局域网防火墙的攻击与防御技术.doc

局域网防火墙的攻击与防御技术 目 录 1、引言 1 2、局域网面对攻击的安全策略 1 3、防火墙的基本原理与组成 3 3.1 防火墙的基本组成结构 3 3.2 防火墙的几种基本类型介绍 4 4、防火墙的攻击方法与技术 5 4.1 攻击包过滤防火墙 5 4.2 攻击状态检测的包过滤 6 4.3 攻击代理防火墙 7 5、防火墙与安全策略 8 5.1 防火墙与网络系统的联系 8 5.2 代理系统的建立 9 6、小结 10 参考文献 10 致 谢 10 局域网防火墙的攻击与防御技术 摘要 防火墙作为一种访问控制技术，己经成为保护网络安全的一个重要措施，也是网网络安全研究领域中的核心问题之一。随着防火墙的发展，混合使用包过滤技术、代理技术和其它一些新技术的防火墙正向我们走来。防火墙还逐渐和入侵检测、病毒查杀技术结合在一起。本文综合了各方面的技术以防火墙技术为重点 ，着重以包过滤、状态检测和代理防火墙三种为例论述了的防火墙的攻击与防御技术。 关键字 防火墙 TCP/IP 包过滤 状态检测 代理防火墙 1、引言 近几年计算机网络技术飞速发展，为人们提供了方便快捷的信息服务和远程资源共享，有很多在平常要在图书馆或者其他地方需要花费大量时间的资料，在网上几分钟就可以找到。“网络时代”的到来虽然给人们带来了很多便利，但是，它也有它危险的一面。因为，虽然Internet包含了人类文明的信息资源，为人们提供了信息的交流和共享，随着世界经济的发展，时代的进步，Internet成为了当今社会发展不可缺少的东西。[1]例如：考试报名、网上够物和个人银行帐户等等。与此同时，网络上面的计算机犯罪也在不断的上升。例如：帐号被盗，资料被窃等等。据不完全统计，全世界每20秒就有一个网络遭到非法入侵，在局域网内的更多，更是防不胜防。根据不同的手段，黑客们不断的窃取企业内部的商业机密， 破坏网络连接，使整个网络系统陷于瘫痪，因此，需要掌握防火墙技术来防护自己的机器和自己所在的网络系统。 2、局域网面对攻击的安全策略 这里我使用网络协议分层模式来分析局域网的安全。从图以看到，网络的七层在不同程度上会遭受到不同方式的攻击，如果攻击者取得成功，那将是非常危险的。而我们通常听到或见到的攻击往往发生在应用层，这些攻击主要是针对Web服务器、浏览器和他们访问到的信息，比较常见的还有攻击开放的文件系统部分 下面两个方法从实践上来说被认为是非常有用的防范手段。在网络层检查通信数据，观察它的源地址和目的地址。过滤器可以禁止特定的地址或地址范围传出或进入，也可以禁止令人怀疑的地址模式。在应用层检查通信数据，检查消息地址中的端口，或检查特定应用的消息内容。测试失败的任何通信数据将被拒绝。路由包过滤 TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤与防火墙相比处理的简单一些，它仅是观察TCP/IP地址，而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。 包过滤器通常使用的是自顶向下的操作原则，下面是它使用的一个典型规则： 允许所有传出通信数据通过； 拒绝建立新的传入连接； 其它的数据可以全部被接受。 通过这样的使用规则，系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新连接的请求。它阻止使用TCP的通信数据进入，从而杜绝了对共享驱动器和文件的未授权访问。 过滤器通常的应用是配置在连接你的计算机和Internet的路由器上，如图2所示。在你的局域网和Internet之间放置过滤器后，就可以保证局域网与Internet所有的通信数据都要经过过滤器。 如果包过滤软件有能力检查源地址子网，从子网物理端口传递消息到路由器，你就可以制定规则来避免虚假的TCP/IP地址，就象图2所示的那样。攻击者欺骗的方法就是把来自Internet的消息伪装成来自你局域网的消息。包过滤通过拒收带有不可能源地址的消息来防御攻击者的攻击。例如，假定你在一个装有Linux的机器上安装软件，让它作为一个Windows网络文件服务器，你可以配置Linux让它拒收所有来自你的子网以外的通信数据，阻止Internet上的机器看到这个文件服务器。如果攻击者假装是你内部的机器，用过滤器就可以阻止攻击者的攻击。 包过滤虽然对网络的安全防范能起到很好的作用，但包过滤也并不是万能的。它们一般不能防御使用UDP协议的攻击，因为过滤器不能拒收开放的消息。包过滤还不能防御低层攻击，象PING方式的攻击 图七层模型易遭受的安全攻击防火墙 使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的