基于混合式结构的中小型企业防火墙的研究与设计
VIP免费
基于混合式结构的中小型企业防火墙的研究与设计
第一章 绪论
1.1 课题研究背景
防火墙作为一种安全手段,在网络中用得非常普遍。传统的防火墙设置在网络边界,称
之为“边界防火墙”,它将受保护部分和外部隔离开来,从而达到限制访问、防止攻.击的目
的。但是,传统边界防火墙建立在受限拓扑和受限入口点的概念之上,准确地说,它们建立
在这样的假定之上:每个人口点即防火墙内部的人是可信任的,所有外部的人是潜在的敌人 。
随着因特网日新月异的发展,传统边界防火墙的局限性开始显露出来。从安全角度讲:传统
边界防火墙只在网络边界具有安全保障功能,效力范围有限,而当前的网络犯罪又多源于网
络内部;传统防火墙位于网络边界点,容易产生单一故障点,防火墙一旦被攻破,将成为黑
客攻击内部网络的最佳平台;传统防火墙采用 IP 地址表示内部网络可信任节点,难以抵御
IP 伪装。从技术角度讲:网络数据所有对外流出和对内流人都必须经过防火墙,容易产生流
量瓶颈;传统防火墙的实现基于人为地将网络分为内部可信任网络和外部不可信网络,这种
针对特定的网络拓扑实现的防火墙难以满足网络多元化的发展要求;代理防火墙虽然可以解
决会话的上下文关系,但必须对不同的服务编写不同的程序,实现起来十分复杂;传统防火
墙不是信息的最终用户,对于加密数据由于没有信息解密密钥而无法进行检测,难以抵御隧
道攻击。上述缺陷严重制约了网络技术的应用和发展。个人防火墙的出现弥补了传统防火墙
的一些缺陷,它更明确主机会话的上下文关系,同时为网络增加了一道安全屏障,但是它仍
然无法从根本上解决内部网络的安全问题。首先,个人防火墙仍然依赖网络拓扑结构,容易
受IP 地址欺骗;其次,个人防火墙难以统一,网络管理难度大;最后,个人防火墙无法实
现安全策略的统一配置和管理。面对这种情况,人们提出了分布式防火墙的概念,来满足网
络发展的新情况。本文研究了人们在该领域的进展情况,全面介绍了分布式防火墙的原理、
体系结构,并设计了一种适用于小型网络的分布式防火墙框架,最后对分布式防火墙的未来
发展做出了预见。
1.2 国内外研究现状
网络防火墙市场是一个充满机会和竞争的市场。在国际防火墙市场上, Checkpoint
Software 公司和Cisco 公司占有的市场份额最多。我国的防火墙高端产品市场仍由国外的防火
墙厂商占领,中低端市场则参差不齐,各有份额。国外的 Checkpoint Firewall-1 防火墙、Cisco
PIX 防火墙、NetScreen 防火墙等在产品功能和质量方面的优势,使得国内许多大型客户纷纷
采用。目前,国内的防火墙产品也越来越多,出现了许多专业防火墙公司。
分布式防火墙的理论虽然才提出不久,但由于它相对于传统防火墙的优点、面向企业用
户的特点以及客户对安全的更高的需求,国内外许多著名安全专家和学术组织已经开始在分
布式防火墙技术领域进行深入的研究和探讨。世界领先的网络安全产品生产商和咨询服务提
供商一一美国瑞安软件有限公司从1999 年就开始推出了 CyberwallPlus 系列产品,成为了分
布式防火墙技术的领先厂商。在我国也己有公司开发了自主的分布式防火墙产品。北京安软
科技有限公司推出的 EverLink DistributedFirewall 通过提供同意的安全策略管理机制,为企
业构建一个方便易用的网络安全平台。它不仅适用于大中型组织结构,同样适用于与公用网
直接相连地个人用户、处于移动办公环境中的商业经理和小企业用户等。目前总的来说国外
的一些著名网络设备开发商在分布式防火墙技术方面更加先进,所提供的产品性能也比较高 ,
采用“软件+硬件”形式。主机防火墙集成了分布式防火墙技术的硬件产品,而防火墙服务器
则采用软件形式,以适应更加灵活和高智能的要求,如3COM, CISCO、美国网络安全系统
公司的嵌入式防火墙产品。3Com 最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙
解决方案,它们被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入
式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从
而提供了分布式防火墙技术,并创建了一个更完善的安全基础架构。不过也有许多是以纯软
件形式提供的,如中洲的网警(NetCop)分布式防火墙等。
总而言之分布式防火墙还属于暂露头角的新兴技术,但无疑是目前较为先进的防火墙技
术,它可以有效地完成传统防火墙的任务,同时也能够弥补传统防火墙的不足,对来自计算
机网络内部的攻击进行防御。但是由于目前技术及理论研究都还没有完全成熟,而且传统防
火墙己经经过数十年的发展,技术上相对成熟,目前在大多数的计算机网络上使用,因此分
布式防火墙取代传统防火墙还有待时日。但是随着 Internet 技术的发展,分布式防火墙具有更
广阔的前景,无疑将会成为下一代的防火墙。
第二章 分布式防火墙概述
2.1 传统边界防火墙存在的主要问题
传统防火墙由于部署在网络边界而被称边界防火墙。边界防火墙在企业内部网与外部互
联网之间构成一道屏障,负责进行网络存取控制。传统边界防火墙建立在受限拓扑和受限人
口点的概念之上,准确地说,它们建立在这样的假定之上,每个人口点即防火墙内部的人是
可信任的,每个外部的人至少是潜在的敌人。这种防火墙在物理上严格区分内部网和外部网 ,
内部网和外部网之间只有唯一的通道,防火墙则死守这一“咽喉要道”。随着网络安全技术
的深人发展,边界防火墙逐渐暴露出一些弱点,具体表现在以下几个方面:
(1)防外不防内。传统防火墙对内部数据流无法监视,全然不知,自然谈不上防止内部攻
击,而实际上据统计 50%的攻击来自防火墙内部,防范内部攻击必不可少。
(2)“瓶颈”问题。一方面网络带宽越来越高,这要求防火墙有很高的吞吐量,另一方
面,黑客的攻击方法也越来越多,防火墙处理的规则也必然越来越复杂,使防火墙处理速度
下降。因而防火墙的功能(即防范攻击的能力)和性能(即处理速度)之间是一对矛盾。
(3)“单点失效”问题。防火墙集万千重任于一身,因而一旦防火墙配置不当或出现问题
则全网皆暴露于攻击者面前。
(4)未授权访问问题。多样化的连接方式诸如隧道、无线连接和拨号访问等可使个人很容
易建立一个绕过防火墙的连接,给网络留下一个后门,造成网络安全隐患。
(5)网络新业务受到限制。外联网、移动用户和通过网络在家办公(Telecommuting )等新
业务新需求的出现使得内网的概念难以维持。
(6)端到端的加密对防火墙造成威胁。传统的网络协议没有使用加密,因而防火墙能对数
据流实施过滤。当加密技术和新一代网络协议被使用的时候,防火墙因为没有密钥而不能理
解流过的数据包的内容,从而不能实施检查。
(7)安全模式单一。传统防火墙的安全策略是针对全网制定的,全网中的所有主机遵从单
一的安全模式,网络中的主机和防火墙在安全性上不具针对性和个性特点。
2.2 分布式防火墙的提出
由于传统防火墙的缺陷不断显露,于是有人认为防火墙是与现代网络的发展不相容的,
并认为加密的广泛使用可以废除防火墙。但加密不能解决所有的安全问题,防火墙依然有它
的优势,比如通过防火墙可以关闭危险的应用,通过防火墙管理员可以实施统一的监控,也
能对新发现的 bug 快速做出反应等。也有人提出了对传统防火墙进行改进的方案,如多重边
界防火墙,内部防火墙等,但这些方案都没有从根本上摆脱拓扑依赖,因而也就不能消除传
统防火墙的固有缺陷,反而增加了网络安全管理的难度。个人防火墙的出现弥补了传统防火
墙的一些缺陷,它更明确主机会话的上下文关系,同时为网络增加了一道安全屏障,但是它
依然无法从根本上上解决内部网络的安全问题。首先,个人防火墙依然依赖网络拓扑结构,
容易受 IP 地址欺骗;其次,个人防火墙难以统一,网络管理难度大;最后,个人防火墙无
法实现安全策略的统一配置和管理。企业中大多数部门员工并非从事计算机行业,为使每个
员工掌握防火墙配置技术而对其进行复杂的网络和网络安全知识培训是不现实的。另外,由
不精通网络安全知识的员工配置防火墙,导致防火墙形同虚设。因此,个人防火墙配合传统
防火墙的方案在企业中也同样不可行。为了克服以上缺陷而又保留防火墙的优点,美国
AT&T 实验室研究员Steven MBellovin 在他的论文“分布式防火墙”中首次提出了分布式防
火墙 Distributed Firewall,DFW)的概念,给出了分布式防火墙的原型框架.奠定了分布式防
火墙研究的基础。
2.3 分布式防火墙原理
2.3.1 分布式防火端的基本原理
传统防火墙缺陷的根源在于它的拓扑结构,分布式防火墙打破了这种拓扑限制,将内部
网的概念由物理意义变成逻辑意义。按照 Steven 的说法,分布式防火墙是由一个中心来制定
策略,并将策略分发到主机上执行,它使用一种策略语言(如Keynote)来制定策略,并被编
译成内部形式存于策略数据库中,系统管理软件将策略分发到被保护主机,而主机根据这些
安全策略和加密的证书来决定是接受还是丢弃包,从而对主机实施保护。在 DFW 中主机的
识别虽然可以根据正地址,但 IP 地址是一种弱的认证方法,容易被欺骗,在分布式防火墙
中建议采用强的认证方法,用 IPsec 加密的证书作为主机认证识别的依据,一个证书的拥有
权不易伪造,并独立于拓扑,所以只要拥有合法的证书,不管它处于物理上的内部网还是外
部网都被认为是“内部”用户。加密认证是彻底打破拓扑依赖的根本保证。在 DFW 系统中,
各台主机的审计事件要被上传到中心日志数据库中统一保存。
2.3.2 分布式防火墙的本质特征
弄清分布式防火墙的本质特征有助于正确认识分布式防火墙,从而划清分布式防火墙和
非分布式防火墙之间的界限:
摘要:
展开>>
收起<<
基于混合式结构的中小型企业防火墙的研究与设计第一章绪论1.1课题研究背景防火墙作为一种安全手段,在网络中用得非常普遍。传统的防火墙设置在网络边界,称之为“边界防火墙”,它将受保护部分和外部隔离开来,从而达到限制访问、防止攻.击的目的。但是,传统边界防火墙建立在受限拓扑和受限入口点的概念之上,准确地说,它们建立在这样的假定之上:每个人口点即防火墙内部的人是可信任的,所有外部的人是潜在的敌人。随着因特网日新月异的发展,传统边界防火墙的局限性开始显露出来。从安全角度讲:传统边界防火墙只在网络边界具有安全保障功能,效力范围有限,而当前的网络犯罪又多源于网络内部;传统防火墙位于网络边界点,容易产生单一故...
相关推荐
-
新能源项目融资计划VIP免费
2024-12-31 12 -
新能源汽车运营服务公司商业计划书VIP免费
2024-12-31 7 -
上海xxx新能源股份有限公司商业计划书VIP免费
2024-12-31 47 -
绿特新能源商业计划书VIP免费
2024-12-31 9 -
关于新能源充电项目创业计划VIP免费
2024-12-31 13 -
太阳能充电器创业计划书模板VIP免费
2025-01-09 5 -
中国新能源及节能环保材料项目商业计划书VIP免费
2025-01-09 4 -
中国(陕西)xxxx新能源股份有限公司VIP免费
2025-01-09 4 -
阳光新能源公司创业计划书VIP免费
2025-01-09 4 -
新型纯电动安全汽车项目商业计划书VIP免费
2025-01-09 5
作者:朱铭铭
分类:高等教育资料
价格:150积分
属性:36 页
大小:2.44MB
格式:DOC
时间:2024-09-24
