防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的安全

PAGE1防火墻技術(shù)在企業(yè)網(wǎng)中的網(wǎng)絡(luò)安全摘要信息時代的到來在給人們帶來巨大便利的同時，也存在各種各樣的安全隱患與漏洞。防火墻技術(shù)的發(fā)展為企業(yè)網(wǎng)絡(luò)安全管理提供了很好的途徑。防火墻為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，其切斷受控網(wǎng)絡(luò)通信主干線，對通過受控干線的任何通信行為進(jìn)行安全處理，如控制、報警、反應(yīng)等，同時，也承擔(dān)了繁重的通信任務(wù)。由于自身處于網(wǎng)絡(luò)中的敏感位置，還要面對針對自身的各種安全威脅。但目前防火墻功能都相差不大，無非就是包過濾，地址轉(zhuǎn)換，應(yīng)用層過濾，攻擊檢驗等等。本文先通過對防火墻工作原理、工作模式、組成結(jié)構(gòu)進(jìn)行了簡單的介紹。然后詳細(xì)分析了防火墻的功能及性能，以及其在企業(yè)中的應(yīng)用設(shè)計，最后對防火墻的發(fā)展趨勢進(jìn)行了展望。關(guān)鍵詞：信息技術(shù)；防火墻；性能

目錄1引言 12防火墻概述 12.1防火墻工作原理 12.2防火墻的體系結(jié)構(gòu)和組成形式 12.2.1屏蔽路由器 12.2.2雙穴主機(jī)網(wǎng)關(guān) 22.2.3被屏蔽主機(jī)網(wǎng)關(guān) 22.2.4被屏蔽子網(wǎng) 23防火墻的安全性和可靠性分析 33.1支持平臺 33.2抗攻擊性 33.3防火墻自身的安全 33.4完整的安全檢查 43.5防火墻的可擴(kuò)展和可升級性 44企業(yè)網(wǎng)絡(luò)常見攻擊方法 44.1SQL注入 54.2網(wǎng)絡(luò)釣魚 54.3分布式拒絕服務(wù) 54.4Rootkit 55結(jié)論 6致謝 7參考文獻(xiàn) 8職業(yè)技術(shù)學(xué)院畢業(yè)論文/設(shè)計1引言網(wǎng)絡(luò)安全是一個人們普遍關(guān)注的話題。我們能夠設(shè)想，幾十年后的社會將進(jìn)入一個全新的網(wǎng)絡(luò)時代，信息時代。所以網(wǎng)絡(luò)安全的重要性就更為突出了，只有安全的互聯(lián)網(wǎng)才能保障互聯(lián)網(wǎng)生活能夠有序進(jìn)行，網(wǎng)絡(luò)系統(tǒng)不遭受破壞，信息能夠不被竊取，互聯(lián)網(wǎng)服務(wù)不會被非法中斷等等。另一方面，當(dāng)前的互聯(lián)網(wǎng)正在經(jīng)受許多威脅和攻擊，互聯(lián)網(wǎng)中存在很多不安全的因素。例如，黑客攻擊、密碼泄露等等。甚至可以說，目前絕對安全的網(wǎng)絡(luò)的不存在的。因此，掌握更多的網(wǎng)絡(luò)安全技術(shù)至關(guān)重要。網(wǎng)絡(luò)安全的一個非常重要保障就是防火墻。2防火墻概述防火墻是部署在主機(jī)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，所有經(jīng)過防火墻的數(shù)據(jù)包都要經(jīng)過匹配后，才決定是否丟棄或接收該數(shù)據(jù)包，防止惡意數(shù)據(jù)包對主機(jī)或內(nèi)部網(wǎng)絡(luò)的入侵，從而保護(hù)主機(jī)或內(nèi)部網(wǎng)絡(luò)的安全。2.1防火墻工作原理目前市面上的防火墻都會具備三種不同的工作模式，透明模式、NAT模式和路由模式。透明模式時，防火墻過濾通過防火墻的封包，而不會修改數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網(wǎng)絡(luò)中的一部分。此時防火墻的作用更像是Layer2（第2層）交換機(jī)或橋接器。在透明模式下，接口的IP地址被設(shè)置為，防火墻對于用戶來說是可視或“透明”的。處于“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”模式下時，防火墻的作用與Layer3（第3層）交換機(jī)（或路由器）相似，將綁定到外網(wǎng)區(qū)段的IP封包包頭中的兩個組件進(jìn)行轉(zhuǎn)換：其源IP地址和源端口號。防火墻用目的地區(qū)段接口的IP地址替換發(fā)送封包的主機(jī)的源IP地址。另外，它用另一個防火墻生成的任意端口號替換源端口號。路由模式時，防火墻在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行NAT；即，當(dāng)信息流穿過防火墻時，IP封包包頭中的源地址和端口號保持不變。與NAT不同，不需要為了允許入站會話到達(dá)主機(jī)而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內(nèi)網(wǎng)區(qū)段中的接口和外網(wǎng)區(qū)段中的接口在不同的子網(wǎng)中。2.2防火墻的體系結(jié)構(gòu)和組成形式2.2.1屏蔽路由器屏蔽路由器是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機(jī)來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機(jī)。它的缺點是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶。2.2.2雙穴主機(jī)網(wǎng)關(guān)雙穴主機(jī)網(wǎng)關(guān)配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙穴主機(jī)網(wǎng)關(guān)的一個致命弱點是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。2.2.3被屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)易于實現(xiàn)也很安全，因此應(yīng)用廣泛。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時的情形差不多。2.2.4被屏蔽子網(wǎng)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。3防火墻的安全性和可靠性分析在網(wǎng)絡(luò)安全方面最具有代表性的技術(shù)就是數(shù)據(jù)加密、容錯技術(shù)、端口保護(hù)、認(rèn)證系統(tǒng)和防火墻技術(shù)。其中，防火墻技術(shù)是近年來提出并推廣的一項網(wǎng)絡(luò)安全技術(shù)。企業(yè)及組織為確保內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的安全，均紛紛建置不同層次的信息安全解決機(jī)制，而防火墻（Firewall）就是各企業(yè)及組織在建置資安控管解決方案當(dāng)中最常被優(yōu)先考量的安全控管機(jī)制。根據(jù)可靠的統(tǒng)計數(shù)據(jù)顯示，幾乎有90%甚至以上的企業(yè)組織均有建置防火墻。3.1支持平臺為了更有效，防火墻必須和應(yīng)用程序以及需要保護(hù)的網(wǎng)絡(luò)環(huán)境完全契合。應(yīng)用防火墻有很多種，但是主要分為兩類：硬件和軟件。硬件防火運行在專一的應(yīng)用程序上，通常有一個為防火墻的功能特別設(shè)計的堅固的操作系統(tǒng)。軟件防火墻是在多用途的計算機(jī)上安裝的，這種計算機(jī)為了網(wǎng)絡(luò)邊界等處的受信任的區(qū)域之間，或者在在個體防火墻的情況下，位于桌面計算機(jī)上。特定目的的硬件應(yīng)用程序通常性能更好，但是在安裝和配置上更復(fù)雜。如果你選擇軟件防火墻解決方案，確保它是運行在你們的IT部門熟悉的平臺上，這樣就不需要另外的培訓(xùn)和支持問題了。軟件解決方案通常比硬件解決方案更靈活，但是你需要確定運行防火墻的操作系統(tǒng)定期地打補丁和維護(hù)。3.2抗攻擊性在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法，YAHOO等網(wǎng)站遭受的就是拒絕服務(wù)攻擊，只不過是發(fā)起攻擊的點比較多，稱之為分布式拒絕服務(wù)攻擊。拒絕服務(wù)攻擊可分成兩類：一類由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計或編程上的缺陷而造成，種類繁多，只有通過打補丁的辦法解決，一類是由于協(xié)議本身的缺陷，只有數(shù)的幾種，但造成的危害非常大，如SYNFLOODING。要防火墻解決第一類問題顯然是力不從心，系統(tǒng)缺陷和病毒不同，沒有病毒馬可以作為依據(jù)，在判斷到底是不是攻擊上常常誤報，現(xiàn)有的國內(nèi)外地對這類攻擊的檢測至少有50%的誤報，大家如果用過IIS的realsecure就有認(rèn)識，這類攻擊檢測不能裝在防火墻上，否則可能把合法的報文認(rèn)為是攻擊。防火墻能做的是對付第二類攻擊，如針對SYN-FLOODING，可以限制服務(wù)器接受連接請求的速度，最大的半連接數(shù)和最大已建立連接數(shù)實現(xiàn)。3.3防火墻自身的安全大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。此時，任何的防火墻控制機(jī)制都可能失效，因為當(dāng)一個黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。3.4完整的安全檢查好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因為防火墻并不能有效地杜絕所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來發(fā)現(xiàn)。3.5防火墻的可擴(kuò)展和可升級性用戶的網(wǎng)絡(luò)不是一成不變的，現(xiàn)在可能只要在公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間做過濾，隨著業(yè)務(wù)的發(fā)展，公司內(nèi)部可能具有不同安全級別的子網(wǎng)，此時就需要在這些子網(wǎng)之間做過濾。目前市面上的防火墻一般標(biāo)配是三個網(wǎng)絡(luò)接口分別接外部網(wǎng)，內(nèi)部網(wǎng)和SSN，在購買時必須問清楚是否可以增加網(wǎng)絡(luò)接口，因為有些防火墻設(shè)計成支持三個接口，無法擴(kuò)展，和防病毒產(chǎn)品類似，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和黑客攻擊手段的變化，防火墻也必須不斷地進(jìn)行升級，此時支持軟件升級就更加重要了。如果不支持軟件升級，為了抵御新的攻擊手段，必須進(jìn)行硬件上的更換，在更換期間你的網(wǎng)絡(luò)是不設(shè)防的。以上就是防火墻的采購方法，選購防火墻時，如能做到以上幾點，防火墻的選購就不會成為難題了。4企業(yè)網(wǎng)絡(luò)常見攻擊方法網(wǎng)絡(luò)攻擊方式從過去的密碼破解等，發(fā)展到現(xiàn)在的SQL注入、網(wǎng)絡(luò)釣魚、跨站攻擊、溢出漏洞、拒絕服務(wù)攻擊及社會工程學(xué)等技術(shù)的應(yīng)用，攻擊難度越來越低。網(wǎng)絡(luò)變得十分脆弱，一方面因為威脅變得越來越復(fù)雜，另一方面因為實施這些威脅所需要的知識越來越簡單。4.1SQL注入隨著Internet的發(fā)展，基于DBMS的Web查詢數(shù)據(jù)庫逐漸增多，但是Web制作行業(yè)門檻不高，程序員的水平和經(jīng)驗參差不齊，相當(dāng)大一部分程序員在編寫代碼的社會沒有對用戶輸入數(shù)據(jù)合法性進(jìn)行判斷，導(dǎo)致程序出現(xiàn)隱患。攻擊者可以通過互聯(lián)網(wǎng)，構(gòu)造一個精妙的SQL語句注入到DBMS中，從而獲取訪問權(quán)限。SQL注入手法相當(dāng)靈活，能夠根據(jù)不同的情況進(jìn)行具體的構(gòu)造。通常，幾乎所有的防火墻對通過Internet訪問的數(shù)據(jù)庫請求都無法發(fā)出及時的警報，所有SQL注入具有極高的隱蔽性。4.2網(wǎng)絡(luò)釣魚所謂網(wǎng)絡(luò)釣魚攻擊通常采用大量發(fā)送垃圾電子郵件的形式，誘騙收到郵件的用戶發(fā)送自己相關(guān)的金融帳號和密碼，已經(jīng)身份證號碼等其他個人信息，繼而盜取現(xiàn)金。蒙騙方法通常很簡單，例如注冊來模仿等，粗心的用戶會忽視這樣的拼寫錯誤。在中國工商銀行hotspot.jsp頁面上，也可以通過對column函數(shù)進(jìn)行修改直接偽造頁面。4.3分布式拒絕服務(wù)DDOS攻擊很簡單，即用大量的主機(jī)來訪問網(wǎng)絡(luò)中的某一臺機(jī)器，導(dǎo)致其性能下降影響正常的服務(wù)。DDos是一種簡單的攻擊工具，當(dāng)某些IDC機(jī)房服務(wù)器被攻破后，將其作為DDos攻擊源，后果將不堪設(shè)想。同時，對于DDos攻擊，如何找出源地址，也是一個非常困難的事情。由于DDos非常容易實施，并且成功率非常高，所有在安全事件中，這類攻擊增長非常迅猛。在我國的部分ISP統(tǒng)計數(shù)據(jù)中顯示，有些攻擊就來自IDC機(jī)房，例如不同的網(wǎng)絡(luò)游戲服務(wù)商之間的競爭等。而且在過去幾年較為重大的幾起安全時間中，幾乎都是由DDos攻擊引起。4.4Rootkit由于網(wǎng)絡(luò)安全產(chǎn)品正在變得越來越強大，攻擊者不得不增加賭注。2006年Rootkit技術(shù)開始被廣泛地應(yīng)用，而且由不斷增長的趨勢。Rootkit其實是一種功能更強大的軟件工具集，能夠讓網(wǎng)絡(luò)管理員訪問一臺計算機(jī)或者一個網(wǎng)絡(luò)。一旦安裝了Rootkit，攻擊者就可以把自己隱藏起來，在用戶計算機(jī)安裝間諜軟件和其他監(jiān)視敲擊鍵盤以及修改記錄文件的軟件。雖然微軟發(fā)布的Vista操作系統(tǒng)能夠減少某些Rootkit的應(yīng)用，但是Rootkit還是2007年黑客普遍使用的技術(shù)。據(jù)賽門鐵克稱，用戶模式Rootkit策略目前以及非常普遍，內(nèi)核模式Rootkit的使用也在增長。5結(jié)論防火墻在網(wǎng)絡(luò)安全保護(hù)中起到了不可替代的作用。最新一代的防火墻技術(shù)有了相當(dāng)大提高，比如加密防毒、NAT技術(shù)、多端口、安全審計等，這些功能使防火墻具有了更加重要的作用。然而，網(wǎng)絡(luò)的不斷進(jìn)步也導(dǎo)致更為多樣化的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊方式。網(wǎng)絡(luò)威脅包括，人為和自然兩個方面。自然因素例如意外事故和自然災(zāi)害；人為因素包括使用不當(dāng)和安全意識差等。網(wǎng)絡(luò)威脅主要包括主動行為，如黑客入侵，非法訪問等；被動行為如泄密，信息丟失，協(xié)議缺陷等。因此，本文對現(xiàn)代防火墻技術(shù)及應(yīng)用進(jìn)行分析，對網(wǎng)絡(luò)安全有一定的意義。

致謝本論文是在XXX老師的諄諄教誨和指導(dǎo)下完成的，論文從選題、構(gòu)思到定稿無不滲透著導(dǎo)師