防火墙技术的基本原理
防火墙技术的基本原理范文第1篇
关键词:移动终端设备 安全 防火墙软件
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2015)12-0000-00
1 防火墙软件技术原理
本文所设计的防火墙软件,是以PC机为基础来进行相关研发的,在对内存资源的相关限制以及处理器自身的运行速率这两个问题上,本文使用了JNI技术,通过对数据包过滤这一个模块的调用,很好的将过滤模块中存在的性能瓶颈解决掉。主要技术介绍: (1) 监测输入数据流。监测输入数据流是防火墙的一个主要功能,它能够控制木马、病毒等恶意信息对终端设备的非法入侵。对于移动终端设备来说,网络流量属于御用的最大数据流动部分,对传输的数据进行合理的分析、匹配模式、重组数据以及分析相关协议和行为等,很好的消除了安全隐患。(2) 检测输出数据流。防火墙能够对输出数据进行实时的监测,根据判断的结果来决定数据的传输是否可行。我们可以使用数字水印这一技术来判断程序是否已经被恶意篡改。(3) 对系统文件进行防护,保障其安全。建立一个相对安全区在终端智能设备上,如果有访问行为发生,系统会自行判断所要访问的数据在不在安全区中,在安全区,这个访问行为就需要用户对其进行授权才可以进行访问,否则会禁止方位。
2 防火墙软件相关产品介绍
通过实现防火墙技术的不同,我们分成几类防火墙:包过滤、状态检测以及应用这三种防火墙软件。
应用类:该类型防火墙的实现是在传输层还有应用层中的,当内网的用户要对外网进行访问时,必须先将访问行为传给防火墙,由防火墙来完成对外网访问,再将结果返回给内网用户。
状态检测类:其原理就是对网络连接的相关状况进行检测,判断其安全与否,如果安全则允许该行为继续访问,否则拒绝。
本文使用的是包过滤防火墙,其优点如下:(1) 在智能终端设备中,用户通常都是访问小型的网站,包过滤的防护更加简单和便捷;(2) 在IP、TCP这个层面就可以实现相关过滤操作,所以其处理数据的相关效率要远高于其他防火墙软件。(3) 该防火墙自身的实现技术对用户来说是很方便使用的,用户不需要做什么工作就可以完成。
3 本文设计的防火墙软件的技术创新点
(1) 本文使用的JNI技术,调用了扩展之后的系统内核,解决了数据包过滤模式下的性能瓶颈这一问题。我们通过包过滤模块进行内核的扩展,再用JNI技术调用过滤模块,这一过程在应用层即可实现,这就提高了工作效率。(2)通过数字水印技术来构建数据安全区,便于对入侵检测的控制。我们将一些重要的保密信息存放在安全区内,当有外来的访问行为时,防火墙会对这些行为进行检测,还可以通过数字水印这一技术来检查安全区内的相关数据文件,一旦这些数据被恶意篡改,我么都可以检测出来。
4 防火墙软件的设计和实现
4.1数据包结构skbuff
在我们常用的操作系统Android中,所有的数据信息都是存储在skbuff这一结构里的,该结构包含三个数据结构:
一是sk_buff_data_t transport_header,该结构可以将传输层当中的报文头读取出来;二是sk_buff_data_t network_header,可以将网络层所存储的报文头读取出来;三是sk_buff_data_t mac_header,可以将MAC层李存储的报文头读取出来。skbuff这个数据包结构的主要作用就是读取出每个层中所带有的头部指针,进而我们用这些指针来找到我们要的数据。
4.2防火墙规则检测算法
本文使用了基于FDD法的这一类型的防火墙规则来对移动终端设备进行遍历检测。下文对这一规则的最初原理规则进行了介绍:
I 防火墙收到数据包的对应端口; D 数据包对应的目标地址;
S 数据包对应的源地址; P 数据包传输协议代表的类型
通过对已有的规则进行观察,在原始规则中有着冗余和冲突的情况,本文为解决这一问题,对规则进行了精简和完善,以原始规则为基础,先建立一个对应的多叉树,通过一步步的删减,我们将冗余以及冲突逐渐消除,最终得到图1所示的多叉树。
图1 精简后的多叉树
当防火墙接收到数据包的时候,首先会解析其自带的skbuff结构,从中解析出端口、源地址以及目的地址等相关信息;其次从根部开始遍历多叉树,得出如何去处理这个数据包的结论,途中a为接收,d为丢弃。
5结语
随着科技的发展,黑客等恶意攻击方式层出不穷,我们还需继续研发,适应新的技术手段,实时保护用户信息安全。
参考文献
[1] 侯晓宝.智能手机多功能防火墙模型设计[D].成都:电子科技大学,2009.
[2] 李华彪,柳振良等.防火墙核心技术讲解[M].北京:机械工业出版社,2005:100~145.
防火墙技术的基本原理范文第2篇
[关键词]防火墙技术 网络安全 工作原理 具体应用
如今计算机网络普遍存在于各个地区,无论是住宅还是企事业单位,都离不开对网络技术的应用。人们通过网络数据来了解实时信息以及处理日常事务。由于计算机网络具有一定的互传性和连通性,因此在数据传播的过程中无法保证安全性,导致隐私易受到侵害,而随着计算机网络的频繁使用,被入侵的概率也随之增加。据调查,有超过63%的计算机用户在2006年内曾被攻击和入侵。其中不仅包括企事业单位,也包括住宅以及学校等。因此,为防止侵入现象进一步扩大,必须利用防火墙来进行阻挡,以确保并提高公共网络或家庭网络的安全性。
一、防火墙概述及其工作原理
防火墙属于计算机程序的一种,它是能够将本地网络与外界网络进行隔离并且形成防御的一种可执行控制策略的系统。它能够对外界网络即将进入本地网络的数据及信息进行严格筛选和检查,通过对该数据的运行状况、类型以及具体内容进行过滤,将不明确或危险的不良数据隔离在外,对防火墙系统认为安全的数据允许传入本地网络中,有效实现其隔离性以及安全性。从逻辑上讲,防火墙既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认及授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软硬件兼而有之的。
二、防火墙技术在网络安全中的应用
1.防火墙技术应用于网络安全屏障保护
由于企事业单位及其他单位需要利用网络技术来进行日常工作和档案储存管理,而一些外部人员会对其档案和相关资料进行窃取,侵害企事业单位及其他单位的利益。因此,该单位可以在内部网络和外界网络间建立防火墙,利用防火墙技术来阻挡外界入侵病毒或其他程序,保证内部程序和相关数据的安全。利用防火墙技术并按照防火墙技术特定的规则对外来数据进行识别和筛选,将危险数据挡在防火墙外,有效地降低外界入侵企事业单位或其他单位数据库的风险,从而避免了网络遭受基于路由的攻击和破坏,有效地保障了内部网络的安全性。
2.防火墙技术应用于网络安全的策略
部分特定单位的档案及相关资料较为机密,因此需要对防火墙进行加密或加固。此时该单位应对防火墙的配置进行加强,通过设置以防火墙为主的安全策略来提高对内部网络的保护。首先,应根据需要将口令、身份认证以及其他加密手段对防火墙进行设置,以此来提高防火墙的保护程度。其次,在控制面板上设定防火墙基础信息,利用将动态网址和静态网址转换的方法提高防火墙的安全性能。再次,将整个网络系统的安全策略应用添加到防火墙的安全策略当中,使各个安全策略稳定运作,最大限度地实施防火墙的防护功能。该形式不仅安全性强,且投入成本少,而起到的防护效果也有所提高。
防火墙技术的基本原理范文第3篇
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及vpn等相关问题。
abstract:along with the fast computer development and the universal application of the network technology, along with information times coming up on, information is attracting the world’s attention and employed as a kind of important resources. internet is a very actively developed field. because it may be illegally attacked by hackers, it is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. firewall is the first consideration when plan how to protect your local area network against endangers brought by internet attack. the core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. this paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: one is based on packet filtering, which is to realize fire-wall function through screening router; and the other is proxy and the typical representation is the gateway on application level.....
第一章 绪论
§1.1概述
随着以 internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的 internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用 internet提高办事效率、市场反应能力和竞争力。通过 internet,他们可以从异地取回重要数据,同时也面临 internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理 、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与vpn的概念及相关测试方法
第二章 防火墙的原理 、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. dmz外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由zonealarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,windows软件防火墙从开始的时候单纯的一个截包丢包,堵截ip和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章 防火墙的部署和使用配置
§ 3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉ftp连接中的put命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(vlan),则应该在各个vlan之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(vpn)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§ 3.2 防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过acl开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的ip地址信息(接口地址或管理地址(设置在vlan 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的ip地址信息(基于策略的源、目标地址);
5、确定网络应用(如ftp、email等应用);
6、配置访问控制策略。
第四章 防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准gb/t 18019-1999《信息技术包过滤防火墙安全技术要求》、gb/t18020-1999《信息技术应用级防火墙安全技术要求》和gb/t17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1 规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§ 4.2 防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了x-scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§ 4.3 主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§ 4.4 自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, ftp、telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§ 4.5 其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§ 4.6 资源占用方面
这方面的测试包括空闲时和浏览网页时的cpu占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§ 4.7 软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§ 4.8 软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章 防火墙的入侵检测
§ 5.1 什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (ids)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。ids被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§ 5.2 入侵检测技术及发展
自1980年产生ids概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即ims——入侵管理系统。
新一代的入侵检测系统应该是具有集成hids和nids的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统
§ 5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§ 5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用guest帐号登录的,突然用admini帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如md5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§ 5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§ 5.6什么是vpn ?
vpn的英文全称是“virtual private network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§ 5.7vpn的特点
1.安全保障虽然实现vpn的技术和方式很多,但所有的vpn均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于vpn直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其vpn上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(qos)
vpn网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建vpn的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。qos通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
vpn必须能够支持通过intranet和extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。vpn管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,vpn管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、qos管理等内容。
§ 5.8 vpn防火墙
vpn防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由vpn防火墙过滤的就是承载通信数据的通信包。
最简单的vpn防火墙是以太网桥。但几乎没有人会认为这种原始vpn防火墙能管多大用。大多数vpn防火墙采用的技术和标准可谓五花八门。这些vpn防火墙的形式多种多样:有的取代系统上已经装备的tcp/ip协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的vpn防火墙只对特定类型的网络连接提供保护(比如smtp或者http协议等)。还有一些基于硬件的vpn防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做vpn防火墙,因为他们的工作方式都是一样的:分析出入vpn防火墙的数据包,决定放行还是把他们扔到一边。
所有的vpn防火墙都具有ip地址过滤功能。这项任务要检查ip包头,根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个vpn防火墙,vpn防火墙的一端有台unix计算机,另一边的网段则摆了台pc客户机。
当pc客户机向unix计算机发起telnet请求时,pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来,协议栈将这个tcp包“塞”到一个ip包里,然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里,这个ip包必须经过横在pc和unix计算机中的vpn防火墙才能到达unix计算机。
现在我们“命令”(用专业术语来说就是配制)vpn防火墙把所有发给unix计算机的数据包都给拒了,完成这项工作以后,比较好的vpn防火墙还会通知客户程序一声呢!既然发向目标的ip数据没法转发,那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。
还有一种情况,你可以命令vpn防火墙专给那台可怜的pc机找茬,别人的数据包都让过就它不行。这正是vpn防火墙最基本的功能:根据ip地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用ip地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的vpn防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用dns主机名建立过滤表,对dns的伪造比ip地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,ids的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗ids;
2)躲避ids的安全策略;
3)快速发动进攻,使ids无法反应;
4)发动大规模攻击,使ids判断出错;
5)直接破坏ids;
6)智能攻击技术,边攻击边学习,变ids为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献 :
1..marcus goncalves著。宋书民,朱智强等译。防火墙技术指南[m]。机械工业出版社
2.梅杰,许榕生。internet防火墙技术新发展。微电脑世界 .
防火墙技术的基本原理范文第4篇
关键词:校园网络安全;防火墙;应用分析
中图分类号:TP393.08
广义来讲,网络是信息现代化社会中的基本物质基础,我国在进行教育改革的过程中会应用到网络多媒体技术,因为利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高。我国校园网络是为师生提供良好的教学管理平台和科研平台,为其供给相应宽带多媒体网络,校园网络是学校现代化网络信息教学环境的重要技术基础和物质基础,其是能够科学合理建立校园远程教育体系的有力保证,所以我们应该对校园网络安全防火墙技术有所认知且对相关难题加以解决,以至达到预期教学目的。
1 校园网络信息安全和安全防火墙技术概述
1.1 我国校园网络信息安全的具体含义是指校园网络系统硬件、校园网络系统软件和相关网络系统数据保护等并不会受到偶然外界因素和恶意原因等遭到破坏修改和泄密等且能使整体网络系统正常运行,保证基本网络服务不会被中断。而我们通常所说的防火墙则是指建立在计算机网络边界中对应计算机网络监控系统,使用此种方式来保证计算机网络安全。与此同时计算机网络防火墙是加强计算机内部网络和网络之间的计算机网络安全防御系统,防火墙主要由防火墙硬件设备和防火墙软件设备共同构成。
1.2 从整体计算网路安全防火墙角度而言,校园网络安全防火墙具体功能包括封堵相关计算机网络氛围禁止行为和管理进出计算机网络访问行为以及记录通过计算机网络安全防火墙信息内容等,需要注意的是计算机网络安全防火墙活动信息和计算机网络攻击进行检测以及计算机网络攻击进行告警提示等都属校园网络安全防火墙基本范畴。校园网络安全防火墙技术主要包括过滤计算机网络安全技术和计算机应用技术两种。从实际角度出发可以得出对应结论,实际校园网络安全防火墙产品通常都是上述二者共同结合创造而成的。
2 校园网络安全防火墙技术具体探讨与分析
2.1 校园网络安全防火墙技术之包过滤技术
我们通常所说的校园网络安全防火墙包过滤技术主要是指较为老旧的计算机网络防火墙应用技术,校园计算机网络防火墙包过滤技术发展至今,现已成功做到从计算机网络完全防火墙静态包过滤技术到计算机网络安全防火墙动态包过滤技术的转化。
2.2 校园计算机网络安全防火墙静态包过滤技术
静态包过滤技术相对简单且易于实现,校园计算机网络安全防火墙静态包过滤技术在网关主机TC协议栈和网关主机IP协议栈二者中所具有的的对应IP层增加流程进行具体技术过滤审查过程,之后在此基础上对IP包进栈和IP包转发以及IP包出栈三者进行对均包源地址和均包目的地以及均包端口等进行检测,对相关计算机网络用户可以可与上述内容作出安全问题解决策略。一般较为常见的问题就是对某些计算机网络源地址机制对外访问策略实施和禁止对外部计算机网络目标地址访问等,并在此过程中关闭计算机网络危险端口。图1为校园计算机网络安全防火墙静态包过滤技术系统示意:
图1 校园计算机网络安全防火墙静态包过滤技术系统示意图
2.3 校园计算机网络安全防火墙动态包过滤技术
校园计算机网络安全防火墙动态包过滤技术主要包括一定量的计算机网络安全防火墙静态包过滤技术和动态检查计算机网络系统有效连接状态审查技术,所以在计算机领域又称其为计算机网络安全防火墙状态包过滤技术。需要了解到,状态包过滤技术摒弃了较为传统老套的第一代计算机网络安全防火墙动态包过滤技术,传统计算机网络安全防火墙包过滤技术只是简单基于计算机网络头信息、过滤规则不足可能导致计算机网络安全系统出现安全漏洞,并在此基础上也不会对大型计算机网络管理能力添加动力。SPFs相对于计算机网络安全防火墙包处理规则是以对应动态形式出现的,SPFs技术为技术基础的计算机网络安全防火墙是一个动态计算机网络出入口,就算在同一个计算机网络信息服务端口中,SPFs技术也可根据计算机网络运行状态监测结果进行打开程序操作和关闭程序操作等。SPFs技术可以科学合理地对各个有效连接重要施以监督审查,之后以此为基础,将计算机网络前数据和计算机网络状态信息与在其之前时间多的计算机网络数据包和计算机网络状态信息进行详细比较,换个角度而言,也就是说SPFs技术可以经过严密计算机网络系统算法分析,按照结构实施对应解决策略和解决手段操作,此时可以允许出现数据包通过状态和数据包拒绝通过状态以及加密数据整体显示等多种状态出现。
3 校园计算机网络安全防火墙应用技术
我们通常所说的应用防火墙工作方式与上述基于包过滤校园计算机网络安全防火墙技术不同,因为校园计算机网络安全防火墙应用技术是基于相应软件系统得以运行的。当计算机网络远程用户有与相关计算机运行网关网络连接意向时,此时我们应该运用网关会导致远程联接阻塞的状况发生,之后要会对计算机网络连接请求域中的每一个环节进行详细检查和审核,其中计算机网络请求域主要包括应用协议和用户账号两种。如果此时计算机网络远联接请求符合计算机网络应用要求时,相关应用网关此时就可以向计算机网络外部发出连接请求,换个角度而言,就是说计算机网络应用网关此时为访问中介。较为典型的计算机网络应用网关不可将计算机网络IP数据进行计算机内部网络转发,此时应用自身计算机网络系统作为计算机网络转换器,之后在此基础上计算机网络解释器会完成整个计算机网络访问过程。
4 结束语
综上所述,防火墙技术已是当下我国校园网络安全建设中一项重要组成部分和实施环节,利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高,计算机网络完全防火墙静态包过滤技术和计算机网络安全防火墙应用技术是防火墙技术中两个重要方面。计算机网络技术的迅速普及使得计算机网络技术日渐融入我们工作和生活中以及相关学习方式中。
参考文献:
[1]方胜.防火墙技术在校园网中的应用[J].电脑知识与技术,2005(26).
[2]罗来俊.防火墙技术在校园网中的应用[J].科技广场,2008(10).
[3]张新刚,刘妍.浅析防火墙技术及其在高校校园网中的应用[J].教育信息化,2006(09).
防火墙技术的基本原理范文第5篇
关键字:防火墙技术 防火墙体系结构 构建
随着Internet的发展,网络已经成为人民生活不可缺少的一部分,网络安全问题也被提上日程,作为保护局域子网的一种有效手段,防火墙技术备受睐。
1.防火墙的定义
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接的点上。Internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nternet的连接处,但是防火墙系统也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性:1)不能防范恶意的知情者:2)不能防范不通过它的连接:3)不能防范全部的威胁。4)不能防范病毒。
由此可见,要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用。
2防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。
(2)技术
技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到服务器而看不到任何内部资源。与包过滤技术相比,技术是一种更安全的技术。
缺点:在应用支持方面存在不足,执行速度较慢。
(3)状态监视技术
这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠
与应用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通
过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个。
3.防火墙的体系结构
目前,防火墙的体系结构有以几种:
(1)包过滤防火墙
也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:
包过滤防火墙
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对用户进行特定的培训。
缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
(2)双宿主主机防火墙
