第一篇：防火墻的技術與發展

信息技術應用與管理專業畢業論文

摘 要

防火墻作為一種網絡或系統之間強制實行的訪問控制機制，是確保網絡安全的重要手段，有基于通用操作系統設計的防火墻，也有基于專用操作系統設計的防火墻。由于Linux源代碼的開放性，所以，Linux成為研究防火墻技術的一個很好的平臺。本文介紹 Linux的防火墻技術 Netfilter/Iptables 在 Linux 內核中的具體實現。討論了Linux內核防火墻套件Netfilter 實現的一些基本技術：包過濾。Linux下常用的防火墻規則配置軟件Iptables；從實現原理、配置方法以及功能特點的角度描述了Linux防火墻的功能；并給出了Linux下簡單防火墻的搭建。

關鍵字：防火墻，Netfilter，Iptables

I 信息技術應用與管理專業畢業論文

ABSTRACT

The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables

II 信息技術應用與管理專業畢業論文

目錄

摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 緒 論…………………………………………………1

1.1 前言1 1.2開發背景1

第二章 防火墻技術 2

2.1防火墻概述2 2.2包過濾技術 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4

3.1.1 Netfilter框架的介紹4 3.1.2數據包流經網絡協議棧的分析4 3.2 管理工具：Iptables5

3.2.1 Iptables 防火墻規則配置管理工具5 3.2.1 Iptables工具的應用方法5 第四章 Linux下簡單防火墻的搭建6 4.1防火墻搭建的戰略規劃6 4.2 Iptables規則腳本7 第五章 總結與展望8 5.1 應用前景8 5.2 總體體會8 參考文獻9 致 謝10

III 信息技術應用與管理專業畢業論文

第一章 緒 論

1.1 前言

Linux 可以追溯到UC Berkeley分校的Unix，因此從某種意義上講，Linux本身就是一種網絡操作系統，Linux在實現網絡功能方面有著獨特的優勢。防火墻的初步功能首次出現在Linux 1.1內核中，到Linux 2.0內核時，其部件IPFwadm對防火墻部分已進行了很大改進和增強；Linux 2.2.x內核發布時，IPchains和單獨開發的NAT等模塊已經可以比較完整地實現內核IP防火墻功能，從Linux的2.4內核開始的Netfilter最終廢除了Ipchains，其主要原因有：IPchain是以內核級運行的C及C++代碼，沒有很好地提供從用戶空間訪問IPchains的接口，限制了IPchains的可擴展性。

1.2 開發背景

在網絡安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關鍵的作用。防火墻可以對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。信息技術應用與管理專業畢業論文

第二章 防火墻技術

2.1防火墻概述

防火墻是一個或一組實施訪問控制策略的系統。它在內部網絡（專用網絡）與外部網絡（功用網絡）之間形成一道安全保護屏障，防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網絡行為導致內部網絡運行遭到破壞。它基本功能是過濾并可能阻擋本地網絡或者網絡的某個部分與Internet之間的數據傳送（數據包）。防火墻的主要功能包括:

1．防火墻本身支持一定的安全策略。2．提供一定的訪問或接入控制機制。3．容易擴充、更改新的服務和安全策略。4．具有代理服務功能，包含先進的鑒別技術。5．采用過濾技術，根據需求來允許或拒絕某些服務。

6．防火墻的編程語言應較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的IP地址、協議類型、源和目的的TCP/UDP端口以及進入和輸出的接口地址。

2.2 包過濾技術

包過濾技術是防火墻的一種最基本的實現技術，具有包過濾技術的裝置是用來控制內、外網絡間數據流的流入和流出，包過濾技術中的數據包大部分是基于TCP/IP協議平臺的，其中包括網絡層的IP數據包，運輸層的TCP和UDP數據包以及應用層的FTP、Telnet和HTTP等應用協議數據包三部分內容。信息技術應用與管理專業畢業論文

過濾技術依靠以下三個基本依據來實現“允許或不允許”某些包通過防火墻：

1．包的目的地址及目的端口； 2．包的源地址及源端口； 3．包的傳輸協議。信息技術應用與管理專業畢業論文

第三章 Netfilter/Iptables

3.1 Netfilter框架

3.1.1 Netfilter框架的介紹

Netfilter是Linux 2.4實現的防火墻框架，Netfilter提供了一個抽象、通用化的框架定義一個子功能實現的就是包過濾子系統。Netfilter由一系列基于協議棧的鉤子組成，這些鉤子都對應某一具體的協議。每一個協議對應的鉤子函數都定義在協議具體的頭文件中，如對應于IPv4的鉤子函數就定義在內核頭文件：/Linux/netfilter_ipv4.h中。

3.1.2 數據包流經網絡協議棧的分析

1、收到數據，中斷發生

通常的，當一塊網卡接收到屬于其自己MAC地址或者廣播的以太網絡數據幀時，就會引發一個中斷，網卡驅動的中斷處理程序獲得機會，通過I/O，DMA復制網絡幀數據到內存中。然后網絡驅動程序將創建一個skb結構，將網絡幀數據填充，設置時間戳，區分類型后，將skb送入對應的包接收隊列（其實就是添加到系統中的一個雙向鏈表中）。

2、數據接收軟中斷

內核調用kernel/softirq.c:do_softirq()執行數據包接收軟中斷(NET_RX_SOFTIRQ)，將skb從CPU的接收隊列中取出來，交給對應IPv4協議處理程序。協議處理程序將對傳入的數據包進行一些完整性監測，如果監測失敗，則將數據包丟棄。通過完整性監測以后，將進行一些必要的清理操作，去掉可能多余的填充數據，并且重新計算數據包的長度。信息技術應用與管理專業畢業論文

3.2 管理工具：Iptables

3.2.1 Iptables 防火墻規則配置管理工具

Netfilter框架在內核中主要負責PACKET的獲得和重新注入，而對PACKET的匹配預處理主要由規則表來完成。

當我們用Iptables命令配置工具配置一條規則后，Iptables應用程序會運用iptables-standalone.c::main()::do_command()，然后再調用libiptc庫提供的iptc_commit()函數向核心提交該操作請求。該函數根據請求會設置一個struct ipt_replace結構，用來描述規則所涉及的表和HOOK點等信息，并在其后附接當前這條規則（一個struct ipt_entry結構）。從而將命令行輸入轉換為程序可讀的格式。組織好這些數據后，iptc_commit()調用setsockopt()系統調用來啟動核心處理這一請求：

setsockopt(sockfd, //通過socket創建的原始套接字，TC_IPPROTO，//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl，//struct ipt_replace結構

sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的應用方法

一個Iptables命令基本上包含如下五部分（1）希望工作在哪個表上（2）希望使用該表的哪個鏈

（3）進行操作（插入、添加、刪除、修改）（4）對特定規則的目標動作（5）匹配數據報條件 信息技術應用與管理專業畢業論文

第四章

Linux下簡單防火墻的搭建

4.1防火墻搭建的戰略規劃

包過濾防火墻的規則是由一組接收和禁止規則列表組成，規則列表中定義了數據包是否可以通過網絡接口。防火墻規則通過數據包頭的字段是否允許一個數據包通過。當默認策略設置為禁止一切時，若數據包頭的字段與規則匹配，則路由器將該數據包轉發至指定的目的地，否則將該數據包丟棄或被阻止并反饋一個錯誤狀態信息給發出端的計算機。

一、輸入包過濾

1、遠程源地地址過濾

在包過濾的層次上，數據包頭中的源地址是識別IP數據包發送者的唯一方法。

（1）假冒本地IP地址

從外部輸入的數據包聲稱是來自本地計算機的數據包，因為源地址是唯一可獲得的信息，而它可以被修改，所以這是用戶在包過濾的層次上唯一檢測到的欺騙形式。

（2）回環接口地址

回環地址是TCP/IP協議在本地網絡服務使用的內部專用地址，目的是將網絡通信請求或處理通過回環地址發給本機的網絡服務，而不許發送到網絡上。通常，回環網絡的網絡地址是127.0.0.0，回環地址是127.0.0.1，主機名使用localhost，回環網絡標識lo。

2、本地目的地址過濾

網卡只接收發給本機的數據包和廣播數據包。也就是說，網卡將濾掉除廣播數據包以外的，目的地址不是本機地址的普通數據包。例如，地址信息技術應用與管理專業畢業論文

255.255.255.255是對網絡上的所有主機進行廣播。

二、輸出包過濾

輸出消息過濾的重要應用層運行局域網服務時，不把本地數據包和本地系統信息泄漏到因特網上。

1、本地源地址過濾

通過本地源地址過濾，可以防止本地用戶仿造IP地址，欺騙其他的網站。

2、遠程目的地址過濾

對于輸出數據包，需要限定特定類型的數據包，這個目的地址只能是特定的遠程網絡或單機。此時，防火墻規則將定義這些數據包允許到達的目的地必須是有明確的IP地址或限定的IP地址范圍內的目的地。

4.2 Iptables規則腳本

1.刪除任何已存在的規則。記住在定義任何一個防火墻規則前，都要刪除存在于所有鏈的規則。命令如下[3][4][6]： iptables-F 2.配置默認的拒絕規則。實際應用中配置的基本原則是：先拒絕所有的服務，然后再根據用戶的需要設置相應的服務。參考配置程序如下： iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技術應用與管理專業畢業論文

第五章 總結與展望

5.1 應用前景

Netfilter/Iptables的包過濾架構是Linux內核開發人員通過對Ipfwadm/Ipchains等早期的包過濾程序的開發經驗和全世界用戶反饋的分析，重新設計，改造而形成的相對成熟的Linux內核包過濾框架。

本文從理論和實踐兩方面對Linux2.4.x內核對防火墻的處理作了分析，目的是使一般小型企業針對自己實際情況，設計專門的防火墻成為可能。

5.2 總體體會

經過幾個月的磨煉和努力，總結出只有在強壓與競爭中才會有意想不到的收獲和進步。

畢業設計培養了作者本人綜合運用所學的基礎理論，基本知識和基本技能，分析解決實際問題的能力，它在某種程度上是前面各個學習環節的繼續，深化和檢驗。認為自身在這次畢業設計中培養了以下四方面的能力：

? 綜合運用所學專業基本理論，提高查閱文獻、論文和資料的能力。提高自身進行技術總結和撰寫論文的能力。

編程的過程是不斷學習的過程，當有更好、更簡潔的程序時，要注意揚棄的結合。?

?

? 設計既要重視分工，重視設計作品的完整性，重視風格的統一性。要注重編程過程中的細節，有時細小的失誤也會形成極大的麻煩。?

畢業設計讓作者本人體會到科學的精神。面對隨時而來的挫折，自己不斷的給自己鼓勁，克服困難，勇往直前。信息技術應用與管理專業畢業論文

參考文獻

[1] 博嘉科技主編．Linux防火墻技術探秘．國防工業出版社，2002 [2] James F.Kurose,，Keith W.Ross 著．計算機網絡------用自頂向下方法描述因特網特色．人發郵電出版社，2004 [3] 張斌等編．Linux網絡編程．清華大學出版社，2000 [4] 劉偉，龔漢明，朱青編著．UNIX基礎教程．清華大學出版社，2003 [5] 張琳等編著．網絡管理與應用．人民郵電出版社，2000 [6] 孫建華等編著． 網絡系統管理------Linux實訓篇．人民郵電出版社,2003 [7] W.Richard Stevens著．TCP/IP詳解卷1：協議．機械工業出版社，2006 [8] 鳥哥編著．LINUX私房菜服務器架設篇．科學出版社，2005 信息技術應用與管理專業畢業論文

致 謝

首先衷心地感謝指導老師王則林，每星期的指導與教學，以及平時對我的不懈支持和幫助，他對我的諄諄教誨和誠摯關懷, 嚴謹治學的態度、睿智的學者風度和敏銳的洞察力令我敬佩，并將會使我終生受益。才使我的畢業設計順利完成。

感謝與我同組畢業設計的同學們，他們良好的合作精神以及認真嚴謹的科學態度深深地感染了我，這也是我們畢業設計能夠順利完成的保證。

最后感謝同窗四年的兄弟姐妹們，他們的關心和幫助陪伴我度過了人生中最值得回憶，最難以忘懷的大學四年。

第二篇：計算機網絡與防火墻技術論文

計算機網絡安全與防火墻技術

張帥

計算機學院計算機科學與技術(師范)專業06級 指導教師：蒲靜

摘要:本文由計算機網絡安全問題出發，分析了網絡安全面臨的主要威脅，及保護網絡安全的關鍵技術，提出了防火墻是計算機網絡安全體系的核心的觀點，并著重介紹了防火墻的相關技術。同時，說明了防火墻并不是萬能的，指出了防火墻技術的缺陷，并就現今防火墻技術的現狀，提出未來防火墻技術的發展設想。關鍵詞：計算機網絡；安全；關鍵技術；缺陷；防火墻

Computer-network Security and Firewall Technology

Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words： computer-network;security;key-technology;deficiencies;firewall 1

目錄

中文摘要····························································1 英文摘要····························································1 目錄································································2 1 緒論······························································3 2 計算機網絡安全的主要問題··········································3 2.1 網絡安全的定義················································3 2.2 網絡安全面臨的主要威脅········································3 2.2.1 計算機病毒的侵襲···········································3 2.2.2 黑客侵襲···················································3 2.2.3 拒絕服務攻擊···············································3 2 2.3 實現計算機安全的關鍵技術···································4 2.3.1 數據加密···················································4 2.3.2 認證·······················································4 2.3.3 入侵檢測技術···············································4 2.3.4 防病毒技術·················································4 2.3.5 文件系統安全···············································4 2.3.6 防火墻技術·················································4 3 防火墻概述························································4 3.1 防火墻概念····················································4 3.2 防火墻的主要功能··············································5 3.2.1 強化網絡安全策略···········································5 3.2.2 對輸入進行篩選·············································5 3.2.3 防止內部信息的外泄·········································5 3.2.4 限制內部用戶活動···········································5 3.2.5 網絡地址轉換···············································5 3.2.6 對網絡使用情況進行記錄監控·································6 3.3 防火墻的原理及分類············································6

3.3.1 包過濾防火墻···············································6 3.3.2 應用代理防火墻·············································6

3.3.3 狀態檢測防火墻·············································6

3.4 防火墻的主要技術優缺點分析····································6

3.4.1 包過濾技術·················································6 3.4.2 應用代理技術··············································7 3.4.3 狀態檢測技術···············································7 4 防火墻的缺陷及未來發展趨勢·······································7 4.1 防火墻的十大缺陷··············································7 4.2 關于防火墻未來發展的幾點設想··································8 結束語······························································8 參考文獻····························································8 致謝································································9 緒論

計算機技術的應用與發展，帶動并促進了信息技術的變革，計算機與信息技術以其廣泛的滲透力和罕見的親和力，正從整體上影響著世界經濟和社會發展的進程，引發了計算機應用技術一場空前的技術革命。但是，伴隨而來的是計算機屢屢遭到破壞，輕者丟掉數據，重者系統平臺和計算機資源被攻擊，其損失常常是不可估量的，這是一個日益嚴峻的問題即計算機網絡安全。

為了保護自己的計算機、服務器和局域網資源免受攻擊破壞而丟掉數據、系統重新安裝等，利用防火墻技術是當前比較流行且比較可行的一種網絡安全防護技術。其既是計算機高新技術的產物，又具有低廉實惠的特點，故簡要探究防火墻技術的特點和以及其在計算機網絡安全中的作用。計算機網絡的主要安全問題

2.1 網絡安全的定義

我國對于計算機安全的定義是：“計算機系統的硬件、軟件、數據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統能連續正常運行。” 2.2 網絡安全面臨的主要威脅

一般認為，計算機網絡系統的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務攻擊三個方面。2.2.1 計算機病毒的侵襲

當前，活性病毒達14000多種，計算機病毒侵入網絡，對網絡資源進行破壞，使網絡不能正常工作，甚至造成整個網絡的癱瘓。2.2.2 黑客侵襲

即黑客非法進入網絡非法使用網絡資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網絡監聽獲取網上用戶賬號和密碼；非法獲取 3 網上傳輸的數據；突破防火墻等。2.2.3 拒絕服務攻擊

例如“點在郵件炸彈”，它的表現形式是用戶在很短的時間內收到大量無用的電子郵件，從而影響正常業務的運行。嚴重時會使系統關機，網絡癱瘓。2.3.實現計算機安全的關鍵技術 2.3.1 數據加密

加密就是把明文變成密文，從而使未被授權的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。2.3.2 認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。2.3.3 入侵檢測技術

入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。2.3.4 防病毒技術

隨著計算機技術的發展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產品、一個策略或一個制度，它是一個匯集了硬件、軟件、網絡、以及它們之間相互關系和接口的綜合系統。2.3.5 文件系統安全

在網絡操作系統中，權限是一個關鍵性的概念，因為訪問控制實現在兩個方面：本地和遠程。建立文件權限的時候，必須在Windows 2000中首先實行新技術文件系統（New Technology File System，NTFS）。一旦實現了NTFS，你可以使用Windows資源管理器在文件和文件夾上設置用戶級別的權限。你需要了解可以分配什么樣的權限，還有日常活動期間一些規則是處理權限的。Windows 2000操作系統允許建立復雜的文件和文件夾權限，你可以完成必要的訪問控制。2.3.6 防火墻技術

防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是計算機網絡安全的第一道關卡。防火墻概述

隨著Internet的迅速發展，網絡應用涉及到越來越多的領域，網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題，使得網絡安全問題越來越突出。因此，保護網絡資源不被非授權訪問，阻止病毒的傳播感染 4 顯得尤為重要。就目前而言，對于局部網絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾、應用代理、狀態檢測三類。其中包過濾作為最早發展起來的一種技術，其應用非常廣泛。3.1 防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻，而是指隔離在本地網絡與外界網絡之間的一道防御系統，是這一類防范措施的總稱。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內部網絡的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息的目的[1]。3.2 防火墻的主要功能 3.2.1 強化網絡安全策略

在沒有防火墻的環境里，網絡安全管理是分散到每一個主機上的，所有主機必須同心協力才能維持網絡的安全性。而防火墻能夠實現集中安全管理，可以將所有安全軟件配置在防火墻上，而不是分布在內部網絡的所有主機上。3.2.2 對輸入進行篩選

防火墻可以通過對傳入數據包的源地址、目標地址及其他信息的檢查，確定是否允許通過。只有滿足防火墻配置規則的數據包才能通過防火墻，否則阻止數據包的傳人。

3.2.3 防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網中重點網段的隔離，限制內部網絡中不同部門之間互相訪問，從而保障了網絡內部敏感數據的安全。3.2.4 限制內部用戶活動

防火墻通過用戶身份認證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內部用戶可以使用哪些服務，可以訪問哪些網站。3.2.5 網絡地址轉換(NAT，Network Address Translation)

內部網主機經常要訪問Internet，而NAT可以將內部網的專用地址轉換成Internet地址。這樣可以掩藏服務器的真正IP地址，起到一定的隔離作用，使內部網絡用戶不被暴露在外部網絡中。此外防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。

3.2.6 對網絡使用情況進行記錄監控

防火墻能夠記錄所有經過防火墻的訪問并形成完整的日志，提供有關網絡使 5 用情況的統計數據。當網絡受到掃描或攻擊等可疑活動時，防火墻能進行報警，并提供詳細信息。

3.3 防火墻的分類及工作原理

國際計算機安全委員會ICSA將防火墻分成三大類:包過濾防火墻，應用級代理服務器[3]以及狀態包檢測防火墻。3.3.1 包過濾防火墻

包過濾防火墻[4]就是把接收到的每個數據包同預先設定的包過濾規則相比較，從而決定是否阻塞或通過。包過濾防火墻工作在網絡層，通過對每個IP包的源地址、目的地址、傳輸協議等信息與事先設置的安全規則進行比較，如果滿足安全規則定義的IP包則通過，如果不符合安全規則定義的IP包則被排除。3.3.2 應用代理防火墻

它是針對數據包過濾[5]和應用網關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。應用代理型防火墻設置在內部網絡與外部網絡之間，當用戶訪問目的站點時，對于符合安全規則的連接，首先用戶與代理服務器建立連接，應用代理型防火墻將會代替目的站點進行響應，并重新向目的站點發出一個同樣的請求。代理系統實際上是用戶和真實服務器之間的中介。3.3.3 狀態包檢測防火墻

狀態檢測又稱動態包過濾，是為了解決包過濾模式安全性不足的問題，在包過濾技術的基礎上，采用了一個執行網絡安全策略的軟件引擎——檢測模塊。當建立連接時，狀態檢測檢查預選設定的安全規則，符合規則的連接允許通過，并記錄下該連接的相關信息，動態保存生成狀態表。對該連接的后續數據包，只要符合狀態表，就可以通過。3.4 防火墻的主要技術優缺點分析

如上文所述，防火墻技術主要有：包過濾技術、應用代理技術、狀態檢測技術。

3.4.1 包過濾技術

優點：包過濾防火墻因為工作在網絡層，因此處理包的速度快；此外它提供透明服務，即不需要用戶名和密碼來登錄，用戶不用改變客戶端程序。

缺點：網絡層在OSI體系中處于較低的層次，因而安全防護也是較低級；不能徹底防止地址欺騙，一些應用協議不適合于數據包過濾，正常的數據包過濾路由器無法執行某些安全策略，不能防范黑客攻擊，不支持應用層協議，不能處理新的安全威脅。3.4.2 應用代理技術

優點：應用代理型防火墻工作在0SI體系的最高層——應用層，安全級別高于包過濾型防火墻；應用代理型防火墻對用戶而言是透明的，而對外部網絡卻隱藏了內部IP地址，可以保護內部主機不受外部攻擊；代理系統可以控制戶機和服務器之間的流量，并對此加以記錄，提供詳細的日志。

缺點：代理速度較路由器慢，代理對用戶不透明，對于每項服務代理可能要求不同的服務器；代理服務不能保證你免受所有協議弱點的限制，代理不能改進底層協議的安全性。3.4.3 狀態檢測技術

優點：配置了“專用檢測模塊”，它可以支持多種協議和應用程序，可以很容易地實現應用和服務的擴充；安全性更佳。

缺點：配置復雜，因而降低了網絡的速度。防火墻的缺陷及未來發展趨勢

4.1 防火墻的十大缺陷

防火墻在網絡安全防護中起著舉足輕重的作用，但它并不是萬能的，它仍然存在一定的局限性和不足。總體說來，存在十大方面的缺陷：

(1)防火墻不能防范不經過它的攻擊。沒有經過防火墻的數據，不能防范。(2)防火墻不能解決來自內部網絡的攻擊和安全問題。防火墻只對來自外部網絡的數據進行檢測，以保護內部網絡；而對于內部網絡中的用戶威脅，防火墻是無能為力的。

(3)防火墻不能防止TCP/IP協議、服務器系統的缺陷進行的攻擊。TCP/IP的缺陷和服務器系統漏洞是天然存在的，防火墻不能防止。

(4)防火墻不能防止數據驅動式的攻擊。當有些表面看起來無害的數據或郵件拷貝到內部的主機上進行執行時，可能引發數據驅動式的攻擊。

(5)不能有效防范加密信息。防火墻只能識別與其數據庫中已有的特征數據匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉換成其他形式隱藏起來，這種加密后的代碼，只要成功避開防火墻數據庫中的特征匹配，就能成功通過防火墻。

(6)防火墻的檢測功能是有限的。對于所有網絡和應用程序流量的檢測，需要有空前的處理能力才能保證這些任務的完成，為了獲得高性能，就必然要求使用高端硬件，就目前而言，要完成這種深度檢測仍是十分困難的。

(7)防火墻不能防范受到病毒感染的文件、軟件。防火墻本身并不具有病毒的查殺功能，即使有，也不能查殺所有的病毒。

(8)防火墻是一種被動的防范手段，它只能對已知的網絡威脅起作用，對于新的未知的網絡攻擊防火墻是很難防范的。

7(9)防火墻的安全性和實用性成反比。防火墻越安全，則功能也就越少，速度也就越慢，防火墻的安全性和實用性將在一定的時間內是一對主要矛盾。

(10)防火墻不能防止自身的安全漏洞的威脅。目前還沒有廠商能夠保證防火墻絕對不存在安全漏洞，防火墻能保護別人卻不能保護自己，因此對防火墻也必須進行安全防護。

4.2 關于防火墻未來發展的五點設想

既然防火墻存在缺陷在所難免，那么網絡安全又該如何保證呢？對防火墻技術研究的道路究竟該何去何從呢？在此，提出以下設想：

(1)形成以防火墻為核心的計算機網絡安全體系。到目前為止，防火墻技術仍然是應用最廣泛的計算機網絡安全防護技術，防火墻的重要性不能替代，所以在相當長的一段時間內，防火墻是計算機網絡安全的核心。但是，要想最大程度地保護網絡安全，僅憑防火墻技術單方面的作用是不可行的，還必須借助其他手段，構建以防火墻為核心，多個安全系統協作配合的計算機網絡安全體系。

(2)防火墻硬件技術架構上的發展趨勢。目前防火墻正逐步地向基于網絡處理器和ASIC芯片的技術架構方向發展。網絡處理器由于內含有多個數據處理引擎，能夠直接完成網絡數據處理工作，減輕了CPU的負擔，在性能上有很大的提升；ASIC芯片有專門的數據包處理流水線，可以獲得很高的處理能力。

(3)智能技術的進一步發展。目前的防火墻只是識別一些已知的攻擊行為，對于未知的攻擊或未列出的攻擊防火墻顯得有些無能為力，因此智能化是將來的發展趨勢，能自動識別并防御黑客的各種手法及相應的變種。

(4)分布式技術的進一步發展。分布式技術將是未來的趨勢。多臺物理防火墻協同工作，共同組織成一個強大的、具備并行處理能力、負載均衡能力的邏輯防火墻，不僅保證了在大型網絡安全策略的一致，而且集中管理大大降低了經濟、人力及管理成本。

(5)經濟高效的發展趨勢。防火墻要防止各種網絡的攻擊，其性能勢必會下降。安全性和實用性是一對主要矛盾，要找到網絡安全性與實用性之間的平衡點是防火墻未來發展面臨的問題。經濟高效的防火墻將是未來研究的方向。

結束語

隨著網絡技術的發展，網絡安全正面臨著越來越大的威脅。防火墻至關重要，但它并不是萬能的，在專業黑客和一些非法入侵者面前，防火墻也很無奈。我們除了設好防火墻這第一道關卡外，還應當借助其他安全防御手段一起來保護網絡的安全。參考文獻：

[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 鄭林.防火墻原理入門[Z].E企業.2000.[3] 王衛平，陳文惠，朱衛未.防火墻技術分析.信息安全與通信保密.2006，(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永綱，石江濤，戴雪龍，顏天信.網絡包分類算法仿真測試與比較研究.中國科學技術大學學報.2004，34(4):400一409.致 謝

本文是在蒲老師的悉心指導下完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，蒲老師給子了我很大的幫助。在此一并向所有幫助和關心過我的老師和朋友，表示真摯的感謝！

第三篇：防火墻技術論文

【摘要】

21世紀全世界的計算機都將通過Internet聯到一起，Internet的迅速發展給現代人的生產和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺。網絡技術在近幾年的時間有了非常大的發展，經歷了從無到有，從有到快；網上信息資源也是從醫乏到豐富多彩，應有盡有。但隨著網絡速度越來越快，資源越來越豐富，與此同時也給人們帶來了一個日益嚴峻的問題———網絡安全。

網絡的安全性成為當今最熱門的話題之一，而且網絡安全防范對我們校園網的正常運行來講也顯得十分重要。現在各種網絡安全技術如防火墻技術、IDS、加密技術和防黑防病毒技術等也不斷的出現，內容十分廣泛。而其中防火墻技術在網絡安全技術當中又是最簡單，也是最有效的解決方案。很多企業為了保障自身服務器或數據安全都采用了防火墻。隨著科技的發展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產物，許多的人對此還并不是了解的十分透徹。

本文在簡要論述防火墻的基本分類、工作方式等的基礎上，對防火墻的優缺點以及局限性進行了說明，也簡述了防火墻技術在校園網中的應用，并對其的發展趨勢作簡單展望。

【關鍵詞】

網絡安全 防火墻 發展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。

防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障，旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火墻比喻不要引火燒身。

當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網絡中，所謂“防火墻”，顧名思義，是一種隔離設備。防火墻是一種高級訪問控制設備，臵于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域之間通信流的唯一

通道，能根據用戶有關的安全策略控制進出網絡的訪問行為。從專業角度講，防火墻是位于兩個或多個網絡間，實施網絡訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計算機與外網之間的防御體系，網絡發往用戶計算機的所有數據都要經過其判斷處理，才決定能否將數據交給計算機，一旦發現數據異常或有害，防火墻就會將數據攔截，從而實現對計算機的保護。防火墻是網絡安全策略的組成部分，它只是一個保護裝臵，通過監測和控制網絡間的信息交換和訪問行為來實現對網絡安全的有效管理，其主要目的就是保護內部網絡的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經授權的用戶訪問本企業的網絡和信息資源的措施，訪問者必需要能適用現行所有的服務和應用。網絡衛士防火墻支持多種應用、服務和協議，支持所有的internet服務，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務器數據庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。

■ 提供基于狀態檢測技術的ip地址、端口、用戶和時間的管理控制； ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級細粒度應用層管理控制；應用層安全控制策略主要針對常用的網絡應用協議http和ftp，控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火墻的權限，源對象可以是網段、主機。http和ftp的協議端口用戶可根據實際情況在策略中定義，協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。

■ 雙向nat，提供ip地址轉換和ip及tcp/udp端口映射，實現ip復用和隱藏網絡結構：nat在ip層上通過地址轉換提供ip復用功能，解決ip地址不足的問題，同時隱藏了內部網的結構，強化了內部網的安全。網絡衛士防火墻提供了nat功能，并可根據用戶需要靈活配臵。當內部網用戶需要對外訪問時，防火墻系統將訪問主體轉化為自己，并將結果透明地返回用戶，相當于一個ip層代理。防火墻的地址轉換是基于安全控制策略的轉換，可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網絡中具有保留ip主機的訪問，可以利用反向nat實現，即為內部網絡主機在防火墻上映射一注冊ip地址，這樣internet 用戶就可以通過防火墻系統訪問主機了。映射類型可以為ip級和端口級。端口映射

■阻止activex、java、javascript等侵入：屬于http內容過濾，防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實時監控、審計和告警功能：網絡衛士防火墻提供對網絡的實時監控，當發現攻擊和危險行為時，防火墻提供告警等功能。

■ 可擴展支持第三方ids入侵檢測系統，實現協同工作：網絡衛士防火墻支持topsec協議，可與第三方ids產品實現無縫集成，協同工作。

（3）用戶認證

因為企業網絡為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網絡和信息安全，必須對訪問連接用戶采用有效的權限控制和身份識別，以確保系統安全。

■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權用戶進入網絡，保證網絡系統的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火墻發送身份認證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑戰及同步信息，用戶收到此信息后，結合自己的口令，產生一次性口令并發送給防火墻，防火墻判斷用戶答復是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由于采用一次性的口令認證機制，即使竊聽者在網絡上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應用中，用戶采用一次性口令登錄程序登陸時，防火墻向用戶提供一個種子及同步次數，登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令并傳給防火墻.用戶可以在不同的服務器上使用不同的種子而口令相同，每次在網絡上傳輸的口令也不同，用戶可以定期改變種子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證：網絡衛士防火墻有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。

（4）安全管理

■ 提供基于otp機制的管理員認證。

■ 提供分權管理安全機制；提供管理員和審計員分權管理的安全機制，保證安全產品的安全管理。

過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

■ 應用代理（Application Proxy）型

應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火墻。

代理類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

代理防火墻的最大缺點是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

（3）從防火墻結構上分類

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。

0

信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

1.4 各類防火墻的優缺點

（1）包過濾防火墻

使用包過濾防火墻的優點包括：

■ 防火墻對每條傳入和傳出網絡的包實行低水平控制。

■ 每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則。

■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特征。

使用包過濾防火墻的缺點包括：

■ 配臵困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配臵了已有的規則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發者實現了基于圖形化用戶界面(GUI)的配臵和更直接的規則定義。

■ 為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口。

■ 可能還有其他方法繞過防火墻進入網絡，例如撥入連接。但這個并不是

213

也不要忘記了防火墻內的安全保障。

其次，防火墻技術的另外一個顯著不足是無法有效地應付病毒。當網絡內的用戶在訪問外網中的含有病毒的數據時，防火墻無法區分帶毒數據與正常數據，內部網絡隨時都有受到病毒危害的可能，防火墻技術的這個缺點給網絡帶來很大的隱患。

另外，由于防火墻技術的自身不斷發展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統，其軟、硬件在發展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術原理與殺毒軟件類似：先出現病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內來實現查殺。防火墻的防御、檢測策略，也是在發生攻擊行為后分析其特征而設臵的。如果出現新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測機制容易造成擁塞以及溢出現象。由于防火墻需要處理每一個通過它的數據包，所以當數據流量較大時，容易導致數據擁塞，影響整個網絡性能。嚴重時，如果發生溢出，就像大壩決堤一般，無法阻擋，任何數據都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發展趨勢

盡管羅列了這么多防火墻技術的局限性，但防火墻在網絡安全中所扮演的重要角色是不可撼動的。未來的防火墻發展朝高速、多功能化、更安全的方向發展。

實現高速防火墻，可以應用ASIC硬件加速技術、FPGA和網絡處理器等方法。其中以采用網絡處理器最好，因為網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6；并且網絡處理器中集成了很多硬件協處理單元，通過算法也比較容易實現高速。防火墻將會集成更多的網絡安全功能，入侵檢測、防病毒、防御拒絕服務攻擊等安全技術都可以模塊形式安裝到防火墻的機箱內。既節省寶貴的機柜空間，又能為企業節約一部分安全支出，更主要的是可以實現網絡安全設備之間的聯動。防火墻將會更加的行業化。

任何一種防火墻只是為內部網絡提供安全保障，但網絡安全不能完全依賴于防火墻，還需要加強內部的安全管理，完善安全管理制度，提高用戶的安全意識，從而形成全方位的安全防御體系。防火墻技術在校園網中的應用

隨著高校信息化進程的推進，學院校園網上運行的應用系統越來越多，信息

51617

第四篇：防火墻技術報告

《網絡與信息安全技術》

防火墻技術淺談

班 級：

11計算機科學與技術3班

學 號：

2011404010306

姓 名： 王 志 成 分 數：

2013年12月12日

防火墻技術淺談

摘要：隨著計算機網絡的發展，全球上網的人數在不斷地增大，網上的資源也不斷地增加，網絡的開放性、共享性、互連程度也隨之不斷擴大。然而，因特網的迅猛發展在給人們的生活帶來了極大方便的同時，因特網本身也正遭遇著前所未有的威脅。所以，網絡的安全問題也越來越成為人們現在考慮的十分重視的問題。

本文主要介紹討論了防火墻的定義、特點、基本功能，數據包頭分析后與過濾規則的匹配、對數據包的拒絕和日志數據庫的存儲。關鍵詞：防火墻技術 數據包過濾 數據庫

引言

網絡的安全問題正越來越成為人們現在十分重視的問題。如何使用有效、可行的方法使網絡危險降到人們可接受的范圍之內已越來越受到人們的關注。而如何實施防范策略，首先取決于當前系統的安全性。對網絡安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進行風險評估也是很有必要的。防火墻技術作為時下比較成熟的一 種技術，其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素——防火墻技術，判斷系統的安全等級，實現對目標網絡的網絡安全風險評估，為提高系統的安全性提供科學依據。對網絡安全的威脅主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統的安全等級；其中，對網絡安全的威脅表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾正常運行，利用網絡傳播病毒，線路竊聽等方面，實現對目標網絡的網絡安全風險評估以及對風險的防范，為提高系統的安全性提供科學依據。

1.防火墻概述

1.1防火墻的定義

所謂“防火墻”，是在兩個網絡之間執行說控制策略的一個或一組系統，包括硬伯和軟件，目的是保護網絡不被他人侵擾。它是一種將內部網和公眾訪問網(如Internet)分開的

封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

（2）防火墻的基本功能

? 防火墻能夠強化安全策略

因為因特網上每天都有上百萬人瀏覽信息、交換信息，不可避免地會出現個別品德不良或違反規則的人。防火墻是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅容許“認可的”和符合規則的請求通過。? 防火墻能有效地記錄因特網上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻記錄著被保護的網絡和外部網絡之間進行的所有事件。

? 防火墻限制暴露用戶點

防火墻駒用來隔開網絡中的一個網段與另一個網段。這樣，就能夠有效控制影響一個網段的問題通過整個網絡傳播。

? 防火墻是一個安全策略的檢查站

所有進出網絡的信息都必須通過防火墻，防火墻便成為一個安全檢查點，使可疑的訪問被拒絕于門外。

1.3.防火墻的體系結構

目前，防火墻的體系結構一般有3種：雙重宿主主機體系結構、主機過濾體系結構和子網過濾體系結構。

（1）雙重宿主主機體系結構

雙重宿主主機體系結構是圍繞具有雙重宿主的主體計算機而構筑的。該計算機至少有兩個網絡接口，這樣的主機可以充當與這些接口相連的網絡之間的路由器，并能夠從一個網絡向另一個網絡發送IP數據包。防火墻內部的網絡系統能與雙重宿主主機通信，同時防火墻

分布式防火墻的優勢：

（1）增強了系統安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略。

（2）提高了系統性能：消除了結構性瓶頸問題，提高了系統性能。

（3）系統的擴展性：分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。（4）實施主機策略：對網絡中的各節點可以起到更安全的防護。（5）應用更為廣泛，支持VPN通信。

3.數據包過濾處理原理分析

防火墻技術其實是基于對工作在網絡層中的數據包的過濾，數據包的過濾原理要遵揗一些過濾規則：（1）過濾規則

本系統采用的默認過濾規則是：默認接收所有的進入、外出和轉發數據包;接收所有本地環路接口上的進出包。當要有選擇地接收數據包時，本地的過濾規則需要進行相應的設置。比如:現在要拒絕IP地址為192.168.0.161(局域網內的一主機的IP地址)的主機與本地主機通信，在用戶相應的選項卡中，填上這一I地址就是表示拒絕此IP地址主機向本機發出的所有數據包，這就是數據包的IP 過濾功能。

當然也要實現端口的過濾功能。比如:想禁止某一服務的業務功能，就可以在相應的IP 號下同時設置端口號，就是表示對任一用戶的這一服務被禁止。其實，這只能對某一些常用的端口號進行過濾，如：對HTTP(端口80)進行過濾，就是禁止外部用戶通過防火墻訪問內部HTTP 服務器；對FTP(端口20，21)進行過濾，就是禁止外部主機通過防火墻訪問內部FTP服務器。

數據處理模塊用到的過濾規則將在用戶界面中直接對規則數據庫操作進而來設置要過濾的規則，而數據處理模塊則從數據庫中直接調用。因此，過濾規則是在數據庫中定義，由用戶在數據庫操作界面上輸入的，供底層應用程序調用。

外部命令，在C語言中可以用execlp()這一函數來執行外部命令。（4）存入日志數據庫

對數據包頭分析處理后，可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數據庫的連接與上文所說的一樣，因此，此處存入的是被拒絕的數據包頭信息。

5.結束語

防火墻技術作為目前用來實現網絡安全措施的一種用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源的主要手段。如果使用得當，可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題，比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。事實上60%以上的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網絡法規、提高網絡管理人員的安全意識等等。

參考文獻：

1）袁津生 吳硯農 《計算機網絡安全基礎》 北京：人民郵電出版社 2013 2）黎連業，張維，防火墻及其應用技術，清華大學出版社.2004 3）程代偉，網絡安全完全手冊，電子工業出版社.2006 4）李濤，網絡安全概論，電子工業出版社.2004

第五篇：防火墻技術研究報告

防火墻技術研究報告

防火墻技術

摘要：隨著計算機的飛速發展以及網絡技術的普遍應用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數據及其傳送、處理都是非常必要的。比如，計劃如何保護你的局域網免受因特網攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。文介紹了防火墻技術的基本概念、原理、應用現狀和發展趨勢。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目錄

一、概述.....................................................................................................................................4

二、防火墻的基本概念.............................................................................................................4

三、防火墻的技術分類.............................................................................................................4

四、防火墻的基本功能.............................................................................................................5

（一）包過濾路由器.........................................................................................................5

（二）應用層網關.............................................................................................................6

（三）鏈路層網關.............................................................................................................6

五、防火墻的安全構建.............................................................................................................6

（一）基本準則..............................................................................錯誤！未定義書簽。

（二）安全策略.................................................................................................................6

（三）構建費用..............................................................................錯誤！未定義書簽。

（四）高保障防火墻......................................................................錯誤！未定義書簽。

六、防火墻的發展特點.............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墻的發展特點.............................................................................................................9 參考文獻...................................................................................................................................10

防火墻技術研究報告

一、概述

隨著計算機網絡的廣泛應用，全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺少的一部分，隨著互聯網規模的迅速擴大，網絡豐富的信息資源給用戶帶來了極大方便的同時，由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性，所以我們要用防火墻，防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。

二、防火墻的基本概念

防火墻是一個系統或一組系統，在內部網與因特網間執行一定的安全策略，它實際上是一種隔離技術。

一個有效的防火墻應該能夠確保所有從因特網流入或流向因特網的信息都將經過防火墻，所有流經防火墻的信息都應接受檢查。通過防火墻可以定義一個關鍵點以防止外來入侵；監控網絡的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應做日志登記；提供網絡地址轉換功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當一個內部網更換ISP時需重新編號的麻煩；防火墻是為客戶提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務等。

三、防火墻的技術分類

現有的防火墻主要有：包過濾型、代理服務器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、協議類型、端口號等進行篩選。包過濾在網絡層進行。

代理服務器型（Proxy Service）防火墻通常由兩部分構成，服務器端程序和客戶端程序。客戶端程序與中間節點連接，中間節點再與提供服務的服務器實際連接。

復合型（Hybfid）防火墻將包過濾和代理服務兩種方法結合起來，形成新 的防火墻，由堡壘主機提供代理服務。

各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機防火墻，它是由堡壘主機充當網關，并在其上運行防火墻軟件，內外網之間的通信必須經過堡壘主機；主機過濾防火墻是指一個包過濾路由器與外部網相連，同時，一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的惟一節點，從而確保內部網不受外部非授權用戶的攻擊；加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網絡傳輸到目的端進行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應包含如下模塊中的一個或多個：包過濾路由器、應用層網關以及鏈路層網關。

（一）包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數據報的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由表信息繼續轉發，否則，則丟棄之。

與服務相關的過濾，是指基于特定的服務進行包過濾，由于絕大多數服務的監聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務的連接，路由器只需將所有包含特定 TCP／UDP目標端口的包丟棄即可。

獨立于服務的過濾，有些類型的攻擊是與服務無關的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網上攻擊僅僅借助包頭信息是難以識別的，此時，需要路由器在原過濾規則的基礎附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應用層網關

應用層網關允許網絡管理員實施一個較包過濾路由器更為嚴格的安全策略，為每一個期望的應用服務在其網關上安裝專用的代碼，同時，代理代碼也可以配置成支持一個應用服務的某些特定的特性。對應用服務的訪問都是通過訪問

相應的代理服務實現的，而不允許用戶直接登錄到應用層網關。

應用層網關安全性的提高是以購買相關硬件平臺的費用為代價，網關的配置將降低對用戶的服務水平，但增加了安全配置上的靈活性。

（三）鏈路層網關

鏈路層網關是可由應用層網關實現的特殊功能。它僅僅替代TCP連接而無需執行任何附加的包處理和過濾。

五、防火墻的安全構建

在進行防火墻設計構建中，網絡管理員應考慮防火墻的基本準則；整個企業網的安全策略；以及防火墻的財務費用預算等。

（一）基本準則

可以采取如下兩種理念中的一種來定義防火墻應遵循的準則：第一，未經說明許可的就是拒絕。防火墻阻塞所有流經的信息，每一個服務請求或應用的實現都基于逐項審查的基礎上。這是一個值得推薦的方法，它將創建一個非常安全的環境。當然，該理念的不足在于過于強調安全而減弱了可用性，限制了用戶可以申請的服務的數量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業網安全性的難度。

（二）安全策略

在一個企業網中，防火墻應該是全局安全策略的一部分，構建防火墻時首先要考慮其保護的范圍。企業網的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

（三）構建費用

簡單的包過濾防火墻所需費用最少，實際上任何企業網與因特網的連接都需要一個路由器，而包過濾是標準路由器的一個基本特性。對于一臺商用防火墻隨著其復雜性和被保護系統數目的增加，其費用也隨之增加。

至于采用自行構造防火墻方式，雖然費用低一些，但仍需要時間和經費開發、配置防火墻系統，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。

六、防火墻的發展特點

（一）高速

從國內外歷次測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS(拒絕服務)是防火墻一個很重要的任務，防火墻往往用在網絡出口，如造成網絡堵塞，再安全的防火墻也無法應用。

應用ASIC、FPGA和網絡處理器是實現高速防火墻的主要方法，但尤以采用網絡處理器最優，因為網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實現高速防火墻，算法也是一個關鍵，因為網絡處理器中集成了很多硬件協處理單元，因此比較容易實現高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應用環境，動輒應用數百乃至數萬條規則，沒有算法支撐，對于狀態防火墻，建立會話的速度會十分緩慢。

上面提到，為什么防火墻不適宜于集成內容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因為受現有技術的限制。目前，還沒有有效的對應用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網絡上的流量鏡像到IDS設備中處理，這樣可以避免流量較大時造成網絡堵塞。此外，應用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網絡出口關鍵位置的防火墻，如此頻繁地升級也是不現實的。

這里還要提到日志問題，根據國家有關標準和要求，防火墻日志要求記錄的內容相當多。網絡流量越來越大，如此龐大的日志對日志服務器提出了很高的要求。目前，業界應用較多的是SYSLOG日志，采用的是文本方式，每一個字

符都需要一個字節，存儲量很大，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數據傳送量，也方便數據庫的存儲、加密和事后分析。可以說，支持二進制格式和日志數據庫，是未來防火墻日志和日志服務器軟件的一個基本要求。

（二）多功能化

多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些情況下卻可以為用戶節省一臺路由器;支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持IPSec VPN，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。據IDC統計，國外90%的加密VPN都是通過防火墻實現的。

（三）安全

未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的發展與對抗過程中，防火墻的技術一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。

七、防火墻的發展趨勢

近年來，計算機網絡獲得了飛速的發展。它不知不覺的占據了我們生活的大半部分，成為我們社會結構的一個基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網絡信息安全的問題。而隨著Internet的迅速發展，計算機網絡對安全的要求也日益增高。越來越多的網站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構和組織不斷遭受著安全問題的威脅等等。

盡管利用防火墻可以保護內部網免受外部黑客的攻擊，但其只能提高網絡的安全性，不可能保證網絡的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經過防火墻的攻擊。例如，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅。所以在一個實際的網絡運行環境中，僅僅依靠防火墻來保證網絡的安全顯然是不夠，此時，應根據實際需求采取其他相應的安全策略。

計算機的安全問題正面臨著前所未有的挑戰。在這場網絡安全的攻擊和反攻擊的信息戰中，永遠沒有終點。黑客的攻擊手段不斷翻新，決定了信息安全技術也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術必須與當今最前沿的其他安全技術結合在一起，才能更有效地防范各種新的攻擊手段。

參考文獻

[1] 謝希仁.計算機網絡（第5版）[M].北京：電子工業出版社

[2] 吳秀梅，傅嘉偉編著.防火墻技術及應用教程.北京：清華大學出版社 [3] 張紅旗，王魯 等編著.信息安全技術.高等教育出版社

[4] 張華貴，王海燕.計算機網絡在安全分析與對策

[5] 黃思育.淺議防火墻.達縣師范高等專科學校學報（自然科學版）