信息安全技术-牛亚201103030018.docVIP

信息安全技术论文 学 院： 计算机科学与信息工程学院 学生姓名： 学 号： 专业班级： 13-1 指导教师： 2016年 月 信息安全技术论文 —应用层防火墙（代理防火墙）的初步结构；1994年以色列的Checkpoint公司开发出采用状态监视技术的第四代防火墙；1998年，NAI推出了采用自适应代理技术的防火墙，标志着第五代防火墙的诞生。 目前的防火墙主要有两种类型： 　　其一，是包过滤型防火墙。它是一般由路由器实现，故也称包过滤路由器。它在网络层对进出内部网络的所有信息进行分析，一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型，并按照信息过滤规则进行筛选，若符合规则，则允许该数据包通过防火墙进入内部网，否则进行报警或通知管理员，并且丢弃该包。这样一来，路由器能根据特定的规则允许或拒绝流动的数据，如：Telnet服务器在TCP的23号端口监听远程连接，若管理员想阻塞所有进入的Telnet连接，过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快，实现方便，但由于它是通过IP地址来判断数据包是否允许通过，没有基于用户的认证，而IP地址可以伪造成可信任的外部主机地址，另外它不能提供日志，这样一来就无法发现黑客的攻击记录。 其二，是应该级防火墙。大多数的应该级防火墙产品使用的是代理机制，内置了代理应用程序，可用代理服务器作内部网和Internet之间的转换。若外部网的用户要访问内部网，它只能到达代理服务器，若符合条件，代理服务器会到内部网取出所需的信息，转发出去。同样道理，内部网要访问Internet，也要通过代理服务器的转接，但它不允许内部用户直接访问外部，会使未被服务器支持的服务。 3.防火墙的历史与发展趋势 （1）防火墙的历史??防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短矩的几年内异军突起 ?很快形成了一个产业：1995年，刚刚面市的防火墙产品市场量还不到1万套，到l996年底，就猛增到10万套，据国际权威商业调查机构的预测，防火墙市场将以173％的复合增长率增长，到2000年将达150万套。 纵观近年来Internet 防火墙市场的发展，可以看到安全需求、安全产品和安全技术正以相辅相成的趋势迅猛发展。??防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理， 在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：??①基于路由器的防火墙??第一代防火墙产品的特点是：利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤。过滤判决的依据可以是：地址、端口号、IP旗标及其他网络特征。只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。??第一代防火墙产品的不足之处十分明显：路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。 ?????路由器上的分组过滤规则的设置和配置存在安全隐患。最大隐患是：攻击者可以假冒”地址。 本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的，固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 ?????②用户化的防火墙工具套 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包。软件可通过网络发送，用户可自己动手构造防火墙。与第一代防火墙相比，安全性提高了，价格降低了。由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，安全性和处理速度均有局限；实践表明，使用中出现差错的情况很多。 ③建立在通用操作系统上的防火墙 近年来今市场上广泛可用的就是这一代产品，它具有以下特点：包括分组过滤或者借用路由器的分组过滤功能。装有专用的代理系统，监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。安