Internet防火墙技术探究及探究

1、internet防火墙技术探究及探究【摘要】随着计算机用户群的日益增长与internet的普 及，防火墙技术作为保障网络安全的第一道屏障，越来越多 的受到人们的关注。本文从防火墙的概念入手，主要分析防 火墙的类型、功能及防火墙在当今网络环境中存在的不足。【关键词】防火墙屏障过滤【中图分类号】tp393【文献标识码】a【文章编号】 2095-3089 (2012) 10-0232-01一、防火墙简介所谓防火墙是指由软件和硬件设备组合而成、在内部网 和外部网、专用网与公共网的界面上构造的一道保护屏障。 其设计思想是在两个网络之间建立一个具有安全控制机制 的安全控制点，通过允许、拒绝或重定向经过防火

2、墙的数据 流，实现对内部网服务和访问的安全审计和控制。防火墙的基本特性：内部网和外部网间的所有网络数据流必须经过防火 墙。只有符合安全策略的数据流才能通过防火墙。防火墙自身应具有非常强的抗攻击能力。二、防火墙的分类1从软、硬件形式分：软件防火墙、硬件防火墙、芯片 级防火墙。软件防火墙：俗称“个人防火墙”，目前使用最多，运 行于特定的计算机上（往往是整个网络的网关），需要操作 系统的支持，与其它软件产品一样，需在计算机上安装并做 好配置。硬件防火墙：硬件防火墙是一种以物理形式存在的专用 设备，通常架设于两个网络的驳接处，直接从网络设备上检 查过滤有害的数据报文，位于防火墙设备后端的网络或者服 务

3、器接收到的是经过防火墙处理的相对安全的数据，不必另 外分出cpu资源去进行基于软件架构的ndis数据检测，可 以大大提高工作效率。这里说的硬件防火墙是指“所谓的硬件防火墙”。所谓 二字是针对芯片级防火墙而言。它们最大的差别在于是否基 于专用的硬件平台。目前市场上大多数防火墙都是这种所谓 的硬件防火墙，他们都基于pc架构，即与普通家用的pc没 有太大区别。芯片级防火墙：基于专用的硬件平台，没有操作系统。 专有的asic芯片使它们比其他防火墙速度更快，处理能力 更强，性能更高。2按防火墙的部署位置分类，防火墙可以分为：边界防 火墙、个人防火墙、混合式防火墙。边界防火墙：边界防火墙最为传统，它位于内

4、外网的边 界，所起的作用是对内、外部网络实施隔离，这类防火墙一 般都是硬件类型，价格较贵，性能较好。个人防火墙：安装于单台主机中，防护的是单台主机， 通常为软件防火墙，价格最便宜，性能也最差。混合式防火墙：就是“分布式防火墙”和“嵌入式防火 墙”，它是一整套防火墙系统，由若干软件和硬件组件组成, 分布于内、外部网络边界和内部主机之间，既对内外网之间 的通信进行过滤，又对网络内部各主机之间的通信进行过 滤，性能最好，价格也最贵。3从防火墙体系结构上，可以分为包过滤防火墙和代理 服务器防火墙。包过滤防火墙：工作在osi参考模型的网络层和传输层, 它根据数据包头源地址、目的地址、端口号和协议类型等标

5、 志确定是否允许通过。代理服务器防火墙：工作在osi的应用层，通过对每种 应用服务编制专门的代理程序，实现监视和控制应用层数据 流的作用。三、防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信 任程度区域间传送的数据流。1. 中化的安全管理，强化安全策略由于internet上每天都有上百万人收集、交换信息， 不可避免地会出现个别品德不良、违反规则的人，防火墙是 为了防止不良现象发生的“交通警察”，它执行站点的安全 策略，仅仅容许符合规则的请求通过。通过以防火墙为中心的安全方案配置，能将所有安全软 件（如口令、加密、身份认证、审计等）配置在防火墙上。 若将网络安全问题分散到各个主机上，

6、防火墙的集中安全管 理显然更经济。2. 网络日志及使用统计防火墙是所有信息出入的必经之路，防火墙能在被保护 的网络和外部网络之间进行记录，对网络存取访问和网络使 用情况进行统计。若发生可疑动作，防火墙能进行适当的报 警，并提供网络是否受到监测和攻击的详细信息。另外，可 以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚 防火墙的控制是否充足。而网络使用统计对网络需求分析和 威胁分析等是非常重要的。3保护那些易受攻击的服务防火墙能够将网络中一个网段与另一个网段隔开，这样 可以防止一个网段的问题通过整个网络传播而成为整个网 络的问题。4增强保密防火墙能够封锁有关网点系统的dns信息。因此，网点

7、系统名字和ip地址都不用提供给interneto5.实施安全策略所有进出的信息都必须通过防火墙，防火墙便成为安全 问题的检查点，使可疑的访问被拒之门外。四、防火墙的局限性1. 不能防范来自内部的恶意攻击防火墙不能防止专用网内部用户对资源的攻击。防火墙 可以禁止系统用户经过网络连接发送专有的信息，但对于复 制到磁盘、磁带上，放在公文包中带走，防火墙也无能为力。2. 不能防范不通过它的连接防火墙能够有效地检查通过它进行传输信息，然而却无 法保护不通过它而传输的信息。如果网络中有些资源绕过防 火墙直接与internet连通，则得不到防火墙的保护。3. 防火墙不能防范病毒一般防火墙不对专用网提供防护外

8、部病毒的侵犯功能。 病毒可以通过ftp或其它工具传至专用网。要实现这种防护, 防火墙中必须设置检测病毒的逻辑。4不能防备全部的威胁防火墙用来防备已知的威胁，但没有一个防火墙能自动 防御所有新的威胁。总之，防火墙虽然可以在一定程度上保护内部网的安 全，但内部网还应有其他的安全保护措施，这是防火墙所不 能代替的。五、小结防火墙作为维护网络安全的关键设备，在目前采用的网络安全防范体系中，其地位举足轻重。伴随计算机技术的发 展和网络应用的普及，越来越多的企业与个人都会遇到不同 程度的安全难题，因此市场对防火墙的设备需求和技术要求 都在不断提升，日益严峻的网络安全问题也要求防火墙技术 有更快的提高，否则在面对新一轮网络入侵手法时便会束手 无策。