第一章 绪论
1.1 概述
由1946年2月14日世界上第一台ENIAC(埃尼阿克)的诞生,到现在计算机科学与技术日新月异迅猛发展的21世纪信息时代,计算机经历了无数次的改革换代。随着计算机网络技术的如飞猛进,越来越多计算机需要连接到internet,在互联网上进行各种各样的网络活动,而正是因为这些活动也同时促进了网络安全、网络侵权等犯罪活动和行为的出现,并且日益猖獗。非法浸入他人计算机系统、破坏计算机系统、窃取机密、非法盗取财物、侵犯用户权利等现象越发频繁。假如你的网络连入了互联网而没有做任何的网络安全防范措施,那么你的网络很有可能会立即受到网络黑客的不法入侵和攻击,最后甚至导致你的计算机系统崩溃。网络黑客攻击的目标不仅锁定在个人计算机上,而且还有可能入侵公司企业的网络,盗取商业机密等具有重大价值的信息,也是黑客们所感兴趣的。
在互联网攻击数量直线上升的情况下,网络安全的问题已经日益凸显地摆在各类用户的面前,原本不重视网络安全的用户开始将网络安全问题摆在首要解决的日程表上,并采取多种方法维护自己计算机网络的安全,从而免遭网络黑客、各种不病毒和木马的侵害。保护计算机网络安全现已成为计算机用户必须去考虑并且解决的问题。
1.2 防火墙的出现
防火墙(firewall)的出现为用户解决网络安全问题作出了巨大贡献。对于保护网络安全,防火墙是最基础的设备,它的最基础的设备,它的主要功能在于把那些不受欢迎的访问、信息或者数据包等隔离在特定的网络之外,是一种经济实用的网络边界防护设备。防火墙通常被放置与内部网络与外部网络的连接处,通过执行特定的访问规则和安全策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关,防火墙对这些数据以及访问需求进行分析、处理,并根据已设置的安全规则来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时,由于防火墙系统本身具备较高的系统安全级别,可以防止非法用户通过控制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用,迅速的发展普及起来,成为了网络黑客和各种病毒、木马和恶意插件的克星。
1.3 防火墙系统的解决方案
防火墙就如一道墙壁,把内部网络(也称私人网络)和外部网络(也称公共网络)隔离开。起到区域网络不同安全区域的防御性设备的作用,例如:互联网络(internet)与企业内部网络(intranet)之间,如图1-1所示。
图1-1内部网络和外部网络
根据已经设置好的安全规则,决定是允许(allow)或者拒绝(deny)内部网络和外部网络的连接,如图1-2所示。
图1-2内部网络与外部网络的连接
第二章 防火墙的介绍
2.1 什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2.2 防火墙的原理
?随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。???
2.3 防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
??? 第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
??? 第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
2.4 防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
2.5 防火墙的特点
一般防火墙具备以下特点:
1、控制对特殊站点的访问,广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等。
2、提供监视Internet安全和预警的方便端点,对私有数据的加密支持,保证通过Internet进行的虚拟私人网络和商务活动不受损坏。
3、客户端认证只允许指定的用户访问内部网络或选择服务,过滤掉不安全服务和非法用户。
4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它令数据包像是来自网络内部。防火墙能监视这样的数据包并扔掉它们。
5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制另一平台的监视模块。
6、邮件保护:保护网络免受对电子邮件服务的攻击。
第三章 防火墙基础和分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙。
包过滤防火墙经历了两代:
3.1 静态包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
3.2 动态包过滤防火墙
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。
?代理防火墙也经历了两代:
3.3 代理(应用层网关)防火墙
这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
3.4 自适应代理防火墙
自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。
我们把两种防火墙的优缺点的对比用下列图表的形式表示如下:
? 优点 缺点 ?
包过滤防火墙 价格较低性能开销小,处理速度较快 定义复杂,容易出现速度较慢,不太适用于高速网之间的应用
? ?
?
代理防火墙 内置了专门为提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理 不能理解特定服务的上下文环境,相应控制只能在高层由代理服务和应用层网关来完成
第四章 防火墙的部署、使用配置及测试标准
4.1 防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
4.2 防火墙的使用配置
4.2.1防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
4.2.2防火墙配置方式
Dual-homed方式、Screened-host方式和Screened-subnet方式。
1、Dual-homed方式最简单。 Dual-homed Gateway放置在两个网络之间,又称为Bastionhost,成本较低,但是没有自我防卫能力,往往受“黑客”攻击,一旦被攻破,整个网络也就暴露了。
2、Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将信息先送往Bastionhost,并只接受来自Bastionhost的数据作为出去的数据。该结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
3、Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本很昂贵。
4.2.3防火墙设备的设置步骤
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
4.3防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.3.1 规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
4.3.2? 防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
4.3.3? 主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
4.3.4? 自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
?? 高级:预设的防火墙安全等级,用户可以上网,收发邮件;
?? 中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, FTP、Telnet等;
?? 低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;
?? 自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。
4.3.5?? 其他功能方面
?这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
4.3.6?? 资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
4.3.7?? 软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
4.3.8?? 软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章 软件防火墙的使用心得及网络安全防范措施
5.1 软件防火墙使用心得
对于日益严重的网络安全问题,防火墙几乎成为所有企业网络和个人用户不可或缺的安全设备。选购一款适合企业或者用户使用的防火墙是最先需要考虑的问题,用户需要对防火墙的功能、特点以及价格等方面进行衡量和对比,从而选择一款性价比可以满足自己的产品。而之后如果对防火墙进行正确配置和操作都有所掌握,虽然不可避免地受到过恶意插件和病毒的攻击,但是当计算机连接到internet的时候,基本能够确保计算机的安全性,发现病毒木马等攻击时,能够及时的发现并把病毒和木马清除。对此本人总结了使用防火墙时需要注意的事项和心得:
第一:防火墙就像计算机的防护盾。如果没有能力购买硬件防火墙的话,那么也必须为自己配置一款适合的软件防火墙来保护你的计算机和系统安全,防火墙的作用就如同守护网络安全的坚实的一个防护盾。
第二:防火墙不是越多越好,一般不可安装两个以上的软件防火墙。本人曾经试过在计算机上同时安装两个防火墙,结果导致软件冲突,或者出现电脑蓝屏等现象,更严重的可能导致系统的崩溃,最后不得不重装系统才能解决。
第三:了解防火墙占用计算机资源的情况。选用一款防火墙之前,要对防火墙的性能及安装环境先有大致的了解,判断自己的计算机配置是否能够负担起防火墙的资源消耗,主要可以从计算机的CPU、内存、硬件方面进行判断考虑。建议安装节省系统资源的软件防火墙。例如瑞星防火墙一般比较占用系统资源,安装之后开机速度会有所拖慢,占用CPU使用率也是比较高的。
第四:选择高效率的软件防火墙十分重要。曾经受到恶意的病毒攻击,此时通过系统的数据包很多,防火墙处理速度不够快,从而严重影响了系统的效率,严重时会出现死机。当遇到这样的情况,用户即可考虑使用信的软件防火墙来保护自己的计算机系统。
第五:防火墙的易用性很重要。有一些防火墙虽然性能较其他产品好,但是对于一般用户来说,配置及操作过于复杂,在设置过程中也容易出错,导致问题的出现。因此,建议用户选用使用简单方便的防火墙产品。
第六:安装杀毒软件配合防火墙。防火墙并不是万能的,从字义上面理解防火墙就如同一道墙,它主要的功能是阻止外部网络数据包等信息的通过,但是防火墙并不能保证把所有不安全的信息都进行拦截,当不安全的信息进入内部网络时,有些防火墙将不再发挥作用,此时就需要安装一款杀毒软件配合防火墙的工作,将病毒木马等非法数据包清除。
使用防火墙的时候除了上面提到一些需要注意到的地方,还有其他未碰到的情况和问题,这些都需要借助以后对防火墙的使用经验,不断的进行总结,才能更好的使用防火墙来保护自己的计算机网络安全。而在使用计算机连接internet时,本人也凭借以往的经历,总结了一些网络安全的防范方法。
5.2网络安全防范措施
除了正确使用防火墙用来抵御网络非合法信息入侵破坏我们计算机系统,在我们日常使用计算机连接internet的时候,采取另一些网络安全防范措施,并养成良好的网络使用习惯,这些都有助于保障我们计算机网络的安全性。
第一:个人防火墙不可缺少。本论文主要的目的是研究防火墙方面的技术。所以对于网络安全的防范措施中必不可少的就是安装一款防火墙软件。当前的杀毒软件公司或厂商都会提供个人版计算机防病毒软件,防病毒软件中一般都含有一款相对应的个人防火墙,所以可以从正规的网站下载防病毒软件或者直接在商店购买安装光盘,之后之后运行个人防火墙安装,需要重点注意的是防火墙在安装后一定要根据需求进行详细配置,若本人不熟悉配置操作的话可以咨询商家或者请专业人士帮助完成防火墙的配置。只有合理地设置防火墙才能防范大部分的病毒蠕虫等的入侵行为。
第二:杀毒软件不可或缺。现代网络上的病毒木马等的高频率传播和对计算机的入侵,对全世界的计算机系统都造成了巨大的危害和损失。经常上互联网的人群中,基本没有用户可以完全避免这些病毒木马的入侵和破坏。对于一般的计算机用户而言,配置一台计算机时首先要做的就是安装一套适合系统使用的杀毒软件,例如个人版的卡巴斯基杀毒软件套装、瑞星杀毒软件2009最新版本、norton杀毒软件、金山毒霸等杀毒软件。
第三:网络密码的设置应尽可能分类和复杂。网上需要设置密码的地方很多,如网上银行、论坛账户、E-mail、聊天室以及一些网站的会员等。计算机用户应尽可能使用不同的帐号和密码,从而避免因同一个帐号或密码泄漏导致所有的个人信息资料外泄。另外,对于一些重要的密码(如网上银行、淘宝购物的密码)一定要单独进行设置,尽量不要与其他已经注册过的密码相同。
第四:在设置密码时还应尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄漏的字符作为密码,最好采用字符与数字混合的密码。特别注意,不要因贪图便利在拨号连接的时候“保存密码”选项。
第五:尽量不下载不可信任的文件及软件,不打开不明来历的邮件及附件。几乎每一个上网的人都在internet上面下载过共享的文件或者软件,在给人们带来方便和快乐的同时,有一些病毒和木马正附载于这些文件之中。当你下载时也就把病毒木马一并下载进入了计算机。所以我们应选择信誉较好的下载网站,最好将下载的软件及程序等集中放在非引导分区的某个目录,在使用前再用杀毒软件查杀病毒,确保病毒不感染我们的系统。或者可以安装一个实时监控病毒的软件,实时监控网上传递的文件和信息等。尽量不打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行,有些病毒就是通过电子邮件来传播的(如熊猫烧香、梅丽莎、爱虫等),这些病毒邮件通常都会以特别的标题来吸引你去打开其附件,从而使你电脑中毒。
第六:警惕“网络钓鱼”。网上一些黑客利用“网络钓鱼”手法进行诈骗活动,如建立假冒网站或发送含有欺诈伪造信息的电子邮件,盗取网上银行、网上购物或者其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕,防止上当受骗。目前“网络钓鱼”的主要手法有一下一种方式:(1)发送email,以虚假欺诈信息引诱用户上当受骗;(2)建立假冒网上银行、网上证券和网上购物网站,骗取用户帐号密码实施盗窃活动;(3)利用虚假的电子商务进行诈骗。
第七:避免使用共享文件夹功能。有些人以为在内部网络上共享的文件都是安全的,其实在共享文件的同时就会有软件漏洞呈现在互联网的用户利用和攻击。因此共享文件应该设置好密码,非到必要是不共享文件夹。如果确实需要共享文件夹,一定要将文件夹的属性设置为“只读”。通常共享设定“访问类型”不要选择“完全”选项,因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的,其他机器不能写入;而Windows2000的共享默认是“可写”的,其他机器可以删除和写入文件,对用户安全构成威胁。另外也不要将整个硬盘设定为共享,如果一个访问者将系统文件删除,可能会导致计算机系统全面崩溃,之后无法启动计算机。
第八:不随意浏览黑客网站、色情网站。很多病毒、木马程序、恶意插件和间谍软件都来自于黑客网络和色情网站,如果你浏览了这些网站,而你的个人计算机恰巧又没有缜密的防范措施,那么电脑遭到病毒木马的入侵可能性就极大,之后便可能出现严重的后果。
第九:定期备份重要数据,对系统进行补丁升级。数据备份非常重要,无论你的计算机防范措施做得多么严密,也无法完全防止病毒和木马程序入侵的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,但是很多重要的数据只能靠你日常的备份。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患。初次之外,要经常对系统进行补丁升级,很多时候由于没有及时进行补丁的升级都会让病毒木马程序有机可乘,致使计算机系统处理速度严重变慢,更可能使系统崩溃。
第六章 防火墙的发展历程及趋势
6.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
6.1.1第一代防火墙产品的特点:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
6.1.2第一代防火墙产品的不足之处
具体表现为:
1) 路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
2) 路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
3) 路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
6.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
第二代防火墙产品的缺点
1) 无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,
2) 配置和维护过程复杂、费时;
3) 对用户的技术要求高;
4) 全软件实现,使用中出现差错的情况很多。
6.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。
6.3.1作系统上的防火墙的特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同,但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
6.3.2操作系统上的防火墙的缺点
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
6.4. 第四代防火墙
6.4.1 第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能:
1、双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
2、透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
3、灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4、多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
5、网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
6、Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
7、安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
8、用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
9、用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
10、审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
6.4.2第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
1、抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
2、抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
3、抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
4、抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,Internet Scanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
5、抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
6.5防火墙的发展趋势
6.5.1优良的性能
新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边,但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。
6.5.2 可扩展的结构和功能
对于一个好的防火墙系统而言,它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它的基本性能之外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。
未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。
6.5.3 简化的安装与管理
防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙,但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。
6.5.4主动过滤
防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如,许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天,许多防火墙都包括对过滤产品的支持,并可以与第三方过滤服务连接,这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能,允许非工作时间的冲浪和登录,并提供冲浪活动的报告。
6.5.5 防病毒与防黑客
尽管防火墙在防止不良分子进入上发挥了很好的作用,但TCP/IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中,攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃,使Internet无法供企业使用。防火墙市场已经对此做出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击,但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击,这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务,这样没有数据流可以进入。
结束
随着lnternet在我过的迅速的发展,网络安全的问题越来越得到重视。防火墙的技术也引起了各方面的广泛关注。我们国家除了自行开展了对防火墙的研究,使得更快网络方面的信息,防火墙能保护网络安全,但并不是绝对安全的。防火墙还处于发展阶段,仍须许多问题解决。
从正式开始搞毕业设计通过书本,网络,讨论等多方面的学习收集整理而成的这份方案。通过本次设计我们比较系统掌握了3年所学的网络知识,并能有效分析、解决实际问题,提出相对应的网络管理;病毒防范措施。但是由于时间有限,在时间的过程中还有很多不足的地方,在以后的工作学习中继续努力改进。
经过这几个月的设计,我深刻体会到要做好一个完整的事情,需要有系统的思维方式和方法,对待一个新的问题,要耐心、要善于运用已有的资源来充实自己。
|
京ICP备14024464 公安备案号 京1081234