版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
防火墻技術(shù)研究匯報(bào)防火墻技術(shù)摘要:伴隨計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,伴隨信息時(shí)代的來臨,信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一種發(fā)展非常活躍的領(lǐng)域,也許會(huì)受到黑客的非法襲擊,因此在任何狀況下,對(duì)于多種事故,無意或故意的破壞,保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。例如,計(jì)劃怎樣保護(hù)你的局域網(wǎng)免受因特網(wǎng)襲擊帶來的危害時(shí),首先要考慮的是防火墻。防火墻的關(guān)鍵思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一種相對(duì)安全的子網(wǎng)環(huán)境。文簡(jiǎn)介了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)實(shí)狀況和發(fā)展趨勢(shì)。Abstract:alongwiththeuniversalapplicationoftherapiddevelopmentofcomputerandnetworktechnology,withtheadventoftheinformationage,informationasanimportantresourceispaidattentiontoandusedbypeople.TheInternetisadevelopmentofveryactivedomain,maybeillegallyattackedbyhackers,soinanycase,foravarietyofaccident,accidentalorintentionaldamage,protectionofdataandtransfer,processingisverynecessary.Forexample,planstoprotectyournetworkfromthehazardsbroughtbyInternetattack,firewallisthefirstconsideration.ThecoreideaoffirewallistherelativesafetyofthestructureofanetworkenvironmentintheinsecureInternetenvironment.Thispaperintroducesthebasicconceptoffirewalltechnology,principle,applicationstatusanddevelopmenttrend.Keywords:firewall;networksecurity目錄一、概述 4二、防火墻的基本概念 4三、防火墻的技術(shù)分類 4四、防火墻的基本功能 5(一)包過濾路由器 5(二)應(yīng)用層網(wǎng)關(guān) 6(三)鏈路層網(wǎng)關(guān) 6五、防火墻的安全構(gòu)建 6(一)基本準(zhǔn)則 6(二)安全方略 6(三)構(gòu)建費(fèi)用 7(四)高保障防火墻 7六、防火墻的發(fā)展特點(diǎn) 7(一)高速 7(二)多功能化 8(三)安全 8七、防火墻的發(fā)展特點(diǎn) 9參照文獻(xiàn) 10防火墻技術(shù)研究匯報(bào)一、概述伴隨計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢(shì)?;ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺乏的一部分,伴隨互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給顧客帶來了極大以便的同步,由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特性,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的襲擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,因此我們要用防火墻,防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。二、防火墻的基本概念
防火墻是一種系統(tǒng)或一組系統(tǒng),在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全方略,它實(shí)際上是一種隔離技術(shù)。
一種有效的防火墻應(yīng)當(dāng)可以保證所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將通過防火墻,所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一種要點(diǎn)以防止外來入侵;監(jiān)控網(wǎng)絡(luò)的安全并在異常狀況下給出報(bào)警提醒,尤其對(duì)于重大的信息量通過時(shí)除進(jìn)行檢查外,還應(yīng)做日志登記;提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能,有助于緩和IP地址資源緊張的問題,同步,可以防止當(dāng)一種內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩;防火墻是為客戶提供服務(wù)的理想位置,即在其上可以配置對(duì)應(yīng)的WWW和FTP服務(wù)等。
三、防火墻的技術(shù)分類
既有的防火墻重要有:包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型(雙宿主主機(jī)、主機(jī)過濾以及加密路由器)防火墻。
包過濾(PacketFliter)一般安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、目的地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行。
代理服務(wù)器型(ProxyService)防火墻一般由兩部分構(gòu)成,服務(wù)器端程序和客戶端程序??蛻舳顺绦蚺c中間節(jié)點(diǎn)連接,中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。
復(fù)合型(Hybfid)防火墻將包過濾和代理服務(wù)兩種措施結(jié)合起來,形成新的防火墻,由堡壘主機(jī)提供代理服務(wù)。
各類防火墻路由器和多種主機(jī)按其配置和功能可構(gòu)成多種類型的防火墻,重要有:雙宿主主機(jī)防火墻,它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān),并在其上運(yùn)行防火墻軟件,內(nèi)外網(wǎng)之間的通信必須通過堡壘主機(jī);主機(jī)過濾防火墻是指一種包過濾路由器與外部網(wǎng)相連,同步,一種堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能抵達(dá)的惟一節(jié)點(diǎn),從而保證內(nèi)部網(wǎng)不受外部非授權(quán)顧客的襲擊;加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓縮,然后通過外部網(wǎng)絡(luò)傳播到目的端進(jìn)行解壓縮和解密。
四、防火墻的基本功能
經(jīng)典的防火墻應(yīng)包括如下模塊中的一種或多種:包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。
(一)包過濾路由器
包過濾路由器將對(duì)每一種接受到的包進(jìn)行容許/拒絕的決定。詳細(xì)地,它對(duì)每一種數(shù)據(jù)報(bào)的包頭,按照包過濾規(guī)則進(jìn)行鑒定,與規(guī)則相匹配的包根據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則,則丟棄之。
與服務(wù)有關(guān)的過濾,是指基于特定的服務(wù)進(jìn)行包過濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口,因此,阻塞所有進(jìn)入特定服務(wù)的連接,路由器只需將所有包括特定TCP/UDP目的端口的包丟棄即可。
獨(dú)立于服務(wù)的過濾,有些類型的襲擊是與服務(wù)無關(guān)的,例如:帶有欺騙性的源IP地址襲擊、源路由襲擊、細(xì)小碎片襲擊等。由此可見此類網(wǎng)上襲擊僅僅借助包頭信息是難以識(shí)別的,此時(shí),需要路由器在原過濾規(guī)則的基礎(chǔ)附上此外的條件,這些條件的鑒別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。(二)應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)容許網(wǎng)絡(luò)管理員實(shí)行一種較包過濾路由器更為嚴(yán)格的安全方略,為每一種期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼,同步,代理代碼也可以配置成支持一種應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問對(duì)應(yīng)的代理服務(wù)實(shí)現(xiàn)的,而不容許顧客直接登錄到應(yīng)用層網(wǎng)關(guān)。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購置有關(guān)硬件平臺(tái)的費(fèi)用為代價(jià),網(wǎng)關(guān)的配置將減少對(duì)顧客的服務(wù)水平,但增長(zhǎng)了安全配置上的靈活性。
(三)鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。
五、防火墻的安全構(gòu)建
在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中,網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則;整個(gè)企業(yè)網(wǎng)的安全方略;以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。
(一)基本準(zhǔn)則
可以采用如下兩種理念中的一種來定義防火墻應(yīng)遵照的準(zhǔn)則:第一,未經(jīng)闡明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息,每一種服務(wù)祈求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一種值得推薦的措施,它將創(chuàng)立一種非常安全的環(huán)境。當(dāng)然,該理念的局限性在于過于強(qiáng)調(diào)安全而減弱了可用性,限制了顧客可以申請(qǐng)的服務(wù)的數(shù)量。第二,未闡明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認(rèn)定每一種潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然,該理念的局限性在于它將可用性置于比安全更為重要的地位,增長(zhǎng)了保證企業(yè)網(wǎng)安全性的難度。
(二)安全方略
在一種企業(yè)網(wǎng)中,防火墻應(yīng)當(dāng)是全局安全方略的一部分,構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全方略應(yīng)當(dāng)在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。
(三)構(gòu)建費(fèi)用
簡(jiǎn)樸的包過濾防火墻所需費(fèi)用至少,實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一種路由器,而包過濾是原則路由器的一種基本特性。對(duì)于一臺(tái)商用防火墻伴隨其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增長(zhǎng),其費(fèi)用也隨之增長(zhǎng)。
至于采用自行構(gòu)造防火墻方式,雖然費(fèi)用低某些,但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng),需要不停地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及某些附帶的操作提供支持。
六、防火墻的發(fā)展特點(diǎn)
(一)高速從國內(nèi)外歷次測(cè)試的成果都可以看出,目前防火墻一種很大的局限性是速度不夠,真正到達(dá)線速的防火墻少之又少。防備DoS(拒絕服務(wù))是防火墻一種很重要的任務(wù),防火墻往往用在網(wǎng)絡(luò)出口,如導(dǎo)致網(wǎng)絡(luò)堵塞,再安全的防火墻也無法應(yīng)用。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的重要措施,但尤以采用網(wǎng)絡(luò)處理器最優(yōu),由于網(wǎng)絡(luò)處理器采用微碼編程,可以根據(jù)需要隨時(shí)升級(jí),甚至可以支持IPv6,而采用其他措施就不那么靈活。實(shí)現(xiàn)高速防火墻,算法也是一種關(guān)鍵,由于網(wǎng)絡(luò)處理器中集成了諸多硬件協(xié)處理單元,因此比較輕易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻,就必須有算法支撐,例如ACL算法。目前有的應(yīng)用環(huán)境,動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則,沒有算法支撐,對(duì)于狀態(tài)防火墻,建立會(huì)話的速度會(huì)十分緩慢。上面提到,為何防火墻不合適于集成內(nèi)容過濾、防病毒和IDS功能(傳播層如下的IDS除外,這些檢測(cè)對(duì)CPU消耗小)呢?說究竟還是由于受既有技術(shù)的限制。目前,還沒有有效的對(duì)應(yīng)用層進(jìn)行高速檢測(cè)的措施,也沒有哪款芯片能做到這一點(diǎn)。因此,對(duì)于IDS,目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理,這樣可以防止流量較大時(shí)導(dǎo)致網(wǎng)絡(luò)堵塞。此外,應(yīng)用層漏洞諸多,襲擊特性庫需要頻繁升級(jí),對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻,如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。這里還要提到日志問題,根據(jù)國家有關(guān)原則和規(guī)定,防火墻日志規(guī)定記錄的內(nèi)容相稱多。網(wǎng)絡(luò)流量越來越大,如此龐大的日志對(duì)日志服務(wù)器提出了很高的規(guī)定。目前,業(yè)界應(yīng)用較多的是SYSLOG日志,采用的是文本方式,每一種字符都需要一種字節(jié),存儲(chǔ)量很大,對(duì)防火墻的帶寬也是一種很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量,也以便數(shù)據(jù)庫的存儲(chǔ)、加密和事后分析??梢哉f,支持二進(jìn)制格式和日志數(shù)據(jù)庫,是未來防火墻日志和日志服務(wù)器軟件的一種基本規(guī)定。(二)多功能化多功能也是防火墻的發(fā)展方向之一,鑒于目前路由器和防火墻價(jià)格都比較高,組網(wǎng)環(huán)境也越來越復(fù)雜,一般顧客總但愿防火墻可以支持更多的功能,滿足組網(wǎng)和節(jié)省投資的需要。例如,防火墻支持廣域網(wǎng)口,并不影響安全性,但在某些狀況下卻可認(rèn)為顧客節(jié)省一臺(tái)路由器;支持部分路由器協(xié)議,如路由、撥號(hào)等,可以更好地滿足組網(wǎng)需要;支持IPSecVPN,可以運(yùn)用因特網(wǎng)組建安全的專用通道,既安全又節(jié)省了專線投資。據(jù)IDC記錄,國外90%的加密VPN都是通過防火墻實(shí)現(xiàn)的。(三)安全未來防火墻的操作系統(tǒng)會(huì)更安全。伴隨算法和芯片技術(shù)的發(fā)展,防火墻會(huì)更多地參與應(yīng)用層分析,為應(yīng)用提供更安全的保障?!澳Ц咭怀?,道高一丈”,在信息安全的發(fā)展與對(duì)抗過程中,防火墻的技術(shù)一定會(huì)不停更新,日新月異,在信息安全的防御體系中,起到堡壘的作用。未來防火墻的操作系統(tǒng)會(huì)更安全。伴隨算法和芯片技術(shù)的發(fā)展,防火墻會(huì)更多地參與應(yīng)用層分析,為應(yīng)用提供更安全的保障。七、防火墻的發(fā)展趨勢(shì)近年來,計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分,成為我們社會(huì)構(gòu)造的一種基本構(gòu)成部分。從Internet的誕生之日起,就不可防止的面臨著網(wǎng)絡(luò)信息安全的問題。而伴隨Internet的迅速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全的規(guī)定也日益增高。越來越多的網(wǎng)站由于安全性問題而癱瘓,企業(yè)的機(jī)密信息不停被竊取,政府機(jī)構(gòu)和組織不停遭受著安全問題的威脅等等。盡管運(yùn)用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的襲擊,但其只能提高網(wǎng)絡(luò)的安全性,不也許保證網(wǎng)絡(luò)的絕對(duì)安全。實(shí)際上仍然存在著某些防火墻不能防備的安全威脅,如防火墻不能防備不通過防火墻的襲擊。例如,假如容許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào),某些顧客就也許形成與Internet的直接連接。此外,防火墻很難防備來自于網(wǎng)絡(luò)內(nèi)部的襲擊以及病毒的威脅。因此在一種實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中,僅僅依托防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠,此時(shí),應(yīng)根據(jù)實(shí)際需求采用其他對(duì)應(yīng)的安全方略。計(jì)算機(jī)的安全問題正面臨著前所未有的挑戰(zhàn)。在這場(chǎng)網(wǎng)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 蘇州常見異形螺栓施工方案
- 礦粉加工施工方案
- 長(zhǎng)葛市外墻施工方案
- 山西廣場(chǎng)瓷磚養(yǎng)護(hù)施工方案
- 2025年散熱器總成項(xiàng)目可行性研究報(bào)告
- 中國杜松子油行業(yè)市場(chǎng)全景評(píng)估及投資前景展望報(bào)告
- 中國紅外生物效應(yīng)治療儀行業(yè)發(fā)展前景預(yù)測(cè)及投資方向研究報(bào)告
- 金屬真皮手袋行業(yè)深度研究報(bào)告
- 2025年中國車載充電機(jī)(OBC)行業(yè)發(fā)展?jié)摿︻A(yù)測(cè)及投資策略研究報(bào)告
- 2025年度綠色建筑出租居間服務(wù)合同(2025版)3篇
- 第2課《濟(jì)南的冬天》課件-2024-2025學(xué)年統(tǒng)編版語文七年級(jí)上冊(cè)
- 2024年水利工程高級(jí)工程師理論考試題庫(濃縮400題)
- 增強(qiáng)現(xiàn)實(shí)技術(shù)在藝術(shù)教育中的應(yīng)用
- TD/T 1060-2021 自然資源分等定級(jí)通則(正式版)
- 《創(chuàng)傷失血性休克中國急診專家共識(shí)(2023)》解讀
- 倉庫智能化建設(shè)方案
- 海外市場(chǎng)開拓計(jì)劃
- 供應(yīng)鏈組織架構(gòu)與職能設(shè)置
- 幼兒數(shù)學(xué)益智圖形連線題100題(含完整答案)
- 七上-動(dòng)點(diǎn)、動(dòng)角問題12道好題-解析
- 2024年九省聯(lián)考新高考 數(shù)學(xué)試卷(含答案解析)
評(píng)論
0/150
提交評(píng)論