对计算机防火墙技术探究探究.docVIP

对计算机防火墙技术探究探究摘要：本文对计算机防火墙的概念、功能以及分类和原理进行了归纳总结，并分析了常见的网络攻击方式及应对策略。 关键词：因特网；网络安全；计算机防火墙技术 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 16-0000-02 计算机防火墙是一种获取安全性方法的形象说法，它由硬件设备和软件组合而成、在专用网络和公共网络之间、内部网络和外部网络之间的界面上构造一个保护屏障，使得不同的网络之间建立一个安全网关，以保护内部专门网络，使其免受非法用户的入侵[1]。 计算机防火墙的主要功能有：过滤掉不安全服务和非法用户[2]；控制对特殊站点的访问；提供监视Internet安全和预警的方便端点。其功能主要体现在访问控制，内容控制，全面的日志；集中管理，自身的安全和可用性；流量控制，NAT，VPN等方面。 目前防火墙技术正在朝着智能化和分布化的方向发展，其中智能防火墙技术对数据的识别是通过利用记忆、概率、统计和决策的智能方法来进行的，以实现访问控制。智能防火墙采用新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制，可以很好的解决目前存在的网络安全问题。智能防火墙技术是计算机防火墙技术发展的必然趋势[3，4]。 1 计算机防火墙的分类及其原理 计算机防火墙根据工作机制的不同可分为包过滤防火墙、应用代理型防火墙、网络地址翻译及复合型防火墙。 1.1 包过滤防火墙 包过滤防火墙技术中预先设定有包过滤规则，包过滤防火墙工作在网络层，接收到的每个数据包都要同包过滤规则进行比较，然后决定该数据包是通过还是阻塞。 包过滤防火墙又分为无状态包过滤和有状态检查包过滤。无状态包过滤防火墙是最原始的防火墙，它是根据每个包头部的信息来决定是否要将包继续传输，从而增强安全性。其安全程度相对较低，它的内部网络很容易暴露，进而容易遭受攻击。在通信中，无法维持足够的信息来决定是否应该放弃这个包，因为任何一条不完善的过滤规则都会给网络黑客可乘之机。但是有状态检查包过滤其可以记住经过防火墙的所有通信状态，并依据其记录下来的状态信息数据包的允许与否。动态包过滤防火墙是目前最流行的防火墙技术。 1.2 应用代理型防火墙 代理是指代理服务器利用侦听网络内部客户的服务请求，然后将这些请求发到外部的网络中；当代理服务器从公共服务器处接收到响应后，其再将响应返回给原始的客户，其与原始的公共服务器所起的作用是一样的[3]。 应用级代理技术采用在OSI的最高层检查每一个IP包，进而获得安全策略。应用代理技术虽然在一定程度上保证了网络的安全，但是它对每一种服务都需要代理，且它工作在协议栈高层，执行效率明显降低，有时会成为网络的瓶颈。 1.3 网络地址翻译 网络地址翻译将专用网络中的ip地址转换成在因特网上使用的全球唯一的公共ip地址。尽管最初设计nat的目的是为了增加在专用网络中可使用的ip地址数，但是它有一个隐蔽的安全特性，如内部主机隐蔽等。这在一定程度上保证了网络安全。nat实际上是一个基本的代理，一个主机代表内部所有主机发出请求，并代表外部服务器对内部主机进行响应等。但nat工作在传输层，因此它还需要使用低层和高层服务来保证网络的安全。 1.4 复合型防火墙 出于更高安全性的要求，有些开发商常把包过滤的方法与应用代理的方法结合起来，开发出复合型的防火墙产品，这种复合型的防火墙用以下两种方式实现网络安全维护功能：（1）通过屏蔽主机防火墙体系结构，使分组过滤路由器或防火墙与互联网相连，同时在内部网络安装一个堡垒机，利用对过滤规则的设置，使堡垒机成为互联网上其他网络访问所能到达的唯一节点，确保内部网络不受未授权的外部用户的攻击。（2）通过屏蔽子网防火墙体系结构，将堡垒机安装在一个内部子网内，同时在这一子网的两端安装两个分组过滤路由器，使这一子网与互联网及内部网络分离，进而确保这一子网不受未授权的外部用户的攻击。在结构中，堡垒机和分组过滤路由器共同构成了整个屏蔽子网防火墙体系的安全基础。 2 常见网络攻击方式及网络安全策略 2.1 网络攻击方式 2.1.1 病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒阻止于网络之外，黑客欺骗用户下载某个程序，从而使恶意代码进入到计算机内网。应对策略：设置网络安全等级，对于未经安全检测的下载程序，严格阻止其任务执行[5]。 2.1.2 口令字 穷举与嗅探是口令字的两种攻击方式。穷举是通过外部网络的攻击对防火墙的口令字进行猜测。嗅探通过监测内部网络来获取主机给防火墙的口令字。应对策略：通过设计使主机和防火墙通过单独接口进行通信或是采用一次