浅谈防火墙技术与网络安全.doc

浅谈防火墙技术与网络安全 摘要：随着计算机的普及和互联网的快速发展，网络安全问题显得愈来愈重要。为解决这一问题，产生了很多网络安全产品，防火墙就是其中使用较广的一个。论文在介绍了当前网路安全现状的基础上，详细介绍分析了防火墙的分类、工作原理和配置的基本方法，同时对防火墙技术的发展趋势进行了论述。 关键词：信息安全 防火墙 配置原则 发展趋势 随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。 目前信息安全的现状 当前网络与信息安全的现状不容乐观，以网络攻击为例：据调查2004年专门针对美国政府的网站的非法入侵事件发生了5.4万件，2005年上升至7.9万件。中国公安部进行的一项调查显示，在被调查的7072家单位网络中，有58%曾在2004年遭到攻击。这些单位包括金融机构、国防、商贸、能源和电信等政府部门。此外，我国每年都会出现包括网路瘫痪、网络突发事件在内的多种网络安全事件。因此，网络与信息安全方面的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系，20世纪70年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及911等事件的出现，以美国为首的各个国家在网络与信息安全方面都在加速研究。我国自2003年以来也在网络与信息方面有了较大的进展，但是总体相对落后。目前网络上常见的安全防线主要有：防火墙、入侵检测、VPN等，这些技术为我们提供了相对安全的网络环境。 防火墙的简介 （一）防火墙概述和分类 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，该计算机流入和流出的所有网络通信和数据包均要经过此防火墙，从而保护内部网免受非法用户的侵入。 按防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。按防火墙的实现技术，一般可以将防火墙分为包过滤、应用级网关和状态检测。 1．包过滤技术 包过滤是防火墙最基本的过滤技术，它要求将防火墙置于内外网络的边界，作为内部、外部网络的唯一通道，一切数据包都必须经过防火墙。防火墙的包过滤技术就是对内外网之间传输的数据包按照某些特征事先设置的一系列的安全规则，经过过滤或筛选，符合安全规则的数据包通过，而丢弃那些不符合安全规则的数据包。（如图1所示） 图1 包过滤防火墙拓扑结构 2．应用级网关 应用级网关即代理服务器，代理服务器通常运行在两个网络之间，它为内部网络的客户提供HTTP、FTP等特定的Internet服务。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将该请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网的用户。应用级网关比单一的包过滤更为安全，而且会详细地记录所有的访问状态信息。（如图2所示） 图2 应用级网关防火墙工作原理 3.状态检测技术 状态检测技术防火墙不仅仅像包过滤防火墙只考查数据包的IP地址等几个孤立的信息，而是增加了对数据包连接状态变化的考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内部网间传输的数据包以会话角度进行监测，利用状态表跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。 （二）防火墙的功能和优缺点 1．防火墙的功能 防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的安全策略中允许的通信才允许通过防