防火墙技术浅述.docVIP

防火墙技术浅述 　　摘要:接触网络的人都知道网络黑客专门利用各种网络和系统的漏洞,非法获得未授权的访问信息。随着软件技术的不断发展,网络中散布着大量的网络攻击工具,这些工具只需要简单的执行就可以给网络造成巨大的威胁,甚至不需要人为的参与就可以扫描和破坏整个网络,给网络安全带来越来越多的安全隐患。而要消灭这些越来越多的网络安全隐患,防火墙在其间发挥着越来越重要的作用。本文主要论述了防火墙的作用、主要类型、优点、缺点及防火墙未来的发展趋势等。 　　关键词:网络安全;防火墙;包过滤防火墙;代理防火墙;状态监视器 　　 　　一、 防火墙的作用 　　防火墙(Firewall),在网络术语中是指一种软件,它可以在用户的计算机和Internet之间建立起一道屏障,把用户和网络隔离开来,用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输,通过这样的方式,防火墙承受住所有对用户的网络攻击,从而保障用户的网络安全。防火墙的基本功能是对网络通信进行筛选、屏蔽、以防止未授权的访问进出计算机网络,简单的概括就是对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络和不可信任网络之间。 防火墙一般有三个特性:1)所有的通信都经过防火墙 2)防火墙只放行经过授权的网络流量 3)防火墙能经受对其本身的攻击。因此,防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器、一台多个网络接口的计算机或服务器等、被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响,所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。 　　二、防火墙的主要类型 　　如今市场上的防火墙形式多样,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。 　　1) 包过滤防火墙 　　包过滤防火墙设置在网络层,可以在路由器上实现包过滤,这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型,但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP RPC或动态的协议。 　　2) 代理防火墙 　　代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起,过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器,代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。 如果接受,它就向内部网络转发这项请求,代理防火墙无法快速支持一些新出现的业务(如多媒体)。现较为流行的代理服务器软件是 WinGate 和 Proxy Server。 　　3) 状态监视器 　　状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳拒绝鉴定或给该通信加密等决定,一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测 RemoteProcedureCall 和 User DatagrqamProtocol 类的端口信息,问题当然也有,即状态监视器的配置非常复杂,而且会降低网络的速度。 　　三、防火墙的优点 　　1) 防火墙能够强化安全策略 　　因为网络上每天都有上百万人在收集信息,交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的交通警察它执行站点的安全策略,仅仅容许认可的和符合规则的请求通过。 　　2) 防火墙能有效地记录网络上的活动 　　因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 　　3) 防火墙限制暴露用户点 　　防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行