防火墻技術(shù)對網(wǎng)絡(luò )安全的影響

　　防火墻技術(shù)是目前應當網(wǎng)絡(luò )安全問(wèn)題的有效的技術(shù)手段之一，以下是小編搜集整理的一篇探究防火墻技術(shù)對網(wǎng)絡(luò )安全影響的論文范文，歡迎閱讀查看。

　　【摘 要】本文通過(guò)防火墻的分類(lèi)、工作原理、應用等分析，同時(shí)對防火墻技術(shù)在企業(yè)網(wǎng)絡(luò )安全中的作用及影響進(jìn)行論述。

　　【關(guān)鍵詞】防火墻;網(wǎng)絡(luò )安全;技術(shù)

　　引言

　　隨著(zhù)科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò )技術(shù)的不斷發(fā)展和完善，在當今信息化的社會(huì )中，我們生活和工作中的許多數據、資源與信息都通過(guò)計算機系統來(lái)存儲和處理，伴隨著(zhù)網(wǎng)絡(luò )應用的發(fā)展，這些信息都通過(guò)網(wǎng)絡(luò )來(lái)傳送、接收和處理，所以計算機網(wǎng)絡(luò )在社會(huì )生活中的作用越來(lái)越大。為了維護計算機網(wǎng)絡(luò )的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò )安全政策的有機組成部分，它通過(guò)控制和監測網(wǎng)絡(luò )之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)施對網(wǎng)絡(luò )安全的有效管理。

　　1.防火墻的分類(lèi)

　　防火墻是在內部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統，它用于保護可信網(wǎng)絡(luò )免受非可信網(wǎng)絡(luò )的威脅，同時(shí)，仍允許雙方通信，目前，許多防火墻都用于Internet內部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內部均可使用防火墻。按防火墻發(fā)展的先后順序可分為：包過(guò)濾型(PackFilter)防火墻(也叫第一代防火墻)。復合型(Hybrid)防火墻(也叫第二代防火墻);以及繼復合型之后的第三代防火墻，在第三代防火墻中最具代表性的又：IGA (InternetGatewayAppciance)防毒墻;SonicWall防火墻以及Cink TvustCyberwall等。

　　按防火墻在網(wǎng)絡(luò )中的位置可分為：邊界防火墻、分布式防火墻。分布式防火墻又包括主機防火墻、網(wǎng)絡(luò )防火墻。按實(shí)現手段可分為：硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。

　　網(wǎng)絡(luò )防火墻技術(shù)是一種用來(lái)加強網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)控制，防止外部網(wǎng)絡(luò )用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò )進(jìn)入內部網(wǎng)絡(luò )訪(fǎng)問(wèn)內部網(wǎng)絡(luò )資源，保護內部網(wǎng)絡(luò )操作環(huán)境的特殊網(wǎng)絡(luò )互聯(lián)設備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò )之間傳輸的數據包，如鏈接方式，按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò )之間的通信是否被允許，并監視網(wǎng)絡(luò )運行狀態(tài)。

　　2.防火墻在網(wǎng)絡(luò )安全中的作用

　　防火墻的作用是防止非法通信和未經(jīng)過(guò)授權的通信進(jìn)出被保護的網(wǎng)絡(luò )。防火墻的任務(wù)就是從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò )發(fā)送到內部安全網(wǎng)絡(luò )中具體的計算機的數據是否有害，并盡可能地將有害數據丟棄，從而達到初步的網(wǎng)絡(luò )系統安全保障。它還要在計算機網(wǎng)絡(luò )和計算機系統受到危害之前進(jìn)行報警、攔截和響應。一般通過(guò)對內部網(wǎng)絡(luò )安裝防火墻和正確配置后都可以達到以下目的：①限制他人進(jìn)入內部網(wǎng)絡(luò )，過(guò)濾掉不安全服務(wù)和非法用戶(hù)。②防止入侵者接近你的防御設施。③限定用戶(hù)訪(fǎng)問(wèn)特殊站點(diǎn)。④為監視Intemet安全提供方便。

　　3.防火墻的工作原理

　　防火墻可以用來(lái)控制Internet和Intranet之間所有的數據流量。在具體應用中，防火墻是位于被保護網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當軟件的計算機網(wǎng)絡(luò )的多種組合。防火墻為網(wǎng)絡(luò )安全起到了把關(guān)作用，只允許授權的通信通過(guò)。防火墻是兩個(gè)網(wǎng)絡(luò )之間的成分集合，有以下性質(zhì)：①內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間的所有網(wǎng)絡(luò )數據流都必須通過(guò)防火墻;②只有符合安全策略的數據流才能通過(guò)防火墻;③防火墻自身應具有非常強的抗攻擊免疫力。一個(gè)好的防火墻應具有以下屬性：一是所有的信息都必須通過(guò)防火墻;二是只有在受保護網(wǎng)絡(luò )的安全策略中允許的通信才允許通過(guò)防火墻;三是記錄通過(guò)防火墻的信息內容和活動(dòng);四是對網(wǎng)絡(luò )攻擊的檢測和告警;五是防火墻本身對各種攻擊免疫。

　　4.防火墻技術(shù)

　　防火墻的種類(lèi)多種多樣，在不同的發(fā)展階段，采用的技術(shù)也各不相同，因而也就產(chǎn)生了不同類(lèi)型的防火墻。防火墻所采用的技術(shù)主要有：

　　4.1 屏蔽路由技術(shù)

　　最簡(jiǎn)單和最流行的防火墻形式是“屏蔽路由器”。屏蔽路由器在網(wǎng)絡(luò )層工作(有的還包括傳輸層)，采用包過(guò)濾或虛電路技術(shù)，包過(guò)濾通過(guò)檢查每個(gè)IP網(wǎng)絡(luò )包，取得其頭信息，一般包括：到達的物理網(wǎng)絡(luò )接口，源IP地址，目標IP地址，傳輸層類(lèi)型(TCPUDP ICMP)，源端口和目的端口。根據這些信息，判別是否規則集中的某條目匹配，并對匹配包執行規則中指定的動(dòng)作(禁止或允許)。

　　4.2 基于代理的(也稱(chēng)應用網(wǎng)關(guān))防火墻技術(shù)

　　它通過(guò)被配置為“雙宿主網(wǎng)關(guān)”,具有兩個(gè)網(wǎng)絡(luò )接口卡，同時(shí)接入內部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個(gè)網(wǎng)絡(luò )通信，它是按裝傳遞數據軟件的理想位置。這種軟件就稱(chēng)為“代理”，通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許直接與真正的服務(wù)通信，而是與代理服務(wù)器通信(用戶(hù)的默認網(wǎng)關(guān)指向代理服務(wù)器)。各個(gè)應用代理在用戶(hù)和服務(wù)之間處理所有的通信。能夠對通過(guò)它的數據進(jìn)行詳細的審計追蹤，許多專(zhuān)家也認為它更加安全，因為代理軟件可以根據防火墻后面的主機的脆弱性來(lái)制定，以專(zhuān)門(mén)防范已知的攻擊。

　　4.3 包過(guò)濾技術(shù)

　　系統按照一定的信息過(guò)濾規則，對進(jìn)出內部網(wǎng)絡(luò )的信息進(jìn)行限制，允許授權信息通過(guò)，而拒絕非授權信息通過(guò)。包過(guò)濾防火墻工作在網(wǎng)絡(luò )層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應用層協(xié)議數據中獲取過(guò)濾所需的相關(guān)信息。然后依次按順序與事先設定的訪(fǎng)問(wèn)控制規則進(jìn)行一一匹配比較，執行其相關(guān)的動(dòng)作。

　　4.4 動(dòng)態(tài)防火墻技術(shù)

　　動(dòng)態(tài)防火墻技術(shù)是針對靜態(tài)包過(guò)濾技術(shù)而提出的一項新技術(shù)。靜態(tài)包過(guò)濾技術(shù)局限于過(guò)濾基于源及目的的端口，IP地址的輸入輸出業(yè)務(wù)，因而限制了控制能力，并且由于網(wǎng)絡(luò )的所有高位(1024-65 535)端要么開(kāi)發(fā)，要么關(guān)閉，使網(wǎng)絡(luò )處于很不完全的境地。而動(dòng)態(tài)防火墻技術(shù)可創(chuàng )建動(dòng)態(tài)的規則，使其適應不斷改變的網(wǎng)絡(luò )業(yè)務(wù)量。根據用戶(hù)的不同要求，規則能被修改并接受或拒絕條件。動(dòng)態(tài)防火墻為了跟蹤維護連接狀態(tài)，它必須對所有進(jìn)出的數據包進(jìn)行分析，從其傳輸層，應用層中提取相關(guān)的通訊和應用狀態(tài)信息，根據其源和目的IP地址，傳輸層協(xié)議和源及目的端口來(lái)區分每一連接，并建立動(dòng)態(tài)連接表為所有連接存儲其狀態(tài)和上下文信息;同時(shí)為檢查后續通訊。應及時(shí)更新這些信息，當連接結束時(shí)，也應及時(shí)從連接表中刪除其相應信息。

　　4.5 一種改進(jìn)的防火墻技術(shù)(或稱(chēng)復合型防火墻技術(shù))

　　由于過(guò)濾型防火墻安全性不高，代理服務(wù)器型防火墻速度較慢，因而出現了一種綜合上述兩種技術(shù)優(yōu)點(diǎn)的改進(jìn)型防火墻技術(shù)，它保證了一定的安全性，又使通過(guò)它的信息傳輸速度不至于受到太大的影響。對于那些從內部網(wǎng)向外部網(wǎng)發(fā)出的請求，由于對內部網(wǎng)的威脅不大，因此可直接下載外部網(wǎng)建立連接，對于那些從外部網(wǎng)向內部網(wǎng)提出的請求，先要通過(guò)包過(guò)濾型防火墻，在此經(jīng)過(guò)初步安全檢查，兩次檢查確定無(wú)疑后可接受其請求，否則，就需要丟棄或作其他處理。

　　5.防火墻的應用

　　5.1 硬件防火墻的設置

　　下面以思科PIX 501型防火墻為例，設置如下：要設置內部接口的IP地址，使用如下命令：

　　PIX1(config)# ip address inside 10.1.1.1 255.0.0.0

　　PIX1(config)#

　　現在，設置外部接口的IP地址：

　　PIX1(config)# ip address outside 1.1.1 255.255.255.0

　　PIX1(config)#

　　下一步，啟動(dòng)內部和外部接口。確認每一個(gè)接口的以太網(wǎng)電纜線(xiàn)連接到一臺 交換機。注意，enthernet0接口是外部接口，它在PIX 501防火墻中只是一個(gè)10base-T接口。ether-net1接口是內部接口，是一個(gè)100Base-T接口。下面是啟動(dòng)這些接口的方法：

　　PIX1(config)# interface ethernet0 10baset

　　PIX1(config)# interface ethernet1 100full PIX1(config)#

　　最后設置一個(gè)默認的路由，這樣，發(fā)送到PIX防火墻的所有的通訊都會(huì )流向下一個(gè)上行路由器(我們被分配的IP地址是10.76.12.254)：

　　PIX1(config)#route outside 0 0 10.76.12.254

　　PIX1(config)#

　　當然，PIX防火墻也支持動(dòng)態(tài)路由協(xié)議(如RIP和OSPF協(xié)議)。

　　現在，我們接著(zhù)介紹一些更高級的設置。網(wǎng)絡(luò )地址解析：

　　由于我們有IP地址連接，我們需要使用網(wǎng)絡(luò )地址解析讓內部用戶(hù)連接到外部網(wǎng)絡(luò )。我們將使用一種稱(chēng)作“PAT”或者“NATOver-load”的網(wǎng)絡(luò )地址解析。這樣，所有的內部設備都可以共享一個(gè)公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點(diǎn)，請輸入這些命令：

　　PIX1(config)# nat (inside )1 10.0.0.0 255.0.0.0

　　PIX1(config)#global(outside) 1 10.1.1.2

　　Global10.1.1.2 will be PortAddressTranslated

　　PIX1(config)#

　　使用這些命令之后，全部?jì)炔靠蛻?hù)機都可以連接到公共網(wǎng)絡(luò )的設備和共享IP地址10.1.1.2。然而，客戶(hù)機到目前為止還沒(méi)有任何規則允許他們這樣做。

　　5.2軟件防火墻的設置以天網(wǎng)、諾頓防火墻為例

　　5.2.1 天網(wǎng)防火墻(2.60版)

　　在天網(wǎng)防火墻的主面板上點(diǎn)擊“系統設置”按鈕，在彈出的“系統設置”窗口中，點(diǎn)擊“規則設定”中的“向導”，就會(huì )彈出設置向導。

　　在“安全級別設置”對話(huà)框中選擇好安全級別(局限網(wǎng)內的用戶(hù)可以選擇“低”)后再點(diǎn)擊“下一步”按鈕，進(jìn)入“局限網(wǎng)信息設置”窗口。勾選“我的電腦在局限網(wǎng)中使用”，軟件便會(huì )自動(dòng)檢測本機的IP地址并顯示在下方。接下來(lái)，一路點(diǎn)擊“下一步”按鈕即可完成設置了。

　　5.2.2諾頓個(gè)人防火墻

　　在軟件的主界面左側點(diǎn)擊“Internet區域控制”選項在右側窗口進(jìn)入“信任區域”選項卡，點(diǎn)擊“添加”按鈕，打開(kāi)“設定計算機”對話(huà)框。在該對話(huà)框中選擇“使用范圍”，然后再下面輸入允許訪(fǎng)問(wèn)的起始地址和結束地址即可。

　　6.結束語(yǔ)

　　防火墻技術(shù)是目前應當網(wǎng)絡(luò )安全問(wèn)題的有效的技術(shù)手段之一，但是網(wǎng)絡(luò )安全是一個(gè)系統的、全局的管理問(wèn)題，網(wǎng)絡(luò )上任何一個(gè)漏洞，都會(huì )導致全網(wǎng)的安全問(wèn)題，我們應該用系統工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò )的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專(zhuān)業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個(gè)較好的安全措施往往是多種方法適當綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡(luò )安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網(wǎng)絡(luò )安全體系結構。這樣才能真正做到整個(gè)體系的安全。

【防火墻技術(shù)對網(wǎng)絡(luò )安全的影響】相關(guān)文章：

防火墻技術(shù)在網(wǎng)絡(luò )安全中的應用探析08-09

Internet防火墻技術(shù)綜述09-18

防火墻在電子商務(wù)安全技術(shù)的運用09-17

談分布式防火墻技術(shù)及其應用09-02

網(wǎng)絡(luò )安全技術(shù)淺談08-12

網(wǎng)絡(luò )安全技術(shù)淺析07-10

淺析網(wǎng)絡(luò )安全技術(shù)（二）10-27

基于LINUX操作系統的防火墻技術(shù)及其具體實(shí)現08-16

對影響跨欄技術(shù)要素的分析09-28

談校園網(wǎng)絡(luò )安全技術(shù)08-14