课程作业课程名称网络安全与病毒防护专业计算机应用技术完成日期2014/11/18防火墙技术在网络安全中的应用1.防火墙的概念防火墙是一种形象的说法,其实它是一种隔离技术,由计算机硬件和软件组成,用于增强内部网络之间的访问控制。
它制定一系列的规则,准许或拒绝不同类型的通信。
防火墙系统决定了哪些内部服务可以被外界访问,以及内部人员可以访问那些外部服务等。
设立防火墙后,所有来自和去向外界的信息都必须经过防火墙,接受防火墙的检查。
2.防火墙的功能它的功能有两个,即:阻止和允许。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
3. 防火墙的分类如果按照防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。
分布式防火墙又包括主机防火墙、网络防火墙。
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及软硬兼施的防火墙。
第一种:软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS (操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。
很多防火墙还可以进一步扩展端口数目。
第三种:软硬兼施的防火墙4.防火墙的体系结构1、屏蔽路由器(ScreeningRouter)? 屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。
屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。
路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。
许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。
屏蔽路由器的缺点是一旦被攻隐后很难发现,而且不能识别不同的用户。
2、双穴主机网关(DualHomedGateway)? 双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。
两块网卡各自与受保护网和外部网相连。
堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。
但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。
3、被屏蔽主机网关(ScreenedGatewy) 屏蔽主机网关易于实现也最为安全。
一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。
危险带限制在堡垒主机和屏蔽路由器。
网关的基本控制策略由安装在上面的软件决定。
如果攻击者没法登录到它上面,内网中的其余主机就会受到很大威胁。
这与双穴主机网关受攻击时的情形差不多。
4、被屏蔽子网(ScreenedSubnet) 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个DNS,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。
有的屏蔽子网中还设有一堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。
这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。
但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。
在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。
5.防火墙采用的技术有如下几种:(1)数据包过滤技术是在网络层(IP层)中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑检查数据流中每个数据包后,再根据数据包的源地址、目的地址所用的TCP/UDP端口与TCP链路状态等因素来确定是否允许数据包通过。
(2)应用网关技术是建立在应用层上的协议过滤,它针对特别的网络应用服务协议——数据过滤协议,能够对数据包分析并形成相关报告,对某些易于登录和控制所有输出输入的通迅环境给予严格的控制,以防止有价值的程序和数据被窃取。
(3)代理服务技术作用在应用层上,是由一个高层的应用网关作为代理服务器来接受外来的应用连接请求,在进行安全检查后再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务oj。
同样,内部网络到外部的服务连接也可以受到监控oj。
应用网关的代理服务实体将对所有通过它的连接作出日志记录,以便对安全漏洞进行检查并收集相关的信息oj。
使用应用网关的高层代理服务实体有以下优点:日志记录,便于网络管理;隐蔽信息,内部受保护的主机名等信息不为外部所知;可以由应用网关代理有关RPC服务,进行安全控制。
6.防火墙在实际中的应用( 一)硬件防火墙的设置下面以思科PIX 501型防火墙为例, 设置如下:要设置内部接口的IP地址, 使用如下命令:PIX 1( config)# ip address inside 10. 1. 1. 1 55. 0. 0. 0PIX 1( config)#现在, 设置外部接口的IP地址:PIX1( config)# ip address outside 1. 1. 1. 1 55. 55. 55. 0PIX 1( config)#下一步, 启动内部和外部接口。
确认每一个接口的以太网电缆线连接到一台交换机。
注意, ethernet0接口是外部接口, 它在PIX 501防火墙中只是一个10base- T接口。
ethernet1接口是内部接口, 是一个100Base- T 接口。
下面是启动这些接口的方法:PIX 1( config)# interface ethernet0 10basetPIX 1( config)# interface ethernet1 100 fu llPIX 1( config)#最后设置一个默认的路由, 这样, 发送到PIX 防火墙的所有的通讯都会流向下一个上行路由器( 我们被分配的IP地址是10. 76. 12 . 254) : PIX 1( config)# route outs ide 0 0 10. 76. 12 . 254PIX 1( config)#当然, PIX 防火墙也支持动态路由协议(如RIP和协议) 。
现在, 我们接着介绍一些更高级的设置。
网络地址解析由于我们有IP地址连接, 我们需要使用网络地址解析让内部用户连接到外部网络。
我们将使用一种称作/ PAT0或者/ NA T Overload0的网络地址解析。
这样, 所有内部设备都可以共享一个公共的IP 地址( PIX 防火墙的外部IP地址) 。
要做到这一点, 请输入这些命令:PIX1( config)# nat ( inside) 1 10. 0. 0. 0 55. 0. 0. 0PIX1( config)# global ( outside) 1 10. 1. 1.G lobal 10. 1. 1. w ill be Port AddressTranslatedPIX1( config)#使用这些命令之后, 全部内部客户机都可以连接到公共网络的设备和共享IP地址10. 1. 1.2。
然而, 客户机到目前为止还没有任何规则允许他们这样做。
(二) 软件防火墙的设置软件防火墙的设置可以以天网、诺顿防火墙为例来设置。
7总结:随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。
为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。
目前,防火墙技术还在不断地发展,值得研究的问题还很多,我们需要考虑如何对防火墙产品进行危险评估,如何对网络中传输的数据进行加密, 以及防火墙对网络性能的影响等。
作为一种被动式防护手段, 网络的安全问题决不可能只靠防火墙来完成。
参考文献:【1】防火墙技术在网络安全中的实际应用_杜淑颖【2】防火墙技术在网络安全中的应用_简雄【3】防火墙技术在网络安全中的应用_王彬。