基于网络安全中的防火墙技术研究.pdfVIP

基于网络安全中的防火墙技术研究 口孙立祥孙学全 (山东水利技术学院 山东·淄博255188) 摘要：防火墙是一种由计算机硬件和软件的组台。它在互联网与内部网之间建立起一个安全网关，从而保护内部 网免受非法用户的侵入。本文就网络安排中的防火墙种类特点、防火墙的选择以及研究现状进行论述。 关键词：网络安全 防火墙技术研究 中图分类号：’I鹳9 中图分类号：A 文章编码：1007—3973(20019)06_056-0l 1防火墙的含义 部门所配备防火墙的总成本也不应该超过10万元。当然，对于 防火墙是一种由计算机硬件和软件的组台．它在互联 关键部门来说．其所造成的负面影响和连带损失也应考虑在 网与内部网之间建立起一个安全网关。从而保护内部网免 内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该 受非法用户的侵入。防火墙是设置在被保护网络和外部网 超过网络系统的建设总成本。关键部门则应另当别论。 络之间的一道屏障，以防止发生不可预测的、潜在破坏性的 (2)防火墙本身是安全的 侵入。它可通过监测、限制、更改跨越防火墙的数据流．尽可 作为信息系统安全产品。防火墙本身也应该保证安全， 能地对外部屏蔽网络内部的信息、结构和运行状况，以此来 不给外部侵入者以可乘之机。如果像马其顿防线一样，正面 实现网络的安全保护。因特网防火墙常常被安装在受保护 虽然牢不可破．但进攻者能够轻易地绕过防线进人系统内 的内部网络与因特网的节点。 部。网络系统也就没有任何安全性可言了。 2防火墙的基本分类 通常。防火墙的安全性问题来自两个方面：其一是防火 防火墙的种类多种多样，但是从技术上来分析。防火墙 墙本身的设计是否合理，这类问题一般用户根本无从入手， 总体上分为包过滤和代理服务两大类型。 只有通过权威认证机构的全面测试才能确定。所以对用户 (1)包过滤(即IP包过滤) 来说．保守的方法是选择一个通过多家权威认证机构测试 包是网络上信息流动的单位。一个文件被划分成一串 的产品。其二是使用不当。一般来说，防火墙的许多配置需 包来实现从一台计算机到另一台计算机的传输．当这些包 要系统管理员手工修改。如果系统管理员对防火墙不十分 到达目的地时，包中的数据重新组合成原来的文件。每个包 熟悉．就有可能在配置过程中遗留大量的安全漏洞。 有两部分：文件的数据部分和包头。 (3)管理与培训 IP包过滤技术通常使用过滤路由器来进行特定IP包 管理和培训是评价一个防火墙好坏的重要方面。我们 过滤。在配置包过滤路由器时．必须先将包过滤规则存储在 已经谈到，在计算防火墙的成本时，不能只简单地计算购置 包过滤设备端口。包过滤规则确定哪些服务允许通过而哪 成本．还必须考虑其总拥有成本。人员的培训和日常维护费 些服务不允许通过。然后．包过滤路由器逐一审查每份数据 用通常会在TCO中占据较大的比例。一家优秀的安全产品 包的包头信息并判断它是否与包过滤规则相匹配。如果找 供应商必须为其用户提供良好的培训和售后服务。 到一个匹配，且规则允许该包通过。如果找不到一个匹配 (4)可扩充性 的。且规则拒绝该包通过。如果无匹配规则．则包是传送还 在网络系统建设的初期。由于内部信息系统的规模较 是被舍弃取决于用户配置的缺省参数。 小．遭受攻击造成的损失也较小。因此没有必要购置过于复 (2)代理服务 杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的 代理服务技术是防火墙技术中应用的较为广泛的技 增加。网络的风险成本也会急剧上升