张真《防火墙技术与应用》文献综述.doc

《防火墙技术与应用》文献综述 班级：09网络工程 学号：090708148 姓名：张真 目 录 1 防火墙概述 1 1.1 概述 1 1.2 防火墙的出现 1 1.3 防火墙的解决方案 2 1.4 防火墙的分类 2 2 防火墙工作原理和结构 3 2.1 防火墙的工作原理 3 2.2 防火墙的结构 3 3 防火墙技术发展现状 4 3.1 防火墙技术的现状 4 4 防火墙的应用 4 4.1 防火墙的部署 4 4.2 防火墙的使用配置 5 4.2.1 防火墙的配置规则和方式 5 4.2.2 防火墙设备的设置步骤 5 信息安全概论综合作业 《防火墙技术与应用》文献综述 《防火墙技术与应用》文献综述 1 防火墙概述 1.1 概述 由1946年2月14日世界上第一台ENIAC（埃尼阿克）的诞生，到现在计算机科学与技术日新月异迅猛发展的21世纪信息时代，计算机经历了无数次的改革换代。随着计算机网络技术的如飞猛进，越来越多计算机需要连接到internet，在互联网上进行各种各样的网络活动，而正是因为这些活动也同时促进了网络安全、网络侵权等犯罪活动和行为的出现，并且日益猖獗。非法浸入他人计算机系统、破坏计算机系统、窃取机密、非法盗取财物、侵犯用户权利等现象越发频繁。假如你的网络连入了互联网而没有做任何的网络安全防范措施，那么你的网络很有可能会立即受到网络黑客的不法入侵和攻击，最后甚至导致你的计算机系统崩溃。网络黑客攻击的目标不仅锁定在个人计算机上，而且还有可能入侵公司企业的网络，盗取商业机密等具有重大价值的信息，也是黑客们所感兴趣的。 在互联网攻击数量直线上升的情况下，网络安全的问题已经日益凸显地摆在各类用户的面前，原本不重视网络安全的用户开始将网络安全问题摆在首要解决的日程表上，并采取多种方法维护自己计算机网络的安全，从而免遭网络黑客、各种不病毒和木马的侵害。保护计算机网络安全现已成为计算机用户必须去考虑并且解决的问题。 1.2 防火墙的出现 防火墙（firewall）的出现为用户解决网络安全问题作出了巨大贡献。对于保护网络安全，防火墙是最基础的设备，它的最基础的设备，它的主要功能在于把那些不受欢迎的访问、信息或者数据包等隔离在特定的网络之外，是一种经济实用的网络边界防护设备。防火墙通常被放置与内部网络与外部网络的连接处，通过执行特定的访问规则和安全策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关，防火墙对这些数据以及访问需求进行分析、处理，并根据已设置的安全规则来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时，由于防火墙系统本身具备较高的系统安全级别，可以防止非法用户通过控制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用，迅速的发展普及起来，成为了网络黑客和各种病毒、木马和恶意插件的克星。 1.3 防火墙的解决方案 防火墙就如一道墙壁，把内部网络（也称私人网络）和外部网络（也称公共网络）隔离开。起到区域网络不同安全区域的防御性设备的作用，例如：互联网络（internet）与企业内部网络（intranet）之间，如图1-1所示。 图1-1 内部网络和外部网络 根据已经设置好的安全规则，决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接，如图1-2所示。 图1-2 内部网络与外部网络的连接 1.4 防火墙的分类 从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。 包过滤防火墙经历了两代：静态包过滤防火墙和动态包过滤防火墙。代理防火墙也经历了两代：代理（应用层网关）防火墙和代理自适应型防火墙。 我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：   优点 缺点   包过滤防火墙 价格较低性能开销小，处理速度较快。 定义复杂，容易出现速度较慢，不太适用于高速网之间的应用。       代理防火墙 内置了专门为提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理。 不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成。 2 防火墙工作原理和结构 2.1 防火墙的工作原理  随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。    2.2 防火墙的结构 防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；     第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；     第三代架构：iss（integrated security system）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。 3 防火墙技术发展现状 3.1 防火墙技术的现状 主要有四项技术。 包过滤技术：该项技术主要经历了四个阶段的发展。首先是静态包过滤防火墙，也即传统的边界防火墙的发展，它和路由器同时出现，此技术虽简单、透明、高速，但在安全性能上却没有很好的保障。 动态包过滤技术：该技术解决了存在于静态包过滤技术的安全限制问题，也提供了更好的性能，在目前应用较普遍，但随主动攻击的增长，该技术也将面临巨大的挑战。 全状态检测防火墙技术：该技术对传输层的控制能力有了很大的提高，通过采用一系列优化技术改进了流量的处理速度，使其性能得到大幅提升，是当前的主流技术。 深度包检测防火墙技术：该技术通过指纹匹配、异常检测、启发式和统计学分析技术等来对数据包进行处理。它能阻止DDoS 攻击、病毒传播，解决高级应用入侵问题。该项技术一定程度上代表了防火墙技术的发展方向。 4 防火墙的应用 4.1 防火墙的部署 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。 实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 ----那么我们究竟应该在哪些地方部署防火墙呢？ ----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。 ----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。 4.2 防火墙的使用配置 4.2.1 防火墙的配置规则和方式 没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接) 　　inside可以访问任何outside和dmz区域，dmz可以访问outside区域，inside访问dmz需要配合static(静态地址转换)，outside访问dmz需要配合acl(访问控制列表)。 Dual－homed方式、Screened－host方式和Screened－subnet方式。 Dual－homed方式最简单。 Dual－homed Gateway放置在两个网络之间，又称为Bastionhost，成本较低，但是没有自我防卫能力，往往受“黑客”攻击，一旦被攻破，整个网络也就暴露了。 Screened－host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将信息先送往Bastionhost，并只接受来自Bastionhost的数据作为出去的数据。该结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。 Screened－subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本很昂贵。 4.2.2 防火墙设备的设置步骤 确定设置防火墙的部署模式；设置防火墙设备的IP地址信息（接口地址或管理地址（设置在VLAN 1上））；设置防火墙设备的路由信息；确定经过防火墙设备的IP地址信息（基于策略的源、目标地址）；确定网络应用（如FTP、EMAIL等应用）；配置访问控制策略。 作者：张真 第 5 页 共 6 页