以后地位:论文发表网 > 论文宝库 > 信息科技类 > 应用电子技术 > 正文

防火墙技术及其应用研究

来源:UC论文发表网2019-05-26 09:49

摘要:

  摘要:防火墙技术是网络安全的重要技术之一,是防御非法入侵和非法访问的有用手腕之一。简述了防火墙技术的基本原理、分类、功效和设计及其选型,并探究了在实中如何管理防火墙。  关键词:网络安全;防火墙技术;防火墙应用  作者:林玉梅  中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003  0引言  跟着网络的敏捷普及,网络安全成就也日益特出。虽然网络安全技...

  摘要:防火墙技术是网络安全的重要技术之一,是防御非法入侵和非法访问的有用手腕之一。简述了防火墙技术的基本原理、分类、功效和设计及其选型,并探究了在实际中如何管理防火墙。


  关键词:网络安全;防火墙技术;防火墙应用


  作者:林玉梅


  中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003


  0引言


  跟着网络的敏捷普及,网络安全成就也日益特出。虽然网络安全技术获得了敏捷睁开,但网络安全成就也增长了新的内容,重要是由网络的凋谢性、无界限性、从容性构成的,包含如下一些因素:①计算机操纵体系自己的一些缺点;②各种效劳,如TELNETNFS,DNS,ActiveX等存在bug和漏洞;③TCPIP协定自己的安全因素;④黑客攻击,追查比较艰难,因为攻击可以或许或许来自Internet的任何地方。


  目前,掩护内部网免遭内部入侵的有用办法是采纳防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一,成为掩护网络安全、网络数据的重要手腕和必选的网络安全设备之一。防火墙重要触及软件技术、密码技术、安全技术、计算机网络技术、网络模范化构造的安全尺度、安全操纵体系和安全协定等多方面。比年来,防火墙产品多,更新快,且赓续有新的信息安全技术应用到防火墙的开拓上,如署理效劳器、包过滤、状况检测、用户身份鉴别、加密技术、虚构公用网等技术。


  那么,什么是防火墙呢?在古代,人咱咱们在修建局撇局衡宇时,常在住所之间砌一道砖墙,防止火警蔓延。在网络中,防火墙便是防止Internet上的不安全因素蔓延到企业或构造的内部网,犹如一道护栏,置于不安全的非相信的网络与被掩护网络之间,阻断内部对内网的威胁和入侵,掩护内网的安全。


  一样平常来说,防火墙是一种置于分歧网络安全域之间的一系列部件的组合,是分歧网络安全域间的唯一通道。它能根据无关的安全访问计谋来节制(包含允许、拒绝、记载和监视)颠末过程网络的访问行为,是一指级的访问节制设备。狭义上,防火墙是指装了防火墙软件的路由器体系或许主机;广义上,防火墙是指全体网络的安全行为和安全计谋。


  1防火墙的睁开


  1986年,在Internet上,美国Digital公司装配了全球第一个防火墙体系。这之后,防火墙产品成为安全领域睁开最快的安全技术产品之一,它前后阅历了如下睁开阶段:


  第一代防火墙,又称为包过滤路由器或屏蔽路由器,是基于路由器的防火墙,颠末过程检查颠末路由器的数据包的地址(源地址、目标地址)、端口号(源端口号、目标端口号)、协定等参数,来决定是否让数据包颠末过程,如Cisco路由器供给的接入节制表。这种防火墙的缺点是很难抵御地址欺骗等攻击,而且审计功效差。


  第二代防火墙,是用户化的防火墙对象套,它用来供给应用效劳级的节制,起到内部网络向被掩护的内部网申请效劳时的中央转接感化。它的缺点是对付每一种网络应用效劳都必需为其设计一个署理软件模块来停止安全节制,而每一种网络应用效劳的安全成就各不相同,阐发艰难,因此实现也艰难,且署理的光阴延迟也较大。


  第三代防火墙,是树立在通用操纵体系上的商用防火墙产品,有以硬件办法实现的,也有以纯软件办法实现的。采纳这种防火墙,用户必需依赖防火墙厂商和操纵体系厂商这两方面的安全支撑。


  第四代防火墙,是树立在安全操纵体系的防火墙。各种新的信息安全技术被普遍应用在防火墙体系中,同时也采纳了一些主动的网络安全技术,比如网络安全性阐发、网络信息安全监测等。总之,它将网关和安全体系合二为一。


  2防火墙的基本范例


  按应用技术,防火墙重要分为包过滤型防火墙(又可分为静态包过滤、状况静态检测包过滤)、应用署理、复合型和核检测这几大类;按照实现办法可分为硬件防火墙、软件防火墙。


  2.1按应用技术分类


  2.1.1包过滤型防火墙


  静态包过滤防火墙是最简略的防火墙。静态包过滤被应用于路由器的访问节制列表,在网络层对数据包履行有抉择的颠末过程。根据体系内的过滤逻辑,在收到网络数据包后,检查数据流中的每个数据包,根据这数据包的源IP地址、目标IP地址和目标TCP/UDP端口及数据包头的各种标志位等因素,以确定是转发还是丢弃,它的中央是安全计谋即过滤算法的设计。静态包过滤的优点是逻辑简略、对网络机能影响小、有较强的透明性、与应用层无关,所以无须改应用程序。它也存在一些不敷:不检查数据区、不树立衔接状况、前后报文无关、对应用层的节制弱。


  状况静态检测包过滤防火墙间接对数据分组停止处理,而且结合前后的数据分组停止综合判断,来确定是否让数据包颠末过程。如思科的pix系列防火墙和checkpoint公司的防火墙都采纳了这种技术。它的优点在于支撑几乎统统的效劳,并能静态地打开效劳端口,且能削减端口的凋谢光阴。所以状况静态检测防火墙安全性高,可以或许检测统统进入防火墙网关的数据包,并能根据通讯和应用程序状况确定是否允许包的通行。它机能高,在数据包进入防火墙时就停止辨认和判断;伸缩性好,可以或许辨认分歧的数据包;已经支撑160多种应用,包含Internet应用、数据库应用、多媒体应用等,用户可便利添加新应用,而且对用户、应用程序透明。


  2.1.2应用署理型防火墙


  署理型防火墙,又可分为电路级署理和应用级署理。


  应用署理技术是在网络的应用层供给网络数据流掩护功效,用来过滤应用层的效劳,是内部网与内部网的隔离点,起着内外网之间申请效劳时的中央转接感化,监视并隔绝应用层的通讯流。应用署理效劳是运行在防火墙主机上的分外的应用程序或许效劳器程序,分歧效劳的署理功效必要开拓分歧的署理效劳程序,而对大多数署理效劳来说,请求要有合适的署理效劳器软件。因为署理供给替代衔接并充当效劳的网关,所以,应用署理有时也被称为应用级网关。它的优点在于:不允许内外主机间接衔接、能供给详细的日志和安全审计功效、隐藏内部IP地址、支撑用户认证。但是,它的署理速率比包过滤慢,且对用户不透明,对付一些效劳不适用,而且不能掩护统统协定。电路级署理适用于多个协定,能接收客户端的各种效劳请求,树立一个回路,对数据包只起转发的感化,工作在OSI模子的会话层或TCP/IP模子的TCP层。它的优点是可满意多种协定设置,并能隐藏内网的信息,但它不能辨认同一个协定栈上运行的分歧应用程序。


  2.1.3复合型防火墙


  所谓复合型防火墙,便是将包过滤和署理效劳整合在一路应用,以实现如网络安全性、机能和透明度的优势互补。复合型防火墙,可以或许检查全体数据包的内容,并根据必要树立状况谓颖,网络层和应用层的掩护强,会话层的节制较弱。目前出现的新技术范例重要有如下几种:智能IP辨认技术、零拷贝流阐发、疾速搜索算法、实时侵入检测体系等,打破了复合型防火墙效力较低的瓶颈。混合应用这些技术和包过滤技术及署理效劳技术是未来防火墙的趋向。


  2.1.4核检测防火墙


  核检测防火墙,检查全体数据包,当数据包到达防火墙时,树立衔接状况,重写会话,检查多个报文构成的会话。核检测防火墙对网络层、会话层和应用层的节制强,而且前后报文有联系,高低文相干。


  2.2按实现办法分类


  硬件防火墙,是指采纳ASIC芯片设计实现的复杂指令公用体系,它的指令、操纵体系、过滤软件都采纳定制的办法,一样平常采取纯硬件设计即嵌入式或许固化计算机的办法,而固化计算机的办法是以后硬件防火墙的主流技术,通常将公用的Linux操纵体系和分外设计的计算机硬件相结合,从而到达内外网数据过滤的偏向。


  软件防火墙,一样平常装配在隔离内外网的主机或效劳器上,一样平常来说,这台主机或效劳器便是全体网络的网关。国内外有很多网络安全软件厂商开拓的面向家庭用户的纯软件防火墙,俗话小小我防火墙”,因为它是装在小我主机上的,只对小我主机停止掩护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。


  3防火墙的重要功效


  防火墙能提高网络、主机(主机群)和应用体系的安全性,它重要有如下功效:


 。1)网络安全的屏障。对网络存取和访问停止监控和审计,供给内部网络的安全性,过滤不安全的效劳,对网络攻击停止检测和报警,比如说,它可以或许禁止NFS(网络文件体系)效劳。把防火墙作为网络通讯的阻塞点,为网络安全起到了把关的感化,所以,咱咱咱们就可以或许把网络安全防备会合在这个阻塞点上。


  (2)强化网络安全计谋。颠末过程会合的安全管理,在防火墙上可以或许或许实现安全技术应用(加密、身份鉴别与认证、口令密码等),过滤掉不安全的效劳和非法用户。


  (3)防止内部信息外泄。对付内部网络,可以或许或许根据制的效劳设置制的安全级别,从而实现内部重点网段的隔离与掩护,限制敏感的安全成就影响全体网络。


  (4)限制暴露用户。封堵禁止的访问行为,有用记载Internet上的运动,管理进出网络的访问行为。


 。5)实现虚构公用网的衔接。防火墙支撑因特网效劳特性的内部网络技术体系——虚构公用网。


  虽然,防火墙能对网络威胁起到极好的防备感化,但它不能解决统统的网络安全成就。某些威胁如恶意的知情者、不颠末过程它的衔接、一些病毒等,防火墙也是无能为力的。


  4防火墙的设计计谋


  防火墙的设计战允基于特定的防火墙,通常有两种基本的设计战略:限制战略,拒绝任何效劳除非被明白允许;宽松战略,接受任何效劳除非被明白禁止。第一种相对保守,也相对安全;第二种可能构成安全隐患。一样平常建议采纳限制型包过滤战略。


  在设置设备摆设防火墙时,必必要遵照一定的原则,首要的原则是安全且适用。从这个角度,在防火墙的设置设备摆设过程必要对峙3个原则:①简略适用,越简略,越容易懂得和应用,越不容易出错,管理也越靠得 ⒓虮;②全面深入,只要采纳全面的、多层次的防御计谋体的芰κ迪终嬲的体系安全,体系地看待全体网络的安全防护体系,使各方面的设置设备摆设互相增强,进而从深层次上掩护全体体系;③内外兼顾,每种产品都有它的重要功效定位,在设置设备摆设时要针对详细的网络环境停止设置设备摆设,不必对每一种功效都停止设置设备摆设。


  在站点上设置设备摆设安全计谋,防火墙可供给效劳节制、偏向节制、用户节制和行为节制。效劳节制是指确定防火墙内外可以或许防火的网络效劳范例,可以或许供给署理软件,也可间接运行效劳器软件;偏向节制重要是启动特定的有偏向性的效劳请求并允许它颠末过程防火墙;用户节制是指根据访问请求的用户来确定是否为该用户供给他要的效劳;行为节制是节制用户如何应用某种特定的效劳,如过滤渣滓邮件、限制内部访问,只允许他咱咱们访问本地web效劳器的一些信息等。


  在大型网络体系中,可在如下地位安排防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚构公用网VPN、长途用户拨号访问时加入VPN等。


  防火墙重要包含5个部分:安全操纵体系、过滤器、网关、域名效劳、函件处理。


  5防火墙的选型和履行


  5.1选型原则


  防火墙产品繁,如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、外洋Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功效和技术,都有自己的定位,让用户眼花缭乱,难以抉择。一样平常来说,防火墙选型时的基本原则有如下几点:


  安全和功效必要阐发:抉择合适产品的一个条件条件便是明白用户的详细必要。因此,抉择产品的第一个步骤便是针对用户的网络布局、业务应用体系、用户及通讯流量规模、防攻击能力、靠得住性、可用性、易用性等详细必要停止阐发。


  明白投资规模和模范,以此来衡量防火墙的性价比。


  在相同条件下,比较分歧防火墙的各项偏向和参数。


  综合考虑安全管理职员的经验、能力和技术本质,考查防火墙产品的管理和掩护的手腕与办法。


  根据实际应用的必要,了解防火墙附加功效的定义和日常体系的掩护手腕与计谋。


  5.2防火墙的测试与管理


  为更好地了解防火墙产品的特色,抉择得当自己应用需要的产品,必需先对防火墙产品停止测试,测试的重要内容包含管理测试、功效测试、机能测试和抗攻击能力的测试。此中,管理是网络安全的关键,功效是防火墙应用的基。能包管了网络的传输效力,而抗攻击能力是网络安全的包管。


  抉择装配得当的防火墙后,还要对防火墙停止管理与掩护,偏向是为了让防火墙正常发挥感化,并延长应用寿命。这请求管理掩护职员必需接受一定的专业培训,且对本单位的网络有一个清楚的认识和了解;定期地对防火墙停止扫描与检测,实时发现成就,堵上漏洞;包管通讯线路通顺,当发生网络安全成就时能实时报警,并实时处理;与厂家对峙联系,实时获得防火墙无关的进级与掩护信息。


  6结语


  防火墙虽是一项比较成熟的产品,但也在赓续地完善与睁开。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的机能,是网络安全职员面对的一个艰巨课题。

中央期刊推荐


发表范例: 论文发表 论文投稿
标题: *
姓名: *
手机: * (填写数值)
Email:
QQ: * (填写数值)
文章:
请求:
友情链接:集邦绿能网  华人科技资讯网  回龙小学教育网  宠物资讯网  大众健康网  中国调研报告网  回龙小学教育网  摩托车配件网  中远电工网  最新网络新闻网