防火墙的研究与实现.docVIP

　　防火墙的研究与实现|第1 摘 要 介绍了防火墙的概念、原理、分类及比较，指出传统防火墙存在的不足之处，提出了一种新型防火墙系统—嵌入式防火墙系统，最后对防火墙的发展作了前景展望。 国际互联网（Inter）的迅速发展，为信息共享提供了一条全球性的高速通道，同时也为各种新兴娱乐方式、商业形式的形成和发展创造了有利条件。然而不幸的是，由于目前采用的TCP／IP协议族潜在着安全漏洞以及安全机制不健全，Inter网上的黑客趁机而入，非法进入企业的内部网并存取、破坏、窃听数据。因此，如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃，是企业网络安全需要解决的重要问题。 防火墙就是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。 １ 防火墙的概念、原理 防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出企业网。防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对Inter的访问。防火墙的组成可用表达式说明如下： 防火墙＝过滤器＋安全策略（网关） 防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则（用表格的形式表示，包括Match，Action，Trace，Target四个条件项）。即按表格中规则的先后顺序以及每条规则的条件项进行比较，直到满足某一条规则的条件，并作出规定的动作（停下或向前转发），从而来保护网络的安全。 ２ 防火墙的分类及比较 防火墙一般可以分为以下几种：包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙、自适应代理型防火墙。下面分析各种防火墙的优缺点。 包过滤型防火墙 它是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，也可称之为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。它的优点是：逻辑简单，成本低，易于安装和使用，网络性能和透明性好，通常安装在路由器上。缺点是：很难准确地设置包过滤器，缺乏用户级的授权；包过滤判别的条件位于数据包的头部，由于IPV4的不安全性，很可能被假冒或窃取；是基于网络层的安全技术，不能检测通过高层协议而实施的攻击。 电路级网关型防火墙 它起着一定的代理服务作用，监视两主机建立连接时的握手信息，判断该会话请求是否合法。一旦会话连接有效后，该网关仅复制、传递数据。它在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性低。 应用网关型防火墙 它是在应用层上实现协议过滤和转发功能，针对特别的网络应用协议制定数据过滤逻辑。应用网关通常安装在专用工作站系统上。由于它工作于应用层，因此具有高层应用数据或协议的理解能力，可以动态地修改过滤逻辑，提供记录、统计信息。它和包过滤型防火墙有一个共同特点，就是它们仅依*特定的逻辑来判断是否允许数据包通过，一旦符合条件，则防火墙内外的计算机系统建立直接联系，防火墙外部网络能直接了解内部网络结构和运行状态，这大大增加了实施非法访问攻击的机会。 代理服务型防火墙 代理服务器接收客户请求后，会检查并验证其合法性，如合法，它将作为一台客户机向真正的服务器发出请求并取回所需信息，最后再转发给客户。它将内部系统与外界完全隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。代理服务安全性高，还可以过滤协议，通常认为它是最安全的防火墙技术。其不足主要是不能完全透明地支持各种服务、应用，它将消耗大量的CPU资源，导致低性能。 状态检测型防火墙 它将动态记录、维护各个连接的协议状态，并在网络层对通信的各个层次进行分析、检测，以决定是否允许通过防火墙。因此它兼备了较高的效率和安全性，可以支持多种网络协议和应用，且可以方便地扩展实现对各种非标准服务的支持。 自适应代理型防火墙 它可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则最初的安全检查仍在应用层完成。而一旦代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度快得多的网络层。因而它兼备了代理技术的安全性和状态检测技术的高效率。 ３ 新型防火墙系统 ３．１ 传统防火墙的缺点 传统防火墙结构在其技术原理上对来自内