防火墙技术.docx

1 目录 1、什么是防火墙技术 .........................................................................3 2、关键技术分析 .....................................................................................3 2.1 包过滤防火墙 .............................................................................3 2.2 应用网关防火墙 ........................................................................4 2.3 状态检测防火墙 .........................................................................5 2.4 复合型防火墙 ............................................................................6 3、防火墙的作用 .....................................................................................6 3.1 防火墙是“木桶”理论在网络安全的应用..............................6 3.2 强化内部网络的安全性 .............................................................6 3.3 对网络存取和访问进行记录、监控..........................................7 3.4 限定内部用户访问特殊站点 .....................................................7 3.5 限制暴露用户点，防止内部攻击.............................................7 3.6 网络地址转换 .............................................................................7 3.7 虚拟专用网 .................................................................................8 4 、结束语 ...............................................................................................82 防火墙技术 1、什么是防火墙技术 防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防 止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障， 这种防护构筑物就被称之为“防火墙” 。我们通常所说的网络防火墙 是借鉴了古代真正用于防火的防火墙的喻义。防火墙的英文 “FireWall” ，它是目前一种最重要的网络防护设备。从专业角度讲， 它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙 可以使企业内部局域网（LAN）与 Internet 之间或者与其他外部网络 互相隔离、限制网络互访用来保护内部网络。 （一般防火墙示意图如 图 1 所示） 一般防火墙示意图如图 1 所示 2、关键技术分析 2.1 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容， 如 IP 地址。包过滤防火墙的工作原理是系统在网络层检查数据包，3 与应用层无关。这样系统就具有很好的传输、性能，可扩展能力强。 但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信 息 无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所 攻破。 （包过滤防火墙工作原理图如图 2 所示） 包过滤防火墙工作原理图如图 2 所示 2.2 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信 息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙 是通过打破客户机／服务器模式实现的。每个客户机／服务器通信 需要两个连接一个是从客户端到防火墙，另一个是从防火墙到服 务器。另 外，每个代理需要一个不同的应用进程，或一个后台运行的服务程 序，对每个新的应用必须添加针对此应用的服务程序，否则不能使 用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。 （应用网 关防火墙工作原理图如图 3 所示）4 应用网关防火墙工作原理图如图 3 所示 2.3 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比 较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提 升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据 包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接 表，维护了连接，将进出网络的数据当成一个个的事件来处理。可 以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而 应用代理型防火墙则是规范了特定的应用协议上的行为。 （状态检测 防火墙工作原理图如图 4 所示） 状态检测防火墙工作原理图如图 4 所示5 2.4 复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火 墙，进一步基于 ASIC 架构，把防病毒、内容过滤整合到防火墙里， 其中还包括 VPN、IDS 功能，多单元融为一体，是一种新突破。常规 的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用 层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与 信息安全的新思路。它在网络边界实施 OSI 第七层的内容扫描，实 现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。 3、防火墙的作用 3.1 防火墙是“木桶”理论在网络安全的应用 网络安全概念中有一个“木桶”理论一个桶能装的水量不取 决于桶有多高，而取决于组成该桶的最短的那块木条的高度。防火 墙正是“木桶”理论的应用。在一个没有防火墙的环境里，网络的 安全性只能体现为每一个主机的功能，所有主机必须通力合作，才 能达到较高程度的安全性。而防火墙能够简化安全管理，网络的安 全性是在防火墙系统上进行加固，而不是分布在内部网络的所有主 机上。 3.2 强化内部网络的安全性 防火墙可以限制非法用户，比如防止黑客、网络破坏者等进入6 内部网络，禁止存在安全脆弱性的服务（如 NFS）和未授权的通信 进出网络，并抗击来自各种路线的攻击。 3.3 对网络存取和访问进行记录、监控 作为单一的网络接入点，所有进出信息都必须通过防火墙，所 以防火墙非常适用收集关于系统和网络使用和误用的信息并做出日 记录。在防火墙上可以很方便地监视网络的安全性，并产生报警。 3.4 限定内部用户访问特殊站点 防火墙通过用户身份认证来确定合法用户。防火墙通过事先确 定的完全检查策