計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究

計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究摘要：近年來,網(wǎng)絡(luò)犯罪的遞增、大量黑客網(wǎng)站的誕生，網(wǎng)絡(luò)系統(tǒng)的安全問題越來越受到重視。網(wǎng)絡(luò)系統(tǒng)的安全對于國家機關(guān)、銀行、企業(yè)是至關(guān)重要的，即使是對于學(xué)校、甚至個人也是如此。因此，安全保密工作越來越成為網(wǎng)絡(luò)建設(shè)中的關(guān)鍵技術(shù)，防火墻技術(shù)就是其中重要的一環(huán)。防火墻相當(dāng)于一個控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，它通過建立一整套規(guī)則和策略來監(jiān)測和限制穿過防火墻的數(shù)據(jù)流，允許合法數(shù)據(jù)包通過，組織非法數(shù)據(jù)包通過，從而達(dá)到有效保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。本文討論了防火墻的安全功能、體系結(jié)構(gòu)和實現(xiàn)防火墻的主要技術(shù)手段及配置等。關(guān)鍵字：計算機網(wǎng)絡(luò)；防火墻；網(wǎng)絡(luò)安全；防范措施引言 反恐是現(xiàn)今世界的重要課題，計算機網(wǎng)絡(luò)安全是其中一個重要方面，尤其是銀行、航空等關(guān)系到國計民生的行業(yè)。研究網(wǎng)絡(luò)安全具有重要的現(xiàn)實意義。影響計算機網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類為：計算機病毒、人為的無意失誤、人為的惡意攻擊、網(wǎng)絡(luò)軟件的缺陷和漏洞、物理安全問題。而防火墻技術(shù)又是網(wǎng)絡(luò)安全最基本的技術(shù)之一。人們應(yīng)當(dāng)了解一些防火墻技術(shù)，更好地設(shè)置防火墻，使它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時的響應(yīng)，將那些危險的連接和攻擊行為隔絕在外。防火墻的概念網(wǎng)絡(luò)防火墻技術(shù)是—種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)互聯(lián)設(shè)備。它對兩個或的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。設(shè)立防火墻的主要目的是保護(hù)—個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。防火墻相當(dāng)于—個控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行，在這種情況下，防火墻檢查進(jìn)人和離去的報文分組的IP和TCP頭部，根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。防火墻是一種保護(hù)計算機網(wǎng)絡(luò)安全的技術(shù)性措施，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。防火墻的分類按防火墻的軟硬件形式來分軟件防火墻軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。硬件防火墻這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，它們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。芯片級防火墻芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。按防火墻的處理機制來分包過濾型包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用代理型應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。狀態(tài)檢測型狀態(tài)檢測型直接對分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。按防火墻的結(jié)構(gòu)來分單一主機防火墻單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。路由器集成式防火墻分布式防火墻按防火墻的應(yīng)用部署位置來分邊界防火墻邊界防火墻是最為傳統(tǒng)的那種，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價格較貴，性能較好。個人防火墻個人防火墻安裝于單臺主機中，防護(hù)的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差?；旌鲜椒阑饓旌鲜椒阑饓梢哉f就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。防火墻的功能限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；防止入侵者接近防御設(shè)施；限制訪問特殊站點；為監(jiān)視網(wǎng)絡(luò)安全和預(yù)警提供方便；防止資源被濫用。防火墻系統(tǒng)的構(gòu)建創(chuàng)建步驟創(chuàng)建成功的防火墻系統(tǒng)一般需要6步：制訂安全計劃、構(gòu)建安全體系、制訂規(guī)則程序、落實規(guī)則集、注意更換控制、做好審計工作。應(yīng)遵循的原則在構(gòu)建過程中，應(yīng)遵循以下兩個原則：未經(jīng)說明許可的就是拒絕防火墻阻塞所有流經(jīng)的信息，每一個服務(wù)請求或應(yīng)用的實現(xiàn)都建立在逐項審查的基礎(chǔ)上。這是一個值得推薦的方法，它將創(chuàng)建一個非常安全的環(huán)境。當(dāng)然，該理念的不足在于，過于強調(diào)安全，而減弱了可用性，限制了用戶可以申請的服務(wù)的數(shù)量。未說明拒絕的均為許可的約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個潛在的危害總是可以基于逐項審查而被杜絕的。當(dāng)然，該理念的不足在于，它將可用性置于比安全性更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。防火墻的體系架構(gòu)目前，成熟的體系構(gòu)架有X86架構(gòu)，它采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過去一直是防火墻開發(fā)的主要平臺。而對于一些對網(wǎng)絡(luò)安全有一定要求的中小企業(yè)來說，選擇NP防火墻是最佳的選擇。NP技術(shù)通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強大的編程能力，因而便于開發(fā)應(yīng)用。如果你受到的網(wǎng)絡(luò)攻擊太過復(fù)雜，那么使用基于ASIC的防火墻是你的最佳選擇。ASIC將指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。防火墻的特點特性所有的通信都經(jīng)過防火墻；防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量；防火墻能經(jīng)受的住對其本身的攻擊。優(yōu)點防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個網(wǎng)絡(luò)的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內(nèi)；防火墻可以用于限制對某些特殊服務(wù)的訪問；防火墻功能單一，不需要在安全性，可用性和功能上做取舍；防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。弱點不能防御已經(jīng)授權(quán)的訪問,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊；不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅；不能修復(fù)脆弱的管理措施和存在問題的安全策略；不能防御不經(jīng)過防火墻的攻擊和威脅。防火墻的入侵檢測入侵檢測系統(tǒng)的概念入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。入侵檢測系統(tǒng)面臨的挑戰(zhàn)一個有效的入侵檢測系統(tǒng)應(yīng)限制誤報出現(xiàn)的次數(shù)，但同時又能有效截?fù)?。誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計算機的訪問。誤報是入侵檢測系統(tǒng)最頭疼的問題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無威脅的“正?！奔倬瘓?，而誘導(dǎo)沒有警覺性的管理員人把入侵檢測系統(tǒng)關(guān)掉。誤報沒有一個入侵檢測能無敵于誤報，因為沒有一個應(yīng)用系統(tǒng)不會發(fā)生錯誤，原因主要有四個方面：缺乏共享數(shù)據(jù)的機制；缺乏集中協(xié)調(diào)的機制；缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的能力；缺乏有效的跟蹤分析。入侵檢測系統(tǒng)的類型和性能比較根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)主要用于保護(hù)運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析土機的審計記錄和日志文件：來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。入侵檢測的方法目前入侵檢測方法有三種分類依據(jù)：根據(jù)物理位置進(jìn)行分類；根據(jù)建模方法進(jìn)行分類；根據(jù)時間分析進(jìn)行分類。常用的方法有三種：靜態(tài)配置分析靜態(tài)配置分析通過檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（比如，系統(tǒng)配置信息）。采用靜態(tài)分析方法主要有以下幾方面的原因：入侵者對系統(tǒng)攻擊時可能會留下痕跡，可通過檢查系統(tǒng)的狀態(tài)檢測出來。異常性檢測方法異常性檢測技術(shù)是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法。但是。在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進(jìn)行報警的門限值的確定都是比較困難的事。因為并不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅使用異常性檢測技術(shù)不可能檢測出所有的入侵行為。而且，有經(jīng)驗的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測?；谛袨榈臋z測方法基于行為的檢測方法通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動?；谌肭中袨榈娜肭謾z測技術(shù)的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時能夠把它檢測出來。但是，目前主要是從已知的入侵行為以及已知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。防火墻的安全措施一個有效的安全體系，至少由防護(hù)、檢測、響應(yīng)3部分組成。這三者之間要實現(xiàn)基于時間的簡單關(guān)系：P>D+R(式中：P代表防護(hù)手段所需支持的時問，D代表入侵檢測手段發(fā)現(xiàn)入侵行為所需的時間，尺代表事件響應(yīng)設(shè)施產(chǎn)生效力所需的時間)。從這個關(guān)系式可以知道：如果在入侵者尚未突破防護(hù)設(shè)施的防御時檢測系統(tǒng)就發(fā)現(xiàn)了這一入侵企圖，且響應(yīng)設(shè)施隨即進(jìn)行了有效的處理。這樣，盡管保護(hù)不能百分之百地有效，但只要檢測快速、響應(yīng)及時，整個安全系統(tǒng)作為一個整體，仍是有可能實現(xiàn)有效防御的。防護(hù)是防火墻一類防御手段，檢測是入侵檢測手段，響應(yīng)是網(wǎng)絡(luò)系統(tǒng)對檢測手段所發(fā)現(xiàn)的入侵企圖所做出的反應(yīng)。這就是說，IDS與防火墻有效互動就可以實現(xiàn)一個較為有效的安全防護(hù)體系，克服了傳統(tǒng)信息安全技術(shù)的弊端，解決原先防火墻的粗顆粒防御和檢測系統(tǒng)只能發(fā)現(xiàn)、難以響應(yīng)的問題。所以，把IDS與防火墻結(jié)合起來、互動運行，防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為，也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。這樣就可以大大提高整體防護(hù)性能，并解決上述問題。目前實現(xiàn)入侵檢測系統(tǒng)和防火墻之間的互動一般有兩種方式：一種方式是實現(xiàn)緊密結(jié)合，把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)不再來源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的數(shù)據(jù)包不僅要接受防火墻的檢測規(guī)則的驗證，還要被判斷是否是有攻擊性，以達(dá)到真正的實時阻斷。這樣，實際上是把兩個產(chǎn)品合成到一起。但是，由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度上，還是合成后的整體性能上，都會受很大的影響。第二種方式是通過開發(fā)接口來實現(xiàn)互動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。防火墻技術(shù)與入侵檢測系統(tǒng)結(jié)合互動的使用是將兩個系統(tǒng)各自的功能展現(xiàn)在新的系統(tǒng)中，入侵檢測安全技術(shù)的實時、快速、自適應(yīng)的特點成為防火墻技術(shù)的有效補充，防火墻技術(shù)的包過濾、信任檢查、訪問控制成為入侵檢測系統(tǒng)的有力保障。事實證明，這樣的組合比以前單一的技術(shù)有了較大的提高，使網(wǎng)絡(luò)的防御安全能力大大提高，從而使防御系統(tǒng)成為一道更加堅固的圍墻。結(jié)語隨著lnternet在我國的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對國外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤，另—方面也已經(jīng)自行開展了一些研究工作。防火墻技術(shù)還處在一個發(fā)展階段，仍有許多問題有待解決。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，應(yīng)當(dāng)建立以防火墻為核心，以IDS、IPS、身份認(rèn)證、數(shù)據(jù)加密等相關(guān)安全技術(shù)聯(lián)合使用、協(xié)同配合的有效的安全防范體系。系統(tǒng)能夠有效防御外來入侵，那么網(wǎng)絡(luò)的安全性就能得以明顯提升。因此，密切關(guān)注防火墻的最新發(fā)展，對推動lntemet在我國的健康發(fā)展有著重要的