防火墙的技术

关键词：

防火墙的技术（精选十篇）

防火墙的技术 篇1

针对网络存在的众多隐患,各个用户实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就防火墙技术概况做个简要分析。

1 防火墙定义

“防火墙”是一种形象的说法,其实它是一种保护计算机网络的技术性措施,由计算机硬件和软件的组合,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。实践中最常见的防火墙关系模型可用图1来概括,是一个把互联网与内部网隔开的屏障。

在网络中,防火墙还应具备广泛的服务支持的特性:如通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等,满足客户端认证只允许指定的用户访问内部网络或选择服务。

防火墙如果从实现方式上来分,可分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,效果较好,一般应用于大中型企事业单位。软件防火墙通过纯软件的方式来实现对,价格便宜,但软件防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的,功能不全面。例如天网防火墙个人及企业版、Norton防火墙个人及企业版,还有许多杀病毒软件目前已集成了软件防火墙,如江民、瑞星、金山等。

2 防火墙分类

2.1 技术上的分类

硬件防火墙从技术上来分为包过滤型防火墙和应用代理型防火墙。

包过滤型防火墙是作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。这种分组过滤技术公在网络层和传输层起作用。随着包过滤技术的发展,产生了状态检测包过滤技术。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,规范了网络层和传输层行为,因而状态检测防火墙提供了更完整的对传输层的控制能力。

应用代理型防火墙也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。由于它工作在最高层,掌握着应用系统中可用作安全决策的全部信息。包过滤防火墙的缺点和不足,可以在应用层解决。

2.2 架构上的分类

硬件防火墙如果从架构上来划分可分为x86、ASIC、NP几类。

从性能的角度分析,基于Intel x86架构的千兆防火墙,由于受CPU处理能力和PCI总线速度的制约,性能和功能不能达到网络安全和网络性能间的统一。从功能的角度分析,基于通用处理器的x86架构上开发的防火墙功能实用,可扩充性非常好;基于ASIC的防火墙虽然在性能上非常强大,但是在功能性、灵活性和可扩充性等方面较弱。

基于ASIC技术的防火墙是公认的满足千兆环境骨干级应用的技术方案,可使防火墙达到线速千兆。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用。但ASIC技术开发成本高、开发周期长且难度大,而且ASIC技术在国外已经历了10多年的发展,而国内厂商要采用ASIC技术难度却很大。

网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力。它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势,能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,包处理能力得到了很大提升。从产品特性上讲,NP架构下的产品批量生产成本比x86架构要高,而NP的计算能力又比ASIC要低。但NP防火墙具有更高的集成度,并以分布式的存储系统,能够胜任高带宽的线速处理。基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比,在性能上可以得到很大的提高。

3 防火墙系统优缺点分析

防火墙作为一种防护手段,对维护网络安全起到了一定的作用,但并非万无一失,它只能防护经过自身的非法访问和攻击;它虽然能够针对所有服务进行安全检查,过滤其是否合法,但不能有效地杜绝所有恶意数据包,比如某些恶意访问可以通过内部网某台机器中的后门软件绕过防火墙,利用合法的连接传输非法数据。防火墙还不能直接拦截带病毒的数据在网络之间传播,对数据驱动式攻击也缺少防范识别能力。

3.1 包过滤防火墙优缺点分析

包过滤防火墙是两个网络之间访问的唯一来源,它对每条传入和传出网络的包实行低水平控制,每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,可以识别和丢弃带欺骗性源IP地址的包。由于包过滤技术是完全基于网络层的安全的技术,无法识别基于应用层的恶意侵入。

使用包过滤防火墙的缺点还包括:1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,这样就留下了漏洞。2)为特定服务开放的端口必然存在着一定的受攻击的风险,可能会被用于其他传输。比如Web服务器默认的80端口。

3.2 状态检测防火墙优缺点分析

状态检测防火墙由于采用了一系列优化技术,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。状态检测防火墙的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。随着硬件速度的发展,这个问题就会变得不易察觉。

3.3 应用代理防火墙优缺点分析

应用代理防火墙可以说就是为防范应用层攻击而设计的,使用应用程序代理防火墙的优点有:1)应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。2)指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。3)通过限制某些协议的传出请求,来减少网络中不必要的服务。4)大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。

使用应用程序代理防火墙的缺点有:1)必须在一定范围内定制用户的系统。2)应用网关的认证要求使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序,但一些应用程序根本就不支持代理连接。

4 防火墙技术结合与改进

4.1 多级过滤技术

多级过滤技术是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用应用层一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务,这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。多级过滤技术防火墙结构如图2所示。

4.2 分布式防火墙

分布式防火墙与传统的边界防火墙不同,传统防火墙由于被部署在网络边界而被称为边界防火墙。许多越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙要负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,分布式防火墙体系结构包含有:网络防火墙(Network Firewall)、主机防火墙(Host Firewall)、中心管理(Central Managerment)三大部分。分布式环境防火墙基于传统防火墙技术,集中管理,分布防御,分布式防火墙由网络安全管理平台、边界防火墙、内部防火墙和主机防火墙agent组成,对广义分布防火墙的管理必须是统一进行的,中心管理是分布式防火墙系统的核心和重要特征之一。安全策略的分发及日志的汇总都是中心管理具备的功能。集中制定安全策略,由分布于网络中的各个防火墙实施策略,系统管理工具将安全策略分布到每个主机,根据策略和加密校验认证,由受保护的主机来决定接受或拒绝。这样就使得网络防火墙部署于内部网与外部网之间以及内网子网之间,把安全策略推广延伸到每个网络末端。分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞。

4.3 入侵检测系统

所谓“入侵检测”,就是通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,以发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象。“入侵检测系统(Intrusion Detection System,IDS)”主要是通过以下几种活动来完成的:1)监视、分析用户及系统活动;2)对系统配置和弱点进行监测;3)识别与已知的攻击模式匹配的活动;4)对异常活动模式进行统计分析;5)评估重要系统和数据文件的完整性;6)对操作系统进行跟踪管理,并识别用户违反安全策略的行为。此外,有的入侵检测系统还能够自动安装厂商提供的安全补丁软件,并自动记录有关入侵者的信息。

入侵检测系统可以成为防火墙的有力补充,已被广泛地与防火墙相结合应用于重要网络环境。由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。入侵检测技术能够及时发现并报告系统中未授权或异常现象,是一种用于检测违反安全策略行为的技术。可以协同防火墙共同实时监视着网络中的不法行为。

入侵检测从技术上可分为两类:一种基于标志,一种基于异常情况。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的关键在于如何定义所谓的“正常”情况。

4.4 入侵防御系统

入侵防御系统(IPS)是在应用层的内容检测基础上加上主动响应和过滤功能,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS弥补了传统的主流网络安全技术不能完成更多内容检查的不足,倾向于提供主动防护的特性填补了网络安全产品中基于内容的安全检查的空白。IPS通过直接嵌入到网络流量中实现这一功能,即通过一个网络端口接收来自外部系统的流量,经过检查确认不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被彻底清除掉。它把检测提升到了应用层的检测,相比于入侵检测系统能够起到较好的实时防护作用。

5 前景展望

防火墙只是整个网络安全防护的一部分,一定要与其他的防护措施和技术,如密码技术、访问控制、权限管理、病毒防治等综合运用才能解决内部网安全问题。

在防火墙体系结构上的改进上,防火墙必然要与加密和认证技术、内容检测、攻击检测及其他一些手段相结合,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能才能成为一个安全网关。主流的运用趋势是防火墙与入侵检测系统、入侵防御系统相结合,入侵检测系统和入侵防御系统也必将在速度上和智能化上有更大的进步,突破性能瓶颈,减少误报和漏报现象。

从速度发展上来看,基于软件的防火墙是很大程度上依赖于软件的性能,但随着近来这类防火墙中专门设计有一些用于处理数据层面任务的引擎,从而减轻了CPU的负担,性能上已在不断提升。基于ASIC的纯硬件防火墙处理速度自然是越来越快,但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙会使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。基于NP的防火墙可以集x86架构防火墙的功能与ASIC防火墙的性能于一身。网络处理器能弥补通用CPU架构性能的不足,同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累,成为国内厂商实现高端千兆防火墙的热门选择。在高端千兆市场,基于NP的防火墙将是重要的趋势。三种架构防火墙在市场上将长期保持共存的局面。在低端千兆市场上,x86架构的防火墙将成为主流,在高端千兆市场上,基于NP的防火墙将占有较好的份额。

防火墙的系统管理上的发展趋势将主要体现在以下几方面:首先是集中式管理,分布式和分层的安全结构会是将来的趋势。其次是强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。再次是网络安全产品的系统化和集成化,管理上将适用于大多数用户,易用性更高。

入侵检测和防御系统将会在智能化和分布式两个方向上得到更快的发展,更好地为重要网络的安全保障提供服务。

6 结束语

防火墙技术在网络安全中的重要性,谁都无法代替。本文针对各种主流防火墙体系结构、应用现状及优缺点比较以及防火墙前期发展趋势,更深刻了解防火墙。让防火墙更好地为重要的网络安全保障提供服务。

摘要：防火墙是集包过滤技术、代理服务技术、入侵检测技术等多种技术的安全平台,是现代网络安全防范的重要设备。该文针对各种主流防火墙体系结构、应用现状及优缺点比较,探讨防火墙技术今后的发展方向。

关键词：网络安全,防火墙,应用网关

参考文献

[1]计算机世界.2002年合订本[M].

[2]科瑞奥.Snort入侵检测实用解决方案[M].北京:机械工业出版社,2005.

[3]Carasik H A.防火墙核心技术精解[M].李华飓,译.北京:中国水利水电出版社,2005.

[4]陈兴实,付东阳.计算机.计算机犯罪.计算机犯罪的对策[M].北京:中国检察出版社,1998.

[5]Kurose J F.计算机网络:自顶向下方法与INTERNET特色[M].陈鸣,译.3版.北京:机械工业出版社,2006.

[6]PC World中国网[EB/OL].http://www.pcworld.com.cn.

防火墙的知识介绍防火墙技术 篇2

防火墙技术对网络安全的影响 篇3

关键词：防火墙网络安全技术

0引言

随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。

1防火墙的分类

防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于Internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为：包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有：IGA(InternetGatewayAppciance)防毒墙；SonicWall防火墙以及Cink TvustCyberwall等。

按防火墙在网络中的位置可分为：边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为：硬件防火墙、软件防火墙以及软硬兼施的防火墙。

网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

2防火墙在网络安全中的作用

防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的：①限制他人进入内部网络，过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视Intemet安全提供方便。

3防火墙的工作原理

防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性：一是所有的信息都必须通过防火墙：二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙：三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。

4防火墙技术

防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有：

4.1屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过滤通过检查每个lP网络包，取得其头信息，一般包括：到达的物理网络接口，源lP地址，目标IP地址，传输层类型(TCPUDP ICMP)，源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作(禁止或允许)。

4.2基于代理的(也称应用网关)防火墙技术它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。

4.3包过滤技术系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。

4.4动态防火墙技术动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(1024--65535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。

4.5一种改进的防火墙技术(或称复合型防火墙技术)由于过滤型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其他处理o

5防火墙的应用

5.1硬件防火墙的设置

下面以思科PIX 501型防火墙为例，设置如下：要设置内部接口的lP地址，使用如下命令：

PIXl(config)# ip address inside 10.1.1.1 255.O.0.0

PIXl(config)#

现在，设置外部接口的IP地址：

PIXI(config)#ip address outside 1 1.1.1 255.255.255.0

PIXl(config)#

下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，ethernetO接口是外部接口，它在PIX 501防火墙中只是一个10base-T接口。ether-netl接口是内部接口，是一个100Base-T接口。下面是启动这些接口的方法：

PIXl(config)#interface ethernetO 10baset

PIXl fconfig)#interface ethemetl 100full

PIXl(config)#

最后设置一个默认的路由，这样，发送到Plx防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10.76.12.254)：

Pl×1(cOnfiq)#route outside 0 0 10.76.12.254

PIXl(config)#

当然，PI×防火墙也支持动态路由协议(如R1P和oSPF协议)。

现在，我们接着介绍一些更高级的设置。网络地址解析

由于我们有IP地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用～种称作“PAT”或者“NATOver-load”的网络地址解析。这样，所有内部设备都可以共享一个公共的1P地址(Pl×防火墙的外部IP地址)。要做到这一点，请输入这些命令：

PlXl(config)#nat(insjde)1 10.0.0 0 255.0.0.0

PIXl(config)#globaI(outside)1 1 0.1.1.2

G10ball 0.1.1.2 will be PortAddressTranslated

PI×1(config)#

使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享IP地址10.1.1.2。然而，客户机到目前为止还没有任何规则允许他们这样做。

5.2软件防火墙的设置以天网、诺顿防火墙为例：

5.2.1天网防火墙(2.60版)在天网防火墙的主面板上点击“系统设置”按钮，在弹出的“系统设置”窗口中，点击“规则设定”中的“向导”，就会弹出设置向导。

在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮，进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”，软件便会自动探测本机的lP地址并显示在下方。接下来，一路点击“下一步”按钮即可完成设置了。

5.2.2诺顿个人防火墙在软件的主界面左侧点击“Internet区域控制”选项，在右侧窗口进入“信任区域”选项卡，点击“添加”按钮，打开“指定计算机”对话框。在该对话框中选择“使用范围”，然后在下面输入允许访问的起始地址和结束地址即可。

6结束语

防火墙技术的探讨 篇4

1.1 防火墙的定义

防火墙的本义原是指古代人们之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流，且本身具有较强的抗攻击能力。

1.2 防火墙的工作原理

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址和目标地址作出放行/丢弃决定。例如：两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。防火墙的目的和功能通常应用防火墙的目的有一下几个方面：限制他人进入内部网络;过滤掉不安全的服务和非法;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全特工方便。

一般来说，防火墙具有以下几种功能：1)可以很方便地监视网络的安全性，并报警;2)允许网络管理员定义一个中心点来防止非法用户进入内部网络;3)利用NAT技术，可以作为部署NAT的地点，将有限的IP地址动态或静态地与内部IP地址对应起来，用来缓解空间短缺的问题。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式地宫部门级的计算。

2 防火墙技术

防火墙的安全技术包括过滤技术、代理技术、网络地址转换—NAT技术、分布式防火墙技术等。

2.1 包过滤防火墙数据

包过滤防火墙(Proxy)技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制和操作。包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。数据包过滤是一个网络安全保护机制，它通过控制存在与某一网段的网络流量类型来控制流出和流入网络的数据，包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。

包过滤的缺点：1)一些应用协议不要合适于数据包过滤;2)不能彻底防止地址欺骗;3)数据包工具存在很多局限性包过滤防火墙技术有一定的优点，但包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解决方案，而是把它与其他防火墙技术揉合在一起使用。

2.2 代理防火墙

代理防火墙是一种针对特定的用户层协议，它工作于应用层。代理防火墙能在用户层和应用协议层提供访问控制，是通过编程来弄清用户应用层的流量。代理服务器作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户(proxy client)负责代理内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

代理技术的缺点：1)代理对用户不透明;2)代理服务通常要求对客户、过程之一或两者进行限制;3)对于每项服务代理可能要求不同的服务器;4)代理速度较路由器慢。

2.3 分布式防火墙

分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以"分布式防火墙"是一个完整的系统，而不是单一的产品。

分布式防火墙的组成部分根据其所需完成的功能，新的防火墙体系结构包含如下部分：1)中心管理(Central Management)：这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总;2)主机防火墙(Host Firewall)：它是用于内部网与外部网之间，以及内部网各子网之间的防护;3)网络防火墙(Network Firewall)：它是用于内部网与外部网之间，以及内部网各子网之间的防护。后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。

4 结束语

未来防火墙技术会全面考虑操作系统的安全、网络安全、数据的安全、应用程序的安全、用户的安全，五者综合应用。与此同时，网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等其自身结合起来。

摘要：众所周知, 防火墙 (Firewall) 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它实际上是一种隔离技术。它能限制被保护的网络与Internet网络之间, 或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域的信息流。防护墙是实现网络和信息安全的基础设施, 它提供信息安全服务, 防火墙能有效的监控了内部网和Internet之间的任何活动, 保证网络内部的安全, 它是一个分离器, 一个限制器, 也是一个分析器。

关键词：防火墙,包过滤代理,自适应代理,分布式防火墙

参考文献

[1]董立军, 李立明, 李峰.计算机网络安全技术[M].北京:中国水利水电出版社, 2006.

[2]楚狂.网络安全与防火墙技术[M].北京:人民政电出版社, 2008.

[3]宣力, 罗忠海, 罗忠雁.计算机安全用户指南[M].成都:电子科技大学出版社, 2009.

防火墙的技术及应用课件资料 篇5

随着计算机网络和现代技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。因此，防火墙的作用就是防止不希望的、未授权的通信进出被保护的网络。在互联网的众多站点中，非常多的网站都是由某种形式的防火墙加以保护，这是对黑客防范最严密，安全性较强切较有效的一种方式。这不免使的一些不法之徒恶意利用有效的网络工具进行恶意攻击。网络环境日益复杂，安全问题接受的挑战越来越大越来越多的时候，对防火墙技术需要有全面的认识。因此了解其所处的现状以及优势和缺点，未来的展望就显得格外重要。本文将详细介绍与防火墙的有关的技术。

本文简要介绍了防火墙在网络信息安全中的重要作用,描述了防火墙的原理及分类,分析了构建防火墙时对防火墙的选择与设置,说明了防火墙的主要规则设置方法。然后从实际出发，描述防火墙技术的应用现状。最后提出了面对网络安全问题以及构建安全网络环境应用防火墙所面临的挑战，其中论述了防火墙在网络安全中起的重要作用以及应用需求,最后对该技术的未来发展进行展望，以期促进防火墙技术发展，实现安全网络环境的构建。

1、防火墙简介 1.1防火墙的基本概念

防火墙是一个位于内部网络与 Internet 之间的网络安全系统，是按照一定的安全策略建立起来的硬件和(或)软件的有机组成体，以防止黑客的攻击，保护内部网络的安全运行。防火墙可以被安全在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部虚拟主机网络里面的窥探。

它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它实际上是一种隔离技术。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙可以是硬件类型的，所有数据都首先通过硬件芯片监测;也可以是软件类型，软件在电脑上运行并监控。其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时问，功能作用非常强大，处理速度很快，对于个人用户来说软件型，更加方便实在。1.2 防火墙的发展（1）第一代防火墙

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。（2）第二、三代防火墙

1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。（3）第四代防火墙

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。

（4）第五代防火墙

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

1.3防火墙的基本构成

防火墙的基本构成包括：安全策略、高层认证、包过滤、应用网关。其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。服务/访问策略是建立防火墙中最重要的组成部分，其余3部分在实现和执行策略中是必要的。保护网站防火墙的有效性，取决于使用防火墙的实现类型，以及使用正确的程序和服务/访问策略。

它是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个或两个以上的网络间，实施网络之间访问控制的一组组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，它对从网络发往计算机的所有数据都进行判断处理，并决定能否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算机的保护功能。2、使用防火墙的必要性

如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。2.1为什么要使用防火墙

很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代，Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。” 2.2设置防火墙的目的

设置防火墙的目的是防火墙是在网络之间执行控制策略的系统，它包括硬件和软件，目的是保护内部网络资源不被外部非授权用户使用、防止内部网络受到外部非法用户的攻击。防火墙的主要功能检查所有从外部网络进入内部网络的数据包；检查所有从内部网络流出到外部网络的数据包；执行安全策略，限值所有不符合安全策略要求的数据包通过具有防攻击能力，以保证自身的安全性。它是一种过滤器，按照防火墙事先设计的规则对内网和外网之间的通信数据包进行筛选和过滤，只允许授权的的数据通过不符合童心规则的数据包将被丢弃，以此来限制网络内部和外部的相互访问，达到保护内网的目的。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。简单来说，通常应用防火墙的目的有以下几方面：限制他人进入内部网络、过滤掉不安全的服务和非法用户、防止入侵者接近你的防御设施、限定人们访问特殊站点、为监视局域网安全提供方便。

3、防火墙的主要类型 3.1 包过滤防火墙

数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表，又叫规则表，规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。

数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于Cisco和Sonic System等公司的路由器上。缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口存在着潜在的危险。

例如：“天网个人防火墙”就属于包过滤类型防火墙，根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理，有效地提高了计算机的抗攻击能力。3.2 应用代理防火墙

应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用；缺点是执行速度慢，操作系统容易遭到攻击。

代理服务在实际应用中比较普遍，如学校校园网的代理服务器一端接入Internet,另一端介入内部网，在代理服务器上安装一个实现代理服务的软件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墙的作用。3.3 状态检测防火墙

状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被终止。状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。

在实际使用中，一般综合采用以上几种技术，使防火墙产品能够满足对安全性、高效性、适应性和易管性的要求，再集成防毒软件的功能来提高系统的防毒能力和抗攻击能力，例如，瑞星企业级防火墙RFW-100就是一个功能强大、安全性高的混合型防火墙，它集网络层状态包过滤、应用层专用代理、敏感信息的加密传输和详尽灵活的日志审计等都肿安全技术于一身，可根据用户的不同需求，提供强大的访问控制、信息过滤、代理服务和流量统计等功能。

4、各防火墙体系结构的优缺点 4.1双重宿主主机体系结构

提供来自于多个网络相连的主机的服务（但是路由关闭），它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。4.2被屏蔽主机体系结构

使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接（由站点安全策略决定）到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接（允许那些经由数据包过滤的服务）。②不允许来自内部主机的所有连接（强迫这些主机经由堡垒主机使用代理服务）。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。4.3被屏蔽子网体系结构

考虑到堡垒主机是内部网上最易被侵袭的机器（因为它可被因特网上用户访问），我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有两个屏蔽路由器，每一个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另一个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过两个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。

5、防火墙的未来发展趋势

尽管罗列了这么多防火墙技术的局限性，但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。

实现高速防火墙，可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能，入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间，又能为企业节约一部分安全支出，更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。

电子商务的安全风险及防火墙技术 篇6

信息技术的发展使电子商务在企业中广泛应用。电子商务通过使交易活动各环节电子化，能够帮助企业拓展商机，降低成本，创造更多的利润。但电子商务作为一种新的经营方式，在发展过程中也具有不可忽视的风险。企业必须对电子商务面临的风险问题给予高度重视，及时开展风险评估，制定风险控制策略，从而防范电子商务风险给企业带来的损失。

一、安全风险控制

电子商务应用需要依托于计算机网络，而互联网是全球性的开放网络，这一特点决定了网络的不安全性。黑客通过入侵网络窃取数据，使计算机系统瘫痪的问题屡见不鲜。随着信息技术的飞速发展，很多新型病毒迅速蔓延，黑客攻击早已大众化。而且互联网的TCP/IP协议本身就存在缺陷，网络黑客正是利用了协议的安全漏洞才能成功实现攻击。其次，网络软件的漏洞也容易引发安全风险。企业规模的扩大对应用软件也提出更高的要求，而对较大的应用软件实施彻底的测试尤为困难，因此软件测试留下的漏洞就会成为被攻击的对象。最后，企业的电子商务系统中存在多种操作系统，拥有不同型号的设备，传输介质不同，都有可能导致数据信息的泄漏或丢失。

为控制安全风险，企业应采用数据加密技术，对传输中的数据进行加密，在密钥、口令信息传递时加强对用户身份的鉴别，并注意随时更新数据完整性加密技术。其次，企业可使用防火墙和杀毒软件增强安全防护。防火墙通过设置网络屏障，能够阻止未经授权的用户访问信息，以屏蔽各种危险用户。企业安装正版杀毒软件也可随时升级，实现对病毒的动态监测。最后，企业还可使用数字签名实现对原始报文的鉴别。

二、防火墙技术

电子商务的安全问题，主要是在开放的网络环境中信息传递的完整、可靠和不失真，以及应对未经授权的非法入侵等方面的问题。防火墙是一种由计算机软件和硬件组成的隔离系统设备，用于在安全的企业内部网internet和大众的不安全的internet之间构筑一道防护屏障，能够按预先设置的条件对进出实体进行区分，实现内外有别。防火墙系统本身必须建立在“安全的”操作系统所提供的安全环境中，安全操作系统可以保护防火墙的代码和文件免遭攻击。防火墙能保护站点不被任意链接，甚至能建立反向跟踪工具，帮助总结并记录有关正在进行的连接资源、服务器提供的通信量以及试图闯入者的任何企图。一般来说，一个功能较为完整的防火墙基本组成包括外部过滤器、网关和内部过滤器。

在电子商务中，利用防火墙技术主要用来对支撑电子商务各种业务开展的网络平台进行安全防护，也可以说是商家、银行等组织的内部网络的第一道防护措旋，例如用于支撑网络支付的银行内部网络、商家的电子商务网站、客户的采购网络等。对于一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。

防火墙目的只是加强网络安全性，其应用也只是许多安全防护手段的一种，虽然具有上述许多优点，但并不能完全、绝对保证企业内部网络比如银行网络银行系统的安全。因为防火墙仍然存在许多缺陷和不足，而且有些缺陷是目前根本无法解决的。总体上讲，防火墙是一种被动式的安全防护手段，它只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和一些新的网络应用服务的出现，不可能靠一次性的防火墙设置来永远解决网络安全问题，而必须不断研发与升级。

全球电子商务作为网络化的新型经济活动，正以前所未有的速度迅猛发展，并成为各国增强经济竞争实力，赢得全球资源配置优势的有效手段。电子商务面临的安全隐患产生了对电子商务安全的需求。这一需求包括真正实现一个安全电子商务系统所要求做到的各个方面。防火墙技术可以大大提高网络的安全性。值得注意的是，要保证电子商务的安全，除r技术手段外，加强内部管理和制定相应的法律、法规也非常重要。

参考文献

[1]欧阳清洁.电子商务的风险及其防范措施[J].硅谷，2013（04）.

[2]张森，俞鱼.电子商务风险控制[J].经营与管理，2012（01）.

[3]赵松，李月华.企业电子商务风险管理探讨[J].中国商贸，2012（10）.

防火墙技术的应用研究 篇7

网络防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关 (代理服务器) 以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

2 加密技术

2.1 对称加密技术

在对称加密技术中, 对信息的加密和解密都使用相同的钥, 也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程, 信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露, 那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足, 如果交换一方有N个交换对象, 那么他就要维护N个私有密钥, 对称加密存在的另一个问题是双方共享一把私有密钥, 交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES (数据加密标准) 的一种变形, 这种方法使用两个独立的56为密钥对信息进行3次加密, 从而使有效密钥长度达到112位。

2.2 非对称加密/公开密钥加密

在非对称加密体系中, 密钥被分解为一对 (即公开密钥和私有密钥) 。这对密钥中任何一把都可以作为公开密钥 (加密密钥) 通过非保密方式向他人公开, 而另一把作为私有密钥 (解密密钥) 加以保存。公开密钥用于加密, 私有密钥用于解密, 私有密钥只能由生成密钥的交换方掌握, 公开密钥可广泛公布, 但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信, 广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上, 是计算机复杂性理论发展的必然结果。最具有代表性的是RSA公钥密码体制。

2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制, 其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止, 无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:

公开密钥:n=pq (p、q分别为两个互异的大素数, p、q必须保密)

e与 (p-1) (q-1) 互素

私有密钥:d=e-1 {mod (p-1) (q-1) }

加密:c=me (mod n) , 其中m为明文, c为密文。

解密:m=cd (mod n)

利用目前已经掌握的知识和理论, 分解2048bit的大整数已经超过了64位计算机的运算能力, 因此在目前和可预见的将来, 它是足够安全的。

3 PKI技术

PKI (Public Key Infrastructure) 技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心, 也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触, 因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术, 它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。

参考文献

防火墙的相关技术研究 篇8

关键词：防火墙,相关技术,研究

0前言

网络从诞生之日起,就逐渐的渗透进人们的生活、工作及学习当中,现在已发展成为人们生活中不可或缺的一部分,网络使人们的生活及工作方式发生了巨大的变化。然而伴随网络而来的各种网络安全问题也不断地发生,由此,人们高度重视网络安全问题,防火墙作为保护网络安全的防御技术,更是引起人们的广泛关注,防火墙技术是一种固定的技术,但是影响网络安全的问题是不断变化的,因此通过对相关技术的研究来完善防火墙的防御功能很有必要性。

1 防火墙概述

1.1 防火墙的概念

防火墙是一种隔离技术,能够有效地实现分开内部网及公众访问网。在两个网络实行通讯时,防火墙所进行的工作便是访问控制尺度,简单的说,就是当用户使用互联网时,经用户同意的人及数据可以进入其网络中,而未经同意的人及数据将会被防火墙拒之门外。网络中存在黑客,当黑客想要强行访问用户网络时,防火墙就会最大限度的发挥防御功能,防止黑客的进入。

1.2 防火墙的功能

防火墙主要具备四大功能 :第一,网络安全的屏障,对于内部网络来说,防火墙可以将不安全的服务过滤掉,进而有效地提高其安全性,只有经用户同意的应用协议才能通过防火墙,所以网络环境的安全性有了保证,同时,基于路由的网络攻击防火墙一样可以防御 ;第二,强化网络安全策略,在设置安全方案配置时以防火墙为中心,也就是在防火墙上集中所有的安全软件,比如口令、加密等,与将这些安全软件分散到各个主机上相比,集中于防火墙的方法更为高效 ;第三,对网络存取和访问进行监控审计,当访问都经过防火墙之后再发生访问行为,那么对于访问行为防火墙就可以很好的记录并生成日志记录,并将网络使用情况的相关数据完整的统计出来以供使用,当防火墙检测出可疑动作时,就会进行报警 ;第四,防止内部信息的泄露,对于内部网络来说,防火墙可以科学的将其划分,从而对重点网段实现有效的隔离,避免全局的网络受到局部重点安全问题的影响,内部网络的隐私问题是用户非常在意的一个问题,在内部网络中,可能一个经常被忽略的细节中就含有安全线索,这时,如果外部攻击者发现并产生兴趣,就会利用这一安全漏洞对内部网络进行攻击,而防火墙则可以将暴露安全漏洞存在的内部细节予以隐蔽,保护内部网络不受攻击。

1.3 防火墙的优缺点

在分析防火墙的优缺点时,要对具体的防火墙进行具体的分析。第一,包过滤防火墙。优点 :低水平控制每条网络包、检查每个IP包的字段、对于带有欺骗性的源IP地址包予以识别和丢弃、是两个网络之间唯一的访问来源、不需要由额外的系统来对包过滤进行处理 ;缺点 :包过滤防火墙的复杂性导致配置困难存在漏洞、为特定服务开放的端口存在着被用于其他传输的危险。第二,状态(动态)检测防火墙。优点 :对于IP包的每个字段都在过滤原则的基础上予以检查、对于带有欺骗性的源IP地址包予以识别、在应用程序信息的基础上对包的状态进行验证,通过的每个包的详细信息会进行记录 ;缺点 :状态(动态)防火墙在工作时网络连接会出现某种迟滞的现象。第三,应用程序代理防火墙。优点 :指定对连接的控制、对于网络中不必要的服务通过限制某些协议的传出请求来减少、几乎可以将所有的连接都记录下来 ;缺点 :在定制用户系统时有一定的范围限制、在代理连接方面存在着不支持的应用程序。第四,NAT。优点 :内部IP地址具有极强的隐蔽性、当公共IP地址缺乏时整个内部网络可以共用一个IP地址、可以启用基本的包过滤防火墙安全机制 ;缺点 :与包过滤防火墙的缺点基本相同。第五,个人防火墙。优点 :保护级别有效的提高、内外部攻击可以同时抵挡、保护公共网络中的单个系统 ;缺点 :在公共网络方面,物理接口只设置了一个。

2 防火墙的基本类型

2.1 包过滤型

这是防火墙类型中最初级的类型,对于流入和流出网络的各项数据,在保护其安全时应用自身的安全保护机制。包过滤型防火墙的组成部分是定义的各条数据安全规则,在设置防火墙时,可以以源地址、源端口、目的端口、协议等为基础,同时,在设置规则时,以地址簿为依据。在网络中包含着大量的数据,数据在进行传输时单位为“包”,在每个数据包中,都包含有特定的数据信息,在分析这些数据包是否安全可信任时,防火墙所采取的措施是读取数据包中的地址信息,一旦发现危险,防火墙就会拒绝数据包的传输。

2.2 网络地址转化—NAT

内部网络具有一定的IP地址,通过转换,将其转换为临时的、注册的外部IP地址,这就是网络地址转化。当用户需要访问外网时,通过网络地址转化省去了取得注册IP地址的步骤,在访问外部网络时,内部网络地址的真实信息都是被隐藏起来的,外部系统所获得地址和端口都是经过伪装的。这样的做法不仅可以满足用户访问外网的需求,还可以有效的保护内部网络的安全,同时,通过网络地址转化,使地址空间短缺的问题得到了有效的缓解,并且实现了节省资源及降低成本。

2.3 代理型

代理型防火墙具有极高的安全性,这也是这类型防火墙最大的优点。用户在访问服务器时,二者之间的数据包完全由应用代理接管,在被隔离的交换通道中实现数据传输。在代理型防火墙这里,外部主机是不允许连接到内部网络上的,而内部主机访问Internet主机是被允许的,但是需要使用代理服务器进行访问,另外,不是所有代理服务器都可以在访问中使用,只有可信任的代理服务器才被允许使用。

2.4 监测型

这是一种新型的防火墙技术,也称为状态检测防火墙,由Check Point公司引入。对于网络中的每一个有效连接,监测型防火墙都会对其状态进行监视,在监视过程中会得到大量的数据信息,通过分析之后决定数据包是否可以通过防火墙。在维护连接的协议状态方面,监测型防火墙可以实现动态的维护。

3 防火墙的相关技术

3.1 数据包过滤技术

基于Linux的防火墙技术 篇9

（一）了解防火墙

从理论上讲，防火墙是根据定义好的安全策略来限制计算机或网络的硬件或软件工具。它介于外部网络与被保护网络之间，实现对被保护网络的访问控制。现介绍的Linux防火墙是指软件部分，它可检查来自Internet的所有网络数据包，决定是应该允许进入、完全拒绝、忽略还是修改数据包。Linux常常用做防火墙。所有最近的Linux系统都提供了防火墙特性，以工具(iptables)的形式内建到Linux内核中。

（二）Netfilter/iptables框架结构

Linux系统提供了一个免费的防火墙——Netfilter/iptables防火墙框架，它可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。Netfilter组件也称内核空间 (KernelSpace) ，是用来实现防火墙的过滤器。iptalbes被称为用户空间 (UserSpace) ，是一个管理内核包过滤的工具，它为用户配置防火墙规则提供了方便，可以加入、插入或删除核心包过滤表(链)中的规则。Netfilter/iptables包含在Linux2.4以后的内核中，可以实现防火墙、NAT (Network Address Translation，网络地址转换)和数据包的分割等功能。Netfilter/iptables从ipchains和ipwadfm (IP防火墙管理)演化而来，功能更加强大。

内核模块可以注册一个新的规则表(table)，并要求数据包流经指定的规则表。这种数据包按则用于实现数据报过滤(filter表)，NAT及数据报处理(mangle表)。Linux内核的这三种数据报处理功能都基于netfilter的钩子函数和IP表，且都是相互间独立的模块，完美地集成到由netfilter提供的框架中。

（三）通过iptables使用防火墙

使用iptables命令可以将规则一个接一个地添加到正在运行的Linux内核中。使用iptables-save将这些规则保存到文件中，然后准备再次使用它们时，可使用iptables-restore读回它们。作为防火墙的管理程序，iptables为输入和输出规则链建立单独的数据包过滤规则以组成防火墙。定义防火墙规则的一个重要方面就是规则的定义顺序。数据包过滤规则以它们被定义的顺序存储在内核的输入、输出或转发规则链中。单个规则被插入到链的开头或添加到链的结尾。

1. 设置防火墙规则

下面将通过一些示例流程来简单说明防火墙的规则和可以进行设置的信息类型。假设计算机上有两个以太网接口，定义为eth0的接口与Internet连接，而定义为eth1的接口与受防火墙保护的专用计算机网络相连。而这些专用计算机是一组必须通过防火墙才能浏览Internet的桌面计算机。Iptables允许建立表格，此表格包含的规则用于处理进入计算机的IP数据包。过滤表中可用的链表包括INPUT(防火墙接收的数据包)、FORWARD(通过防火墙进行路由的数据包)和OUTPUT(本地防火墙自身创建的数据包)。

(1）从终端窗口中成为根用户：

(2）输入下列内容，可了解在系统上设置了哪些过滤防火墙规则：

该例的输出显示，目前没有为该Linux系统设置过滤规则，这意味着默认情况下所有数据包都会接受(policy ACCEPT)。

(3）这三条命令更改了计算机过滤数据包的默认行为：

在该例中改变了默认行为，因此所有进入网络接口(INPUT)、离开网络接口(OUTPUT)或请求通过它们(FORWARD)的数据包都被丢弃。此时，任何数据包都不应该进入或离开任何网络接口。可再次运行iptables–L，查看所有规则是否都已经从ACCEPT改为DROP。

(4）该步配置防火墙将如何去接收或拒绝ICMP数据包。

下例中，在Internet上的对于ICMP协议的请求，而被接收的数据包是ICMP类型8和11。

类型8服务允许计算机接受回应回复消息，这样用户就可以ping该计算机，了解它是否可用。

这两行定义的规则针对从任一来源(-s 0/0)进入计算机第一个以太网接口(eth0)的ICMP数据包。第一行表示ACCEPT类型8服务，第二行表示ACCEPT类型11服务。

(5）下例的命令定义允许数据包从本地计算机或由防火墙保护的专用局域网进出计算机：

这些命令的结果是从本地主机(lo)发送的所有数据包都被接受，无论这些数据包的来源是本地主机自身(-s127.0.0.1)，还是本地局域网的接口(-s 10.0.0.1)，或者Internet(-s 123.45.67.89)。IP地址10.0.0.1和123.45.67.89 (123.45.67.89不是真实的IP地址) 是到这些网络(实际的地址可能会不一样)的本地接口示例。

下面命令定义可接受防火墙计算机出站数据包：

与输入时的命令一样，防火墙将接受从任何本地防火墙接口(127.0.0.1、10.0.0.1和123.45.67.89)来的出站数据包。它还接受与专用局域网上的目的地址(10.0.0.0/24和10.0.0.255)有关的出站数据包。

(6）最后这组命令定义允许源自Internet的哪些数据包进入防火墙。

下面是一些具体规则的例子，通过这些设置可允许对服务器的请求：

前4行打开要给Internet上任何人提供的TCP服务的端口：FTP服务(--destination-port 21)、安全shell服务(22)、Web服务(80)和IDENTD认证(13)，其中最后一个设置对于像IRC这样的协议是必需的。

最后3行定义在哪个端口接受UDP服务的nternet连接数据包。本例中假定已在计算机上配置了DNS服务(--destination-port 53)。完成这部分流程后，新的防火墙规则就建立到Linux内核中，而不是存在于某个配置文件中。

2. 保存防火墙设置

当前内核中的防火墙的规则设置好后，可以使用iptables-save命令保存它们，以便日后能使用iptables-restore命令重新装载它们。下面是使用iptables-save命令的例子：

3. 检查防火墙

当配置好防火墙后，应该对其进行检查，确保它会它会按要求正确地对外运作。在本文的示例流程中，eth0连接到Internet，而eth1连接到本地局域网。如：可用nmap是来检查网络接口上有哪些服务。

4. 将iptables用作透明代理

可以使用REDIRECT将防火墙计算机上具体端口的流量定向到一个不同的端口。利用该功能可在没有察觉的情况下将本地局域网上的主机改为防火墙计算机上的代理服务。

下面是命令行示例，它将一个对web服务(端口80)的请求定向到一个代理服务器(端口3128):

在该例中，任何去往端口80(--dport 80)的数据包都被重定向到端口3128(--to-ports 3218)。注意路由数据包之前会更改数据包(–A PREROUTING)。

（四）总结

Linux防火墙可以对常见的蠕虫、探测扫描、病毒等大多数攻击具有良好的抵御作用。Linux防火墙具有很好的灵活性，可以方便地对防火墙进行功能扩充。由于配置了防火墙，可能引起如FTP、QQ、MSN等协议软件无法正常使用，也有可能引起RPC (远程过程调用) 无法执行，这需要用户根据实际情况来配置相应的服务来开启这些服务。须特别注意的是，防火墙也可能被内部攻击，它并不是万能的，还需要和入侵检测等其它网络安全技术配合使用，一起构成完整的网络安全解决方案。

摘要：描述了防火墙在网络安全中的作用和重要性, 介绍Linux防火墙的Netfilter/iptables防火墙框架, 并对通过iptables使用防火墙这一方法列出了实例配置和分析。

关键词：Linux,防火墙,网络安全

参考文献

[1][美]威尔 (Wehrle, K) , 等.Linux网络体系结构[M].汪青青, 卢祖英, 译.北京:清华大学出版社, 2006 (7) .

[2]朱居正, 高冰.Red Hat Enterprise Linux网络管理[M].北京:清华大学出版社, 2005 (6) .

浅谈防火墙的基础技术 篇10

关键词：网络安全,防火墙,技术

引言

随着网络的普及和推广, 电子商务的规模越来越大, 网络安全已经不仅仅是科技人员和少数黑客所涉足的领域, 庞大的网络用户也必须进行了解和掌握, 以便能够在网络交易中确保自己财产和个人信息的安全, 如何更有效的保护重要信息数据, 已经成了全世界共同关注的话题, 防火墙可以提高和加强网络的安全性, 保护当今的网络安全。所以防火墙的基础技术普及是至关重要的。

1 防火墙概述

防火墙是一种将内部网络和公众网络分开的方法, 其实它是一种隔离技术, 是在两个网络通讯时执行的一种访问控制尺度, 最大限度的阻止黑客访问你的网络。

2 防火墙功能特性与分类

主要功能分为访问控制和业务感知: (1) 逻辑区域过滤器; (2) 隐藏内网网络结构; (3) 自身安全保障; (4) 主动防御攻击。防火墙按照形态分为硬件防火墙和软件防火墙;按照保护对象可分为单机防火墙和网络防火墙;按照访问控制方式可分为包过滤防火墙、代理防火墙和状态检测防火墙, TCP-IP层-数据链路层-PC-防火墙-服务器-数据链路层-IP层-TCP层。防火墙组网方式:二层以太网接口 (对网络拓扑透明、不需要更改组网) ;三层以太网接口 (支持更多安全特性、对网络拓扑有所影响)

防火墙硬件平台分类

(1) intel X86 适用于百兆网络, 受CPU处理能力和PCI总线速度的限制。

(2) ASIC硬件集成电路, 它把指令或计算机逻辑固化到硬件中, 提升防火墙性能。

(3) NP网络处理器是专门为处理数据包而设计的可编程处理器, 是X86 与ASIC之间的折衷方案。

(4) 多核新一代的硬件平台。多核方案, 更高的集成度、更高效的核间通信和管理机制。

什么是安全区域?安全区域 (Security Zone) , 或者简称为区域 (Zone) 。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。

防火墙安全区域分类: (1) 缺省安全区域:a. 非受信区域Un-trust;b.非军事化区域DMZ;c.受信区域Trust;d.本地区域Local。

防火墙安全攻击防范:

网络攻击主要分为四大类: (1) 流量型攻击; (2) 扫描窥探攻击; (3) 畸形报文攻击; (4) 特殊报文攻击。

防火墙报文统计:

(1) 报文统计。对于防火墙来说, 不仅要对数据流量进行监控, 还要对内外部网络之间的连接发起情况进行检测, 因此要进行大量的统计、计算与分析。

(2) 防火墙对报文统计结果的分析有两个方面。a.专门的分析软件事后分析日志信息。b.防火墙实时完成一部分分析功能。

防火墙黑名单:

(1) 黑名单。黑名单是一个IP地址列表。防火墙将检查报文源地址, 如果命中, 丢弃所有报文。并且快速有效地屏蔽特定IP地址的用户。

(2) 创建黑名单表项, 有如下两种方式:a.通过命令手工创建。b.通过防火墙攻击防范模块或IDS模块动态创建。

防火墙性能指标:

(1) 吞吐量:防火墙能同时处理的最大数据量。

(2) 有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率。

(3) 时延:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标, 是用于测量防火墙处理数据的速度理想的情况。

(4) 每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP连接, 是用来衡量防火墙数据流的实时处理能力。

(5) 并发连接数:防火墙是针对连接进行处理报文的, 并发连接数目是指防火墙可以同时容纳的最大连接数目, 一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数。

3 防火墙设备管理

3.1 设备登陆管理

(1) 通过console口登陆设备:USG配置口登陆的缺省用户名为admin, 缺省用户密码为Admin@123。其中, 用户名不区分大小写, 密码要区分大小写。

(2) 通过web方式登陆设备:设备缺省可以通过Gigabit Ether-net0/0/0 接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连, 或者通过交换机中转相连。在PC的浏览器中访问http;//192.168.0.1, 进入Web界面的登录页面。缺省用户名为admin, 密码为Admin@123。

(3) 通过telnet方式登陆设备:设备缺省可以通过Gigabit Ether-net0/0/0 接口来实现Telnet登录。将管理员PC的网络连接的IP地址获取方式设置为 “ 自动获取IP地址”。 通过Putty tel-net192.168.0.1, 进入登录页面。缺省用户名为admin, 密码为Ad-min@123。

(4) 通过ssh方式登陆设备:新建用户名为Client001 的SSH用户, 且认证方式为password。

3.2 设备文件管理

3.2.1 配置文件类型:saved-configuration current-configuration

3.2.2 配置文件操作

(1) 保存配置文件; (2) 擦出配置文件 (恢复出厂设置) ; (3) 配置下次启动时的系统软件和配置文件; (4) 重启设备。

4 防火墙基本配置

(1) Vrp命令行级别分为:参观级、监控级、配置级、管理级。 (2) vrp命令视图:用户视图、系统视图、接口视图、协议视图。

5 结束语