防火墙技术55623.doc

防火墙技术 摘要：因特网的迅猛发展给人们的牛活带來了极人的方便，但同时因特网也面临着空前的威胁。 因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何 实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、 入侵检测和反病毒等进行风险评估是很冇必要的。防火墙技术作为时下比较成熟的一种网络安全技术, 其安全性直接关系到用八的切身利益。针対网络安全独立元素一一防火墙技术，通过対防火墙FI志文件 的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对冃标网络 的网络安全风险评估，为提高系统的安全性提供科学依据。 关键词：网络安全，防火墙 1防火墙的概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预 测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网 和不可信的公共网)或网络安全域Z间的一系列部件的组合。它是不同网络或网 络安全域Z间信息的唯一出入口，能根据金业的安全政策控制(允许、拒绝、监 测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务， 实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息 安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析 器，它有效地监控了内部网络和互联网Z间的任何活动，保证了内部网络的安全。 1.1传统防火墙介绍 口前的防火墙技术无论从技术上还是从产詁发展历程上，都经历了五个发展 历程。 第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter)技 术。 第二代、第三代防火墙:1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同吋提出了第三代防火墙—— 应用层防火墙(代理防火墙)的初步结构。 第四代防火墙:1992年，USC信息科学院的BobBraden开发出了基于动 态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说 的状态监视(Stateful inspection)技术。1994年，以色列的Checkpoint公司 开发出了第一个采用这种技术的商业化的产品。 第五代防火墙:1998年，NAI公司推出了一种自适应代理(Adaptive proxy) 技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋 予了全新的意义，可以称Z为第五代防火墙。 1.2智能防火墙简介 智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统 计、记忆、概率和决策的智能方法來对数据进行识别，并达到访问控制的目的。 新的数淫方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值， 直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，乂称为 智能防火墙。 2防火墙的功能 1防火墙的主要功能 1） 包过滤。 包过滤是一种网络的数据安全保护机制，它可用來控制流出和流入网络的数 据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端 口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。 2） 地址转换。 网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换 Source NAT（SNAT）和目的左也址转换 Destination NAT（DNAT）。 3） 认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数 据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制; 同时支持URL过滤功能。 4） 透明和路由 指防火墙将网关隐藏在公共系统Z后使其免遭直接攻击。隐蔽智能网关捉供 了对?互联网服务进行儿乎透明的访问，同时阻止了外部未授权访问者对专用网络 的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之 间的安全访问。 2.2入侵检测功能 入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术，包 括以下： 1） 反端口扫描。 2） 检测拒绝服务攻击 3） 检测多种缓冲区溢出攻击（Buffer Overflow）o 4） 检测CGI/IIS服务器入侵。 5） 检测后门、木马及其网络蠕虫。 3防火墙的原理及分类 国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级 代理服务器以及状态包检测防火墙。 1包过滤防火墙 顾名思义，包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规 则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的 比较。包过滤防火墙工作在网络层，IP包的包头中包含源、