防火墙技术的现状与展望

毕业论文 论文标题 作者姓名 考号 工作单位 职务 通信地址邮编 指导教师 职称 完成时间 年 月 日 信息技术应用与管理专业主考学校办公室制 防火墙技术的现状与展望 【内容摘要】 随着计算机技术和通讯技术的迅速发展，特别是Internet的出现，使网络的 重要性和社会的影响越来越大，网络安全问题也变得越来越重要。防火墙技术作 为一种隔离内部安全网络与外部不信任网络的防御技术，已经成为计算机网络安 全体系结构中的一个重要组成部分。随着互联网的迅猛发展，为了满足新的网络 安全形势的需要，防火墙技术也在不断地更新发展，以提供更加高速、系统、功 能多样化的安全保障。本文从防火墙技术的发展现状出发，对防火墙技术的下一 步走向和发展趋势进行了展望。 【关键字】防火墙技术 计算机网络 网络安全 发展现状 展望 1. 引言 防火墙是防范网络攻击最常用的方法，从技术理论上看，如今的防火墙经过 了多年的不断改进，已经成为一种先进和复杂的基于应用层的网关，不仅能完成 传统防火墙的过滤任务，同时也能够针对各种网络应用提供相应的安全服务。防 火墙技术的基本思想是限制网络访问，它把网络分为两个部分外部网络和受保 护网络（内部网络）。相比企业而言，外部网络一般指的是Internet,而受保护网 络一般指企业自己建立的Internet防火墙，放在受保护网络和外部网络之间，如 下图图1所示 图1防火墙示意图 防火墙一方面限制外部网络访问受保护网络，对外屏蔽受保护网络的实现细 节，保证数据的安全，另一方面限制受保护网络对外部网络的访问，防止不良信 息的获取部分，减少信息的泄露。 防火墙就是用来隔离受保护的网络和不受保护的网络（如因特网），通过单 一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接。防火墙（阻 塞类防火墙）可以确保除非通过检查点的审查，否则你从网中将不能直接到达因 特网。 2. 防火墙技术的发展现状 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 2. 1包过滤技术 包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作 在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能 识别数据包是TCP还是UDP及所用的端口信息，如表1所示。 表1一些常用网络服务和使用的端口 服务名称 端口号 协议 说明 FTP-DATA 20 TCP FTP数据 FTP 21 TCP FTP数据 TELNET 23 TCP 如BBS SMTP 25 TCP 发 Email TIME 37 TCP timserver TIME 37 UDP timserver DOMAIN 53 TCP DNS DOMAIN 53 UDP DNS TFTP 69 UDP FTP GOPHER 70 TCP gopher HTTP 80 TCP WWW POP3 110 TCP 收Email用 NNTP 119 TCP 新闻组，usern NETBIOS 137 TCP NETBIOS SNMP 161 UDP SNMP 包过滤技术IP Filtering or packet f i 1 ter i ng的原理在于利用路由器 监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet与 Intranet的连接多数都要使用路由器，所以Router成为内外通信的必经端口， Router的厂商在Router上加入IP过滤功能，过滤路由器也可以称作包过滤路 由器或筛选路由器Packet Filter Router 。防火墙常常就是这样一个具备包 过滤功能的简单路由器，这种Firewal 1应该是足够安全的，但前提是配置合理。 然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的 场合，通常还配合使用其它的技术来加强安全性。 常用的优秀的个人防火墙有Norman Persona 1 Firewa 11 ＞天网防火墙等 现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行 分析，包过滤防火墙的处理速度较快，并且易于配置。包过滤防火墙具有根本 的缺陷 1 不能防范黑客攻击 包过滤防火墙的工作基于一个前提，就是网管知道哪些IP是可信网络，哪 些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区 分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP 地址欺骗。 2 不支持应用层协议 假如内网用户提出这样一个需求，只允许内网员工访问外网的网页使用 HTTP协议，不允许去外网下载电影一般使用FTP协议。包过滤防火墙无 能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 3 不能处理新的安全威胁 它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许 从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍 可以穿透防火墙。 综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪 个省市来判断是否允许他她进入一样，难以履行保护内网安全的职责。 2. 2应用代理网关技术 由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅 仅使用过滤的方法并不能消除危害如SYN攻击、ICMP洪水等，因此人们需要 一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理” Appl icat ion Proxy 技术的防火墙诞生了。代理服务器作为一个为用户保密 或者突破访问限制的数据转发通道，在网络上应用广泛。我们都知道，一个完整 的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的 客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据 转发给用户，完成一次代理工作过程。那么，如果在一台代理设备的服务端和客 户端之间连接一个过滤措施呢这样的思想便造就了 “应用代理”防火墙，这种 防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器 Transparent Proxy ,但是它并不是单纯的在一个代理设备中嵌入包过滤技 术，而是一种被称为“应用协议分析（Application Protocol Ana lys i s ）的 新技术。 “应用协议分析”技术工作在0SI模型的最高层应用层上，在这一层里 能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看 到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可 以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路，在 用户方面和外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数 据收发实际上是经过了代理