防火墙

防火墙（精选十篇）

防火墙 篇1

高校校园网中, 用户多、使用面广、内部服务器访问量大, 在网络中存在的安全隐患和漏洞相对较广泛。鉴于多方面不安全的因素, 有必要为通过对防火墙的部署来构建安全的校园网络结构体系。在整体校园网防火墙安全体系结构中, 防火墙主要用于连接不同安全区域的网络, 为适应校园公网和各专网优化后结构的安全性, 构建多层次校园防火墙体系, 全面提升校园网络的整体安全性能, 校园防火墙的部署应实现以下目标:

(1) 全面性。根据校园网络优化后的结构, 在不同安全区域节点处全面部署防火墙, 覆盖各区域内网络的出入口。不同安全区域节点不仅仅指校园公网与各专网之间的节点, 也包括校园公网中用户终端与服务器群之间的节点、专网中接入终端与应用服务器之间节点、专网中应用服务器和数据库服务器之间节点等等。网络结构的优化是全面区分不同网络安全区域的指南针, 也是全面部署防火墙设备的导航灯。全面性也是多层次防火墙体系的重要基础。

(2) 差异性。在整个校园网防火墙体系中, 从校岡网络出口防火墙到服务器群防火墙、再到数据库防火墙, 在网络拓扑的垂直链路使用不同厂商的防火墙, 确保链路区域不会因同一厂商防火墙可能存在安全漏洞而第二次攻破。而在并列平行区域从管理性角度出发可考虑使用同一厂商的防火墙, 如服务器群所划分的四类区域的出口、各专网同服务器群连接的出口。

(3) 多样性。目前硬件防火墙都集成了众多功能, 包括网络层的任过滤访问控制以及各种应用层的监测、验证功能, 在防火墙性能允许的条件下, 使用更多的功能不断确保网络安全。同时针对不同安全区域内的网络安全, 有侧重地选择不同类型的防火墙。如服务器群防火墙生要用于用户对服务器访问时检查, 因此可选用过滤防火墙。

(4) 冗余性。作为连接不同网络区域的节点设备, 其在网络结构中的重要性不言而喻, 因此防火墙设备的冗余性不可或缺, 尤其是校园网出口防火墙以及服务器群防火墙, 在条件允许的情况下逐步实现防火墙的冗余, 不断完善校园多层次防火墙体系结构。

2 高职院校多层次防火墙体系的构建

网络结构的优化进一步明确了防火墙部署的位置, 同时防火墙的部署也进一步区分了各网络安全域的区域, 防火墙是不断完善网络安全的重要手段, 因此构建多层次防火墙体系是优化网络安全的必然要求。

(1) 防火墙体系的建立

在校园网络结构优化的基础上, 防火墙体系结构总体分为校园公网和内部专网两大类, 校园公网和各内部专网间分别部署防火墙保证不同网络安全域之间的相对独立。

在内部专网防火墙体系中, 以一卡通专网为例, 分别是前端应用区、中端服务区以及后端数据区, 在三个安全域之间分别部署一卡通应用防火墙、一卡通数据库防火墙。

在校园公网防火墙体系中, 其结构同专网防火墙结构相类似, 至上而下同样分为前端应用区、中端服务区以及后端数据区, 这里的前端应用指的是校园网的用户, 终端服务区指的是提供校内外各种服务的服务器, 后端数据同样指的数据库。稍微有点不同是, 校园公网多出一块internet外网区域, 需在前端应用层之前额外部署一台防火墙。因此将校园公网划分为四个区域后, 则需要用三层防火墙进行隔离, 分别为校园公网出口防火墙、服务器群防火墙 (校外信息宣传、校内信息管理、网络教学平台、图书馆电子资源) 和公网数据库防火墙。

(2) 防火墙体系目标的实现

校园公网调用内部专网数据时通过各专网的数据交换防火墙实现连接, 校园公网防火墙体系、内部专网防火墙体系以及通过专网数据交换防火墙的连接构成了整个校园网络多层次防火墙的体系。此体系实现了防火墙部署的全面性、差掉性、多样性、冗余性的目标。

全面性体现在通过校园网络各专网各安全域的划分, 在不同等级安全域之间全面布置防火墙, 保证各安全域的相对独立以及相互之间的网络安全。差异性体现在校园公网防火墙体系中, 校园公网出口防火墙、服务器群防火墙以及公网数据库防火墙使用不同厂商的防火墙, 以防止网络攻击通过同一手段直接攻破三层防火墙体系, 专网防火墙体系中亦是如此。而在专网相同结构的体系中, 由于是完全独立的两个专网, 因此可使用相同型号的防火墙。

多样性体现在防火墙选型的多样性以及应用的多样性。在选型上, 根据安全域的需求选择不同类型的防火墙。

冗余性在目前校园网络结构实现上相对欠缺, 只有校园公网出口防火墙实现了冗余, 随着下一步资金到位后设备的成功采购, 按防火墙所处位置的重要性, 逐步实现防火墙的双机冗余, 进一步确保校园多层次防火墙体系的完善。

3 结束语

在网络调整和优化过程中, 一定要从学校的实际情况发出, 正确把握网络的现状以及调整的目标, 统筹全局, 科学规划, 在每一次网络进行调整前做好周密的部署及预案, 充分考虑每一次调整可能对全局产生的影响, 确保网络在调整中不断优化。

参考文献

[1]赵刚.浅谈校园网地址设计原则[J].西昌学院学报.2011.

[2]曾勘炜, 盛鸿宇.防火墙技术标准教积[M].北京理工大学出版社.2007.

防火墙与防火墙的渗透 篇2

防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机，简单的防火墙可以由Router,3LayerSwitch的ACL(accesscontrollist)来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。

防火墙的功能有：

1、过滤掉不安全服务和非法用户

2、控制对特殊站点的访问

3、提供监视Internet安全和预警的方便端点

防火墙并不是万能的，也有很多防火墙无能为力的地方：

1、防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外部网络的连接，那么，一些内部用户可能形成一个直接通往Internet的连接，从而绕过防火墙，造成一个潜在的backdoor.恶意的外部用户直接连接到内部用户的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。

2、防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。

3、防火墙对数据驱动式攻击也无能为力。

因此，我们不能过分依赖防火墙。网络的安全是一个整体，并不是有某一样特别出色的配置。网络安全遵循的是木桶原则。

一般防火墙具备以下特点：

1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP等;

2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏;

3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;

4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部，

防火墙能监视这样的数据包并能扔掉它们;

5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

让我们来看看传统的防火墙工作原理及优缺点：

1.(传统的)包过滤防火墙的工作原理

包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被 攻破。基于这种工作机制，包过滤防火墙有以下缺陷：

通信信息：包过滤防火墙只能访问部分数据包的头信息;

通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息;

信息处理：包过滤防火墙处理信息的能力是有限的。

比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限。

防火墙选购必读 篇3

一、企业的具体要求

企业安全策略中往往有些具体需求不是每一个防火墙都会满足的。这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：

1网络地址转换功能(NAT)

进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。

2双重DNS

当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。

3虚拟专用网络(vPN)

VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。

4扫毒功能

大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。

5特殊控制需求

有时候企业会有特别的控制需求，如E-mail，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、Ac-tiveX控件等，依需求不同而定。

二、与用户网络结合

1管理的难易度

防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙，除了包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易出错等管理问题，更是一般企业不愿意使用的主要原因。

2自身的安全性

大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。

大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时。防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则。进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。

3完善的售后服务

我们认为。用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其他操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。

4完整的安全检查

好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制只有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。

防火墙规则优化 篇4

防火墙对于保护网络系统的安全有很重要的作用。服务器将到达的数据包和防火墙中的规则逐条比较,直到找到与该数据包相匹配的规则。这条规则决定了该数据包的命运。防火墙规则的配置不当将大大影响防火墙的性能。现今虽然有不少文章研究了规则的异常检测,但并没有描述如何利用规则的异常检测对规则进行优化。

本文研究规则间的关系分类及规则冲突异常和处理,引入异常检测算法,避免规则之间出现矛盾、冗余。用户利用web页面参与规则管理,操作简单方便。同时,在保持规则间相互关系的基础上,利用日志管理系统的统计数据,对规则重新排序优化,将最常用的规则赋予高优先级,使到达的数据包可以快速地匹配到相应规则,从而降低规则比较的次数,实现Linux系统下的iptables规则优化。

1防火墙规则分析

1.1防火墙规则形式化表示

防火墙中保存着用户设置的规则集,相当于一个访问控制列表,用以决定当数据包到来时应该采取的操作。每个规则一般由三个部分组成:规则号、过滤域和动作域。规则号是规则在规则集中的顺序,保证了数据包匹配的次序。过滤域可以由许多项构成,但常用的有五项:源IP地址、目的IP地址、源端口、目的端口和协议。动作域通常有两种选择:接受和拒绝。因此,规则可以形式化表示为:

<规则号><协议><源IP地址><源端口><目的IP地址><目的端口><动作>或<order><protocol><sip><sport><dip> <dport> <action>

在本文中,所指的规则将采用上面的形式。规则顺序位置体现了一定的优先级,在前面的规则具有更高的优先级。ip地址可以是主机地址(如:192.168.123.116),或者是网络地址(如:192.168.123.*)。端口可以是具体的端口号,或者是用“any”表示的任意端口号。规则例子见表1。

1.2防火墙规则关系的定义

这里仅考虑规则的过滤域。

(1) 则A和规则B完全无关

当且仅当规则A的每个域不是规则B的对应域的子集(本文中的子集均是指真子集)、超集,且不相等。数学定义为,∀i:A[i]>/<B[i],其中><∈{⊂,⊃,=},i∈﹛协议,源IP地址,源端口,目的IP地址,目的端口﹜。

(2) 规则A和规则B完全相同

当且仅当规则A的每个域和规则B的对应域相等。数学定义为,∀i:A[i]=B[i],其中i∈﹛协议,源IP地址,源端口,目的IP地址,目的端口﹜。

(3) 规则A包含于规则B

当且仅当规则A和规则B不是完全相等,且规则A的每个域是规则B对应域的子集,或相等。数学定义为,∀i:A[i]⊆B[i]且∃j使A[j]≠B[j],其中i,j∈﹛协议,源IP地址,源端口,目的IP地址,目的端口﹜。例如,表1的规则3和规则2,规则3包含于规则2。

(4) 规则A和规则B部分相关

当且仅当规则A至少存在一个域是规则B的子集或超集或与之相等,且A至少存在一个域不是规则B的子集、超集且与之不等。数学定义为,∃i,j:A[i]><B[i],且A[j]>/<B[j],且i≠j,其中,><∈{⊂,⊃,=},i,j∈﹛协议,源IP地址,源端口,目的IP地址,目的端口﹜。例如,表1的规则6和规则8。

(5) 规则A和规则B相互关联

当且仅当规则A某些域是规则B的子集,而某些域是规则B的超集。数学定义为,∀i:A[i]><B[i],且∃i,j使A[i]⊂B[i],A[j]⊃B[j],其中><∈{⊂,⊃,=},i,j∈﹛协议,源IP地址,源端口,目的IP地址,目的端口﹜。例如,表1的规则1和规则2。

1.3规则冲突异常定义及处理

防火墙规则冲突异常可以定义为存在两个或者多个不同的过滤规则匹配同一个数据包。从上面的规则关系,我们可以分析归纳总结出规则A和规则B存在冲突异常,当且仅当规则A和规则B之间存在关系(2)或(3)或(5)。

当规则A和规则B完全相同时,若动作域相同,则存在冗余异常,删除两条规则中的任一条;若动作域不同,则规则设置存在错误,根据实际需要删除一条或都删除。处理的结果是使得规则集里,不存在完全相同的规则。

当规则A包含于规则B时,若动作域相同,删除规则A;若动作域不同,且规则A位于规则B前面,则不进行任何操作;若动作域不同,且规则A位于规则B后面,存在屏蔽异常,规则A不起作用,可根据实际情况,将规则A调至规则B前,或将规则A删除。处理的结果是,最多存在两个规则动作域不同,子集位于超集前面,两者有严格的顺序。

当规则A和规则B相互包含关联时,存在相关性交叉异常。若动作域相同,规则A和规则B的顺序位置对规则集没有影响,可以不进行任何操作;若动作域不同,则存在交叉冲突,可以另外生成一条规则,过滤域取两者的交集,动作域取规则A、B中优先级低的动作域。这里不另外生成规则,处理结果是在动作域不同时定义规则A、B间严格顺序。

2规则冲突异常检测处理的实现

2.1规则异常检测算法

一般的冲突异常检测算法含有大量if else语句,如文献[2],这里我们做一定的改进。由上面分析可知,rule1和rule2不存在冲突当且仅当它们的protocol,sip,sport,dip,dport至少有一项不是属于子集或超集或相等的关系。在本算法中,protocol ,sport,dport为整型,sip,dip为字符串型。protocol为0时表示任意协议,不同的整数值表示不同的协议;sport,dport为0时表示任意端口;action为0表示拒绝,为1表示接受。由于整数处理比字符串处理快,因此先比较protocol ,sport,dport域,再比较sip,dip域,最后根据action域判断规则关系并进行处理。设置两个整型参数:Flag和FFlag,Flag表示两条规则rule1、rule2之间的关系,FFlag表示rule1、rule2规则域之间的关系。FFlag共有4种取值:0、1、2、3; 0表示rule1的域(这里指过滤域)和rule2对应域不属于子集、超集或相等的关系,1表示rule1的域和rule2对应域相同,2表示rule1的域是rule2对应域的子集,3表示rule2的域是rule1对应域的子集。由过滤域的比较决定FFlag值,由第一项域比较结果FFlag值初始化Flag的值,此后Flag值在每一项域比较后由公式Flag=FFlag*Flag决定。如果FFlag值为0,则规则无冲突异常,跳出比较;如果Flag值为1,则rule1和rule2过滤域完全相同;否则计算Flag%2和Flag%3值,两者值均为0则rule1和rule2间存在相关性交叉异常,前者值为0后者非0则rule1是rule2的子集,前者非0后者为0则rule2是rule1的子集。再根据动作域,对规则进行或删除或调整顺序的处理。

在防火墙实验中,添加防火墙规则,每确定插入一条规则之前,将该规则与已有的每一条规则比较(置底的默认规则除外),检查是否有冲突或错误,根据检测的提示信息对规则处理。若无冲突,加入规则;若存在冗余或有错误,则删除,再重新编写规则;若存在屏蔽或交叉异常,则调整规则顺序。默认规则添加在最后,如表1中规则11。表1的规则表经过冲突异常检测处理后,见表2。

2.2根据规则命中率,对规则重新排序优化

随着时间增长,规则原有的顺序并没有体现出实际情况,数据包要寻找许久才能找到匹配的规则。有些规则匹配的次数高,有些规则匹配的次数低,可以将那些具有较高命中率的规则调到前面。在重新安排顺序时,要注意那些需要保持相互间严格顺序的规则。如表2中,规则1必须在规则2前面,规则2必须在规则3前面,规则2必须在规则5前面,规则4必须在规则5前面。本算法采用类似冒泡排序的思想,将hit值较高的规则调至前面位置,hit值表示一段时间内,规则命中率。需要调换位置的规则,在调换之前进行冲突检测判断,如果规则间存在先后顺序,不能调换,将hit值改变为较小值,即降低该规则的优先级。为了避免hit值的改变对排序的影响,设置标志位,表示在本趟排序过程中如果hit值有改变,则在本趟排序结束后不进入下一趟的排序,继续重新这一趟的排序。同时,为了避免数据的大量交换,这里只取规则编号和hit值进行排序。表2所示规则经重新排序前后由表3所示。

2.3规则重新排序优化算法的改进

在添加规则进行冲突异常检测时,可以保留一张规则冲突异常的关系表,记录顺序有严格要求的规则。这样在排序过程中就不需要调用规则冲突检测的函数,只要查找规则关系表查看next值,就知道是否可以将规则位置交换了。

3结论

本实验系统中用户利用web页面参与规则管理,操作简单方便。在实现防火墙规则的冲突检测功能基础上,利用日志管理系统的统计数据,对规则重新排序优化,提高防火墙的安全性,实现Linux系统下的iptables规则优化。

参考文献

[1]Gouda MG,Liu X Y A.Firewall Design:Consistency,Completeness,and Compactness[C].Proceedings.24th International Conference on,distributed Computing Systems,2004:320-327.

[2]Al-Shaer E S,Hamed H H.Firewall Policy Advisor for Anomaly Dis-covery and Rule Editing[C].Integrated Network Management,2003.IFIP/IEEE Eighth International Symposium on,24(28)March2003:17-30.

[3]Acharya S,Jia Wang,Zihui Ge,et al.Traffic-Aware Firewall Optimiza-tion Strategies[C].Communications,2006IEEE International Confer-ence on,June2006,5:2225-2230.

防火墙管理软件简化防火墙规则 篇5

防火墙管理的复杂性是很平常的。许多网络工程师喜欢手工或亲自进行防火墙管理,但随着时间的推移,这种方法有很多不便。没有自动化和分析功能的防火墙管理软件无法找出数以千计的规则和错误配置，可能会变成一种黑色幽默，网络安全高级管理人员产生挫败感。

“所以当涉及到这些错误时，我首先问的是‘我们如何管理这些设备的变更?’管理人员空洞的目光基本就告诉了我想知道的一切,”Lepine说。

为了让防火墙基础架构整合到所有的安全操作上，以及帮助组织完成从Cisco防火墙到Juniper Network SRX网关的困难迁移，Lepine需要保证防火墙管理软件可以让安全团队和网络团队都能使用。他还从AlgoSec那购买了防火墙管理软件，一种专门的防火墙变更与配置管理技术，AlgoSec也有很强的防火墙分析能力，能分析出影响网络安全和网络性能的是哪些防火墙规则和配置。

防火墙管理软件揭露出潜在的防火墙规则www.hanwangtx.com

AlgoSec产品能让Lepine与网络工程师们快速了解PIX防火墙，他们还发现手动的防火墙管理太过于复杂。在一台PIX 535中，Lepine说他们就发现了3000条防火墙规则。

Lepine说：“这是非常可怕的，而且其中的条都还是掩盖着的。这种PIX防火墙可能有之久了，并且这些设置的规则已经彻底失去控制了。没有人能处理，Cisco的人习惯用命令行模式做事。”

通过使用命令行，工程师们掩盖了数以千计的规则, Lepine说。每一次公司业务需要网络团队打开防火墙的一个端口时,工程师们就得在命令行接口筛选成百上千的规则。随着时间的推移,当工程师们在处理一个更改请求时，就没有时间去检查庞大的规则了，

“几年后，网络团队就会不考虑已存在的规则集说:‘好的,我会定义这个对象,打开这个端口以及通信路径,’。先前那些规则到结束都未被使用过，因为另外一个规则在事情发生前已被触发了，”他说。

AlgoSec软件能分析这个设备上的3000条规则，然后确定其中的2000条是多余的。Lepine在企业其他PIX设备上也运行了相同的防火墙审计规则。

他说：“因此，我们可以用AlgoSec软件做个快速评估分析，然后它会报告哪些规则从未使用过，只是防火墙上无用的毁坏的资源。”

防火墙管理软件减轻了经销商的转型

去年当PRGX开始用Juniper SRX网关替代原来老的思科PIX防火墙时，AlgoSec软件确实减轻了中间不少的困难。

“在这个迁移开始时，网络工程师讨论过让VAR（经销商）来帮助实现，” Lepine说，“我跟他们说有这么好的工具，你们为什么就不能用它呢？当时他们都非常惊讶。

这个防火墙管理软件可以很轻松地将PIX盒子里设置好的配置和规则迁移到SPX盒子。本来是3000条规则在PIX535，现在在SRX里才是一个600条的规则集。

从Cisco到Juniper的迁移绝非简单的事情，所以我们要给网络团队提供所有他们需要的信息来顺利完成迁移。

防火墙管理软件加强防火墙变更管理和配置管理

虽然PRGX的网络工程师对公司防火墙仍有所有权，但使用AlgoSec技术可加强防火墙变更管理策略，每次有人对它做更改时，Lepine团队都会得到一个通知，然后工程师们会通过公司变更票务系统来核实每次更改。

Lepine还在防火墙上实行了更严密的配置管理策略来应对更为苛刻的安全策略。

升级免疫“防火墙” 篇6

1、很容易感冒,每年都要有四五次甚至更多的感冒经历。

2任何感冒或感染都需要很长时间(至少8天)才能痊愈。

3、有点小毛病就吃药。

4、不想参与朋友的聚会,更喜欢呆在家里发呆。

5、感到情绪紧张,压力很大。常为琐碎的事情心绪不佳。

6、冬天,常常会冻伤手鞠。

7、睡眠不佳,常常是堆以入睡。即便睡着了,又老是在做梦状态。

8、早上总想赖床,觉得多睡一分钟就是赚。

如果你有2—3项情况发生,说明你的免疫系统存在着一些问题。如果你有4项以上说明你的免疫系统已经出现“消极怠工”的情况了。在面对病菌、病毒时你是最容易被感染的人,因此你经常会生病。

上班族苏枚,总是一副病歪歪的样子,平日里她总是感到特别疲劳,晚上回到家,疲惫的她很想睡个好觉,可偏偏睡不好。而且最令苏枚头痛的是:流感一来,她便首当其冲,而且得了感冒后还不容易康复,常常在医院一待就是半个月。为此,苏枚只好咨询医生。医生给苏枚全面检查后,告诉她,这是她免疫力低下的原因。

免疫力是人体以免疫器官和免疫球蛋白为物质基础,抵抗疾病、维持机体生理平衡的能力。如果免疫力低下的话,病毒细菌便会侵入身体,引发各种疾病。

哪些人容易免疫力低下

“挑嘴”一族:偏食最容易导致维生素A缺乏,而维生素A的主要功能之一是增强人体的免疫力。

“小甜甜”一族:食用过多的糖分,会导致食欲不振,脾胃虚弱。而且糖能导致体内失水,引起口干舌燥及上火症状,从而容易引发上呼吸道感染,所以长期吃高糖食物会降低人体免疫功能。

“威”不住一族:摄入盐分多,会使唾液分泌到口腔内的溶菌酶减少,降低抗病因子的分泌,无意间给病毒提供了侵入上呼吸道黏膜的机会。

美丽“冻”人族:早早穿上吊带背心,最晚一个脱下凉鞋。即使寒风刺骨,也挡不住对裙子的热爱……不注意保暖,受寒后,机体免疫力极易降低。

“夜猫子”一族:“吃一斤不如睡一更”,睡眠是人体各个器官进行自我修复的最佳途径。熬夜的代价就是免疫力大幅度下降,像感冒、胃肠感染、过敏等自律性神经失调症状都会找上门来。

运动“逃兵”族:早已对“沙发土豆”绰号不在乎,运动鞋只是在郊游的时候才派上用场,长期缺乏适量的运动,会导致身体生“锈”,身材走样还不是大问题,免疫系统功能降低才是最可怕的。

追求事“瘦”族:减肥好像成了女人终生的“事业”,体重减轻的同时,免疫力也跟着一路下滑。

“黄药师”一族:不记得从什么时候起,吃药成了城市人的一种时尚。一点小病就服用消炎药。即使没有病,也有理由吃着各种非严格意义上的药。补这个补那个的、抗这毒防那病的……钱花了不少,但身体似乎还是老样子。

被压力“征服”一族:白领一族长期处在巨大的工作压力之下,神经经常呈紧张状态。如果不能及时进行心理调节,会导致免疫因子数量的下降。免疫抗病系统无法发挥最佳效能。

升级你身体的“防火墙”

面对各种各样突如其来的病菌、病毒的侵害,我们的免疫力是第一道“防火墙”,是上天赐给我们常驻在身体里面的保护天使。所以,保护和学会增强你的免疫功能,就是给健康把好关!

升级“防火墙”之一:运动

适度锻炼可以使血液中白细胞增多,进而增强自然杀伤病菌的细胞的活性,消灭病毒和癌细胞,并促使身体释放出使人兴奋的应激素。从而达到提高人体免疫力的目的。而且运动时,出汗和血液循环的加快可帮助身体将毒素尤其是皮肤上的毒素排出。所以说运动能够有效地调动机体活力,缓解精神压力,增强免疫系统功能。

每天只要运动30-45分钟,每周坚持5天,持续12周后,免疫细胞数目会增加,抵抗力也相应增强。运动只要达到心跳加速即可。以下运动可使锻炼者的心跳频率达标:

▲快步走30-40分钟,让身体慢慢流汗。

▲骑脚踏车。感觉有点喘但不要喘到不能说话的程度。运动持续30-40分钟即可。

▲跳绳、爬山、瑜伽都能增强心肺功能。

升级“防火墙”之二:摩胸擦背

胸腺素是人胸腔前部胸腺分泌的一类由氨基酸组成的蛋白质和肽激素。它可以使T淋巴细胞具有免疫功能。摩擦胸部能调节胸腺的应激系统,使“休眠”的胸腺细胞处于活跃状态,推迟衰老。

脊柱是督脉所在,脊柱两旁的足太阳膀胱经与五脏六腑有着密切关系,对脊背部进行摩擦,能激发和增强经络之精气,促进气血流通,调和脏腑功能。人的背部皮下有大量功能很强的免疫细胞,平时这些免疫细胞安静地“沉睡”在那里,擦拭背部时激醒了“休眠”的免疫细胞,于是,它们会奔向人身体的各处搜寻和消灭侵入的细菌病毒。

摩擦胸背的具体做法如下:摩胸时用右手掌按在右乳房上方,手指斜向下,适度用力推至左下腰,然后再用左手从左乳房上方斜推至右下腰。如此左右手交叉进行,一下一上为一次,共推30次,每~,3ra。擦背的手法是,两手按在腰背部脊柱两旁的弯曲处,然后适度用力向下擦至尾骨处。两手交叉进行,一上一下为1次,共擦30次,每天3回。摩擦次数也可根据体质情况及耐受力而定,摩擦胸背提高免疫力的关键在于持之以恒。

升级“防火墙”之三:均衡营养

均衡的营养不仅能满足人体的需要,而且面对来势汹汹的各种病毒和病菌时,也可让免疫系统发挥最佳功效,抵抗病毒和病菌侵入。那么哪些食物是提高免疫力的功臣呢?

▲蔬菜、水果

多吃深色的蔬菜和水果,其中富含维生素、纤维素、微量元素。各种营养素中以维生素c、维生素B族、维生素E及β-胡萝卜素与免疫力关系最为密切。

▲茶叶

茶叶(特别是绿茶)中,含有丰富的天然抗氧化剂和大量茶多酚,这些物质能够增强人体对入侵病菌、病毒和真菌的免疫力。长期试验表明,经常喝绿茶的人免疫细胞分泌的干扰素是不喝茶的人的5倍。

▲葱姜蒜

大蒜是天然的抗菌素,葱和姜含有丰富的矿物质硒。硒能保护细胞膜的结构功能,抵抗和降低体内有害元素的入侵,还能促进正常细胞增殖和再生,提高免疫力。

▲高蛋白食物功不可没

蛋白质是构成白血球和抗体的主要成分。蛋白质严重缺乏的人会使免疫细胞中的淋巴球数目大减,造成严重免疫机能下降。海鱼是优质的低脂肪、高蛋白食物,可增强免疫力,保护心脏。海带含有丰富的钙和海藻酸钠,对提高免疫力也很有益处。像鸡蛋、瘦肉等也不能缺少。

升级“防火墙”之四:心情愉快

在快节奏的现代生活中。每个人都可能遭遇到各种突发事件,或者心理上遭受不同程度的打击,不良情绪会影响身体免疫系统的功能发挥。保持愉快的心情可以刺激神经系统,激活人体各方面的生理机能,是提高免疫功能和修复功能的良药。所以保持好心情,也是增强免疫力的好方法。

▲多开怀大笑

大笑可以减少压力激素。而且开心一笑会增加唾液中的抗体。

▲每天花5分钟做个白日梦

浅析防火墙技术 篇7

关键词：防火墙,防火墙技术原理,网络安全

1 引言

互联网络技术的发展和使用的迅速普及给我们的工作、学习和生活带来了巨大的改变,特别是我们获得外部信息,共享资源不再受到时间和空间的约束。但随着网络技术的发展,因特网的资源共享与开放模式,使得网络安全问题日益突出。因而,网络的安全成为人们最为关注的问题。在各种网络安全工具中,最成熟、最早产品化的网络安全机制就是防火墙技术。

2 防火墙概述

2.1 什么是防火墙技术

防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义。防火墙的英文名为“Fire Wall”,它是目前一种最重要的网络防护设备。从专业角度讲,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。(一般防火墙示意图如图1所示)

2.2 防火墙技术原理

防火墙实质上是一种隔离控制技术,其核心思想是在安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软、硬件兼而有之。

2.2.1 包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。(包过滤防火墙工作原理图如图2所示)

2.2.2 应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(应用网关防火墙工作原理图如图3所示)

2.2.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(状态检测防火墙工作原理图如图4所示)

2.2.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

2.3 防火墙功能

2.3.1 防火墙可以作为网络安全策略的焦点

把防火墙作为网络通信的阻塞点,所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。

2.3.2 防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。

2.3.3 防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

2.4 防火墙技术的发展

传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着网络安全的发展,防火墙技术也得到了发展,综观防火墙产品近年内的发展,可将其分为四个阶段。

第一代防火墙:基于路由器的防火墙。由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代防火墙:用户化的防火墙。这一阶段的防火墙技术主要特征是:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可自己动手构造防火墙。与第一代防火墙相比,安全性提高而价格降低了。

第三代防火墙:建立在通用操作系统上的防火墙。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。它以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。

第四代防火墙:具有安全操作系统的防火墙。这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。

3 防火墙在网络安全中的应用

随着计算机网络在我国的迅速发展,特别是与国际计算机网络互连之后,网络系统的安全问题越来越受到重视。防火墙是为保护计算机系统安全运行而常常采用的一种技术措施,在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。主要目的是保护一个网络不受来自另一个网络的攻击。通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。

对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的放行,不符合的拒之门外。防火墙是用来实现网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。

4 结束语

网络安全技术是一个十分复杂的系统工程。随着Internet的迅猛发展和网络攻击手段的不断变化,防火墙技术值得研究的课题仍很多,如防火墙怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好地防护网络的安全。

参考文献

[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安教育学院学报,2006,19[2].

[2]梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1990,[6].

[3]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[4]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,40[9]:147-149.

[5]魏洪波,王海燕.基于Internet的防火墙原理及设计[J].中国数据通信,2002,[8]:8-11.

Internet防火墙 篇8

随着电子计算机的迅猛发展、计算机的应用日趋深入和普及。网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。但是,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好的解决问题,必将阻碍信息化发展的进程。网络安全是网络正常运行的前提,需要从物理、网络、系统、应用和管理方面进行立体的防护。安全风险主要来源是:自然因素、物理破坏、系统不可用、备份数据的丢失、信息泄漏等。

一个安全、适用的网络系统必须要保证网络系统的可用性、机密性、完整性、可控性与可审查性。这需要采用一定的安全策略来保证网络安全性能的实现。网络安全策略主要有防火墙技术、漏洞扫描技术、地址转化技术(NAT技术)、VPN技术、网络加密技术、认证技术、网络的实时检测技术、实时响应与恢复技术等。本论文详细阐述采用防火墙技术实现计算机网络系统的安全。

1 网络安全技术方案——防火墙技术

1.1 设计原则

(1)在不改变网络原有的基本性能特点的同时也能大幅度地提高网络系统的安全性和保密性;

(2)在不影响原网络拓扑结构的同时也便于系统及系统功能的扩展;

(3)易于操作、维护,便于自动化管理。

1.2 防火墙的概念原理

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,它一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构;另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。因此要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查(图1)。

防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备—路由器、计算机或其他特制的硬件设备。

1.3 防火墙技术

防火墙技术主要有包过滤技术、应用网关技术、代理服务技术、状态检测技术。在实际应用中,构筑防火墙的真正解决方案很少采用单一技术,通常是多种解决不同问题的技术的有机组合。

(1)包过滤技术。包过滤是最早使用的一种防火墙技术,该技术是防火墙在网络层中根据数据包头信息有选择地实施允许通过或阻断。依据防火墙内事先设定的规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过(如图2),其核心是安全策略即过滤规则的设计。

包过滤的第一代模型是“静态包过滤”(Static Packet Filtering),后来发展更新的“动态包过滤”(Dynamic Packet Filtering)增加了传输层(Transport Layer),简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。

(2)2、应用网关技术。应用网关(Application Gateway)是针对每个应用使用专用目的的处理方法,它不必担心不同过滤规则集之间的交互影响对外部提供安全服务的主机中的漏洞,只需仔细检查选择的应用程序。

应用网关的优点是易于记录并控制所有的进出通信,并对Internet访问做到内容级的过滤,控制灵活而全面,安全性高。应用级网关具有登记、日志、统计和报告功能,有很好的审计功能,还具有严格的用户认证功能。但应用网关也有维护困难,速度慢的缺点。

(3)代理服务器技术。代理服务器(Proxy Server)工作在应用层,它用来提供应用层服务的控制,在内部网络向外部网络申请服务时起到中间转接作用。具体地说,代理服务器位于客户机与服务器之间,当客户机需要使用服务器的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部主机之间没有直接的数据通道,外部的恶意侵害也就伤害不到企业内部网络系统。

代理的实现过程如图3。

代理技术的优点是能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。但代理技术也有其实现困难的缺点。

4、状态检测技术

态检测技术(Stateful Inspection)相当于结合了包过滤技术和应用代理技术,通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。该技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(Session Filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步避免了可能因为开放端口过多而带来的安全隐患。

2 防火墙的体系结构

2.1 双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当外部网络和内部网络之间的路由器,相当于内部网络和外部网络的跳板。所以它能够使内部网络到外部网络的数据包直接路由通过,然而双重宿主主机的防火墙体系结构不允许这样直接地通过。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信,但内部网络与外部网络不能直接通信,它们之间的通信必须经过安装了防火墙的双重宿主主机的过滤和控制,因此双重宿主主机体系结构能够提供级别比较高的控制,可以完全禁止外部网络对内部网络的访问。

2.2 被屏蔽主机体系结构

被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开。在这种体系结构中,主要的安全由数据包过滤提供。这种体系结构中包括堡垒主机。任何外部的系统要访问内部的系统或服务都必须要连接到堡垒主机,在屏蔽路由器上设置数据包过滤策略,使所有的外部连接只能到达内部堡垒主机,因此堡垒主机要保持更高等级的主机安全。

2.3 被屏蔽子网体系结构

被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个DNS,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。

3 防火墙的选择

(1)有较强的适应能力。Internet每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的可适应性是很重要的。

(2)产品自身要安全。大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略一点,防火墙也是网络上的主机设备,也可能存在安全问题。防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。

(3)有良好的整体协调性。整体协调性也是选择防火墙必须注意的问题,因为整体协调性关系到网络系统的整体安全问题,而整体安全问题是我们在防范安全的一个最最重要的地方,一般来说好的防火墙应该是整体协调性好,利用这种产品可以对企业的整体网络进行保护,并能弥补其它操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。

(4)工作方式要正确。挑选防火墙时,必须理解防火墙的工作方式才能评估它是否能够真正满足自己的需要。为了找出适合用户所在组织的最佳防火墙产品,用户必须将自己的需求映射到特定的防火墙类型上。

(5)要能对付潜在威胁。潜在威胁是我们在选择防火墙时,也应该认真考虑的因素:若入侵者闯入网络,将要受到的潜在的损失;其他已经用来保护网络及其资源的安全措施;网络受威胁的程度;由于硬件或软件失效,或防火墙遭到“拒绝服务攻击”,而导致用户不能访问Internet,造成的整个机构的损失。

(6)设计的策略要符合原则。防火墙本身支持安全策略;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上。

(7)要能满足特殊要求。企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一。常见的需求如:双重DNS、网络地址转换功能(NAT)、虚拟专用网络(VPN)、扫毒功能、特殊控制需求等。

(8)其他方面的细节。没有一个防火墙的设计能够适用于所有的环境,所以建

议选择防火时,还应根据站点的特点来选择合适的防火墙;不要把防火墙的等级看得过重;要考虑管理的难易问题等。

4 小结

需要明确说明的是,计算机网络安全技术有许多种,防火墙只是其中一种。本论文采用用防火墙技术实现网络安全的方案,但该安全方案并不能杜绝对网络的所有侵扰和破坏,它的作用仅在于最大限度地防范。

参考文献

[1]郭军,网络管理.[M].北京:北京邮电大学出版社,2001年.

[2]白以恩.计算机网络基础及应用.[M].黑龙江:哈尔宾工业大学出版社,2003.

[3]杨波,网络安全理论与应用,北京:电子工业出版社,2002年.

[4]顾巧论,蔡振山,贾春福,计算机网络安全,北京:科学出版社,2003年.

[5]慕德俊,网络信息安全技术,西北工和大学出版社,2005.

[6]胡道元,网络安全,清华大学出版社,2003.

如何使用防火墙 篇9

防火墙是网络安全中非常重要的一环, 大多数的单位多半认为仅需要安装一套防火墙设备, 就应该可以解决他们的安全问题, 因此不惜重金购买防火墙, 但却忽视了防火墙的配置。防火墙功能的强大与否, 除了防火墙本身的性能外, 主要是取决对防火墙的正确配置。在我们与使用防火墙的用户接触中, 发现常常由于防火墙配置的错误, 而留下一些系统安全漏洞, 让入侵者有机可趁。

在装有防火墙产品的网络中, 内部网络的安全性将在一定程度上依赖于防火墙产品的规则配置。由于一些配置在本质上比其它的配置更安全, 因而网络安全系统的一个重要组件, 在复杂的没有条理性的配置上想要获得安全性是很困难的, 或许是不可能的。一个将网络安全时刻放在心上并清楚地组织网络防火墙的配置, 使其易于理解和管理, 几乎肯定是更加安全的。对于使用防火墙的用户来说, 最合适的网络配置依赖于对网络安全性、灵活性及数据传输速度的要求。因为防火墙规则的增加会影响其速度, 不过现在有些防火墙产品在加一千余条规则后, 其传输速度也不受太大的影响。

2 安全、可靠的防火墙的实现

建立一个条理清楚的防火墙规则集是实现防火墙产品安全的非常关键的一步。安全、可靠防火墙的实现取决于以下的过程:

2.1 制定安全策略, 搭建安全体系结构

安全策略要靠防火墙的规则集来实现的, 防火墙是安全策略得以实现的技术工具。所以, 必须首先来制定安全策略, 也就是说防火墙要保护的是什么, 要防止的是什么, 并将要求细节化, 使之全部转化成防火墙规则集。

2.2 制定规则的合理次序

一般防火墙产品在缺省状态下有两种默认规则:一种是没有明确允许, 一律禁止;另一种是没有明确禁止, 一律允许。因此用户首先要理解自己所用产品的默认状态, 这样才能开始配置其它的规则。

在防火墙产品规则列表中, 最一般的规则被列在最后, 而最具体的规则被列在最前面。在列表中每一个列在前面的规则都比列在后面的规则更加具体, 而列表中列在后面的规则比列在前面规则更加一般。按以上规则要求, 规则放置的次序是非常关键的。同样的规则, 以不同的次序放置, 可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包, 当防火墙接收到一个信息包时, 它先与第一条规则相比较, 然后才是第二条、第三条……, 当它发现一条匹配规则时, 就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配的规则, 那么默认的规则将起作用, 这个信息包便会被拒绝。

另外有些防火墙产品专门将对防火墙本身的访问列出规则, 这要比一般的包过滤规则严格的多, 通过这一规则的合理配置, 阻塞对防火墙的任何恶意访问, 提高防火墙本身的安全性。

2.3 详细的注释, 帮助理解

恰当地组织好规则之后, 还建议写上注释并经常更新它们。注释可以帮助明白哪条规则做什么, 对规则理解的越好, 错误配置的可能性就越小。同时建议当修改规则时, 把规则更改者的名字、规则变更的日期、时间、规则变更的原因等信息加入注释中, 这可以帮助你跟踪谁修改了哪条规则, 以及修改的原因。

2.4 做好日志工作

日志的记录内容由防火墙管理员制定, 可记录在防火墙制定, 也可放置在其它的主机。建议防火墙管理员定期的查看日志的内容, 归档, 便于分析。同时要将被规则阻塞的包及时的通报管理员, 以便及时了解网络攻击的状况, 采取应急措施, 保护网络的安全。

3 结束语

防火墙故障排除案例 篇10

防火墙是目前使用最为广泛的一种网络安全技术。它是不同网络或网络安全域之间信息的惟一出入口, 能根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。在构建安全网络环境的过程中, 防火墙作为第一道安全防线, 既可为内部网络提供必要的访问控制, 又不会造成网络的瓶颈, 并通过安全策略控制进出系统的数据, 保护网络内部的关键资源。由此可见, 对于连接到Internet的企业内部网络而言, 选用防火墙是非常必要的。下面就结合笔者所用的天融信防火墙经常遇到的几种故障实例, 来谈谈如何防护墙的维护。

实例一:客户机无法Telnet或GUI管理防火墙

遇客户机无法Telnet或GUI管理防火墙的情况, 应首先检查防火墙登录控制中是否允许Telnet或GUI管理, 若防火墙客户端列表中无Telnet或GUI管理, 则增加防火墙Telnet或GUI管理登录客户。注意, 正确选择登录客户的类型和正确填写该登录用户的IP地址范围。

其次, 检查登录源主机的IP是否在设定的IP地址范围内, 若不在设定范围内, 则更改源主机的IP在设定的IP地址范围内。这一点特别要注意, 很多防火墙维护人员为了方便, 无限制地扩大了管理防火墙的IP地址范围, 这样无疑给整个网络增加了新的安全隐患。然后, 检查该防火墙是否为首次使用的新墙, 如果是, 则确认使用集中管理器 (GUI管理) 登录防火墙的计算机应连接在防火墙ETH2内网接口上。

最后, 检查是否有相同用户名的用户已经登录防火墙, 由于同名用户不允许在同一时间登录同一台防火墙, 因此若同用户已经登录则应更该登录用户名, 这个现象经常会遇到, 特别是那种网页式的防火墙, 虽然限定了用户的无响应时间, 但在这个时间段内从别的计算机登录时则无法管理防火墙。

实例二:增加策略禁止某主机, 该主机仍能通过防火墙。

这种情况下首先应检查该主机与通信目标主机间的通信通道是否经过防火墙, 如果不经过防火墙, 再好的策略也无法起作用, 也不能通过增加防火墙策略禁止该主机和目标主机间的通信。其次, 检查是否已有策略允许该主机通过防火墙, 若存在该许可策略则删除掉, 大部分防火墙都遵循策略序号, 即是从策略序号小的开始执行, 一旦一条策略对某台主机生效后, 后面针对该台主机的策略也是无法执行的, 这一点要特别注意。最后, 检查测试源主机是否配置双网卡以及多个IP地址, 若是则禁用其中一个网卡。

实例三:IP地址绑定未起作用

遇到这种情况时应该认真分析, 其实IP地址绑定分为IP地址与MAC地址绑定和IP地址与用户绑定。当IP地址绑定未起作用时, 检查绑定IP是否经过其他路由设备 (路由器、三层交换机) 才到达防火墙, 由于通过路由设备后IP地址已被更改, 原绑定IP地址失效, 解决方法是更改路由设备为交换设备。

实例四:使用防火墙后原本可互相访问的主机无法通信

出现此问题主要有以下几个原因:

第一, 主机所在的不同区域配置成disable, 应保证区域配置为enable。

第二, 通信双方主机在同一网段, 防火墙设置的VLAN不包含主机所在的区域, 应检查防火墙的VLAN设置, 必须有一个VLAN包含主机所在的区域。

第三, 通信双方主机不在同一网段, 主机间没有路由设备, 防火墙配置成透明模式, 应在防火墙的两个接口上配置相应的IP地址, 并把防火墙配置为路由模式。

第四, 通信双方主机不在同一网段, 主机间有路由设备, 没有主机与路由设备在同一防火墙VLAN中, 应保证其中一台主机与路由设备在同一个防火墙VLAN中。

第五, 主机所在的区域访问策略中有禁止主机双方通信的策略, 或主机所在区域的缺省访问权限是禁止的, 应删除禁止访问策略, 并保证缺省访问权限是允许的。

经验总结

在很多人眼里, 防火墙无疑是“高大上”的, 但作为网络安全运维人员角度来看, 防火墙无疑就是“软件+硬件”的结合体, 最重要的部分就是软件, 软件水平的高低直接决定了防火墙的性能。默认情况下, 所有的防火墙都是按拒绝所有的流量或允许所有的流量, 因此在防火墙的配置中, 首先要遵循的原则就是安全实用, 从这个角度考虑, 在防火墙的配置中需坚持以下三个原则。

一是简单实用原则。对防火墙环境设计来讲就是越简单越好。越简单的实现方式, 越容易理解和使用。而且是设计越简单, 越不容易出错, 防火墙的安全功能越容易得到保证, 管理也越可靠和简便。目前常用的防火墙在基本功能上都或多或少都增加了一些特殊功能, 但这些增值功能并不是所有应用环境都需要, 在配置时可针对具体环境进行配置, 不必对每一功能都详细配置。

二是全面深入原则。单一的防御措施是难以保障系统安全的, 只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中, 不要停留在几个表面的防火墙语句上, 而应系统地看等整个网络的安全防护体系, 尽量使各方面的配置相互加强, 从深层次上防护整个系统。