防火墙技巧剖析.docVIP

防火墙技术剖析 太原城市职业技术学院学报 总第 !期 ’ 第!8 期()*+,-. )/ 0-12*-, 3+%-, 4)5-61),-. 5)..$7$#$% ’ 期 年 防火墙技术剖析 刘婷!孟庆伟 郑州师范高等专科学校 !河南郑州 9’99# :摘要 ;文章详细介绍了防火墙在网络安全中的作用 $防火墙系统的构成 $防火墙的特点 !并对 防火墙技术进行了剖析 % :关键词 ;防火墙 网络 信息安全 包过滤路由器 :中图分类号 ;0== :文献标识码 ;? :文章编号 ;8!@=A9!B’C8A8!’A 国际互连网的接入!对整个社会的科学与技术$经 济与文化带来巨大的推动!为信息共享提供极大 方便%同时!也不可避免地带来了一个日益严峻的问 题’’ ’网络安全 %事实上资源共享和信息安全历来是 一对矛盾 %随着 D,6$+,$6的飞速发展 !计算机网络的资 源共享进一步加强 !随之而来的信息安全已成为当今 最热门的话题 !基于网络的各种安全技术和安全工具 也成为研究的热点 %很多企事业单位为了保障自身服 务器或数据安全都采用了防火墙技术 %防火墙作为内 部网络与外部公共网络之间的第一道屏障 !也成为最 先受到人们重视的网络安全产品之一 % 一$防火墙的定义 防火墙作为一个网络安全的专用词 !没有具体而 唯一的定义 !但其基本思想是相通的 %防火墙 (#1+$E F-..#是内部网络 (局域网 #和国际互连网 (D,6$+,$6#之 间的一道安全屏障 !是指设置在两个网络之间的一组 组件 B既可以是一组硬件 !也可以是一组软件 !还可以 是软 $硬件的组合 G!用于检测和控制两个网络之间的 通信流 !允许合法信息包通过 !阻止非法信息包通过 ! 以达到对重要信息的存储和访问的控制 !保护信息系 统的安全 %防火墙技术是目前最为广泛使用的网络安 全技术之一 !防火墙技术也日趋成熟 % 二$防火墙的作用 防火墙是设置在内部网络与 D,6$+,$6之间实施访 问控制策略的一个或一组系统 !它可以实施两个网络 之间的访问控制和安全策略 !增强内部网络的安全性 % 所有来自 D,6$+,$6的信息或从内部网络发出的信息都 必须穿过防火墙 !因此 !防火墙能够确保诸如电子邮 件$文件传输 $远程登录以及特定系统间信息交换的安 全%防火墙可用于多个目的 )限定人们从一个特别的节 点进入 !防止入侵者接近你的防御设施 !限定人们从一 个特别的节点离开 !有效地阻止破坏者对计算机系统 进行破坏 % 三$防火墙的组成 防火墙技术从原理上主要分为三种 )包过滤路由 器$应用层网关 B代理技术 G和电路层网关 % 8H包过滤路由器 信息包过滤技术是防火墙中广泛使用的技术 %包 过滤路由器对数据包的检查非常仔细 !除了决定该包 能否被它路由到目标地址之外 !还要决定是否该对这 个包进行路由 %包过滤路由器将审查每个数据包以确 定是否与设定的包过滤规则匹配 !审查过程基于转发 过程的包头信息 %每个数据包的头部都包含有 )D源地 址$D目标地址 $协议 (表明该数据包是 0I$3J$ DIK或 D 0*,,$.包 #% 0I L 3J源接口 $0I L 3J 目标接口 $DIK信息类型 %如果包在进入接口或出接 口与某个规则匹配 !并且规则允许该数据包 !那么该数 据包就会按照路由表中的信息被转发 %如果规则拒绝 该数据包 !那么该数据包就会被丢弃 %如果没有匹配规 则!用户配置的缺省规则会决定是转发还是丢弃该数 据包 % 由于包过滤技术只作报头的检测 !不作基于信息 内容的检测 !所以包过滤技术不能识别有危险的信息 包!无法对应用协议进行处理 !为了克服这些缺陷 !于 是发展了防火墙代理技术 % H应用层网关 为了克服包过滤技术的一些缺点 !防火墙需要一 些服务的转发功能 !这样的应用软件称为代理服务 BM+)NOG!也称为应用网关 P?MM.15-61), Q-6$F-OG%应用层 网关使得网络管理员能够实现比包过滤路由器更严格 的安全策略 %应用层网关不用依赖包过滤工具来管理 D,6$+,$6服务在防火墙系统中的进出 !而是采用为每种 所需服务而安装在网关上特殊代码 (代理服务 #的方式 来管理 D,6$+,$6服务 %代理技术的原理是 )内部网络上 的用户和 D,6$+,$6上服务之间不能直接交谈 !只能分别 与代理打交道 %内部网络上的用户和 D,6$+,$6没有任何 的直接信道 !代理技