《2023年防火墙(祁萍).docx》由会员分享,可在线阅读,更多相关《2023年防火墙(祁萍).docx(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2023年防火墙(祁萍) 第一篇:防火墙(祁萍) 防火墙技术及其在网络平安中的应用 摘要 防火墙是网络平安的关键技术,在实际中被广泛应用。防火墙技术实际是一种隔离技术,它将企业内部网络或个人计算机与internet隔离开来,只允许符合特定规则的数据包通过,从而最大限度的爱惜计算机系统的平安。本文探讨防火墙技术的基本原理、实现防火墙的主要技术手段、防火墙技术的优缺点以及防火墙技术的实际应用。 关键字 防火墙 网络平安 包过滤 代理服务器 状态检测 1、防火墙的基本原理 在网络中,防火墙技术事实上是一种隔离技术,它将内部网与公众网隔离开来,从而到达爱惜内部网络不受侵害的目的。 典型的应用防火墙技术
2、的网络系统具备如下三个基本特征: 1)内部网络和外部网络之间的全部数据流量都必需经过防火墙。 这是防火墙实现防护功能的前提,因为只有当防火墙是内网网络之间唯一的通讯通道时,它才能全面有效的爱惜内部网络。根据美国国家平安局制定的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的平安爱惜设备。典型的防火墙网络体系结构如图1所示: 图1,防火墙网络体系结构 2)只有符合平安策略的数据流才能通过防火墙 平安策略是防火墙推断通过的数据的合法性的重要根据,拒绝违背平安策略的数据流的通过是防火墙实现平安防护功能的重要手段。防火墙有两种对立的平安策略: 允许没有特别拒绝的数据流通过。这种状况
3、下防火墙只规定了不允许通过的数据对象,除此之外其他任何数据都是允许的,平安性相对较弱。拒绝北邮特别允许的数据流通过。这种状况下防火墙规定了允许通过的数据对象,除此之外任何数据都不允许通过,平安性相对较强。3)防火墙自身硬具备很强的抗攻击实力 防火墙处于网络边缘,是内外网互通的唯一通道,内网的重要平安屏障,势必成为网络攻击的首要目标,这就要求防火墙本身必需具备很强的抗攻击免疫力,只有在自身平安的前提下才能完成爱惜内网不受攻击的首要目标。 此外,在传统防火墙基础上进展起来的新型防火墙,如应用层防火墙和数据库防火墙,除具有传统防火墙的功能特点之外,还具备特殊防护功能,如应用层防火墙具备区分端口和应用
4、的实力,可以有效抵抗应用层攻击,数据库防火墙具备针对数据库系统的恶意攻击的阻断实力,可以抵抗针对数据库服务器攻击的SQL注入技术、返回行超标技术等。 2、防火墙的功能 平安功能是防火墙的核心功能,防火墙必需支持确定的平安策略,过滤掉担忧全服务和非法用户,限制管理网络访问行为,监视网络平安状况,必要时发出警报。 除平安功能外,防火墙还可以实现如下功能:通过网络地址转换技术NAT缓解地址空间短缺问题;便利的实现流量统计、计费等功能;将企业内部用于发布信息的www服务器、ftp服务器等隔离开来。 3、防火墙的关键技术 1)包过滤技术 包过滤技术是一种简洁有效的平安限制技术,其技术基础是网络数据分包传
5、输技术。包过滤型防火墙是防火墙的初级产品,通过读取数据包中的源地址、目标地址、源端口、目标端口等信息推断该数据包是否来自可信任的平安站点。 包过滤型防火墙的优点是具有用户透亮性,过滤效率高且易于维护。 包过滤型数据库的缺点是访问限制列表的配置比较困难,对网络管理人员的要求较高;性能随访问限制列表的长度成指数下降;对通过应用层协议进行的攻击无能为力;没有用户的运用记录,无法通过日志分析网络攻击。 2)代理服务器技术 代理服务器在网络应用层供应授权检查,在内网和外网进行信息交换时对数据进行转发。运用代理服务器时,内网用户访问外网主机时,首先将请求发送到代理服务器,代理服务器检查该请求是否符合规定,
6、不符合规定的请求干脆丢弃,对符合规定的请求,代理服务器会修改数据包中的ip地址,然后发送给外网主机,对于外网主机来说,请求其实是代理服务器发送的。同样,外网服务器返回的数据包也先发送给代理服务器,代理服务器进行检查,丢弃不符合规则的数据包,将符合规则的数据库转发给原请求数据的内网用户。 代理服务器运行在内外网之间,能有效隔绝内外网的干脆通信,其优点是平安性好,能实现流量监控、过滤和日志功能,但是由于每次通讯都需要通过代理服务器转发,具有使网络访问速度变慢的缺点,同时,对于每一种应用服务都需要设计一个特地的代理软件模块,并不是全部的互联网应用软件都可以通过代理服务器访问。 3)状态检测技术 状态
7、检测防火墙是在包过滤技术上进展而来的,又称动态包过滤防火墙。传统的包过滤技术只检测单个数据包,平安规则是静态的,状态检测技术可以将前后数据包的上下文联系起来,根据过去的通讯信息和其他状态信息动态生成过滤规则。 4)深度内容检测技术 一般报文检测仅分析报文中的源地址、目标地址、源端口、目标端口和协议类型的信息,而当前网络上的一些非法应用会接受隐藏假冒端口号的方法躲避检测和监管,仿冒合法报文攻击网络,在此状况下,传统的检测方法已经无能为力了。深度内容检测技术是通过对应用流中的数据报文内容进行探测,增加了应用层分析,识别各种应用及其内容,从而确定数据报文的真正应用。 4、防火墙在网络系统中的实际应用
8、 1)个人防火墙 个人防火墙通常是一个运行在计算机上具有数据包过滤功能的软件,不需要特定的网络设备,只要在用户所运用的PC上安装软件即可。如今主流的pc操作系统,如windowwindows xp之后版本、linux等都有内置防火墙程序。 常见的个人防火墙有:天网防火墙个人版、瑞星个人防火墙、360木马防火墙、费尔个人防火墙、江民黑客防火墙和金山网标等。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在运用时特别便利及好用。 个人防火墙的优点是本钱低,不需要额外的硬件资源,主要的缺点是其本身很简洁受到威胁。 以下以Kaspersky Anti-Hacker为例,简洁介绍个人防火墙
9、的运用。图2是Kaspersky Anti-Hacker的主界面。 图2:Kaspersky Anti-Hacker主界面 a)应用程序规则 Anti-Hackert个人防火墙的应用级规则是一个重要功能,通过实施应用及过滤,可以确定哪些应用程序可以访问网络。 当Kaspersky Anti-Hacker胜利安装后,会自动把一些平安的有网络请求的程序,添加到程序规则列表中,并且根据每个程序的状况添加适当规则,Anti-Hacker把程序共分9种类型,不同类型的访问权限不同。 假如对目标程序比较了解,可以自定义规则,为程序规定的访问的协议和端口。 b)包过滤规则 Anti-Hacker供应的包过滤
10、规则主要是针对电脑系统中的各种应用服务和黑客攻击来制定的。点击“服务/包过滤规则菜单,打开包过滤规则窗口,规则可以自定义编辑。 这些规则把服务细化到通过固定端口和协议来访问网络,为电脑供应最大的平安保障。 c)网络防火墙的应用 Anti-Hacker防火墙可以阻挡10种各类攻击,入侵检测系统默认是启动的。打开“服务/设置菜单,切换到“入侵检测系统标签,可以调整每项的具体参数的设置。上网时当遭到黑客攻击时,防火墙的程序主窗口会自动弹出,并在窗口级别的下方显示出攻击的类型和端口。这时可以根据状况禁用攻击者的远程IP地址与你的电脑之间的通讯,并且在包过滤规则中添加上禁止该IP地址通讯的规则,这样以后
11、就再不会遭到来自该地址的攻击了。假如上述方法不能奏效,还可以选择全部拦截或者短暂断开网络。 Anti-Hacker防火墙还有特殊强大的日志功能,一切网络活动都会记录在日志中。从中可查找出黑客留下的蛛丝马迹,对防范攻击是特殊有关心的。 2)企业防火墙 大中型企业一般对网络的需求更大,网络访问的用户数量和流量很大,对网络平安的要求也很高,基于这些缘由,一般都选择运用硬件防火墙。硬件防火墙是特地的平安设备,上面预装着平安软件,其操作系统一般是专用操作系统。 企业用户在防火墙的应用上,除了防火墙的基本功能外,一般都根据用户的需要增加了许多扩展功能,如NAT、DNS、VPN、IDS等。 一般的企业网络拓
12、扑结构如图3所示: 图3:一般企业网络拓扑结构 图3所示的网络结构没有平安防护措施,存在着明显的平安威胁,特别是对外供应服务的www服务器等,很简洁受到攻击。上述的平安威胁问题可以通过运用防火墙解决,运用防火墙后的网络结构如图4所示。 图4:运用防火墙的企业网络结构 防火墙在企业网络中可以实现如下功能: 1)实现企业内部网与internet之间的隔离与访问限制; 2)实现对内部网各网段的访问限制 3)实现都www等公开服务器的平安爱惜 4)代理内部用户访问internet 5)实现流量限制 6)防止攻击及进行入侵检测 7)实现平安记录与审计 5、结束语 防火墙技术还处于进展完善的过程中,目前网
13、络环境中各种新的攻击方式层出不穷,这必将促进防火墙技术的飞速进展。防火墙技术是实现网络平安和信息平安的基础,在实际应用中,应根据信息平安级别及用户的具体需求,合理接受适当的防火墙,并结合其他信息平安技术,以保证网络信息的平安。 参考文献 蔡金龙、秦婧 防火墙关键技术的探讨 科技信息,2023,27,551-553 楚狂等 网络平安与防火墙技术 人民邮电出版社,2000 翟钰等 防火墙包过滤技术进展探讨 计算机应用探讨,2023,9,144-146 黎连业、张维等 防火墙及其应用技术 清华高校出版社,2023,7 其次篇:防火墙 防火墙技术: 包过滤: 电路级网关、应用网关、代理服务器、状态检测
14、、自适应代理型防火墙 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来确定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还供应一个重要的平安功能:网络地址转移(NAT)将全部公司内部的IP地址映射到一个“平安的IP地址,这个地址是由防火墙运用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和其次个之间建立平安的连接。这种结构的好处是当一次攻击发生时能供应容错功能。 防火墙一般可以分为以下几种:包过滤型防火墙、电路级网关型防火墙、应用
15、网关型防火墙、代理服务型防火墙、状态检测型防火墙、自适应代理型防火墙。下面分析各种防火墙的优缺点。 包过滤型防火墙 它是在网络层对数据包进行分析、选择,选择的根据是系统内设置的过滤规律,也可称之为访问限制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素,或它们的组合来确定是否允许该数据包通过。它的优点是:规律简洁,本钱低,易于安装和运用,网络性能和透亮性好,通常安装在路由器路由器 路由器是用来连接不同网络或网段的装置,它能够根据信道的状况自动选择并设定路由,以最正确路径,按前后依次发送信号。路由器构成了 Internet的骨架。路由器的处理速度与牢靠性干脆影响着网络
16、互连的速度与质量。 上。缺点是:很难精确地设置包过滤器,缺乏用户级的授权;包过滤判别的条件位于数据包的头部,由于的担忧全性,很可能被假冒或窃取;是基于网络层的平安技术,不能检测通过高层协议而实施的攻击。 电路级网关型防火墙 它起着确定的代理服务作用,监视两主机建立连接时的握手信息,推断该会话请求是否合法。一旦会话连接有效后,该网关仅复制、传递数据。它在层代理各种高层会话,具有隐藏内部网络信息的实力,且透亮性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析,因此平安性低。 应用网关型防火墙 它是在应用层上实现协议过滤和转发功能,针对特别的网络应用协议制定数据过滤规律。应用网关通常安装在
17、专用工作站工作站 工作站是一种以个人计算机和分布式网络计算为基础,主要面对专业应用领域,具备强大的数据运算与图形、图像处理实力,为满意工程设计、动画制作、科学探讨、软件开发、金融管理、信息服务、模拟仿真等专业领域而设计开发的高性能计算机。 系统上。由于它工作于应用层,因此具有高层应用数据或协议的理解实力,可以动态地修改正滤规律,供应记录、统计信息。它和包过滤型防火墙有一个共同特点,就是它们仅依靠特定的规律来推断是否允许数据包通过,一旦符合条件,则防火墙内外的计算机系统建立干脆联系,防火墙外部网络能干脆了解内部网络结构和运行状态,这大大增加了实施非法访问攻击的机会。 代理服务型防火墙 代理服务器
18、服务器 服务器是指在网络环境下运行相应的应用软件,为网上用户供应共享信息资源和各种服务的一种高性能计算机,英文名称叫做Server。 接收客户请求后,会检查并验证其合法性,如合法,它将作为一台客户机向真正的服务器服务器 服务器是指在网络环境下运行相应的应用软件,为网上用户供应共享信息资源和各种服务的一种高性能计算机,英文名称叫做Server。发出请求并取回所需信息,最终再转发给客户。它将内部系统与外界完全隔离开来,从外面只看到代理服务器,而看不到任何内部资源,而且代理服务器只允许被代理的服务通过。代理服务平安性高,还可以过滤协议,通常认为它是最平安的防火墙技术。其缺乏主要是不能完全透亮地支持各
19、种服务、应用,它将消耗大量的资源,导致低性能。 状态检测型防火墙 它将动态记录、维护各个连接的协议状态,并在网络层对通信的各个层次进行分析、检测,以确定是否允许通过防火墙。因此它兼备了较高的效率和平安性,可以支持多种网络协议和应用,且可以便利地扩展实现对各种非标准服务的支持。 自适应代理型防火墙 它可以根据用户定义的平安策略,动态适应传送中的分组流量。假如平安要求较高,则最初的平安检查仍在应用层完成。而一旦代理明确了会话的全部微小环节,那么其后的数据包就可以干脆经过速度快得多的网络层。因此它兼备了代理技术的平安性和状态检测技术的高效率。 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型和“
20、应用代理型两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。 (1).包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标记确定是否允许通过。只有满意过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的平安手段。之所以通用,是因为它不是针对各个具体的网络服务实行特殊的处理方式,适用于全部网络服务;之所以廉价,是因为大多数路由器都供应数据包过滤功能,所
21、以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满意了绝大多数企业平安要求。 在整个防火墙技术的进展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤和“其次代动态包过滤。 第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 其次代动态包过滤类型防火墙 这类防火墙接受动态设置包过滤规则的方法,避开了静态包过滤所具有
22、的问题。这种技术后来进展成为包状态监测(Stateful Inspection)技术。接受这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的根据只是网络层和传输层的有限信息,因此各种平安要求不行能充分满意;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC远程过程调用一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能根据包头
23、信息,而不能对用户身份进行验证,很简洁受到“地址欺瞒型攻击。对平安管理人员素养要求高,建立平安规则时,必需对协议本身及其在不同应用程序中的作用有较深化的理解。因此,过滤器通常是和应用网关协作运用,共同组成防火墙系统。 (2).应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔了网络通信流,通过对每种应用服务编制特地的代理程序,实现监视和限制应用层通信流的作用。其典型网络结构如下图。 在代理型防火墙技术的进展过程中,它也阅历了两个不同的版本,即:第一代应用网关型代理防火和其次代自适应代理防火墙。 第一代应用网关(Applicat
24、ion Gateway)型防火墙 这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以到达隐藏内部网结构的作用。这种类型的防火墙被网络平安专家和媒体公认为是最平安的防火墙。它的核心技术就是代理服务器技术。 其次代自适应代理(Adaptive proxy)型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的平安性和包过滤防火墙的高速度等优点,在毫不损失平安性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adapti
25、ve Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在“自适应代理服务器与“动态包过滤器之间存在一个限制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、平安级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,确定是运用代理服务从应用层代理请求还是从网络层转发包。假如是后者,它将动态地通知包过滤器增减过滤规则,满意用户对速度和平安性的双重要求。 代理类型防火墙的最突出的优点就是平安。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选爱惜,而不是像包过滤那样,只是对网络层的数据进行过滤。
26、另外代理型防火墙实行是一种代理机制,它可以为每一种应用服务建立一个特地的代理,所以内外部网络之间的通信不是干脆的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何干脆会话的机会,从而避开了入侵者运用数据驱动类型的攻击方式入侵内部网。 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立特地的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。 第三篇:防火墙学问点 第一章 1.防火墙
27、定义:防火墙是位于两个或多个网络之间,实施访问限制策略的一个或一组组件的集合。或者防火墙是设置在本地计算机或内联网络与外联网络之间,爱惜本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。 2.防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。 规律位置:防火墙与网络协议相对应的规律层次关系。3.防火墙理论特性:根据信息平安理论对其提出的要求而设置的平安功能,是各种防火墙的共性作用。 防火墙从理论上讲是分别器、限制器和分析器,即防火墙要实现四类限制功能: 方向限制:防火墙能够限制特定的服务请求通过它的方向; 服务限制:防火墙
28、可以限制用户可以访问的网络服务类型; 行为限制:防火墙能够限制运用特定服务的方式; 用户限制:防火墙能够限制能够进行网络访问的用户。4.防火墙规则1过滤规则 2设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断全部的数据流,只允许符合开放规则的数据流进出。 b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下,防火墙只禁止符合屏蔽规则的数据流,而允许转发其他全部数据流。5.防火墙分类 按接受的主要技术划分:包过滤型防火墙、代理型防火墙 按具体实现划分:1多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它供应最少两个网络接
29、口,一个与内联网络连接,另一个与外联网络连接。 2筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的全部信息进行分析,并依据确定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。 3屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫全部外部主机与堡垒主机相连接,而不让他们与内部主机干脆相连。 4屏蔽子网:它对网络的平安爱惜通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。6.防火墙的优点 1防火墙是网络平安的屏障 2防火墙实现了对内网系统的访问限制3部署NAT机制 4供应整体平安解决平台5防止内部信
30、息外泄6监控和审计网络行为 7防火墙系统具有集中平安性 8在防火墙上可以很便利的监视网络的信息流,并产生警告信息。7.防火墙的缺点1限制网络服务 2对内部用户防范缺乏3不能防范旁路连接4不适合进行病毒检测5无法防范数据驱动型攻击6无法防范全部威胁 7配置问题。防火墙管理人员在配置过滤规则时经常出错。8无法防范内部人员泄露机密信息9速度问题 10单失效点问题 其次章 1.TCP/IP包头 2.包过滤技术 1概念:又称为报文过滤技术,执行边界访问限制功能,即对网络通信数据进行过滤。2技术原理:3过滤对象:a.针对IP的过滤,查看每个IP数据包的包头,将包头数据与规则集相比较,转发规则集允许的数据包
31、,拒绝规则集不允许的数据包。 b.针对ICMP的过滤。阻挡存在泄漏用户网络敏感信息的危险的ICMP数据包进出网络;拒绝全部可能会被攻击者利用、对用户网络进行破坏的ICMP数据包。 c.针对TCP的过滤,常见的为端口过滤和对标记位的过滤。d.针对UDP的过滤,要么堵塞某个端口,要么听之任之。4优点:包过滤技术实现简洁、快速; 包过滤技术的实现对用户是透亮的; 包过滤技术的检查规则相对简洁,因此操作耗时极短,执行效率特殊高 5缺点: 包过滤技术过滤思想简洁,对信息的处理实力有限; 当过滤规则增多时,对过滤规则的维护是一个特殊困难得问题; 包过滤技术限制层次较低,不能实现用户级限制。 3.状态检测技
32、术 1技术原理:状态检测技术根据连接的“状态进行检查,当一个连接的初始数据报文到达执行状态检测的防火墙时,首先要检查该报文是否符合平安过滤规则的规定。假如该报文与规定相符合,则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则,然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行,包括从内向外和从外向内的双向数据流。在通信结束、释放该连接以后,防火墙将自动删除该连接的过滤规则。动态过滤规则存储在连接状态表中,并由防火墙维护。 2状态:状态根据运用的协议的不同而有不同的形式,可以根据相应协议的有限状态机来定义,一般包括NEW ,ESTABLISHED ,RELATED ,
33、CLOSED。3状态检测技术的优点 平安性比静态包过滤技术高; 与静态包过滤技术相比,提高了防火墙的性能。 4状态检测技术的缺点 主要工作在网络层和传输层,对报文的数据部分检查很少,平安性还不够高; 检查内容多,对防火墙的性能提出了更高的要求。 4.代理技术 1代理的执行分为以下两种状况:一种状况是代理服务器监听来自内联网络的服务请求;另一种状况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发送的信息。 2代理代码: 3代理服务器的实现:双宿主网关的IP路由功能被严格禁止,网卡间全部需要转发的数据必需通过安装在双宿主网关上的代理服务器程序限制。由此实现内联网络的单接入点和网络隔离
34、。 4代理技术优点: 代理服务供应了高速缓存; 代理服务器屏蔽了内联网络,所以阻挡了一切对内联网络的探测活动; 代理服务在应用层上建立,可以更有效的对内容进行过滤; 代理服务器禁止内联网络与外联网络的干脆连接,削减了内部主机干脆受到攻击的危险; 代理服务可以供应各种身份认证手段,从而加强服务的平安性; 代理防火墙不易受IP地址欺瞒的攻击; 代理服务位于应用层,供应了具体的日志记录,有助于进行细致的日志分析和审计; 代理防火墙的过滤规则比包过滤防火墙的过滤规则更简洁。5代理技术的缺点 代理服务程序很多都是专用的,不能够很好的适应网络服务和协议的进展; 在访问数据流量较大的状况下,代理技术会增加访
35、问的延时,影响系统的性能; 应用层网关需要用户变更自己的行为模式,不能够实现用户的透亮访问; 应用层代理还不能够支持全部的协议; 代理系统对操作系统有明显的依靠性,必需基于某个特定的系统及其协议; 相对于包过滤技术来说,代理技术执行的速度较慢。 第三章 1.过滤路由器的实现:过滤路由器对经过它的全部数据流进行分析,依据预定义的过滤规则,也就是网络平安策略的具体实现,对进出内联网络的信息进行限制。允许经过授权的信息通过,拒绝非授权的信息通过。2.过滤路由器优缺点 1过滤路由器优点:快速、性能高、透亮、简洁实现 过滤路由器是从一般路由器进展而来,继承了一般路由器转发速率快的优点; 购置过滤路由器比
36、单独购置独立的防火墙产品具有更大的本钱优势; 过滤路由器对用户来说是完全透亮的; 过滤路由器的实现极其简洁。2缺点: 过滤路由器配置困难,维护困难; 过滤路由器只针对数据包本身进行检测,只能检测出部分攻击行为; 过滤路由器无法防范数据驱动式攻击; 过滤路由器只针对到达它的数据包的各个字段进行检测,无法确定数据包发出者的真实性; 随着过滤规则的增加,路由器的吞吐量会下降; 过滤路由器无法对数据流进行全面的限制,不能理解特定服务的上下文和数据。2.过滤规则1表31给图填数据 2由规则生成策略协议具有双向性,一写就写俩3逐条匹配深化原则填空3.屏蔽冲突:当排在过滤规则表后面的一条规则能匹配的全部数据
37、包也能被排在过滤规则表前面的一条过滤规则匹配的时候,后面的这条过滤规则将恒久无法得以执行,这种冲突称为屏蔽冲突。4.堡垒主机 1定义:堡垒主机是一种网络完全机制,也是平安访问限制实施的一种基础组件。通常状况下堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内联网络和外联网络。 2作用:隔离内联网络和外联网络,为内联网络设立一个检查点,对全部进出内联网络的数据包进行过滤,集中解决内联网络的平安问题。3设计原则: a.最小服务原则:尽可能削减堡垒主机供应的服务,对于必需设置的服务,只能授予尽可能低的权限; b.预防原则:用户必需加强与堡垒主机的联系,对堡垒主机的平安状况进行持续不断的监测
38、,细致分析堡垒主机的日志,刚好对攻击行为作出响应。4类型 a.内部堡垒主机 b.外部堡垒主机 c.牺牲主机 5.多重宿主主机防火墙实现方法 接受一台堡垒主机作为连接内联网络和外联网络的通道,在这台堡垒主机中安装多块网卡,每一块网卡都连接不同的内联子网和外联网络,信息的交换通过应用层数据共享或者应用层代理服务实现,而网络层干脆的信息交换是被确定禁止的。与此同时,在堡垒主机上还要安装访问限制软件,用以实现对交换信息的过滤和限制功能。 多重宿主主机有两种经典的实现:第一种是接受应用层数据共享技术的双宿主主机防火墙,另一种是接受应用层代理服务器技术的双宿主网关防火墙。6.双宿主主机防火墙 1优点:作为
39、内联网络与外联网络的唯一接口,易于实现网络平安策略; 运用堡垒主机实现,本钱较低。2缺点: a.用户账户的存在给入侵者供应了一种入侵途径,入侵者可以通过诸如窃听、破译等多种手段获得用户的账号和密码进而登录防火墙; b.双宿主主机防火墙上存在用户账户数据库,当数据库的记录数量慢慢增多时,管理 员需要花费大量的精力和时间对其进行管理和维护,这项工作是特殊困难的,简洁出错; c.用户账户数据库的频繁存取将耗费大量系统资源,会降低堡垒主机本身的稳定性和牢靠性,简洁出现系统运行速度低下甚至崩溃等现象; d.允许用户登录到防火墙主机上,对主机的平安性是一个很大的威胁。用户的行为是不行预知的,各种有意或者无
40、意的破坏都将给主机带来麻烦,而且这些行为也很难进行有效的监控和记录。 3双宿主主机构成填空:双宿主主机防火墙是一台具有平安限制功能的双网卡堡垒主机,两块网卡中的一块负责连接内联网络,另一块负责连接外联网络。7.双宿主网关1工作原理:在防火墙主机上安装各种网络服务的代理服务器程序。当内联网络中的主机意图访问外联网络时,只需要将请求发送至双宿主网关防火墙相应的代理服务器上,通过过滤规则的检测并获得允许后,再由代理服务器程序代为转发至外联网络指定主机上。而外联网络中的主机全部对内联网络的请求都由2优点 a.无需管理和维护用户账户数据库 b.由于接受代理服务器技术,防火墙供应的服务具有良好的可扩展性
41、c.信息通过代理服务器转发,屏蔽了内联网络的主机,阻挡了信息泄露现象的发生3缺点 a.入侵者只要攻破堡垒主机就可以干脆面对内联网络,因此防火墙主机的平安配置特殊困难且重要 b.防火墙本身的性能是影响系统整体性能的瓶颈 c.单点失效,一旦防火墙主机停止运行,则内联网络的链接将全部中断 d.灵敏性较差 8屏蔽主机1工作原理 过滤路由器的路由表是定制的,将全部外联网络对内联网络的请求都定向到堡垒主机处,而堡垒主机上运行着各种网络服务的代理服务器组件,外联网络的主机不能干脆访问内联网络的主机,对内联网络的全部请求必需要由堡垒主机上的代理服务器进行转发,对于内联网络到发起的连接或由过滤路由器重新定向到堡
42、垒主机,对于特定的主机和特定的服务,则干脆访问 2优点:a.平安性更高 b.可扩展性高 c.屏蔽主机本身是牢靠稳定的 3缺点:在堡垒主机和其他内联网络的主机放置在一起,他们之间没有一道平安隔离屏障,假如堡垒主机被攻破,那么内联网络将全部曝光于攻击者的面前 屏蔽子网 1非军事区DMZ:又称屏蔽子网,在用户内联网络和外联网络之间构建的一个缓冲区域,目的是最大限度地削减外部入侵者对内联网络的侵害,内部部署了平安代理网关执行平安代理功能和各种公用的信息服务器执行网络层包过滤 在边界上,通过内部过滤器与内联网络相联,通过外部过滤路由器与外部网络相联。2优点:a.内联网络实现了与外联网络的隔离,内部结构无
43、法探测,外联网络只能知道外部路由器和非军事区的存在,而不知道内部路由器的存在,也就无法探测到内部路由器后面的内联网络了 b.内联网络平安防护严密 c.降低了堡垒主机处理的负载量,减轻了堡垒主机的压力,增加了堡垒主机的牢靠性和平安性 d.将用户网络的信息流量明确地划分成不同的等级,通过内部路由器的隔离作用,机密信息流受到严密的爱惜,削减了信息泄露的发生 3缺点 第四章 1防火墙性能指标1牢靠性2可用性3可扩展性4可审计性5可管理性6本钱耗费 2防火墙的评估参数1吞吐量2时延3丢包率4并发连接数 5工作模式:路由模式,NAT模式,透亮模式6配置管理 7接口的数量和类型8日志和审计参数 3防火墙技术
44、的进展趋势 1分布式执行和集中式管理:分布式或分层的平安策略执行,集中式管理2深度过滤:正常化,双向负载检测,应用层加密和解密,协议一样性3建立以防火墙为核心的综合平安体系 4防火墙本身的多功能化,变被动防卫为主动防卫5强大的审计与自动日志分析功能6硬件化7专用化 第六章 入侵检测 1入侵检测:对企图入侵,正在进行的入侵或者已经发生的入侵进行识别的过程 2入侵检测的作用: 1识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受爱惜系统造成损害 2识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对受爱惜系统有意或者无意的破坏 3检查受爱惜系统的重要组成部分及各种数据文件的完好性 4审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并订正错误的系统配置信息 5记录并分析用户和系统的行为,描述这些行为转变的正常区域,进而识别异样的活动 6通过蜜罐等技术手段记录入侵者的信息,分析入侵者的目的和行为特征,优化系统平安策略 7加强组织或机构对系统和用户的监督与限制实力,提高管理水平和管理质量 3入侵检测按数据来源划分: 1基于主机的入侵检测:通过分析特定主机上的行为来觉察入侵,推断的根据是系统内的各种数据及其相关记录 优点:能够确定攻击是否胜利 不需要额外的硬件来主持 能够适合加密的环境 可监视特定的系统文件 缺点:额外产生的平安问题 不具有平台无关性,可移植性差 实时