您了解防火墙吗.doc

您了解防火墙吗？ 陈升、世杰 随着计算机网络的发展，网络安全问题变得越来越重要了。要想保证网络的安全，应做好对服务器漏洞、操作系统漏洞、网络传输入侵的防御。其中，针对网络传输入侵，我们可采用防火墙来进行防御。 防火墙能干什么 要想知道防火墙能干什么，首先就要了解防火墙的定义，因为防火墙的技术含量比较高，因此其定义也比较晦涩：防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集，它强制执行对内部网络（如校园网）和外部网络（如Internet）的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，实现保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负载等。 防火墙的分类 防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（PacketFiltering）防火墙、应用级网关型（ApplicntionLevelGateway）防火墙和代理服务型（ProxyService）防火墙。 防火墙的防御机理 想要真正了解防火墙，就得了解一下它们的防御机理。防火墙技术很深奥，以下我们将尽量用浅显易懂的语言将它阐述清楚。 1、包过滤型防火墙：数据包过滤技术是在网络层对数据包进行选择、过滤，选择、过滤的标准是以网络管理员事先设置的过滤逻辑（即访问控制表）为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息，来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。 2、应用级网关型防火墙：应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议，采用不同的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告，大大提高了网络的安全性。 特别需要指出的是：应用级网关型防火墙和包过滤型防火墙有一个共同的特点，它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统就建立起直接的联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，从而使非法访问和攻击容易得逞。 3、代理服务型防火墙：代理服务也称链路级网关（CircuitLevelGateways）或TCP通道（TCPTunnels），也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、注册登记，形成报告。当发现被攻击迹象时，代理服务器会向网络管理员发出警报。 应用级网关型和代理服务型防火墙大多是基于主机的，价格比较贵，但性能很好，其安装和使用也比采用数据包过滤技术的防火墙复杂一些。 配置防火墙的小例子 在对防火墙有了初步的认识之后，我们现在来讨论一下防火墙的配置。 笔者曾将学生机房局域网内的PC通过Linux路由器与校园网相连，并进一步通过校园网进入Internet，同时在Linux路由器上配置了防火墙，实践证明，防火墙有效地控制了学生对非法IP地址的访问，并成功地记录下每个IP地址的网络流量，为计费和网络管理提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行，也可编好Shell程序放到系统的启动目录下自动执行。其命令格式非常简单，现举例如下： #ipfwadm-A #ipfwadm-I-aaccept-s192.168.0.0/16/*接受来自192.168.0.0的所有数据包*/ #ipfwadm-I-adeny-s10.89.0.0/16/*丢掉来自10.89.0.0的所有数据包*/ #ipfwadm-O-areject-s202.102.32.0/18/*丢掉来自202.102.32.0的所有数据包，并发送拒绝信息包给请求者*/ 摘自：《中国电脑教育报》