防火墙技术及其体系结构研究推荐.docVIP

防火墙技术及其体系结构研究 摘要：本文首先指出了计算机网络发展过程中的安全问题，然后给出了网络安全可行的解决方案——防火墙技术，同时分析了实现防火墙的几种主要技术，并讨论了构筑、配置防火墙的几种基本的体系结构。s0100 关键词：防火墙体系结构网络安全外部网络内部网络 1概述 随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的 开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施，电子商务(electroniccommerce)、电子货币（electroniccurrency）、网上银行等网络新业务的兴起和发展，使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。 防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍， 阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛,控制进出两个方向的通信。通过限制与网络或某一特定区域的通信 ,以达到防止非法用户侵犯受保护网络的目的。 防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。 2防火墙技术 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性： 1、所有的内部网络和外部网络之间传输的数据必须通过防火墙； 2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙； 3、防火墙本身不受各种攻击的影响； 4、使用目前新的信息安全技术，比如现代密码技术等； 5、人机界面良好，用户配置使用方便，易管理。 实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。 2.1包过滤技术 包过滤(PacketFilter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。 例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实（如TCP端口23用于Telnet连接），使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。 包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择和数据转发之外,同时进行包过滤,这是目前较常用的方式;二是在工作站上使用软件进行包过滤,这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。 2.2应用网关技术 应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃龋它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中 ,应用网关一般由专用工作站系统来完成。 有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时，服务器将检查所缓存的页面是否是最新的版本（即该页面是否已更新），如果是最新版本，则直接提交给用户，否则，到真正的服务器上请求最新的页面，然后再转发给用户。 2.3代理服务器技术 代理服务器（ProxyServer）作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它接点的直接请求。 具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序；防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如 FTP、Telnet），并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。 包过滤技术和应用网关是通过特定的逻辑判断来决定是否