智能防火墙技术探讨.pdfVIP

网 络 安 全 智能防火墙技术探讨 黄为 湖南广播电视大学理工教学部 湖南 410004 摘要：本文介绍了包过滤防火墙的工作原理，分析了TCP协议的工作过程，设计了一个基于客户/服务器工作方式的智 能防火墙系统的模型，该智能防火墙可以根据日志数据库中的有关内容自动地生成过滤规则，并添加到过滤规则表中。同时 还介绍了针对常见几种攻击手段可以采用的安全对策。 关键词：防火墙；TCP/IP；ACK；客户/服务器 0引言 头可以了解每一个数据包的IP源地址、IP目的地址、协议 在网络日益复杂化、多样化的今天，网络安全问题已经 (TCP包、UDP包和ICMP包)、TCP和UDP的源端口、TCP 日益突出地摆在各类用户的面前，计算机网络的发展对信息 和UDP的目的端口、TCP报头中的ACK位、数据包的出入 方向等关键字段的内容，将这些关键字段的内容记录到数据 的安全保护提出了新的挑战。防火墙是在Internet与Intranet 之间进行访问控制的安全网关，是在两个网络之间实施访问 库中，后面提出的智能防火墙即可采用这些内容。 控制的一个或一组系统，防火墙作为一种有效的安全防护措 2 TCP工作流程 施被广泛应用于各种类型的网络当中。随着攻击手段的进步 网络中的多数访问都是基于TCP协议的(如Telnet、FTP、 和安全需求的提高，对防火墙提出了越来越高的要求。 SMTP、HTTP等)，要防范目前常见的各种攻击手段，就要 1 包过滤防火墙的工作原理 对TCP的工作原理有一个详细的了解。下面就主要对TCP协 议的工作流程进行分析。 数据包过滤技术是在网络层依据访问控制表对数据包进 行分析、选择和过滤。防火墙通过检查数据流中每一个数据 2.1 连接的建立TCP 在TCP协议中，通信双方是通过段来交换数据，传输开 包的源地址、目的地址、所用端口号、协议状态等因素，或 始前，需要在源端和接收端之间建立连接。在建立连接时，需 它们的组合来确定是否允许该数据包通过。 要指定一些直到连接释放前都有效的特性，如优先权值、安 数据包的结构是由各层连接的协议组成的。每一层数据 全性值等QoS值，这些特性，在连接建立过程中通信双方都 包都由报头和报体两部分组成，报头存放该层的协议信息， 是同意的。建立连接的过程使用三次握手的方式(见图1)。 报体存放该层的数据信息。在每一层，将上层的全部信息作 为报体，再按本层协议加上报头，此过程称为数据包封装。在 TCP/IP模型中，当应用层数据包构成传输层的包时，TCP或 UDP协议从应用层将数据全部取出来，再加上本层的报头。 当再构成网际层的包时，IP协议将传输层的报头和报体全部 作为本层的报体，然后加上本层的报头。当构成最底层网络 接口层的包时，该层协议将网际层的整个包作为报体，再加 上本层的报头。 图1 TCP建立连接三次握手的过程 数据包中最重要的信息是各层依次加上的报头，通过报 第一次握手：主机A进程向主机B进程发出连接请求，包 作者简介：黄为(1963-)，男，工程师，研究方向：计算机网络及信息安全。 2009.10