淺析防火墻安全體系結構

本論文在其他論文欄目，由論文格式網整理,轉載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看摘要
隨著網絡的普及，安全問題正威脅著每一個網絡用戶。由于黑客攻擊和信息泄漏等安全問題并不像病毒那樣直截了當地對系統進行破壞，而是故意隱藏自已的行動，所以往往不能引起人們的重視。但是，一旦網絡安全問題發生，通常會帶來嚴重的后果。因此，必須加強安全意識，并及早防范。目前最常用的網絡安全防范工具是防火墻，這里主要介紹關于防火墻的安全體系結構方面知識，其包括：
1. 包過濾路由器防火墻結構；
2. 應用級網關防火墻結構；
2. 雙穴主機防火墻結構；
3. 主機過濾防火墻結構；
4. 子網過濾防火墻結構。
本論文分為3章：
第1章　介紹關于防火墻的一些基本知識。包括：概念、優缺點、功能以及防火墻能得到廣泛使用的原因；
第2章　主要部分，重點介紹了關于防火墻安全體系結構的5種設計結構方式，并畫出了相應結構圖，便于理解；
第3章　介紹了防火墻的發展歷史及防火墻未來發展趨勢。

關鍵詞：網絡安全防火墻安全

第一章防火墻
1.1 防火墻的概念
所謂防火墻技術，是指一種將內部網和因特網分開的方法，它實際上是一種隔離技術。防火墻是一類防范措施的總稱，它使得內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪，用來保護內部網絡。防火墻技術的核心思想是在不安全的網間網環境中構造一個相對安全的子網環境。防火墻的構成可以表示為: 防火墻=過濾器+安全策略(+網關)，它是一種非常有效的網絡安全技術。
防火墻可以監控進出網絡的通信數據，從而完成僅讓安全、核準的信息進入，同時又防止對企業構成威脅的數據進入的任務。
1.2 為什么要使用防火墻?
引入防火墻的原因是因為傳統的子網系統會把自身暴露給NFS(網絡文件系統)或NIS(Network Information Services，網絡信息服務)等先天不安全的服務，并受到來自外部網絡上的入侵和攻擊。在沒有防火墻的環境中，網絡的安全完成依賴于系統的安全性。子網越大，主系統在相同安全性水平上的可管理能力就越小，隨著安全性的失誤和失策越來越普遍，闖入便時有發生，這些中有的不是因為受到多方的攻擊，而僅僅是因為配置錯誤、口令不適當而造成的。而防火墻是放置在局域網與外部網絡之間的一個隔離設備，它可以識別并屏蔽非法請求，有效防止跨越權限的數據訪問。防火墻將局域網的安全性統一到它本身，網絡安全性是在防火墻系統上得到加固，而不是分布在內部網絡的所有節點上，這就簡化了局域網安全管理。
1.3防火墻的功能及不足
（一）過濾掉不安全服務和非法用戶
（二）控制對特殊站點的訪問
（三）提供監視Internet安全和預警的方便端點
（四）阻擋外部攻擊，允許合法流量的轉發。
（五）記錄攻擊，生成過濾日志。
由于互連網的開放性，有許多防范功能的防火墻也有一些防范不到的地方：
（一）防火墻不能防范不經由防火墻的攻擊。例如，如果允許從受保護網內部不受限制的向外撥號，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。
（二）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。
（三）防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊。
（四）防火墻不能抵抗最新的未設置策略的攻擊漏洞。
（五）防火墻對服務器合法開放的端口的攻擊大多無法阻止。
第二章防火墻安全體系結構的四種設計結構
按照實體性質分類，防火墻可分為硬件方式和軟件方式，其中硬件方式是在內部網與Internet之間放置一個硬件設備，以隔離或過濾外部人員對內部網絡的訪問；而軟件方式則是在Web主機上或單獨一臺計算機上運行一類軟件，監測、偵聽來自網絡上的信息，對訪問內部網的數據起到過濾的作用，從而保護內部網免受破壞。
實現防火墻安全體系結構的5種設計結構：
2.1 包過濾防火墻結構
包過濾防火墻一般是根據源地址、目的地址、協議以及每個IP包的端口作出通過與否的判斷。路由器便是一個傳統的網絡級防火墻，大多數的路由器都能通過檢查這些消息來決定是否將所有收到的包轉發，但它不能判斷一個IP包來自何方。
先進的網絡級防火墻可以判斷這樣一點：它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火墻就會使用默認規則。一般情況下，默認規則就是要求防火墻丟棄該包。通過定義基于TCP或UDP數據包的端口號，防火墻還能夠判斷是否允許建立特定的連接，如Telnet、FTP連接等。
網絡級防火墻簡潔、速度快、費用低，并且對用戶透明，但是對網絡的保護能力有限，因為它只檢查地址和端口，對網絡更高協議層的信息無理解能力。

圖1　過濾路由器防火墻系統連接結構
2.2 應用級網關防火墻結構
應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做一些復雜的訪問控制，并做精細的注冊和稽核，但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻。

圖2　應用級網關防火墻系統連接結構
在應用層實現防火墻，方式多種多樣，下面是幾種應用層防火墻的設計實現。
（一）應用代理服務器（Application Gateway Proxy）
在網絡應用層提供授權檢查及代理服務。當外部某臺主機試圖訪問受保護網絡時，必須先在防火墻上經過身份認證。通過身份認證后，防火墻運行一個專門為該網絡設計的程序，把外部主機與內部主機連接。在這個過程中，防火墻可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣，受保護網絡內部用戶訪問外部網時也需先登錄到防火墻上，通過驗證后，才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明，用戶每次連接都要受到認證，這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
（二）回路級代理服務器
即通常意義的代理服務器，它適用于多個協議，但不能解釋應用協議，需要通過其他方式來獲得信息，所以，回路級代理服務器通常要求修改過的用戶程序。
套接字服務器（Sockets Server）就是回路級代理服務器。套接字(Sockets)是一種網絡應用層的國際標準。當受保護網絡客戶機需要與外部網交互信息時，在防火墻上的套服務器檢查客戶的User ID、IP源地址和IP目的地址，經過確認后，套服務器才與外部的服務器建立連接。對用戶來說，受保護網與外部網的信息交換是透明的，感覺不到防火墻的存在，那是因為網絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持 “Socketsified API”，受保護網絡用戶訪問公共網所使用的IP地址也都是防火墻的IP地址。
（三）代管服務器
代管服務器技術是把不安全的服務如FTP、Telnet等放到防火墻上，使它同時充當服務器，對外部的請求作出回答。與應用層代理實現相比，代管服務器技術不必為每種服務專門寫程序。而且，受保護網內部用戶想對外部網訪問時，也需先登錄到防火墻上，再向外提出請求，這樣從外部網向內就只能看到防火墻，從而隱藏了內部地址，提高了安全性。
（四）IP通道（IP Tunnels）
如果一個大公司的兩個子公司相隔較遠，通過Internet通信。這種情況下，可以采用IP Tunnels來防止Internet上的黑客截取信息，從而在Internet上形成一個虛擬的企業網。
（五）網絡地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時，受保護網用戶若要訪問Internet，必須使用一個合法的IP地址。但由于合法Internet IP地址有限，而且受保護網絡往往有自己的一套IP地址規劃（非正式IP地址）。網絡地址轉換器就是在防火墻上裝一個合法IP地址集。當內部某一用戶要訪問Internet時，防火墻動態地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。同時，對于內部的某些服務器如Web服務器，網絡地址轉換器允許為其分配一個固定的合法地址。外部網絡的用戶就可通過防火墻來訪問內部的服務器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾，又對外隱藏了內部主機的IP地址，提高了安全性。
（六）隔離域名服務器（Split Domain Name Server ）
這種技術是通過防火墻將受保護網絡的域名服務器與外部網的域名服務器隔離，使外部網的域名服務器只能看到防火墻的IP地址，無法了解受保護網絡的具體情況，這樣可以保證受保護網絡的IP地址不被外部網絡知悉。
（七）郵件技術（Mail Forwarding）
當防火墻采用上面所提到的幾種技術使得外部網絡只知道防火墻的IP地址和域名時，從外部網絡發來的郵件，就只能送到防火墻上。這時防火墻對郵件進行檢查，只有當發送郵件的源主機是被允許通過的，防火墻才對郵件的目的地址進行轉換，送到內部的郵件服務器，由其進行轉發。
綜合上述兩種防火墻技術的優缺點，在實際構建防火墻系統時，通常由過濾路由器和代理服務器組合在一起構成一個混合的多級防火墻系統，由過濾路由器提供第一級的安全防護，主要用于防止IP欺騙攻擊，再由代理服務器提供更高級的安全防護機制。連接結構如圖3。

圖3　過濾路由器+代理服務器防火墻系統連接結構
2.3雙穴主機防火墻結構
該結構圍繞著至少具有2個接口、2塊網卡的雙宿主機而構成。雙宿主機一個接口接內部網絡，另一個接口接外部網絡。雙宿主機內、外的網絡可與該堡壘主機實施通信，而內、外網絡之間不能直接通信。該防火墻的安全結構如圖4所示。

圖4 雙宿主機的防火墻結構
使用時，一般要求用戶先注冊，再通過雙宿主機訪問另一邊的網絡。由于代理服務器簡化了用戶的訪問過程，可以做到對用戶透明，屬“失效—安全”型。由于該防火墻仍是由單機組成，沒有安全冗余機制，仍是網絡的“單失效點”，因此這種防火墻仍是不完善的，在現在的Internet中仍有應用。
2.4主機過濾防火墻結構
被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開。（如圖2）在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用于防止人們繞過代理服務器直接相連）。如圖5所示。

圖5 主機過濾型防火墻結構
這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。
數據包過濾容許堡壘主機開放可允許的連接（什么是"可允許連接"將由你的站點的特殊的安全策略決定）到外部世界。　
在屏蔽的路由器中數據包過濾配置可以按下列方案之一執行：
（一）允許其它的內部主機為了某些服務開放到Internet上的主機連接（允許那些經由數據包過濾的服務）
（二）不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）。
2.5子網過濾防火墻結構
被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡（通常是Internet）隔離開。
被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為Internet）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。如圖6所示。

圖6 子網過濾器防火墻結構
這種網絡防火墻容易配置，也減少了闖入破壞的機會，是一種比較理想的安全防范模式。
建造防火墻時，一般很少采用單一的技術，通常是多種解決不同問題的技術的組合。這種組合主要取決于網管中心向用戶提供什么樣的服務，以及網管中心能接受什么等級風險。采用哪種技術主要取決于經費，投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式：
（一）使用多堡壘主機；
（二）合并內部路由器與外部路由器；
（三）合并堡壘主機與外部路由器；
（四）合并堡壘主機與內部路由器；
（五）使用多臺內部路由器；
（六）使用多臺外部路由器；　
（七）使用多個周邊網絡；　
（八）使用雙重宿主主機與屏蔽子網。
第三章防火墻的發展歷史及防火墻未來發展趨勢

防火墻作為一種防止網絡系統被人惡意破壞的一個網絡安全產品，在計算機技術、Internet技術迅猛發展的今天無可選擇的以很高的速度發展。從第一代基于路由器的防火墻開始，先后出現了用戶化的防火墻工具套、建立在通用操作系統上的防火墻，直至目前的第四代具有安全操作系統的防火墻。
防火墻技術的致命弱點在于數據在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。額外的管理負擔是另外一個弱點。此外，防火墻采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。而且，只裝有濾波器往往還不足以保證安全，尤其無法防止防火墻內側的攻擊。
未來防火墻的發展趨勢是朝高速、多功能化、更安全的方向發展。
1、高速。目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS (拒絕服務)是防火墻一個很重要的任務，防火墻往往用在網絡出口，如造成網絡堵塞，再安全的防火墻也無法應用。應用ASIC、FPGA和網絡處理器是實現高速防火墻的主要方法，但尤以采用網絡處理器最優，因為網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實現高速防火墻，算法也是一個關鍵，因為網絡處理器中集成了很多硬件協處理單元，因此比較容易實現高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。
2、多功能化。多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些情況下卻可以為用戶節省一臺路由器，支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持IPSec VPN，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。據IDC統計，國外90%的加密VPN都是通過防火墻實現的。
3、安全。未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。在信息安全的發展與對抗過程中，防火墻的技術一定會不斷更新、日新月異，在信息安全的防御體系中，起到堡壘的作用。

相關論文


上一篇：聚丙烯酰胺凝膠電泳分離乳酸脫氫..	下一篇：密立根油滴儀測油滴電荷

Tags：淺析防火墻安全體系結構

【收藏】【返回頂部】