欢迎来到天天文库
浏览记录
ID:20108923
大小:39.50 KB
页数:4页
时间:2018-10-08
《防火墙概念与原理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、防火墙的概念与原理(浙江杭州310027)摘要:随着网络安全问题日益严重,网络安全产品越来越受到人们的重视。本文论述了防火墙的基本概念,阐述了防火墙的基本原理,分析了防火墙的主要技术分类及各自优缺点,并对防火墙的未来发展提出展望。关键词:防火墙;基本概念;基本原理;技术分类;发展展望1.引言:随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来。正是因为安全威胁的无处不在,为了解决这个问题防火墙
2、出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络之间的一道防御系统,其核心思想是在不安全的网络环境中构造一个相对安全的子网系统,防火墙是实施网络安全控制的一种必要技术。2.防火墙概述防火墙是指一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度,它对两个网络之问传输的数据包和连接
3、方式按照一定的安全策略对其进行检查,来决定网络之问的通信是否被允许:其中被保护的网络称为内部网络,未保护的网络称为外部网络或公用网络。应用防火墙时,首先要明确防火墙的缺省策略,是接受还是拒绝。如果缺省策略是接受,那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝,那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络问不受欢迎的信息交换,而允许那些可接受的通信。从逻辑上讲,防火墙是分离器、限制器、分析器;从物理上讲,防火墙由
4、一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。3.防火墙的基本原理防火墙足指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之问信息的唯一出入口。能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流。且本身具有较强的抗攻击能力、.它是提供信息安全服务,实现网络和信息安全的基础设施。存逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控着内部网和Internet之间的任何活动,保证内部网络的安全。防火墙是网络安全的屏障:一个防火墙能极大
5、地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报史并通知防火墙管理员。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件口令、加密、身份认证、审计等配置在防火墙上。跟将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。防止内部信息的外泄:利用防火墙对内部网络的划分.可实现内部网重点网段的隔离.从而限制了局部重点或敏感网络安全问题对全局
6、网络造成的影响。另外。隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节日T能包含了有关安全的线索而引起外部攻击者的兴趣.甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。4.防火墙的技术分类及优缺点4.1防火墙的技术分类(1)包过滤技术包过滤防火墙工作在网络层。对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、具有路由功能的交换机以及有些操作系统已经具有用包过滤控制的能力。由于只对数据包的IP地址、
7、TCP/UDP协议和端u进行分析,包过滤防火墙的处理速度较快,并且易于配置。但包过滤防火墙不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。(2)应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信。内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。(3)状态检测技术状态检测
8、防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的觫点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅
此文档下载收益归作者所有