版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
計算機網(wǎng)絡安全作業(yè)
——防火墻技術防火墻技術簡要回答防火墻的定義和發(fā)展簡史。設置防火墻目的是什么?防火墻的功能和局限性各有哪些?簡述防火墻的發(fā)展動態(tài)和趨勢。試述包過濾防火墻的原理及特點。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別?試述代理防火墻的原理及特點。應用層網(wǎng)關和電路層網(wǎng)關有什么區(qū)別?防火墻的主要技術及實現(xiàn)方式有哪些?防火墻的常見體系結構有哪幾種?屏蔽路由器防火墻和屏蔽主機網(wǎng)關防火墻各如何實現(xiàn)?一、防火墻的定義和發(fā)展簡史
防火墻的定義防火墻:一種高級訪問控制設備,置于不同網(wǎng)絡安全域之間,它通過相關的安全策略來控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡的訪問行為。
發(fā)展簡史第一代防火墻第一代防火墻技術幾乎與路由器同時出現(xiàn),采用了包過濾(Packetfilter)技術。下圖表示了防火墻技術的簡單發(fā)展歷史。第二、三代防火墻1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。第四代防火墻1992年,USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamicpacketfilter)技術的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Statefulinspection)技術。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。
第五代防火墻1998年,NAI公司推出了一種自適應代理(Adaptiveproxy)技術,并在其產品GauntletFirewallforNT中得以實現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。一體化安全網(wǎng)關UTMUTM統(tǒng)一威脅管理,在防火墻基礎上發(fā)展起來的,具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能,因此主要用于對性能要求不高的中低端領域。在中低端領域,UTM已經出現(xiàn)了代替防火墻的趨勢,因為在不開啟附加功能的情況下,UTM本身就是一個防火墻,而附加功能又為用戶的應用提供了更多選擇。在高端應用領域,比如電信、金融等行業(yè),仍然以專用的高性能防火墻、IPS為主流。二、設置防火墻的目的、防火墻的功能和局限性
設置防火墻的目的(1)強化安全策略。(2)有效地記錄Internet上的活動。(3)限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。(4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。防火墻的功能應用程序代理包過濾&狀態(tài)檢測用戶認證NATVPN日志IDS與報警內容過濾基本功能(1)基本功能(2)防火墻的功能過濾進出網(wǎng)絡的數(shù)據(jù)管理進出網(wǎng)絡的訪問行為封堵某些禁止的業(yè)務記錄進出網(wǎng)絡的信息和活動對網(wǎng)絡攻擊進行檢測和告警Internet防火墻允許網(wǎng)絡管理員定義一個中心“扼制點”來防止非法用戶,如黑客、網(wǎng)絡破壞者等進入內部網(wǎng)絡。禁止存在安全脆弱性的服務進出網(wǎng)絡,并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理,網(wǎng)絡安全性是在防火墻系統(tǒng)上得到加固,而不是分布在內部網(wǎng)絡的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性,并產生報警。應該注意的是:對一個內部網(wǎng)絡已經連接到Internet上的機構來說,重要的問題并不是網(wǎng)絡是否會受到攻擊,而是何時會受到攻擊。網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡管理員不能及時響應報警并審查常規(guī)記錄,防火墻就形同虛設。在這種情況下,網(wǎng)絡管理員永遠不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator,網(wǎng)絡地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題,并消除機構在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,并能夠根據(jù)機構的核算模式提供部門級的記費。Internet防火墻也可以成為向客戶發(fā)布信息的地點。Internet防火墻作為部署WWW服務器和FTP服務器的地點非常理想。還可以對防火墻進行配置,允許Internet訪問上述服務,而禁止外部對受保護的內部網(wǎng)絡上其它系統(tǒng)的訪問。防火墻局限性(1)防火墻不能防范不通過它的連接如果網(wǎng)絡具有其他聯(lián)接方式,比如一臺WindowsPC使用一臺調制解調器通過ISP聯(lián)到Internet上,因為連接不經過防火墻,因此繞過了防火墻提供的安全控制。(2)防火墻不能防備全部的威脅防火墻不能防止許多常見的Internet問題,如病毒和特洛伊木馬。
三、防火墻的發(fā)展動態(tài)和趨勢(1)優(yōu)良的性能(2)可擴展的結構和功能(3)簡化的安裝與管理(4)主動過濾(5)防病毒與防黑客四、包過濾防火墻的原理及特點靜態(tài)包過濾和動態(tài)包過濾的區(qū)別包過濾防火墻的原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱包過濾操作流程圖包過濾防火墻的特點
包過濾的優(yōu)點:不用改動應用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。包過濾的缺點:不能徹底防止地址欺騙;一些應用協(xié)議不適合于數(shù)據(jù)包過濾;一些應用協(xié)議不適合于數(shù)據(jù)包過濾;正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略;安全性較差;數(shù)據(jù)包工具存在很多局限性。
包過濾防火墻具有根本的缺陷:
1.不能防范黑客攻擊。包過濾防火墻的工作基于一個前提,就是網(wǎng)管知道哪些IP是可信網(wǎng)絡,哪些是不可信網(wǎng)絡的IP地址。但是隨著遠程辦公等新應用的出現(xiàn),網(wǎng)管不可能區(qū)分出可信網(wǎng)絡與不可信網(wǎng)絡的界限,對于黑客來說,只需將源IP包改成合法IP即可輕松通過包過濾防火墻,進入內網(wǎng),而任何一個初級水平的黑客都能進行IP地址欺騙。
2.不支持應用層協(xié)議。假如內網(wǎng)用戶提出這樣一個需求,只允許內網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(使用HTTP協(xié)議),不允許去外網(wǎng)下載電影(一般使用FTP協(xié)議)。包過濾防火墻無能為力,因為它不認識數(shù)據(jù)包中的應用層協(xié)議,訪問控制粒度太粗糙。
3.不能處理新的安全威脅。它不能跟蹤TCP狀態(tài),所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪問時,一些以TCP應答包的形式從外部對內網(wǎng)進行的攻擊仍可以穿透防火墻。
綜上可見,包過濾防火墻技術面太過初級,就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網(wǎng)安全的職責。
靜態(tài)包過濾和動態(tài)包過濾的區(qū)別靜態(tài)包過濾:一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的,只有系統(tǒng)管理員可以修改,是靜態(tài)存在的,稱為靜態(tài)規(guī)則,利用靜態(tài)包過濾規(guī)則建立的防火墻叫做靜態(tài)包過濾防火墻。動態(tài)包過濾:這種防火墻對通過其建立的每一個連接都進行跟蹤,并且根據(jù)需要可動態(tài)的在過濾規(guī)則中增加或更新條目。五、代理防火墻的原理及特點
應用層網(wǎng)關和電路層網(wǎng)關的區(qū)別代理防火墻的原理代理服務是運行在防火墻主機上的專門的應用程序或者服務器程序。不允許通信直接經過外部網(wǎng)和內部網(wǎng)。將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的“鏈接”,由兩個終端代理服務器上的“鏈接”來實現(xiàn)。外部計算機的網(wǎng)絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統(tǒng)的作用。
代理防火墻的特點代理技術的優(yōu)點(1)代理易于配置(2)代理能生成各項記錄(3)代理能靈活、完全地控制進出流量、內容(4)代理能過濾數(shù)據(jù)內容(5)代理能為用戶提供透明的加密機制(6)代理可以方便地與其他安全手段集成
代理技術的缺點(1)代理速度較路由器慢(2)代理對用戶不透明(3)對于每項服務代理可能要求不同的服務器(4)代理服務不能保證免受所有協(xié)議弱點的限制(5)代理不能改進底層協(xié)議的安全性
應用層網(wǎng)關和電路層網(wǎng)關的區(qū)別應用層網(wǎng)關型防火墻主要保存Internet上那些最常用和最近訪問過的內容:在Web上,代理首先試圖在本地尋找數(shù)據(jù),如果沒有,再到遠程服務器上去查找。為用戶提供了更快的訪問速度,并且提高了網(wǎng)絡安全性。應用層網(wǎng)關防火墻最突出的優(yōu)點就是安全,缺點就是速度相對比較慢。電路層網(wǎng)關防火墻在電路層網(wǎng)關中,包被提交用戶應用層處理。電路層網(wǎng)關用來在兩個通信的終點之間轉換包。電路層網(wǎng)關防火墻的特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。
六、防火墻的主要技術及實現(xiàn)方式先進的防火墻產品將網(wǎng)關與安全系統(tǒng)合二為一,具有以下技術與功能。雙端口或三端口的結構新一代防火墻產品具有兩個或三個獨立的網(wǎng)卡,內外兩個網(wǎng)卡可不作IP轉化而串接于內部網(wǎng)與外部網(wǎng)之間,另一個網(wǎng)卡可專用于對服務器的安全保護。透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統(tǒng)技術,從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制,一種用于代理從內部網(wǎng)絡到外部網(wǎng)絡的連接,另一種用于代理從外部網(wǎng)絡到內部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉換(NAT)技術來解決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。
多級的過濾技術為保證系統(tǒng)的安全性和防護水平,新一代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網(wǎng)關一級,能利用FTP、SMTP等各種網(wǎng)關,控制和監(jiān)測Internet提供的所用通用服務;在電路網(wǎng)關一級,實現(xiàn)內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。網(wǎng)絡地址轉換技術(NAT)新一代防火墻利用NAT技術能透明地對所有內部地址作轉換,使外部網(wǎng)絡無法了解內部網(wǎng)絡的內部結構,同時允許內部網(wǎng)絡使用自己定制的IP地址和專用網(wǎng)絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。同時使用NAT的網(wǎng)絡,與外部網(wǎng)絡的連接只能由內部網(wǎng)絡發(fā)起,極大地提高了內部網(wǎng)絡的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。Internet網(wǎng)關技術由于是直接串連在網(wǎng)絡之中,新一代防火墻必須支持用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關功能。為確保服務器的安全性,對所有的文件和命令均要利用"改變根系統(tǒng)調用(chroot)"作物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器,一種是內部DNS服務器,主要處理內部網(wǎng)絡的DNS信息,另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部份DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內運行,在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統(tǒng)信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環(huán)境,Ident服務器對用戶連接的識別作專門處理,網(wǎng)絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。七、防火墻的常見體系結構有四種常用的防火墻設計,每一個都提供了一個確定的安全級別。這四個選擇是:
1.屏蔽路由器2.雙穴主機網(wǎng)關3.屏蔽主機網(wǎng)關4.被屏蔽子網(wǎng)屏蔽路由器是防火墻的基本構件;雙穴主機網(wǎng)關是在一臺主機上配置了兩塊網(wǎng)卡,分別與內外網(wǎng)絡相連接;屏蔽主機網(wǎng)關由一個路由連接外部網(wǎng)絡,同時一個堡壘主機安裝在內部網(wǎng)絡上;被屏蔽子網(wǎng)方法是在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內部網(wǎng)絡和外部網(wǎng)絡分開;多重防火墻組合就是在內外網(wǎng)絡之間設置一個周邊網(wǎng)絡,它只是一個小的單段網(wǎng)絡,是外部世界和內部網(wǎng)絡之間的安全緩沖區(qū)。不同的防火墻體系結構具有不同的優(yōu)缺點。
八、屏蔽路由器防火墻和屏蔽主機網(wǎng)關防火墻各如何實現(xiàn)?屏蔽路由器屏蔽路由器(screeningrouter)被認為是出色的首道防線屏蔽路由器的選擇是最簡
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 雙方自愿離婚協(xié)議書七篇
- 二人合伙協(xié)議書2025
- 自發(fā)性多汗癥病因介紹
- 廣東省佛山市南海區(qū)、三水區(qū)2023-2024學年九年級上學期期末數(shù)學試題
- 《電機技術應用》課件 3.3.3 直流電機的制動
- (立項備案方案)壓制封頭項目立項申請報告
- (2024)歡樂世界旅游開發(fā)項目可行性研究報告申請備案編制(一)
- 2023年天津市高考語文模擬試卷
- 江蘇省鹽城市建湖縣漢開書院學校2023-2024學年七年級上學期第二次月考道德與法治試題(原卷版)-A4
- 2023年乙烯冷箱產品項目融資計劃書
- 第23課《<孟子三章富貴不能淫》公開課一等獎創(chuàng)新教學設計 統(tǒng)編版語文八年級上冊
- 中華人民共和國職業(yè)分類大典是(專業(yè)職業(yè)分類明細)
- 第四屆“長城杯”網(wǎng)絡安全大賽(高校組)初賽備賽試題庫-上(單選題部分)
- 國開2024年秋季《形勢與政策》大作業(yè)答案
- 北師大版四年級上冊除法豎式計算題300道及答案
- 2024-2030年中國橡膠伸縮縫行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略分析報告
- 新疆和田地區(qū)2023-2024學年八年級上學期期末考試英語試題(含聽力)
- AQ 1097-2014 井工煤礦安全設施設計編制導則(正式版)
- 波形護欄安裝施工合同
- 七年級上冊歷史-七上歷史 期中復習【課件】
- 瑜伽合同范本
評論
0/150
提交評論