防火墻技術--信息安全課程期末論文

1、<p><b>　　目 錄</b></p><p><b>　　1 引言1</b></p><p>　　2 防火墻的概念1</p><p>　　3 防火墻的基本原理1</p><p>　　4 防火墻的技術和種類1</p><p>　　4.1 防火墻技術

2、2</p><p>　　4.2防火墻的種類及功能3</p><p>　　5 防火墻技術在計算機安全中的具體應用4</p><p>　　5.1 安全服務配置4</p><p>　　5.2 配置訪問策略5</p><p>　　5.3 日志監(jiān)控5</p><p>　　6 防火墻的未來發(fā)展趨勢

3、5</p><p>　　6.1防火墻未來發(fā)展設想5</p><p><b>　　7 結束語6</b></p><p><b>　　參考文獻6</b></p><p><b>　　防火墻技術</b></p><p><b>　　1 引言&

4、lt;/b></p><p>　　計算機網(wǎng)絡安全問題主要有：信息在傳輸?shù)倪^程中，數(shù)據(jù)被篡改和復制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網(wǎng)絡的正常運行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴重后果。為了構建安全可靠的網(wǎng)絡安全環(huán)境，我國除了從法律和政策方面建立網(wǎng)絡安全體系，還從技術方面進行完善。由于網(wǎng)絡內(nèi)部和外部環(huán)境的特殊性，因此防火墻技術是目前保護網(wǎng)絡安全最為有效地技

5、術。不僅能夠對網(wǎng)絡傳輸?shù)臄?shù)據(jù)進行檢查，還能對整個網(wǎng)絡進行監(jiān)控。</p><p><b>　　2 防火墻的概念</b></p><p>　　防火墻一詞是古代延伸而來的，在古代人們?yōu)榱朔乐固鞛牡陌l(fā)生和天災的蔓延，使用堅硬的物體放在一起作為屏蔽，這種屏蔽就叫做防火墻。在現(xiàn)代，防火墻是指內(nèi)部網(wǎng)和Internet分開的一種方法，是一種防御系統(tǒng)，也是目前最重要的一種網(wǎng)絡防護的手段

6、。它通過設定的安全措施來對各個網(wǎng)絡之間的數(shù)據(jù)進行檢測，從而決定哪個網(wǎng)絡需要訪問，哪個網(wǎng)絡不能訪問。</p><p>　　3 防火墻的基本原理</p><p>　　防火墻的原理是數(shù)據(jù)信息的隔離掌控作用，它是一個數(shù)據(jù)分析系統(tǒng)，也是一個數(shù)據(jù)流限制系統(tǒng)。防火墻技術主要目的是實現(xiàn)一個安全的網(wǎng)絡環(huán)境，它要求凡是進出網(wǎng)絡的信息包和數(shù)據(jù)包都一定要有授權、計劃和策略，從而達到內(nèi)網(wǎng)與外網(wǎng)的分離。</p&

7、gt;<p>　　4 防火墻的技術和種類</p><p><b>　　4.1 防火墻技術</b></p><p>　　防火墻的技術分成深度數(shù)據(jù)包處理技術、網(wǎng)絡地址轉換技術、代理技術、SOCKS技術、虛擬專用網(wǎng)技術和狀態(tài)檢測技術等。</p><p>　　(1)深度數(shù)據(jù)包處理技術。深度數(shù)據(jù)包處理技術是把多個相關聯(lián)的數(shù)據(jù)包統(tǒng)一放在一個數(shù)

8、據(jù)流里面使其保持平穩(wěn)的狀態(tài)，在受到攻擊或者發(fā)生異常時，還要保證這個數(shù)據(jù)流可以平穩(wěn)運行，所以它對處理要求的速度、檢測、分析和組裝都異常的高，為了避免使用應用時間的延退，需要處理要求進行整體的提升。</p><p>　　(2)網(wǎng)絡地址轉換技術。網(wǎng)絡地址轉換技術也稱之為NAT，它可以分成靜態(tài)地址轉換技術、端口級地址轉換技術、地址轉換技術池和三種。</p><p>　　網(wǎng)絡地址轉換技術是指把IP報

9、頭上沒有經(jīng)過合法注冊的IP地址換成經(jīng)過合法注冊的IP地址，讓范圍內(nèi)的所有主機可以自由的在局域網(wǎng)上訪問Internet。而網(wǎng)絡地址轉換技術的作用是在隱藏了計算機主機的真正網(wǎng)絡地址的同時，也順利解決了地址不足夠的問題，其主要運行在局域網(wǎng)地址沒有效果的時候和網(wǎng)絡人員希望地址隱藏的時候。網(wǎng)絡地址轉換技術的優(yōu)點是保證了網(wǎng)絡的安全，讓黑客沒有辦法對網(wǎng)絡進行直接的攻擊。</p><p>　　(3)代理技術。代理技術是指在征求網(wǎng)

10、絡管理員的意見之后，接受或者阻止設置在網(wǎng)絡防火墻上的代碼，在現(xiàn)實生活中用于數(shù)據(jù)的報告、數(shù)據(jù)的監(jiān)控、數(shù)據(jù)的記錄和數(shù)據(jù)的過濾等方面。代理技術的工作過程相對簡單不是特別復雜，簡單來說就是代理用戶與服務器之間數(shù)據(jù)的轉發(fā)，首先必須確定用戶和服務器必須連接，然后把目標網(wǎng)絡點告知代理服務器，并發(fā)出連接請求，最后代理過濾請求的合法性，只有請求合法代理才能以應用層網(wǎng)關的身份與目標網(wǎng)絡點連接。</p><p>　　代理技術的優(yōu)點是有

11、狀態(tài)性，可以提供日志功能、審計功能和完全的信息傳輸功能，并且可以隱藏遺留的IP地址，實現(xiàn)了更穩(wěn)定、更全面的安全策略。每一個代理技術都有一個針對的特定應用，使代理選擇更自由，如網(wǎng)絡管理員可以選擇安裝自己需要的代理。每個代理之間不會相互影響，哪怕有一個代理出現(xiàn)問題也不會阻礙其他的功能，只需要把有問題的代理卸掉，就能保證代理模塊整體的正常工作，也保證了防火墻不會因為失效而出現(xiàn)安全問題。</p><p>　　(4) SO

12、CKS技術。SOCKS是目前比較新的協(xié)議標準，它主要針對電路層網(wǎng)關。SOCKS是指在防火墻上運行的代理服務軟件包與各個網(wǎng)絡連接的程序庫文件包所組成的系統(tǒng)，它只針對于TCP服務包，這樣的結構可以使代理軟件的選擇更自由，根據(jù)個人的需求來制定相對應的代理軟件。</p><p>　　(5)虛擬專用網(wǎng)技術。虛擬專用網(wǎng)技術也稱之為VPN,它是一種通信方式，是利用公共網(wǎng)絡來對數(shù)據(jù)包進行加密和檢查的，所以虛擬專用網(wǎng)技術可以實現(xiàn)遠

13、程用戶、企業(yè)的分公司、供貨商和商業(yè)伙伴與合作企業(yè)所在的內(nèi)部網(wǎng)，進行信息和數(shù)據(jù)的連接，并保證這些數(shù)據(jù)流安全傳輸。</p><p>　　(6)狀態(tài)檢測技術。狀態(tài)檢測技術也稱之為動態(tài)包過濾技術，是在包過濾的基礎上進行的功能擴展，目前已經(jīng)是整體性能和安全性能最好的一種防火墻技術，它是利用檢測模塊來建立的。檢測模塊就是一個軟件引擎，它的功能就是對各個層次的網(wǎng)絡通信進行安全監(jiān)控。檢測模塊運行的前提是不能影響正常的工作，在此前

14、提下對數(shù)據(jù)進行隨機的抽取，并以動態(tài)的形式保存起來。</p><p>　　4.2防火墻的種類及功能</p><p>　　防火墻的技術實現(xiàn)有以下五種，網(wǎng)絡級防火墻、電路級網(wǎng)關、應用級網(wǎng)關和混合型防火墻。每一種的功能和使用都不同，具體情祝要進行具體分析。</p><p>　　(1)網(wǎng)絡級防火墻。網(wǎng)絡級防火墻也稱之為包過濾型防火墻，它是判斷每個地址端口和IP源地址、協(xié)議能否

15、通過。隨著網(wǎng)絡的發(fā)展，一個路由器就能代表一個包過濾型防火墻，這種防火墻配置簡中，安全系數(shù)偏低，絕大部分的數(shù)據(jù)都能通過路由器并進行轉發(fā)，但是對于數(shù)據(jù)的IP地址的方向判斷不清。越先進的路由器，其自帶的防火墻也越先進，它可以快速的判斷出數(shù)據(jù)包的合法性。網(wǎng)絡及防火墻的功能有三種，在路由器的數(shù)據(jù)轉發(fā)和選擇的時候實施包過濾、在工作開始的站點上實施包過濾和在屏蔽路由器開始工作時實施包過濾。</p><p>　　(2)電路級網(wǎng)關

16、。電路級網(wǎng)關的重要作用是監(jiān)視、控制受信任的用戶與網(wǎng)絡服務器，而對于不受信任的TCP進行握手，以此來決定該行為是否合法，它比網(wǎng)絡級防火墻和應用級網(wǎng)關都要高。</p><p>　　電路級網(wǎng)關的優(yōu)點是，它本身有一個自帶的代理服務器的防火墻，這個防火墻是通過地址轉移來運行的，把用戶所有的IP地址都反射到安全地帶，它的缺點是，無法實現(xiàn)數(shù)據(jù)包的檢查，運行時必須要聯(lián)合其他應用級網(wǎng)關才能啟動。</p><p&

17、gt;　　(3)應用級網(wǎng)關。應用級網(wǎng)關是目前安全性能比較好的一種防火墻技術，它有較好的選擇控制和訪問控制，但相對的缺少透明程度，實現(xiàn)比較困難。應用級網(wǎng)關是通過對網(wǎng)關數(shù)據(jù)的復制和傳送來檢查數(shù)據(jù)包的，它可以切斷用戶與不受信任服務器之間的聯(lián)系，有效的保護用戶的網(wǎng)絡數(shù)據(jù)安全。</p><p>　　應用級網(wǎng)關雖然可以做一些比較復雜的訪問、協(xié)議、控制和注冊，但它所需要的代理軟件也相對比較復雜，并且時間長、工作量大，運行效率偏

18、低，在使用時，會經(jīng)常出現(xiàn)訪問時間延長或者多次登錄的情況。</p><p>　　(4)混合型防火墻?；旌闲头阑饓κ且环N新的突破，它綜合了透明度、代理和檢測三種功能，把過濾和預防全部集于一體，也結合了包過濾烈防火墻的OSI網(wǎng)絡層端口和IP地址上進行數(shù)據(jù)包的過濾、電路級網(wǎng)關的序列數(shù)字與SYN和ACK之間的比對和應用級網(wǎng)關的對數(shù)據(jù)包在OSI應用層的檢查?；旌闲头阑饓Σ粌H包括傳統(tǒng)的網(wǎng)絡流量檢測和應用層掃描，還包括OSI的第

19、七層檢測。</p><p>　　混合型防火墻的優(yōu)點是獨立的存在，不依靠其他的應用層網(wǎng)絡，而是依據(jù)一種算法來進行數(shù)據(jù)包的過濾，其缺點是不能打破用戶機和服務機的數(shù)據(jù)包分析，使得不受信任的網(wǎng)絡和受信任的用戶進行連接。</p><p>　　5 防火墻技術在計算機安全中的具體應用</p><p>　　5.1 安全服務配置</p><p>　　安全服務隔

20、離區(qū)(DMZ)把服務器機群和系統(tǒng)管理機群單獨劃分出來，設置為安全服務隔離區(qū)，它既是內(nèi)部網(wǎng)絡的一部分，又是一個獨立的局域網(wǎng)，單獨劃分出來是為了更好的保護服務器上數(shù)據(jù)和系統(tǒng)管理的正常運行。建議通過NAT(網(wǎng)絡地址轉換)技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡結構和IP地址,保護內(nèi)部網(wǎng)絡的安全，也可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了投資成本。如果單位原來已有邊界路由器，則可

21、充分利用原有設備，利用邊界路由器的包過濾功能,添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器,則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結構中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務器設施。</p><p>　　5.

22、2 配置訪問策略</p><p>　　訪問策略是防火墻的核心安全策略，所以要經(jīng)過詳盡的信息統(tǒng)計才可以進行設置。在過程中我們需要了解本單位對內(nèi)對外的應用以及所對應的源地址、目的地址、TCP或UDP 的端口，并根據(jù)不同應用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序，然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的，如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。</p><p>

23、<b>　　5.3 日志監(jiān)控</b></p><p>　　日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多，所以,只有采集到最關鍵的日志才是真正有用的日志。一般而言，系統(tǒng)的告警信息是有必要記錄的，對于流量信息進行選擇，把影響網(wǎng)絡安全有關的流

24、量信息保存下來。</p><p>　　6 防火墻的未來發(fā)展趨勢</p><p>　　6.1防火墻未來發(fā)展設想</p><p>　　(1)形成以防火墻為核心的計算機網(wǎng)絡安全體系。迄今為止，防火墻技術仍是應用最廣泛的計算機網(wǎng)絡安全防護技術，其重要性不可替代，但是要想最大程度地保護網(wǎng)絡安全，僅憑防火墻單方面的作用是不行的，還必須借助其他手段構建以防火墻為核心，多個安全系統(tǒng)

25、協(xié)作配合的計算機網(wǎng)絡安全體系。</p><p>　　(2)防火墻硬件技術架構上的發(fā)展趨勢。目前防火墻正逐步向基于網(wǎng)絡處理器ASIC芯片架構上發(fā)展。網(wǎng)絡處理器由于內(nèi)含多個數(shù)據(jù)處理引擎，能夠直接完成網(wǎng)絡數(shù)據(jù)處理工作從而減輕CPU的負擔。</p><p>　　(3)智能技術的進一步發(fā)展。目前的防火墻只能識別一些已知的攻擊行為，對于未知的攻擊則顯得力不從心，因此智能化是將來的發(fā)展趨勢，能自動識別并

26、防御黑客的各種手法及相應的變種。</p><p>　　(4)分布式技術的進一步發(fā)展。分布式技術將是未來的趨勢，多臺物理防火墻協(xié)同工作，組織成一個強大的、具備并行處理能力、負載均衡的邏輯防火墻，不僅保證了在大型網(wǎng)絡安全策略的一致，而且集中管理，大大降低了資金、人力及管理成本。</p><p>　　(5)經(jīng)濟高效的發(fā)展趨勢。防火墻要防止各種網(wǎng)絡的攻擊，其性能勢必會下降。安全性和實用性是一對主要

27、的矛盾，經(jīng)濟高效的防火墻將是未來研究的方向。</p><p><b>　　7 結束語</b></p><p>　　防火墻作為網(wǎng)絡安全的基本手段和安全措施，是一項非常復雜的工程，隨著研究課題的不斷增多，防火墻技術也不斷在變化，變得對信息包和數(shù)據(jù)包更容易通過和識別，使應用級防火墻朝著透明化和簡單化方面發(fā)展。</p><p><b>　　參

28、考文獻</b></p><p>　　[1]陳文惠，朱衛(wèi)未，防火墻技術分析[J]，信息安全與通信保密，2009 ( 5 ) :112-114.</p><p>　　[2]宿潔，袁軍鵬，防火墻技術及其進展[J]，計算機工程，2010 (9):179-181</p><p>　　[3]林曉東，楊義先，防火墻技術[J]，電信科學，2008 (3):56-5

29、7</p><p>　　[4]歐志剛，黃志軍，防火墻原理與應用[J]，計算機與數(shù)學工程，2009 ( 6) :177-179.</p><p>　　[5]魏利華，防火墻技術及其性能研究[J]，能源信息與信息，2008 (7) :189-191.</p><p>　　[6]雷光洪.計算機網(wǎng)絡安全與防火墻技術的發(fā)展[J].自貢師范高等?？茖W校學報,2008(13)