall(config)#no service udp-small-servers firewall(config)#no service finner firewall(config)#no ip directed-broadcast 5.1.2访问控制功能
防火墙最基本的功能是访问控制功能,一个域的信息流穿过防火墙对另一个域进行访问的时候,防火墙可以截获信息并对信息进行检查,按着管理员设置的安全策略逐条进行匹配,如果符合安全策略,则逐条进行转发;不符合则进行堵断。因此防火墙基本的访问控制功能是基于源IP地址、目的IP地址、源端口、目的端口、时间、流量、用户、文件、网址和MAC地址来做访问控制功能,这是防火墙最基本的访问控制技术。
配置命令如下:
access-list extended 500 permit icmp ip access-list service 1021 ftp any 10.106.1.160.0.0.255 ip access-list service 1025 smtp any 10.106.1.160.0.0.255
浅析防火墙技术 篇3
【关键词】防火墙;网络安全;网络技术
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。
用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是,它只由用户标识和口令构成。但是,如果防火墙是通过Internet可访问的,应推荐用户使用更强的认证机制。
当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。
当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。
保持设计的简单性。一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”
从技术讲,计算机安全分为3种:
1.实体的安全。它保证硬件和软件本身的安全。
2.运行环境的安全性。它保证计算机能在良好的环境里持续工作。
3.信息的安全性。它保障信息不会被非法阅读、修改和泄漏。
随着网络的发展,计算机的安全问题也延伸到了计算机网络。 面对这一系列的安全性问题的解决,我们就要采用防火墙来进行抵御。然而最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。
1.双宿主机网关(Dual Homed Gateway)
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络
2.屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
3.屏蔽子网(Screened Subnet)
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”,两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,而相对于产品本身某个方面的演进,更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。
参考文献
[1]石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,2011.
[2]石志国,薛为民,尹浩.计算机网络安全教程实验指导[M].北京:清华大学出版社,2011.
论防火墙技术设计策略 篇4
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生它能够防止火势蔓延到别的寓所。自然,此种砖墙因此而得名“防火墙”。现在,如果一个网络接入到Internet上,在与外界进行通信时,势必也会存在着“火灾发生”的可能。如何确保网络安全?作为网络安全产品中的防火墙技术,是目前最为成熟的技术。
一、防火墙设计首要、重点问题
防火墙的自我保护能力(安全性)是设计时的首要、重点问题。
1.专用服务器端口
为降低设计上的难度,通过在防火墙上增设专用服务器端口,来与主机进行连接。除专用服务器外,防火墙不接受任何其他端口的直接访问。由于管道通信是单独的通道,所以不管是内网主机还是外网主机都无法窃听到该通信,显然是很安全的。
2.透明应用代理
提供对高层应用服务。管理员在防火墙产品上配置相关规则,这些配置对用户来说完全是透明的。用户访问Web、FTP等服务时,自由进行代理转发,外部网络不能通过代理主动访问内部网络,从而有效保证了内部网络的安全。
二、防火墙体系结构构建
常见的几种构建方式分析如下:
1.双宿主机
双宿主机将内外网络隔离,防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样,内外网络之间的IP数据流是完全切断的,只有入侵者得到双宿主机的访问权,才会侵入内部网络。所以为了保证内部网安全,双宿主机应禁止网络层的路由功能,避免防火墙上过多的用户账号。
2.屏蔽主机
主机与内部网相连,使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机,任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键,因此过滤路由器中的路由表应严加保护。
3.屏蔽子网
在以上基础上,增加一个DMZ(隔离区),进一步将内网与外网隔开。采取两个过滤路由器,攻击者就算攻入了主机,还得通过内部路由器。所以原则上说,此种方式的网络是安全的。
三、应对常见攻击方式的策略
1.病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
2.口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
3.邮件
在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当用户不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
4.IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。
策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
四、基本决策
1.方案选择
市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙则是把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台上。由于硬件防火墙集合了软件方面的功能,因此更为强大,目前已普遍使用。
2.结构透明
防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。用户根据自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构,如果经济实力雄厚,可采用屏蔽子网的拓扑结构。
3.坚持策略
①管理主机与防火墙专用服务器端口连接,形成单独管理通道,防止来自内外部的攻击。
②使用FTP、News等服务代理,以提供高水平的审计和潜在的安全性。
③支持“除非明确允许,否则就禁止”的安全防范原则。
④确定可接受的风险水平。
4.实施措施
好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。
以上从防火墙所具有的功能出发,分别介绍了防火墙技术在设计时的重点问题、防火墙体系结构的构建、常见攻击方式的防范及基本设计决策。全文在分析的基础上给出了具体的解决方法,企业在设计过程中应根据自身条件出发,选择最优的策略。
