网络安全技术之防火墙.pdfVIP

防火墙 李先华 文中主要论述了防火墙的分类和基本特性，以 部署原则。并介绍了防火墙产品在我公司网络 关键词：信息安全 网络安全 防火墙 包过滤 代理服务器 1 概述 随着我国社会主义市场经济的逐步完善和国防科技工业寓军与民体制改革的不断深入，特别是信息化建设 的推进和应用，国防科技工业安全保密工作凸显重要。计算机安全作为信息安全保密工作的重中之重，尤其受到 重视。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术， 它的目的就是在网络连接之问建立一个安全控制点，通过允许、拒绝或重定向经过防火墙的数据流，实现对进、 出内部网络的服务和访问的审计和控制。 2 防火墙的分类 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防 火墙、双宿主机等类型。下面针对几种主要的防火墙产品以及其优缺点进行介绍。 2．1 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以”包”为单位 进行传输的擞据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标 地址、TCP／UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些”包”是否来自可信任的 安全站点 ，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之J-J#l,。系统管理员也可以根据实际情 况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程 度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、 目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带 的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 2_2 代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理 服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的 服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据 请求发给代理服务器，代理服务器再根据这—请求向服务器索取数据，然后再由代理服务器将数据传输给客户 一 88 — 网络安全技术之防火墙·—李先华 机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有 效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一 进行设置，大大增加了系统管理的复杂性。 2．3 监测型 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的 数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法 侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的 节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统 计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定 义，而且在安全性上也超越了前两代产品 ． 3 防火墙的部署原则 了解了防火墙产品分类之后，应该如何在网络中部署呢?具体的部署原则可以参考以下三个要求来实施。 (1)应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵。 (2)如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙。 譬如，财务部和工程部的