防火墻技術技術論文

時間：2017-01-05 14:03:47 家文952由分享

防火墻技術技術論文

　　防火墻技術作為時下比較成熟的一種網絡安全技術，其安全性直接關系到用戶的切身利益。學習啦小編整理的防火墻技術技術論文，希望你能從中得到感悟!

　　防火墻技術技術論文篇一

　　淺析防火墻技術

　　【摘要】防火墻技術作為時下比較成熟的一種網絡安全技術，其安全性直接關系到用戶的切身利益。隨著計算機技術和網絡技術的發展，計算機網絡給人們帶來了很多便利，于此同時網絡安全的問題也伴隨著網絡技術的發展而日趨嚴重。使用防火墻能很好的提高系統的安全性，減少系統受到網絡安全方面的威脅。在現在的計算機時代，網絡信息的安全越顯得重要。而對防火墻技術的要求也會越來越高。

　　【關鍵詞】防火墻;網絡安全;網絡技術

　　為了解決互聯網時代個人網絡安全的問題，近年來新興了防火墻技術。防火墻具有很強的實用性和針對性，它為個人上網用戶提供了完整的網絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯網上的收發。

　　用戶可以根據自己的需要，通過設定一些參數，從而達到控制本機與互聯網之間的信息交流阻止惡性信息對本機的攻擊而且防火墻能夠實時記錄其它系統試圖對本機系統的訪問，使計算機在連接到互聯網的時候避免受到網絡攻擊和資料泄漏的安全威脅。

　　一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息。代理服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接兩個網絡的網關。代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，代理服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的情況是，它只由用戶標識和口令構成。但是，如果防火墻是通過Internet可訪問的，應推薦用戶使用更強的認證機制。

　　當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設備。當Internet用戶企圖訪問你網絡上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的，其上面的所有信息都暴露在公網之上。這種高度地暴露規定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛一樣。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛還經常準備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量并強制執行在安全策略里所指定的規則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。

　　當構造防火墻設備時，經常要遵循下面兩個主要的概念。第一，保持設計的簡單性。第二，要計劃好一旦防火墻被滲透應該怎么辦。

　　保持設計的簡單性。一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務的應用程序服務。要刪除堡壘主機上所有不必需的服務或守護進程。在堡壘主機上運行少量的服務給潛在的黑客很少的機會穿過防火墻。

　　安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是：“計算機系統的硬件、軟件、數據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統能連續正常運行。”

　　從技術講，計算機安全分為3種：

　　1.實體的安全。它保證硬件和軟件本身的安全。

　　2.運行環境的安全性。它保證計算機能在良好的環境里持續工作。

　　3.信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。

　　隨著網絡的發展，計算機的安全問題也延伸到了計算機網絡。面對這一系列的安全性問題的解決，我們就要采用防火墻來進行抵御。然而最簡單的防火墻配置，就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統。目前比較流行的有以下三種防火墻配置方案。

　　1.雙宿主機網關(Dual Homed Gateway)

　　這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器)，可以轉發應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡

　　2.屏蔽主機網關(Screened Host Gateway)

　　屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接。通常在路由器上設立過濾規則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。

　　雙宿堡壘主機型與單宿堡壘主機型的區別是，堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。

　　3.屏蔽子網(Screened Subnet)

　　這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”，兩個路由器一個控制Intranet 數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信?？筛鶕枰谄帘巫泳W中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。

　　不論從功能還是從性能來講，防火墻產品的演進并不會放慢速度，反而產品的豐富程度和推出速度會不斷的加快，這也反映了安全需求不斷上升的一種趨勢，而相對于產品本身某個方面的演進，更值得我們關注的還是平臺體系結構的發展以及安全產品標準的發布，這些變化不僅僅關系到某個環境的某個產品的應用情況，更關系到信息安全領域的未來。

　　參考文獻

　　[1]石志國，薛為民，尹浩.計算機網絡安全教程[M].北京：清華大學出版社，2011.

　　[2]石志國，薛為民，尹浩.計算機網絡安全教程實驗指導[M].北京：清華大學出版社，2011.

　　[3]李太君，林元乖，張晉.計算機網絡[M].北京：清華大學出版社，2009.

　　防火墻技術技術論文篇二

　　防火墻技術研究

　　摘要：隨著網絡安全問題日益嚴重，網絡安全產品也被人們重視起來。防火墻作為最早出現的網絡安全產品和使用量最大的安全產品，也受到用戶和研發機構的青睞。對防火墻的原理以及分類、作用進行了詳細的介紹，旨在為選擇防火墻的用戶提供借鑒。

　　關鍵詞：網絡安全;防火墻

　　中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3198(2007)09-0240-02

　　1 從軟、硬件形式上分

　　如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

　　(1)軟件防火墻。

　　軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

　　(2)硬件防火墻。

　　這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS(操作系統)本身的安全性影響。

　　(3)芯片級防火墻。

　　芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統)，因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

　　2 從防火墻技術分

　　防火墻技術雖然出現了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　(1)包過濾(Packet filtering)型。

　　包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務;之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的;之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

　　在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。

　　包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足;在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響;由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

　　(2)應用代理(Application Proxy)型。

　　應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

　　在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火墻。

　　代理類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

　　另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

　　代理防火墻的最大缺點是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

　　3 從防火墻結構分

　　從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

　　單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。

　　這種防火墻其實與一臺計算機結構差不多(如下圖)，同樣包括CPU、內存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

　　隨著防火墻技術的發展及應用需求的提高，原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火墻，俗稱“分布式防火墻”。

　　原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

　　分布式防火墻再也不只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。

　　4 按防火墻的應用部署位置分

　　按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

　　邊界防火墻是最為傳統的，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

　　個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

　　混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

　　5 按防火墻性能分

　　按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

　　因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth)，或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。

　　雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

　　參考文獻

　　[1]孫建華等.網絡系統管理-Linux實訓篇[M].北京：人民郵電出版社，2003，(10).

　　[2][美]Terry William Ogletree.防火墻原理與實施[M].北京：電子工業出版社，2001，(2).