浅析网络防火墙技术.docVIP

中国人民解放军高等教育自学考试 信息技术应用与管理专业 毕 业 论 文 浅析网络防火墙技术 ?考号：?????????姓名： [摘　要]在当今的计算机世界，随着网络技术的发展，因特网的使用无处不在，网络的安全成为人们最为关注的问题。为了安全的使用“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。 [关键词]防火墙 网络安全 安全策略 一、防火墙的基本概念 防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。　　 二、防火墙的技术分类 现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。 包过滤防火墙 包过滤防火墙是防火墙常见的类型，也称为分组过滤防火墙，作用在网络层和传输层。其技术依据是网络中的包传输技术。网络上的数据都是 数据包中以“包”为单位进行传输的，数据被分割成一定大小的数据包，每一个数据包中都带有传输数据的特征信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等，包过滤防火墙判断所依据的信息，均来源于IP、TCP、或UDP包头特征信息。通过读取数据包头中的特征满足过滤规则的数据包，才会被防火墙转发相应目标网络接口。一旦发现有来自危险网络的特征数据包，依据预先配置的过滤规则，防火墙便会将这些数据拒之门外。 根据过滤数据包的方式和技术发展上的需要，包过滤防火墙在实际应用中又可分为静态包过滤和动态包过滤防火墙两种类型。 静态包过滤是分组防火墙的第一代品种，这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，过滤规则基于数据包的报头信息特征进行制定，包括IP源地址、IP目标地址、传输协议（TCP、UDP和ICMP等）、TCP/UDP目标端口和ICMP消息类型等。静态包过滤类型的防火墙要遵循一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。 动态包过滤是分组过滤防火墙的新一代品种，这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题，这种技术后来发展成为所谓的包状态监测（Stateful Inspction）技术。采用这种技术的防火墙，对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤防火墙中的分组过滤技术优点是简单实用，实现成本低。在应用环境比较简单的情况下，能够以比较小的代价，在一定程度上保障系统的安全，实用一种通用、廉价、有效的安全手段。之所以通用，实因为它不针对各个具体网络服务，采取特殊的处理方式；之所以廉价，实因为大多数路由器都提供分组路由功能；之所以有效，实因为它能很大程度地满足企业网的基本安全需求。 但包过滤防火墙的缺陷也实明显的，包过滤技术实一种完全基于网络层的安全保障技术，只能根据数据包的来源、目标和端口等网络信息进行判断。包过滤防火墙一般工作在网络层和传输层，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中的附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 2. 应用代理防火墙 应用代理防火墙一可以称为带来服务器，它的安全性要高于包过滤型产品。应用带来防火墙工作在应用层，其特点是能够完全阻隔网络通信的数据流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，应用代理型防火墙是内部网与外部网的隔离点起着监视好隔绝应用层通信流的作用。它通常工作在OSI模型的最高层，掌握着应用系统中安全决策的全部信息。 第一代代理防火墙也叫应用层网关防火墙，这种防火墙通过一种代理（Proxy）技术实现一个TCP连接全过程。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当与一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器在根据这一请求向服务器索取数据，然后再由代理服务器将数据