防火墙安全性攻击测试的设计及实现.pdfVIP

维普资讯 2007年 1月 西 安 邮 电 学 院 学 报 Jan．2007 第 12卷 第 1期 JOURNALOFXI’AN UNIVERSITYOFPOSTAN DTELECOMMUNICATIONS Vo1．12No．1 防火墙安全性攻击测试 的设计及实现 姜玉萍 (西安邮电学院 电子与信息工程系，陕西 西安 710121) 摘要：防火墙作为网络安全领域最主要的防御手段，它的安全性至关重要。本文通过研 究网络安全评估理论、防火 墙系统以及其测试方法方面的理论 ，结合现有的一些著名安全攻击测试方案，提 出了一种针对防火墙系统的安全 测试模型，扩充并丰富了防火墙系统的安全测试方法。从攻击方式上准确地测试了防火墙 系统的安全。 关键词：网络安全评估；网络攻击；防火墙测试；拒绝服务 中图分类号：TP393．08 文献标识码 ：A 文章编号：1007—3264(2007)01—0107—05 引言 防火墙的工作原理 随着信息技术的高速发展，网络安全技术也越 一 般来说，防火墙包括几个不同的组成部分(图 来越受重视 ，由此推动了防火墙 (Firewal1)，入侵检 1)。过滤器(filter)用于阻断一定类型的通信传输。 测(IDS)，虚拟专用 网 (VPN)，访 问控制 (Access 网关是一台或一组计算机，它提供中继服务，以补偿 Contro1)，面向对象系统的安全性 (C0RBA)等各种 过滤器的影响。驻有网关的网络常被叫做非事区 网络安全技术的发展。防火墙技术L1_3J作为网络 (DemilitarizedZone，DMZ)。DMZ中的网关有时还 安全的重要组成部分，格外受到关注。因此在网络 由一个内部网关(internalgateway)协助工作。一般 安全评估研究的领域，针对防火墙系统的安全测试 情况下，两个网关通过内部过滤器到内部的连接 比 研究是一个重要的组成部分。但到 目前为止，针对 外部网关到其他 内部主机的连接更为开放 。就网络 防火墙系统的安全测试研究仅仅只是涉及到漏洞等 通信而言，两个过滤器或网关本身，都是可以省去 一 些方面的研究，还没有一个既遵循网络安全评估 的，详细情况随防火墙的变化而变化。一般说来，外 理论的原则，又比较全面、系统的研究方法。 部过滤器可用来保护网关免受攻击，而 内部过滤器 PhilipR．Moyer在参考文献 J提出了一套防火 用来应付一个网关遭到破坏后所带来的后果，两个 墙的测试方法，那种测试方法 由四个攻击层面所构 过滤器均可保护内部网络，使之免受攻击。一个暴 成：信息收集、探测、攻击、内部危害。后来 Philip 露的网关计算机通常被叫做堡垒机(bastionhost)。 R．Moyer在此基础上又提出了一种增强型的测试 过滤器 过滤器 方法，这是从整个防火墙的系统框架来考虑防火墙 的安全性，分得也比较细，大体上是从外部攻击者、 内部攻击者、协作攻击、疏忽检测这几个大的层面来 (二= 讨论的。本文所提出的一种安全测试模型就是参考 内部 外部 了PhilipR．Moyer提出的方法论和参考文献L5J而设 计出的，并主要从攻击测试方法进行具体实现。 图1 防火墙规划 收稿 日期：2006—04—24 作者简介：姜玉萍(1979一)，女，陕西岐山人，西安邮电学院电子与信息工程系助教。