防火墙安全技术.doc

《防火墙安全技术.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、防火墙安全技术在构建安全的网络环境的过程屮，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个公司在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品2—。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？众所周知，防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络Z间，或者与其他网络Z间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且木身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础

2、设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和InternetZ间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换—NAT技术、代理技术等。包过滤技术(PacketFilter)是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行冇选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包进行过滤)。用户可以设定一系列的规则，指泄允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包的传输应该被拦截。包过滤规则以IP包信息为基础，对IP包的源地址、

3、IP包的目的地址、封装协议(TCP/UDP/ICMP/IPTunnel)＞端口号等进行筛选。包过滤这个操作可以在路由器上进行，也可以在网桥，英至在一个单独的主机上进行。传统的包过滤只是与规则表进行匹配。防火墙的IP包过滤，主要是根据一个有固定排序的规则链过滤，其屮的每个规则都包含看IP地址、端口、传输方向、分包、协议等多项内容。同时，一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。东方龙马防火墙采用了基于连接状态的检查，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检杳。网络地址转换是一

4、种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着川户不需要为其网络屮每台机器取得注册的IP地址。NAT旳T作过稈如图加示:源地址片的堆址I92.16S.I1LSolm.com.coM地址tl的血址obn.com.cn192.I6S111.5目的堆址olm.cofn.co200.200.200.200

5、刚:的但］R的定址200.200200.200olntcom.cn衣内部网络通过安全网卡访问外部网络时，将产生…个映射记录。系统将外出的源地址和源端U映射为一个伪装的地址和端口，让这个伪装的地址和端U通过非安全网

6、卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口來请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机屮。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。应用代理或代理服务器(ApplicationLevelProxyorProxyServ

7、er)是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再冋送给用户。这种技术被用于在Web服务器上高速缓存信息，并且扮演Web客户和Web服务器Z间的屮介角色。它主要保存因特网上那些最常川和最近访问过的内容，为用户提供更快的访问速度，并且提高网络安全性。这项技术对ISP很常见，特别是如果它到因特网的连接速度很慢的话。在Web上，代理首先试图在木地寻找数据，如果没有，再到远程服务器上去查找。也可以通过建立代理服务器来允许在防火墙后血直接访问因特网。代理在服务器上打开一个套接字，并允许通过这个套接字与因特网通信。如

8、果防火墙系统木身被攻击者突破或迂冋，对内部系统来说它就亳无意义。因此，保障防火墻自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。