网络防火墙技术与研究.docVIP

网络防火墙技术的研究 摘 要 在当今的计算机世界，随着网络技术的发展，因特网的使用无处不在，网络的安全成为人们最为关注的问题。为了安全的使用“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 关键词：防火墙，网络安全，包过滤，安全策略  目 录 一、绪 论 1 二、防火墙的技术分类 1 （一）包过滤防火墙 1 （二）分组过滤技术 1 （三）应用代理防火墙 2 （四）自适应代理 2 三、防火墙的基本功能 3 四、防火墙的实现技术 4 五、防火墙技术发展趋势 5 六、结 论 6 参考文献 6 致 谢 6  一、绪 论 防火墙技术，最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵。该计算机流入流出的所有网络通信均要经过此防火墙。 二、防火墙的技术分类 现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。 （一）包过滤防火墙 Packet Filtering）是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表。这种防火墙通常安装在路由器上。这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。 静态包过滤类型的防火墙要遵循一条基本原则是“最小特权”原则，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。动态包过滤是分组过滤防火墙的新一代品种，这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题，这种技术后来发展成为所谓的包状态监测（Stateful Inspction）技术。采用这种技术的防火墙，对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 有许多方法可绕过包过滤器进入Internet ，包过滤技术存在以下缺陷： TCP只能在第0个分段中被过滤。 特洛伊木马可以使用NAT来使包过滤器失效。 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全，而必须与代理服务器和网络地址翻译结合起来才能解决问题。 图1　包过滤技术 （二）分组过滤技术 分组过滤技术的优点是简单实用，实现成本低。在应用环境比较简单的情况下，能够以比较小的代价，在一定程度上保障系统的安全，实用一种通用、廉价、有效的安全手段。之所以通用，是因为它不针对各个具体网络服务，采取特殊的处理方式；之所以廉价，是因为大多数路由器都提供分组路由功能；之所以有效，因为它能很大程度地满足企业网的基本安全需求。但包过滤防火墙的缺陷也明显的，包过滤技术实一种完全基于网络层的安全保障技术，只能根据数据包的来源、目标和端口等网络信息进行判断。包过滤防火墙一般工作在网络层和传输层，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中的附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 （三）应用代理防火墙 图3　一个服务代理 应用防火墙工作在应用层，其特点是能够完全阻隔网络通信的数据流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，应用代理型防火墙是内部网与外部网的隔离点起着监视好隔绝应用层通信流的作用。它通常工作在OSI模型的最高层，掌握着应用系统中安全决策的全部信息。第一代代理防火墙也叫应用层网关防火墙，这种防火墙通过一种代理（Proxy）技术实现一个TCP连接全过程。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于与一台真正的服