防火墙的核心技术篇1

关键字：计算机网络；网络安全；防火墙技术

一、前言

企业内部办公自动化网络一般是基于tcp/ip协议并采用了internet的通信标准和web信息流通模式的intranet，它具有开放性，因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决，就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果，给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。

目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等，在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。

针对企业办公网络存在的众多隐患，各个企业也实施了安全防御措施，其中包括防火墙技术、数据加密技术、认证技术、pki技术等，但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨，希望能给广大企业办公网络安全建设带来一定帮助。

二、防火墙技术概述

1.防火墙的基本概念

防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备(路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。

2.防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙

的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的

通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。

3.防火墙的功能

一般来说，防火墙具有以下几种功能：

①能够防止非法用户进入内部网络。

②可以很方便地监视网络的安全性，并报警。

③可以作为部署nat（networkaddresstranslation，网络地址变换）的地点，利用nat技术，将有限的ip地址动态或静态地与内部的ip地址对应起来，用来缓解地址空间短缺的问题。

④可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署/list.aspx?cid=194"target="_blank"title="">核心是运行于防火墙主机上的服务器进程，它代替网络用户完成特定的tcp/ip功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。

③复合型防火墙

由于对更高安全性的要求，通常把数据包过滤和服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主机称为堡垒主机，负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤；②内核透明技术；③用户认证机制；④内容和策略感知能力:⑤内部信息隐藏；⑥智能日志、审计和实时报警；⑦防火墙的交互操作性等。

三、办公网络防火墙的设计

1.防火墙的系统总体设计思想

1.1设计防火墙系统的拓扑结构

在确定防火墙系统的拓扑结构时，首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑，以决定防火墙系统的拓扑结构。

1.2制定网络安全策略

在实现过程中，没有允许的服务是被禁止的，没有被禁止的服务都是允许的，因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流，逐一完成每一项许可的服务；第二条策略是允许一切没有被禁止的服务，防火墙转发所有的信息，逐项删除被禁止的服务。

1.3确定包过滤规则

包过滤规则是以处理ip包头信息为基础，设计在包过滤规则时，一般先组织好包过滤规则，然后再进行具体设置。

1.4设计服务

服务器接受外部网络节点提出的服务请求，如果此请求被接受，服务器再建立与实服务器的连接。由于它作用于应用层，故可利用各种安全技术，如身份验证、日志登录、审计跟踪、密码技术等，来加强网络安全性，解决包过滤所不能解决的问题。

1.5严格定义功能模块，分散实现

防火墙由各种功能模块组成，如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现，功能分散减少了实现的难度，增加了可靠程度。

1.6防火墙维护和管理方案的考虑

防火墙的日常维护是对访问记录进行审计，发现入侵和非法访问情况。据此对防火墙的安全性进行评价，需要时进行适当改进，管理工作要根据网络拓扑结构的改变或安全策略的变化，对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能，以保证网络极其信息的安全性。

2.一种典型防火墙设计实例——数据包防火墙设计

数据包过滤防火墙工作于dod(departmentofdefense)模型的网络层，其技术核心是对是流经防火墙每个数据包进行行审查，分析其包头中所包含的源地址、目的地址、封装协议(tcp，udp、icmp，iptunnel等)、tcp/udp源端口号和目的端口号、输人输出接口等信息，确定其是否与系统预先设定的安全策略相匹配，以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用，这一过程就称为数据包过滤。

本例中网络环境为：内部网络使用的网段为192.168.1.0，eth0为防火墙与internet接口的网卡，eth1为防火墙与内部网络接口的网卡。

数据包过滤规则的设计如下：

2.1与服务有关的安全检查规则

这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括

这类安全规则是通过对路由表、数据包的特定ip选项和特定段等内容的检查来实现的，主要有以下几点：

①数据包完整性检查(tinyfragment):安全规则为拒绝不完整数据包进人ipchains本身并不具备碎片过滤功能，实现完整性检查的方法是利用redhat，在编译其内核时设定ip；alwaysdefraymentssetto‘y’。redhat检查进人的数据包的完整性，合并片段而抛弃碎片。

②源地址ip(sourceipaddressspoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机，以期能渗透到内部网络中.要实现这一安全规则，设置拒绝数据包过滤规则为，在防火墙eth0端拒绝1p源地址为内部网络地址的数据包通过。

③源路由(sourcerouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息，实现的方法也是借助redhat的路由功能，拒绝来自外部的包含源路由选项的数据包。

总之，放火墙优点众多，但也并非万无一失。所以，安全人员在设定防火墙后千万不可麻痹大意，而应居安思危，将防火墙与其他安全防御技术配合使用，才能达到应有的效果。

参考文献：

[1]张晔,刘玉莎.防火墙技术的研究与探讨[j].计算机系统应用,1999

[2]王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001

[3]郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001

[4]anthonynorthup.ntnetworkplumbing:routers,proxies,andwebservices[m].

防火墙的核心技术篇2

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及vpn等相关问题。

abstract:alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,informationisattractingtheworld’sattentionandemployedasakindofimportantresources.internetisaveryactivelydevelopedfield.becauseitmaybeillegallyattackedbyhackers,itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.firewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyinternetattack.thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughscreeningrouter;andtheotherisproxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章绪论

§1.1概述

随着以internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。wWW.133229.COM伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自linternet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。开放的、国际化的internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用internet提高办事效率、市场反应能力和竞争力。通过internet，他们可以从异地取回重要数据，同时也面临internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品，并且这些产品早已打入市场，但是对于安全产品来说，要想进入我军部队。我们必须自己掌握安全测试技术，使进入部队的安全产品不出现问题，所以对网络安全测试的研究非常重要，具有深远的意义。

§1.2本文主要工作

了解防火墙的原理、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与vpn的概念及相关测试方法

第二章防火墙的原理、架构、技术实现

§2.1什么是防火墙？

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

§2.2防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏.dmz外网和内部局域网的防火墙系统。

§2.3防火墙的架构

防火墙产品的三代体系架构主要为：

第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；

第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；

第三代架构：iss（integratedsecuritysystem）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

§2.4防火墙的技术实现

从windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由zonealarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，windows软件防火墙从开始的时候单纯的一个截包丢包，堵截ip和端口的工具，发展到了今天功能强大的整体性的安全套件。

第三章防火墙的部署和使用配置

§3.1防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉ftp连接中的put命令，而且通过应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢？

----首先,应该安装防火墙的位置是公司内部网络与外部internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(vlan)，则应该在各个vlan之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(vpn)。

----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

§3.2防火墙的使用配置

一、防火墙的配置规则：

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过acl开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤：

1、确定设置防火墙的部署模式；

2、设置防火墙设备的ip地址信息（接口地址或管理地址（设置在vlan1上））；

3、设置防火墙设备的路由信息；

4、确定经过防火墙设备的ip地址信息（基于策略的源、目标地址）；

5、确定网络应用（如ftp、email等应用）；

6、配置访问控制策略。

第四章防火墙测试的相关标准

防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准gb/t18019-1999《信息技术包过滤防火墙安全技术要求》、gb/t18020-1999《信息技术应用级防火墙安全技术要求》和gb/t17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档，中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：

4.1规则配置方面

要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。

§4.2防御能力方面

对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了x-scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。

§4.3主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§4.4自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：

高级：预设的防火墙安全等级，用户可以上网，收发邮件；l

中级：预设的防火墙安全等级，用户可以上网，收发邮件，网络聊天，ftp、telnet等；l

低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；l

自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。l

§4.5其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。

§4.6资源占用方面

这方面的测试包括空闲时和浏览网页时的cpu占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。

§4.7软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§4.8软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护

第五章防火墙的入侵检测

§5.1什么是入侵检测系统？

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

入侵检测系统(ids)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。ids被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵

§5.2入侵检测技术及发展

自1980年产生ids概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组;缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即ims——入侵管理系统。

新一代的入侵检测系统应该是具有集成hids和nids的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统

§5.3入侵检测技术分类

从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时，存在四种可能：一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法：

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

§5.4入侵检测技术剖析

1）信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3）统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用guest帐号登录的，突然用admini帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

4）完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如md5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

§5.5防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程，不能靠几个产品单独工作来进行安全防范。理想情况下，整个系统的安全产品应该有一个响应协同，相互通信，协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动，当入侵检测系统检测到入侵后，通过和防火墙通信，让防火墙自动增加规则，以拦截相关的入侵行为，实现联动联防。

§5.6什么是vpn?

vpn的英文全称是“virtualprivatenetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或windows2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§5.7vpn的特点

1.安全保障虽然实现vpn的技术和方式很多，但所有的vpn均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于vpn直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其vpn上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证（qos）

vpn网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建vpn的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。qos通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

vpn必须能够支持通过intranet和extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。vpn管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，vpn管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、qos管理等内容。

§5.8vpn防火墙

vpn防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由vpn防火墙过滤的就是承载通信数据的通信包。

最简单的vpn防火墙是以太网桥。但几乎没有人会认为这种原始vpn防火墙能管多大用。大多数vpn防火墙采用的技术和标准可谓五花八门。这些vpn防火墙的形式多种多样：有的取代系统上已经装备的tcp/ip协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的vpn防火墙只对特定类型的网络连接提供保护（比如smtp或者http协议等）。还有一些基于硬件的vpn防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做vpn防火墙，因为他们的工作方式都是一样的：分析出入vpn防火墙的数据包，决定放行还是把他们扔到一边。

所有的vpn防火墙都具有ip地址过滤功能。这项任务要检查ip包头，根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个vpn防火墙，vpn防火墙的一端有台unix计算机，另一边的网段则摆了台pc客户机。

当pc客户机向unix计算机发起telnet请求时，pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来，协议栈将这个tcp包“塞”到一个ip包里，然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里，这个ip包必须经过横在pc和unix计算机中的vpn防火墙才能到达unix计算机。

现在我们“命令”（用专业术语来说就是配制）vpn防火墙把所有发给unix计算机的数据包都给拒了，完成这项工作以后，比较好的vpn防火墙还会通知客户程序一声呢！既然发向目标的ip数据没法转发，那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。

还有一种情况，你可以命令vpn防火墙专给那台可怜的pc机找茬，别人的数据包都让过就它不行。这正是vpn防火墙最基本的功能：根据ip地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用ip地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的vpn防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用dns主机名建立过滤表，对dns的伪造比ip地址欺骗要容易多了。

后记：

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

但无论如何，入侵检测不是对所有的入侵都能够及时发现的，即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

同样入侵检测技术也存在许多缺点，ids的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面：

1)利用加密技术欺骗ids;

2)躲避ids的安全策略;

3)快速发动进攻，使ids无法反应;

4)发动大规模攻击，使ids判断出错;

5)直接破坏ids;

6)智能攻击技术，边攻击边学习，变ids为攻击者的工具。

我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。

参考文献：

1..marcusgoncalves著。宋书民，朱智强等译。防火墙技术指南[m]。机械工业出版社

2.梅杰，许榕生。internet防火墙技术新发展。微电脑世界.

防火墙的核心技术篇3

【关键词】计算机;网络信息安全;发展趋势

随着Internet的普及和发展，计算机网络已经和人们的学习、工作紧密地联系在一起，人们在享受网络带来的巨大便利的同时，网络安全也正受到前所未有的考验，网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们，因此解决网络安全问题势在必行。

1.网络安全

1.1网络安全威胁的类型

网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面，并且随着时间的变化而变化。网络安全威胁的种类有：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。

1.2网络安全机制应具有的功能

采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能：身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。

2.常用网络安全技术

2.1防火墙技术

尽管近年来各种网络安全技术不断涌现，但目前防火墙仍是网络系统安全保护中最常用的技术。防火墙系统是一种网络安全部件，它可以是软件，也可以是硬件，还可以是芯片级防火墙。这种安全部件处于被保护网络和其他网络的边界，接收进出于被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其他操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截被保护网络向外传送有价值的信息[1]。

（1）软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说，这台计算机就是整个网络的网关，俗称”个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用Checkpoint防火墙，需要网管对所操作的系统平台比较熟悉。

（2）硬件防火墙硬件防火墙是指基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，和普通家庭用的PC机没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有旧版本的Unix、Linux和FreeBSD系统。但是由于此类防火墙采用的依然是其他内核，因此依然会受到OS（操作系统）本身的安全性影响。

（3）芯片级防火墙芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。芯片级防火墙厂商主要有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高。

2.2数据加密技术

在计算机网络中，加密技术是信息安全技术的核心，是一种主动的信息安全防范措施，信息加密技术是其他安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式（即加密），对电子信息在传输过程中或存储体内进行保护，以阻止信息泄露或盗取，从而确保信息的安全性。

数据加密的方法很多，常用的是加密算法，它是信息加密技术的核心部分，按照发展进程来看，加密算法经历了古典密码、对称密钥密码和公开密钥密码3个阶段。古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamalDH等。目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同时随着技术的进步，加密技术正结合芯片技术和量子技术逐步形成密码专用芯片和量子加密技术[2]。

2.3入侵检测技术

网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库等比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。因此入侵检测是对防火墙及其有益的补充。可在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。

2.4网络安全扫描技术

网络安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级[3]。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务，检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。

3.网络安全策略

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但网上信息的安全和保密是一个至关重要的问题。网络必须有足够强的安全措施，否则该网络将无用，甚至会危及国家安全。因此，网络的安全措施应是能全方位针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

3.1物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。目前的主要防护措施有两类：一类是对传导发射的防护，另一类是辐射的防护。

3.2政策保护策略

有效的政策制度环境，是保障网络安全、促进互联网健康发展的重要基础。网络安全需要政府综合运用各种手段，解决发展需要解答的一系列问题。政府要针对不同网络安全问题，采取有效的措施，不断提高防范和保障能力，为人们创造一个安全的网络应用环境。网络安全已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面。

4.网络安全技术发展趋势

近年来随着网络攻击技术发展，网络攻击技术手段也由原来的单一攻击手段，向多种攻击手段相结合的综合性攻击发展。这也是目前网络安全信息技术面临的挑战，也预示着未来网络信息安全技术的发展趋势。使其从过去的单一功能向全方位功能转变，进一步完善和提升网络信息的安全性。采用"积极防御，综合防范"的理念，结合多种信息安全技术，建立起更全面的网络信息防护体系，从而更好的保护用户的网络安全[4]。

参考文献

[1]杨彬.浅析计算机网络信息安全技术研究及发展趋势[J].应用科技，2010（20）：221-223.

[2]任志勇，张洪毅，孟祥鑫.网络信息安全技术的发展[J].信息与电脑，2013（8）：91-93.

防火墙的核心技术篇4

关键词：校园网；网络分析；网络优化；网络结构

中图分类号：TP393文献标志码：A文章编号：1673-8454(2012)09-0029-04

一、引言

校园网络是以计算机网络技术为基础的区域教育信息化集成应用系统。它是以计算机网络技术为基础、以网络教育资源与网络教育软件为核心、以构建现代教育和管理模式为目的、以提高教学与管理效益为根本、为学校教育信息化提供全方位服务的教育网络。

随着网络技术的不断发展，人们对网络也有着不同的需求和解决方案。传统的校园网建设中，需要优先解决的问题是校园网内部较为简单的互联互通应用的需求，因此主要对校园网的互联带宽和网络设备的端口密度提出了要求。而随着用户数量越来越多，校园网的应用类型和业务种类越来越丰富，网络流量越来越复杂，对网络设备本身在实际应用中的性能、多业务支持和保障能力以及网络的稳定可靠性方面都提出了更高的要求。

中国海洋大学校园网作为中国教育科研和计算机网（简称CERNET）的全国38个主干节点之一，承担着青岛主节点的建设任务，担负着青岛地区教育机构接入CERNET的保障工作。随着接入学校（或部门）、接入用户的增多，青岛主节点接入CERNET的2.5G出口容量日趋紧张，面临着10G扩容的要求。同时随着下一代互联网（IPv6）的迅猛发展，青岛地区各高校接入中国教育科研IPv6网络（CERNET2）也势在必行。

二、中国海洋大学校园网现状

中国海洋大学校园网由崂山校区网络、鱼山校区网络和浮山校区网络组成，目前的校园网建设完成于2006年8月，采用了万兆核心、汇聚双万兆上联的骨干网络，基本实现了用户百兆、千兆到桌面的接入，三校区之间通过光纤环型链接实现万兆互联，校园网网络拓扑结构如图所示，即使某个链路发生故障也不会影响到三校区的互通，具有较好的冗余度和可靠性。在网络安全管理和用户管理方面采取了虚拟网络、访问控制、防火墙、流量管理系统、网络防病毒系统、网络计费管理系统等安全措施。在下一代互联网建设方面，校园网每一个用户都可以通过双栈方式实现IPv6访问。校园网上采取的各种技术措施、安全措施为运行在校园网络上的各种教学活动和教学管理系统提供了一定的技术保障。

1.网络结构

三个校区之间校园网络采用万兆环网互联。

崂山校区网络采用三层网络架构，即核心层、汇聚层和接入层。核心层网络设备为两台Cisco6500系列交换机（A和B）和一台H3C9500系列交换机（C）；汇聚层分院系区、图书馆区、行远楼区、教学区、北区生活区、南区生活区、服务器区七个物理区域，汇聚层网络设备为：两台Cisco6500系列交换机、两台H3C9500系列交换机、三台H3C7500系列交换机；接入层网络设备为H3C的各种型号的千兆或百兆交换机。

鱼山校区网络和浮山校区网络采用了核心和接入两层网络结构。核心层网络设备各为一台Cisco6500系列交换机；接入层网络设备为H3C的各种型号的千兆或百兆交换机。

2.校园网边界网络

校园网边界出口路由器为一台Cisco7600系列路由器，它同时也是CERNET青岛地区各高校的CERNET网络接入路由器，该设备只有一块引擎板卡。

CERNET青岛地区主节点的出口路由器为一台单引擎的Cisco7600系列路由器，2.5G链路连接到济南的山东大学节点。

学校校园网出口有三条，两条1G链路连接至CERNET青岛地区主节点的出口路由器，1条500M的联通出口。

3.用户管理

校园网用户管理区域划分为办公区和学生生活区。

办公区：采用亿邮宽带认证计费管理网关，用户IP地址为管理员人工静态分配，IP地址与MAC地址绑定由各区域的汇聚交换机完成。办公区用户每人使用一个合法账号，在校园网内“漫游”，不受限制于某一个固定的IP地址。

学生生活区：采用城市热点计费网关，对接入用户采用802.1x认证，使用DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）动态分配IP地址。

4.VLAN设置

校园网主要通过VLAN隔离，生活区部分交换机通过PVLAN即私有VLAN（PrivateVLAN），实现端口隔离。多数VLAN终结于区域汇聚交换机，少数VLAN全网透传，如VLAN2网管网段，VLAN512校园智能卡网段，VLAN100-110服务器网段等。

5.数据中心网络接入

校园网数据中心由一台服务器汇聚Cisco6500系列交换机担任所有服务器的接入。中心现有60多台服务器，大部分单网口连接在服务器汇聚交换机上；其他单位40多台服务器托管在中心机房，中心提供服务器的网络接入及环境保证，服务器的系统由设备归属单位维护。

数据中心现有SAN存储阵列一套IBMDS4800，存储容量为30T，为邮件、FTP等业务系统使用。

学校校园网上承载有多个业务系统，多为B/S架构，如数字化校园、校园智能卡系统、人事管理系统、科研管理系统、选课系统、图书管理系统、BBS、FTP校内共享资源下载系统、视频组播系统等。全校各业务系统各自采用手工数据备份，没有统一的自动备份恢复机制及异地灾备系统。

6.路由设置

核心与核心间和核心与汇聚间运行OSPF（OpenShortestPathFirst，开放式最短路径优先）（OSPFv2和OSPFv3），根据路径cost值的不同选择最优路由。骨干区域Area0，覆盖了鱼山校区核心、浮山校区核心、崂山校区核心及崂山校区区域汇聚，用户路由位于其他区域。

核心交换机和区域边界路由器之间运行静态路由协议，为了满足生活区和办公区流量分流的要求，在核心交换机中使用PBR策略路由。

7.组播设置

组播源分布于各个校区，采用PIM-DM组播路由协议，提供校园电视广播服务。用户通过IGMP或MLD协议加入或退出组。

8.安全设置

两台核心交换机A和B各配有一个防火墙模块，采用流量分担的双主工作方式。每个模块虚拟为5台防火墙（CERNET、Insvr1、Insvr2、ykt、shenhuoqu）：CERNET为内外网之间虚拟防火墙；Insvr1为服务器1区虚拟防火墙；Insvr2为服务器2区虚拟防火墙；ykt为校园智能卡区虚拟防火墙；shenhuoqu为外网和生活区之间虚拟防火墙。

在其中一台核心交换机上配有一块IDP流量分析模块，对流量进行检测分析预警。

校园网安全设置除了VLAN、防火墙、流量分析模块之外，还在校园网出口部署有流量监控管理系统，对校园网出口链路上的应用类型进行带宽管理，在保证Web流量的前提下，有效限制P2P流量。

9.网络应用性能测试

（1）Ping外网服务器，比如新浪，延时为13ms。

（2）Ping内网服务器如信息化门户，延时在1ms以内。

（3）办公区访问校内资源延时在1ms以下，出口流量延时较大，约为13ms左右，校内FTP下载平均速率约为80Mb／s。

（4）校园网核心到出口路由器线路利用率高达80％以上，宿舍区、教学区和服务器区访问量比较大。

（5）联通出口带宽500M几乎满负荷运行，以生活区、赛尔网络和信息学院的访问量居多。经限速后，以Web访问量居多，最高并发数可到21万。

（6）教育网出口带宽利用率已达60％，以生活区、赛尔网络和信息学院的访问量居多。经限速后，Web访问量为主，最高并发数可到81万。

三、中国海洋大学校园网存在的问题及分析

1.二层广播域过大

目前校园网的核心交换机和区域汇聚交换机之间虽然运行的是三层路由协议，但是设备之间互联的接口都是使用的二层交换端口，即把接口类型封装成802.1Q，并允许相应的VLAN通过，包括二层互联接口的三层虚接口及其他VLAN，从而造成配置复杂、不容易阅读、二层广播域范围扩大等问题。

VLAN是网络用户和资源的逻辑分组，给不同的子网分配不同的端口,从而创建更小的广播域。VLAN的作用本是分割广播域，但目前学校设置的VLAN太大，无法减少广播消耗掉更多带宽的影响，无法避免大二层网络的种种问题。大量的用户、应用处于同一个VLAN广播域内，没有有效的隔离措施和保障手段，相互之间的干扰和影响严重。如目前在校园网中普遍存在的ARP病毒和DHCP仿冒等，导致终端接入网络的问题频发，网络管理员疲于奔命。

2.环路预防及STP问题

由于交换域过大，为避免STP（SpanningTreeProtocol，生成树协议）所带来的网络震荡，目前校园网的汇聚层和接入层设备已关掉STP功能。由于关闭STP,失去了STP的环路预防功能，环路所带来的网络风险（广播风暴等）常常无法避免。

STP一直以来都是校园网头痛的问题，难以设计和部署，转发和阻塞端口较难规划，出现链路或者故障时难以定位，并且存在较长的收敛时间，对校园网承载的应用影响很大。

3.组播稳定性

校园网的核心交换机上的组播报文是集中式转发机制，核心交换机运行一段时间后，组播进程会消耗大量的资源，导致核心交换机几近瘫痪，带来比较严重的网络隐患。

汇聚层交换机在开启IPv6组播业务时，由于设备不支持基于硬件的IPv6组播流量复制转发，经常会导致设备CPU利用率上升至100%，影响其他业务的正常运行，甚至造成业务中断。因此，目前中国海洋大学校园网还未部署IPv6组播业务。

4.核心设备性能问题

校园网的核心交换机A及核心交换机B、边界路由器，整机性能支持30Mpps包转发率。由于这些设备配置的板卡没有配置DFC（DistributedForwardingCard，分布式转发子卡），所以就成了集中转发模式，所有三层转发，包括单播和组播，都会送到引擎集中处理。

当核心交换机开启PBR（Policy-BasedRouting，策略路由）、组播后，经常会导致核心交换机的CPU利用率上升。因为PBR策略路由软件进行处理，而不是用设备硬件ASIC芯片进行处理，占用设备CPU资源，过多的流量使用PBR，会使设备的CPU利用率急剧升高。随着未来网络管理的精细化，现有的核心设备的性能将不足以支撑这些功能的应用。

5.防火墙性能问题

校园网的核心交换机A及核心交换机B各部署一块防火墙模块，此防火墙模块性能为：吞吐量5.5G，并发连接数100万，新建连接数每秒1万。校园网的出口安全防御和数据中心的安全防御都由防火墙模块完成，两块防火墙模块做双主的部署模式，旨在起到互为备份、负载均衡的效果。

共划分了5个虚拟防火墙，分别是办公区虚拟防火墙、服务器1区虚拟防火墙、服务器2区虚拟防火墙、校园卡系统虚拟防火墙、学生生活区虚拟防火墙，其中办公区虚拟防火墙、服务器1区虚拟防火墙、服务器2区虚拟防火墙、校园卡系统虚拟防火墙都位于核心交换机A的防火墙模块上，学生生活区防火墙位于核心交换机B的防火墙模块上。

白天核心交换机A防火墙模块的压力比较大，因为白天绝大多数流量都是和教学办公及访问数据中心服务器相关的，晚上核心交换机B的防火墙压力比较大，因为晚上大多数都是生活区的流量。通过办公区虚拟防火墙的最大并发连接数为80万，再加上2个服务器的虚拟防火墙的并发连接，已经超出核心交换机A防火墙模块的处理能力，目前核心交换机A的防火墙模块已经成为带宽瓶颈。核心交换机B的防火墙模块最大的并发连接数也有85万，2台防火墙模块均正常工作情况下，白天核心交换机A的防火墙模块已经处于饱和状态、晚上核心交换机B的防火墙模块也基本处于饱和状态，一旦某个防火墙模块出现故障，将导致网络性能大大下降，严重影响校园网用户的上网性能。

目前防火墙的双主工作方式存在设计缺陷，必须手工切换配置才能完成主备防火墙的切换，导致故障发生时，无法实现双机的可靠性。而且虚拟防火墙错综复杂，流量多次进出防火墙模块，效率低下，如生活区访问服务器区需经过三次防火墙。由于控制点的分散，导致出现问题后，涉及到多个层面的多个设备，故障点很难定位，故障修复时间较长。

6.数据中心网络设置问题

校园网的数据中心服务器汇聚、接入交换机只有一台Cisco交换机，并且只有一个引擎，存在单点故障，可能引发全网业务中断。

服务器接入交换机到核心交换机采用二层互联，大部分服务器的网关都位于虚拟防火墙上，校园卡系统的服务器的网关位于核心交换机上，网关的冗余是采用核心交换机的HSRP（HotStandbyRouterProtocol热备份路由器协议）或虚拟防火墙实现，服务器接入二层到核心有可能会出现二层环路或二层病毒，从而影响核心交换机的正常工作。

7.路由设置问题

目前校园网路由是由OSPF（OSPFv2和OSPFv3）、策略路由PBR、静态三种形式组成。

OSPF区域规划不合理，骨干区域Area0范围过大，覆盖了鱼山校区核心、浮山校区核心、崂山校区核心及崂山校区区域汇聚，可能会产生如下问题：

（1）骨干区域Area0中每台设备都维护全网的链路状态数据库，对设备资源（内存）占用大，由于核心设备、各区域汇聚设备处理能力不同，影响全网路由收敛时间。

（2）链路出现震荡，会导致网络中的路由器频繁刷新链路状态数据库，造成网络不稳定。

（3）网络中区域边界路由器ABR（AdaptiveBitRate，自适应比特率）过多，不便于做路由过滤或路由策略，如生活区的路由不到的教学办公区。

（4）核心交换机和区域边界路由器之间运行静态路由协议，为了满足生活区和教学办公区流量分流的要求，在核心交换机中使用PBR策略路由，因为PBR策略路由由软件进行处理，而不是用设备硬件ASIC芯片进行处理，占用设备CPU资源，过多的流量使用PBR，会使设备的CPU急剧升高，如把鱼山校区的流量迁移到核心B上，核心B的CPU利用率就会在50%以上，造成网络不稳定。

8.校园网出口线路拥塞问题

随着中国海洋大学校园网用户的不断扩大，用户访问量的增加，无论是教育网线路还是联通线路，网络出口线路几乎都是满负荷运行。

防火墙的核心技术篇5

关键词：分布式防火墙；体系结构；原理；应用

中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2011)09-0000-01

TheResearchandImplementationofDistributedFirewall

ZhangJintao

(TheCollegeofScienceandTechnologyofGuizhouUniversity,Guiyang550004,China)

Abstract:Distributedinthetraditionalfirewall,thefirewallisbasedontheevolved,itplaysanimportantroleinnetworksecurity.Inthispaper,thetraditionalfirewallanddistributedfirewallswereintroduced,andthendistributedfirewallarchitectureandworkingprinciplearedescribed,onthebasisofresearchandanalysisofdistributedfirewall,applicationandimplementation.

Keywords:Distributedfirewall;Architecture;Principle;Application

一、防火墙的概念

（一）传统防火墙。传统的防火墙又叫边界防火墙，是在内部网和外部网之间搭建的一种屏障，它可以有效的实现内外网之间的存取，同时它也是内部网和外部网之间的唯一的一个出入口。传统的防火墙技术主要有包过滤技术和服务器技术这两种。其中，包过滤技术是通过路由器将通过它的两个接口之间的IP进行过滤，并对数据流中的每个数据进行检查，防止不安全的数据通过，从而实现了网络的安全；带来服务器技术主要是通过主机运行服务程序，即应用防火墙技术，它首先接受外来的连接请求，然后进行安全检查，再确保安全状态之后，再实现网络应用服务器的安全连接，另外，服务器还可以通过用户认证、日志和信息跟踪等方式来实现网络的安全流通。

（二）分布式防火墙。分布式防火墙是用于内部网和外部网之间的，或者内部网各子网之间的防护产品。它最初是由美国AT&T的试验研究员提出来的，分布式防火墙有狭义和广义之分，它是对主机系统提供安全防护的软件。与传统的防火墙技术相比，分布式防火墙技术更多一层安全保护层，它是对传统防火墙技术的完善和发展。主机防火墙主要是负责安全策略的实施，对网络的服务器和桌面进行保护。

二、分布式防火墙的研究

（一）分布式防火墙的体系结构。研究分布式防火墙的体系结构，主要从以下几点来分析：1.网络防火墙。网络防火墙是用于内外部网络之间的防护产品，它比传统的防火墙更多一层防护，是网络显得更加安全可靠。2.主机防火墙。主机防火墙主要是针对主机，负责安全策略的实施，这种防火墙即可出现在内部网络中，也可以出现在外部网络中。3.中心管理。分布式防火墙的中心管理是其安全检测机制的一个重要组成部分，其安全策略是同一策划和管理的，它必须根据不同的安全性要求来设置其在网络中的任何位置，它是分布式防火墙最重要的一个部分。

（二）主机防火墙。主机防火墙主要包括：主机驻留、嵌入操作系统内核、类似于个人防火墙这三种。

主机驻留是针对主机上运行的具体应用情况及对外提出具体服务而设置的一种安全策略。

嵌入操作系统内核是主机防火墙安全运行的一种形态，由于操作系统本身存在着一些安全问题，因此主机防火墙也在主机上运行，其运行机制成为主机防火墙的关键技术之一，这就要求按照嵌入操作系统内核的形态来运行和完成。

类似于个人防火墙与桌面应用的主机防火墙相类似，都有其对应的个人系统，但是类似个人防火墙的管理方式不一样，它不允许别人干涉，目的是为了防止外部的攻击，它除了对桌面机起到保护的作用外，还可以对桌面机的外部访问进行控制管理。

（三）分布式防火墙的工作原理。分布式防火墙的工作原理主要是从策略语言、系统管理工具和IP安全协议这三个方面进行研究。1.策略语言。策略语言的运用旨在标识内部主机，目前通常是通过IP地址来标识内部主机，但是这种方法安全性不够高，还存在着一些安全问题，因此在这一过程中，可以通过使用IP协议的密码访问来标识主机，提高其安全性。2.系统管理工具。系统管理工具的作用是将形成的文件传给有防火墙保护的主机，这些主机的防火墙就是分布式防火墙。3.IP安全协议。该协议主要用于加密的保护，如AH协议和IKE协议等，它能够实现密钥交换等功能。

三、分布式防火墙的应用实现

1.网络访问控制。分布式防火墙在网络访问中的应用控制，主要是通过网络访问规则来实现控制和管理的，它可以通过控制该工作站的时间段内是否被允许或者被禁止访问所规定的内容，决定某个用户是否可以访问网络服务器。2.应用访问控制。分布式防火墙在应用访问控制中的运用也极其广泛，它通过对网络的通讯连接路程、网络层、地址以及传输层和端口等过滤和检查，以此来控制网络的应用请求，实现网络访问的安全性。3.黑客攻击的安全防护。分布式防火墙在防止黑客攻击中具有广泛的应用，它主要通过抵御和拒绝服务攻击、抵制欺骗式攻击和PING攻击和木马等方式来实现其安全防护的作用，它对防止黑客的攻击具有很重要的实际意义。4.系统工具的应用。分布式防火墙在系统工具中的应用主要包括设定参数，制定访问规则，备份和恢复数据以及模板的设置和管理等。5.VPN通信。分布式防火墙除了具有以上的功能之外，它还可以支持VPN通信，它把内部主机和外部主机与防火墙之间采用隧道的技术方式来实现分布式防火墙的安全防护作用，通过这种方法，它可以使通信的双方都必须经过防火墙才能顺利的进行通讯活动，分布式防火墙其本身所具备的逻辑网络的概念，使得远程内部主机和物理上的内部主机没有区别，从根本上接触了安全防护存在的问题。

四、结束语

目前，随着网络技术的发展，网络的应用水平虽然在不断的提高，但是网络中的安全威胁种类和方式也越来越多，黑客攻击，欺骗手段更加恶劣，这就使得分布式防火墙得到了长足的进步和发展，它是对传统的防火墙技术的改进和完善，相信随着网络技术的不断发展，分布式防火墙技术也将会发挥着越来越重要的作用。

参考文献：

[1]李伦,尹兰.一种改进的应用网关防火墙系统[J].计算机工程与应用,2003,5:185-186

[2]高峰,卢尚琼.分布式防火墙与校园网络安全[J].计算机应用研究,2003,1:77-79

防火墙的核心技术篇6

关键词：内部网络；外部网络；安全

一、防火墙功能概述

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：根据应用程序访问规则可对应用程序连网动作进行过滤；对应用程序访问规则具有自学习功能；可实时监控，监视网络活动；具有日志，以记录网络访问动作的详细信息；被拦阻时能通过声音或闪烁图标给用户报警提示。

防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础，必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全（见图1）。

二、防火墙主要技术特点

应用层采用Winsock2SPI进行网络数据控制、过滤；核心层采用NDISHOOK进行控制，尤其是在Windows2000下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock2SPI；二是核心层封包过滤，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。采用Winsock2SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows平台，可以直接在Windows98/ME/NT/2000/XP上通用，Windows95只需安装上Winsock2for95，也可以正常运行；效率高，由于工作在应用层，CPU占用率低；封包还没有按照低层协议进行切片，所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。在构筑防火墙保护网络之前，需要制定一套完整有效的安全策略，这种安全策略一般分为两层：网络服务访问策略和防火墙设计策略。

三、网络服务访问策略

网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。

四、防火墙的设计策略

防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种：除非明确不允许，否则允许某种服务；除非明确允许，否则将禁止某项服务。

执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上，和其他的系统隔离。

五、设计时需要考虑的问题

为了确定防火墙设计策略，进而构建实现策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下的问题：需要什么服务；在哪里使用这些服务；是否应当支持拨号入网和加密等服务；提供这些服务的风险是什么；若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多

[1][2]

大，是否值付出这种代价；和可用性相比，站点的安全性放在什么位置。

六、防火墙的不足