数据通信与计算机网络课程

《数据通信与计算机网络课程》由会员分享，可在线阅读，更多相关《数据通信与计算机网络课程（15页珍藏版）》请在装配图网上搜索。

1、数据通信与计算机网络课程期中论文论文题目tent防火墙技术综述所在学院 电子信息学院 专业班级 电信本0512 学号姓名 0501136王瑞 完毕日期 .11.25 （Intert防火墙技术综述)（王瑞）（浙江万里学院电信学院通信本51班）1月目录1绪论 11 引言 Intrne防火墙技术简介2 课题的内容 21 基于路由器的防火墙 .2 第四代防火墙的重要技术及功能 23 第四代防火墙技术的实现措施 2.4 第四代防火墙的抗袭击能力 结论 3.1 防火墙技术展望参照文献绪论随着Intret的迅猛发展，安全性已经成为网络互联技术中最核心的问题。本文全面简介了Intrn防火墙技术与产品的发展历程

2、;具体剖析了第四代防火墙的功能特色、核心技术、实现措施及抗袭击能力;同步简要描述了erne防火墙技术的发展趋势。核心词:Iternet 网路安全 防火墙 过滤 地址转换11引言防火墙技术是建立在现代通信网络技术和信息安全技术基本上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Ieet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,不久形成了一种产业：1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年终，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以73%的复合增长率增长，今年终将达到50万套,市场营业额将

3、从9年的1.6亿美元上升到今年的.亿美元。为了更加全面地理解nternet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一种具体的考察。1.2 Internet防火墙技术简介防火墙原是指建筑物大厦用来避免火灾蔓延的隔断墙。从理论上讲,nternt防火墙服务也属于类似的用来避免外界侵入的。它可以避免Inern上的多种危险（病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于如下多种目的：1)限定人们从一种特定的控制点进入;2)限定人们从一种特定的点离开；3)避免侵入者接近你

4、的其她防御设施;4)有效地制止破坏者对你的计算机系统进行破坏。在现实生活中,ntre防火墙常常被安装在受保护的内部网络上并接入teret,所有来自Inten的传播信息或你发出的信息都必须通过防火墙。这样，防火墙就起到了保护诸如电子邮件、文献传播、远程登录、在特定的系统间进行信息互换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?事实上,防火墙是加强nteet（内部网)之间安全防御的一种或一组系统,它由一组硬件设备(涉及路由器、服务器)及相应软件构成。. 防火墙技术与产品发展的回忆防火墙是网络安全方略的有机构成部分，它通过控制

5、和监测网络之间的信息互换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应当具有如下五大基本功能:过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些严禁行为；记录通过防火墙的信息内容和活动;对网络袭击进行检测和告警。为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代）。2.课题内容 基于路由器的防火墙由于多数路由器自身就包具有分组过滤功能,故网络访问控制也许通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙

6、产品的特点是:1)运用路由器自身对分组的解析,以访问控制表(AcessLis）方式实现对分组的过滤；)过滤判断的根据可以是:地址、端标语、IP旗标及其她网络特性；3)只有分组过滤的功能，且防火墙与路由器是一体的。这样,对安全规定低的网络可以采用路由器附带防火墙功能的措施，而对安全性规定高的网络则需要单独运用一台路由器作为防火墙。第一代防火墙产品的局限性之处十分明显,具体体现为:路由合同十分灵活,自身具有安全漏洞，外部网络要探寻内部网络十分容易。例如,在使用FT合同时,外部服务器容易从20号端口上与内部网相连，虽然在路由器上设立了过滤规则，内部网络的20号端口仍可以由外部探寻。路由器上分组过滤规

7、则的设立和配备存在安全隐患。对路由器中过滤规则的设立和配备十分复杂，它波及到规则的逻辑一致性。作用端口的有效性和规则集的对的性,一般的网络系统管理员难于胜任,加之一旦浮现新的合同，管理员就得加上更多的规则去限制，这往往会带来诸多错误。路由器防火墙的最大隐患是：袭击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客（acke）可以在网络上伪造假的路由信息欺骗防火墙。路由器防火墙的本质缺陷是：由于路由器的重要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实行静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设立会大大减少路由器的性能。可以说基于路由器的防火墙技术只是

8、网络安全的一种应急措施,用这种权宜之计去对付黑客的袭击是十分危险的。为了弥补路由器防火墙的局限性,诸多大型顾客纷纷规定以专门开发的防火墙系统来保护自己的网络,从而推动了顾客防火墙工具套的浮现。作为第二代防火墙产品,顾客化的防火墙工具套具有如下特性：)将过滤功能从路由器中独立出来,并加上审计和告警功能;)针对顾客需求，提供模块化的软件包；3)软件可以通过网络发送，顾客可以自己动手构造防火墙；)与第一代防火墙相比，安全性提高了,价格也减少了。由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相称复杂的规定,并带来如下问题:()配备和维护过程复杂、费时;（2）对顾客的技术

9、规定高；（3）全软件实现，使用中浮现差错的状况诸多。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商不久推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下某些特点:)是批量上市的专用防火墙产品;2）涉及分组过滤或者借用路由器的分组过滤功能;)装有专用的代理系统,监控所有合同的数据和指令;4)保护顾客编程空间和顾客可配备内核参数的设立；5)安全性和速度大大提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大顾客的认同。但随着安全需求的变化和使用时间的推延,仍体现出不少问题，例如:)作为基本的操作系统及其内核往往不为防火

10、墙管理者所知,由于源码的保密，其安全性无从保证;2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责;）从本质上看，第三代防火墙既要避免来自外部网络的袭击，还要避免来自操作系统厂商的袭击；4)在功能上涉及了分组过滤、应用网关、电路级网关且具有加密鉴别功能;)透明性好，易于使用。2.2第四代防火墙的重要技术及功能第四代防火墙产品将网关与安全系统合二为一，具有如下技术功能。1)双端口或三端口的构造新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做I转化而串接于内部与外部之间，另一种网卡可专用于对服务器的安全保护。2） 透明的访问方式此前的防火墙在访问

11、方式上要么规定顾客做系统登录，要么需要通过SCKS等库途径修改客户机的应用。第四代防火墙运用了透明的代理系统技术，从而减少了系统登录固有的安全风险和出错概率。3) 灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NI)技术来解决,后者采用非保密的顾客定制代理或保密的代理系统技术来解决。4) 多级过滤技术为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒I地址；在应

12、用级网关一级,能运用FTP、SMP等多种网关，控制和监测Internet提供的所有通用服务；在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。5） 网络地址转换技术第四代防火墙运用NAT技术能透明地对所有内部地址做转换,使得外部网络无法理解内部网络的内部构造，同步容许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一种主机的通信,保证每个分组送往对的的地址。6) Iernet网关技术由于是直接串联在网络之中,第四代防火墙必须支持顾客在ntert互联的所有服务,同步还要避免与Inret服务有关的安全漏洞，故它要可以以多种安全的应用服务器（涉及FTP、Fin

13、ger、mail、I、ews、WW等）来实现网关功能。为保证服务器的安全性,对所有的文献和命令均要运用“变化根系统调用（chro)”做物理上的隔离。在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部D服务器，重要解决内部网络和DNS信息；另一种是外部DN服务器,专门用于解决机构内部向Intenet提供的部分DS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不容许图形或CI代码等在防火墙内运营。在Finer服务器中,对外部访问，防火墙只提供可由内部顾客配备的基本的文本信息,而不提供任何与袭击有关的系统信息。SMTP与P

14、OP邮件服务器要对所有进、出防火墙的邮件做解决,并运用邮件映射与标头剥除的措施隐除内部的邮件环境。Idet服务器对顾客连接的辨认做专门解决，网络新闻服务则为接受来自ISP的新闻开设了专门的磁盘空间。7) 安全服务器网络(SN)为了适应越来越多的顾客向Intret上提供服务时对服务器的需要,第四代防火墙采用分别保护的方略对顾客上网的对外服务器实行保护，它运用一张网卡将对外服务器作为一种独立网络解决，对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络（SN)技术。而对SSN上的主机既可单独管理,也可设立成通过TP、nlne等方式从内部网上管理。SSN措施提供的安全性要比老式

15、的“隔离区(DM)”措施好得多,由于SSN与外部网之间有防火墙保护,SN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处在防火墙的保护之下,而一旦DMZ受到破坏，内部网络便暴露于袭击之下。) 顾客鉴别与加密为了减低防火墙产品在Tnlet、FP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为顾客的鉴别手段，并实现了对邮件的加密。9） 顾客定制服务为了满足特定顾客的特定需求，第四代防火墙在提供众多服务的同步，还为顾客定制提供支持，此类选项有：通用TCP、出站UDP、T、MT等

16、，如果某一顾客需要建立一种数据库的代理，便可以运用这些支持,以便设立。10)审计和告警第四代防火墙产品采用的审计和告警功能十分健全,日记文献涉及:一般信息、内核信息、核心信息、接受邮件、邮件途径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日记、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一种TC或UDP探寻，并能以发出邮件、声响等多种方式报警。此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。2.第四代防火墙技术的实现措施在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是核心所在。1.安全内核

17、的实现第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造，从目前的诸多产品看，对安全操作系统内核的固化与改造重要从如下几种方面进行:1)取消危险的系统调用;2)限制命令的执行权限;3)取消I的转发功能；4)检查每个分组的接口;5）采用随机连接序号;6)驻留分组过滤模块；7）取消动态路由功能；8)采用多种安全内核。2.代理系统的建立防火墙不容许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全,所有的代理都应当采用变化根目录方式存在一种相对独立的区域以安全隔离。在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则，这些规则

18、控制代理的服务根据如下内容解决分组:1)源地址;2）目的地址;）时间;4)同类服务器的最大数量。所有外部网络到防火墙内部或SN的连接由进站代理解决,进站代理要保证内部主机可以理解外部主机的所有信息，而外部主机只能看到防火墙之外或SN的地址。所有从内部网络SSN通过防火墙与外部网络建立的连接由出站代理解决，出站代理必须保证完全由它代表内部网络与外部地址相连,避免内部网址与外部网址的直接连接，同步还要解决内部网络SSN的连接。3 分组过滤器的设计2-2作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行，服务终结时，过滤规则会从内核中消除，所有的分

19、组过滤功能都在内核中IP堆栈的深层运营，极为安全。分组过滤器涉及如下参数。1）进站接口；2)出站接口;3)容许的连接；4)源端口范畴;5)源地址;6)目的端口的范畴等。对每一种参数的解决都充足体现设计原则和安全政策。4.安全服务器的设计安全服务器的设计有两个要点:第一，所有的流量都要隔离解决，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去像是内部网，由于它对外透明,同步又像是外部网络,由于它从内部网络对外访问的方式十分有限。SSN上的每一种服务器都隐蔽于Itenet,SSN提供的服务对外部网络而言仿佛防火墙功能,由于地址已经是透明的，对多种网络应

20、用没有限制。实现SN的核心在于：1)解决分组过滤器与SN的连接；)支持通过防火墙对SSN的访问；3)支持代理服务。5. 鉴别与加密的考虑鉴别与加密是防火墙辨认顾客、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,尚有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体措施有两种一种是加密卡(Cyo Ca)；另一种是ecue ID,这两种都是一次性口令的生成工具。对信息内容的加密与鉴别则波及加密算法和数字签名技术，除PEM、P和erros外，目前国外防火墙产品中尚没有更好的机制浮现,由于加密算法波及国家信息安全和主权，各国有不同的规定。4 第四代防火墙的抗袭击能力作为一种安全

21、防护设备,防火墙在网络中自然是众多袭击者的目的，故抗袭击能力也是防火墙的必备功能。在Inernet环境中针对防火墙的袭击诸多,下面从几种重要的袭击措施来评估第四代防火墙的抗袭击能力。1. 抗I假冒袭击IP假冒是指一种非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的袭击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部顾客很难懂得内部的P地址，因而难以袭击。2.抗特洛伊木马袭击特洛伊木马能将病毒或破坏性程序传入计算机网络，且一般是将这些歹意程序隐蔽在正常的程序之中，特别是热门程序或游戏，某些顾客下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之

22、上的，其内核中不能执行下载的程序，故而可以避免特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的袭击并不表白其保护的某个主机也能避免此类袭击。事实上，内部顾客可以通过防火墙下载程序,并执行下载的程序。3.抗口令字探寻袭击在网络中探寻口令的措施诸多,最常用的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获顾客传给服务器的口令字,记录下来，以便使用;解密是指采用强力袭击、猜想或截获具有加密口令的文献,并设法解密。此外,袭击者还常常运用某些常用口令字直接登录。 第四代防火墙采用了一次性口令字和严禁直接登录防火墙措施,可以有效避免对口令字的袭击。4. 抗网络安全性分析网络安全性分析工具是提供管理

23、人员分析网络安全性之用的，一旦此类工具用作袭击网络的手段，则可以比较以便地探测到内部网络的安全缺陷和弱点所在。目前，SAA软件可以从网上免费获得,Iterne caner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。5. 抗邮件诈骗袭击邮件诈骗也是越来越突出的袭击方式，第四代防火墙不接受任何邮件,故难以采用这种方式对它袭击，同样值得一提的是，防火墙不接受邮件,并不表达它不让邮件通过,事实上顾客仍可收发邮件，内部顾客要防邮件诈骗,最后的解决措施是对邮件加密。结论3.1 防火墙技术展望随着

24、着nteret的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不也许的。但是,从产品及功能上,却又可以看出某些动向和趋势。下面诸点也许是下一步的走向和选择：1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、核心字过滤和对Activ、Java等的过滤,并逐渐有病毒扫描功能。3)运用防火墙建立专用网是较长一段时间顾客使用的主流,IP的加密需求越来越强,安全合同的开发是一大热点。4)单向防火墙(又叫做网络二极管）将作为一种产品门类而浮现。)对网络袭击的检测和多种告警将成为防火墙的重要功能。)安全管理工具不断完善，特别是可以活动的日记分析工具等将成为防火墙产品中的一部分。此外值得一提的是，随着着防火墙技术的不断发展，人们选择防火墙的原则将重要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件规定、VP的功能与A的功能、接口的数量、成本等几种方面。参照文献1. 2 3