论文部分内容阅读
摘要: 随着网络技术的发展,高校教育资源向网络化、数字化方向不断迈进,为提供更稳定的、更可靠的、自主化的教学资源服务,网络安全问题日渐突出。介绍网络安全中的放火墙技术,详细分析目前四种典型的防火墙工具。
关键词: 网络安全;防火墙;路由器;网关
1 概述
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,是控制进、出两个方向的门槛。它是位于两个网络之间执行控制策略的系统,用来限制外部非法用户访问内部网络资源和内部非法向外部传递信息,但允许那些授权的数据通过。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵,防止偷窃或起破坏作用的恶意攻击。防火墙系统的安全防御能力很强,能抵抗各种进攻和渗透。实际上,对非法通信的安全防御和对合法通信的完全开放是相互矛盾的,这就需要判断、折中并接受某些风险,选择最合适的技术来建立一个有效的防火墙。
2 防火墙技术简介
防火墙可分为网络层和应用层两类,分别对应于分组(或包)过滤路由器与应用层网关和电路层网关。
2.1 网络层防火墙。网络层防火墙保护整个网络不受非法入侵,其典型技术是分组(或包)过滤技术,也就是检查进入网络的分组,将不符合预先设定标准的分组丢掉,而让符合标准的分组通过。分组过滤技术运用IP数据报头的部分或全部信息来设置分组过滤规则。这种防火墙又叫做包过滤防火墙,它设置在网络层,可以在路由器上实现包过滤。首先,应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一数据包满足过滤表中的规则时,则允许数据包通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
2.2 应用层网关防火墙,应用层网关防火墙控制对应用程序的访问,即允许访问某些应用程序而阻止访问其他应用程序。采用的方法是在应用层网关上安装代理软件,每个代理模块分别针对不同的应用。管理员可以根据需要安装相应的代理软件,用以控制对应用程序的访问。这种防火墙又叫代理防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器,代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。
2.3 电路层网关防火墙。由于应用层代理服务器是为特定的服务而编写的软件,如果网关没有为指定的服务设置代理服务器,相应于这一服务的报文是不能通过网关的,这就限制了它所能处理的应用协议。电路层网关能处理遇到的任何协议,但它不能检查应用信息以找出连接希望接到哪里。因此使用电路层网关必须告诉这一连接要什么。
3 防火墙工具
3.1 分组过滤路由器。分组过滤路由器是最简单也是最常用的路由器,它位于内部网络和外部网络之间,除具有路由功能外,再装上分组过滤软件,利用分组过滤规则完成基本的防火墙功能。
优点是费用少,容易实现。如果被保护的网络与外界之间已经有一个独立的路由器,那么只需要简单地加上一个分组过滤软件便可以保护整个网络;方便实用。缺点是没有或很少有日志记录能力,因此网络管理员很难确定系统是否受到入侵。
依靠单一的部件来保护系统,一旦该部件出现问题,会使网络的大门敞开,而用户可能还不知道。目前被广泛使用的CISCO路由器,既具有传统路由的功能,还具有筛选功能。这种路由器既可筛选进入分组,也可筛选发分组。
3.2 双宿主网关。双宿主网关仅用一个代理服务器(如图1),代理服务器就是安装于宿主主机的代理服务器软件。双宿主主机是一台有两块接口卡的计算机,每块接口卡有一个IP地址。如果INTERNET上的一台计算机与INTENET上的一个工作站通信,它必须与双宿主主机上能“看到”的IP地址联系。代理服务器软件通过另一块网卡(NIC)启动到双方网络的连接。应该指出的是,在建立双宿主主机时,应该关闭操作系统的路由能力,否则从一块网卡到另一块网卡的通信会饶过代理服务器软件,而使双宿主网卡失去“放火”作用。SMART WALL就是一个双宿主主机。
优点:1)网关将受保护的网络与外界完全隔离;2)服务器提供日志,有助于发现入侵;3)它本身是一台主机,可以用于诸如身份验证服务器及代理服务器,使其具有多种功能;4)域名系统(DNS)的信息不会通过受保护的系统传到外界,所以站点系统的名字和IP地址对INTERNET是隐蔽的。
缺点:1)每项服务必须使用专门设计的代理服务器,即使较新的代理服务器虽然能处理几种服务,也不能同时代理;2)如果防火墙只采用双宿主网关一个部件,一旦该部件出现问题,将使网络安全受到危害。
3.3 主机过滤放火墙。主机过滤放火墙有分组过滤路由器和应用网关组成。在内部网络和外部网络之间建立安全屏障,既实现了网络层的安全(包过滤),又实现了应用层安全(代理服务器)。来自INTERNET的所有通信都直接到过滤路由器,它根据所设置的规则过滤这些通信。在多数情况下与应用网关之外的机器通信都被拒绝。网关的代理服务器软件用自己的规则,被允许的通信传送到受保护的网络上。在这种情况下,应用网关只有一块网络接口卡,因为它不是双宿主网关。
关键词: 网络安全;防火墙;路由器;网关
1 概述
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,是控制进、出两个方向的门槛。它是位于两个网络之间执行控制策略的系统,用来限制外部非法用户访问内部网络资源和内部非法向外部传递信息,但允许那些授权的数据通过。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵,防止偷窃或起破坏作用的恶意攻击。防火墙系统的安全防御能力很强,能抵抗各种进攻和渗透。实际上,对非法通信的安全防御和对合法通信的完全开放是相互矛盾的,这就需要判断、折中并接受某些风险,选择最合适的技术来建立一个有效的防火墙。
2 防火墙技术简介
防火墙可分为网络层和应用层两类,分别对应于分组(或包)过滤路由器与应用层网关和电路层网关。
2.1 网络层防火墙。网络层防火墙保护整个网络不受非法入侵,其典型技术是分组(或包)过滤技术,也就是检查进入网络的分组,将不符合预先设定标准的分组丢掉,而让符合标准的分组通过。分组过滤技术运用IP数据报头的部分或全部信息来设置分组过滤规则。这种防火墙又叫做包过滤防火墙,它设置在网络层,可以在路由器上实现包过滤。首先,应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一数据包满足过滤表中的规则时,则允许数据包通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
2.2 应用层网关防火墙,应用层网关防火墙控制对应用程序的访问,即允许访问某些应用程序而阻止访问其他应用程序。采用的方法是在应用层网关上安装代理软件,每个代理模块分别针对不同的应用。管理员可以根据需要安装相应的代理软件,用以控制对应用程序的访问。这种防火墙又叫代理防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器,代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。
2.3 电路层网关防火墙。由于应用层代理服务器是为特定的服务而编写的软件,如果网关没有为指定的服务设置代理服务器,相应于这一服务的报文是不能通过网关的,这就限制了它所能处理的应用协议。电路层网关能处理遇到的任何协议,但它不能检查应用信息以找出连接希望接到哪里。因此使用电路层网关必须告诉这一连接要什么。
3 防火墙工具
3.1 分组过滤路由器。分组过滤路由器是最简单也是最常用的路由器,它位于内部网络和外部网络之间,除具有路由功能外,再装上分组过滤软件,利用分组过滤规则完成基本的防火墙功能。
优点是费用少,容易实现。如果被保护的网络与外界之间已经有一个独立的路由器,那么只需要简单地加上一个分组过滤软件便可以保护整个网络;方便实用。缺点是没有或很少有日志记录能力,因此网络管理员很难确定系统是否受到入侵。
依靠单一的部件来保护系统,一旦该部件出现问题,会使网络的大门敞开,而用户可能还不知道。目前被广泛使用的CISCO路由器,既具有传统路由的功能,还具有筛选功能。这种路由器既可筛选进入分组,也可筛选发分组。
3.2 双宿主网关。双宿主网关仅用一个代理服务器(如图1),代理服务器就是安装于宿主主机的代理服务器软件。双宿主主机是一台有两块接口卡的计算机,每块接口卡有一个IP地址。如果INTERNET上的一台计算机与INTENET上的一个工作站通信,它必须与双宿主主机上能“看到”的IP地址联系。代理服务器软件通过另一块网卡(NIC)启动到双方网络的连接。应该指出的是,在建立双宿主主机时,应该关闭操作系统的路由能力,否则从一块网卡到另一块网卡的通信会饶过代理服务器软件,而使双宿主网卡失去“放火”作用。SMART WALL就是一个双宿主主机。
优点:1)网关将受保护的网络与外界完全隔离;2)服务器提供日志,有助于发现入侵;3)它本身是一台主机,可以用于诸如身份验证服务器及代理服务器,使其具有多种功能;4)域名系统(DNS)的信息不会通过受保护的系统传到外界,所以站点系统的名字和IP地址对INTERNET是隐蔽的。
缺点:1)每项服务必须使用专门设计的代理服务器,即使较新的代理服务器虽然能处理几种服务,也不能同时代理;2)如果防火墙只采用双宿主网关一个部件,一旦该部件出现问题,将使网络安全受到危害。
3.3 主机过滤放火墙。主机过滤放火墙有分组过滤路由器和应用网关组成。在内部网络和外部网络之间建立安全屏障,既实现了网络层的安全(包过滤),又实现了应用层安全(代理服务器)。来自INTERNET的所有通信都直接到过滤路由器,它根据所设置的规则过滤这些通信。在多数情况下与应用网关之外的机器通信都被拒绝。网关的代理服务器软件用自己的规则,被允许的通信传送到受保护的网络上。在这种情况下,应用网关只有一块网络接口卡,因为它不是双宿主网关。