关键词:计算机网络,防火墙,信息,技术
随着计算机网络的发展,各行各业的网络新技术也不断涌现并得到广泛应用。然而病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙是防御网络信息遭受攻击的有效技术之一。
一、防火墙的概念
防火墙是指设置在不同网络之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,是提供信息安全服务,实现网络和信息安全的基础设施。
当今的防火墙所采用的安全策略有很多种,不同的防火墙侧重点不同。在设置防火墙之前必须明确该防火墙所要保护的网络系统的数据需求,确定允许那些类型的信息通过防火墙,那些信息必须阻止,然后由防火墙对外部网络与内部网络之间交换的信息进行检查,符合设置条件的予以放行通过,不符合设置条件的则拒之门外。
二、常用构建防火墙技术的分析与研究
防火墙通常采用的技术有分组过滤技术、应用层网关技术和服务技术等。
1、分组过滤技术的基础是网络中的分包传输技术。网络上的数据是分组以包”的形式传输的,每个数据包都包含数据的源地址、目标地址、TCP/UDP源端口和目标端口等等信息。分组过滤技术就是依据系统内预设的过滤逻辑条件,检查数据流中的每组数据,根据数据包的源地址、目标地址、TCP/UDP源端口号和目的端口号以及数据包头中的标志位来确定是否允许通过,拒绝来源于非安全站点的数据。采用这种技术的防火墙其核心在于过滤算法的设计。例如:在以太网中,得到的数据包大致是如下结构:以太帧头14个字节,放在PUCHAR结构数组的第0个元素到第13个元素中,其中前六个字节是目的MAC地址,之后是六个字节源MAC地址,最后两个字节是协议类型,通常的协议类型有0x080x00->IP,0x080x06->ARP,0x080x35->RARP,所以,可以通过数组的第12个元素和第13个元素来判断协议类型,过滤规则就是在这个基础之上建立。如果要过滤特定协议,只要在相应的字节读取数据,判断是否符合要过滤的规则即可。
分组过滤技术的优点是逻辑简单、速度快、易于安装和使用,网络性能和透明性好且价格便宜,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙不需要很多额外的费用。
分组过滤技术的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
2、应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制的输入输出通信环境进行严格控制,以防止内部数据被窃取。另外,应用层网关还负责对网络交流的信息进行记录,比如:用户登录的时间,登录的网址,用户频繁使用的网络界面等。数据包过滤和应用网关防火墙有一个共同的特点,它们都是依靠特定的逻辑判定来决定是否允许数据包通过。。如果满足逻辑条件,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。。
应用网关技术的优点是可以在LAN机器上被透明配置、保护在一个或多个外部IP地址之后的许多机器,简化管理任务、用户到LAN的出入可以通过打开和关闭NAT防火墙/网关上的端口来限制。
应用网关技术的缺点是一旦用户从防火墙外连接了服务,则无法防止其蓄意活动。
3、服务技术
服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的'链接',由两个终止服务器上的'链接'来实现,外部计算机的网络链路只能到达服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
服务技术的优点是使管理员拥有对LAN之外的应用程序和协议功能的控制权、某些服务器可以缓存数据,因此当客户存取频繁请求的数据时,这些数据就可以从本地缓存调出而不必使用互联网连接,这有助于减少不必要的带宽用量、服务可以被密切地监视和记录,从而允许在网络资源用量方面进行更严格的控制。
服务技术的缺点是通常是应用程序特有的(HTTP、telnet等)或在协议方面有限制的(多数只能用于TCP连接的服务)、应用程序服务无法在后面运行,因此用户的应用程序服务器必须使用另一种网络保安措施、可能会成为网络的瓶颈,因为所有的请求和传输都要经过一个中介而不是让客户直接连接远程服务。
三、防火墙技术的发展趋势
未来防火墙系统将从高效和高速两个角度去发展。
防火墙的几种基本类型各有优点和不足之处,所以将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足就是防火墙技术发展的一个重要的方向,例如,我们在对传输层面的数据包特性进行过滤的同时,也对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力提高防火墙的工作效率。
另外无论采用怎样的技术手段设计的防火墙,都必须设置日志系统,这样才能方便地追踪过去网络中发生的事件。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,较多的防火墙系统的日志都采用文本方式记录网络事件。而文本方式的每一个字符都需要占用一个字节,对带宽消耗很大。如果直接采用二进制数据记录日志可以大大减小数据传送量。所以,支持二进制格式的日志数据库,是未来防火墙日志和日志服务器软件的发展方向。
新型的防火墙系统还需要与移动设备有机地结合,当网络防火墙所保护的网络系统遭到攻击时,可以通过移动设备及时得到通知,在第一时间作出应急处理,以保护数据安全,将损失降到最低。
四、结束语
防火墙技术已经广泛地应用到政府机关、医疗卫生、金融业、零售、远程通讯等行业,但是选择哪一种防火墙技术来保障网络安全,是用户需要深入研究的问题。。期望通过本文的探讨和研究,能够帮助各行业用户根据各自的网络应用特性正确选择应用防火墙。
参考文献:
防火墙原理与技术阎慧
Internet安全与防火墙[美]普端萨姆
TheDefenceStrategyInNetworkSecurity
关键词:职业岗位;项目化;四维一体模式;教材建设
中图分类号:G642文献标识码:A
Abstract:ThecourseoffirewalltechnologyisacorecurriculumininformationsecurityandrelatedprofessionsinHigherVocationalColleges,carryingresponsibilitiesandtaskstobenetworksecuritymanager.Itisparticularlyimportanttodevelopaprojectorientedpracticetextbookonthebasisofprofessionalpostdemand.Itwasproposedamodelbasedonfourdimensionalintegrationaboutthedevelopmentoffirewalltechnologyprojectinthispaper.Itwasprovedthatthestudentscanenhancenetworksecurityprofessionalskillsthroughthistextbook.
Keywords:professionalpost;project;fourdimensionalintegratedmodel;textbookconstruction
1引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2教材建设的依据(Thebasisoftextbookconstruction)
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3《防火墙技术》教材建设的依据(Thebasisoftextbookconstructiononfirewalltechnology)
3.1吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4教材开发(Thedevelopmentoftextbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1]李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2]刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3]杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4]王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5]王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
作者简介:
关键字:计算机网络;网络安全;防火墙技术
一、前言
企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。
针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。
二、防火墙技术概述
1.防火墙的基本概念
防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
2.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙
的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的
通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
3.防火墙的功能
一般来说,防火墙具有以下几种功能:
①能够防止非法用户进入内部网络。
②可以很方便地监视网络的安全性,并报警。
③可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
4.防火墙的分类
①包过滤型防火墙,又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
②服务器型防火墙
服务器型防火墙通过在主机上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的服务器进程,它代替网络用户完成特定的TCP/IP功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。
③复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
三、办公网络防火墙的设计
1.防火墙的系统总体设计思想
1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
1.2制定网络安全策略在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
1.4设计服务
服务器接受外部网络节点提出的服务请求,如果此请求被接受,服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。
1.5严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于DOD(DepartmentofDefense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。
本例中网络环境为:内部网络使用的网段为192.168.1.0,eth0为防火墙与Internet接口的网卡,eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下:
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW,FTP,Telnet,SMTP等.我们以WWW包过滤为例,来分析这类数据包过滤的实现.
WWW数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器,(假定其IP地址为192.168.1.11)。
要实现上述WWW安全规则,设置WWW数据包过滤为,在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙eth1端允许所有来自内部网络WWW数据包通过。
#DefineHTTPpackets
#允许Internet客户的WWW包访问WWW服务器
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT
#允许WWW服务器回应Internet客户的WWW访问请求
/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT
/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT
显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。
与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则;
2.2与服务无关的安全检查规则
这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点:
①数据包完整性检查(TinyFragment):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP;alwaysdefraymentssetto‘y’。REDHAT检查进人的数据包的完整性,合并片段而抛弃碎片。
②源地址IP(SourceIPAddressSpoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。
③源路由(SourceRouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包。
总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。
参考文献
[1]张晔,刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999
[2]王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001
[3]郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001
[4]AnthonyNorthup.NTNetworkPlumbing:Routers,Proxies,andWebServices[M].