基于防火墙技术为重心网络安全体系架构.docVIP

基于防火墙技术为重心网络安全体系架构 　　摘要：　近年来，随着网络的发展，网络安全问题也日益严重。防火墙作为最早出现的使用量最大的安全产品，备受网络用户和网络研发机构的青睐。重点讨论防火墙的概念、分类与功能，结合自己对防火墙技术的理解对防火墙技术进行阐述，并对防火墙网络安全体系架构的进行初步的研究。 　　关键词：　防火墙技术；网络；技术；安全；体系架构 　　1　防火墙的概念 　　防火墙实际上是一种隔离技术，它可以将内部网和公众访问网分开，是一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个网络间，实施网络之间访问控制的一组组件集合，它可以在两个网络通讯时执行的一种访问控制尺度，它允许安全的数据进入内部网，同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问进行审计和控制。 　　2　防火墙的分类 　　防火墙有很多种形式，有的以软件形式运行在普通计算机之上，也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法，从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙；从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类；按防火墙性能可分为百兆级防火墙和千兆级防火墙；按防火墙技术可分为包过滤防火墙和应用级两大类。 　　3　防火墙的功能 　　在没有防火墙的环境中，局域网内部上的每个节点都暴露给Internet上的其它主机，局域网的安全性要由其中每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点，从而使得局域网规模越大，把所有主机保持在相同安全水平上的可管理能力就越小。 　　引入防火墙后，局域网的安全性在防火墙上得到了统一的加固，主要体现在：1）强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具，实现对用户和服务的访问控制。2）记录与Internet之间的通信活动。作为内外网之间唯一的放完通道，防火墙能够记录内部网和外部网络之间发生的多有事件。3）实现了网段之间的隔离或控制。防火墙的隔离作用，可控制一个有问题网段中的问题在整个网络中的传播。4）提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙，这样的防火墙便成为一个安全检查点，把所有可疑的访问拒之门外。 　　4　防火墙技术分析 　　4.1　包过滤防火墙 　　数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住，它按照一种被称为访问控制列表（access　control　list，ACL）的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包，目前，这种过滤主要是针对数据包的协议地址（包括源地址和目的地址）、协议类型和TCP/IP端口（包括源端口和目的端口）来进行的。因此，数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。 　　4.2　状态检测防火墙 　　状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎，它截获数据包从中抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。 　　4.3　代理服务型防火墙 　　代理（proxy）服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。代理服务程序接受内部网用户对Internet服务的请求，按照相应的安全策略转发它们的请求，并返回Internet网上主机的响应。实际上，代理就是一个在应用层提供替代连接并充当服务的网关。代理具有应用相关性，要按照应用服务类型的不同，选择相应的代理服务。 　　4.4　网络地址翻译 　　网络地址翻译（network　address　translation，NAT），是一种通过将私有地址转换为可以在公网上被路由的公有IP地址，实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上，当内部网络的一台主机想要向外部网络中的主机进行数据传输时，它先将数据包发到NAT设备；NAT设备上的NAT进程将首先查看IP包报头的内容，如果该包是被允许通过的，就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址，然后将数据包转发到外部网络的目标主机上；当外部主机回应包被发送回来时，NAT进程将接收它，并