防火墙的工作原理及配置方案.docVIP

防火墙的工作原理及配置方案 [论文摘要]网络安全一直是人们十分重视却又无法完全解决的网络问题之一，防火墙作为最早出现的网络安全产品和使用量最大的安全产品，在很大程度上提高了内部网络的安全性，从而受到了个人、企业等各种机构的青睐。因此，了解防火墙的工作原理和配置方案可以在今后选择使用防火墙时，为我们提供依据和保障。 [关键词]网络安全；防火墙 [Abstract]Network security has always been a problem that people pay great attention to but cannot completely solve. Firewall as the earliest and the largest amount usage of the network security product has greatly improved the security of the internal network, and thus is popular among individuals, businesses and other institutions. Therefore, understanding the working principle and the basic configuration of the firewall can provides us with the basis and certification when we need to choose the firewall in the future. [Key words]Network security; Firewall 引言 随着网络安全问题的日益严重，网络安全产品也逐渐得到人们的重视。防火 墙技术作为内部网络与外部网络之间的第一道安全屏障，其主要作用是通过计算机硬件和软件的结合，在内部网络和外部网络之间建立起一个安全网关，从而保护内部网络免受非法用户的入侵，保障内外网络通信的安全。 防火墙概述 防火墙的定义 防火墙是一个由软件和硬件设备组合而成、在内部网络和外部网络、专用网络和公共网络之间的界面上构造的保护屏障，是两个网络通讯时执行的访问控制尺度。它能允许“同意”的人和数据进入内部网络，同时将“不同意”的任何数据阻拦在外，从而最大限度地阻止黑客访问内部网络。防火墙主要有由服务访问规则、验证工具、包过滤和应用网关四个部分组成，其中包过滤防火墙是最简单的一种网络级防火墙。[1] 防火墙技术分类 网络级防火墙 网络级防火墙主要是用来防止整个网络出现外来非法的入侵，如分组过滤 和授权服务器。网络级防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。以特定的方式，只允许符合特定规则的封包通过，其他的则禁止穿越防火墙。这些规则可以由管理员定义和修改，但有些防火墙设备只能套用内置规则。 较新的防火墙能利用封包的多样属性来进行过滤，如：来源IP地址和端口号、目的IP地址和端口号、服务类型等来进行过滤。 应用级防火墙 应用级防火墙从应用程序来进行访问控制，通常使用应用网关或代理服务器来区分各种应用，如只允许通过访问万维网的应用而阻止FTP应用的通过。 应用级防火墙是在TCP/IP堆栈的“应用层”上运作，借由监测所有的封包并找出不符合规则的内容，可以防范电脑蠕虫和木马程序的快速蔓延。[2] 防火墙的工作原理 （1）IP地址过滤 所有的防火墙都具有IP地址过滤功能，这项任务是要检查IP数据包的首部， 根据IP源地址和目标地址做出放行或丢弃的决定。现给出一个例子：两个网段之间隔了一个防火墙，防火墙的两端分别有一台UNIX（一种多用户、多任务操作系统）计算机和一台PC客户机。 当PC客户机想UNIX计算机发出请求时，PC的客户程序就产生一个TCP包，并把它传给本地的协议栈准备发出。然后，协议栈将这个TCP包加到一个IP包里，通过PC机的TCP/IP栈所定义的路径发送给UNIX计算机。其中，发出的IP包必须经过PC和UNIX计算机中的防火墙才能到达UNIX计算机。 这里防火墙通过其最基本功能：根据IP地址做出转发判断。例如，我们可以命令防火墙把所有发给UNIX计算机的数据包拒绝掉，此时只有和UNIX计算机在同一网段的用户才可以访问UNIX计算机；还可以通过IP地址的判断，只命令不允许那台特定的PC机发出的数据包通过。但是，这种方式并不安全，由于黑客可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越防火墙。 （2）TCP/UDP端口过滤（双向过滤） 从另一个角度来想，由于主机上运行多种通信服务，我们无法完全禁止所有的连接通信方式，因此，除了IP地址过滤外，还要对服务器的TCP/UDP端口进行过滤。