防火墙技术论文
防火墙作为基本的网络安全要素,被广泛应用于各种网络环境中,学习啦小编整理的防火墙技术论文,希望你能从中得到感悟!
防火墙技术论文篇一
网络安全之防火墙技术
摘要:随着互联网的发展,网络应用高度发达,网络安全问题日益突出。防火墙作为基本的网络安全要素,被广泛应用于各种网络环境中,并且正在发挥着重要作用。
关键词:网络安全 防火墙
1 概论
当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在,网络安全已经成了专门的技术。保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术
防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类
3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低,CPU处理能力弱,通用CPU架构防火墙的数据吞吐量较低,和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。
ASIC(Application Specific Integrated Circuit专用集成电路)技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题,稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案,线速可达千兆。ASIC技术的优势体现在对网络层的数据转发,而对应用层的数据处理不占优势。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。
NP内含多个数据处理器,可以并发处理数据。数据处理能力较通用处理器强大很多,处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高,而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器,能够胜任高速数据处理。
3.3 从技术上分 目前有很多种防火墙技术,根据采用技术的不同,总体可以分为两大类:包过滤型和应用代理型。
3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙,作用在网络层和传输层,技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包,每个数据包都包含一些特定信息,如数据源地址,目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址,其余数据包则被丢弃。
在包过滤防火墙的发展过程中,出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。
静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包,与过滤规则匹配成功则丢弃,否则让其通过。过滤规则基于数据包中的特定信息,如数据源地址,目的地址、协议类型、端口号等。
动态包过滤型防火墙的包过滤规则采用动态设置的方法,解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态,不仅根据规则表检查每一个包,还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为,增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪,并且可根据需要在过滤规则中动态地增加或更新条目。
包过滤技术既简单实用,又能适用于所有的网络服务,基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术,只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵,如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址,骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。
3.3.2 应用代理型防火墙 应用代理型防火墙工作在应用层。它通过对各种应用服务编制专门的代理程序,实现监控应用层通信流的作用。
在代理型防火墙技术的发展过程中,出现了第一代应用网关型代理防火和第二代自适应代理防火墙。
应用网关型防火墙有时也被称为代理服务器,其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间,对于服务器来说,它相当于客户机;对于客户机来说,它相当于服务器。从客户机发出的数据包经过防火墙处理后,可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信,所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
自适应代理型防火墙是一种新型防火墙,近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有代理类型防火墙的安全性的优点,能在不降低安全性的基础上将防火墙的性能提高数倍。自适应代理型防火墙的基本组成要素包括动态包过滤器和自适应代理服务器。
应用代理型防火墙是为防范应用层攻击设计的,它可以筛选保护OIS网络模型中的任意层数据通信。应用代理型防火墙有以下优点:隐藏内部IP;限制某些协议的传出请求;指定对连接的控制;能够记录连接日志,对追踪攻击和非法访问很有用。
应用代理防火墙的缺点:用户每次连接都要认证,带来不便;用户系统须定制;速度相对较慢,当网络通信速率较高时,就会影响内外部通信,但通常情况下不会很明显。
4 结束语
防火墙系统只是一种网络安全防护手段,并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击,某些恶意的访问可以通过客户机的软件绕过放过防火墙,传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。
单纯的防火墙技术逐渐不能满足人们对网络安全的需要,防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有:多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。
随着计算机技术的发展,防火墙技术会不断的向前发展,网络安全问题也会不断涌现。只有不断改进安全策略,才能保证网络安全稳定的发展。
参考文献:
[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008,(03).
[2]庄健平.防火墙技术与网络安全[J].电脑编程技巧与维护.2010,(22).
[3]黄惠烽.计算机网络安全与防火墙技术[J].科技信息,2007,(08).
防火墙技术论文篇二
防火墙技术的研究
【摘要】本文首先介绍了防火墙的起源,以及防火墙的基本概念和防护墙的基本原理。重点讲述了防火墙的几种配置方式,以及几种配置方式存在的问题。然后指出存在了防火墙的发展趋势。
【关键词】防火墙;信息安全;预警监视
1 概述
自从美国宾夕法尼亚大学成功研发出第一台计算机,到如今计算机已经发生了巨大的变化。计算机发生巨大的变化之一,即是计算机之间的通信。计算机之间的通信的基础是计算机网络技术。计算机网络技术的快速发展,使大量的计算机连接到互联网上。计算机通过互联网进行通信和从事各种各样的商业活动。人们通过计算机进行交流和商业活动,这就给一些不法分子有了可乘机,通过计算机技术的漏洞进行违法犯罪的活动,这些活动主要包括窃取别人的银行账户和密码,监听别人的通话,窃取商业机密,更有甚者是破坏别人的电脑等等。以上的犯罪活动更加凸显了网络安全的重要性,如何才能保护用户的网上活动,已经成为一件很重要的事情。防火墙这项技术的出现有效的解决了上述的问题。作为网络安全基础设备,防火墙的主要功能是有选择的接受一些安全的信息,而把那些具有安全隐患的信息隔离在网络的外部。这样就能保证用户的电脑安全,另外,防火墙也是一种经济的产品。
2 防火墙
2.1什么是防火墙
防火墙也称为防护墙是由Gil Shwed于1993年发明并且写入到国际互联网,防火墙更确切的说是信息安全的保护系统。它被放到各种不同的网络之间,网络之间的信息通信都要经由防火墙的筛选,并且防火墙可以设定不同的规则,具体是根据企业的不同的安全政策来筛选信息。防火墙自身具有很强的保护能力,能够有效的抵抗不同的网络攻击。它是提供信息安全服务,实现网络和信息安全的基础设施。
2.2防火墙的原理
科学技术的快速发展,促进了网络技术的迅速发展,网络的开放度和规模也随之扩大,这就导致网络上涉及到个人隐私的信息和数据或多或少的会遭到主动或被动的攻击。为了保护网络上个人信息的能够采用方法有,第一给所有的服务器安装入侵检测,第二、安装防火墙。对于第一种方法有点不现实,因为服务器的数量和网点的数量比较多。另外,每个服务器上运行的操作系统不可能相同,当网络暴露出安全隐患时,对每个节点都进行更改和修复所存在的问题,都将是一件困难的事。对于第二方法就是采用防火墙的技术,防火墙的主要功能是在企业内部的网络和外部的互联网设立一个安全接口。外部网络的信息想要访问内部网络的信息就需要防火墙的筛选。对于安全的信息防火墙防火墙会允许访问内部网络的信息,对于不安全的信息会被禁止访问内部信息。
2.3防火墙的特点
防火墙所拥有的特点如下:
(1)防火墙具有对一些特别的站点进行支持,特供多种的服务支持。这些支持主要包括FTP、HTTP、WWW浏览器支持。
(2)防火墙具有预警和监视网络安全的能力,并且能够对用户的秘密信息进行加密,以保证用户的消息或者具有商业价值的数据不被损坏。
(3)防火墙具有设置特定用户的能力,通过安装客户端设置安全的用户能够访问你的网络,把一些危险的用户设置为不能访问,可以有效的保护自身的网络安全。
(4)防火墙能够有效的解决欺骗的问题,具体是指一些具有外部网络的入侵者通过模拟内部网络的数据包,来欺骗防火墙。但是防火墙具有检测真伪的能力。
(5)防火墙具有跨平台支持的能力,能够在一个系统上安装管理软件来指挥另一个平台软件的运行。
(6)防火墙具有保护邮件的功能,具体是指能够使网络远离邮寄服务的入侵。
3 防火墙的配置
如果防火墙处于未连通的状态,所谓连通的状态是指是指服务器之间没有建立连接,没有完成握手协议,这个时候任何数据都无法穿越防火墙。但是防火墙内部的主机之间可以进行通信。具体的通信规则如下:
一般把区域划分为3个部分内部区域(inside)、外部区域(outside)、以及dmz区域。
对于内部区域能够与所有的外部区域和dmz区域进行通信。其中内部区域访问dmz区域需要static的配合。而外部区域访问dmz区域需要acl的配合。
Static主要是指静态地址转换,acl是指访问控制列表。
防火墙的配置方式主要有三种方式分别是Screened-subnet、Dual-homed、Screened-host方式。
(1)Screened-subnet主要有两个部分组成Screeningrouter和Bastionhost。通过两个部分在外部网络和内部网络之间形成一个隔离的区域,这个区域即是“停火区”。防火墙的这种配置方式具有的优点是安全性非常好,但是费用太高。
(2)防火墙中配置方式中最简单的一种方式是Dual-homed。在内部网络和外部网络之间放置Dual-homed Gateway,这种方式也是Bastionhost。这种配置方式的优点是价格低廉,
(3)防火墙配置方式中Screened-host方式,为了更好的保护Bastionhost,为它建立了Screeningrouter作为安全屏障。另外这个结构主要依靠Screeningrouter和Bastionhost,其中之一被破坏,全部网络会被破坏。
4 防火墙的发展趋势
传统的防火墙只能够保护内部网络的安全性,但是对于整个网络的整体性能不具有整天协调性。因此,作为防火墙的发展方向应该更好的完善防火墙的整体性能。另外,传统的防火墙尽管能够对内部网络提供较高的安全保护,通过提高安全级别。但是提高防火墙的安全级别是通过降低带宽来实现的,这就很大的限制了网络的运行效率。评价防火墙的优劣主要是通过评价通过防火墙的数据量。因此下一代防火墙的发展方向就是在提高防火墙的安全级别基础上,如何提高通过防火墙的数据量。另外,现在很多防火墙都支持NAT技术,但是使用NAT技术之后对防火墙的安全性能有所影响,如何减少这个影响也是防火墙的发展趋势之一。
5 结束语
互联网技术的快速发展,越来越多的电脑连接到Internet。导致网络安全的问题越来越明显。因此防火墙这项技术受到越来越多网络安全人士的关注。为了保护国家信息的安全,国家加大对防火墙技术研究的支持。使得防火墙技术在我国有了很大发展。另外,防火墙还处在进步的阶段,有很大的提升空间。
参考文献:
[1]陈斌等.网络设计,电子工业出版社,2005,9
[2]朱雁辉.WLNDOWS防火墙与网络技术,电子工业出版社,2002,4
[3]常红等.网络安全技术与反黑客,冶金工业出版社,2001,6
[4]袁家政.计算机网络安全与应用技术,清华大学出版社,2002,5
[5]胡道元.计算机网络,清华大学出版社,1999,1
[6]刑钧.网络安全与防火墙技术,电子科技大学出版社,2004,3
[7]谢希仁.计算机网络工程基础,电子工业出版社,2002,5
看了“防火墙技术论文”的人还看:
3.安全防范技术论文