网络防火墙安全技术

2024-05-30

网络防火墙安全技术（精选12篇）

网络防火墙安全技术篇1

一、概述

网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行。网络安全技术最早受到人们关注的就是网络防火墙技术。作为网络安全的一道屏障防火墙应该安装到那个部位呢?第一, 网络防火墙应该安装在公司内部网络和外部网络的接口处, 这是其网络安全的第一道屏障。第二, 如果公司内部网络拓扑比较大, 应该在各个局域网之间设置网络防火墙。网络防火墙的作用就是阻止恶意的攻击, 因此不论是公司内部网络还是外部网络只要有攻击的可能都应该安装防火墙。

二、网络防火墙实现的技术

(一) 加密技术

信息交换加密技术分为两类:即对称加密和非对称加密。

对称加密使用的是对称密码编码技术, 其主要的特点就是使用同一个密钥对文件进行加密和解密, 也就是文件加密的密钥也可以用作文件解密的密钥, 因为这种特性所以被称为对称加密技术。当文件在交换的过程中如果加密密钥没有被泄露, 那么文件在网络传输中就保证了其机密性和完整性。但是这种对称的加密技术也并不是十分的完美, 其仍存在令人不满意的一面, 如果一个人和多个人进行文件交互时, 那么其就会维护与所有相交互人员的密钥, 还有就是大量的浮点运算致使计算量大, 加密/解密速度慢, 需占用较多资源。

(二) 非对称加密/公开密钥加密

非对称密钥是相对对称密钥而言的, 顾名思义其对文件的加密密钥和解密密钥不是同一个密钥, 其密钥是成对出现的。在这一对密钥中其中任一个密钥都可以向人公开, 而另一个密钥则有持有人妥善保管。被公开的密钥则用于信息交流时加密使用, 个人持有的则是用于解密。解密密钥有自己掌握, 另一个密钥可以广泛的公开, 但它只应于生成密钥的交换方。

这种非对称的密钥加密技术可以使交换双方不必交换密钥就能够进行安全的交流, 因此其被广泛应用于网络贸易, 数字签名等信息交流方面。

(三) PKI技术

PKI是IPublie Key Infrastucture的简写, 所谓PKI就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。信息技术安全的核心技术就是PKI技术, 这也是电子商务领域的关键技术和基础技术。电子商务, 电子政务等都是经过互联网络进行的活动, 因此缺少物理等方面的接触, 这就使得网络电子验证方式越显的那么重要。而PKI技术正适合这些经常进行网上交流而物理接触较少的行业, 并且都够很好的处理好交流的机密性, 真实性, 完整性和可控制性等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。

三、安全技术的研究现状和方向

我国的信息网络已经经历了通信的保密, 数据保护两个阶段, 现在已经进入了网络信息安全的研究阶段, 已经研发的网络安全软件或产品有, 防火墙, 安全型路由器, 黑客的入侵检测, 对系统的脆弱检测软件等。但是我们应该知道, 网络信息安全是一个复杂的领域, 其是有数学, 物理, 生活信息技术等学科的长期交叉和融合的一个新成果。要想提出系统的, 完整的解决网络信息安全的方案, 应该从以下五个方面入手, 信息安全系统, 信息的分析和检测, 现代密码理论, 安全协议, 安全体系结构, 这五个部分是相互协调的一个有机整体。

国际上信息安全研究起步较早, 力度大, 积累多, 应用广, 在70年代美国的网络安全技术基础理论研究成果”计算机保密模型” (Beu&Lapadula模型) 的基础上, 指定了”可信计算机系统安全评估准则” (TCSEC) , 其后又制定了关于网络系统数据库方面和系列安全解释, 形成了安全信息系统体系结构的准则。

作为网络信息安全的重要内容的安全协议, 其形式化的方法可以追溯到上个世纪的70年代末, 现在有三种分析方法, 这三种方法是基于状态机, 模态逻辑和代数工具, 但是这三种方法仍普遍存在漏洞, 现正处于待提高的阶段。密码学作为网络信息安全技术的关键学科, 近几年来活动非常的活跃, 尤其是欧, 美, 亚洲等国频繁的举办网络信息安全和密码学的会议。上个世纪70年代, 美国的一个学者首先提出了公开的密钥密码体制, 这使网络信息系统的密钥管理摆脱了困境, 同时也解决了网络数字签名, 其依然是现在网络信息安全研究的一个热点。随着互联网络的普及推广, 电子商务也得到了前所未有的发展机遇, 因此电子商务的安全性也在受到人们的普遍关注, 其现在也正处于研究和发展阶段, 它带动了论证理论、密钥管理等研究, 由于计算机运算速度的不断提高, 各种密码算法面临着新的密码体制, 如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。

现在人类已经进入了信息社会, 网络安全技术必将成为本世纪网络信息安全发展的关键技术, 其将会信息这一重要的战略资源提供强有力的保障, 这样才能够推动社会的发展。现阶段我国的网络信息安全技术仍处于研究和产品开发的初级阶段, 我们还必须更加努力的去探索, 研究, 开发, 走具有我国特色的产学研联合发展的道路, 以期赶上或者超过发达国家的科技水平, 保证我国信息网络的安全, 推动我国国民经济的高速发展。

参考文献

[1]王新颖.浅议电信互联网的安全体系[J]电脑知识与技术, 2009, (21)

[2]Karanjit S, Chirs H.Internet Firewall and Network Security[M].New Rid erspublishing, 1996.

网络防火墙安全技术篇2

internet防火墙是这样的系统(或一组系统)，它能增强机构内部网络的安全性，防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往internet的信息都必须经过防火墙，接受防火墙的检查(图1)。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。

图1安全策略建立的防御范围。

应给予特别注意的是，internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

internet防火墙负责管理internet和机构内部网络之间的访问(图2)。在没有防火墙时，内部网络上的每个节点都暴露给internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

图2 internet防火墙的好处

internet防火墙的好处:

・集中的网络安全

・可作为中心“扼制点”

・产生安全报警

・监视并记录internet的使用

・ nat的理想位置

・ www和ftp服务器的理想位置

internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。

过去的几年里，internet经历了地址空间的危机，使得ip地址越来越少。这意味着想进入internet的机构可能申请不到足够的ip地址来满足其内部网络上用户的需要。internet防火墙可以作为部署nat(network address translator，网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换isp时带来的重新编址的麻烦。

internet防火墙是审计和记录internet使用量的一个最佳地方络管理员可以在此向管理部门提供internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。

internet防火墙也可以成为向客户发布信息的地点。internet防火墙作为部署

网络安全与防火墙技术探讨篇3

【关键词】网络安全防火墙技术地址翻译代理

现代社会是一个信息爆炸的时代，各类通讯交流与工作学习等都离不开信息网络，而如何保证信息系统的安全，就是网络环境的安全，成为了人们重要探讨的话题。在网络安全与防火墙技术的探讨中，如何合法、完整、有效的对计算机网络安全进行保证，从各方面对网络环境出现的问题进行分析，这对现代社会的发展有着积极重要的意义。

一、网络安全技术

（一）网络安全技术的简介

在信息网络的建立之初，设计者注重的是网络的实用性，开放性和快捷性，并没有过多的考虑到网络的安全性，所以这就赋予网络本身天生的脆弱性，极易受到破坏。所以网络安全技术由此产生，大量专家为此做了大量研究。其中，网络安全的核心技术就是密码技术，其设计并不只限于加密方法的设计，还涉及到了其安全协议的设计，它是主要的在网络信息平台把关传输安全的方法。而防火墙则是一种综合性的保障内部的网络安全的最为有效的技术。

（二）网络安全技术的分类及关系

简单的来说，主要的网络安全技术是信息传送安全技术、防火墙技术和本地安全技术。而信息传送安全技术中又包含了信息加密、数字签名或数字认真、认证检查、信息发送方法，本地安全技术中包含了审计跟踪、访问控制、弱点保护和病毒防范。它们之间相辅相成，从最外部的信息传送安全技术开始，通过防火墙，再到本地的安全策略以及访问控制和预防病毒等。

二、防火墙技术

（一）防火墙的概论

总的来说，防火墙是结合了硬件系统和软件系统的一个对访问授权许可的认证和控制，它主要是为了防止计算机网络受到外部的攻击，从一定程度上将广域网与局域网分离开，它是提供信息安全服务和实现信息网络安全的一个基础，提供对内部网络安全的控制服务。而之所以要引入防火墙技术，就是针对网络平台建立之初，并没有考虑安全因素的漏洞，从而加强子网络的安全环境。在构建防火墙时，是将其设置在网关或网点与广域网的连接之处，从而有效将本地网络与因特网分离开。在防火墙工作时，会有效的记录工作日志，将运行期间发生的各类事件和网络情况与安全问题统统记录起来，将被允许或被拒绝的进程记录在日志当中。

在设计防火墙的时候，要充分考虑安全性与实用性，因为防火墙作为一个保障计算机网络信息平台的重要措施，要首先将安全性摆在第一位，只有保证了安全性，才能接下来对实用性进行规划。而也不能因此抛弃了防火墙的实用性，众所周知，就算一个防火墙再安全，如果它过于复杂或不实用，那操作起来也是繁琐的，达不到设计的目的，不能发挥其安全性的全部效率，不能被使用者接受。同时这里要指出目前防火墙存在的几个尚待提高的地方。第一，不能防止内部的人为破坏，第二，无法防范后门的攻击，第三，防火墙目前的智能性欠佳，第四，防火墙在一定程度上会影响网络的性能，第五，目前还没有真正开放的，与软硬件平台无关的防火墙软件，第六，大多数的防火墙不具有专业防御病毒的能力，第七，防火墙不能起到物理保护的功能。

（二）防火墙的关键技术

1.信息包传松技术。在网络信息平台，所有的数据信息包传送都是将其分割成几个一定长度的信息包，通过进出接口，通过防火墙的包过滤口，传送到线路上，然后在抵达目的地后再重新组装还原。

2.包过滤技术。包过滤技术是防火墙对进出网络的信息进行控制和操作的一项技术，它是防火墙对计算机网络保护的一个主要技术。它根据管理员设定的指令和规则，对进出网络的数据进行过滤，分别哪些可以进，哪些不能进，同时也控制了哪些能出，哪些不能出。而且还对整个信息系统的运行状态和会话进行分析与监控。这项技术是安装在一个路由器上或服务器上的，它包括一个检查模块，对各类网络间的相互访问进行控制和监控。它一般的工作原理就是对要转发的文件数据包全部拦截，然后对其进行分析和记录，对通过规则的数据包允许转发，对不通过规则的进行报警和通知。

3.地址翻译技术。单独使用防火墙防御外部攻击是不够的，还要与地址翻译技术相结合。本地网络通过不同的地址访问外部可以有效的隐藏本地网络的真实地址，也可以使得外部攻击者摸不清内部网络的网络结构，从而更加有效的对信息网络进行保护。

三、防火墙技术的发展趋势

防火墙技术要向远程上网集中管理的方式发展，要加深过滤的深度，加大对安全协议的开发，加强对攻击源的警告，还要不断完善防火墙各类安全工具，同时要对其开放性与可移植性进行深度研究，并减少防火墙对网络性能的影响等，这都能在未来有效的提高防火墙的安全性和实用性。

总之，网络安全离不开网络安全与防火墙技术，从各方面对网络环境出现的问题进行分析，这对现代社会的发展有着积极重要的意义。

参考文献：

[1]李冬冬《网络防火墙关键技术的研究与实现》[D]，燕山大学，2001.

[2]张帆《防火墙技术及其应用研究》[D]，郑州大学，2002.

网络安全与防火墙技术篇4

二、网络防火墙实现的技术

(一) 加密技术

信息交换加密技术分为两类:即对称加密和非对称加密。

1.对称加密技术

(二) 非对称加密/公开密钥加密

(三) PKI技术

三、安全技术的研究现状和方向

参考文献

[1]王新颖.浅议电信互联网的安全体系[J]电脑知识与技术, 2009, (21)

[2]Karanjit S, Chirs H.Internet Firewall and Network Security[M].New Rid erspublishing, 1996.

[3]李安平.防火墙的安全性分析[J]计算机安全, 2007, (07)

网络防火墙安全技术篇5

防火墙技术在计算机网络安全中的应用

摘要

随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。正是因为安全威胁无处不在，为了解决这个问题，防火墙出现了。防火墙是网络安全的关键技术，是隔离本地网络与外界网络之间的一道防御系统，其核心思想是在不安全的网络环境中构造一个相对安全的子网环境，防火墙是实施网络安全控制的一种必要技术。

本文从防火墙的工作原理，在网络安全中的应用、发展趋势等方面展开论述，表明了防火墙技术在网络安全中的重要作用。对目前计算机网络存在的安全隐患进行了分析，阐述了我国网络安全的现状以及网络安全问题产生的原因，对我国网络安全现状进行了系统分析，并探讨了针对计算机安全隐患的防范策略。

关键词信息网络安全防火墙技术威胁

山西警官高等专科学校2011届毕业设计

1引言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„3 2我国网络安全的现状„„„„„„„„„„„„„„„„„„„„„„„„„3 2.1研究背景„„„„„„„„„„„„„„„„„„„„„„„„„„3 2.2研究意义„„„„„„„„„„„„„„„„„„„„„„„„„„4 2.3计算机网络面临的威胁„„„„„„„„„„„„„„„„„„„4 3防火墙的概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.1防火墙的概念„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.2防火墙的原理„„„„„„„„„„„„„„„„„„„„„„„„„„„6 3.3防火墙的架构„„„„„„„„„„„„„„„„„„„„„„„„„„6 4 防火墙技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.1包过滤技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.2代理服务技术„„„„„„„„„„„„„„„„„„„„„„„„„„„7 4.3电路层网关技术„„„„„„„„„„„„„„„„„„„„„„„„„„8 4.4状态检测技术„„„„„„„„„„„„„„„„„„„„„„„„„„„8 5 防火墙各个阶段的特点„„„„„„„„„„„„„„„„„„„„„„„9 5.1静态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„„„9 5.2动态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„10 5.3代理应用层网关防火墙(应用层网关、代理应用层网关)„„„„„„„10 5.4自适应代理防火墙„„„„„„„„„„„„„„„„„„„„„„„„10 6防火墙在网络安全防范中技术的缺陷及改进„„„„„„„„„„„„„„„10 6.1防火墙的缺陷„„„„„„„„„„„„„„„„„„„„„„„„„„10 6.2防火墙技术的改进„„„„„„„„„„„„„„„„„„„„„„„„11 7防火墙的发展趋势„„„„„„„„„„„„„„„„„„„„„„„„„„„„13 全文结论„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„16

山西警官高等专科学校2011届毕业设计

1引言

随着Internet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。

网络的飞速发展和普及为人们提供了发布信息、检索信息和相互交流的场所，但同时也带来了信息破坏、信息盗窃和信息泄漏的危险，这就是网络的安全威胁。目前对网络安全的危害主要是两个方面：病毒入侵和黑客攻击，这些危害轻则可能使计算机系统运行不正常，重则可能会给个人、企业，甚至国家带来不可挽回的损失。因此建立网络安全的防范机制对于网络的安全有效运行是十分必要的，而防火墙技术是我们应用最广、最成熟、最重要的网络安全设备。

2我国网络安全的现状

2.1研究背景

据美国联邦调查局统计，美国每年因网络安全早场的损失达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙呗突破。美国联邦调查局计算机组负责人吉姆·塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张的说：给我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络运行失常。

据了解，从1997年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国的大量网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在的风险认识不足，缺乏必要的技术设施和相关的处理经验，面对形势严峻的现状很

山西警官高等专科学校2011届毕业设计

多时候都显得力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。

随着网络的逐步普及，网络安全的问题已日益突出，如同其他社会一样互联网也受到某些无聊之人的困扰。它关系到互联网的进一步发展和普及，甚至关系到互联网的生存。近年来，无论在发达国家还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重危害，目前在互联网上有近80%的用户曾受到过黑客的困扰。而与此同时，更让人不安的是互联网上黑客和病毒的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变得轻而易举。这样，就使原本十分脆弱的互联网越发显得不安全。

2.2研究意义

现在网络的观念已深入人心，越来越多的人们通过网络来了解世界，同时他们也可以通过网络来发布信息，与朋友进行交流和沟通展示自己以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已成为当今社会关注的重要问题之一。正是因为安全威胁时刻存在，为了解决这个问题，防火墙出现了。

防火墙是指隔离在本地网络与外界网络的一道防御系统，是这一类防御措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模式，通过它可以隔离风险区域与安全区域的链接，同时不会妨碍人们对风险区域的访问，从而有效的控制用户的上网安全。防火墙是实施网络安全控制的一种必要技术，它是一个或一组系统组成，它在网络之间执行访问控制策略。实现它的实际方式各不相同，但原则上防火墙可以被认为是这样同一种机制：阻拦不安全传输流，允许安全的传输流通过。随着时代的发展和科技的进步，防火墙功能日益完善和强大，但面对日益增多的网络安全威胁，防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

2.3计算机网络面临的威胁

对于网络安全性，可以通过甲、乙两个用户在计算机网络上的通信来考虑计算机网络面临的威胁，主要有以下几种情况：

(1)信息泄露当甲通过网络与乙进行通信时，如果不采取任何保密措施，那

山西警官高等专科学校2011届毕业设计

么其他人就与可能偷看到他们的通信内容。

(2)识别对于进入计算机网络系统的用户，系统必须检验其合法性。如果不是系统的合法用户，系统将不给予服务。因此系统要有“身份识别的功能”。

(3)假冒甲和乙是系统的合法用户，网络为他们提供应有的服务。丙也想获得这些服务，于是丙系统发出：“我是乙”系统怎么才能识别这一服务请求不是由乙发出的。而是假冒的呢？

(4)篡改乙给甲发了如下一份文报：“请给丁汇100元钱。乙”。文报在转发过程中经过了丙的手。丙就把“丁”改成了“丙”。

(5)恶意程序的攻击除了上述用户之间通信中的信息安全问题外，网络本身也容易遭受一些恶意程序(rogue program)的攻击。恶意程序种类繁多，对网络安全威胁较大主要有以下几种：计算机病毒、计算机蠕虫特洛伊木马逻辑炸弹。这里所说的计算机病毒是侠义的也有人把所有的恶意程序指为计算机病毒。目前，计算机病毒被分为3大类型，即分区病毒、文件病毒和宏病毒。

人为威胁源有两种，一种是指计算机黑客闯入用户的网络计算机系统，我们把他称为外部危险；一种来自系统的内部，我们把它称为内部危险。

(1)网络内部危险包括一下几个方面：设计安全过程中，没有考虑员工和公司之间的关系。网络安全需要花费管理人员的精力来维护和实施，造成经费的增加。网络安全主要来自企业内部松懈的、甚至完全不存在的安全措施。用户对限制访问的安全策略有抵触情绪、不遵守安全标准。

(2)外部危险，网络外部危险包括一下几个方面，窃取机密信息，向外部透露敏感信息，非法访问网络服务程序和资源，干扰网络正常服务，故意损坏、修改和删除数据，窃取或损坏硬件和软件。防火墙的概述

3.1防火墙的概念

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，山西警官高等专科学校2011届毕业设计

且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

3.2防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏DMZ外网和内部局域网的防火墙系统。

3.3防火墙的架构

防火墙产品的三代体系架构主要为：

山西警官高等专科学校2011届毕业设计的 IP 包，它只允许与指定的 IP 地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括 IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。4.1.1过滤规则

过滤规则一般包过滤规则如下：(1)过滤规则序号 FRNO(Filter rule Number)，它决定过滤算法执行时过滤规则排列的顺序。(2)过滤方式(Action)包括允许(Allow)和阻止(Block)。(3)源IP地址SIP(Source IP address)。18(4)源端口SP(Source Port)。(5)目的IP地址 DIP(Destination IP address)。(6)目的端口 DP(Destination Port)。(7)协议标志 PF(Protocol Flags)。(8)最后一项是注释(Comment)。4.1.2包过滤规则的制定过程包过滤规则的制定过程

(1)确定自己的安全需求及包过滤规则要达到的安全目标，明确什么是应该和不应该被允许的，然后制定合适的安全策略。

(2)必须正式规定允许的包类型、包字段的逻辑表达。(3)必须用防火墙支持的语法重写表达式。4.1.3包过滤策略

包过滤路由器根据过滤规则来过滤基于标准的数据包，完成包过滤功能。这里主要从以下几个方面来考虑包过滤策略：

(1)包过滤控制点(2)包过滤操作过程(3)包过滤规则

(4)防止不安全设计的措施(5)对特定协议包的过滤。

4.2代理服务技术

代理服务是运行在防火墙主机上的专门的应用程序，它位于内部网络上的用户和外部网上的服务之间，内部用户和外部网服务彼此不能直接通信，只能分别

山西警官高等专科学校2011届毕业设计

与代理打交道。代理负责接收外部网服务请求，再把它们转发到具体的服务中。代理服务防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。例如，一个公司决定将一个Telnet服务器作为主机，以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下：

（1）有一个用户通过 23端口 Telnet 到这个代理服务器上。屏蔽设备检测这个连接的源 IP地址是否在允许的源地址列表中。如果在的话，就对该连接进行下一步的处理；如果不在的话，则拒绝该次连接。

（2）提示用户进行身份验证。

（3）在通过了身份验证后，系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。

（4）用户选择要连接的系统。

（5）如果有要求，系统会提示用户再输入另外的身份验证信息。

4.3电路层网关技术

电路层网关的运行方式与代理服务器相似，它把数据包提交给应用层过滤，并只依赖19于TCP的连接。它遵循 SOCKS协议，即电路层网关的标准。它是在网络的传输层实施访问策略，是在内部网和外部网之间建立一个虚拟电路进行通信。电路层网关的工作过程如下：

（1）假设有一个用户正在试图和一个目的URL进行连接。

（2）该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部上。

（3）如果需要身份验证的话，网关就会提示用户进行身份验证。

（4）如果用户通过了身份验证的话，代理服务器就会执行一些另外的任务，然后代理服务器为目的 URL发出一个 DNS请求，接着它再用自己的源 IP 地址和目的 IP地址建立一个连接。

（5）代理服务器将 Web服务器上的应答转发给客户。

4.4状态检测技术

状态检测技术是包过滤技术的延伸，使用各种状态表(state tables)来追踪

山西警官高等专科学校2011届毕业设计

活跃的 TCP会话。由用户定义的访问控制列表(ACL)决定允许建立哪些会话(session)，只有与活跃会话相关联的数据才能穿过防火墙。状态检测技术防火墙的工作过程如下：

（1）防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。

（2）根据所使用的协议，决定对数据包的检查程度。

（3）如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。

（4）在数据包检测后，防火墙就会将该数据包转发到它的目的地址，并且防火墙会在其连接表中为此次对话创建或者更新一个连接项，防火墙将使用这个连接项对返回的数据包进行校验。

（5）防火墙通常对 TCP包中被设置的 FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项。状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。防火墙各个阶段的特点

防火墙技术经历了以下几个阶段：

5.1静态包过滤防火墙

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的 IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片(数据包)，确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透

山西警官高等专科学校2011届毕业设计

明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序 IP 地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。

5.2动态包过滤防火墙

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

5.3代理应用层网关防火墙(应用层网关、代理应用层网关)这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

5.4自适应代理防火墙

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。防火墙在网络安全防范中技术的缺陷及改进

6.1防火墙的缺陷

山西警官高等专科学校2011届毕业设计

防火墙在网络安全防护中起着举足轻重的作用，但是它不是万能的，它仍然存在有它的局限性和不足。

（1）防火墙不能防范不经过它的攻击。

（2）防火墙不能防范来自内部网络的攻击。防火墙只对来自外部网络的数据进行检测，以保护内部网络；而对于内部网络中的用户威胁，例如外来入侵者一旦进入了内部网络，它将成为内部人员，在内部网络中实施攻击，而此时防火墙是无能为力的。包过滤防火墙工作在网络层，通过对每个ＩＰ包的源地址、目的地址，传输协议等信息与事先设置的安全规则进行比较，如果满足安全规则定义的ＩＰ包则通过，如果不符合安全规则定义的ＩＰ包则被排除。

（3）不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息，如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来，这种加密后的代码，只要成功避开防火墙数据库中的特征匹配，就能成功通过防火墙。

（4）网络提供的服务应是便捷、灵活、可用的，但是为了较高的网络安全性，防火墙限制和关闭了一些存在有安全隐患的网络服务；此外，从网络安全的角度出发，必须对网络活动加以监控和管理，而这些是以开销一部分的网络资源来完成的。因此，高效的网络服务与完全的网络安全是矛盾的，如何找到一个合适的平衡点，防火墙的部署与设置仍是一个难题。

（5）防火墙是一种被动的防范手段，它只能对已知的网络威胁起作用，对于新的未知的网络攻击防火墙是很难防范的。

（6）防火墙不能防范受到病毒感染的文件、软件。

（7）防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测，需要有空前的处理能力才能保证这些任务的完成，为了获得高性能，就必然要求使用高端硬件就目前而言，要完成这种深度检测仍是十分困难的。

6.2防火墙技术的改进

防火墙是不同网络或网络安全区域之间信息的唯一出入口，能根据既已设定的安全策略来控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。单纯的

山西警官高等专科学校2011届毕业设计

防火墙技术，就是对网络数据流的控制处理过程，但是这种简单的处理方式已经远远不能满足日益增长的信息安全要求。在论文中，将防火墙的概念、发展、分类与功能做一详尽地阐述，并给出了各阶段关键技术的研究与实现，所做主要工作、技术难点与创新处如下：

（1）防火墙的体系结构，应该是全面面向资源的结构模块化设计，对不同对象的具体的组成资源，直接进行控制，这样极大的提高了安全性，并保证了配置的方便性。系统按纵向结构进行层次化设计，包括表示层、执行层、中心数据库、数据库操纵层、数据及意外处理控制层和应用程序层；同时，系统按横向进行了高度的功能模块化设计，这种高智能、高度模块化的设计，使得软件结构极为清晰合理，极易维护和升级，并且提供了高质量，极易获得升级服务的软件系统。

（2）防火墙的数据流控制技术采用最先进的状态包过滤技术。根据状态包过滤的思路，在核心中维护一个连接链表，记录着相应连接的状态，对请求建立连接的数据包进行更细粒度的检查，检查通过后记录到状态链表中，从而对后续的或是关联的数据包只需检查其是否属于已建立的连接，不需全部进行规则匹配，经过这样的状态处理机制后不仅使安全性得到加强，同时也大大提高了包转发效率。

（3）搭建高效日志处理平台，使之能够处理海量的日志。大多数防火墙使用的日志框架对于处理海量日志和高效分析日志来说是空白的，因此一般都设置另外一台单独的日志服务器，但是优化的日志处理平台可以处理2G以上的日志文件。

（4）网络安全体系，应该提供可靠的检测性和防御性的工具，以使当攻击者试图攻击受防火墙设备保护的网络时，能查明和阻挡其达到上述目的的企图。

（5）对数据包头分析过滤，采用正则表达式的模式匹配算法，对一些高层应用进行限制。

（6）防火墙高可用性(HighAvailable)的实现。在同一个网络节点使用两个配置相同的防火墙，使用直连线互通。正常情况下一个处于工作状态，为主机(Primary)，另一个处于备份状态(Second)为从机。当主机发生意外死机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从机代替主机正常工

山西警官高等专科学校2011届毕业设计

作，从而保证了网络的正常使用。切换过程不需要人为操作和其它系统的参与，并且主防火墙恢复使用功能后，从防火墙自动将控制权交回主防火墙，保证网络更安全，更高效。

7防火墙的发展趋势

随着计算机技术的发展，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体的应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙开发商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度来看，基于网络处理器的防火墙也是基于软件的解决方案。它需要很大程度上依赖于软件的性能，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙性能好上许多。

山西警官高等专科学校2011届毕业设计

全文结论

经过两个月的努力，终于完成了本论文，从当初领到论文题目到最后一个模块的完成，经历了无数次的修改总结，感觉到平时学的知识是多么的浅薄，给自己敲响了警钟，有了努力工作的方向。

通过这次写论文，真真切切地了解到网络是多么的方便，遇到什么问题上网一查基本都能查到，然后经过自己的修改学习变成自己的东西，互相学习才能共同提高共同进步。

本次毕业论文是工作前一次很好的自我锻炼和实践的机会，是培养独立思考问题和自学能力的锻炼，使我意识到必须努力学习才能在工作中体现价值适应社会的需要。所以一定要好好学习。

山西警官高等专科学校2011届毕业设计

参考文献

[1] 朱雁辉《WLNDOWS 防火墙与网络技术》电子工业出版社 2002年4月； [2] 袁家政《计算机网络安全与应用技术》清华大学出版社 2002年5月； [3] 胡道元《计算机网络》清华大学出版社 1999年1月；

[4] 谢希仁《计算机网络工程基础》电子工业出版社 2002年5月； [5] 刑钧《网络安全与防火墙技术》电子科技大学出版社 2004年3月； [6] 石彦杰《计算机网络系统集成技术》高等教育出版社 2006年2月； [7] 马程《防火墙在网络安全中的应用》甘肃科技 2007年4月。

山西警官高等专科学校2011届毕业设计

致谢

经过了两个月的努力我完成了题目为：防火墙技术在计算机网络安全中的应用。本次论文能够顺利完成，首先要感谢李丽蓉指导老师，她自始至终都给予我很大的帮助，对我设计的每一个计划都提出了至关重要的建议，使我少走弯路，节省了大量时间，可以说这篇论文汇聚了指导老师大量的心血。

另外，还要感谢出版书籍的老师们，他们把这么多有用的知识编辑成书，使我能从书本中轻易地找到自己所需要的内容来完成本论文。

再一次，我向所有帮助我完成这篇论文的人表示由衷感谢。

山西警官高等专科学校2011届毕业设计

论述计算机网络安全及防火墙技术篇6

关键词：计算机网络安全；防火墙技术；研究

中图分类号：TP393.08

计算机技术大规模普及和发展，各类办公设备、通讯设备的应用，更增添了网络安全的负担。防火墙技术是针对网络中存在的不安全因素而设置的保护措施，是计算机硬件和软件的结合，在计算机网络安全问题上发挥着重要的作用。必须加强防火墙技术的更新换代，保障计算机网络环境的安全性和可靠性，保护计算机用户信息和数据的完整性。

1 影响网络安全的主要因素分析

1.1 资源共享性

资源共享是计算机网络技术实现的重要条件和目标，通过网络传输能够方便快捷的完成信息、数据等相关资源的及时共享，能够很大程度上提高生产效率，提高人们的沟通交流程度，加快了全球经济的发展。但同时，计算机网络的应用和大范围普及，一些不法分离利用计算机软件或系统漏洞，对用户信息、数据等资源进行非法盗取或破坏，严重影响了用户信息安全。

1.2 网络操作系统的漏洞

网络操作系统是保证计算机系统内部各种综合载体得以实现的系统。我们现在所使用的计算机系统都存在一定的安全隐患，系统漏洞产生的主要原因是软件和系统在编写或设计时存在的缺陷和错误，由于这些问题的存在，很容易被黑客利用，从而破坏计算机的数据信息，危害网络安全。

1.3 网络系统设计有一定程度上的缺陷

网络系统设计主要包括计算机拓扑机构和网络设备的选择。大多数网络安全隐患的发生与计算机的操作系统、网络设施的安全性、网络服务协议等都存在一定的关系。在网络系统设计时，必须充分考虑网络资源的安全合理共享和利用，加强对网络系统设计的科学性，提高网络系统的安全性。

1.4 恶意攻击

计算机网络使用过程中，黑客是通过网络对计算机系统进行破坏或窃取资料的人。由于计算机网络系统自身存在一定的安全隐患，黑客会利用这些漏洞对系统进行攻击。常见的手段有木马攻击、网络监听和盗取、电子邮件破坏、篡改网页欺骗性攻击等，对计算机系统造成极大的威胁。

2 网络安全防范涉及到的主要防范技术手段

网络环境的不稳定因素，决定了必须加强计算机网络安全的防护手段，加强对计算机用户信息的安全保护，防止不法分子的窃听和窃取，同时，避免因自然环境对网络造成的损害，保证计算机网络硬件的安全性和稳定性，以确保数据传输的有效。

2.1 防火墙技术

防火墙技术主要是通过隔离、屏蔽网络活动中不安全活动和数据传递、使用的手段，能够有效降低网络安全隐患，给计算机网络建立起一道安全屏障，有效的防止病毒、木马等对计算机系统的影响，是目前应用最为广泛的网络安全防护措施。防火墙的设置，不仅能够加强对网络信息的安全控制，同时，还能够提高对不法分子窃取和随意篡改资料行为的安全防范，保证服务器访问的安全性。

2.2 加密技术

加密技术对计算机IP进行封装加密，是最为常见的安全防护措施，利用先进的防护手段，将重要信息、数据，经过加密进行传输，它的设置较为灵活，实现手段简单、方便，并且保密效果较好，能够满足用户对重点信息的安全传输，应用范围较为广泛。

2.3 网络实时监测

网络实施监测是提高网络安全的重要手段，该技术是通过控制和监管计算机与网络之间的信息活动，提高系统的防护能力，降低安全隐患对系统的威胁。网络实时监测通过运用先进的入侵检测系统，通过对共享的网络资源进行合理的数据分析，并对存在安全隐患的资源进行驱逐，提高网络环境的安全性。

2.4 多层安全级别防护病毒系统

多层安全级别防护病毒系统，对于安全隐患的排除和抗干扰能力非常有效，该系统会根据网络运行状态，分为单机病毒防护软件和网络防毒软件，针对不同的网络活动，单机病毒防护软件是对用户计算机系统中的数据、信息等资源进行定期的病毒查杀和实施监测，对存在的安全隐患及时消除；网络防毒软件则是针对在网络状态下出现的木馬、病毒进行及时消除，降低对系统的危害。

2.5 建立安全管理机制

加强计算机网络安全管理，必须提高计算机网络安全技术，加强管理人员自身素质，建设专业的网络管理团队。对计算机系统进行全面的监控，对于系统中存在的漏洞和安全隐患不断的完善，构建一个高效稳定的计算机网络环境，提高网络的安全性。

3 防火墙技术在计算机网络安全中的应用

3.1 代理服务器的应用

代理服务器是一种重要的防火墙技术，它主要是通过开放系统互联网的会话层，作为网络系统的代理，实现网络系统的资源共享。代理服务器在网络系统中发挥着重要的中转作用，加强对网络资源的控制和监督，提高了对用户账号、密码等资源的有效监管，提高了用户信息的安全性和防护能力。但是，代理服务器对于网络运行质量的要求较高，程序运用较为复杂，必须在稳定的网络条件下，才能够得以发挥积极的作用，因此，用户在使用代理服务器时，必须保证良好的网络性能。

3.2 包过滤技术的应用

包过滤技术具有信息选择的特点，此类技术获取传输信息后比对原有的安全注册表，判断传输信息是否安全。以网络传输的目的IP为例，分析包过滤技术的应用。包过滤技术主动获取传输信息的目的IP，解析目的IP的数据包，数据包内包含目的IP的源信息，能够作为标志信息，包过滤技术将数据包与用户安全注册表进行对比，识别数据内是否含有攻击信息，确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径，控制由内到外的信息传输，在由外到内的传输过程内，不仅发挥控制作用，还会提供限制功能，包过滤技术既可以应用在计算机主机上，又可以应用在路由器上，所以包过滤技术又分为开放、封闭两种应用方式，主要根据计算机网络安全的实际情况选择，提供对应服务。包过滤技术受到端口限制并不能实现全网保护，所以兼容能力偏低。

3.3 复合技术的应用

复合技术是代理服务器和包过滤技术的综合体，是一种更加稳定、更具有优势的安全防护措施，通过两种技术的完美结合，能够有效的弥补防火墙技术的漏洞，使防火墙技术更加灵活便捷。经过不断的完善，防火墙技术在面对网络攻击时，能够及时的提供有效的安全防护措施，实现多级防护手段，提高监测和防护能力。复合技术的防护措施包括：（1）加强安全认证，提高网络环境的安全性的同时，加强对用户信息的安全认证，形成动态防护措施；（2）提高对用户信息的智能化感应和处理，当计算机网络受到病毒攻击或出现安全隐患时，复合技术会及时出现报警提示，提高用户信息安全；（3）利用复合技术的优势，提高计算机网络的交互能力，确保实时监控，提高对安全隐患的防范措施。加强交互保护的能力，发挥复合技术的优点，有利于提升防护价值，确保实时维护。

4 结束语

计算机网络应用范围的扩大，使网络安全面临严峻的考验。网络安全不仅与网络系统设置的技术方法和管理手段有密切的联系，与后期的防护措施对提高网络安全运行也有积极的意义。防火墙技术的应用，提高了计算机网络环境的安全性，有效的降低了木马、病毒等安全隐患对计算机网路系统的侵害，保护了用户的信息资源的完整性和有效性。因此，加强防火墙技术的应用范围，在实际运行中，不断提高防火墙技术，更好保护网络系统安全。

参考文献：

[1]龙芸菲.加强计算机网络信息安全的措施探讨[J].电脑知识与技术，2010（35）.

[2]李广明，宁鸿翔.浅谈计算机网络安全与防火墙技术[J].电脑知识与技术，2012（05）.

防火墙与网络安全技术篇7

1. 网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，保证系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。

网络安全技术则指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，以及其它的安全服务和安全机制策略。在众多的网络安全技术中，网络防火墙是使用较广的一个。

2. 防火墙

防火墙是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅能完成传统防火墙的过滤任务，而且能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证，防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型，网络地址转换-NAT，代理型和监测型。

2.1 包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址，目标地址，TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源，目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序和电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

2.2 网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的，外部的，注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

2.3 代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器，而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

2.4 监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的，实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，而且对来自内部的恶意破坏有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上超越了前两代产品。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，因此目前在实用中的防火墙产品仍然以第二代代理型产品为主。实际上，作为当前防火墙产品的主流趋势，大多数代理型防火墙也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。

摘要：随着计算机的普及和互联网的快速发展, 网络安全问题显得愈来愈重要。为解决这一问题, 产生了很多网络安全产品, 防火墙就是其中使用较广的一个。针对不同的用户和网络特点, 防火墙所采用的技术也会有所不同。

关键词：信息安全,网络安全,防火墙,技术特征

参考文献

[1]李俊民.网络安全与黑客攻防宝典.北京电子工业出版社, 2010.

[2]麦克卢尔, 库尔茨.黑客大曝光:网络安全机密与解决方案.清华大学出版社, 2006.

[3]刘晓辉.网络安全设计、配置与管理大全.电子工业出版社, 2009.

[4]赵俐.防火墙策略与VPN配置.中国水利水电出版社, 2008.

网络安全与防火墙技术篇8

关键词：网络安全,防火墙,新趋势

引言

Internet的迅速发展给我们的工作和学习生活带来了巨大的改变。我们通过网络获得各种共享的网络资源。同时, 网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。为了保证计算机网络的安全, 人们提出了许多方法和技术, 采用防火墙技术是其中最重要、最有效的技术之一。

1 防火墙的概念

防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。

2 防火墙的功能

防火墙最基本的功能就是控制在计算机网络中, 不同信任程度区域间传送的数据流。

2.1 防火墙是网络安全的屏障。

2.2 防火墙可以强化网络安全策略。

2.3 对网络存取和访问进行监控审计。

2.4 防止内部信息的外泄。

3 几种主要的防火墙技术

总体来讲, 防火墙技术经历了包过滤、应用代理网关、状态检测三个阶段。

3.1 包过滤技术

包过滤防火墙工作在网络层, 对数据包的源及目地IP具有识别和控制作用, 对于传输层, 也只能识别数据包是TCP还是UDP及所用的端口信息, 现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力, 由于只对数据包的IP地址、TCP/UDP协议和端口进行分析, 包过滤防火墙的处理速度较快, 并且易于配置。

3.2 应用代理网关技术

应用代理网关防火墙彻底隔断内网与外网的直接通信, 内网用户对外网的访问变成防火墙对外网的访问, 然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发, 访问者任何时候都不能与服务器建立直接的TCP连接, 应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征, 对数据包的检测能力比较强。

3.3 状态检测技术

Internet上传输的数据都必须遵循TCP/IP协议, 根据TCP协议, 每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段, 我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的, 而是前后之间有着密切的状态联系, 基于这种状态变化, 引出了状态检测技术。

状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数, 而不关心数据包连接状态变化的缺点, 在防火墙的核心部分建立状态连接表, 并将进出网络的数据当成一个个的会话, 利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表, 更考虑了数据包是否符合会话所处的状态, 因此提供了完整的对传输层的控制能力。

网关防火墙的一个挑战就是能处理的流量, 状态检测技术在大大提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术, 使防火墙性能大幅度提升, 能应用在各类网络环境中, 尤其是在一些规则复杂的大型网络上。

4 防火墙技术发展的新趋势[3]

随着新的网络攻击的出现, 防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

4.1 防火墙包过滤技术发展趋势

4.1.1 多级过滤技术。

所谓多级过滤技术, 是指防火墙采用多级过滤措施, 并辅以鉴别手段。在分组过滤 (网络层) 一级, 过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级, 遵循过滤规则, 过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关 (应用层) 一级, 能利用FTP、SMTP等各种网关, 控制和监测Internet提供的所用通用服务。

4.1.2 使防火墙具有病毒防护功能。

现在通常被称之为“病毒防火墙”, 当然目前主要还是在个人防火墙中体现, 因为它是纯软件形式, 更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播, 比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。

4.2 防火墙的体系结构发展趋势

随着网络应用的增加, 对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。

4.3 防火墙的系统管理发展趋势

防火墙的系统管理也有一些发展趋势, 主要体现在以下几个方面:

4.3.1 首先是集中式管理。

分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本, 并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。

4.3.2 强大的审计功能和自动日志分析功能。

这两点的应用可以更早地发现潜在的威胁

并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞, 及时地调整安全策略等各方面管理具有非常大的帮助。

4.3.3 网络安全产品的系统化。

随着网络安全技术的发展, 现在有一种提法, 叫做“建立以防火墙为核心的网络安全体系”。因为我们在现实中发现, 仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系, 就可以为内部网络系统部署多道安全防线, 各种安全技术各司其职, 从各方面防御外来入侵。

结束语

随着Internet广泛应用和计算机科学技术的不断发展, 防火墙技术也在不断的发展。但是在网络日益严峻的今天, 光有防火墙技术是远远不够的, 我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障, 如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究。

参考文献

[1]杜淑光, 网络安全与防火墙技术[J], 制造业自动化2007.12.

[2]方铖.浅析网络安全及常用防护技术[J], 广西轻工业2007.5.

网络信息安全与防火墙技术篇9

关键词：信息安全,防火墙

一、前言

随着互联网的普及, 网络信息安全已经成为了一个严肃性的问题。随着各类网络信息泄露事件不断出现, 网络信息的安全问题亟待解决。防火墙作为一种可以有效保护网络信息安全的技术, 逐渐被人们开发和利用。

二、防火墙技术分类

1、数据包过滤型。

数据包过滤型防火墙通过读取数据包, 分析其中的一些相关信息来对该数据的可信度与安全性进行判断, 然后以判断结果为依据, 进行数据处理。一旦数据包不能得到防火墙的信任, 便进入不了网络。这种防火墙技术实用性很强, 在一般的网络环境中都能够起到保护计算机网络安全的作用, 而且操作起来比较便捷, 成本也较低, 因此, 是计算机防火墙中最基本的类型, 在实际应用中得到了推广。

2、代理型。

代理型防火墙, 即代理服务器, 它会回应输入封包, 对内部网和外部网之间的信息交流进行阻断。它加大网络的安全性, 而且正在向应用层面发展, 能够针对应用层的病毒入侵实施防护措施。该种代理型防火墙技术的缺点是增加了成本的投入, 并且对管理员的专业技能水平和综合素质有比较高的要求, 对网络管理带来了一定的压力。

3、监测型。

监测型防火墙可以主动完成网络通信数据的监测, 在很大程度上提高了计算机网络的安全性, 但是, 监测性防火墙成本投入高, 管理难度大, 不便于操作, 因此, 该种防火墙技术目前还没有得到普及。在实际组网过程中, 可以依据具体的网络环境, 来选择与之符合的监测技术, 这样可以在提高计算机网络安全的基础上, 降低成本的投入。

三、防火墙在网络信息安全中的应用方式

1、网络级防火墙。

它一般是根据应用协议、目的地址、源地址以及每个IP包端口来判断是否能通过。以往我们称路由器为网络级防火墙。但大多数的路由器在检查完网络信息的安全性后, 能判断是否转发所接收到的IP包, 可它无法对IP包的来源和去向进行判断。而高级网络级防火墙却能做到这一点, 它能利用所提供的内容信息来说明数据流和连接状态, 而且将需要判断的内容与规则表做个对比。这些规则表定义了所有决定IP包是否能通过的规则, 当接收到IP包时, 防火墙会对比每条规则查看是否有与此IP包信息内容相符的规则。假如没有相符合的规则, 那么防火墙则会选用默认规则, 将此IP包丢弃。

2、应用级网关。

作为最为可靠的防火墙技术, 它对访问控制相对严格, 实现起来也比较困难。应用级网关能检查数据包, 利用网关来复制传递的数据, 避免被信任的客户机和服务器直接连接不被信任的主机。它与网络级防火墙相比, 有一定的优势, 但也有不足。虽然一些常见的应用级防火墙目前已有了相对应的代理服务器, 譬如:FTP, HTTP, Telnet, Rlogin, NNTP等。可是对于新研发的, 还没有与之相对应的代理服务器, 只能采用一般的代理服务和网络防火墙。

3、电路级网关。

它通过对被信任的客户机或服务器与不被信任的主机之间的TCP交换信息的监督来判断此会话的合法性。它是在OSI的会话层对数据包进行过滤, 要与网络级防火墙相比, 高出两层。事实上, 电路级防火墙并不是相对独立的产品, 它必须结合应用级网关一起工作。此外, 电路级网关还具有代理服务器这一安全功能, 所谓代理服务器其实也是一个防火墙, 由于它能运行“地址转移”进程, 能把所有内部的IP地址映射到安全的IP地址上, 而这个地址是供防火墙使用的。然而, 电路级网关也有一定的缺陷, 由于它是工作于会话层, 无法对应用层的数据包进行检查。

四、网络信息安全技术的发展趋势

综合全球范围内信息技术的发展态势来看, 标准化、集成化、网络化、抽象化、可信化是其发展的五大趋势, 尤其是随着互联网和计算机应用与普及范围的扩大, 必然会带动网络信息安全技术的创新与发展, 会促进现有信息安全关键技术的新一轮创新, 并诱发网络安全新技术和全新应用模式的出现。因此, 世界范围内的信息安全技术, 其发展呈现出了动态性、复杂性、智能性、可控性的发展趋势, 这不仅会进一步提高计算机网络和系统的安全生存能力, 还能够有效增强信息安全防护中的主动性、实时性、可控性和有效性。

五、结束语

综上所述, 在提高网络信息安全水平的同时, 我们必须要更加注重利用防火墙技术。因为防火墙技术在可以使得我们的互联网环境变得更加安全。所以, 我们可以依靠不断提高防火墙技术水平来更好的保障网络信息安全。

参考文献

[1]王丽玲.浅谈计算机安全与防火墙技术[J].电脑开发与应用, 2012, 11:67-69

网络安全与防火墙技术分析篇10

随着计算机与网络技术的普及,信息网络安全事件日益增多,信息内外联网的安全工作显得越来越重要。目前针对信息网络的攻击已经变得相当容易,而且通过互联网可以轻而易举获得这些资源。信息网络的互联,无论对企业用户还是个人计算机用户都提供了更多更快的信息和造就了更大的商机,同时也为黑客大开方便之门,提供了大量的入侵机会。

1 网络安全的主要威胁

网络安全威胁的来源是多方面的,但究其性质基本上可以归结为以下几类。

1.1 窃听

用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

1.2 网络嗅探

利用计算机的网络接口漏洞截获计算机数据报文的一种手段。常见方法包括网络流量监测、嗅探器收集网络信息等。

1.3 拒绝服务

信息使用者对信息或其他资源的合法访问被无条件地阻止。攻击者通过不断的发送无效数据或垃圾数据,使网络、服务器瘫痪或最终崩溃。目前常见的拒绝服务攻击为分布式拒绝服务攻击(DDoS),借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动拒绝服务攻击,从而成倍地提高拒绝服务攻击的威力。

1.4 假冒

通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

1.5 授权侵犯

保护的信息被泄露或透露给某个非授权的实体,造成某一资源被某个非授权的人,或以非授权的方式使用。

1.6 计算机病毒

一种在计算机系统运行过程中能够实现传染和侵害功能的程序,具有破坏性,复制性和传染性。

为了保证信息网络的安全,防御网络安全威胁,降低信息安全隐患,人们提出了很多方法和技术,防火墙技术是其中运用比较广泛、有效的方式。防火墙可以阻断网络中的威胁,及时做出反应,从而减少网络风险。

2 防火墙技术

防火墙最基本的功能就是对网络通信进行适当筛选,然后屏蔽有害信息进出网络,多数的防火墙都是在不可信任的网络和可信任的网络之间。[1]

2.1 防火墙的作用

2.1.1 包过滤

包过滤是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出网络。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。包过滤的最大优点是对用户透明,传输性能高。

2.1.2 包的透明转发

由于防火墙一般部署在提供某些服务或应用的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。因此,防火墙具备网关功能,方便数据包的转发。

2.1.3 网络地址转换

防火墙可以部署为NAT模式(Network Address Translator,网络地址变换),用来缓解地址空间短缺的问题。由于Internet日益发展及IP地址空间有限,使得企业私网内用户无法获得足够的公网IP地址,私网内用户可以通过防火墙的NAT转换的映射地址访问公网网络上的资源,从而解决企业公网地址不足的问题。同时NAT功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。

2.1.4 阻挡外部攻击

如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。例如在防火墙设置访问策略,禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。

2.2 防火墙的分类

一个防火墙的实现过程无论多么复杂,归根结底主要分为三大类:包过滤(Packet Filtering)、应用代理(Application Proxy)和状态监测(State Inspection)

2.2.1 包过滤防火墙

包过滤防火墙工作在网络层,具有识别和控制数据包的源地址及目地地址的作用。包过滤防火墙将对每一个接收到的数据包做出允许或拒绝的决定。包过滤防火墙针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。基于TCP/IP协议的信息网络上的数据都是以一定格式的数据包的形式进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如标识发送者和接收者位置的IP地址、TCP/UDP端口号等地址信息。防火墙通过读取数据包中的地址信息来判断这些数据包是否来自可信任的区域,一旦发现来自不可信区域的数据包,防火墙便会阻挡这些数据通过,将其拒之门外。

在信息网络的安全控制中,包过滤防火墙对所有通过它的数据流中每个数据包的IP包头信息进行检查,然后按照网络管理员所设定的过滤规则进行匹配。如果某个数据包信息匹配防火墙设定的过滤规则,那么传输过来的数据包就会通过。反之,数据包信息不匹配防火墙设定的过滤规则,数据包就会被过滤掉。

包过滤防火墙具有处理数据包速度快、容易实现、比较简单等优点。由于包过滤防火墙工作在IP层和TCP层,所以处理包的速度较快,对于一个小型的、不太复杂的站点较容易实现。同时包过滤防火墙具有不支持有效的用户认证、规则表很快会变得很大而且复杂、过于依赖一个单一的部件来保护系统等缺点。

2.2.2 应用代理防火墙

应用代理防火墙安全性较高,对数据包的检测能力较强,能够有效的防范基于应用层的侵入和病毒传播。应用代理实际是设置在防火墙网关上有特殊功能的应用层代码,还可应用于实施数据流监测、过滤、记录和审计等功能。网络管理员可以通过应用代理防火墙设置允许或拒绝特定的应用程序或者服务。应用代理防火墙提供应用层服务控制,彻底隔断内部网络与外部网络的直接通信,起到内部网络向外部网络申请服务时转发作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。

应用代理的工作原理比较简单。首先是内部网络用户与代理防火墙建立连接,然后将访问的外部目的地址告知代理,对于符合防火墙策略的合法请求,代理防火墙会以自己的身份(应用代理)与外部目的地址建立有效连接,然后代理在这两个连接中进行数据转发。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能够实现比包过滤防火墙更严格的安全策略。[2]

2.2.3 状态检测防火墙

状态检测防火墙又称动态包过滤防火墙,能够对各层的数据进行主动的、实时的监测。在对各层数据加以分析的基础上,状态检测防火墙能够有效地判断出各层中的非法侵入。状态检测防火墙摒弃了包过滤防火墙仅通过识别和控制数据包lP地址、端口号等参数,不关心数据包具体数据的匹配过滤的方法,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个会话,利用状态表跟踪每一个会话状态。状态监测对每—个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。

2.3 防火墙的优缺点

2.3.1 防火墙的主要优点

(1)防火墙可作为网络通信的阻塞点,能够强化安全策略,可以识别和丢弃带欺骗性源IP地址的包。防火墙隔离受信任网络与不受信任网络,极大地加强了网络安全,并简化了网络管理。

(2)防火墙一般部署于内部与外部网络之间,所有数据包都会通过防火墙进行传输,能有效地收集和记录网络上的活动,提供监视、管理网络的使用和预警功能。

2.3.2 防火墙的主要缺点

(1)防火墙对绕过它的攻击行为无能为力。

(2)由于防火墙部署的位置多位于外部网络与内部网络之间,因此无法阻挡内部网络的威胁,亦无法完全阻挡病毒。

3 总结

网络安全技术将成为信息网络发展的关键技术,因此网络安全应从网络结构、管理和应用等多方面进行考虑。同时一个具有良好效果的网络安全措施往往综合了多种方法。防火墙技术作为实现网络安全措施的一种主要手段,主要是用来拒绝未经授权用户对网络的访问,同时允许合法用户不受妨碍的访问网络资源。在信息网络中,应利用防火墙技术采取有效和可行的措施,消除安全隐患,确保整个网络的安全、稳定、可靠的运行。

摘要：本文论述了网络安全面临的主要威胁,并分析了防火墙技术在网络安全中的作用和分类。

关键词：防火墙,网络安全

参考文献

[1]庄健平.防火墙技术与网络安全[J].计算机安全技术,2010,09:131-132.

[2]玄文启.基于计算机网络的防火墙技术即实现[J].中国信息科技,2010(20):117-118.

[3]何小虎.网络安全与防火墙技术[J].黑龙江科技信息,2008,09:84.

[4]李莘.防火墙与网络安全[J].河南科技,2010(07上):55-56.

防火墙技术在网络安全中的应用篇11

关键词：计算机；网络安全；防范；防火墙

中图分类号：TP311 文献标识码：A文章编号：1007-9599 (2011) 15-0000-01

Firewall Technology Application in the Network Security

Liu Weitao1,2

(1.71192 troops,Wendeng264400,China;2.China University of Petroleum(East China),Wendeng264400,China)

Abstract:Network security is a systematic project,not just rely on a single firewall system,need to carefully consider the system's security needs,and a variety of security technologies together in order to more effectively protect their computer networks and information security,to generate an efficient,universal,secure network systems.This paper discusses the network security of firewall technology in the application.

Keywords:Computer;Network security;Prevention;Firewall

一、防火墻的概念

网络安全上所说的防火墙，是指在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。，所有来自Internet（外部网）的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲，防火墙是分离器、限制器、分析器，而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件（一个路由器或路由器的组合，一台主机）和适当的软件组成。

二、防火墙的基本类型

实现防火墙的技术包括四大类网络级防火墙，包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙。

（一）网络级防火墙。一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

（二）应用级网关。应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

（三）电路级网关。电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话（Session）是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火就要高两层。

（四）规则检查防火墙。该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样，可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。

规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是，它并不打破客户机服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有优势。

三、防火墙的配置

防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就攀尽了。Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即Demilitarized Zone），Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但成本也很高。

四、防火墙的选择方案

防火墙是一类防范措施的总称，简单的防火墙，可以只用路由器实现，复杂的要用一台主机甚至一个子网来实现，它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击，所以我们要根据实际需要，对防火墙进行选择，应用技术人员的任务是权衡利弊，在网络服务高效灵活、安全保障和应用成本之间找到一个“最佳平衡点”，通过对防火墙的安全性分析和成本估算来决定防火墙的实施策略。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火堵在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。作为防火墙的作用机制，防火墙将是计算机网络安全的重点。

参考文献：

[1]卢文斌.网络环境下计算机病毒的防治策略[J].湖北电力,武汉:2002

[2]段海波.网络安全从网络开始[J].科技情报开发与经济,2005,1

[3]李红,崔丽霜.防火墙技术在网络安全中的运用[J].应用技术,2006,5

业务量类统计元素：标识、业务名称、业务完成量、业务期限、添加日期；

服务质量类统计元素：标识、服务标题、服务内容、服务质量、添加日期。

2.事实表的设计来源是包含4个主题的数据仓库中的业务数据：

系统用户类统计元素：用户登录次数；用户密码的修改；用户建议；

客户类统计元素：客户产品分类数量；不同时段的不同种类产品的用户增长量；提供对业务受理；业务咨询和建议；业务查询；用户投诉；

業务量类统计元素：统计营业员工作量；工作质量；工作逾限情况；

服务质量类统计元素：服务质量内容查询；服务质量的添加；服务质量信息的删除；客户对服务质量的反馈。

四、数据包设计

数据包的设计包括帧的组织方式，各种功能码和校验码设计，以及数据填充问题。数据包格式为：起始位|1~8位数据位|地址帧/数据帧识别位|停止位[6]。

功能码由网络通信系统的上、下位机根据所需监测的参数类型、个数以及系统对下位机功能设置情况而进行约定，由特殊字符代表特定的功能码。如表1所示。

表1：特定功能码示例

代码语义操作

03读寄存器数据读当前特定寄存器内一个或多个二进制数据

06写寄存器数据往特定寄存器内写一个或多个二进制数据

………

至于功能码与数据的语义重叠问题，通过规定其长度与在数据包中的场位置，使之与数据场中重复出现的数据字符相区别，使系统能自动识别。校验码的生成取决于系统所采用的通信协议，在具体的现场中通过现场设置来选择，系统默认采用CRC校验码，生成多项式采用CRC216，该多项式能全部检查出16位及其以下的错误，对16位以上的漏检概率为0.003%，完全满足系统要求。

五、通信业务数据分析

（一）数据处理界面

网络通信业务数据分析系统的主要特点，就是要处理好系统所获得的数据，在基于B/S模式的系统中，应用了第三方的Dialog控件，设置自定义的变量类型，以满足进行业务数据分析的需求，如图3所示，系统管理员可以设置变量名、变量说明以及变量类型，进行变量的增加、删除操作。

图3：系统的数据变量定义界面

系统中，在进行数据分析操作之前，需要对于涉及和直接使用的参数进行设置，实现界面如下图4所示，包括了返回行模板、网络设置、更改口令、运行环境、数据库连接串等项。图中显示的运行环境的参数设置，在这个界面上可以设置项目执行通道数、迭代运算级数，可以选择编辑器初始状态、启动自动填表以及变量录入提示等。

图4：系统的参数设置界面

（二）业务数据分析

数据分析模块是整个系统的核心所在，如市场竞争的数据分析的数据表格如下表2所示，数据表格中将所知的通信企业的相关信息列出对比。以上数据分析的过程则是通过HOLAP分析实现的，HOLAP立方体的设计和使用是数据仓库支持分析功能的重点，针对特定问题，HOLAP在建立数据混合视图的基础上，提供给用户强大的统计、分析、报表处理功能及进行趋势预测能力。

表2：通信业务市场信息的数据分析

厂商系列型号市场定位

天融信NGFW4000-UF1）TG-5736安全平台

2）TG-564 TG-528 ASIC平台高端

中高端

NGFW40001）TG-420网络处理平台

2）TG-46 ASIC中端

NGFWARESNGFWARES低端

联想网络King GuardKing Guard万兆高端

SuperV（NP/ASIC架构千兆）高端

PowerVPower V 4000千兆高端

Power V 3000千兆中高端

Power V 400百兆高端

SmartV（机架和桌面两中设备百兆）低端

（三）实际业务分析

下面是针对某通信企业的业务的话务评估分析，得到的部分结果，包括了新签约的固话、手机用户的话务分析，以及对手机用户来电显示渗透率、活跃情况分析。

目前用户的资产情况如下：如表3所示，9月份，资产状态现行的用户占比95.40%，账户状态正常的用户占比75.20%，也就是说有近25%的用户已经欠费。特别是这些用户关联的手机用户，肯定已经不能呼出。

表3：业务用户资产情况分析

账户状态数量占比资产状态数量占比

正常96475.20%现行122395.40%

欠费一个月30824.02%已暂停594.60%

欠费两个月100.78%

总计1282100%总计1282100%

通信系统的固网语音通话时长分布情况：下面是按照语音通话时长不同区间的用户数分布情况。可以看出在套餐生效以后月累计通话时长在30分钟以内的用户明显增加，而在31～50分钟之内的用户数减少，50分钟以上用户9月同7月差不多。

图5：通信固话语音用户数据分布

通过上面通信系统的固话业务的使用情况，可以得到以下的分析决策：通信系统中，固网用户的区内话务9月比7月多的用户约45.6%，说明该部分用户享受了固网的畅打业务，但是还有约55%的用户没有享受到此优惠，在业务发展的时候应该对这一块多做宣传，让用户享受更多优惠，这样用户才不会轻易离网。

六、结束语

本论文中，分析并建立通信业务数据分析系统，以此来说明如何利用数据仓库技术来实现分析系统的运行。针对网络通信企业的客户管理数据、客户发展数据、业务量数据、营销管理数据、市场竞争数据进行了分析模块的设计，采用了HOLAP混合型的数据仓库结构设计，大大地节省了存储空间，提高了分析效率。可以说，对于数据仓库技术下的网络通信业务数据分析系统的研究将有效促进我国通信企业的竞争能力，并形成系统化的市场竞争模式。

参考文献：

[1]陈京民等.数据仓库与数据挖掘技术[M].北京:电子工业出版社,2006

[2]陈京民.数据仓库开发的规划研究[J].计算机与网络,2005

[3]胡侃,夏绍伟.基于大型数据仓库的数据采掘[J].软件学报,2003

[4]单莹.基于数据仓库的CRM在电信业中的应用[J].计算机系统应用,2002

[5]李宽.使用ERWin设计数据库[J].计算机世界周报,2005

网络安全与防火墙技术的研究篇12

1 防火墙技术与网络安全的关系

防火墙技术作为一种相对比较成熟的网络安全技术,其安全可靠性接受着网络安全的实践检验,而网络安全的迫切需求又推动着防火墙技术不断向前发展。

1.1 防火墙技术的基本概念

防火墙技术是基于网络安全而衍生出来的计算机应用技术,它一般是由软、硬件共同组成的防御体系,其强调的是在局域网和Internet外网之间建立有效的控制组策略。

软件方面,在局域网接入到互联网以后,防火墙就开启了接入控制组策略,它通常是用数据包过滤、认证代理两种形式单独使用或者共同使用,根据本局域网的特性和网络安全需要而具体定制。

硬件方面,防火墙一般是采用包过滤路由器、网卡、代理服务器来组建防火墙模块,它通常布置在网络的边界上,根据具体设置的网络安全策略和防火墙工作机制,对两个或者多个网络之间的数据包、访问用户和连接情况进行必要检查,根据具体情况判断采用何种网络安全动作。在设置上,防火墙可以是一个分隔器、一个过滤器和一个分解器,有效保证网络信息的安全可靠。

1.2 防火墙技术与网络安全的关系

在互联网环境中,网络安全是一个不可回避的问题,它主要涉及到网络通信、数据传输和存储、用户权限管理以及网络内、外部之间的有效控制。通过采用切实可行的网络安全措施,能够保证局域网内计算机之间的数据存储和传输的完整性、有效性和可靠性,网络安全的主要手段包括:防火墙、漏洞扫描、入侵检测、反病毒等防御和查杀手段。

而防火墙技术是基于网络安全策略的众多对立元素中非常重要的环节,它可以采用主动防御的姿态来加强内部与外部网络之间的访问控制,阻止外部非法访问入侵局域网,保证内部的信息安全和数据完整性。

防火墙技术与网络安全存在着息息相关的关系,通过防火墙技术,可以保证数据在传输过程中不受外界影响和破坏,可以有效判断和指定特定用户的权限,并且根据服务协议提供相应的服务内容。最重要的是,防火墙技术可以根据网络安全的需要,认真划分局域网资源的安全级别,保证各个等级用户访问不同等级的信息内容。而网络安全是对防火墙技术的性能指标的唯一标准,随着互联网技术的飞速发展和日趋普及,针对局域网的网络攻击事件也是层出不断,它一方面凸显了网络安全的重要性,另一方面也对于防火墙技术提出了更高的要求。简单的防火墙设置已经不能阻挡外界入侵和攻击,根据计算机病毒和黑客非法攻击的不同手段,也催生了防火墙的飞速发展。

1.3 防火墙技术在网络安全中的作用

在网络安全中,防火墙技术主要具有以下显著特征:

(1)模块化的安全管理,通过防火墙的硬件设置,可以在局域网环境中搭建起以防火墙为中心的安全管理体系,通过防火墙,可以集中实施诸如:登录口令、访问密匙、身份认证和通信审计等不同的网络安全管理工作。

(2)对Internet访问的保护,基于Internet的黑客攻击和病毒攻击层出不穷,而针对局域网安全的防火墙可以有效过滤Internet那些不安全的服务,避免针对诸如FTP、STMP、HTTP端口的网络攻击行为,保证只有通过认证允许的服务才能通过防火墙,有效提高网络的安全性。

(3)对网络存储和访问进行审计。防火墙承担着局域网网络安全监护的重任,它能够如实记录所有进过防火墙的访问,并将其归纳到日志记录中,同时针对网络使用情况来统计分析数据。当发生黑客攻击或者病毒攻击时,防火墙可以根据安全配置进行攻击报警,并根据网络攻击的程度开展防御和监测。

2 防火墙技术

基于计算机技术的飞速突破和人们对于防火墙研究的显著突破,防火墙技术在网络安全中的功能也日趋丰富而细化,提高了网络安全中的实用性和科学性。

2.1 数据包过滤型

在防火墙的网络安全应用中,数据包过滤技术是最基本而又最广泛的技术,它基于过滤不安全准则,侧重于通过防火墙将局域网与外界互联网之间的所有信息流进行屏蔽,然后基于局域网或者外部互联网的具体应用,结合局域网的特色提供各种安全服务,从而保证将所有不安全服务内容或者有安全隐患的服务内容拒绝于防火墙之外。通过这种安全有效的数据包过滤技术,能够给管理者提供相对安全的局域网环境,保证数据传输的效率而且可以为访问者提供相对宽松的局域网环境,保证了访问者能够获取到安全可靠的服务内容。

当然,技术都不是万能的,数据包过滤型服务器的工作环境是IP层和TCP/UDP层,所以其不能对于别的应用层进行信息审计和跟踪,不能保证数据包的完整过滤。其次,数据包过滤型的防火墙作为初级防火墙,它没有系统日志记录和审计功能,不能将病毒攻击和黑客攻击信息进行整理汇总。

2.2 认证代理型

在防火墙的网络安全应用中,认证代理型的防火墙技术就是在运行防火墙技术的服务器上运行代理服务器技术。它一方面是保证所有通过防火墙的互联网访问都拥有管理员认证,保证其拥有合法的身份。另一方面,服务器必须内置访问者认证数据库,保证其可以使用SMTP、FTP和HTTP等代理服务功能,而管理者在此过程中享有对于上述3种代理服务功能的访问控制权利。而在HTTP代理服务功能中,需要防火墙提供并支持URL过滤功能。

认证代理型防火墙的突出优点是安全,它集中利用代理服务器来构建网络安全管理的介入和转换,根据网络安全规则来构建应用程序的处理机制,从而能够有效避免网络攻击者通过数据包来攻击IP层和TCP/UDP层以外的网络层,有效保护了局域网。而认真代理型防火墙的突出缺点就是速度比较慢,当网络传输量比较大而对于吞吐量要求比较高时,代理型防火墙的安全管理机制会成为一个巨大瓶颈。

2.3 复合型

在防火墙的实际应用中,单纯利用数据包过滤型的防火墙技术,其能够对于数据识别和服务内容屏蔽作出很好的控制,而且兼容性和数据传输速度都很好,而防火墙技术相对比较简单,容易操作。但是,数据包过滤型的防火墙技术也存在着缺乏有效的用户验证服务,不能给不同用户提供不同级别的服务。而认证代理型的防火墙技术能够做好访问者的身份识别,加强服务器的代理服务建设,保证能够对于服务器的访问和管理做到足够的日志登记,但是其操作起来相对比较复杂,缺乏数据的足够支持。因此,在实际操作中,管理者往往把两种防火墙技术结合起来共同使用,从而能够在外围互联网访问中实现透明操作,而在核心服务内容的访问上加强用户权限限制和访问级别设置,从而能够提供更加严格的网络安全应用。

3 防火墙技术的实际应用

在充分了解了防火墙与网络安全的关系后,需要认真加强不同类型防火墙技术在网络安全实践中的具体应用,保证网络安全的高效、便捷和顺畅。

3.1 数据包过滤型

在数据包过滤型防火墙的实际应用中,需要管理者根据数据包过滤的技术特点,设计完成一套过滤规则,严格规定过滤的数据包类型,提高各类服务内容的划分。在设计阶段,数据包过滤型防火墙技术需要考虑以下3种形式:

(1)全连接:在这种数据包过滤形式中,它基于一个完整的TCP/IP连接的定义,需要管理者认真设计TCP/IP的通信协议,考虑首IP地址、首TCP/UDP端口号、尾IP地址、目标TCP/UDP端口号。

(2)半连接:在这种数据包过滤形式中,主要强调TCP/IP连接一端的技术信息,需要管理者认真设计整个连接的通信协议、IP地址和端口号。

(3)端点:在这种数据包过滤形式中,将TCP/IP地址设定为两个端点决定的传输地址,需要管理者设计两个端点的IP地址、TCP/UDP端口数据等。

在划分数据包过滤规则时,需要管理者认真规划访问控制列表的内容,其可以将数据包的过滤规则划分成是否同意或者拒绝数据包通过。通过设计访问控制列表,管理者能够保证管理透明化,保证数据包传输仅仅局限于TCP/IP层和TCP./UDP层,实现信息的有效过滤和科学跟踪,避免局域网被不明真相的数据包欺骗性攻击。

3.2 认证代理型

认证代理型防火墙技术经过防火墙技术的革新和信息技术的发展,已经从最初简单的代理审核服务逐步过渡到面向应用层网关的代理服务器,其主要功能就是代表客户处理在服务器连接请求的程序认证服务工作。

当前,很多普通的网络公司或者安全级别不高的局域网用户还在使用着代理防火墙,其主要是通过防火墙外部的网卡、代理服务器等防火墙技术来实现内部发出数据的认证和审核,从而能够有效隐藏内部网络结构的作用。在实际操作中,用户从Internet访问局域网的时候,其访问将会被指向防火墙的代理服务器,当防火墙审核通过访问者的访问请求后,将访问请求转化成应用程序的连接请求,将请求发送到真正服务器上,当服务器响应请求,发回指定内容,就完成了代理型防火墙对于信息申请的网络安全中转站的作用。

3.3 复合型

当前复合型防火墙技术中,自适应代理防火墙是现代商业应用防火墙中非常主流的一项技术,它综合了数据包过滤型防火墙的高速度和代理型防火墙的安全性等优点,可以在无损网络访问速度的情况下将认证代理服务器的性能提升十倍以上。当前,自适应代理防火墙主要包含两个要素:自适应代理服务器和动态数据包过滤器。

在实际操作中,自适应代理防火墙通过自适应代理服务器与动态数据包建立一个控制组通道,管理者在简单设置了自适应服务器的服务类型、安全级别和控制组策略后就可以开始代理防火墙工作了。在工作状态下,自适应代理服务器可以根据用户的配置信息,自主对于网络访问和数据包交流进行代理请求响应,并从网络层进行层层转包。当发现异常访问请求后,自适应代理防火墙将动态通知过滤器加强异常访问的监测和审计工作,根据过滤规则开展网络安全管理工作。

4 结语

防火墙技术已经成为保证网络安全的重要利器,根据局域网用户的需求和网络安全的实际状况,开展行之有效的防火墙技术已经成为了共识。网络管理者一定要制定严格的安全策略,在此基础上使用防火墙技术,从而保证网络安全能够真正达到高效、可靠和稳定的效果。

参考文献

[1]张朝日.基于防火墙的网络安全技术的几点探讨[J].电子技术与软件工程,2016,(08).

[2]唐晓东,唐伟.基于网络安全的入侵检测技术与防火墙联动的研究[J].电脑知识与技术,2015,(33).

【网络防火墙安全技术】推荐阅读：

Android中网络流量控制（防火墙）――Iptables07-03

计算机防火墙安全技术08-17