網(wǎng)絡(luò)防火墻技術(shù)論文【薦讀】

　網(wǎng)絡(luò)防火墻技術(shù)論文一

[論文關(guān)鍵詞]

防火墻 網(wǎng)絡(luò)安全

[論文摘要]

在當(dāng)今的計(jì)算機(jī)世界，因特網(wǎng)無孔不入。為應(yīng)付“不健全”的因特網(wǎng)，人們創(chuàng)建了幾種安全機(jī)制，例如訪問控制、認(rèn)證表，以及最重要的方法之一：防火墻。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，因特網(wǎng)已經(jīng)走進(jìn)千家萬戶，網(wǎng)絡(luò)的安全成為人們最為關(guān)注的問題。目前，保護(hù)內(nèi)部網(wǎng)免遭外部入侵比較有效的方法為防火墻技術(shù)。

一、防火墻的基本概念

防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實(shí)際上是一種隔離技術(shù)。

一個(gè)有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示，尤其對(duì)于重大的信息量通過時(shí)除進(jìn)行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解IP地址資源緊張的問題，同時(shí)，可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。

二、防火墻的技術(shù)分類

現(xiàn)有的防火墻主要有：包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機(jī)、主機(jī)過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ)，對(duì)IP源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行。

代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序�？蛻舳顺绦蚺c中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。

復(fù)合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新的防火墻，由堡壘主機(jī)提供代理服務(wù)。

各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī)；主機(jī)過濾防火墻是指一個(gè)包過濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

三、防火墻的基本功能

典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè)：包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

（一）包過濾路由器

包過濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許／拒絕的決定。具體地，它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。

與服務(wù)相關(guān)的過濾，是指基于特定的服務(wù)進(jìn)行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP／UDP端口，因此，阻塞所有進(jìn)入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標(biāo)端口的包丟棄即可。

獨(dú)立于服務(wù)的過濾，有些類型的攻擊是與服務(wù)無關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的，此時(shí)，需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾路由器更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實(shí)現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)，網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。

四、防火墻的安全構(gòu)建

在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則；整個(gè)企業(yè)網(wǎng)的安全策略；以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。

（一）基本準(zhǔn)則

可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法，它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然，該理念的不足在于過于強(qiáng)調(diào)安全而減弱了可用性，限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。

（三）構(gòu)建費(fèi)用

簡(jiǎn)單的包過濾防火墻所需費(fèi)用最少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。

至于采用自行構(gòu)造防火墻方式，雖然費(fèi)用低一些，但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。

五、防火墻的局限性

盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對(duì)安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。

網(wǎng)絡(luò)防火墻技術(shù)論文二

論文導(dǎo)讀：

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多。而防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。使用單防火墻和單子網(wǎng)保護(hù)多級(jí)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。欺騙，論文參考，計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)。

關(guān)鍵詞：

計(jì)算機(jī)網(wǎng)絡(luò)安全，防火墻，單子網(wǎng)，arp欺騙

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類為：計(jì)算機(jī)病毒、人為的無意失誤、人為的惡意攻擊、網(wǎng)絡(luò)軟件的缺陷和漏洞、物理安全問題。

而防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。

1. 非法攻擊防火墻的基本“招數(shù)”

通常情況下, 有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的。因?yàn)檫@些網(wǎng)址得到了防火墻的信賴，雖說成功與否尚取決于機(jī)遇等其他因素，但對(duì)攻擊者而言很值得一試。下面以數(shù)據(jù)包過濾防火墻為例，簡(jiǎn)要描述可能的攻擊過程。

通常主機(jī)A與主機(jī)B 的TCP 連接(中間有或無防火墻) 是通過主機(jī)A向主機(jī)B 提出請(qǐng)求建立起來的，而其間A和B 的確認(rèn)僅僅根據(jù)由主機(jī)A 產(chǎn)生并經(jīng)主機(jī)B 驗(yàn)證的初始序列號(hào)ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機(jī)。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack)，使得信賴主機(jī)處于“自顧不暇”的忙碌狀態(tài),相當(dāng)于被切斷,這時(shí)目標(biāo)主機(jī)會(huì)認(rèn)為信賴主機(jī)出現(xiàn)了故障，只能發(fā)出無法建立連接的RST 包，而無暇顧及其他。

攻擊者最關(guān)心的是猜測(cè)目標(biāo)主機(jī)的ISN。為此，可以利用SMTP的端口(25),通常它是開放的，郵件能夠通過這個(gè)端口，與目標(biāo)主機(jī)打開(Open)一個(gè)TCP 連接，因而得到它的ISN。在此有效期間，重復(fù)這一過程若干次，以便能夠猜測(cè)和確定ISN的產(chǎn)生和變化規(guī)律，這樣就可以使用被切斷的可信賴主機(jī)的IP 地址向目標(biāo)主機(jī)發(fā)出連接請(qǐng)求。請(qǐng)求發(fā)出后，目標(biāo)主機(jī)會(huì)認(rèn)為它是TCP 連接的請(qǐng)求者，從而給信賴主機(jī)發(fā)送響應(yīng)(包括SYN)，而信賴主機(jī)目前仍忙于處理Flood淹沒攻擊產(chǎn)生的“合法”請(qǐng)求，因此目標(biāo)主機(jī)不能得到來自于信賴主機(jī)的響應(yīng)。現(xiàn)在攻擊者發(fā)出回答響應(yīng),并連同預(yù)測(cè)的目標(biāo)主機(jī)的ISN一同發(fā)給目標(biāo)主機(jī)，隨著不斷地糾正預(yù)測(cè)的ISN，攻擊者最終會(huì)與目標(biāo)主機(jī)建立一個(gè)會(huì)晤。通過這種方式, 攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。論文參考，arp欺騙。。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)網(wǎng)絡(luò)的ROOT 登錄，那么就可以完全控制整個(gè)網(wǎng)絡(luò)。

2. 單防火墻和單子網(wǎng)

由于不同的資源存在著不同的風(fēng)險(xiǎn)程度，所以要基于此來對(duì)網(wǎng)絡(luò)資源進(jìn)行劃分。這里的風(fēng)險(xiǎn)包含兩個(gè)因素: 資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個(gè)好的Web 服務(wù)器運(yùn)行CGI 會(huì)比僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認(rèn)可，但隨之帶來的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò)管理員在服務(wù)器前端配置防火墻,會(huì)減少它全面暴露的風(fēng)險(xiǎn)。數(shù)據(jù)庫服務(wù)器中存放有重要數(shù)據(jù),它比Web 服務(wù)器更加敏感,因此需要添加額外的安全保護(hù)層。

使用單防火墻和單子網(wǎng)保護(hù)多級(jí)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，這里所有的服務(wù)器都被安排在同一個(gè)子網(wǎng)，防火墻接在邊界路由器與內(nèi)部網(wǎng)絡(luò)之間，防御來自Internet 的網(wǎng)絡(luò)攻擊。論文參考，arp欺騙。。在網(wǎng)絡(luò)使用和基于主機(jī)的入侵檢測(cè)系統(tǒng)下，服務(wù)器得到了加強(qiáng)和防護(hù)，這樣便可以保護(hù)應(yīng)用系統(tǒng)免遭攻擊。像這樣的縱向防護(hù)技術(shù)在所有堅(jiān)固的設(shè)計(jì)中是非常普遍的，但它們并沒有明顯的顯示在圖表中。

在這種設(shè)計(jì)方案中，所有服務(wù)器都安排在同一個(gè)子網(wǎng)，用防火墻將它們與Internet 隔離，這些不同安全級(jí)別的服務(wù)器在子網(wǎng)中受到同等級(jí)的安全保護(hù)。盡管所有服務(wù)器都在一個(gè)子網(wǎng),但網(wǎng)絡(luò)管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護(hù)服務(wù)器的方案系統(tǒng)造價(jià)便宜，而且網(wǎng)絡(luò)管理和維護(hù)比較簡(jiǎn)單，這是該方案的一個(gè)重要優(yōu)點(diǎn)。因此, 當(dāng)進(jìn)一步隔離網(wǎng)絡(luò)服務(wù)器并不能從實(shí)質(zhì)上降低重要數(shù)據(jù)的安全風(fēng)險(xiǎn)時(shí)，采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟(jì)的選擇。

3. 單防火墻和多子網(wǎng)

如果遇見適合劃分多個(gè)子網(wǎng)的情況，網(wǎng)絡(luò)管理員可以把內(nèi)部網(wǎng)絡(luò)劃分成獨(dú)立的子網(wǎng)，不同層的服務(wù)器分別放在不同的子網(wǎng)中，數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢時(shí)連接的端口，就能有效地提高數(shù)據(jù)層服務(wù)器的安全性，也能夠幫助防御其它類型的攻擊。論文參考，arp欺騙。。這時(shí)，更適于采用一種更為精巧的網(wǎng)絡(luò)結(jié)構(gòu)???單個(gè)防火墻劃分多重子網(wǎng)結(jié)構(gòu)。單個(gè)防火墻劃分多重子網(wǎng)的方法就是在一個(gè)防火墻上開放多個(gè)端口，用該防火墻把整個(gè)網(wǎng)絡(luò)劃分成多個(gè)子網(wǎng)，每個(gè)子網(wǎng)分管應(yīng)用系統(tǒng)的特定的層。管理員能夠在防火墻不同的端口上設(shè)置不同的安全策略。

使用單個(gè)防火墻分割網(wǎng)絡(luò)是對(duì)應(yīng)用系統(tǒng)分層的最經(jīng)濟(jì)的一種方法，但它并不是沒有局限性。邏輯上的單個(gè)防火墻，即便有冗余的硬件設(shè)備，當(dāng)用它來加強(qiáng)不同安全風(fēng)險(xiǎn)級(jí)別的服務(wù)器的安全策略時(shí)，如果該防火墻出現(xiàn)危險(xiǎn)或錯(cuò)誤的配置，入侵者就會(huì)獲取所有子網(wǎng)包括數(shù)據(jù)層服務(wù)器所在的最敏感網(wǎng)絡(luò)的訪問權(quán)限。而且，該防火墻需要檢測(cè)所有子網(wǎng)間的流通數(shù)據(jù)，因此，它會(huì)變成網(wǎng)絡(luò)執(zhí)行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設(shè)計(jì)方案???多個(gè)防火墻劃分多個(gè)子網(wǎng)的方法，來消除這種缺陷。

4.arp欺騙對(duì)策

各種網(wǎng)絡(luò)安全的對(duì)策都是相對(duì)的，主要要看網(wǎng)管平時(shí)對(duì)網(wǎng)絡(luò)安全的重視性了。下面介始一些相應(yīng)的對(duì)策：

在系統(tǒng)中建立靜態(tài)ARP表，建立后對(duì)本身自已系統(tǒng)影響不大的，對(duì)網(wǎng)絡(luò)影響較大，破壞了動(dòng)態(tài)ARP解析過程。論文參考，arp欺騙。。靜態(tài)ARP協(xié)議表不會(huì)過期的，我們用“arp?d”命令清除ARP表，即手動(dòng)刪除。論文參考，arp欺騙。。但是有的系統(tǒng)的靜態(tài)ARP表項(xiàng)可以被動(dòng)態(tài)刷新，如Solaris系統(tǒng)，那樣的話依靠靜態(tài)ARP表項(xiàng)并不能對(duì)抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因?yàn)樘摷俚撵o態(tài)ARP表項(xiàng)不會(huì)自動(dòng)超時(shí)消失。論文參考，arp欺騙。。 在相對(duì)系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP解析(對(duì)抗ARP欺騙攻擊)，可以做靜態(tài)ARP協(xié)議設(shè)置(因?yàn)閷?duì)方不會(huì)響應(yīng)ARP請(qǐng)求報(bào)文)如：arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數(shù)操作系統(tǒng)如：Unix、BSD、NT等，都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”和“使用靜態(tài)ARP表”的設(shè)置來對(duì)抗ARP欺騙攻擊。而Linux系統(tǒng)，其靜態(tài)ARP表項(xiàng)不會(huì)被動(dòng)態(tài)刷新，所以不需要“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP解析”即可對(duì)抗ARP欺騙攻擊。