浅议网络安全中的防火墙技术.DOC

网络安全中的防火墙技术及选择 张会喜 任国玺 （平顶山工业职业技术学院，河南 平顶山 467001） 摘要：本文就网络安全中的防火墙技术进行解释，详细阐述了防火墙的分类和其特点，重点分析了在选择防火墙时应注意的各种性能要求。 关键词：防火墙；安全性；可靠性 Technics and Option of the Firewall in Web Security ZHANG Hui-xi,REN Guo-xi (Pingdingshan Vocational Industry College,Henan Pingdingshan 467001) Key words : Firewall; Security; Reliability 1 概 述* 随着Internet的飞速发展，电子商务、电子政务的推出，越来越多网络与Internet联网，在网上设置提供公众服务的主机系统,如:WEB Server、EMAIL Server、FTP Server等。同时，越来越多的用户利用Web获取、发布信息，使Internet上的信息量迅速增长。然而，一些非法侵入他人系统、窃取机密、破坏系统等恶性行为也悄然而至，如果不采取必要的安全措施加以自我保护，后果不堪设想。 人们采用了许多安全技术来提高网络的安全性，最具代表性的安全技术有:数据加密、容错技术、端口保护与主体验证及防火墙(Firewall)技术。其中，防火墙技术是近年来提出并推广的一项网络安全技术。 2 防火墙的基本分类及其特点 根据防火墙所采用的技术不同, 我们可以将它分为四种基本类型: 包过滤型、NAT( 网络地址转换) 、应用程序代理型和状态/动态检测防火墙。 （1）包过滤防火墙。第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。 包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。 （2）应用程序代理防火墙。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共 HYPERLINK /f/hotweb/054/22/104980.htm \t _blank 网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。 代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC等。 （3）NAT—网络地址转换。讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。 NAT经常用于小型办公室、家庭等网络，多个用户分享单一的IP地址，并为Internet连接提供一些安全机制。 当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的了。当从公共网络传来一个未经请求的传入连接时，NAT有一套规则来决定如何处理它。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。 （4）状态/动态检测防火墙。状态/动态检测防火墙是新一代的产品, 它能够对各层的数据进行主动地、实时的检测, 在对这些数据加以分析的基础上, 它能够有效的判断出各层中的非法侵入。同时, 这种防火墙还带有分布式探测器, 这些探测器安置在各种应用服务器和其他网络的节点之中, 不仅能够监测来自网络外部的攻击, 同时对来自内部的恶意破坏也有极强的防范作用。 3 防火墙的选择要素 （1）安全性。大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了最重要的这一点，防火墙也是网络上的主机之一，也可能存在安全问