网络安全技术期末论文

浅谈网络安全技术

姓名:陆麒 班级：D计算机081

【摘要】:网络安全保护是一个过程。就像战争一样,这个阶段漫长而枯燥,其间还要担惊

受怕。作为信息时代的主角，信息已经成为人类最宝贵的资源之一，经济的发展、社会的进步、国家的安全都越来越依赖于对信息资源的占有和保护。

防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。文献主要论述了防火墙安全技术发展过程、分类及其主要技术特征,通过图例分析了各种防火墙的工作原理；并对各类防火墙进行了优缺性的比较，最后介绍了防火墙未来的发展趋势。

【关键词】:防火墙；包过滤技术；复合型；状态检测

network security technology

Abstract : Network security is a process. Like wars, long and boring at this stage, during which even fear. As the protagonist of the information age, information has become one of mankind's most precious resources, economic development, social progress, national security is increasingly dependent on the possession of information resources and protection. And as the representative of the Internet has become the bearer network, the major media to disseminate information.

Firewall is the present network safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son net. From disposition location, firewall is often located in network export , is the only passageway between internal net and external net , therefore raises the performance of firewall , avoid it to become bottleneck , become firewall product whether a successful key problem. This literature mainly discusses the firewall security technology development, classification and main technical characteristics; through the illustrations analyzes various firewall principle of work; and makes a comparison of the advantages and disadvantages of various types of firewall. Finally, introduces the future development trend of the firewall.

Firewall；Packct Filtering；Inter-disciplinary；Stateful Inspection Key words：

1

计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

引 言

近年来，随着网络的迅速发展，网络安全已经成为人们日益关心的问题。当前，网络面临的安全威胁大体上分为两种：一种是对网络数据的威胁；另一种是对网络设备的威胁。其中，来自外部或内部人员的恶意攻击和入侵是当前因特网所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。目前解决网络安全问题的最有效办法是采用防火墙。因特网的迅速发展为人们提供了发布信息和检索信息的场所，但也带来了信息被污染或被破坏的危险，人们为了保护其数据和资源安全，发明了防火墙。防火墙从本质上说是一种保护装置，它主要用于保护数据、资源和用户的声誉。从部署位置来看，防火墙往往又位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。

1、概述

随着INTERNET的发展, 网络已经走进千家万户。因而, 网络安全成为了人们最为关注的问题。而且由于网络的开放性, 网络安全防护的方式发生了根本变化, 使得安全问题更为突出。在此情形下, 防火墙技术应运而生。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲可分为以下几类。第一代防火墙, 又称包过滤防火墙, 主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过, 对其进行转发, 但这种防火墙很难抵御地址欺骗等攻击, 而且审计功能很差。第二代防火墙, 也称代理服务器,它用来提供网络服务级的控制, 起到外部网络向被保护的内部网络申请服务时中间转接作用, 这种方法可以有效地防止对内部网络的直接攻击, 安全性较高。第三代防火墙有效地提高了防火墙的安全性, 称为状态监控功能防火墙, 它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展, 新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴, 已经演变成一个全方位的安全技术集成系统, 我们称之为第四代防火墙, 它可以抵御目前常见的网络攻击手段, 如地址欺骗、特洛伊木马攻击、玩蠕虫、口令探寻攻击、邮件攻击等等。第五代防火墙，主要指的是复合型防火墙，指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。

2、防火墙的定义

“防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但这个门在提供增强安全性的同时允许必要的访问。

2

计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

3、防火墙技术

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因

而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。

4、防火墙工作原理

4.1、 包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

4.2、 应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另

3

计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

4.3、 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

4.4、 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础平台，以其他的安全模块为多层次应用环境，构筑了一套完整的立体的网络安全解决方案。

5、防火墙的优缺性

5.1、反防火墙的优点

（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

5.2、防火墙的脆弱性

防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。

4

计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

6、防火墙的未来发展趋势

未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。

目前防火墙一个很大的局限性是速度不够。要实现高速防火墙, 算法是一个关键, 因为网络处理器中集成了很多硬件协处理单元, 因此比较容易实现高速, 对于采用纯CPU的防火墙, 就必须有算法支撑, 例如ACL算法。

多功能也是防火墙的发展方向之一, 鉴于目前路由器和防火器价格都比较高, 组网环境也越来越复杂, 一般用户总希望防火墙可以支持更多的功能, 满足组网和节省投资的需要。

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展, 防火墙会更多地参与应用层分析, 为应用提供更安全的保障。

结 论

计算机的诞生为人类的生产和生活带来了极大的便利和乐趣,计算机技术在 各行业的广泛运用已不容忽视。然后伴随着科技发展的同时,计算机病毒也慢慢的走进人们的视野,给计算机系统的安全和人民的生产和生活安全带来了巨大的潜在危害,并呈现了愈演愈烈的趋势,如何趋利避害,发挥计算机技术的最佳作用, 避免风险,从而确保计算机网络的安全和畅通，是我们要解决的主要问题。

参 考 文 献:

[1] 步山岳、张有东，计算机安全技术，高等教育出版社，2008年10月 [2] 谢希仁，计算机网络（第五版），电子工业出版社，2008年1月 [3] 冯登国，网络安全原理与技术，科技出版社，2007年9月 [4] 计算机网络安全，戴红、王海泉、黄坚编著，2004年，9月 [5] 王新宇.防火墙技术浅析[M].宁夏：宁夏机械出版社,2004

[6] 周启辉.防火墙的现状与发展趋势分析[J].涟钢科技与管理,2003,(06)

5