1、1 毕业论文文献综述 计算机科学与技术 一种数据包拦截方法的实现 前言: 当越来越多的用户认识到 Internet 能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联网( Intranet)接入 Internet,从而可以更大的收益。 过去,许多内联网访问 Internet 的基本方法是将本系统的内部网直接接入 Internet,这样内部网的每台计算机都可以获得完全的 Internet 服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在 Internet 中,因此分布在世界各地的任何一台 Internet 主
2、机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入 Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。 1 防火墙概念及其功能特点 1.1 防火墙的概念 防火墙是一个或一组在两个网络之间执行访问控制策略的系统 ,包括硬件和软件 ,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网 络通信安全机制 ,也就是提供可控的过滤网络通信,只允许授权的通讯。 防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全
3、策略: 允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。 拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。 2 1.2 防火墙的功能特点 为了保证网络安全性要求,防火墙必须具有以下功 能: (一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。 以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术
4、的综合应用。 (二)监视网络的安全性,并报警。 (三)利用网络地址转换 (NAT)技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。 (四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录 。它是审计和记录 Internet 使用费用的一个最佳地点。网络管理员可以在此提供 Internet 连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。 (五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署 WWW 服务器和FTP 服务器,作为向外部发布
5、内部信息的地点。 2 防火墙的关键技术 安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术: 2.1 数据包过滤 分组过滤或包过滤,是一种通用、廉价、有效的安全手 段。它在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于 IP 、 TCP 或 UDP 包头。 包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。3 而攻破一个单纯的包过滤式防火墙对黑客
6、来说还是有办法的。 “IP 地址欺骗 ” 是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术 代理技术。 2.2 代理技术 现在视频会议系统正 逐步从高端专用市场向中低端市场转移,应用范围扩展到内部通信、外部协作、商务谈判、远程培训、无纸化办公等领域。特别是企业和政府机构认识到视频会议的作用和增值功能后,视频会议逐步融入企业网和电子政务网,会议室会议和桌面会议的需求都很强烈。 跨国公司、拥有海外分支机构的企业需要建设跨国视频会议系统,通常都是会议室级的会议系统,由于距离遥远,跨越的公网条件较为复杂,为保证可靠性,应当建立专线网络。一般利用基于电路交换的专用网络
7、,采用基于 H.323 协议的视频设备,只有这样,才能确保稳定性、可靠性和图像的高质量。这种方 案价格高,属于专用系统,适合会议室点数少,会议业务量大的企业。还有一种解决方案是采用卫星通信网络 ,具有 覆盖面广、传输率高、安全性好、性价比高,而且会场建设及搬迁灵活、方便。中国卫通 “ 卫星宽带视频会议系统 ”就支持多路会议视频、文件及数据的综合传送广播。如果对会议质量要求不高,可以考虑利用网络建立纯软件视频会议系统。如果会议比较少,对会议质量要求高,可以考虑租用电信运营商提供的视频通信平台。 2.3 状态检测技术 状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全
8、策略的软件模块,称之 为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 2.4VPN 技术 VPN 技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技4 术的通信方式。 VPN 可以帮助远程用户、公司分支机构、商业伙伴及供应商
9、同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于 Internet 建立的 VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等。 VPN 功能中认证和加密是最重要的。基于防火墙的 VPN为了保证安全性,在 VPN协议中通常采用 IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性。 2.5 地址翻译技术 NAT 技术就是将一个 IP 地址用另一个 IP 地址代。地址翻译主要用在: 网络管理员希望隐藏内部网络的 IP 地址; 内部网络的 IP 地址是无效的 IP 地址。在这种内部网对外面是不可见的情况下, I
10、nternt 可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的 IP 地址需要隐藏,哪些地址需要映射成为一个对 Internet 可见的 IP 地址。地址翻译可以实现一种“ 单向路由 ” ,这样不存在从 Internet 到内部网的或主机的路由。 2.6 SOCKS 技术 SOCKS 主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应 用程序的库文件包组成。 SOCKS 是一个电路层网关的标准,遵循 SOCKS 协议,对应用层也不需要做任何改变,它需要给出客户端的程序。如果一个基于 TCP 的应
11、用要通过 SOCKS 代理进行中继,必须首先将客户程序 SOCKS 化。这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。 3 防火墙技术的优缺点 ( 1) 使用防火墙系统的优点如下: 可以对网络安全进行集中控制和管理 防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成 了一个控制中心,大大加强了网络安全,并简化了网络管理; 由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警; 5 为解决 IP 的地址危机提供了可行方案 由于 Internet 的日益发展及其 I
12、P 地址空间的有限,使得用户无法获得足够的注册 IP 地址。防火墙系统则正处于设置网络地址转换 NAT 的最佳位置, NAT 有助于缓和 IP 地址空间的不足,并使得一个结构改变 Internet 服务提供商时而不必重新编址; 防火墙系统可以作为 Intermet 信息服务器的安装地点,对外发布信息 防火墙可作为企业向外 部用户发布信息的中心联络点。企业的防火墙也是企业设置 WWW和 FTP 等服务器的理想地点。防火墙可以配置允许外部用户访问这些服务器,而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。 ( 2) 防火墙系统存在如下局限性: 防火墙不能防范不经过防火墙的攻击。比如内部
13、专用网的用户通过调制解调器拨号上网,则 “ 坏家伙 ” 就可经由这一途径绕过防火墙而侵入。还有更可怕的就是来自内部专用网用户的攻击; 常常需要有特殊的较为封闭的网络拓扑结构来支持,网络安全性能的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价; 防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户不注意所造成的危害。 4 防火墙发展的新趋势 防火墙技术的发展离不开社会需求的变化,着眼于未来,我们应该从两个方面来探讨防火墙的新技术趋势。 一、 新需求引发的技术走向 ( 1)远程办公的增长。去年全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在
14、家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式 加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。 6 ( 2)内部网络 “ 包厢化 ” 。人们通常认为处在防火墙保护下的内部网络是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个绝对的可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在,内网也
15、受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛等, 都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ,对每个“ 包厢 ” 实施独立的安全策略。 二、 黑客攻击引发的技术走向 ( 1)黑客攻击的特点也决定了防火墙的技术走向。从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议( 80 端口)。根据 SANS 的调查显示,提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。 因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将 80 端口关闭。
16、( 2)数据包的深度检测。 IT 业界权威 机构 Gartner 相信一个代理软件对于防止未来的攻击没有太大的作用,但是防火墙必须深入检查信息包流的内部来确认出恶意行为并阻止它们。市场上的包检查解决方案必须提高性能(比如签名检查)来寻找已知的攻击,并理解什么是 “ 正常的 ” 通信(基于行为的系统),同时阻止异常的协议。预计到 2006 年, 75的全球 2000 强企业将替换他们的防火墙,或者为他们的防火墙增加深度包检测的能力。 ( 3)协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术 、入侵检测技术、病毒检
17、测技术有效协同,共同完成保护网络安全的任务。 2002 年 9 月,北电、思科和 Check Point 一道宣布共同推出安全产品,体现了厂商之间优势互补、互通有无的趋势,说明现在人们已经逐渐认识到了协同的必要性和紧迫性。 5 总结 Internet 的迅猛发展和网络攻击手段的不断变化,使防火墙产品的更新步伐日益加快,虽然,目前防火墙产品能基本满足用户对网络安全保护的要求,但防火墙技术值得研究的课题仍很多,如防火墙产品怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火7 墙产品,怎样对防火 墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好的为人们做贡献。 8 参考文献
18、1 Jerry Lee Ford 著 .个人防火墙 M. 北京 : 人民邮电出版社 2007:77-79 2 王华,叶爱亮等著 . Visua1C+ 6.0 编程实例与技巧 M. 北京:机械工业出版社 2009 3 苏金树 .计算机网络应用基础 M.国防科技大学出版社 2000.02: 79-83 4 张小斌,严望佳 .黑客分析与防范技术 M.清华大学出版社 1999.01: 101-103 5 黄允聪,严望佳 .计算机网络安全工具 M.北京 :清华大学出版社 1999:35-41 6 周筱连 .计算机网络安全防护 J.电脑知识与技术 2007.12: 111-115 7Brewer D, N
19、ash M. The Chinese Wall Security Policy. IEEE Symposium on Securiyand Privacy IEEE J Computer Society Press 2000.3:63-65 8 金雷 , 谢立 .网络安全综述 J.计算机工程与设计 2003 .11: 10-13 9 Chapman D B Elizabeth D Z.构筑因特网防火墙 M( 北京 ).电子工业出版社 2004 10 宋坤 , 李伟明 , 刘瑞宁 .Visual C+开发技术大全 .人民邮电出版社 .2007 11 Millen J K. Models of m
20、ultilevel computer security Advances in Computers 1989.05 12 Anjali Gupta, Barbara Liskov, Rodrigo Rodrigues. One hop look-ups for peer-to-peer overlays. Proc of the 9th Workshop on Hot Topics in Operating Systems 2003. http:/www.usenix.org/events/hotos03/. 13 (美 )WilliamR.Cheswick and Steven M.Bellovin 著 戴宗坤等译 .防火墙与 因 特网安全M.北京机械工业出版社 2000.03