網路防火牆技術論文
網路防火牆技術是網際網路中受人關注的重點網路安全問題。下面就隨小編一起去閱讀網路防火牆技術論文,相信能帶給大家幫助。
網路防火牆技術論文一
[論文關鍵詞]
防火牆 網路安全
[論文摘要]
在當今的計算機世界,因特網無孔不入。為應付“不健全”的因特網,人們建立了幾種安全機制,例如訪問控制、認證表,以及最重要的方法之一:防火牆。
隨著網路技術的發展,因特網已經走進千家萬戶,網路的安全成為人們最為關注的問題。目前,保護內部網免遭外部入侵比較有效的方法為防火牆技術。
一、防火牆的基本概念
防火牆是一個系統或一組系統,在內部網與因特網間執行一定的安全策略,它實際上是一種隔離技術。
一個有效的防火牆應該能夠確保所有從因特網流入或流向因特網的資訊都將經過防火牆,所有流經防火牆的資訊都應接受檢查。通過防火牆可以定義一個關鍵點以防止外來入侵;監控網路的安全並在異常情況下給出報警提示,尤其對於重大的資訊量通過時除進行檢查外,還應做日誌登記;提供網路地址轉換功能,有助於緩解IP地址資源緊張的問題,同時,可以避免當一個內部網更換ISP時需重新編號的麻煩;防火牆是為客戶提供服務的理想位置,即在其上可以配置相應的WWW和FTP服務等。
二、防火牆的技術分類
現有的防火牆主要有:包過濾型、代理伺服器型、複合型以及其他型別(雙宿主主機、主機過濾以及加密路由器)防火牆。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包資訊為基礎,對IP源地址、目標地址、協議型別、埠號等進行篩選。包過濾在網路層進行。
代理伺服器型(Proxy Service)防火牆通常由兩部分構成,伺服器端程式和客戶端程式。客戶端程式與中間節點連線,中間節點再與提供服務的伺服器實際連線。
複合型(Hybfid)防火牆將包過濾和代理服務兩種方法結合起來,形成新的防火牆,由堡壘主機提供代理服務。
各類防火牆路由器和各種主機按其配置和功能可組成各種型別的防火牆,主要有:雙宿主主機防火牆,它是由堡壘主機充當閘道器,並在其上執行防火牆軟體,內外網之間的通訊必須經過堡壘主機;主機過濾防火牆是指一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的惟一節點,從而確保內部網不受外部非授權使用者的攻擊;加密路由器對通過路由器的資訊流進行加密和壓縮,然後通過外部網路傳輸到目的端進行解壓縮和解密。
三、防火牆的基本功能
典型的防火牆應包含如下模組中的一個或多個:包過濾路由器、應用層閘道器以及鏈路層閘道器。
(一)包過濾路由器
包過濾路由器將對每一個接收到的包進行允許/拒絕的決定。具體地,它對每一個數據報的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由表資訊繼續轉發,否則,則丟棄之。
與服務相關的過濾,是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP/UDP埠,因此,阻塞所有進入特定服務的連線,路由器只需將所有包含特定 TCP/UDP目標埠的包丟棄即可。
獨立於服務的過濾,有些型別的攻擊是與服務無關的,比如:帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網上攻擊僅僅藉助包頭資訊是難以識別的,此時,需要路由器在原過濾規則的基礎附上另外的條件,這些條件的判別資訊可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
(二)應用層閘道器
應用層閘道器允許網路管理員實施一個較包過濾路由器更為嚴格的安全策略,為每一個期望的應用服務在其閘道器上安裝專用的程式碼,同時,代理程式碼也可以配置成支援一個應用服務的某些特定的特性。對應用服務的訪問都是通過訪問相應的代理服務實現的,而不允許使用者直接登入到應用層閘道器。
應用層閘道器安全性的提高是以購買相關硬體平臺的費用為代價,閘道器的配置將降低對使用者的服務水平,但增加了安全配置上的靈活性。
(三)鏈路層閘道器
鏈路層閘道器是可由應用層閘道器實現的特殊功能。它僅僅替代TCP連線而無需執行任何附加的包處理和過濾。
四、防火牆的安全構建
在進行防火牆設計構建中,網路管理員應考慮防火牆的基本準則;整個企業網的安全策略;以及防火牆的財務費用預算等。
(一)基本準則
可以採取如下兩種理念中的一種來定義防火牆應遵循的準則:第一,未經說明許可的就是拒絕。防火牆阻塞所有流經的資訊,每一個服務請求或應用的實現都基於逐項審查的基礎上。這是一個值得推薦的方法,它將建立一個非常安全的環境。當然,該理念的不足在於過於強調安全而減弱了可用性,限制了使用者可以申請的服務的數量。第二,未說明拒絕的均為許可的。約定防火牆總是傳遞所有的資訊,此方式認定每一個潛在的危害總是可以基於逐項審查而被杜絕。當然,該理念的不足在於它將可用性置於比安全更為重要的地位,增加了保證企業網安全性的難度。
(二)安全策略
在一個企業網中,防火牆應該是全域性安全策略的一部分,構建防火牆時首先要考慮其保護的範圍。企業網的安全策略應該在細緻的安全分析、全面的風險假設以及商務需求分析基礎上來制定。
(三)構建費用
簡單的包過濾防火牆所需費用最少,實際上任何企業網與因特網的連線都需要一個路由器,而包過濾是標準路由器的一個基本特性。對於一臺商用防火牆隨著其複雜性和被保護系統數目的增加,其費用也隨之增加。
至於採用自行構造防火牆方式,雖然費用低一些,但仍需要時間和經費開發、配置防火牆系統,需要不斷地為管理、總體維護、軟體更新、安全修補以及一些附帶的操作提供支援。
五、防火牆的侷限性
儘管利用防火牆可以保護內部網免受外部黑客的攻擊,但其只能提高網路的安全性,不可能保證網路的絕對安全。事實上仍然存在著一些防火牆不能防範的安全威脅,如防火牆不能防範不經過防火牆的攻擊。例如,如果允許從受保護的網路內部向外撥號,一些使用者就可能形成與Internet的直接連線。另外,防火牆很難防範來自於網路內部的攻擊以及病毒的威脅。所以在一個實際的網路執行環境中,僅僅依靠防火牆來保證網路的安全顯然是不夠,此時,應根據實際需求採取其他相應的安全策略。
網路防火牆技術論文二
論文導讀:
影響計算機網路安全的因素很多。而防火牆是一種保護計算機網路安全的技術性措施。使用單防火牆和單子網保護多級應用系統的網路結構。欺騙,論文參考,計算機網路安全與防火牆技術。
關鍵詞:
計算機網路安全,防火牆,單子網,arp欺騙
影響計算機網路安全的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有。這些因素可以大體分類為:計算機病毒、人為的無意失誤、人為的惡意攻擊、網路軟體的缺陷和漏洞、物理安全問題。
而防火牆是一種保護計算機網路安全的技術性措施,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和資料進入你的網路,同時將你“不同意”的人和資料拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要資訊。
1. 非法攻擊防火牆的基本“招數”
通常情況下, 有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴,雖說成功與否尚取決於機遇等其他因素,但對攻擊者而言很值得一試。下面以資料包過濾防火牆為例,簡要描述可能的攻擊過程。
通常主機A與主機B 的TCP 連線(中間有或無防火牆) 是通過主機A向主機B 提出請求建立起來的,而其間A和B 的'確認僅僅根據由主機A 產生並經主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack),使得信賴主機處於“自顧不暇”的忙碌狀態,相當於被切斷,這時目標主機會認為信賴主機出現了故障,只能發出無法建立連線的RST 包,而無暇顧及其他。
攻擊者最關心的是猜測目標主機的ISN。為此,可以利用SMTP的埠(25),通常它是開放的,郵件能夠通過這個埠,與目標主機開啟(Open)一個TCP 連線,因而得到它的ISN。在此有效期間,重複這一過程若干次,以便能夠猜測和確定ISN的產生和變化規律,這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發出連線請求。請求發出後,目標主機會認為它是TCP 連線的請求者,從而給信賴主機發送響應(包括SYN),而信賴主機目前仍忙於處理Flood淹沒攻擊產生的“合法”請求,因此目標主機不能得到來自於信賴主機的響應。現在攻擊者發出回答響應,並連同預測的目標主機的ISN一同發給目標主機,隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法使用者的身份登入到目標主機而不需進一步的確認。論文參考,arp欺騙。。如果反覆試驗使得目標主機能夠接收對網路的ROOT 登入,那麼就可以完全控制整個網路。
2. 單防火牆和單子網
由於不同的資源存在著不同的風險程度,所以要基於此來對網路資源進行劃分。這裡的風險包含兩個因素: 資源將被妥協的可能性和資源本身的敏感性。例如:一個好的Web 伺服器執行CGI 會比僅僅提供靜態網頁更容易得到使用者的認可,但隨之帶來的卻是Web 伺服器的安全隱患。網路管理員在伺服器前端配置防火牆,會減少它全面暴露的風險。資料庫伺服器中存放有重要資料,它比Web 伺服器更加敏感,因此需要新增額外的安全保護層。
使用單防火牆和單子網保護多級應用系統的網路結構,這裡所有的伺服器都被安排在同一個子網,防火牆接在邊界路由器與內部網路之間,防禦來自Internet 的網路攻擊。論文參考,arp欺騙。。在網路使用和基於主機的入侵檢測系統下,伺服器得到了加強和防護,這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的,但它們並沒有明顯的顯示在圖表中。
在這種設計方案中,所有伺服器都安排在同一個子網,用防火牆將它們與Internet 隔離,這些不同安全級別的伺服器在子網中受到同等級的安全保護。儘管所有伺服器都在一個子網,但網路管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火牆和單子網保護伺服器的方案系統造價便宜,而且網路管理和維護比較簡單,這是該方案的一個重要優點。因此, 當進一步隔離網路伺服器並不能從實質上降低重要資料的安全風險時,採用單防火牆和單子網的方案的確是一種經濟的選擇。
3. 單防火牆和多子網
如果遇見適合劃分多個子網的情況,網路管理員可以把內部網路劃分成獨立的子網,不同層的伺服器分別放在不同的子網中,資料層伺服器只接受中間層伺服器資料查詢時連線的埠,就能有效地提高資料層伺服器的安全性,也能夠幫助防禦其它型別的攻擊。論文參考,arp欺騙。。這時,更適於採用一種更為精巧的網路結構———單個防火牆劃分多重子網結構。單個防火牆劃分多重子網的方法就是在一個防火牆上開放多個埠,用該防火牆把整個網路劃分成多個子網,每個子網分管應用系統的特定的層。管理員能夠在防火牆不同的埠上設定不同的安全策略。
使用單個防火牆分割網路是對應用系統分層的最經濟的一種方法,但它並不是沒有侷限性。邏輯上的單個防火牆,即便有冗餘的硬體裝置,當用它來加強不同安全風險級別的伺服器的安全策略時,如果該防火牆出現危險或錯誤的配置,入侵者就會獲取所有子網包括資料層伺服器所在的最敏感網路的訪問許可權。而且,該防火牆需要檢測所有子網間的流通資料,因此,它會變成網路執行效率的瓶頸。所以,在資金允許的情況下,我們可以用另一種設計方案———多個防火牆劃分多個子網的方法,來消除這種缺陷。
欺騙對策
各種網路安全的對策都是相對的,主要要看網管平時對網路安全的重視性了。下面介始一些相應的對策:
在系統中建立靜態ARP表,建立後對本身自已係統影響不大的,對網路影響較大,破壞了動態ARP解析過程。論文參考,arp欺騙。。靜態ARP協議表不會過期的,我們用“arp–d”命令清除ARP表,即手動刪除。論文參考,arp欺騙。。但是有的系統的靜態ARP表項可以被動態重新整理,如Solaris系統,那樣的話依靠靜態ARP表項並不能對抗ARP欺騙攻擊,相反縱容了ARP欺騙攻擊,因為虛假的靜態ARP表項不會自動超時消失。論文參考,arp欺騙。。 在相對系統中禁止某個網路介面做ARP解析(對抗ARP欺騙攻擊),可以做靜態ARP協議設定(因為對方不會響應ARP請求報文)如:arp .X 08-00-20-a8-2e-ac。 在絕大多數作業系統如:Unix、BSD、NT等,都可以結合“禁止相應網路介面做ARP解析”和“使用靜態ARP表”的設定來對抗ARP欺騙攻擊。而Linux系統,其靜態ARP表項不會被動態重新整理,所以不需要“禁止相應網路介面做ARP解析”即可對抗ARP欺騙攻擊。
