防火墙的安全性分析.doc

1、 防火墙的安全性分析 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱.对此,我们既不能对那些潜在的危险不予重视, 遭受不必要的损失; 也不能因为害怕某些危险而拒绝因 特网的各种有益的服务,对个人来说这样会失去了解世界,展示自己的场所,对企业来说 还失去了拓展业务,提高服务,增强竞争力的机会.不断地提高自身网络的安全才是行之有效地办法.网络防火墙是一种用来加强网络之间访问控制的特殊网络设备， 它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方 则被称为外部网络或公用网络。

2、防火墙能有效得控制内部网络与外部网络之间的 访问及数据传输， 从而达到保护内部网络的信息不受外部非授权用户的访问和过 滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性： 1、所有的内部网络和外部网络之间传输的数据必须通过防火墙； 2、 只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙； 3、防火墙本身不受各种攻击的影响；4、使用目前新的信息安全技术，比如现代密码技术等；它有效地监控了内部网间或 Internet 之间的任何活动， 保证了局域网内部的 安全。 在网络中，所谓“防火墙” ，是指一种将内部网和公众访问网(如 Internet) 分开的方法，它实际上是一种隔

3、离技术。防火墙是在两个网络通讯时执行的一 种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不 同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的 人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止 网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁

4、止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计：如果

5、所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了

6、有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足和弱点：防火墙在工作时，入侵者可以伪造数

7、据绕过防火墙或者找到传统防火墙中可能敞开的后门;由于传统防火墙性能上的限制，通常它不具备实时监控入侵的能力；传统防火墙对于病毒的侵袭也是束手无策。 防火墙的不足,防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方按的全部. 某些威胁是防火墙力所不及的. 防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫.内部人员可 能滥用被给予的访问权,从而导致事故.防火墙也不能防止像社会工程攻击一 种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息,如网络的口令. 另外,一些用来传送数据的电话线很有可能被用来入侵内部网络. 另一个防止的是怀有恶意的代码:病毒和特洛伊木马.虽然现在有些防火

8、 墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能 让新的病毒和木马溜进来.而且,这些恶意程序不仅仅来自网络,也可能来自其他途径。网络防火墙设置不当导致无法打开程序如果网络防火墙设置不当，如安全等级过高、不小心把常用应用程序放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要 方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以 根据需要随时升级， 甚至可以支持 IPV6 ， 而采用其它方法就不那么灵活。实现

9、高速防火墙，算法也是一个关键，因为网络处理器中集成了很多 硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就 必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至 数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓 慢。 受现有技术的限制， 目前还没有有效的对应用层进行高速检测的方法， 也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防 病毒和 IDS 功能 ( 传输层以下的 IDS 除外，这些检测对 CPU 消耗 小 ) 。对于 IDS ，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络

10、堵塞。此外，应用层漏洞很 多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如 此频繁地升级也是不现实的。 多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都 比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的 功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性， 但在某些情况下却可以为用户节省一台路由器;支持部分路由器 协议，如路由、拨号等，可以更好地满足组网需要;支持 IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。 未来防火墙的操作系统会更安全。 随着算法和芯片技术的发展， 防火墙会更多地参与应用层分析，为应用提供更安全的保障。未来防火墙技术会全面考虑网络的安全、 操作系统的安全、 应用程序的安全、 用户的安全、数据的安全，五者综合应用。此外，网络的防火墙产品还将把网络前沿技术， 如 Web 页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来等等。计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中，永远没有终点。黑客的攻击手段不断翻新，决定了信息安全技术也必须进 行革新，防火墙是防范黑客攻击的常用手段，但这样的技术必须与当今最前沿的其他安全技术结合在一起，才能更有效地 防范各种新的攻击手段。此致敬礼10235計網班2011.10.20