防火墙技术及发展趋势.docVIP

防火墙技术及发展趋势 　　摘 要：随着互联网及计算机网络的发展，网络安全已成为一个重要的课题。防火墙技术是目前被广泛使用且效果较好的网络安全技术。本文从防火墙的基本概念出发，介绍了其功能及分类，并在此基础上对防火墙技术的发展趋势进行了展望。 　　关键词：防火墙，网络安全，互联网 　　中图分类号：TM131.4+6 文献标识码：A 　　1 防火墙的概念及功能 　　防火墙是网络安全的首道门户和重要屏障，它实现了内部网络与外部网络之间，内部不同网络区域之间的安全隔离与访问控制，保证了网络系统及网络服务的安全性、稳定性与可靠性。防火墙可以根据不同的安全策略，对数据包进行检查，从而控制进出防火墙的信息流，防止已知的或不可预测的入侵行为。防火墙主要有以下的功能： 　　1.1 数据包过滤 　　网络上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络，并与预先设定的访问控制规则进行比较，进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网络的访问，但由于不能检测数据包的具体内容，所以不能识别具有非法内容的数据包，无法实施对应用层协议的安全处理。 　　1.2 防止信息外泄 　　防火墙通过对内外网络、内部不同区域网络进行划分，实现了各网络及网段的隔离，限制各网络之间的互访，从而保障了网络内部敏感数据的安全，避免内部信息的外泄。 　　1.3 网络IP地址转换 　　网络IP地址转换是一种将私有IP地址转化为公网IP地址的技术，它被广泛应用于各种类型的网络和互联网的接人中。网络IP地址转换一方面可隐藏内部网络的真实IP地址，使内部网络免受黑客的直接攻击，另一方面由于内部网络使用了私有IP地址，从而有效解决了公网IP 地址不足的问题。 　　1.4 虚拟专用网络 　　虚拟专用网络将分布在不同地域上的局域网或计算机通过加密通信，虚拟出专用的传输通道，从而将它们从逻辑上连成一个整体，不仅省去了建设专用通信线路的费用，还有效地保证了网络通信的安全。 　　1.5 日志记录与事件通知 　　进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。 　　2 防火墙的分类 　　根据防火墙的不同工作原理，可以分为包过滤防火墙、应用网关防火墙和状态监测防火墙三类： 　　2.1 包过滤防火墙 　　包过滤防火墙把接收到的每个数据包同预先设定的包过滤规则进行比较，决定对数据包进行阻止或放行。包过滤防火墙一般都安装在路由器上，工作在OSI网络参考模型的网络层和传输层，过滤的规则是根据数据包头的地址、端口号和协议类型等标志确定是否允许通过。因为与应用层无关，包过滤防火墙具有非常好的传输性以及扩展能力，它的处理速度是最快的。但是因为无法判定应用层的信息，所以可能会被黑客用欺骗技术攻破，同时由于其过滤规则的不完善，所以也存在一定的漏洞，安全性比较低。 　　2.2 状态监测防火墙 　　状态监测防火墙把网络中的不同连接阶段表现为状态，状态的改变表现为连接数据包不同标志位参数的不同。在建立连接时，状态监测防火墙检查预先设定的安全规则，符合规则的连接允许通过，并记录相关信息，动态生成状态表。状态监测防火墙的内部放置了分布探测器，这些探测器安置在各种应用服务器和相关网络节点上，不仅能防范外网的入侵也能制止内部的隐患，具有双重防范作用。状态监测防火墙比包过滤防火墙更为安全，但由于多了记录、检测和分析这些步骤，可能会导致网络整体性能的下降。 　　2.3 应用网关防火墙 　　应用网关防火墙工作在OSI网络参考模型的最高层，即应用层。它允许设置比包过滤防火墙更严格的安全策略，通过对每个应用层的数据包进行检查，从而有效提高了网络的安全性。它的特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现检测和控制应用层通信流的作用。应用网关防火墙对硬件的要求较高，灵活性较低。 　　3 防火墙的局限性 　　防火墙还是存在一定的局限性，不能完全保证网络中计算机的绝对安全。比如防火墙防外不防内，不能防止来自网络内部的攻击；防火墙不能防止规则配置不当或错误配置引起的安全威胁，只有对其规定好的配置规则进行工作，对于实时的攻击或异常的行为不能做出及时的反应；防火墙不能阻止被病毒感染的软件或文件的传输，不能预防来自应用层的攻击；防火墙也无法阻挡利用标准网络协议中的缺陷所发出的攻击，一旦防火墙放行了某些标准网络协议，网络就有可能被黑客利用该协议中的缺陷进行攻击。 　　4 防火墙的发展趋势