当前位置:首页 >> IT/计算机 >>

防火墙技术在计算机网络安全中的应用_图文

( 第 $% 卷)第 & 期 !""# 年

信息技术

甘肃科技纵横

防火墙技术在计算机网络安全中的应用
曹建文,柴世红
(兰州工业高等专科学校 计算机工程系, 甘肃 兰州
摘要: 为了保护计算机、 服务器和网络资源免遭攻击破坏, 通 过对防火墙的分类、 工作原理、 特点和缺点以及最新防火墙技术 的分析, 提出了防火墙技术是当前比较流行而且是比较可行的一 种网络安全防护技术, 从而对防火墙技术在计算机网络安全中的 应用进行了探讨。 关键词: 防火墙 防火墙技术 包过滤 应用代理 计算机技术的应用与发展,带动并促进了信息技术的变革, 特别是近年来计算机网络技术的更新与发展, 不但加快了计算机 的普及, 形成了计算机技术和计算机信息资源的强强联合与共享 的整合。因此, 计算机与信息技术以其广泛的渗透力和罕见的亲 和力, 正从整体上影响着世界经济和社会发展的进程, 引发了计 。但是, 伴随而来的是计算 算机应用技术一场空前的技术革命【!】 机屡屡遭到破坏, 轻者丢掉数据, 重者系统平台和计算机资源被 攻击, 其损失常常是不可估量的, 并且使用户苦不堪言, 损失无法 挽回, 更为严重的是某些知名防杀站点也常常被 “黑” 。这便是一 个日益严峻的问题即网络安全。为了保护自己的计算机、 服务器 和局域网资源免受攻击破坏而丢掉数据、 系统重新安装等, 所以 利用防火墙技术是当前比较流行而且是比较可行的一种网络安 全防护技术。其既是计算机高新技术的产物, 又具有低廉实惠的 特点, 故简要探究防火墙技术的特点和缺陷以及其在计算机网络 安全中的作用。

8499:9)

!

防火墙技术的分类

防火墙是一种重要的网络防护设备,其具有防外不防内的特 点, 随着防火墙技术的升级换代, 现有防火墙, 不仅对外部网络发 出的通信连接要进行过滤,对内部网络用户发出的部分连接请求 和数据包同样需要过滤,但防火墙仍只允许符合安全策略的通信 通过。所以防火墙是隔离内部网络和外部网络之间的一道有效的 防御系统。 为了达到安全防御的功能, 必须使内部网络和外部网络 之间的所有数据流都经过防火墙;并且只有符合防火墙规则设置 的数据流才能通过防火墙;防火墙本身要有非常强的抗攻击能力 【"】 。所 和自我免疫能力; 这是经过多年来防火墙发展和更新的结晶 以根据防火墙技术的分类, 以下介绍两种常用防火墙的类型: !#! 包过滤型 包 过 滤 型 防 火 墙 工 作 在 $%& 网 络 参 考 模 型 的 网 络 层 和 传 输 层, 它根据数据包头源地址, 目的地址、 端口号和协议类型等标志 确定是否允许通过。 只有满足过滤条件的数据包才被转发到相应 的目的地, 其余数据包则被从数据流中阻挡丢弃。 !#" 应用代理型 应用代理型防火墙是工作在 $%& 的最高层, 即应用层。其特 点是完全 “阻隔” 了网络通信流, 通过对每种应用服务编制专门的 代理程序, 实现监视和控制应用层通信流的作用。 其次比较典型的防火墙类型还有, 根据防火墙的应用位置来 分有: 边界防火墙, 个人防火墙和混合防火墙; 根据防火墙的性能 来分有: 百兆级防火墙和千兆级防火墙等。

分析加 载 一 下 信 息 : 名称、 类别、 方向、 协议、 说明、 操作、 数据链、 它应包含对所有出入防火 地址、 端口号、 日志、 ’() 标 志 等 而 成 ; 墙的数据包的处理方法, 对于没有定义的数据包, 应该有一个缺 省处理方法; 过滤规则应易于理解, 易于编辑修改; 同时应具备一 致性检测机制, 防止冲突。 &) 包过滤的依据主要是根据 &) 包头部 如果 &) 包头 信息如源站点 &) 地址和目的站点 &) 地址进行过滤, 中 的 协 议 字 段 表 明 封 装 协 议 为 &(*)、 ’() 或 +,), 那 么 再 根 据 (类 型 和 代 码 值 ) 、 (源 端 口 和 目 的 端 口 ) &(*) 头 信 息 ’() 头 信 息 或 +,) 头信息 (源端 口 和 目 的 端 口 ) 执行过滤, 其 他 的 还 有 *-( 地址过滤。 应用层协议过滤要求主要包括 .’) 过滤、 基于 /)( 的 应用服务过滤、基于 +,) 的应用服务过滤要求以及动态包过滤 技术等。 其具体操作过程为: 防火墙根据具体报文的组成格式, 判 断该报文的源主机地址和目的主机地址以及该报文的存活时间, 长度, 报文的特性和报文的其他信息等, 其中包括各种不同协议 依据各包通讯的不 的报, 例如: &) 包 , +,) 包 , ’() 包 , &(*) 包 , 同端口, 完成截获、 检测和扫描功能。 常用防火墙技术分类中的第二种类型: 应用代理型。在应用 层提供代理支持: 指防 火 墙 是 否 支 持 应 用 层 代 理 , 如 0’’)、 .’)、 ’1231’、 %3*) 等。代理服务在确认客户端连接请求有效后接管 连接, 代为向服务器发出连接请求, 代理服务器应根据服务器的 应答, 决定如何响应客户端请求, 代理服务进程应当连接两个连 接 (客 户 端 与 代 理 服 务 进 程 间 的 连 接 、 代理服务进程与服务器端 的连接) 。 为确认连接的唯一性与时效性, 代理进程应当维护代理 连接表或相关数据库 (最 小 字 段 集 合 ) , 为了提供认证和授权, 代 理进程应当维护一个扩展字段集合。在传输层提供代理支持: 指 防火墙是否支持传输层代理服务。允许 .’) 命令防止某些类型 文件通过防火墙: 指是否支持 .’) 文件类型过滤。用户操作的代 理类型: 应用层高级代理功能, 如 0’’)、 )$)4 。支持网 络 地 址 转 从而 换 53-’6: 3-’ 指将一个 &) 地址域映射 到 另 一 个 &) 地 址 域 , 为终端主机提供透明路由的方法。 3-’ 常用于私有地址域与公有 地 址 域 的 转 换 以 解 决 &) 地 址 短 缺 问 题 。 在 防 火 墙 上 实 现 3-’ 后, 可以隐藏受保护网络的内部结构, 在一定程度上提高了网络 的安全性。

4

防火墙技术的特点和缺陷

"

常用防火墙技术的工作原理

常用防火墙技术分类中的第一种类型:包过滤型的工作原 理。通过防火墙的包内容设置: 包过滤防火墙的过滤规则包由若 干条规则组成, 其由具体的防火墙软件提供或者用户自定义规则 设置, 应由有经验的网络操作人员搜集被攻击的最新信息, 经过

包过滤的优缺点: 优点: 一个过滤路由器能协助保护整个网络; 数据包过滤对 用户透明; 过滤路由器速度快、 效率高。 缺点: 不能彻底防止地址欺骗; 一些应用协议不适合于数据 包过滤; 正常的数据包过滤路由器无法执行某些安 全 策 略 7 不 能 防范黑客攻击, 不支持应用层协议, 不能处理新的安全威胁。 代理技术的优缺点: 优点:应用代理网关防火墙彻底隔断内网与外网的直接通 信, 内网用户对外网的访问变成防火墙对外网的访问, 然后再由 防火墙转发给内网用户。所有通信都必须经应用层代理软件转 应 发,访问者任何时候都不能与 服 务 器 建 立 直 接 的 ’() 连 接 , 用层的协议会话过程必须符合代理的安全策略要求。 应用代理网 关的优点是可以检查应用层、 传输层和网络层的协议特征, 对数 据包的检测能力比较强。 代理能生成各项记录; 代理能灵活、 完全 地控制进出的流量、 内容; 代理能过滤数据内容; 代理能为用户提 供透明的加密机制; 代理可以方便地与其他安全手段集成。 缺点: 代理速度较路由器慢; 代理对用户不透明; 对于每项服

!"

甘肃科技纵横

信息技术

( 第 $% 卷)第 & 期 !""# 年

务代理可能要求不同的服务器; 代理服务不能保证你免受所有协 议弱点的限制; 代理不能改进底层协议的安全性。但是其适应性 较弱, 逐步被代替。

"

最新防火墙技术

新型防火墙技术的设计目标: 新型防火墙设计的目标是综合包过滤和代理技术, 克服二者 在安全方面的缺陷; 能从数据链路层一直到应用层施加全方位的 从 而 在 789 . :9 协 议 层 能 进 行 控制; 实 现 789 . :9 协 议 的 微 内 核 , 各项安全控制; 基于上述微内核, 使速度超过传统的包过滤防火 墙; 提供透明代理模式, 减轻客户端的配置工作; 支持数据加密、 , 提供对虚拟网 @9A 的强大支持; 内部信息完 解密 (;<= 和 >=? ) 全隐藏; 产生一个新的防火墙理论。 数据链路层是 789 . :9 协议的最低层,它的常规功能是对上 层数据 (:9 或 ?>9) 进行物理帧的封装与拆封, 当然还包括硬件寻 址、 管理等功能。在防火墙中, 数据链路层除了实现上述功能外, 还增加了监听网上数据、 记录硬件地址和直接读写网卡的功能。 且可做许多安全方面的工作。若在极端 :9 层的处理较复杂, 增加安全机制 (如认证) 。考虑到系 的情况下, 可以修改 :9 报头, 统的性能和兼容性, 没有选择这种方法, 而是利用了包过滤技术 提供安全机制。 当然, 随着安全方面技 和 :8B9、 ?>9 提供的功能, 术的发展, 也许前面的一种方法会是一种好的选择, 但前提是必 须有路由器的支持。 :9 层的主要任务是寻址和转发。 :9 层最大的 如 安 全 问 题 是 :9 欺 骗 , 且 很 多 上 层 的 安 全 隐 患 源 于 :9 欺 骗 , 目的地址进行过 ;A= 欺骗。:9 层常用的安全措施是根据源地址、 滤, 这一点已在很多路由器中得到应用。在本系统的 :9 层主要完 成 以 下 几 个 功 能 : :9 地 址 过 滤 ; :9 地 址 与 B?8 绑 定 , 防 止 :9 欺骗; 为上层提供一种通道。 :8B9 在防火墙中的作用主要是:隐藏子网内主机信息和施 加一些控制。 :8B9 虽然有一定的作用, 如差错报告, 但也有更大 (很 多 过 滤 路 由 器 有 此 的安全隐患。通常对外部, :8B9 应禁止 项功能) 。 所以为了隐藏子网内主机信息可以采用了三种策略: 对 内 部 主 机 的 :8B9 包 , 虽然转发, 但 改 写 了 :8B9 包 中 的 源 :9 地 (上接 !" 页)

址, 使外部不能看到内部的 :9 地址; 外部 :8B9 请求包一律抛弃; 对内部有请求时,才动态地接收外部主机的响应,且一些 :8B9 危胁安全的响应也抛弃, 如改变路由的 :8B9 包等。其次, 还可以 借助 :8B9 来获得一些参数和一些控制, 如时钟同步、 地址掩码, 并可利用 :8B9 目的地不可达报文通知不受欢迎的主机【6】 。 789 . C;9 存在数据包伪装、 =DA EF**G 攻击等安全隐患。为 避免上述情况, 必须要增加一定的验证措施, 利 用 789 的 特 征 , 设计了一种较有效的过滤手段, 对 789 报文的有效性进行确认。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 :9 地 址等几个参数, 而不关心数据包连接状态变化的缺点, 在防火墙 的核心部分建立状态连接表, 并将进出网络的数据当成一个个的 。状态监测对每一个包 会话, 利用状态表跟踪每一个会话状态【"】 的检查不仅根据规则设置表, 更考虑了数据包是否符合会话所处 的状态, 因此提供了完整的对传输层的控制能力。

1

结束语

总而言之, 随着计算机技术的不断发展和经济竞争的日益激 烈, 迫使当今社会对信息的依赖越来越强, 这就必须利用计算机 技术和网络技术的结合, 最终才能达到二者的协调与发展。同时 也带动了病毒和计算机攻击技术的大发展, 所以这是一个任何计 算机用户都必须面临的紧迫而且急于解决的问题, 网络是计算机 技术与信息技术整合的产物, 其安全与否已经提升到影响社会安 全的高度。 所以就此进行了防火墙技术在计算机网络安全中的应 用的初步探讨, 但是要上升到计算机网络安全的角度, 需要进一 步的探讨。
参考文献: 【! 】 袁 文 , 王 作 兴5 论 技 术 应 用 型 实 践 能 力 的 培 养 【H 】 5高 等 建 筑 教 育

%)))/66I!JKL%-L65
【% 】 朱 艳 琴 , 钱龙华, 陈 承 勤5 计 算 机 组 网 技 术 教 程 【B 】 北京电子 5北 京 : 希望出版社, %))%5 【6 】 吴 世 忠 , 马 芳 译5 网 络 信 息 安 全 的 真 相 【B 】 机械工业出版社, 5北 京 :

%))!5
【" 】楚狂等 5 网络安全与防火墙技术 【B 】 人民邮电出版社, 5 北京: %)))5

""""""""""""""""""""""""""""""""""""""""""""""""
(% ) 如要求满足 !"#$%&’ , 且 ’ 为最小。这就成为多目标极 取得最大值的点集上 值问题, 但它是有顺序的, 本例是在 ( + &/( ) % 选取 0&’1(,2 为最小的解。显然, 当该直线 0&’1(,2 与园 (&-! ) ’ % ((-! ) 为此过 ,! . " 相切时, 2 为最大或最小。现寻求园上的切点, (!/! ) 点作直线族 0&’1(,2 的垂直 (法) 线1 (&-! ) ((-! ) -0 ,)/ 即 为 % % (&-! ) ((-! ) 而在约 1&-0(’",)/ 可以求出它与园 ’ ,! . " 两个交点, 束区域中的交点为 (&/( ) , 得

当# ($ ) 不是 $ 的线性函数时, 这时问题转化 为 约 束 条 件 下 的非线性规划问题,也可转化为约束条件下多目标的的极值问 题。 例 % : 若 在 & ’( !% , & ") , ( "* 条 件 下 , 求 + (& , () ,
% % % % (&-! ) ((-! ) (&-! ) ((-! ) 最大值 ’ !

% % % (& , (&-! ) ((-! ) (&-! ) ((-! ) ( () ,! ’ -

2,0&’1(,!"- !!)3 ,4541% 为最小。 %
(6 ) 如果要求满 足 !"#$%&’ , 且 ’ 为最大时, 则 &,!’ ! % ,

( 的最大等值面 + &, () % % ((-! ) (&-! ) ’ ,! . "

"

!"#$%&!
对多元函数的条件极值, 一般而言, 可能无解也可能有无穷 % % ((-! ) 因此有无 多解, 本例中取最大值的等值线为 (&-! ) ’ -! . " , 穷个最大值解, 这样必然应考虑如何选取更理想的解 (即 使 所 求 的解成为优中之优) ?就有必要让我们对符合条件优解还需要进 行加权, 以确保优中选优。 在本例中, 可以根据实际问题的需求用 多种方法来加以实现。 (! )如果增加附加条件 (,&/ 则可解出唯一优解为:

而 2,!"’ ! % 为最大。 (,!’ ! % ; " (" ) 变量 模 糊 化 最 彻 底 的 办 法 是 对 一 点 (&/( ) 赋以 “加 权 ” 函 数! (&/( ) , 然后对空间中一元素进行比较寻求 (&/( ) 在 符 合 条 件 的 点 上 为 !, 而其他点上 的最大值。如 果 规 定 ! 为 ), 则又还原为上述一开始提到的确定性问题。 注意, (&/() 是一项人为的政策, 看它是否对实际问题有足够 ! 的吸引力, 是否值得打破约束条件, 破格选优?是值得认真对待 的。

&,!- ! % , (,!- ! % " " !"


相关文章:
防火墙技术在计算机网络安全中的应用.doc
防火墙技术在计算机网络安全中的应用 - 龙源期刊网 http://www.qikan.com.cn 防火墙技术在计算机网络安全中的应用 作者:李伟 徐学钰 来源:《电子技术与软件工程》...
计算机网络安全与防火墙技术毕业论文_图文.pdf
计算机网络安全防火墙技术毕业论文 - 特别说明 此资料来自豆丁网(http:/
浅谈计算机网络安全及防火墙技术_图文.doc
浅谈计算机网络安全防火墙技术_计算机软件及应用_IT/计算机_专业资料。龙源期刊网 http://www.qikan.com.cn 浅谈计算机网络安全防火墙技术 作者:杭同喜 来源:《...
计算机网络安全管理作业防火墙技术_图文.ppt
计算机网络安全管理作业防火墙技术 - 防火墙技术 1. 简要回答防火墙的定义
计算机网络安全中防火墙技术的应用.doc
计算机网络安全中防火墙技术的应用 - 龙源期刊网 http://www.qikan.com.cn 计算机网络安全中防火墙技术的应用 作者:徐治国 来源:《电子技术与软件工程》2018 年第...
防火墙技术在网络安全中的运用.doc
防火墙技术在网络安全中的运用 - 最新【精品】范文 参考文献 专业论文 防火墙技术在网络安全中的运用 防火墙技术在网络安全中的运用 【摘要】: 随着计算机技术的不...
关于防火墙技术在网络安全中的应用.doc
关于防火墙技术在网络安全中的应用 - 龙源期刊网 http://www.qikan.com.cn 关于防火墙技术在网络安全中的应用 作者:施新伟 来源:《中学教学参考 文综版》2016...
第1章防火墙在网络安全防护中的地位和作用.ppt_图文.ppt
第1章防火墙在网络安全防护中的地位和作用.ppt - 防火墙技术应用 防火墙技术应用 2 第1章 防火墙在网络安全防护 中的地位和作用 1.1 网络体系结构 n 1.1...
网络安全 第6章防火墙技术_图文.ppt
网络安全 第6章防火墙技术_计算机硬件及网络_IT/计算机_专业资料。 进入系统
《计算机网络安全(第2版)》6防火墙ppt_图文.ppt
计算机网络安全(第2版)》6防火墙ppt - 第6章 防火墙 1 本章主要内容: ? 防火墙的概念、功能和类型 ? 防火墙技术 ? 防火墙的体系结构 ? 防火墙的应用与发展...
防火墙技术及其在网络安全中的应用_图文.pdf
防火墙技术及其在网络安全中的应用 - 2010牟第10期 中图分类号:TP393.08 文献标识码:A 文章编号:10092552(2010J10-011003 防火墙技术及其在网络安全...
计算机网络之防火墙全解_图文.ppt
计算机网络之防火墙全解 - 计算机网络安全 防火墙技术 内容提要 ? ? ? ?
计算机网络安全中的防火墙技术应用研究.doc
计算机网络安全中的防火墙技术应用研究 - 龙源期刊网 http://www.qikan.com.cn 计算机网络安全中的防火墙技术应用研究 作者:陈云 来源:《世界家苑 学术》2018 ...
网络,信息,安全第十三章-防火墙技术_图文.ppt
网络,信息,安全第十三章-防火墙技术_计算机硬件及网络_IT/计算机_专业资料。第...? 在包过滤防火墙中,端点之间可以 建立直接连接. 9 13.2.2 应用代理防火墙 ...
防火墙技术在计算机网络安全中的应用.doc
防火墙技术在计算机网络安全中的应用 - 龙源期刊网 http://www.qikan.com.cn 防火墙技术在计算机网络安全中的应用 作者:牧军 山发军 李虎 来源:《科技创新导报...
防火墙技术在计算机网络安全中的应用.doc
防火墙技术在计算机网络安全中的应用 - 龙源期刊网 http://www.qikan.com.cn 防火墙技术在计算机网络安全中的应用 作者:房锟 来源:《科技与创新》2016 年第 21...
计算机网络信息安全中防火墙技术的有效应用.doc
计算机网络信息安全中防火墙技术的有效应用 - 龙源期刊网 http://www.qikan.com.cn 计算机网络信息安全中防火墙技术的有效应 用 作者:阮多 历超 黄博 来源:《...
计算机网络安全与防火墙技术_图文.pdf
计算机网络安全防火墙技术_IT/计算机_专业资料。计算机网络安全防火墙技术 ISSN10093044ComputerKnowledgeand Email:info@CCCC.net.CIITechnology电脑知识与技术 ...
网络,信息,安全第十三章-防火墙技术_图文.ppt
网络,信息,安全第十三章-防火墙技术_计算机硬件及网络_IT/计算机_专业资料。文档...? 在包过滤防火墙中,端点之间可以 建立直接连接. 9 13.2.2 应用代理防火墙 ...
防火墙技术及应用-中国安全网_图文.ppt
防火墙技术应用-中国安全网_互联网_IT/计算机_专业资料。防火墙技术应用-...防火墙技术发展趋势体系结构上的发展 系统功能上的发展 网络系统的风险和威胁 ? ...