《[毕业设计精品]防火墙技术研究.doc》由会员分享,可在线阅读,更多相关《[毕业设计精品]防火墙技术研究.doc(42页珍藏版)》请在三一办公上搜索。
1、毕 业 设 计 论 文题 目:防火墙技术研究专 业:信息管理与信息系统学 员:指导教师:二一 年 六 月毕业设计(论文)任务书队别 22 年级 06 专业 信息管理与信息系统 学生姓名 指导教师 同组姓名 一、题目防火墙技术研究二、设计课题要求1、按照教务处的有关规定,按时按规定完成论文2、毕业论文要有较强的系统性、理论性、完整性。3、论文内容要完整,概念要准确。4、论据要充分,方法要可行,措施要得当,结论要有创新性。5、每篇论文(正文)不得少于1万字。三、设计课题所需的主要设备和资料有关市场营销学的文章、书、刊较多,可以从以下方面广泛查阅:1、各书店、2、图书馆、Internet。另外,还可
2、以做一些市场调查,并结合自身社会实践活动经验总结。四、设计说明(论文)应包括的内容1、防火墙技术的发展现状、前景2、防火墙技术的主要原理、分类3、防火墙技术的应用研究五、参考文献1 苏金树 计算机网络应用基础M长沙 国防科技大学出版社, 20002 张小斌 严望佳 黑客分析与防范技术M 清华大学出版社 19993 周贤伟, 信息网络与安全M,北京:国防工业出版社,20064 周筱连,计算机网络安全防护J,电脑知识与技术,2007,(1):148.5 Brewer D, Nash M. The Chinese Wall Security Policy. IEEE Symposium on Sec
3、urity and Privacy IEEE J Computer Society Press, 20006 金雷,谢立,网络安全综述J ,计算机工程与设计2003 ,24 (2) 7 Chapman D B Elizabeth D Z ,构筑因特网防火墙M( 北京) 电子工业出版社19988 陈爱民.计算机的安全与保密M.北京:电子工业出版社,2002. 9 Millen J K. Models of multilevel computer security Advances in Computers,1978 (29).10 Frederic J. Cooper, et al. Imple
4、menting Internet J New Riders Publishing 199511 (美)jack and Steven著 戴宗坤等译.防火墙与酬特网安全M.北京:机械工业出版社,200012 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一7813 付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一6514 韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一50815 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(2
5、9):188一19216 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一39217 余胜生,张宁,周敬利,胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工程.2004,30(7):49一5118 高峰.许南山.防火墙包过滤规则问题的研究M.计算机应用.2003,23(6):311一312.19 孟涛、杨磊.防火墙和安全审计M.计算机安全.2004,(4):17一18.20 郑林.防火墙原理入门Z. E企业.2000.21 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62 教 研 室 主 任(签名) 系
6、 主 任(签名) 年 月 日独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果,除了稳重特以加以标注和致谢之外处,论文不包含其他人已经发表或撰写过的研究成果。论文作者(签名) 摘要防火墙是目前网络安全领域广泛使用的设备,其主要目的就是限制非法流量,以保护内部子网。从部署位置来看,防火墙往往位于网络出口,是内部网和外部网之间的唯一通道,因此提高防火墙的性能、避免其成为瓶颈,就成为防火墙产品能否成功的一个关键问题。本文引用了叙述性的文字概述了防火墙的概念、功能及类型等,让我们全面了解了一个理论上的防火墙。描述了一个模拟的大型离散事件可视化网络仿真器NS-2(Netw
7、ork Simulator V.2)在Windows下的安装过程与出错处理。本文的重点是提出了对防火墙过滤规则进行优化的方案,对通过防火墙的数据包进行统计分析,并根据统计数据动态调整过滤规则的相对次序,使得使用最频繁的规则位于规则列表的最前面,使其和当前网络流量特性相一致,从而达到降低后继数据包规则匹配时间、提高防火墙性能之目的,并在Windows下利用仿真器NS-2对两个方案(一方案:不采用此优化算法,二方案:采用此优化算法)进行仿真实验,通过对仿真结果的比较分析得出此优化算法真的能提高防火墙的性能。关键词:S-2、防火墙、规则匹配、统计分析AbstractFrewall is the pr
8、esent network safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son net. From disposition location, firewall is often located in network export , is the only passageway between internal net and external net , therefore raises th
9、e performance of firewall , avoid it This paper has quoted the writing of statement, is general to have stated type, function and the concept of firewall, leting us overall have known one theoretically firewall. It is analog to have described one Large scale dispersed incident visualized network emu
10、lator NS-2(Network Simulator V.2) when WindowsNext installation process and make mistakes to handle. This paper focal point is put forward for firewall filter rule carry out optimization scheme, for through firewall data bale carry out statistics analysis, and according to statistics data developmen
11、t adjustment filter rule relative order, make use most frequently rule is located in rule list before most, make it with current network rate of flow property appearance consistent, so reach reduction succeed data bale rule match time , raising firewall performance purpose, and in WindowsNext use Em
12、ulator NS-2Is for two schemes ( the case of one side: Do not adopt this optimization algorithm and 2 schemes: Adopt this optimization algorithm) carry out emulation experiment, can really raise the performance of firewall through reaching this optimization algorithm for the trade off study of emulat
13、ion result.Keywords: Network Security firewall VPS firewall configuration目 录摘要8ABSTRACT9第一章 绪论131.1研究的意义和目的131.2国内外发展现状131.3论文完成的主要工作14第二章 防火墙的概念及分类152.1防火墙的概念152.2防火墙的分类152.2.1静态包过滤防火墙162.2.2动态包过滤防火墙172.2.3 代理(应用层网关)防火墙182.2.4自适应代理防火墙18第三章 防火墙的体系结构223.1双重宿主主机体系结构223.2 屏蔽主机体系结构233.3屏蔽子网体系结构25第四章 常见攻
14、击方式及应对方式294.1常见攻击方式294.1.1 病毒294.1.2 口令字294.1.3 邮件294.1.4 IP地址294.2 应对策略304.2.1 方案选择304.2.2 结构透明314.2.3 坚持策略314.2.4 实施措施31第五章 防火墙的发展趋势325.1基于路由器的防火墙325.1.1第一代防火墙产品的特点:325.1.2第一代防火墙产品的不足之处325.2 用户化的防火墙工具套335.3 建立在通用操作系统上的防火墙345.4. 第四代防火墙355.4.1第四代防火墙的主要技术及功能355.4.2第四代防火墙的抗攻击能力38第六章 结论39参考文献41致谢43附录44
15、 第一章 绪论1.1研究的意义和目的意义:是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用目的:限制网络通信,提高安全性能。1.2国内
16、外发展现状未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持 IPV6 ,而采用其它方法就不那么灵活。实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯 CPU 的防火墙,就必须有算法支撑,例如 ACL 算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十
17、分缓慢。受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外,这些检测对 CPU 消耗小 ) 。对于IDS ,目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。多功能也是防火墙的发展方向之一鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如
18、,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持 IPSEC VPN ,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。1.3论文完成的主要工作 本文论由6章组成。第一章概括了引言,第二章概括了防火墙的概念及分类,第三章概括了防火墙的体系结构,第四章概括了常见攻击方式及应对方式,第五章概括了防火墙的发展趋势,第六章是结论。第二章 防火墙的概念及分类2.1防火墙的概念防火墙是一种非常
19、有效的网络安全模型。主要用来保护安全网免受来自不安全网络的入侵,比如安全网络可能是企业的内部网络,不安全网络是因特网。但防火墙不只是用于因特网,也用于Intranet中的部门网络之间。在逻辑上,防火墙是过滤器 限制器和分析器;在物理上,防火墙的实现有多种方式。通常,防火墙是一组硬件设备路由器,主计算机,或者是路由器,计算机和配有的软件的网络的组合。及全面规划等。防火墙在网络中的位置如图1所示。内部网 Web服务器防火墙Internet 图1 防火墙在网络中的位置2.2防火墙的分类从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分
20、为两大体系:包过滤防火墙和代理防火墙。2.2.1静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。图2是静
21、态防火墙的示意图应用层表示层会话层传输层应用层表示层会话层传输层应用层表示层会话层传输层网络层 网络层 网络层数据链路层物理层数据链路层物理层数据链路层物理层图2静态包过滤防火墙静态包过滤防火墙的优点:它对用户是透明的,不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。静态防火墙缺点:由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一
22、连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。2.2.2动态包过滤防火墙动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比它会降低运行效率。图3是动态防火墙的示意图 应用层表示层会
23、话层传输层应用层表示层会话层传输层应用层表示层会话层传输层网络层 网络层 网络层数据链路层物理层数据链路层物理层数据链路层物理层连接状态表图3动态包过滤防火墙以下我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。代理防火墙也经历了两代:2.2.3 代理(应用层网关)防火墙 这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏
24、内部网结构的作用。由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。2.2.4自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。2防火墙的功能 防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间
25、也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点:(1) 防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙, 所以网络环境变得更安全。如防火墙
26、可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络, 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击, 如IP 选项中的源路由攻击和ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。(2) 防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在网络访问时, 一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。(3)
27、对网络存取和访问进行监控审计如果所有的访问都经过防火墙, 那么,防火墙就能记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者, 隐私是内部网络非常
28、关心的问题, 一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger、DNS等服务。Finger 显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度, 这个系统是否有用户正在连线上网, 这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息,这样一台主机的域名和IP 地址就不会被外界所了解。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。防火
29、墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤3防火墙的不足防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方案的全部。某些威胁是防火墙力所不及的。(1)防火墙可以阻断攻击,但不可消灭攻击源“各家自扫门前雪, 不管他人瓦上霜”就是目前网络安全的现状。互联网上的病毒,恶意试探等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法消除攻击源。即使防火墙进行了很好的设置,使得攻击无法渗透防火墙, 但各种攻击仍然会源源不断地向防火墙发出尝试。(2) 防火墙不能够抵抗最新的未设置策略的攻击漏洞就如杀毒软
30、件与病毒一样, 总是先出现病毒, 杀毒软件经过分析出其特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后根据其特征而进行设置的, 如果世界上新发现某个主机漏洞的CRACKER 把第一个攻击对象击中了您的网络,那么防火墙也没有办法帮助您的。(3) 防火墙的并发连接数限制容易导致拥塞或者谥出由于要判断处理流经防火墙的每一个包, 因此防火墙在某些流量大, 并发请求多的情况下, 很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙谥出的时候, 整个防线就如同虚设, 原本被禁止的连接也能从容通过了。(4) 防火墙对服务器合法开放的端口攻击大多无法阻止某些情况下, 攻击者利
31、用服务器提供服务进行缺陷攻击。(5)防火墙对待内部主动发起连接的攻击一般无法阻击“外紧内松”是一般局域网络的特点, 或许一道严密防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL 等方式, 然后由中木马的机器主动对攻击者连接, 将壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙出只有如旁观者一样冷视而爱莫能助。(6) 防火墙本身也会出现问题和受到攻击防火墙也是一个OS , 也有着其硬件系统和软件系统,因此依然有着漏洞和bug 。所以其本身也有可能受到攻击和出现软、硬件方面的故障。4 防火墙主要技术特点1)应用层采用Winsock 2 SPI进
32、行网络数据控制、过滤; 2)核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。 此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI ;二是核心层封包过滤,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows 平台,可以直接在
33、Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。第三章 防火墙的体系结构3.1双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从
34、一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。但这种体系结构中用户访问因特网的速度会较慢,也会因为双重宿主主机的被侵袭而失效。双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络,如图4所示图4 双重宿主主机体系结构3.2 屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与
35、内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。其结构如下图5所示 图5屏蔽主机体系结构在屏蔽的路由器上的数据包过滤是按这样一种方法设置的: 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行:(1)允许其他的内部主机为了某些服务与因特网上的主机连接(
36、即允许那些已经由数据包过滤的服务)。(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。因为这种体系结构允许数据包从因特网向内部网的移动,所以它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。实际上,双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败(因为这种失败类型是完全出乎预料的,不太可能防备黑客侵袭)。进而言之,保卫路由器比保卫主机较易实现,因为它提供非常有限的服务组。多
37、数情况下,被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。然而,比较其他体系结构,如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要是如果侵袭者没有办法侵入堡垒主机时,而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下,路由器同样出现一个单点失效。如果路由器被损害,整个网络对侵袭者是开放的。3.3屏蔽子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。屏蔽子网体系结构的最简单的形式为:两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另
38、一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,它将仍然必须通过内部路由器,如图6所示图6 被屏蔽子网体系结构对图6的要点说明如下:(1)周边网络周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。对于周边网络的作用,举例说明如下。在许多网络设置中,用给定网络的任何机器来查看这个网络上的每一台机器的通信是可能的,对大多
39、数以太网为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术);对若干其他成熟的技术,诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及Rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破,探听者仍然能偷看或访问他人的敏感文件的内容,或阅读他们感兴趣的电子邮件等;探听者能完全监视何人在使用网络。对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或专有的)能越过周边网。所以,如果堡垒主机被损害,内部
40、的通信仍将是安全的。一般来说,来往于堡垒主机,或者外部世界的通信,仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不至于机密到阅读它将损害你的站点的完整性。(2)堡垒主机在屏蔽的子网体系结构中,用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。例如:1)对于进来的电子邮件(SMTP)会话,传送电子邮件到站点2)对于进来的FTP连接,转接到站点的匿名FTP服务器。3)对于进来的域名服务(DNS)站点查询等。另外,其出站服务(从内部的客户端到在Internet上的服务器)按如下任一方法处理:a)在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。b)
41、设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈,反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。(3)内部路由器内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的
42、内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。(4)外部路由器在理论上,外部路由器(在有关防火墙著作中有时被称为访问路由器)保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误,错误就可能出现在两个路由器上。一般地,外部路由器由外部群组提供(例如,用户的Internet供
43、应商),同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器,但是不愿意使维护复杂或使用频繁变化的规则组。外部路由器实际上需要做什么呢?外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易做的任务)是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自Internet。第四章 常见攻击方式及应对方式4.1常见攻击方式4.1.1 病毒尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。策略:设
44、定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。4.1.2 口令字对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。4.1.3 邮件来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。策略:打开防火墙上的过滤功能,在内网主机上
45、采取相应阻止措施。4.1.4 IP地址黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。4.2 应对策略4.2.1 方案选择市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台。由于硬件防火墙集合了软件方面,从功能上更为强大,目前已普遍使用。在制造上,硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化,将主要运算程序做成芯片,以减少CPU的运算压力;国内厂家的防火墙硬件平台仍使用通用PC系统,增加了内存容量,增大了CPU的频率。在软件性能方面,国外一些著名的厂家均采用专用的操作系统,自行设计防火墙,提供高性能的产品;而国内厂家大部分基于Linux操作平台,有针对性的修改代码、增加技术及系统补丁等。因此,国产防火墙与国外的相比仍有一定差距,但科技的进步,也生产出了较为优秀的
