防火墙技术原理及其在校园网中的应用方案设计

网络与信息管理课程论文

通信3G二班李项京

2011年11月29号

防火墙技术原理及其在校园网中的应用方案设计

摘要：详细介绍了防火墙的原理和实现方法，结合实际从校园防火墙的设计方案中论证防火墙在校园网中的应用的必要性。

关键词：防火墙，校园网防火墙设计

一、引言：

1、网络安全分析

互联网的发展已经深入到社会生活的各个方面。对个人而言，互联网改变了人们的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网，但是一切安全隐患也来自互联网。互联网设计之初，只考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题，伴随互联网的迅速发展，网络安全问题越来越严峻。

计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起，一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料，近期每年中国破获电脑黑客案件数百起，利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。与计算机病毒相类似，黑客攻击方法的种类不断增加，总数已达近千种。

那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来，主要有以下几点：

黑客的攻击黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。

网络的缺陷因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。

软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一。

正因为如此，针对以上的各种不安全因素，防火墙——作为信息安全的门户，就应运而生了。

2、防火墙在网络安全中的应用

随着计算机技术和通讯技术的迅速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。随着网络的开放性、互连性、共享性程度的扩大,特别是 Internet 的出现,使网络的重要性和对

社会的影响也越来越大,网络安全问题也变得越来越重要。一般来说,保护网络安全的主要技术有防火墙技术、加密技术、入侵检测技术、身份认证技术等。通过这些技术的综合使用,能够有效地解决网络所面临的安全威胁。

防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。公司和高校一般通过安装防火墙来保护网络安全,利用防火墙技术,经过仔细、正确地配置,通常能够在公司内、外部网之间提供安全的网络保护,降低网络安全风险。

从一定意义上讲，防火墙实际上就是一种被动式防御的访问控制技术。“防火墙”或“防火墙系统”是一类防范措施的总称，是指在Intranet和Internet 之间插入一个中介系统，阻断来自外部通过网络对内部网的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。在一个没有防火墙的环境里，网络的安全性只能体现为每一个主机的功能，在某种意义上，所有主机必须通力合作，才能达到较高程度、均匀一致的安全性。网络越大，这种较高程度的安全性就越难管理。

二、研究现状及设计目标

1、防火墙的基本类型和工作原理

从技术上看 ,防火墙有四种基本类型。

(1) 包过滤型防火墙 Packet Filter Firewall)

包过滤型防火墙 ,也称网络层防火墙 ,是在网络层对数据进行选择 ,选择

的依据是系统内设置的过滤逻辑 ,被称为访问控制表(Access Control Table)。该技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态 ,或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上 ,其优点是逻辑简单、价格便宜、易于安装和使用 ,网络性能和透明性好 ,但它缺乏用户日志(log) 和审计信息(audit),缺乏用户认证机制 ,不具备登录和报告性能 ,不能进行审核管理 ,且过滤规则的完备性难以得到检验 ,复杂过滤规则的

管理很困难 ,因此安全性较差。

（2）应用级网关防火墙( Application Level Gateways Firewall)

应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑 ,并在过滤的同时 ,对数据进行必要的分析、登记和统计 ,形成报告。实际中的应用网关通常安装在专用工作站系统上。由于该技术工作于应用层 ,因此具有高层应用数据或协议的理解能力。然而由于它与包过滤技术一样使用了过滤的机制 ,因此仍然保留了让防火墙外部网络直接了解内部网络结构和运行状态的可能。

（3）代理服务器型防火墙( Proxy Service Firewall)

代理服务器型防火墙也称应用层防火墙 ,作用于应用层。其核心是运行于防火墙主机上的代理服务器进程 ,它代替网络用户完成特定的 TCP/ IP 功能。一个代理服务器上实际是一个为特定网络应用而连接两个网络的网关。对于每一种不同的应用服务 ,都必须有一个相应的代理。外部网络和内部网络之间要建立连接 ,必须通过代理的中间转换 ,内部网络只接受代理服务提出的服务请求 ,拒绝外部网络的直接连接。这种防火墙的优点是它能完全控制通信双方的会话过程 ,具有用户级的身份验证、日志管理和帐号管理功能 ,提供了比过滤路由器更为严格的安全性 ,但可能影响网络的性能 ,对用户不透明 ,且对每一种服务器都要设计一个代理模块 ,建立对应的网关层 ,实现起来比较复杂。

（4）混合型防火墙(Hybrid Firewall)

混合型防火墙把过滤和代理服务等功能结合起来,形成新的防火墙,所用主机称为堡垒主机,负责代理服务。各种类型的防火墙各有其优缺点。当前的防火墙产品已不是单一的过滤型或代理服务器型防火墙,而是将各种安全技术结合

起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。

2、防火墙技术的局限性

防火墙技术作为目前用来实现网络安全的一种手段 ,主要是用来拒绝未经授权的用户访问 ,阻止未经授权的用户存取敏感数据 ,同时允许合法用户不受妨碍地访问网络资源 ,如果使用得当 ,可以在很大程度上提高网络安全性能 ,但是并不能百分之百解决网络上的信息安全问题。正所谓“没有绝对的安全 ,只有绝对的不安全”防火墙因其本身采取的安全策略而不可避免的局限性:由于防火墙是基于“允许”或“限制”数据流通 ,它的通信性能与其安全性之间是一对矛盾 ,要提其高安全性势必降低防火墙的性能,反之,提高它的性能就一定会降低防火墙的安全性。防火墙主要作基于数据包的控制信息的检测 ,不作基于内容的检测 ,因此各种防火墙都存在不同程度的安全脆弱点。现实网络环境中存在着一些防火墙不能防范的安全威胁:如不能防范不经过防火墙的攻击 ,防火墙不能防范来自网络内部的攻击行为;也不能防止因管理员配置不当或错误配置引起的安全威胁;无法防止绕过防火墙的攻击;无法防止自然灾害、意外事故、人为破坏的行为、及内部泄密等;无法防止利用标准网络协议中的缺陷、服务器系统漏洞等进行的攻击。目前 ,防火墙对病毒的防范能力还比较低。另外 ,如果允许从受保护的网络内部向外拨号 ,一些用户就可能形成与 Internet 的直接连接,如果这些访问中存在着非法连接和入侵访问 ,防火墙对此无能为力。

总之 ,防火墙有效地保证了内部网络的安全 ,但防火墙并不是绝对的安全防护手段 ,不同的防火墙系统在设计和实现上均存在安全漏洞。对防火墙的安全局限性分析 ,是为了更好地利用防火墙来保护网络安全 ,要想获得更高级别的网络安全 ,我们必须全面分析防火墙自身的安全弱点。从防火墙的原理及体系结