辦公網絡中防火墻的應用研究論文

時間:2022-10-11 11:23:00

導語:辦公網絡中防火墻的應用研究論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

辦公網絡中防火墻的應用研究論文

摘要:隨著時代的發展,Internet日益普及,網絡已經成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網絡,經常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網絡數據和文件丟失,系統癱瘓。因此,計算機網絡系統安全問題必須放在首位。本文就辦公網絡中應用最多的防火墻技術做了探討。

關鍵字:計算機網絡;網絡安全;防火墻技術

一、前言

企業內部辦公自動化網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet,它具有開放性,因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果,給正常的企業經營活動造成極大的負面影響。因此企業需要一個更安全的辦公自動化網絡系統。

目前企業內部辦公網絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數據監聽等,在這眾多的安全隱患中要數黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業網絡中應該以防范黑客和病毒為首。

針對企業辦公網絡存在的眾多隱患,各個企業也實施了安全防御措施,其中包括防火墻技術、數據加密技術、認證技術、PKI技術等,但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業辦公中的應用給予探討,希望能給廣大企業辦公網絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻,在這里引申為保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻服務的原理與其類似,它用來防止外部網上的各類危險傳播到某個受保護網內。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是一組硬件設備(路由器、主機)和軟件的多種組合;而從本質上來說防火墻是一種保護裝置,用來保護網絡數據、資源和用戶的聲譽;從技術上來說,網絡防火墻是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,換句話說,防火墻是一道門檻,控制進/出兩個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵,如安全網絡可能是企業的內部網絡,不安全網絡是因特網,當然,防火墻不只是用于某個網絡與因特網的隔離,也可用于企業內部網絡中的部門網絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻

的數據流,只允許授權的數據通過,同時記錄有關的聯接來源、服務器提供的

通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤,并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說,防火墻具有以下幾種功能:

①能夠防止非法用戶進入內部網絡。

②可以很方便地監視網絡的安全性,并報警。

③可以作為部署NAT(NetworkAddressTranslation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部內部信息的地點。從技術角度來講,就是所謂的?;饏^(DMZ)。

4.防火墻的分類

①包過濾型防火墻,又稱篩選路由器(Screeningrouter)或網絡層防火墻(Networklevelfirewall),它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制,根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協議類型和數據包中的各種標志等為參數,與用戶預定的訪問控制表進行比較,決定數據是否符合預先制定的安全策略,決定數據包的轉發或丟棄,即實施過濾。

②服務器型防火墻

服務器型防火墻通過在主機上運行的服務程序,直接對特定的應用層進行服務,因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程,它代替網絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。

③復合型防火墻

由于對更高安全性的要求,通常把數據包過濾和服務系統的功能和特點綜合起來,構成復合型防火墻系統。所用主機稱為堡壘主機,負責服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或服務器型防火墻,而是將各種安全技術結合起來,形成一個混合的多級防火墻,以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態包過濾;②內核透明技術;③用戶認證機制;④內容和策略感知能力:⑤內部信息隱藏;⑥智能日志、審計和實時報警;⑦防火墻的交互操作性等。

三、辦公網絡防火墻的設計

1.防火墻的系統總體設計思想

1.1設計防火墻系統的拓撲結構

在確定防火墻系統的拓撲結構時,首先必須確定被保護網絡的安全級別。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統的拓撲結構。

1.2制定網絡安全策略

在實現過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流,逐一完成每一項許可的服務;第二條策略是允許一切沒有被禁止的服務,防火墻轉發所有的信息,逐項刪除被禁止的服務。

1.3確定包過濾規則

包過濾規則是以處理IP包頭信息為基礎,設計在包過濾規則時,一般先組織好包過濾規則,然后再進行具體設置。

1.4設計服務

服務器接受外部網絡節點提出的服務請求,如果此請求被接受,服務器再建立與實服務器的連接。由于它作用于應用層,故可利用各種安全技術,如身份驗證、日志登錄、審計跟蹤、密碼技術等,來加強網絡安全性,解決包過濾所不能解決的問題。

1.5嚴格定義功能模塊,分散實現

防火墻由各種功能模塊組成,如包過濾器、服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現,功能分散減少了實現的難度,增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計,發現入侵和非法訪問情況。據此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據網絡拓撲結構的改變或安全策略的變化,對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能,以保證網絡極其信息的安全性。

2.一種典型防火墻設計實例——數據包防火墻設計

數據包過濾防火墻工作于DOD(DepartmentofDefense)模型的網絡層,其技術核心是對是流經防火墻每個數據包進行行審查,分析其包頭中所包含的源地址、目的地址、封裝協議(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統預先設定的安全策略相匹配,以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用,這一過程就稱為數據包過濾。

本例中網絡環境為:內部網絡使用的網段為192.168.1.0,eth0為防火墻與Internet接口的網卡,eth1為防火墻與內部網絡接口的網卡。

數據包過濾規則的設計如下:

2.1與服務有關的安全檢查規則

這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸.這類服務包括WWW,FTP,Telnet,SMTP等.我們以WWW包過濾為例,來分析這類數據包過濾的實現.

WWW數據包采用TCP或UDP協議,其端口為80,設置安全規則為允許內部網絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內部網部的WWW服務器,(假定其IP地址為192.168.1.11)。

要實現上述WWW安全規則,設置WWW數據包過濾為,在防火eth0端僅允許目的地址為內部網絡WWW服務器地址數據包通過,而在防火墻eth1端允許所有來自內部網絡WWW數據包通過。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然,設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似,我們可以建立起與FTP,Telnet,SMTP等服務有關的數據包檢查規則;

2.2與服務無關的安全檢查規則

這類安全規則是通過對路由表、數據包的特定IP選項和特定段等內容的檢查來實現的,主要有以下幾點:

①數據包完整性檢查(TinyFragment):安全規則為拒絕不完整數據包進人Ipchains本身并不具備碎片過濾功能,實現完整性檢查的方法是利用REDHAT,在編譯其內核時設定IP;alwaysdefraymentssetto‘y’。REDHAT檢查進人的數據包的完整性,合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機,以期能滲透到內部網絡中.要實現這一安全規則,設置拒絕數據包過濾規則為,在防火墻eth0端拒絕1P源地址為內部網絡地址的數據包通過。

③源路由(SourceRouting)欺騙:安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息,實現的方法也是借助REDHAT的路由功能,拒絕來自外部的包含源路由選項的數據包。

總之,放火墻優點眾多,但也并非萬無一失。所以,安全人員在設定防火墻后千萬不可麻痹大意,而應居安思危,將防火墻與其他安全防御技術配合使用,才能達到應有的效果。

參考文獻:

[1]張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統應用,1999

[2]王麗艷.淺談防火墻技術與防火墻系統設計.遼寧工學院學報.2001

[3]郭偉.數據包過濾技術與防火墻的設計.江漢大學學報.2001

[4]AnthonyNorthup.NTNetworkPlumbing:Routers,Proxies,andWebServices[M].

NewYork:IDGBooksWorldwide,1998.

[5](美)ChrisHareKaranjitSiyan.Internet防火墻與網絡安全.北京:機械工業出版社,1998