防火墙技术原理及其安全脆弱性分析.pdfVIP

第$ 卷第’# 期 计算机应用 ZKF1 $ 5K1 ’# ! ! ##$ 年’# 月 2KLDOM8E +DDF9JAM9KC [JM1 ##$ 文章编号：’##’ % ,#(’（##$ ）’# % ##* % # 防火墙技术原理及其安全脆弱性分析 程玮玮，王清贤 （中国人民解放军信息工程大学 信息工程学院，河南 郑州.### ） 摘! 要：文章分析和比较防火墙的主要技术及发展，介绍了防火墙探测可以采用的技术和方法， 提出防火墙安全脆弱性分析方案，并以三种主流防火墙作为对象进行结果分析。 关键词：防火墙；包过滤；应用级网关；状态检测；代理技术 中图分类号：/0$#, 1 )! ! 文献标识码：+ !#$%’’ ($)*+,’,-. +/ 01’+$#2’3. 4+’.55 23456 789:;89 7+56 =9?:@9A ! #$%%’%( )* #* )+,-%)# .#/#((+#/0 123 #* )+,-%)# .#/#((+#/ 4#5(+$%60 78(#/98)’ :(#-# .###0 ;8#- 4253#)36 /B9C DAD8E AAFGH8C AI JKLDAE8C LA9 M8JBKFK?98C KN N9E8;AFFC AI 9MEKIOJ8C CKL8 L8MBKIC KN N9E8;AFF I8M8JM9K1 P9AFFG N9E8;AFF QOF8EAR9F9M98C AAFGC9C 9C I9CJOCC8I1 7$. %,#/56 N9E8;AFFS DAJT8M N9FM8ES ADDF9JAM9K ?AM8;AGS CMAM8NOF 9CD8JM9KS DEK@G M8JBKFK?G 络层被拦截，属于同一连接的所有包作为一个整体的数据流 ’! 防火墙技术 看待，构成连接状态表，接着与定义好的规则表共同配合，对 防火墙技术是建立在现代通信网络技术和信息安全技术 表中的各个连接状态加以识别。采用这种技术的防火墙对通 基础上的应用性安全技术。它是一个系统，位于被保护网络 过其建立的每一个连接都进行跟踪，并且根据需要可动态地 和其它网络之间，进行访问控制，阻止非法的信息访问和传 在过滤规则中增加或更新条目。对于VW0 这样无状态的连 递。防火墙并非单纯的软件或硬件，它实质是软件和硬件加 接，以虚拟连接的方式构成连接表。 上一组安全策略的集合。防火墙可以是硬件防火墙也可以是 $ ）代理技术 运行特定防火墙软件的宿主机。 进出的数据在代理防火墙处中转，数据好像是从防火墙 根据防火墙对进、出网络数据的处理方法，大致可以将防 发出的，从而起到隐藏内部网结构的作用。它的核心技术就 火墙分为两大体系：包过滤（分为简单包过滤和状态检测的 是代理服务器技术，代理应用程序工作在应用层。 包过滤）防火墙和代理防火墙（应用层网关防火墙和自适应 代理服务器代表客户来处理向服务器的连接请求。当代 代理防火墙）。 理服务器得到一个客户的连接意图时，它们将核实客户请求， ’ ）简单包过滤技术 并经过特定的安全化的0EK@G 应用程序处理连接