第一篇：防火墻技術(shù)習題參考答案

第6章 防火墻技術(shù)習題答案 填空

（1）防火墻是一個或一組實施 訪問控制策略 的系統(tǒng)。（2）訪問控制策略設(shè)計原則有 封閉 原則和 開放 原則。

（3）按防火墻應(yīng)用部署位置分，可以分為 邊界 防火墻、個人 防火墻和 分布式 防火墻三大類。

（4）防火墻實現(xiàn)技術(shù)主要有 包過濾 技術(shù)、應(yīng)用代理 技術(shù)、狀態(tài)檢測 技術(shù)。簡答

（1）典型的防火墻具有哪幾個方面的基本特性？ 答：典型的防火墻具有以下三個方面的基本特性：

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻

這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。

只有符合安全策略的數(shù)據(jù)流才能通過防火墻

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口≥2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。防火墻自身應(yīng)具有非常強的抗攻擊免疫力 這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運行。當然這些安全性也只能說是相對的。（2）什么是訪問控制策略？

答：訪問控制策略規(guī)定了網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，同時還規(guī)定了哪些類型的傳輸是允許的，哪些類型的傳輸將被阻塞。內(nèi)容清楚的訪問控制策略有助于保證對防火墻產(chǎn)品選擇的正確性。

（3）包過濾技術(shù)的工作原理和特點是什么？ 答：包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，即訪問控制表。借助報文中優(yōu)先級、TOS、UDP 或TCP 端口等信息，或它們的組合作為過濾參考，通過在接口輸入或輸出方向上使用基本或高級訪問控制規(guī)則，可以實現(xiàn)對數(shù)據(jù)包的過濾。同時，還可以按照時間段進行過濾，不僅保護內(nèi)部網(wǎng)絡(luò)免遭外來攻擊，還可以有效控制內(nèi)部主機對外部資源的訪問，形成內(nèi)外網(wǎng)絡(luò)之間的安全保護屏障。

包過濾防火墻邏輯簡單，價格便宜，網(wǎng)絡(luò)性能和透明性好。包過濾防火墻不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。

第二篇：防火墻技術(shù)研究報告

防火墻技術(shù)研究報告

防火墻技術(shù)

摘要：隨著計算機的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個發(fā)展非?；钴S的領(lǐng)域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計劃如何保護你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目錄

一、概述.....................................................................................................................................4

二、防火墻的基本概念.............................................................................................................4

三、防火墻的技術(shù)分類.............................................................................................................4

四、防火墻的基本功能.............................................................................................................5

（一）包過濾路由器.........................................................................................................5

（二）應(yīng)用層網(wǎng)關(guān).............................................................................................................6

（三）鏈路層網(wǎng)關(guān).............................................................................................................6

五、防火墻的安全構(gòu)建.............................................................................................................6

（一）基本準則..............................................................................錯誤！未定義書簽。

（二）安全策略.................................................................................................................6

（三）構(gòu)建費用..............................................................................錯誤！未定義書簽。

（四）高保障防火墻......................................................................錯誤！未定義書簽。

六、防火墻的發(fā)展特點.............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墻的發(fā)展特點.............................................................................................................9 參考文獻...................................................................................................................................10

防火墻技術(shù)研究報告

一、概述

隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，全球信息化已成為人類發(fā)展的大趨勢?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時，由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。

二、防火墻的基本概念

防火墻是一個系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實際上是一種隔離技術(shù)。

一個有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個關(guān)鍵點以防止外來入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當一個內(nèi)部網(wǎng)更換ISP時需重新編號的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。

三、防火墻的技術(shù)分類

現(xiàn)有的防火墻主要有：包過濾型、代理服務(wù)器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP源地址、目標地址、協(xié)議類型、端口號等進行篩選。包過濾在網(wǎng)絡(luò)層進行。

代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點連接，中間節(jié)點再與提供服務(wù)的服務(wù)器實際連接。

復合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新 的防火墻，由堡壘主機提供代理服務(wù)。

各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機防火墻，它是由堡壘主機充當網(wǎng)關(guān)，并在其上運行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機；主機過濾防火墻是指一個包過濾路由器與外部網(wǎng)相連，同時，一個堡壘主機安裝在內(nèi)部網(wǎng)上，使堡壘主機成為外部網(wǎng)所能到達的惟一節(jié)點，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應(yīng)包含如下模塊中的一個或多個：包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

（一）包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數(shù)據(jù)報的包頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。

與服務(wù)相關(guān)的過濾，是指基于特定的服務(wù)進行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標端口的包丟棄即可。

獨立于服務(wù)的過濾，有些類型的攻擊是與服務(wù)無關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的，此時，需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾路由器更為嚴格的安全策略，為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時，代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是通過訪問

相應(yīng)的代理服務(wù)實現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺的費用為代價，網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。

五、防火墻的安全構(gòu)建

在進行防火墻設(shè)計構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準則；整個企業(yè)網(wǎng)的安全策略；以及防火墻的財務(wù)費用預(yù)算等。

（一）基本準則

可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準則：第一，未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個服務(wù)請求或應(yīng)用的實現(xiàn)都基于逐項審查的基礎(chǔ)上。這是一個值得推薦的方法，它將創(chuàng)建一個非常安全的環(huán)境。當然，該理念的不足在于過于強調(diào)安全而減弱了可用性，限制了用戶可以申請的服務(wù)的數(shù)量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時首先要考慮其保護的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細致的安全分析、全面的風險假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。

（三）構(gòu)建費用

簡單的包過濾防火墻所需費用最少，實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器，而包過濾是標準路由器的一個基本特性。對于一臺商用防火墻隨著其復雜性和被保護系統(tǒng)數(shù)目的增加，其費用也隨之增加。

至于采用自行構(gòu)造防火墻方式，雖然費用低一些，但仍需要時間和經(jīng)費開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。

六、防火墻的發(fā)展特點

（一）高速

從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無法應(yīng)用。

應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因為網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。

上面提到，為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因為受現(xiàn)有技術(shù)的限制。目前，還沒有有效的對應(yīng)用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實的。

這里還要提到日志問題，根據(jù)國家有關(guān)標準和要求，防火墻日志要求記錄的內(nèi)容相當多。網(wǎng)絡(luò)流量越來越大，如此龐大的日志對日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個字

符都需要一個字節(jié)，存儲量很大，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析?？梢哉f，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個基本要求。

（二）多功能化

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器;支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計，國外90%的加密VPN都是通過防火墻實現(xiàn)的。

（三）安全

未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的發(fā)展與對抗過程中，防火墻的技術(shù)一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。

七、防火墻的發(fā)展趨勢

近年來，計算機網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會結(jié)構(gòu)的一個基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。而隨著Internet的迅速發(fā)展，計算機網(wǎng)絡(luò)對安全的要求也日益增高。越來越多的網(wǎng)站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構(gòu)和組織不斷遭受著安全問題的威脅等等。

盡管利用防火墻可以保護內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個實際的網(wǎng)絡(luò)運行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時，應(yīng)根據(jù)實際需求采取其他相應(yīng)的安全策略。

計算機的安全問題正面臨著前所未有的挑戰(zhàn)。在這場網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠沒有終點。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社

[2] 吳秀梅，傅嘉偉編著.防火墻技術(shù)及應(yīng)用教程.北京：清華大學出版社 [3] 張紅旗，王魯 等編著.信息安全技術(shù).高等教育出版社

[4] 張華貴，王海燕.計算機網(wǎng)絡(luò)在安全分析與對策

[5] 黃思育.淺議防火墻.達縣師范高等專科學校學報（自然科學版）

第三篇：實驗 防火墻技術(shù)實驗

實驗九

防火墻技術(shù)實驗

1、實驗?zāi)康?/p>

防火墻是網(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。

2、題目描述

根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測試相應(yīng)的防火墻的規(guī)則等。

3、實驗要求

基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。

4、相關(guān)知識

1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經(jīng)過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(securitygateway),也就是一個電子吊橋，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。

防火墻也并不能防止內(nèi)部人員的蓄意破壞和對內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。

2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術(shù)“包過濾型”和“應(yīng)用代理型”兩大類。

（3）從防火墻結(jié)構(gòu)單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規(guī)則

■一切未被允許的就是禁止的(No規(guī)則)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。

很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規(guī)則相比較,然后是第二條、第三條??當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用那條規(guī)則。

4）防火墻自身的缺陷和不足

■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。

■無法防護內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機系統(tǒng)的安全性?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網(wǎng)絡(luò)上有一個沒有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP聯(lián)接進入Internet。

■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效?！鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機上，但一旦執(zhí)行就開始攻擊。例如，一個數(shù)據(jù)型攻擊可能導致主機修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。

■不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。

5、實驗設(shè)備

主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個人版。

6、實驗步驟

1）從指導老師處得到天網(wǎng)防火墻個人版軟件。

2）天網(wǎng)防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。

3）系統(tǒng)設(shè)置。在防火墻的控制面板中點擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。

天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如下。

防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：

如果確定，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復為初始設(shè)置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。

防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)?。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。

應(yīng)用程序權(quán)限設(shè)置：勾選了該選項之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時候。（譬如在運行某些游戲程序的時候）

局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當你退出防火墻的保護時，天網(wǎng)防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當日的日志記錄。

4）安全級別設(shè)置天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級別。

然后點擊左邊的將打開自定義的IP規(guī)則。

從中可以看出，規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導入導出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標進行保存，否則無效。

單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?/p>

5）修改規(guī)則雙擊該規(guī)則，或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進行修改。

（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。

（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對應(yīng)的協(xié)議，其中：

■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。

■‘TCP’協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復雜，你可以查閱其他資料，如果你不選擇任何標志，那么將不會對標志作檢查。

■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。

（5）當一個數(shù)據(jù)包滿足上面的條件時，你就可以對該數(shù)據(jù)包采取行動了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進入或出去。■攔截’指讓該數(shù)據(jù)包無法進入你的機器

■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個人版”圖標是否閃爍來“警告”，或發(fā)出聲音提示。

6）新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許

訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點擊“確定”，并點擊工具條的保存按鈕。

7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個人版增加對應(yīng)用程序數(shù)據(jù)傳輸封包進行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運行”，那么天網(wǎng)防火墻個人版在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。

8）高級應(yīng)用程序規(guī)則設(shè)置單擊

可以打開詳細的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對應(yīng)每一條應(yīng)用程序規(guī)則都有幾個按鈕

點擊“選項”即可激活應(yīng)用程序規(guī)則高級設(shè)置頁面。

“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動作。其中：是指此應(yīng)用程序進程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。

9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進行測試。

需求1：ICMP規(guī)則允許ping進來，其它禁止，TCP規(guī)則允許訪問本機的WWW服務(wù)和主動模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進出UDP報文禁止。

7、實驗思考

1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統(tǒng)的手段有哪些？

第四篇：防火墻技術(shù)論文

【摘要】

21世紀全世界的計算機都將通過Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，與此同時也給人們帶來了一個日益嚴峻的問題———網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)的安全性成為當今最熱門的話題之一，而且網(wǎng)絡(luò)安全防范對我們校園網(wǎng)的正常運行來講也顯得十分重要?，F(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn)，內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當中又是最簡單，也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對此還并不是了解的十分透徹。

本文在簡要論述防火墻的基本分類、工作方式等的基礎(chǔ)上，對防火墻的優(yōu)缺點以及局限性進行了說明，也簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對其的發(fā)展趨勢作簡單展望。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。

防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，顧名思義，是一種隔離設(shè)備。防火墻是一種高級訪問控制設(shè)備，臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一

通道，能根據(jù)用戶有關(guān)的安全策略控制進出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講，防火墻是位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計算機與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計算機的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)數(shù)據(jù)異?；蛴泻?，防火墻就會將數(shù)據(jù)攔截，從而實現(xiàn)對計算機的保護。防火墻是網(wǎng)絡(luò)安全策略的組成部分，它只是一個保護裝臵，通過監(jiān)測和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，其主要目的就是保護內(nèi)部網(wǎng)絡(luò)的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

■ 提供基于狀態(tài)檢測技術(shù)的ip地址、端口、用戶和時間的管理控制； ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級細粒度應(yīng)用層管理控制；應(yīng)用層安全控制策略主要針對常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp，控制策略可以實現(xiàn)定義訪問源對象到目標對象間的常用協(xié)議命令通過防火墻的權(quán)限，源對象可以是網(wǎng)段、主機。http和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實現(xiàn)了url和文件級的訪問控制。

■ 雙向nat，提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射，實現(xiàn)ip復用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)：nat在ip層上通過地址轉(zhuǎn)換提供ip復用功能，解決ip地址不足的問題，同時隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu)，強化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當內(nèi)部網(wǎng)用戶需要對外訪問時，防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己，并將結(jié)果透明地返回用戶，相當于一個ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換，可以針對具體的通信事件進行地址轉(zhuǎn)換。internet用戶訪問對內(nèi)部網(wǎng)絡(luò)中具有保留ip主機的訪問，可以利用反向nat實現(xiàn)，即為內(nèi)部網(wǎng)絡(luò)主機在防火墻上映射一注冊ip地址，這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機了。映射類型可以為ip級和端口級。端口映射

■阻止activex、java、javascript等侵入：屬于http內(nèi)容過濾，防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實時監(jiān)控、審計和告警功能：網(wǎng)絡(luò)衛(wèi)士防火墻提供對網(wǎng)絡(luò)的實時監(jiān)控，當發(fā)現(xiàn)攻擊和危險行為時，防火墻提供告警等功能。

■ 可擴展支持第三方ids入侵檢測系統(tǒng)，實現(xiàn)協(xié)同工作：網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實現(xiàn)無縫集成，協(xié)同工作。

（3）用戶認證

因為企業(yè)網(wǎng)絡(luò)為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網(wǎng)絡(luò)和信息安全，必須對訪問連接用戶采用有效的權(quán)限控制和身份識別，以確保系統(tǒng)安全。

■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權(quán)用戶進入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火墻發(fā)送身份認證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結(jié)合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續(xù)三次認證失敗則在一定時間內(nèi)禁止該用戶認證。由于采用一次性的口令認證機制，即使竊聽者在網(wǎng)絡(luò)上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應(yīng)用中，用戶采用一次性口令登錄程序登陸時，防火墻向用戶提供一個種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同，每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌脩艨梢远ㄆ诟淖兎N子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證：網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。

（4）安全管理

■ 提供基于otp機制的管理員認證。

■ 提供分權(quán)管理安全機制；提供管理員和審計員分權(quán)管理的安全機制，保證安全產(chǎn)品的安全管理。

過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

■ 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點是速度相對比較慢，當用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。

（3）從防火墻結(jié)構(gòu)上分類

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

0

信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

1.4 各類防火墻的優(yōu)缺點

（1）包過濾防火墻

使用包過濾防火墻的優(yōu)點包括：

■ 防火墻對每條傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。

■ 每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。

使用包過濾防火墻的缺點包括：

■ 配臵困難。因為包過濾防火墻很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務(wù)開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務(wù)器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。

■ 可能還有其他方法繞過防火墻進入網(wǎng)絡(luò)，例如撥入連接。但這個并不是

213

也不要忘記了防火墻內(nèi)的安全保障。

其次，防火墻技術(shù)的另外一個顯著不足是無法有效地應(yīng)付病毒。當網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時都有受到病毒危害的可能，防火墻技術(shù)的這個缺點給網(wǎng)絡(luò)帶來很大的隱患。

另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內(nèi)來實現(xiàn)查殺。防火墻的防御、檢測策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測機制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包，所以當數(shù)據(jù)流量較大時，容易導致數(shù)據(jù)擁塞，影響整個網(wǎng)絡(luò)性能。嚴重時，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發(fā)展趨勢

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實現(xiàn)高速。防火墻將會集成更多的網(wǎng)絡(luò)安全功能，入侵檢測、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機箱內(nèi)。既節(jié)省寶貴的機柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動。防火墻將會更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著高校信息化進程的推進，學院校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多，信息

51617

第五篇：防火墻技術(shù)報告

《網(wǎng)絡(luò)與信息安全技術(shù)》

防火墻技術(shù)淺談

班 級：

11計算機科學與技術(shù)3班

學 號：

2011404010306

姓 名： 王 志 成 分 數(shù)：

2013年12月12日

防火墻技術(shù)淺談

摘要：隨著計算機網(wǎng)絡(luò)的發(fā)展，全球上網(wǎng)的人數(shù)在不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨之不斷擴大。然而，因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來了極大方便的同時，因特網(wǎng)本身也正遭遇著前所未有的威脅。所以，網(wǎng)絡(luò)的安全問題也越來越成為人們現(xiàn)在考慮的十分重視的問題。

本文主要介紹討論了防火墻的定義、特點、基本功能，數(shù)據(jù)包頭分析后與過濾規(guī)則的匹配、對數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫的存儲。關(guān)鍵詞：防火墻技術(shù) 數(shù)據(jù)包過濾 數(shù)據(jù)庫

引言

網(wǎng)絡(luò)的安全問題正越來越成為人們現(xiàn)在十分重視的問題。如何使用有效、可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)已越來越受到人們的關(guān)注。而如何實施防范策略，首先取決于當前系統(tǒng)的安全性。對網(wǎng)絡(luò)安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進行風險評估也是很有必要的。防火墻技術(shù)作為時下比較成熟的一 種技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對網(wǎng)絡(luò)安全獨立元素——防火墻技術(shù)，判斷系統(tǒng)的安全等級，實現(xiàn)對目標網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風險評估，為提高系統(tǒng)的安全性提供科學依據(jù)。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)的安全等級；其中，對網(wǎng)絡(luò)安全的威脅表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面，實現(xiàn)對目標網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風險評估以及對風險的防范，為提高系統(tǒng)的安全性提供科學依據(jù)。

1.防火墻概述

1.1防火墻的定義

所謂“防火墻”，是在兩個網(wǎng)絡(luò)之間執(zhí)行說控制策略的一個或一組系統(tǒng)，包括硬伯和軟件，目的是保護網(wǎng)絡(luò)不被他人侵擾。它是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的

封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。

（2）防火墻的基本功能

? 防火墻能夠強化安全策略

因為因特網(wǎng)上每天都有上百萬人瀏覽信息、交換信息，不可避免地會出現(xiàn)個別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。? 防火墻能有效地記錄因特網(wǎng)上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻記錄著被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行的所有事件。

? 防火墻限制暴露用戶點

防火墻駒用來隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段。這樣，就能夠有效控制影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

? 防火墻是一個安全策略的檢查站

所有進出網(wǎng)絡(luò)的信息都必須通過防火墻，防火墻便成為一個安全檢查點，使可疑的訪問被拒絕于門外。

1.3.防火墻的體系結(jié)構(gòu)

目前，防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機體系結(jié)構(gòu)、主機過濾體系結(jié)構(gòu)和子網(wǎng)過濾體系結(jié)構(gòu)。

（1）雙重宿主主機體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計算機而構(gòu)筑的。該計算機至少有兩個網(wǎng)絡(luò)接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機通信，同時防火墻

分布式防火墻的優(yōu)勢：

（1）增強了系統(tǒng)安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊防范，可以實施全方位的安全策略。

（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

（3）系統(tǒng)的擴展性：分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。（4）實施主機策略：對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。（5）應(yīng)用更為廣泛，支持VPN通信。

3.數(shù)據(jù)包過濾處理原理分析

防火墻技術(shù)其實是基于對工作在網(wǎng)絡(luò)層中的數(shù)據(jù)包的過濾，數(shù)據(jù)包的過濾原理要遵揗一些過濾規(guī)則：（1）過濾規(guī)則

本系統(tǒng)采用的默認過濾規(guī)則是：默認接收所有的進入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進出包。當要有選擇地接收數(shù)據(jù)包時，本地的過濾規(guī)則需要進行相應(yīng)的設(shè)置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內(nèi)的一主機的IP地址)的主機與本地主機通信，在用戶相應(yīng)的選項卡中，填上這一I地址就是表示拒絕此IP地址主機向本機發(fā)出的所有數(shù)據(jù)包，這就是數(shù)據(jù)包的IP 過濾功能。

當然也要實現(xiàn)端口的過濾功能。比如:想禁止某一服務(wù)的業(yè)務(wù)功能，就可以在相應(yīng)的IP 號下同時設(shè)置端口號，就是表示對任一用戶的這一服務(wù)被禁止。其實，這只能對某一些常用的端口號進行過濾，如：對HTTP(端口80)進行過濾，就是禁止外部用戶通過防火墻訪問內(nèi)部HTTP 服務(wù)器；對FTP(端口20，21)進行過濾，就是禁止外部主機通過防火墻訪問內(nèi)部FTP服務(wù)器。

數(shù)據(jù)處理模塊用到的過濾規(guī)則將在用戶界面中直接對規(guī)則數(shù)據(jù)庫操作進而來設(shè)置要過濾的規(guī)則，而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫中直接調(diào)用。因此，過濾規(guī)則是在數(shù)據(jù)庫中定義，由用戶在數(shù)據(jù)庫操作界面上輸入的，供底層應(yīng)用程序調(diào)用。

外部命令，在C語言中可以用execlp()這一函數(shù)來執(zhí)行外部命令。（4）存入日志數(shù)據(jù)庫

對數(shù)據(jù)包頭分析處理后，可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數(shù)據(jù)庫的連接與上文所說的一樣，因此，此處存入的是被拒絕的數(shù)據(jù)包頭信息。

5.結(jié)束語

防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源的主要手段。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等。

參考文獻：

1）袁津生 吳硯農(nóng) 《計算機網(wǎng)絡(luò)安全基礎(chǔ)》 北京：人民郵電出版社 2013 2）黎連業(yè)，張維，防火墻及其應(yīng)用技術(shù)，清華大學出版社.2004 3）程代偉，網(wǎng)絡(luò)安全完全手冊，電子工業(yè)出版社.2006 4）李濤，網(wǎng)絡(luò)安全概論，電子工業(yè)出版社.2004