防火墻技術論文
防火墻作為基本的網絡安全要素,被廣泛應用于各種網絡環(huán)境中,學習啦小編整理的防火墻技術論文,希望你能從中得到感悟!
防火墻技術論文篇一
網絡安全之防火墻技術
摘要:隨著互聯(lián)網的發(fā)展,網絡應用高度發(fā)達,網絡安全問題日益突出。防火墻作為基本的網絡安全要素,被廣泛應用于各種網絡環(huán)境中,并且正在發(fā)揮著重要作用。
關鍵詞:網絡安全 防火墻
1 概論
當今社會互聯(lián)網高度發(fā)達,幾乎全世界的計算機都通過因特網聯(lián)系在了一起。網絡安全也成了互聯(lián)網用戶每時每刻要面對的問題。現(xiàn)在,網絡安全已經成了專門的技術。保證網絡安全有很多種措施,包括防火墻技術、數(shù)字簽名、數(shù)據(jù)加密解密技術、訪問控制、身份認證技術等,其中防火墻技術使用最廣泛,實用性最強。
2 防火墻技術
防火墻技術是一個由硬件設備和軟件組合而成,在內部網和外部網之間的界面上構造的保護屏障,是形象的說法。防火墻既可以是一個硬件設備也可以是運行在一般硬件上的一套軟件。防火墻能加強網絡之間訪問控制,防止外網用戶以非法手段訪問內部網絡,保護內部網絡環(huán)境。防火墻能很好的保護用戶,入侵者只有穿過防火墻,才能接觸到用戶計算機。防火墻可以阻擋大部分的網絡進攻,能滿足絕大多數(shù)用戶的需要。
3 防火墻分類
3.1 從實現(xiàn)方式上分 從實現(xiàn)方式上防火墻可以分為軟件防火墻和硬件防火墻兩類。軟件防火墻以純軟件的方式實現(xiàn),只能通過軟件設置一定的規(guī)則來限制外網用戶非法訪問內部網絡。軟件防火墻功能相對簡單,價格便宜,廣泛應用于小型企業(yè)及個人用戶。硬件防火墻指通過軟硬件的結合的方式來隔離內部外部網絡,效果很好,但是價格昂貴,只適用于大型企事業(yè)單位。
3.2 從架構上分 防火墻從架構上分可以分為通用CPU架構、ASIC架構和網絡處理器(NP)架構三種。
通用CPU架構以基于Inter X86架構的防火墻為代表。其特點是靈活性高和可擴展性好。由于PCI總線速度較低,CPU處理能力弱,通用CPU架構防火墻的數(shù)據(jù)吞吐量較低,和理論值2Gbps有很大差距。該架構的防火墻通常作為百兆級防火墻。
ASIC(Application Specific Integrated Circuit專用集成電路)技術是高端網絡設備廣泛采用的技術。其采用了多總線技術、數(shù)據(jù)層面、控制層面分離與硬件轉發(fā)模式等技術。ASIC架構防火墻解決了寬帶容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。ASIC架構防火墻是世界公認的滿足千兆骨干級網絡應用的技術方案,線速可達千兆。ASIC技術的優(yōu)勢體現(xiàn)在對網絡層的數(shù)據(jù)轉發(fā),而對應用層的數(shù)據(jù)處理不占優(yōu)勢。
網絡處理器(NP)是專門為處理數(shù)據(jù)包而設計的可編程處理器,它具有高處理能力、開放的編程接口、完全的可編程性、簡單的編程模式等優(yōu)點。
NP內含多個數(shù)據(jù)處理器,可以并發(fā)處理數(shù)據(jù)。數(shù)據(jù)處理能力較通用處理器強大很多,處理一般性任務時可以達到線速。網絡處理器架構下的產品成本比通用CPU架構的成本要高,而處理能力比ASIC價格低。但是網絡處理器架構防火墻集成度高由于有多個數(shù)據(jù)處理器,能夠勝任高速數(shù)據(jù)處理。
3.3 從技術上分 目前有很多種防火墻技術,根據(jù)采用技術的不同,總體可以分為兩大類:包過濾型和應用代理型。
3.3.1 包過濾型防火墻 包過濾型防火墻是最原始的防火墻,作用在網絡層和傳輸層,技術依據(jù)是數(shù)據(jù)在網絡中采用分組傳輸技術。數(shù)據(jù)在網絡中傳輸前先被劃分為多個數(shù)據(jù)包,每個數(shù)據(jù)包都包含一些特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等標志。防火墻根據(jù)這些信息判斷數(shù)據(jù)是否安全。滿足防火墻過濾條件的數(shù)據(jù)包被轉發(fā)到相應的目的地址,其余數(shù)據(jù)包則被丟棄。
在包過濾防火墻的發(fā)展過程中,出現(xiàn)了第一代靜態(tài)包過濾型防火墻第二代動態(tài)包過濾型防火墻。
靜態(tài)包過濾防火墻根據(jù)管理員預先定義好的數(shù)據(jù)過濾規(guī)則檢查每個數(shù)據(jù)包,與過濾規(guī)則匹配成功則丟棄,否則讓其通過。過濾規(guī)則基于數(shù)據(jù)包中的特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等。
動態(tài)包過濾型防火墻的包過濾規(guī)則采用動態(tài)設置的方法,解決了靜態(tài)包過濾型防火墻出現(xiàn)的問題。該技術后來發(fā)展成為狀態(tài)監(jiān)測(Stateful Inspection)包過濾技術。采用這種技術的防火墻利用狀態(tài)表跟蹤所有的網絡會話狀態(tài),不僅根據(jù)規(guī)則表檢查每一個包,還根據(jù)會話所處的狀態(tài)檢查數(shù)據(jù)包。狀態(tài)檢測防火墻規(guī)范了網絡層和傳輸層的數(shù)據(jù)傳輸行為,增強了控制能力。狀態(tài)檢測防火墻對通過其建立的每一個連接都進行跟蹤,并且可根據(jù)需要在過濾規(guī)則中動態(tài)地增加或更新條目。
包過濾技術既簡單實用,又能適用于所有的網絡服務,基本上能滿足大多數(shù)企業(yè)的安全要求。但是包過濾技術也有它的缺點。該技術是基于網絡層的安全技術,只能根據(jù)數(shù)據(jù)包的數(shù)據(jù)來源、目標地址和端口號等信息判斷是否安全。對于應用層的入侵,如惡意軟件以及文件附帶的病毒則無能為力。因為偽造IP地址,騙過包過濾型防火墻對于有經驗的黑客來說并不是一件難事。為特定服務開放的端口存在著一定的受攻擊風險。
3.3.2 應用代理型防火墻 應用代理型防火墻工作在應用層。它通過對各種應用服務編制專門的代理程序,實現(xiàn)監(jiān)控應用層通信流的作用。
在代理型防火墻技術的發(fā)展過程中,出現(xiàn)了第一代應用網關型代理防火和第二代自適應代理防火墻。
應用網關型防火墻有時也被稱為代理服務器,其安全性遠高于包過濾型防火墻。該防火墻位于服務器與客戶機之間,對于服務器來說,它相當于客戶機;對于客戶機來說,它相當于服務器。從客戶機發(fā)出的數(shù)據(jù)包經過防火墻處理后,可以隱藏內部網結構。由于外部客戶機與內部服務器之間沒有直接通信,所以外部的行為一般不會影響內部服務器。這種類型的防火墻被公認為是最安全的防火墻。它的核心技術就是代理服務器技術。
自適應代理型防火墻是一種新型防火墻,近年來得到了廣泛的應用。它既具有包過濾防火墻的高速度的優(yōu)點又具有代理類型防火墻的安全性的優(yōu)點,能在不降低安全性的基礎上將防火墻的性能提高數(shù)倍。自適應代理型防火墻的基本組成要素包括動態(tài)包過濾器和自適應代理服務器。
應用代理型防火墻是為防范應用層攻擊設計的,它可以篩選保護OIS網絡模型中的任意層數(shù)據(jù)通信。應用代理型防火墻有以下優(yōu)點:隱藏內部IP;限制某些協(xié)議的傳出請求;指定對連接的控制;能夠記錄連接日志,對追蹤攻擊和非法訪問很有用。
應用代理防火墻的缺點:用戶每次連接都要認證,帶來不便;用戶系統(tǒng)須定制;速度相對較慢,當網絡通信速率較高時,就會影響內外部通信,但通常情況下不會很明顯。
4 結束語
防火墻系統(tǒng)只是一種網絡安全防護手段,并不能保證網絡安全萬無一失。它只能防護經過自身的非法訪問和攻擊,某些惡意的訪問可以通過客戶機的軟件繞過放過防火墻,傳輸非法數(shù)據(jù)。另外對于數(shù)據(jù)驅動式攻擊、帶病毒的數(shù)據(jù)防火墻都不能直接攔截。
單純的防火墻技術逐漸不能滿足人們對網絡安全的需要,防火墻技術的改進及與其他網絡安全技術結合使用已經成為網絡安全的重要手段。主要的技術手段有:多級過濾技術、分布式防火墻、入侵檢查系統(tǒng)、入侵防御系統(tǒng)。
隨著計算機技術的發(fā)展,防火墻技術會不斷的向前發(fā)展,網絡安全問題也會不斷涌現(xiàn)。只有不斷改進安全策略,才能保證網絡安全穩(wěn)定的發(fā)展。
參考文獻:
[1]伍錦群.防火墻技術的探討[J].長春理工大學學報.2008,(03).
[2]莊健平.防火墻技術與網絡安全[J].電腦編程技巧與維護.2010,(22).
[3]黃惠烽.計算機網絡安全與防火墻技術[J].科技信息,2007,(08).
防火墻技術論文篇二
防火墻技術的研究
【摘要】本文首先介紹了防火墻的起源,以及防火墻的基本概念和防護墻的基本原理。重點講述了防火墻的幾種配置方式,以及幾種配置方式存在的問題。然后指出存在了防火墻的發(fā)展趨勢。
【關鍵詞】防火墻;信息安全;預警監(jiān)視
1 概述
自從美國賓夕法尼亞大學成功研發(fā)出第一臺計算機,到如今計算機已經發(fā)生了巨大的變化。計算機發(fā)生巨大的變化之一,即是計算機之間的通信。計算機之間的通信的基礎是計算機網絡技術。計算機網絡技術的快速發(fā)展,使大量的計算機連接到互聯(lián)網上。計算機通過互聯(lián)網進行通信和從事各種各樣的商業(yè)活動。人們通過計算機進行交流和商業(yè)活動,這就給一些不法分子有了可乘機,通過計算機技術的漏洞進行違法犯罪的活動,這些活動主要包括竊取別人的銀行賬戶和密碼,監(jiān)聽別人的通話,竊取商業(yè)機密,更有甚者是破壞別人的電腦等等。以上的犯罪活動更加凸顯了網絡安全的重要性,如何才能保護用戶的網上活動,已經成為一件很重要的事情。防火墻這項技術的出現(xiàn)有效的解決了上述的問題。作為網絡安全基礎設備,防火墻的主要功能是有選擇的接受一些安全的信息,而把那些具有安全隱患的信息隔離在網絡的外部。這樣就能保證用戶的電腦安全,另外,防火墻也是一種經濟的產品。
2 防火墻
2.1什么是防火墻
防火墻也稱為防護墻是由Gil Shwed于1993年發(fā)明并且寫入到國際互聯(lián)網,防火墻更確切的說是信息安全的保護系統(tǒng)。它被放到各種不同的網絡之間,網絡之間的信息通信都要經由防火墻的篩選,并且防火墻可以設定不同的規(guī)則,具體是根據(jù)企業(yè)的不同的安全政策來篩選信息。防火墻自身具有很強的保護能力,能夠有效的抵抗不同的網絡攻擊。它是提供信息安全服務,實現(xiàn)網絡和信息安全的基礎設施。
2.2防火墻的原理
科學技術的快速發(fā)展,促進了網絡技術的迅速發(fā)展,網絡的開放度和規(guī)模也隨之擴大,這就導致網絡上涉及到個人隱私的信息和數(shù)據(jù)或多或少的會遭到主動或被動的攻擊。為了保護網絡上個人信息的能夠采用方法有,第一給所有的服務器安裝入侵檢測,第二、安裝防火墻。對于第一種方法有點不現(xiàn)實,因為服務器的數(shù)量和網點的數(shù)量比較多。另外,每個服務器上運行的操作系統(tǒng)不可能相同,當網絡暴露出安全隱患時,對每個節(jié)點都進行更改和修復所存在的問題,都將是一件困難的事。對于第二方法就是采用防火墻的技術,防火墻的主要功能是在企業(yè)內部的網絡和外部的互聯(lián)網設立一個安全接口。外部網絡的信息想要訪問內部網絡的信息就需要防火墻的篩選。對于安全的信息防火墻防火墻會允許訪問內部網絡的信息,對于不安全的信息會被禁止訪問內部信息。
2.3防火墻的特點
防火墻所擁有的特點如下:
(1)防火墻具有對一些特別的站點進行支持,特供多種的服務支持。這些支持主要包括FTP、HTTP、WWW瀏覽器支持。
(2)防火墻具有預警和監(jiān)視網絡安全的能力,并且能夠對用戶的秘密信息進行加密,以保證用戶的消息或者具有商業(yè)價值的數(shù)據(jù)不被損壞。
(3)防火墻具有設置特定用戶的能力,通過安裝客戶端設置安全的用戶能夠訪問你的網絡,把一些危險的用戶設置為不能訪問,可以有效的保護自身的網絡安全。
(4)防火墻能夠有效的解決欺騙的問題,具體是指一些具有外部網絡的入侵者通過模擬內部網絡的數(shù)據(jù)包,來欺騙防火墻。但是防火墻具有檢測真?zhèn)蔚哪芰Α?/p>
(5)防火墻具有跨平臺支持的能力,能夠在一個系統(tǒng)上安裝管理軟件來指揮另一個平臺軟件的運行。
(6)防火墻具有保護郵件的功能,具體是指能夠使網絡遠離郵寄服務的入侵。
3 防火墻的配置
如果防火墻處于未連通的狀態(tài),所謂連通的狀態(tài)是指是指服務器之間沒有建立連接,沒有完成握手協(xié)議,這個時候任何數(shù)據(jù)都無法穿越防火墻。但是防火墻內部的主機之間可以進行通信。具體的通信規(guī)則如下:
一般把區(qū)域劃分為3個部分內部區(qū)域(inside)、外部區(qū)域(outside)、以及dmz區(qū)域。
對于內部區(qū)域能夠與所有的外部區(qū)域和dmz區(qū)域進行通信。其中內部區(qū)域訪問dmz區(qū)域需要static的配合。而外部區(qū)域訪問dmz區(qū)域需要acl的配合。
Static主要是指靜態(tài)地址轉換,acl是指訪問控制列表。
防火墻的配置方式主要有三種方式分別是Screened-subnet、Dual-homed、Screened-host方式。
(1)Screened-subnet主要有兩個部分組成Screeningrouter和Bastionhost。通過兩個部分在外部網絡和內部網絡之間形成一個隔離的區(qū)域,這個區(qū)域即是“?;饏^(qū)”。防火墻的這種配置方式具有的優(yōu)點是安全性非常好,但是費用太高。
(2)防火墻中配置方式中最簡單的一種方式是Dual-homed。在內部網絡和外部網絡之間放置Dual-homed Gateway,這種方式也是Bastionhost。這種配置方式的優(yōu)點是價格低廉,
(3)防火墻配置方式中Screened-host方式,為了更好的保護Bastionhost,為它建立了Screeningrouter作為安全屏障。另外這個結構主要依靠Screeningrouter和Bastionhost,其中之一被破壞,全部網絡會被破壞。
4 防火墻的發(fā)展趨勢
傳統(tǒng)的防火墻只能夠保護內部網絡的安全性,但是對于整個網絡的整體性能不具有整天協(xié)調性。因此,作為防火墻的發(fā)展方向應該更好的完善防火墻的整體性能。另外,傳統(tǒng)的防火墻盡管能夠對內部網絡提供較高的安全保護,通過提高安全級別。但是提高防火墻的安全級別是通過降低帶寬來實現(xiàn)的,這就很大的限制了網絡的運行效率。評價防火墻的優(yōu)劣主要是通過評價通過防火墻的數(shù)據(jù)量。因此下一代防火墻的發(fā)展方向就是在提高防火墻的安全級別基礎上,如何提高通過防火墻的數(shù)據(jù)量。另外,現(xiàn)在很多防火墻都支持NAT技術,但是使用NAT技術之后對防火墻的安全性能有所影響,如何減少這個影響也是防火墻的發(fā)展趨勢之一。
5 結束語
互聯(lián)網技術的快速發(fā)展,越來越多的電腦連接到Internet。導致網絡安全的問題越來越明顯。因此防火墻這項技術受到越來越多網絡安全人士的關注。為了保護國家信息的安全,國家加大對防火墻技術研究的支持。使得防火墻技術在我國有了很大發(fā)展。另外,防火墻還處在進步的階段,有很大的提升空間。
參考文獻:
[1]陳斌等.網絡設計,電子工業(yè)出版社,2005,9
[2]朱雁輝.WLNDOWS防火墻與網絡技術,電子工業(yè)出版社,2002,4
[3]常紅等.網絡安全技術與反黑客,冶金工業(yè)出版社,2001,6
[4]袁家政.計算機網絡安全與應用技術,清華大學出版社,2002,5
[5]胡道元.計算機網絡,清華大學出版社,1999,1
[6]刑鈞.網絡安全與防火墻技術,電子科技大學出版社,2004,3
[7]謝希仁.計算機網絡工程基礎,電子工業(yè)出版社,2002,5
看了“防火墻技術論文”的人還看:
3.安全防范技術論文