#防火墻技術(shù)論文__計算機專業(yè)1

1、計算機防火墻技術(shù)淺析科學技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。計算機技術(shù)和 網(wǎng)絡(luò)技術(shù)深入到社會的各個領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密 地連在了一起。因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地 存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險 不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因 特網(wǎng)的各種有益的服務(wù)，對個人來說這樣會失去了了解世界、展示 自己的場所，對企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強競爭 力的機會。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。一、防火墻是什么防火墻是一種非常有效的網(wǎng)絡(luò)安全模型。 主要用來保護安全網(wǎng)絡(luò) 免受來自不安全網(wǎng)絡(luò)的入侵，比如安

2、全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)， 不安全網(wǎng)絡(luò)是因特網(wǎng)。但防火墻不只是用于因特網(wǎng)，也用于 IntranetIntranet 中的部門網(wǎng)絡(luò)之間。在邏輯上，防火墻是過濾器限制器和分析器;在物理上，防火墻的實現(xiàn)有多種方式。通常，防火墻是一組硬件設(shè) 備路由器，主計算機，或者是路由器，計算機和配有的軟件的網(wǎng) 絡(luò)的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預算以及全面規(guī)劃等。二、防火墻的分類從防火墻的防范方式和側(cè)重點的不同來看，防火墻可以分為很 多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法， 大致可將防 火墻分為兩大體系：包過濾防火墻和代理防火墻。靜態(tài)包過濾防火墻：靜態(tài)包過濾防火墻采用的是一個都不放

3、過的原則。它會檢查所有通過信息包里的 IPIP 地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng) 管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果 信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信 息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的， 如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包 的過濾原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認符 合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到 這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的 原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的 用戶名和密碼就可以登錄，它的

4、速度快，也易于維護。但由于用戶 的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一 個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊 者來說是攻破它是非常容易的。動態(tài)包過濾防火墻：靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采 用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術(shù)”的動態(tài)設(shè)置包過濾規(guī)則。它 可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目， 在這點上靜態(tài) 防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。 在 這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火 墻不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的

5、連接，一般由兩部 分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié) 點與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。代理（應用層網(wǎng)關(guān)）防火墻：這種防火墻被網(wǎng)絡(luò)安全專家認為是最安全的防火墻，主要是因為從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻 外部網(wǎng)卡一樣，可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計 算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻 擊方式入侵內(nèi)部網(wǎng)。自適應代理防火墻：自適應代理技術(shù)是商業(yè)應用防火墻中實現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又 保持了高速度，同時它的性能也在代理防火墻的

6、十倍以上，在一般 的情況下，用戶更傾向于這種防火墻。三、防火墻功能防火墻是一個保護裝置，它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。通常是 指運行特別編寫或更改過操作系統(tǒng)的計算機，它的目的就是保護內(nèi) 部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部 的 InIn terter netnet 之間，同時在多個組織結(jié)構(gòu)的內(nèi)部網(wǎng)和 InIn terneternet t 之間也 會起到同樣的保護作用。它主要的保護就是加強外部InIn ternetternet 對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止 其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少 數(shù)幾個良好的監(jiān)控位置來進行

7、內(nèi)部網(wǎng)與 InIn ternetternet 的連接。防火墻的 核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控 及電子郵件過濾這些功能都是基于圭寸包過濾技術(shù)的。防火墻的主體功能歸納為以下幾點：(1)(1)根據(jù)應用程序訪問規(guī)則可對應用程序聯(lián)網(wǎng)動作進行過濾。(2)(2)對應用程序訪問規(guī)則具有自學習功能。(3)(3)可實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動。(4)(4)具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細信息。(5)(5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。四、防火墻的不足防火墻對網(wǎng)絡(luò)的威脅進行極好的防范， 但是，它們不是安全解決方 按的全部。某些威脅是防火墻力所不及的。防火墻不能防止內(nèi)部的攻擊，

8、因為它只提供了對網(wǎng)絡(luò)邊緣的防衛(wèi)。 內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導致事故。防火墻也不能防 止像社會工程攻擊一一種很常用的入侵手段，就是靠欺騙獲得一些可 以破壞安全的信息，如網(wǎng)絡(luò)的口令。另外，一些用來傳送數(shù)據(jù)的電話 線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。另一個防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現(xiàn)在有 些防火墻可以檢查病毒和特洛伊木馬， 但這些防火墻只能阻擋已知的 惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序 不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。五、常見攻擊方式以及應對策略(1 1)常見攻擊方式病毒盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能， 但仍然很難將所有的

9、病毒(或特洛伊木馬程序)阻止在網(wǎng)絡(luò)外面，很 容易欺騙用戶下載一個程序從而讓惡意代碼進入內(nèi)部網(wǎng)。策略：設(shè)定安全等級，嚴格阻止系統(tǒng)在未經(jīng)安全檢測的情況下執(zhí)行 下載程序；或者通過常用的基于主機的安全方法來保護網(wǎng)絡(luò)。口令字對口令字的攻擊方式有兩種： 窮舉和嗅探。 窮舉針對來自外部網(wǎng)絡(luò) 的攻擊，來猜測防火墻管理的口令字。探針對內(nèi)部網(wǎng)絡(luò)的攻擊，通過 監(jiān)測網(wǎng)絡(luò)獲取主機給防火墻的口令字。 策略：設(shè)計主機與防火墻通過單獨接口通信（即專用服務(wù)器端口）、 采用一次性口令或禁止直接登錄防火墻。郵件來自于郵件的攻擊方式越來越突出， 在這種攻擊中， 垃圾郵件制造 者將一條消息復制成成千上萬份，并按一個巨大的電子郵件地址清

10、單 發(fā)送這條信息，當不經(jīng)意打開郵件時，惡意代碼即可進入。策略：打開防火墻上的過濾功能，在主機上采取相應阻止措施。IPIP 地址黑客利用一個類似于內(nèi)部網(wǎng)絡(luò)的 IPIP 地址，以“逃過”服務(wù)器檢測， 從而進入內(nèi)部網(wǎng)絡(luò)達到攻擊的目的。策略：通過打開內(nèi)核功能， 丟棄所有來自網(wǎng)絡(luò)外部卻有內(nèi)部地址的 數(shù)據(jù)包；同時將特定 IPIP 地址與 MAMA（綁定，只有擁有相應 MAMA 地址的用戶 才能使用被綁定的 IPIP 地址進行網(wǎng)絡(luò)訪問。（2 2）應對策略方案選擇市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。 軟件防火 墻需運行在一臺標準的主機設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實現(xiàn)防火 墻的各種功能，因此也稱“

11、個人”防火墻，其功能有限，基本上能滿 足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設(shè)計，并集成在 一起，運行于自己專用的系統(tǒng)平臺。由于硬件防火墻集合了軟件方面， 從功能上更為強大，目前已普遍使用。結(jié)構(gòu)透明防火墻的透明性是指防火墻對于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到 防火墻的存在。然后根據(jù)自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來選擇 合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第 3 3 點分析），如果經(jīng)濟實力雄 厚的可采用屏蔽子網(wǎng)的拓撲結(jié)構(gòu)。實施措施好的防火墻產(chǎn)品應向使用者提供完整的安全檢查功能，應有完善及時的售后服務(wù)。但一個安全的網(wǎng)絡(luò)仍必須靠使用者

12、的觀察與改進，企 業(yè)要達到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進， 定期對防火墻和相應操作系統(tǒng)用補丁程序進行升級。七、防火墻的發(fā)展歷程（1 1）基于路由器的防火墻由于多數(shù)路由器本身就包含有分組過濾功能，網(wǎng)絡(luò)訪問控制可能通 過路由器控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代 防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點：1 1）利用路由器本身對分組的解析， 以訪問控制表（AccessAccess ListList） 方 式實現(xiàn)對分組的過濾；2 2） 過濾判斷的依據(jù)可以是：地址、端口號及其他網(wǎng)絡(luò)特征；3 3）只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安 全要求低的網(wǎng)絡(luò)可以采

13、用路由器附帶防火墻功能的方法，而對安全性 要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。I I（2 2）第一代防火墻產(chǎn)品的不足之處具體表現(xiàn)為：1 1）路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部 網(wǎng)絡(luò)十分容易。2 2）路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。 對路由器 中過濾規(guī)則的設(shè)置和配置十分復雜，它涉及到規(guī)則的邏輯一致性。作 用端口的有效性和規(guī)則的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任， 加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往 會帶來很多錯誤。二3 3）路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于 信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客（Hac

14、kerHacker）可以在網(wǎng)絡(luò)上偽造 假的路由信息欺騙防火墻。路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提 供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的、固定 的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路 由器的性能?？梢哉f基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應急措施，用這 種權(quán)宜之計去對付黑客的攻擊是十分危險的。（4 4）用戶化的防火墻工具套為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā) 的防火墻系統(tǒng)來保護自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出 現(xiàn)。作為第二代防火墻產(chǎn)品，用戶化的防火墻工具具有以下特征：1 1） 將過濾功能從路由器

15、中獨立出來，并加上審計和告警功能；2 2） 針對用戶需求，提供模塊化的軟件包；3 3） 軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；4 4） 與第一代防火墻相比，安全性提高了，價格也降低了。第二代防火墻產(chǎn)品的缺點1 1）無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當復雜的 要求，2 2）配置和維護過程復雜、費時；3 3）對用戶的技術(shù)要求高；4 4）全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。（5 5）建立在通用操作系統(tǒng)上的防火墻 基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很 快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。系統(tǒng)上的防火墻的特點：1 1） 是批量上市的專用防火墻產(chǎn)

16、品；2 2） 包括分組過濾或者借用路由器的分組過濾功能；3 3） 裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；4 4） 保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；二5 5） 安全性和速度大大提高。第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已 經(jīng)得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延， 仍表現(xiàn)出不少問題。（6 6）操作系統(tǒng)上的防火墻的缺點1 1）作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；2 2） 由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商， 通用操作系統(tǒng) 廠商不會對操作系統(tǒng)的安全性負責；3 3）從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊；4 4）透明性好，易于使用。隨著 InIn ternet/lternet/l ntranetntranet 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措