防火墙在安全防御中的应用.doc

1、精品文档就在这里-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-摘要随着网络的发展，网络的安全性显得非常重要。这是由于怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络冒充合法用户非法进入远程主机，获取存储在主机中的机密信息，或者占用网络资源，组织其他用户使用等，这些问题的产生对网络营运部门和用户的信息安全构成了威胁，影响了计算机网络的进一步推广应用。因此对计算机网络上的各种非法行为进行主动控制和有效防御，是计算机网络安全亟待解决的问题。 网络的安全性成为当今最热门的话题之一，而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术

2、、IDS、加密技术和防黑防病毒技术等也不断的出现，内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击，还能避免内网中木马的主机系统信息泄露等。随着科技的发展，防火墙也逐渐被大众所接受。本文在简要论述防火墙的基本分类、工作方式等的基础上，对防火墙的优缺点以及局限性进行了说明，也简述了防火墙技术在校园网中的应用，并对其的发展趋势作简单展望。关键词：网络安全；防火墙；校园网; 防御目录1 防火墙31.1 防火墙的概念31.2. 防火墙的功能41.3 防火墙的分类71.4 各类防火墙的优缺点121.5 防火墙技术的局限性1

3、41.5 防火墙的未来发展趋势152 防火墙技术在校园网中的应用152.1 校园网防火墙部署162.2 校园网防火墙配置162.3 校园网防火墙结构173 总结与展望18参考文献 181 防火墙1.1 防火墙技术所谓防火墙（Firewall），是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全的和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络，通过边界控制强化内部网络的安全策略。它的实现有多种形式，但原理很简单，可以把它想象成一个开关，其中一个用来阻止传输，另一个用来允许传输。防火墙作为网络安全体系的基础和核心控制设备，

4、贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警和反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。在网络层，防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层，这个链接可以被端到端的加密，也就是进程到进程的加密。在应用层，它可以进行用户级的身份认证、日志记录和账号管理等。因此，防火墙技术简单来说，就是一套身份认证、加密、数字签名和内容检测集成为一体的安全防范措施。所有来自Intern

5、et的传输信息和内部网络发出的传输信息都要穿过防火墙，由防火墙进行分析，以确保它们符合站点设定的安全策略，以提供一种内部节点或网络与Internet的安全屏障。 1.2 防火墙的功能（1）防火墙是网络安全的屏障防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 （2）防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。 （3）对网络存取和访问进行监控审计所有的访问都经过防火墙，那么，防火墙就能记录下这些访问

6、并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙进行适当的报警，并提供网络是否收到监测和攻击的详细信息。 （4）防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或宁安网络安全问题对全局网络造成影响。1.3 防火墙的分类防火墙技术经历了包过滤、应用代理网关和状态检测三个阶段。包过滤行的防火墙常直接转发报文，它对用户完全透明，速度较快；应用代理网关防火墙是通过服务器机那里连接的，可以有更强的身份验证和注册功能；状态检测防火墙是在其核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态。状态检

7、测对每一个包的检测不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。（1）包过滤型防火墙 包过滤防火墙一般有一个包检查快（通常称为包过滤器），数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层（即TCP和IP层）之间。通过检查模块，防火墙能够检查和拦截所有进站和出站的数据，它首先打开包，取出包头，根据包头信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包。包过滤防火墙工作在网络层，对数据包的源及目的

8、IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还数UDP及所有的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，如果一条规则阻止包传输或接收，则此包便不被允许通过，否则该包可以被继续处理。包过滤防火墙的处理速度较快，并且易于配置。包过滤防火墙的优点：1) 防火墙对每条传入和传出网络的包实行低水平控制；2) 每个IP包的字段都被检查，例如源地址、目的地址、协议和端口等；3) 防火墙可以识别和丢弃带欺骗性源IP地址的包；4) 包过滤防火墙是两个网络之间访问的唯一来源；5) 包过滤通常被包含在路由器数据包中，多以不必额外的系统来处理这个特征。包过滤防火墙的缺点：1

9、) 不能防范黑客攻击，因为网管不可能区分出可信网路有不可信网络的界限；2) 不支持应用层协议，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙;3) 不能处理新的安全威胁。（2）应用代理网关防火墙 应用代理网关防火墙彻底割断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点：1） 可以检查应用层、传输层和网络层的协议特征；2） 对数据包的检测能力比较强。应用代理网关的缺点：1） 难于配置。由于每

10、个应用都要求单独的代理过程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略。由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力2） 处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使用代理防火墙具有极高的安全性。但是实际应用中并不行，因为对于内网的每个web访问请求，应用代理都需要开一个单独的代理过程，它要保护内网的web服务器、数据库服务器、文件服务器、邮件服务器及义务程序等，这就需要建立一个个的服务代理、以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常web访问不能及时得到响应。总之，应用代理网关防火墙不能支持大规模的并

11、发连接，对速度要求的行业不能使用这类防火墙。另外，防火墙核心要求预先内置一些已知应用程序代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。（3）状态检测技术防火墙 状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不是安全性的基础上将代理防火墙的性能提高了10倍。 Internet上使用的TCP/IP，TCP的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”、“客户端应答”三次握手。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等

12、几个参数，而不关心数据包的连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态。状态检测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一些列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是一些规则复杂的大型网络上。1.4 防火墙技术的局限性随着防火墙技术的发展，其在信息安全体系中的地位越来越不可替代，网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的

13、情况下，我们也应该清醒地认识到：防火墙并不是“包治百病”的，它对于一些特殊的攻击或其他行为有时也无能为力。所以，我们也应该了解其技术方面的一些局限性，毕竟没有任何一种技术能绝对保证安全。首先，防火墙技术最突出的缺点在于不能防范跳过防火墙的各种攻击行为。这其中比较典型的就是难以防范来自网络内部的恶意攻击。“堡垒往往容易从内部攻破”这句话用于防火墙再合适不过了。因此，用户在构建好防火墙的同时，也不要忘记了防火墙内的安全保障。其次，防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时，防火墙无法区分带毒数据与正常数据，内部网络随时都有受到病毒危害的可能，防火

14、墙技术的这个缺点给网络带来很大的隐患。另外，由于防火墙技术的自身不断发展，其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统，其软、硬件在发展过程中必然也有其自己的bug和漏洞，所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似：先出现病毒，杀毒软件获得病毒的特征码，将其加入到病毒库内来实现查杀。防火墙的防御、检测策略，也是在发生攻击行为后分析其特征而设置的。如果出现新的未知攻击行为，防火墙也将束手无策。最后，防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包，所以当数据流量较大时，容易导致数据拥塞，影响整个网络性能。严重时

15、，如果发生溢出，就像大坝决堤一般，无法阻挡，任何数据都可以来去自由了，防火墙也就不再起任何作用。1.5 防火墙的未来发展趋势尽管罗列了这么多防火墙技术的局限性，但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。实现高速防火墙，可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能，入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装

16、到防火墙的机箱内。既节省宝贵的机柜空间，又能为企业节约一部分安全支出，更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。任何一种防火墙只是为内部网络提供安全保障，但网络安全不能完全依赖于防火墙，还需要加强内部的安全管理，完善安全管理制度，提高用户的安全意识，从而形成全方位的安全防御体系。2 防火墙技术在校园网中的应用随着高校信息化进程的推进，学院校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。校园网的服务器群构成了校园网的服务系统，主要包括DNS、虚拟主机、贾eb、FTP、视频点播以及Mail服务等。校园网通过不同的专线分别接入了教育网、电信网和党政网。随着学院网

17、络出口带宽不断加大，应用服务系统逐渐增多，校园网用户数烈剧上升，网络的安全也就越来越严竣。2.1 校园网防火墙部署防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性：（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。（2）将

18、防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。（3）在防火墙上建立内网计算机的IP 地址和以C地址的对应表，防止IP地址被盗用。（4）在局域网的入口架设千兆防火墙，并实现VNP的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。（5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。（6）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。2.2 校园网防火墙配置 默认情况下，所有的防火墙都是按以下两种情况配置的：（1）拒绝

19、所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让校园网用户能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。2.3 校园网防火墙结构 在网络拓扑结构上校园网可以有两种选择，这主要根据其拥有的网络设备情况而定。如果原来已有边界路由器，则可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，

20、这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公共服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。校园网防火墙结构图的例子如下所示。3 总结与展望这篇论文的内容和我们的校园生活以及日后的工作息息相关，在完成这篇论文的过程中，我阅读了一些刊物书籍，也在网上查找了相关资料，从中了解了很多关于计算机网络安全中防火墙技术的知识，以及它在日常生活中的实际应用，可谓受益良多。 撰写的过

21、程中我引用和参考了一些资料文献，由于时间比较仓促，以及某些专业知识的缺乏，论文并不可能十全十美，个中的不足还望老师能指出、指导。参考文献：1雷震甲，网络工程师教程(笫2版)，北京：清华大学出版社，20062姜文红，网络安全与管理，北京：清华大学出版社，20073荣海迅，防火墙技术及其发展趋势剖析，淮北职业技术学院学报，2008.34. 孙建华等，网络系统管理-Linux实训篇，北京：人民邮电出版社，2003.105.美Terry William Ogletree，防火墙原理与实施，北京：电子工业出版社，2001.26. 邓亚平，计算机网络安全，北京：人民邮电出版社，2004.97. 刘峰、李涛，FW防火墙应用代理的设计与实现，网络安全技术与应用，2001.88. 孔秋林、宋书民、朱智强、徐开勇等著，防火墙技术指南，北京：机械工业出版社，20009. 阎慧等著，防火墙原理与技术，北京：机械工业出版社，200410.朱雁辉著，Windows防火墙与网络封包截获技术，北京：电子工业出版社，200211.王睿等著，网络安全与防火墙技术，北京：清华大学出版社2000-精品 文档-