防火墙技术研究报告

防火墙技术研究汇报防火墙技术摘要：伴随计算机的飞速发展以及网络技术的普遍应用，伴随信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一种发展非常活跃的领域，也许会受到黑客的非法袭击，因此在任何状况下，对于多种事故，无意或故意的破坏，保护数据及其传送、处理都是非常必要的。例如，计划怎样保护你的局域网免受因特网袭击带来的危害时，首先要考虑的是防火墙。防火墙的关键思想是在不安全的网际网环境中构造一种相对安全的子网环境。文简介了防火墙技术的基本概念、原理、应用现实状况和发展趋势。Abstract:alongwiththeuniversalapplicationoftherapiddevelopmentofcomputerandnetworktechnology,withtheadventoftheinformationage,informationasanimportantresourceispaidattentiontoandusedbypeople.TheInternetisadevelopmentofveryactivedomain,maybeillegallyattackedbyhackers,soinanycase,foravarietyofaccident,accidentalorintentionaldamage,protectionofdataandtransfer,processingisverynecessary.Forexample,planstoprotectyournetworkfromthehazardsbroughtbyInternetattack,firewallisthefirstconsideration.ThecoreideaoffirewallistherelativesafetyofthestructureofanetworkenvironmentintheinsecureInternetenvironment.Thispaperintroducesthebasicconceptoffirewalltechnology,principle,applicationstatusanddevelopmenttrend.Keywords:firewall;networksecurity目录一、概述 4二、防火墙的基本概念 4三、防火墙的技术分类 4四、防火墙的基本功能 5（一）包过滤路由器 5（二）应用层网关 6（三）链路层网关 6五、防火墙的安全构建 6（一）基本准则 6（二）安全方略 6（三）构建费用 7（四）高保障防火墙 7六、防火墙的发展特点 7（一）高速 7（二）多功能化 8（三）安全 8七、防火墙的发展特点 9参照文献 10防火墙技术研究汇报一、概述伴随计算机网络的广泛应用，全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺乏的一部分，伴随互联网规模的迅速扩大，网络丰富的信息资源给顾客带来了极大以便的同步，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特性，致使网络易受黑客、怪客、恶意软件和其他不轨的袭击。为了保护我们的网络安全、可靠性，因此我们要用防火墙，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。二、防火墙的基本概念

防火墙是一种系统或一组系统，在内部网与因特网间执行一定的安全方略，它实际上是一种隔离技术。

一种有效的防火墙应当可以保证所有从因特网流入或流向因特网的信息都将通过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一种要点以防止外来入侵；监控网络的安全并在异常状况下给出报警提醒，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓和IP地址资源紧张的问题，同步，可以防止当一种内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置对应的WWW和FTP服务等。

三、防火墙的技术分类

既有的防火墙重要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。

包过滤（PacketFliter）一般安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目的地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型（ProxyService）防火墙一般由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。

复合型（Hybfid）防火墙将包过滤和代理服务两种措施结合起来，形成新的防火墙，由堡垒主机提供代理服务。

各类防火墙路由器和多种主机按其配置和功能可构成多种类型的防火墙，重要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须通过堡垒主机；主机过滤防火墙是指一种包过滤路由器与外部网相连，同步，一种堡垒主机安装在内部网上，使堡垒主机成为外部网所能抵达的惟一节点，从而保证内部网不受外部非授权顾客的袭击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传播到目的端进行解压缩和解密。

四、防火墙的基本功能

经典的防火墙应包括如下模块中的一种或多种：包过滤路由器、应用层网关以及链路层网关。

（一）包过滤路由器

包过滤路由器将对每一种接受到的包进行容许／拒绝的决定。详细地，它对每一种数据报的包头，按照包过滤规则进行鉴定，与规则相匹配的包根据路由表信息继续转发，否则，则丢弃之。

与服务有关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP／UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包括特定TCP／UDP目的端口的包丢弃即可。

独立于服务的过滤，有些类型的袭击是与服务无关的，例如：带有欺骗性的源IP地址袭击、源路由袭击、细小碎片袭击等。由此可见此类网上袭击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上此外的条件，这些条件的鉴别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。（二）应用层网关

应用层网关容许网络管理员实行一种较包过滤路由器更为严格的安全方略，为每一种期望的应用服务在其网关上安装专用的代码，同步，代理代码也可以配置成支持一种应用服务的某些特定的特性。对应用服务的访问都是通过访问对应的代理服务实现的，而不容许顾客直接登录到应用层网关。

应用层网关安全性的提高是以购置有关硬件平台的费用为代价，网关的配置将减少对顾客的服务水平，但增长了安全配置上的灵活性。

（三）链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

五、防火墙的安全构建

在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则；整个企业网的安全方略；以及防火墙的财务费用预算等。

（一）基本准则

可以采用如下两种理念中的一种来定义防火墙应遵照的准则：第一，未经阐明许可的就是拒绝。防火墙阻塞所有流经的信息，每一种服务祈求或应用的实现都基于逐项审查的基础上。这是一种值得推荐的措施，它将创立一种非常安全的环境。当然，该理念的局限性在于过于强调安全而减弱了可用性，限制了顾客可以申请的服务的数量。第二，未阐明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一种潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的局限性在于它将可用性置于比安全更为重要的地位，增长了保证企业网安全性的难度。

（二）安全方略

在一种企业网中，防火墙应当是全局安全方略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全方略应当在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

（三）构建费用

简朴的包过滤防火墙所需费用至少，实际上任何企业网与因特网的连接都需要一种路由器，而包过滤是原则路由器的一种基本特性。对于一台商用防火墙伴随其复杂性和被保护系统数目的增长，其费用也随之增长。

至于采用自行构造防火墙方式，虽然费用低某些，但仍需要时间和经费开发、配置防火墙系统，需要不停地为管理、总体维护、软件更新、安全修补以及某些附带的操作提供支持。

六、防火墙的发展特点

（一）高速从国内外历次测试的成果都可以看出，目前防火墙一种很大的局限性是速度不够，真正到达线速的防火墙少之又少。防备DoS(拒绝服务)是防火墙一种很重要的任务，防火墙往往用在网络出口，如导致网络堵塞，再安全的防火墙也无法应用。应用ASIC、FPGA和网络处理器是实现高速防火墙的重要措施，但尤以采用网络处理器最优，由于网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他措施就不那么灵活。实现高速防火墙，算法也是一种关键，由于网络处理器中集成了诸多硬件协处理单元，因此比较轻易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。上面提到，为何防火墙不合适于集成内容过滤、防病毒和IDS功能(传播层如下的IDS除外，这些检测对CPU消耗小)呢？说究竟还是由于受既有技术的限制。目前，还没有有效的对应用层进行高速检测的措施，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以防止流量较大时导致网络堵塞。此外，应用层漏洞诸多，袭击特性库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。这里还要提到日志问题，根据国家有关原则和规定，防火墙日志规定记录的内容相称多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的规定。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一种字符都需要一种字节，存储量很大，对防火墙的带宽也是一种很大的消耗。二进制日志可以大大减小数据传送量，也以便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一种基本规定。（二）多功能化多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般顾客总但愿防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些状况下却可认为顾客节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSecVPN，可以运用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC记录，国外90%的加密VPN都是通过防火墙实现的。（三）安全未来防火墙的操作系统会更安全。伴随算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不停更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。未来防火墙的操作系统会更安全。伴随算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。七、防火墙的发展趋势近年来，计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分，成为我们社会构造的一种基本构成部分。从Internet的诞生之日起，就不可防止的面临着网络信息安全的问题。而伴随Internet的迅速发展，计算机网络对安全的规定也日益增高。越来越多的网站由于安全性问题而瘫痪，企业的机密信息不停被窃取，政府机构和组织不停遭受着安全问题的威胁等等。尽管运用防火墙可以保护内部网免受外部黑客的袭击，但其只能提高网络的安全性，不也许保证网络的绝对安全。实际上仍然存在着某些防火墙不能防备的安全威胁，如防火墙不能防备不通过防火墙的袭击。例如，假如容许从受保护的网络内部向外拨号，某些顾客就也许形成与Internet的直接连接。此外，防火墙很难防备来自于网络内部的袭击以及病毒的威胁。因此在一种实际的网络运行环境中，仅仅依托防火墙来保证网络的安全显然是不够，此时，应根据实际需求采用其他对应的安全方略。计算机的安全问题正面临着前所未有的挑战。在这场网