防火墙论文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[摘要]防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联网(Intranet)接入Internet,从而可以更大的收益。
过去,许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet,这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中,因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略:
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求,防火墙必须具有以下功能:
(一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。
以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
(二)监视网络的安全性,并报警。
(三)利用网络地址转换(NA T)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录。它是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:
1、数据包过滤技术
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。它在网络层和传输层起作
用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术——代理技术。