防火墙论文

摘要

防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。如果缺省策略是接受，那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝，那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。

关键词：网络防火墙技术安全原理

目录

引言 (1)

1.防火墙的概念 (2)

2.防火墙的发展史 (2)

3.防火墙的分类以及实现方式 (3)

3.1按软、硬件划分 (3)

1. 软件防火墙 (3)

2. 硬件防火墙 (3)

3.芯片级防火墙 (3)

3.2按防火墙技术划分 (4)

1. 包过滤（Packet filtering）型 (4)

1.1、第一代静态包过滤类型防火墙 (4)

1.2、第二代动态包过滤类型防火墙 (4)

2、流过滤技术 (5)

3、深度包检测 (6)

4、应用代理（Application Proxy）型 (7)

4.主要功能 (8)

1.访问控制 (8)

2、防御功能 (9)

3、用户认证 (11)

4、安全管理 (11)

5、入侵检测功能 (12)

5.小结 (14)

6. 参考文献 (14)

引言

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。

计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此谈谈亦关防火墙一些技术。

1.防火墙的概念

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙，英语为firewall，《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。

当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，顾名思义，是一种隔离设备。防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲，防火墙是位于两个或多个网络间，实施网络访问控制的组件集合。从用户角度讲，防火墙就是被放置在用户计算机与外网之间的防御体系，网络发往用户计算机的所有数据都要经过其判断处理，才决定能否将数据交给计算机，一旦发现数据异常或有害，防火墙就会将数据拦截，从而实现对计算机的保护。防火墙是网络安全策略的组成部分，它只是一个保护装置，通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理，其主要目的就是保护内部网络的安全。

2.防火墙的发展史

对于防火墙的发展历史，基于功能划分，可分为如下五个阶段：

20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。

到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden 开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。

1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

基于实现方式划分，可分为如下四个阶段：

第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。

第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。

第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

3. 防火墙的分类以及实现方式

3.1按软、硬件划分

从软、硬件形式上分类