个人防火墙技术的探讨.docVIP

1引言 随着网络的开放性、共享性、互联程度的扩人，特别是因特网的出现，网络的重要性 和对社会的影响也越来越大。网络上各种新业务的兴起，以及各种专用网的建设，使得网 络与信息系统的安全与保密问题显得越来越重要。特别是随着全球信息基础设施和各国信 息基础设施的逐渐形成，国与国Z间变得“近在咫尺”。网络化、信息化己成为现代社会的 一个重要特征，并已深入到国家的政治，军事、经济、文教等诸多领域，许多重耍的政府 宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重 要信息都通过网络存储、传输和处理。网络信息木身就是时间、就是财富、就是牛命、就 是牛产力。因此，难免会遭遇各种主动或被动的攻击，例如信息泄露、信息窃取、数拯纂 改、数据删除和计算机病毒等。因此，网络安全已经成为至关重要的问题。而防火墙是一 种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的 哪些访问，以及那些外部站点可以被内部人访问。 现代信息技术的发展，各种应用软件的广泛应用以及Internet发展，人民对网络信 息及信息安全的要求越来越高，各种网络病毒的侵袭使得我们的信息不安全，而防火墙是 网络安全的屏障，作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干 线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时 也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，还要面对各种安全威 胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。 在目前，互联网攻击数量直线上升的情况下，个人计算机随时都可能遭到各种恶意攻 击，这些恶意攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被 修改、财务数据被利用、机密文件丢失、隐私被曝光，甚至黑客通过远程控制删除了硬盘 上所有的数据，整个系统全线崩溃。为了抵御黑客的攻击，保护网络及计算机安全，着重 对主流个人防火墙技术及其功能以及针对个人用户的规则设置，进行了相应的分析，最后 本文对实例天网个人防火墙进行分析。 2防火墙的基本概念 2.1防火墙的定义 防火墙的本意指古代人民的房屋之间修建的墙，这道墙可以防止火灾发生时蔓延到别 的房屋，但现在的防火墙并不是为防火，而是指隔离在本地网络与外界网络Z间的一道防 御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域 与安全区域的连接，同时不会防碍安全区域对风险区域访问。 防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成 威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的 攻击手段，也冇可能来自配置上的低级错误或不合适的口令选择，因此防火墙的另一作用 是防止未授权的数据进入被保护的网络。隔离风险Interner防火墙D打印机工作站 是防止未授权的数据进入被保护的网络。 隔离风险 Interner 防火墙 D 打印机 工作站 2.2防火墙的分类 虽然防火墙的体系结构和技术多种多样，但防火墙基本上分为三种：包过滤防火墙、 应用代理防火墙和混合型防火墙。它们各有所长，具体选用应看具体需求。 ?包过滤防火墙，分为普通包过滤和基于状态检测包过滤。作用在协议族的网络层和 传输层，在网络层截获数据。根据分组包头源地址、目的地址、协议类型等标志确定是否 数据包通过。 ?应用代理防火墙，应用代理(Application Proxy)也叫应用网关，作用在应用层。 它是近几年才得到广泛应用的一种新防火墙类型，掌握着应用系统屮可作安全决策的全部 信息，能够实现较高安全性。 ?混合型防火墙，其结合了包过滤防火墙和应用代理防火墙的特点，通过1P地址和端 口号过滤进岀数据包。目前在市场上较多防火墙屈丁混合型防火墙。 无论哪种类型防火墙都存在着一定的局限，但可以通过配置监听某些特定的端I I解决 因特定的服务允许或拒绝某些数据的现象。例如分组过滤防火墙，通过实验了解到一个口J 靠的过滤防火墙依赖一定的规则，表列出了几条规则集。 表1-1 序号 动作 源1P 目的1P 源端口 目的端口 协议类型 1 允许 10. 1. 1. 1 * * * TCP 2 允许 * 10. 1. 1. 1 20 * TCP 3 禁止 * TCP 2.3防火墙的工作原理 防火墙的工作原理是其按照事先规定好配置与规则的方式，监测并过滤通过防火墙的 数据流，只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息，服务 器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也应具备较高 的抗攻击性能。 3防火墙的必要性 使用防火墙的一般论证是，没有防火墙，子网系统会把自己完全暴露在一些本身并不 安全的服务（如NFS和NIS等）面前，并且