《计算机新技术专题课程论文信息安全技术之防火墙技术.doc》由会员分享,可在线阅读,更多相关《计算机新技术专题课程论文信息安全技术之防火墙技术.doc(17页珍藏版)》请在三一办公上搜索。
1、课程论文1. 论文题目: 信息安全技术之防火墙技术 姓名: 颜晓云 学号: 120083501076 专业: 计算机科学与技术 班级: 08.2班 评阅成绩: 评阅意见: 论文提交时间:2011 年 11 月 14 日 题 目信息安全技术之防火墙技术 摘 要近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业
2、数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与Internet互连所带来的
3、安全性问题予以足够重视。关键词:网络 防火墙技术 安全 (以下为中文摘要对应的英文)【Abstract】Title The Document Of Computer Network Security Abstract With the computer network development. Internet has already turned from the first generation the second. Meanwhile, thousands of company and governments realize the importance of Internet and
4、 take measures to build their own Network , so that extend the development of the Internet . This makes the Internet transfer from the second generation to the third which features basis of Inter connecting. All of this above contributes to the large scale use of Interconnecting. As it is known to u
5、s all, Internet has the largest information net ,It is the openness of the protocol that convinent the link of variety nets and extend the sharing resources. However, because of the neglecting of Network security and the government management seriously threats the safety of Internet. The dangers app
6、ears: illegeal visiting, prentending the managerment , destroying the database, interrupting the setup of system, spreading the virus and so on . This asks us to pay more attention to the safety of Internet twister. Key Words: Network 、Firework、Network security 目 录1.防火墙的概念12.防火墙的发展史23.防火墙的分类以及实现方式23
7、.1按软、硬件划分23.2按防火墙技术划分34.主要功能45.小结56. 参考文献6引言随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。 计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此谈谈亦关防火墙胡一些技术。1. 防火墙的概念所谓防火墙指的是一个由软件和硬件设备组合
8、而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙,英语为firewall,英汉证券投资词典的解释为:金融机构内部将银行业务与证券
9、业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。 当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是
10、位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。 2. 防火墙的发展史对于防火墙的发展历史,基于功能划分,可分为如下五个阶段:20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤(Packet filter)
11、技术,是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年,贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙,即电路层防火墙;到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,市面上出现了第四代防火墙,即以色列的CheckPo
12、int公司推出的基于这种技术的商业化产品;到了1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。基于实现方式划分,可分为如下四个阶段: 第一代防火墙:基于路由器的防火墙,由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第二代防火墙:用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。针对用户需求,提供模块化的软件包,是纯软件产品。 第三代
13、防火墙:建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的,也有以硬件方式实现的。 第四代防火墙:具有安全操作系统的防火墙:具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上得到提高。3. 防火墙的分类以及实现方式 3.1按软、硬件划分从软、硬件形式上分类 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软
14、件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的
15、内核,因此依然会受到OS(操作系统)本身的安全性影响。 芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 3.2按防火墙技术划分 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
16、包过滤(Packet filtering)型 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。 1、第一代静态包过滤类型防火墙 这 类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据
17、包的报头信息进行 制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 2、第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而
18、各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。流过滤技术 流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过滤技术与基于内容的深度包检测技术为一体,提供了一个较好的
19、应用防御解决方案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的TCP/IP协议栈,实现了透明的应用信息过滤机制。流过滤技术17的关键在于其架构中的专用TCP/IP协议栈:这个协议栈是一个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TC
20、P会话,数据以“流”的方式从一个会话流向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。如在对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的 深度包检测目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对
21、这种需求,深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割到10个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻击特征进行匹配: 要清楚地知道有效载荷,必须采取有效方法,将单个数据包重新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高达100倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这就是
22、所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图3.1所示。图3.1 深度包检测框图在接收到网络流量后,将需要进行内容扫描的数据流定向到TCP/IP堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到TCP/IP堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个HTTP数据流,则命令解析器检查上
23、载和下载的文件;如果数据是Mail类型,则检查邮件的附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤的设置进行匹配,通过或拒绝数据。 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。 在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。 代理类型防火墙的最突出的优点就是
24、安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网4. 主要功能(1)访问控制: 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全
25、的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配置防火墙的安全策略极为方便。 高效的url和
26、文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配置。当内
27、部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。 用户策略:可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。用户控制策略可
28、以实现用户之间、用户与ip网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。 接口策略:防止外部机器盗用内部机器的ip地址,这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的ip被此接口区域内的主机冒用。如在正常情况下,内部ip不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。 ip与mac地址绑定:防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物
29、理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。 ip与用户绑定:绑定一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。 支持流量管理:流量管理与控制.可扩展支持计费功能:计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计 费信息接口,将计费信息导出到用户自的计费处理软件中。基于优先级的带宽管理:用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。(2)防御功能防tcp、udp等端口扫描:网络卫士防火墙可以检测到对网络或内部
30、主机的所有tcp/udp扫描。 抗dos/ddos攻击:拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止dos黑客攻击。 可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击:网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上
31、载的cgi、asp等程序。提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。 多层次多级别的防病毒系统防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。防病毒系统设计原则
32、1整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。2安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。3防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。4防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。5应做到能够对整个系统进行集中的管理和监控,并能集中生成日志报告与统计信息。 病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入,所以,企业网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除,网络管理员的工作量就减
33、少了很多。网关防毒:网关防毒是对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤,从而实现对整个网络的病毒防范。(3)用户认证因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同
34、步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同, 用户可以定期改变种子来达到更高的安全目标. 可扩展
35、支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。(4)安全管理提供基于otp机制的管理员认证。 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。 远程管理提供加密机制;在进行远程管理时,管理机和防火墙之间的通讯可进行加密以保证安全,真正实现远程管理。 远程管理安全措施:管理源主机限定;并发管理连接数限定;管理接口icmp开关控制;管理接口开关;远程登录尝试锁定; 提供安全策略检测机制:网络卫士防火墙提供规则测试功
36、能,实现策略的控制逻辑检查,及时发现控制逻辑的错误,为用户检查规则配置的正确性,完善控制策略提供方便、快捷、有效的工具。 提供丰富完整的审计机制;网络卫士防火墙产品的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志),也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。 提供日志下载、备份和查询功能;防火墙的日志管理方式包括日志下载、备份和日志查询,这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具,将各种日志信息导出到管理服务器,方便进一步处理。 可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费
37、时,可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致,也弥补了防火墙作地址转换时,外部网难以计费的缺陷。计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计费信息接口,将计费信息导出到用户自己的计费处理软件中。(5)入侵检测功能入侵检测技术7就是一种主动保护自己免受黑客攻击的一种网络安全技术,包括以下内容:1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”,以及IIS版本,是否有可以被成功攻破的IIS
38、漏洞,进而对内部网络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多的受控主机同时发起进攻,以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来
39、进攻受害者。现在的防火墙设备通常都可检测Synflod、Land、Ping of Death、TearDrop、ICMP flood和UDPflod等多种DOS/DDOS攻击。3.检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作,防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。4.检测CGI/
40、IIS服务器入侵。CGI就是Common Gateway Interface的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information server的简称,也就是微软的Internet信息服务器。防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开那个特殊的端口的程序。木马程序的全称是“特洛
41、依木马”,它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类,一种是面向企业用户和局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。(6)双机热备份提供防火墙的双机热备份功能,提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换,模式切换时间短。(7)操作管理1、 提供灵
42、活的本地、远程管理方式;2、 支持gui和命令行多种操作方式;3、 可提供基于命令行和gui的本地和远程配置管理。5. 小结随着Internet 和Intranet 技术的发展,网络的安全已经显得越来越重要,网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS 、VPN 和防病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。参考文献1郑连清等.战场网络战M北京:军事科学出版社,20012张正明计算机网络安全与对抗 1998 3 黄允聪,严望佳.防火墙的选型、配置、安装和维护 清华大学出版社
