个人防火墙技术的探讨

11引言随着网络的开放性、共享性、互联程度的扩大，特别是因特网的出现，网络的重要性和对社会的影响也越来越大。网络上各种新业务的兴起，以及各种专用网的建设，使得网络与信息系统的安全与保密问题显得越来越重要。特别是随着全球信息基础设施和各国信息基础设施的逐渐形成，国与国之间变得近在咫尺。网络化、信息化已成为现代社会的一个重要特征，并已深入到国家的政治，军事、经济、文教等诸多领域，许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。网络信息本身就是时间、就是财富、就是生命、就是生产力。因此，难免会遭遇各种主动或被动的攻击，例如信息泄露、信息窃取、数据纂改、数据删除和计算机病毒等。因此，网络安全已经成为至关重要的问题。而防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些访问，以及那些外部站点可以被内部人访问。现代信息技术的发展，各种应用软件的广泛应用以及Internet发展，人民对网络信息及信息安全的要求越来越高，各种网络病毒的侵袭使得我们的信息不安全，而防火墙是网络安全的屏障，作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。在目前，互联网攻击数量直线上升的情况下，个人计算机随时都可能遭到各种恶意攻击，这些恶意攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密文件丢失、隐私被曝光，甚至黑客通过远程控制删除了硬盘上所有的数据，整个系统全线崩溃。为了抵御黑客的攻击，保护网络及计算机安全，着重对主流个人防火墙技术及其功能以及针对个人用户的规则设置，进行了相应的分析，最后本文对实例天网个人防火墙进行分析。22防火墙的基本概念2.1防火墙的定义防火墙的本意指古代人民的房屋之间修建的墙，这道墙可以防止火灾发生时蔓延到别的房屋，但现在的防火墙并不是为防火，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不会防碍安全区域对风险区域访问。防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择，因此防火墙的另一作用是防止未授权的数据进入被保护的网络。2.2防火墙的分类虽然防火墙的体系结构和技术多种多样，但防火墙基本上分为三种：包过滤防火墙、应用代理防火墙和混合型防火墙。它们各有所长，具体选用应看具体需求。●包过滤防火墙，分为普通包过滤和基于状态检测包过滤。作用在协议族的网络层和传输层，在网络层截获数据。根据分组包头源地址、目的地址、协议类型等标志确定是否数据包通过。●应用代理防火墙，应用代理（ApplicationProxy）也叫应用网关，作用在应用层。它是近几年才得到广泛应用的一种新防火墙类型，掌握着应用系统中可作安全决策的全部信息，能够实现较高安全性。●混合型防火墙，其结合了包过滤防火墙和应用代理防火墙的特点，通过IP地址和端安全区域工作站服务器打印机Interner隔离风险风险防火墙3口号过滤进出数据包。目前在市场上较多防火墙属于混合型防火墙。无论哪种类型防火墙都存在着一定的局限，但可以通过配置监听某些特定的端口解决因特定的服务允许或拒绝某些数据的现象。例如分组过滤防火墙，通过实验了解到一个可靠的过滤防火墙依赖一定的规则，表1-1列出了几条规则集。表1-1序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*TCP2.3防火墙的工作原理防火墙的工作原理是其按照事先规定好配置与规则的方式，监测并过滤通过防火墙的数据流，只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息，服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也应具备较高的抗攻击性能。3防火墙的必要性使用防火墙的一般论证是，没有防火墙，子网系统会把自己完全暴露在一些本身并不安全的服务（如NFS和NIS等）面前，并且受到网络上其他地方主系统的试探和攻击，在没有防火墙的环境中，网络安全性完全依赖于系统安全性。防火墙有助于提高主系统总体安全性，因而使网点获得众多的好处。3.1控制不安全的服务防火墙可以控制不安全的服务，从而大大提高网络安全性，并通过过滤不安全的服务降低子系统所冒的风险。因为只有经过授权的协议和服务才能通过防火墙。例如，防火墙可以禁止某些易受攻击的服务（如NFS）进入或离开受保护的子网，其好处是可以防止这些服务不会被外部攻击者利用，同时，允许在大大降低被外部攻击利用的风险情况下使用这些服务。这是对局域网特别有用的服务，因而可得到共用，并用来减轻主系统管理负担。防火墙还可以防止和保护基于路由器选择的攻击。例如，源路由器选择和企图ICMP改向，把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ISMP改向，然后把偶发事件通知管理人员或用户。3.2控制访问网点4防火墙还提供对网点的访问控制，例如，可以允许外部网络访问某些主机系统，而其他主系统则能有效的封闭起来，防止非法访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对主系统的访问。3.3集中安全性对一个机构来说，防火墙实际上可能并不昂贵，因为所有的或大多数经过修改的软件和附加的安全性软件都放在放火墙，而不是分布在很多主系统上，尤其是一次性口令系统和其他附加验证软件可以放在防火墙上，而不是放在每个被需要访问因特网的系统上。其他的网络安全性解决方案，如Kerbers，要对每个主系统都进行修改。尽管Kerbers和其他技术有很多优点值得考虑，而且在某些情况下可能要比防火墙更适用，但是，防火墙往往更易实施，因为只有防火墙需要运行专门的软件。3.4增强性保密对某些网点来说，保密是非常重要的，一般认为无关大局的信息，实际上可能有对攻击者有用的线索。使用防火墙后，某些网点希望封锁某些服务，如域名服务。防火墙还可用来封锁有关网点系统的DNS信息。因此，网点系统名字和IP地址都不要提供因特网主系统，有的网点认为，通过封锁这种信息它们正在把对攻击者有用的信息隐藏起来。3.5网络日志及使用统计如果因特网的往返访问都通过防火墙，那么，防火墙可以记录歌词访问，并提供有关网络使用率的有价值的统计数字，如果一个防火墙能在可疑活动发生时发出音响警报，则可以提供防火墙和网络是否被试探或攻击的细节。3.6策略的执行防火墙可以提供实施和执行网络访问策略的工具。事实上，防火墙可向用户和服务提供访问控制。因此，网络访问册落可以由防火墙执行，如果没有防火墙，这样一种策略完全取决于用户的协作。4病毒入侵防火墙检测步骤防火墙具有入侵检测系统，检测系统是一种增强系统安全的有效方法，能检测出系统安全性规则，作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生或减少工具造成的危害。53-1检测结构流图4.1信息收集防火墙要抵制风险的侵入，第一步就是要将信息收集，收集整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于所收集信息的可靠性和完备性。因此，要确保收集、报告这些信息的可靠性。4.2数据分析数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测性能的高低。根据数据分析的不同方式可将入侵系统分为异常入侵检测与滥用入侵两类。4.3响应数据分析发现入侵迹象后，检测系统的下一步工作就是响应。响应并不限于对可疑的攻击者。目前的入侵系统一般采取下列响应：（1）将分析结果记录在日志文件中，并产生相应的报告。（2）触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件，等等。（3）修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络或更改防火墙配置等。5防火墙的部署根据网络结构和应用系统的重要程序，用户可以在网络边界和网络内部的不同区域部署防火墙，以实现整体防护作用。用户可以按具体需求将防火墙部署在以下位置：5.1部署在网络系统内部各网络的接口部署在网络系统内部各网络的接口处，利用防火墙实现系统内部各级网络层次间的访问控制。5.2部署在网络系统的公开信息发布平台与外部互联网的接口部署在网络系统的公开信息发布平台与外部互联网的接口处，实现公开信息发布平台与外部互连网的访问控制。5.3部署在网络系统与政府专用网间信息收集数据分析响应6PSIN部署在网络系统与政府专用网间，实现部门网络系统与政府专用网间的访问控制。5.4部署在部门局域网络内不同信任区部署在部门局域网络内不同信任区之间，实现部分局域网内不同信任区之间的访问控制。5.5部署在拨号服务器的接入口部署在拨号服务器的接入口上，实现对公开服务器的安全保护，以及对远程用户的安全认证与访问权限控制，并且能够实现对专线资源管理与控制。下图所示为设计的一个防火墙部署实例外网拨号服务器防火墙拨号服务器重点保护区防火墙内网5-1防火墙部署实例事例中一台防火墙部署在网络的出口处，将整个网络分隔成四个区域：外网区、服务器区及拨号服务器区，拨号服务器存在暴力破解攻击等安全隐患，应放在防火墙的一个单独区域。另一台防火墙部署在内网的重点保护区前面，将存放重要数据的重点保护区和其他内区域网分开，属于内网不同信任区域的部署方式。6天网个人防火墙具体实例分析6.1天网防火墙功能目前天网个人版防火墙是国内外针对个人用户最好的软件防火墙之一，是一套供个人电脑使用的网络安全程序，它可以帮助用户抵挡网络入侵和攻击，防止信息泄露。最新版本的天网个人版防火墙可在天网安全阵线免费下载()。其功能如下：6.1.1灵活的安全规则：天网防火墙设置了一系列安全规则，允许特定主机的相应服7务，拒绝其它主机的访问要求。用户还可以根据实际情况，添加、删除、修改安全规则，保护本机安全。6.1.2应用程序规则设置：新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通信端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。6.1.3详细的访问记录和完善的报警系统：天网防火墙可显示所有被拦截的访问记录包括访问的时间、来源、类型、代码等都详细地记录下来，用户可以清楚地看到是否有入侵者想连接到自己的机器，从而制定更有效的防护规则。与以往的版本相比，天网防火墙(个人版)设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。6.1.4严密的实时监控：天网防火墙对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。6.1.5支持高保密的“VPN技术”。天网防火墙采用符合IPSEC标准的高保密性虚拟专用系统，系统支持多种加密算法，使系统具有完善的安全特征，保证了数据的真实性、完整性和机密性。6.1.6即时聊天保护功能。6.2天网防火墙的安全规则设置“天网”在启动后的默认窗口是“安全规则设置”窗口，在主对话框中可以自行指定防火墙的安全规则，针对每一项规则，在窗口底部的对话框中都有详细的注释，因为“天网”是以对数据包进行监控为基础的，所以在对话框中也包括了对数据包的发送方向、遵从的协议、对方的地址、对方的端口都做出了说明。可以看到，在最下面还有若干的“空规则”，这是“天网”设计的一个自行升级的方法，用户可以到网站上下载新制定的规则来完善防火墙的功能。关于各项设置的具体意义，这里选择几项重要的规则设置来解释，实际上“天网”本身已经默认设置好了相当完善的安全级别，一般，用户并不需要自行更改设置。图5-1