防火墙技术研究报告

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防火墙技术研究报告

防火墙技术

摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息

时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,

所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据

及其传送、处理都是非常必要的。比如,计划如何保护你的局域网

免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的

核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。

Abstract:along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people. The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary. For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration. The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment. This paper introduces the basic concept of firewall technology, principle, application status and development trend.

Keywords: firewall; network security

目录

一、概述 (4)

二、防火墙的基本概念 (4)

三、防火墙的技术分类 (4)

四、防火墙的基本功能 (5)

(一)包过滤路由器 (5)

(二)应用层网关 (6)

(三)链路层网关 (6)

五、防火墙的安全构建 (6)

(一)基本准则 (6)

(二)安全策略 (6)

(三)构建费用 (7)

(四)高保障防火墙 (7)

六、防火墙的发展特点 (7)

(一)高速 (7)

(二)多功能化 (8)

(三)安全 (8)

七、防火墙的发展特点 (9)

参考文献 (10)

防火墙技术研究报告

一、概述

随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联

网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网

络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形

式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受

黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安

全的技术性措施。

二、防火墙的基本概念

防火墙是一个系统或一组系统,在部网与因特网间执行一定的安全策略,

它实际上是一种隔离技术。

一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都

将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一

个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤

其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转

换功能,有助于缓解IP地址资源紧的问题,同时,可以避免当一个部网更换

ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可

以配置相应的WWW和FTP服务等。

三、防火墙的技术分类

现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型

(双宿主主机、主机过滤以及加密路由器)防火墙。

包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器

实际连接。

复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新

的防火墙,由堡垒主机提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,

主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙

软件,外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路

由器与外部网相连,同时,一个堡垒主机安装在部网上,使堡垒主机成为外部

网所能到达的惟一节点,从而确保部网不受外部非授权用户的攻击;加密路由

器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进

行解压缩和解密。

四、防火墙的基本功能

典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网

关以及链路层网关。

(一)包过滤路由器

包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它

对每一个数据报的,按照包过滤规则进行判定,与规则相匹配的包依据路由表

信息继续转发,否则,则丢弃之。

与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务

的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。

独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性

的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

(二)应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以

配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问

相关文档
最新文档