试论防火墙技术.pdfVIP

维普资讯 试论防火墙技术 赖东鹰 广东省公安厅警卫局．广东广州 510080 摘要 ：防火墙技术是实现网络安全的一种主要手段 ，本文从防火墙的重要性的论述 出发 ，介绍了防火墙的分类 和体 系结构。 关键词：防火墙；包过滤 ；代理；体系结构 ． 随着 Intemet的发展．网络已经成为 日常生活中不 是包括数据包捕获时间和端 口等非常原始的信息．包 可缺少的一部分，网络安全问题也 日益得到重视，作为 过滤防火墙的另一个弱点是不能在用户级别上进行过 保护局域子网的一种有效手段。防火墙技术亦倍受青 滤。 睐。防火墙技术不只是一种路由器、主系统或一批向网 1．2基于状态的包过滤防火墙 络提供安全性的系统．相反，防火墙是一种获取安全性 绝大多数的应用要求发出请求的计算机系统本身 的方法，是保障网络安全的手段，它有助于建立一个比 提供一个端口，用来接收从外界返回的数据包，而且这 较广泛的网络安全性策略．并通过网络配置、主机系 个端 口一般是在 1023—16384之间并不确定．这就增加 统、路由器以及诸如身份验证等手段来实现安全策略． 了在防火墙上设计控制访问规则的难度．因此要保证 以便确定允许提供的服务和访问。 通信的正常进行，就需要开放在 1023以上的全部端 口。这样傲就危害了配置防火墙的最小开放性原则．也 1防火墙分类 为不轨者(如黑客等)提供了便利的条件。基于状态的 从网络分层模型来分析防火墙．大致可以有以下 包过滤防火墙就是为了克服包过滤防火墙的这个缺点 几种：包过滤防火墙、基于状态的包过滤防火墙、应用 产生的 代理防火墙、基于状态检查的防火墙。 基于状态的包过滤防火墙的特点是：当有数据包 1．1包过滤防火墙 到达时，防火墙能根据它的规则决定是否允许通过。如 包过滤是在网络层对数据包的源地址、目标地址、 果数据包符合某条访问控制规则．那么在状态表中一 以及包所使用的端 口确定是否允许该类数据包通过。 个新的session就被建立。后续的数据包状态如果与状 如果防火墙设定禁止访问某一 IP的话．从这个地址而 态表内的session内容一致就允许通过；否则拒绝通过． 来的所有信息都会被防火墙阻断。 即使是 目的端 口一致而源端口不一致。也照样拒绝通 基于包过滤的防火墙一个非常明显的优势就是速 过。这种类型的防火墙减少了传统的包过滤防火墙的 度很快。这是因为防火墙只是去检察数据包的包头。另 大量开放端 口的安全问题．而且，由于对于已经建立联 外．这种防火墙对用户来说是透明的．无需用户端进行 接的数据包常常不再进行访问控制列表内容检查．大 配置．这种防火墙的这一特点决定了它适合放在局域 大增加了速度。这类防火墙也有缺点，由于它本质上还 网的前端傲为第一道防线。