内容发布更新时间 : 2024/11/5 5:33:12星期一 下面是文章的全部内容请认真阅读。
基于Linux系统的防火墙技术的研究和应用
引 言
随着网络的发展, 网络的资源共享, 网上办公,电子商务等蓬勃发展, 网络给人们带来了更快捷方便的信息交换和处理方式, 在各方面改变着人们的生产,生活。为了充分利用网络技术带来的快捷和方便, 越来越多的公司和政府部门在公司或部门范围内组建起自己的计算机网络系统(Intranet), Intranet的技术优势, 给公司带来了高效的工作效率的同时, 也带来了全新的安全问题。
全球信息安全方面的研究工作者就此问题展开了广泛而深入的研究,其中防火墙技术[1]是近年发展起来的一种网络安全技术。顾名思义,它是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。这种技术强制所有内外网的连接都必须经过此保护层,在此进行检查和连接,从而保护了受保护网资源免遭外部非法入侵。它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。
本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,
讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。
5
基于Linux系统的防火墙技术的研究和应用
第1章
1.1
研究意义
绪论
Intranet简单地说是采用Internet的技术和产品建立的公司中专用企业网络,人们可以利用现有的内部网络硬件、软件和服务器,采用Internet技术协 议(如TCP/IP、HTTP、SMTP、HTML 等等)来建立企业Intranet。
近年来,Intranet受到了人们的普遍关注,并得到了迅速发展。由于Intranet突破了传统的企业管理信息系统的系统模式,采用了多层的Client/Server模式,并利用业已成熟而广泛采用的Internet技术,因此,现代企业网络都采用以Web为核心应用,以TCP/IP、HTTP为传输协议,通过浏览器访问与Web相连的后台数据库,构成统一便利的信息交换平台,同时又能较好地与传统的企业信息系统相融合,使企业的传统应用平衡地过度到Intranet。随着Intranet带来的企业效.率的提高, 带来了高度的信息共享和快捷便利的信息处理的方式的同时, 也带来了更大的安全性问题。
一方面, 随着企业规模的扩大, 为了提高企业的工作效率, 加强部门间的信息交流和事务处理, 要求网上办公的规模也逐渐深化, 通过Intranet共享的信息资源增多。这些不同的信息按照其不同的内容和性质及其保密程度, 应当设置不同的访问控制策略。
另一方面, 随着企业规模的扩大, Intranet也相应的扩大, 连接到Intranet上工作的人员也增多, 企业的工作人员都通过Intranet访问共享的信息资源, 这样从Intranet 内部造成的安全威胁在增加,对资源的争用也更突出。如果没有完善的安全措施, 就可能由于工作人员的疏忽和误操作,或者内部人员的恶意犯罪, 造成绝密信息的泄露或系统信息资源的破坏。
Intranet[2]的安全即保护内部的信息资源, 使其不受意外的和蓄意的未经授权的泄露和破坏。 为了实现这一安全目标, 就必须对Intranet上的信息资源实现有效的访问控制, 使得只有经过授权的用户才能以被授权的方式(读, 写,
6
基于Linux系统的防火墙技术的研究和应用
执行) 进行访问。 禁止非法用户的非授权访问和合法用户的越权访问。
防火墙 介绍
2. 研究内容
3. 论文组织
1.2 防火墙技术
现代计算机环境中,由于环境的复杂性和多样性,使得单纯的主机安全防卫越来越无法适应网络时代的要求,网络安全防卫模式在这种情况下应运而生。网络安全服务[3]的最大特点就是将分散的各种安全任务集中到一点来管理,把注意力集中到控制不同主机的网络通信和它们所提供的服务上来。采用网络安全防卫可以获得很多的好处,例如,一个单独的网络防火墙可以保护几百几千台计算机免于防火墙外的攻击,即使内部个别主机的主机防卫水平比较低。
防火墙是一种网络安全防卫的典型实例。通常,将防火墙安装在被保护的内部网和外部网/Internet之间的连接点上,所有进出内部网络的活动都必须经过防火墙,这样防火墙就可以在此检查这些活动,实施安全防范措施。防火墙也可以被认为是一种访问控制机制,决定哪些内部服务允许外部访问,哪些不允许,反之亦然。从逻辑上讲,防火墙是一个分离器,是一个限制器,也是一个分析器
[4]
。
防火墙是一种有效的网络安全控制机制。它可以防止外部网络发生的危险波
及内部网络,归纳起来,其主要功能包括:
? 限制某些用户/信息进入或离开一个被严格控制的子网:通过防火墙可
以过滤掉不安全服务和非法用户,禁止未授权的用户访问受保护网络。可以把防火墙设置成为只有预先被允许的服务和用户才能通过防火墙。
7
基于Linux系统的防火墙技术的研究和应用
这样就降低了被保护子网遭受非法攻击的风险性,大大提高了网络安全性。
? 控制对特殊端点的访问:防火墙可以允许受保护网的一些主机被外部网
访问,而另一些被保护起来,防止不必要访问。
? 提供监视Internet安全和预警的方便端点:防火墙可以记录下所有通
过它的访问并提供网络使用情况的统计数据。同时它也是审查和记录Internet使用情况的最佳点,帮助网络管理员掌握Internet连接费用和带宽拥挤的详细情况,提供了一个减轻部门负担的方法。
各种的防火墙的构造是不同的,有的是一台主机,有的甚至是一个网络系统。这要取决于站点的安全要求和投资等综合因素。 1.2.1 防火墙的定义
“防火墙(Firewall)”的原始含义是一种建筑,用以防止着火的时候火不至从一个房间蔓延到另一个房间。后来,将其引入到计算机安全的领域来,特别是近年来多用于飞速发展的Internet网络中。所以,有时也叫Internet防火墙。
防火墙[5]是在两个网络之间强制实施访问控制策略的一个系统或一组系统,是一个由多个部件组成的集合,它被放在两个网络之间,并具有如下特性:
? 所有的从内部到外部或从外部到内部的通信都必须经过它。 ? 只有内部访问策略授权的通信才能被允许通过。 ? 系统本身要具有高可靠性。
简而言之,防火墙就是用来保护可信网络不受非可信网络侵入的一种机制,但它允许在这两个网络之间的进行通信。这两种网络的最典型的例子就是企业内部网和Internet。
从安全策略和网络配置的角度来看,防火墙就是附加了许多安全机制的主机系统或路由器,使得内部网络与Internet之间或者与其他外部网络互相隔离,通过限制网络互访,隐藏主机或子网中的协议和服务,并保护其内部资源不受外部的攻击或滥用。
8