Margaret
级别: 举人级版主
发贴: 4603
威望: 5999
金币: 1207
注册时间:2005-07-23
最后登陆:2008-11-11
|
|
网络安全技术
第一章.概述
信息安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为企业在构建网络时必须考虑和解决的一个重要问题。
在信息安全发展中出现了一些专门的设备及技术来保障信息传输、储存的安全。防火墙就是其中一种。
第二章.防火墙的发展历程及工作原理
从广义上讲,防火墙保护的是企业内部网络信息的安全。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行物理隔离来实现的,然后根据预先定制的安全策略控制通过防火墙的访问行为,从而达到对企业内部网络访问的有效控制。
防火墙的发展经过了几个历程,按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。
第二、三代防火墙
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙--应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
防火墙技术发展历程及工作原理:
1.包过滤分为:
A.静态包过滤
这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是"最小特权原则",即明确允许那些管理员希望通过的数据包,禁止其他的数据包。
B.状态包过滤
防火墙采用了一个在网关上执行网络安全策略的软件引擎,被称为模块。监测模块工作在链路层和IP层之间,对网络通信的各层实施检测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新。这些表被持续更新,为下一个通信坚信检查提供积累的数据。其另外一个优点是能够提供对基于无连接的协议(UDP)的应用(DNS,WAIS等)及基于端口动态分配的协议(RPC)的应用的安全支持。
2.应用代理防火墙(applicatipn proxy firework)
应用代理防火墙检查数据包的应用数据,并且保持完整的连接状态,他能够分析不同协议的命令集,根据安全规则景致或者允许某些特殊的协议命令。指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。 通过限制某些协议的传出请求,来减少网络中不必要的服务, 大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事进行记录
第三章防火墙选型标准
为了适应不同客户的需求,如今技术日渐城市的防火墙也衍生了各种特定的产品,用户需要因地制宜选择适合本单位、企业所需要的产品,选择防火墙时要考虑的标准:
第一. 宏观因素:
a. 硬件本身要安全。b具有良好的可扩展性。c选择与需求相适应的功能d要方便管理和控制:e产品本身的性能要可靠f防火墙的动态维护优良:
防火墙的基本功能:
1.LAN接口要能够满足用户现有及未来几年内的需求。
2协议支持数量要多
3要支持多种安全特性。(支持转发和跟踪ICMP协议,ICMP代理)提供实时入侵警告。识别、记录、防止IP欺骗。
应满足企业的特殊要求。企业安全策略中的某些特殊要求并不是每种防火墙都能够提供的。
1.加密控制标准。
2.控制访问
3.特殊防御功能
防火墙本身是安全的。
作为信息系统的安全产品,防火墙本身也是应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢固不可破,但进攻者能够轻易饶过防线进入系统内部,网络系统也就没有任何安全可言了。
通常,防火墙的安全问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户本无从入手,只有通过权威认证机构有全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威检测机构测试的产品。其二是使用不当。防火墙的许多配置需要系统管理员手工修改,如果管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量安全漏洞。
第三. 管理因素
管理员对防火墙的管理通过直接连接方式管理、控制防火墙的安全策略。远程管理是指通过网络远程连接至防火墙。通过专用管理客户端Telnet、https等方式管理。
a.权限分级:权限分级一般分为超级管理员和普通管理员。
b.加密人证:管理员通过SSL(secure socket layer)安全通道进行管理,对管理信息进行加密后以密文形式传输,这样可以防止有效的网络监听。
c.日志审计:绝对的安全的防火墙是不存在的。这就需要一个良好的日志审计系统,它不仅可以判断出系统是否正常运转运行,而且还详细记录现场的各项活动,便于实现攻击告警、策略转移。事故分析从故障后的防火墙重建。
第四章总结
防火墙应该是网络管理员最得力的助手,它是通过日志系统汇报网络运行状态的?其内部的进程监视器实时监控防火墙的运行状态;日志系统提供强大的日志审计功能,并可提供详细的日志分析统计报告;流量统计模块提供基于单个主机的流量统计报告和曲线。系统管理员可以在管理主机上实时查看防火墙的运行状态和浏览各类报告,让管理员对防火墙及网络运行状况一目了然。
在了解了防火墙的基本功能后,我们应该对网络的安全概念有所加深,对网络的威胁并非只来自于病毒,其实各种黑客攻击手段已经越来越多的对我们正常的工作和生活形成威胁,因此,在构建和完善企业内部网络的时候,避免为较低需求而采用高端的防火墙设备将造成用户投资的浪费,同样也要避免为较高的客户需求而采用低端设备将无法达到预计的性能指标。需要谨慎的考虑和选择节省企业的开支,达到最佳的性价比。
|
寻论网 -> 寻论社区-(中学生-大学生顶级论坛) -> 寻论电脑 -> 电脑教程 -> 网络安全技术
