防火墙技术分析

关键词： 防火墙

防火墙技术分析（精选十篇）

防火墙技术分析 篇1

关键词：网络安全,防火墙,包过滤

1、引言

近年来, Internet的快速增长促进了信息技术的飞速发展，它的迅猛成长正在使世界成为一个整体。随着Internet的日益普及，通过浏览访问互联网，不仅使人们更容易的获得各种信息，也使网络被攻击的可能性大大增加，随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet，以便成员可以最大可能地利用Internet上的资源，同时又需要把自己的数据有意识地保护起来，以防数据泄密及受到外界对内部系统的恶意破坏。由于Internet的开放性，网络安全防护的方式发生了根本变化，使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，且它们的实施可由通信双方共同完成。而由于Internet是一个开放的全球网络，其网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，且主要是用来解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。在此情形下，防火墙技术应运而生。防火墙与包过滤技术是当前能采用的一个有效措施，通过精心设置访问策略，可以得到资源共享与信息安全的均衡。

2、防火墙及其功能

用专业术语来说，防火墙是指在可信的内部网络和不安全的外部网络之间设置的一种或多种部件的集合 (由软件和硬件组成) 。防火墙的作用是防止不希望的、未经授权的通信进入，保护的内部网络。防火墙可以实施网络之间访问控制，限制内外网之间的交流，最终达到保护内部网的目的。对于普通用户来说，所谓"防火墙"，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从外部网络交给计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会将其拦截下来，实现了对计算机的保护功能。

如果没有防火墙，整个内部网络的安全性就完全依赖于每一个主机。所以，所有的主机都必须达到一个相当的安全水平。否则，安全水平最低的那台主机一旦被攻克，整个内部网络就会完全的暴露在攻击者面前。这就是所谓的"木桶原理"，木桶能装多少水由最短的那块板决定。网络规模越大，要使网络中所有主机都达到一个相当的安全水平就越困难。

防火墙还可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

3、包过滤技术

包过滤（Packet Filtering）技术是最早使用的一种防火墙技术，也是防火墙所要实现的最基本功能。防火墙根据数据包中包头信息有选择的实施允许通过或阻断，将不符合要求的包过滤掉。它的第一代模型是"静态包过滤"，使用包过滤技术的防火墙通常工作在OSI模型中的网络层上，后来发展更新的"动态包过滤"增加了传输层。简言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，依据防火墙内事先设定的过滤规则，检查数据流中每个数据包头部，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为"阻止"的时候，这个包就会被丢弃。

包过滤是在网络层实现的，因此，它可以只用路由器完成。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易于扩展。

3.1包过滤的应用

包过滤的安全策略基于用来传送数据包的协议。现在Internet广泛采用TCP/IP协议族。在TCP/IP协议族中，用来传送数据包的核心协议有IP、TCP、UDP、ICMP等几个协议。下面分析数据包在各个协议中的应用。

2.1.1 IP协议

对于包过滤，IP协议有几个重要的信息，可以依据这些信息制定相应的安全策略：

(1) IP源地址，32bit。

(2) IP目的地址，32bit。

(3) IP协议类型，用来辨别IP包中运输的数据包类型。是TCP协议数据包，还是UDP协议数据包，或者是ICMP协议数据包。

(4) IP选项字段。

对IP协议的包过滤规则可以制定按地址过滤策略。例如，如果认为具有某个IP地址的网络设备是不安全的，可以通过设置包过滤规则来阻止源地址是该IP地址的包通过防火墙；如果认为具有某个IP地址的网络设备是非常重要的，不允许外部网络的设备访问，则可以通过设置包过滤规则来阻止目的地址是该IP地址的包通过防火墙。

IP地址欺骗是黑客比较常用的一种攻击手段。黑客封装一个数据包，在IP源地址处填上一个内部网络的地址，以欺骗目的主机，使之以为在和内部网络的另一台主机通信，而给与黑客较高的访问权限。而作为网络边界的防火墙可以很容易判断出数据包是来自于外部还是内部。防火墙通过阻止所有来自于外部，却具有内部源地址的数据包，就可以阻挡IP地址欺骗的攻击。

而对于IP选项字段，数据包过滤面对的最常见的IP选项字段是源地址路由。源地址路由是由数据包的发送方来指明数据包到达目的地的路由，而不是由路由器根据自己的路由表来选择路由。这样有一定的作用，比如可以绕开某些"不好"的网络。但有时候也会被黑客所利用，不走正常的路由路径，用来绕开安全检测，另外它还能成为IP地址欺骗攻击的辅助手段。用来欺骗目的主机，使之认为黑客伪造的IP地址能够正常路由，且能够收到回应。要应对这种问题，只要检查IP选项，阻止所有包含源路由选项的数据包即可。这样既能保证安全，也不会对正常的网络访问造成影响。

2.1.2 TCP/UDP协议

针对包过滤，TCP/UDP有几个重要的信息：

(1) TCP/UDP源端口。

(2) TCP/UDP目的端口。

(3) TCP标志字段。

对TCP/UDP协议的包过滤规则可以制定按服务过滤策略。可以根据TCP/UDP协议中的源端口和目的端口来制定安全规则，进行相应的过滤。比如如果要禁止外部网络对内部网络的Telnet访问，只需要将进入内部网络的，目的端口是23的数据包阻止即可。

因为TCP/UDP的源端口通常是随机的，所以通常不使用源端口进行控制。TCP是面向连接的协议，主机在通信之前要先通过3次握手建立连接。TCP标志字段会表明这个TCP数据包是SYN包，还是非SYN包。如果一个TCP数据包的标志字段仅SYN位置1，就可知这是TCP3次握手中的第一个请求，如果要禁止此次连接，只需要阻止这个包就可以了。

2.1.3 ICMP协议

ICMP即Internet控制与报文协议，主要用来进行错误信息和控制信息的传递。例如，著名的Ping和TraceRoute工具就是利用ICMP协议来测试设备的连通性和检测数据包的路由路径的。

ICMP协议是无连接的。这个特点使得ICMP协议非常灵活快捷，但同时也易于伪造，ICMP报文的源地址是可以随便写的，这样黑客可以直接在ICMP和IP协议的首部填上虚假的地址，在目的端根本无法追查。基于这个特点，出现了许多基于ICMP的攻击手段，可以通过网络架构缺陷制造ICMP风暴，可以使用非常大的报文阻塞网络，也可以利用ICMP碎片攻击消耗服务器的资源，甚至可以制作基于ICMP通信，不需要任何TCP/UDP端口的木马。

包过滤防火墙可以直接丢弃外部网络来的ICMP包，这样就能避免许多风险。

3.2 包过滤技术的局限性

包过滤也是有局限的。其中主要的一点就是不能进行内容级控制。比如不能针对用户身份进行的限制。如果有一个服务器，允许用户user1登录而禁止用户user2登录；因为用户名在数据包的数据内容部分，包过滤就无能为力了。

对于这种情况，一般的解决办法是增加防火墙的协议层次，使其具有查看高层协议内容的功能。但是如果对于每一个进出防火墙的数据包，都要对包内的所有数据进行查验的话，一方面会大大增加防火墙的负担，造成数据包在防火墙内的拥塞，严重影响网络性能；另一方面要使防火墙能够查看某一高层协议内容，就需要在防火墙上配置该协议，这样防火墙上配置的高层协议将会非常多，管理困难且进一步影响性能。而且如今随着网络应用的日益增多，新的协议层出不穷，给防火墙配置所有的网络协议不可能也不现实。

为了解决这一矛盾。可以在防火墙中维护一张"高层协议表", 只将需要查看内容的协议如需用户登录的协议等记录在该表内, 并在防火墙中配置该协议。当防火墙收到一个数据包后, 先以防火墙配置的基本包过滤原则 (IP地址, IP选项, 端口号等) 进行检测, 如果检测不通过则丢弃该数据包;如果检测通过，再判断其所用高层协议是否在"高层协议表"中，如果不在，则直接放行，如果数据包所用高层协议在表中，则进一步查看数据内容以确定是否放行该包。此时防火墙工作流程如下图：

一般来说，对于一个特定的网络，需要查看哪些高层协议的数据内容是可知的，且数量不会太多。这样，对于网络边界的防火墙来说，所需配置的网络协议并不多，增加的负担也在可承受的范围之内，对网络性能影响不大。

4、结语

综上所述，包过滤技术简单灵活，资源占用较少，对用户透明，使用起来很方便，具有很好的传输性能，易于扩展。但同时它也有不能进行内容级控制等局限性。只有把包过滤技术和其他应用级、内容级防护手段综合应用，才能更好的构建网络防护体系，保障网络的安全。

参考文献

[1]Andrew S Tanenbaum.Computer Networks (Fourth Edtion) [M], 北京:清华大学出版社, 2004.

[2]谢希仁.计算机网络 (第5版) [M], 北京:电子工业出版社, 2007.

[3]刘鹏远, 孙宝林, 桂超.Windows平台通用个人防火墙的分析与设计[J], 计算机工程, 2009.6.

防火墙技术分析 篇2

第一类是基于x86平台的，这种平台通常使用一颗或多颗主cpu来处理业务数据，网卡芯片和cpu通过pci总线来传输数据。

由于传统的32位pci总线频率为33mhz，所以，理论通讯速率为：132 mb bytes/s即：1056 mbits/s。单从pci通讯的速率上来说是可以满足千兆防火墙的需要，但实际上pci总线在x86系统中是共享的，也就是说，如果有两个网卡同时传输数据，那么每个网卡所能获得的速率就只有 66 mb bytes/s，即：528 mbits/s ，如果有四个网口同时传输数据，则每个网卡所能获得的速度只有16 mb bytes/s，即128mbit/s。

从总线速度来看基于32位pci总线的x86平台，做为百兆防火墙的方案是没有任何问题的。但x86平台的防火墙方案，数据从网卡到cpu之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下(如：64 bytes的小包，以下简称小包)，x86平台的防火墙吞吐速率不高，大概在30%左右，并且cpu占用会很高。这是所有基于x86平台的防火墙所共同存在的问题。

因此，基于32位pci总线的x86平台是不能做为千兆防火墙使用的，因为32位pci总线的通讯速率不能达到千兆防火墙的要求。针对这个问题，intel提出了解决方案，可以把32位的pci总线升级到了pci-e ，即：pci-express，这样，pci-e 4x的总线的速度就可以达到 mb bytes/s，即：16gbits/s，并且pci-e各个pci设备之间互相独立不共享总线带宽，每个基于pci-e的网口可以使用的带宽为：2000mb bytes/s，即：16gbits/s，所以基于pci-e 4x的x86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于pci-e的防火墙数据从网卡到cpu之间传输同样使用“中断”机制来传输数据，所以小包(64 bytes)的通过率仍然为：30-40%。

第二类，基于asic架构的防火墙、utm产品。

从上面对x86架构防火墙的分析中，我们了解到x86平台的防火墙其最大的缺点就是小包通速率低，只有30%-40%，造成这个问题的主要原因是因为x86平台的中断机制以及x86平台的防火墙所有数据都要经过主cpu处理。基于asci架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主cpu处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、nat、防火墙规则匹配等。这样数据不经过主cpu处理，不使用中断机制，理所当然，asic是做为功能简单的防火墙的最佳选择。

但随之而来的问题是，asic架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。尤其是作为多功能集成的utm网关来说，无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能，所以说，asic架构用来做功能简单的防火墙，是完全适用的，64 bytes的小包都可以达到线速。但asic架构做为utm就不是理想的选择，因为asic架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。

第三类，基于np架构的防火墙。

np架构实现的原理和asic类似，但升级、维护远远好于asic 架构。np架构在的每一个网口上都有一个网络处理器，即：npe，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比asic短，但比x86长。做为utm，由于np架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。

可能有人会问?asic 和 np为什么不可以把网关杀毒、和垃圾邮件过滤、访问监控等这些功能放在主cpu上来实现?这样不就可以做为utm方案使用了吗?这个问题问得很好，目前有很多基于np和asic的utm都是这样做的，但问题是asic和np架构的防火墙，其主cpu性能很低，如：intel基于ixp2400的千高端np方案，主cpu只有1.0g，处理能力还比不上celeron 1.0g，大家可以对照一下与其主频相当的x86平台的处理能力，

所以如果以asic和np架构来实现一个utm网关，只能是做为低端的方案来使用，如桌面型的utm，而并不能做为中、高端的utm来使用。

关于木结构建筑防火技术要点的分析 篇3

【关键词】木结构；建筑；防火技术

引言

木结构建筑在我国的历史较为久远，且比较成熟，许多古代的木结构建筑至今仍保持完好无损。许多桁架结构在经过改造后，均逐渐过渡到了现代胶合木结构自行设计和加工应用的阶段。由于具有较多优点，故木结构建筑能够在当代建筑中占据较重要的位置。然而，随着木结构建筑的不断增多，其火灾发生率也不断升高，故木结构的防火非常重要。

1.木结构建筑发生火灾原因分析

引起木结构建筑发生的火灾的原因主要有：建筑的耐火等级不高；建筑的密度较大，缺乏防火间距；使用问题多；火灾扑救困难[1]。

1.1耐火等级不高

在经过长期的干燥后，许多木结构建筑的木材已全干，很容易燃烧，尤其是干燥季节，发生火灾的可能性较大。一旦起火，由于屋内的烟与热很难散发出去，进而导致“轰燃”。此外，大多木结构建筑的木材裂缝及拼接缝隙较多，尤其是处于山地之间的木结构建筑，起火后会迅速蔓延，甚至形成立体燃烧，加之可燃物较多，极易酿成严重的火灾。

1.2建筑密度大，缺乏防火间距

大多木结构建筑都是随意修建，缺乏科学的布局，结果使得建筑密集，没有防火间距。建筑的过度密集，造成了防火间距的严重不足，若某处起火且未能及时对其有效控制，会使相连的建筑也遭到大面积燃烧，进而形成一发不可收拾的火灾。

1.3使用问题频繁不断

木结构建筑在使用中存在较多问题，以下是较常见的问题：①电线电器设备起火，如电线绝缘损坏、陈旧老化等；②生活用火存在隐患，如取暖、炊煮等；③乱扔烟头；④小孩玩火等。这些都是生活用火中极易引起火灾的因素[2]。

1.4火灾的扑救困难

大多木结构建筑所处位置普遍与消防站距离较远，故不能依托城市消防基础设施。一旦发生火灾，火势便会很快蔓延，即使消防站也无法将或灭掉。部分地区的交通十分不发达，消防车根本不能通行，也会使火灾无法扑救；同时，消防水源的缺乏也会导致火灾的无法扑救。此外，木结构建筑本身的消防设施不完善、缺乏专职消防员等问题，也是造成火灾扑救困难的重要因素。

2.关于木结构建筑的防火方法分析

2.1对木材进行阻燃处理

建筑木材是木结构建筑发生火灾的重要导火线，而对木材进行阻燃处理，可在一定程度上降低木材的燃烧率。阻燃剂有多种途径可达到阻燃作用，较常见的有：抑制热传递，抑制木材在高温下的热分解，抑制固相和气相发生的氧化反应等。因为阻燃的途径具有互通性与补充性，某一种阻燃剂一般都会有至少两种阻燃作用，并侧重于某一种，所以，在选择木材的阻燃剂配方时，最好选择2种以上的成分进行复合，以增强阻燃效果。

在日常中，使用频率较高的木材阻燃剂有：磞系阻燃剂、磷系阻燃剂及氮系阻燃剂等。实施了阻燃处理后的木材，其抗火性能会得到有效提高。构件表面的火焰燃烧速度会降低，而其耐火极限则会升高，燃烧性能也发生了改变，所以，少数民族聚居地的建筑木材，最好是进行了阻燃处理后，再应用于建筑中。

2.2对木材表面进行防护

对木材表面进行防护，主要是对最后的加工成型木材及其制品涂上防火涂料或阻燃剂，或在表面包覆一层不燃材料，以实现隔氧、隔热及阻燃的目的。这在当前是一种较有效且简便的防火保护方法。此外，在木结构建筑的建造过程中，于天花板及墙体处进行石膏板的安装，可使木结构组合的墙体的整体耐火极限持续2小时。因此，建议少数民族聚居地区在建造木结构建筑时，可采取在建筑木材表面涂上防护材料的方法来提高木材的耐火极限。

2.3注重木构件的结构设计

相关资料[3]显示：在正常情况下，只有当温度达到250℃时才会引起木材的燃烧，而如果起火，且火势较凶猛，则木材会以0.64mm/s的速度炭化，炭化层则把木材内部和外界隔离，并将木材的可承受温度提高，从而让构件内部没有遭到损坏。所以，如果一场火灾持续30分钟，木材的构件，其每个暴露面大约只有19mm的部分是由于炭化而损失，其他部分则会保持完整。

一般而言，在大型的结构中，都会有大规格的柱或梁，而这些梁柱本身的耐火性能均较好，原因是：木材的导热性能不高，且大构件表层的燃烧会形成炭化层，进而将木材和外界空气、热量隔绝开，从而对木材的燃烧速度起到延缓作用，最终保护其他未燃木材。换言之，如果采用大截面的构件，当其尺寸满足规定的要求时，其耐火极限也会得到较大提高。所以，在大多情况下，木材的截面与其防火性能是成正相关关系的。因此，在进行木结构的防火设计时，要以设计荷载要求为前提，并结合树种的炭化速度来计算出构件的最佳尺寸，利用木构件的耐火性能来达到需要的耐火极限。

2.4对木结构建筑的防火设计给予足够重视

根据《建筑设计防火规范》的要求，木结构建筑的防火设计构造是可以通过控制木结构的长度、面积、使用范围及防火间距，并在建筑中做好相关的安全措施来实现的。通过对木结构的使用范围、防火间距等的控制，能够有效降低木建筑火灾的发生率或控制火势的进一步蔓延，起到降低损失、减少人员伤亡的作用。因此，在设计少数民族聚居地区的建筑时，为了降低或避免火灾的发生，应将木结构建筑的使用范围、建筑内的人员数量等因素列入考虑范围，而不能只做好建筑。总而言之，对木结构建筑进行合理的结构设计，并采取相应的措施，能够对火势的蔓延进行有效控制，使木结构建筑符合防火要求，从而起到保障人们的生命财产安全的目的。

3.其他防火措施

使用者的火灾防护意识及防火措施科学与否也会影响火灾的预防及扑救。除了上述的防火措施外，还有以下几种防火措施：不断完善灭火设施；重视宣传教育；建设各种形式的消防队伍等。

4.结束语

综上所述，木结构建筑的防火非常重要，所以必须始终坚持“因地制宜、综合治理、标本兼治及防消并举”的防火原则[4]，不断提高建筑的防火性能，尽量把火灾造成的损失降到最低限度，保障人民的生命财产安全。

【参考文献】

[1]朱春玲.木结构建筑防火技术要点[J].墙材革新与建筑节能.2011（09）：53-57.

[2]刘静，张盛东.木结构防火设计方法简介[J].灾害2010，25（S0）：133-135.

[3]马瑞忠，刘永利.浅析木结构建筑防火的措施[J].科学之友.2011（12）：32-33.

防火墙技术的应用及分析 篇4

随着计算机网络的发展, 上网的人数不断地增大, 网上的资源也不断地增加, 网络的开放性、共享性、互连程度也随着扩大。网络工程的启动和实施, 电子商务、电子货币、网上银行等网络新业务的兴起和发展, 使得网络安全问题显得日益重要和突出。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络的互联环境之中, 尤其以接入Internet网络为最甚。

防火墙实际上是一种访问控制技术, 在某个机构的网络和不安全的网络之间设置障碍, 阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之, 防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。

2 防火墙技术

网络防火墙是一种用来加强网络之间访问控制的特殊网络设备, 它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查, 来决定网络之间的通信是否被允许, 其中被保护的网络称为内部网络或私有网络, 另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输, 从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:①所有的内部网络和外部网络之间传输的数据必须通过防火墙;②只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;③防火墙本身不受各种攻击的影响;④使用目前新的信息安全技术, 比如现代密码技术等;⑥人机界面良好, 用户配置使用方便, 易管理。实现防火墙的主要技术有:数据包过滤, 应用网关和代理服务等。

2.1 包过滤技术

包过滤 (Packet Filter) 技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过, 其核心是安全策略即过滤算法的设计。包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择和数据转发之外, 同时进行包过滤, 这是目前较常用的方式;二是在工作站上使用软件进行包过滤, 这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。

2.2 应用网关技术

应用网关 (Application Gateway) 技术是建立在网络应用层上的协议过滤, 它针对特别的网络应用服务协议即数据过滤协议, 并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录, 如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时, 服务器将检查所缓存的页面是否是最新的版本 (即该页面是否已更新) , 如果是最新版本, 则直接提交给用户, 否则, 到真正的服务器上请求最新的页面, 然后再转发给用户。

2.3 代理服务器技术

代理服务器 (Proxy Server) 作用在应用层, 它用来提供应用层服务的控制, 起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求, 拒绝外部网络其它接点的直接请求。代理服务器实质上是一个架设在内部网络用户群体和Internet之间的桥梁, 用以实现内部网络用户对Internet的访问。具体地说, 代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机, 也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求 (诸如FTP、Telnet) , 并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过, 其优点是速度快、实现方便, 缺点是审计功能差, 过滤规则的设计存在矛盾关系, 过滤规则简单, 安全性差, 过滤规则复杂, 管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问, 能够有效地实现防火墙内外计算机系统的隔离, 安全性好, 还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制, 而每一种网络应用服务的安全问题各不相同, 分析困难, 因此实现也困难。在实际应用当中, 构筑防火墙的“真正的解决方案”很少采用单一的技术, 通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险, 采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。一些协议 (如Telnet、SMTP) 能更有效地处理数据包过滤, 而另一些 (如FTP、Gopher、WWW) 能更有效地处理代理。大多数防火墙将数据包过滤和代理服务器结合起来使用。

3 防火墙的体系结构

3.1 双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络 (如外部网络) 直接发送到另一个网络 (如内部网络) 。外部网络能与双重宿主主机通信, 内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信, 它们之间的通信必须经过双重宿主主机的过滤和控制。

3.2 被屏蔽主机体系结构

双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开, 如图。在这种体系结构中, 主要的安全由数据包过滤提供 (例如, 数据包过滤用于防止人们绕过代理服务器直接相连) 这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接 (什么是“可允许连接”将由你的站点的特殊的安全策略决定) 到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:①允许其它的内部主机为了某些服务开放到Internet上的主机连接 (允许那些经由数据包过滤的服务) ②不允许来自内部主机的所有连接 (强迫那些主机经由堡垒主机使用代理服务) 。

3.3 被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构, 即通过添加周边网络更进一步的把内部网络和外部网络 (通常是Internet) 隔离开。被屏蔽子网体系结构的最简单的形式为, 两个屏蔽路由器, 每一个都连接到周边网。一个位于周边网与内部网络之间, 另一个位于周边网与外部网络 (通常为Internet) 之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络, 侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机, 他将仍然必须通过内部路由器。

4 结束语

随着Internet/Intranet技术的飞速发展, 网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段, 它主要是用来拒绝未经授权用户的访问, 阻止未经授权用户存取敏感数据, 同时允许合法用户不受妨碍的访问网络资源。如果使用得当, 可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题, 比如防火墙虽然能对来自外部网络的攻击进行有效的保护, 但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的, 还需要有其它技术和非技术因素的考虑, 如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

参考文献

[1] (美国) Chris Hare Karanjit Siyan著.刘成勇, 刘明刚, 王明举等译.Internet防火墙与网络安全.机械工业出版社

防火墙技术分析 篇5

历史回顾

在深入了解深度包检测技术之前，我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反，正是以这些技术为基础，才发展出了更多先进的功能元素。

最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数(如源ip地址和目标ip地址)检查通过网络的数据包，再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行，哪些数据包被阻隔。之后又出现了应用层网关防火墙，这种防火墙经常被称为基于代理服务器的防火墙，因为它会代表各种网络客户端执行应用层连接，即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同，其所有访问都在应用层(osi模型的第七层)中控制，并且也没有任何网络客户端能直接与服务端进行通信，如图1所示。

图1 防火墙检测原理

而在目前，得到最广泛应用的主流过滤技术是状态检测(stateful inspection)。它的工作方式类似于分组过滤防火墙，只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的，只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可以利用网络连接及应用服务的各种状态来执行决策。另外，所执行的决策也不仅限于数据包的放行与阻隔，类似加密这样的处理也可以作为一种控制决策被执行，如图2所示。

图2 状态检测

状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝，还能够理解连接的当前状态(例如相关连接是处于建立阶段还是数据传输阶段)。防火墙处理的所有数据传输都会被传送到一个状态检测引擎，其中汇集了相应的访问规则。

通过维护一个连接状态表，标识出通过防火墙的每条活动连接以及与之关联的第三层参数。如果连接状态表中确实含有一条连接的记录，状态检测引擎才允许该连接的返回信息通过。而且在连接建立之后，防火墙可以通过检查tcp顺序号这样更高级的连接属性，来验证相关的信息传输确实与基本的第三层参数匹配，是合法且没有欺诈的。

就状态检测型防火墙与应用层网关相比较而言，由于状态检测引擎了解应用层的情况，因此状态检测型防火墙所具有的安全保护水平与应用层网关基本相同，且状态检测型防火墙更加灵活，比应用层网关具有更好的扩展能力。因为它可以在应用程序一级保证通信的完整性，而不需要代表客户机/服务器在连接的两端对所有连接进行代理处理。所以说，利用状态检测技术设计的防火墙既提供了分组过滤防火墙的处理速度和灵活性，又兼具应用层网关理解应用程序状态的能力与高度的安全性。

深度包检测技术综述

通常，深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式，但是很多恶意行为可能隐藏在数据载荷中，通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的p2p传输，而各种电子商务程序的html和xml格式数据中也可能夹带着后门和木马程序在网络节点之间交换，

所以，在应用形式及其格式以爆炸速度增长的今天，仅仅依照数据包的第三层信息决定其是否准入，实在无法满足安全的要求。

深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包。举例来说，检测引擎将数据包载

网络防火墙技术发展 篇6

关键词：网络；防火墙

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網址对于网络安全来说防火墙是主要的一个防御机制，在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素，是网络安全性的决定性因素，而在网络迅猛发展的今天，对网络安全和防护的要求就越来越迫切，网络防火墙被用作为加强控制网络之间的互访，严防外部网络用户恶意通过外网入侵内部网络，并对网络之间的数据包的传输进行实时监控，判断网络之间通信的合法性，以及网络运行的状态。

一、防火墙的类型

网络在人们的平常生活中越来越普及化，网络的安全就越来越受到了人们的重视，防火墙成为网络安全的一个重要保障。防火墙的种类多样化，根据应用技术的不同，可分为一下几类：

（一）防火墙的初级产品：包过滤型防火墙它的核心为传输技术，通过读取数据包中的地址信息来辨别数据包的合法性，辨别其来自的网站是否安全，如果是危险的数据包，防火墙最自动将其抑制，包过滤技术具有简单实用的优点，而且成本低，经常是以较小的代价实现对系统的保障，但是其常常无法识别应用层的恶意攻击。

（二）网络地址转化（network address translation）NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址，同时允许私有IP地址用户访问因特网，系统将源端口和源地址映射为一个伪装的地址和端口，用伪装的地址与端口与外网建立连接，从而以达到隐藏真实的IP地址。

（三）代理型防火墙代理型防火墙亦可称作为代理服务器，它是一种安全性相对较高的产品，其位于服务器与用户级之间，对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用，避免了外部的一些恶意攻击，为网络与用户之间建立了一条有效安全的绿色通道，其优点是安全性较高，对应用层可以做到有效的扫描和侦测，对于抑制应用层的病毒侵入和感染十分有效，劣势就是管理起来相对复杂。

（四）监测型防火墙监测型防火墙是一种新的产品，它对网络各层的数据予以主动的、实时的监控，对于各层中的恶意入侵和非法操作的监控、判断更为行之有效，而且防范能力也得到了大幅度的提升，其优点它的防御能力已完全超越了前几种类型防火墙，但劣势也比较明显，成本高，管理困难。

二、在网络安全的五个体系中防火墙处于五层中的最低层，负责网络数据的安全传输与认证

由于网络的全球化和重要性，网络安全的重要性也随之深入人心。从发展的角度看，防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级，随之其防火墙的技术与职能也在迅速的拓展。

（一）向着多级过滤技术发展网络会向着多级过滤技术发展，多级过滤技术的定义是：采用多级过滤措施，在分组过滤（网络层）一级，对所有的源路由分组和假冒的IP源地址进行过滤；应遵循过滤规则，过滤掉所有（传输层）一级，违反规则的的协议和有害数据包；在应用网关（应用层）一级，能利用不同的网关，操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。

（二）动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较：传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃，动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测；过滤；加密解密或者传输，并作进一步的用户身份认证，他能够深入检查出数据包，查出内部存在的恶意行为，识别恶意数据流量，阻断恶意攻击的出现，并且具备识别黑客的非法扫描，有效阻断非法的欺骗信息。

三、网络防火墙产品发展趋势

网络信息技术的飞速发展，硬件设施的不断更新，随之带来防火墙产品的不断换代以及产品技术的迅速进展，数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向，其发展趋势主要有：

（一）模式转变。传统的防火墙主要是用来把数据流，形成分隔开来，从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范，而新的防火墙产品以网络节点为保护对象，最大限度的保护对象，提高网络安全级别，增强保护作用。

（二）技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。

（三）性能提高。随着网络的飞速发展，千兆网络也逐渐在普及，在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上，千兆防火墙的主要选择将会为网络处理器（Network Processor）和专用集成电路（ASIC）技术。可以通过优化存储器等资源，使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求，未来将会融入更多的先进技术理念并应用到实践中去，从而做到与性能相匹配。

四、结束语

在网络已成为人们普遍使用工具的当下，网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人，也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害，安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化，更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域，更会涉及到信息安全的未来。

参考文献：

[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104

[2]爱博科研究室.网络攻防零距离[M].上海:上海科学技术出版社,2003:11

包过滤防火墙管理技术要点分析 篇7

随着网络信息技术的不断发展,网络信息共享已经变得越来越重要,是人们生活和工作当中都无法缺少的。但在网络信息共享的过程中,也会出现很多安全问题,很多商业网站都会遭受到黑客侵袭,给企业造成很大的经济损失。为了解决网络安全问题、避免经济损失,相关技术人员创新了各种各样的网络安全保护技术,而应用最广泛的技术就是防火墙技术。防火墙是一种安全机制,可以实现网络系统之间的正常访问。但随着网络流量指数的不断增长,传统意义上的网络防火墙技术已经无法保证网络安全,另外,防火墙技术的安全保护效果也关系到国家相关机构的设施安全,必须对防火墙技术进行不断创新,提高各种网络保护设备的质量,保障网络信息安全。而包过滤防火墙管理技术就是一种新型防火墙管理技术,其安全防护效果是非常好的。

1 包过滤防火墙技术概括

1.1 防火墙的主要结构

在防火墙当中,主要包括四大组成部分,第一部分是屏蔽路由器,它是可以代替主机使用的,有着内外连接的功能,一切网络包都要在屏蔽路由器当中进行检查。在屏蔽路由器上,还可以进行包过滤设备的有效安装,其过滤功能是比较强大的;第二部分是双穴主机网关,主要是以堡垒主机为结构核心的,可以实现内部网络和外部网络的有效连接,可以进行程序转发,可以维护各种远程日志;第三大结构是屏蔽主机网关,主要在路由器当中进行过滤软件的设置,不受外部人员攻击;第四大结构是屏蔽子网,主要利用包过滤路由器实现内部和外部的分离。包过滤软件主要在屏蔽子网的两侧,最终形成一个DNS,禁止内外网络自动通信。

1.2 包过滤防火墙的运作过程

随着网络信息技术的不断进步,包过滤防火墙技术被创新出来,包过滤防火墙是防火墙的主要类别,另外还包括应用防护墙以及复合型防火墙等。

包过滤防火墙主要在网络层当中进行运作,它是具有网络级别性能的,它在过滤网络信息过程中,主要检测网络地址、网络端口以及网络信息协议等,通过对相关信息的检测过滤掉那些不安全的网络信息,通过那些安全网络信息。在多种包过滤防火墙当中,路由器是比较常见的。

包过滤防火墙是在对传统防火墙进行改造之后得来的,相比传统防火墙,它的保护功能是更强大的,可以实现状态检测等。在状态检测当中,包过滤防火墙的检测方式是具有动态性的,这相对于传统的静态检测来说,可以确定出应该断开的网络端口,降低安全风险,还可以实现网络端口应当临时打开的正确判断,等到信息传输完成之后,端口可以自动关闭。

1.3 包过滤防火墙的特点

相比于传统防火墙来说,包过滤防火墙的优点是比较多的,一方面,单一的包过滤防火墙的保护功能是非常强大的,可以对整个信息网络进行安全保护,在单一包过滤防火墙在进行内部信息网络和外部信息网络的有效连接下,不管网络信息数量有多少,内部网络结构有多复杂,只要正常进入到包过滤防火墙体系当中,就可以实现有效的网络信息包过滤,起到的网络信息过滤效果和安全防护效果是特别好的。另一方面,包过滤防火墙的网络信息安全保护过程和信息过滤过程都是全透明的,用户都能了解得到,和那些代理进行信息保护的防火墙不一样,不需要自定义的保护软件,也不需要用户进行主机配置,更不需要用户进行相关操作,在用户没有察觉的情况下,信息过滤工作就能有效完成,透明度是非常高的。

2 包过滤防火墙管理技术要点分析

要想提高包过滤防火墙工作安全性,必须不断创新包过滤防火墙防护技术,还要加强包过滤防火墙的技术管理,在包过滤防火墙管理技术当中,NP技术是主要的技术之一,CAM技术也是主要的技术之一。

2.1 包过滤防火墙 NP 管理技术要点

NP是一种编程处理器,可以对网络信息包进行优化,可以完成信息检验和数据计算等工作,它的I/0能力是非常大的,可以大大提高包过滤能力。

NP主要的处理核心是Power,利用这个核心技术进行数据处理,它具有存储管理的作用,可以实现相关信息的有效缓冲,其DMN作用也是比较大的;它还具有信息检验与计算功能;还可以把网络信息输入到交换网络体系当中;还可以实现内外网络接口的有效控制;可以提高信息传送的速度,进行有效的数据信息复制;可以实现有效的计数控制,及时解决控制协议当中出现的问题;还可以进行策略检查,核对控制信息的正确性,判断其是否和相关标准信息内容一致。

NP管理技术主要是并行管理技术,它有两个内核,除了具备运算能力和保存能力的内涵外,还有完成任务的内核,比如CRC和FUs。不同处理单元主要是通过相同的调度体系进行工作的,然后进行数据包的发送,最终把数据信息传送到PS当中,等到PE对信息数据进行处理,处理完成之后进行数据信息排序,排序完之后发送到外部。另外还有三级并行管理技术,不仅包括线程管理技术并行,还包括指令管理技术并行与处理器管理技术并行,可以大大提高数据处理的效率。

利用NP技术进行包过滤防火墙技术管理的方法主要是树算法,主要包括定义表、叶控制块、查询控制块和直接表,主要的树节点是LCB和PSCB,而树节点PSCB的主要结构是NBT和LCBA,主要有一对,分别表示的是不同方向的两个分支,树结点LCB主要包括关键字、NLP和叶数据。

而在服务程序管理上,NP主要采用分组分类法计算相关数据,实现包过滤防火墙技术管理,主要通过树算法的使用和分组分类服务进行技术管理。

2.2 包过滤防火墙 CAM 管理技术要点

CAM是一种网络信息存储器。要想实现包过滤防火墙的有效技术管理,必须提高包过滤信息的效率,要让用户了解技术管理的主要规则,不断进行规则更新,在了解管理规则的基础上实现技术管理和信息维护。因此,在包过滤防火墙技术管理当中,搜索技术管理是主要核心内容。

使用CAM技术,对CAM包过滤防火墙技术管理体系进行完善,降低信息搜索难度,就可以加快信息搜索速度,图1是包过滤防火墙CAM技术管理体系示意图。

通过包过滤防火墙CAM技术管理,可以在多个相似数据信息的过滤下判断出最优的信息数据,还可以扩大信息搜索的范围,提高信息匹配准确性,另外其信息扩展性也是非常好的。

3 结语

综上所述,本文主要对包过滤防火墙的主要结构和管理技术要点进行了分析,在使用CAM技术和NP技术的基础上,实现了包过滤防火墙技术管理,因此,在包过滤防火墙防护实践当中,使用CAM管理技术和NP管理技术可以大大提高规则服务能力,采用树算法可以提高技术管理的效率。相信随着我国网络信息技术的不断发展,一定可以创新出更多的包过滤防火墙管理技术,一定可以在实现CAM管理技术和NP管理技术有效结合的基础上建立起完善的包过滤防火墙网络信息安全防护体系。

摘要：随着社会经济的不断发展,网络信息技术也在不断进步,但在网络使用过程中,各种问题接连出现,且问题导致的损失是比较大的。为了解决这些网络信息安全问题,相关技术人员发明了网络防火墙,它是一种常见的网络安全设备,近年来,还增加了网络运行状态检测、虚拟局域网等重要功能,可以实现网络信息的有效传输,传输速度是非常快的,检测成本和费用也是比较低的,保护功能是比较大的,在网络当中的应用范围十分广泛。要想起到良好的保护作用,包过滤防火墙管理技术和技术管理效率高低是非常重要的,同时包过滤防火墙管理技术的要点也是比较多的,管理规则也是比较复杂的,如果包过滤防火墙管理不到位或者技术落后的话,就会出现网络安全漏洞、引发网络安全风险。

网络通信安全及防火墙技术分析 篇8

1 防火墙的定义及其工作原理

1.1 防火墙的定义

防火墙就是指通过一些网络设备来对网络中的恶意防控程序进行阻挡和控制。这些网络设备主要是计算机和路由器。整体上看来, 所有的防火墙的工作原理都是一样的, 但是不同类型的防火墙所产生的效果还是存在很大差异的。网络管理人员通过对防火墙的相关设置进行具体的设定, 对允许访问的信息给予通过的设置, 对不允许访问的信息则给予阻挡的设置, 从而达到保证网络通信安全的目的。

1.2 防火墙的工作原理

防火墙运行原理就是通过对网络信息的进入与输出进行具体核实, 对已经获得授权的内容予以放行, 对未获得授权的信息则予以拒绝放行, 从而保障网络通信的安全。

2 防火墙的几大技术类型

2.1 网络地址转换技术

网络地址转换的防火墙技术主要依靠IP地址的注册, 运行过程之中, 网络管理员需要对所有的计算机服务器进行IP地址注册。此方法下, 内部网络借助安全网卡访问外部网络时, 系统会把和外部通信的源地址映射成为一个伪装的地址和端口, 并与外网连接好, 如此一来, 真实的内部地址得到有效的隐藏;反之, 来自外部网络的地址对计算机服务器进行访问时, 通过开放的IP地址就能够实现访问。这种方法看似麻烦, 实际上对广大用户而言, 不需要多操作任何环节, 并且防火墙的效果也比较好。

2.2 包过滤类型技术

包过滤型防火墙是一种很常见的防火墙类型, 其技术主要是根据数据包的源头地址、目的以及端口号的信息而进行授权, 只有获得授权的数据包才能够通过防火墙, 没有获得授权的数据包则将被挡在防火墙之外, 因此, 此方法相对比较强硬, 偶尔也会对一些有用的信息进行阻挡。包过滤型防火墙运行的最大特点就是只需应用一个简单的路由器就能对网络通信安全起到保护的作用, 并且过滤路由器的运行效率比较高;此种技术的局限性表现在过分依赖于网络地址, 遇到虚假地址时缺乏足够的分辨本领, 同时它主要针对过滤包, 这在一定程度上限制了一些协议的过滤。

2.3 状态检测技术

状态检测防火墙技术主要是针对连接状态的检测方法而对恶意信息进行阻挡。它将对同一个连接上的数据建立起一个连接状态表, 再对各个数据进行识别与判断。状态连接表能够很好地记录以前的信息。此技术的特点是较其他防火墙相比有更高的安全性和灵活性, 因此该技术是目前应用最广泛的防火墙技术。其不足之处主要是在记录和检测环节会给网络带来一定的影响, 即网络迟滞现象。

2.4 应用代理技术

应用代理防火墙技术主要是在应用层进行工作, 同时也对此层的相关信息进行监督与控制。此种技术只要设定好程序就能够实现对网络通讯信息的完全阻挡, 具有很高的安全性能, 还能够对应用层进行安全性检测, 对入侵病毒强力控制和清除的效果十分明显。此方法的缺陷则是由于防火墙的力度很大, 应用过程中容易对系统造成较深的影响, 对所有可能出现的情况都要进行监控, 大大提高了整个网络系统的管理难度。

3 关于选择防火墙的几点建议

3.1 总拥有成本

防火墙作为保障网络安全的屏障, 它的总拥有成本不能超过受保护网络系统可能遭遇的最大损失的成本, 否则所选的防火墙将失去其存在的意义。例如某一个系统内的所有信息的综合价值为五万元, 则本部门所配备的防火墙的成本要低于五万元;当然, 若是关键部门则需要把其负面影响和连带损失都考虑进来, 这时候可以适当调高防火墙的成本投入。

3.2 防火墙的安全性

防火墙的安全性是防火墙产品最难评估的一个方面。一般用户很难判断出其安全性能, 因为即便是安装好了防火墙, 只要没有出现实际的外部入侵, 也无法得知产品的具体好坏, 因此, 用户在选择防火墙产品时, 选择占居市场份额大的且通过权威机构认证和测试的产品相对要保险一些。

3.3 管理与培训

计算防火墙成本时不能单纯的只计算购置设备的开销, 必须考虑它的总拥有成本。关于人员的培训以及日常维护开销都会占到很大的比例, 任何一个好的产品供应商都需要为用户提供良好的培训和售后服务。因此, 管理和培训用户能够很好地评价出一个防火墙的好与坏。

3.4 可扩充性

一般来说, 网络系统在初建时期, 由于其内部信息系统比较小, 遭受攻击能带来的损失也很小, 所以都不会配备高昂的防火墙设备。然而, 随着网络的扩容以及网络应用的增加, 网络风险逐渐变大, 此时出于网络通信安全的考虑, 需要配备高安全性的防火墙产品, 若早期的防火墙缺乏足够的可扩充性, 这无疑就是不合理、不科学的投资。一个好的产品应该给用户留有充足的弹性空间, 这样用户才能在后期根据实际情况的需要而选择不同档次的附件设备, 可扩充性的好坏是合理选择防火墙的一个重要参考依据。

4 结语

网络通信是目前通信方式的主旋律, 它在给我们带来无穷便利的同时也带来了一系列的安全隐患。确保网络通信安全需要我们大家不断地开拓进取, 只要我们真正地把网络安全问题重视起来, 各种防火墙技术以及其他的网络保护措施会越来越成熟, 未来网络防火墙将朝着高速、多功能化、模块化的方向发展。网络通信技术在不断地发展, 那么相应的防火墙技术也将随之而不断发展与进步。

参考文献

[1]孙思良.防火墙技术及其在网络安全中的应用[J].电脑知识与技术, 2005 (12)

[2]叶光.网络通信安全及防火墙技术浅析[J].数字技术与应用, 2011

[3]阮志扬.计算机网络通讯存在的问题及如何改进探讨[J].计算机光盘软件与应用, 2012

网络安全与防火墙技术分析与探讨 篇9

1 网络安全现状

随着社会信息化进程的深入发展, 网络安全问题日益突出, 网络犯罪给网络安全带来很大安全隐患, 并且随网络发展, 网络犯罪造成的损失也在增长。网络威胁的特征主要体现在间谍软件、电脑病毒、系统漏洞等方面方。从家庭到企业和政府部门等通过因特网互连和信息的交互共享。与此同时针对网络的攻击破坏也构成了对网络安全的严重挑战, 2006年中国全球31%的含有恶意代码类网站在中国产生, 仅次于美国。感染病毒和木马程序是最主要的网络威胁事件, 占发生安全事件总数的85%。网络攻击中, 其中遭到端口扫描或网络攻击的占37%。据统计在2008年被反病毒监测网截获的新病毒其中90%以上带有明显的利益特征。中国新浪网等一些大型网站都曾经遭受过大规模的DDOS黑客攻击, 造成了巨大经济损失。除了网络攻击外, 现在黑客还频繁在网站植入木马。这也说明了网络安全的极端重要性, 失去网络安全保护就意味信息受破环和丢失, 只有保证网络安全才能更好的发展网络。当前如何更好的保护网络安全也已经到了刻不容缓的地步。

2 防火墙技术的发展与作用

随着网络技术的发展, 恶意的攻击者对网络进行大量的攻击, 为了抵御攻击, 防火墙、网络病毒检测等技术应运而生, 而处于内外网络交界处的防火墙技术更为重要, 通过防火墙使得内部网络与因特网之间相互隔离, 并通过限制网络互访来保护内部网络, 使用防火墙技术可以管理子网与外网的互访, 通过对防火墙有效规则配置有效阻外界的攻击。防火墙技术从产生到现在走了近二十年, 大概经历了简单包过滤防火墙、链路层防火墙、应用层防火墙、动态包过滤防火墙、自适应代理防火墙这五个阶段, 目前还提出了第六代防火墙技术-智能防火墙技术。智能防火墙从技术上是利用统计、记忆的智能方法来对数据进行识别, 并达到访问控制目的, 采用人工智能识别技术来决定访问控制把自身的安全性很大程度的提高, 在特权最小化、系统最小化、内核安全等方面都有质的飞跃, 代表着防火墙的主流发展方向。

防火墙在网络安全中的作用主要是防止未经过授权的通信。从各种端口中辨别判断从外部不安全网络发送到内部安全网络的数据。其主要作用是限制非法进入内部网络, 过滤掉不安全服务, 防止入侵者接近防御设施, 限定用户访问特殊站点和为监控因特网安全提供方便。

防火墙根据使用对象分企业级防火墙和个人防火墙, 按防火墙技术分为包过滤型防火墙和应用代理型防火墙。就防火墙的关键技术来说包括包过滤技术、代理技术、地址翻技术等。首先信息包传送技术就是在信息包交换网络上, 信息被分割成信息包, 包过滤防火墙会读取接收信息, 信息包从不同的线路抵达目的地, 当所有包抵达后会重新组装。其次是包过滤技术, 包过滤技术是防火墙中的一项主要技术, 它通过防火墙对进出网络数据流进行控制。包过滤防火墙会根据数据包地址、协议、访问时间等信息来进行访问控制。其一般有一个包检查模块, 数据包过滤可以根据数据包头中的信息与网络互访。采用包过滤技术一般所用时间很少, 对终端用户不需要专门培训。但是也有着过滤规则集复杂, 很难管理等缺点。

还有代理技术地址翻译技术和加密技术, 网络地址翻译可以对外隐藏内部的网络结构, 使得外部攻击者无法确定内部网络连接状态。并且内部计算机向外使用的地址都不同, 给外部攻击造成了困难。加密技术更加保证了传输信息的私有性, 它包括加密算法选择、信息确认算法选择、密钥管理等几个部分。

3 防火墙技术的发展趋势

防火墙有着能强化安全策略、能有效地记录因特网上的活动、实现网段控制等优点, 但同时也有着不能防范恶意的知情者、不能防范不通过它的连接、不能防备全部的威胁、不能有效防范病毒并限制某些有用的网络服务和无法防范数据驱动式攻击等缺点, 随着因特网的迅猛发展, 防火墙未来发展方向必将朝着远程管理、过滤深度不断加强等方面加强, 安全协议的开发也会是一大热点, 对非法攻击能够进行回复式警告, 安全管理工具不断完善, 特别是日志分析工具将成为防火墙技术的一个不可或缺的组成部分。防火墙将从目前被动防护状态转变为智能动态的信息安全技术, 并具有更好的开放性、可移植性。在防火墙的标准上更加侧重管理性和应用性。

防火墙技术的发展要更加注重以下几个问题的解决, 一个是以拒绝访问为主要目的的网络攻击, 还有以蠕虫为代表的病毒传播以及以垃圾电子邮件为代表的内容控制。我们要把智能概念引入防火墙, 使防火墙具备一定的智能分析能力, 做出及时应对, 对网络的流量进行智能分析, 做出相应的及时应对, 这样就大大减少了人工修改规则和过滤表的时间和效率, 以此来减少防火墙对网络变化的响应时间, 从而也减少了人工修改带来的很多潜在错误。随着攻击的日益复杂和隐藏手段的逐渐提高, 智能防火墙可以根据攻击方式的特征预以拦截, 所以在确保内网安全策略的前提下尽可能提高防火墙的智能是一个很重要的发展趋势。

4 结语

九十年代以来计算机网络技术得到飞速发展, 尤其进入二十一世纪网络化与全球化成为不可抗拒的世界潮流。网络技术己经渗透到人类社会生活的方方面面。随着网络信息技术广泛应用, 网络安全问题亦日渐呈现出来。网络安全是网络安全应用中一个综合性问题, 其中最重要的防护手段就是防火墙技术, 本文对网络安全的现状做了初步的分析和探讨, 并就防火墙技术做了阐述, 最后对防火墙技术的发展趋势做了分析, 随着计算机网络的更加迅猛的发展, 相信防火墙技术作为一种有效的安全防护措施会被更加广泛的应用到网络安全防护中去。

参考文献

[1]王睿, 林海波等.网络安全与防火墙技术, 北京:清华大学出版社, 2000.

分布式防火墙技术的分析与研究 篇10

1.1 分布式防火墙产生的背景

传统边界防火墙用于限制被保护企业内部网络与外部网络 (通常是互联网) 之间相互进行信息存取、传递操作, 它所处的位置在内部网络与外部网络之间。实际上, 所有以前出现的各种不同类型的防火墙, 都是把内部网络一端的用户看成是可信任的, 而外部网络一端的用户则都被作为潜在的攻击者来对待, 这只能够阻止外部入侵, 无法屏蔽内部网络的攻击。

1.2 分布式防火墙的定义

分布式防火墙是一种全新的防火墙体系结构, 包括网络防火墙、主机防火墙和中心管理三部分。网络防火墙部署于内部网与外部网之间以及内网各子网之间。网络防火墙区别于边界防火墙的主要特征在于, 网络防火墙需要支持内部网可能有的IP和非IP协议, 然而边界防火墙并不需要。主机防火墙对网络中的服务器和桌面系统进行防护, 主机的物理位置可能在企业网之中, 也可在企业网之外 (如移动办公的便携机) 。

2 分布式防火墙体系结构分析

2.1 中心管理

有3种系统模型可以来解决策略的定义和实施问题:

(1) 全集中式的机制, 实施点向服务器提供用户所请求的详细信息, 并等待服务器回答。每个请求的策略评估是在中心储存库中进行的。由于所有的信息都存储在中心存储库中, 在这种机制下, 几乎所有的处理都集中在中心策略仓库。

(2) 安全策略集中定义分散实施, 在实施点运行时, 采用某一种策略分发机制将策略传递到实施点, 最终再由实施点根据相关策略对用户请求进行评估, 并在实施点处进行实施控制。

(3) 完全分散式策略的定义和实施, 管理员可以按照应用、主机等各种划分方式来分别管理各自的管理领域。允许不同的管理者采用不同的策略定义语言和策略。

2.2 分布式防火墙技术的特点

分布式防火墙技术的主要特征是驻留在被保护的主机上, 该主机以外的网络不管是处在网络内部的还是网络外部, 都认为是不可信任的, 所以可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。另外, 主机防火墙的安全监测核心引擎要以嵌入式操作系统内核的形态来运行, 直接地接管网卡, 在把所有数据包进行检查之后再提交操作系统。分布式防火墙与个人防火墙都是用来保护单一主机系统, 但分布式防火墙的安全策略是由整个系统的管理员统一安排和设置的, 除了对PC机起到保护作用外, 也可以对该PC机的对外访问加以控制, 并且这种安全机制是赔偿机的使用者不可见和不可改动的。

2.3 分布式防火墙的安全策略

分布式防火墙启动时, 安全策略文件经过解密之后加载到防火墙中。复杂的安全策略以Hash表的方法来进行检索。使用Hash列表对安全策略文件进行检索时能大大加快读取的速度, 安全策略可以动态地更新, 更新总是在用户态进行, 同时磁盘文件也被不断地更新。用户可以在防火墙运行过程中更改安全级别, 而不影响防火墙正常运行。更新完成之后, 系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信, 保证安全策略传输时的安全性。

2.4 分布式防火墙的安全设计

分布式防火墙从根本上去除了单一的接入点, 更为重要的是, 分布式防火墙技术消除了网络的结构性瓶颈问题, 提高了系统性能。在分布式防火墙中, 安全策略仍然被集中定义, 但是在每一个单独的网络端点 (例如主机、路由器) 上实施。实施策略的组件对进出主机的通信都进行了控制, 不但可以保护主机应对外来的威胁, 而且可以防止非法用户使用该主机访问网络, 从而实现了双向过滤的功能。

3 分布式防火墙的实现

3.1 分布式防火墙的系统结构

(1) 内核扩展 (Kernel Extension) 。

用户使用connect () 和accept () 这两个系统调用来创建向外的连接和决定到来的连接请求。我们要根据策略对这两个系统调用来加以修改, 对某些连接进行过滤。策略上下文 (Policy Context) 是包含与某些连接相关的所有信息的容器, 这些信息包括发起连接的用户ID, 源IP地址、端口号以及目的IP地址等等。

(2) 策略驱动 (Policy Driver) 。

这是实现了一个伪设备驱动/dev/policy作为内核中被修改的系统调用与用户空间的守候进程直接通信的一个渠道。我们把这个驱动视为一个文件, 它支持一般的文件操作, 如open () , close () , read () , write () , ioctl () 等。

(3) 策略守候进程 (Policy Daemon) 。

这是一个用户级的进程, 负责根据安全策略和安全凭证来作出决策--允许还是拒绝连接。

3.2 分布式防火墙的部署

针对企业网络安全的现状, 一是进一步明确规划网络结构, 采用VLAN尽可能对网络进行划分网段;二是撤销原来旧的防火墙, 全面部署全新的分布式防火墙, 结合入侵检测, 防病毒, 漏洞扫描, 主页防窜改和安全审计等安全的基础设施。网络防火墙负责企业网的边界防御, 保证对外部数据访问的安全性, 主要采用包过滤技术进行防御。

中心策略负责企业网各部门和部门以外的安全策略, 负责本部门用户证书的分发以及管理。在分布式防火墙中, 不同主机可以根据具体工作中的安全性不同要求布置在网络中的不同位置上, 但其安全策略是统一策划和管理的, 安全策略的分发和日志的汇总是中心管理应具备的基本功能。

主机防火墙负责本机网络安全策略实施。安全策略驻留在受保护的主机上, 不管是处在内部网的主机还是处于外部网的主机, 只有具备分发认证证书的, 对它来说, 都是可以信任的。不同的用户根据不同需求来进行分组, 由中心管理针对主机上运行的具体的应用和对外提供的服务来设定主机的安全策略, 交给主机防火墙来实施。同时, 它负责本机日期的生成和定期的上报, 协助完成日志收集整理工作, 利用了个人计算机快速发展的性能, 几乎承担了大部分原来全部由边界服务器完成的工作, 很好地提高了效率, 消除了网络瓶颈问题, 提高了网络中的主机利用率。

4 分布式防火墙技术的优势

分布式防火墙代表了新一代防火墙技术的潮流, 可以在网络中的任何交界和节点处设置屏障, 从而形成了一个多层次、多协议, 内外皆防的全方位的安全体系。主要优势有:

(1) 增强了系统的安全性。

增加了针对主机的入侵检测和防护功能, 增强了对来自内部攻击的防范, 可以实施全方位的安全策略。

(2) 提高了系统性能, 消除了结构性瓶颈问题。

从根本上去除了单一接入点, 从而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个单一服务器及终端计算机的不同需求, 对防火墙来进行最佳的配置, 配置时能够充分考虑到在这些主机上运行的应用, 这样便可在保障网络安全的前提下大大提高网络运转效率。

(3) 系统的扩展性。

随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业网络或服务器中, 所以分布式防火墙有无限制的扩展能力。

(4) 实施主机策略。

由主机来实施策略控制, 而主机对自己的意图是有足够了解的, 所以分布式防火墙依赖主机作出合适的决定, 就能很方便地解决这个问题。

(5) 应用更为广泛, 支持VPN通信。

能够保护物理拓扑上不属于内部网络, 但是位于逻辑上的“内部”网络的主机, 这种需求随着VPN的发展越来越多。

5 结束语

纵观防火墙技术的发展历史, 分布式防火墙技术是发展过程中的一座里程碑。不仅仅弥补了传统边界式防火墙的不足, 而且把防火墙的安全防护系统延伸到网络中的各台主机, 一方面有效地保证了用户的投入不会增加, 另一方面给网络带来了全面的安全防护。分布式防火墙分布在整个企业网络或服务器中, 具有无限制的扩展能力, 随着网络的增长, 它们的处理负荷也会在网络中进一步分布, 从而持续地保持高性能。然而当前黑客入侵系统技术的也在不断进步, 网络病毒朝智能化和多样化方向发展, 对分布式防火墙技术提出了更高要求。分布式防火墙技术只有不断向主动型和智能型等方向发展, 才能满足人们对防火墙技术日益增长的需求。

参考文献

[1]王睿, 林海波.网络安全与防火墙技术[M].北京:清华大学出版社, 2000.

[2]STEVESUEHRING ROBERTLZLERGLER.Linux防火墙[M].何泾沙, 译.北京:机械工业出版社, 2006.

[3]王群.计算机网络安全[M].北京:清华大学出版社, 2008.

[4]石志国, 薛为民, 尹号.计算机网络安全教程[M].北京:清华大学出版社, 北京交通大学出版社, 2007.

[5]高晗主.网络互联技术[M].北京:中国水利水电出版社, 2006.

[6]李洋.RedHatLinux9实务自学手册[M].北京:电子工业出版社, 2009.

[7]普端萨姆.Internet安全与防火墙[M].北京:清华大学出版社, 2004.