防火墙技术的研究
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防火墙技术的研究范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防火墙技术的研究范文第1篇
关键词:因特网;网络安全;计算机防火墙技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
计算机防火墙是一种获取安全性方法的形象说法,它由硬件设备和软件组合而成、在专用网络和公共网络之间、内部网络和外部网络之间的界面上构造一个保护屏障,使得不同的网络之间建立一个安全网关,以保护内部专门网络,使其免受非法用户的入侵[1]。
计算机防火墙的主要功能有:过滤掉不安全服务和非法用户[2];控制对特殊站点的访问;提供监视Internet安全和预警的方便端点。其功能主要体现在访问控制,内容控制,全面的日志;集中管理,自身的安全和可用性;流量控制,NAT,VPN等方面。
目前防火墙技术正在朝着智能化和分布化的方向发展,其中智能防火墙技术对数据的识别是通过利用记忆、概率、统计和决策的智能方法来进行的,以实现访问控制。智能防火墙采用新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制,可以很好的解决目前存在的网络安全问题。智能防火墙技术是计算机防火墙技术发展的必然趋势[3,4]。
1 计算机防火墙的分类及其原理
计算机防火墙根据工作机制的不同可分为包过滤防火墙、应用型防火墙、网络地址翻译及复合型防火墙。
1.1 包过滤防火墙
包过滤防火墙技术中预先设定有包过滤规则,包过滤防火墙工作在网络层,接收到的每个数据包都要同包过滤规则进行比较,然后决定该数据包是通过还是阻塞。
包过滤防火墙又分为无状态包过滤和有状态检查包过滤。无状态包过滤防火墙是最原始的防火墙,它是根据每个包头部的信息来决定是否要将包继续传输,从而增强安全性。其安全程度相对较低,它的内部网络很容易暴露,进而容易遭受攻击。在通信中,无法维持足够的信息来决定是否应该放弃这个包,因为任何一条不完善的过滤规则都会给网络黑客可乘之机。但是有状态检查包过滤其可以记住经过防火墙的所有通信状态,并依据其记录下来的状态信息数据包的允许与否。动态包过滤防火墙是目前最流行的防火墙技术。
1.2 应用型防火墙
是指服务器利用侦听网络内部客户的服务请求,然后将这些请求发到外部的网络中;当服务器从公共服务器处接收到响应后,其再将响应返回给原始的客户,其与原始的公共服务器所起的作用是一样的[3]。
应用级技术采用在OSI的最高层检查每一个IP包,进而获得安全策略。应用技术虽然在一定程度上保证了网络的安全,但是它对每一种服务都需要,且它工作在协议栈高层,执行效率明显降低,有时会成为网络的瓶颈。
1.3 网络地址翻译
网络地址翻译将专用网络中的ip地址转换成在因特网上使用的全球唯一的公共ip地址。尽管最初设计nat的目的是为了增加在专用网络中可使用的ip地址数,但是它有一个隐蔽的安全特性,如内部主机隐蔽等。这在一定程度上保证了网络安全。nat实际上是一个基本的,一个主机代表内部所有主机发出请求,并代表外部服务器对内部主机进行响应等。但nat工作在传输层,因此它还需要使用低层和高层服务来保证网络的安全。
1.4 复合型防火墙
出于更高安全性的要求,有些开发商常把包过滤的方法与应用的方法结合起来,开发出复合型的防火墙产品,这种复合型的防火墙用以下两种方式实现网络安全维护功能:(1)通过屏蔽主机防火墙体系结构,使分组过滤路由器或防火墙与互联网相连,同时在内部网络安装一个堡垒机,利用对过滤规则的设置,使堡垒机成为互联网上其他网络访问所能到达的唯一节点,确保内部网络不受未授权的外部用户的攻击。(2)通过屏蔽子网防火墙体系结构,将堡垒机安装在一个内部子网内,同时在这一子网的两端安装两个分组过滤路由器,使这一子网与互联网及内部网络分离,进而确保这一子网不受未授权的外部用户的攻击。在结构中,堡垒机和分组过滤路由器共同构成了整个屏蔽子网防火墙体系的安全基础。
2 常见网络攻击方式及网络安全策略
2.1 网络攻击方式
2.1.1 病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒阻止于网络之外,黑客欺骗用户下载某个程序,从而使恶意代码进入到计算机内网。应对策略:设置网络安全等级,对于未经安全检测的下载程序,严格阻止其任务执行[5]。
2.1.2 口令字
穷举与嗅探是口令字的两种攻击方式。穷举是通过外部网络的攻击对防火墙的口令字进行猜测。嗅探通过监测内部网络来获取主机给防火墙的口令字。应对策略:通过设计使主机和防火墙通过单独接口进行通信或是采用一次性口令等。
2.1.3 邮件
借助邮件进行的网络攻击方式日益明显,垃圾邮件的制造者通过复制方式,把一条消息变成几百几万份消息,并将其发送到很多人,当邮件被收到并打开时,恶意代码便进入到计算机系统。应对策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
2.1.4 IP地址
黑客通过利用与内部网络相似的IP地址,能够避开服务器的检测,从而进入到内部网进行攻击。应对策略:打开内核的rp_filter功能,把具有内部地址但是是来自网络外部的数据包全部丢弃;同时把IP地址和计算机的MAC绑定,拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问[5]。
2.2 网络安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保护计算机、服务器、打印机等硬件设备与通信链路不受到人为破坏与搭线攻击等。(2)验证用户身份与使用权限,防止越权操作。(3)为计算机系统提供良好的工作环境。(4)建立安全管理制度,防止发生非法进入计算机控制室以及偷窃破坏活动等[6]。
目前,物理安全的防护措施主要有:(1)传导发射进行防护。如:在信号线与电源线上加装滤波器,使导线与传输阻抗间的交叉耦合减到最小。(2)对辐射进行防护。主要采取电磁屏蔽措施与干扰措施,在计算机系统工作时,通过利用屏蔽装置或者干扰装置来产生一种噪声,该噪声辐射到空中,能够掩盖计算机系统的信息特征与工作频率。
2.2.2 访问控制策略
作为最重要的网络安全策略之一,访问控制是确保网络安全运行的技术策略,其主要任务是指保护网络资源不被非常访问和非法使用。防火墙技术就是网络安全访问控制策略在实践中主要的应用。
2.2.3 网络安全管理策略
为了保证网络安全,除了采用物理安全策略和访问控制策略之外,加强网络的安全管理,制订有关规章制度,对于确保网络安全、可靠地运行,能起到十分有效的作用。
3 结论
随着互联网网络技术的快速发展,网络安全方面的问题必将引起人们越来越多的重视。计算机防火墙技术是用来维护网络安全的一种重要措施和手段,它主要作用是:拒绝未经授权的用户访问相关数据,阻止未经授权的用户存储或下载敏感数据,同时也要确保合法用户访问网络资源不受影响。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。相信,随着新的计算机安全问题的出现和科学技术的进一步发展,计算机防火墙也将获得进一步的改进。
参考文献:
[1] Richard Tibbs, Edward Oakes. 防火墙与VPN原理与实践[M].清华大学出版社,2008.
[2]阎慧.防火墙原理与技术[M].机械工业出版社,2004.
[3]王艳.浅析计算机安全[J].电脑知识与技术,2010,5:1054-1055.
[4]栾江.计算机防火墙发展现状及应用前景[J].信息与电脑,2010,6:17.
[5]周立.计算机防火墙技术原理分析及应用展望[J].硅谷,2008,10:49-50.
防火墙技术的研究范文第2篇
关键词:防火墙 入侵检测 联动
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)05-0000-00
1 技术简介
(1)防火墙技术 防火墙是在内部网络与外部网络之间实施安全防范的系统,是一种访问控制机制。通常安装在被保护的内部网与互联网的连接点上,从互联网或从内部网上产生的活动都必须经过防火墙,如电子邮件、文件传输、远程登录或其他的特定活动等。它通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流,实现保护内部网络的目的。
(2)入侵检测系统 入侵检测系统是一个能够对网络或计算机系统的活动进行实时监控的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络管理员及时采取对策提供有价值的信息。
2 防火墙与入侵检测系统联动的原理
防火墙是遏制攻击的一种手段,但它存在一些明显的不足:一是防火墙保护的是网络边界安全,对网络内部主动发起的攻击行为无法阻止。二是防火墙是根据静态的策略进行访问检查,根据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的,无法根据情况的变化进行动态调整,对于隐藏于正常访问后的网络攻击却无能为力,因为防火墙不能正确识别这种攻击。三是正确配置防火墙访问规则比较困难。
联动本质上是安全产品之间一种信息互通的机制,其理论基础是:安全事件的意义不是局部的,将安全事件及时通告给相关的安全系统, 有助于从全局范围评估安全事件的威胁,并在适当的位置采取动作。只要在某个节点发生了安全事件,无论是一个简单系统捕捉到的原始事件,还是一些具有分析能力的系统“判断”出来的,它都可能需要将这个事件通过某种机制传递给相关的系统,因此“联动”是安全产品间实现互操作的一种表现。联动系统具有几种基本特性:一是有效性,针对具体的入侵行为,联动采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失;二是及时性,要求系统能够及时地采取有效响应措施,尽最大可能地缩短从入侵发现到响应执行的时间;三是合理性,响应措施的选择应该在技术可行的前提下,综合考虑法律、道德、制度、代价、资源约束等因素,采用合理可行的响应措施;四是安全性,联动系统的作用在于保护网络及主机免遭非法入侵,显然它自身的安全性是最基本的要求。
总之,防火墙与入侵检测系统进行联动就是为了实现动、静结合,防火墙提供静态防护,而入侵检测系统提供动态防护。因此防火墙和入侵检测系统的结合,构建一个动态的防御体系,将一切已知的可能的攻击行为进行阻断,给网络带来全面的防护。
3 防火墙与入侵检测系统联动在内网中的实现
(1)网络结构 防火墙和入侵检测系统在单位内网中的部署如图1 所示。
当防火墙和入侵检测系统实现联动后,若单位内网的用户区域有攻击行为发生时,入侵检测系统会检测到该攻击行为,马上通知防火墙,防火墙会阻断该攻击行为,以确保服务器区及整个网络的数据信息安全。
(2) 联动系统的功能模块 联动系统由入侵检测、联动控制和防火墙三大模块组成,总体框架如图2 所示。当数据流经过防火墙过滤后,进入内网,入侵检测系统将其捕获,然后经过解码、预处理,再交由检测引擎进行检测。检测引擎将当前数据与已初始化的规则链进行匹配,当检测到有匹配数据时,即检测到攻击行为,交给联动控制模块。联动控制模块判断是否需要联动,若需要,则启动防火墙接口组件改变防火墙过滤规则,进行实时阻断。
联动系统主要由如下功能模块组成:①IDS接口组件。它主要用于统一入侵检测系统报警格式。它负责将不同的报警格式翻译为联动系统所能理解的统一格式,使系统具有良好的扩展性。②联动控制模块。该模块是联动系统的核心,由分析组件、策略日志、策略响应组件和策略响应信息库组成。当IDS接口组件把转换为统一格式的入侵信息传递到分析组件后,该组件调用策略日志的入侵检测系统可信性数据,包括误报/漏报率等信息,根据这些信息生成可信性矩阵,判断是否需要联动。若需要,则提交给策略响应组件,此组件从策略响应信息库中选择具体响应策略并将其传给防火墙接口组件。在此过程中,首先制定一个初步的响应策略并执行实现联动。但是开始时的响应策略未必是最优响应,通过评估响应策略,并把响应策略的不同响应效果存储于响应策略信息库中,当系统遇到相同类型入侵时就可以调用具有最佳响应效果的策略并执行,使系统能够随着运行时间的增长而逐渐提高抗入侵能力,实现系统的自适应性。③防火墙接口组件。它主要负责接收策略响应组件发来的信息,生成新的防火墙规则,引起防火墙动作。其设计重点是正确修改防火墙规则集,防止防火墙规则集自身产生异常或隐患。防火墙技术的基础是包过滤技术,其依据就是一条条的防火墙规则,将通过防火墙的数据包与防火墙规则集中的规则逐条比较,遇到匹配规则就按规则中定义的动作处理,若没有匹配规则则按防火墙缺省策略处理。这就意味着配置防火墙规则时必须谨慎处理防火墙规则的顺序以及它们之间的关系,未经正确性检验的规则集中很可能含有无效规则甚至冲突规则,从而导致预期的安全目标不能实现。既然需要通过联动修改防火墙规则,防火墙接口就必须正确地修改防火墙规则,确保对防火墙的修改不会与其现有的策略产生冲突。目前防火墙接口组件主要着眼于解决接收入侵信息并将其翻译为防火墙可以理解的规则,然后发送给防火墙进行相应处理。
(3)联动在单位内网中的实施过程 防火墙与入侵检测系统之间的联动主要是通过开放接口来实现,即防火墙或者入侵检测系统开放一个接口供对方使用,双方按照固定的SSL协议进行通信,完成网络安全事件的传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
①防火墙的联动配置 根据单位内网的网络安全需求配置好了访问策略,对不同区域之间的访问进行了控制。防火墙根据这些定义的策略对网络的信息流进行过滤和控制,但对于隐藏于正常访问后的网内主动发起的攻击却无法识别,因此需要和入侵检测系统进行联动,通过入侵检测系统及时发现其策略之外的攻击行为,通知防火墙进行访问控制,以保证网内的信息安全。
防火墙联动的配置过程为:在防火墙管理器中选择“入侵防御”的“IDS联动”菜单,将弹出“IDS联动配置”对话框,在对话框里输入防火墙和入侵检测系统的IP地址后将自动生成一个联动密钥文件,然后将防火墙产生的密钥保存为.key文件,以便将该密钥导入到入侵检测系统中去。②入侵检测系统的联动配置 入侵检测系统由管理控制中心、网络引擎和显示中心组成。管理控制中心主要是进行用户、组件、多级、策略任务、系统更新、日志维护等方面的管理。网络引擎是由策略驱动的网络监听和分析系统,采用旁路侦听方式全面侦听网上信息流,进行实时分析,将分析结果与网络引擎上运行的策略集相匹配,执行报警、阻断、日志等功能,完成对控制中心指令的接收和响应工作。显示中心主要是进行入侵事件定位、入侵风险评估、流量监测等。入侵检测系统的联动配置过程为:在“组件管理”中选择“联动设置”,将弹出“联动信息设置”的对话框,在对话框中输动的防火墙设备名称、IP地址及端口号,然后将防火墙自动生成的密钥文件导入,与防火墙的联动配置完成。入侵检测系统时时对单位内网的各种事件进行着监测。侵检测系统和防火墙进行了联动后,当它检测到单位内网防火墙策略之外的攻击行为的时候,就会马上通知防火墙,防火墙立即会对该行为进行阻断,增强了网络的安全防御能力。
4 结语
综上所述,防火墙和入侵检测系统的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,防火墙侧重于控制,而入侵检测系统则侧重于主动发现入侵的信号。防火墙不能检测出攻击行为,对单位内网内部主动发起的攻击行为无法阻止,一些攻击会利用防火墙合法的通道进入网络。而入侵检测系统检测到攻击行为,如不能及时有效地阻断或者过滤,这种攻击行为仍将对单位内网内部安全造成危害。因此,防火墙和入侵检测系统之间十分合适建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足,相互提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,它能够极大地提高单位内网安全体系的防护能力。
参考文献
防火墙技术的研究范文第3篇
关键词:IPv6;分布式防火墙 ;Linux
引言
随着Internet的快速发展,网络安全问题是人们最为关注的问题,基于IPv4协议边界式防火墙存在着日益突出的问题,主要体现在IP地址空间缺乏和骨干路由器中路由表“爆炸”的等突出问题。边界式防火墙在保护企业内部网络的情况下,确实是一种有效的网络安全技术,而随着网络应用规模的日益扩大,它的缺陷也不断呈现出来,很难实现网络的安全性和网络性能的均衡性。为了弥补IPv4和传统边界式防火墙的缺陷性及网络安全性等问题,此文提出了基于Linux的IPv6分布式防火墙网络体系架构的设计与实现。IPv6作为下一代互联网的基础协议存在很多优势。IPv6解决了IPv4存在的地址空间缺乏和路由表“爆炸”等问题,并且在安全性、移动性以及QoS等方面有着强有力的支持,IPv6协议由于包头设计得更加合理,使得路由器在处理数据包时更加快捷。此外,IPv6将IPSec集成到了协议内部,使得IPSec不再单独存在等等。
1 分布式防火墙网络体系结构
1.1分布式防火墙技术
分布式防火墙分为安全策略管理服务器[Server]、客户端防火墙[Client]两部分. 安全策略管理服务器主要负责安全策略、用户、日志、审计等管理作用。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。客户端防火墙主要作用于各个服务器、工作站、个人计算机上,按照安全策略文件的内容,必须通过包过滤、特洛伊木马过滤和脚本过滤的三层过滤检测,保护计算机在正常情况下连接网络时不会受到黑客恶意的入侵与攻击,从而大大提高了网络安全性能。多台基于主机但集中管理与配置的防火墙组成了分布式防火墙。在分布式防火墙中,安全策略仍然被集中定义,但是在每一个单独的网络端点(如主机、路由器)上实施。
分布式防火墙包括安全策略语言、安全策略机制及应用、实施安全策略机制。安全策略的法则严格地规定了允许通过的通讯文件和禁止通过的通讯的文件,它可以在多种类型的情况下应用,还必须有权利委派和身份鉴别的功能。策略制定之后就可以至网络端点上去了。在传输过程中,策略系统必须保证策略法则的完整性、真实性。策略有多种形式,可以直接“推”到终端系统上,可以由终端按照需求截取,也可以提供给用户(以证书的形式)。策略实施机制系统在主机上,在处理进出的通讯之前,它需要查询本地策略才能做出允许或者禁止的决定。
1.2分布式防火墙体系架构
图1分布式防火墙体系架构
针对边界式防火墙的缺陷,提出了“分布式防火墙”(Distributed Firewalls)作为新的防火墙体系结构,因为它主要负责网络边界、每个子网和网络内部每一个节点之间的安全防护,所以分布式防火墙为一个完整的体系,而不仅仅是单一的产品。依据它所需完成的功能,包括三部分:网络防火墙(Network Firewall)、主机防火墙(Host Firewall)、中心管理(Central Managerment),如图1所示。
(1)网络防火墙(Network Firewall)
网络防火墙一般是纯软件方式,有时候需要硬件的支持。它作用于外部网与内部网之间,及内部网下各个小子网之间的防护,这也是与传统边界式防火墙不同之处,这样以来整个网络的安全防护体系就会更加全面、可靠。
网络防火墙包括入侵检测模块、防火墙模块和管理模块。入侵检测模块所用的是snort_inLine,防火墙模块在Linux环境下所用的是基于Netfilter框架的Iptables,为了使网络防火墙更好的安全防护整个网络,防火墙模块和入侵检测模块内嵌式互动,防火墙实时截取网络数据包,假如是信赖的网段或主机的数据包,就直接通过网络防火墙,减少入侵检测系统的匹配次数;如果不是,数据包通过内核态至用户态,入侵检测系统接收到数据包再检测,如果发现入侵,就通知防火墙截断,如果没有发现入侵,就依照防火墙配置的法则处理。管理模块包含数据发送程序(向管理中心发送防火墙和入侵检测系统日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
(2)主机防火墙(Host Firewall)
与网络防火墙的设计一样,主要对网络中的服务器和桌面机进行防护,这是在边界式防火墙安全体系方面的改进。它主要作用于同一内部子网之间的工作站与服务器之间,来确保内部网络服务器的安全,这样就安全防护应用层了,比起网络层来更加全面。
主机防火墙由防火墙模块、主机管理模块组成,防火墙模块在Linux环境下用的是基于Netfilter框架的Iptables,按照管理中心的安全策略过滤数据包;主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
(3)管理中心(Managerment Central)
它作为服务器软件,主要负责总体安全策略的策划、管理、分发及日志的汇总,还有远程管理、系统设置、系统安全等其它辅助功能。它也是在边界式防火墙功能的一个完善。它具有智能管理的功能,提高了防火墙的安全防护灵活性、管理性。网络防火墙和主机防火墙把日志发送给日志分析系统之后保存到日志文件之中,网络管理维护中心发放法则给网络防火墙和主机防火墙,管理中心与主机防火墙和边界防火墙之间的通信必须通过身份验证之后运用openssH数据安全通道加密通讯,这样管理中心与主机防火墙和网络防火墙的通信才会更加安全。此外管理中心还有用户图形界面(GUI)功能,负责管理网络中的所有端点、制定和分发安全策略,而且要分析从主机防火墙、网络防火墙接收的日志,依据分析的结果再修改安全策略。
2主机防火墙的设 计与实现
Linux广泛地应用到世界各地服务器网络当中,由于它是开源的。Linux版本2.4内核中已采用了Netfilter的防火墙框架,而且内核中还支持IPv6协议栈。所以此文采用Linux作为目标环境下的系统的开发和运行平台。
2.1主机管理模块
主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用:首先要跟自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据再发送,直到文件完成。数据接受程序的作用:监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
2.2主机防火墙模块
Linux版本2.4内核中集成了Netfilter框架,基于Linux平台下,该框架具有新的网络安全功能:网络数据包过滤、状态保持、NAT及抗攻击等。Iptables作为Netfilter框架在用户空间的配置工具的任务:负责从用户命令行界面接收命令之后转化成内核认识的结构体,调用相应的内核操作函数,将法则插入到内核中去。运用Iptables,一定在编译Linux内核时(版本一定比2.4大)选择跟Netfilter相关的内核模块。Netfilter作为内核空间的实现模块,Iptables作为用户空间的控制命令解析器,只有它们合起来才能完成整体的工作。因此首先必须对内核进行裁剪和编译,选择与Netfilter相关的项目,(位于“Networking options”子项下)。
Netfilter是由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。Netfilter支持IPv4、IPv6与IPx等协议,具有协议对应的钩子函数。这些钩子函数在数据包通过协议栈的几个关键点时被调用,协议栈把数据包与钩子标号作为参数传递给Netfilter钩子;可以编写内核模块来注册一个或多个钩子,以挂钩自己的处理函数,这样当数据包被传递给某个钩子时,内核就会依次调用挂钩在这个钩子上的每一个处理函数,这些处理函数就能对数据包进行各种处理(修改、丢弃或传递给用户进程等);接收到的数据包,用户进程也可以对它进行各种处理。一个IPV6数据包在通过Netfilter防火墙框架时,它将经过如图2所示的流程。
图2 IPv6网络数据包处理流程
每一个IPv6数据包经过Netfilter框架时,必须通过5个钩子函数处理:
(1)HOOK1(NF_IP6_PRE_ROUTING),数据包在抵达路由之前经过这个钩子。目前,在这个钩子上只对数据包作包头检测处理,一般应用于防止拒绝服务攻击和NAT;(2)HOOK2(NF_IP6_LOCAL_IN),目的地为本地主机的数据包经过这个钩子。防火墙一般建立在这个钩子上;(3)HOOK3(NF_IP6_FORWARD),目的地非本地主机的数据包经过这个钩子;(4)HOOK4(NF_IP6_POST_ROUTING),数据包在离开本地主机之前经过这个钩子,包括源地址为本地主机和非本地主机的;(5)HOOK5(NF_IP6_LOCAL_OUT),本地主机发出的数据包经过这个钩子。
IP网络数据包处理流程:数据报从左边进入系统,进行IPv6校验以后,数据报经过第一个钩子NF_IP_PRE_ROUTING注册函数进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子NF_IP6_LOCAL_IN注册函数处理以后然后传递给上层协议;若该数据包应该被转发则它被NF_IP6_FORWARD注册函数处理;经过转发的数据报经过最后一个钩子NF_IP6_POST_ROUTING注册函数处理以后,再传输到网络上。
本地产生的数据经过钩子函数NF_IP6_LOCAL_OUT注册函数处理以后,进行路由选择处理,然后经过NF_IP6_POST_ROUTI NG注册函数处理以后发送到网络上。
3 结论
针对本文设计的Linux环境下IPv6分布式防火墙的测试中,用两台IPv6主机对防火墙保护下的内网主机进行访问,来测试防火墙。外网主机的环境一台为WINXP,另一台是Linux。通过对外网主机访问记录的验证来检测防火墙的性能。测试的实验结果表明:系统都能按照规则对数据包进行处理,实现了IPv6分布式防火墙的功能。随着网络的不断发展,传统的边界式防火墙的弊端越来越暴露出来了,Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.4中已经采用了Netfilter的防火墙框架,而且内核中已支持IPv6协议栈,而下一代通信协议IPv6是未来网络发展的趋势。本文在Linux环境下设计并实现了一个分布式防火墙具有重大意义。
参考文献:
[1]范振岐.基于Linux的IPv6复合防火墙的设计[J].网络安全技术与使用,2006,2:35-37.
[2]蒋雄伟.Linux下的分布式防火墙设计与实现:[硕士学位论文].南京:南京理工大学.2006.
[3]张科.IPv6防火墙状态检测技术的研究与实现:[硕士学位论文].重庆:重庆大学.2007.
[4]杨刚,陈蜀宇.Linux中基于Nctfilter/IPtables的防火墙研究[J].计算机工程与设计,2007,(28):4124-4132.
[5]高鸿峰,王一波,傅光轩.Netfilter框架下IPv6防火墙的设计与实现[J].电子科技大学学报,2007,36(6):1427-1429.
防火墙技术的研究范文第4篇
关键词: 防火墙 TCP/IP 网络协议 校园网
1.引言
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。IT术语中的防火墙是指隔离在本地网络与外界网络之间的一道防御统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不妨碍人们对风险区域的访问。
2. Windows网络协议的实现及操作系统的总体架构
2.1 Windows网络协议的实现
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它定义了通信时信息必须采用的格式和这些格式的意义。大多数网络都采用分层的体系结构,每一层都建立在它的下层之上,为它的上一层提供一定的服务,而把如何实现这一服务的细节对上一层加以屏蔽。
2.2 Windows操作系统的总体架构
Microsoft Windows系列操作系统是在微软给IBM机器设计MS-DOS的基础上设计的图形操作系统。现在的Windows系统,如Windows 2000、Windows XP皆是建立于现代的Windows NT核心。NT核心是由OS/2和OpenVMS等系统上借用来的。
3. 防火墙发展研究
3.1防火墙体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。
3.2被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。
4.防火墙技术在校园网中的实现
这里,假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界。它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,可采用以下存取控制策略。
4.1对进入CERNET主干网的存取控制
校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器:
Interface E0
Decription campusNet
Ipadd 162.105.17.1
access_list group 20 out !
access_list 20 permit ip 162.105.17.0 0.0.225
4.2对网络中心资源主机的访问控制
网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别保护,可对网络中心所在子网禁止DNS,Email,WWW,FTP以外的一切服务。
4.3对校外非法网址的访问
可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
5.结语
本文阐述了防火墙的体系结构及在校园网络中的应用,并且介绍了网络协议的实现与操作系统的总体架构。
参考文献:
[1]黎连业, 张维 编著.防火墙及其应用技术[M]. 北京:清华大学出版社,2004.7,第1版.
[2]朱雁辉 ,编著.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002.7,第一版.
[3]Keith E.Strassberg,等著.李昂,等译.防火墙技术大全[M]. 北京:机械工业出版社,2003,3,第一版.
[4]Carasik-Henmi,A.等著.李华飚 ,等译.Tanenbaum[M]. 北京:中国水利水电出版社,2005.5,第一版.
防火墙技术的研究范文第5篇
1.1监测型
监测型防火墙在网络安全保护中,表现出主动特性,主动阻断网络攻击。此类防火墙的能力比较高,其在安全防护的过程中体现探测服务,主要探测网络节点。节点处的攻击较为明显,有效探测到网络内部、外部的所有攻击,以免攻击者恶意篡改信息,攻击内网。监测型防火墙在网络安全中的应用效益较为明显,成为防火墙的发展趋势,提升网络安全的技术能力,但是由于监测型防火墙的成本高,促使其在网络安全中的发展受到挑战,还需借助技术能力提升自身地位。
1.2型
型属于包过滤的演变,包过滤应用在网络层,而型则服务于应用层,完成计算机与服务器的过程保护。型防火墙通过提供服务器,保护网络安全,站在计算机的角度出发,型防火墙相当于真实服务器,对于服务器而言,型防火墙则扮演计算机的角色。型防火墙截取中间的传输信息,形成中转站,通过与中转的方式,集中处理恶意攻击,切断攻击者可以利用的通道,由此外部攻击难以进入内网环境。型防火墙安全保护的能力较高,有效防止网络攻击。
2.基于防火墙的网络安全技术应用
结合防火墙的类型与技术表现,分析其在网络安全中的实际应用,体现基于防火墙网络安全技术的优势。防火墙在网络安全中的应用主要以内外和外网为主,做如下分析:
2.1防火墙技术在内网中的应用
防火墙在内网中的位置较为特定,基本安置在Web入口处,保护内网的运行环境。内网系统通过防火墙能够明确所有的权限规划,规范内网用户的访问路径,促使内网用户只能在可控制的状态下,实现运行访问,避免出现路径混淆,造成系统漏洞。防火墙在内网中的应用主要表现在两方面,如:(1)认证应用,内网中的多项行为具有远程特性,此类网络行为必须在认证的约束下,才能实现准确连接,以免出现错接失误,导致内网系统面临瘫痪威胁;(2)防火墙准确记录内网的访问请求,规避来自内网自身的网络攻击,防火墙记录请求后生成安全策略,实现集中管控,由此内网计算机不需要实行单独策略,在公共策略服务下,即可实现安全保护。
2.2防火墙技术在外网中的应用
防火墙在外网中的应用体现在防范方面,防火墙根据外网的运行情况,制定防护策略,外网只有在防火墙授权的状态下,才可进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。近几年,随着网络化的发展,外网与内网连接并不局限于一条路径,所以在所有的连接路径上都需实行防火墙保护,实时监控外网活动。
3.防火墙技术在网络安全的优化措施
防火墙技术面对日益复杂的网络发展,表现出低效状态,出现部分漏洞,影响防火墙安全保护的能力。因此,为保障网络安全技术的运行水平,结合防火墙的运行与发展,提出科学的优化途径,发挥防火墙网络保护的优势。针对网络安全中的防火墙技术,提出以下三点优化措施:
3.1控制拥有成本
防火墙能力可以通过成本衡量,拥有成本成为防火墙安全保护能力的评价标准。控制防火墙的拥有成本,避免其超过网络威胁的损失成本,由此即可体现防火墙的防护效益。如果防火墙的成本低于损失成本,表明该防火墙未能发挥有效的防护能力,制约了网络安全技术的发展。
3.2强化防火墙自身安全
防火墙自身的安全级别非常明显,由于其所处的网络环境不同,促使其在安全保护方面受到影响。为加强防火墙的安全能力,规范配置设计,深入研究防火墙的运行实质,手动更改防护参数,排除防火墙自带的漏洞。防火墙经过全面测试后才可投入网络市场,但是因为防火墙的种类较多,所以其自身仍旧存在风险项目。强化防火墙的自身安全,才可提升网络安全技术的防护性能。
3.3构建防火墙平台
防火墙平台能够体现综合防护技术,确保网络防护的安全、稳定。通过管理手段构建防火墙平台,以此来保障网络安全技术的能力,发挥防火墙预防与控制的作用。防火墙管理在平台构建中占据重要地位,直接影响防火墙平台的效益,有利于强化平台防范水平。由此可见:防火墙平台在网络安全技术中具有一定影响力,保障防火墙的能力,促使防火墙处于优质的状态,安全保护网络运行。
4.结束语
