防火墙技术对网络安全的影响

1、防火墙技术对网络平安的影响摘要：本文通过防火墙的分类、工作原理、应用等分析，同时对防火墙技术在企业网络平安中的作用及影响进展阐述。关键词：防火墙网络平安技术0引言随着科学技术的快速开展，网络技术的不断开展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的开展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的平安，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络平安政策的有机组成局部，它通过控制和监测网络之间的信息交换和访问行为来施行对网络平

2、安的有效管理。1防火墙的分类防火墙是在内部网与外部网之间施行平安防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙开展的先后顺序可分为:包过滤型(pakfilter)防火墙(也叫第一代防火墙)。复合型(hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有:iga(internetgateayappiane)防毒墙；sniall防火墙以及inktvustyberall等。按防火墙在网络中的位置可分为:边界防火墙、分布式

3、防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的平安策略来施行检查，以决定网络之间的通信是否被允许，并监视网络运行状态。2防火墙在网络平安中的作用防火墙的作用是防止非法通信和未经过受权的通信进出被保护的网络。防火墙的任务就是从各种端口中区分判断从外部不平安网络发送到内部平安网络中详细的计算机的数据是否有害，并尽可能地将有

4、害数据丢弃，从而到达初步的网络系统平安保障。它还要在计算机网络和计算机系统受到危害之前进展报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以到达以下目的:限制别人进入内部网络，过滤掉不平安效劳和非法用户。防止入侵者接近你的防御设施。限定用户访问特殊站点。为监视inteet平安提供方便。3防火墙的工作原理防火墙可以用来控制internet和intranet之间所有的数据流量。在详细应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络平安起到了把关作用，只允许受权的通信通过。防火墙是两个网络之间的成分集合，有以下性质:内部网络和外部

5、网络之间的所有网络数据流都必须经过防火墙；只有符合平安策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的平安策略中允许的通信才允许通过防火墙；三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。4防火墙技术防火墙的种类多种多样，在不同的开展阶段，采用的技术也各不一样，因此也就产生了不同类型的防火墙。防火墙所采用的技术主要有:4.1屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过

6、滤通过检查每个ip网络包，获得其头信息，一般包括:到达的物理网络接口，源ip地址，目的ip地址，传输层类型(tpudpip)，源端口和目的端口。根据这些信息，判别是否规那么集中的某条目匹配，并对匹配包执行规那么中指定的动作(制止或允许)。4.2基于代理的(也称应用网关)防火墙技术它通常被配置为“双宿主网关，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理，通常是为其所提供的效劳定制的。代理效劳不允许直接与真正的效劳通信，而是与代理效劳器通信(用户的默认网关指向代理效劳器)。各个应用代理在用户和效劳之间处理所有的通信。可以

7、对通过它的数据进展详细的审计追踪，许多专家也认为它更加平安，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范的攻击。4.3包过滤技术系统按照一定的信息过滤规那么，对进出内部网络的信息进展限制，允许受权信息通过，而回绝非受权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的ip包，从其ip头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规那么进展一一匹配比拟，执行其相关的动作。4.4动态防火墙技术动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，ip地址的输入输出业务，因

8、此限制了控制才能，并且由于网络的所有高位(102465535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创立动态的规那么，使其适应不断改变的网络业务量。根据用户的不同要求，规那么能被修改并承受或回绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进展分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的ip地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接完毕时，也应及时从连接表中删除其相应信息。4.5一种改良的防火墙技术(或称复合型防火墙技术)由于

9、过滤型防火墙平安性不高，代理效劳器型防火墙速度较慢，因此出现了一种综合上述两种技术优点的改良型防火墙技术，它保证了一定的平安性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的恳求，由于对内部网的平安威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的恳求，先要通过包过滤型防火墙，在此经过初步平安检查，两次检查确定无疑后可承受其恳求，否那么，就需要丢弃或作其他处理。5防火墙的应用5.1硬件防火墙的设置下面以思科pix501型防火墙为例，设置如下:要设置内部接口的ip地址，使用如下命令:pix1(nfig)#ipaddressinside10.1.1

10、.1255.0.0.0pix1(nfig)#如今，设置外部接口的ip地址:pix1(nfig)#ipaddressutside1.1.1.1255.255.255.0pix1(nfig)#下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，ethernet0接口是外部接口，它在pix501防火墙中只是一个10base-t接口。ether-net1接口是内部接口，是一个100base-t接口。下面是启动这些接口的方法:pix1(nfig)#interfaeethernet010basetpix1(nfig)#interfaeethernet1100fullpix1(n

11、fig)#最后设置一个默认的路由，这样，发送到pix防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的ip地址是10.76.12.254):pix1(nfig)#ruteutside0010.76.12.254pix1(nfig)#当然，pix防火墙也支持动态路由协议(如rip和spf协议)。如今，我们接着介绍一些更高级的设置。网络地址解析由于我们有ip地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“pat或者“natverlad的网络地址解析。这样，所有内部设备都可以共享一个公共的ip地址(pix防火墙的外部ip地址)。要做到这一点，请输入这些命令:pi

12、x1(nfig)#nat(inside)110.0.0.0255.0.0.0pix1(nfig)#glbal(utside)110.1.1.2glbal10.1.1.2illbeprtaddresstranslatedpix1(nfig)#使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享ip地址10.1.1.2。然而，客户机到目前为止还没有任何规那么允许他们这样做。5.2软件防火墙的设置以天网、诺顿防火墙为例:5.2.1天网防火墙(2.60版)在天网防火墙的主面板上点击“系统设置按钮，在弹出的“系统设置窗口中，点击“规那么设定中的“向导，就会弹出设置向导。在“平安级别设置对话框

13、中选择好平安级别(局域网内的用户可以选择“低)后再点击“下一步按钮，进入“局域网信息设置窗口。勾寻我的电脑在局域网中使用，软件便会自动探测本机的ip地址并显示在下方。接下来，一路点击“下一步按钮即可完成设置了。5.2.2诺顿个人防火墙在软件的主界面左侧点击“internet区域控制选项，在右侧窗口进入“信任区域选项卡，点击“添加按钮，翻开“指定计算机对话框。在该对话框中选择“使用范围，然后在下面输入允许访问的起始地址和完毕地址即可。6完毕语防火墙技术是目前应对网络平安问题的有效的技术手段之一，但是网络平安是一个系统的、全局的管理问题，网络上的任何一个破绽，都会导致全网的平安问题，我们应该用系统工程的观点、方法，分析网络的平安及详细措施。平安措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、