防火墻技術論文

　　防火墻技術是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)的總稱。學習啦小編整理的防火墻技術論文，希望你能從中得到感悟!

　　防火墻技術論文篇一

　　淺談防火墻技術

　　一、前盲

　　隨著計算機和網(wǎng)絡在社會中的應用的不斷增多，計算機和網(wǎng)絡安壘技術正變得越來越重要，部門能夠使用的安全設備和軟件的不斷增多，大量數(shù)據(jù)紛紛涌人事件日志，致使網(wǎng)絡管理員的工作難度越來越高，負擔越來越重。

　　二、防火墻技術

　　防火墻是一個由軟件和硬件設備組合而成，在網(wǎng)絡之間實施訪問控制的一個系統(tǒng)，通過執(zhí)行訪問控制策略，限制兩個網(wǎng)絡之間數(shù)據(jù)的自由流動，通過控制和檢測網(wǎng)絡之間的信息交換和訪問行為實現(xiàn)對網(wǎng)絡安全的有效管理。

　　網(wǎng)絡防火墻是加強網(wǎng)絡之間訪問控制的設備，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進人內部網(wǎng)絡，訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。

　　1.防火墻一般有三個特性：

　　所有的通信都經(jīng)過防火墻

　　防火墻只放行經(jīng)過授權的網(wǎng)絡流量

　　防火墻能經(jīng)受的住對其本身的攻擊

　　我們可以看成防火墻是在可信任網(wǎng)絡和不可信任網(wǎng)絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器(Route+ACL)，一臺多個網(wǎng)絡接口的計算機，服務器等，被配置成保護指定網(wǎng)絡，使其免受來自于非信任網(wǎng)絡區(qū)域的某些協(xié)議與服務的影響。所以一般情況下防火墻都位于網(wǎng)絡的邊界，例如保護企業(yè)網(wǎng)絡的防火墻，將部署在內部網(wǎng)絡到外部網(wǎng)絡的核心區(qū)域上。

　　2.防火墻將保護以下三個主要方面的風險：

　　機密性的風險

　　數(shù)據(jù)完整性的風險

　　用性的風險

　　3.防火墻的主要優(yōu)點如下：

　　防火墻可以通過執(zhí)行訪問控制策略而保護整個網(wǎng)絡的安壘，并且可以將通信約束在一個可管理和可靠性高的范圍之內。

　　防火墻可以限制某些特殊服務的訪問。

　　防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

　　防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

　　4.防火墻也有許多弱點：

　　不能防御已經(jīng)授權的訪問，以及存在于網(wǎng)絡內部系統(tǒng)間的攻擊。

　　不能防御合法用戶惡意的攻擊，以及社交攻擊等非預期的威脅。

　　不能修復脆弱的管理措施和存在問題的安全策略。

　　不能防御不經(jīng)過防火墻的攻擊和威脅。

　　5.根據(jù)防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉換一NAT、代理型和監(jiān)測型。

　　包過濾型

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。包過濾技術的優(yōu)點是簡單、實用和成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

　　包過濾技術也有明顯的缺陷。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　網(wǎng)絡地址轉化―NAT

　　網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。

　　代理型

　　代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點是安壘性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。

　　監(jiān)測型

　　監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。

　　監(jiān)測型防火墻由于實現(xiàn)成本較高，也不易管理，所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻：基于對系統(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安壘性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

　　6.防火墻的不足

　　雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無法防范數(shù)據(jù)驅動型的攻擊。

　　這樣各單位均通過其他手段進行安全強化，如：入侵監(jiān)測、殺毒軟件、網(wǎng)絡監(jiān)控、網(wǎng)絡認證等。

　　雖然從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸，但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。

　　三、結束語

　　隨著事業(yè)的發(fā)展，各單位均意識到網(wǎng)絡安全的重要，逐步加強了網(wǎng)絡的監(jiān)管與防護工作，在備自的網(wǎng)絡邊界架設防火墻，定制策略進行邊界防護，防止外部網(wǎng)絡對內部網(wǎng)絡的攻擊，起到一定的隔離作用。但是網(wǎng)絡的安全、設備的安全不是單純的增加設備或是安裝軟件就能萬事無憂了，更重要的還是使用人員的意識和素質，對于網(wǎng)絡安全來說，采取手段是必要的，但更重要的是人員的管理。

　　防火墻技術論文篇二

　　防火墻技術的研究

　　摘 要： 本文主要闡述了防火墻的概況及其主要技術：包過濾、代理服務器、狀態(tài)檢測技術，分析了防火墻體系結構的一些優(yōu)缺點，并提出了一些建設性的意見。

　　關鍵詞： 防火墻 技術原理 體系結構

　　一、防火墻簡介

　　1.防火墻的概念

　　防火墻的本義是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)的總稱。

　　2.防火墻的發(fā)展

　　(1)第一代防火墻

　　第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術。

　　(2)第二、三代防火墻

　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。

　　(3)第四代防火墻

　　1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術。

　　(4)第五代防火墻

　　1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

　　二、防火墻的類型

　　從技術上看，防火墻有三種基本類型：包過濾型、代理服務器型和復合型。

　　包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡層，基于單個IP包實施網(wǎng)絡控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。

　　代理服務器型防火墻(Proxy Service Firewall)通過在計算機或服務器上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網(wǎng)關級防火墻。代理服務器型防火墻的核心，是運行于防火墻主機上的代理服務器進程，實質上是為特定網(wǎng)絡應用連接企業(yè)內部網(wǎng)與Internet的網(wǎng)關。

　　復合型防火墻(Hybrid Firewall)把包過濾、代理服務和許多其他的網(wǎng)絡安全防護功能結合起來，形成新的網(wǎng)絡安全平臺，以提高防火墻的靈活性和安全性。

　　三、防火墻技術原理

　　防火墻從原理上主要有三種技術：包過濾(PackeFiltering)技術、代理服務(ProxyService)技術和狀態(tài)檢測(StateInspection)技術。

　　1.包過濾(PacketFiltering)技術

　　在基于TCP/IP協(xié)議的計算機網(wǎng)絡上，所有網(wǎng)絡上的計算機都是利用IP地址的唯一標志來確定其在網(wǎng)絡中的位置的，而所有來往于計算機之間的信息都是以一定格式的數(shù)據(jù)包的形式來傳輸?shù)?，?shù)據(jù)包中包含了標志發(fā)送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數(shù)據(jù)包被送上計算機網(wǎng)絡時，路由器會讀取數(shù)據(jù)包中接受者的IP地址，并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去，當所有的數(shù)據(jù)包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡上的這一傳輸原理來設計的，它可以實現(xiàn)網(wǎng)絡中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會檢查所有通過它的數(shù)據(jù)流中每個數(shù)據(jù)包的IP包頭信息，然后按照網(wǎng)絡管理員所設定的過濾規(guī)則進行過濾。

　　2.代理服務(ProxyService)技術

　　代理實際是設置在Internet防火墻網(wǎng)關上有特殊功能的應用層代碼，是在網(wǎng)管員允許下或拒絕特定的應用程序或者特定服務，還可應用于實施數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。在應用層，提供應用層服務的控制，起到內部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉接作用，內部網(wǎng)絡只接受代理提出的服務請求，拒絕外部網(wǎng)絡其他接點的直接請求。代理的工作原理比較簡單。用戶與代理服務器建立連接，將目的站點告知代理，對于合法的請求，代理以自己的身份(應用層網(wǎng)關)與目的站點建立連接，然后代理在這兩個連接中轉發(fā)數(shù)據(jù)。其主要特點是有狀態(tài)性，能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息，能提供全部的審計和日志功能，能隱藏內部IP地址，能實現(xiàn)比包過濾路由器更嚴格的安全策略。

　　3.狀態(tài)檢測(StateInspection)技術

　　狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由Checkpoint提出。狀態(tài)檢測作為防火墻技術其安全特性最佳，它采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)(狀態(tài)信息)的方法對網(wǎng)絡通信的各層實施監(jiān)測，并動態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。

　　四、各防火墻體系結構的優(yōu)缺點

　　1.雙重宿主主機體系結構提供來自于多個網(wǎng)絡相連的主機的服務(但是路由關閉)，它圍繞雙重宿主主計算機構筑。該計算機至少有兩個網(wǎng)絡接口，位于因特網(wǎng)與內部網(wǎng)之間，并被連接到因特網(wǎng)和內部網(wǎng)。兩個網(wǎng)絡都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務。

　　2.被屏蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網(wǎng)絡相連的主機的服務。屏蔽路由器位于因特網(wǎng)與內部網(wǎng)之間，提供數(shù)據(jù)包過濾功能。堡壘主機是1個高度安全的計算機系統(tǒng)，通常因為它暴露于因特網(wǎng)之下，作為聯(lián)結內部網(wǎng)絡用戶的橋梁，易受到侵襲損害。這里它位于內部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設置它為因特網(wǎng)上唯一能連接到內部網(wǎng)絡上的主機系統(tǒng)。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：①允許其他內部主機，為了某些服務而開放到因特網(wǎng)上的主機連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務)。②不允許來自內部主機的所有連接(強迫這些主機經(jīng)由堡壘主機使用代理服務)。這種體系結構通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務組，所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他內部主機之間無任何保護網(wǎng)絡安全的東西存在;路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡對侵襲者開放。

　　3.被屏蔽子網(wǎng)體系結構考慮到堡壘主機是內部網(wǎng)上最易被侵襲的機器(因為它可被因特網(wǎng)上用戶訪問)，我們添加額外的安全層到被屏蔽主機體系結構中，將堡壘主機放在額外的安全層，構成了這種體系結構。這種在被保護的網(wǎng)絡和外部網(wǎng)之間增加的網(wǎng)絡，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結構有兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。1個位于周邊網(wǎng)與內部網(wǎng)之間，稱為內部路由器，另一個位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機位于周邊網(wǎng)上。侵襲者若想侵襲內部網(wǎng)絡，必須通過兩個路由器，即使他侵入了堡壘主機，仍無法進入內部網(wǎng)。因此這種結構沒有損害內部網(wǎng)絡的單一易受侵襲點。

　　五、對防火墻技術造成的安全漏洞的建議

　　防火墻的管理及配置相當復雜，要想成功地維護防火墻，防火墻管理員必須對網(wǎng)絡安全的手段及其與系統(tǒng)配置的關系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統(tǒng)組成的防火墻，管理上有所疏忽也是在所難免的。

　　對此可作如下改進：管理上的安全問題，關鍵在于提高管理員的素質，積極學習安全管理及網(wǎng)絡安全知識，熟練掌握防火墻的系統(tǒng)配置關系，多多實踐，積累足夠的經(jīng)驗，多個系統(tǒng)防火墻的管理一定要有高度認真、負責到底的精神?？偠灾?，提高管理者的素質至關重要。

　　參考文獻：

　　[1]林曉東，楊一先.網(wǎng)絡防火墻技術.

　　[2]梅杰，許榕生.Internet防火墻技術最新發(fā)展.

　　
看了“防火墻技術論文”的人還看：

1.防火墻技術論文三篇

2.linux防火墻技術論文

3.安全防范技術論文

4.網(wǎng)絡安全技術論文三篇

5.計算機網(wǎng)絡安全技術論文范文