《常见防火墙技术分析.docxVIP

常见防火墙技术分析周国清指导教师：曾启杰（广东工业大学管理学院，广州，510006）【摘要】计算机网络技术的突飞猛进。一方面任梦在享受数字的跳动、数据传输的便利中，另一方面又在担忧个人的隐私以及权益是否被人侵犯，所以网络安全的问题已经日益突出地摆在各类用户的面前，网络安全问题越来越受到重视，各种网络安全保护机制得到迅速发展，而防火墙自然而然流行起来，它作为一道防御系统，能够很好的将外界网络隔离【关键词】网络安全、防火墙、包过滤、状态/动态检测、应用程序代理、个人1引言近年来, Internet的快速增长促进了信息技术的飞速发展，它的迅猛成长正在使世界成为一个整体。随着Internet 的日益普及，通过浏览访问互联网，不仅使人们更容易的获得各种信息，也使网络被攻击的可能性大大增加，随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet，以便成员可以最大可能地利用Internet上的资源，同时又需要把自己的数据有意识地保护起来，以防数据泄密及受到外界对内部系统的恶意破坏。由于Internet 的开放性，网络安全防护的方式发生了根本变化，使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，且它们的实施可由通信双方共同完成。而由于Internet是一个开放的全球网络，其网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，且主要是用来解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。在此情形下，防火墙技术应运而生。防火墙与包过滤技术是当前能采用的一个有效措施，通过精心设置访问策略，可以得到资源共享与信息安全的均衡。2防火墙及其功能用专业术语来说，防火墙是指在可信的内部网络和不安全的外部网络之间设置的一种或多种部件的集合(由软件和硬件组成)。防火墙的作用是防止不希望的、未经授权的通信进入，保护的内部网络。防火墙可以实施网络之间访问控制，限制内外网之间的交流，最终达到保护内部网的目的。对于普通用户来说，所谓防火墙，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从外部网络交给计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会将其拦截下来，实现了对计算机的保护功能。如果没有防火墙，整个内部网络的安全性就完全依赖于每一个主机。所以，所有的主机都必须达到一个相当的安全水平。否则，安全水平最低的那台主机一旦被攻克，整个内部网络就会完全的暴露在攻击者面前。这就是所谓的木桶原理，木桶能装多少水由最短的那块板决定。网络规模越大，要使网络中所有主机都达到一个相当的安全水平就越困难。防火墙还可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、监测型、代理型和网络地址转换—NAT3包过滤防火墙3.1使用包过滤防火墙的技术优点包过滤防火墙主要是在内部网络和外部网络之间选择性地包过滤，使用包过滤防火墙的技术优点是显而易见的：1）防火墙对每条传入和传出网络的包实行低水平控制。2）每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。3）防火墙可以识别和丢弃带欺骗性源IP地址的包。3.2使用包过滤防火墙的局限性包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过防火墙是困难的。包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。但是很显然，使用包过滤防火墙也存在极大的局限性：1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。2）为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认端口为80，而计算机上又安装了RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的，就这样无意中，RealPlayer就利用了Web服务器的端口。3）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。4状态/动态检测防火墙采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要，可动态地在过滤规则中增加或更新条目。4.1状态/动态检测防火墙的优势1）检查I