防火墙论文

防火墙技术论文

姓 名：王田辉 学 号：2012110438 专 业：网络工程

摘要

本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用，并提出其不足之处

1 和解决方案。最后展望了防火墙的反战前景以及技术方向。

关键字：防火墙；网络；网络安全；功能；Internet；

Abstract The paper introduces the concept, claification and firewall development course, working principle and main technology and related properties.A firewall is a kind of acce control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal acce to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discued the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,

2

目录

一、防火墙是什么 .........................................1

二、防火墙的分类 .........................................1

三、防火墙的发展历程 .....................................1

四、防火墙的工作原理 .....................................2

五、防火墙应该具备的特性 .................................2

六、防火墙主要技术 .......................................2

七、常见攻击方式以及应对策略 .............................3

八、防火墙的反战前景以及技术方向 .........................3

九、结束语 ...............................................4

十、参考文献 .............................................4

3 现在无论是企业，还是个人，随着计算机的应用由单机发展到网络，网络面临着大量的安全威胁，其安全问题日益严重，日益成为广泛关注的焦点。在这样一个大环境下，网络安全问题凝了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。

一、防火墙是什么

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

二、防火墙的分类

防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件，比如天网防火墙、金山网镖、蓝盾防火墙等等。

三、防火墙的发展历程

目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年，NAI公司推出了一种自适应代理技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。

1

四、防火墙的工作原理

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。

五、防火墙应该具备的特性

当前的防火墙需要具备如下的技术、功能、特性，才可以成为企业用户欢迎的防火墙产品：

1、安全、成熟、国际领先的特性；

2、具有专有的硬件平台和操作系统平台；

3、采用高性能的全状态检测（Stateful Inspection）技术；

4、具有优异的管理功能，提供优异的GUI管理界面；

5、支持多种用户认证类型和多种认证机制；

6、需要支持用户分组，并支持分组认证和授权；

7、支持内容过滤；

8、支持动态和静态地址翻译(NAT；

9、支持高可用性，单台防火墙的故障不能影响系统的正常运行；

10、支持本地管理和远程管理；

11、支持日志管理和对日志的统计分析；

12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数；

13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能；

14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯；

15、支持在线升级；

16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能；

17、防火墙能够与入侵检测系统互动。

六、防火墙主要技术

先进的防火墙产品将网关与安全系统合二为一，具有以下技术：双端口或三端口的结构；透明的访问方式；灵活的代理系统；多级的过滤技术；网络地址转换技术（NAT）；Internet网关技术；安全服务器网络（SSN）；用户鉴别与加密；用户定制服务；审计和告警。

2

七、常见攻击方式以及应对策略

（一） 病毒

策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。

（二） 口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。

策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。

（三）

邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。

策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。

（四） IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。 策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。

八、防火墙的反战前景以及技术方向

伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

（1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

（2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

（3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

（4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。 （5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 （6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN

3 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患

九、结束语

随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

十、参考文献

[1] 作者：彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者：IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料

[3] 作者：楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者：聂元铭 丘平《网络信息安全技术》 科学出版社

4

防火墙论文

防火墙论文

防火墙技术论文

防火墙技术论文

Linux论文 iptables 创建防火墙

internet防火墙技术浅论文

计算机网络与防火墙技术论文

防火墙的安全性分析论文

防火墙

防火墙技术 论文题目及提纲

《防火墙论文.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档