学习啦 > 学习电脑 > 电脑安全 > 防火墙知识 > 防火墙技术论文三篇

防火墙技术论文三篇

时间: 晓斌668 分享

防火墙技术论文三篇

  防火墙技术是网络安全领域应用较普遍的一种技术,下面就由学习啦小编为大家提供的论文。

  防火墙技术论文一:

  一、防火墙概述

  防火墙是指一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度,它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之问的通信是否被允许:其中被保护的网络称为内部网络,未保护的网络称为外部网络或公用网络。应用防火墙时,首先要明确防火墙的缺省策略,是接受还是拒绝。如果缺省策略是接受,那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝,那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。

  防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络问不受欢迎的信息交换,而允许那些可接受的通信。从逻辑上讲,防火墙是分离器、限制器、分析器;从物理上讲,防火墙由一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。

  二、防火墙的基本类型

  防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。

  1.包过滤

  包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。

  包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

  但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

  2.网络地址转化—NAT

  网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

  在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

  3.应用代理

  应用代理完全接管了用户与服务器的访问,把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络,只允许内部主机使用代理服务器访问Internet主机,同时只有被认为””可信任的””代理服务器才可以允许通过应用代理。在实际的应用中,应用代理的功能是由代理服务器来完成的。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

  4.状态检测

  防火墙技术是网络安全领域应用较普遍的一种技术,传统上防火墙基本分为两大类,即包过滤防火墙和应用网关防火墙,这两种防火墙由于其受限的地方,逐渐不能适应当前的需求,因此新一代的防火墙Stateful-inspection防火墙应运而生,这种防火墙既继承了传统防火墙的优点,又克服了传统防火墙的缺点,是一种革新式的防火墙。

  Stateful-inspection防火墙是新一代的防火墙技术,由Check Point公司引入。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。和应用网关不同,Stateful-inspection防火墙使用用户定义的过滤规则,不依赖预先的应用信息,执行效率比应用网关高,而且它不识别特定的应用信息,因此不用对不同的应用信息制定不同的应用规则,伸缩性好

  三、防火墙的发展趋势

  1.新需求引发的技术走向

  防火墙技术的发展离不开社会需求的变化,着眼未来,防火墙技术有的新需求如下:远程办公的增长:企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。

  2.黑客攻击引发的技术走向

  防火墙作为内网的贴身保镖。黑客攻击的特点也决定了防火墙的技术走向。数据包的深度检测:IT业界权威机构Gagner认为代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为。包检测的技术方案需要增加签名检测等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。协同性:从黑客攻击事件分析,对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。目前主要支持和IDS的联动和认证服务器进行联动。

  现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大,所以对网络安全的需求对防火墙提出了更高的要求,在防火墙目前还不算长的生命周期中,虽然问题不断,但是防火墙也从具有普通的过滤功能,逐步丰富了自身的功能,担当了更重的任务。未来,防火墙将成为网络安全技术中不可缺少的一部分。

  防火墙技术论文二:

  一、前盲

  随着计算机和网络在社会中的应用的不断增多,计算机和网络安垒技术正变得越来越重要,部门能够使用的安全设备和软件的不断增多,大量数据纷纷涌人事件日志,致使网络管理员的工作难度越来越高,负担越来越重。

  二、防火墙技术

  防火墙是一个由软件和硬件设备组合而成,在网络之间实施访问控制的一个系统,通过执行访问控制策略,限制两个网络之间数据的自由流动,通过控制和检测网络之间的信息交换和访问行为实现对网络安全的有效管理。

  网络防火墙是加强网络之间访问控制的设备,防止外部网络用户以非法手段通过外部网络进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

  1.防火墙一般有三个特性:

  所有的通信都经过防火墙

  防火墙只放行经过授权的网络流量

  防火墙能经受的住对其本身的攻击

  我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。

  2.防火墙将保护以下三个主要方面的风险:

  机密性的风险

  数据完整性的风险

  用性的风险

  3.防火墙的主要优点如下:

  防火墙可以通过执行访问控制策略而保护整个网络的安垒,并且可以将通信约束在一个可管理和可靠性高的范围之内。

  防火墙可以限制某些特殊服务的访问。

  防火墙功能单一,不需要在安全性、可用性和功能上做取舍。

  防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。

  4.防火墙也有许多弱点:

  不能防御已经授权的访问,以及存在于网络内部系统间的攻击。

  不能防御合法用户恶意的攻击,以及社交攻击等非预期的威胁。

  不能修复脆弱的管理措施和存在问题的安全策略。

  不能防御不经过防火墙的攻击和威胁。

  5.根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换一NAT、代理型和监测型。

  包过滤型

  包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单、实用和成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

  包过滤技术也有明显的缺陷。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵人,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

  网络地址转化―NAT

  网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

  代理型

  代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。其优点是安垒性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

  监测型

  监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

  监测型防火墙由于实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙:基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安垒性需求,同时也能有效地控制安全系统的总拥有成本。

  6.防火墙的不足

  虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文伴,以及无法防范数据驱动型的攻击。

  这样各单位均通过其他手段进行安全强化,如:入侵监测、杀毒软件、网络监控、网络认证等。

  虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

  三、结束语

  随着事业的发展,各单位均意识到网络安全的重要,逐步加强了网络的监管与防护工作,在备自的网络边界架设防火墙,定制策略进行边界防护,防止外部网络对内部网络的攻击,起到一定的隔离作用。但是网络的安全、设备的安全不是单纯的增加设备或是安装软件就能万事无忧了,更重要的还是使用人员的意识和素质,对于网络安全来说,采取手段是必要的,但更重要的是人员的管理。

  防火墙技术论文三:

  1 概述

  防火墙是网络安全的第一道门户,可以实现内部网(信任网络)和外部不可信任网络之间,或者内部不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统,而广义的防火墙还包括整个网络的安全策略和安全行为。防火墙一词来自建筑物中的同名机构,从字面意思上说,它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。

  2 防火墙功能

  本质上来讲,防火墙被认为是两个网络间的隔断,只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力:防火墙自身应当不易被攻入,因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求来看,理想的防火墙应具备以下功能:

  1)能够分析进出网络的数据。

  2)能够通过识别、认证和授权对进出网络的行为进行访问控制。

  3)能够封堵安全策略禁止的业务。

  4)能够审计跟踪通过的信息内容和活动。

  5)能够对网络入侵行为进行检测和报警。

  6)能够对需要保密的信息进行授权的加密和解密。

  7)能够对接收到的数据进行完整性校验。

  通过选择优秀的防火墙产品,制定合理的安全策略,内部网络可以在很大程度上避免受到攻击。但是需要指出的是,当前流行的许多错误概念和观点经常误导用户。那就是过分夸大某些产品的功能,认为所有的网络安全问题可以通过简单地配置防火墙来达到。虽然当单位将其网络互联时,防火墙是网络安全的重要一环,但并非全部。许多危险是在防火墙能力范围之外的。

  3 防火墙的结构

  3.1 包过滤性防火墙

  说明:对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。

  优点:处理速度快、费用低、对用户透明。

  缺点:维护比较困难,只能阻止少部分IP欺骗,不支持有效地用户认证,日志功能有限。过滤规则增加会大大降低吞吐量,无法对信息提供全面控制。

  3.2 双宿网关防火墙

  说明:由一台至少装有两块网卡的堡垒主机作为防火墙,位于内外网络之间,分别与内外网络相离,实现物理上的隔开。服务方式,一是用户直接登录到双宿主机上,二是在双宿主机运行代理服务器。

  优点:安全性比屏蔽路由器高。

  缺点:入侵者一旦得到双宿主机的访问权,内部网络就会被入侵,因此需要具有强大的身份认证系统,才能阻挡来自外部的不可信网络的非法入侵。

  3.3 屏蔽主机防火墙

  说明:强迫所有的外部主机与一个堡垒主机相连接,不让他们直接与内部主机相连接。它是由包过滤路由器和堡垒主机组成的。

  优点:实现了网络层安全和应用层安全,因此安全等级比屏蔽路由器要高。

  缺点:堡垒主机可能被绕过,堡垒主机与其他内部主机之间没有任何保护网络安全的物质存在,一旦被攻破,内网就将完全暴露。

  3.4 屏蔽子网防火墙

  说明:用了两个屏蔽路由器和一个堡垒主机,也称为“单DMZ”防火墙结构。

  优点:在定义了“非军事区(DMZ)”网络后,它支持网络层和应用层安全功能,这也是最安全的防火墙系统。

  缺点:通常情况下的屏蔽子网防火墙比较小,处于internet

  和内部网络之间。一般情况下,将其配置成使用internet和内部网络系统对其访问会受限制的系统,例如:堡垒主机、信息服务器、modem组以及其他公用服务器。

  3.5 其他防火墙结构

  在实际应用中,经常在前四种基本结构的基础上进行组合。

  1)合并“非军事区”的外部路由器和堡垒主机结构(也是单DMZ结构):由双穴堡垒主机执行原来外部路由器的功能,但会缺乏专用路由器的灵活性和性能,出了需注意保护堡垒主机外,与屏蔽子网防火墙结构相比没有明显弱点。

  2)合并内部路由器和堡垒主机结构(也是单DMZ):这种结构并不提倡,因为一旦堡垒主机被入侵,内部网络没有安全保护。

  3)合并DMZ的内部路由器和外部路由器结构:只有当拥有功能强大的路由器的时候,才考虑合并内、外路由器。这种结构与屏蔽主机结构一样,路由器容易受到伤害。

  4)两个堡垒主机和两个非军事结构:也就是使用两台双穴主机,设立两个非军事区,从而将网络分成内网、外网、内DMZ、外DMZ四个部分。通常将不是很机密的服务器放在内DMZ网络上,有机密信息的敏感主机放在内部网络中。另外值得一提的是,在这种结构中,可以在外部DMZ放置一些公共信息服务主机(如FTP、WWW),而堡垒主机对这些主机不予信任,这类主机称为“牺牲主机”。

383849