防火墙技术及其的应用的研究.docVIP

防火墙技术及其的应用的研究 　　摘要：防火墙技术是网络安全的重要技术之一，是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型，并探讨了在实际中如何管理防火墙。 　　关键词：网络安全；防火墙技术；防火墙应用 　　中图分类号：TP309文献标识码：A文章编号2012）009016003 　　0引言 　　随着网络的迅速普及，网络安全问题也日益突出。虽然网络安全技术得到了迅速发展，但网络安全问题也增加了新的内容 ，主要是由网络的开放性、无边界性、自由性造成的，包括以下一些因素：①计算机操作系统本身的一些缺陷；②各种服务，如TELNET NFS，DNS，Active X 等存在bug和漏洞；③TCPIP协议本身的安全因素；④黑客攻击，追查比较困难，因为攻击可以来自Internet的任何地方。 　　目前，保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一，成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来，防火墙产品多，更新快，且不断有新的信息安全技术应用到防火墙的开发上，如代理服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。 　　那么，什么是防火墙呢？在古代，人们在构筑木制结构房屋时，常在住所之间砌一道砖墙，防止火灾蔓延。在网络中，防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网，犹如一道护栏，置于不安全的非信任的网络与被保护网络之间，阻断外部对内网的威胁和入侵，保护内网的安全。 　　一般来说，防火墙是一种置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制（包括允许、拒绝、记录和监视）通过网络的访问行为，是一种高级的访问控制设备。狭义上，防火墙是指装了防火墙软件的路由器系统或者主机；广义上，防火墙是指整个网络的安全行为和安全策略。 　　1防火墙的发展 　　1986年，在Internet上，美国Digital公司安装了全球第一个防火墙系统。这之后，防火墙产品成为安全领域发展最快的安全技术产品之一，它先后经历了如下发展阶段： 　　第一代防火墙，又称为包过滤路由器或屏蔽路由器，是基于路由器的防火墙，通过检查经由路由器的数据包的地址（源地址、目的地址）、端口号（源端口号、目的端口号）、协议等参数，来决定是否让数据包通过，如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击，而且审计功能差。 　　第二代防火墙，是用户化的防火墙工具套，它用来提供应用服务级的控制，起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难，且代理的时间延迟也较大。 　　第三代防火墙，是建立在通用操作系统上的商用防火墙产品，有以硬件方式实现的，也有以纯软件方式实现的。采用这种防火墙，用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。 　　第四代防火墙，是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中，同时也采用了一些主动的网络安全技术，比如网络安全性分析、网络信息安全监测等。总之，它将网关和安全系统合二为一。 　　2防火墙的基本类型 　　按使用技术，防火墙主要分为包过滤型防火墙（又可分为静态包过滤、状态动态检测包过滤）、应用代理、复合型和核检测这几大类；按照实现方式可分为硬件防火墙、软件防火墙。 　　2.1按使用技术分类 　　2.1.1包过滤型防火墙 　　静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表，在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑，在收到网络数据包后，检查数据流中的每个数据包，根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素，以确定是转发还是丢弃，它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关，所以无须改应用程序。它也存在一些不足：不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。 　　状态动态检测包过滤防火墙直接对数据分组进行处理，而且结合前后的数据分组进行综合判断，来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务，并能动态地打开服务端口，