防火墙技术-毕业论文.doc

1、 攀枝花学院专科毕业论文防火墙技术学生姓名： 李 永 梅 学生学号： 200821201018 院（系）： 工程技术学院 年级专业： 2008级计算机信息管理 指导教师： 刘 泽 民 (副教授) 助理指导教师： 二一年十一月摘 要因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切

2、身利益。随着计算机技术和网络技术的发展，计算机网络给人们带来了很多便利，于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。使用防火墙能很好的提高系统的安全性，减少系统受到网络安全方面的威胁。在现在的计算机时代，网络信息的安全越显得重要。而对防火墙技术的要求也会越来越高。所以对防火墙的研究是很有必要的。而且防火墙技术也会越来越被广泛应用。关键词：网络安全，防火墙，防范策略，发展趋势Abstract The rapid development of the Internet to peoples lives has brought great convenience, but the Int

3、ernet is also facing unprecedented threats. Therefore, how to use effective method for people to make the network down to an acceptable risk within the scope of more and more attention. And how to implement preventive strategies, first of all depends on the current system security. So the separate e

4、lements of network security - firewalls, vulnerability scanning, intrusion detection and anti-virus and other risk assessment is necessary. Firewall technology as a more mature nowadays network security technology, its security is directly related to the users vital interests. With the computer tech

5、nology and network technology, computer network to bring a lot of convenience, this same network security issues are also associated with the development of network technology increasingly serious. Use a firewall to enhance the security of the system well, reducing the system by the network security

6、 threats. In the present computer age, the network information security, the more important. The requirements of firewall technology will be increasingly high. Therefore, the research on the firewall is necessary. And firewall technology will be more widely used. Keywords: network security, firewall

7、, prevention strategies, trends 目 录摘要1目录3第一章 绪论41.1 研究背景41.2 研究目的4第二章 网络安全62.1网络安全问题62.1.1 网络安全面临的主要威胁62.1.2影响网络安全的因素72.2网络安全措施7第三章 防火墙概述93.1 防火墙的概念93.1.1 传统防火墙介绍103.2 防火墙的功能113.3 防火墙的原理及分类133.3.1包过滤防火墙133.3.2应用级代理防火墙143.3.3代理服务型防火墙153.3.4复合型防火墙16第四章 防火墙的设计164.1区隔的技术：174.2通讯堆叠的技术:184.2.1包过滤技术184.2.2

8、状态检查技术：19第五章 防火墙发展趋势215.1防火墙包过滤技术发展趋势225.2防火墙的体系结构发展趋势235.3防火墙的系统管理发展趋势25结束语25参考文献26致谢28第一章 绪论1.1 研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。计算机网络给人们带来了很多便利，于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。使用防火墙能很好的提高系统的安全性，减少系统受到网络安全方面的威胁。在现在的计算机时代，网络信息的安全越显得重要。而对

9、防火墙技术的要求也会越来越高。所以对防火墙的研究是很有必要的。而且防火墙技术也会越来越被广泛应用。1.2 研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可

10、以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火墙可以有效地阻截各种恶意攻击、保护信息的安全、信息泄漏拦截；保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。防火墙可以使用户的网络划规划更加清晰明了，全面防止跨越权限的数据访问。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一

11、个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是：它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，应推荐用户使用更强的认证机制。 第二章 网络安全2.1网络安全问题安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到

12、破坏、更改、显露，系统能连续正常运行。”从技术讲，计算机安全分为3种：1）实体的安全。它保证硬件和软件本身的安全。2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展，计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。1）计算机病毒的侵袭：计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。2）黑客侵袭：即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名

13、用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。3）拒绝服务攻击：例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。2.1.2影响网络安全的因素1）单机安全购买单机时，型号的选择；计算机的运行环境；计算机的操作等，这些都是影响单机安全性的因素。2）网络安全影响网络安全的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。2.2网络安全措施网

14、络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。 它的网络安全的关键技术有以下几点：(1) 数据加密：加密就是把明文变成密文，从而使未被授权的人看不懂它。有两种主要的加密类型：私匙加密和公匙加密。(2)认证：对

15、合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。(3) 防火墙技术：防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。(4)检测系统：入侵检测技术是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。 (5)防病毒技术：随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。(6) 文件系统安全：在网络操作系统中

16、，权限是一个关键性的概念，因为访问控制实现在两个方面：本地和远程。建立文件权限的时候，必须在Windows 2000中首先实行新技术文件系统（New Technology File System，NTFS）。一旦实现了NTFS，你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限，还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限，可以完成必要的访问控制。第三章 防火墙概述随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病

17、毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。3.1 防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和

18、信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙至少提供两个基本的服务，即：1有选择的限制外部网用户对本地网的访问，保护本地网的特定资源。 2有选择的限制本地网用户对外地网的访问。 安全、管理、速度是防火墙的三大要素。3.1.1 传统防火墙介绍目前的防火墙技术无论从技术上还是从产

19、品发展历程上，都经历了五个发展历程。图3.1表示了防火墙技术的简单发展历史。图3.1第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。第二代、第三代防火墙：1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。第四代防火墙：1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection

20、）技术。第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet 防火墙 for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。3.2 防火墙的功能1、包过滤包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。一般包过滤规则如下： （1）过滤规则序号FRNO，它决定过滤算法执行时过滤规则排列的顺序。 （2）过滤方式包括允许和阻止 （3）源IP地址SIP （4

21、）源端口SP （5）目的IP地址DIP（6）目的端口DP （7）协议标志PF （8）最后一项是注释2、地址转换网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。3、认证和应用代理 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用

22、户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。4、透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。5、防火墙主要功能还有： 1）、防止易受攻击的服务。 2）、控制访问网点。 3）、集中安全性管理。 4）、对网络存取和访问进行监控审计。 5）、检测扫描计算机的企图。6）、防范特洛伊木马。7）、防病毒功能。8）、支持VPN技术。9）、提供网络地址翻译NAT功

23、能3.3 防火墙的原理及分类防火墙分成三大类:包过滤防火墙、应用级代理服务器以及状态包检测防火墙。3.3.1包过滤防火墙包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。包过滤型防火墙又叫筛选路由器或筛选过滤器，它一般作用在网络层，故也称网络层防火墙或IP过滤器。包过滤规则示例： 表3-1规则协议源IP地址目标IP地址源端口目的端口行为1TCPAny192.168.0.1AnyHTTPAccept2TCPAny192.168.0.2AnyPOP3 SMTPAccept3UDPAny192.168.0.8Any53Accept4IPAny192.168.0.253/24AnyICMPA

24、ccept5AnyAnyAnyAnyAny禁止（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 （3）包过滤的缺点：维护比较困难，不能彻底防止地址欺骗；随着过滤器数目的增加，路由器的吞吐量会下降等。 3.3.2应用级代理防火墙应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点

25、，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让

26、网络管理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。3.3.3代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤10和应用网

27、关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。3.3.4复合型防火墙由于对更高安全性的要求，常把基于包过

28、滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。第四章 防火墙的设计4.1

29、区隔的技术：最安全最简单的作法便是将网络的实体线路切断。 图4.1 然而完全的中断却否定了网络本身的优势及便利性，所以设计防火墙系统在不同区域间执行连线的管理。 图4.2 防火墙依据其所能区隔网络的数量而有以下的分类： 表4-1Dual-Home采用理由：最早期的防火墙，主要目的是用来区隔互联网络及内部网络，因此大多只支持两片网卡，将网络区分为二。优点：设定管理最简单，访问管理条件只需考虑两个方向。缺点：公开给互联网络所有用户的服务器，如：WebServer、 FTP Server、NewsServer等无法受到防火墙保护，或者必须在防火墙上开启可能造成内部网络安全风险的内连代理程序(Inbo

30、undProxy)。Tri-Home采用理由：为解决公开服务器在Dual-Home架构下的问题。优点：将公开服务器置于SSN(SecureServer Network)或DMZ DelimitionMilitaryZone)网络上，可让这些公开服务器受到防火墙的保护，也避免了将公开服务器置于内部网络时对内部网络所造成的缺点：内部网络各部门间视为相互信认，防火墙对各部门间的网络访问无法管理。Multi-Home采用理由：公司内部网络间有不同的安全政策考量。优点：可与公司安全政策更紧密结合，具备弹性化的架构。缺点：多重方向的访问管理条件，可能造成管理上的负担，必须提供革命性的管理界面。4.2通讯堆

31、叠的技术: 由于防火墙主要的功能是在区隔保护网络通讯及连线管理，所以防火墙的安全级数及执行效率与防火墙所采用的通讯堆叠技术有著相当密切的关系，防火墙的通讯堆叠可检查到的资料多寡正关系著防火墙的安全级数及执行效率OSI的七层通讯堆叠为例： 图4.3基本上防火墙所采用的通讯堆叠技术愈在高层，所能检查到的通讯资料愈多，其安全级数也就愈高，然而其执行效率反而较差。反之如果火墙所采用的通讯堆叠技术愈在低层，所能检查到的通讯资料愈少，其安全级数也就愈低，然而其执行效率反而较佳。 目前在市场上可以看到下列类型的防火墙技术，便是以其所采用的通讯堆叠而区分：4.2.1包过滤技术图4.41、运作方式：1）、在TC

32、P/IP网络层可以检查的资料 来源 IP 位址 目的 IP 位址 封包类型(TCP/UDP) 来源位址通讯埠号码 目的位址通讯埠号码 2）、内部网络与外部网络间是直接通讯。 3）、防火墙根据进出防火墙的 IP 封包进行比对查验。 4.2.2状态检查技术：图4.51、运作方式：1）、在资料连结层及网络层之间插入一状态检查模组。 2）、由状态检查模组动态集各层的网络连线状态，并将连结状态存放在动态状态表中。 3）、在动态状态表中可以检查的资料：来源 IP 位址、目的 IP 位址、封包类型(TCP/UDP)、网络服务通讯埠号码、有限的Curcuit Level的资料、有限的Applictaion L

33、evel的资料 。2、优点：1）、比Packet Filtering还要安全一点。 2）、可掌握连线的状态及部份Application-Level Gateway状态资讯。 3）、较佳的扩充性及延展性，未来支援新的网络协定时较简单。 4）、网络流量效能较Application-Level Gateway还好。 3、缺点：1）、直接连线危险性高，将使内部网络暴露在外部网络下。 2）、只检查到连线状态无法检查资料内容。 3）、对于无状态(stateless)的通讯协定如：UDP及RPC等，无法管制。 4）、除非相当了解网络通讯协定的状态特性，否则很难设定出无漏洞的检查语法。 5）、对于新的通讯协定

34、需要以INSPECT语言来设定。 4.2.3传输层网关技术：1、运作方式：1）、在传输层(Transport Layer)检查资料。 来源 IP 位址、目的 IP 位址 、封包类型(TCP/UDP) 、来源位址、讯埠号码 、目的位址通讯埠号码 、可掌握网络连线状态资料。 2）、内部网络与外部网络间是透过防火墙转传。 3）、适当地识别所指定的通讯埠，这个通讯埠将保持开放直到连线中止。 4）、应用程序使用公认的通讯埠例如：Telnet port=(23)。 2、优点： 1）、可掌握连线的状态资讯。 2）、网络流量效能较Application-Level Gateway还好。 3、缺点：1）、信认所

35、指定的通讯埠就是公认的服务或应用。 2）、无法监督交谈层的活动及无法侦测应用程序的动态。 3）、Circuit-Level 比 packet filtering 封包流量慢。 4.2.4应用层网关技术：图4.61、运作方式：1）、内部使用者无法直接连接到外部主机，Application Gateway扮演外部主机的代传角色。内部网络的设定被保护隐藏起来。 2）、Application Proxy是经过安全强化的程序。 3）、在应用层作业直接解译及回应应用程序不必理会通讯埠或者协定。 4)、完整察验应用层。 2、优点：1）、设定访问控管条件较简单。 2）、可以完全澈底的检查所有连线资料。 3）、

36、最安全的的防火墙安全。 3、缺点：1）、对于新的通讯协定要较久的时间来设计专属的代理程序。 2）、网络流量效能效差。 第五章 防火墙发展趋势不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富程度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势，而相对于产品本身某个方面的演进，更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到某个环境的某个产品的应用情况，更关系到信息安全领域的未来。针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

37、5.1防火墙包过滤技术发展趋势(1)安全策略功能一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。(2)多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入

38、的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。 (3)功能扩展功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，通常被称之为

39、“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。5.2防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的

40、性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用

41、 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持 IPV6 ，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速.对于采用纯 CPU 的防火墙，就必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和 I

42、DS 功能 ( 传输层以下的 IDS 除外，这些检测对 CPU 消耗小 ) 。对于IDS ，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。5.3防火墙的系统管理发展趋势(1)集中式管理，分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发

43、展，才能更好的满足人们对防火墙技术日益增长的需求。结束语在刘老师的指导下，使我对防火墙技术有了一定的了解，并且认识到算机网络和计算机网络安全就像矛和盾，自计算机诞生之日起就彼消此长。随着Internet的高速发展和应用，其安全越来越引起人们的关注、如何保护企业和个人在网络上的敏感信息不受侵犯己成为当前摆在人们面前的一个重大问题。防火墙技术作为一种用来保护用户内部第一道安全屏障，始终受到人们的关注和重视，并成为网络安全产品的首选。参考文献 1 王艳.浅析计算机安全J . 电脑知识与技术.2010，(s):1054一1055.2 艾军.防火墙体系结构及功能分析J.电脑知识与技术.2004，(s):

44、79一82.3 高峰.许南山.防火墙包过滤规则问题的研究M.计算机应用.2003，23(6):311一312.4 孟涛、杨磊.防火墙和安全审计M.计算机安全.2004，(4):17一18.5 郑林.防火墙原理入门Z. E企业.2000.6 魏利华.防火墙技术及其性能研究.能源研究与信息.2004，20(l):57一627 李剑，刘美华，曹元大.分布式防火墙系统.安全与环境学报.2002，2(l):59一618 王卫平，陈文惠，朱卫未.防火墙技术分析.信息安全与通信保密.2006，(8):24一27 9 王永纲，石江涛，戴雪龙，颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.20

45、04，34(4):400一40910 邵华钢，杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003，29(12):123一12411 付歌，杨明福.一个快速的二维数据包分类算法.计算机工程.2004，30(6):76一7812 付歌，杨明福，王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一6513 韩晓非，王学光，杨明福.位并行数据包分类算法研究.华东理工大学学报.2003，29(5):504一50814 韩晓非，杨明福，王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003，(29):188一19215 冯东雷，张勇，白英彩.一种高性能包分

46、类渐增式更新算法.计算机研究与发展.2003，40(3):387一39216 余胜生，张宁，周敬利，胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工程.2004，30(7):49一51致谢本文是在刘老师的悉心指导卜完成的，从文献的查阅、论文的选题、撰写、修改、定稿，我的每一个进步都和刘老师的关注与指导密不可分。刘老师在研究方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿，给子我巨大、无私的帮助。论文的字里行间无不凝结着老师的悉心指导和浮淳教海，老师渊博的学识和严谨的治学态度给我留下了深刻的印象，我从他那里学到的不仅仅是专业知识，更重要的是严谨的治学态度、对事业忘我的追求、高度的使命感、责任感及和蔼热情的品质和做人的道理，这些将使我