防火墙常用技术与性能研究

PAGEPAGE1学号：毕业设计论文题目：防火墙常用技术与性能研究摘要随着互联网的迅猛发展给人们的生活带来了很大的方便，但同时安全性也成为了互联网技术中最关键的问题。因此，如何有效地解决互联网的各种危害问题成为现在的热门话题。本文详细介绍了防火墙的常用技术和性能。首先介绍防火墙的定义是什么，还有防火墙有那些优点和防火墙的基本原理，然后详细介绍防火墙的常用技术有那些和防火墙的性能，并对四种基本类型的防火墙技术原理和适用情况进行了分析。最后就天网防火墙进行简单介绍使用原则。关键词：防火墙网络安全天网防火墙原理Abstract

WiththerapiddevelopmentoftheInternettopeople'sliveshasbroughtgreatconvenience,butsecurityoftheInternettechnologyhasbecomethemostcriticalissue.Therefore,howtoeffectivelyaddressthevarioushazardsoftheInternettobecomeahottopicnow.Thispaperdescribescommonlyusedfirewalltechnologyandperformance.Firstintroducedthedefinitionofwhatafirewall,thefirewallalsohavethoseadvantagesandthebasicprinciplesofthefirewall,andthenuseddetailedfirewallandfirewalltechnologiesthatperformance,andthefourbasictypesoffirewalltechnologyandapplicationoftheprincipleareanalyzed.Finally,abriefintroductiontoSkynettousetheprinciplesofthefirewall.Keywords:Firewall，FirewallNetwork，SecurityPrinciples，Skynet前言随着计算机技术的快速发展，网络应用已经在全球推广，人类已经进入了网络时代。电子邮件、远程教育、远程医疗电子商务等，已经成为人们生活中不可缺少的一部分，在国家经济中也发挥着重要作用。然而，网络安全也在为人们头痛且必须解决的问题。网络上的黑客、商业间谍出于各种目的，对人们在网络上所传输的信息产生了极大的兴趣。这些信息在没有被加密情况下传输，是很容易被窃听的。这些信息如果是重要的、有价值的，就有可能对用户造成无法挽回的损失。对于保护网络安全，防火墙是最基础的设备，它的最基础的设备，它的主要功能在于把那些不受欢迎的访问、信息或者数据包等隔离在特定的网络之外，是一种经济实用的网络边界防护设备。防火墙通常被放置与内部网络与外部网络的连接处，通过执行特定的访问规则和安全策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关，防火墙对这些数据以及访问需求进行分析、处理，并根据已设置的安全规则来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时，由于防火墙系统本身具备较高的系统安全级别，可以防止非法用户通过控制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用，迅速的发展普及起来，成为了网络黑客和各种病毒、木马和恶意插件的克星。

1防火墙的概述1.1什么是防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是网络安全的第一道屏障，保障网络安全的第一个措施是安装和应用防火墙。合理的使用防火墙有利于提高网络抵抗黑客攻击和系统的安全性。防火墙是用来在安全内部网络和外部网络这间的安全连接的一个设备或一组设备提供内部网络和Internet这间安全连接的单点存在。图1-1Cisco防火墙1.2防火墙的性质从里向外和从外向里的数据都必须经过防火墙，这是通过物理上阻塞所有不经过防火墙的局域网访问来实现的；只有被认可的通信量，通过本地安全策略进行定义后，才能通过防火墙；防火墙本身不可穿透，这就隐含使用了一个装有安全操作系统的可信任系统；1.3防火墙的作用1.3.1防火墙是网络安全的屏障一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于经过精心选择的应用协议才能通过防火墙，所以网络环境更安全。1.3.2防火墙可以强化网络安全策略通过以防火墙为中心安全方案配置，能将所有安全软件（如口令加密等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。1.3.3对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。1.3.4防止内部信息的外泄防火墙在网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测网络时，他们仅仅能看到防火墙。远程设备将不会知道内部网络的布局以及都有些什么。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企业事业单位在地域上分布于全世界各地的LAN或专用子网，有机地联成一个整体。为信息共享提供了技术保障。

2防火墙的常用技术防火墙的各类多种多样，在不同的发展阶段，采用的技术也各不相同。防火墙主要采用的技术有以下几种：2.1包过滤技术包过滤(PacketFilter)技术，是最早出现的防火墙技术，虽然防火墙技术发展到现在提出了很多新的理念，但是包过滤仍然是防火墙为系统提供安全保障的主要技术，它可以阻挡攻击，禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤技术发展到现在，它已经从早期的静态包过滤演进到了现在的动态包过滤技术。2.1.1静态包过滤静态包过滤技术的实现非常简单，就是在网关主机的TCP／IP协议栈的IP层增加一个过滤检，对IP包的进栈、转发、出栈时均进行针对于每个包的源地址、目的地址、端口、应用协议进行检查，用户可以设立安全策略，比如某某源地址禁止对外部的访问、禁止对外部的某些目标地址的访问、关闭一些危险的端口等等，事实证明，一些简单而有效的安全策略可以极大的提高内部系统的安全，由于静态包过滤规则的简单、高效，直至目前，它仍然得到应用。2.1.2动态包过滤动态包过滤(DynamicPacketFilter)技术除了含有静态包过滤的过滤检查技术之外，还会动态的检查每一个有效连接的状态，所以通常也称为状态包过滤技术。状态包过滤克服了第一代包过滤(静态包过滤)技术的不足，如信息分析只基于头信息、过滤规则的不足可能会导致安全漏洞、对于大型网络的管理能力不足等等。2.2电路级网关电路级网关又称为线路级网关，它工作在OSI参考模型的会话层。它的作用是在内、外网络主机这间建立一个虚拟电路进行通信，相当于在防火墙上打开一个通道进行传输。使用电路级网关作为防火墙需要特殊的客户端程序。在初次连接时，客户端程序与网关进行安全协商和控制，协商通过之后，网关的存在对应用来说就透明了，客户端与服务器之间的交互就像没有网关一样。只有懂得如何与电路级网关通信的客户端程序才能到达防火墙另一端的服务器。所以，对普通的客户端程序来说，必须通过适当改造，或者借助他响应的处理，才能通过电路级网关访问服务器。早期的电路级网关只处理TCP连接，并不进行任何附加的包处理或过滤。电路级网关就像电线一样，只是在内部连接和外部连接之间来回拷贝。但对于外部网络用户而言，连接似乎源于网关，网关屏蔽了受保护网络的有关信息，因而起到了防火墙的作用。2.3应用层代理技术包过滤技术在网络层实现数据包的拦截、分析和过滤等应用。代理(Proxy)技术针对每一个特定应用，在应用层实现网络数据流保护功能，代理的主要特点是具有状态性。代理能够提供部分与传输有关的状态，能完全提供与应用相关的状态部分传输信息，代理也能够处理和管理信息。应用层代理使得网络管理员能够实现比包过滤更严格的安全策略。应用层代理不用依靠包过滤工具来管理Intemet服务在防火墙系统中的进出，而是采用为每种服务定制特殊代码(代理服务)的方式来管理Intemet服务。显然，应用层代理可以实现网络管理员对网络服务更细腻的控制。但是，应用代理的代码并不通用，如果网络管理员没有为某种应用层服务在应用层代理服务器上安装特定的代码，那么该项服务就无法被代理型防火墙转发。同时，管理员可以根据实际需要选择安装网络管理认为需要的应用代理服务功能。2.4网络地址转换技术NAT(NetAddressTranslation，网络地址转换)的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP／IP网络连接到互联网上的口地址编号问题。私有IP地址只能作为内部网络号，不在互联网主干网上使用。网络地址翻译技术通过地址映射保证了使用私有IP地址的内部主机或网络能够连接到公用网络。NAT网关被安放在网络末端区域(内部网络和外部网络之间的边界点上)，并且在源自内部网络的数据包发送到外部网络之前把数据包的源地址转换为唯一的IP地址。网络地址翻译技术并非为防火墙而设计，它在解决IP地址短缺的同时提供了如下功能：内部主机地址隐藏；网络负载均衡；网络地址交迭。正是内部主机地址隐藏的特性，使其网络地址翻译技术成为了防火墙实现中经常采用的核心技术之一。

3防火墙的类型和工作原理3.1包过滤防火墙3.1.1包过滤防火墙的工作原理在网络中，所有的信息传输都是以包的方式来实现的。包过滤是指对通过网络的数据包进行过滤操作，只有满足条件的数据才能通过网络，包过滤设备可以是路由器、网桥或计算机，通常是包过滤路由器。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：IP源地址、IP目标地址、协议（TCP包、UDP包和ICMP包）、TCP或UDP包的源端口、TCP或UDP包的目标端口、数据包到达的端口、数据包出去的端品。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。普通的路由器只检查数据包的目标地址，并选择一个到达目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送都“数据包不可达”。过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。包过滤路由在网络上的物理位置和协议上的逻辑位置如图3-1和图3-2所示。图3-1包过滤路由的物理位置图3-2包过滤路由器的逻辑位置3.1.2包过滤的应用图3-1包过滤在天网防火墙上的应用3.2应用网关应用网关是指在网关上执行一些特定的应用程序或服务器程序，它他分别代表两个端系统的应用服务，这些程序统称为“代理”程序，因此，应用网关又称为代理防火墙，属应用级防火墙。3.2.1应用网关的原理这类防火墙的物理位置可位于内部网络的边界处，也右位于内部网络中（这样的防火墙必须配置成有关应用服务，必须通过应用代理服务才能与外部网络连接），但逻辑位置是在协议的应用层上。如果属于前一类配置，则通常是一台封堵了内外直接连接的双穴主机为两端的机器代理服务请求。它一般针对某一特定的应用，采用应用协议代理服务的工作方式实施安全策略。这时，由代理程序将外部用户对内部网络的服务请求依据已制定的安全策略决定是否向内部真实服务器提交。代理服务器代替外部用户与内部网络中的服务器进行连接，类似于应用服务和用户之间的转发器。当一个远程用户请求内部服务时，它首先与这个代理服务器相连，经过鉴别后再由代理服务器连接到目的的主机，同时将服务器的响应传送给所有代理的客户，其间代理服务具有客户机和服务器之间通信全部控制权。图3-2应用层代理工作原理3.2.2应用网关的特点用户和服务器之间不会有直接的报文交换，所有的数据均由防火墙中继，具有更强的审计跟踪和报警功能，增强了网络应用的安全性。另外，代理在应用层进行，将过滤功能从路由器独立出来，且控制粒度可以达到特定用户或特定服务请求。应用网关的主要缺点：效率低，代理相当于一个简化的应用服务的服务器端程序和客户端程序，且每个合法通过的服务都要在代理上启动服务器进程和客户进程，因此系统开销较大；通常应用代理所做的安全检查比包过滤防火墙更加细致，工作量更大，是影响效率的一个因素。另外，应用层代理需特制的程序，且只能针对专门的应用，并可能局限于这些应用的特定版本，而且当防火墙不能工作时，对应的网络服务也就不能使用了。3.3电路网关3.3.1电路网关的工作原理电路级网关也称为回路层代理，其工作原理和组成结构与应用级防火墙相似，但它并不针对专门的应用协议，而是一种通用的连接中继服务，是建立在运输层的一种代理方法。连接的发起方不直接与响应方建立连接，而是与回路层代理将建立两个连接，一个是在回路层代理和内部主机上的一个用户之间，另一个是在回路层代理和外部主机上的一个用户之间。通常，实现这种防火墙功能都是在通用的运输层之上插入代理模块，所有的出入连接必须连接代理，通过安全检查之后数据才能被转发。网关的访问控制规则决定是否允许连接。回路层代理可以提供较详尽的访问控制机制，其中包挢鉴别和其他客户与代理之间的会话信息交换。回路层代理与应用网关不同的是，对于所网络服务都通过共同的回路层代理，所以这种代理也称为“公共代理”。图3-3回路层代理工作原理3.3.2回路代理防火墙的特点1.对连接的存在时间进行监测，从而防止过大的邮件和文件传送。2.建立允许的发起方列表，并提供鉴别机制。3.对传输的数据提供加密保护。3.4混合型防火墙混合型防火墙是指综合应用多种防火墙技术的防火墙。例如：包过滤防火墙可以增加动态检查模块以处理各种网络应用。应用代理在建立时可以增加基于包检查的过滤方法，引入透明代理。许多防火墙产品将包过滤和应用代理的方法结合起来，用包过滤控制低层通信，用代理保证应用的安全。现在，人们把综合采用包过滤技术、代理服务技术、入侵监测技术、病毒监测防护技术和密码技术的防火墙称为第代防火墙，这类新型防火墙虽然代表了今后防火墙技术的发展方向，但它已不再是最初意义上的防火墙，其主要特点包括：防火墙厂商拥有安全的或定制的操作系统源代码，可实现安全内核。对安全内核进行加固右进一步加强安全保护。对每个了系统所实施的安全处理可隔离黑客攻击到子系统内部，不致造成对其他部分的威胁。具备包过滤、应用网关、回路网关的功能。具有鉴别、完整性校验和加密等多种密码应用功能。具有计算机病毒检测防护报警功能。具有较完善的审计跟踪和报警功能。

4防火墙实例—天网防火墙天网防火墙个人版是给个人电脑使用的网络安全防火墙。它根据系统管理者设定的安全规则监控网络，提供强大的访问控制、身份认证、信息过滤、应用程序网络状态等功能。它可以帮用户抵挡网络入侵和攻击，防止信息泄露。这样有效的个人电脑的安全问题。打开天网防火墙后，可以根据自己安全的需要进行设置天网防火墙。天网防火墙提供了各项功能，包括应用程序规则设置、IP规则管理设置、系统设置、当前系统所有程序使用状态、安全级别设置等功能。4.1应用程序规则设置在运行天网防火墙时，启动任何应用程序只要有数据包发送和接收存在，都会被天网防火墙先截获分析，并弹出警告信息窗口，如图4-1所示，如果不勾选“该程序以后都按照这次的操作运”选项，那么在以后再次启动该程序时，都会截获该应用程序的数据包，并且弹出警告窗口。如果勾选“该程序以后都按照这次的操作运”选项，则该程序将自动加入到应用程序列表中，天网防火墙将不会再拦截该程序发送各接收的数据包，也可以通过“应用程序设置”来设置更复杂的数据包过滤方式，这里就应用到了防火墙的包过滤技术。图4-1天网防火墙警告信息图4-2应用程序访问网络权限设置单击该面板每个程序后的“选项”按钮，就可以设置应用的程序的数据通过规则，如图4-3所示。图4-3应用程序规则高级设置在此页面可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定一个或几个通信端口接收和传输数据，当不符合上面条件时，可以询问或禁止操作。对应用程序发送数据包的监察可以使用户了解到系统有哪些程序正在进行通信，防止一些恶意程序把用户个人隐信息偷窃，通过天网防火墙要吧禁止这些程序数据通讯操作。4.2IP规则管理前面说的程序规则设置是针对每一个应用程序的，而IP规则管理是针对整个系统，IP规则针对整个系统的数包监测，IP规则设置的界面如图4-4所示。图4-4IP规则设置界面在这界面可以对规则的条目进行排序、删除、修改等操作。下图是IP规则的修改。图4-5修改IP规则界面IP规则是一系列的比较条件和一个对数据包的动作，就是根据包的第一个部分来与设置的条件比较，当符合条件时，就可以确定对该包是通过或者阻挡。通过全理地设置规则就可以把有害的数据包阻挡在外。在此说明安全规则的设置是系统最重的，也是最复杂的。如果不熟悉，最好不要调整它，可以直接使用默认设计的规则。如果用户熟悉网络，就可以非常灵活地设计适合自己使的规则了。4.3系统设置天网防火墙的系统设置包括基本设置、管理权限设置日志管理还有入侵检测设置等。在基本设置中勾选“开机后自动启动防火墙”选项后，在操作系统启动的时候自动启动，否则天