信息安全11.docVIP

目 录 1 防火墙的概念 2 1.1 防火墙的工作原理 2 2 防火墙技术的发展状况 3 3 防火墙的分类及优缺点 3 3.1 包过滤型 3 3.2 代理型 4 3.3 监测型 5 4 防火墙发展的新技术趋势 5 4.1 模式转变 5 4.2 功能扩展 5 4.3 性能提高 6 5 防火墙的作用 6 6 结束语 6 参考文献 7 常用的防火墙技术的概述及其原理 摘要：随着计算机网络的发展，网络上的信息是越来越多，而如何保证信息的安全，防火墙作为网络安全的关键技术，受到越来越多的关注。本文从防火墙技术的概念和分类入手，针对防火墙的发展，探讨了防火墙的类别，对比分析了常用防火墙技术的优缺点，简单阐述了防火墙的作用。 关键词：防火墙的概念；防火墙分类；防火墙作用 1 防火墙的概念 随着信息化进程的深入和互联网的迅速发展，人们对网络的利用是越来越多，通过网络丰富了生活，信息资源得到了最大程度的共享。但必须看到，紧随信息技术发展而来的网络安全问题日渐突出：病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，其核心思想是在不安全的网络环境中构造一个相对安全的子网环境，它是防御网络信息遭受攻击的有效手段，越来越多地应用于专用网络与公用网络的互连环境中。 在网络中，防火墙是通过提供访问控制服务来实现对内部网络的安全防护的，它已经在Internet上得到了广泛的应用，但它不是解决所有网络安全的万能药方，而只是网络安全策略的一个组成部分，防火墙技术不仅可融入加密传输技术和认证技术，而且可结合安全协议，以提供更高的安全性。 防火墙是一种网络安全设施，是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上，使其成为内外通讯的唯一途径，从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则（访问控制规则）对经过它的信息流进行监控和审查，过滤掉任何不符合安全规则的信息，以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络（Internet）之间的访问控制机制，是安全策略的具体体现。[1] 1.1 防火墙的工作原理 一般说来，防火墙包括如下几个组成部分（见图1.1）。过滤器（filter)（有时称为屏蔽）用于阻断一定类型的通信传输。网关是一台或一组机器，它提供中继服务，以补偿过滤器的影响。驻有网关的网络常被叫作非军事区（DMZ），DMZ中的网关有时还由一个内部网关协助工作。一般情况下，两个网关通过内部过滤器到内部的连接比外部网关到其它内部主机的连接更为开放。外部过滤器可用来保护网关免受攻击，而内部过滤器用来应付一个网关遭到破坏后所带来的后果，两个过滤器均可保护内部网络，使之免受攻击。一个暴露的网关机器通常被叫做堡垒机。[3] 图1.1 防火墙的基本组成部分 2 防火墙技术的发展状况 防火墙技术的发展大致可分为三个阶段。 第一代防火墙是包过滤型防火墙，作用于网络层上。由于发展得最早，所以是目前最成熟的防火墙核心技术之一。 第二代防火墙是代理型防火墙，也就是所谓的代理网关。很多软件防火墙都可归于此类。 第三代防火墙是基于状态检查技术的包过滤器，是一种更复杂的包过滤器，提供对从网络层到应用层进行全面检查的能力，是目前防火墙技术的发展趋势之一。 防火墙技术的另一发展趋势是与安全协议的结合，这种访问控制和通讯安全技术的结合可以提供更高的网络安全性，已开始成为当今网络安全技术的潮流和热点。其中特别引人瞩目的是状态检查包过滤技术和网络安全协议的结合。[2] 3 防火墙的分类及优缺点 防火墙从其实现的原理和方法上，可分为以下类别。下面将逐一介绍。 3.1 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术，包过滤一般在路由器上实现，其原理和结构如图3.1所示： 图3.1 包过滤工作在网络层和逻辑链路层之间，截获所有数据包，每一个数据包都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。通过读取数据包中的数据来过滤所需的相关信息，然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，如果与某条规则相匹配，便执行其规定的动作（如：接收/拒绝、日志等），系统管理员也可以根据实际情况灵活订制判断规则。 包过滤技术的优点是简单实用，实现成本低，速度快，性能高。由于只对数据包的IP地址、T