防火墙技术分析与研究

防火墙技术分析与研究

目录

摘要 (1)

综述 (1)

一、防火墙的概述 (2)

（一）防火墙的概述 (2)

（二）防火墙的背景与发展 (2)

（三）防火墙的种类与类型 (2)

1.数据包过滤型防火墙 (2)

2.应用级网关型防火墙 (3)

3.代理服务型防火墙 (3)

4.复合型防火墙 (4)

（四）防火墙的功能 (4)

1.访问控制 (4)

2.防御功能 (5)

3.管理功能 (5)

4.记录和报表功能 (5)

二、网络安全 (6)

（一）网络安全问题 (6)

1.网络安全面临的主要威胁 (6)

2.影响网络安全的因素 (6)

（二）网络安全措施 (7)

1.完善计算机安全立法 (7)

2.网络安全的关键技术 (7)

3.制定合理的网络管理措施 (8)

三、防火墙技术的发展趋势 (8)

（一）防火墙包过滤技术发展趋势 (8)

（二）防火墙的体系结构发展趋势 (8)

（三）防火墙的系统管理发展趋势 (9)

结束语 (9)

参考文献： (10)

防火墙技术分析与研究

摘要

防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。本文的重点是介绍了防火墙的类型与主要功能，通过防火墙的数据包进行统计分析，并根据统计数据动态调整过滤规则的相对次序，使得使用最频繁的规则位于规则列表的最前面，使其和当前网络流量特性相一致，从而达到降低后继数据包规则匹配时间来提高防火墙性能之目的。

关键词：计算机防火墙 Internet 安全技术特征

综述

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安

全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet 网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业。

防火墙是一种网络技术，最初它被定为一个实施某些安全策略保护一个可信网络，用以防止来自一个不可信的网络（如Internet）的攻击的装置。

防火墙就是一个或多组网络设备，可用来在两个或多个网络间加强访问控制。它的实现有好多种方式，有的实现还是很复杂的，但基本原理却很简单。可以把它想象成一个开关，一个是用来阻止输入，另一个用来允许输入。防火墙可以设置在不同的网络之间（如可信任的企业内部网和不可信的公共网）或网络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、检测）出入网络的信息流，且本身也具有较强的攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效的监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

一、防火墙的概述

（一）防火墙的概述

人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。在网络上，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡，它的作用与建筑的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”。

防火墙就是一个位于电脑和它所连接的网络之间的软件。该电脑流入流出的所有网络通信均要经过此防火墙。

防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。

（二）防火墙的背景与发展

第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter) 技术。

第二、三代防火墙是在1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙，应用层防火墙(代理防火墙)的初步结构。

第四代防火墙是在1992年，由USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙在1998年，是NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

（三）防火墙的种类与类型

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。

1.数据包过滤型防火墙

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通