防火墙技术的研究
防火墙技术的研究范文第1篇
关键词:流过滤技术;IPv6;IPSec;防火墙
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
IPv6 Firewall Study Based on Flow Filtering Technology
Wang Wei,Liu DiHua
(Changchun University,Computer Science&Engineering College,Changchun130012,China)
Abstract:The most effective and simplest network security tool is firewall,one flow filtering technology as shirt-sleeve the state detection packet-filtering technology and applications of the technology,acting as the latest firewall technology growing more and more concern,IPv6 as the next generation of network address replaced IPv4 is inevitable,so the filtration technology based on the study of IPv6 firewall is also a research hotspot.
Keywords:Flow Filtering technology;IPv6;IPSec;Firewall
一、引言
随着计算机网络的迅猛发展,网络安全问题变得日趋严重。而防火墙作为最简单、最有效的网络安全工具显得尤为重要。传统防火墙包括简单包过滤防火墙、状态检测包过滤防火墙、应用防火墙等,它们都有各自的优点,但也存在着不容忽视的缺点。而“流过滤”技术融合了包过滤和应用的安全性和优点,克服了包过滤和应用的诸多缺陷,代表了一种全新的防火墙技术结构。在大家纷纷开始关注应用层安全的今天,“流过滤”技术架构更加显示了其前瞻性和先进性。
目前我们使用的是第二代互联网IPv4技术,核心技术属于美国。它的最大问题是网络地址资源有限,从理论上讲,我们都知道IPv4地址用32位二进制表示,编址1600万个网络、40亿台主机。其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个。而对于互联网飞速发展的今天,占全球网民大多数的亚洲来说,IP地址紧缺已经是一个破在眉睫的问题,IPv4地址确实是要用光了,而这件事很快就要发生了。那么扩充资源的最直接的办法就是扩大IP地址的空间,另一方面,Ipv4在实际的使用中也暴露了一些问题。在这样的环境下,Ipv6应运而生,Ipv6取代Ipv4是必然的。
可见,针对基于流过滤技术的Ipv6防火墙的研究是一个新的研究热点。
二、流过滤的研究
流过滤技术工作在链路层或IP层,是融合了包过滤技术和应用技术安全性的一种全新的防火墙技术,不但克服了包过滤和应用的诸多缺陷,而且融合了它们的优点。其基本原理是以状态包过滤的形态实现对应用层的保护,通过内嵌专门实现的TCP协议栈,在状态检测包过滤的技术上实现了透明的应用信息过滤机制。具体来说,就是客户端在规则允许下,两端可以直接访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据以“流”的方式从一个会话流向另一个会话,有防火墙应用层策略位于流的中间,因此可以在任何时候代替服务器或客户机端参与应用层的会话,从而起到了与应用防火墙相同的控制能力,产生了防火墙的功效。
流过滤的结构继承了包过滤防火墙和应用的特点,因而非常容易部署,消耗资源少、效率高且抗攻击能力也高。并且由于应用层安全策略与网络层安全策略是紧密的,所以在任何一种部署下都能够起到相同的保护作用。
三、IPv6防火墙的研究
IPv6的采用,为我们设计防火墙系统提供了一个新思路,即能否把保密和认证机制融入到防火墙中,并形成统一的标准,这将使得防火墙更加完善和安全。RCF1825定义了IPSec,它提供了IP的安全性体系结构。它对于目前使用最广泛的IPv4协议和各国政府大力发展的下一代的IP版本IPv6协议都能提供良好的支持,IPSec协议可以给运行于IP层的任何一个协议提供安全保护。IPSec是IPv4可选的功能,在IPV6里则是一个必选安全子集。在IPSec出现之前,一般是采用在HTTP下加入SSL层为WEB访问和其他应用程序提供安全保护,SSL只能作用于使用它的程序,不能提供全面的安全保护。而一般的机构则是一直采用链路层加密,即对每个通信一对一加密设备进行保护,尽管这种系统提供良好的数据安全机制,但不能保证链路两端以及其通信节点都是安全的,所以链路层保护基本上不能获得更好更广泛的应用。IPSec在IPv6中更容易实现,它为IP提供访问控制、数据源的身份验证、数据完整性检查、机密性保证以及抗重播攻击等安全机制。
IPSec由认证头头协议(AH)、封装安全载荷协议(ESP)、密匙管理协议(IKE)和一些认证及加密算法等组成,主要采用了8个RFC文档进行定义。
其中IKE是一种混合协议,负责密匙的产生、分发与交换,它由SA和密钥管理协议(ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成用于协商信源节点和信宿节点间保护IP报文的AH和ESP的相关参数,如加密、认证的算法和密钥、密钥生存期等,称之为安全联盟。其中AH和ESP是网络层协议,IKE是应用层协议,使用的是UDP数据报格式。AH字段为IP数据报提供了完整、身份验证,并且防止重放攻击。ESP头提供了数据报的机密,通过使用公共密钥加密对数据来源进行身份验证,防止重放攻击和通过使用安全网关来提供有限的业务料机密性。IKE协议用于协商AH和ESP协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。
IPSec具有两种操作模式:传输模式和隧道模式,在传输模式下,IPSec对数据进行加密,原始的IP帧头不发生改变,这样的优点是每个IP分组只增加几个字节,但网络中的中间节点能看到源地址和目标地址,通过一些特殊的手段可以对数据包进行分析,传输模式无法阻止入侵者对数据进行分析,但可以保证IP数据的保密性。隧道模式下对整个IP包进行加密重新生成新的IP帧头和IPSec标头,这样的好处是由发送端路由器进行加密,接受端路由进行解密,终端设备不用因为使用IPSec协议而发生改变,减少了应用成本,而且入侵者无法获得实际的目标地址和源地址,也无法对数据进行分析。
IPSec传输模式只有在源系统和目标系统都具有IPSec功能时才可以采用,所以在很多情况下一般采用隧道模式,可样可以在不改变服务器或主机的操作系统和应用软件的情况下使用IPSec。
四、基于流过技术的IPv6防火墙的研究
(一)基于流过技术的IPv6防火墙的设计策略
本文设计的防火墙将采用屏蔽子网的防火墙系统结构,在这个基础上解决IPSec与防火墙的兼容问题;并且在堡垒主机中添加了流过滤模块,对应用层进行了更好的保护。
屏蔽子网的IPv6防火墙体系结构图:
屏蔽子网防火墙系统层次结构示意图:
在IPv6网络通信中,网络传输的IPv6报文都是密文,防火墙无法获得端口等信息进行过滤。为解决这一问题,本文在采用屏蔽子网防火墙系统结构的基础上,提出了解决方案。
两个分组过滤路由器和一个堡垒主机,它们单独构成一个子网,位于内部子网和Internet之间,称之为屏蔽子网。外部路由器介于Internet与屏蔽子网之间,而内部路由器介于屏蔽子网与内部可信子网之间,两个路由器可进行不同级别的过滤,屏蔽子网只允许Internet和内部子网接入到堡垒主机中,但试图绕过它的流量都将被阻塞掉。
下面我们介绍其实现:
1.外部路由器只需对不加密的报文部分进行过滤。如:由于IPv6采用了IPSec机制,所以外部路由器只需对外部数据报头中的源地址及网关地址等明文信息进行过滤;对于IPv4报文中IPSec是可选部分,而且大多用在VPN中,所以外部路由器也可对没加密的IPv4报文进行过滤;这样大大减轻了堡垒主机的负荷。
2.堡垒主机接收到外部路由器转发的数据包后,去掉外部IP头,通过SPI(安全参数索引)计算密钥,对实际的数据包进行解密或对AH数据报头校验,没有通过认证的丢弃;通过认证的再通过过滤规则对其进行过滤:如果为允许通过的包,若为关键报文,交由传输层,由传输层将报文交给应用层。堡垒主机通过流过滤模块对关键报文进行数据包重组之后通过流过滤规则过滤掉系统认为不安全的业务,从而实现了对应用层的保护。如果为非关键报文就直接交给包过滤进行过滤,如为允许包就通过,否则就阻塞。堡垒主机将通过以上过滤的分组进行重新打包,发向内部路由器,并根据规则对丢弃的分组进行处理。
3.内部路由器接受到来自堡垒主机的流量,首先根据源地址、源端口等信息以及内网各主机的安全级别进行再次过滤,然后根据该分组的内网实际地址,对该分组进行ESP封装加密(密钥的来源可取自堡垒主机),然后转发该分组至目的端。而内部路由器在处理由内网通往外网的流量时,首先对该分组解密,然后根据各主机的不同权限和该系统的安全策略进行过滤,通过的流量由堡垒主机进行封装加密后转发。若内网各主机有不同的安全级别(如:一些保密单位主机要求限制对其的访问),可强制所有通往保密主机的流量都由内部路由器路由,进而可由内部路由器解密后实现接入控制。
以上方案的实现,需要存在一套独立的密钥分配协议,这可以考虑在安装防火墙系统时,由客户端软件实现,在此,就不多做讨论了。
(二)系统设计
本文设计的系统,包括数据包捕获模块、数据包分流模块、包过滤模块、流过滤模块、报警信息记录模块、日志数据库的设计、过滤规则数据库、控制规则模块、客户端模块等。
1.数据包捕获模块:数据包捕获模块,与一般的数据包捕获模块功能基本相同,对网络链接的侦听并收集数据包。
2.数据包分流模块:对捕获的数据包进行类型分析。判断其是否为关键报文,以确定是经过包过滤模块或是流过滤模块。
数据包捕获模块和分流模块工作流程:首先把堡垒主机的网卡设为混杂模式-》启用SONKET函数-》数据包捕获模块利用数据包嗅探器原理接收到数据包-》数据包分流模块分析数据包头的信息-》如果关键报文。那么就交给流过滤模块对这类数据包进行处理;但是如果不是关键报文,那么就交给包过滤模块处理-》如此循环。
3.包过滤模块:本文设计的包过滤模块只对非关键报文进行过滤。根据过滤规则:允许传输的,通过;阻塞传输的,丢弃,并将非法报文相关信息交给报警信息记录模块处理。
包过滤工作流程:利用数据包捕获模块获得报文,并分析报头信息-》应用一个过滤规则进行判断-》如果允许传输,则为允许包(合法报文);如果阻塞传输,则为阻塞包(非法报文),并将非法报文相关信息交给报警信息记录模块处理;如果经过本条规则过滤既不是允许传输的报文,也不是阻塞传输的报文,则进行下一个过滤规则的判断-》如果所有的规则都没有符合的,则默认为非法报文,阻塞传输-》如此循环。
4.流过滤模块:接收来自数据包分流模块的关键报文,实现对关键报文的截取、检查、合法转发。
流过滤工作流程:捕获模块接收到数据包,对数据包的包头进行分析,判断是否为关键报文-》如果不是关键报文,则交给包过滤模块进行过滤;如果是关键报文,则交给流过滤模块进行过滤-》判断为关键报文之后,发送应答报文-》判断同一会话关键报文是否传输完毕:如果同一会话的关键报文没有传输完毕,则继续接收下一个数据包;如果同一会话的关键报文传输完毕,则去掉重复报文,根据序号字段排列报文顺序判-》判断每一报文序号字段检查数据是否完整:如果不完整,则继续接收数据包;如果完整,则组合所有报文应用层-》取得httpurl链接中的一条规则,比较报文首部相关信息与规则对应字段,并在重组数据匹配规则中过滤内容项判-》判断数据是否合法:如果比较完毕合法,则按报文正确顺序发送原始报,之后继续接收下一个数据包,继续下一个循环;如果不合法,则根据规则中action字段值处理数据。
5.报警信息记录模块:报警信息记录模块负责将报警信息记录进日志数据库,同时将报警信息交给客户端。
6.日志数据库的设计:对系统运行情况的实时监控。
7.过滤规则数据库:用来存放过滤规则。本文把设计的包过滤规则和流过滤规则都要存放到这个过滤规则数据库中。可以说这是个大的容器,用来存放本文的规则,当然如后期用户自己设置一些合适自己的规则,也要放到过滤规则库中。
8.控制规则模块:实现的是用户根据自己的要求设置规则。必须考虑用户自己设计过滤规则时可能出现的问题,把重复的规则要删掉;不重复的写入过滤规则数据库中。
9.客户端模块:负责将报警信息传送给防火墙客户端,同时接受防火墙客户的各种操作。
基于流过滤技术的IPv6防火墙的系统设计图:
(三)系统的实现
本文采用的是Linux开发平台。硬件环境:PC机,10/100M自适应网卡,路由器,局域网和外网环境。软件环境:Linux操作系统,GCC开发平台,开源防火墙。
五、总结
本文设计的防火墙系统实现了IPv6数据包的过滤功能,能够保护内网主机的安全,基本符合了防火墙的行业标准,基本达到了预期的目标。当然,本设计也存在很多的不足,有待进一步的充实和改进。
参考文献:
[1]东软软件股份有限公司,NetEye Firewall3.2 技术白皮书
[2]孙为.纯IPv6网络中IPSec的研究与应用:[硕士学位论文],西安:西安电子科技大学
[3]NetEye防火墙3.2.计算机安全[J].2003
防火墙技术的研究范文第2篇
关键词:防火墙技术;网络安全;技术策略
1 防火墙概述
1.1 基本概念
防火墙形式多样,想要给出一个涵盖所有网络配置的归一化定义是很难的。一般来说,防火墙的主要功能是隔断外界对本地网络或主机数据库的非法访问,它是软件和硬件的组合体,事先设定一些特定准则,以挑选想要或不想要的网址。防火墙规则可划分为三方面:设定外界人员访问内部服务的权限范围,以及内部人员可以访问哪些外部服务。高级防火墙还可以对网络登录情况进行实时监控,截取并分析信息,对症下药,根据不同情况采取适当的防护手段。
一般而言,服务器是局域网内用户访问网络数据库的必经之路,另外它起到防火墙作用,借助多穴主机方式,将局域网和外网予以隔离,监控网络运行情况,并及时记录传输数据。
1.2 防火墙四个主要功能
⑴防火墙有助于实施通用性较佳的广泛安全政策,确定服务访问权限。防火墙主要控制网络往返访问,对于未获得授权的非法用户,严格限制其访问内部网络资源,也严禁内部向外界传递信息,只允许获得授权的数据传输。
⑵建立节流点。在公共网络和公司专有网络之间应该有一个节流点,这个工作由防火墙完成。通过节流点,防火墙可以对经过节流点的所有数据进行监控和过滤。
⑶记录网络访问行为。防火墙会实时记录访问操作,并具有报警功能。
⑷保护网络主机隐秘性。防火墙对网络到网络的过渡进行多重加密,并加强身份验证,以尽可能减少网络主机的暴露。
2 防火墙技术分析
2.1 包过滤防火墙
数据包过滤在内部网络和外部主机之间进行选择性记忆,依照访问控制列表(ACL)的算法来决定数据包是否可以通过。通过合理设置,ACL可以根据数据包报头的任意部分进行数据包筛选工作。目前,这种过滤主要针对数据包的源地址和目的地址、协议种类、源端口和目的端口。数据包过滤是在网络层和传输层之间的边界安全机制。
2.2 状态检测防火墙
该类防火墙采用了状态监测和故障诊断技术,在传统数据包过滤的基础上进行了功能拓展。采用这种技术的防火墙会对节流点处的每一个连接进行跟踪,严格监控运行状况,并按需在过滤过程中不断增减算法条目或调整规则。状态检测防火墙在网络层设置了检查引擎,通过截取数据包抽取相关信息,获得应用层的运行信息,并以此作为是否接受该连接的依据。
2.3 服务防火墙
服务是运行在防火墙主机上的特有程序,主机可以是一个双重宿主主机,同时拥有内部网络接口和外部网络接口,也可以是一个围墙式主机,作为唯一一个可以与外部网络通信的站点。服务器接收内部用户网络服务请求,根据相关安全准则核实其使用权限,而后转发请求,并将此请求反馈给网络主机。换言之,服务器发挥了网关的功能,在应用层上提供替代连接并提供操作。具有服务专属性,要按照应用服务的归属情况选择合适的服务器。
2.4 网络地址翻译
网络地址翻译,将私有地址转换为可以在公共网络上被路由器所识别的IP地址,在私有地址节点和外部公网节点之间建立通信通道。一般来讲,网络地址翻译设置在外部和内部网络接壤处,内部网络主机向外网主机发出数据传输请求时,先将数据包发送到NAT设备,NAT进程首先审核IP数据包报头,如果允许通过,就用唯一一个专属IP地址对内源地址字段中的私有IP地址进行替换,再将数据包发送到外部网的主机上。外部网主机发回反馈数据包后,NAT进程负责接收,根据现有的网络地址比对表,再把回应包中的共有目标地址换为原来内部主机私有地址,最后把该回应包送到内部网指定的源主机进行相关数据操作。
2.5 个人防火墙
个人防火墙又名单机防火墙,主要功能是保护PC接入公共网络时的数据安全。个人防火墙主要以软件形式存在,硬件式很少见。个人防火墙能够对内部攻击和外来侵袭产生有效抵御。
2.6 防火墙分析总结
通过上述分析,我们了解到,防火墙只是网络安全防护的一个环节,必须结合诸如病毒防护、加密算法、身份鉴别技术一类的手段,才能最大程度提高网络安全等级;再者,防火墙也并非万无一失,只能对经过节流点的访问和攻击进行防御,如果黑客通过某些手段绕过防火墙,则此类防护就失去作用;另外,架构防火墙要充分进行技术需求分析和风险成本管理,并要注意后期的维护和翻新,防火墙的测试和试验受限也较多,所以单一防火墙技术并不能很好满足用户网络安全的需要。
[参考文献]
[1]任月鸥,高文举,李秋菊.在校园网络环境下防火墙技术的应用研究[J].硅谷,2011(12)
防火墙技术的研究范文第3篇
【关键词】防火墙技术;电力系统;信息安全
随着全球信息化的同步,我国电力系统自动化平水也是日益增高,如果电力系统的信息安全出现了问题,则会影响人民群众的正常生活及电力系统的安全性。飞速发展的电力系统自动化给人们带来了很大的方便,但是同时也伴随着一系列的安全隐患,网络安全问题就是其中之一,而且越来越严重,每年因网络问题都会带来一些损失,所以网络安全技术应该得到相应的重视。
1 防火墙技术的概念
在英文中的防火墙是Firewall,意思就是用一道墙把安全隐患阻挡在网络安全系统之外,通过一系列硬件设备和相配套的软件设备科学的部署,使其共同组建成一套用于网络安全的防御系统,这是一个必经的网络入口,用于隔断外部可能存在的网络安全隐患。在电力系统中,防火墙技术是依据电力系统的安全策略,并有效的为系统信息提供安全保障服务,防火墙技术是计算机网络的首要关卡,是实现电力系统信息全安必备的基础设施。
随着网络技术全面发展和其应用的不断扩大,防火墙技术已不仅仅是负责网络安全的信息认证与传输。还能为网络安全应用提供相应的安全服务,如当电力系统内网因一些原因必须更换ISP时,就可以省去重新编号的麻烦等等,所以说防火墙技术在电力系统信息安全中的研究是很有必要的。
2 防火墙的主要功能
2.1 强化网络安全
电力系统可以通过防火墙将一些安全措施配置其中,如口令、密码等,防火墙的集中安全管理与将网络安全问题分散到主机上相比,防火墙更经济适用。
2.2 过滤数据包
数据包的过滤是指数据包从一个网络向另一个网络传送信息的过程中,经过已设定的符合自身安全特点的规则对传输的数据包进行检测,接收安全的数据信息,拒绝带有危险网站传送的数据信息,这也是防火墙最基本的功能之一。
2.3 可以防止内部保密信息外漏
内部网络可以通过防火墙来划分,隔离内部网中的重点网段,限制内部网中需保密的信息在内部网中流通,可以保障内部网络中比较敏感的数据的安全,还可以隔断内部网中的DNS信息,从而防止了内部网中保密的或者比较敏感的信息泄露。
2.4 转换网络地址
网络地址转换有两大优点,一方面可以隐藏内部网络的真实IP地址,防止黑客直接攻击内部网络,另一方面内部网可以使用私有的IP网段,从而解决IP地址不足的情况。
2.5 可提供日志记录
因为防火墙的自身特点,网络的存取和访问都必须经过其认证。所以防火墙就保存了较为完整的日志记录,而且还能提供网络使用情况的统计数据。
这些所概括的特点证明了其在各各领域中为解决网络安全问题方面的地位及使用情况,当然,电力系统也是不可或缺的。
3 防火墙技术在电力系统信息安全中的应用
目前防火墙的基本技术类型包括包过滤、网络地址转化—NAT、应用和状态检测,根据电力系统的特点仔细研究并将适合的技术适当的应用,定会大大提高电力系统的信息安全可靠性。
3.1 包过滤技术
包过滤技术是防火墙技术的初级类型,通常情况下由路由器完成,其依靠自身的数据安全保护机制来有选择的控制流出和流入网络的数据。包过滤技术是出现最早的防火墙技术。其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如IP源地址、IP目标地址、封装协议类型等等。防火墙通过数据包中的信息来判断这些信息的来源是否可靠,如发现有来自危险网站的数据信息,防火墙就会自动的丢弃。因为其处于网络的最基础,对用户是透明的,如在电力系统中,管理员是可见的,管理员可根据电力系统的实际情况制定特有的评判原则,所以可以说包过滤防火墙技术是最快的防火墙
3.2 网络地址转化技术
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网,用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问,同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题,节省了资源,降低了成本。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
3.3应用技术
型防火墙具有安全性高的优点,应用是内部网与外部网的有效隔离点,能起到监视和隔绝的作用。应用只允许内部主机使用服务器访问Internet主机,不允许外部主机连接到内部的网络,服务防火墙可以设置成允许内部网的任何连接,也可以设置成需要用户认定才可以连接,这样就为网络安全提供了相对较高的可靠保证,因为无论内网还是外网的连接都需要服务器的转换,所以可以保证内网的安全。在实际的应用中,应用的功能都是由服务器来完成的。
3.4状态检测技术
目前状态检测防火墙技术在防火墙系统中已经得到了广泛的应用。状态检测防火墙是新一代的防火墙技术,又可以叫做动态包过滤防火墙,由Check Point公司引入。是在传统的包过滤技术的基础上进行的进一步扩展,传统的包过滤防火墙技术是只能检测单个的数据包,而且是静态下的,不能将前后信息相联系,并根据信息动态生成过滤规则。而状态检测防火墙监视每一个有效连接的状态,并根据信息决定该连接是否接受或者将之拒绝。通过状态检测技术,动态地维护各个连接的协议状态,提高了系统信息的安全性,并且还能做到一定的扩展性,状态检测在包过滤的同时,检查数据包之间的关联性和数据包中的动态变化。
当然防火墙也不是万能的,在内部人员滥用被给予的访问权利的情况下,防火墙是不能防止内部攻击的,防火墙只提供了边缘地带的基础防卫作用,而且防火墙只能防止已知的恶意病毒程序,对于新型的病毒及木马不可能做到全面的封杀,而且安全问题也绝不是单单的来自网络外部。
4 电力系统信息安全分析
电力系统的信息安全是电力网络安全运行的并可靠送电的基本保障,是一项涉及多领域非常复杂的庞大系统工程,但是电力系统的信息并没有建立一个安全的体系,有些买了防、杀毒软件和防火墙,有的甚至连最基本的防火墙都没有实施,这样必然加大了电力系统中网络方面的许多隐患,所以电力系统工作人员必须加大对网络安全问题的重视及实施的力度,才能从长远的方向上有效控制网络中的问题。
5 结语
随着电力系统信息自动化水平的不断提高,网络技术的应用必定是越来越多,而其中网络安全问题就愈发的显得重要,防火墙技术的应用是安全防御手段中的一种非常有效的方法,高性能的防火墙对于提高电力系统信息安全的稳定性起到了至关重要的作用,并且能促进电力信息化水平的提高,电力企业生产效率的提高,最终提高电力企业的市场竞争力,使得电力企业得到健康持续的发展。
参考文献:
[1]路云.计算机网络防火墙技术的应用和发展[J].管理观察,2009(18).
防火墙技术的研究范文第4篇
关键词:防火墙技术;网络信息安全;应用分析
一、计算机网络安全及防火墙技术运用分析
(一)计算机网络信息安全分析
防火墙技术是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种用于保护计算机网络安全的技术性措施。计算机网络信息安全维护的主要途径就是通过防火墙技术实现的,其可以有效的保护企业以及个人的计算机网络安全,在计算机正常启动工作的过程中,防火墙技术能够随时监控并且实时分析数据,侦查出数据中存在的不安全的信息,但是这种分析方式对时间方面要求比较严格,会有一段时间的延迟。
随着我国社会主义的发展,网络安全问题已经成为社会大众普遍关注的问题,关于计算机网络信息安全问题,社会上提出了许多针对性保护措施。在日渐多样化的网络威胁中,虽然具有攻击性的信息以及软件不断升级,但是我们的防火墙技术也在不断的更新,事实上,防火墙技术的应用十分广泛,其主要是保障信息传输保密,以防外来攻击造成内部信息泄露,它的保护原理就是将信息进行隔离,能够在双方信息交互的过程中形成保护屏障,既可以帮社会大众过滤危险信息,又可以提高计算机网络安全保护的能力,能够在最短的时间内形成网络安全保护措施,优化整体的网络环境,使得整个网络系统的防御能力更加强大,能够确保社会大众的正常网络运行安全。
(二)防火墙技术运用分析
當前,我国网络信息技术的迅速进步使得人民大众对计算机的运用更加放心、更加广泛,在对计算机的使用过程中,大家都对自己的信息是否安全非常关注,近阶段,计算机技术已经进入到人们的生活、工作、休闲以及日常学习上,在各类服务过程中,不可避免的出现了许多的安全隐患,尤其是黑客的人侵以及病毒。
防火墙一共分为三种,传统防火墙、分布式防火墙以及智能型防火墙。传统的防火墙有两种,一种是包过滤技术,另一种是服务器。包过滤技术指的就是通过路由器在计算机和外网之间的两个接口之间的IP包进行过滤,而服务器也被叫做应用防火墙,通过应用相关的服务对外网的链接以及视频进行安全检测,当外网的信息有威胁时,就会使用内部网络进行服务。随着网络的升级和扩容,传统额防火墙已经很难满足现代人计算机的使用需求,分布式防火墙在高性能和灵活扩展方面非常能够满足现社会的挑战,能够有效的防止其他各种被动以及主动的攻击。智能防火墙是指正常程序和准确判定病毒的程序,智能防火墙不会直接询问用户,当有危险的信息访问计算机网络时,才会请求使用者协助的防火墙,有效的改善了传统防火墙频繁报警的情况,设置了人侵检测工具,能够使人侵的人获得权限前成功的被阻止。
二、防火墙技术在计算机网络信息安全中的应用
根据社会对防火技术在计算机网络信息安全的数据整理分析,越来越多的人开始在计算机中使用防火墙技术,现如今网络技术发展迅速,人们无论是在生活上还是学习上都离不开网络,人们也会通过网络渠道来获取更多的对自己有帮助的信息,防火墙技术在计算机网络信息安全中的应用有以下几点:
(一)包过滤防火墙
包过滤防火墙就是用一个软件查看所流经的数据包的包头,通过这个来决定整个数据包的命运,其一般只应用于OSI七层模型中的网络层数据。包过滤防火墙可以对连接启动状态下的计算机自行进行检查,并且提前设定好逻辑思路,凡是能够通过防火墙数据包的都要进行最后的检测分析,逻辑策略主要包括端口、地址和源地址等,当数据包出现的信息与策略中中出现的条例不一致时,数据包就会通过检测。但是如果数据包中出现的信息和策略中的条例一样的时候,计算机网络信息的数据就会被拦截下来,数据包被传送的时候就会被分割成无数的小数据包,当经过防火墙的时候它们就会通过不同的路径传输过去。
(二)应用网关防火墙
应用网关防火墙的安全性很高,并且已经开始向应用层发展,它的认证是个人而不是设备,这一点与包过滤防火墙形成了鲜明的对比,它在数据传输时需要进行验证,当成功验证时,我们才能够允许访问网络资源。一般情况下只有输对口令、密码以及用户名等信息才会被认证,所以我们没有时间可以为黑客提供DOS攻击,应用网关防火墙还分为直通式网络防火墙和连接网关防火墙,连接网关防火墙需要认证许多的信息条款,并且可以通过截获数据流量来进行认证,只有认证成功才可以访问服务器,其还可以对应用层进行保护,来提高应用层的安全性,但是直通式的防火墙就不具备这一项功能。
(三)深层检测防火墙
深层防火墙检测就是针对防火墙产品所做的一系列的测试,测试的内容涉及的较多,其中包括的测试有网络环境、测试的方法、测试的工具以及测试的准则等,这也是目前防火墙的发展趋势。这项技术刚开始会对网络信息进行检测,然后对流量的走向进行跟踪,深层检测防火墙系统不只是停留在网络层面,其还更加的注重应用层面的网络攻击,使计算机网络信息的安全性能和实用性能更高,应用层网关实际上就是一个接受链接的程序,系统对其进行严格认证以后,才可以使用被传过来的链接,通不过则被阻塞。
三、结语
就当前的防火墙技术应用来看,其所具有的时效性是其他网络技术所无法替代的,优势作用极为明显。但其依然具有广阔的发展空间,单一的防火墙技术也并不一定能够完全解决网络中存在的安全问题。融合网络数据检查,整个网络系统的监控等都可以对网络安全给予辅助,防火墙技术还需要在漏洞防御方面予以不断深化,才能够让其作用更加明显,才能够让防火墙技术得以真正推动和发展。
参考文献:
[1]武强.关于计算机网络安全中防火墙技术的研究[J].电子世界,2016(08):100+105.
[2]郭丽丽.计算机网络安全中防火墙技术的运用分析[J].信息通信,2016(03):198-199.
[3]汪楠,张浩一种防火墙技术的网络安全体系构建研究[J].石家庄学院学报,2015,17(03):44-48.
防火墙技术的研究范文第5篇
关键词:Linux;防火墙;功能;关键技术;iptables
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
The Key Technology Research of Firewall Technology Function on Linux Environment
Yang Bo
(Yinchuan Vocational College of Science and Technology,Yinchuan 750001,China)
Abstract:This paper outlines the development process of the Linux firewall,on the basis of its more powerful iptables key principles and use of technology to explore.
Keywords:Linux;Firewall;Function;Key technologies;Iptables
一、Linux防火墙发展历程
经过多年的发展,Linux防火墙已经过了多个发展历程,在1.1版本中,Linux已经基本具备了IP数据包的过滤功能。在2.0版本中,Linux使用了ipfw对IP数据包的过滤规则进行了优化,通过对数据包的优化分析,可以分辨出包的源地址、目标地址、源端口、目标端口以及IP数据包的类型等等。根据对IP包的分析结果判断是放行数据包还是过滤数据包。在之后出现的2.2版本中,出现了比ipfw更加优越的过滤规则ipchains,ipchains过滤规则的指令更加清晰易懂。当Linux防火墙发展到2.4版本使已经不再使用ipchains过滤规则,而是采用了比ipchains功能更加强大的iptables。
二、ptables的工作原理
iptables与ipchains相比,过滤规则更加强大,iptables可以自由的增加包的过滤规则和减少包过滤规则。事实上,包规则的增加和减少都是通过netfilter和它的相关组件完成的。netfilter作为Linux的普通的架构,netfilter为Linux提供了很多个“表”(tables),而Linux中的每个表是由多条含有过滤规则(rule)的“链”(chains)组成的。其中input、output和forward构成了系统的缺省表“filter”,系统缺省表“filter”中的每一条链中都包含一条或多条规则,当互联网中的IP数据包满足规则所定义的要求时系统就会自动处理该数据包。系统对数据包的检查是从filter表中的第一条链开始的,如果数据包满足第一条链的要求就会被马上处理,当数据包不满足第一条链的规则时则查找第二条链,直到找到满足数据包得链为止。
也就是说,当系统就收到一个请求的数据包时,系统将按照一定的规则将请求包发送给与其相对应的链:
1.如果数据包的源地址是本机,数据包的目标地址也是本机,那么系统将会将这个数据包发向input链,当该数据包满足input链规定的规则时,本机则处理这个数据包,如果该数据包不满足input链规定的规则时,本机将放弃对这个数据包的处理。
2.当数据包的目的地址不是本机时,也就是说这个包是转发包的时候,这个包将由forward链处理,当数据包满足forward链规定的规则时,有进程会对这个数据包进行处理,如果该数据包不满足forward链规定的规则时,则不会有进程处理这个数据包。
3.当数据包的目的地址是本机时,并且系统自动的将数据包传向了output包时,只有数据包满足output链的规则,才会有进程处理这个数据包,否则就不会有进程对这个数据包进行处理。当一个数据包不满足缺省表中所有链的规则时,那么这个数据包就会被系统预先定义的策略处理。
三、iptables的使用方法
iptables最常用的使用方法是:iptables[-t table]command[match][target]。为了更深刻的探讨iptables的使用方法,举出下述例子。
1.增加规则。增加规则的选项为-A。举个例子来说,当有来自IP为192.168.3.8的非法数据包请求时,为了消灭非法数据包的传递,我们需要增加一些新的规则如下:#iptablesCt filterCA input-s 192.168.3.8/24Cj DROP
上述规则中filter为系统默认的缺省表,因此可以被省略,也可以使用下述规则来阻止流向这个网段的所有数据请求包。
#iptablesCA output-d 192.168.3.8/24Cj DROP
DROP是系统默认缺省表中常见的三个目标之一,用来表示系统放弃对数据包的处理;另外两个缺省表的常见目标是表示接受的数据包ACCEPT和表示重新选择REJECT。REJECT比DROP更有优点,它会将错误的信息重新发往发送这个数据包的主机,因此不会在客户机与服务器之间留下死套接字。
2.删除规则。删除规则的选项为-D。举个例子来说,我们将上文增加的规则删除掉,应该使用一下命令:
#iptablesCt filterCD outputCd 192.168.3.8/24Cj DROP
3.SYN的使用。因为内部网中经常有用户需要访问外部网络,所以我们不能将所有的端口都关闭,但是我们也不能只将和用户访问外部网络相关的端口打开。这个时候我们就需要设置一个规则,这个规则应该满足正常用户的外部网络的访问功能,也应该满足对网络攻击者的过滤功能。这个规则就需要建立在SYN标识的基础上,使用SYN标识来过滤未经过授权的访问,如下述规则所示:
#iptablesCA inputCi eth0Cp tcp--synCj drop
规则中的-i所指的是网卡,-p代表是意思是协议,用--syn来标识带有syn标识的数据包。
4.规则的保存与恢复。如果想要保存以上规则可以执行iptablesCsave命令,如下:
#iptablesCsave>iptablesCscript
已经编写完并且想保存的任务都将放在script表中,如果想恢复任务则可使用恢复命令,如下所示:
#iptablesCrestore iptablesCscript
5.其他常用iptables命令。若想删除所有链或是指定链中的所有规则时,可以使用#iptablesCF命令;若想查看指定链中所规定的规则,可以使用#iptablesCL命令;若想创建一个新的链,可以使用#iptablesCN命令。若想要查看更多的ipatbles命令,则可以通过#iptablesChelp命令查看。
四、结束语
Iptables是一个模块化得结构,它同时具有便于管理和便于排错的优点,使用Iptables可以很容易实现Linux系统下的防火墙的构建,因此可以说iptables是一功能强大并且方便使用的防火墙技术。
参考文献:
