基于防火墙的网络安全论文

关键词：计算机网络防火墙网络技术

摘要：随着计算机网络的普及，使得人们的信息接收以及交流方式发生了巨大的变化。但是，近年来在社会各领域中，涌现了各种各样的网络安全问题，得到了社会各界人士的关注，为了保证网络的安全，相关技术人员对网络安全技术进行了深入研究。其中，防火墙技术是一种较为有效的防护手段，受到了人们的推崇。本文探讨了基于防火墙技术的网络安全防护策略。以下是小编精心整理的《基于防火墙的网络安全论文(精选3篇)》，仅供参考，大家一起来看看吧。

基于防火墙的网络安全论文篇1：

基于防火墙的网络安全技术研究

【摘要】随着计算机网络技术快速发展，网络成为了人们生活、工作中重要的助手。但是网络中隐患问题最大的就是网络安全，直接影响着人们的正常使用。本文是笔者总结多年的技术经验，研究防火墙网络安全技术，为相关研究人士提供参考的理论依据。

【关键词】网络安全技术防火墙研究

一、前言

2013年成都某院公开审理了一起网络窃密案件。该案件就是某公司雇请软件高手，进入到同行的电脑中盗窃了最新产品设计。虽然该公司做法有悖行规，但是同时也说明网络的安全確实让人担忧，所以探究防火墙下的网络安全技术具有实用意义。

二、基于防火墙的网络安全技术

构建网络安全环境中，第一道安全线就是防火墙，因此防火墙逐渐被研究者及用户所关注。一般而言公司购买网络中和安全相关设备时，大多是把防火墙作为首要位置。如今防火墙是世界上使用最多网络安全产品之一。但是防火墙网络安全技术是如何确保网络系统安全，从而实现自身的安全。

（一）Packet Filter（包过滤技术）

该技术就是防火墙确保系统安全保障主要技术，使用设备有选择控制和操作出入的网络数据流。包过滤技术常常对路由进行选择时就会过滤数据包，常常用来过滤互联网络至内部网络中的包。用户依据自身所需能够设定一定规则，设定出那一些数据包能够流出或者流入内部网络，那一些类型数据包要被拦截。包过滤技术的基础就是IP包信息，帅选出IP包源地址、目的地址、端口号以及封装协议（TCP/UDP/ICMP/IP Tunnel）。该技术主要是从路由器开始，当然还可以从网桥乃至一个单独主机上开始操作。

传统上所用包过滤不过是匹配规则表，防火墙IP包过滤，就是依据一个固定排序规则链进行过滤，每一个规则上都包含了端口、IP地址、传输方向、协议以及分包等各种内容，并且大多数防火墙中过滤规则启动之时都已经配置好了，只有具备权限的系统管理人员才能够修改，属于静态存在模式，即为静态规则。防火墙中应用链接状态进行检查，把同一链接所有的包看待成一个整体数据流，应用规则表和链接状态表共同配合实施检查。

（二） NAT（网络地址转换）

网络地址转换且是将内部的IP地址转化成为外部的、临时的以及注册IP地址标准，并且允许拥有IP地址内部网络对因特网进行访问，就说明用户根本没有必要给网络中的每一台机器获取注册IP地址。NAT工作流程如下所示：

经过安全网卡实现内部网络对外部网络的访问，在这个过程中必然会产生出一个映射记录。系统把外出源地址与源端口映射为一个伪装的端口与地址，该端口与地址就经过非安全网卡和外部的网络相连接，从而就将真实内部网络地址隐藏起来。当经过非安全网卡进行外部网络对内部网络访问时，是不知道其内部网络中链接情况，就是经过开放IP地址与端口对访问进行请求、OLM防火墙就是依据预先所定义映射规则对访问安全进行判断。一旦和规则相符，防火墙就会认定该访问属于安全的，就会接受访问的请求，也就能够把请求映射至不通计算机中。如果和规则不相符，防火墙就认定这种访问是不安全、不能被接受的，防火墙就会将外部链接请求进行屏蔽。事实上，相对于用户而言网络地址转换是透明的，用户也不需要设置，只要按照常规操作实施即可。

（三） Proxy Server or Application Level Proxy（代理服务器或者应用代理）

这种技术就是代理外部网络服务器和内部网路用户之间的信息交换程序。确认了内部用户请求之后就传递到内部服务器，并且把内部服务器给出的响应反馈给用户。该技术常常使用到Web服务器上的高速缓存，而且具有Web服务器与Web客户间中介作用。这种技术主要将因特网上比较常用与访问最近内容进行保存，就能够将更快访问速度提供给用户，增强网络的安全性。

相对于ISP而言这种技术比较常见，尤其是链接因特网的速度比较慢时更加常用。在Web上运行时，代理先要在本地搜寻相关数据，一旦没有搜寻到就去远程服务器查找。就能够经过所构建的代理服务器经过防火墙直接对因特网进行访问。

三、结束语

总而言之，对于一个系统而言一旦防火墙自身被攻击者突破了，相对内部系统而言防火墙就没有任何价值。所以确保防火墙自身安全更是确保系统安全之基础。因此，研究防火墙下的网络安全技术具有现实价值，更是确保系统安全的重要措施之一。

参考文献：

[1]韩秋锋.基于SOCKS V5代理的防火墙中强认证机制的研究与实现[D].华侨大学，2012（10）.

[2]朱革媚，周传华，赵保华.网络安全与新型防火墙技术[J].计算机工程与设计，2011（01）.

[3]宿宝臣.透明代理机制分析及其Limax实现[J].山东理工大学学报（自然科学版），2013（04）

[4]吉璨琛.基于包过滤技术的个人安全防御系统研究与实现[D].北京邮电大学，2010（07）.

[5]梁泠霞，张先军，鹿凯宁.基于Iptables的网络地址转换研究[J].电子测量技术，2011（09）.

作者简介：

姓名：王文珍，研究方向：计算机及应用。

作者：王文珍

基于防火墙的网络安全论文篇2：

基于防火墙技术的网络安全防护

关键词：计算机网络;防火墙技术;网络安全

1 防火墙技术的作用及价值

现如今快速发展的互联网时代要求网络技术具备良好的安全性，打造安全性网络体系的水平已然成为衡量该国家互联网技术发展的重要标准。对于互联网而言，其作为公共开放的平台，任何人都可以利用互联网进行信息的获取和传输，而一些不法分子会借助互联网中存在的一些漏洞来进行他人信息的窃取，威胁他人的财产和人身信息安全。在快速发展的网络技术下，信息安全所面临的挑战越发严峻，如何在互联网媒体下形成良好的安全管理体系，如何在保障互联网高度自由化、开放化的空间建设下实现安全有效防护是网络安全技术的重点任务。防火墙技术，正是基于目前的安全防护需求所构建出来的，通过防火墙技术的运用能够对一些重要数据和私人信息进行保护，降低和减少不法分子窃取信息的成功率，同时还能够保障网络运行的稳定性，具象化来说，防火墙就如同在网络端构建了一堵高墙，来屏蔽和隔绝一些病毒等危险程序。

2 网络信息安全中常见的黑客手段

2.1网络通信攻击手段

计算机网络平台为不同地区和空间的人们创建工具以共享通信。当用户通过网络进行通信和通信时，如果没有有效的安全保护措施，则也位于网络中的其他人可能窃听或获取通信内容。这种窃取信息内容的攻击方式主要是通过监控计算机系统和网络信息获取相关的通信内容。网络黑客经常使用这种监控手段来攻击他们想要获取信息的对象，窃取用户帐户、URL或密码，这可能会导致重要机密信息的泄露。例如，操作Principal类型、IP地址、特定开放TCP端口、密码信息、系统用户名等。黑客还将使用虚假身份手段伪造各类商业应用，通过伪造各种金融业务信息，数据篡改，改变金融业务信息流的时间、顺序和流向，破坏财务信息的全面完整性，伪造合法用户身份以篡改信息并进行财务欺诈等。

2.2网络系统攻击手段

除了通信的攻击手段外，很多黑客会对网络系统本身进行攻击，例如病毒、木马、蠕虫等，都是常见的网络系统本身攻击，比较著名的就是曾经暴行一时的“熊猫烧香”病毒。这些病毒能够对网络系统服务器进行干扰，导致服务器瘫痪，甚至一些黑客会利用网络系统攻击来操作用户的一些软件，发布不良邮件、传输不良数据，导致网络体系瘫痪，影响网络正常使用和信息的真实性。

3 防火墙技术策略分析

3.1屏蔽路由技术

现如今，最简单的防火墙技术为屏蔽路由器，该技术目前较为流行。屏蔽路由器主要在网络层上工作，包括包过滤技术和虚电路技术。所谓包过滤技术，是通过对IP网络包进行检查，以獲得IP头信息，然后以这些信息为依据，实现允许（禁止）方面的动作指令。与相关的信息过滤规则相比，该技术限制与内部网络进行通信，当数据信息得到授权后方能通过，如果信息数据未获得授权，则会阻止其通过。采用该技术的防火墙通过截取所有IP网络包获取以及过滤所需要的有关信息，并且会与访问监控规则进行比较，然后才执行动作指令。

3.2基于代理防火墙技术

因为数据包过滤技术具有一定的缺陷，且其不能防范黑客攻击，对于新的安全威胁，该技术难以进行处理。因此，人们需要一个更全面的防火墙保护技术，在这种背景下，“应用代理”技术的防火墙就此出现。这种技术主要包括两个网络接口卡，而且能够同时连接内外网。由于网关的安装位置较为特殊，从而使其可以与两个网络通信，而且是安装数据交换软件的最佳位置。代理服务规定，内网与外网不能直接通信，但是通过代理服务器，就能实现数据交换。对于用户与服务器之间的数据交流，代理服务能够完成，而且可以对所有的数据流进行审计追踪。现如今，许多专家都认为，基于代理的防火墙要更加安全，之所以会产生这种看法，主要因为代理软件能够根据内部网络中的主机性能制定监控策略，这样就可达到防御已知攻击的效果。

3.3动态防火墙技术

动态防火墙技术，主要相对于静态包过滤技术提出的，该技术能够动态地创建相关规则，能够适应不断变化的计算机网络业务。动态防火墙有一个重要的特点，那就是对所有经过防火墙数据流进行分析，并获得相关状态信息，此外根据这些信息区分每次连接，然后以此为基础创建动态连接表。此外，动态防火墙还需要进行一项工作，需要完成后续通讯检查工作，并需要对这些信息进行更新。

3.4状态监测技术

状态监测技术较为特殊，其将应用网关技术与包过滤技术两者的优势结合起来，该防火墙在网络层由一个检查引擎截获数据包，并且对应用层状态有关的信息进行抽取，在核心部分建立了状态连接表，并对网络中流通的数据编成一个个地会话，而且利用状态表跟踪每个会话的状态。其可以对各层数据进行实时监测，并可以对这些监测数据进行系统分析。这样就能准确发现各层中的非法入侵行为，而且可以防范内部网络的恶意破坏行为。

4 网络安全防护技术机制构建要点

4.1防火墙的科学配置与准确选择

在应用环节，技术人员需要做好防火墙的设置工作。为保证设置的有效性，技术人员需要率先开展风险评估，明确网络用户面临的各类网络风险。同时获取用户的上网习惯，并制定相应的安全防护规则，选择恰当的防护方案。通过这种方式，使得防火墙技术与网络安全防护结合起来，切实发挥出防火墙技术的防护能力，最大程度减少网络安全事件的发生。

4.2评估防火墙的运行状态

在使用其进行网络安全防护的过程中，可以将防火墙的运行状态划分为不同的等级。有三种情况：

（1）当没有网络攻击行为时，防火墙能够正常运行。（2）当受到网络攻击后，防火墙能够发挥防御作用，再次运行需要对其进行重启操作。（3）使用防火墙后，计算机内部网络与外部网络之间的数据交互被关停或者禁止。从实用性与安全性的角度来看，第一、第二种情况防火墙实用性较高，基本能够满足网络安全防护以及计算机使用需求;第三种防火墙无疑中断了用户与用户之间的信息交互，导致网络的局部瘫痪。基于这种实际，在应用防火墙之前，技术人员需要在科学性原则、实用性原则的基础上，进行系列测试工作，检查防火墙的失效状态，并采取相应的方式进行处理应对。

4.3进行防火墙的动态维护

防火墙的动态维护需要根据推送的各类安全补丁，及时进行下载安装，通过这种方式，不断提升防火墙自身的防护能力，有效应对新的安全风险。除了采取定期更新、安装补丁的方式之外，技术人员还应当制定必要的安全策略，例如做好数据访问与交互的授权，通过身份识别，保证了数据交互的安全性，避免了非法访问的发生，避免了数据的泄漏或者丢失。同时，在此基础上，增加DNS，通过这种技术手段，进一步提升防火墙的安全性。

5 结语

防火墙技术是网络安全防护体系的重要组成。为保证正常网络交互活动的顺利进行，避免网络攻击行为的发生，减少各类损失，需要对防火墙的运行状态进行评估，根据评估结果，采取不同的处理手段进行应对，定期下载安装防火墙补丁，不断提升防火墙自身的防护能力，有效应对新的安全风险。

参考文献：

[1]齐辉.计算机网络安全中防火墙技术应用的探讨[J].通讯世界，2017（24）：9-10.

[2]刘星.计算机网络安全中防火墙技术应用研究[J].网络安全技术与应用，2017（09）：28-29.

作者：王妍

基于防火墙的网络安全论文篇3：

基于防火墙部署的网络安全设计与连接

摘要：在网络中防火墙是主要的安全设备之一，它以其强大的功能保障网络安全，由于防火墙所处的位置不同，其所发挥的作用不尽相同，因此根据不同的网络安全需要，以及路由器、交换机的端口类型，如何选择防火墙的端口连接方式变得尤为重要，本文详细阐述了在网络安全与连接中防火墙的部署与连接方式。

关键词：网络安全；防火墙；服务器；设计；连接

Based on The Deployment of The Network Firewall Security Design and Connection

MENG Fan-li

（Jilin Vocational College of Industry and Technology， Jilin 132013， China）

Key words： network security； firewall； server； design； connection

网络安全规划与设计主要是针对网络安全设备而言，而网络设备种类非常多，不同安全设备的应用位置也有所不同，如果部署不正确不仅起不到任何保护作用，而且可能造成网络瓶颈，影响网络传输效率。另外，如果根据安全需要选择合适的安全产品也是非常重要的问题。防火墙通常部署与网络的边界。当然，边界可以是局域网与广域的、局域网与Internet 的、不同子网之间，以及子网与服务器之间的边界等。

1 内部网络与Internet的连接之间

这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受非法用户的攻击。目前绝大多数企业网络，安装防火墙的主要目的就在于此。在这种应用环境中，一般情况下，防火墙网络可划分为3个不同级别的安全区域，如表1和图1所示。

在这三个区域中，用户需要对不同的安全区域给予不同的安全策略。虽然内部网络和DMZ区域都属于企业内部网络的一部分，单它们的安全级别（策略）是不同的。对于要保护的大部分区域，因需为互联网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如Web服务器通常是允许任何人进行正常访问的。那么，这些服务器是很容易被攻击的。由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正的服务器数据的是在受保护的内部网络主机上。所以，黑客攻击这些服务器没有任何意义，即不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。可以通过NAT（网络地址装换）技术将受保护的内部网络得全部主机地址映射成防火墙上设置的少数几个有效公网IP地址，这样有两个好处，一是可以对外屏蔽内部网络和IP地址，保护内部网络的安全；二是因为公网IP地址共用所以可以大大节省公网IP地址的使用，节省了企业投资成本。

2 连接局域网和广域网

局域网和广域网之间的连接是应用防火墙最多的网络，不过网络用户根据自己具体需要的不同，有两种连接方式可供选择。

如果用户网络原来已存在边界路由器，则可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后在利用防火墙与需要保护的内部网络相连接。对于DMZ区域中的公用服务器，则可直接与边界路由器相连，不用经过防火墙，它可以只经过路由器的简单防护。在这种网络环境中，边界路由器与防火墙一起组成了两道安全防线，如图2所示，并且在这两者之间可以设置一个DMZ区域，用来放置那些允许外部用户访问的公用服务器设施。

如果用户网络中不存在边界路由器，则此时直接由防火墙来保护内部网络，如图3所示。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口，因此，需要对这两部分网络设置不同的安全策略。这种网络中虽然只有一道安全防线，但对于大多数中小企业来说是完全可以满足的。不过在选购防火墙时就需要注意，防火墙一定要有两个及以上的LAN网络接口。

3 内部网络不同部门之间的连接

这种应用环境就是在一个企业内部网络之间，对一些安全性要求较高的部门（如人事管理或财务管理等）进行隔离保护，通过防火墙保护内部网络中敏感部门的资源不被非法访问，在这些部门网络主机中的数据对于企业来说是非常重要的，因为它不能完全脱离企业网络，但其中的数据又不能随便提供给企业网络中的用户访问。这时有几种解决方案通常是采用VLAN配置，但这种方法需要配置三层及以上交换机，同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的配置（比起划分VLAN来简单许多）。

通过防火墙隔离后，尽管同属于一个内部局域网，但是其他用户的访问都需要经过防火墙的过滤，符合条件的用户才能访问。这类防火墙通常不仅通过过滤来筛选数据包，而且还要对用户身份的合法性（在防火墙中可以设置允许哪些用户访问）进行识别。通常为自适应代理服务器型防火墙，这种防火墙方案还可以有日志记录功能，对网络管理员了解网络安全现状及改进非常重要。在如图4所示的网络中，同是一个企业的内部网络，可以将需要受到保护的重要部门和一些服务器通过防火墙连接至其他网络。

4 用户与中心服务器之间的连接

对于一个服务器中心而言，大多数服务器都需要对第三方（合作伙伴或互联网用户等）开放，但是所有这些服务器分别属于不同用户所有，其安全策略也各有不同，如果把它们都定义在同一个安全区域中，显然不能满足各用户的不同需求。这时，就可以按不同安全策略保护这些服务器，根据实施方式的不同又可以分为以下两种网络环境。

1）每台服务器单独配置独立防火墙

此种方法是最容易实现也是最直观的，但这种方案无论从经济上，还是从使用和管理的灵活可靠性上都不是最好的。它需要购买与托管代理服务器数据一样多的防火墙，对托管中心来说投资非常大，而且托管中心管理员面对这么多防火墙，其管理难度比较高。

2）配置虚拟网络防火墙

这主要是利用三层交换机的VLAN功能，先在三层交换机上将有不同安全要求的服务器划分至不同的VLAN。然后，借助对高性能防火墙模块的VLAN子网配置，将防火墙划分为多个虚拟防火墙，如图5所示。这种方案虽然配置较为复杂，但是，一旦配置完成，以后的使用和管理将相当方便，就像用交换机管理多个VLAN子网一样来管理每个用户服务器，而且该方案在现实中比较经济可行。

借助三层交换机或路由器内置的防火墙模块，也可以为不同的用户VLAN配置不同的安全策略，从而将网络攻击限制在不同的VLAN中，从而保证整个企业网络的安全。

参考文献：

[1] 石炎生，等.计算机网络工程实用教程[M]. 2版.北京：电子工业出版社，2011.

[2] 戴莲芬.基于智能防火墙的网络安全设计[J].信息安全与技术，2011（4）.

[3] 许诺全.基于防火墙技术的网络系统安全设计[J].网络安全技术与应用，2014（5）.

[4] 王博立.计算机网络的安全设计与系统化管理[J].信息技术与信息化，2014（10）.

[5] 孙亚志.基于防火墙的网络边界安全的设计与实现[J].科技资讯，2010（7）.

[6] 贾志高. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J].甘肃科技，2009（18）.

[7] 赵平. 基于防火墙日志的网络隔离安全审计系统设计与实现[J].计算机应用研究，2007（7）.

[8] 石淑华，池瑞楠.编计算机网络安全技术[M]. 3版.北京：人民邮电出版社，2012.

作者：孟范立

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处