X 学院
毕业论文(设计)
系 别 xxxx
专 业 网络安全监察
年 级 xxx
姓 名 xxx
论文(设计)题目 谈谈我对防火墙的认识
职称
年 月 日
目 录
摘 要 ............................................................................................................................. 1
关键词 ............................................................................................................................. 1
Abstract . ........................................................................................................................... 1
Key Words . ....................................................................................................................... 2
引言................................................................................................................................. 2
1防火墙技术的概论 . ........................................................................................................ 2
1.1什么是防火墙 ...................................................................................................... 2
1.2防火墙的原理 ...................................................................................................... 3
1.3防火墙的技术实现 ............................................................................................... 3
2防火墙的部署和使用配置 .............................................................................................. 3
2.1防火墙的部署 ...................................................................................................... 3
2.2防火墙的使用配置 ............................................................................................... 4
3防火墙测试的相关标准 . ................................................................................................. 4
3.1规则配置方面 ...................................................................................................... 5
3.2防御能力方面 ...................................................................................................... 5
3.3主动防御提示方面 ............................................................................................... 5
4防火墙的入侵检测 . ........................................................................................................ 5
4.1入侵检测系统的原理 . ........................................................................................... 5
4.2入侵检测技术及发展 . ........................................................................................... 6
4.3入侵检测技术分类 ............................................................................................... 7
4.4防火墙与入侵检测的联动 . .................................................................................... 7
4.5 VPN防火墙 ......................................................................................................... 7
总结................................................................................................................................. 8
参考文献 : .................................................................................................................... 9
谈谈我对防火墙的认识
学生姓名:xxx 学号xxx
信息系 网络安全监察专业
指导教师:xxx 职称:教授
摘 要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN 等相关问题。。
关键词:防火墙;入侵检测;VPN
Abstract :Along with the fast computer development and the universal application of the network technology , along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level
Key Words:Firewall; Intrusion detection; VPN
引言
伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器。开放的、国际化的 Internet 的发展使得政府机构、企事业单位能够利用 Internet提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。防火墙是安全防范的最有效也是最基本的手段之一。
1防火墙技术的概论
1.1什么是防火墙
防火墙的英文名为“FireWall ”,它是目前一种最重要的网络防护设备。这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet) 分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
设计防火墙的目的就是不要让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如 LAN 或 WAN,而仍能允许本地网络上的你以
及其他用户访问因特网服务。
1.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测) ,但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络) 和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。[1]
1.3防火墙的技术实现
从Windows 软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm 等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows 软件防火墙从开始的时候单纯的一个截包丢包,堵截IP 和端口的工具,发展到了今天功能强大的整体性的安全套件。
2防火墙的部署和使用配置
2.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙
产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP 连接中的PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
首先, 应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN 之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.2防火墙的使用配置
防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP 地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP 地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP 、EMAIL 等应用);
6、配置访问控制策略。 [4]
3防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火
墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
3.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
3.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan 等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
3.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。 [3]
4防火墙的入侵检测
4.1入侵检测系统的原理
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响
应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。
4.2入侵检测技术及发展
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低; 缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组; 缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理; 缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS ——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS 和NIDS 的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统。
4.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
4.4防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
4.5 VPN防火墙
VPN 防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN 防火墙过滤的就是承载通信数据的通信包。
最简单的VPN 防火墙是以太网桥。但几乎没有人会认为这种原始VPN 防火墙[2]
能管多大用。大多数VPN 防火墙采用的技术和标准可谓五花八门。这些VPN 防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN 防火墙只对特定类型的网络连接提供保护(比如SMTP 或者HTTP 协议等)。还有一些基于硬件的VPN 防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN 防火墙,因为他们的工作方式都是一样的:分析出入VPN 防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN 防火墙都具有IP 地址过滤功能。这项任务要检查IP 包头,根据其IP 源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN 防火墙,VPN 防火墙的一端有台UNIX 计算机,另一边的网段则摆了台PC 客户机。[4]
当PC 客户机向UNIX 计算机发起telnet 请求时,PC 的telnet 客户程序就产生一个TCP 包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP 包“塞”到一个IP 包里,然后通过PC 机的TCP/IP栈所定义的路径将它发送给UNIX 计算机。在这个例子里,这个IP 包必须经过横在PC 和UNIX 计算机中的VPN 防火墙才能到达UNIX 计算机。
现在我们“命令”(用专业术语来说就是配制)VPN 防火墙把所有发给UNIX 计算机的数据包都给拒了,完成这项工作以后,比较好的VPN 防火墙还会通知客户程序一声呢!既然发向目标的IP 数据没法转发,那么只有和UNIX 计算机同在一个网段的用户才能访问UNIX 计算机了。
还有一种情况,你可以命令VPN 防火墙专给那台可怜的PC 机找茬,别人的数据包都让过就它不行。这正是VPN 防火墙最基本的功能:根据IP 地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP 地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN 防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS 主机名建立过滤表,对DNS 的伪造比IP 地址欺骗要容易多了。 总结
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统
面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
参考文献
1.Marcus Goncalves著。防火墙技术指南[M]。机械工业出版社
2. 梅杰,许榕生。Internet 防火墙技术新发展。微电脑世界 .
3. 陈月波. 网络信息安全[M].第1版. 武汉:武汉工业大学出版社.2005
4. 宁蒙. 网络信息安全与防范技术[M].第1版. 南京:东南大学出版社.2005 9
X 学院
毕业论文(设计)
系 别 xxxx
专 业 网络安全监察
年 级 xxx
姓 名 xxx
论文(设计)题目 谈谈我对防火墙的认识
职称
年 月 日
目 录
摘 要 ............................................................................................................................. 1
关键词 ............................................................................................................................. 1
Abstract . ........................................................................................................................... 1
Key Words . ....................................................................................................................... 2
引言................................................................................................................................. 2
1防火墙技术的概论 . ........................................................................................................ 2
1.1什么是防火墙 ...................................................................................................... 2
1.2防火墙的原理 ...................................................................................................... 3
1.3防火墙的技术实现 ............................................................................................... 3
2防火墙的部署和使用配置 .............................................................................................. 3
2.1防火墙的部署 ...................................................................................................... 3
2.2防火墙的使用配置 ............................................................................................... 4
3防火墙测试的相关标准 . ................................................................................................. 4
3.1规则配置方面 ...................................................................................................... 5
3.2防御能力方面 ...................................................................................................... 5
3.3主动防御提示方面 ............................................................................................... 5
4防火墙的入侵检测 . ........................................................................................................ 5
4.1入侵检测系统的原理 . ........................................................................................... 5
4.2入侵检测技术及发展 . ........................................................................................... 6
4.3入侵检测技术分类 ............................................................................................... 7
4.4防火墙与入侵检测的联动 . .................................................................................... 7
4.5 VPN防火墙 ......................................................................................................... 7
总结................................................................................................................................. 8
参考文献 : .................................................................................................................... 9
谈谈我对防火墙的认识
学生姓名:xxx 学号xxx
信息系 网络安全监察专业
指导教师:xxx 职称:教授
摘 要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN 等相关问题。。
关键词:防火墙;入侵检测;VPN
Abstract :Along with the fast computer development and the universal application of the network technology , along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level
Key Words:Firewall; Intrusion detection; VPN
引言
伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器。开放的、国际化的 Internet 的发展使得政府机构、企事业单位能够利用 Internet提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。防火墙是安全防范的最有效也是最基本的手段之一。
1防火墙技术的概论
1.1什么是防火墙
防火墙的英文名为“FireWall ”,它是目前一种最重要的网络防护设备。这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet) 分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
设计防火墙的目的就是不要让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如 LAN 或 WAN,而仍能允许本地网络上的你以
及其他用户访问因特网服务。
1.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测) ,但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络) 和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。[1]
1.3防火墙的技术实现
从Windows 软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm 等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows 软件防火墙从开始的时候单纯的一个截包丢包,堵截IP 和端口的工具,发展到了今天功能强大的整体性的安全套件。
2防火墙的部署和使用配置
2.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙
产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP 连接中的PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
首先, 应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN 之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.2防火墙的使用配置
防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP 地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP 地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP 、EMAIL 等应用);
6、配置访问控制策略。 [4]
3防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火
墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
3.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
3.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan 等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
3.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。 [3]
4防火墙的入侵检测
4.1入侵检测系统的原理
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响
应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。
4.2入侵检测技术及发展
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低; 缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组; 缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理; 缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS ——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS 和NIDS 的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统。
4.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
4.4防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
4.5 VPN防火墙
VPN 防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN 防火墙过滤的就是承载通信数据的通信包。
最简单的VPN 防火墙是以太网桥。但几乎没有人会认为这种原始VPN 防火墙[2]
能管多大用。大多数VPN 防火墙采用的技术和标准可谓五花八门。这些VPN 防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN 防火墙只对特定类型的网络连接提供保护(比如SMTP 或者HTTP 协议等)。还有一些基于硬件的VPN 防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN 防火墙,因为他们的工作方式都是一样的:分析出入VPN 防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN 防火墙都具有IP 地址过滤功能。这项任务要检查IP 包头,根据其IP 源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN 防火墙,VPN 防火墙的一端有台UNIX 计算机,另一边的网段则摆了台PC 客户机。[4]
当PC 客户机向UNIX 计算机发起telnet 请求时,PC 的telnet 客户程序就产生一个TCP 包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP 包“塞”到一个IP 包里,然后通过PC 机的TCP/IP栈所定义的路径将它发送给UNIX 计算机。在这个例子里,这个IP 包必须经过横在PC 和UNIX 计算机中的VPN 防火墙才能到达UNIX 计算机。
现在我们“命令”(用专业术语来说就是配制)VPN 防火墙把所有发给UNIX 计算机的数据包都给拒了,完成这项工作以后,比较好的VPN 防火墙还会通知客户程序一声呢!既然发向目标的IP 数据没法转发,那么只有和UNIX 计算机同在一个网段的用户才能访问UNIX 计算机了。
还有一种情况,你可以命令VPN 防火墙专给那台可怜的PC 机找茬,别人的数据包都让过就它不行。这正是VPN 防火墙最基本的功能:根据IP 地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP 地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN 防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS 主机名建立过滤表,对DNS 的伪造比IP 地址欺骗要容易多了。 总结
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统
面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
参考文献
1.Marcus Goncalves著。防火墙技术指南[M]。机械工业出版社
2. 梅杰,许榕生。Internet 防火墙技术新发展。微电脑世界 .
3. 陈月波. 网络信息安全[M].第1版. 武汉:武汉工业大学出版社.2005
4. 宁蒙. 网络信息安全与防范技术[M].第1版. 南京:东南大学出版社.2005 9