返回
防火墙的概念与原理

防火墙的概念与原理

ID:30967580

大小:81.50 KB

页数:4页

时间:2019-01-04

防火墙的概念与原理_第1页
防火墙的概念与原理_第2页
防火墙的概念与原理_第3页
防火墙的概念与原理_第4页
资源描述:

《防火墙的概念与原理》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防火墙的概念与原理(浙江杭州310027)摘要:随着网络安全问题日益严重,网络安全产品越来越受到人们的重视。本文论述了防火墙的基木概念,阐述了防火墙的基木原理,分析了防火墙的主要技术分类及各白优缺点,并对防火墙的未來发展提岀展望。防火墙;基本概念;基本原理;技术分类;发展展望1・引言:随着计算机网络技术的E速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未冇的海虽信息的同时,网络的开放性和自由性也产生了私冇信息和数据被破坏或侵犯的可能性,网络信息的安全性变得H益重要起來。正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络Z间的

2、一道防御系统,其核心思想是在不安全的网络环境屮构造一个相对安全的子网系统,防火墙是实施网络安全控制的一种必要技术。2•防火墙概述防火墙是指一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的n的。防火墙是在两个网络通讯时执行的一种访问控制尺度,它对两个网络z问传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络z问的通信是否被允许:其屮被保护的网络称为内部网络,未保护的网络称为外部网络或公用

3、网络。应用防火墙时,首先要明确防火墙的缺省策略,是接受还是拒绝。如果缺省策略是接受,那么没冇显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝,那么没冇显式接受的数据包不能通过防火墙。显然后者的安全性更高。防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所侑网络问不受欢迎的信息交换,而允许那些可接受的通信。从逻辑上讲,防火墙是分离器、限制器、分析器;从物理上讲,防火墙由一•组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。3•防火墙的基本原理防火墙足指设置在不同网络或网络安全域之间的一系列部件的组合。它是不

4、同网络或网络安全域Z问信息的唯一出入口。能根据企业的安全政策控制(允许、拒绝、临测)出入网络的信息流。且本身具有较强的抗攻击能力、.它是提供信息安全服务,实现网络和信息安全的基础设施。存逻辑上,防火墙是一•个分离器,一个限制器,也是一个分析器,有效地监控着内部网和InternetZ间的任何活动,保证内部网络的安全。防火墙是网络安全的屏障:一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同吋町以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报史并通知防火墙管理员。防火墙可以

5、强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件口令、加密、身份认证、审计等配置在防火墙上。跟将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。防止内部信息的外泄:利用防火墙对内部网络的划分.可实现内部网重点网段的隔离.从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。另外。隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节日T能包含了有关安全的线索而引起外部攻击者的兴趣.甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。4.防火墙的技术分类及优缺点4.1防火墙的技术分类(1)包过滤技术

6、包过滤防火墙丄作在网络层。对数据包的源及冃地IP具有识別和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、具有路由功能的交换机以及有些操作系统已经具有用包过滤控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端u进行分析,包过滤防火墙的处理速度较快,并且易于配置。但包过滤防火墙不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。(2)应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信。内网用户对外网的访问变成防火墙对外网的访问,然后再山防火墙转发给内网用八。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接

7、的TCP连接,应用层的协议会话过程必须符介代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。(3)状态检测技术状态检测防火墙摒弃了包过滤防火墙仅考查数据包的1P地址等儿个参数,而不关心数据包连接状态变化的触点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。