计算机网络防火墙技术研究和应用.doc

计算机网络防火墙技术研究和应用 摘要在社会经济不断发展的前提下，信息技术获得了前所未有的发展环境，计算机网络达到了很大的普及率，几乎涉及到人们生活的方方面面，这也就随之带来了很多的安全隐患，尤其是黑客的入侵，严重威胁但网民的财产及其隐私安全，给计算机安全带来很大的影响。这就使得网络防火墙的研究与应用必须更先进，更有效。本文就是闡述防火墙的技术分类，研究防火墙的优势与缺点，给防火墙的研究带来新的能量。 关键词计算机网络防火墙研究和应用 计算机技术的不断发展，给我们带来了前所未有的便捷，也带来了改革发展的新力量，尤其是计算机在这些年的发展程度，在全世界范围内都得到了普及。在计算机应用上，网络资源和计算机技术的结合对我们生活造成了很大的变化。但是，在网络技术的推动下我们的生活节奏加快的同时，也增加了我们以前所没遇到的很多问题，包括对网络资源的保护，以及个人信息的保障。这就让我们对于网络环境的净化开始逐渐重视起来，在网络资源没有防护或者只是一部分防护的情况下，黑客的存在经常会造成我们信息和资源的丢失，所以我们必须加强网络防火墙的建设力度必不可少。 一、网络防火墙技术的分类 防火墙技术是我们使用网络性的防护设备，起到一个保护资源的作用。但是却只能抵挡外部的侵入而不能有效的抵挡内部的损伤的手段。但是随着现代技术的发展，现代化的防火墙已经具有一定的内外皆备的特点，但是防火墙的作用依然是只能过滤掉自己认为不安全的信息，不能够达到所有信息都检索的缺点，所以我们需要建立更高程度的防火墙，就得先从可以过滤所有数据的能力着手，这也是我们现在需要大力发展的方向。下面是两种我们最常见的两种防火墙： （一）包过滤性防火墙技术 包过滤性防火墙的技术的工作原理是建立在OSI网络参考模型中的网络层面和传输层面之中，这种防火墙技术是根据不同数据的源头地址和终端口的数据安全性之行判断是否可以通过防火墙的技术，只有符合条件的资源才可以传输过来，不符合义上安全条件的都被挡在外部，不能自行进入。 （二）应用代理型防火墙 应用代理型防火墙技术的原理是建立在OSl网络层面的顶层，也就是我们说的应用层面，最显著的特点就是全部阻截网络通信留的数据，通过对所有应用贴上专门的编制代理程序，达到一种监督的作用。除了这两种技术以外，还有很多的防火墙技术，具有突出特点的就是边界防火墙和混合式防火墙技术等。 二、防火墙的工作原理 （一）包过滤性防火墙的工作原理 包过滤性防火墙的工作原理就是对许多规则作出一种组合形式，之后再让用户进行选择和设置自己想要过滤掉的资源以及留下资源的程度。但是这也需要经验老到的防火墙技术人员对防火墙进行操作以及对当前最新的被攻击资源进行集中，然后再进行加载信息。比如信息的名称、说明和协议等，包括着所有数据包进出防火墙的方法。对于IP包过滤性防火墙技术的工作原理就是根据IP数据包的各种信息，对其进行相应的过滤，如果这种IP包是携带着封装的TCP或者是ICMP协议一起进入防火墙的，就需要对这种情况进行特殊处理，不能让之随意出入。应用层面的协议主要是RPC应用服务的过滤以及FTP过滤等，主要的工作过程就是，防火墙可以在不同文件的组成上面，判断出该文件的初发地址、目的地址以及文件的保存时间和特点，然后再根据这些信息对其进行最后的检测和扫描，确认该文件的安全性以及可使用性。 （二）应用代理型网络防火墙的原理 应用代理型防火墙，顾名思义是在应用层面提供代理服务的一种防护手段。代理服务是在接收到用户的连接请求是，向代理服务器发出与请求有关的代理诉求，之后在这样的情况下，代理服务器根据服务器的要求，对用户的请求做出一个回答。为了能够更好的确定链接中的效率，在进行工作的时候需要维护代理服务器的数据信息和连接表，代理服务器还在一定情况下维护一个扩展代理字段的集合，达到一种更好的提供代理授权的效果。 三、两种防火墙的优点和缺点 （一）包过滤性防火墙 优点：操作简单。包过滤性防火墙可以通过一个过滤路由器就可以对整个网络系统完成保护作用，数据包在过滤的过程当中完全对用户透明，保证了用户的安全性，而且这种方式的工作效率比较高，过滤速度相当快，可以很大程度上解决用户的速度需要。 缺点：不能彻底的防御因为地址欺骗的问题，内有一个只能的识别黑客的攻击，完全不支持应用层面的协议。 （二）应用代理型防火墙 优点：代理型防火墙最大的优点就是网关可以直接隔开内网和外网的联系，用户对外网进行使用的时候自动转换成防火墙对外网的访问，然后防火墙自动判定之后再转给用户，使得安全性大大的提高。而且代理型防火墙所有的通信数据都是通过应用层的代理软件完成防护，用用不可以直接和服务器建立连接，对于数据包的检测性非常好。 缺点：代理型防火墙因为其工作性质，导致速度比较慢，对于用户是完全屏蔽的，对不同的需要需要用不同的服务器来完成，适应能力比较弱。 四、防火墙的研究开发 在防火墙的研究与开发中，需要对数据层安装一定程度的监听功能以及读卡能力，着重研究对于上层数据进行物理帧的拆封和密封，保证数据的安全性。对于有时候会出现很极端的情况，防火墙需要修改IP地址的报头才能解决问题，这对于IP层的处理来说是非常复杂的一个环节，而且需要进行大量的安全性工作，所以一般情况下是不可以使用修改IP报头的方法，只能是包过滤性防火墙和ICMP的相关功能结合。随着技术的不断发展，包过滤性防火墙必须室友路由器的支持才能完成，而现在的IP层面遇到的对打的问题是IP地址的骗术，并且在许多的上层结构存在着相当多的IP地址欺骗问题，这就需要我们进一步来研发更准确更方便的防火墙来解决问题，让我们能够减少网络的安全隐患。 五、小结 随着计算机的普及度提升，我们对于计算机的依赖不断的增