防火墙技术研究
摘 要
本文介绍了防火墙的概念及其功能。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。又系统地介绍了网络防火墙系统的基本设计原则的基础上阐述了Internet网络中的防火墙技术。分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处和解决方案。最后阐述了用户在选择防火墙软件时应注意哪些问题。
关键字:防火墙;包过滤技术;代理技术;网络;Internet;网络安全;网关
前 言
科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。
一、防火墙的概念
防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵,比如安全网络可能是企业的内部网络,不安全网络是因特网。但防火墙不只是用于因特网,也用于Intranet中的部门网络之间。在逻辑上,防火墙是过滤器 限制器和分析器;在物理上,防火墙的实现有多种方式。通常,防火墙是一组硬件设备-路由器,主计算机,或者是路由器,计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同,这取决于安全策略,预算以及全面规划等。
二、防火墙的分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙。
1、包过滤防火墙
(1)静态包过滤防火墙:静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配。
如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规则都和过滤规则相匹配,那么信息包就允许通过。
(2)静态包的过滤原理:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。
这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有恶意进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
2、动态包过滤防火墙
动态包过滤防火墙是就是后来的包状态监测(Stateful Inspection)技术,监控每一个连接,自动临时增加适当的规则。
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。
三、防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。
1、防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。
2、防火墙的主体功能归纳为以下几点:
(1)根据应用程序访问规则可对应用程序连网动作进行过滤
(2)对应用程序访问规则具有自学习功能。
(3)可实时监控,监视网络活动。
(4)具有日志,以记录网络访问动作的详细信息。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。从而实现防火墙的核心功能是封包过滤。
四、防火墙的不足
防火墙对网络的威胁进行了保护,但是,它不是安全解决方案的全部。一些威胁是防火墙没有办法防范的。比如防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致网络安全隐患。还有防火墙不能防止有恶意的人靠欺骗获得一些可以破坏安全的信息,比如网络的口令。一些用来传送数据的电话线也很有可能被用来入侵内部网络。再就是病毒和木马。虽然现在有些防火墙可以检查病毒和木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献
1. 彭涛. 《计算机网络教程 》. 机械工业出版社,
2. IBON.Marshield. 《网络安全技术白皮书》. 艾邦公司资料,
3. 楚狂 等. 《网络安全与Firewall技术》. 人民邮电出版社
4. 聂元铭,丘平. 《网络信息安全技术》. 科学出版社
http://www.bysj360.com/page.asp?id=37 http://www.bylw520.net/html/5202.html
