1 防火墻概念

    作為現代技術層面上非常好的一個網絡安全屏障，防火墻是由硬件和軟件設備組合而成的，人們往往將其設置在受保護的網絡和外部網絡之間從而可以實現對網絡的保護。在設計防火墻系統的過程中，阻塞點、最小特權、故障安全狀態、縱深防御、最薄弱的環節簡化等原則是我們一定要遵循的。

2 防火墻的分類及其優缺點

    2.1包過濾防火墻

    包過濾防火墻可以對經過網絡的包的包頭進行查詢，從而決定包的未來定向。通過包過濾防火墻，有些包被丟棄，有些包經過，有些包被用來進行其它的處理。

    包過濾防火墻具有以下優點:所有經過的網絡數據包都會由其實現低層次的控制;每個IP數據包都進行領域檢查;如果經過網絡的包帶有欺騙性源IP地址的，那么它就會被防火墻識別并丟棄;為了實現兩個網絡之間進行訪問，我們必須經由包過濾防火墻;路由器數據包中通常包含包過濾，所以不需要另外添加系統進行處理。

    包過濾防火墻有以下缺點:很難進行配置，因為包過濾防火墻具有復雜性的特性，可能導致一些必要規則的建立被人忘記，也可能導致不能正確的進行配置;人們可能會使用其他的一些方法使得防火墻不能察覺。

    2.2狀態/動態檢測防火墻

    狀態/動態檢測防火墻通過試圖跟蹤通過防火墻的網絡連接和數據包，從而使防火墻使用一個額外的準則，以確定是否允許和拒絕通信。

    狀態/動態檢測防火墻有以下優點:它基于遵守包中信息過濾規則，并檢測IP數據包的所有字段;確定源IP地址偽造數據包的能力:根據應用程序信息并推斷出該包所處的狀態信息;記錄所有通過網絡的包的信息。

    狀態/動態檢測防火墻有以下缺點:記錄的所有的信息，測試和分析可能導致的網絡延時，在同一時間，如果有很多連接在被使用，或網絡中正在運行大流量的軟件的時候會顯得更加明易。

    2.3應用程序代理防火墻

    應用代理防火墻可以接受來自內部網絡特定的用戶應用程序的通信，然后創建一個單獨的Web服務器的公共訪問。由于內網用戶不能實現與外部服務器的直接通信，使得所有的內部網絡均拒絕服務器的訪問。

    應用程序代理防火墻有以下優點:指定連接控制;通過對某些協議請求的蔓延，減少不必要的網絡服務;代理防火墻的大部分記錄，包括地址和時間的連接。

    應用代理防火墻有以下缺點:用戶的系統的設定有特定的范圍，這根據應用程序的不同而有所不同;在網絡中某些部位根本不支持代理連接的使用。

    2.4 NAT

    NAT是經常用于居民區、小型會議室的協議，通過NAT協議內部網絡的多個IP地址可以被轉換到一個大家都知道的地址并轉發到Internet上。

    NAT有如下優點:外界沒有任何途徑可以獲得任何內部人的IP地址;當公共IP地址資源不足時，通過NAT的使用，只需要一個單獨的IP地址即可實現所有的訪問;如果所有傳入的數據包沒有特定的NAT的話，就會將其丟棄，在這種情況下，它可以實現對基本的包過濾防火墻安全機制的啟用。

    NAT有如下缺點:雖然它在一定程度上起到保護內部網絡的安全的目的，但它也有很多局限，如果內部網絡的木馬使用一些外部連接做NAT，那么它就會非常容易的實現對防火墻的穿越。

    2.5個人防火墻

    個人防火墻可以運行在用戶的計算機上，用于保護個人電腦系統的安全，它和狀態/動態檢測防火墻使用相似的方法來保護電腦免受攻擊。

    個人防火墻有如下優點:提高了保護水平，從而節約了設備;外部攻擊和內部攻擊都很攻克個人防火墻;由于個人防火墻的使用，使得公共網絡系統中的單一系統得到了相應的保護。個人防火墻有如下缺點:個人防火墻的主要缺點是只有一個外網可以連接的接口，這使得個人防火墻本身可能是脆弱的。

3 防火墻技術

    3.1包過濾技術

    包過濾技術是網絡監控和過濾的IP數據包流入和流出的原則，不執行對可疑包的發送。根據不同協議的要求，路由器在端口對數據包進行歸類和劃分的能力被稱為包過濾。由于因特網和內聯網的大部分連接使用路由器作必要的內部和外部的通訊端口，所以路由器生產廠商在路由器的基礎上額外使其增加了IP過濾功能，我們把這種路由器也稱為數據包過濾或篩選路由器。通常情況下，我們使用的防火墻就是這樣一種簡單的可以過濾包的路由器，只要配置合理，還是相對比較安全的。

    3.2代理服務技術

    Proxy Server是實現安全的一種非常重要的功能，它主要工作在開放系統互聯模型的對話層，是運行在防火墻主機上的一些特定的應用程序或者服務器程序。它的工作模塊是基于軟件形式的，但是它和過濾數據包的防火墻、以路由器為基礎的防火墻的工作方式還是有一些不同的地方，它大多被用來實現網絡之間的互連。

    通常，我們使用網絡瀏覽器直接去連接其他網絡站點來獲取網絡信息的時候，我們直接連接到想要達到的站點的服務器，然后通過該服務器把我們想要得到的信息傳送回來。代理服務器的功能介于客戶端和Web服務器之間，通過它的使用，使得瀏覽器可以直接向代理服務器發出請求，而不需要再到Web服務器中取回網頁。

    就像一個高速緩沖存儲器一樣，大部分代理服務器也具備緩存功能，并且具有足夠存儲空間，源源不斷將最新獲得的數據存儲到本機的存儲器上，如果瀏覽器所想要得到的數據已經出現在本機的存儲器上并且被存儲器更新，那么它就停止從Web服務器上繼續獲得數據，而是將存儲器上的數據直接傳送給用戶的瀏覽器，從而使得瀏覽速度和效率都獲得顯著的提高。

    3.3應用層網關(ALG)

    應用層網關也叫應用層防火墻或應用層代理防火墻，通常被描述為第三代防火墻。當受信任網絡上的用戶打算連接到不受信任網絡上的服務時，該應用被引導至防火墻中的代理服務器。由于在代理服務中，內外各個站點之間的連接被切斷了，都必須經過代理方才能相互連接，所以說代理服務器可以偽裝成網絡上實際的服務器而不會被察覺。它可以對請求進行評估，并根據一套單個網絡服務的規則決定允許或拒絕該請求。應用層網關代理防火墻工作原理如圖1所示。

圖1 應用層網關

    3.4網絡地址轉換(NAT)

    網絡地址轉換屬接入廣域網(WAN)技術，是一個Internet工程任務組標準，通過該技術的使用，我們可以將私有(保留)地址轉化為合法的IP地址。它在多種不同類型Internet接入方式和多種不同類型的網絡中得到了廣泛的應用，它可以使得具有特定功能的網絡上使用特定地址段的多臺PC可以實現對單個或全局路由的IPv4地址的共享，即它支持網絡上的一個單一的地址對一個單一機構的代理。通過NAT的使用，不僅增加了IP地址使用的寬度，而且能夠對內、外網絡實現很好的隔離作用，從而使得網絡安全得到了保障。

    NAT設備具有如下的功能:它可以實現對一個狀態表的維護，該狀態表可以實現將內部IP地址映射到合法IP地址上的功能。同時，內部網絡的數據包經過NAT設備以后將會被翻譯成正確的IP地址并被發往下一級。NAT設備會對經過的數據包的包頭信息進行相應的修改，從而將原本用于網絡中的地址修改為專屬于NAT設備的網絡地址。

    3.5安全服務器網絡(SSN)

    為了能夠實現逐年增加的用戶在使用網絡信息時對網絡安全進行保護的要求，在設計出的最新防火墻技術中，我們將實現對用戶上網的分別保護，它功能的實現主要依賴于它利用一張網卡實現對外服務器功能的分割處理，使得對外服務器既處于內部網絡中，又不與內部網關有任何的接觸。這種技術被稱為安全服務器網絡(SSN)技術，通過該技術的使用，我們既可以分別處理服務器網絡上的主機，也可將其轉換成FTP，Telnet的形式并從內部網上進行處理。

4 結語

    防火墻技術是現今非常重要的一種網絡安全技術，它簡單實用，透明度高，可被用于消除當前網絡通信以及資源共享過程中遇到的種種安全威脅，對提高網絡通信的安全性以及保密性具有非常重要的作用。隨著計算機技術的發展，防火墻技術的研究將會變得越來越重要，也會越來越受到廣大網絡用戶的關注和青睞。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：防火墻技術淺析

本文網址：http://www.guhuozai8.cn/html/consultation/1083969122.html