计算机网络安全与防火墙技术研究

计算机网络安全与防火墙技术研究

摘要：近年来,网络犯罪的递增、大量黑客网站的诞生，网络系统的安全问题越来越受到重视。网络系统的安全对于国家机关、银行、企业是至关重要的，即使是对于学校、甚至个人也是如此。因此，安全保密工作越来越成为网络建设中的关键技术，防火墙技术就是其中重要的一环。防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流，允许合法数据包通过，组织非法数据包通过，从而达到有效保护内部网络安全的目的。本文讨论了防火墙的安全功能、体系结构和实现防火墙的主要技术手段及配置等。

关键字：计算机网络；防火墙；网络安全；防范措施

引言

反恐是现今世界的重要课题，计算机网络安全是其中一个重要方面，尤其是银行、航空等关系到国计民生的行业。研究网络安全具有重要的现实意义。影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为：计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。而防火墙技术又是网络安全最基本的技术

之一。人们应当了解一些防火墙技术，更好地设置防火墙，使它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。

1.防火墙的概念

网络防火墙技术是—种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内互联设备。它对两个或的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。设立防火墙的主要目的是保护—个网络不受来自另一个网络的攻击。防火墙相当于—个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进人和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。

防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

2.防火墙的分类

a)按防火墙的软硬件形式来分

1)软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。

2)硬件防火墙

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。

3)芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

b)按防火墙的处理机制来分

1)包过滤型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

2)应用代理型

应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

3)状态检测型

状态检测型直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。

c)按防火墙的结构来分

1)单一主机防火墙

单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

2)路由器集成式防火墙

3)分布式防火墙

d)按防火墙的应用部署位置来分

1)边界防火墙

边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。

2)个人防火墙

个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。

3)混合式防火墙

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

3.防火墙的功能

a)限制他人进入内部网络，过滤掉不安全服务和非法用户；

b)防止入侵者接近防御设施；

c)限制访问特殊站点；

d)为监视网络安全和预警提供方便；

e)防止资源被滥用。

4.防火墙系统的构建

a)创建步骤

创建成功的防火墙系统一般需要6步：制订安全计划、构建安全体系、制订规则程序、落实规则集、注意更换控制、做好审计工作。

b)应遵循的原则

在构建过程中，应遵循以下两个原则：

1)未经说明许可的就是拒绝

防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都建立在逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于，过于

强调安全，而减弱了可用性，限制了用户可以申请的服务的数量。

2)未说明拒绝的均为许可的

约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝的。当然，该理念的不足在于，它将可用性置于比安全性更为重要的地位，增加了保证企业网安全性的难度。

c)防火墙的体系架构

目前，成熟的体系构架有X86架构，它采用通用CPU和PCI 总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。而对于一些对网络安全有一定要求的中小企业来说，选择NP防火墙是最佳的选择。NP技术通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用。如果你受到的网络攻击太过复杂，那么使用基于ASIC的防火墙是你的最佳选择。ASIC将指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。

5.防火墙的特点

a)特性

1)所有的通信都经过防火墙；

2)防火墙只放行经过授权的网络流量；

3)防火墙能经受的住对其本身的攻击。

b)优点