防火墙技术论文：浅谈防火墙技术在互联网中的重要性

摘要：本文通过对防火墙的分类、工作原理、技术等的分析，系统地对防 火墙技术在互联网网络安全中的作用及重要性进行了论述。 关键词：互联网 防火墙 技术 0 引言 在当今信息化的社会中，互联网在人们生活中日益普及，网络 已成为主要的数据传输和信息交换平台，为了维护互联网网络的安 全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核 心、最有效的手段之一。防火墙是互联网网络安全政策的有机组成 部分，它通过控制和监测网络之间的信息交换和访问行为来实施对 网络安全的有效管理。因此，防火墙已经成为互联网安全的最重要 的守护者。 1 防火墙的分类 防火墙是在内部网与外部网之间实施安全防范的系统，它用于 保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前， 许多防火墙都用于 Internet 内部网之间，但在任何网间和企业网内 部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型防火 墙，应用代理（网关）防火墙，状态（检测）防火墙。按防火墙在网络中 的位置可分为:边界防火墙、分布式防火墙。分布式防火墙又包括主 机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙 以及软硬兼施的防火墙。 2 防火墙在网络安全中的主要作用 防火墙的作用是防止非法通信和未经过授权的通信进出被保护 的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网 络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能 地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计 算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通 过对内部网络安装防火墙和正确配置后都可以达到以下目的: ①限 制他人进入内部网络，过滤掉不安全服务和非法用户。②防止入侵者 接近你的防御设施。③限定用户访问特殊站点。④为监视 Internet 安 全提供方便。 3 防火墙的工作原理 防火墙可以用来控制 Internet 和 Intranet 之间所有的数据流 量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由 器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全 起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的 成分集合，有以下性质:①内部网络和外部网络之间的所有网络数据 流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火 墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应 具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保 护网络的安全策略中允许的通信才允许通过防火墙；三是通过 防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火 墙本身对各种攻击免疫。 4 防火墙技术 防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相 同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有: 4.1 屏蔽路由技术 最简单和最流行的防火墙形式是“屏蔽路由 器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或 虚电路技术，包过滤通过检查每个 IP 网络包，取得其头信息，一般包 括:到达的物理网络接口，源 IP 地址，目标 IP 地址，传输层类型，源 端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配， 并对匹配包执行规则中指定的动作(禁止或允许)。 4.2 基于代理的 (也称应用网关) 防火墙技术 它通常被配置为 “双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于 网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种 软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允 许直接与真正的服务通信，而是与代理服务器通信。各个应用代理在 用户和服务之间处理所有的通信。能够对通过它的数据进行详细的 审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火 墙后面的主机的脆弱性来制定，以专门防范已知的攻击。 4.3 包过滤技术 系统按照一定的信息过滤规则，对进出内部网 络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包 过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的 IP 包，从其 IP 头、传输层协议头，甚至应用层协议数据中获取过滤所需 的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一 匹配比较，执行其相关的动作。 4.4 动态防火墙技术 动态防火墙技术是针对静态包过滤技术 而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的 端口，IP 地址的输入输出业务，因而限制了控制能力，并且由于网络 的所有高位(1024—65 535)端要么开放，要么关闭，使网络处于很不 完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改 变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝 条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据 包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信 息，根据其源和目的 IP 地址，传输层协议和源及目的端口来区分每 一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同 时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时 从连接表中删除其相应信息。 4.5 一种改进的防火墙技术(或称复合型防火墙技术) 由于过滤 型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一 种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安 全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些 从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此 可直接下载外部网建立连接，对于那些从外部网向内部网提出的请 求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确 定无疑后可接受其请求，否则，就需要丢弃或作其他处理。 5 结束语 防火墙技术是目前应对网络安全问题的有效的技术手段之一， 但是互联网网络安全是一个系统的、全局的管理问题，网络上的任何 一个漏洞，都会导致全网的安全问题，我们应该用系统的观点、 方法，分析网络的安全及具体措施。安全措施主要包括:行政法律手 段、各种管理制度以及专业措施等。一个较好的安全措施往往是多种 方法适当综合的应用结果。互联网网络包括个人、设备、软件、数据 等，这些环节在网络中的地位和影响作用，也只有从系统综合整体的 角度去看待、分析，才能取得有效、可行的措施。即互联网网络安全应 遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全 体系制度，这样才能真正做到整个互联网网络的安全。 浅谈防火墙技术在互联网中的重要性 李彦强 （中国铁通集团河北分公司） 信息技术 信息技术 光网络。 除了运营商非常关注 ASON外，国家的许多科研项目也在大力 支持 ASON在中国的发展，智能光网络已成为光传送网的必然选择。 5 结论 在愈加激烈的市场竞争中，各电信运营商为了生存和发展，不仅 要通过业务创新从已有的通信设施中获取更多的利润，还要设法大 幅度地降低成本，这正式 ASON发展的目标所在。今天，七号信令系 统（SS7）已经可以保证无须人工干预就能完成电话呼叫，而 ASON 的目标比 SS7 的目标更宏大，因为它们的目标定位为将 IP 以下所 有层的操作全部自动化，ASON将能完全摆脱依赖手动配置的状况， 将光传送网变成与电话网一样的自动化网络。 参考文献： [1]唐雄燕、左鹏著，智能光网络 - 技术与应用实践，电子工业出版社， 2005年 3月. [2]吴健学、李文耀著，自动交换光网络，北京邮电大学出版社，2003年 12月. [3]龚倩著，智能光交换网络，北京邮电大学出版社，2003年 6月. （上接第 174页） 175