防火墻技術研究匯報防火墻技術摘要：伴隨計算機的飛速發展以及網絡技術的普遍應用，伴隨信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網是一種發展非常活躍的領域，也許會受到黑客的非法襲擊，因此在任何狀況下，對于多種事故，無意或故意的破壞，保護數據及其傳送、處理都是非常必要的。例如，計劃怎樣保護你的局域網免受因特網襲擊帶來的危害時，首先要考慮的是防火墻。防火墻的關鍵思想是在不安全的網際網環境中構造一種相對安全的子網環境。文簡介了防火墻技術的基本概念、原理、應用現實狀況和發展趨勢。Abstract:alongwiththeuniversalapplicationoftherapiddevelopmentofcomputerandnetworktechnology,withtheadventoftheinformationage,informationasanimportantresourceispaidattentiontoandusedbypeople.TheInternetisadevelopmentofveryactivedomain,maybeillegallyattackedbyhackers,soinanycase,foravarietyofaccident,accidentalorintentionaldamage,protectionofdataandtransfer,processingisverynecessary.Forexample,planstoprotectyournetworkfromthehazardsbroughtbyInternetattack,firewallisthefirstconsideration.ThecoreideaoffirewallistherelativesafetyofthestructureofanetworkenvironmentintheinsecureInternetenvironment.Thispaperintroducesthebasicconceptoffirewalltechnology,principle,applicationstatusanddevelopmenttrend.Keywords:firewall;networksecurity目錄一、概述 4二、防火墻的基本概念 4三、防火墻的技術分類 4四、防火墻的基本功能 5（一）包過濾路由器 5（二）應用層網關 6（三）鏈路層網關 6五、防火墻的安全構建 6（一）基本準則 6（二）安全方略 6（三）構建費用 7（四）高保障防火墻 7六、防火墻的發展特點 7（一）高速 7（二）多功能化 8（三）安全 8七、防火墻的發展特點 9參照文獻 10防火墻技術研究匯報一、概述伴隨計算機網絡的廣泛應用，全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺乏的一部分，伴隨互聯網規模的迅速擴大，網絡豐富的信息資源給顧客帶來了極大以便的同步，由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特性，致使網絡易受黑客、怪客、惡意軟件和其他不軌的襲擊。為了保護我們的網絡安全、可靠性，因此我們要用防火墻，防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。二、防火墻的基本概念

防火墻是一種系統或一組系統，在內部網與因特網間執行一定的安全方略，它實際上是一種隔離技術。

一種有效的防火墻應當可以保證所有從因特網流入或流向因特網的信息都將通過防火墻，所有流經防火墻的信息都應接受檢查。通過防火墻可以定義一種要點以防止外來入侵；監控網絡的安全并在異常狀況下給出報警提醒，尤其對于重大的信息量通過時除進行檢查外，還應做日志登記；提供網絡地址轉換功能，有助于緩和IP地址資源緊張的問題，同步，可以防止當一種內部網更換ISP時需重新編號的麻煩；防火墻是為客戶提供服務的理想位置，即在其上可以配置對應的WWW和FTP服務等。

三、防火墻的技術分類

既有的防火墻重要有：包過濾型、代理服務器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。

包過濾（PacketFliter）一般安裝在路由器上，并且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目的地址、協議類型、端口號等進行篩選。包過濾在網絡層進行。

代理服務器型（ProxyService）防火墻一般由兩部分構成，服務器端程序和客戶端程序。客戶端程序與中間節點連接，中間節點再與提供服務的服務器實際連接。

復合型（Hybfid）防火墻將包過濾和代理服務兩種措施結合起來，形成新的防火墻，由堡壘主機提供代理服務。

各類防火墻路由器和多種主機按其配置和功能可構成多種類型的防火墻，重要有：雙宿主主機防火墻，它是由堡壘主機充當網關，并在其上運行防火墻軟件，內外網之間的通信必須通過堡壘主機；主機過濾防火墻是指一種包過濾路由器與外部網相連，同步，一種堡壘主機安裝在內部網上，使堡壘主機成為外部網所能抵達的惟一節點，從而保證內部網不受外部非授權顧客的襲擊；加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網絡傳播到目的端進行解壓縮和解密。

四、防火墻的基本功能

經典的防火墻應包括如下模塊中的一種或多種：包過濾路由器、應用層網關以及鏈路層網關。

（一）包過濾路由器

包過濾路由器將對每一種接受到的包進行容許／拒絕的決定。詳細地，它對每一種數據報的包頭，按照包過濾規則進行鑒定，與規則相匹配的包根據路由表信息繼續轉發，否則，則丟棄之。

與服務有關的過濾，是指基于特定的服務進行包過濾，由于絕大多數服務的監聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務的連接，路由器只需將所有包括特定TCP／UDP目的端口的包丟棄即可。

獨立于服務的過濾，有些類型的襲擊是與服務無關的，例如：帶有欺騙性的源IP地址襲擊、源路由襲擊、細小碎片襲擊等。由此可見此類網上襲擊僅僅借助包頭信息是難以識別的，此時，需要路由器在原過濾規則的基礎附上此外的條件，這些條件的鑒別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。（二）應用層網關

應用層網關容許網絡管理員實行一種較包過濾路由器更為嚴格的安全方略，為每一種期望的應用服務在其網關上安裝專用的代碼，同步，代理代碼也可以配置成支持一種應用服務的某些特定的特性。對應用服務的訪問都是通過訪問對應的代理服務實現的，而不容許顧客直接登錄到應用層網關。

應用層網關安全性的提高是以購置有關硬件平臺的費用為代價，網關的配置將減少對顧客的服務水平，但增長了安全配置上的靈活性。

（三）鏈路層網關

鏈路層網關是可由應用層網關實現的特殊功能。它僅僅替代TCP連接而無需執行任何附加的包處理和過濾。

五、防火墻的安全構建

在進行防火墻設計構建中，網絡管理員應考慮防火墻的基本準則；整個企業網的安全方略；以及防火墻的財務費用預算等。

（一）基本準則

可以采用如下兩種理念中的一種來定義防火墻應遵照的準則：第一，未經闡明許可的就是拒絕。防火墻阻塞所有流經的信息，每一種服務祈求或應用的實現都基于逐項審查的基礎上。這是一種值得推薦的措施，它將創立一種非常安全的環境。當然，該理念的局限性在于過于強調安全而減弱了可用性，限制了顧客可以申請的服務的數量。第二，未闡明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一種潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的局限性在于它將可用性置于比安全更為重要的地位，增長了保證企業網安全性的難度。

（二）安全方略

在一種企業網中，防火墻應當是全局安全方略的一部分，構建防火墻時首先要考慮其保護的范圍。企業網的安全方略應當在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

（三）構建費用

簡樸的包過濾防火墻所需費用至少，實際上任何企業網與因特網的連接都需要一種路由器，而包過濾是原則路由器的一種基本特性。對于一臺商用防火墻伴隨其復雜性和被保護系統數目的增長，其費用也隨之增長。

至于采用自行構造防火墻方式，雖然費用低某些，但仍需要時間和經費開發、配置防火墻系統，需要不停地為管理、總體維護、軟件更新、安全修補以及某些附帶的操作提供支持。

六、防火墻的發展特點

（一）高速從國內外歷次測試的成果都可以看出，目前防火墻一種很大的局限性是速度不夠，真正到達線速的防火墻少之又少。防備DoS(拒絕服務)是防火墻一種很重要的任務，防火墻往往用在網絡出口，如導致網絡堵塞，再安全的防火墻也無法應用。應用ASIC、FPGA和網絡處理器是實現高速防火墻的重要措施，但尤以采用網絡處理器最優，由于網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6，而采用其他措施就不那么靈活。實現高速防火墻，算法也是一種關鍵，由于網絡處理器中集成了諸多硬件協處理單元，因此比較輕易實現高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應用環境，動輒應用數百乃至數萬條規則，沒有算法支撐，對于狀態防火墻，建立會話的速度會十分緩慢。上面提到，為何防火墻不合適于集成內容過濾、防病毒和IDS功能(傳播層如下的IDS除外，這些檢測對CPU消耗小)呢？說究竟還是由于受既有技術的限制。目前，還沒有有效的對應用層進行高速檢測的措施，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網絡上的流量鏡像到IDS設備中處理，這樣可以防止流量較大時導致網絡堵塞。此外，應用層漏洞諸多，襲擊特性庫需要頻繁升級，對于處在網絡出口關鍵位置的防火墻，如此頻繁地升級也是不現實的。這里還要提到日志問題，根據國家有關原則和規定，防火墻日志規定記錄的內容相稱多。網絡流量越來越大，如此龐大的日志對日志服務器提出了很高的規定。目前，業界應用較多的是SYSLOG日志，采用的是文本方式，每一種字符都需要一種字節，存儲量很大，對防火墻的帶寬也是一種很大的消耗。二進制日志可以大大減小數據傳送量，也以便數據庫的存儲、加密和事后分析。可以說，支持二進制格式和日志數據庫，是未來防火墻日志和日志服務器軟件的一種基本規定。（二）多功能化多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜，一般顧客總但愿防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些狀況下卻可認為顧客節省一臺路由器;支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持IPSecVPN，可以運用因特網組建安全的專用通道，既安全又節省了專線投資。據IDC記錄，國外90%的加密VPN都是通過防火墻實現的。（三）安全未來防火墻的操作系統會更安全。伴隨算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的發展與對抗過程中，防火墻的技術一定會不停更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統會更安全。伴隨算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。七、防火墻的發展趨勢近年來，計算機網絡獲得了飛速的發展。它不知不覺的占據了我們生活的大半部分，成為我們社會構造的一種基本構成部分。從Internet的誕生之日起，就不可防止的面臨著網絡信息安全的問題。而伴隨Internet的迅速發展，計算機網絡對安全的規定也日益增高。越來越多的網站由于安全性問題而癱瘓，企業的機密信息不停被竊取，政府機構和組織不停遭受著安全問題的威脅等等。盡管運用防火墻可以保護內部網免受外部黑客的襲擊，但其只能提高網絡的安全性，不也許保證網絡的絕對安全。實際上仍然存在著某些防火墻不能防備的安全威脅，如防火墻不能防備不通過防火墻的襲擊。例如，假如容許從受保護的網絡內部向外撥號，某些顧客就也許形成與Internet的直接連接。此外，防火墻很難防備來自于網絡內部的襲擊以及病毒的威脅。因此在一種實際的網絡運行環境中，僅僅依托防火墻來保證網絡的安全顯然是不夠，此時，應根據實際需求采用其他對應的安全方略。計算機的安全問題正面臨著前所未有的挑戰。在這場網