防火墙技术-论文.doc

PAGE PAGE 12 摘要 随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大，所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施，它实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。 关键词：防火墙 网络安全 外部网络 内部网络 防火墙技术 1、什么是防火墙 所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 2、防火墙的类型和各个类型的特点及原理 防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术，在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等，都能帮助您对系统进行监控及管理，防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目，所以在使用时十分方便及实用。 2.2、网络层防火墙 　　网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 2.3、应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 3、目前防火墙中的最新技术及发展情况 因为传统的防火墙设置在网络边界，外于内、外部互联网之间，所以称为"边界防火墙（Perimeter Firewall）"。随着人们对网络安全防护要求的提高，边界防火墙明显感觉到力不从心，因为给网络带来安全威胁的不仅是外部网络，更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护，除非对每一台主机都安装防火墙，这是不可能的。基于此，一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。由于其优越的安全防护体系，符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受，它具有很好的发展前景。 分布式防火墙的特点：主机驻留、嵌入操作系统内核、类似于个人防火墙、适用于服务器托管。 分布式防火墙的功能：Internet访问控制、应用访问控制、网络状态监控、黑客攻击的防御、日志管理、系统工具。 分布式防火墙的优势： 　（1）增强的系统安全性：增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。 　　 （2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。 　 （3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。 （4）实施主机策略：对网络中的各节点可以起到更安全的防护。 　　（5）应用更为广泛，支持VPN通信。 4、个人防火墙的设计与实现 4.1、研究内容及其意义 本文提出了一种基于Linux的个人防火墙来保证网络安全的解决方案，该防火墙主要分成3个模块来实现，它们分别是数据包捕获模块、数据处理模块、过滤规则设置和查询模块。文章首先讲述了数据包进行捕获,提取数据包头信息，然将包头信息传递给数据包处理部分，并与包头信息进行匹配和处理，将处理后的信息写入日志数据库，规则设置模块则对数据库进行添加规则和显示相应的日志信息 包过滤防火墙是实现防火墙基本功能的最重要最基础的原型，是学习防火墙技术的必经之路，也为进一步设计与提高防火墙性能提供了必要的储备。 4.2、数据包处理模块结构与原理分析 本节主要介绍了防火墙的数据处理的原理，叙述了过滤规则、调用数据库数据包否决等的实现，最后对日志数