防火墙技术研究与防火墙构建.docVIP

　　防火墙技术研究与防火墙构建 摘要：随着时代的发展，Inter日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Inter是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。本文主要阐述了防火墙技术以及防火墙的构建。 关键字：防火墙技术防火墙体系结构构建 .L.编辑。 随着Inter的发展，网络已经成为人民生活不可缺少的一部分，网络安全问题也被提上日程，作为保护局域子网的一种有效手段，防火墙技术备受睐。 1.防火墙的定义 Inter防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往Inter的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。 防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网连接的点上。Inter防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nter的连接处，但是防火墙系统也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。 防火墙的局限性：1）不能防范恶意的知情者：2）不能防范不通过它的连接：3）不能防范全部的威胁。4）不能防范病毒。 由此可见，要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用。 2防火墙的技术原理 目前，防火墙系统的工作原理因实现技术不同，大致可分为三种： （1）包过滤技术 包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。 （2）代理技术 代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。 优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术。 缺点：在应用支持方面存在不足，执行速度较慢。 （3）状态监视技术 这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤 进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠 与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通 过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在 过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络