防火墙技术范文

关键词:信息安全网络安全防火墙技术特征

信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分。我国在构建信息防卫系统时,应着力发展自己独特的安全产品。我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。

1.网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。

网络安全技术则指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其它的安全服务和安全机制策略。在众多的网络安全技术中,网络防火墙是使用较广的一个。

2.防火墙

防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅能完成传统防火墙的过滤任务,而且能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换-NAT,型和监测型。

2.1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序和电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.2网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

2.3型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器,而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

2.4监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,而且对来自内部的恶意破坏有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上超越了前两代产品。

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,因此目前在实用中的防火墙产品仍然以第二代型产品为主。实际上,作为当前防火墙产品的主流趋势,大多数型防火墙也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。

参考文献:

[1]李俊民.网络安全与黑客攻防宝典.北京电子工业出版社,2010.

[2]麦克卢尔,库尔茨.黑客大曝光:网络安全机密与解决方案.清华大学出版社,2006.

[3]刘晓辉.网络安全设计、配置与管理大全.电子工业出版社,2009.

防火墙技术范文

关键词：防火墙屏障；网络；防范技术

中图分类号：TP393文献标识码：A文章编号：1671－7597（2012）1210017－01

造成网络安全隐患的主要因素是网络病毒、网络犯罪以及网络黑客等，同时，随着商业上对计算机网络技术的应用范围的扩大，这种安全问题所造成的损失也在逐渐增大，所以说，如果这一问题得不到有效的解决，那么其将会成为我国经济发展过程中的一块绊脚石，给人们的生活也会带来一定的困扰，为此，我们要深入研究计算机网络防火墙技术。

1防火墙屏障简述

防火墙技术是目前在计算机网络安全防护中应用比较广泛的一种技术，是一种安全保障方式，防火墙的主要工作过程就是对一个网络环境的进出权限进行控制，并尽量让所有相关链接都接受其检查，从而对其所要防护的对象起到保护作用，避免了保护对象受到非法的破坏和干扰。计算机网络技术中的防火墙屏障其可以是一个独立完整的系统，同时也可以通过网络路由器来实现其防护功能。

防火墙具有一定的安全策略，这种安全策略是防火墙功能的灵魂，在防火墙构造之前，一定要制定出一个完整的安全防护策略，这种安全防护策略在制定之前一定要进行深入的风险预估、安全分析以及相关的商业分析，这种安全策略能够保证防火墙屏障总体功能的发挥，如果不进行策略研究，那么就会导致整体功能得不到发挥。对于不同安全风险防范需求的网络来说，其所需要的计算机防火墙的类型也是不同的，也就是说其安全防范策略会不同，而对于安全策略来说通常情况下有两种主要的制定策略，一种是，对一切没经过允许的信息严禁进入；另一种就是完全允许那些没有经过禁止的信息自由进入，从中我们不难看出，其中第一种的安全性相对要高一些。

2常用防火墙技术研究

防火墙技术随着计算机网络技术的发展在不断更新，但是，目前常用的计算机网络防火墙技术主要有以下几种。

2.1包过滤型

这种技术是根据“系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择地控制与操作。”这种包过滤技术的应用方式主要有三种，其一，通过路由器设备，在其进行路由的选择以及数据的转发过程中对传送过来的数据包进行过滤；其二，把相关的过滤软件应用在工作站中，在工作站中对各种信息进行过滤；其三，屏蔽路由设备的启用，这种设备对数据包的过滤功能是通过屏蔽路由上过滤功能的启用而实现的。目前，在计算机网络中使用比较广泛的是通过路由器实现的数据包过滤。数据包的过滤技术的作用主要发挥在数据的传输层和网络层，“以IP包信息为基础，对通过防火墙的IP包的源，目标地址，TCP/UDP端口的标识符等进行检查”。

包过滤技术在应用过程中表现出了以下的优点和缺点：首先，表现出来的优点。这种技术在应用过程中不需要对计算机主机上的程序进行更改；对用户的要求较少；该技术具有一定的独立性，同时在路由器上进行传输数据包的过滤对整个网络的安全运行都是有利的，而且目前所使用的多数路由器都具有这种包过滤技能，所以在使用上的方便性也是其优点之一。其次，表现出来的缺点。缺点主要就是其不支持应用层面协议的过滤，对黑客入侵的防范力度较小，对不不断出现的新安全隐患没有抵御能力。

2.2型

技术实际上是指型防火墙技术，也就是服务器，这种技术所起到的作用要比包过滤技术的安全性要高，更重要的是其正在向着包过滤技术还没有发展到的领域空间发展，在一定程度上弥补了包过滤技术的缺点。型防火墙的安装位置是在客户机和服务器之间，它能够对内外网之间的直接通信进行彻底隔绝，进而在内部网和外部网之间建立一个信息交流屏障，所以，此时，相对于客户机，服务器的角色就完全被型防火墙所代替了，防火墙也就成为了一种服务器；与此同时，相对于服务器而言，技术的应用使得防火墙取代了客户机的角色。综上所述，当客户机发出相关的信息使用请求时，其首先是将信息发送给服务器，服务器根据情况获得信息之后在传输给客户机。

这种网络安全屏障技术所表现出来的安全性明显的提高了，其对病毒的防护具有了较强的针对性，尤其是在应用层中。表现出来的缺点是管理上的复杂性增大，要求网络管理人员要具有较高的知识储备和管理经验，一定程度上增加了使用投入。

2.3监测型

监测型防火墙技术已经超越了原始防火墙的定义，监测型防火墙主要是对各个层面都能实现实时检测，同时，对检测到的数据进行分析，从而判断出来自不同层面的不安全因素。一般情况下监测型防火墙的产品还带有探测器，这种探测器是一种分布式的探测器，它能够对内网和外网进行双重的监测，防御外部网络攻击的同时还能够防范内部网络的破坏。因此，监测型防火墙在安安全性上远远超越了传统防火墙，但是当前市面上的价格比较高，应用的资金投入较大。

3构建计算机安全体系

正是因为现代网络安全性较差，所以，需要我们构建计算机安全体系。计算机专业人员要加大对网络安全技术的研究，尤其是要根据病毒攻击点进病毒防范软件的设计，强化网络运行的安全性和可靠性的检测。同时，在网络安全体系的构建当中还要以防火墙技术的应用为基础，通过这种技术对计算机网络运行中的不安全因素进行检测，并及时报警，管理员根据警报采取相关措施。但是，防火墙技术还存在着一定的限制因素，要想建立完善的安全体系就要综合应用各种安全技术，实现技术的完美结合，优势互补，最终目的是保障计算机网络的安全。

4结束语

本文简单的从防火墙屏障的基本内容；防火墙技术的类型以及计算机安全体系的构建等三个方面进行了论述，从中分析了各种防火墙技术类型的优缺点，所以，在安全体系构建的过程中要综合应用各种技术，扬长避短。

参考文献：

[1]禹瑞青，网络信息安全及其防护策略的分析研究[J].运城学院学报，2008（05）.

防火墙技术范文篇3

关键词：网络；防火墙

中图分类号：TP393文献标识码：A文章编号：1007-9599(2011)03-0000-01

NetworkFirewallTechnologyDevelopment

ChenXi

(BaodingBranchofChinaTietong,Baoding71000,China)

Abstract:Therapiddevelopmentofthenetworktobringconvenience,butalsoalotofinconveniencetothe3Gusers,intrusion,virusinfectionandotherseriousthreatstotheuser'snormaluseof3Gnetwork,sofirewall,playedacrucialroleinthedevelopmentofThisarticleonthestatusof3Gnetworkdevelopmentandexistingthreats,analysisofnetworkfirewalltechnologytohelpensurethenormaluseoftheuserbetter.

Keywords:Network;Firewall

网址对于网络安全来说防火墙是主要的一个防御机制，在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素，是网络安全性的决定性因素，而在网络迅猛发展的今天，对网络安全和防护的要求就越来越迫切，网络防火墙被用作为加强控制网络之间的互访，严防外部网络用户恶意通过外网入侵内部网络，并对网络之间的数据包的传输进行实时监控，判断网络之间通信的合法性，以及网络运行的状态。

一、防火墙的类型

网络在人们的平常生活中越来越普及化，网络的安全就越来越受到了人们的重视，防火墙成为网络安全的一个重要保障。防火墙的种类多样化，根据应用技术的不同，可分为一下几类：

（一）防火墙的初级产品：包过滤型防火墙它的核心为传输技术，通过读取数据包中的地址信息来辨别数据包的合法性，辨别其来自的网站是否安全，如果是危险的数据包，防火墙最自动将其抑制，包过滤技术具有简单实用的优点，而且成本低，经常是以较小的代价实现对系统的保障，但是其常常无法识别应用层的恶意攻击。

（二）网络地址转化（networkaddresstranslation）NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址，同时允许私有IP地址用户访问因特网，系统将源端口和源地址映射为一个伪装的地址和端口，用伪装的地址与端口与外网建立连接，从而以达到隐藏真实的IP地址。

（三）型防火墙型防火墙亦可称作为服务器，它是一种安全性相对较高的产品，其位于服务器与用户级之间，对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用，避免了外部的一些恶意攻击，为网络与用户之间建立了一条有效安全的绿色通道，其优点是安全性较高，对应用层可以做到有效的扫描和侦测，对于抑制应用层的病毒侵入和感染十分有效，劣势就是管理起来相对复杂。

（四）监测型防火墙监测型防火墙是一种新的产品，它对网络各层的数据予以主动的、实时的监控，对于各层中的恶意入侵和非法操作的监控、判断更为行之有效，而且防范能力也得到了大幅度的提升，其优点它的防御能力已完全超越了前几种类型防火墙，但劣势也比较明显，成本高，管理困难。

二、在网络安全的五个体系中防火墙处于五层中的最低层，负责网络数据的安全传输与认证

由于网络的全球化和重要性，网络安全的重要性也随之深入人心。从发展的角度看，防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级，随之其防火墙的技术与职能也在迅速的拓展。

（一）向着多级过滤技术发展网络会向着多级过滤技术发展，多级过滤技术的定义是：采用多级过滤措施，在分组过滤（网络层）一级，对所有的源路由分组和假冒的IP源地址进行过滤；应遵循过滤规则，过滤掉所有（传输层）一级，违反规则的的协议和有害数据包；在应用网关（应用层）一级，能利用不同的网关，操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。

（二）动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较：传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃，动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测；过滤；加密解密或者传输，并作进一步的用户身份认证，他能够深入检查出数据包，查出内部存在的恶意行为，识别恶意数据流量，阻断恶意攻击的出现，并且具备识别黑客的非法扫描，有效阻断非法的欺骗信息。

三、网络防火墙产品发展趋势

网络信息技术的飞速发展，硬件设施的不断更新，随之带来防火墙产品的不断换代以及产品技术的迅速进展，数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向，其发展趋势主要有：

（一）模式转变。传统的防火墙主要是用来把数据流，形成分隔开来，从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范，而新的防火墙产品以网络节点为保护对象，最大限度的保护对象，提高网络安全级别，增强保护作用。

（二）技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。

（三）性能提高。随着网络的飞速发展，千兆网络也逐渐在普及，在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上，千兆防火墙的主要选择将会为网络处理器（NetworkProcessor）和专用集成电路（ASIC）技术。可以通过优化存储器等资源，使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求，未来将会融入更多的先进技术理念并应用到实践中去，从而做到与性能相匹配。

四、结束语

在网络已成为人们普遍使用工具的当下，网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人，也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害，安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化，更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域，更会涉及到信息安全的未来。

参考文献：

[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104