防火墙技术的基本原理精选(九篇)

第1篇：防火墙技术的基本原理范文

关键词：计算机网络安全；防火墙技术；应用；研究

随着信息技术的快速发展，计算机网络安全问题越来越受到人们的关注，优化网络防火墙技术，可以有效阻止网络攻击，防止信息泄露和数据丢失，所以优化计算机网络安全防火墙技术是十分重要的。本文对现存的计算机网络安全问题及应用作出具体分析，不断提高网络防火墙技术。

一、防火墙技术的基本概念

防火墙技术在实际网络安全应用中为网络结构建立起屏障，为各个网络节点的访问设置权限，确保彼此沟通的有效性和安全性。防火墙技术在网络的内部和外部之间建立了一个保护机制，外部信息的传入需要通过网络防火墙的检测，通过分离器单元和分析器单元检测数据，分析数据的安全性，保持防火墙技术建立的统一性，才能优化网络安全，达到防火墙技术优化处理效果。

此外，随着人们接受数据方式的改变，防火墙技术能够最大限度的保障网络安全，防止人们在网络数据搜索时避免恶性事件的发生，有效避免黑客、病毒、钓鱼软件给网络安全带来的威胁，防火墙技术为计算机网络安全提供了一个屏障，抵御外部的恶意攻击。防火墙技术对出入计算机网络的内容进行集中监测、分析，确保信息安全之后再传入计算机内网，不安全信息将被直接屏蔽。

二、导致计算机网络安全的原因

随着如今网络技术的快速发展，在计算机网络给生活带来极大便利的同时计算机网络也存在着极大的安全隐患，一般的网络安全问题会导致计算机系统的损坏，严重的情况下将会给个人或企业带来重大的经济财产损失。

计算机网络安全产生的原因可分为两个层面，分别是人为原因和自然原因。人为因素所引发的网络安全问题大都是由于网络技术人员专业技术或是安全意识不高，操作人员实际操作不规范会导致严重的网络安全问题。另一方面就存在恶意的网络攻击事件，网络黑客和竞争对手的蓄意为之会导致计算机网络安全受损。自然因素所导致的是在计算机设备正常运行中由于设备老化或是设备之间的电磁辐射导致设备原件损壞，网络系统瘫痪网络安全问题随之而来。除此之外，计算机病毒也是诱发网络安全的重要原因之一，计算机病毒出现之后由于其隐蔽性较高且拥有较强的复制能力，往往不容易发现，当计算机网络安全问题发生之后就会给使用者造成非常大的影响，严重的更可能导致计算机瘫痪。

三、防火墙技术对于计算机网络安全的重要性

（一）规避网络危险站点的访问

在平常的网络数据传输中需要访问一定的站点，防火墙技术对于危险站点的控制可以有效的规避开一些网络安全问题。防火墙技术在用户获取外网数据时必须通过授权协议来通过防火墙，在其他主机请求数据交换时给计算机提供一定的保护，防火墙技术通过这种方式对危险的项目强行禁止访问，间接降低了计算机内网受到危险攻击的可能性，从而达到保护计算机网络安全的目的。

（二）防火墙技术的集中保护

防火墙技术对于网络安全的集中保护是十分重要的，在计算机的网络内部可以通过将计算机中一些特定软件和附属软件纳入网络防火墙系统中，可以采用集中化的管理模式，这给重要数据和信息提供了一定的保障，计算机网络防火墙技术把一些口令和密码设置到防火墙中，更能确保其计算机网络安全性。

（三）统计不安全的网络访问记录

防火墙可以经过对内外网络之间访问痕迹的记录，将访问数据和传输记录通过网络日志的形式记载，网络访问信息作为重要的数据情报通过对网络攻击的分析，由此做好日后的防范。例如企业的网络风险是由于外部单位所引发的财务和证券风险，这是企业就可以借助防火墙技术有效的规避和预防风险，企业在对网络安全问题有所了解之后就可以积极的采用防范措施阻止外部的恶意访问和进行内部的主动监控，从而将计算机网络安全问题带来的未知风险降到最低。

四、在计算机网络安全中优化防火墙技术的主要措施

（一）在计算机网络安全管理中优化防火墙加密技术

在计算机网络数据交换中可采用加密和处理技术，在信息发送之前可对数据进行集中加密，接收方需要经过验证密码之后才可以解密文件，实现最高安全化的传递信息，减少数据信息的泄漏。

（二）开发更先进的网络安全防火墙身份验证技术

优化网络用户在授权使用中信息发送和接收中的身份识别技术，确保信息在传送中安全有效的传递，减少使用用户可介入的阶段，进一步提升传递信息的稳定性，确保计算机网络安全最大化。

（三）防火墙复合技术的使用

网络安全技术需要多方面的保护，防火墙复合技术就是建立在防火墙与过滤基础上采用更稳定的保护方式，从而弥补现阶段的防火墙技术漏洞。在防火墙技复合术上体现出了防火墙技术的双向性，在计算机网络安全防火墙受到攻击时可以及时的作出防御，能够更有效地避免外网的攻击。

五、结语

综上所述，我们从计算机网络安全的概念、网络安全问题产生的原因、计算机网络安全的重要性以及优化计算机网络防火墙技术四个层面分析，进一步优化防火墙技术结构，确保计算机网络安全，充分发挥防火墙技术的实际价值和其优势，有效防范计算机网络安全问题，健全完善的计算机网络安全保护机制，为计算机网络安全持续发展打下坚实的基础。

参考文献 

[1]肖玉梅[1]，苏红艳[2].试析当前计算机网络安全中的防火墙技术[J].数字技术与应用，2013（5）：218-218. 

[2]姜可[1].浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用，2013（4）：178-179. 

第2篇：防火墙技术的基本原理范文

关键词：网络安全 防火墙

1 概论

当今社会互联网高度发达，几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在，网络安全已经成了专门的技术。保证网络安全有很多种措施，包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等，其中防火墙技术使用最广泛，实用性最强。

2 防火墙技术

防火墙技术是一个由硬件设备和软件组合而成，在内部网和外部网之间的界面上构造的保护屏障，是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制，防止外网用户以非法手段访问内部网络，保护内部网络环境。防火墙能很好的保护用户，入侵者只有穿过防火墙，才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻，能满足绝大多数用户的需要。

3 防火墙分类

3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现，只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单，价格便宜，广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络，效果很好，但是价格昂贵，只适用于大型企事业单位。

3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器（NP）架构三种。

通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低，CPU处理能力弱，通用CPU架构防火墙的数据吞吐量较低，和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。

ASIC（Application Specific Integrated Circuit专用集成电路）技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题，稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案，线速可达千兆。ASIC技术的优势体现在对网络层的数据转发，而对应用层的数据处理不占优势。

网络处理器（NP）是专门为处理数据包而设计的可编程处理器，它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。

NP内含多个数据处理器，可以并发处理数据。数据处理能力较通用处理器强大很多，处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高，而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器，能够胜任高速数据处理。

3.3 从技术上分 目前有很多种防火墙技术，根据采用技术的不同，总体可以分为两大类：包过滤型和应用型。

3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙，作用在网络层和传输层，技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包，每个数据包都包含一些特定信息，如数据源地址，目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址，其余数据包则被丢弃。

在包过滤防火墙的发展过程中，出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。

静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包，与过滤规则匹配成功则丢弃，否则让其通过。过滤规则基于数据包中的特定信息，如数据源地址，目的地址、协议类型、端口号等。

动态包过滤型防火墙的包过滤规则采用动态设置的方法，解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态，不仅根据规则表检查每一个包，还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为，增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪，并且可根据需要在过滤规则中动态地增加或更新条目。

包过滤技术既简单实用，又能适用于所有的网络服务，基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术，只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵，如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址，骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。

3.3.2 应用型防火墙 应用型防火墙工作在应用层。它通过对各种应用服务编制专门的程序，实现监控应用层通信流的作用。

在型防火墙技术的发展过程中，出现了第一代应用网关型防火和第二代自适应防火墙。

应用网关型防火墙有时也被称为服务器，其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间，对于服务器来说，它相当于客户机；对于客户机来说，它相当于服务器。从客户机发出的数据包经过防火墙处理后，可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信，所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是服务器技术。

自适应型防火墙是一种新型防火墙，近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有类型防火墙的安全性的优点，能在不降低安全性的基础上将防火墙的性能提高数倍。自适应型防火墙的基本组成要素包括动态包过滤器和自适应服务器。

应用型防火墙是为防范应用层攻击设计的，它可以筛选保护OIS网络模型中的任意层数据通信。应用型防火墙有以下优点：隐藏内部IP；限制某些协议的传出请求；指定对连接的控制；能够记录连接日志，对追踪攻击和非法访问很有用。

应用防火墙的缺点：用户每次连接都要认证，带来不便；用户系统须定制；速度相对较慢，当网络通信速率较高时，就会影响内外部通信，但通常情况下不会很明显。

4 结束语

防火墙系统只是一种网络安全防护手段，并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击，某些恶意的访问可以通过客户机的软件绕过放过防火墙，传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。

单纯的防火墙技术逐渐不能满足人们对网络安全的需要，防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有：多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。

随着计算机技术的发展，防火墙技术会不断的向前发展，网络安全问题也会不断涌现。只有不断改进安全策略，才能保证网络安全稳定的发展。

参考文献：

[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008，(03).

第3篇：防火墙技术的基本原理范文

关键词：计算机网络，防火墙，信息，技术

 

随着计算机网络的发展，各行各业的网络新技术也不断涌现并得到广泛应用。然而病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙是防御网络信息遭受攻击的有效技术之一。

一、防火墙的概念

防火墙是指设置在不同网络之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，是提供信息安全服务，实现网络和信息安全的基础设施。

当今的防火墙所采用的安全策略有很多种，不同的防火墙侧重点不同。在设置防火墙之前必须明确该防火墙所要保护的网络系统的数据需求，确定允许那些类型的信息通过防火墙，那些信息必须阻止，然后由防火墙对外部网络与内部网络之间交换的信息进行检查，符合设置条件的予以放行通过，不符合设置条件的则拒之门外。

二、常用构建防火墙技术的分析与研究

防火墙通常采用的技术有分组过滤技术、应用层网关技术和服务技术等。

1、分组过滤技术的基础是网络中的分包传输技术。网络上的数据是分组以“包”的形式传输的，每个数据包都包含数据的源地址、目标地址、TCP/UDP源端口和目标端口等等信息。分组过滤技术就是依据系统内预设的过滤逻辑条件，检查数据流中的每组数据，根据数据包的源地址、目标地址、TCP/UDP源端口号和目的端口号以及数据包头中的标志位来确定是否允许通过，拒绝来源于非安全站点的数据。采用这种技术的防火墙其核心在于过滤算法的设计。例如：在以太网中，得到的数据包大致是如下结构：以太帧头14个字节，放在PUCHAR 结构数组的第0个元素到第13个元素中，其中前六个字节是目的MAC地址，之后是六个字节源MAC地址，最后两个字节是协议类型，通常的协议类型有0x08 0x00->IP，0x08 0x06->ARP，0x08 0x35->RARP，所以，可以通过数组的第12个元素和第13个元素来判断协议类型，过滤规则就是在这个基础之上建立。如果要过滤特定协议，只要在相应的字节读取数据，判断是否符合要过滤的规则即可。

分组过滤技术的优点是逻辑简单、速度快、易于安装和使用， 网络性能和透明性好且价格便宜，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙不需要很多额外的费用。

分组过滤技术的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。

2、应用网关技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制的输入输出通信环境进行严格控制，以防止内部数据被窃取。另外，应用层网关还负责对网络交流的信息进行记录，比如：用户登录的时间，登录的网址，用户频繁使用的网络界面等。数据包过滤和应用网关防火墙有一个共同的特点，它们都是依靠特定的逻辑判定来决定是否允许数据包通过。。如果满足逻辑条件，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。。

应用网关技术的优点是可以在LAN 机器上被透明配置、保护在一个或多个外部 IP 地址之后的许多机器，简化管理任务、用户到LAN 的出入可以通过打开和关闭 NAT 防火墙/网关上的端口来限制。

应用网关技术的缺点是一旦用户从防火墙外连接了服务，则无法防止其蓄意活动。

3、服务技术

服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的'链接'， 由两个终止服务器上的'链接'来实现，外部计算机的网络链路只能到达服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

服务技术的优点是使管理员拥有对LAN 之外的应用程序和协议功能的控制权、某些服务器可以缓存数据，因此当客户存取频繁请求的数据时，这些数据就可以从本地缓存调出而不必使用互联网连接，这有助于减少不必要的带宽用量、服务可以被密切地监视和记录，从而允许在网络资源用量方面进行更严格的控制。

服务技术的缺点是通常是应用程序特有的（HTTP、telnet 等）或在协议方面有限制的（多数只能用于 TCP 连接的服务）、应用程序服务无法在后面运行，因此用户的应用程序服务器必须使用另一种网络保安措施、可能会成为网络的瓶颈，因为所有的请求和传输都要经过一个中介而不是让客户直接连接远程服务。

三、防火墙技术的发展趋势

未来防火墙系统将从高效和高速两个角度去发展。

防火墙的几种基本类型各有优点和不足之处，所以将这些方式结合起来，以弥补单纯一种方式带来的漏洞和不足就是防火墙技术发展的一个重要的方向，例如，我们在对传输层面的数据包特性进行过滤的同时，也对应用层的规则进行过滤，这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力提高防火墙的工作效率。

另外无论采用怎样的技术手段设计的防火墙，都必须设置日志系统，这样才能方便地追踪过去网络中发生的事件。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，较多的防火墙系统的日志都采用文本方式记录网络事件。而文本方式的每一个字符都需要占用一个字节，对带宽消耗很大。如果直接采用二进制数据记录日志可以大大减小数据传送量。所以，支持二进制格式的日志数据库，是未来防火墙日志和日志服务器软件的发展方向。

新型的防火墙系统还需要与移动设备有机地结合，当网络防火墙所保护的网络系统遭到攻击时，可以通过移动设备及时得到通知，在第一时间作出应急处理，以保护数据安全，将损失降到最低。

四、结束语

防火墙技术已经广泛地应用到政府机关、医疗卫生、金融业、零售、远程通讯等行业，但是选择哪一种防火墙技术来保障网络安全，是用户需要深入研究的问题。。期望通过本文的探讨和研究，能够帮助各行业用户根据各自的网络应用特性正确选择应用防火墙。

参考文献：

防火墙原理与技术阎慧

Internet 安全与防火墙[美]普端萨姆

The Defence Strategy In Network Security

第4篇：防火墙技术的基本原理范文

1防火墙的基本分类

时至今日，防火墙的发展已经经历了一个较长的过程，其发展历程可以大致地归纳为：基于硬件技术的防火墙，最常见的硬件是路由器设备；以用户为中心建立的防火墙应用工具；伴随着计算机操作系统的发展而逐步建立起来的防火墙技术，例如在常见的xp、windous7系统中开发的防火墙工具；拥有安全操作系统的防火墙，比较常见为netscreen。在每个发展阶段都涌现出很多产品，无论这些产品基于何种技术或者平台，我们都可以将其总结为：①按照结构的不同可以将防火墙分为两类，即路由器和过滤器设备的组合体系、主机系统；②从工作原理上进行分类，防火墙可以分为四大类，即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关；③按照防火墙在网络中的位置来进行分类的话，其可以分为两种：分布式防火墙和边界防火墙，其中网络系统防火墙以及内部网络中的主机共同构成了前者，④按照防火墙技术的发展先后顺序，防火墙技术可以分为：第Ⅰ代防火墙技术即packfilter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术，例如防毒墙。第Ⅳ代防火墙技术，例如sonicwall。

2防火墙的主要功能

无论是在外部网络中还是内部网络中，防火墙对于整个网络体系的安全防护作用都是至关重要的，是互联网与垃圾信息、病毒文件之间的有效屏障，其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述，防火墙技术已经经过了四代的发展，技术在不断完善，但是其工作原理可以归纳为：将防护节点安置于内外部网络的链接端口，在这些断口处设定相关安全规则，一旦发生数据传输或者访问，这些数据就必须经过端口安全规则的检测认证，检测区是否对网络存在安全威胁，如果经检测有害，那么会立即阻断数据传输，起到了保护计算机网络的目的，与此同时防火墙系统要在网络受到攻击时及时做出警示，提醒计算机用户以及网络安全维护人员不安全信息，终止操作，消除威胁。其中值得注意的是，防火墙的响应时间也是至关重要的一环，因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点，因此，在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。

3防火墙的主要应用

第5篇：防火墙技术的基本原理范文

关键词：网络安全 防火墙 PKI技术

1.概述

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

2.防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2.2.防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

2.3.管理与培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

2.4.可扩充性

在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

2.5.防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

3.加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

3.1.对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

3.2.非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e与（p-1）(q-1)互素

私有密钥：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n),其中m为明文，c为密文。

解密：m=cd(mod n)

利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

4.PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

4.1.认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

4.2.注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

4.3.策略管理

在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

4.4.密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4.5.证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

5.安全技术的研究现状和动向

第6篇：防火墙技术的基本原理范文

关键词：防火墙；网络安全；网关；应用

1 引言

防火墙是提供行之有效的网络安全机制，是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障，在内部网与外部网之间实现安全的防范措施。

防火墙实质上就是一种隔离控制技术，从逻辑上看它既是一个分析器又是一个限制器。它要求所有进出的网络数据流都应该经过它，并且所有穿过它的数据流都必须有安全策略和计划的确认和授权。

2 传统防火墙技术探究

(1) 包过滤防火墙

数据包过滤（Packet filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网络性能和透明度好。它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用。

这类防火墙的缺点是不能对数据内容进行控制，很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。

(2) 应用服务器

应用服务器技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层连接，由两个服务器之间的连接来实现，外部计算机的网络链路只能到达服务器，从而起到隔离防火墙内外计算机系统的作用，另外服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向管理员发出警告，并保留攻击痕迹。应用服务器对客户端的请求行使“”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。

(3) 状态检测防火墙

状态检测又称为动态包过滤，是在传统包过滤上的功能扩展。传统的包过滤在遇到利用动态端口的协议时会发生困难，如FTP，你事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息（如FTP的Port和Pass命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。

状态检测防火墙在网络层由一个检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被终止。状态检测防火墙一般也包括一些级的服务，它们提供附加的对特定应用程序数据内容的支持（如HTTP连接中抽取出Java Applets或ActiveX控件等）。

3 新防火墙技术发展探究

在传统的防火墙技术中，其应用存在着一些不可克服的限制，最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包，并且很容易受到诸如DoS（拒绝服务）、IP地址欺诈等黑客攻击，现在已基本上没有防火墙厂商单独使用这种技术，现在大多数的防火墙制造商在自己的设备上集成了其它的安全技术，如NAT和VPN、病毒防护等。

(1) 分布式防火墙技术

它是一种新的防火墙技术，它可以很好地解决边界防火墙以上的不足，不是为每对主机安装防火墙，而是把防火墙的安全防护系统延伸到网络中各对主机。一方面有效地保证了用户的投资不会很高，另一方面给网络所带来的安全防护是非常全面的。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。从而形成了一个多层次、多协议，内外皆防的全方位安全体系。

(2) 智能防火墙技术

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

智能防火墙成功地解决了普遍存在的拒绝服务攻击（DDOS）的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。

4 结束语

随着网络安全技术的发展，建立以防火墙为核心， 以IDS、IPS、病毒检测、身份认证、数据加密等相关安全技术联合使用，协同配合，形成一个有效的安全防范体系，系统防御外来入侵，那么网络的安全性就能得以明显提升。

参考文献

第7篇：防火墙技术的基本原理范文

关键词：防火墙技术；计算机；网络安全

随着网络技术的发展，互联网的普及，网络安全问题已经被越来越多的人所重视。在网络安全中，最大的威胁是黑客恶意入侵或攻击，由于这种安全威胁的存在，使得电子商务、政府网上工程无法顺利的进行。就目前为止，解决网络安全问题的最有效的方法是采用防护墙技术。

1.网络安全问题

    随着信息技术的快速发展，互联网技术已经渗透到多领域内。计算机网络技术的发展，改变人们生活方式和观念的同时，对社会的意识形态及面貌也有一定的影响。病毒的侵袭、黑客的攻击及电磁泄漏等严重的影响人们正常的工作、生活。网络安全问题出现的原因是人不经意的失误和有人故意对网络进行攻击。操作人员在操作过程中，由于缺乏安全意识、口令操作信息不准确或是无意中将自己的信息泄露给别人，都会导致网络安全威胁问题，此外，人为的恶意攻击也是威胁网络安全的重要因素，同时也是网络安全中所面临的最大难题。因此，不管是计算机惯犯的攻击，还是竞争方的恶意攻击，都会对计算机网络安全造成一定的威胁。

2.防火墙概况

2.1防火墙概念

    所谓的防火墙就是在建筑大厦时，为了防止火灾通过传递的方式从一个地点传到另一个地点而设置的。计算机网络防火墙也是为了防止类似事件发生而设计的。网络安全防火墙是指两个网络之间为了加强访问控制而设置的一整套装置，是网络内部与外部之间的安全防范系统，正常情况下，安装在网络内部和网络外部的连接点上。当外部网有信息传递时，都需要经过防火墙检测，确定没有问题才能将安全信息转发至内部网络。计算机网络系统防火墙主要是由分离器、限制器、分析器等构成的。有特殊情况下，防火墙的实现方式是不同的，而在正常情况下是相同的，都是由一个路由器和路由器组合、一台主机和适当的软件组成的。

2.2防火墙特性

防火墙在网络信息传输过程中其起着网络安全把关作用，同时其可以将安全防范集中在内部网络和外部外网络连结的阻塞点上。防火墙的特性就是具有阻塞通信信息的功能，网络上所有进出的信息都必须经过防火墙这一阻塞点进行检查和传递；防火墙有阻止不合规范信息传递功能。随着网络的普及，给人们的生活、工作带来了方便。据统计，每天都有成百上千万人用互联网进行信息交换或是收集，在这一过程中，难免会有人为了达到某种目的，对网络发起攻击或是恶意侵犯。为了解决这一问题，研究人员研究出防火墙。防火墙可以充当安全卫士，对出入的信息进行安全检测，只有符合系统安全规定的的信息才可以通过防火墙；由于网络内部和网络外部进行信息交换，都需要经过防火墙，依据防火墙的特性，收集和记录相关的系统或是网络上使用的信息是最合适不过的。此外，防火墙还可以将内部网络分成不同的网段，限制不良网站的访问，对阻止恶意网站的侵袭有重要的作用。防火墙能够防止不良信息的恶意侵袭，但是随着科技的发展，新的问题还会出现，面对新的问题，现在的防火墙技术还不能有效的阻止不良网站的侵袭，再加上防火墙的局限性，不能防范不通过它的连接，同时也不能防范病毒入侵等网络安全问题，防火墙技术还有待于研究。

3.防火墙的种类

3.1防火墙的种类很多，目前网络上常用的防火墙主要有分组过滤型防火墙、应用型防火墙及复合型防火墙。每一种防火墙都有其独特的功能作用。分组过滤性防火墙是最基本的防火墙，实际上也是包过滤路由器。包过滤路由器是在网络合适的位置，一系统被设置的过滤原则为依据，对数据包进行有选择的通过，这里的数据包的工作原理及技术是各种网络防火墙最基础的构件，防火墙要想有效的工作，需要过滤包对过滤路由器与IP包过滤配合，才可以顺利实施。当过虑网关收到数据包后就会先对报文头进行扫面，随后对报文头源的IP 地址、目的IP和目的TCP/ UDP端口等域进行检查，确定之后，才可以决定其丢出与否，最后有管理人员按照相关规则对路由器进行配置。这里的数据包有着无法比拟优势的同时，也有不足之处。虽然数据包有不用其他自定义软件或是客户配置，一个数据包过滤路由器对整个网络有协助保护作用，大部分路由器可以做数据包进行过滤等优点，同时也有当前过滤工具存在缺陷，协议与数据包不符或是数据包不能正常执行某些策略等缺点。因此，要想有效的控制网络安全问题，还需要不断的研究新的防火墙技术；所谓的应用型防火墙实际上就是内部网和外部网的隔离点，对隔离点上的不良信息有监视和隔绝应用的作用。其中的服务就是在防火墙主机上运行的专门应用程序或是服务程序，这些程序服务的依据用户对网络服务的请求运行的安全策略，再加上是是提供链接并进行服务的网关，很多时候也将其叫做应用级网关。因此，服务对阻止外部网络信息进入内部网有重要作用；防火墙中的网络通信链路是由内、外部主机和服务器两部分构成的。服务器的主要作用是根据安全策略分析信息是否安全，此外，服务器可以检查来自客户的请求，并将其转送到主机上，还可以根据安全策略控制用户的请求。服务器既有优势又有劣势，其优势条件是服务可以为用户提供相关的网络服务并具有优化日志的作用；劣势是服务没有非服务有优势，服务正常情况下，要求同时对客户和过程之一服务或是分别对其进行服务。由于服务有一定限制性因素，对于一些服务是不适用的，不能保护所有协议的弱点。

3.2此外，复合型防火墙是将数据包过滤和服务结合在一起进行使用的，这种防火墙可以使络安全性、性能和透明度有效的互补。随着互联网技术的发展，新的问题还会不断的出现，研究人员还要根据新出现的问题研究出新的防火墙技术。只有不断的完善防火墙技术，才能使网络安全得到有效的保证。目前为止，状态技术、安全操作系统、实施侵入检测系统已经出现。在未来的防火墙技术中，还会出现符合时展潮流的新技术。

结束语：

    防 火墙技术是解决网络安全的有效手段，但随着信息技术的迅速发展，新的网络安全问题还会不断的出现。要想使防火墙技术更好的满足网络安全的需要，还需要研究人员研究出安全性更高、透明性更好、网络化性能更加的防护墙技术。

参考文献：

[1]王琦.计算机网络安全防护管理探析[J].科技传播.2010.(17).

[2]刘璇.互联网通讯网络安全防护[J].煤炭技术.2011.(06).

[3]占科.计算机网络防火墙技术浅析[J].企业导报.2011.(11).

[4]吴晓东.计算机网络信息安全防护探析[J].现代商业.2010.(27).

第8篇：防火墙技术的基本原理范文

关键词：校园网；防火墙技术；网络安全

中图分类号：TP309

因特网逐年普及，各类学校对于网络的使用也更是广泛，校园网的建设对于教育教学具有深远意义，因而保证其信息安全尤为必要。但是，校园网络的安全问题却着实令人堪忧，其突出的安全问题值得研究分析。所以，基于当前现状，在校园网络中对其安全问题实施防火墙技术是当前最为普遍的建设性技术。保护计算机信息安全，结合当前计算机安全面临的主要威胁，当仁不让的核心技术就是防火墙技术，同时，对防火墙技术现状的分析研究，对其做出未来的发展设想也是很必然的。

1 校园网络安全

1.1 校园网络的安全需求

校园网对于网络安全的需求是很高的，是全面的，通常表现形式为：网络安全隔离，网络安全漏洞；有害信息过滤等多种多样。校园网络对于其网络安全正常可靠运行的需求是很大的，总之，校园中整个网络的全面性运行的前提是需要一套科学合理的方案做支持，方案制定之后继而合理的实施在网络安全上面，这对于分析和研究校园网络的安全尤其有必要。与学校而言，制定一套安全管理方案和设备配备方案是最科学的，以此来保证校园整个网络的全面安全可靠运行。

1.2 校园网络面对的安全威胁

针对校园网络的安全威胁，总结来说，包括冒充合法用户，病毒与恶意攻击，非授权进行信息访问，或是干扰系统正常运行等。另一方面，对校园网络安全性构成威胁的还有因特网自身的因素，类似网络资源的性质，其资源信息良莠不齐，各式各样，一旦没有进行过滤筛选就放到网络上，一定会造成校园网络安全威胁，其中包含的大量流量资源，造成了网络堵塞，缓慢不运行的上网速度，大量的非法内容出入，并且对于校园生活中的青少年的身心健康造成了极大危害。

2 防火墙技术概述

2.1 包过滤类型防火墙

防火墙技术总体来讲就是一系列功能不一的软硬件组合，其功能通常包括存取，控制等，它工作的原理就是在校园网以及因特网之间进行访问控制策略的设置，从而决定哪些内容可被读取，哪些内容被控制在浏览页之外，如此一来，就保护了校园网络内部非法用户非法内容的入侵。防火墙技术的主要目的在于对数据组进行控制，只对合法的内容加以释放，过滤掉网络杂质。

包过滤类型的防火墙技术工作原理是直接通过转发报文，工作领域是IP层，这是网络的底层，在合适的位置对网络数据进行有选择的过滤，有一个形象的称号称呼这一防火墙技术即为“通信警察”。包过滤防火墙对每一个传入保的基本信息进行浏览，进行过滤，一般查询内容都包括源地址、协议状态等，这些基本信息一般性情况下都能对其内容做出大致统筹，然后与系统源设定的信息规则进行比照，指引可行性信息，拦截网络垃圾。

包过滤类型的防火墙其优点显而易见，其选择性过滤的功效着实对于校园网络安全做出了保障，并且，这一类型的防火墙技术产品通常是廉价的，有效的，安全的，现在学校一般比较通用，这一手段的运行过程完全透明，并且其运行效率，工作性能也是很高，总体来讲，就是指其性价比很是惊人。然而，其必然伴随着不少的缺陷，尚未达到很完美的境地，类似于包过滤类型的防火墙技术不能保证绝对的安全性，对于其网络欺骗行为不能进行彻底的制止，而且有些协议的数据包压根不适合被过滤，譬如“RPC”、“X-WINDOW”等。

2.2 服务器类型防火墙

防火墙技术的主要特征就是在网络周边建立相关的监控系统，以此来保障网络安全，达到网络可靠运行的目的，它的工作原理是通过建立一套完整的规则和系统策略来进行网络安全检测，继而改变穿过防火墙的数据流，来达到保护内部网络安全的目的。由于校园网络与防火墙的工作环境特别兼容，因而，学校网络实现信息安全的一大重要保障就应当是采用实施防火墙技术。

服务器类型的防火墙就是基于服务器，服务器是一种程序，其主要形式就是客户处理在服务器的连接请求。当服务器接收到客户的连接意图时，它将对此请求进行网络核实，然后将处理完成的信息进行实质性传递，呈现在真实的服务器上，最后对发出请求的客户做出应答。

基于服务器类型的防火墙，虽然其安全性能很高，但是它对于用户而言是封闭的，不透明的，工作时有很大的工作量，对于真实服务器的要求较高，另外，服务器通常是需要身份验证或者是注册的，这样一来，就必然会影响到期工作的速度。所以，针对这一缺陷，基于服务器类型的防火墙不太适合于高速下的网络监控。总之，防火墙对于网络安全性是有很大的提高作用的，并不能绝对的根除网络安全问题，除此以外，对于网络内部自身攻击或是病毒很难防御。要想保证网络彻底安全，防火墙技术是核心，且需要辅以其他精准措施。

3 校园网络安全方案及优缺点

3.1 专用的硬件防火墙设备

专用的硬件防火墙设备是以最先进的网络技术和安全技术为基础的，这一类型的防火墙速度极快，将校园内部网络与外部网络做出了极其有效的隔离。通过网络控制，校园内部网络被允许上网，而校园外的网络用户就被隔离，不能直接进行网络访问，当然，也会有其他的网络浏览方式，类似加密然后授权等，这必然有效的保护了校园网络的安全性。这一方案的防火墙，其特点就是基于硬件，并与路由器做“合体”技术，路由器购置中，便自动植入了防火墙设备，以此在很大程度上保证了网络安全。但是，尽管这一设备安全，快速，但是如此专业的软硬件一体设备，其价格自然可想而知，非常昂贵。

3.2 服务器及相关防火墙软件

服务器及相关的防火墙软件也能够实现硬件防火墙的基本功能。采用“UNIX系统”以及该系统内部内核自带的IP地址，当然也包括其中的防火墙软件，能够很好的实现硬件防火墙的基本功能。由于当下Windows 2000或是其他的操作系统自身存在着很多的漏洞，致使其对于IP地址的支持能力极为有限，存在着很大的局限性，对于病毒感染，或是漏洞频出的现象不能很好的避免，所以对于这一安全方案，在服务器的选择上尽量避免Windows 2000。服务器常年运行，若要保证校园网络安全，其所有的出口流量等全都需要经过这一服务器，所以方案设备配置时，一个性能高的，经久耐用的专用服务器就显得尤为重要了，以此加强其工作稳定性。这一配备的投资较为节省，而且性能很好，很大程度上保证了园网络安全。因而，针对以上两种方案，学校对投资校园网络建设时，结合财力，性能，需求等多种因素进行防火墙方案选择。

4 结束语

因特网的迅猛发展，必然伴随着网络攻击手段的不断跟进，保护其安全就显得尤为迫切，防火墙技术已经基本能够满足计算机使用者对于其信息安全的需求，但是防火墙技术作为网络信息安全的核心技术，它值得深入研究的课题以及项目还是很多，譬如如何对防火墙技术进行危险系数的评估等技术尚需得到研究开发，总之，防火墙技术为计算机尤其是校园网络技术做出了巨大贡献。

参考文献：

[1]李欣.高校校园网络安全探索[J].中国现代教育装备，2012（10）：45-46.

[2]唐震.校园网络安全管理技术研究[J].硅谷，2013（08）：33-34.

第9篇：防火墙技术的基本原理范文

1 包过滤防火墙实验

包过滤防火墙[1]可以在网络层或数据链路层截获数据，使用一些规则来确定是否转发或丢弃各个数据包。该文中将以Linux OS下的IPtables软件为例来说明包过滤防火墙实验设计，其实验环境搭建如图1所示。

在该环境中只设置1台Linux主机用于运行IPtables防火墙，三台Windows主机分别连接到防火墙主机的三块网卡（NIC）上，用于模拟私有网络、Internet区域和DMZ。为了满足实验的要求，在这三台Windows主机上需要安装一些必要软件如各种服务器软件并加以配置使其正确运行。在该实验环境中，设计满足如下网络安全要求的防火墙实验。

1） 允许网络接口eth1、eth2相连接的LAN1和LAN2之间进行相互通信。

2） LAN1和LAN2的任何主机可以使用internet中的任何服务（Web，E-mail，Ftp等）。

3） 来自internet的主机不能访问1023以下的LAN1和LAN2中的内部端口。

4） 拒绝从网络接口eth0直接访问防火墙本机的ICMP数据包，但是允许相应防火墙TCP请求的数据包进入。

5） 允许internet中的主机访问LAN1中的DNS服务、WEB服务、FTP服务，其它服务如telnet等禁止。

通过该实验可以使学生掌握防火墙包过滤技术， IPtables的防火墙规则编写方法、IPtables中的表和链的概念、数据包控制方法，防火墙在网络系统中的部署、安装、配置和测试方法等，为以后真正利用防火墙解决网络安全工程中的实际问题奠定坚实的基础。

2 网络地址翻译NAT实验

网络地址翻译（NAT）[2]也是一种重要的防火墙技术，它隐藏了内部的网络结构，外部攻击者无法确定内部网络的连接状态。通过设置规则，在不同的时候，内部网络向外连接使用的地址都可以不同，给外部攻击者造成了困难。同样NAT通过定义各种映射规则，可以屏蔽外部的连接请求，并可以将外部连接请求映射到不同的主机上。NAT实验环境如图2所示，可以设计如下实验。

1） 利用NAT进行IP地址伪装

将向外部网络上提供服务的服务器在物理上放置于私用网络中，假如私用网络中的一台服务器的IP地址为192.168.1.3/24，如果要对外部网络提供Web服务，就可以利用IPtables进行IP地址伪装，当外部网络中的主机对210.45.144.254进行Web请求时，该防火墙就转向私用网络中的192.168.1.3的服务器进行Web请求。可以使用下面的IPtables规则加以实现。

#IPtables -t nat -A PREROUTING -p tcp -d 210.45.144.254 —dport 80 -j DNAT —to-destination 192.168.1.3

2） 使用NAT访问外部服务

使私有网络中的主机通过NAT访问外部网络中的服务，可以使用下面的IPtables规则加以实现。

3 应用层服务器防火墙实验

服务器防火墙[3] 通过一种（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。

服务器可以用于禁止防问特定的网络服务，而允许其他服务的使用，通过防火墙服务器的通信信息，可以提供源于部分传输层，全部应用层和部分会话层的信息。另外还有识别并实施高层的协议，如http和ftp等的优点。

本实验项目拟用Squid服务器[4]实现高速Web，并且实现认证以及流量计费系统。图3是实现该实验项目的平台。

在以上的实验环境中，设计满足如下要求的实验：

1） 限制内网某些IP使用服务器，例如要使用地址范围10.10.43.1到10.10.43.254的主机允许访问Squid服务器可使用下面的方法定义acl。

一旦定义地址范围以后就可以用带allow动作的http_access命令把allowed_hosts指定为aacl进行下面的定义。

2） 实现认证，指定认证程序，并且指定认证的身份认证口令文件为/usr/local/squid/etc/passwd。

3） 实现Squid服务器访问报告生成器。Squid服务器访问统计系统可以利用Sarg软件加以实现，该软件可以从http：//sarg.sourceforge.net/sarg.php下载sarg-2.3.1.tar.gz源代码软件包。该软件通过访问Squid的日志文件access.log实现用户访问情况统计、站点访问统计、拒绝访问统计、认证失败统计、访问流量统计、访问时间统计等各种信息统计。

4 结论

本文利用Linux OS下的IPtables、Squid以及其它开放源代码软件，灵活地使用Linux主机实现各种防火墙技术，包括使用IPtables实现包过滤防火墙、NAT、IP地址伪装、Squid服务器、认证、服务访问统计系统等，设置了若干防火墙技术实验项目，给出了实验环境的搭建。在节约实验设备硬件投资的情况下，使学生更深入地掌握防火墙原理、技术及实现，并提高学生的专业实践能力。

参考文献：

[1] 叶惠卿. 基于Linux iptables防火墙规则生成的研究与实现[D].广州：中山大学，2010.

[2] 崔建， 钱杰， 张蓓. 校园网中服务器和NAT设备的监控与防范[J]. 大连理工大学学报，2005，45（z1）：s91-s94.