防火墻技術(shù)--信息安全課程期末論文

1、<p><b>　　目 錄</b></p><p><b>　　1 引言1</b></p><p>　　2 防火墻的概念1</p><p>　　3 防火墻的基本原理1</p><p>　　4 防火墻的技術(shù)和種類1</p><p>　　4.1 防火墻技術(shù)

2、2</p><p>　　4.2防火墻的種類及功能3</p><p>　　5 防火墻技術(shù)在計(jì)算機(jī)安全中的具體應(yīng)用4</p><p>　　5.1 安全服務(wù)配置4</p><p>　　5.2 配置訪問策略5</p><p>　　5.3 日志監(jiān)控5</p><p>　　6 防火墻的未來發(fā)展趨勢(shì)

3、5</p><p>　　6.1防火墻未來發(fā)展設(shè)想5</p><p><b>　　7 結(jié)束語6</b></p><p><b>　　參考文獻(xiàn)6</b></p><p><b>　　防火墻技術(shù)</b></p><p><b>　　1 引言&

4、lt;/b></p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要有：信息在傳輸?shù)倪^程中，數(shù)據(jù)被篡改和復(fù)制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴(yán)重影響著計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴(yán)重后果。為了構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境，我國(guó)除了從法律和政策方面建立網(wǎng)絡(luò)安全體系，還從技術(shù)方面進(jìn)行完善。由于網(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性，因此防火墻技術(shù)是目前保護(hù)網(wǎng)絡(luò)安全最為有效地技

5、術(shù)。不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行檢查，還能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。</p><p><b>　　2 防火墻的概念</b></p><p>　　防火墻一詞是古代延伸而來的，在古代人們?yōu)榱朔乐固鞛?zāi)的發(fā)生和天災(zāi)的蔓延，使用堅(jiān)硬的物體放在一起作為屏蔽，這種屏蔽就叫做防火墻。在現(xiàn)代，防火墻是指內(nèi)部網(wǎng)和Internet分開的一種方法，是一種防御系統(tǒng)，也是目前最重要的一種網(wǎng)絡(luò)防護(hù)的手段

6、。它通過設(shè)定的安全措施來對(duì)各個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)進(jìn)行檢測(cè)，從而決定哪個(gè)網(wǎng)絡(luò)需要訪問，哪個(gè)網(wǎng)絡(luò)不能訪問。</p><p>　　3 防火墻的基本原理</p><p>　　防火墻的原理是數(shù)據(jù)信息的隔離掌控作用，它是一個(gè)數(shù)據(jù)分析系統(tǒng)，也是一個(gè)數(shù)據(jù)流限制系統(tǒng)。防火墻技術(shù)主要目的是實(shí)現(xiàn)一個(gè)安全的網(wǎng)絡(luò)環(huán)境，它要求凡是進(jìn)出網(wǎng)絡(luò)的信息包和數(shù)據(jù)包都一定要有授權(quán)、計(jì)劃和策略，從而達(dá)到內(nèi)網(wǎng)與外網(wǎng)的分離。</p&

7、gt;<p>　　4 防火墻的技術(shù)和種類</p><p><b>　　4.1 防火墻技術(shù)</b></p><p>　　防火墻的技術(shù)分成深度數(shù)據(jù)包處理技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、代理技術(shù)、SOCKS技術(shù)、虛擬專用網(wǎng)技術(shù)和狀態(tài)檢測(cè)技術(shù)等。</p><p>　　(1)深度數(shù)據(jù)包處理技術(shù)。深度數(shù)據(jù)包處理技術(shù)是把多個(gè)相關(guān)聯(lián)的數(shù)據(jù)包統(tǒng)一放在一個(gè)數(shù)

8、據(jù)流里面使其保持平穩(wěn)的狀態(tài)，在受到攻擊或者發(fā)生異常時(shí)，還要保證這個(gè)數(shù)據(jù)流可以平穩(wěn)運(yùn)行，所以它對(duì)處理要求的速度、檢測(cè)、分析和組裝都異常的高，為了避免使用應(yīng)用時(shí)間的延退，需要處理要求進(jìn)行整體的提升。</p><p>　　(2)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)也稱之為NAT，它可以分成靜態(tài)地址轉(zhuǎn)換技術(shù)、端口級(jí)地址轉(zhuǎn)換技術(shù)、地址轉(zhuǎn)換技術(shù)池和三種。</p><p>　　網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)是指把IP報(bào)

9、頭上沒有經(jīng)過合法注冊(cè)的IP地址換成經(jīng)過合法注冊(cè)的IP地址，讓范圍內(nèi)的所有主機(jī)可以自由的在局域網(wǎng)上訪問Internet。而網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的作用是在隱藏了計(jì)算機(jī)主機(jī)的真正網(wǎng)絡(luò)地址的同時(shí)，也順利解決了地址不足夠的問題，其主要運(yùn)行在局域網(wǎng)地址沒有效果的時(shí)候和網(wǎng)絡(luò)人員希望地址隱藏的時(shí)候。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的優(yōu)點(diǎn)是保證了網(wǎng)絡(luò)的安全，讓黑客沒有辦法對(duì)網(wǎng)絡(luò)進(jìn)行直接的攻擊。</p><p>　　(3)代理技術(shù)。代理技術(shù)是指在征求網(wǎng)

10、絡(luò)管理員的意見之后，接受或者阻止設(shè)置在網(wǎng)絡(luò)防火墻上的代碼，在現(xiàn)實(shí)生活中用于數(shù)據(jù)的報(bào)告、數(shù)據(jù)的監(jiān)控、數(shù)據(jù)的記錄和數(shù)據(jù)的過濾等方面。代理技術(shù)的工作過程相對(duì)簡(jiǎn)單不是特別復(fù)雜，簡(jiǎn)單來說就是代理用戶與服務(wù)器之間數(shù)據(jù)的轉(zhuǎn)發(fā)，首先必須確定用戶和服務(wù)器必須連接，然后把目標(biāo)網(wǎng)絡(luò)點(diǎn)告知代理服務(wù)器，并發(fā)出連接請(qǐng)求，最后代理過濾請(qǐng)求的合法性，只有請(qǐng)求合法代理才能以應(yīng)用層網(wǎng)關(guān)的身份與目標(biāo)網(wǎng)絡(luò)點(diǎn)連接。</p><p>　　代理技術(shù)的優(yōu)點(diǎn)是有

11、狀態(tài)性，可以提供日志功能、審計(jì)功能和完全的信息傳輸功能，并且可以隱藏遺留的IP地址，實(shí)現(xiàn)了更穩(wěn)定、更全面的安全策略。每一個(gè)代理技術(shù)都有一個(gè)針對(duì)的特定應(yīng)用，使代理選擇更自由，如網(wǎng)絡(luò)管理員可以選擇安裝自己需要的代理。每個(gè)代理之間不會(huì)相互影響，哪怕有一個(gè)代理出現(xiàn)問題也不會(huì)阻礙其他的功能，只需要把有問題的代理卸掉，就能保證代理模塊整體的正常工作，也保證了防火墻不會(huì)因?yàn)槭Ф霈F(xiàn)安全問題。</p><p>　　(4) SO

12、CKS技術(shù)。SOCKS是目前比較新的協(xié)議標(biāo)準(zhǔn)，它主要針對(duì)電路層網(wǎng)關(guān)。SOCKS是指在防火墻上運(yùn)行的代理服務(wù)軟件包與各個(gè)網(wǎng)絡(luò)連接的程序庫(kù)文件包所組成的系統(tǒng)，它只針對(duì)于TCP服務(wù)包，這樣的結(jié)構(gòu)可以使代理軟件的選擇更自由，根據(jù)個(gè)人的需求來制定相對(duì)應(yīng)的代理軟件。</p><p>　　(5)虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)技術(shù)也稱之為VPN,它是一種通信方式，是利用公共網(wǎng)絡(luò)來對(duì)數(shù)據(jù)包進(jìn)行加密和檢查的，所以虛擬專用網(wǎng)技術(shù)可以實(shí)現(xiàn)遠(yuǎn)

13、程用戶、企業(yè)的分公司、供貨商和商業(yè)伙伴與合作企業(yè)所在的內(nèi)部網(wǎng)，進(jìn)行信息和數(shù)據(jù)的連接，并保證這些數(shù)據(jù)流安全傳輸。</p><p>　　(6)狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)技術(shù)也稱之為動(dòng)態(tài)包過濾技術(shù)，是在包過濾的基礎(chǔ)上進(jìn)行的功能擴(kuò)展，目前已經(jīng)是整體性能和安全性能最好的一種防火墻技術(shù)，它是利用檢測(cè)模塊來建立的。檢測(cè)模塊就是一個(gè)軟件引擎，它的功能就是對(duì)各個(gè)層次的網(wǎng)絡(luò)通信進(jìn)行安全監(jiān)控。檢測(cè)模塊運(yùn)行的前提是不能影響正常的工作，在此前

14、提下對(duì)數(shù)據(jù)進(jìn)行隨機(jī)的抽取，并以動(dòng)態(tài)的形式保存起來。</p><p>　　4.2防火墻的種類及功能</p><p>　　防火墻的技術(shù)實(shí)現(xiàn)有以下五種，網(wǎng)絡(luò)級(jí)防火墻、電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)和混合型防火墻。每一種的功能和使用都不同，具體情祝要進(jìn)行具體分析。</p><p>　　(1)網(wǎng)絡(luò)級(jí)防火墻。網(wǎng)絡(luò)級(jí)防火墻也稱之為包過濾型防火墻，它是判斷每個(gè)地址端口和IP源地址、協(xié)議能否

15、通過。隨著網(wǎng)絡(luò)的發(fā)展，一個(gè)路由器就能代表一個(gè)包過濾型防火墻，這種防火墻配置簡(jiǎn)中，安全系數(shù)偏低，絕大部分的數(shù)據(jù)都能通過路由器并進(jìn)行轉(zhuǎn)發(fā)，但是對(duì)于數(shù)據(jù)的IP地址的方向判斷不清。越先進(jìn)的路由器，其自帶的防火墻也越先進(jìn)，它可以快速的判斷出數(shù)據(jù)包的合法性。網(wǎng)絡(luò)及防火墻的功能有三種，在路由器的數(shù)據(jù)轉(zhuǎn)發(fā)和選擇的時(shí)候?qū)嵤┌^濾、在工作開始的站點(diǎn)上實(shí)施包過濾和在屏蔽路由器開始工作時(shí)實(shí)施包過濾。</p><p>　　(2)電路級(jí)網(wǎng)關(guān)

16、。電路級(jí)網(wǎng)關(guān)的重要作用是監(jiān)視、控制受信任的用戶與網(wǎng)絡(luò)服務(wù)器，而對(duì)于不受信任的TCP進(jìn)行握手，以此來決定該行為是否合法，它比網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)網(wǎng)關(guān)都要高。</p><p>　　電路級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)是，它本身有一個(gè)自帶的代理服務(wù)器的防火墻，這個(gè)防火墻是通過地址轉(zhuǎn)移來運(yùn)行的，把用戶所有的IP地址都反射到安全地帶，它的缺點(diǎn)是，無法實(shí)現(xiàn)數(shù)據(jù)包的檢查，運(yùn)行時(shí)必須要聯(lián)合其他應(yīng)用級(jí)網(wǎng)關(guān)才能啟動(dòng)。</p><p&

17、gt;　　(3)應(yīng)用級(jí)網(wǎng)關(guān)。應(yīng)用級(jí)網(wǎng)關(guān)是目前安全性能比較好的一種防火墻技術(shù)，它有較好的選擇控制和訪問控制，但相對(duì)的缺少透明程度，實(shí)現(xiàn)比較困難。應(yīng)用級(jí)網(wǎng)關(guān)是通過對(duì)網(wǎng)關(guān)數(shù)據(jù)的復(fù)制和傳送來檢查數(shù)據(jù)包的，它可以切斷用戶與不受信任服務(wù)器之間的聯(lián)系，有效的保護(hù)用戶的網(wǎng)絡(luò)數(shù)據(jù)安全。</p><p>　　應(yīng)用級(jí)網(wǎng)關(guān)雖然可以做一些比較復(fù)雜的訪問、協(xié)議、控制和注冊(cè)，但它所需要的代理軟件也相對(duì)比較復(fù)雜，并且時(shí)間長(zhǎng)、工作量大，運(yùn)行效率偏

18、低，在使用時(shí)，會(huì)經(jīng)常出現(xiàn)訪問時(shí)間延長(zhǎng)或者多次登錄的情況。</p><p>　　(4)混合型防火墻?；旌闲头阑饓κ且环N新的突破，它綜合了透明度、代理和檢測(cè)三種功能，把過濾和預(yù)防全部集于一體，也結(jié)合了包過濾烈防火墻的OSI網(wǎng)絡(luò)層端口和IP地址上進(jìn)行數(shù)據(jù)包的過濾、電路級(jí)網(wǎng)關(guān)的序列數(shù)字與SYN和ACK之間的比對(duì)和應(yīng)用級(jí)網(wǎng)關(guān)的對(duì)數(shù)據(jù)包在OSI應(yīng)用層的檢查?；旌闲头阑饓Σ粌H包括傳統(tǒng)的網(wǎng)絡(luò)流量檢測(cè)和應(yīng)用層掃描，還包括OSI的第

19、七層檢測(cè)。</p><p>　　混合型防火墻的優(yōu)點(diǎn)是獨(dú)立的存在，不依靠其他的應(yīng)用層網(wǎng)絡(luò)，而是依據(jù)一種算法來進(jìn)行數(shù)據(jù)包的過濾，其缺點(diǎn)是不能打破用戶機(jī)和服務(wù)機(jī)的數(shù)據(jù)包分析，使得不受信任的網(wǎng)絡(luò)和受信任的用戶進(jìn)行連接。</p><p>　　5 防火墻技術(shù)在計(jì)算機(jī)安全中的具體應(yīng)用</p><p>　　5.1 安全服務(wù)配置</p><p>　　安全服務(wù)隔

20、離區(qū)(DMZ)把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群?jiǎn)为?dú)劃分出來，設(shè)置為安全服務(wù)隔離區(qū)，它既是內(nèi)部網(wǎng)絡(luò)的一部分，又是一個(gè)獨(dú)立的局域網(wǎng)，單獨(dú)劃分出來是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行。建議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這不僅可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，也可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了投資成本。如果單位原來已有邊界路由器，則可

21、充分利用原有設(shè)備，利用邊界路由器的包過濾功能,添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。</p><p>　　5.

22、2 配置訪問策略</p><p>　　訪問策略是防火墻的核心安全策略，所以要經(jīng)過詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過程中我們需要了解本單位對(duì)內(nèi)對(duì)外的應(yīng)用以及所對(duì)應(yīng)的源地址、目的地址、TCP或UDP 的端口，并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策略在規(guī)則表中的位置進(jìn)行排序，然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的，如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。</p><p>

23、<b>　　5.3 日志監(jiān)控</b></p><p>　　日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多，所以,只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言，系統(tǒng)的告警信息是有必要記錄的，對(duì)于流量信息進(jìn)行選擇，把影響網(wǎng)絡(luò)安全有關(guān)的流

24、量信息保存下來。</p><p>　　6 防火墻的未來發(fā)展趨勢(shì)</p><p>　　6.1防火墻未來發(fā)展設(shè)想</p><p>　　(1)形成以防火墻為核心的計(jì)算機(jī)網(wǎng)絡(luò)安全體系。迄今為止，防火墻技術(shù)仍是應(yīng)用最廣泛的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，其重要性不可替代，但是要想最大程度地保護(hù)網(wǎng)絡(luò)安全，僅憑防火墻單方面的作用是不行的，還必須借助其他手段構(gòu)建以防火墻為核心，多個(gè)安全系統(tǒng)

25、協(xié)作配合的計(jì)算機(jī)網(wǎng)絡(luò)安全體系。</p><p>　　(2)防火墻硬件技術(shù)架構(gòu)上的發(fā)展趨勢(shì)。目前防火墻正逐步向基于網(wǎng)絡(luò)處理器ASIC芯片架構(gòu)上發(fā)展。網(wǎng)絡(luò)處理器由于內(nèi)含多個(gè)數(shù)據(jù)處理引擎，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理工作從而減輕CPU的負(fù)擔(dān)。</p><p>　　(3)智能技術(shù)的進(jìn)一步發(fā)展。目前的防火墻只能識(shí)別一些已知的攻擊行為，對(duì)于未知的攻擊則顯得力不從心，因此智能化是將來的發(fā)展趨勢(shì)，能自動(dòng)識(shí)別并

26、防御黑客的各種手法及相應(yīng)的變種。</p><p>　　(4)分布式技術(shù)的進(jìn)一步發(fā)展。分布式技術(shù)將是未來的趨勢(shì)，多臺(tái)物理防火墻協(xié)同工作，組織成一個(gè)強(qiáng)大的、具備并行處理能力、負(fù)載均衡的邏輯防火墻，不僅保證了在大型網(wǎng)絡(luò)安全策略的一致，而且集中管理，大大降低了資金、人力及管理成本。</p><p>　　(5)經(jīng)濟(jì)高效的發(fā)展趨勢(shì)。防火墻要防止各種網(wǎng)絡(luò)的攻擊，其性能勢(shì)必會(huì)下降。安全性和實(shí)用性是一對(duì)主要

27、的矛盾，經(jīng)濟(jì)高效的防火墻將是未來研究的方向。</p><p><b>　　7 結(jié)束語</b></p><p>　　防火墻作為網(wǎng)絡(luò)安全的基本手段和安全措施，是一項(xiàng)非常復(fù)雜的工程，隨著研究課題的不斷增多，防火墻技術(shù)也不斷在變化，變得對(duì)信息包和數(shù)據(jù)包更容易通過和識(shí)別，使應(yīng)用級(jí)防火墻朝著透明化和簡(jiǎn)單化方面發(fā)展。</p><p><b>　　參

28、考文獻(xiàn)</b></p><p>　　[1]陳文惠，朱衛(wèi)未，防火墻技術(shù)分析[J]，信息安全與通信保密，2009 ( 5 ) :112-114.</p><p>　　[2]宿潔，袁軍鵬，防火墻技術(shù)及其進(jìn)展[J]，計(jì)算機(jī)工程，2010 (9):179-181</p><p>　　[3]林曉東，楊義先，防火墻技術(shù)[J]，電信科學(xué)，2008 (3):56-5

29、7</p><p>　　[4]歐志剛，黃志軍，防火墻原理與應(yīng)用[J]，計(jì)算機(jī)與數(shù)學(xué)工程，2009 ( 6) :177-179.</p><p>　　[5]魏利華，防火墻技術(shù)及其性能研究[J]，能源信息與信息，2008 (7) :189-191.</p><p>　　[6]雷光洪.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)的發(fā)展[J].自貢師范高等?？茖W(xué)校學(xué)報(bào),2008(13)