网络防火墙技术的研究

1网络防火墙技术的研究摘要在当今的计算机世界，随着网络技术的发展，因特网的使用无处不在，网络的安全成为人们最为关注的问题。为了安全的使用“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。关键词：防火墙，网络安全，包过滤，安全策略I目录一、绪论................................................................................................................................1二、防火墙的技术分类............................................................................................................1（一）包过滤防火墙................................................................................................................1（二）分组过滤技术................................................................................................................2（三）应用代理防火墙............................................................................................................3（四）自适应代理....................................................................................................................4三、防火墙的基本功能............................................................................................................5四、防火墙的实现技术............................................................................................................6五、防火墙技术发展趋势........................................................................................................7六、结论................................................................................................................................8参考文献....................................................................................................................................8致谢.........................................................................................................错误!未定义书签。1一、绪论防火墙技术，最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵）。该计算机流入流出的所有网络通信均要经过此防火墙。二、防火墙的技术分类现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。（一）包过滤防火墙包过滤技术（PacketFiltering）是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表。这种防火墙通常安装在路由器上。这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。静态包过滤类型的防火墙要遵循一条基本原则是“最小特权”原则，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。动态包过滤是分组过滤防火墙的新一代品种，这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题，这种技术后来发展成为所谓的包状态监测（StatefulInspction）技术。采用这种技术的防火墙，对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤技术包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。有许多方法可绕过包过滤器进入Internet，包过滤技术存在以下缺陷：2TCP只能在第0个分段中被过滤。特洛伊木马可以使用NAT来使包过滤器失效。许多包过滤器允许1024以上的端口通过。“纯”包过滤器的防火墙不能完全保证内部网的安全，而必须与代理服务器和网络地址翻译结合起来才能解决问题。图1包过滤技术（二）分组过滤技术分组过滤技术的优点是简单实用，实现成本低。在应用环境比较简单的情况下，能够以比较小的代价，在一定程度上保障系统的安全，实用一种通用、廉价、有效的安全手段。之所以通用，是因为它不针对各个具体网络服务，采取特殊的处理方式；之所以廉价，是因为大多数路由器都提供分组路由功能；之所以有效，因为它能很大程度地满足企业网的基本安全需求。但包过滤防火墙的缺陷也是明显的，包过滤技术实一种完全基于网络层的安全保障技术，只能根据数据包的来源、目标和端口等网络信息进行判断。包过滤防火墙一般工作在网络层和传输层，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中的附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。3图2分组过滤技术（三）应用代理防火墙代理现在主要用于防火墙。代理服务器通过侦听网络内部客户的服务请求，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。图3一个服务代理应用代理防火墙工作在应用层，其特点是能够完全阻隔网络通信的数据流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，应用代理型防火墙是内部网与外部网的隔离点起着监视好隔绝应用层通信流的作用。它通常工作在OSI模型的最高层，掌握着应用系统中安全决策的全部信息。第一代代理防火墙也叫应4用层网关防火墙，这种防火墙通过一种代理（Proxy）技术实现一个TCP连接全过程。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于与一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器在根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。应用层网关防火墙最大缺点就是速度相对比较慢，当用户对外网络网关吞吐量要求比较高时，代理防火墙会成为内外网络之间瓶颈所幸的是，目前用户接入Internet的速度一般远低于这个数字。第二代代理防火墙也叫自适应代理防火墙，自适应代理防火墙技术（AdaptiveProxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上，组成这种类型防火墙的基本要素有两个：自适应代理服务器（AdaptiveProxyServer）和动态包过滤器（DynamicPacketFilter）。（四）自适应代理在自适应代理与动态包过滤器之间存在着一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了，然后，自适应代理就可以根据用户配置信息，决定是使用代理服务器从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤增减过滤规则，满足用户对速度和安全性的双重要求。从表现形式上来分，防火墙大致可分为硬件防火墙和软件防火墙两种类型硬件防火墙是指把防火墙程序做到芯片里面，有硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙一般有着这样的核心要求：它的硬件和软件需要单独设计，有专用网络芯片来处理数据包。同时，采用专门的操作系统平台，从而避免操作系统的安全性漏洞。硬件防火墙一般都是有WAN、LAN和DMZ三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用的比较多。通过在硬件防火墙上设置适当的规则，利用这些规则防火墙对流经自己的数据做出判断，让这些数据通过或者不通过，以达到禁止非正常数据通过，保护网络安全的目的。通常，硬件防火墙部署在网络的出口或者是网络重点保护区域，需要完成两个工作：第一，作为网络互联设备实现网络互联互通；第二，作为网络安全设备检测流经数据，保护网络安全。软件防火墙其实就是安全防护软件，是运行于特定的计算机平台上的软件产品，它需要客户预先安装好的计算机操作系统的支持，一般来说，这台计算机就是5整个网络的网关，俗称“个人防火墙”。软件防火墙就像其他的软件产品一样，需要先在计算机上安装并做好配置才可以使用，它通过在操作系统底层工作来实现网络管理和防御功能的优化。随着宽带网络的迅速发展，软件防火墙在大数据流量面前显得漫不经心，例如天网防火墙、金山网镖和蓝盾防火墙等。各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。图4自适应代理防火墙三、防火墙的基本功能1、防火墙是网络安全的屏障。防火墙作为网络的控制点能极大提高内部网络的安全性，通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用才能通过防火墙，这样来自外部网