防火墙及其穿越技术的分析与研究

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
科技信息
○IT 技术论坛○
SCIENCE & TECHNOLOGY INFORMATION
2008 年 第 27 期
防火墙及其穿越技术的分析与研究
刘 丽 韩丽花 (临沂师范学院 山东 临沂 276005)
【摘 要】本文先叙述了防火墙的相关概念, 介绍了常见防火墙的几种技术, 然后分析了隧道穿越技术, 并提出了一种穿越 NAT 防火 墙 的 方案。
(2)查询被叫。如果主叫此时想与被叫进行 UDP 通信, 主叫请求服 务器协助查询被叫的公网 IP 地址、端口。服务器记录主叫在经 NAT 映射前后的 IP 地址、断口以及本次连接使用的断口 V。服务器查到被 叫的公网 IP 地址和端口后给 A 发送回复消息。
(3)发送连接通知, 服务器通过已经建立的辅助通道向被叫发送连 接通知, 其中携带主叫的外网 IP 地址、端口, 即通知被叫接收该地址、 端口发送的消息。
水养护, 拆除侧面非承重模板 时 , 混 凝 土 应 具 有 1.2N /mm2 以 上 强 度 ; 拆模时注意保护棱角, 避免用力过猛过急; 吊运模板, 防止撞击棱角, 运输时, 将成品阳角用草袋等保护好, 以免碰损。
( 2) 缺棱掉角, 可将该处松散颗粒凿除, 冲洗充分湿润后, 视破损 程度用 1: 2 或 1: 2.5 水泥砂浆抹补齐整, 或支模用比原来高一级混凝 土捣实补好, 认真养护。
1.防火墙概论 1.1 防火墙的定义
防火墙是一种高级的访问控制设备, 置于不同的网络安全域之间 一系列部件的组合, 这些部件包括硬件和软件, 它是不同网络安全域 间通信流的唯一通道, 能根据有关的安全策略控制进出网络的访问行 为( 允许, 禁止, 监视, 记录) 。
1.2 防火墙的分类 实际使用的防火墙的类型或者其实现形式分为以下四类: 嵌入式防火墙 当防火墙能被集成到路由器或者交换器中的时 候, 这个防火墙就称为嵌入式防火墙。这种防火墙又名节流防火墙, 通 常只对分组信息进行 IP 的无状态检查, 这样可以获得较高的性能, 但 却有较高的使危险代码通过的机会。 软件防火墙 软件防火墙有两种不同的类型, 一种是企业级软件 防火墙用来在大型网络上执行路由选择功能, 另一种是 SOHO( Small Office, Home Office,小型办公, 家庭办公 ) 级 。 软 件 防 火 墙 通 常 会 提 供 全面的防火墙功能, 可以安装在服务器硬件及操作系统上。 硬件防火墙 又称为设备防火墙, 设计为一种总体系统, 总体系 统 不 需 要 复 杂 的 安 装 或 者 配 置 就 可 以 提 供 防 火 墙 服 务 。硬 件 防 火 墙 与 软件防火墙相似, 可以是针对企业应用市场来设计, 也可以针对 SOHO 环境。 应用程序防火墙 应用程序防火墙经常是作为现有硬件或者软 件 防 火 墙 的 组 件 实 现 的 。它 们 的 主 要 目 的 是 提 供 一 种 复 杂 的 内 容 过 滤 层次, 用来对应用层传输的数据进行过滤, 随着防火墙功能的提高, 对 于数据的过滤已经越来越多地集中到了应用层, 应用程序防火墙的针 对性也越来越强。 1.3 防火墙的功能及作用 防火墙实际上是一种保护装置, 防止非法入侵, 以保护网络数据, 在互联网上防火墙服务于多个目的。 ( 1) 限定访问控制点。 ( 2) 防止侵入者入侵。 ( 3) 限定离开控制点。 ( 4) 有效地阻止破坏者对计算机系统进行破坏。 总之, 防火墙在互联网中是分离器、限制器、分析器。 2.防火墙的主要技术 2.1 包过滤防火墙技术 包 是 网 络 上 信 息 流 动 的 单 位 。在 网 上 传 输 的 文 件 一 般 在 发 送 端 被 划分成一串数据包, 经过网上的中间站点, 最终传到目的地, 然后这些 包中的数据又重新组成原来的文件。数据包由各层连接的协议组成, 每个数据包有两个部分: 数据部分和包头。包头中含有源地址和目标 地 址 等 信 息 。各 层 数 据 包 中 的 数 据 都 包 含 其 上 层 的 全 部 信 息 。对 每 一 层来说, 对数据包的处理是: 把从上层获取的全部信息作为包体, 然后 以本层的协议再加上包头。 包过滤一直是一种简单而有效的方法。通过拦截数据包, 读出并 拒绝那些不符合标准的包头, 然后过滤掉不应入站的信息。
简单包过滤防火墙可以在现有的网络设备上实现, 绝大多数的路 由器支持包过滤功能但是配置要求具备较深的 TCP/IP 知识, 而且不 得 不 创 建 大 量 的 规 则 , 它 不 检 查 应 用 区 , 安 全 性 比 较 低 , 容 易 遭 受 IP 欺骗的攻击。
2.2 代理防火墙技术 每一个内外网络之间的连接 都 要 通 过 Proxy 的 介 入 和 转 换 , 通 过 专门为特定的服务编写的安全化的应用程序进行处理, 然后由防火墙 本 身 提 交 请 求 和 应 答 。代 理 防 火 墙 能 在 用 户 层 和 应 用 协 议 层 间 提 供 访 问控制; 而且, 还可用来保持一个所有应用程序使用的记录。 代理防火墙由于采用的是代理技术, 所以说用于应用层的过滤规 则 相 对 于 包 过 滤 技 术 来 说 更 容 易 配 置 和 测 试 。通 过 代 理 访 问 可 以 解 决 合法的 IP 地址不够用的问题, 因为互联网所见到的只是代理服务器 的地址, 内部不合法的 IP 通过代理可以访问互联网。 但是代理速度较路由器慢; 对于每项服务代理可能要求不同的服 务器; 代理服务不能保证免受所有协议弱点的限制; 代理防火墙提供 应用保护的协议范围是有限的。 2.3 混合型防火墙技术 混 合 型 防 火 墙 结 合 了 包 过 滤 防 火 墙 和 应 用 代 理 防 火 墙 的 特 点 。它 同包过滤防火墙一样, 能够通过 IP 地址和端口号过滤进出数据包, 也 能检查 SYS 和 ACK 标记和序列数字是否逻辑有序。另一方面, 也能像 应用代理防火墙一样, 在应用层上检查数据包的内容, 查看这些内容 是 否 能 符 合 既 定 的 网 络 安 全 规 则 。目 前 在 市 场 上 的 防 火 墙 大 多 属 于 混 合型防火墙。 2.4 NAT 技术 NAT 技术的最初应用是以普通网关的形式出现的.当时功能还很 简 单,仅 仅 用 于 研 究 实 验.之 后 少 数 路 由 器 厂 商 推 出 了 专 用 的 NAT 路 由器, 在功能和设备性能上都有了很大的提高. 采用网络路由中网络 地址转换技术、通过在网关上对进出口 IP 包源地址与目的地址的转 换, 可以实现过滤规则的动态化,使得外部网中的主机或使用者难以 了解和掌握与自己通信的对方的真实网络地址.因为外部网所接收到 的数据包中的地址都已被网关改写过了,反映到外部网中就是一个虚 拟的主机.以此为基础能非常有效地控制各种出入数据包,不仅能大大 提高 IP 包过滤的灵活性,更重要的是为提高网关系统转发报文的效率 提供了一个安全的平台.同时在很大程度上还保证了网络通信的透明 性.NAT 技术的引入,为传统 IP 层中的安全技术增 加 了 新 的 特 性,改 变 了 只 能 按 照 地 址 匹 配 算 法 进 行 简 单 的 过 滤 控 制 这 一 状 况. NAT 只 能 安装在网关系统上,而这也正是普通防火墙系统通常所处的位置.因此 NAT 技术的应用很自然地就被集成在防火墙系统内,成为众多的安全 防护手段之一。 3.隧道穿越技术 在视频会议系统中, 为了解决音视频流通信不能穿越防火墙的问 题, 人们提出了一些解决方案, 在保证网络安全, 又不改变已有设备和 网络环境的情况下, 采用隧道穿越技术是一个比较理想的解决方法。 隧道穿越技术由两个组件构成; Server 和 Client 软件。Client 放在 防火墙内的私网内, 私网内的终端都注册到 Client 上, Client 与防火墙 外的 Server 创建信令和控制通道, 并把所有的注册和呼叫控制信令转 发到 Server。转发时, Client 把内部终端发往外部的和外部发往内部终 端的数据包的地址和端口号替换为自己的地址和端口号。Server 放置 在防火墙的外部, 从 Client 收到的所有注册和呼叫信令都被 Server 转 发到公网的网守。下图 1 是隧道穿越防火墙的技术原理
作者简介: 刘丽, 女, 生 于 1981.1, 临 沂 师 范 学 院 , 研 究 方 向 : 计 算 机 网 络 与 通信。
韩丽花, 女, 生于 1978.12, 临沂师范学院, 研究方向: 计算机网络。
[ 责任编辑: 汤静]

( 上接第 454 页) 表面封闭后进行压浆处理。 六 、缺 棱 掉 角 现 象 结构或构件边角处混凝土局部掉落, 不规则, 棱角有缺陷。 1.产 生 的 原 因 (1)木模板未充分浇水湿润或湿润不够 , 混 凝 土 浇 筑 后 养 护 不 好 ,
423
科技信息
○IT 技术论坛○
SCIENCE & TECHNOLOGYHale Waihona Puke BaiduINFORMATION
2008 年 第 27 期
图 1 隧道穿越防火墙原理
4.穿越 NAT 防火墙方案设计 图 2 是使用 UDP 通信时的设计方案
图 2 使用 UDP 协议通信时穿越 NAT 的过程
(1)建立辅助连接。各会话用户先与连接服务器建立 UDP 连接并 一直在该连接通道上发送 UDP 数据包以保持自己处于激活状态。主 叫登录服务器, NAT 主叫为这次的 Session 分配了一个端口 A, 那么服 务器收到主叫的地址 NA: A, 这个就是主叫的外网地址。同样, 被叫登 录服务器, NAT 被叫给次此 Session 分配了断口 B, 那么服务器收到被 叫的地址就是 NB: B。
【关键词】防火墙; NAT; 穿越技术
0.前言
随着电子 商 务 的 展 开 , 办 公 、生 活 、交 流 和 信 息 共 享 的 数 字 化 , 极 大 的 方 便 了 人 们 的 日 常 生 活 。但 是 人 们 不 得 不 在 享 受 网 络 带 来 便 利 的 同时深切关注网络体系结构和和网络安全技术本身所带来的信息安 全 问 题 。防 火 墙 便 是 人 们 遇 到 网 络 安 全 问 题 后 首 先 想 到 的 方 案 。与 其 他的网络安全技术相比, 防火墙技术已相当成熟, 应用也最广泛。它通 过检测、限制 和 更 改 跨 越 防 火 墙 的 数 据 流 等 技 术 , 尽 可 能 的 对 外 部 网 络屏蔽有关被保护网络的结构信息, 实现对内部网络的安全保护。
【参 考 文 献 】 [ 1] 阎慧, 王伟, 宁宇鹏等, 《防火墙原理与技术》, 机械工业出版社, 2004. [ 2] 周海刚, 《网络安全技术基础》, 清华大学出版社, 2004. [ 3] 徐超汉, 柯宗贵, 《计算机网络安全实用技术》, 电子工业出版社, 2005. [ 4] 武键, “流媒体技术原理与应用”, 太原大学学报, 2005 年 3 月第 6 卷. [ 5] S.Deering. ”Host extensions for IPMulticasting”.RFC1112,August 1989.
(4) 主叫主动向被叫发送数据。此时只有主叫知道被叫的公网地 址, 被叫不知道主叫的公网地址, 因此只能主叫主动发送数据给被叫。 主叫向被叫的公网地址发送数据, 被叫接收到主叫的数据之后便知道 了 A 的公网地址, 之后两者便可以进行数据通信了。
5.总结
本方案在视频会议中很好地解决了音频视频流通信不能穿越防 火墙的问题, 从而确保对等服务及多媒体通信的应用。有一定的应用 前景。科
造成脱水, 强度低, 或模板吸水膨胀将边角拉裂, 拆模时, 棱角被粘掉; (2)低 温 施 工 过 早 拆 除 侧 面 非 承 重 模 板 ; (3)拆模时, 边角受外力或重物撞击, 或保护不好, 棱角被碰掉; (4)模板未涂刷隔离剂, 或涂刷不均。 2.防 治 措 施 ( 1) 木模板在浇筑混凝土前应充分湿润, 混凝土浇筑后应认真浇
相关文档
最新文档