防火墻技術(shù)

　　防火墻技術(shù)【1】

　　摘 要： 隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到各種領(lǐng)域，網(wǎng)絡(luò)中的重要、敏感數(shù)據(jù)也越來越多。

　　由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。

　　通過分析網(wǎng)絡(luò)安全面臨的威脅和對局部網(wǎng)絡(luò)有很好保護(hù)作用的防火墻技術(shù)，對用戶如何使用防火墻給予一定的參考建議。

　　關(guān)鍵詞： 網(wǎng)絡(luò)安全;防火墻;包過濾;應(yīng)用層網(wǎng)關(guān)

　　0 引言

　　網(wǎng)絡(luò)的快速發(fā)展給人們帶來了極大的方便，不出家門便可坐知天下事、完成相應(yīng)工作。

　　同時因特網(wǎng)也面臨著空前的威脅，各類網(wǎng)絡(luò)違法案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。

　　目前新一代的計算機(jī)病毒將具有更多智能化的特征。

　　因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注。

　　防火墻技術(shù)作為內(nèi)、外網(wǎng)之間的屏障，可以有效的防御網(wǎng)絡(luò)攻擊。

　　因此探索防火墻技術(shù)及如何選用合適的防火墻是非常必要的。

　　1 網(wǎng)絡(luò)安全面臨的威脅

　　計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自三個方面

　　1)計算機(jī)病毒。

　　當(dāng)前，計算機(jī)病毒高達(dá)數(shù)萬種，病毒通過各種途徑進(jìn)入網(wǎng)絡(luò)，破壞網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)不能正常工作甚至癱瘓。

　　2)黑客侵襲。

　　黑客以非法的手段進(jìn)入網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源。

　　通過隱蔽通道進(jìn)行非法活動，通過匿名用戶破壞網(wǎng)絡(luò)，通過網(wǎng)絡(luò)監(jiān)聽截取用戶名和密碼，非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)，突破防火墻等。

　　3)拒絕服務(wù)攻擊。

　　強(qiáng)行占用系統(tǒng)資源，使系統(tǒng)無法完成正常的需求響應(yīng)。

　　例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。

　　嚴(yán)重時會使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。

　　針對各種網(wǎng)絡(luò)威脅，我們應(yīng)該采用相應(yīng)的安全技術(shù)，例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)、文件系統(tǒng)安全等技術(shù)。

　　2 防火墻技術(shù)

　　2.1 防火墻的概念

　　防火墻是設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

　　它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動， 保證了內(nèi)部網(wǎng)絡(luò)的安全。

　　2.2 防火墻的分類

　　防火墻總的來說可以分為兩類：軟件防火墻和硬件防火墻。

　　軟件防火墻需要以一臺計算機(jī)為載體，通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡(luò)管理和防御的功能，有時也稱為“個人”防火墻，功能有限。

　　硬件防火墻集成了軟硬件功能，并且軟、硬件都單獨(dú)設(shè)計，采用專用的網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。

　　有自己特定的系統(tǒng)平臺，避免了通用操作系統(tǒng)的安全性漏洞。

　　功能強(qiáng)大，目前已經(jīng)普遍使用。

　　我們下面多說的防火墻都只硬防火墻。

　　2.3 硬防火墻技術(shù)

　　我們在使用防火墻是首先要考慮是使用硬、還是軟防火墻。

　　硬件防火墻由于獨(dú)立的芯片，在性能和自身安全性方面都較軟件防火墻先進(jìn)許多，在資金允許的情況下，盡量選擇硬防火墻。

　　對于硬防火墻根據(jù)采用的過濾技術(shù)可分為：

　　2.3.1 包過濾防火墻。

　　包過濾防火墻是最簡單的一種防火墻，又分為動態(tài)包過濾和靜態(tài)包過濾型防火墻。

　　一般作用在網(wǎng)絡(luò)層，故也稱網(wǎng)絡(luò)層防火墻或IP過濾器。

　　它工作在IP 層和TCP層，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。

　　處理包的速度比應(yīng)用型防火墻快，且提供透明的服務(wù)，用戶不用改變客戶端程序。

　　但因只涉及到TCP層，因此提供的安全級別較低;而且不支持用戶認(rèn)證;不提供日志功能。

　　目前在廣大中小型企業(yè)中應(yīng)用最廣，主要是價格便宜，性能也不錯。

　　安全性不足的缺點(diǎn)在這類企業(yè)中表現(xiàn)的不明顯。

　　2.3.2 應(yīng)用代理型防火墻。

　　應(yīng)用代理型防火墻是目前最為主流的防火墻技術(shù)，也是應(yīng)用最廣的防火墻類型。

　　特別是在一些中型或中型以上的網(wǎng)絡(luò)中。

　　有非常全面的安全防護(hù)技術(shù)和措施，可以為企業(yè)提供全方位的安全防護(hù)和管理，但價格比包過濾型要貴許多。

　　明顯缺點(diǎn)是速度比包過濾型慢。

　　2.3.3 狀態(tài)包過濾型防火墻。

　　這類防火墻屬于混合型防火墻，具有包過濾和應(yīng)用代理兩種技術(shù)的優(yōu)勢。

　　傳輸速率和安全性得到進(jìn)一步提高。

　　尚處于發(fā)展之中，只是一些較大型企業(yè)或應(yīng)用復(fù)雜的網(wǎng)絡(luò)中采用，如WEB服務(wù)器、數(shù)據(jù)庫應(yīng)用、電子商務(wù)應(yīng)用等。

　　2.4 防火墻使用參考

　　2.4.1 小型辦公和家用網(wǎng)絡(luò)。

　　小型辦公和家用網(wǎng)絡(luò)(small office home office.SOHO)要管理的用戶和機(jī)器比較少，且只需要訪問極少量的網(wǎng)絡(luò)服務(wù)，如電子郵件、web以及有時需要的流媒體。

　　在這種情況下，簡單的數(shù)據(jù)包過濾防火墻就可以了。

　　現(xiàn)在大部分的SOHO路由器都具有防火墻、VPN、地址映射、端口映射、DHCP服務(wù)、自動撥號、支持虛擬服務(wù)器以及動態(tài)DNS功能。

　　華為Quidway R1600，清華同方D-link、Netgear，3Com等公司的寬帶路由。

　　Cisco和check point也提供小型辦公版本的PIX和FireWall-1，但價格要高一些。

　　2.4.2 中小企業(yè)網(wǎng)絡(luò)。

　　中小型企業(yè)網(wǎng)絡(luò)以及遠(yuǎn)程辦公環(huán)境需要提供WEB服務(wù)、電子郵件、流媒體以及文件傳輸和終端訪問。

　　防火墻多考慮高容量、高速度、低延時、高可靠性以及防火墻本身的健壯性，并且開始支持雙機(jī)熱備份。

　　東軟NetEye、WatchGuard Firebox、和SonicWall等產(chǎn)品比較適合這種場合。

　　2.4.3 大型網(wǎng)絡(luò)。

　　大型企業(yè)、校園網(wǎng)和服務(wù)提供商面對的是復(fù)雜的大型環(huán)境，擁有眾多用戶并提供眾多復(fù)雜服務(wù)，有些服務(wù)看似簡單，但需要防護(hù)墻開發(fā)多個端口，如：VoIP和NetMeeting，這兩種服務(wù)都需要為25種以上的不同服務(wù)開放端口。

　　固在復(fù)雜的網(wǎng)絡(luò)中，應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻。

　　如：Cisco PIX、Check Point FireWall-1和NetScreen等。

　　3 總結(jié)

　　防火墻在網(wǎng)絡(luò)安全中的重要性是眾所周知的，選擇合適的防火墻是在組建網(wǎng)絡(luò)時應(yīng)首先考慮的問題。

　　但我們要明白盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對安全。

　　參考文獻(xiàn)：

　　[1]王東海，計算機(jī)網(wǎng)絡(luò)安全技術(shù)的分析與研究[J].科技廣場，2005，10：109-111.

　　[2]李偉超、張宏亮，淺析新形勢下的計算機(jī)及網(wǎng)絡(luò)安全[J]，電腦知識與技術(shù)，2005：73-74.

　　[3]魏利華，防火墻技術(shù)及其性能研究，能源研究與信息，2004，20(l)：57-62 .

　　[4]趙輝，防火墻技術(shù)淺析[J].科技資訊，2009，06：18.

　　[5]薛質(zhì)、蘇波等，信息安全技術(shù)基礎(chǔ)和安全策略[M].北京：清華大學(xué)出版社，2007.

　　[6]王艷，淺析計算機(jī)安全[J].電腦知識與技術(shù)，2010，10：56-61.

　　[7]周筱連，計算機(jī)網(wǎng)絡(luò)安全防護(hù)[J].電腦知識與技術(shù)，2007(1)：148.

　　防火墻技術(shù)【2】

　　摘要：防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是限制非法流量，保護(hù)內(nèi)部子網(wǎng)。

　　關(guān)鍵詞：防火墻 智能 分布式 嵌入式

　　網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，給人們的生活帶來了全新的感受，人類社會各種活動對信息網(wǎng)絡(luò)的依賴程度也越來越大。

　　但是因特網(wǎng)提供給人們的不僅僅是精彩，還存在各種各樣的危險和陷阱，據(jù)有人統(tǒng)計在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)遭受過黑客的困擾，網(wǎng)絡(luò)安全問題已經(jīng)日益突出地擺在各類用戶的面前。

　　大量事實證明，正確安裝使用防火墻，是提高網(wǎng)絡(luò)安全性能、解決網(wǎng)絡(luò)非法入侵行之有效的辦法。

　　1、防火墻的概念及作用

　　防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。

　　而這里所說的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。

　　在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域與安全區(qū)域的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。

　　防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。

　　防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時又抵制對網(wǎng)絡(luò)內(nèi)容構(gòu)成威脅的數(shù)據(jù)。

　　2、防火墻的基本類型

　　目前市場上的防火墻形式多樣，有以軟件形式運(yùn)行在普通計算機(jī)之上的，也有以固件形式設(shè)計在路由器之中的。

　　總的來說可以分為三種：包過濾防火墻、代理服務(wù)器和狀態(tài)監(jiān)視器。

　　2.1 包過濾防火墻

　　包過濾防火墻檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。

　　如果防火墻設(shè)定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。

　　這種防火墻的用法很多，比如國家有關(guān)部門可以通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些違反我國有關(guān)規(guī)定或者“有問題”的國外站點(diǎn)。

　　2.2 代理服務(wù)器

　　代理服務(wù)器通常也稱作應(yīng)用級防火墻，它像真的墻一樣擋在內(nèi)部用戶和外界之間，特別是從外面來的訪問者只能看到代理服務(wù)器而看不到任何的內(nèi)部資源，而內(nèi)部客戶可以自由訪問外部站點(diǎn)，根本感覺不到它的存在。

　　代理可以提供極好的訪問控制、登錄能力以及地址轉(zhuǎn)換功能，對進(jìn)出防火墻的信息進(jìn)行記錄，便于管理員監(jiān)視和管理系統(tǒng)。

　　2.3 狀態(tài)監(jiān)視器

　　狀態(tài)監(jiān)視器作為防火墻技術(shù)其安全特性最佳，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。

　　檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后制定安全決策的參考。

　　檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。

　　當(dāng)用戶訪問到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、鑒定或給該通信加密等決定。

　　一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并作下記錄向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。

　　3、防火墻的不足

　　防火墻雖然能對網(wǎng)絡(luò)威脅進(jìn)行極好的防范，但是它不是安全解決方案的全部。

　　防火墻也存在許多不足之處，如：(1)防火墻可以阻斷攻擊，但不可消滅攻擊源。

　　設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃趸ヂ?lián)網(wǎng)上的病毒、惡意試探等的攻擊行為，使得攻擊無法滲透防火墻，但是無法消除攻擊源，各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。

　　(2)防火墻不能夠抵抗最新的未設(shè)置策略的攻擊漏洞。

　　(3)防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣�或者溢出�?/p>

　　由于要判斷處理流經(jīng)防火墻的每一個包，因此防火墻在某些流量大，并發(fā)請求多的情況下，很容易導(dǎo)致?lián)砣�，成為整個網(wǎng)絡(luò)的瓶頸影響性能。

　　而當(dāng)防火墻溢出的時候，整個防線就如同虛設(shè)，原本被禁止的連接也能從容通過了。

　　(4)防火墻對服務(wù)器合法開放的端口攻擊大多無法阻止。

　　(5)防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻擊。

　　(6)防火墻本身也會出現(xiàn)問題和受到攻擊。

　　防火墻也有著其硬件系統(tǒng)和軟件系統(tǒng)，依然有著漏洞和bug，所以其本身也有可能受到攻擊和出現(xiàn)軟、硬件方面的故障。

　　4、新一代防火墻技術(shù)

　　4.1 智能防火墻技術(shù)

　　智能防火墻主要是利用了統(tǒng)計、概率、記憶與決策等先進(jìn)的智能方法，對各類數(shù)據(jù)進(jìn)行安全識別，并且達(dá)到對訪問進(jìn)行控制的目的。

　　智能防火墻技術(shù)的類型主要有防攻擊技術(shù)、入侵防御技術(shù)和防掃描技術(shù)，不僅可以實現(xiàn)對各類惡意數(shù)據(jù)流量的準(zhǔn)確識別，有效阻斷各類惡意數(shù)據(jù)的攻擊，還可以準(zhǔn)確判定所檢測的攻擊類型，實現(xiàn)對黑客惡意掃描行為的智能識別，有效阻斷、欺騙惡意掃描者。

　　4.2 分布式防火墻技術(shù)

　　從狹義的角度進(jìn)行分析，分布式防火墻技術(shù)主要是指駐留在服務(wù)器、桌面等網(wǎng)絡(luò)主機(jī)，并且對于主機(jī)系統(tǒng)具有安全防護(hù)功能的新型軟件產(chǎn)品;從廣義的角度進(jìn)行分析，分布式防火墻技術(shù)是一種新型的防火墻體系結(jié)構(gòu)。

　　分布式防火墻技術(shù)的類型主要有主機(jī)防火墻技術(shù)、中心管理技術(shù)和網(wǎng)絡(luò)防火墻技術(shù)。

　　4.3 嵌入式防火墻技術(shù)

　　嵌入式防火墻技術(shù)主要是指內(nèi)潛在路由器或者交換機(jī)內(nèi)部的專用防火墻。

　　主要應(yīng)用于某些專業(yè)的路由器中，并且被作為其基本配置之一，用戶可以根據(jù)自己的實際需求購買相應(yīng)防火墻模塊，并且安裝于已有的路由器或者交換機(jī)中，以保證在無監(jiān)控的狀態(tài)下，實現(xiàn)各類傳遞信息包的安全防護(hù)，確保在局域網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)無論發(fā)生何種變更時，安全防護(hù)措施都可以自動延伸至網(wǎng)絡(luò)邊緣，為局域網(wǎng)絡(luò)提供相應(yīng)的安全保護(hù)。

　　5、結(jié)語

　　隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全防護(hù)問題的重要性已經(jīng)日漸凸顯，特別是隨著各種非法入侵、病毒危害的影響不斷加劇，在現(xiàn)代計算機(jī)與網(wǎng)絡(luò)技術(shù)的研究中，必須將新一代防火墻技術(shù)作為重要的研究課題之一，在不斷總結(jié)技術(shù)研發(fā)與應(yīng)用經(jīng)驗的基礎(chǔ)上，加快技術(shù)的創(chuàng)新與發(fā)展，同時還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等，從而全面滿足計算機(jī)系統(tǒng)的安全防護(hù)需求。

【防火墻技術(shù)】相關(guān)文章：

信息安全中防火墻技術(shù)的有效運(yùn)用論文10-10

防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用09-30

防火墻技術(shù)的計算機(jī)網(wǎng)絡(luò)應(yīng)用論文10-09

計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)10-05

防火墻的安全方案02-04

計算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)探討論文08-18

計算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)研究論文10-08

計算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)探討論文10-09

arp防火墻有什么作用09-16