防火墙作业.docx

1、防火墙作业防火墙技术课程总结姓名： 学号： 摘要：防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一，一般安装在被保护区域的边界处，被保护区域与Internet网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输，进而达到保护区域内部信息安全的目的，同时，通过防火墙的检测控制可以过滤掉很多非法信息。本文介绍了防火墙的基本概念和传统意义上的3大类防火墙，即包过滤防火墙、应用代理网关防火墙、状态检测防火墙，并对其进行了分析，比较其优缺点。无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。文章还对防火墙的主要发展趋势进行了介绍，高性能、多端口、

2、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙，将是未来防火墙发展的趋势。对防火墙的分析，了解其局限性，从而引入了入侵检测。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。它对防火墙技术的局限性进行了补充，因此，文章也做了简要的介绍。Abstract: The firewall is one of the infrastructures to provide information security services, network and information

3、security , it is usually installed in the boundary of protected areas, the firewall between the protected areas and the Internet can effectively control the accession and data transmission between the internal network and external network, and thus to achieve the purpose of protecting information se

4、curity in the region, while the detection and control of the firewall can filter out a lot of illegal information.This article describes the basic concept of firewalls and three categories of the traditional firewall, that is, packet filtering firewall, application proxy gateway firewall, status ins

5、pection firewall, and analyzes them to compare their advantages and disadvantages. No matter how complex the implementation process of a firewall, it is all based on these three technologies. The article also introduces the major trends of the firewall, high-performance, multi-port, high granularity

6、 control, slowing the spread of viruses and spam, the intrusion cut off intelligently, and enhancing resistance to DoS attacks, the firewall above will be the development trends. Acquired through the analysis of the firewall, we understand its limitations, thus introduce the Intrusion Detection. Thr

7、ough the collection information of a number of key points in computer network or computer system and analysis of them, Intrusion Detection found whether there are actions against security policies or signs of attack. It reinforce the firewall of its limitations, therefore, the article also gives a b

8、rief introduction.一、 定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙其实是一种将内部网和公众访问网(如Internet)分开的方法，一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“

9、不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。二、 分类防火墙技术经历了包过滤防火墙、应用代理网关防火墙、再到状态检测防火墙三个阶段。 1、 包过滤防火墙 包过滤是最早使用的一种防火墙技术，工作在网络层，它的第一代模型是“静态包过滤”（static packet filtering），使用包过滤技术的防火墙通常工作在osi模型中的网络层（network layer）上，后来发展更新的“动态包过滤”（dynamic packet filtering）增加

10、了传输层（transport layer），简而言之，包过滤技术工作的地方就是各种基于tcp/ip协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（filtering rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。但是包过滤防火墙是最初级的防火墙，实现功能比较简单，因此具有很多的缺陷：1) 过滤规则设置困难，防护不全面。适当的设置过滤规则

11、可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上，会对已经成功与计算机连接的报文传输进行跟踪，并且判断该连接发送的数据包是否会对系统构成威胁，一旦触发其判断机制，防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改，从而阻止该有害数据的继续传输，但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理，所以与静态包过滤相比，它会降低运行效率。 2) 不支持应用层协议，控制粒度粗糙。假如内网用户提出这样

12、一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 3) 防火墙对待内部主动发起连接的攻击一般无法阻止。综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。 2、 应用代理网关技术 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连

13、接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。但其缺点也非常突出，主要有：1） 难于配置，防护不全面。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。2） 处理速度非常慢，容易导致拥塞。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器

14、、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。3） 防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。3、 状态检测技术 我们知道，Internet上传输的数据都必须遵循TCP/IP协议，根据TCP协议，每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段，我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有

15、着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。三、 发展趋势

16、做为保护网络边界的安全产品，防火墙技术也已经逐步趋于成熟，并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来，面对未来高端防火墙的发展趋势，无论是从用户还是产品供应商，都不可避免的推向了一种对新型防火墙技术需求的角度。1、 高性能的防火墙需求高性能防火墙是未来发展的趋势，突破高性能的极限就是对防火墙硬件结构的调整。而对于高端防火墙的技术实现，现今主要分为三种方式: 基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。工控机架构最大的优点是灵活性，但在大数据流量的网络环境中处理效率会受影响，所以在面对高性能这一方面，将面临淘汰和走进低端产品市场的趋势。NP技术是近年来的一个技

17、术突破点，其优势在于网络底层数据的转发和处理，但如果要实现安全策略的控制和审核，特别是对于应用层的深度控制方面还需要大量的研发工作，相对于接口方面的开发难度，已经局限了它更深层次的发展。ASIC技术虽然开发难度大，但却能够保障系统的效率并很好地集成防火墙的功能，在今后网络安全防护的路途上，防火墙采用ASIC芯片技术将要成为主导地位。2、 管理接口和SOC的整合如果把信息安全技术看做是一个整体行为的话，那么面对防火墙未来的发展趋势，管理接口和SOC整合也必须考虑在内，毕竟安全是一个整体，而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行，SOC做为一种安全管理的解决方案已经得到大力推广

18、。安全管理是为了更有效的把安全风险控制在可控的范围内，从而进行降低和避免信息安全事件的发生。而防火墙做为一种安全访问控制机制产品，要想在安全管理中起到有效的作用，必须考虑与SOC的整合问题，这就涉及到各个厂家对防火墙技术开发过程中的通用性和合作问题。3、 抗DoS能力俗话说：道高一尺、魔高一丈，从近年来网络恶性攻击事件情况分析来看，解决DoS攻击也是防火墙必须要考虑的问题了。做为网络的边界设备，一旦发生争用带宽和大流量攻击事件后，往往最先失去抵抗能力的就是发生在这里。而提高防火墙抗击DoS能力的技术问题，也在缠绕着广大防火墙厂商。在新型技术不断更新的今天，各个厂家已经把矛头指向了解决DoS问题

19、上来。利用ASIC芯片架构的防火墙，可以利用自身处理网络流量速度快的能力，来解决存在于这个问题上的攻击事件。但是，解决这个问题并不是单单靠ASIC芯片架构就可以的，更多的还是面向对应用层攻击的问题，有待于新技术的出现。4、 减慢蠕虫和垃圾邮件的传播速度，并作出处理网络的快速发展，已经成了病毒滋生的温床，而垃圾邮件的出现，更加扩大了网络安全威胁的风险。根据计算机安全厂商MessageLabs公司的报告，已经看到垃圾邮件和病毒制造者联手开发更加智能化的病毒走向趋势，并通过电子邮件进行病毒传播。做为网络边界的安全设备，未来防火墙发展趋势中，减缓和降低蠕虫病毒与垃圾邮件的传播速度，是必不可少的一部分了

20、。对于防火墙来说，仅仅靠支持防病毒和防垃圾邮件功能还远远不够，即使说能够进行有效的联动功能，那么这种情况下的防火墙产品和现今具备的情况来看，也只有高速处理能力的硬件，才能达到嵌入抗病毒引擎和处理垃圾邮件引擎，来完成真正意义上的安全防护解决方案。而仅仅靠支持和联动，那么这种情况下，自身不具备而需要第三方产品的话，并不能在真正意义上解决问题。加强防火墙对数据处理中的粒度和力度，已经成为未来防火墙对数据检测高粒度的发展趋势。5、 对入侵行为的智能切断安全是一个动态的过程，而对于入侵行为的预见和智能切断，做为边界安全设备的防火墙来说，也是未来发展的一大课题。从IPS的出发角度考虑，未来防火墙必须具备这

21、项功能，因为客户不可能为了仅仅一个边界安全而去花两份钱。那么，具备对入侵行为智能切断的一个整合型、多功能的防火墙，将是市场的需求。6、 多端口并适合灵活配置多端口的防火墙能为用户更好的提供安全解决方案，而做为多端口、灵活配置的防火墙，也是未来防火墙发展的趋势。随着网络处理器和ASIC芯片技术的不断革新，高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙，将是未来防火墙发展的趋势。四、 防火墙的局限性及入侵检测系统尽管利用防火墙可以保护内部网免受外部黑客的攻击， 但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火

22、墙不能防范的安全威胁。如防火墙不能抵抗最新的未设置策略的攻击漏洞。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了一个的网络，那么防火墙也没有办法防护这个网络了。再有，防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 Internet 的直接连接。并且，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。做重要的是防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者。由于性能的限制, 防火墙通常不能提供实时的入侵检测能力。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实

23、际需求采取其他相应的安全策略。入侵攻击已经见怪不怪，对付这些入侵者的攻击，可以通过身份鉴别技术，使用严格的访问控制技术，还可以对数据进行加密保护等。因此，一种动态的方法是必要的。比如入侵检测技术。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行

24、为。入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应(被动响应和主动响应)。入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。防火墙作为一种成熟的网络安全设备，已经得到了广泛应用。防火墙产品和技术的发展已经突破了原有防火墙的定义，现有的防火墙技术已经以提高防火墙访问控制细粒度、增加应用层的检测能力、提高产品性能为主要发展目标。同时防火墙的应用已经涉及到所有的行业和用户，防火墙仍然是网络安全的最主要产品。参考文献：1 XX百科 防火墙 2 硅谷动力 防火墙技术发展趋势浅析3 新浪科技 对高端防火墙未来发展趋势的探讨4 维库电子市场 浅析防火墙技术的发展趋势5 电子网 防火墙原理入门6 天下网吧 浅谈防火墙技术与网络安全7 吴秀梅 防火墙技术及应用教程 清华大学出版社8 吴 灏等 网络攻防技术 机械工业出版社9 唐正军 李建华 入侵检测技术 清华大学出版社10 王睿等 网络安全与防火墙技术 清华大学出版社11姜文红 网络安全与管理 清华大学出版社12雷震甲 网络工程师教程 清华大学出版社