防火墻技術(shù)論文
防火墻作為基本的網(wǎng)絡(luò)安全要素,被廣泛應(yīng)用于各種網(wǎng)絡(luò)環(huán)境中,學(xué)習(xí)啦小編整理的防火墻技術(shù)論文,希望你能從中得到感悟!
防火墻技術(shù)論文篇一
網(wǎng)絡(luò)安全之防火墻技術(shù)
摘要:隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)應(yīng)用高度發(fā)達,網(wǎng)絡(luò)安全問題日益突出。防火墻作為基本的網(wǎng)絡(luò)安全要素,被廣泛應(yīng)用于各種網(wǎng)絡(luò)環(huán)境中,并且正在發(fā)揮著重要作用。
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻
1 概論
當(dāng)今社會互聯(lián)網(wǎng)高度發(fā)達,幾乎全世界的計算機都通過因特網(wǎng)聯(lián)系在了一起。網(wǎng)絡(luò)安全也成了互聯(lián)網(wǎng)用戶每時每刻要面對的問題?,F(xiàn)在,網(wǎng)絡(luò)安全已經(jīng)成了專門的技術(shù)。保證網(wǎng)絡(luò)安全有很多種措施,包括防火墻技術(shù)、數(shù)字簽名、數(shù)據(jù)加密解密技術(shù)、訪問控制、身份認(rèn)證技術(shù)等,其中防火墻技術(shù)使用最廣泛,實用性最強。
2 防火墻技術(shù)
防火墻技術(shù)是一個由硬件設(shè)備和軟件組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障,是形象的說法。防火墻既可以是一個硬件設(shè)備也可以是運行在一般硬件上的一套軟件。防火墻能加強網(wǎng)絡(luò)之間訪問控制,防止外網(wǎng)用戶以非法手段訪問內(nèi)部網(wǎng)絡(luò),保護內(nèi)部網(wǎng)絡(luò)環(huán)境。防火墻能很好的保護用戶,入侵者只有穿過防火墻,才能接觸到用戶計算機。防火墻可以阻擋大部分的網(wǎng)絡(luò)進攻,能滿足絕大多數(shù)用戶的需要。
3 防火墻分類
3.1 從實現(xiàn)方式上分 從實現(xiàn)方式上防火墻可以分為軟件防火墻和硬件防火墻兩類。軟件防火墻以純軟件的方式實現(xiàn),只能通過軟件設(shè)置一定的規(guī)則來限制外網(wǎng)用戶非法訪問內(nèi)部網(wǎng)絡(luò)。軟件防火墻功能相對簡單,價格便宜,廣泛應(yīng)用于小型企業(yè)及個人用戶。硬件防火墻指通過軟硬件的結(jié)合的方式來隔離內(nèi)部外部網(wǎng)絡(luò),效果很好,但是價格昂貴,只適用于大型企事業(yè)單位。
3.2 從架構(gòu)上分 防火墻從架構(gòu)上分可以分為通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器(NP)架構(gòu)三種。
通用CPU架構(gòu)以基于Inter X86架構(gòu)的防火墻為代表。其特點是靈活性高和可擴展性好。由于PCI總線速度較低,CPU處理能力弱,通用CPU架構(gòu)防火墻的數(shù)據(jù)吞吐量較低,和理論值2Gbps有很大差距。該架構(gòu)的防火墻通常作為百兆級防火墻。
ASIC(Application Specific Integrated Circuit專用集成電路)技術(shù)是高端網(wǎng)絡(luò)設(shè)備廣泛采用的技術(shù)。其采用了多總線技術(shù)、數(shù)據(jù)層面、控制層面分離與硬件轉(zhuǎn)發(fā)模式等技術(shù)。ASIC架構(gòu)防火墻解決了寬帶容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。ASIC架構(gòu)防火墻是世界公認(rèn)的滿足千兆骨干級網(wǎng)絡(luò)應(yīng)用的技術(shù)方案,線速可達千兆。ASIC技術(shù)的優(yōu)勢體現(xiàn)在對網(wǎng)絡(luò)層的數(shù)據(jù)轉(zhuǎn)發(fā),而對應(yīng)用層的數(shù)據(jù)處理不占優(yōu)勢。
網(wǎng)絡(luò)處理器(NP)是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器,它具有高處理能力、開放的編程接口、完全的可編程性、簡單的編程模式等優(yōu)點。
NP內(nèi)含多個數(shù)據(jù)處理器,可以并發(fā)處理數(shù)據(jù)。數(shù)據(jù)處理能力較通用處理器強大很多,處理一般性任務(wù)時可以達到線速。網(wǎng)絡(luò)處理器架構(gòu)下的產(chǎn)品成本比通用CPU架構(gòu)的成本要高,而處理能力比ASIC價格低。但是網(wǎng)絡(luò)處理器架構(gòu)防火墻集成度高由于有多個數(shù)據(jù)處理器,能夠勝任高速數(shù)據(jù)處理。
3.3 從技術(shù)上分 目前有很多種防火墻技術(shù),根據(jù)采用技術(shù)的不同,總體可以分為兩大類:包過濾型和應(yīng)用代理型。
3.3.1 包過濾型防火墻 包過濾型防火墻是最原始的防火墻,作用在網(wǎng)絡(luò)層和傳輸層,技術(shù)依據(jù)是數(shù)據(jù)在網(wǎng)絡(luò)中采用分組傳輸技術(shù)。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸前先被劃分為多個數(shù)據(jù)包,每個數(shù)據(jù)包都包含一些特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等標(biāo)志。防火墻根據(jù)這些信息判斷數(shù)據(jù)是否安全。滿足防火墻過濾條件的數(shù)據(jù)包被轉(zhuǎn)發(fā)到相應(yīng)的目的地址,其余數(shù)據(jù)包則被丟棄。
在包過濾防火墻的發(fā)展過程中,出現(xiàn)了第一代靜態(tài)包過濾型防火墻第二代動態(tài)包過濾型防火墻。
靜態(tài)包過濾防火墻根據(jù)管理員預(yù)先定義好的數(shù)據(jù)過濾規(guī)則檢查每個數(shù)據(jù)包,與過濾規(guī)則匹配成功則丟棄,否則讓其通過。過濾規(guī)則基于數(shù)據(jù)包中的特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等。
動態(tài)包過濾型防火墻的包過濾規(guī)則采用動態(tài)設(shè)置的方法,解決了靜態(tài)包過濾型防火墻出現(xiàn)的問題。該技術(shù)后來發(fā)展成為狀態(tài)監(jiān)測(Stateful Inspection)包過濾技術(shù)。采用這種技術(shù)的防火墻利用狀態(tài)表跟蹤所有的網(wǎng)絡(luò)會話狀態(tài),不僅根據(jù)規(guī)則表檢查每一個包,還根據(jù)會話所處的狀態(tài)檢查數(shù)據(jù)包。狀態(tài)檢測防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)傳輸行為,增強了控制能力。狀態(tài)檢測防火墻對通過其建立的每一個連接都進行跟蹤,并且可根據(jù)需要在過濾規(guī)則中動態(tài)地增加或更新條目。
包過濾技術(shù)既簡單實用,又能適用于所有的網(wǎng)絡(luò)服務(wù),基本上能滿足大多數(shù)企業(yè)的安全要求。但是包過濾技術(shù)也有它的缺點。該技術(shù)是基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的數(shù)據(jù)來源、目標(biāo)地址和端口號等信息判斷是否安全。對于應(yīng)用層的入侵,如惡意軟件以及文件附帶的病毒則無能為力。因為偽造IP地址,騙過包過濾型防火墻對于有經(jīng)驗的黑客來說并不是一件難事。為特定服務(wù)開放的端口存在著一定的受攻擊風(fēng)險。
3.3.2 應(yīng)用代理型防火墻 應(yīng)用代理型防火墻工作在應(yīng)用層。它通過對各種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)控應(yīng)用層通信流的作用。
在代理型防火墻技術(shù)的發(fā)展過程中,出現(xiàn)了第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
應(yīng)用網(wǎng)關(guān)型防火墻有時也被稱為代理服務(wù)器,其安全性遠(yuǎn)高于包過濾型防火墻。該防火墻位于服務(wù)器與客戶機之間,對于服務(wù)器來說,它相當(dāng)于客戶機;對于客戶機來說,它相當(dāng)于服務(wù)器。從客戶機發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后,可以隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。由于外部客戶機與內(nèi)部服務(wù)器之間沒有直接通信,所以外部的行為一般不會影響內(nèi)部服務(wù)器。這種類型的防火墻被公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。
自適應(yīng)代理型防火墻是一種新型防火墻,近年來得到了廣泛的應(yīng)用。它既具有包過濾防火墻的高速度的優(yōu)點又具有代理類型防火墻的安全性的優(yōu)點,能在不降低安全性的基礎(chǔ)上將防火墻的性能提高數(shù)倍。自適應(yīng)代理型防火墻的基本組成要素包括動態(tài)包過濾器和自適應(yīng)代理服務(wù)器。
應(yīng)用代理型防火墻是為防范應(yīng)用層攻擊設(shè)計的,它可以篩選保護OIS網(wǎng)絡(luò)模型中的任意層數(shù)據(jù)通信。應(yīng)用代理型防火墻有以下優(yōu)點:隱藏內(nèi)部IP;限制某些協(xié)議的傳出請求;指定對連接的控制;能夠記錄連接日志,對追蹤攻擊和非法訪問很有用。
應(yīng)用代理防火墻的缺點:用戶每次連接都要認(rèn)證,帶來不便;用戶系統(tǒng)須定制;速度相對較慢,當(dāng)網(wǎng)絡(luò)通信速率較高時,就會影響內(nèi)外部通信,但通常情況下不會很明顯。
4 結(jié)束語
防火墻系統(tǒng)只是一種網(wǎng)絡(luò)安全防護手段,并不能保證網(wǎng)絡(luò)安全萬無一失。它只能防護經(jīng)過自身的非法訪問和攻擊,某些惡意的訪問可以通過客戶機的軟件繞過放過防火墻,傳輸非法數(shù)據(jù)。另外對于數(shù)據(jù)驅(qū)動式攻擊、帶病毒的數(shù)據(jù)防火墻都不能直接攔截。
單純的防火墻技術(shù)逐漸不能滿足人們對網(wǎng)絡(luò)安全的需要,防火墻技術(shù)的改進及與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用已經(jīng)成為網(wǎng)絡(luò)安全的重要手段。主要的技術(shù)手段有:多級過濾技術(shù)、分布式防火墻、入侵檢查系統(tǒng)、入侵防御系統(tǒng)。
隨著計算機技術(shù)的發(fā)展,防火墻技術(shù)會不斷的向前發(fā)展,網(wǎng)絡(luò)安全問題也會不斷涌現(xiàn)。只有不斷改進安全策略,才能保證網(wǎng)絡(luò)安全穩(wěn)定的發(fā)展。
參考文獻:
[1]伍錦群.防火墻技術(shù)的探討[J].長春理工大學(xué)學(xué)報.2008,(03).
[2]莊健平.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].電腦編程技巧與維護.2010,(22).
[3]黃惠烽.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].科技信息,2007,(08).
防火墻技術(shù)論文篇二
防火墻技術(shù)的研究
【摘要】本文首先介紹了防火墻的起源,以及防火墻的基本概念和防護墻的基本原理。重點講述了防火墻的幾種配置方式,以及幾種配置方式存在的問題。然后指出存在了防火墻的發(fā)展趨勢。
【關(guān)鍵詞】防火墻;信息安全;預(yù)警監(jiān)視
1 概述
自從美國賓夕法尼亞大學(xué)成功研發(fā)出第一臺計算機,到如今計算機已經(jīng)發(fā)生了巨大的變化。計算機發(fā)生巨大的變化之一,即是計算機之間的通信。計算機之間的通信的基礎(chǔ)是計算機網(wǎng)絡(luò)技術(shù)。計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展,使大量的計算機連接到互聯(lián)網(wǎng)上。計算機通過互聯(lián)網(wǎng)進行通信和從事各種各樣的商業(yè)活動。人們通過計算機進行交流和商業(yè)活動,這就給一些不法分子有了可乘機,通過計算機技術(shù)的漏洞進行違法犯罪的活動,這些活動主要包括竊取別人的銀行賬戶和密碼,監(jiān)聽別人的通話,竊取商業(yè)機密,更有甚者是破壞別人的電腦等等。以上的犯罪活動更加凸顯了網(wǎng)絡(luò)安全的重要性,如何才能保護用戶的網(wǎng)上活動,已經(jīng)成為一件很重要的事情。防火墻這項技術(shù)的出現(xiàn)有效的解決了上述的問題。作為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)備,防火墻的主要功能是有選擇的接受一些安全的信息,而把那些具有安全隱患的信息隔離在網(wǎng)絡(luò)的外部。這樣就能保證用戶的電腦安全,另外,防火墻也是一種經(jīng)濟的產(chǎn)品。
2 防火墻
2.1什么是防火墻
防火墻也稱為防護墻是由Gil Shwed于1993年發(fā)明并且寫入到國際互聯(lián)網(wǎng),防火墻更確切的說是信息安全的保護系統(tǒng)。它被放到各種不同的網(wǎng)絡(luò)之間,網(wǎng)絡(luò)之間的信息通信都要經(jīng)由防火墻的篩選,并且防火墻可以設(shè)定不同的規(guī)則,具體是根據(jù)企業(yè)的不同的安全政策來篩選信息。防火墻自身具有很強的保護能力,能夠有效的抵抗不同的網(wǎng)絡(luò)攻擊。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
2.2防火墻的原理
科學(xué)技術(shù)的快速發(fā)展,促進了網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)的開放度和規(guī)模也隨之?dāng)U大,這就導(dǎo)致網(wǎng)絡(luò)上涉及到個人隱私的信息和數(shù)據(jù)或多或少的會遭到主動或被動的攻擊。為了保護網(wǎng)絡(luò)上個人信息的能夠采用方法有,第一給所有的服務(wù)器安裝入侵檢測,第二、安裝防火墻。對于第一種方法有點不現(xiàn)實,因為服務(wù)器的數(shù)量和網(wǎng)點的數(shù)量比較多。另外,每個服務(wù)器上運行的操作系統(tǒng)不可能相同,當(dāng)網(wǎng)絡(luò)暴露出安全隱患時,對每個節(jié)點都進行更改和修復(fù)所存在的問題,都將是一件困難的事。對于第二方法就是采用防火墻的技術(shù),防火墻的主要功能是在企業(yè)內(nèi)部的網(wǎng)絡(luò)和外部的互聯(lián)網(wǎng)設(shè)立一個安全接口。外部網(wǎng)絡(luò)的信息想要訪問內(nèi)部網(wǎng)絡(luò)的信息就需要防火墻的篩選。對于安全的信息防火墻防火墻會允許訪問內(nèi)部網(wǎng)絡(luò)的信息,對于不安全的信息會被禁止訪問內(nèi)部信息。
2.3防火墻的特點
防火墻所擁有的特點如下:
(1)防火墻具有對一些特別的站點進行支持,特供多種的服務(wù)支持。這些支持主要包括FTP、HTTP、WWW瀏覽器支持。
(2)防火墻具有預(yù)警和監(jiān)視網(wǎng)絡(luò)安全的能力,并且能夠?qū)τ脩舻拿孛苄畔⑦M行加密,以保證用戶的消息或者具有商業(yè)價值的數(shù)據(jù)不被損壞。
(3)防火墻具有設(shè)置特定用戶的能力,通過安裝客戶端設(shè)置安全的用戶能夠訪問你的網(wǎng)絡(luò),把一些危險的用戶設(shè)置為不能訪問,可以有效的保護自身的網(wǎng)絡(luò)安全。
(4)防火墻能夠有效的解決欺騙的問題,具體是指一些具有外部網(wǎng)絡(luò)的入侵者通過模擬內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,來欺騙防火墻。但是防火墻具有檢測真?zhèn)蔚哪芰Α?/p>
(5)防火墻具有跨平臺支持的能力,能夠在一個系統(tǒng)上安裝管理軟件來指揮另一個平臺軟件的運行。
(6)防火墻具有保護郵件的功能,具體是指能夠使網(wǎng)絡(luò)遠(yuǎn)離郵寄服務(wù)的入侵。
3 防火墻的配置
如果防火墻處于未連通的狀態(tài),所謂連通的狀態(tài)是指是指服務(wù)器之間沒有建立連接,沒有完成握手協(xié)議,這個時候任何數(shù)據(jù)都無法穿越防火墻。但是防火墻內(nèi)部的主機之間可以進行通信。具體的通信規(guī)則如下:
一般把區(qū)域劃分為3個部分內(nèi)部區(qū)域(inside)、外部區(qū)域(outside)、以及dmz區(qū)域。
對于內(nèi)部區(qū)域能夠與所有的外部區(qū)域和dmz區(qū)域進行通信。其中內(nèi)部區(qū)域訪問dmz區(qū)域需要static的配合。而外部區(qū)域訪問dmz區(qū)域需要acl的配合。
Static主要是指靜態(tài)地址轉(zhuǎn)換,acl是指訪問控制列表。
防火墻的配置方式主要有三種方式分別是Screened-subnet、Dual-homed、Screened-host方式。
(1)Screened-subnet主要有兩個部分組成Screeningrouter和Bastionhost。通過兩個部分在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間形成一個隔離的區(qū)域,這個區(qū)域即是“?;饏^(qū)”。防火墻的這種配置方式具有的優(yōu)點是安全性非常好,但是費用太高。
(2)防火墻中配置方式中最簡單的一種方式是Dual-homed。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間放置Dual-homed Gateway,這種方式也是Bastionhost。這種配置方式的優(yōu)點是價格低廉,
(3)防火墻配置方式中Screened-host方式,為了更好的保護Bastionhost,為它建立了Screeningrouter作為安全屏障。另外這個結(jié)構(gòu)主要依靠Screeningrouter和Bastionhost,其中之一被破壞,全部網(wǎng)絡(luò)會被破壞。
4 防火墻的發(fā)展趨勢
傳統(tǒng)的防火墻只能夠保護內(nèi)部網(wǎng)絡(luò)的安全性,但是對于整個網(wǎng)絡(luò)的整體性能不具有整天協(xié)調(diào)性。因此,作為防火墻的發(fā)展方向應(yīng)該更好的完善防火墻的整體性能。另外,傳統(tǒng)的防火墻盡管能夠?qū)?nèi)部網(wǎng)絡(luò)提供較高的安全保護,通過提高安全級別。但是提高防火墻的安全級別是通過降低帶寬來實現(xiàn)的,這就很大的限制了網(wǎng)絡(luò)的運行效率。評價防火墻的優(yōu)劣主要是通過評價通過防火墻的數(shù)據(jù)量。因此下一代防火墻的發(fā)展方向就是在提高防火墻的安全級別基礎(chǔ)上,如何提高通過防火墻的數(shù)據(jù)量。另外,現(xiàn)在很多防火墻都支持NAT技術(shù),但是使用NAT技術(shù)之后對防火墻的安全性能有所影響,如何減少這個影響也是防火墻的發(fā)展趨勢之一。
5 結(jié)束語
互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,越來越多的電腦連接到Internet。導(dǎo)致網(wǎng)絡(luò)安全的問題越來越明顯。因此防火墻這項技術(shù)受到越來越多網(wǎng)絡(luò)安全人士的關(guān)注。為了保護國家信息的安全,國家加大對防火墻技術(shù)研究的支持。使得防火墻技術(shù)在我國有了很大發(fā)展。另外,防火墻還處在進步的階段,有很大的提升空間。
參考文獻:
[1]陳斌等.網(wǎng)絡(luò)設(shè)計,電子工業(yè)出版社,2005,9
[2]朱雁輝.WLNDOWS防火墻與網(wǎng)絡(luò)技術(shù),電子工業(yè)出版社,2002,4
[3]常紅等.網(wǎng)絡(luò)安全技術(shù)與反黑客,冶金工業(yè)出版社,2001,6
[4]袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù),清華大學(xué)出版社,2002,5
[5]胡道元.計算機網(wǎng)絡(luò),清華大學(xué)出版社,1999,1
[6]刑鈞.網(wǎng)絡(luò)安全與防火墻技術(shù),電子科技大學(xué)出版社,2004,3
[7]謝希仁.計算機網(wǎng)絡(luò)工程基礎(chǔ),電子工業(yè)出版社,2002,5
看了“防火墻技術(shù)論文”的人還看: