2023年11月28日发(作者:)

20171 2017

(总第期)

169 INFORMATION & COMMUNICATIONS (Sum. No 169)

防火墙技术及其在网络安全中的应用

吴文臣

(16105)

,黑

摘要:主要针对网络安全的相关问题和防火墙的技术特点,对防火墙技术及其网络应用进行细致分析,力求使网络处于一

个安全的环境之中,建立有效的病毒防护体系,有效控制计算机的病毒传播,改善上网习惯,进而有效的保护计算机系统。

关键词:防火墙技术;网络安全;应用

中图分类号:393.08 文献标识码: 文章编号1673-1131(2017)01-0182-02

TPA

随着网络应用的普及,网络安全问题日益凸显。当计算

机用户运行了带有病毒或恶意篡改的代码程序时,将会导致

计算机系统崩溃,影响我们的正常应用和工作,甚至造成经济

损失。防火墙技术是当前比较流行也比较可靠的网络安全防

护技术,它是计算机高新技术的产物,也兼具低廉实惠的特点,

在网络安全应用中十分广泛。

1防火墙的概念及功能

防火墙是指隔离在外界网络与本地网络之间的一道网络

控制防御系统。它对网络之间的数据传输具有一定的过滤作

,对于屏蔽内部信息结构和运行状况提供安全和审计的控

,从而到达保护内部信息的目的。防火墙的实质是一种隔

离技术,其核心思想在于构建相对的内部网络环境,并将其进

®辑。防火墙的主要功能在于控制不安全的服务,过

滤非法用户,使得网络内部免受外界攻击;对网络特殊站点的

访问进行限制,禁止访问某些主机;集中安全保护,简化网络

管理,将网络设置的密码口令或其他身份证明放于防火墙更

优于访问主机上;防火墙通过封锁域名服务,防止网络攻击获

取有用信息;通过对所经过的防火墙访问进行统计分析,能够

更好的使用网络资源;各组织机构可以根据本单位的特殊要

求配置防火墙系统,实现安全控制。

2防火墙的技术分类

(1) 包过滤型技术。包过滤模块的工作主要集中在网络层,

它能准确的在传统的链路层上通过检查每个代码的源地址、

输协议和端口信息与预先设定的安全策略匹配情况,决定是

否报文通过,根据序列号和握手序列的逻辑分析进行有效判

断,能够较为有效的抵御相关病毒的攻击。包过滤技术能够

将标准的路由软件都内置在其中,无需额外的花费,同时对于

用户和应用是透明的,不需要用户和密码登录,运行速度较快。

但配置访问的控制列表在前期比较复杂,需要网管对于网络

服务有着深入的了解。与此同时包过滤技术缺乏跟踪记录能

不能从电脑的日志记录中发现黑客的攻击记录,只能简单

的检查地址和端口,对应用链路层的协议无法防范,不能理解

特定服务的上下文环境和数据。

(2) 代理服务技术。代理服务是一种特殊的应用代码层,

是在网管地允许下或者拒绝特定的应用和服务的情况下,实

施数据流量监控、过滤和报告功能。代理工作原理比较简单,

用户只要简单的与代理服务器建立连接,然后将目的站点告

知代理,对符合的请求,代理以自己的身份与目的站点建立连

,然后代理在这两个连接中转发数据。代理服务技术能有

效的实现网络应用相关状态和部分传输方面的有效信息,提

供全面的审计和日志功能,针对每个特定应用都有相应的代

理模块,保证防火墙的有效安全。代理防火墙最突出的优点

即为安全,每个内外网都需要特定的服务接入,由防火墙本身

182

提交请求和应答,不给内外网络计算机任何的会话机会,安全

性极高。但代理技术速度相对较慢,用户对内外网络网关的

吞吐量要求较高时就容易出现网络问题,某些代理需要修改

客户软件,对客户带来了极大不便。

(3)状态监测技术。状态监测技术又称为动态的包过滤,

是传统包过滤的扩展,监测模块支持多种协议和应用程序,

现应用的有效扩充,它能有效克服防火墙的技术限制,安全性

极高,保证所有通过网络的原始信息都能有效监测,安全范围

得到有效提高。信息包在低层处理并拦截,节省了执行时间,

提高执行效率。建立防火墙之后,系统就不再需要对该链接

进行处理,另外状态监测还具有可伸缩性和扩展性的优点,

监测系统中应用广泛。但在测试分析中,因为技术监测造成

的网络连接会出现某种迟滞,特别是在多种连接同时激活的

情况下,会出现卡顿的现象。

3防火墙技术的网络运用

(1) 内部网络应用。单位的内部网一般情况下是禁止所有

互联网用户的访问,如果出现需要联网的情况,所允许的权限

非常低,真正有服务器数据是在受保护的内部网络主机上。

过网络地址转换技术将受保护的内部网络的主机地址映射于

防火墙的有效网关,不仅可以对外屏蔽内部网络结构和公共

网关地址,保护内部网络的安全,同时也可以大大节省投资成

。包过滤防火墙通过设置服务器端口,只对需要这些功能

的内部网络进行开放,通过分析报文数据实现报文过滤。因

在内部网处理器中往往采用包过滤技术防火墙,这种防火

墙对于用户是透明的,合法用户进入网络时,根本感受不到防

火墙的存在,使用起来非常方便。

(2) 边界路由器的应用。代理技术防火墙往往适用于边界

路由器的使用。单位已有边界路由器,可充分利用之前原有的

设备,利用边界包过滤的功能,添加相应的防火墙配置,这样原

有的路由器就具备了防火墙的功能。通过防火墙与所需的网

络进行连接就不再需要经过防火墙。它可以直接经过路由器

的简单防护,在拓扑结构中,边界路由与防火墙共同构成了计

算机系统的两道防线,保证计算机的安全运行。其工作机制在

于对待进来的信息,外部路由主要负责防范外部攻击,只允许

外部系统访问防御主机,而里面的路由提供第二道防护,只接

受防御主机的数据包,这样从一定程度上保证了网络始终处在

一个安全的环境之中。代理技术工作能识别用户使用的协议,

因而能够对用户行为进行调控,在应用代理服务器、回路级代

理服务器、代管服务器和隔离域名服务器中也都有广泛运用。

(3) 网络各层监测和存储应用。状态监测防火墙在网络层

能够有效的截获数据信息,然后通过防火墙从各个应用层中提

取安全策略放到动态表里,分析与信息包后续连接的请求中

作出合理和适当的决定,对网络的各层进行安全检测和控制。

及时发现安全漏洞和恶意攻击,并将这些情况记载下来,系统

20171 2017

(总第期)

169 INFORMATION & COMMUNICATIONS (Sum. No 169)

Windows

内核驱动安全检测技术研究

(200433)

,上

摘要:系统内核机制复杂,对内核驱动进行安全性检测与传统的用户态漏洞存在着较大差异。章对

WindowsWindows

系统下的内核驱动安全检测相关技术进行研究,介测试以及污点分析技术相关研究的最新动态。最后总结

Fuzzing

了当前安全检测技术中仍然存在的一些问题,展望未来的发展方向。

关键词:内核驱动;;污点分析;黑盒测试

Fuzzing

中图分类号:393 文献标识码: 文章编号= 1673-1131(2017)01-0183-02

TPA

,然后进行有针对性的覆盖测试。黑盒的测试方法主要有

Fuzzing

测试等,灰盒的测试方法代表性的有符号执行,污点分

析等等。由于平台的不公开性,只能采取黑盒以及

Windows

灰盒的测试方法,无法进行白盒测试。

系统下的内核态安全检测技术进行研

Windows

究,介绍其发展历程,研究动态,总结了当前安全检测技术中

仍然存在的一些问题,展望未来的发展方向。

〇引言

Windows

操作系统及其平台上相关的软件,历来是安全

研究者们的重点关注领域。随着软件安全检测技术的进步,

安全软件的日趋完善,以及越来越多的用户态漏洞利用缓解

技术的出现,内核态漏洞在近年来逐渐受到安全研究者的重

近年来,被发现的内核漏洞数量逐渐增加,其漏

Windows

洞机理也越发复杂。绝大部分被发现的内核漏洞都可以达到

提升权限,甚至远程代码执行的效果。除了操作系统之外,

操作系统上的第三方安全软件,例如卡巴斯基等

Windows

杀毒软件,其内核驱动也被发现存在内核态漏洞。在一个典

型的攻击场景下,恶意攻击者先通过普通用户态漏洞入侵获

得较低权限,再利用内核漏洞突破权限安全机制,

root

限,拥有了对系统的最高控制权,进而威胁到整个系统。

对应用程序的安全性检测有多种不同的方法。根据对系

统源代码的掌握情况,可以分为三个不同的种类:白盒测试,

黑盒测试以及介于两者之间的灰盒测试等。白盒测试通常指

拥有系统源代码,对系统内部执行情况拥有完全了解的情况

下进行的安全测试。黑盒测试指的是对系统没有任何了解,

系统就像一个黑盒,仅接受不同的输入,通过观察输出来对系

统的安全性进行测试研究。灰盒测试则介于两者之间,常常

对系统通过逆向等手段掌握部分程序运行机理,输入输出路

1内核驱动安全黑盒检测

Fuzzing

测试技术是内核态安全检测中一项十分重要的技

也是研究的热点方向。测试的主要原理就是生成

Fuzzing

大量的畸形测试数据,输入系统进行测试,并观察测试结果。

如果出现程序异常,则找出引发异常的测试用例并重现问题,

分析异常原因。在系统下测试内核驱动的

WindowsFuzzing

测试工具有很多,比较有代表性的诸如以及­

HookFuzzerKer

nelDriverFuzz

[1]

HookFuzzer

采用的是一种叫做中间人测试的技术。所谓

中间人测试,指的是通过设置一个假的中间人代理,捕获原本

的正常请求,并发送伪造后的虚假请求,并观察系统在测试状

态下的表现。具体做法是在内核态挂钩关键函数,并不断记

录每次对内核态的相关函数调用。当发现某次函数调用请求

对象是被挂钩的内核驱动时,将调用参数记录到缓冲区,作为

管理员根据记录排查漏洞,完善系统配置。状态监测防火墙 安全隐患时能够迅速进行拦截,并及时提供给使用者有效的依

自身根据这些记录情况,能够匹配好相应的处理方法,进行实

时的动态控制。在网络层以及高层状态地监测中,能够有效

的对各层漏洞和入侵进行处理,使动态监测技术得到有效地 人和企业单位的信息安全,维护个人和企业的合法利益。

应用并广泛使用。因而,动态监测技术的应用在安全性能和

拦截效率中都比较强劲。利用防火墙对网络的相关信息存储

功能,防火墙能够实时记录网络在使用的各个阶段的情况,

以作为防火墙对于网络控制力度的一个有效参考,便于对数

据风险进行有效分析,减少不必要的损失。

(4)数据库安全维护的应用。信息数据库作为单位的重要

存储区域,避免单位信息泄露是防火墙的一个重要功能。利用

防火墙在一定程度上能够将内部的网络和外部网络进行分离,

允许合法信息进行进入,拒绝不法信息进入,出现非法信息能

迅速将其记录到信息数据库中,避免网络其他数据受到感染,

防止网络安全问题产生,同时能有效确保局部区域发生敏感问

题不至于影响网络全局。防火墙经过对数据的层层分析,不仅

能够对数据库中的信息进行有效筛选,还能针对数据库中的网

络应用提供相应的安全服务。防火墙在网络系统安全运行过

程中,有效地保证使用者准确查找数据库的信息,并且在出现

据和手段,时数据库得以安全和高效地运行。将防火墙技术与

数据库系统进行有效结合,能使防火墙技术不断完善,确保个

4结语

为了确保网络数据的运行安全,必须利用一系列的网络

安全技术保护我们的网络免受病毒地攻击。特别是在网络运

用使用的过程中,更加需要重视计算机网络的防护与安全。

们应当充分利用好防火墙技术,将其特点和分类进行细致的

分析,选择一种合适的防火墙运用到自己的计算机系统之中,

网络科研人员应进一步完善现有的防火墙技术,积极进行研

发新型防火墙技术,使我们有一个健康的网络环境。

参考文献:

[1] 宿洁,袁军鹏.防火墙技术及其进展[].计算机工程与应用,

J

2004(9).

[2] 代潮,曾德超.防火墙技术的演变及其发展趋势分析[].

J

信息安全与通信保密,2005(7).

[3] 占科.计算机网络防火墙技术浅析[].企业导报,2011(11).

J

183