防火墙技术研究

关键词： 因特网 防火墙 技术 应用

防火墙技术研究（共6篇）

篇1：防火墙技术研究

防火墙技术研究报告

防火墙技术

摘要：随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。比如，计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目录

一、概述.....................................................................................................................................4

二、防火墙的基本概念.............................................................................................................4

三、防火墙的技术分类.............................................................................................................4

四、防火墙的基本功能.............................................................................................................5

（一）包过滤路由器.........................................................................................................5

（二）应用层网关.............................................................................................................6

（三）链路层网关.............................................................................................................6

五、防火墙的安全构建.............................................................................................................6

（一）基本准则..............................................................................错误！未定义书签。

（二）安全策略.................................................................................................................6

（三）构建费用..............................................................................错误！未定义书签。

（四）高保障防火墙......................................................................错误！未定义书签。

六、防火墙的发展特点.............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10

防火墙技术研究报告

一、概述

随着计算机网络的广泛应用，全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分，随着互联网规模的迅速扩大，网络丰富的信息资源给用户带来了极大方便的同时，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性，所以我们要用防火墙，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。

二、防火墙的基本概念

防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。

一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。

三、防火墙的技术分类

现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。

包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。

复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新 的防火墙，由堡垒主机提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。

四、防火墙的基本功能

典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。

（一）包过滤路由器

包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。

与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP／UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP／UDP目标端口的包丢弃即可。

独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

（二）应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问

相应的代理服务实现的，而不允许用户直接登录到应用层网关。

应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

（三）链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

五、防火墙的安全构建

在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则；整个企业网的安全策略；以及防火墙的财务费用预算等。

（一）基本准则

可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。

（二）安全策略

在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

（三）构建费用

简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。

至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。

六、防火墙的发展特点

（一）高速

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。

应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢？说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。

这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字

符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

（二）多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

（三）安全

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

七、防火墙的发展趋势

近年来，计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分，成为我们社会结构的一个基本组成部分。从Internet的诞生之日起，就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展，计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪，公司的机密信息不断被窃取，政府机构和组织不断遭受着安全问题的威胁等等。

尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取其他相应的安全策略。

计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中，永远没有终点。黑客的攻击手段不断翻新，决定了信息安全技术也必须进 行革新，防火墙是防范黑客攻击的常用手段，但这样的技术必须与当今最前沿的其他安全技术结合在一起，才能更有效地防范各种新的攻击手段。

参考文献

[1] 谢希仁.计算机网络（第5版）[M].北京：电子工业出版社

[2] 吴秀梅，傅嘉伟编著.防火墙技术及应用教程.北京：清华大学出版社 [3] 张红旗，王鲁 等编著.信息安全技术.高等教育出版社

[4] 张华贵，王海燕.计算机网络在安全分析与对策

[5] 黄思育.浅议防火墙.达县师范高等专科学校学报（自然科学版）

篇2：防火墙技术研究

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。如图1.

3.2 被屏蔽主机体系结构

双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图2.在这种体系结构中，主要的安全由数据包过滤提供(例如，数据包过滤用于防止人们绕过代理服务器直接相连)。

图1 双重宿主主机体系结构

这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。

图2 被屏蔽主机体系结构

数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界。

在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：

・允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由

数据包过滤的服务)

・不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)

图2 被屏蔽主机体系结构

3.3被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。

被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”.为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。如图3.

图3 被屏蔽子网体系结构

4结束语

随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

参考文献

1、Karanjit S,Chirs H.Internet Firewall and Network Security,New Riders publishing,

2、Steven M B, William R C. Network firewalls. IEEE Communications, 1994(9)

3、林晓东，杨义先。 网络防火墙技术。 电信科学， (13)

4、黄允聪，严望佳。 防火墙的选型、配置、安装和维护。 清华大学出版社，

作者简介：黄智祥，男，合肥工业大学硕士研究生，主要研究方向：计算机网络与分布式数据库

叶震，男，合肥工业大学微机所副研究员，主要研究方向：计算机网络与多媒体技术

篇3：防火墙技术发展研究

关键词：包过滤,代理服务,状态检测防火墙,分布式防火墙,嵌入式防火墙

1 引言

由于计算机网络具有开放性、联结形式多样性、共享性等特征,因此,安全问题是网络诞生之日起就面临的一个挑战。防火墙作为目前最成熟、最早产品化的网络安全机制,在保护计算机网络安全中起着至关重要的作用。

防火墙是指设置在可信任网络和不可信任网络之间的一道执行访问控制策略的安全防御系统,它通过监测和控制跨越防火墙的数据来实现对可信任网络的安全保护,简单的概括就是,对网络进行访问控制。

2 防火墙的传统技术

防火墙有包过滤路由器(Packet Filtering Rout)、应用层网关(Application Gateway)两类基本模型,它们涉及的关键技术主要是包过滤[1](Packet Filtering)、代理服务(Proxy Service)[2]。

2.1 包过滤

包过滤是防火墙的初级产品,是一种完全基于网络层的安全技术。工作原理是用户在网络中传输的信息被分割成具有一定大小和长度的“数据包”,每一个数据包的包头中都会包含该数据包的源IP地址、目标IP地址、传输协议、TCP/UDP协议的源端口号、目的端口号、ICMP消息类型等信息,这些包采用存储转发技术逐一发送到目标主机,包过滤防火墙根据定义好的过滤规则检查每个通过它的数据包,以确定其是否与过滤规则相匹配,从而决定是否允许该数据包通过。过滤规则是一个在系统内部设置的访问控制表(Access Control Table),它是根据数据包的包头信息来制定的。

包过滤具有简单实用、实现成本低、运行速快、应用透明而且具有较强的通用性等优点。同时,包过滤技术也存在明显的不足。

1)智能性不强,实时性的有用服务也有可能被拒绝。

2)由于访问控制表中的过滤规则数目不可能无限增加,各种安全要求不可能充分满足,而且随着过滤规则数目的增加,设备及网络性能均会受到很大地影响,从而产生流量瓶颈等问题。

3)是一种基于网络层的安全技术,无法实现用户认证,对基于应用层的威胁无防范能力,如恶意的Java小程序以及电子邮件中附带的病毒等。

4)不能跟踪记录,无法从日志中查找攻击信息。

2.2 代理服务

代理服务是针对数据包过滤的缺点而引入的防火墙技术,它实质上是设置在Internet防火墙网关上有特殊功能的应用层代码,能够对数据流进行监控、过滤、日志(keg)和审计(audit)等,而且能隐藏内部IP地址,能够实现较严格的安全策略,大大提高了网络的安全性。

代理服务器位于客户机与服务器之间,是一个“中继站”,客户机与服务器的通信,通过代理服务器来实现。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器获取取数据,然后再由代理服务器将数据传输给客户机。每个代理只对已经确定的应用协议提供服务,并且可以采取一些安全策略。这样一来就避免了客户机与服务器的直接连接,使得攻击者更加难以发现网络的真实端口。一般情况下几个代理服务相互无关,即使某个代理服务工作发生问题,只需将它卸载即可,不会影响其它的代理服务模块。

代理防火墙的优点是安全性较高,通过对应用层进行监控,对付基于应用层的侵入和病毒十分有效。其缺点是对网络层的保护较弱,对用户不透明,对系统的性能有较大的影响,而且代理服务器对所有应用实时进行设置,增加了系统管理的复杂度。一旦防火墙发生了问题,被保护的网络与外部网络就无法连接。

3 新一代防火墙

当前网络安全的三大问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制,这三大安全问题覆盖了网络安全方面的绝大部分问题。传统防火墙基于物理上的拓扑结构,已不能满足网络的发展需要,于是随后出现了以状态检测防火墙(Stateful Inspection Firewall)、分布式防火墙(Distributed Firewall,DFW)、嵌入式防火墙(Embedded Firewall,EFW)为代表的新一代防火墙技术。

3.1 状态检测防火墙

状态检测防火墙采用的是一种基于连接的技术,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,来决定数据流的通过还是拒绝。

当数据包到达防火墙时,状态检测引擎会检测到这是一个发起连接的初始数据包(由SYN标志),防火墙先将这个数据包和规则表里的规则依次进行比较,如果匹配,那么就意味着通过了这个数据连接请求,那么本次会话被记录到状态监测表里。这时需要设置一个时间溢出值,一般将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包,当接收到此数据包的时候,防火墙将连接的时间溢出值设定为3600秒。如果在检查了所有的规则后,拒绝此次连接,那么该包被丢弃。状态监测表随后检测被放行的数据包,如果匹配,该数据包被放行,反之则被丢弃。其工作流程如图1所示。

当状态监测模块监测到一个FIN(连接终止)或一个RST(连接复位)包的时候,则时间溢出值从3600秒减至50秒。在这个周期内如果没有数据包交换,这个状态检测表项将会被删除,连接被关闭;如果有数据包交换,这个周期会被重新设置到50秒。如果继续通讯,这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击,例如,一些人有意地发送一些FIN或RST包来试图阻断这些连接。

状态检测防火墙与传统防火墙相比的优点。

1)安全性高。状态检测防火墙在数据链路层和网络层之间截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样确保了防火墙能够截取和检查所有通过网络的原始数据包。

2)效率高。通过防火墙的所有数据包都在协议栈的低层处理,这样减少了高层协议头的开销;另外一旦某个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。

3)应用广泛。不仅支持基于TCP的应用,而且支持的基于无连接协议的应用(如RPC)和基于的UDP的应用(如WAIS和Archie)等。

3.2 分布式防火墙

Steven M.Bellovin[3]首次提出了分布式防火墙的概念“DFW是这样的一个方案:策略集中订制,在各台主机上执行”。分布式防火墙是一个系统,基本构件如下。

1)网络防火墙(Network Firewall)

网络防火墙只处理与整个内部网络相关的安全问题,规则较少,因而可以高效运行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它增加了对内部子网之间的安全进行防护的功能,这样整个网络的安全防护体系就更加可靠和全面。

2)主机防火墙(Host Firewall)

主机防火墙主要包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。它主要是驻留在终端主机中,在应用层对网络中的服务器和用户PC机进行防护,负责策略的实施。它保证网络内部的安全访问,克服了传统防火墙的在此方面的不足。

3)中心管理(Central Managerment)

中心管理是分布式防火墙系统的核心和重要特征之一,负责总体安全策略的策划、管理、分发及日志的汇总。主机防火墙可以根据安全性的不同要求添加布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的。这样防火墙的管理就具有了灵活性。分布式防火墙构件的相互协调作用从根本上解决了传统防火墙的功能单一、不可靠、性能差等的缺点,并能够根据网络需要对整个防火墙进行最佳配置,使得整个网络的运行更加安全,更加有效。

但目前,分布式防火墙还存在着不能对用户完全透明和即插即用等技术瓶颈[4]。

3.3 嵌入式防火墙

由于操作系统自身不完善等原因,目前许多基于软件实现的“防火墙”都是不安全的,存在着被攻击者绕过的可能性。为此,Charles和Tom[5]提出了嵌入式分布式防火墙的方案,简称嵌入式防火墙。嵌入式防火墙网络拓扑结构见图2。

嵌入式防火墙是将防火墙固化在网卡上,所有进出网卡的数据包都受到防火墙安全策略的控制,安全策略的制定和分发是由策略服务器完成。这种基于硬件来实现的防火墙具有不依赖主机操作系统、不能被绕过和管理灵活的特点,是一种更加完善的安全架构,能够有效检测以SYN Flooding为代表的DDOS攻击[6]。

每一个EFW就是一块带有防火墙功能的网络连接卡(Network Interface Card,NIC),NIC在硬件一级实现对网络包的实时过滤,网卡上有自己的处理器和存储区,独立于主机操作系统工作。所有的EFW NIC构成分布式防火墙系统的策略执行组件,策略服务器负责管理这些EFW NIC。内部网络上的每一台PC、工作站或是服务器,包括策略服务器自身,均受到分布式防火墙的保护。然而,使用分布式防火墙并不意味着完全放弃传统边界防护墙。边界防火墙可以作为内部网络对外的第一道屏障,可以有效地将大量的外部攻击抵御于内部网络之外,可以减少内部网络的数据流量和EFW NIC的工作,因此在实际应用中,采用两者结合的方法,可以获得更高的安全性能。

4 结束语

新一代网络技术不断涌现,如IPv6网络、P2P应用、3G网络等等,给防火墙带来新的挑战。而目前的防火墙技术在性能上还存在着诸多问题,未来防火墙必然朝着智能化、多功能化、高速更安全的方向发展。

参考文献

[1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie.防火墙技术大全[M].李昂,译.北京:机械工业出版社,2003.

[2]郝文江.基于防火墙技术的网络安全防护[J].通信技术,2007,40(7):24-26.

[3]Steven M.Bellovin.Distributed Firewalls[OL].http://www.cs.columbia.edu/~smb/papers/distfw.html,1999.

[4]史力力,薛质,王轶骏.分布式防火墙与入侵检测联合系统的设计[J].信息安全与通信保密,2008,2:65-67.

[5]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C].New Orleans,Louisiana:17th Annual Com-puter Security Applications Conf,2001.

篇4：计算机网络安全与防火墙技术研究

关键词：计算机；网络安全；防火墙技术；研究

引言：随着计算机的性能不断强大，其应用范围也越来越广泛，可以说，现如今我们每个人的日常生活都离不开计算机和电子设备，计算机及网络技术为我们的生活带来了便捷，我们的工作方式、学习方式都越来越依赖于电子设备以及计算机网络。信息技术的飞速发展，伴随着较多的网络安全问题，且其弊端日益显露，为了更好的发扬计算机网络技术为我们的生活带来的便利之处而防止其对我们带来不良影响，就应当进一步对计算机网络及防火墙技术进行研究，否则会对计算机及网络化的发展造成阻碍。

一、计算机网络安全

网络安全的本质即网络中的信息安全，保证网络安全即保证网络系统中所储存或是使用的数据不受到外界的恶意破坏或是遭到泄漏、恶意更改等等，系统能够连续的正常工作且其网络服务不会无故中断等。

（一）网络安全的影响因素。影响网络安全的因素是多种多样多方面的，主要可以分为信息泄露、信息被恶意更改、非法信息传输、软件漏洞等等。在实际的计算机系统中，网络安全受到影响，一般来说信息被泄漏主要是由于网络中的信息遭到窃听或是监视等，这种窃听并不会破坏网络信息传输的中断，但严重侵犯了网络中用户的权益。信息或数据遭到恶意更改，有可能导致信息的失效，并使信息错误，会对用户造成误导，较大程度的破坏了网络安全。在计算机网络中，还有可能存在软件漏洞所带来的信息安全，软件漏洞能带来很多方面的危害，包括操作系统、应用软件以及数据库和用户名密码等，若软件所存在的这些漏洞不幸遭到病毒木马的攻击，会造成无法挽回的损失。最后，还有可能出现人为的安全因素，不仅是由于技术层面的原因，同时也会由于人为的因素造成不良后果，计算机系统功能再强大也是由人为控制的，所以管理人员应当对网络安全承担起主要责任，操作得当、保密工作做好、保护好设备等等就成了要求。

（二）保护网络安全的有效措施。网络系统所遭到的攻击不只是单一时段单一类别的，因此网络系统安全保护措施应当在发展中不断的得到改进和完善，不能仅使用较为简单的安全策略来对网络系统进行安全保护，应当采取多种保护措施同时使用、配套使用的策略。

网络安全保护措施主要可以分为两个层面来实施，分别是数据加密和控制网络存取。数据加密作为一种较为有效的数据安全保护措施，能够有效的防止网络中的数据被恶意篡改、破坏或是遭到泄漏。一般来说，要实现数据加密，通常可以采取链路加密、节点加密以及端端加密和混合加密公用的方式进行。要实现网络存取的有效控制，首先应当严格的网络中的用户进行身份识别，这样才能从源头有效的控制非法用户的入侵，保护数据不致被泄漏或是破坏。目前所采用的存取有效控制方法也是多种多样的，通常较常采用的几个能够有效对网络中的数据存取进行控制的技术分别是：身份识别、数字签名以及控制用户的存取权限等等。

二、防火墙技术研究

防火墙是能够将内部网络和公众网络之间进行区分的一种隔离技术。近年来，防火墙作为对网络安全进行保护的最主要手段之一，取得了较大的进展，各种防火墙技术不断发展，得到了较为广泛的应用，给人们的日常生活和业务办公带来了极大的便利条件，深受广大人民群众的喜爱。

要研究防火墙技术的实用性，则应当对其各方面的性能进行研究和考核，首先，防火墙的配备应当保证其成本与所需要保护的信息以及应用的总价值来计算其总成本。防火墙本身应当具有安全保证，不能让入侵者具有机会侵入计算机网络系统，首先是防火墙自身的设计应当合理科学，另外针对防火墙也应当使用得当。由于一般来说防火墙的各项配置依然是由人工进行控制的，因此系统管理者应当尽量的熟悉防火墙的性能，并在操作过程中，严格按照规定来进行操作，保证其配置得当。因此，应当对管理人员进行定期优质的监督及培训。总之，应当将防火墙的技术结合其他网络安全的技术相互结合，才能够达到最优的网络安全防护状态。

结语：综上所述，计算机网络安全及防火墙技术的研究应当得到更多的重视和关注，只有有效的保障计算机网络安全，保障信息传送的安全，保证数据存取的安全，才能不断的推动计算机网络安全应用到我们生活的方方面面。而保证网络安全的一个有效措施即使用防火墙技术，因此，只有对防火墙技术进一步的研究，使信息传送和数据存取在网络中的用户使用的过程中都能得到安全保障，才能提高计算机网络的应用度，保证信息网络的高速发展及我国信息化发展。

参考文献：

[1] 赵佳. 略谈计算机网络安全与防火墙技术[J]. 科技信息（科学教研），2008，23：55+33.

篇5：防火墙技术在网络安全的应用研究

摘要：随着互联网信息技术的高速发展，网络技术已经被广泛运用到各个领域。但是，目前随着个人网络技术水平的提高，有许多非法的组织或者个人，通过破解密码偷窃学校、企业，甚至是国家的隐私性机密文件或者是资金，严重威胁到这些单位的财产和隐私安全。因此，网络在给社会带来巨大便捷性的同时，也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术，以达到保护网络安全的目的。

关键词：网络安全问题；防火墙技术；应用

引言：网络技术凭借着自身快捷性和准确性等优势，已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段，人们对网络的依赖性较强，但企业、个人频繁出现信息资源被盗，机密性文件被窃取，网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件，这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中，甚至还出现在国家安全部门或者机关部门中。所以，如何在信息化高速发展的今天，实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验，提出创新性的方案和手段，来克服网络安全问题给社会带来的风险。

一、运用防火墙技术强化网络安全策略

相关单位在运用防火墙技术时，要重视配置以防火墙为中心的安全策略方案，将口令、身份认证、审查、加密等安全信息全部配置到防火墙上，这样相比将网络安全问题分散与各个主机或者是其它部位来讲，都集中在防火墙上更便于管理，安全性强，投入成本少，经济效益高。笔者根据自己长期的研究，总结了一套运用防火墙强化网络安全策略的相关配置方案，其基本步骤如下:第一，在控制面板上实现对防火墙基础信息的设置，这是实现防火墙强化网络安全策略的首要前提和根本保证；第二，实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置，动态地址转化和静态地址转换的功能作用各不相同，动态地址转换主要用于内部网络的对外访问用户的出口，而静态地址转换则用来帮

助实现停火区的服务区地址的映射的效果，两者要紧密相连，缺一不可，否则防火墙也达不到其应有的功效；第三，为了最大程度的实现防火墙的防护功能，需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中，实现各个安全策略之间良性的运作效果。

二、发挥防火墙网络安全屏障的作用

防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过，从而保护内部网络免受非法用户的侵入，从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用，提高内部网络的安全性，通过过滤外来网络的不安全服务，降低网络安全风险的系数，防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时，也极大的保护了网路免遭受基于路由的攻击和破坏，防火墙在受到不明信息的攻击和骚扰时，能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析，说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用，企业等相关部门要采取一定的措施：第一，增强职员防火墙在网络安全中应用的意识；第二，建立其防火墙配置和管理部门，包括对防火墙管理人员的培训和管理；第三，加大对防火墙技术的资金投入，不断升级防火墙技术等。通过以上策略，完善防火墙技术在网络安全中的硬软件基础设施，在防火墙技术的屏障保护下，实现网络系统的健康稳定安全和可持续运行。

三、运用防火墙技术监控网络存取和访问

防火墙能有效地记录Internet上的任何活动，当其它网络用户等访问经过防火墙时，防火墙就会发挥自身技术监控审计的功能，不仅能详细记录这些访问的时间和来源，而且还可以自动生成日志，可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时，防火墙能根据风险程度自动报警，并能提供网络是否受到外部网络的攻击和监测的详细信息，为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外，时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值，分析网络安全风险存在的系数，从而加紧防范，遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能，首先就要确保防火墙技

术的正常运行，保证24小时不分时间和部门进行监测和存取记录，做到防患于未然。

四、发挥防火墙对信息数据库安全维护的补充作用

信息数据库是各个企业必备的存储区域，信息，数据库的建立，不仅为了实现资源的有效整理，还兼顾保证信息，数据的安全。防止内部信息的外泄是防火墙的主要优点之一，我们之所以在某种程度上将防火墙视为一种隔离技术，是因为防火墙技术是一种将内部网和公众访问网（如Internet）分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离，限制和拒绝了一些非法信息的侵入，确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发，使防火墙技术能够确保单位的信息和安全，维护单位和个人的利益。

结语：

网络安全问题的频繁出现，提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用，网络安全已经得到了极大的改善。但是，我们不能否认一个防护墙并不能百分之百的保障网络安全，相关部门需要长期不断的探索，在摸索中开发出更先进的防火墙技术，提高网络的安全性。

参考文献：

篇6：防火墙技术研究

[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.[4] 肖玉梅.试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013,(5):14-16.[5] 姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013,(4):33.论文题目：计算机网络安全中的防火墙技术应用研究

摘要：防火墙技术是计算机网络安全维护的主要途径，发挥高效的保护作用。随着计算机的应用与普及，网络安全成为社会比较关注的问题。社会针对计算机网络安全，提出诸多保护措施，其中防火墙技术的应用较为明显，不仅体现高水平的安全保护，同时营造安全、可靠的运行环境。因此，该文通过对计算机网络安全进行研究，分析防火墙技术的应用期刊之家网翟编辑修改发表论文QQ:1452344485。

关键词：计算机；网络安全；防火墙技术

计算机网络安全主要是保障信息传输保密，防止攻击造成的信息泄露。基于网络安全的计算机运行，维护数据安全，保障运行问题，体现网络安全的重要性。计算机网络安全保护技术多种多样，该文主要以防火墙技术为例，分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离，在信息交互的过程中形成防护屏障，一方面过滤危险信息，另一方面提高计算机网络安全保护的能力，强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用，明确各项信息访问论文问题咨询腾讯认证QQ800099353。分析计算机网络安全与防火墙技术

计算机网络安全与防火墙技术之间存在密不可分的关系，防火墙技术随着计算机网络的需求发展，在网络安全的推动下，防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术，如下：

1.1 计算机网络安全

安全是计算机网络运行的首要原则，随着现代社会的信息化发展，计算机网络的运行得到推进，但是其在运行过程中不断出现安全威胁，影响计算机网络的安全水平，例举计算机网络的安全威胁。

1.1.1 数据威胁

数据是计算机网络的主体，数据运行的过程中存在诸多漏洞，引发计算机网络的安全隐患。例如：计算机网络运行中的节点数据，较容易受到攻击者篡改，破坏数据完整性，攻击者利用数据内容的脆弱部分，窥探内网数据，泄漏数据，攻击者利用计算机网络系统的安全漏洞，植入木马、病毒，导致数据系统瘫痪，无法支持计算机网络的安全运行。

1.1.2 外力破坏

外力破坏是计算机网络安全运行不可忽略的危险点，最主要的是人为破坏，如：病毒、木马攻击等。目前，计算机网络受到此类影响较大，部分攻击者利用网站病毒、邮件病毒等方式，攻击用户计算机，病毒植入时大多是由于用户不正确的操作习惯，导致计算机网络系统出现漏洞。例如：用户长时间浏览外网网站，但是没有定期查杀病毒，攻击者很容易摸清用户的浏览习惯，在特性网站中添加攻击链接，当用户点击该网站时，病毒立即启动，直接攻击用户的计算机。

1.1.3 环境威胁 计算机网络处于共享环境内，面临资源开放的威胁。环境是计算机网络运行的基础，用户在访问外网时必须经过网络环境，所以存在明显的环境威胁，网络环境内的攻击非常强烈，攻击者利用网络环境设置攻击环节，主要攻击网络环境内交互的数据包，经由数据包将攻击信息带入内网，破坏内网的防护结构，针对环境威胁，必须发挥防火墙技术的全面特点。

1.2 防火墙技术

防火墙技术主要有：(1)状态检测，以计算机网络为研究整体，主要分析数据流，区别计算机网络中的数据信息，识别数据信息中的不安全因素，此类型防火墙技术效益明显，但是缺乏一定的时效性，容易造成保护延迟；(2)包过滤技术，以网络层为保护对象，严格要求计算机网络的协议，在保障协议安全的基础上才可实现防护处理，体现防护价值；(3)应用型防火墙，利用IP转换的方式，伪装IP或端口，确保内外网络连接的安全性，促使用户在访问外网时，能够处于安全、稳定的空间内。防火墙技术在计算机网络安全中的应用价值

防火墙技术在计算机网络安全中确实得到广泛应用，体现防火墙技术的高效价值。针对防火墙技术的应用价值，做如下分析：

2.1 过滤技术的应用价值

过滤技术体现防火墙选择过滤的应用价值，防火墙根据特定位置，提供过滤服务。例如：过滤技术在计算机网络系统TCP位置，防火墙预先检查TCP位置接收到的数据包，全面检查数据包的安全性，如果发现威胁因素或攻击行为，立即阻断数据包的传输，过滤在外网环境内，过滤技术的应用，体现明显的预防特性，科学控制风险信息的传输，组织风险信息进入内网，以此确保TCP区域的安全运行。防火墙中的过滤技术，不仅应用于计算机网络安全控制，其在路由器方面也存在明显的应用价值。

2.1.1 代理技术的应用价值 防火墙中的代理技术，具有一定的特殊性，其可在计算机网络运行的各项模块发挥控制作用，时刻体现强效状态。代理技术的价值体现为：该技术在内外网之间发挥中转作用，计算机网络的内网部分，只接受代理部分发出的请求，而外网请求直接被拒绝，该技术在内网、外网的分割方面，发挥主要作用，杜绝出现内外混淆的现象，所以代理技术在实现应用价值方面，同样面临技术压力。

2.1.2 检测技术的应用价值

检测技术以计算机网络的状态为主，属于新技术领域。检测技术的运行建立在状态机制的基础上，将外网传入的数据包作为整体，准确分析数据包的状态内容，检测技术将分析结果汇总为记录表，分为规则和状态，比对两表后识别数据状态。目前，检测技术应用于各层网络之间，获取网络连接的状态信息，拓宽计算机网络安全保护的范围，由此提高网络信息的运行效率。

2.1.3 协议技术的应用价值 协议技术主要是防止Dos攻击，Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态，促使计算机网络无法正常提供运行信息，此类攻击没有限制要求，基本处于无限制攻击状态。防火墙利用协议技术，在此类攻击中发挥主体保护，在协议技术参与下的防火墙技术，保护计算机的内部网络，提供各类网关服务，网关是连接服务器与信息的直接途径，待防火墙回应后，服务器才可运行。防火墙促使服务器处于高度安全的环境中，规避外网攻击，例如：当外网向内网发送请求信息时，防火墙通过SYN设置访问上限，降低服务器承担的攻击压力，同时完成数据包检测。防火墙技术在计算机网络安全中的应用