防火墙的技术及应用.doc

防火墙的技术及应用 随着计算机网络的发展火墙简介防火墙是一个位于内部网络与 Internet 之间的网络安全系统，是按照一定的安全策略建立起来的硬件和(或)软件的有机组成体，以防止黑客的攻击，保护内部网络的安全运行。防火墙可以被安全在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部虚拟主机网络里面的窥探。它实际上是一种隔离技术。2 防火墙的发展（1）第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。（2）第二、三代防火墙1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。（3）第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。（4）第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。是一种过滤器，按照防火墙事先设计的规则对内网和外网之间的通信数据包进行筛选和过滤，只允许授权的的数据通过不符合童心规则的数据包将被丢弃，以此来限制网络内部和外部的相互访问，达到保护内网的目限定人们访问特殊站点为监视局域网安全提供方便。、各防火墙体系结构的优缺点1双重宿主主机体系结构提供来自于多个网络相连的主机的服务（但是路由关闭），它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。 2被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接（由站点安全策略决定）到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：允许其他内部主机，为了某些服务而开放到因特网上的主机连接（允许那些经由数据包过滤的服务）。不允许来自内部主机的所有连接（强迫这些主机经由堡垒主机使用代理服务）。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。 3被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器（因为它可被因特网上用户访问），我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有两个屏蔽路由器，每一个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另一个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过两个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。 1