网络安全--防火墙.pdf
第5 2 卷第4 期 20 00 年1 1 月 有色金属 N N F E R R O U SM E T A L S V 0 1 .5 2 。N o 4 N o v e m b e r20 00 网络安全防火墙 赫思佳 北方交通大学,北京 1 0 0 0 4 4 摘要随着更多的计算机和大型网络与因特网的连接,避免网络黑客的入侵已变得日益艰难。而使用防火墙则是一种 流行的与网络连接的安全方法。防火墙是一种获取安全性的方法。它在一个受信任的网络 如组织内部网络 和一个不受信任 的网络 如因特网 之间设立一个隔离点,并在这两个网络之间提供某一级别的控制来控制两个网络间的交流。利用不同策略 保护网络资源的防火墙主要分为四种类型包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙。一个好的理想的防 火墙应该能把各种安全问题在发生之前解决。 关键词防火墙;包过滤犁防火墙;应用级网关;电路级网关和规则检查防火墙 中图分类号T P 3 1 6 .8文献标识码人文章编号l b 0 1 0 2 1 1 2 0 0 0 0 4 0 1 0 4 0 3 Y 近几年来,计算机技术的应用已经深入到各行 各业。网络的飞速发展给我们的工作带来无可比拟 的方便,但同时也造成了很多困扰和问题。特别是 频繁的网络非法入侵使中国网络安全犯罪“一片空 白”成为了历史。黑客的攻击方法已超过计算机病 毒的种类,总数达近千种。有媒介报道,中国 9 5 %的与I n t e r n e t 相连的网络管理中心都遭受过境 内外黑客的攻击或侵入。 网络犯罪的递增、大量黑客网站的诞生,使我 们不得不考虑网络的安全性问题。各种网络安全工 具有着极好的市场前景,网络安全工具中最早成 熟,也是最早产品化的是网络防火墙。 1定义 防火墙是一种获取安全性的方法,是一种将内 部网和公众访问网 如I n t e r n e t 分开的方法,实 际上是一种隔离技术。它有助于实施一个比较广泛 的安全性政策,用以确定允许提供的服务和访问。 就网络配置、一个或多个系统和路由器以及其他安 全性措施 如代替静态E l 令的先进验证 来说,防 火墙是该政策的具体实施。防火墙系统的主要用途 就是控制对受保护的网络 即网点 的往返访问。 它实施网络访问政策的方法就是迫使各连接点通过 能得到检查和评估的防火墙。最大限度地阻止网络 中的黑客来访问你的网络,防止他们更改、拷贝、 毁坏你的重要信息。 防火墙系统可以是路由器,也可是个人主机、 作者简介赫思佳 1 9 7 2 一 ,女,硕士 主系统和一批主系统,专门把网络或子网同那些可 能被子网外的主系统滥用的协议和服务隔绝。这些 系统基本上基于T C P /I P ,并与实现方法有关。 2防火墙的基本类型 2 .1 网络级防火墙 根据源地址和目的地址、应用或协议以及每个 I P 包的端口来作出通过与否的判断。一个先进的 网络级防火墙可以提供内部信息来说明所通过的连 接状态和一些数据流的内容,把判断的信息同规则 表进行比较,在规则表中定义了各种规则来表明是 否同意或拒绝包的通过。网络级防火墙的优点是 简洁、速度快、费用低,对用户透明,但是对网络 的保护很有限,因为它只检查地址和端口,对网络 更高协议层的信息则没有理解能力。 2 .2 应用级网关 应用级网关能检查进出的数据包,通过网关复 制传递数据,防止在受信任服务器和客户机与不受 信任的主机间直接建立联系。应用级网关能理解应 用层上的协议,做相对复杂的访问控制,以及精细 的注册和稽核。但其每一种协议需要相应的代理软 件,使用时工作量大,效率不如网络级防火墙。应 用级网关的访问控制较好,是目前最安全的防火墙 技术,可是实现困难,缺乏“透明度”。 2 .3 电路级网关 电路级网关是用来监控受信任的客户或服务器 与不受信任的主机间的T C P 握手信息,以此来决 定该会话 S e s s i o n 是否合法,电路级网关是在 O S I 模型中会话层上来过滤数据包。但是,电路级 万方数据 第4 期赫思佳网络安全防火墙 网关也存在着缺陷,由于此网关是在会话层工作 的,所以它无法检查应用层级的数据包。 2 .4 规则检查防火墙 它综合了包过滤防火墙、电路级网关和应用级 网关的特点。规则检查防火墙能够在O S I 网络层 上通过I P 地址和端口号,过滤进出的数据包。能 够检查S Y N 和A C K 标记和序列数字是否逻辑有 序。还可以在O S I 应用层上检查数据包的内容, 查看这些内容是否能符合公司网络的安全规则。目 前在市场上流行的防火墙大多属于规则检查防火 墙。由于它对用户的透明度高,在O S I 最高层上 加密数据,不需要你去修改客户端的程序,也不需 对每个需要在防火墙上运行的服务额外增加一个代 理。 从发展趋势来看,未来的防火墙将位于网络 级防火墙和应用级防火墙之间,网络级防火墙将更 能识别通过的信息,应用级防火墙则向“透明”、 “低级”方面发展。理想的防火墙将成为一个快速 注册稽查系统,可保护数据以加密方式通过,使所 有组织可以放心地在节点间传送数据。 3优点 3 .1 防止易受攻击的服务 防火墙可以大大提高网络安全性,并通过过滤 不安全的服务来降低子网上主系统风险。因此,子 网网络环境可经受较少的风险,因为只有经过选择 的协议才能通过F i r e w a l l 。防火墙还可以防护基于 路由选择的攻击,排斥所有源点发送的包和I C M P 改向,然后把偶发事件通知管理人员。 3 .2 控制访问网点系统 防火墙有能力控制对网点系统的访问。某些主 系统可以由外部网络访问,而其他主系统则能有效 地封闭起来,防护有害的访问。除了邮件服务器或 信息服务器等特殊情况外,网点可以防止外部对其 主系统的访问。 3 .3 集中安全性 如果一个子网的大部分需要改动的软件及附加 的安全软件能集中地放在防火墙系统中,而不是分 散到每个主机中,防火墙的保护就相对集中和便宜 些。对于密码口令系统或其他的身份认证软件等, 放在防火墙系统中比放在每个I n t e r n e t 能访问的机 器上要好得多。 3 .4 增强保密、强化私有权 使用防火墙系统,站点可以防止f i n g e r 以及 D N S 域名服务。f i n g e r 会列出当前使用者名单,他 们上次登录的时间,以及是否读过邮件等。防火墙 也能封锁域名服务信息,从而使I n t e r n e t 外部主机 无法获取站点名和I P 地址。通过封锁这些信息, 可以防止攻击者从中获得另一些有用信息。 3 .5 有关网络使用、滥用的记录和统计 防火墙可以记录各次访问,并提供有关网络使 用率的有价值的统计数字。采集网络使用率统计数 字和试探的证据可知道防火墙能否抵御试探和攻 击,并确定防火墙上的控制措施是否得当。 3 .6 政策执行 防火墙可提供实旅和执行网络访问政策的工 具,向用户和服务提供访问控制。网络访问政策可 以由防火墙执行。 4结g - 语 一个好的理想的防火墙应该能把各种安全问题 在发生之前解决。就目前的技术而言,我们还远不 能达到这一点。防火墙技术的致命弱点在于数据在 防火墙之间的更新是一个难题,额外的管理负担是 另外一个弱点。目前的各种防火墙在提高了最需要 安全的W e b 服务和电子邮件的安全性的同时,防 火墙的管理似乎变得更容易。防火墙主机已经向防 火墙电器方向转变。原来唯一为人们所接受的防火 墙产品是U n i x 工作站或服务器,它们有两条以上 的跨接安全与非安全网络的L A N 连接。作为一种 通用系统,防火墙过去对网络上的数据流进行管 理,并且还提供它自己的网络服务域名系统 D N S 、文件传输协议 F T P 、电子邮件、w e b 浏览和网络新闻传输协议 N N T P 。今天,由于 计算机硬件的成本已大大降低,最新一代的防火墙 产品常常被当作是电器,即极少需要调整以及严格 限制可供用户选择选项的产品。 万方数据 查鱼垒星 箜三堕 N E T W O R KS E C U R I T Y F l R E W A L L H E S 玎缸 N o r t h e r nJ i a o t o n gU n i v e r s i t y ,B e i j i n g1 0 0 0 4 4 A B S T R A C T A sm o r ec o m p u t e r Sa n dl a r g e rn e t w o r k sg e ta t t a c h e dt ot h eI n t e r n e t ,i tg e t sm o r ed i f f i c u l tt ok e e pt h e ms e c u r ef r o ms o m eh a c k e r so nt h eI n t e r n e t .A ni n c r e a s i n g l yp o p u l a rm e t h o do fc o n n e c t i n gt ot h eI n t e r n e ti st h r o u g h f i r e w a l l s . F i r e w a l li sam e t h o dt oo b t a i ns e c u r i t y .I tp r o v i d e sac h o k ep o i n tb e t w e e na “t r u s t e d ” n e t w o r k , s u c ha sa n o r g a n i z a t i o n a ln e t w o r k , a n da n “u n t r u s t e d ” n e t w o r ks u c ha st h eI n t e r n e t .T h ef i r e w a l lp r o v i d e sac e r t a i nl e v e l o fc o n t r o la st ow h a tc a ng ob e t w e e nt h et W On e t w o r k s . T h e r ea r ef o u rm a j o rt y p e so ff i r e w a l l st h a tu s ed i f f e r e n ts t r a t e g i e sf o rp r o t e c t i n gn e t w o r kr e s o u r c e s S c r e e n i n gR o u t e r P a c k e tF i l t e r s , C i r c u i t L e v e lG a t e w a y , A p p l i c a t i o n L e v e lG a t e w a y , a n dS t a t e f u lI n s p e c t i o nT e c h n i a u e s .A ni d e a lf i r e w a l ls h o u l db ea b l et os o l v ea l lk i n d so fs e c u r i t yp r o b l e m sb e f o r et h e yh a p p e n K E YW O R D Sf i r e w a l l ;s c r e e n i n gr o u t e r p a c k e tf i l t e r s ;c i r c u i t l e v e lg a t e w a y ;a p p l i c a t i o n 。l e v e lg a t e w a y ; s t a t e f u li n s p e c t i o nt e c h n i q u e s 一_ - _ _ _ - _ - _ _ I _ _ _ - - _ ●●_ - _ _ _ _ _ - - _ ●_ _ _ - - _ 一 C o n tf r o mi n s i d eb a c kc o v e r M a t e r i a ls c i e n c e 7 7Z H A N GP e i x i n ,L I NR o n g y i ,Y A NJ i a q i a n g M a k i n gg l a s s c e r a m i c su s i n gr e dm u d a sr a wm a t e r i a l s 8 0Y A N GX i a o h u a 。L I A N GW e i ,Y A N GD e z h u a n g R e l a t i o n s h i pb e t w e e nf r a c t u r es t r a i na n dg r a i ns i z e 8 3S O N GG u i m i n g ,B A IH o u s h a n ,Y a n gY u e p i n g P r e p a r a t i o no fZ n 0v a r i s t o rc o m p o s i t ep o w d e r s 8 7J I A OT o n g ,Z H A N GB a o p i n g ,Z H A N GH a i t a oe ta 1 . M i c r o b e h a v i o ro f9 0 W ,9 3 Wt u n g s t e na l l o y su n d e ri m p a c td y n a m i c s E n v i r o n m e n t a lp r o t e c t i o n 9 2P A NC h u n l i n g ,L UB a z h i ,Z H A NZ h a o h u ie ta 1 . P r e t r e a t m e n to fC L Ta c i dp r o d u c t i o nw a s t e w a t e rb ye l e c t r o - c o a g u l a t i o n M e t a l l u r g i c a lh i s t o r y 9 5L IY a n x i a n g S t u d yo nc o p p e rs m e l t i n gt e c h n o l o g ya tJ i u h u a s h a n R e v i e w 1 0 0L E IY u n ,Y A N GX i a n w a n I m p o r t a n tr o l eo fb i o h y d r o m e t a l l u r g yi nd e v e l o p m e n to fm i n e r a lr e s o u r c e si n w e s to fC h i n a 1 0 4H ES i i 8 N e t w o r kS e c u r i t y f i r e w a l l P r o c e s sm i n e r a l o g y 1 0 7S U NC h u a n y a o ,Y I NW a n z h o n g C r y s t a lc h e m i s t r ya n a l y s i so nf l o t a b i l i t yd i f f e r e n c eo fs p o d u m e n e sw i t hd i f f e r e n tc o l o r s 万方数据