线上期刊服务咨询,发表咨询:400-808-1701 订阅咨询:400-808-1721

防火墙技术论文8篇

时间:2023-03-28 14:59:00

防火墙技术论文

防火墙技术论文篇1

本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。

【关键词】网络防火墙服务器

绪论

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。

一、包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

二、网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

三、型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。

型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

四、监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

防火墙技术论文篇2

关键词:网络安全;防火墙

1从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙。

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

(2)硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙。

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2从防火墙技术分

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1)包过滤(Packetfiltering)型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。

(2)应用(ApplicationProxy)型。

应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。

3从防火墙结构分

从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。

这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。

随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。

个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

参考文献

[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).

防火墙技术论文篇3

关键词:网络安全;防火墙

1从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙。

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

(2)硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙。

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2从防火墙技术分

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1)包过滤(Packetfiltering)型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。

(2)应用(ApplicationProxy)型。

应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。

另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。

3从防火墙结构分

从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。

这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。

随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。

个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

参考文献

[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).

防火墙技术论文篇4

关键词:网络防火墙技术;设计过程;问题

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01

Network Firewall Technology and Design Process Related Issues

Shi Yang

(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)

Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.

Keywords:Network firewall technology;Design process;Problem

一、网络防火墙的相关理论研究

随着和网络时代的到来,网络防火墙逐渐成为当前最为重要相关网络的防护手段,英文叫做“Firewall”。随着信息技术的不断发展,防火墙的过滤和防护机制的设计从最初的只注重外网的信息通讯防护和检测,对内网传输的绝对信任发展成为现在的不仅对于外网的通信需要进行有效过滤和排查,也需要对内部网络用户发出的数据或者通讯信息进行安全过滤,这样的设计和安排符合网络防火墙的基本设计初衷和安全的要求。由此可见,防火墙并不是完全封闭不可透过的,它存在的过滤机制可以让安全的通讯正常传输,而阻止具有破坏性的、危险的通讯,以保护网络安全。

网络防火墙作为网络安全的屏障具有自身特征:首先是网络防火墙具有本身坚固的抵御攻击的免疫能力,这也是防火墙能担当网络安全屏障的前提条件,只有防火墙自身具有完善的可以信任的安全防护系统,才谈得上为网络提供安全保证;其次,防火墙的工作原理和设计理念就是只有符合安全设置的数据和信号才能通过防火墙,才能顺利传输;最后,防火墙是所有信息传输的唯一通道,无论是内部网络还是外部网络传输的信号和数据都需要经过防火墙,这样防火墙才能起到真正过滤威胁,维护网络通信安全的作用。

网络防火墙通常情况下从软硬件的形式上来划分主要有硬件防火墙和软件防火墙两类;从防火墙的技术职能上来划分主要可分为“包过滤型”和“应用型”两大类;如果按防火墙的应用部署位置来划分主要由边界防火墙、个人防火墙和混合防火墙三大类;再从防火墙的结构上来划分主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。不同分类之下的防火墙通过在内部和外部网络的相关设置的检查点来检测和控制传输的数据和信号,将不同的网络隔离开来,互相区分,以保证内部信息和数据不会外泄和流失,强化了网络安全防护的效果,有效审查网络的相关活动,保证网络安全。

二、网络防火墙设计和运行中的相关问题研究

随着网络防火墙主要技术的不断发展变革,主要包括的技术有:包过滤,是防火墙最为传统、最基本的过滤技术之一;网络地址转换(NAT,Network Address Translate);应用级网关(服务器);电路级网关技术是会话层过滤的数据包,较之包过滤要高出两层左右;非军事化区(DMZ)在网络内部设置公开化的网络服务器设施,这样较比其他的防火墙要多一道防护;透明模式也叫做透明技,此技术使得用户也意识不到防火墙的存在;邮件转发技术使得外部网络只知道防火墙的域名或者IP地址,这样只能将信息和数据传输到防火墙在进行转发,以实现保护内网;堡垒主机经常配置相关网关服务,设置一个监测点,使所有内网的完全问题集中在一个主机上解决;阻塞路由器和屏蔽路由器,在内部网和内外网连接中起到防护作用;隔离域名服务器是可以起到保证受保护网络的IP地址不被外部网络侵害或者知悉;状态监视器是最新的防火墙技术,安全防护的性能最佳,功能最强大。

在网络防火墙设计结构模式的发展历程见证了不同时代的防火墙技术,这里主要介绍屏蔽路由器模式、屏蔽主机模式以及非军事区结构模式几种。

屏蔽主机模式,在发展的一定阶段的时候,防火墙技术在路由器后增加一道用于进行安全控制点的计算机,眨眼那个可靠的计算,只有侵害透过了路由和堡垒主机才能到达内网,加强了安全防护。

屏蔽路由器,较之屏蔽主机模式就略显单一,也是之前的防火墙技术不够完善的表现,这种防护策略是很原始、很单一,只限于在现有的硬件的基础上实现单一的防护,加之过滤包的过滤,是最简单的防火技术原理。

非军事区结构,在这个防火墙技术设计中,同时存在着两个防火墙系统,外部防火墙主要负责抵挡来自外部网络的侵害和攻击,内部防火墙主要负责管理DMZ对于内部网络的输入和访问。内部防火墙是对于内部网络的除了外部防火墙和堡垒主机之外的第三道安全屏障和防护,当外部防火墙被侵害而失效时,它还可以继续起到保护内部网络安全运行的功能。在这样涉及到防火墙安全结构里,一个黑客想要进攻内网,必须完全通过三个相互独立的防护区域(包括外部防火墙、内部防火墙和堡垒主机)才能实际到达内部局域网展开攻击。保护的强度和范围大大加大,网络的稳定性和安全性也就大大提升,当然,随之而来的,在这样的网络防火墙结构设计里,经济成本投入毋庸置疑的也是最大的。

三、结束语

网络信息时代,利用网络进行的经济活动和社会生活也越来越广泛和多样,带给人们社会生活的实际影响也就越来越大,因此,如何有效实现网络安全也就成为当今时代最为热点的问题。网络防火墙最为有效保护网络安全的技术,需要在实践里不断研究探索和发展完善。在经历了不同时代防火墙技术的发展之后,现如今的防火墙技术已经在一定程度上实现了有效保护内网安全和稳定的目的。但是,未来在具体的设计网络防火墙还是任重道远的,因而黑客在不断的进步和技术更新,自然,网络防火墙技术也相应地需要在网管设置、技术更新、屏蔽形式、硬软件设置和配备等多方面提升和完善,加大技术和资金投入,保证未来信息时代网络安全运行,为经济生产和社会生活保驾护航。

参考文献:

防火墙技术论文篇5

关键词:网络安全;防火墙;技术特征

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02

随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。

一、网络安全的产品特点

从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。

就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。随着新技术的不断发展,安全产业也将会不断发生变化。国家发展过程中,必须面临信息安全问题,这个问题十分重要。国家要站在系统论的战略高度,系统地考虑这个事情,应该从技术、产业以及政策等若干方面着手和发展。

二、防火墙技术

防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。

眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。

1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。

在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统? 假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。

防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。

三、防火墙产品的类型

防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、以及监测型。

(一)包过滤型

防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输的数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。

(二)网络地址转化——NAT

经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络,也称为地址转换。在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。如此一来,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。

(三)型

型防火墙,也叫服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且型防火墙开始在应用层有所作为。该类型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给服务器。按照此请求,服务器再从服务器申请想要的数据,之后,数据被经由服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。

(四)监测型

新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。

同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。

四、结束语

眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。

参考文献:

[1]陆树芬.网络安全中防火墙的作用[J].中国电子商务,2009,11

[2]黄金波,殷诚.计算机网络基础与应用[M].北京:北京交通大学出版社,2007

防火墙技术论文篇6

1防火墙的基本分类

时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、主机系统;②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即packfilter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonicwall。

2防火墙的主要功能

无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。

3防火墙的主要应用

防火墙技术论文篇7

关键词:网络攻击 防火墙 嵌入式

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01

信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。

1 防火墙技术发展概述

防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。

2 经典嵌入式防火墙技术研究

较为经典的嵌入式防火墙技术由以下几种。

2.1 基于OpenBSDUNIX的嵌入式防火墙技术

该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。

2.2 基于Windows平台的嵌入式防火墙技术

该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。

本文主要对该平台的嵌入式防火墙技术进行研究。

3 基于嵌入式协议栈的内容过滤防火墙技术方案

该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。

该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。

3.1 防火墙结构分析

防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。

3.2 工作流程实现

当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。

对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。

对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。

进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。

3.3 性能分析

该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。

4 结语

本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。

参考文献

[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).

[2]江文,浅议新一代防火墙技术的应用与发展[J].科学之友,2011(12).

防火墙技术论文篇8

【关键词】网络安全,防火墙,技术特征

随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。

一、网络安全的产品特点

从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。

就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。

二、防火墙技术

防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。

眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。

1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。

在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统?假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。

防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。

三、防火墙产品的类型

防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、以及监测型。

1、包过滤型。

防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。

2、网络地址转化—NAT。经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络,也称为地址转换。在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。这样,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。

3、型。型防火墙,也叫服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且型防火墙开始在应用层有所作为。该类型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给服务器。按照此请求,服务器再从服务器申请想要的数据,之后,数据被经由服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。

4、监测型。新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。

同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。

四、结束语。

眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。

参考文献:

推荐期刊