防火墙技术分析与研究 目 录 摘要 .............................................................. 1 综 述 ............................................................ 1 一、防火墙的概述 .................................................. 2 （一）防火墙的概述 ............................................. 2 （二） 防火墙的背景与发展 ...................................... 2 （三） 防火墙的种类与类型 ...................................... 2 1.数据包过滤型防火墙 ....................................... 2 2.应用级网关型防火墙 ....................................... 3 3.代理服务型防火墙 ......................................... 3 4.复合型防火墙 ............................................. 4 （四） 防火墙的功能 ............................................ 4 1.访问控制 ................................................. 4 2.防御功能 ................................................. 5 3.管理功能 ................................................. 5 4.记录和报表功能 ........................................... 5

二、 网络安全 ..................................................... 6 （一） 网络安全问题 ............................................ 6 1.网络安全面临的主要威胁 ................................... 6 2.影响网络安全的因素 ....................................... 6 （二）网络安全措施 ............................................. 7 1.完善计算机安全立法 ....................................... 7 2.网络安全的关键技术 ....................................... 7 3.制定合理的网络管理措施 ................................... 8

三、防火墙技术的发展趋势 .......................................... 8 （一） 防火墙包过滤技术发展趋势 ................................ 8 （二）防火墙的体系结构发展趋势 ................................. 8 （三）防火墙的系统管理发展趋势 ................................. 9

结束语 ............................................................ 9 参考文献： ....................................................... 10 1

防火墙技术分析与研究 摘要 防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。本文的重点是介绍了防火墙的类型与主要功能，通过防火墙的数据包进行统计分析，并根据统计数据动态调整过滤规则的相对次序，使得使用最频繁的规则位于规则列表的最前面，使其和当前网络流量特性相一致，从而达到降低后继数据包规则匹配时间来提高防火墙性能之目的。

关键词：计算机 防火墙 Internet 安全 技术特征

综 述 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业。 防火墙是一种网络技术，最初它被定为一个实施某些安全策略保护一个可信网络，用以防止来自一个不可信的网络（如Internet）的攻击的装置。 防火墙就是一个或多组网络设备，可用来在两个或多个网络间加强访问控制。它的实现有好多种方式，有的实现还是很复杂的，但基本原理却很简单。可以把它想象成一个开关，一个是用来阻止输入，另一个用来允许输入。防火墙可以设置在不同的网络之间（如可信任的企业内部网和不可信的公共网）或网络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、检测）出入网络的信息流，且本身也具有较强的攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效的监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 2

一、防火墙的概述 （一）防火墙的概述 人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。在网络上，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡，它的作用与建筑的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”。 防火墙就是一个位于电脑和它所连接的网络之间的软件。该电脑流入流出的所有网络通信均要经过此防火墙。 防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。

（二）防火墙的背景与发展 第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter) 技术。 第二、三代防火墙是在1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙，应用层防火墙(代理防火墙)的初步结构。 第四代防火墙是在1992年，由USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙在1998年，是NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

（三）防火墙的种类与类型 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。

1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通 3

过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明 性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的优点：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 数据包过滤防火墙的缺点：一是非法访问一旦突破防火墙，即可对主机上的 软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。 因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。