计算机防火墙技术原理分析及的应用展望.docVIP

计算机防火墙技术原理分析及的应用展望 　　[摘要]从计算机防火墙的物理结构和软件技术的角度，对防火墙的基本类型和主要技术原理进行初步分析，并展望防火墙的未来发展趋势。 　　[关键词]防火墙技术 系统结构 发展趋势 　　中图分类号：TP393 文献标识码：A 文章编号：1671－7597(2008)0520050－01 　　 　　一、防火墙原理概述 　　 　　防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置（包括软件和硬件）的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口，能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流，从而对所受保护的网络提供信息安全服务。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，它有效地监控了所要保护的内部网和外部公共网络之间的任何活动，对网络之间传输的数据包依照一定的安全策略进行检查，用于确定网络哪些内部服务允许外部访问，以及内部网络主机访问哪些外部服务等，从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同，防火墙实际上代表了一个网络的访问控制原则。 　　 　　二、防火墙技术分析 　　 　　（一）防火墙的主要技术 　　防火墙从原理上主要有三种技术：包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。 　　1. 包过滤(PacketFiltering)技术 　　在基于TCP/IP 协议的计算机网络上，所有网络上的计算机都是用IP地址来唯一地标识其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的，数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的IP地址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的，它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，那么所有从这个地址传输过来的数据包都会被过滤掉。 　　2.代理服务(ProxyService)技术 　　代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接，将目的站点告知代理，对于合法的请求，代理以自己的身份(应用层网关)与目的站点建立连接，然后代理在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能，能隐藏内部IP地址，能够实现比包过滤路由器更严格的安全策略。它针对每一个特定应用都有一个代理模块，管理员可以根据自己的需要安装相应的代理。一般情况下每个代理相互无关，即使某个代理工作发生问题，只需将它简单地卸出，不会影响其它的代理模块，也保证了防火墙的失效安全。 　　3.状态检测(StateInspection)技术 　　状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，可以很容易地实现应用和服务的扩充。但其配置非常复杂，而且会降低网络的速度。 　　 　　三、防火墙的未来发展趋势 　　 　　（一）分布式防火墙 　　分布式防火墙是指物理上有多个防火墙实体在工作，但在逻辑上只有一个防火墙。分布式防火墙仍然由中心定义策略，但由各个分布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念：说明哪一类连接可以被允许或禁止的策略语言，一种系统管理工具和IP安全协议。首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式，形成策略文件；然后中心采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判