论文部分内容阅读
摘要:随着计算机网络的迅速发展,网络的安全问题日益严重。目前解决网络安全的最有效方法是采用防火墙。文章重点分析了防火墙的几种关键技术,介绍了网络防火墙的功能及不足之处,在最后对未来的防火墙提出了展望。
关键词:防火墙;包过滤;代理服务器;状态检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10942-01
1 引言
近年来,计算机网络在全球得到了迅速的发展,其应用涉及到社会的各个领域,人们的诸多活动也越来越依赖于网络。然而,网络并非是安全的,由于网络本身存在的安全缺陷,再加上黑客攻击、病毒传播以及各种各样的威胁日益增多,使得网络的安全防线十分脆弱。为了确保网络系统的安全,目前人们研究并使用了多种安全防护措施,防火墙技术就是其中非常重要的一种防御手段。
2 防火墙的概念
防火墙是建立在内部网络和外部网络边界上的一种网络安全检测系统,它可以记录进出网络的数据传输,并且能根据已经制定好的安全策略,决定是否允许数据流通过。其目的是要防止未经授权的通信进出被保护的内部网络,通过边界控制来强化内部网络的安全政策。在这里内部网络被认为是安全和可信赖的,外部网络通常指的是Internet,被认为是不安全的和不可信赖的。
一般来说,防火墙都具有以下这些功能:一是限制来自网络外部的访问,过滤掉不安全的服务和非法用户,保护内部网络资源不受外部的入侵;二是提供集中管理方式,即将所有的安全软件配置在防火墙上来保护内部网络;三是尽可能对外隐藏内部网络的数据、结构和运行状况;四是能完整地记录网络访问情况,一旦网络发生了入侵或者遭到破坏,就可以通过对日志进行审计和查询以获得相关信息。
防火墙作为内部和外部网络之间的一道屏障,两种网络之间的接口,必须满足以下几点才可以起作用:所有进出被保护网络的通信都应该通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;理论上讲,防火墙本身是不可进入的。
3 防火墙的关键技术
3.1 包过滤技术
包过滤(Packet Filter)技术又称为静态数据包过滤,是最早出现的防火墙技术,虽然防火墙技术发展到现在提出了很多新的理念,但是包过滤仍然是防火墙为系统提供安全保障的主要技术,它可以阻挡攻击,禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。包过滤技术的原理是在网络层中依据过滤规则和包头信息选择性地转发或阻断数据包。用户可以根据自身的安全需求制定相关的规则,这些规则存储在包过滤设备的端口中,当数据包到达端口时,防火墙会依据这些过滤规则,独立地审查每个数据包的包头,根据数据包的源地址、目的地址、所使用的TCP或UDP端口、包头中的各种标志位及用来传送数据包的协议等因素来确定是允许该数据包通过还是删除该数据包。
包过滤技术的优点是简单实用,处理速度快,而且它对于用户来说是透明的,合法用户在进出网络时,根本感觉不到它的存在。同时,包过滤技术的缺陷也很明显的:一是安全性低,一般的包过滤防火墙对数据包数据内容不做任何检查,只检查数据包头信息,无法彻底防止地址欺骗;二是过滤规则很难配置,规则之间会存在冲突或漏洞,检查起来相对困难;三是缺少日志功能,当系统被渗入或被攻击时,很难得到大量的有用信息。
3.2 代理服务器技术
代理服务器(Proxy Server)在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发作用。当内部客户机要使用外部服务器的数据时会向其发出访问请求,代理服务器接收到该请求后会检查其是否符合规定,如果规则允许,代理服务器会修改数据包中的IP地址,然后发送给外部服务器,此时会认为是代理服务器发送访问请求;同样外部服务器返回的数据包会经过代理服务器的检测,得到允许后转发给发送请求的客户机。代理服务器运行在两个网络之间,对于客户机来说像是一台真的服务器,对于外界的服务器来说它又是一台客户机。由于每个内外网络之间的连接都要经过代理服务器的介入和转换,因此没有给内外网络的计算机以任何直接会话的机会,从而确保内部网络安全。
代理服务器的优点是有安全性好,能有效隔离内外网的直接通信,实施较强的数据流监控、过滤和日志功能。但是它也存在一些缺陷,首先它会使访问速度变慢,因为进出网络的每次通信都必须经过代理,而代理服务都要消耗一定的时间;其次,对于每一种应用服务都必须为其设计一个专门的代理软件模块来进行安
全控制,而且,并不是所有的互联网应用软件都可以使用代理服务。
3.3 状态检测技术
状态检测(Stateful Inspection)防火墙又叫做动态包过滤防火墙,是在传统包过滤技术的基础上进行改进的结果,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来,根据过去的通信信息和其他应用程序获得的状态信息动态生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙的理论基础是使用客户机/服务器模式进行的连接具有连接状态,最典型的是TCP连接,TCP连接必须经过3次握手,在这些不同的阶段中其状态是不一样的,而状态的转换又有着其规律,因此防火墙通过TCP包头的标志位就可以确定连接处于何种状态,一旦发现所发送包和状态不符,就可认为是状态异常的包进行拒绝,而不必对IP地址或TCP端口进行检查。
状态检测防火墙中有一个规则集和一个状态表(State Table)。状态表中保留着当前活动的合法连接,它的内容是动态变化的。当防火墙接收到初始化TCP连接的数据包时,会根据事先设定的静态规则集对此数据包进行检查,如果在检查所有的规则之后,该数据包都没有被允许通过,那么拒绝此次连接。如果该数据包被接受,则在状态表中记录下该连接的相关信息。对于随后的数据包,就将其与状态表里纪录的连接内容进行比较,如果状态表中存在此会话而且数据包状态正确,则接受此数据包,否则丢弃。
这种方式的好处在于:不是每个数据包都要和安全规则比较,只有在新的请求连接的数据包到来时才进行安全检查,从而提高了系统的性能;而且状态表是动态的,保存了数据包的状态信息,安全性高。
4 防火墙的局限性
虽然防火墙能够提高网络的安全性,但它并不是全能的,它也具有一定的局限性:
4.1 防火墙不能防范不通过它的连接。
防火墙一般位于内部网络的边界上,监控所有通过它的通信,如果信息能够通过无线接入技术或拨号访问等方式绕过防火墙进出网络,那么防火墙就没有任何用处。
4.2 防火墙不能防范全部的威胁。
防火墙是在已知的攻击模式下制定相应的安全策略的,因此能够防范已知的威胁,对于全新的攻击方式则难以有效。
4.3 防火墙不能防止感染了病毒的软件或文件的传输。
虽然很多防火墙都会对通过的所有数据包进行安全检测,已决定是否允许其通过,但一般只会检查数据包的包头部分,对数据包的具体内容不太关心。即使是最先进的数据包过滤,在病毒防范上也是不适用的,因为病毒的种类太多,操作系统也有多种,而且有很多方法可以将病毒在数据中隐藏起来,因此不能期望防火墙能替代杀毒软件。要解决病毒问题还必须在每台主机上安装专门的杀病毒软件。
4.4 防火墙不能防范内部用户的恶意行为。
由于内部用户进行的偷窃数据或其它破坏行为都处于网络内部,其各种信息均不通过防火墙,因此防火墙无法阻止。
5 防火墙的发展方向
随着网络技术的发展,黑客攻击、恶意软件及病毒等各种安全威胁的进一步升级,促使防火墙也在不断发展。
5.1 目前的防火墙采取数据匹配检查的方法,安全性越高,需要的计算量就越大,效率也就随之降低。未来的防火墙要求是高安全性和高效率的统一。使用专门的芯片负责访问控制功能,设计新的防火墙的技术构架是未来防火墙的方向。
5.2 分布式防火墙。当前的防火墙一般都是边界防火墙,只能监控通过防火墙的数据,并且认为内部网络是绝对安全的。然而事实并非如此,网络上的很多灾难常常是由内部用户的无意或恶意行为造成的,于是提出了分布式防火墙的概念。分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三个部分,对网络边界、各子网和网络内部各节点之间的进行安全防护。这种方式加强了对内部网络的监控,构建了一个全方位的保护体系。
5.3 联动防火墙。基于防火墙本身的局限性以及其他安全技术的成熟应用,出现了联动防火墙的概念。将防火墙同其他安全设备进行整合,充分发挥各自的优势,协同配合,架构起立体的安全防范体系。例如将防火墙与防病毒产品联动,可以在网关处对病毒进行查杀,将病毒阻挡在网络之外。此外防火墙与入侵监测系统的联动也是非常重要的,因为两种技术有很强的互补性。
5.4 智能防火墙。智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙能解决普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,比传统的防火墙更安全,效率更高。
6 结束语
防火墙是网络安全的屏障,能有效地提高网络的安全性,但不要将网络安全单纯的依赖于防火墙,它仅是全面的安全策略中的一个重要组成部分,应该和防病毒、入侵检测、数据加密、身份认证等安全防护技术结合起来,共同建立一个有效的安全防范体系。
参考文献:
[1]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.7.
[2]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.1.
[3]陈天洲,陈纯,谷小妮.计算机安全策略[M].浙江大学出版社,2004.8.
[4]万平国.新一代智能防火墙[J].计算机安全,2003.12:3-5.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:防火墙;包过滤;代理服务器;状态检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10942-01
1 引言
近年来,计算机网络在全球得到了迅速的发展,其应用涉及到社会的各个领域,人们的诸多活动也越来越依赖于网络。然而,网络并非是安全的,由于网络本身存在的安全缺陷,再加上黑客攻击、病毒传播以及各种各样的威胁日益增多,使得网络的安全防线十分脆弱。为了确保网络系统的安全,目前人们研究并使用了多种安全防护措施,防火墙技术就是其中非常重要的一种防御手段。
2 防火墙的概念
防火墙是建立在内部网络和外部网络边界上的一种网络安全检测系统,它可以记录进出网络的数据传输,并且能根据已经制定好的安全策略,决定是否允许数据流通过。其目的是要防止未经授权的通信进出被保护的内部网络,通过边界控制来强化内部网络的安全政策。在这里内部网络被认为是安全和可信赖的,外部网络通常指的是Internet,被认为是不安全的和不可信赖的。
一般来说,防火墙都具有以下这些功能:一是限制来自网络外部的访问,过滤掉不安全的服务和非法用户,保护内部网络资源不受外部的入侵;二是提供集中管理方式,即将所有的安全软件配置在防火墙上来保护内部网络;三是尽可能对外隐藏内部网络的数据、结构和运行状况;四是能完整地记录网络访问情况,一旦网络发生了入侵或者遭到破坏,就可以通过对日志进行审计和查询以获得相关信息。
防火墙作为内部和外部网络之间的一道屏障,两种网络之间的接口,必须满足以下几点才可以起作用:所有进出被保护网络的通信都应该通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;理论上讲,防火墙本身是不可进入的。
3 防火墙的关键技术
3.1 包过滤技术
包过滤(Packet Filter)技术又称为静态数据包过滤,是最早出现的防火墙技术,虽然防火墙技术发展到现在提出了很多新的理念,但是包过滤仍然是防火墙为系统提供安全保障的主要技术,它可以阻挡攻击,禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。包过滤技术的原理是在网络层中依据过滤规则和包头信息选择性地转发或阻断数据包。用户可以根据自身的安全需求制定相关的规则,这些规则存储在包过滤设备的端口中,当数据包到达端口时,防火墙会依据这些过滤规则,独立地审查每个数据包的包头,根据数据包的源地址、目的地址、所使用的TCP或UDP端口、包头中的各种标志位及用来传送数据包的协议等因素来确定是允许该数据包通过还是删除该数据包。
包过滤技术的优点是简单实用,处理速度快,而且它对于用户来说是透明的,合法用户在进出网络时,根本感觉不到它的存在。同时,包过滤技术的缺陷也很明显的:一是安全性低,一般的包过滤防火墙对数据包数据内容不做任何检查,只检查数据包头信息,无法彻底防止地址欺骗;二是过滤规则很难配置,规则之间会存在冲突或漏洞,检查起来相对困难;三是缺少日志功能,当系统被渗入或被攻击时,很难得到大量的有用信息。
3.2 代理服务器技术
代理服务器(Proxy Server)在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发作用。当内部客户机要使用外部服务器的数据时会向其发出访问请求,代理服务器接收到该请求后会检查其是否符合规定,如果规则允许,代理服务器会修改数据包中的IP地址,然后发送给外部服务器,此时会认为是代理服务器发送访问请求;同样外部服务器返回的数据包会经过代理服务器的检测,得到允许后转发给发送请求的客户机。代理服务器运行在两个网络之间,对于客户机来说像是一台真的服务器,对于外界的服务器来说它又是一台客户机。由于每个内外网络之间的连接都要经过代理服务器的介入和转换,因此没有给内外网络的计算机以任何直接会话的机会,从而确保内部网络安全。
代理服务器的优点是有安全性好,能有效隔离内外网的直接通信,实施较强的数据流监控、过滤和日志功能。但是它也存在一些缺陷,首先它会使访问速度变慢,因为进出网络的每次通信都必须经过代理,而代理服务都要消耗一定的时间;其次,对于每一种应用服务都必须为其设计一个专门的代理软件模块来进行安
全控制,而且,并不是所有的互联网应用软件都可以使用代理服务。
3.3 状态检测技术
状态检测(Stateful Inspection)防火墙又叫做动态包过滤防火墙,是在传统包过滤技术的基础上进行改进的结果,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来,根据过去的通信信息和其他应用程序获得的状态信息动态生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙的理论基础是使用客户机/服务器模式进行的连接具有连接状态,最典型的是TCP连接,TCP连接必须经过3次握手,在这些不同的阶段中其状态是不一样的,而状态的转换又有着其规律,因此防火墙通过TCP包头的标志位就可以确定连接处于何种状态,一旦发现所发送包和状态不符,就可认为是状态异常的包进行拒绝,而不必对IP地址或TCP端口进行检查。
状态检测防火墙中有一个规则集和一个状态表(State Table)。状态表中保留着当前活动的合法连接,它的内容是动态变化的。当防火墙接收到初始化TCP连接的数据包时,会根据事先设定的静态规则集对此数据包进行检查,如果在检查所有的规则之后,该数据包都没有被允许通过,那么拒绝此次连接。如果该数据包被接受,则在状态表中记录下该连接的相关信息。对于随后的数据包,就将其与状态表里纪录的连接内容进行比较,如果状态表中存在此会话而且数据包状态正确,则接受此数据包,否则丢弃。
这种方式的好处在于:不是每个数据包都要和安全规则比较,只有在新的请求连接的数据包到来时才进行安全检查,从而提高了系统的性能;而且状态表是动态的,保存了数据包的状态信息,安全性高。
4 防火墙的局限性
虽然防火墙能够提高网络的安全性,但它并不是全能的,它也具有一定的局限性:
4.1 防火墙不能防范不通过它的连接。
防火墙一般位于内部网络的边界上,监控所有通过它的通信,如果信息能够通过无线接入技术或拨号访问等方式绕过防火墙进出网络,那么防火墙就没有任何用处。
4.2 防火墙不能防范全部的威胁。
防火墙是在已知的攻击模式下制定相应的安全策略的,因此能够防范已知的威胁,对于全新的攻击方式则难以有效。
4.3 防火墙不能防止感染了病毒的软件或文件的传输。
虽然很多防火墙都会对通过的所有数据包进行安全检测,已决定是否允许其通过,但一般只会检查数据包的包头部分,对数据包的具体内容不太关心。即使是最先进的数据包过滤,在病毒防范上也是不适用的,因为病毒的种类太多,操作系统也有多种,而且有很多方法可以将病毒在数据中隐藏起来,因此不能期望防火墙能替代杀毒软件。要解决病毒问题还必须在每台主机上安装专门的杀病毒软件。
4.4 防火墙不能防范内部用户的恶意行为。
由于内部用户进行的偷窃数据或其它破坏行为都处于网络内部,其各种信息均不通过防火墙,因此防火墙无法阻止。
5 防火墙的发展方向
随着网络技术的发展,黑客攻击、恶意软件及病毒等各种安全威胁的进一步升级,促使防火墙也在不断发展。
5.1 目前的防火墙采取数据匹配检查的方法,安全性越高,需要的计算量就越大,效率也就随之降低。未来的防火墙要求是高安全性和高效率的统一。使用专门的芯片负责访问控制功能,设计新的防火墙的技术构架是未来防火墙的方向。
5.2 分布式防火墙。当前的防火墙一般都是边界防火墙,只能监控通过防火墙的数据,并且认为内部网络是绝对安全的。然而事实并非如此,网络上的很多灾难常常是由内部用户的无意或恶意行为造成的,于是提出了分布式防火墙的概念。分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三个部分,对网络边界、各子网和网络内部各节点之间的进行安全防护。这种方式加强了对内部网络的监控,构建了一个全方位的保护体系。
5.3 联动防火墙。基于防火墙本身的局限性以及其他安全技术的成熟应用,出现了联动防火墙的概念。将防火墙同其他安全设备进行整合,充分发挥各自的优势,协同配合,架构起立体的安全防范体系。例如将防火墙与防病毒产品联动,可以在网关处对病毒进行查杀,将病毒阻挡在网络之外。此外防火墙与入侵监测系统的联动也是非常重要的,因为两种技术有很强的互补性。
5.4 智能防火墙。智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙能解决普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,比传统的防火墙更安全,效率更高。
6 结束语
防火墙是网络安全的屏障,能有效地提高网络的安全性,但不要将网络安全单纯的依赖于防火墙,它仅是全面的安全策略中的一个重要组成部分,应该和防病毒、入侵检测、数据加密、身份认证等安全防护技术结合起来,共同建立一个有效的安全防范体系。
参考文献:
[1]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.7.
[2]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.1.
[3]陈天洲,陈纯,谷小妮.计算机安全策略[M].浙江大学出版社,2004.8.
[4]万平国.新一代智能防火墙[J].计算机安全,2003.12:3-5.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。