防火墙技术论文(优推4篇)
【导言】此例“防火墙技术论文(优推4篇)”的范文资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
防火墙技术论文【第一篇】
关键词:网络安全;防火墙技术
中图分类号: 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
The Applied Research of Firewall Technology in the Network Security
Chen Jiaqian
(Guangxi Polytechnic of Construction,Nanning 530003,China)
Abstract:The Internet today has moved from basic information sharing to e-commerce,Web applications more complex aspects of development,with the increase in business applications,network security has become a potentially huge also involves the question whether the act constitutes a introduction of firewall technology to give management and improve network security,provides a necessary and convenient article discusses the firewall deployment principles,and the location of the deployment from the firewall firewall elaborated selection criteria constitutes its security system.
Keywords:Network security;Firewall technology
一、概述
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
二、防火墙技术原理
(一)数据包过滤技术。数据包过滤技术工作在OSI网络参考模型的网络层和传输层,它是个人防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口,根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
(二)应用网关技术。应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
(三)地址翻译技术。地址翻译技术是将一个IP地址用另一个IP地址代替。地址翻译技术主要模式有以下几种。
1.静态翻译。按照固定的翻译表,将主机的内部地址翻译成防火墙的外网接口地址。2.动态翻译。为隐藏内部主机或扩展的内部网络地址之间,一个大的用户群共享一个或一组小的Internet IP地址。3.负载平衡翻译。一个IP地址和端口被翻译为同等配置的多个服务器。当请求到达时,防火墙按照一个算法平衡所有连接到内部的服务器。4.网络冗余翻译。多个连续被附结在一个NAT防火墙上,防火墙根据负载和可用性对连接进行选择和使用。
(四)状态检测技术。状态检测防火墙采用基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接因素加以识别。
三、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
(一)防火墙为网络系统的安全屏障。总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(二)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
(三)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(四)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。
四、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
防火墙技术论文【第二篇】
关键词入侵检测系统 防火墙系统 对策
互联网技术被应用到社会的各个阶层和领域中,是保证每个行业能够正常运行、快速发展的重要手段。近年来,随着网络技术被更为广泛的应用,网络安全风险也日益凸显出来,来自于网络内部和外部的网络攻击事件给企业和社会造成了严重的损失,这就需要有力的网络安全系统来维护正常有序的网络环境。因此,加强入侵检测技术和防火墙技术已经成为保护网络系统不受侵害的必要功课。
1 入侵检测技术和防火墙技术
入侵检测技术
入侵检测技术,简称IDS,是指在网络系统的运行过程中,能够对网络数据的传输进行实时监控,在发现可疑的传输时能够及时的对系统发出警报,甚至可以主动采取反击的维护网络安全的技术。入侵检测技术是一种能够积极主动进行防御的网络安全技术,它通过对计算机系统中关键信息的收集和分析,并有效的检测出网络系统中是否存在违反安全的行为。
防火墙技术
所谓防火墙技术,是指被放置在内部网络和外部网络的连接之处,对网络系统进行安全维护的屏障。它通过对流经内部网络和外部网络的数据进行检测和限制,过滤出不安全的因素,进而降低网络安全的风险。
2 入侵检测技术和防火墙技术的功能
入侵检测技术的功能
入侵检测技术能够有效的检测出系统的配置和系统中出现的漏洞,并且对系统中的关键资源和数据的完整性进行评估。在入侵检测系统工作时,能够检测出违反网络系统安全的活动,对入侵行为进行统计和分析,在检测出异常行为时可以及时的向系统发出警报,甚至能够直接做出积极主动的反击行为。
防火墙技术的的功能
防火墙系统存在于内部网络和外部网络的连接之处,是有效的保证内部网络和外部网络安全性的有效屏障。在网络系统中,所有进出的信息都要经过防火墙的检测和分析,发现不安全的因素。同时,在一个网络系统中,可以在不同的网段设置多个不同的防火墙,这能够保证一个网段出现问题时不会对其他网段造成影响,会在很大程度上控制“牵一发而动全身”的情况发生。
3 入侵检测技术和防火墙技术的发展历程
入侵检测系统的发展
入侵检测系统的发展,主要可以分为三个阶段,即早期的入侵检测技术,中期将统计学理论与专家系统相结合的入侵检测技术和当前的NIDS主流入侵检测技术。
早期的入侵检测技术是将入侵行为假设成不同于正常的网络行为,并且在检测出入侵者的不正常行为后,对入侵者进行跟踪和记录,这种入侵检测技术是缺乏证据的,也是没有科学性和可靠性的。入侵检测技术发展到中期,将统计学理论和专家系统有效的结合在一起,但是这一时期的入侵检测技术存在训练数据困难,误报率高等缺陷。当前的入侵检测技术是由控制中心和多个探测器共同组成的,控制中心对整个系统的安全检测进行管理和配置,而探测器对网络中的数据进行检测,并且能够进行自动攻击的识别和响应。二者分工不同,既相互独立又相互统一。
防火墙技术的发展
防火墙技术的发展大致可以分为四个阶段,即从包过滤防火墙到防火墙,再到状态检测防火墙,最后发展出分布式防火墙的演变过程。
第一阶段的包过滤防火墙技术,采用单纯的包过滤技术,虽然在处理速度上具有一定的优势,但是其安全性却不值一提。第二阶段的防火墙相较于包过滤防火墙,在安全性方面得到了进一步的提升,但是防火墙的性能却不高。防火墙技术发展到第三阶段,将第一阶段的包过滤防火墙和第二阶段的防火墙进行有效的取其优势,形成了更加完善的防火墙系统。而当前的分布式防火墙,针对传统防火墙单点失效和内部防御薄弱的缺点,兼具了内外皆防的功能,是一种有效的防火墙技术。
4 入侵检测系统与防火墙系统的缺陷
入侵检测系统的缺陷
入侵检测系统经过三个阶段的发展,已经变得相对完善,但是仍然存在许多不足之处。例如在检测中会对系统发出成千上万的报警信息,并且误报率是比较高的,给网络安全管理人员制造了很大的难题。除此之外,入侵检测系统很难与其他系统进行联动,而且自身也存在一定的安全隐患。因此,入侵检测系统的这些缺陷都需要进行改进和完善,才能更好的维护网络安全。
防火墙系统的缺陷
防火墙是网络系统的安全屏障,但是对于绕过“这面墙”的攻击行为,防火墙是无能为力的,并且防火墙系统无法对病毒产生防御作用。另外,防火墙系统安全性的增加,会对网络的性能产生一定的影响,减慢数据流通的速度。
5 入侵检测系统与防火墙系统的联动
通过分析入侵检测系统和防火墙系统的缺陷和不足,要求我们为维护网络环境的安全性,必须找到一种最有效的方法来降低网络安全风险。基于这一要求,提出了将入侵检测技术和防火墙技术联动的策略。入侵检测技术和防火墙技术都有其各自的优点和不足,将这两种技术有效的结合在一起,可以取长补短,更好完善两种技术的不足之处,将入侵检测技术和防火墙技术的优势有利的结合在一起,实现防御优势的最大化,以最大程度的维护网络安全。
6 总结
网络技术水平的不断提高,各企业和社会对网络安全的要求越来越高,找到最有效的方法来保证网络环境的安全性,是企业和社会能够安全有序发展的必要保障。因此,需要进行入侵检测技术和防火墙技术的联动,最大程度的维护网络环境的安全,促进企业和社会经济的发展。
参考文献
[1] 李宏伟,杨寿保,任安西,黄梅荪。基于入侵检测的分布式防火墙系统[J].计算机工程,2005(03).
[2] 司凤山,王晶。一种运用入侵检测的分布式防火墙系统研究[J].赤峰学院学报,2011(01).
[3]刘,王蔚然。分布式防火墙的网络安全系统研究[J].电子科技大学学报,2005(03).
[4]钱伟中,王蔚然,袁宏春。分布式防火墙环境的边界防御系统[J].电子科技大学学报,2005(04).
[5] 史力力,薛质,王秩骏。分布式防火墙与入侵检测联合系统的设计[J].信息安全与通信保密,2008(02).
防火墙技术论文【第三篇】
1 包过滤防火墙实验
包过滤防火墙[1]可以在网络层或数据链路层截获数据,使用一些规则来确定是否转发或丢弃各个数据包。该文中将以Linux OS下的IPtables软件为例来说明包过滤防火墙实验设计,其实验环境搭建如图1所示。
在该环境中只设置1台Linux主机用于运行IPtables防火墙,三台Windows主机分别连接到防火墙主机的三块网卡(NIC)上,用于模拟私有网络、Internet区域和DMZ。为了满足实验的要求,在这三台Windows主机上需要安装一些必要软件如各种服务器软件并加以配置使其正确运行。在该实验环境中,设计满足如下网络安全要求的防火墙实验。
1) 允许网络接口eth1、eth2相连接的LAN1和LAN2之间进行相互通信。
2) LAN1和LAN2的任何主机可以使用internet中的任何服务(Web,E-mail,Ftp等)。
3) 来自internet的主机不能访问1023以下的LAN1和LAN2中的内部端口。
4) 拒绝从网络接口eth0直接访问防火墙本机的ICMP数据包,但是允许相应防火墙TCP请求的数据包进入。
5) 允许internet中的主机访问LAN1中的DNS服务、WEB服务、FTP服务,其它服务如telnet等禁止。
通过该实验可以使学生掌握防火墙包过滤技术, IPtables的防火墙规则编写方法、IPtables中的表和链的概念、数据包控制方法,防火墙在网络系统中的部署、安装、配置和测试方法等,为以后真正利用防火墙解决网络安全工程中的实际问题奠定坚实的基础。
2 网络地址翻译NAT实验
网络地址翻译(NAT)[2]也是一种重要的防火墙技术,它隐藏了内部的网络结构,外部攻击者无法确定内部网络的连接状态。通过设置规则,在不同的时候,内部网络向外连接使用的地址都可以不同,给外部攻击者造成了困难。同样NAT通过定义各种映射规则,可以屏蔽外部的连接请求,并可以将外部连接请求映射到不同的主机上。NAT实验环境如图2所示,可以设计如下实验。
1) 利用NAT进行IP地址伪装
将向外部网络上提供服务的服务器在物理上放置于私用网络中,假如私用网络中的一台服务器的IP地址为/24,如果要对外部网络提供Web服务,就可以利用IPtables进行IP地址伪装,当外部网络中的主机对进行Web请求时,该防火墙就转向私用网络中的的服务器进行Web请求。可以使用下面的IPtables规则加以实现。
#IPtables -t nat -A PREROUTING -p tcp -d —dport 80 -j DNAT —to-destination
2) 使用NAT访问外部服务
使私有网络中的主机通过NAT访问外部网络中的服务,可以使用下面的IPtables规则加以实现。
3 应用层服务器防火墙实验
服务器防火墙[3] 通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。
服务器可以用于禁止防问特定的网络服务,而允许其他服务的使用,通过防火墙服务器的通信信息,可以提供源于部分传输层,全部应用层和部分会话层的信息。另外还有识别并实施高层的协议,如http和ftp等的优点。
本实验项目拟用Squid服务器[4]实现高速Web,并且实现认证以及流量计费系统。图3是实现该实验项目的平台。
在以上的实验环境中,设计满足如下要求的实验:
1) 限制内网某些IP使用服务器,例如要使用地址范围到的主机允许访问Squid服务器可使用下面的方法定义acl。
一旦定义地址范围以后就可以用带allow动作的http_access命令把allowed_hosts指定为aacl进行下面的定义。
2) 实现认证,指定认证程序,并且指定认证的身份认证口令文件为/usr/local/squid/etc/passwd。
3) 实现Squid服务器访问报告生成器。Squid服务器访问统计系统可以利用Sarg软件加以实现,该软件可以从下载源代码软件包。该软件通过访问Squid的日志文件实现用户访问情况统计、站点访问统计、拒绝访问统计、认证失败统计、访问流量统计、访问时间统计等各种信息统计。
4 结论
本文利用Linux OS下的IPtables、Squid以及其它开放源代码软件,灵活地使用Linux主机实现各种防火墙技术,包括使用IPtables实现包过滤防火墙、NAT、IP地址伪装、Squid服务器、认证、服务访问统计系统等,设置了若干防火墙技术实验项目,给出了实验环境的搭建。在节约实验设备硬件投资的情况下,使学生更深入地掌握防火墙原理、技术及实现,并提高学生的专业实践能力。
参考文献:
[1] 叶惠卿。 基于Linux iptables防火墙规则生成的研究与实现[D].广州:中山大学,2010.
[2] 崔建, 钱杰, 张蓓。 校园网中服务器和NAT设备的监控与防范[J]. 大连理工大学学报,2005,45(z1):s91-s94.
防火墙技术论文【第四篇】
关键词:计算机网络,防火墙,信息,技术
随着计算机网络的发展,各行各业的网络新技术也不断涌现并得到广泛应用。然而病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙是防御网络信息遭受攻击的有效技术之一。
一、防火墙的概念
防火墙是指设置在不同网络之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,是提供信息安全服务,实现网络和信息安全的基础设施。
当今的防火墙所采用的安全策略有很多种,不同的防火墙侧重点不同。在设置防火墙之前必须明确该防火墙所要保护的网络系统的数据需求,确定允许那些类型的信息通过防火墙,那些信息必须阻止,然后由防火墙对外部网络与内部网络之间交换的信息进行检查,符合设置条件的予以放行通过,不符合设置条件的则拒之门外。
二、常用构建防火墙技术的分析与研究
防火墙通常采用的技术有分组过滤技术、应用层网关技术和服务技术等。
1、分组过滤技术的基础是网络中的分包传输技术。网络上的数据是分组以“包”的形式传输的,每个数据包都包含数据的源地址、目标地址、TCP/UDP源端口和目标端口等等信息。分组过滤技术就是依据系统内预设的过滤逻辑条件,检查数据流中的每组数据,根据数据包的源地址、目标地址、TCP/UDP源端口号和目的端口号以及数据包头中的标志位来确定是否允许通过,拒绝来源于非安全站点的数据。采用这种技术的防火墙其核心在于过滤算法的设计。例如:在以太网中,得到的数据包大致是如下结构:以太帧头14个字节,放在PUCHAR 结构数组的第0个元素到第13个元素中,其中前六个字节是目的MAC地址,之后是六个字节源MAC地址,最后两个字节是协议类型,通常的协议类型有0x08 0x00->IP,0x08 0x06->ARP,0x08 0x35->RARP,所以,可以通过数组的第12个元素和第13个元素来判断协议类型,过滤规则就是在这个基础之上建立。如果要过滤特定协议,只要在相应的字节读取数据,判断是否符合要过滤的规则即可。
分组过滤技术的优点是逻辑简单、速度快、易于安装和使用, 网络性能和透明性好且价格便宜,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙不需要很多额外的费用。
分组过滤技术的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
2、应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制的输入输出通信环境进行严格控制,以防止内部数据被窃取。另外,应用层网关还负责对网络交流的信息进行记录,比如:用户登录的时间,登录的网址,用户频繁使用的网络界面等。数据包过滤和应用网关防火墙有一个共同的特点,它们都是依靠特定的逻辑判定来决定是否允许数据包通过。。如果满足逻辑条件,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。。
应用网关技术的优点是可以在LAN 机器上被透明配置、保护在一个或多个外部 IP 地址之后的许多机器,简化管理任务、用户到LAN 的出入可以通过打开和关闭 NAT 防火墙/网关上的端口来限制。
应用网关技术的缺点是一旦用户从防火墙外连接了服务,则无法防止其蓄意活动。
3、服务技术
服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的'链接', 由两个终止服务器上的'链接'来实现,外部计算机的网络链路只能到达服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
服务技术的优点是使管理员拥有对LAN 之外的应用程序和协议功能的控制权、某些服务器可以缓存数据,因此当客户存取频繁请求的数据时,这些数据就可以从本地缓存调出而不必使用互联网连接,这有助于减少不必要的带宽用量、服务可以被密切地监视和记录,从而允许在网络资源用量方面进行更严格的控制。
服务技术的缺点是通常是应用程序特有的(HTTP、telnet 等)或在协议方面有限制的(多数只能用于 TCP 连接的服务)、应用程序服务无法在后面运行,因此用户的应用程序服务器必须使用另一种网络保安措施、可能会成为网络的瓶颈,因为所有的请求和传输都要经过一个中介而不是让客户直接连接远程服务。
三、防火墙技术的发展趋势
未来防火墙系统将从高效和高速两个角度去发展。
防火墙的几种基本类型各有优点和不足之处,所以将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足就是防火墙技术发展的一个重要的方向,例如,我们在对传输层面的数据包特性进行过滤的同时,也对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力提高防火墙的工作效率。
另外无论采用怎样的技术手段设计的防火墙,都必须设置日志系统,这样才能方便地追踪过去网络中发生的事件。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,较多的防火墙系统的日志都采用文本方式记录网络事件。而文本方式的每一个字符都需要占用一个字节,对带宽消耗很大。如果直接采用二进制数据记录日志可以大大减小数据传送量。所以,支持二进制格式的日志数据库,是未来防火墙日志和日志服务器软件的发展方向。
新型的防火墙系统还需要与移动设备有机地结合,当网络防火墙所保护的网络系统遭到攻击时,可以通过移动设备及时得到通知,在第一时间作出应急处理,以保护数据安全,将损失降到最低。
四、结束语
防火墙技术已经广泛地应用到政府机关、医疗卫生、金融业、零售、远程通讯等行业,但是选择哪一种防火墙技术来保障网络安全,是用户需要深入研究的问题。。期望通过本文的探讨和研究,能够帮助各行业用户根据各自的网络应用特性正确选择应用防火墙。
参考文献:
防火墙原理与技术阎慧
Internet 安全与防火墙[美]普端萨姆
The Defence Strategy In Network Security