防火墙概述[精选].doc

计算机网络安全与防火墙技术 摘 要 防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境. 本文介绍了防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packet filtering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能. 关键词 网络安全，防火墙，分组过滤，代理，堡垒主机 一 防火墙的概念与构成 　所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强访问控制. 它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单. 你可以把它想象成一对开关， 一个开关用来阻止传输, 另一个开关用来允许传输. 　设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击. 通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全. 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源. 不同的防火墙侧重点不同. 从某种意义上来说，防火墙实际上代表了一个网络的访问原则. 如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy)，即确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙. 防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外. 　　在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构. 一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间. 防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务， 防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进入和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过. 防火墙是用来实现一个组织机构的网络安全措施的主要设备. 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施. 本文主要介绍下列防火墙的基本构件和技术：筛选路由器(screening router)、分组过滤(packet filtering)技术、双宿主机(dual-homed host)、代理服务 (Proxy Service)、应用层网关(application level gateway)和堡垒主机(bastion host). 象筛选路由器这样的能够实现安全措施的路由器常常被称为安全路由器或安全网关，而实现安全管理的应用层网关又称为安全应用层网关. 二 防火墙的基本构件和技术 2．1筛选路由器 (Screening Router) 许多路由器产品都具有根据给定规则对报文分组进行筛选的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段. 例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能，这种路由器被称为筛选路由器. 最早的Cisco路由器只能根据IP数据报头部内容进行过滤，而目前的产品还可以根据TCP端口及连接建立的情况进行过滤, 而且在过滤语法上也有了一定改进. 筛选路由器提供了一种强有力的机制，可用于控制任何网络段上的通信业务类型. 而通过控制一个网络段上的通信业务类型，筛选路由器可以控制该网络段上网络服务的类型，从而可以限制对网络安全有害的服务. 筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务. 路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤. 因此，筛选路由器又称为分组过滤路由器. 下面我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题，以及筛选路由器与OSI模型的关系，分组过滤技术将在下一节讨论. 识别危险区域 根据1996年1月的统计，连入INTERNET的网络大约为60,000个左右，主机总数则已超过900万台. 由于INTERNET上有如此众多的用户，其中难免有少数居心不良的所谓“黑客”. 这种情况就象迁入一个大城市时会遇到犯罪问题一样. 在大城市中，使用带锁的门来保护我们的居室是明智之举. 在这种环境下要求凡事要小心谨慎，因此当有人来敲我们的门时，应首先查看来人，再决定是否让来人进