【文章內容簡介】 防范技術，是訪問控制機制、安全策略和防入侵措施。從狹義上來講，防火墻是指安裝了防火墻軟件的計算機、路由器或專門的硬件設備；從廣義上講，防火墻還包括了保護整個網(wǎng)絡的安全策略和安全行為。它通過在網(wǎng)絡邊界上建立網(wǎng)絡安全監(jiān)測系統(tǒng)， 對流經(jīng)它的網(wǎng)絡通信進行掃描 ，能夠 有效隔離內部和外部網(wǎng)絡，確定允許哪些內部服務訪問外部服務，以及允許哪些外部服務訪問內部服務，以阻擋來自外部網(wǎng)絡的入侵和攻擊。 防火墻的功能 防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使 Inter 與 Intra 之間建立起一個安全網(wǎng)關，從而保護湖南人文科技學院畢業(yè)論文（設計） 9 內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關 4 個部分組成 。 防火墻能有效地防止外來的入侵，起了一個作為保護層的作用，使得內部網(wǎng)與外部網(wǎng)之間所有的信息流都必須通過防火墻， 信息流在流經(jīng)防火墻時， 網(wǎng)絡通信進行掃描，這樣能夠 過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。 它的主要功能可分為四點：一是防火墻是網(wǎng)絡安全的屏障，能極大的提高一個內部網(wǎng)絡的安全性；二是防火墻可以強化網(wǎng)絡安全策略，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上；三是對網(wǎng)絡存取和訪問進行監(jiān)控審計，就提供了監(jiān)測和攻擊的詳細信息，并且清楚防火墻的控制是否充足；四是防止內部信息的外泄，可利用防火墻對內部網(wǎng)絡的劃分和阻塞有關內部網(wǎng)絡中的 DNS 信息等。 2 防火墻的基本原 理和關鍵技術 防火墻的基本原理 防火墻就是一種過濾塞 ，你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP 協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的 一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們扔到一邊。 防火墻對于企業(yè)網(wǎng)絡的防御系統(tǒng)來說，是一個不可缺少的基礎設施。 我們在選擇防火墻時，首先考慮的就 是需要一個什么結構的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越 像 是一個網(wǎng)絡安全的工具箱， 工具的多少固然很重要，而系統(tǒng)的結構則是一個起決定性作用的前提，因為防火墻的結構決定了這些工具的組合能力，決定了當你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上 ，以下是防火器的主要技術 。 湖南人文科技學院畢業(yè)論文（設計） 10 包過濾 包過濾（ packet filtering）防火墻是出現(xiàn)最早的一類防火墻。事實上，路由器本身就具有包過濾防火墻的功能。理論上，包過濾器可以配置為根據(jù)協(xié)議報頭的任何部分進行判斷，但實際上，大多數(shù)的包過濾實現(xiàn)都針對最為有用的數(shù)據(jù)域：協(xié)議類型、 IP 地址、端口號等。通常源地址、目的地址、協(xié)議類型、源端口、目的端口以及包到達或發(fā)出的接口等構成包過濾防火墻的基本安全控制和審計手段。 簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器了，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。包過濾結構的最大優(yōu)點是部署容易，對應用透明。另一個優(yōu)點是性能，狀態(tài)檢測包過濾是各種防火墻結構中在吞吐能力上最具優(yōu)勢的結構 ， 但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡控制的依據(jù)仍然是 IP 地址和服務端口等基本的傳輸 層以下的信息 ； 簡單的包過濾防火墻 只檢查序號為 0 的 IP 分包，可以容易地被攻擊者定制 IP 分包的方法繞過防火墻策略，所以在安全性方面存在較為嚴重的缺陷，當前基本上已經(jīng)被基于狀態(tài)檢查包過濾的專業(yè)防火墻所取代。 狀態(tài)檢查 是介于簡單包過濾和應用級防火墻之間的一種中間方式，它使用基于維持連接狀態(tài)和協(xié)議信息的復雜過濾器來阻斷或通過數(shù)據(jù)包。在大幅度提高安全性的同時，能夠以非常高的速度進行包過濾，成為當前主流防火墻優(yōu)先采用的工作方式。 應用代理 應用代理防火墻的工作方式不同于包過濾防火墻，它首先對帶有代理并且按 照策略規(guī)則允許通過的數(shù)據(jù)包接收并重新產(chǎn)生，然后忽略掉那些沒有相應代理的數(shù)據(jù)包。 應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術，最初的代表是 TIS 工具包，現(xiàn)在這個工具包也可以在網(wǎng)絡上免費得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應用層的代理轉發(fā)，訪問者任何時候都不能直接與服務器建立直接的 TCP 連接，應用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應用協(xié)議的代理防火墻提供了豐富的應用層的控制能力。可以這樣說，狀態(tài)檢測包過 濾規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理則是規(guī)范了特定的應用協(xié)議上的行為。 代理技術的一個主要的弱點是缺乏對應用的透明性，代理的另一個無法回避的缺陷是性能很差 。 應用代理可以提供比包過濾湖南人文科技學院畢業(yè)論文（設計） 11 防火墻更為細致的網(wǎng)絡安全策略和更好的安全水平，體現(xiàn)在下面幾點： （ 1） 阻斷了內外的直接網(wǎng)絡連接，不必存在內外網(wǎng)絡的直接路由 ； （ 2） 隱藏了內部網(wǎng)絡的客戶，對外表現(xiàn)為一個較為繁忙的主機 ； （ 3） 能夠在應用層進行內容和協(xié)議過濾，實現(xiàn)精細安全控制 ； 能夠對應用層協(xié)議進行一致性檢查，防止了某些惡意定制的攻擊性網(wǎng)絡分 包；