2010-2011学年 第一学期 网络信息安全
论网络安全技术——防火墙
防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势。
一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联(Intranet)接入Internet,从而可以更大的收益。
过去,许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet,这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中,因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、 防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略:
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求,防火墙必须具有以下功能:
(一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
(二)监视网络的安全性,并报警。
(三)利用网络地址转换(NAT)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录。它是审计和记录
Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:
1、数据包过滤技术
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术——代理技术。
2、代理技术
代理服务技术是防火墙技术中使用得较多的技术,也是安全性能较高的技术。代理服务软件运行在一台主机上构成代理服务器,负责截获客户的请求,并且根据它的安全规则来决定这个请求是否允许。如果允许的话,这个请求才传给真正的防火墙。代理服务器是外部可以见到的唯一实体,它对内部的用户是透明的。并且它可以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制。
这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性。但可能影响网络的性能,对用户不透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。
3、状态监测技术
状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
4、VPN技术
VPN技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等。VPN功能中认证和加密是最重要的。基于防火墙的VPN为了保证安全性,在VPN协议中通常采用IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性。
5、地址翻译(NAT)技术
NAT技术就是将一个IP地址用另一个IP地址代。地址翻译主要用在:① 网络管理员希望隐藏内部网络的IP地址;② 内部网络的IP地址是无效的IP地址。在这种内部网对外面是不可见的情况下,Internt可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对Internet可见的IP地址。地址翻译可以实现一种“单向路由”,这样不存在从Internet到内部网的或主机的路由。
6、SOCKS技术
SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。SOCKS是一个电路层网关的标准,遵循SOCKS协议,对应用层也不需要做任何改变,它需要给出客户端的程序。如果一个基于TCP的应用要通过SOCKS代理进行中继,必须首先将客户程序SOCKS化。这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。
四、防火墙技术优点、缺点
1.使用防火墙系统的优点如下:
①可以对网络安全进行集中控制和管理
防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成了一个控制中心,大大加强了网络安全,并简化了网络管理;
②由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警;
③为解决IP的地址危机提供了可行方案
由于Internet的日益发展及其IP地址空间的有限,使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址;
④防火墙系统可以作为Intermet信息服务器的安装地点,对外发布信息
防火墙可作为企业向外部用户发布信息的中心联络点。企业的防火墙也是企业设置WWW和FTP等服务器的理想地点。防火墙可以配置允许外部用户访问这些服务器,而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。
2.防火墙系统存在如下局限性:
①防火墙不能防范不经过防火墙的攻击。比如内部专用网的用户通过调制解调器拨号上网,则“坏家伙”就可经由这一途径绕过防火墙而侵入。还有更可怕的就是来自内部专用网用户的攻击;
②常常需要有特殊的较为封闭的网络拓扑结构来支持,网络安全性能的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价;
③防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户不注意所造成的危害。
五、防火墙发展的新技术趋势
防火墙技术的发展离不开社会需求的变化,着眼于未来,我们应该从两个方面来探讨防火墙的新技术趋势。
2.1 新需求引发的技术走向
(1)远程办公的增长。去年全国主要城市先后受到 SARS 病毒的侵袭,直接
促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
(2)内部网络“包厢化”。人们通常认为处在防火墙保护下的内部网络是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个绝对的可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网也受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛等,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
2.2 黑客攻击引发的技术走向
(1)黑客攻击的特点也决定了防火墙的技术走向。从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议(80端口)。根据 SANS 的调查显示,提供 HTTP 服务的IIS和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。 因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将80端口关闭。
(2)数据包的深度检测。 IT 业界权威机构 Gartner相信一个代理软件对于防止未来的攻击没有太大的作用,但是防火墙必须深入检查信息包流的内部来确认出恶意行为并阻止它们。市场上的包检查解决方案必须提高性能(比如签名检查)来寻找已知的攻击,并理解什么是“正常的”通信(基于行为的系统),同时阻止异常的协议。预计到2006年,75%的全球2000强企业将替换他们的防火墙,或者为他们的防火墙增加深度包检测的能力。
(3)协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。2002 年9月,北电、思科和 Check Point 一道宣布共同推出安全产品,体现了厂商之间优势互补、互通有无的趋势,说明现在人们已经逐渐认识到了协同的必要性和紧迫性。
六、结束语
通过对网络安全的学习,我深刻的了解到了网络安全的重要性,让我以后的生活中不会Internet的迅猛发展和网络攻击手段的不断变化,使防火墙产品的更新步伐日益加快,虽然,目前防火墙产品能基本满足用户对网络安全保护的要求,但防火墙技术值得研究的课题仍很多,如防火墙产品怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好的为人们做贡献。
2010-2011学年 第一学期 网络信息安全
论网络安全技术——防火墙
防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势。
一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联(Intranet)接入Internet,从而可以更大的收益。
过去,许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet,这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中,因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、 防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略:
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求,防火墙必须具有以下功能:
(一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
(二)监视网络的安全性,并报警。
(三)利用网络地址转换(NAT)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录。它是审计和记录
Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:
1、数据包过滤技术
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术——代理技术。
2、代理技术
代理服务技术是防火墙技术中使用得较多的技术,也是安全性能较高的技术。代理服务软件运行在一台主机上构成代理服务器,负责截获客户的请求,并且根据它的安全规则来决定这个请求是否允许。如果允许的话,这个请求才传给真正的防火墙。代理服务器是外部可以见到的唯一实体,它对内部的用户是透明的。并且它可以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制。
这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性。但可能影响网络的性能,对用户不透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。
3、状态监测技术
状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
4、VPN技术
VPN技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等。VPN功能中认证和加密是最重要的。基于防火墙的VPN为了保证安全性,在VPN协议中通常采用IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性。
5、地址翻译(NAT)技术
NAT技术就是将一个IP地址用另一个IP地址代。地址翻译主要用在:① 网络管理员希望隐藏内部网络的IP地址;② 内部网络的IP地址是无效的IP地址。在这种内部网对外面是不可见的情况下,Internt可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对Internet可见的IP地址。地址翻译可以实现一种“单向路由”,这样不存在从Internet到内部网的或主机的路由。
6、SOCKS技术
SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。SOCKS是一个电路层网关的标准,遵循SOCKS协议,对应用层也不需要做任何改变,它需要给出客户端的程序。如果一个基于TCP的应用要通过SOCKS代理进行中继,必须首先将客户程序SOCKS化。这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。
四、防火墙技术优点、缺点
1.使用防火墙系统的优点如下:
①可以对网络安全进行集中控制和管理
防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成了一个控制中心,大大加强了网络安全,并简化了网络管理;
②由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警;
③为解决IP的地址危机提供了可行方案
由于Internet的日益发展及其IP地址空间的有限,使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址;
④防火墙系统可以作为Intermet信息服务器的安装地点,对外发布信息
防火墙可作为企业向外部用户发布信息的中心联络点。企业的防火墙也是企业设置WWW和FTP等服务器的理想地点。防火墙可以配置允许外部用户访问这些服务器,而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。
2.防火墙系统存在如下局限性:
①防火墙不能防范不经过防火墙的攻击。比如内部专用网的用户通过调制解调器拨号上网,则“坏家伙”就可经由这一途径绕过防火墙而侵入。还有更可怕的就是来自内部专用网用户的攻击;
②常常需要有特殊的较为封闭的网络拓扑结构来支持,网络安全性能的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价;
③防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户不注意所造成的危害。
五、防火墙发展的新技术趋势
防火墙技术的发展离不开社会需求的变化,着眼于未来,我们应该从两个方面来探讨防火墙的新技术趋势。
2.1 新需求引发的技术走向
(1)远程办公的增长。去年全国主要城市先后受到 SARS 病毒的侵袭,直接
促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
(2)内部网络“包厢化”。人们通常认为处在防火墙保护下的内部网络是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个绝对的可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网也受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛等,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
2.2 黑客攻击引发的技术走向
(1)黑客攻击的特点也决定了防火墙的技术走向。从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议(80端口)。根据 SANS 的调查显示,提供 HTTP 服务的IIS和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。 因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将80端口关闭。
(2)数据包的深度检测。 IT 业界权威机构 Gartner相信一个代理软件对于防止未来的攻击没有太大的作用,但是防火墙必须深入检查信息包流的内部来确认出恶意行为并阻止它们。市场上的包检查解决方案必须提高性能(比如签名检查)来寻找已知的攻击,并理解什么是“正常的”通信(基于行为的系统),同时阻止异常的协议。预计到2006年,75%的全球2000强企业将替换他们的防火墙,或者为他们的防火墙增加深度包检测的能力。
(3)协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。2002 年9月,北电、思科和 Check Point 一道宣布共同推出安全产品,体现了厂商之间优势互补、互通有无的趋势,说明现在人们已经逐渐认识到了协同的必要性和紧迫性。
六、结束语
通过对网络安全的学习,我深刻的了解到了网络安全的重要性,让我以后的生活中不会Internet的迅猛发展和网络攻击手段的不断变化,使防火墙产品的更新步伐日益加快,虽然,目前防火墙产品能基本满足用户对网络安全保护的要求,但防火墙技术值得研究的课题仍很多,如防火墙产品怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好的为人们做贡献。