防火墙技术及其发展

防火墙技术及其发展（共9篇）

防火墙技术及其发展 篇1

摘要：本文综合分析了防火墙的各种实现技术及其特点, 并在此基础上对防火墙的发展趋势和技术实现思路进行了探讨。

关键词：防火墙,VPN,IDS,DMZ,QoS

0 引言

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络的互联环境之中, 尤其以接入Internet网络为最甚。

1 防火墙的逻辑位置

防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口, 能根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。

在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。

2 防火墙的技术分类探讨

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲可分为三大类:分组过滤、应用代理、复合型防火墙。

分组过滤 (Packet filtering) :作用在网络层和传输层, 它根据分组包头源地址, 目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端, 其余数据包则被从数据流中丢弃。

应用代理 (Application Proxy) :也叫应用网关 (Application Gateway) , 它作用在应用层, 其特点是完全"阻隔"了网络通信流, 通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现 (也就是堡垒机) 。

复合型防火墙:由于对更高安全性的要求, 常把基于分组过滤的方法与基于应用代理的方法结合起来, 形成复合型防火墙产品。

(1) 分组过滤型防火墙优缺点分组过滤或包过滤, 是一种通用、廉价、有效的安全手段。之所以通用, 因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价, 因为大多数路由器都提供分组过滤功能;之所以有效, 因为它能很大程度地满足企业的安全要求。

数据包过滤 (Packet Filtering) 技术是在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑, 被称为访问控制表 (Access Control Table) 。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素, 或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单, 价格便宜, 易于安装和使用, 网络性能和透明性好, 它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

包过滤的优点是不用改动客户机和主机上的应用程序, 因为它工作在网络层和传输层, 与应用层无关。但其弱点也是明显的:过滤判别的标准只有网络层和传输层的有限信息, 因而各种安全要求不可能充分满足;在许多过滤器中, 过滤规则的数目是有限制的, 且随着规则数目的增加, 性能会受到很大的影响;由于缺少上下文关联信息, 不能有效地过滤如UDP、RPC一类的协议;另外, 大多数过滤器中缺少审计和报警机制, 且管理方式和用户界面较差;对安全管理人员素质要求高, 建立安全规则时, 必须对协议本身及其在不同应用程序中的作用有较深入的理解。

(2) 应用代理型防火墙优缺点应用代理型防火墙是内部网与外部网的隔离点, 起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。它工作在OSI模型的最高层, 掌握着应用系统中可用作安全决策的全部信息。

应用代理型防火墙也可以被称为代理服务器 (或称为堡垒机) , 它的安全性要高于分组过滤型产品, 并已经开始向应用层发展。代理服务器位于客户机与外部服务器之间, 完全阻挡了二者间的数据交流。从客户机来看, 代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时, 首先将数据请求发给代理服务器, 代理服务器再根据这一请求向外部服务器索取数据, 然后再由代理服务器将数据传输给客户机。由于外部主机与内部客户机之间没有直接的数据通道, 外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高, 可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置, 大大增加了系统管理的复杂性。

(3) 复合型防火墙优缺点这种类型的防火墙通常是由以下两种方案实现的。

屏蔽主机防火墙体系结构:在该结构中, 分组过滤路由器 (即屏蔽路由器, 以下类同) 或防火墙与Internet相连, 同时一个堡垒机安装在内部网络, 通过在分组过滤路由器或防火墙上过滤规则的设置, 使堡垒机成为Internet上其他节点所能到达的惟一节点, 这确保了内部网络不受未授权外部用户的攻击。此系统具体结构如图3。

分组过滤路由器使用包过滤技术, 它只允许壁垒主机与外部通信, 使壁垒主机成为Internet上其他节点所能到达的惟一节点, 并同时根据设立的过滤规则进行控制。对内部网络中其他主机直接对外的通信, 分组过滤路由器将予以拒绝。而这些主机的对外通信, 必须通过壁垒主机来完成, 即按照图4中所示的方式完成通信。

屏蔽子网防火墙体系结构:堡垒机放在一个子网内, 形成非军事化区 (DMZ) , 两个分组过滤路由器 (即屏蔽路由器) 放在这一子网的两端, 使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中, 堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。此系统具体结构如图5。

跨越防火墙的数据流必须经过外部屏蔽路由器、壁垒主机与内部屏蔽路由器, 在两个路由器之上都可以设置过滤规则, 壁垒主机运行应用代理服务软件。同时, 企业对外的如W W W、F T P服务器等可以放在D M Z内。

这种结构优点在于当壁垒主机或企业对外的服务器受到安全威胁时, 由于DMZ与内部屏蔽路由器的隔离作用, 使得内部网络的安全威胁尽可能地减少。

一般情况下, 对DMZ配置成如下状态:内部网和Internet均能够访问DMZ上的某些资源, 但不能通过DMZ让内部网和Internet直接进行信息传输。外部屏蔽路由器用于防范Internet上来的外部攻击, 并管理Internet到DMZ的访问, 即访问壁垒主机和DMZ内部的信息服务器。内部屏蔽路由器只接收壁垒主机发出的数据包, 并管理DMZ到内部网的访问。对于内部网去往Internet的数据包, 只能通过DMZ中的壁垒机过滤并通过外部屏蔽路由器发往外部, 内部屏蔽路由器管理内部网络到DMZ的访问, 它允许内部网只能访问DMZ上的壁垒主机及信息服务器;外部屏蔽路由器上的过滤规则只接受来自壁垒主机去往Internet的数据包。

3 防火墙的发展思路

目前在防火墙业界对防火墙的发展普遍存在着两种观点, 即所谓的胖瘦防火墙之争。一种观点认为, 要采取分工协作, 防火墙应该做得精瘦, 只做防火墙的专职工作, 可采取多家安全厂商联盟的方式来解决;另一种观点认为, 把防火墙做得尽量的胖, 把所有安全功能尽可能多地附加在防火墙上, 成为一个集成化的网络安全平台。

从概念上讲, 所谓“胖”防火墙是指功能大而全的防火墙, 它力图将安全功能尽可能多地包含在内, 从而成为用户网络的一个安全平台;而所谓“瘦”防火墙是指功能少而精的防火墙, 它只作访问控制的专职工作, 对于综合安全解决方案, 则采用多家安全厂商联盟的方式来集成实现。

3.1“胖”的技术路线

“胖”防火墙在保证基本功能的前提下, 不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全解决方案趋向于一种注重功能大而全的单一产品体系, 力图将防火墙系统开发成为一个安全域的整体解决方案, 它的优点在于可以满足用户绝大部分的网络安全需求。

防火墙最开始也是一个单独的设备与概念, 它和VPN (虚拟专用网VPN是部署于公共网络基础设施中的一种网络, 它具有和专用网络相同的安全性、管理以及服务质量策略) 、IDS (入侵检测) 、防病毒等都是同时并立的, 但随着客户需求的不断变化, 在大而全的思想引导下, 防火墙慢慢集成了VPN, 集成了IDS, 甚至集成了防病毒网关。理论上, 防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护, 但由于大多数中小企业的用户并非安全专家, 更不可能7×24小时监视安全报告并作出响应, 因此组合多种产品功能形成智能化的防御体系、发现并及时终止入侵的发生也就成为安全技术的一种发展方向。

另外, 对于一般的客户来说, 分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担, 而高度集成的防火墙系统令用户大大减少了同类支出并大大增加了效能, 因此, 市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。例如:飞塔公司的FortiGate系列防火墙为客户端提供集成的防病毒、防火墙以及入侵检测等功能。

“胖”防火墙追求的是一站式服务, 目前它只适应中小型企业, 尤其是低端用户。他们出于经济上的考虑以及管理上的成本, 更主要的是出于安全的实际需求, 希望一个设备可以为这种小型网络实现整体安全防护, 所以对这种大而全的“胖”东西非常感兴趣。

“胖”防火墙的缺点也是很明显的, 最突出的就是性能问题, 因为它强制将边界安全集中在单一控制点, 本有性能瓶颈之忧;在性能瓶颈点增加IDS、AV等模块, 又会加剧瓶颈效应;同时, 附加模块将增加安全策略规则数目, 也将加剧防火墙性能指标恶化 (随规则增加, 防火墙性能指标将成倍数下降) ;另外, 附加模块不专业, 功能不全面。很多厂家在初步定义产品时, 都想做成“胖”防火墙, 既有包过滤、又有代理, 同时包含了入侵检测和防病毒, 但是做着做着, 就慢慢瘦下来了。况且单一产品功能多, 也导致可靠性和安全性的降低。

集成化不应仅仅是产品的简单叠加, “胖”防火墙从概念上讲是可以的, 但从技术实现上讲, 有许多实际问题, 可能造成的结果就是多而不精。

3.2“瘦”的技术路线

一般来说, 大型用户安全需求广泛, 专业性要求强, 安全投入较大, 自身安全管理能力也较高, 因此, 这种客户均倾向于使用独立的安全设备, 并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能。

针对这类用户, 为了要满足多种安全需求, 安全厂商在设计安全解决方案时, 通常会考虑以安全管理为核心, 以多种安全产品的联动为基础, 如防火墙与IDS和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视, 不需要人工判断入侵事件, 不需要预先设置大量的阻断规则, 只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中, 而IDS系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则, 从而自动为用户带来安全的信息环境。

许多有实力的厂商在不断推出“瘦”防火墙等专业安全产品的同时, 开发并推出整体安全管理解决方案——信息安全管理平台, 如Check Point公司的OPSEC Manager、联想集团的LeadSec Manager等。

安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制、关联响应机制, 能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台, 能够配置IDS与防火墙、防病毒系统之间联动策略;当IDS检测到蠕虫病毒事件时, 网络中的防火墙和防毒系统马上即可收到事件通报;于是防火墙采取行动, 封堵病毒传播通道, 防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止, 并被消灭在一个有限的网络范围内。

应用安全管理平台, 可以使“瘦”防火墙等专业安全产品协同工作、关联响应, 从而全面提高企业整体安全风险防范能力, 这也是“瘦”防火墙得到越来越多客户青睐的重要原因。当然, 接口、联动、管理需要灵活的开放性和可扩展性。如果配合不当, 出现红鞋与绿裤的组合, 那呈现给用户的恐怕就不仅是俗气了。

4 对防火墙的发展思路的探讨

4.1“胖、瘦”相辅相成

从本质上讲, “胖、瘦”防火墙没有好坏之分, 只有需求上的差别。低端的防火墙是一个集成的产品, 它可以具有简单的安全防护功能, 还可以具有一定的IDS功能, 但一般不会集成防病毒功能。而中高端的防火墙更加专业化, 安全和访问控制并重, 主要对经过防火墙的数据包进行审核, 安全会更加深化, 对协议的研究更加深入, 同时会支持多种通用的路由协议, 对网络拓扑更加适应, VPN会集成到防火墙内, 作为建立广域网安全隧道的一种手段, 但防火墙不会集成IDS和防病毒, 这些还是由专门的设备负责完成。微软公司出品的INTENET SECURITY AND ACCELERATION SERVER 2000就集成了VPN功能, 但是没有防病毒功能, 用户必须另外购买防病毒产品。

而用户又如何看待呢?他们关注只有两个方面:一是他们需要防火墙, 二是他们需要其他的安全, 但许多大的行业用户一旦进行网络安全设计, 一般会进行较系统的规划, 他们可能会将IDS、防火墙、防病毒等分开考虑、统一规划 (也许他们的资金更充裕) 。这个现象类比到“胖”、“瘦”防火墙来说, 相当于这两种墙都有着自己的市场。随着技术的发展, “胖”、“瘦”防火墙将出现部分融合转化的趋势, 而这种融合正是推动安全保障体系演进与安全产品形态演绎的重要力量。

4.2 构建联动一体的体系

没有绝对的“胖”和绝对的“瘦”, 应该收敛目前市场上“胖防火墙”和“瘦防火墙”这两个极端观点。无论是“胖”防火墙的集成, 还是“瘦”防火墙的联动, 安全产品正在朝着体系化的结构发展, 所谓“胖瘦”不过是这种体系结构的两种表现方式, “胖”将这种体系表现在一个产品中, 而“瘦”将这种体系表现在一组产品或是说一个方案中。同时, 这种体系化的结构需要非常完善的安全管理, 也就是说, 通过安全管理中心产品, 整合系列安全产品, 构架成联动和一体的产品体系, 实现对用户、资源和策略的统一管理, 确保整体解决方案的安全一致性, 是构建网络安全系统的大趋势。

参考文献

[1]Elizabeth D.Zwicky, Simon Cooper, D.Brent Chapman著.构建Internet防火墙.清华大学出版社.2003.6.

[2]卡拉西克-亨姆著.防火墙核心技术精解.水电出版社.2005.4.

[3]阎慧著.防火墙原理与技术.机电工业出版社.2004.5.

防火墙技术及其发展 篇2

在众多的网络防火墙产品中，Linux操作系统上的防火墙软件特点 显著，它们和Linux一样，具有强大的功能，大多是开放软件，不仅可免费使用而 且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最 低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能，有 关部门根据网络安全调查和分析曾得出结论：网络上的安全漏洞和隐患绝大部分 是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问 题。要使系统安全高效地运行，安装人员和管理人员必须能够理解该软件产品的 运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。

防火墙的基本模型

基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈( 网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙 是为了保持网络连通性而设立的安全机制，因此防火墙技术就是通过分析、控制 网络以上层协议特征，实现被保护网络所需安全策略的技术。构建防火墙有三类 基本模型：即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火 墙。它们涉及的技术有应用代理技术和包过滤技术等。

应用代理网关允许 内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用 户与目的地进行连接。由于应用代理网关在应用层进行代理，所以它可以对应用 协议进行控制，而且还可以在应用级进行记录。它比网络级防火墙的安全措施更 加严格，因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数 。然而，采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要 求应用代理进程为其提供应用服务，所以速度较慢，并且不如网络层防火墙那样 透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。

电路级网关与应用代理网关类似，但进行的代理通常与应用无关。这样就失去了 详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备， 它只支持TCP/IP应用，使用TCP端口实现网络资源和用户应用程序之间的通信。它 还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现 这类防火墙模型的软件。

网络层的IP包过滤防火墙在IP包水平上工作。它 根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过 滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全 ，但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络，但不能 记录谁访问了公开的系统，以及谁从内部网络访问Internet。在Linux内核中支持 IP包过滤，所以不需要增加其他软件就可以构建包过滤防火墙，Ipchains软件包 是Linux平台上一个功能强大的包过滤策略管理软件，用于设置可靠的防火墙系统 。

Ipchains及IP伪装原理

在Linux系统上，支持包过滤的核心中有 三个规则列表，这些列表称为防火墙链。三个链分别称为输入链、输出链和转发 链。当一个包从Internet进入配置了防火墙的Linux主机，内核使用输入链决定该 包的取舍。如果该包没有被丢弃，则内核继而调用转发链决定是否将包发送到某 个出口，最后包要被发出前，内核通过输出链来做决定。

图1 Ipchains 流程图

一个链是一系列规则的列表。每个规则规定：如果包的 包头与规则相匹配，那么对包进行相应的处理。如果该规则与包不匹配，则引入 链中的下一条规则。最后，如果没有要引入的规则，内核根据内置策略决定如何 做。在一个有安全意识的系统中，该规则通常告诉内核将包拒绝或丢弃。

通过适当配置IP过滤规则，即三条链的过滤策略，该防火墙可以控制输入的包来 自信任的IP网段，也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别 指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外，我 们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执 行，完成后再回到主链，这使过滤规则可以相当灵活。

在防火墙链中有一 些特殊的跳转目标值如下表所示：

在防 火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案，它同时解决了 Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能 够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具 有IP伪装功能，那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接 的，尽管它们没有正式的IP地址，都可与Internet连接。这意味着可将一系列主 机藏在一个网关系统之后来访问Internet，它们的访问在外界看来是不可见的。

由于要伪装的主机没有正式的IP地址，可以使用IANA(Internet Assigned Numbers Authority)保留的私有网络地址，即：

10.0.0.0～ 10.255.255.255????1个A类地址

172.16.0.0～172.31.255.255???16个连 续B类地址

192.168.0.0～192.168.255.255??255个连续C类地址

在 防火墙的转发链配置了IP伪装后，当内部网络上的主机向Internet发出访问的IP 包时，内核将包中的源IP地址换成网关的IP地址，并记录被伪装的IP地址，然后 转发这个包。当这个包的应答IP包从Internet进入网关时，内核会进行去IP伪装 的操作，将目的地址替换成内部地址。IP伪装规则只能配置于转发链，通过适当 配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口 进行IP伪装。IP伪装对外部屏蔽了内部网络的细节，外部甚至不知到内部网络的 存在，因此安全性更好。

构建IP防火墙的策略

一、基本配置方式

配置Ipchains防火墙基本上有两种方式: 第一种方式是先丢弃或拒绝所有 的包，然后明确地指出允许符合哪些条件的包通过，

这种方式最安全，但当用户 需要某些服务时，必须针对相应的服务进行修改，管理者必须清楚应该打开哪些 服务和端口。这种方式适合于仅包含服务器、没有终端用户的小型网络。另一种 方式是先接受所有的包，然后明确指出禁止某些类型的包。这种方式使网络类型 较为开放，只是对危险的或不需要的协议进行控制。例如为了减少网络的流量， 可以阻止“CUSeeMe”的包。这种方式比较容易配置。

二、不 应该过滤的包

在开始过滤某些不想要的包之前要注意以下内容：

● ICMP包

ICMP包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致 不能得到“Host unreachable”或“No route to host” 等信息。ICMP包还用于MTU发现，某些TCP实现使用了MTU发现来决定是否进行分段 。MTU发现通过发送设置了不进行分段的位的包探测，当得到的ICMP应答表示需要 分段时，再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包)，则本地主机不减少MTU大小，这将导致测试无法 停止或网络性能下降。

● 到DNS的TCP连接

如果要拦阻出去的TCP 连接，那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节 ，客户端将使用TCP连接，并仍使用端口53接收数据。若禁止了TCP连接，DNS大多 数情况下会正常工作，但可能会有奇怪的延时故障出现。如果内部网络的DNS查询 总是指向某个固定的外部DNS服务器，可以允许本地域端口到该服务器的域端口连 接。

● 主动式FTP的TCP连接

FTP有两种运作方式，即传统的主动 式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下，FTP 服务器发送文件或应答LS命令时，主动和客户端建立TCP连接。如果这些TCP连接 被过滤，则主动方式的FTP将被中断。如果使用被动方式，则过滤远地的TCP连接 没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。

三、针对可能的网络攻击

防火墙的性能是否优良关键在于其配置 能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特 点设定完善的安全策略。以网络常见的“ping of death”攻击为例， “ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP 堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普 通的ICMP包大都不需要到分段的程度，阻挡ICMP分段只拦阻大的 “ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻 击。

TurboLinux平台上的Ipchains防火墙实例

一、应用背景

在TurboLinux 6.1平台上实现IP包过滤防火墙，将内部网络配置为IP伪装 方式访问Internet。

内部网络与防火墙间用以太网连接，内部网址取IANA 的C类地址192.168.1.*。防火墙与外部网络通过modem和电话线与PPP服务器连接 (连接示意图如图2所示)。

二、准备工作

1. 检查Linux系统是否支持IP 伪装。输入命令：# ls /proc/sys/net/ipv4，若存在“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”等文件则内核已支持IP 伪装，否则需要重新编 译内核。

2. 配置网卡和PPP连接的IP地址，这部分可查阅相关资料。

三、配置命令

编辑配置命令文件/etc/rc.d/rc.firewall，将防火 墙的配置命令写成执行脚本。

# 打开系统内核的IP转发功能

echo “1”?? /proc/sys/net/ipv4/ip_forward

# 打开系统 内核的自动IP分段重组功能

echo“1”?? /proc/sys/net/ipv4/ip_always_defrag

# 设定IP伪装的超时时间，TCP会 话超时为7200秒，

TCP/IP的“FIN”分组收到后会话的延迟时间 为10秒，UDP超时160秒

/sbin/ipchains/ -M -S 7200 10 160

# 设定 内部网络的IP伪装，规定转发链规则

/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -i eth0 -s 192.168.1.0/24 -j MASQ

最后，改变这个脚本文件的执行权限为可执行。输入命令：# chmod 700/etc/rc.d/rc.firewall。可以手工方式运行这个脚本，也可以在文 件/etc/rc.d/init.d中加入一行: /etc/rc.d/rc.firewall，这样每次系统启动时 可自动运行这个脚本。

四、系统测试

系统配置好以后，可以从内 部子网的任意一台主机上“ping”一下外部的某个服务器，若能 “ping”通，则IP伪装配置是正确的。

可能的安全漏洞

对防火墙的不当配置可能造成安全漏洞。如处理TCP分段时，Ipchains需 要查看包头中的源端口、目的端口、ICMP代码或“TCP SYN”标志等信 息，而这些信息只能在TCP分段的第一个IP包中才有。于是从第二个分段开始都不 能匹配过滤规则。某些管理者将防火墙配置为仅对第一个分段进行处理。通常， 一个TCP连接的第一个TCP分段被防火墙阻挡后，其他的TCP分段被认为不会产生安 全性问题，因为在目的主机上由于缺少第一个分段而无法重新组装报文。然而， 由于系统缺陷等原因，发送的分段可能使机器瘫痪，甚至人为精心设计的IP包可 借此缺陷绕过防火墙。因此配置防火墙需要仔细分析过滤规则如何处理各种类型 的分组。对分段的处理最好将系统内核编译为重新组装所有通过的分段，或在应 用层另设安全机制。

网络防火墙技术发展 篇3

关键词：网络；防火墙

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網址对于网络安全来说防火墙是主要的一个防御机制，在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素，是网络安全性的决定性因素，而在网络迅猛发展的今天，对网络安全和防护的要求就越来越迫切，网络防火墙被用作为加强控制网络之间的互访，严防外部网络用户恶意通过外网入侵内部网络，并对网络之间的数据包的传输进行实时监控，判断网络之间通信的合法性，以及网络运行的状态。

一、防火墙的类型

网络在人们的平常生活中越来越普及化，网络的安全就越来越受到了人们的重视，防火墙成为网络安全的一个重要保障。防火墙的种类多样化，根据应用技术的不同，可分为一下几类：

（一）防火墙的初级产品：包过滤型防火墙它的核心为传输技术，通过读取数据包中的地址信息来辨别数据包的合法性，辨别其来自的网站是否安全，如果是危险的数据包，防火墙最自动将其抑制，包过滤技术具有简单实用的优点，而且成本低，经常是以较小的代价实现对系统的保障，但是其常常无法识别应用层的恶意攻击。

（二）网络地址转化（network address translation）NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址，同时允许私有IP地址用户访问因特网，系统将源端口和源地址映射为一个伪装的地址和端口，用伪装的地址与端口与外网建立连接，从而以达到隐藏真实的IP地址。

（三）代理型防火墙代理型防火墙亦可称作为代理服务器，它是一种安全性相对较高的产品，其位于服务器与用户级之间，对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用，避免了外部的一些恶意攻击，为网络与用户之间建立了一条有效安全的绿色通道，其优点是安全性较高，对应用层可以做到有效的扫描和侦测，对于抑制应用层的病毒侵入和感染十分有效，劣势就是管理起来相对复杂。

（四）监测型防火墙监测型防火墙是一种新的产品，它对网络各层的数据予以主动的、实时的监控，对于各层中的恶意入侵和非法操作的监控、判断更为行之有效，而且防范能力也得到了大幅度的提升，其优点它的防御能力已完全超越了前几种类型防火墙，但劣势也比较明显，成本高，管理困难。

二、在网络安全的五个体系中防火墙处于五层中的最低层，负责网络数据的安全传输与认证

由于网络的全球化和重要性，网络安全的重要性也随之深入人心。从发展的角度看，防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级，随之其防火墙的技术与职能也在迅速的拓展。

（一）向着多级过滤技术发展网络会向着多级过滤技术发展，多级过滤技术的定义是：采用多级过滤措施，在分组过滤（网络层）一级，对所有的源路由分组和假冒的IP源地址进行过滤；应遵循过滤规则，过滤掉所有（传输层）一级，违反规则的的协议和有害数据包；在应用网关（应用层）一级，能利用不同的网关，操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。

（二）动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较：传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃，动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测；过滤；加密解密或者传输，并作进一步的用户身份认证，他能够深入检查出数据包，查出内部存在的恶意行为，识别恶意数据流量，阻断恶意攻击的出现，并且具备识别黑客的非法扫描，有效阻断非法的欺骗信息。

三、网络防火墙产品发展趋势

网络信息技术的飞速发展，硬件设施的不断更新，随之带来防火墙产品的不断换代以及产品技术的迅速进展，数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向，其发展趋势主要有：

（一）模式转变。传统的防火墙主要是用来把数据流，形成分隔开来，从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范，而新的防火墙产品以网络节点为保护对象，最大限度的保护对象，提高网络安全级别，增强保护作用。

（二）技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。

（三）性能提高。随着网络的飞速发展，千兆网络也逐渐在普及，在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上，千兆防火墙的主要选择将会为网络处理器（Network Processor）和专用集成电路（ASIC）技术。可以通过优化存储器等资源，使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求，未来将会融入更多的先进技术理念并应用到实践中去，从而做到与性能相匹配。

四、结束语

在网络已成为人们普遍使用工具的当下，网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人，也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害，安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化，更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域，更会涉及到信息安全的未来。

参考文献：

[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104

[2]爱博科研究室.网络攻防零距离[M].上海:上海科学技术出版社,2003:11

防火墙技术及其应用研究 篇4

随着网络的迅速普及, 网络安全问题也日益突出。虽然网络安全技术得到了迅速发展, 但网络安全问题也增加了新的内容 , 主要是由网络的开放性、无边界性、自由性造成的, 包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务, 如TELNET NFS, DNS, Active X 等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击, 追查比较困难, 因为攻击可以来自Internet的任何地方。

目前, 保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一, 成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来, 防火墙产品多, 更新快, 且不断有新的信息安全技术应用到防火墙的开发上, 如代理服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。

那么, 什么是防火墙呢?在古代, 人们在构筑木制结构房屋时, 常在住所之间砌一道砖墙, 防止火灾蔓延。在网络中, 防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网, 犹如一道护栏, 置于不安全的非信任的网络与被保护网络之间, 阻断外部对内网的威胁和入侵, 保护内网的安全。

一般来说, 防火墙是一种置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制 (包括允许、拒绝、记录和监视) 通过网络的访问行为, 是一种高级的访问控制设备。狭义上, 防火墙是指装了防火墙软件的路由器系统或者主机;广义上, 防火墙是指整个网络的安全行为和安全策略。

1 防火墙的发展

1986年, 在Internet上, 美国Digital公司安装了全球第一个防火墙系统。这之后, 防火墙产品成为安全领域发展最快的安全技术产品之一, 它先后经历了如下发展阶段:

第一代防火墙, 又称为包过滤路由器或屏蔽路由器, 是基于路由器的防火墙, 通过检查经由路由器的数据包的地址 (源地址、目的地址) 、端口号 (源端口号、目的端口号) 、协议等参数, 来决定是否让数据包通过, 如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击, 而且审计功能差。

第二代防火墙, 是用户化的防火墙工具套, 它用来提供应用服务级的控制, 起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个代理软件模块来进行安全控制, 而每一种网络应用服务的安全问题各不相同, 分析困难, 因此实现也困难, 且代理的时间延迟也较大。

第三代防火墙, 是建立在通用操作系统上的商用防火墙产品, 有以硬件方式实现的, 也有以纯软件方式实现的。采用这种防火墙, 用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。

第四代防火墙, 是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中, 同时也采用了一些主动的网络安全技术, 比如网络安全性分析、网络信息安全监测等。总之, 它将网关和安全系统合二为一。

2 防火墙的基本类型

按使用技术, 防火墙主要分为包过滤型防火墙 (又可分为静态包过滤、状态动态检测包过滤) 、应用代理、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。

2.1 按使用技术分类

2.1.1 包过滤型防火墙

静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表, 在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑, 在收到网络数据包后, 检查数据流中的每个数据包, 根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素, 以确定是转发还是丢弃, 它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关, 所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。

状态动态检测包过滤防火墙直接对数据分组进行处理, 而且结合前后的数据分组进行综合判断, 来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务, 并能动态地打开服务端口, 且能减少端口的开放时间。所以状态动态检测防火墙安全性高, 能够检测所有进入防火墙网关的数据包, 并能根据通信和应用程序状态确定是否允许包的通行。它性能高, 在数据包进入防火墙时就进行识别和判断;伸缩性好, 可以识别不同的数据包;已经支持160多种应用, 包括Internet应用、数据库应用、多媒体应用等, 用户可方便添加新应用, 而且对用户、应用程序透明。

2.1.2 应用代理型防火墙

代理型防火墙, 又可分为电路级代理和应用级代理。

应用代理技术是在网络的应用层提供网络数据流保护功能, 用来过滤应用层的服务, 是内部网与外部网的隔离点, 起着内外网之间申请服务时的中间转接作用, 监视并隔绝应用层的通信流。应用代理服务是运行在防火墙主机上的特殊的应用程序或者服务器程序, 不同服务的代理功能需要开发不同的代理服务程序, 而对大多数代理服务来说, 要求要有合适的代理服务器软件。由于代理提供替代连接并充当服务的网关, 所以, 应用代理有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是, 它的代理速度比包过滤慢, 且对用户不透明, 对于一些服务不适用, 而且不能保护所有协议。

电路级代理适用于多个协议, 能接收客户端的各种服务请求, 建立一个回路, 对数据包只起转发的作用, 工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置, 并能隐藏内网的信息, 但它不能识别同一个协议栈上运行的不同应用程序。

2.1.3 复合型防火墙

所谓复合型防火墙, 就是将包过滤和代理服务整合在一起使用, 以实现如网络安全性、性能和透明度的优势互补。复合型防火墙, 可以检查整个数据包的内容, 并根据需要建立状态连接表, 网络层和应用层的保护强, 会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等, 突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及代理服务技术是未来防火墙的趋势。

2.1.4 核检测防火墙

核检测防火墙, 检查整个数据包, 当数据包到达防火墙时, 建立连接状态, 重写会话, 检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强, 而且前后报文有联系, 上下文相关。

2.2 按实现方式分类

硬件防火墙, 是指采用ASIC芯片设计实现的复杂指令专用系统, 它的指令、操作系统、过滤软件都采用定制的方式, 一般采取纯硬件设计即嵌入式或者固化计算机的方式, 而固化计算机的方式是当前硬件防火墙的主流技术, 通常将专用的Linux操作系统和特殊设计的计算机硬件相结合, 从而达到内外网数据过滤的目的。

软件防火墙, 一般安装在隔离内外网的主机或服务器上, 一般来说, 这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙, 俗话叫“个人防火墙”, 因为它是装在个人主机上的, 只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。

3 防火墙的主要功能

防火墙能提高网络、主机 (主机群) 以及应用系统的安全性, 它主要有以下功能:

(1) 网络安全的屏障。对网络存取和访问进行监控和审计, 提供内部网络的安全性, 过滤不安全的服务, 对网络攻击进行检测和报警, 比如说, 它可以禁止NFS (网络文件系统) 服务。把防火墙作为网络通信的阻塞点, 为网络安全起到了把关的作用, 所以, 我们就可以把网络安全防范集中在这个阻塞点上。

(2) 强化网络安全策略。通过集中的安全管理, 在防火墙上可以实现安全技术应用 (加密、身份鉴别与认证、口令密码等) , 过滤掉不安全的服务和非法用户。

(3) 防止内部信息外泄。对于内部网络, 可以根据不同的服务设置不同的安全级别, 从而实现内部重点网段的隔离与保护, 限制敏感的安全问题影响整个网络。

(4) 限制暴露用户。封堵禁止的访问行为, 有效记录Internet上的活动, 管理进出网络的访问行为。

(5) 实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。

虽然, 防火墙能对网络威胁起到极好的防范作用, 但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等, 防火墙也是无能为力的。

4 防火墙的设计策略

防火墙的设计策略是基于特定的防火墙, 通常有两种基本的设计策略:限制策略, 拒绝任何服务除非被明确允许;宽松策略, 接受任何服务除非被明确禁止。第一种相对保守, 也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。

在配置防火墙时, 必须要遵循一定的原则, 首要的原则是安全且实用。从这个角度, 在防火墙的配置过程需要坚持3个原则:①简单实用, 越简单, 越容易理解和使用, 越不容易出错, 管理也越可靠、简便;②全面深入, 只有采用全面的、多层次的防御战略体系才能实现真正的系统安全, 系统地对待整个网络的安全防护体系, 使各方面的配置相互加强, 进而从深层次上保护整个系统;③内外兼顾, 每种产品都有它的主要功能定位, 在配置时要针对具体的网络环境进行配置, 不必对每一种功能都进行配置。

在站点上配置安全策略, 防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型, 可以提供代理软件, 也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务, 如过滤垃圾邮件、限制外部访问, 只允许他们访问本地web服务器的一些信息等。

在大型网络系统中, 可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。

防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。

5 防火墙的选型和实施

5.1 选型原则

防火墙产品众多, 如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall-1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术, 都有自己的定位, 让用户眼花缭乱, 难以选择。一般来说, 防火墙选型时的基本原则有以下几点:

安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此, 选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

明确投资范围和标准, 以此来衡量防火墙的性价比。

在相同条件下, 比较不同防火墙的各项指标和参数。

综合考虑安全管理人员的经验、能力和技术素质, 考查防火墙产品的管理和维护的手段与方法。

根据实际应用的需求, 了解防火墙附加功能的定义和日常系统的维护手段与策略。

5.2 防火墙的测试与管理

为更好地了解防火墙产品的特点, 选择适合自己应用需求的产品, 必须先对防火墙产品进行测试, 测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中, 管理是网络安全的关键, 功能是防火墙应用的基础, 性能保证了网络的传输效率, 而抗攻击能力是网络安全的保证。

选择安装适合的防火墙后, 还要对防火墙进行管理与维护, 目的是为了让防火墙正常发挥作用, 并延长使用寿命。这要求管理维护人员必须接受一定的专业培训, 且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测, 及时发现问题, 堵上漏洞;保证通信线路畅通, 当发生网络安全问题时能及时报警, 并及时处理;与厂家保持联系, 及时获得防火墙有关的升级与维护信息。

6 结语

防火墙虽是一项比较成熟的产品, 但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能, 是网络安全人员面临的一个艰巨课题。

摘要：防火墙技术是网络安全的重要技术之一, 是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型, 并探讨了在实际中如何管理防火墙。

关键词：网络安全,防火墙技术,防火墙应用

参考文献

[1]阎慧.防火墙原理与技术[M].北京:机械工业出版社, 2004.

[2]杨文虎.网络安全技术与实训[M].北京:人民邮电出版社, 2011.

[3]刘渊.因特网防火墙技术[M].北京:机械工业出版社, 1998.

试析计算机防火墙技术及其应用 篇5

随着计算机网络技术不断的发展,网络已经成为人们生活、工作、学习必不可少的一部分。网络在给人们带来安全的同时,也给人们带来了一定安全隐患。就目前来看,网络犯罪和黑客网站在不断地增多,这就使得人们对网络安全越来越重视。计算机防火墙就技术的出现,在一定程度上维护了网络安全。如何将计算机防火墙技术更好地应用到实际中,已经成为相关部门值得思索的事情。

1 计算机防火墙概念及功能

所谓的防火墙就是不同网络或网络安全域信息之间的一系列部件组合。其作为不同网络和安全域之间信息唯一出入口,也能以企业的安全政策形式对出入的信息流进行控制;防火墙本身有较强的抗攻击能力,其能更好地为企业服务;防火墙作为基础设施,不仅能为企业提供信息安全服务,同时也能为实现网络和信息安全创造条件;也可以将防火墙看作一个逻辑上的分离器、限制器或分析器,能对内部网络和Internet之间的活动进行监控,以保证内部网络安全。综上所述,可以看出防火墙是沟通Internet和内部网络唯一的桥梁。

2 计算机防火墙分类及特点

2.1 计算机防火墙分类

就目前来看,防火墙主要有包过滤防火墙、代理服务型防火墙、复合型防火墙、其他类型的双宿主主机过滤及加密防火墙等。

包过滤防火墙一般会安置在路由器上,而且大部分商用路由器都有包过滤功能,包过滤防火墙则能以IP信息包为基础对IP源地址、目标地址、封装协议类型、端口等进行相应筛选。

代理服务型防火墙一般是由服务器端程序和客户端程序组成的,其中客户端程序和中间节点是相连的,而中间节点又与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接地连接,同时提供日志(Log)及审计(Audit)服务。

复合型防火墙,能更好地将包过滤和代理服务有效地结合在一起,使其形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

双宿主主机防火墙和主机过滤防火墙都是由堡垒主机提供相应代理服务的。双宿主主机防火墙一般是由堡垒主机来充当网关的,并在网关上运行防火墙软件,要想保证内网网络通信,就必须通过堡垒主机。而主机过滤防火墙则将过滤路由器和外部网连接起来,并在堡垒机上安装内部网,使堡垒机成为外部网唯一节点,以保证内部网络不受非授权用户攻击。

在此基础上,加密路由器也能通过路由器信息流进行相应加密和压缩,使外部网络传输将相关信息传输到目的端,可以更好地对信息进行解压缩和解密。

2.2 计算机防火墙特点

防火墙作为计算机安全框架一部分,其在设计过程中必须满足计算机安全需求,然而,其在实际应用过程中也有劣势。

2.2.1 防火墙优势

在正常情况下,防火墙不仅能对计算机网络整体安全进行配置,同时也能完成安全策略,并将其控制在关键策略可以接受的范围内;也可以对某些特殊服务进行限制,防火墙是允许访问Web服务器的,而对于一些其他Telnet端口和其他域来说,则是禁止访问或是授权访问的。

在实际应用过程中,因防火墙功能强大,其不仅可以作为网络安全屏障,对网络安全策略进行强化,同时也可以通过网络地址转换功能以缓解地址源紧张问题,也可以为用户提供相应服务;防火墙可以对网络安全进行强化,就是以防火墙为中心的安全方案配置,其最大的优势是能将相应软件配置在防火墙上,并将相应网路安全问题分散到不同主机上进行对比分析,以实现防火墙对网络进行集中安全管理的经济性;同时其也具有网络地址转换功能,不仅能缓解IP地址址源紧张问题,也可以对ISP进行更换而需要重新编号的麻烦。

防火墙也可以对Internet使用状况进行登记查询并对Internet连入代价和潜在带宽瓶颈进行确认。防火墙还可以配置WWW和FTP服务,以方便相应用户对此类服务进行访问,也可以保护和禁止相关网络系统的访问;防火墙还具有审计功能,只要计算机中有足够的磁盘空间或是记录功能,其就能将经过防火墙的网络流记录在其中,一旦有危险信息出现的时候,防火墙也能将相关信息反映给防火墙管理人员,以便使管理人员能及时解决相应问题,以保证网络安全。从中可以看出,防火墙在实际应用过程中是不需要对其安全性和可用性进行权衡的,其功能也是比较专一的,应用范围也相对广泛。

2.2.2 防火墙劣势

防火墙劣势是其在使用过程中,对已经授权的访问并不能采取相应保护,毕竟防火墙允许保护系统正常通信的信息是需要通过防火墙的。如果其应用程序本身就存在一定错误,防火墙不能发挥其作用以阻止其攻击,也就是说其是已经经过授权的。防火墙工作是按照配置规则进行的,一旦按照随意规则进行配置,就会使防火墙功能减弱。同时防火墙对于那些已经授权用户合法访问的攻击是不能更好发挥其作用的。此外,防火墙也不能对脆弱的管理措施进行修复,更不能阻止不经过防火墙的恶意攻击。

3 计算机防火墙工作原理

因防火墙采用的技术是有区别的,且形式多样。在对其工作原理进行分析的时候,有必要先了解防火墙形式。防火墙的形式不仅有取代系统已有装备的TCP/IP协议,也有在已有协议上建立自己的软件模块,还有完全独立的形式。但是大部分防火墙的工作方式是一致的,都是以对相应数据进行分析,来决定是否拦截相应信息的。不同防火墙在工作过程中,其IP地址都是经过过滤的。其在实际工作中都会对IP包头进行相应检查,并以IP地址和目标地址为依据,来决定通过或丢弃。然而,很多时候仅靠地址对数据进行过滤是远远不够的,毕竟目标主机上会有多种通信服务。

为了保证通信安全,最好对服务器TCP/UDP端口进行过滤。此外,还应该对ACK进行检查,这里应该注意的是这种检查只能用作TCP协议。为了保证各项工作顺利进行,可以使用代理服务器,毕竟这种服务器对网络直接连接是不允许的,且其能服务于公共和专用的DNS及邮件服务器等,再加上其不会简单的对数据进行转发和重写数据包,使它能更好的对计算机系统中的不安全数据进行处理,以保证用户信息安全。

4 计算机防火墙技术应用

随着一些单位因业务量的增多,对计算机网络使用的需求也不断增多,尤其是对计算机网络安全性要求也越来越高,使得计算机系统中安装防火墙需要考虑的问题也在逐渐增多。不仅要对防火墙的价格、功能等要素进行分析,还要对防火墙的稳定性、安全性及管理维护等进行分析。

为了更好满足相应企业的需求,其在设计的时候,可以用两根不同的ISP作为上网线路,但出于成本考虑,不同线路分别配置防火墙和路由器设备会增加企业在硬件方面的资金投入,也会影响其效率。因此,在对防火墙进行设计的时候,应该以硬件防火墙为主,采用线路防火墙、软件防火墙作为备用防火墙方案进行选择。

针对硬件防火墙,一些企业采用的是Netscreen-SGT产品,这种产品能为企业提供性能丰富且安全的解决方案。毕竟它是由IPS、防黑客、防垃圾邮件和Web过滤组成的UTM安全特性,其不仅可以避免网络蠕虫、间谍软件、特洛伊木马的攻击,还可以避免恶意软件和黑客的攻击,对于那些网络需求量较大的企业比较适用,其在实际使用过程中能通过有效负载安全性来保证硬件连接环境。

针对软件防火墙,企业常会采用Microsoft的ISA Server软件。这种防火墙的市场使用反响比较好,也可以通过状态数据包过滤和链路过滤使企业免受新型攻击。状态数据包过滤确定后,是允许数据受保护网络数据和应用程序并为其电路服务的,如果状态过滤动态的端口是需要打开的,其在通信结束后会将这些端口关闭,就会与链路层安全动态数据包过滤相配合,以保证安全性和易用性。同时也还可以将经过防火墙的的活动记录下来,它主要记录和报告企业成员活动。使用这种集中记录和报告既能简化用户对用户、组的搜寻,也能简化对服务器、网络信息的搜寻,再通过用界面、向导、模板和相应管理工具就能直接为用户提供相应服务。

5 计算机防火墙未来发展趋势

随着人们对网络安全日益重视,对防火墙的要求越来越高,原有的防火墙技术已经不能更好满足时代发展需求。在这种情况下,有必要对新型防火墙技术进行研究。就目前来看,未来的防火墙技术将会向包过滤技术、体系结构及系统管理方向发展。

防火墙包过滤技术作为多级过滤技术,它是采用多种过滤来辅助系统辨别的。它的过滤手段主要包括分组过滤一级、传输层一级、应用网关一级等。分组过滤一级就是对路由分组和伪造IP的地址进行过滤。传输一级就是在以过滤规则为依据,对出入有害数据包进行过滤禁止。应用网关一级,可以通过FTP、SMTP等不同网关对Internet通用的服务进行控制和监测。

此外,因这种防火墙因为是纯软件形式,极易发现病毒且具有病毒防护功能,能及时预防网络中的病毒,也能将发现病毒及时报告给管理员,及时解决相应问题,以免给企业造成不必要的经济损失。随着计算机网络应用不断的增加,对网络带宽的要求越来越高,这就使得防火墙必须能以更高的速率处理相应数据。在不久的将来,多媒体将会更加普及,其对防火墙所带来的延迟数据要一定的小。

为了更好满足这一需求,一些防火墙厂商已经开始对基于ASIC和网络处理器防火墙进行研究。就执行状况来看,基于网络处理器防火墙是以软件为基础来解决相应问题的。虽然防火墙对软件性能依赖性比较大,但是这种防火墙中有处理数据层面任务引擎,因其性能比传统防火墙性能要好,与基于ASIC的纯硬件防火墙相比,其更具灵活性,在一定程度上能减轻CPU负担。而ASIC的防火墙在实际使用过程中,因其有专门的硬件对网络流进行处理,在计算机系统中应用中,与传统防火墙应用状况相比较,其效果更佳。

未来的计算机系统管理主要是集中式管理,其主要包括分布式安全结构管理和分层安全结构管理。这种集中式系统管理最大优势是能更好的降低成本,并使大型网络中安全策略始终保持一致,毕竟大型集中管理系统需要快速反应和快速防御。集中式系统管理另一优势是具有较强的审计功能和日记分析功能。在实际应用过程中,也能及时发现系统潜在的威胁并采取防御策略。日记功能也能让管理员及时有效的发现系统中存在的漏洞,以方便其对安全策略进行相应调整,将网络安全威胁降至最低。

6 结束语

互联网的普及和发展,在一定程度上促进了各行各业发展,也提高了其工作效率。然而,互联网技术在实际应用过程中,它经常会受到相应问题的影响,而使其安全受到威胁,特别是黑客技术不断的发展,严重威胁着用户信息安全。在这种情况下,人们对网络安全和信息安全越发重视,对防火墙技术要求也越来越高。为了更好满足人们对信息安全需求,在实际应用过程中就应该对防火墙技术进行不断的更新,以充分的发挥其效用和保证用户网络信息安全。

摘要：随着计算机网络技术的普及,计算机网络安全变得尤为重要。计算机网络防火墙作为重要网络保护手段,其不仅能对流入、流出的网路信息进行扫描,以避免相应攻击,同时也能为用户提供相应服务,以方便用户并保证其使用安全。文章主要从计算机防火墙概念及功能、计算机防火墙分类及特点、计算机防火墙工作原理、计算机防火墙应用、计算机防火墙发展趋势等方面出发,对计算机防火墙技术及其应用进行分析。

试论计算机防火墙技术及其应用 篇6

1 计算机防火墙具有的特点

1.1 优势

一般来说, 防火墙配置不仅是针对计算机网络整体安全, 同时也可以将安全策略完成, 并且将关键策略控制在允许的范围之内;也能够限制部分特殊的服务, 防火墙对于Web的服务器房屋是允许的, 但是对于其余的Telnet端口和其他域, 就会禁止其访问或者是需要授权之后才能访问。在实际应用中, 由于防火墙本身强大的功能, 使其不仅能够成为网络安全的屏障, 能够强化网络安全策略, 同时还可以进行网络地址的转换, 以此来缓解地址源紧张的问题, 同时, 也能够提供用户相应的服务;此外, 通过防火墙作为中心的安全方案配置, 也能够进行网络安全的强化, 其最明显的优势在于能够将相应的软件配置在防火墙上, 通过分散作用, 将安全方面的问题分散到不同的主机上, 然后进行比对分析, 最终找出合理的防护方案;考虑到本身剧本的转换网址的能力, 也让原本紧张的IP地址源得到极大限度的缓解, 也避免了ISP在更换时需要重新进行编号的麻烦情况。此外, 为了方便服务, 对于网络系统的访问做出保护与禁止, 防火墙还能够做好WWW与FTP的服务配置;防火墙也具备了相应的审计功能, 只要计算机拥有记录功能或者是其磁盘空间足够大, 就可以将网络留记录在其中, 一旦存在危险信息, 防火墙就能够及时地将信息反馈给管理人员, 这样也能够确保网络不受破坏。

1.2 劣势

在使用防火墙的过程中, 无法保护已经授权的访问, 毕竟允许保护系统的正常通信信息都需要通过防火墙。如果应用本身的程序就属于错误一类, 那么防火墙就无法阻止其出现的攻击, 也就是说已经授权的无法取得相应的保护。一般来说, 防火墙工作的开展都需要按照配置的规则, 一旦配置按照随意的规则进行, 就可能减弱防火墙的功能。并且, 对于进授权的用户合法访问, 防火墙也不能够将其作用完全的发挥出来。并且, 对于脆弱的管理措施, 防火墙也不具备相应的修复功能, 不经过防火墙的恶意攻击也无法加以阻止。

2 计算机防火墙常见的网络攻击方式

2.1 病毒

当数据包通过防火墙时, 能够扫描其可能存在的病毒, 但是也不是说所有的病毒都一定能够隔离在网络之外, 通过欺骗的方式, 黑客能够让用户进行某一个程序的下载, 这样就很容易让恶意代码侵入计算机。这时, 就需要提升网络的安全等级, 禁止下载没有经过安全检测的程序。

2.2 口令字

在口令字中, 穷举与嗅探是两种主要的攻击方式。穷举指的是在外部网络的攻击中, 猜测防火墙的口令字。嗅探指的是对内部网络进行监测, 从而获取口令字。这时, 就需要采取一次性的口令, 或者是让主机与防火墙之间通过单独的接口来进行相互之间的通信。

2.3 邮件

在网络攻击中, 借助邮件进行攻击的方式日益频繁, 通过复制的方式, 制造者将垃圾邮件复制成几百几万条消息, 将其发送给多个网络用户, 一旦打开邮件, 就会让计算机系统被恶意代码侵入。这时, 就需要使用防火墙过滤功能, 并且在内网的主机上采取针对性措施。

2.4 IP地址

通过与内部网络相似的IP地址, 黑客就能够避开服务器的检测, 进入到计算机内网开展攻击。这时, 就需要将内核的rp_filter功能开开, 丢弃具有内部地址, 但是却来自于网络外部的数据包;将计算机的MAC与IP地址相互绑定, 只有MAC地址拥有的用户才能够在网络访问时使用被绑定的IP地址。

3 计算机防火墙的网络安全策略

3.1 物理方面的安全策略

第一, 对用户的身份与使用权限加以验证, 避免越权操作的行为出现;第二, 确保计算机拥有良好的系统工作环境;第三, 建立安全管理制度, 避免偷窃破坏的行为出现。当前, 在物理安全方面最关键的防护措施在于:第一, 防护传导发射, 比如:将滤波器安装在电源线或者是信号线之上, 确保传输阻抗与导线之间的交叉耦合能够降低到最小的程度;第二, 防护辐射。一般都是采取干扰措施和电磁屏蔽措施, 在计算机正常工作时, 通过两者的利用, 能够产生出一种噪声, 当辐射到空中时, 就能够将计算机系统的工作频率和信息特征掩盖住。

3.2 访问控制方面的策略

网络安全最核心的防范措施在于访问的控制, 其目标在于保障网络资源的安全性。而防火墙技术就是网络安全访问的核心控制策略, 能够避免网络资源被非法使用与访问。

3.3 网络安全管理方面的策略

除了物理安全与访问控制之外, 网络安全管理制度的制订, 也能够保证网络安全, 确保网络处于可靠、安全地运行状态之下, 不会受到任何外界因素的影响。

4 结语

随着互联网应用范围地飞速扩大, 网络安全恶化也呈现出“正比”趋势, 防火墙技术的研究就成为计算机网络安全的首要保障。但是我们也需要明白, 网络安全属于综合性的课题, 只有积极配合、高度重视, 才能够确保计算机网络安全。

摘要：在计算机中, 防火墙指的是能够确保一个网络以及其内的资源不会受到网络“墙”外“火灾”的影响。大致上, 我们可以将防火墙看作为独立的进程或者是一组紧密的结合进程, 在服务器或者是路由器上运行, 从而对网络应用程序的通信流量加以控制。本文首先分析计算机防火墙的优势与劣势, 然后从网络最常见的攻击方式入手, 找寻维护网络安全的策略。

关键词：计算机,防火墙,技术,应用

参考文献

[1]戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑 (理论版) , 2011 (11) .

[2]许侃.计算机网络防火墙的应用[J].电脑知识与技术.2010 (02) .

防火墙技术及其发展 篇7

目前网络已经逐渐被应用于军事、政治、经济、金融、个人生活等大大小小的领域,网络安全直接关系到国家信息安全以及用户个人信息及财产安全,因此,近年来网络安全问题越来越受到重视,防火墙技术是目前保证网络安全的关键技术之一,它通过各种软件与系统对网络用户信息进行保护,有效的提高了网络应用安全性,使用户可以放心进行网络信息共享,为互联网的应用与发展做出了巨大的贡献。

1 防火墙概述

防火墙是网络系统中用于隔离外界网络与本地网络的一种控制防御系统,它要对网络数据以及网络环境安全进行检测,做出通信决策,如果系统检查传输数据安全就允许通信,若传输数据不具备安全性就阻断数据信息,同时防火墙还能保护内部网络信息结构以及网络运行状态的安全,避免内部网络信息泄露,防火墙可以单一的向内部网络提供特有的审计安全控制点,以达到保护内部网络信息安全,阻断不良信息入侵的目的。防火墙的主要作用是在安全性能较小的网络环境下,为内部网络提供一个相对安全的环境,它不仅要对网络信息结构进行分析,还要对一些不良信息进行限制,是一种软硬件兼有的形式。

防火墙功能主要有以下几种,(1)控制网络站点的访问,防火墙具有允许某些外部网络主机可以访问内部网络,或者禁止某些外部网络主机访问内部网络的功能,同时防火墙还对一些特殊站点的访问权限进行控制。(2)对危险性服务信息的控制,防火墙可限制其他用户进入内部网络,将非法用户或者具有危险性的信息过滤出去,避免内部网络存在安全隐患。(3)防火墙具有集中进行安全保护的功能,防火墙能够将网络完全管理简单化,在防火墙系统中进行集中性的安全加固,而不是将安全性分布在各个不同主机上,特别对一些机密性极强的信息[1]。例如,用户口令、密码、身份信息等,要将这些机密信息集中放在防火墙系统中,使防火墙系统对其进行集中安全保护。(4)具有强化用户对网络站点资源私有的功能,防火墙能够成功的封锁内部网络资源信息,使因特网外部的主机不能获取该网络站点的地址,有效的保护了内部网络信息,使外部攻击者无法进入内部网络获取有用数据信息。

2 防火墙技术构建

2.1 屏蔽路由器技术

屏蔽路由器技术是构建防火墙技术的基础,该技术可以分别通过主机屏蔽实现,也可以使生产厂家在产品生产时直接实现,屏蔽路由器是连接外部网络与内部网络的主要通道,所有的网络数据、信息报文都要通过屏蔽路由器这一通道进行监测和检查,及时过滤掉不安全数据及报文,同时还需要在屏蔽路由器中安装相关网络地址层的信息过滤软件,有效的实现屏蔽路由器信息过滤作用,大多数路由器在生产时已经具备了信息过滤的选项功能,其用法也比较简单[2]。

2.2 屏蔽子网技术

屏蔽子网技术是指在外部网络与内部网络之间建立一个独立存在的子网,使子网将内部网络与外部网络隔离开,并用两台分组过滤器将子网与内网和外网隔离开,两台分组过滤器分别对内网与外网中的数据、报文进行控制和过滤,但内网和外网均不能穿过屏蔽子网进行通信。要想实现内网与外网的通信,可以在屏蔽子网中设置一个堡垒主机,使其对外网与内网进行代理通信,两方通信信息需要受到两台分组过滤器的过滤方能实现,以此保证内外网络安全通信。

2.3 屏蔽主机网关技术

屏蔽主机网关技术在构建防火墙中具有简单、安全、方便操作的特点,因此得到广泛应用,主要通过在内部网络中安装一个主机,在外部网络中安装一个分组过滤路由器,并在外部网络分组过滤路由器中设置一些特定过滤规则,使内部网络主机成为外部网络指定、唯一到达的主机,相当于对外部网络进行授权,使其可以访问内部网络,这有效的避免了内部主机受到不被授权的其他外部网络的入侵,即使内部网络既不具备子网又不具备屏蔽路由器,其变化仍不会对保护系统产生影响。

3 防火墙技术在网络完全中的应用

3.1 代理防火墙技术的应用

代理防火墙技术主要在网络应用层,通过对用户使用协议的分析,对用户网络操作行为进行控制,允许用户操作协议中存在的代理行为,禁止访问在协议中没有被允许的其他信息,通过有效的协议过滤方式,实现保证网络信息安全的功能,代理防火墙技术的应用主要包括以下几点:

(1)回路级代理服务器,这种代理服务器适用于多个协议,但不能对协议进行解释,需要以其他方式获取网络信息,因此,该代理服务器对修改用户程序要求较高,回路级代理服务器是一种具有国际标准的网络应用层保护技术,接受保护的网络用户,如果需要将本机与外部网络进行信息交流,在回路级代理服务器中检查用户的网络地址和通信目的地址,并经过确认,就可以与外部网络服务器进行连接,用户不需要登录防火墙,在使用过程中完全感觉不到防火墙系统的存在,用户网络与外部网络信息较为透明,极大的方便了用户使用,也充分保证了网络安全[3]。

(2)应用代理服务器,应用代理服务器是代理防火墙技术的关键部分,主要在网络应用层中为网络提供授权代理服务及授权检查,应用代理服务器既可以为用户授权也可以隐蔽网络内部地址信息,即使用户IP地址被盗用,盗用者也不能通过身份认证进行登录,由此可见,应用代理服务器在网络安全中的应用,使主机在访问受保护的内部网络时,必须要通过有效的身份认证,只有通过身份认证才能进行访问,以此保护网络安全。

3.2 状态检测防火墙技术的应用

状态检测防火墙技术通过在网络层获取信息,之后将信息交给防火墙,使防火墙在应用层中提取安全策略信息,并将提取出的信息进行分析对比,通过分析检测信息的安全性,进一步做出信息决策,状态检测防火墙技术应用主要表现如下:

(1)对网络各层进行控制与监测,及时发现网络层的安全漏洞,并将网络层存在的恶意攻击现象以及安全隐患进行记录,为网络系统管理员提供信息依据,以便网络管理员对漏洞进行修补,以此做到网络安全保护。(2)状态检测防火墙技术,对在检测时发现的安全问题进行自主匹配处理,判断攻击行为,并随时阻断攻击行为,对网络进行实时保护和控制,同时,在网络层以及网络高层状态下,仍能够有效的检测网络动态,使防火墙利用相同的信息处理方式以及策略对网络层的漏洞进行处理。

3.3 包过滤防火墙技术的应用

包过滤防火墙技术是在网络地址层实现的,可以利用网络路由器完成,在网络端口、主机等控制与访问方面应用效果更佳,它主要用来监视网络流出与流入的地址信息,并检查所有通过防火墙的网络地址信息、目标地址、源端口等。

包过滤防火墙技术主要应用于:对不安全的网络进行封锁、阻断地址信息欺骗行为、设置相应的服务端口,包过滤防火墙技术中对有所需要的系统进行开放,同时包过滤防火墙技术由CPU过滤处理报文,处理速度非常快,甚至可以忽略不计,此外,包过滤防火墙技术比较透明,对客户的正常使用没有影响,用户几乎感觉不到有该技术的存在。包过滤防火墙技术在网络安全应用中,在标准的路由器软件中都安装了相应的包过滤功能,不需要增加安装费用,一定程度上节省了用户的支出,此外该技术在应用中不需要用户进行密码和用户名登录,方便了用户的操作使用,包过滤防火墙技术运行速度较快,使用户轻松、方便的进行信息过滤,有效的提高了网络安全性。但包过滤防火墙技术访问控制列表还存在一定的复杂性,需要网络用户对网络服务进行深入了解,以便使包过滤防火墙技术应用效果最佳。

4 结论

综上所述,防火墙技术是保证网络安全的关键,目前防火墙已经得到普遍应用与推广,同时,防火墙技术也在不断改进和完善,以便有效应对网络攻击者的攻击,虽然防火墙技术有了较大的进步,但还存在一些不足,需要进一步改进和提高,为保证网络安全,为用户提供安全的信息交流环境提供可靠依据。

参考文献

[1]迟秀伟,唐朔飞,季振州,李鑫.状态检测防火墙中几种协议的结构设计[J].计算机应用研究,2016.

[2]李彦军,屠全良,郝梦岩.基于中小企业网络安全的防火墙配置策略[J].太原大学学报,2016.

防火墙技术及其发展 篇8

一、钢结构建筑的发展

我国钢结构真正意义上的发展始于上世纪80年代。到90年代, 由于钢材产量多年蝉联世界第一位, 使得钢结构建筑迎来了空前繁荣发展。由于我国钢结构技术的发展滞后于发达国家, 一些大型的公共建筑都是在外国公司的指导和参与下完成的, 一直到1998年大连远洋大厦的建成, 我国的钢结构建筑发展才变成完全国产化。进入21世纪, 钢结构建筑技术日益成熟以及建筑数量不断增多, 钢结构建筑进入快速发展时期。

二、钢结构的特点

1. 钢结构的优点。

钢结构是由钢材经过加工制造成各种形状而形成的。和其他的建筑材料相比, 钢结构具有如下优点:

(1) 质量轻、强度高。钢材的密度虽然比其他建筑材料大, 但由于其强度相比混凝土较高, 钢材的强度与密度的比要比混凝土大许多。以同样跨度承受同样荷载的情况下, 钢筋混凝土屋架的质量是钢屋架的3~4倍还要多。混凝土的抗拉强度远远低于抗压强度, 而钢材的抗拉强度和抗压强度相差无几。这也使得钢结构在大跨度和承受较大荷载的建筑中得以发展。

(2) 塑性、韧性好。钢结构的塑性好, 在承受较大荷载的情况下, 会发生塑性破坏, 能够察觉到一定的变形, 而不是发生突然断裂。韧性好, 能较好地适应动荷载。钢结构具有良好的吸能能力和延性, 具有良好的抗震性能。

(3) 材质均匀、制造简单, 施工方便。钢材的材质均匀, 受力性能优越, 结构的实际受力情况与力学计算比较吻合。钢结构材质均匀, 加工方便, 部件都是采用机械化生产, 精度也较高。对于一些小型的组合构件, 可以先组装, 再吊装, 极大地缩短工期, 避免了高空作业的危险。

(4) 绿色环保。混凝土会毁坏耕地, 且一旦损坏便不可二次利用。钢结构多采用普通螺栓和高强度螺栓连接, 有时也采用焊接, 拆装方便。对于临时性的建筑或是需要拆装的建筑, 可以把钢结构部件拆卸下来, 再次使用。

2. 钢结构的缺点。

(1) 钢材的耐腐蚀性差, 维护费用高。钢材的耐腐蚀性差, 必须对其进行防护。对于经常接触腐蚀性物质和暴露在大气中的钢结构, 因其本身结构受到腐蚀, 而造成承载能力下降, 进而结构破坏。钢筋混凝土结构一经建成维护费用很低, 而钢结构的维护费用就很高。

(2) 钢材耐热不耐火。钢材在经受100摄氏度的热辐射时, 强度没什么变化, 且具有一定的耐热性能。在200℃以内, 钢材性能没有很大变化;在430℃~540℃之间强度急剧下降;600℃时强度很低不能承担荷载。而在发生大火的情况下, 温度高达几百摄氏度甚至上千摄氏度, 这已大大超过了钢材的温度限制, 在发生火灾时, 就会造成钢结构破坏而使整体结构坍塌。

三、钢结构建筑存在的问题及预防措施

1. 钢结构耐腐蚀性过差且易锈。

钢结构除了在高温高湿环境下会腐蚀和生锈外, 在常温条件下也会腐蚀和生锈。前一种情况都是发生在工业建筑中, 后一种情况则发生在所有钢结构中。在高温高湿条件下, 高湿的水蒸汽中夹杂着很多腐蚀性颗粒, 钢结构与腐蚀性颗粒长期接触就会发生化学反应, 直接腐蚀钢结构。在常温条件下, 由于日晒雨淋干湿交替, 钢结构表面的涂层也会不同程度老化、脱落, 使得空气中的氧气和水接触到钢结构构件, 加之钢结构中由于制作工艺不成熟而存在一些夹渣, 就会在其上发生电化学反应。经过腐蚀和生锈的钢结构构件会遭到不同程度的破坏, 在承受荷载的过程中, 会发生应力集中, 造成结构的更大破坏。

钢结构的防腐措施很多, 大致可以分为两种:一是在钢结构构件表面镀一层金属进行保护, 另一个是在钢结构构件表面涂一层非金属进行保护。前一种方法是在构件表面镀上一层更易发生反应的金属膜, 在发生腐蚀时先腐蚀外侧金属, 之后才能腐蚀构件, 从而减少和杜绝钢结构的腐蚀。目前比较成熟的方法有两种:热浸镀锌和热喷铝锌复合涂层。这两种方法都能够长期有效地对构件进行保护。后一种方法是在构件表面涂装油漆, 这种方法价格低廉, 施工方便, 且美观大方, 适合一些小型和短期防腐的建筑, 在施工中应用广泛。

2. 钢结构耐热不耐火。

钢结构可以承受一定程度的辐射热, 但是不能够长时间承受火。在没有任何防火措施的情况下, 钢结构只能承受大约15 min的火作用, 在250摄氏度附近会发生蓝脆现象, 大约260℃~320色℃时有徐变现象, 弹性模量在500摄氏度后就开始急剧下降, 到600摄氏度时弹性模量约为室温弹性模量的40%。根据钢材在150摄氏度范围内材料的特性变化不大的规定, 设计时, 以150摄氏度为宜, 超过这一温度就要设置隔热保护层。

钢结构的抗火研究一直是钢结构领域的热门话题, 研究一直未停止。目前的防火方法大致分为两种:一是截留法, 就是通过某些手法来提高钢结构的耐火极限或是降低起火温度, 如喷涂法、淋水法、屏蔽法等。喷涂法是在钢结构构件表面喷涂防火涂料, 来提高防火能力;淋水法是在钢构件上安装喷水装置, 在着火的时候, 随即喷水在构件表面形成水保护层, 以降低温度和阻止火接触构件, 达到保护作用;屏蔽法是把钢构件埋入混凝土中, 避免与火接触, 进而保护构件。二是导热法, 也就是把传到钢构件上的热能消耗掉或是传导到别的吸热装置上, 避免构件的温度达到耐火极限, 从而使钢结构免遭破坏。

2001年“9·11”事件造成大约3000人死亡和大量的财产损失, 这也是因火灾造成的重大伤亡, 因此钢结构建筑的防火设计必须做到最优, 要严格按防火要求实施, 在火灾发生时就能够减少生命财产损失。

四、结语

防火墙技术发展趋势探析 篇9

“ 防火墙 ” 一词本出自于建筑术 语 , 原指为隔 断建筑物火 势蔓延而 建造的一 种墙体 。 美国Digital公司1986年提出了防火墙的概念 ,其在Internet上的应用引申为一种确保网络安全的技术手段, 自此以后防火墙技术步入了飞速发展阶段。

传统意义上说来, 防火墙技术是一种通过硬件设备和软件的组合应用对网络信息进行分离、分析和限制,从而实现网络数据资源和用户声誉保护的访问控制技术。 防火墙控制访问功能是以之前制定好的网络规则和配置为基础, 对所有经过防火墙的数据信息进行分析和处理,分离出准许访问的那部分并予以通过实现的。 与此同时, 为便于管理防火墙还将对访问相关的链接来源、数据流量及不速之客的不良企图等进行记录, 一定程度上保护了计算机网络的安全。 由此从逻辑的角度出发,我们即可以将防火墙视作是一个 分离器 、分析器,还可以将 其视作是限 制器,在保障网 络数据信 息完整的 同时确保 了网络数 据信息的 安全及保密。

网络信息化时代科学技术的发展与进步对人们的工作和生活所产生的影响是双向的: 一方面产生了积极的影响,人们的工作和生活变得更加丰富、便利,其对网络的依赖度越来越高; 另一方面产生了消极影响,使得人们所处的网络环境日益复杂化,其工作和生活所关联的网络数据信息安全受到了一定程度的威胁。 防火墙技术的发展因此现显得尤为重要,且得到了人们的广泛关注。 现代意义的防火墙在对传统防火墙做出延伸的基础上,需要具备几点性能:可以对所有通过的数据信息按照其制定的规则进行分析和处理; 它可以对滤过的数据信息进行有效监控、管理;可以对所有通过防火墙的内容或活动信息进行记录; 可以就网络中的攻击行为进行检测和预警, 本身具有一定的网络攻击免疫属性,能及时、准确的做出反映从而阻断被限制行为的继续产生。

2防火墙技术的发展趋势

防火墙应用最主要的目的是保护网络的安全,其在技术层面的发展也应以此为中心开展。 防火墙的发展趋势主要包含几个方面的内容。

2.1趋向提升防火墙的安全性能

防火墙必备的也是最重要的性能之一就是安全性, 而就目前网络中受到的攻击行为而言,威胁其安全性的主要有木马、病毒、蠕虫等,且在攻击进行的过程中极易产生变异继而传递到下一代的攻击,传统的防火墙对这种已然知悉或尚未明确新型攻击手段的阻断显得力不从心,安全性能得不到突显。 因此,防火墙技术需要切实从安全防护的角度出发,结合现代新型攻击手段的变化而发展,以在复杂的网络环境中增强防火墙的入侵防御能力。 通过对现代威胁网络安全行为的总结和分析发现,其焦点主要集中在用户的网络使用过程中诱使安装存有潜在恶意执行程序上,在标准端口上简单的强制性使用协议并组织寻找未修补服务器的攻击来应对这种攻击问题是不行的。

新型防火墙技术的发展和使用应可以对所有通过的数据流量做出响应,按照其制定的规则正确的区分出可通过和不可通过的部分,从而对网络恶意攻击行为进行阻断。 与此同时,防火墙技术也应增强自身所具备的安全性能,可重点发展算法、芯片及硬件等方面的技术, 从而提升防火墙对数据信息的检测速度和响应速度,为网络运行提供有效的安全环境。

除了这些外部网络安全之外,网络内部的安全也是极为重要的。 针对网络的内部安全性,相关技术专家提出了分布式防火墙技术和原型系统,这些技术手段的实现是就内部网络所受到的攻击进行管理和防范,搭建网络安全管理平台,将防火墙技术应用到运行主机上,从而实现配置、分布及管理的统一,是对网络运行主体的一种整体防护和控制。

分布式技术是防火墙技术发展的必然趋势,它可以确保多台物理防火墙对攻击进行共同作用,实现了网络安全的集中管理,一定程度上对用户使用成本的降低产生了积极的影响。 另外,智能技术也是防火墙技术的发展趋势之一,相对于传统的防火墙,智能化的防火墙具备更强的自主响应能力,可以依据网络上的动态威胁记性自主学习并生成相应的安全策略予以配置,确保了网络全面的安全防护。

2.2趋向与用户的需求相适应

防火墙技术始终与用户的需求相适应是其发展的必然趋势。 信息化时代网络的使用对人们的工作和生活产生了深远的影响, 并转变了他们工作和生活的方式,现代网络远程办公已然成为一种潮流,得到了人们的广泛使用, 防火墙技术的发展因此迎来了新的局面也面临着更多的挑战。 面临着挑战不仅仅体现在我们对防火墙技术安全性的要求越来越高, 还体现在正确处理网络远程办公与防火墙之间的关系上,防火墙的性能需要进一步的完善。 因此,在防火墙技术的开发与研究中,我们可以适当的增加单位局域网内防火墙设置的部分, 运用分层技术首先为其设置一层总的防火墙,其次在其办公的各个分点再设置一层二级防火墙, 从而确保总部与分点之间办公、 通讯过程中关联数据信息的安全性。

随着社会主义市场经济的发展,网络信息化促使人们的工作生活节奏越来越快,这使得其对工作效率的提升要求日益提高,传统防火墙的安全及效率已渐渐背离了用户对防火墙的基本需求,防火墙技术的发展迫在眉睫。 防火墙在这方面应用技术的发展应趋向于功能多样性,不同用户可依据自身对防火墙功能的不同需求进行自主选择安装,模块化防火墙,在保证应有防火墙功能的基础上减少网络硬件设备的数量和体积,以方便用户日后的维护和升级,从而适应其高效率工作的需求。

2.3趋向与其它网络安全技术相融合

以当前复杂的网络运行环境;来看,单纯的依靠防火墙技术是不能满足网络安全防护要求的,要保证其安全还需要与其它网络安全技术相融合, 如入侵检测技术、 病毒检测技术等等。 根据上文所提及的防火墙概念,我们不难看出防火墙指的是一组设备,而不仅仅是指一个设备个体。 防火墙功能需要结合其它配套设备如网络服务器等,才能实现其应有的功能,某种意义上我们可以将其视作是防火墙设备中的一部分。 网络攻击行为需要通过防火墙才能对目标计算机产生影响,我们可以依据用户使用要求的不同设定几个不同层次级别的防火墙进而予以保护,这种分层防护可以很好的平衡网络安全与工作效率之间的关系,是现代市场发展的必然要求,也是防火墙技术发展的必然趋势。

防火墙技术趋向与其它网络安全技术相融合,还应体现在防火墙与VPN网关功能的集成和交叉实现。 防火墙的局限在于其可以对为准许通过的信息数据流量进行控制, 但是忽略了传输离开之后安全方面的问题。 VPN网关则很好的弥补了这一缺陷,其不仅对传输过程中的安全进行防护,还确保了传输后网络的安全。 由此看来,网络安全防护是一个复杂、繁琐的过程,防火墙技术与其它网络安全技术相融合,对确保网络运行安全具有重要的现实作用和意义,在这方面的研究和发展应以此为趋势。

摘要：随着信息化时代的到来,人们对网络的认识和使用程度越来越高,且渗透到了人们工作和生活的方方面面。然而在网络环境日益复杂化的今天,为了确保网络运行的安全,人们对防火墙技术发展的关注度上升到了一定层次。文章在对防火墙技术相关进行论述的基础上,就防火墙技术的发展趋势展开了探讨。