個人防火墙技术的探讨.docVIP

PAGE PAGE 3 1 引言 随着网络的开放性、共享性、互联程度的扩大，特别是因特网的出现，网络的重要性和对社会的影响也越来越大。网络上各种新业务的兴起，以及各种专用网的建设，使得网络与信息系统的安全与保密问题显得越来越重要。特别是随着全球信息基础设施和各国信息基础设施的逐渐形成，国与国之间变得近在咫尺。网络化、信息化已成为现代社会的一个重要特征，并已深入到国家的政治，军事、经济、文教等诸多领域，许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。网络信息本身就是时间、就是财富、就是生命、就是生产力。因此，难免会遭遇各种主动或被动的攻击，例如信息泄露、信息窃取、数据纂改、数据删除和计算机病毒等。因此，网络安全已经成为至关重要的问题。而防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些访问，以及那些外部站点可以被内部人访问。 现代信息技术的发展，各种应用软件的广泛应用以及Internet发展，人民对网络信息及信息安全的要求越来越高，各种网络病毒的侵袭使得我们的信息不安全，而防火墙是网络安全的屏障，作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。 在目前，互联网攻击数量直线上升的情况下，个人计算机随时都可能遭到各种恶意攻击，这些恶意攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密文件丢失、隐私被曝光，甚至黑客通过远程控制删除了硬盘上所有的数据，整个系统全线崩溃。为了抵御黑客的攻击，保护网络及计算机安全，着重对主流个人防火墙技术及其功能以及针对个人用户的规则设置，进行了相应的分析，最后本文对实例天网个人防火墙进行分析。 2 防火墙的基本概念 2.1 防火墙的定义 防火墙的本意指古代人民的房屋之间修建的墙，这道墙可以防止火灾发生时蔓延到别的房屋，但现在的防火墙并不是为防火，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不会防碍安全区域对风险区域访问。 安全 安 全 区 域 工作站 服务器 打印机 Interner 隔离风险 风险 防火墙 2.2 防火墙的分类 虽然防火墙的体系结构和技术多种多样，但防火墙基本上分为三种：包过滤防火墙、应用代理防火墙和混合型防火墙。它们各有所长，具体选用应看具体需求。 ●包过滤防火墙，分为普通包过滤和基于状态检测包过滤。作用在协议族的网络层和传输层，在网络层截获数据。根据分组包头源地址、目的地址、协议类型等标志确定是否数据包通过。 ●应用代理防火墙，应用代理（Application Proxy）也叫应用网关，作用在应用层。它是近几年才得到广泛应用的一种新防火墙类型，掌握着应用系统中可作安全决策的全部信息，能够实现较高安全性。 ●混合型防火墙，其结合了包过滤防火墙和应用代理防火墙的特点，通过IP地址和端口号过滤进出数据包。目前在市场上较多防火墙属于混合型防火墙。 无论哪种类型防火墙都存在着一定的局限，但可以通过配置监听某些特定的端口解决因特定的服务允许或拒绝某些数据的现象。例如分组过滤防火墙，通过实验了解到一个可靠的过滤防火墙依赖一定的规则，表1-1列出了几条规则集。 表1-1 序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 允许 * * * TCP 2 允许 * 20 * TCP 3 禁止 * TCP 2.3 防火墙的工作原理 防火墙的工作原理是其按照事先规定好配置与规则的方式，监测并过滤通过防火墙的数据流，只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息，服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也应具备较高的抗攻击性能。 3 防火墙的必要性 使用防火墙的一般论证是，没有防火墙，子网系统会把自己完全暴露在一些本身并不安全的服务（如NFS和NIS等）面前，并且受到网络上其他地方主系统的试探和攻击，在