基于混合式结构的中小型企业防火墙的研究与设计

VIP免费
3.0 朱铭铭 2024-09-24 8 4 2.44MB 36 页 150积分
侵权投诉
基于混合式结构的中小型企业防火墙的研究与设计
第一章 绪论
1.1 课题研究背景
防火墙作为一种安全手段,在网络中用得非常普遍。传统的防火墙设置在网络边界,称
之为“边界防火墙”,它将受保护部分和外部隔离开来,从而达到限制访问、防止攻.击的目
的。但是,传统边界防火墙建立在受限拓扑和受限入口点的概念之上,准确地说,它们建立
在这样的假定之上:每个人口点即防火墙内部的人是可信任的,所有外部的人是潜在的敌人 。
随着因特网日新月异的发展,传统边界防火墙的局限性开始显露出来。从安全角度讲:传统
边界防火墙只在网络边界具有安全保障功能,效力范围有限,而当前的网络犯罪又多源于网
络内部;传统防火墙位于网络边界点,容易产生单一故障点,防火墙一旦被攻破,将成为黑
攻击内部IP 表示内部
IP 伪装。从技术角度讲:网络数据所有对外流出和对内流人都必须经过防火墙,容易产生流
量瓶颈;传统防火墙的实现基于人为地将网络分为内部可信任网络和外部不可信网络,这种
针对特定的网络拓扑实现的防火墙难以满足网络多元化的发展要求;代理防火墙虽然可以解
决会话的上下文关系,但必须对不同的服务编写不同的程序,实现起来十分复杂;传统防火
墙不是信息的最终用户,对于加密数据由于没有信息解密密钥而无法进行检测,难以抵御隧
道攻击。上述缺陷严重制约了网络技术的应用和发展。个人防火墙的出现弥补了传统防火墙
的一些缺陷,它更明确主机会话的上下文关系,同时为网络增加了一道安全屏障,但是它仍
然无法从根本上解决内部网络的安全问题。首先,个人防火墙仍然依赖网络拓扑结构,容易
IP 址欺骗;
现安全策略的统一置和对这种,人们了分布式防火墙的概念,来满足网
络发展的新情况。本文了人们该领域的进情况面介绍了分布式防火墙的理、
系结构,一种用于网络的布式防火墙框架,最对分布式火墙的
发展出了预见
1.2 国内外研究现状
Checkpoint
Software 公司Cisco 公司占有的市场份额最多。我国的防火墙高端品市场仍由外的防火
厂商占领,中低端市场则参差份额外的 Checkpoint Firewall-1 防火墙、Cisco
PIX 防火墙、NetScreen 防火墙在产功能和方面优势使大型客户纷纷
采用。目前,内的防火墙产品也越多,出现了专业防火墙公司
布式防火墙的虽然才提出不,但由于它对于传统防火墙的点、面向企业
户的特点以客户对安全的更内外著名安全专家织已经开始在
布式防火墙技术领域进行入的探讨先的网络安全产生产咨询服务
供商一一国瑞1999 开始出了 CyberwallPlus 成为了分
布式防火墙技术的厂商我国也公司开发了主的布式火墙产北京
EverLink DistributedFirewall 提供
构建一个方便易用的网络安全平台。它不仅适用于型组织构,同样与公
直接相连个人用户、动办公环境中的商业理和小企用户。目前的来
的一些著名网络设开发在分布式防火墙技术方面更加先进,所提供的产性能也比较高
采用“软件+硬件形式主机防火墙成了分布式防火墙技术的硬件,而防火墙服务
采用软件形式,以应更加灵活高智能的要求,3COM CISCO美国网络安全系统
公司防火3Com 新发火墙是一种基火墙
解决方案它们被入到网中,防火墙策略服务实现。这种
防火墙技术硬件解决方案强健式软件解决方案性结在一起,
提供了分布式防火墙技术,并创建了一个更完善安全基构。不过多是纯软
件形式提供的,的网(NetCop)布式防火墙
之分布式防火还属角的新技术,但无是目前为先进的防火墙技
术,它可以有效地成传统防火墙的任务,同时补传统防火墙的不足,对来自计
机网络内部的攻击进行防御。但是由于目前技术论研究全成,而传统
火墙经经过数的发展,技术对成目前在多数的机网络使用,因
布式防火墙代传统防火墙时日。但是随着 Internet 技术的发展,分布式防火墙具有更
广阔的前,无将会成为下一代的防火墙。
第二章 分布式防火墙概述
2.1 传统边界防火墙存在的主要问题
传统防火墙由于部在网络边界而被称边界防火墙。边界防火墙在企业内部外部
网之构成一道屏障,负责进行网络存取控制。传统边界防火墙建立在受限拓扑和受限人
口点的概念之上,准确地说,它们建立在这样的假定之上,每个人口点即防火墙内部的人是
可信任的,每个外部的人至少是潜在的敌人。这种防火墙在理上严格区分内部网和外部网 ,
内部网和外部网之只有道,防火则死守这一咽喉道”。随着网络安全技术
人发展,边界防火墙逐渐暴露出一些点,具表现在以下方面
(1)防外不防内。传统防火墙对内部数据流无法监视,全然不不上防止内部攻
击,而实上据统计 50%的攻击来防火墙内部,防范内部攻击必不可
(2)“瓶颈”问题。一方面网络带宽越高,这要求防火墙有很高吞吐
,黑客的攻击也越多,防火理的规则必然复杂,使防火
。因而防火墙的功能(即防范攻击的能力)和性能()是一对矛盾
(3)“单点效”问题。防火墙集万千重任于一,因而一旦防火墙置不当出现问题
全网皆暴露于攻击者面前。
(4)未授权访问问题。多样化的连接方式诸如隧道、线连接拨号访问使个人
易建立一个过防火墙的连接网络下一个后门成网络安全隐患
(5)网络新务受到限制。网、移动用户和过网络在家办公(Telecommuting )等
务新求的出现使得内网的概念难以维持
(6)端的加密对防火墙威胁传统的网络协议没有使用加密,因而防火墙能对数
据流实当加密技术和新一代网络协议使用的时,防火墙因为没有密钥而不能理
解流过的数据的内容,从而不能实
(7)安全模式单一。传统防火墙的安全策略是针对全网制定的,全网中的所有主机从单
一的安全模式,网络中的主机和防火墙在安全性上不具针对性和个性特点。
2.2 分布式防火墙的提出
由于传统防火墙的缺陷不显露,于是有人防火墙是现代网络的发展不容的
为加密的广使用可废除防火墙。但加密不能解决所有的安全问题,防火墙依然有它
优势比如通过防火墙可以闭危险的应用,防火墙可以统一的监控
能对新发现bug 速做有人了对传统防火墙进行进的方案多重边
界防火墙,内部防火墙,但这些方案都没有从根本摆脱扑依赖,因而也就不能消除
统防火墙的有缺陷,而增加了网络安全理的难度。个人防火墙的出现弥补了传统防火
墙的一些缺陷,它更明确主机会话的上下文关系,同时为网络增加了一道安全屏障,但是它
依然无法从根本上上解决内部网络的安全问题。首先,个人防火墙依然依赖网络拓扑结构,
易受 IP 一,网络
法实现安全策略的统一置和理。多数部非从机行,为使
员工掌握火墙置技术而对其进行复杂的网络和网络安全识培训是不现实的。外,
网络安全置防火墙,防火墙设。因个人防火墙配合传统
防火墙的同样不可行。为了服以上缺陷而又保防火墙的
AT&T 验室研究Steven MBellovin 文“火墙了分布式
Distributed FirewallDFW)的概念,出了分防火墙的原型框架.定了分
火墙研究的基
2.3 分布式防火墙原理
2.3.1 分布式防火端的基本原理
传统防火墙缺陷的根源在于它的拓扑结构,分防火墙破了这种拓扑限制,将内
网的概念由义变逻辑按照 Steven 的说法,分布式防火墙是由一个中来制定
分发到主机上行,它使用一种(Keynote)来制定
成内部形式存策略数据中,系统软件策略分发到被保护主机,而主机根据这
安全策略加密定是,从而对机实保护。在 DFW 主机
然可IP
中建采用认证,用 IPsec 密的为主识别依据,一
不易伪立于拓扑,所以只要法的,不理上的内部网
部网都被为是“内部”用户。加密认证彻底打破拓扑依赖的根本保DFW 系统中,
台主机的要被上传到中数据中统一保
2.3.2 分布式防火墙的本质特征
弄清布式防火墙的本认识布式防火墙,从而划清防火墙
非分布式防火墙之的界限:
摘要:

基于混合式结构的中小型企业防火墙的研究与设计第一章绪论1.1课题研究背景防火墙作为一种安全手段,在网络中用得非常普遍。传统的防火墙设置在网络边界,称之为“边界防火墙”,它将受保护部分和外部隔离开来,从而达到限制访问、防止攻.击的目的。但是,传统边界防火墙建立在受限拓扑和受限入口点的概念之上,准确地说,它们建立在这样的假定之上:每个人口点即防火墙内部的人是可信任的,所有外部的人是潜在的敌人。随着因特网日新月异的发展,传统边界防火墙的局限性开始显露出来。从安全角度讲:传统边界防火墙只在网络边界具有安全保障功能,效力范围有限,而当前的网络犯罪又多源于网络内部;传统防火墙位于网络边界点,容易产生单一故...

展开>> 收起<<
基于混合式结构的中小型企业防火墙的研究与设计.doc

共36页,预览4页

还剩页未读, 继续阅读

相关推荐

更多
立即下载
作者:朱铭铭 分类:高等教育资料 价格:150积分 属性:36 页 大小:2.44MB 格式:DOC 时间:2024-09-24

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务

作者详情

相关内容

更多

推荐作者

热门标签

/ 36
评分 收藏
分享
立即下载 VIP免费下载
客服
关注