计算机网络安全与互联网与防火墙摘要：随着Internet在我国的迅速发展，防火墙技术引起了各方面的广泛关注. 一方面在对国外信息安全和防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作。

目前使用较多的，是在路由器上采用分组过滤技术提供安全保证，对其它方面的技术尚缺乏深入了解。

防火墙技术还处在一个发展阶段，仍有许多问题有待解决。

因此，密切关注防火墙的最新发展，对推动Internet 在我国的健康发展有着重要的意义关键词：网络安全、防火墙、分组过滤、代理、堡垒主机Abstract:The firewall technology core thought is in the unsafe Internetenvironment a structure relative security sub- net environment.This article introduced the firewall technology basic concept and thesystem structure. Discussed has realized the firewall two main technical method: One kind is filters the technology based on the grouping (Packetfiltering), Its representative is the firewall function which realizes on thescreening router; One kind is based on the proxy technology (Proxy), Its representative is the firewall function which realizes on theapplication level gateway .Key word:The network security, the firewall, the grouping filters, proxy,fortress main engine.目录第1章网络安全 (3)1.1网络安全概念 (3)1.2 Internet的安全隐患的主要现体 (3)1.3 网络安全防范的内容 (4)第2章防火墙 (5)2.1防火墙的概念 (5)2.2 防火墙的基本构件和技术 (6)2.2.1 筛选路由器 (6)2.2.2 分组过滤技术 (7)2.2.3 双宿主机 (9)结束语 (15)参考文献 (15)第一章网络安全1.1网络安全概念国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

1.2 Internet的安全隐患主要体现在下列几方面：(1)Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

(2)Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

(3)Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

(4)在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。

信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

(5)电子邮件存在着被拆看、误投和伪造的可能性。

使用电子邮件来传输重要机密信息会存在着很大的危险。

(6)计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。

在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

1.3 网络安全防范的内容一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。

计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。

因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。

网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。

计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。

黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号购物等。

随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人的资金安全、商家的货物安全，还关系到国家的经济安全、国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。

1.4 确保网络安全的主要技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

第二章防火墙2.1 概念所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强访问控制。

它的实现有好多种形式，有些实现还是很复杂的，但基本原理却很简单。

你可以把它想象成一对开关，一个开关用来阻止传输, 另一个开关用来允许传输。

设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。

通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全. 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。

不同的防火墙侧重点不同。

从某种意义上来说，防火墙实际上代表了一个网络的访问原则。

如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy)，即确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙。

防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构。

一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间. 防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进入和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。

防火墙是用来实现一个组织机构的网络安全措施的主要设备。

在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。

本文主要介绍下列防火墙的基本构件和技术：筛选路由器(screening router)、分组过滤(packet filtering)技术、双宿主机(dual-homed host)、代理服务 (Proxy Service)、应用层网关(application level gateway)。

2.2 防火墙的基本构件和技术2.2.1 筛选路由器 (Screening Router)许多路由器产品都具有根据给定规则对报文分组进行筛选的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。

例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能，这种路由器被称为筛选路由器。

最早的Cisco路由器只能根据IP数据报头部内容进行过滤，而目前的产品还可以根据TCP端口及连接建立的情况进行过滤, 而且在过滤语法上也有了一定改进。

筛选路由器提供了一种强有力的机制，可用于控制任何网络段上的通信业务类型。

而通过控制一个网络段上的通信业务类型，筛选路由器可以控制该网络段上网络服务的类型，从而可以限制对网络安全有害的服务。

筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。

路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤. 因此，筛选路由器又称为分组过滤路由器。

下面我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题。

从我们自己的角度上看，INTERNET中的地区网、国家网和主干网都代表着一个危险区域，在危险区域内的主机对于外来攻击的防范是很脆弱的。

因此，我们当然希望把自己的网络和主机置于危险区域之外。

然而，没有相应的设备去拦截对自己网络的攻击，则危险区域将会延伸至自己的网络上。

筛选路由器就是这样一种设备，它可以用来减小危险区域，从而使其不能渗透到我们网络的安全防线之内。

防火墙可以执行分组过滤功能，因为防火墙覆盖了网络层和传输层。

某些厂商，可能是由于市场营销策略，模糊了筛选路由器和防火墙之间的区别，将他们的筛选路由器产品称为防火墙产品。

有些时候，筛选路由器也被称为分组过滤网关。

使用“网关”这一术语来称呼分组过滤设备可能有以下理由，即在传输层根据TCP标志执行的过滤功能不属于路由器的功能，因为路由器运行在OSI 模型的网络层。

在网络层以上运行的设备也被称为网关。

2.2.2 分组过滤 (Packet Filtering) 技术筛选路由器可以采用分组过滤功能以增强网络的安全性。

筛选功能也可以由许多商业防火墙产品和一些类似于Karlbridge的基于纯软件的产品来实现。

但是，许多商业路由器产品都可以被编程以用来执行分组过滤功能。

许多路由器厂商，象Cisco、Bay Networks、3COM、DEC、IBM等，他们的路由器产品都可以用来通过编程实现分组过滤功能。

1. 分组过滤和网络安全策略分组过滤可以用来实现许多种网络安全策略。

网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。

通常，网络安全策略主要用于防止外来的入侵，而不是监控内部用户。

例如，阻止外来者入侵内部网络，对一些敏感数据进行存取和破坏网络服务是更为重要的。

这种类型的网络安全策略决定了筛选路由器将被置于何处，以及如何进行编程用来执行分组过滤。