當前位置:山西快乐十分前三走势 > 論文寶庫 > 信息科技類 > 應用電子技術 > 正文

山西快乐十分基本走势:防火墻技術的研究

山西快乐十分前三走势 www.fyiul.com 來源:UC論文網2019-04-08 09:48

摘要:

  摘要:本文主要闡述了防火墻的概況及其主要技術:包過濾、代理服務器、狀態檢測技術,分析了防火墻體系結構的一些優缺點,并提出了一些建設性的意見。關鍵詞:防火墻技術原理體系結構  作者:石慧慧  一、防火墻簡介  1.防火墻的概念  防火墻的本義是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱?! ?.防火墻...

  摘要:本文主要闡述了防火墻的概況及其主要技術:包過濾、代理服務器、狀態檢測技術,分析了防火墻體系結構的一些優缺點,并提出了一些建設性的意見。關鍵詞:防火墻技術原理體系結構


  作者:石慧慧


  一、防火墻簡介


  1.防火墻的概念


  防火墻的本義是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。


  2.防火墻的發展


 ?。?)第一代防火墻


  第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packetfilter)技術。


 ?。?)第二、三代防火墻


  1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。


 ?。?)第四代防火墻


  1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamicpacketfilter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Statefulinspection)技術。


 ?。?)第五代防火墻


  1998年,NAI公司推出了一種自適應代理(Adaptiveproxy)技術,并在其產品GauntletFirewallforNT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。


  二、防火墻的類型


  從技術上看,防火墻有三種基本類型:包過濾型、代理服務器型和復合型。


  包過濾型防火墻(PacketFilterFirewall)通常建立在路由器上,在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網絡層,基于單個IP包實施網絡控制。它對所收到的IP數據包的源地址、目的地址、TCP數據分組或UDP報文的源端口號及目的端口號、包出入接口、協議類型和數據包中的各種標志位等參數,與網絡管理員預先設定的訪問控制表進行比較,確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。


  代理服務器型防火墻(ProxyServiceFirewall)通過在計算機或服務器上運行代理的服務程序,直接對特定的應用層進行服務,因此也稱為應用層網關級防火墻。代理服務器型防火墻的核心,是運行于防火墻主機上的代理服務器進程,實質上是為特定網絡應用連接企業內部網與Internet的網關。


  復合型防火墻(HybridFirewall)把包過濾、代理服務和許多其他的網絡安全防護功能結合起來,形成新的網絡安全平臺,以提高防火墻的靈活性和安全性。


  三、防火墻技術原理


  防火墻從原理上主要有三種技術:包過濾(PackeFiltering)技術、代理服務(ProxyService)技術和狀態檢測(StateInspection)技術。


  1.包過濾(PacketFiltering)技術


  在基于TCP/IP協議的計算機網絡上,所有網絡上的計算機都是利用IP地址的唯一標志來確定其在網絡中的位置的,而所有來往于計算機之間的信息都是以一定格式的數據包的形式來傳輸的,數據包中包含了標志發送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數據包被送上計算機網絡時,路由器會讀取數據包中接受者的IP地址,并根據這一IP地址選擇一條合適的物理線路把數據包發送出去,當所有的數據包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據數據在網絡上的這一傳輸原理來設計的,它可以實現網絡中數據包的訪問控制。首先包過濾防火墻會檢查所有通過它的數據流中每個數據包的IP包頭信息,然后按照網絡管理員所設定的過濾規則進行過濾。


  2.代理服務(ProxyService)技術


  代理實際是設置在Internet防火墻網關上有特殊功能的應用層代碼,是在網管員允許下或拒絕特定的應用程序或者特定服務,還可應用于實施數據流監控、過濾、記錄和報告等功能。在應用層,提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用,內部網絡只接受代理提出的服務請求,拒絕外部網絡其他接點的直接請求。代理的工作原理比較簡單。用戶與代理服務器建立連接,將目的站點告知代理,對于合法的請求,代理以自己的身份(應用層網關)與目的站點建立連接,然后代理在這兩個連接中轉發數據。其主要特點是有狀態性,能完全提供與應用相關的狀態和部分傳輸方面的信息,能提供全部的審計和日志功能,能隱藏內部IP地址,能實現比包過濾路由器更嚴格的安全策略。


  3.狀態檢測(StateInspection)技術


  狀態檢測又稱動態包過濾,是在傳統包過濾上的功能擴展,最早由Checkpoint提出。狀態檢測作為防火墻技術其安全特性最佳,它采用了一個在網關上執行網絡安全策略的軟件引擎,稱為檢測???。檢測??樵誆揮跋焱繒9ぷ韉那疤嵯?,采用抽取相關數據(狀態信息)的方法對網絡通信的各層實施監測,并動態地保存狀態信息作為以后制定安全決策的參考。


  四、各防火墻體系結構的優缺點


  1.雙重宿主主機體系結構提供來自于多個網絡相連的主機的服務(但是路由關閉),它圍繞雙重宿主主計算機構筑。該計算機至少有兩個網絡接口,位于因特網與內部網之間,并被連接到因特網和內部網。兩個網絡都可以與雙重宿主主機通信,但相互之間不行,它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務。


  2.被屏蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網絡相連的主機的服務。屏蔽路由器位于因特網與內部網之間,提供數據包過濾功能。堡壘主機是1個高度安全的計算機系統,通常因為它暴露于因特網之下,作為聯結內部網絡用戶的橋梁,易受到侵襲損害。這里它位于內部網上,數據包過濾規則設置它為因特網上唯一能連接到內部網絡上的主機系統。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中,數據包過濾配置可以按下列之一執行:①允許其他內部主機,為了某些服務而開放到因特網上的主機連接(允許那些經由數據包過濾的服務)。②不允許來自內部主機的所有連接(強迫這些主機經由堡壘主機使用代理服務)。這種體系結構通過數據包過濾來提供安全,而保衛路由器比保衛主機較易實現,因為它提供了非常有限的服務組,所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是,若是侵襲者設法入侵堡壘主機,則在堡壘主機與其他內部主機之間無任何?;ね綈踩畝鞔嬖?;路由器同樣可能出現單點失效,若被損害,則整個網絡對侵襲者開放。


  3.被屏蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器(因為它可被因特網上用戶訪問),我們添加額外的安全層到被屏蔽主機體系結構中,將堡壘主機放在額外的安全層,構成了這種體系結構。這種在被?;さ耐綰屯獠客湓黽擁耐?,為系統提供了安全的附加層,稱之為周邊網。這種體系結構有兩個屏蔽路由器,每一個都連接到周邊網。1個位于周邊網與內部網之間,稱為內部路由器,另一個位于周邊網與外部網之間,稱之為外部路由器。堡壘主機位于周邊網上。侵襲者若想侵襲內部網絡,必須通過兩個路由器,即使他侵入了堡壘主機,仍無法進入內部網。因此這種結構沒有損害內部網絡的單一易受侵襲點。


  五、對防火墻技術造成的安全漏洞的建議


  防火墻的管理及配置相當復雜,要想成功地維護防火墻,防火墻管理員必須對網絡安全的手段及其與系統配置的關系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說,由多個系統組成的防火墻,管理上有所疏忽也是在所難免的。


  對此可作如下改進:管理上的安全問題,關鍵在于提高管理員的素質,積極學習安全管理及網絡安全知識,熟練掌握防火墻的系統配置關系,多多實踐,積累足夠的經驗,多個系統防火墻的管理一定要有高度認真、負責到底的精神。總而言之,提高管理者的素質至關重要。


核心期刊推薦