四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
管理我们刚才提到的内网和外网之间全部的进程,活动。安全有效的防火墙需要具备下面的的特性:
1 从内网到外网和从外网到内网所有通信都必须通过防火墙
2 防火墙在配置了安全策略之后,所有信息交流,只会在这个规则保护下进行 3 防火墙本身是免疫的,不会被穿透的。
防火墙的基本功能:能够监控所有的数据在网络中的行为;当有请求访问来到时,要进行有效监测,询问,和管理;封杀一些不被网络规则允许的事务;只要是经过了防火墙的那些信息以及事务,都会被防火墙生成的日志文件记录下来;实时监测的网络攻击和攻击警报。
1.3论文思路与结构
在论文接下来部分中,会分别系统介绍防火墙,当前国内企业安全现状分析,以及防火墙在企业中的应用架设。
2防火墙概述
随着网络的发展,网络应用几乎已经渗透入家家户户,每个人都离不开网络,不管是通信网络或是电脑网络都好,企业也是一样。而相较于个人用户而言,企业用户的信息量更加庞大,敏感的数据也更多。这些数据的损坏或者丢失会带给企业不可弥补的损失,因此为了防止各种人为破坏与企业信息安全,防火墙的发展不可阻挡。在防火墙中,最核心也是最重要的技术就是包过滤技术还有应用代理技术。而包过滤实现和发展的时间较应用代理更早,因此被广泛应用到了各个领域之中。
2.1防火墙概念
作为一个保护屏障,防火墙指的是一个在inside(内部网/专网)和outside(外部网/公网)之间由硬件系统和软件系统组成的。其原理是在网络上建立一个安全网关和网络,以实现网络的保护不被非法用户的入侵的影响。防火墙会检测所有流经的数据还有网络通信的内容。
在网络中,所谓的“防火墙”,变成了一种隔离技术,是一种叫法,而非实际的硬件与软件的结合。用在连接网络信息交换时执行的一种访问标准,允许你同意的人进入内部网,而不允许的不能进来。能最大限度的限制骇客的侵入。
伴随着企业信息化进程的推动,各个企业需要运用到网络来运行的系统也更加的多了,信息系统变得越来越巨大和驳杂。企业网络的服务器机组组成了企业网络的服务系统,这其中主要包含了DNS服务、虚拟主机服务、Web服务、FTP服务、视频点播服务和Mail服务等等。企业网通过不同的线路分别接入了
2
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
不同的网络。随着这些企业的增多,企业对应用的需求增大,客户数量的增大,网络安全问题已经是迫在眉睫了。 2.1.1防火墙介绍
从防火墙诞生到如今这个时候,人们一共归纳总结了5个防火墙的发展归类。图一表示简单的发展史。
图一:防火墙发展史
第一代防火墙
防火墙和路由器的第一代可以说是在同一时期产生的,采取包过滤的技术。 第二、三代防火墙
1989年,贝尔实验室的戴夫Presotto和霍华德特里基发明二防火墙,电路级的防火墙,第三代防火墙的思路也被提及——应用层防火墙。 第四代防火墙
第四代防火墙的核心技术主要是透明代理技术,这样使得它的容错率大大提高,不管是在监测方面,还是在隔离方面,不仅包含了前三代防火墙几乎所有的有点,它的安全内核,多级过滤,正是这第四代防火墙的关键所在。 第五代防火墙
第五代防火墙实际上就是现在所说的智能防火墙的前身,它的核心技术实际上就是自适应代理技术。[4]
但是当今网络中的主要安全问题并不能被传统防火墙完全解决。当今网络中主要的三个安全问题是:首先是拒绝访问类型的网络攻击方式,然后是蠕虫类型的病毒传播,最后是代表内容控制方式的垃圾电子邮件。这三种类型的网络攻击在整个网络的攻击类型中占据了9成甚至以上。但在面对这三种类型的网络攻击时,传统防火墙都找不到地方下手。主要是下面三个原因: 第一个是防火墙硬件配置的问题。在计算机世界中,更快的计算能力意味着更强大的硬件配置,而更强大的硬件配置则意味着更加昂贵的价格,而对于防火墙这种关乎一个企业命脉的东西计算能力自然是越强大越好,不过,技术的限制成了一个问题,最重要的确实成本的问题。第二是一般的防火墙其核心技术的体现仅仅是对数据,信息的过滤,很难起到非常大的作用。仅仅作为一个简易的条件过滤器,条件通过,那么数据就能通过,反之则不能,如果攻击
3
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
者计算一个相对复杂的攻击方式,那么这种防火墙在安全防护方面就很难做到面面俱到了。第三是传统防火墙不能区别识别好的和坏的行为。这样会带来非常大的坏处,因为当防火墙不能判断一个行为的好坏时,它不会做出有效的响应的,无论是什么行为,只要通过了它的条件判断,那么就是一棍打死制。
但是随着技术的不断发展,各种电子,电器方面的产品更加的智能化。防火墙的智能化肯定也是在其中的。这样的话,防火墙一智能化,它就能对攻击进行判断,更好的保障企业的安全了。 2.1.2智能防火墙
智能防火墙是指只要没有程序的问题,已被公认为病毒防火墙程序,智能防火墙不要求用户,只有当不确定进程访问行动,才会请求用户帮助的防火墙。它不同于传统的防火墙,不能每个进程访问必须询问用户是否通过。有效克服了一般防火墙时常报警并且请求,不能帮助用户判断程序是否有问题,会给用户带来十分困扰的问题,这样它自己就会陷入死循环,导致十分严重的问题发生。[5]
2.2防火墙的功能
2.2.1网络屏障
当一个企业或者用户使用防火墙之后,因为防火墙具有阻塞,控制的作用,这样的话内网的安全能得到极大的保证,而且它能屏蔽那些未知的服务来达到减少安全危险的目的。防火墙只会任由通过了它检测的应用协议,因此网络的环境会被防火墙净化并不是空穴来风。例如,防火墙可以防止被称为不安全的NFS协议和网络功能可得到保证,从而有效地阻止外部攻击者使用该协议来攻击内部网络安全。保护网络不受路由之类的攻击不仅是防火墙一个重要功能之一。防火墙理论上可以保护网络不受以上全部类型攻击的报文再通知网络管理员。[6]
2.2.2防火墙可以强化网络安全策略
每台计算机都是自带网络安全策略的,不过只要有了防火墙的介入,并且提前设置好防火墙内部所拥有的网络安全策略之后,防火墙就能对这些安全策略进行统一的集中管理。这比安全策略们单独运行,一一实现要效率的多。比如当产生网络访问时,验证身份的系统就可以不必被分发到各个独立的主机上完成,而是集中在防火墙这一个系统上来。 2.2.3对网络存取和访问进行监控审计[7]
当所有的数据交流都被防火墙监控到的时候,防火墙就能够记录下这些数据交流并且放到生成的日志文件中去,而且这些日志文件中也能记录下网络交流的统计数据。防火墙的报警会在检测到有嫌疑的机器操作时启动,并且网络
4
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
是否遭受到其他监测以及攻击的更加详细的信息。此外,防火墙会采集网络的运用和误用情况来保障网络安全问题。首先是能够判断防火墙是否能够有效抵挡外来攻击,另一方面清晰了解防火墙的对网络的制约是不是达到了预期效果。 2.2.4防止内部信息的外泄
可以使用网络防火墙的有效分割,实现网络的分割的一个重要环节,它可以限制网络安全问题在全球网络问题非常有效的影响。而且,还有一个重要的问题,即隐私,一个内网中非常小的细节也有极大可能引起攻击者对这个网络的兴趣从而找到网络的漏洞来进行攻击。运用防火墙可以覆盖那些内部细节的泄露,就像finger,DNS和其他服务。与此同时在Finger上出现的信息轻易就能被攻击者得到。攻击者可以很容易的知道系统的频率,该系统是网络用户,系统能够攻击时有足够的反应时间等。防火墙同样能够阻断内网络中的域名服务信息,只要防火墙这样做了,主机的ip地址和域名就很难被攻击者获悉了。
2.3防火墙分类[8]
2.3.1包过滤防火墙[9]
在Linux中,包过滤的功能是对系统的直接影响核(在系统的核心模块,或是在系统直接建立),虽然是经常看到只能是由包头来决定,不过还是有一些能够用在数据包上的技巧。当收到一个包时,包过滤防火墙就会对这些包判定通过或者否决它来达到包过滤的目的。更加具体地说,包过滤是对每个数据包的头,按照它自己的一套规律来判断的,与规律配对成功的包由路由信息转发,不然就舍弃。根据数据报的源IP地址的包过滤,指定IP地址,协议类型,port(端口),指定端口和信息和数据包传输方向信息来决定是否允许数据包通过包头源。包过滤还包含和服务有关的过滤,就是针对特殊的服务,进程,进行包过滤,因为大部分的服务的监听都停留在指定TCP/UDP端口,所以,作为屏障进入特殊服务环节,防火墙需要包括所有特殊的TCP / UDP目的端口报文丢弃它。
这里我们会提到一个十分简单的包过滤类型的防火墙的运行情况: (1)包过滤硬件设备端口必要把包过滤规则存起来。
(2)会产生对报头的语法的分析,只要端口接收到了包头。当然大部分的包过滤设备只检查IP、TCP头里面的片段。
(3)包过滤规则存储在一个特殊的方式。在包上面使用的那些顺序和规律是必须要和它之前已经设置好的顺序和规律一致,否则是不会生效的。
(4)只要当其中的一条规则不能被通过,那么这个包就会被判定为无效包,是不会允许通过的。
5
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
(5)反之只要一条规则同意了包的通行,那么这个包才可以继续在防火墙中运行。
(6)如果这个包连其中一条规则都不能通过的话,那么这个包就可能通过防火墙的保护了,会直接被挡在门外。 2.3.2应用代理防火墙
实际上这种类型的防火墙就是在防火墙上面运行代理程序,就像字面意思一样,但是呢代理程序只能在职能是网关的计算机上面运行,其中有两个部分组成了应用代理防火墙的运行条件:一个部分与内网络创建衔接,另一个部分与用户衔接,相当于在用户和内部网之间多出一个中间人,受理他们之间的信息交换请求。只要有了代理服务,内网用户才能快捷有效的通过作为网关的计算器的限制利用万维网的服务,而且那些不安全的用户群就不能正常的使用了,连他们的请求都是不能通过的。不同的代理服务技术和包过滤技术,是在内部网络和外部网络之间没有直接的联系,同时提供日志和审计服务。代理技术在应用层实现防火墙功能,和包过滤技术不同,可以提供额外的安全防护。 2.3.3复合型防火墙
基于IP的智能识别技术的混合型防火墙,可以是一个完美的控制应用服务类别。而各类新兴技术的使用也使得这种防火墙的应用更加广泛,原理如图二。
IP TCP 开始攻击 建立连接状态表
检查整个报文内容 图二:复合型防火墙原理
2.3.4状态监测防火墙
这种防火墙算是囊括了包过滤防火墙的大部分容易实现的有点,在性能方面具有一定的优势,值得一提的是,在应用程序方面,可以说它是透明的,因此,它的安全性有较大提高。它不再是简单的包过滤技术只检查访问网络数据包,也关心数据包的状态。它会在防火墙核心设立起状态连接表,把进出网络的数据当做一些事件来处理。
6