防火墙的应用

.

目录

摘要..............................................1 引言 .............................................2 1.1研究背景.......................................2 1.2研究目的.......................................2 2.防火墙的概述....................................3 2.1防火墙的概念..................................3 2.1.1传统防火墙介绍..............................3 2.1.2智能防火墙..................................4 2.2防火墙的分类..................................4 2.2.1静态包过滤防火墙............................4 2.2.2动态包过滤防火墙............................5 3.防火墙的功能...................................6 3.1防火墙的主要功能..............................6 3.2入侵检测功能..................................7 3.3虚拟专用功能..................................8 3.4其他功能......................................8

4.防火墙的反战前景以及开展方向....................8 完毕语............................................9 参考文献：........................................9

. .word.zl.

.

.

防火墙在网络平安中的应用 摘 要

随着计算机网络技术的飞速开展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的平安性变得日益重要起来，已被信息社会的各个领域所重视。

正是因为平安威胁的无处不在，为了解决这个问题防火墙出现了。防火墙是网络平安的关键技术,是隔离在本地网络与外界网络之间的一道防御系统，其核心思想是在不平安的网络环境中构造一个相对平安的子网环境,防火墙是实施网络平安控制得一种必要技术。 关键词 网络平安/病毒/防火墙 Firewall Network Security Application ABSTRACT

With the rapid development of puter network technology, In particular, the application of the Internet has bee more and more extensive, In bringing an unprecedented mass of information at the same time, Open and freely shaped the network also had private information and data have been damaged or the possibility of violations of, Network information security has bee increasingly important, has been the information society in all areas of the pie.

It is precisely because security threats everywhere, the firewall in order to solve this problem emerged. Network security firewall is the key technology is to separate the local network and external networks of a defense system, its core idea is i

. .word.zl.

.

.

n an insecure network environment to construct a sub-network environment of relative security, the firewall is to implement the network security controls were a necessary technique.

key words network security /virus/ firewall

1引言 1.1 研究背景

随着互联网的普及和开展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络平安问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络平安问题也决不能无视。如何建立比拟平安的网络体系，值得我们关注研究。

1.2 研究目的

为了解决互联网时代个人网络平安的问题，近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络平安解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而到达控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比方Novicehood攻击、聊天室炸弹、木马信息破译并修改密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候防止受到网络攻击和资料泄漏的平安威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创立防火墙规那么，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。

所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共

. .word.zl.

.

.

网)或网络平安域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、构造和运行状况, 以此来实现网络的平安保护。

2.防火墙的概述 2.1 防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络平安域之间的一系列部件的组合。它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息平安效劳，实现网络和信息平安的根底设施。防火墙提供信息平安效劳，是实现网络和信息平安的根底设施。在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的平安。

2.1.1传统防火墙介绍

目前的防火墙技术无论从技术上还是从产品开展历程上，都经历了五个开展历程。图1表示了防火墙技术的简单开展历史。

图1

第一代防火墙

第一代防火墙技术几乎与路由器同时出现，采用了包过滤〔Packet filter〕技术。

第二代、第三代防火墙

1989年，贝尔实验室的Dave Pres otto和Howard Crickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙〔代理防火

. .word.zl.

.

.

墙〕的初步构造。

第四代防火墙

1992年，USC信息科学院的Bob Braden开发出了基于动态包过滤〔Dynamic packet filter〕技术的第四代防火墙，后来演变为目前所说的状态监视〔Hateful inspection〕技术。

第五代防火墙

1998年，NAI公司推出了一种自适应代理〔Adaptive proxy〕技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

2.1.2 智能防火墙简介

智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统

计、记忆、概率和决策的智能方法来对数据进展识别，并到达访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进展访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。

2.2 防火墙的分类

从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。 包过滤防火墙经历了两代：

2.2.1静态包过滤防火墙：

静态包过滤防火墙采用的是一个都不放过的原那么。它会检查所有通过信息包里的IP地址号，端口号及其它的XX信息，并根据系统管理员给定的过滤规那么和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规那么不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信

. .word.zl.

.

.

息包就不会通过防火墙。相反的，如果每条规都和过滤规那么相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成假设干个小数据片〔数据包〕，确认符合防火墙的包过滤规那么后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进展攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击〞是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包，一旦有一个包通过了防火墙，那么攻击者停顿再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。

2.2.2动态包过滤防火墙：

静态包过滤防火墙的缺点，动态包过滤防火墙都可以防止。它采用的规那么是开展为“包状态检测技术〞的动态设置包过滤规那么。它可以根据需要动态的在过滤原那么中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进展跟踪。在这里我们了解的是代理防火墙。代理效劳器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两局部组成：效劳器端程序和客户端程序，其中客户端程序通过中间节点与提供效劳的效劳器连接。代理效劳器型防火墙提供了日

. .word.zl.

.

.

志和审记效劳。

代理防火墙也经历了两代： 1.代理〔应用层网关〕防火墙：

这种防火墙被网络平安专家认为是最平安的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以到达隐藏内部网构造的作用。由于内外网的计算机对话时机根本没有，从而防止了入侵者使用数据驱动类型的攻击方式入侵内部网。 2.自适应代理防火墙：

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了平安性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

我们把两种防火墙的优缺点的比照用以下图表的形式表示如下：

优点 缺点 . .word.zl.

.

.

包过滤防火墙 价格较低性能开销小，处理速度较快 定义复杂，容易出现速度较慢，不太适用于高速网之间的应用 代理防火墙 内置了专门为提高平安性而编制的Proxy应用程序，能够透彻地理解相关效劳的命令，对来往的数据包进展平安化处理 不能理解特定效劳的上下文环境，相应控制只能在高层由代理效劳和应用层网关来完成

3 防火墙的功能 3.1 防火墙的主要功能

1．包过滤。

包过滤是一种网络的数据平安保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据平安规那么所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进展设置规那么。

2．地址转换。

网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进展转换，对外部网络隐藏起内部网络的构造，防止受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低本钱。DNAT主要用于外网主机访问内网主机。

3．认证和应用代理。

认证指防火墙对访问网络者合法身分确实定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进展访问控制;同时支持

. .word.zl.

.

.

URL过滤功能。

4．透明和路由。

指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网效劳进展几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的平安访问。

3.2 入侵检测功能

入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络平安技术，包括以下内容:

1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是翻开的;是否支持FTP、Web效劳;且FTP效劳是否支持“匿名〞，以及IIS版本，是否有可以被成功攻破的IIS漏洞，进而对内部网络的主机进展攻击。目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的病症时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。

2.检测拒绝效劳攻击。拒绝效劳(DDS)攻击就是利用合理的效劳请求来占用过多的效劳资源，从而使合法用户无法得到效劳的响应，其攻击方式有很多种;而分布式的拒绝效劳攻击(Ados)攻击手段那么是在传统的DDS攻击根底之上产生的一类攻击方式，分布式的拒绝效劳攻击(Ados)。其原理很简单，就是利用更多的受控主机同时发起进攻，以比DDS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测Synodal、Land、Ping of Death、Eardrop、ICMP flood和Mudflow等多种DOS/DDOS攻击。

3.检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以到达攻击的目的。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进展各种非法操作，防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等效劳的远程堆栈溢出入侵。

4.检测CGI/IIS效劳器入侵。CGI就是mon Gateway Inter——face的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information server的简称，也就是微软的Internet信息效劳器。防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、misplay.c gi等上百种的有平

. .word.zl.

.

.

安隐患的CGI/IIS进展的探测和攻击方式。

5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器翻开那个特殊的端口的程序。木马程序的全称是“特洛依木马〞，它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进展攻击，可以对整个互联网造成瘫痪性的后果，以“红色代码〞，“尼姆达〞，以及最新的“ql蠕虫王〞为代表。另外一种是针对个人用户的，通过网络(主要是电子，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。

3.3 虚拟专网功能

指在公共网络中建立专用网络，数据通过平安的“加密通道〞在公共网络中传播。VPN的根本原理是通过IP包的封装及加密、认证等手段，从而到达平安的目的。

3.4 其他功能

1.IP地址/MAC地址绑定。可支持任一网络接口的IP地址和MAC地址的绑定，从而制止用户随意修改IP地址。

2.审计。要求对使用身份标识和认证的机制，文件的创立，修改，系统管理的所有操作以及其他有关平安事件进展记录，以便系统管理员进展平安跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日志。

3.特殊站点封禁。内置特殊站点数据库，用户可选择是否封禁XX、反动和暴力等特殊站点。

4.防火墙的反战前景以及技术方向

伴随着Internet的飞速开展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的开展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式开展。

. .word.zl.

.

.

2)过滤深度会不断加强，从目前的地址、效劳过滤，开展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，平安协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

6)平安管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一局部。

另外值得一提的是，伴随着防火墙技术的不断开展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、本钱等几个方面。

完毕语

随着Internet/Intranet技术的飞速开展，网络平安问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络平安措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受阻碍的访问网络资源。如果使用得当，可以在很大程度上提高网络平安。但是没有一种技术可以百分之百地解决网络上的所有问题，比方防火墙虽然能对来自外部网络的攻击进展有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络平安问题来自网络内部。因此网络平安单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定

. .word.zl.

.

.

网络法规、提高网络管理人员的平安意识等等。

参考文献：

【1】王艳.浅析计算机平安[J] .电脑知识与技术.2021，(s):1054一1055. 【2】艾军.防火墙体系构造及功能分析[J].电脑知识与技术.2004，(s):79一82. 【3】孟涛、杨磊.防火墙和平安审计[M].计算机平安.2004，(4):17一18. 【4】X林.防火墙原理入门[Z]. E企业.2000.

【5】魏利华.防火墙技术及其性能研究.能源研究与信息.2004，20(l):57一62

. .word.zl.