防火墙在网络安全中的应用论文

摘要

关键字

引言

研究背景

研究意义

一．防火墙概念

1. 定义

2. 类型

3. 特征

4. 发展历史

二．防火墙的安全功能

三．防火墙技术

1. 包过滤技术

2. 状态包过滤技术

3. NAT网络地址转换技术

4. 代理技术

四．防火墙结构体系

五．防火墙的局限性

六．防火墙面临的攻击

七．防火墙未来趋势

八．总结

摘要网络安全是指网络系统能够可靠正常运行，软硬件及其数据不因偶然或恶意因素遭受到破坏、更改、泄露。网络安全的主要威胁主要有非法访问，冒充合法用户，破坏数据，干扰系统正常运行，病毒攻击，信息泄露等方面。随着计算机技术的发展和网络应用的普及，面对日益强大的网络威胁，人们逐渐意识到网络安全的重要性，而在网络安全结构体系中，防火墙占据举足重轻的位置。

本文首先叙述防火墙的一些概念特点，为下文的介绍做铺垫，而将本文重点放在研究防火墙各种技术以及作用原理，并对此进行分析评价，以及提出一些改进意见，再简单叙述一些针对防火墙攻击的策略。同时以用户的角度叙述了如何使用和选购防火墙来实现自身的安全需求，最后在对防火墙的未来前景进行展望。

研究意义

随着计算机的广泛应用，以及Internet网络的迅猛发展，网络安全的问题日益突出，人们越来越重视网络安全问题。目前，网络安全面临的威胁主要有：病毒与恶意攻击、非授权访问、间谍软件入侵等，2012年我国计算机病毒感染率高达45.07%，通过网络下载或浏览传播病毒的比例占75.42%。国家互联网应急中心，2014年2月10-16日网络安全信息与动态周报显示，本周境内感染网络病毒的主机数量约为69.0 万个，其中包括境内被木马或被僵尸程序控制的主机约35.0 万以及境内感染飞客（conficker）蠕虫的主机约34.0 万。放马站点是网络病毒传播的源头，根据对放马URL 的分析发现，大部分放马站点是通过域名访问，而通过IP 直接访问的涉及94 个IP。因此，防病毒防黑客已经成为防范网络威

胁的基本策略，而大部分的不安因素都是通过不安全的外部网络环境侵入内部网络而实施破坏的。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施，所以，我们有必要对防火墙技术进行深入分析和研究，并能充分利用这项技术，努力改善防火墙技术，使网络更稳定，更安全。

绪论

随着计算机的广泛应用，以及Internet网络的迅猛发展，网络安全的问题日益突出，人们越来越重视网络安全问题。目前，网络安全面临的威胁主要有：病毒与恶意攻击、非授权访问、间谍软件入侵等，2012年我国计算机病毒感染率高达45.07%，通过网络下载或浏览传播病毒的比例占75.42%。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施，截至今日，防火墙已经成为维护网络安全至关重要的一种安全设备，在网络安全的防范体系中占据着举足轻重的位置，而研究发展防火墙技术是网络安全发展进程相当中重要的部分。

一.防火墙概念

1.防火墙指在内部网和外部网或专用网和公共网之间的一种由软件、硬件设备组合的安全网关，保护内部网免受非法用户的侵入.，防火墙的安全性一般包括访问控制能力、抗攻击能力、自身的安全性3方面。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分构成，流经安装防火墙的计算机的所有网络通信和数据包都要经过此防火墙。防火墙可以是一种硬件（如专用防火墙）、固件或者软件（如代理服务器软件）。软件防火墙是以逻辑形式存在的，工作在系统接口与网络驱动接口规范之间，是安装在负责内外网络转换的网关服务器或者独立计算机上的一种特殊程序，信息处理效率较硬件防火墙低，很多企业往往使用的是硬件防火墙。硬件防火墙是一种以物理形式存在的专用设备，通常建设在两个网络的驳接处，直接从网络设备上检查过滤数据报文，硬件防火墙的硬件规格也是分档次的，对吞吐量要求高的网络里，经常选用芯片级的硬件防火墙。

2.类型：

（1）.按照作用区域不同，可以分为网络层防火墙、应用层防火墙、数据库防火墙。网络层防火墙运作在底层的TCP/IP协议堆栈上、应用层防火墙运作在TCP/IP协议堆栈的应用层上，数据库防火墙是基于数据库协议分析和控制技术的数据库安全防护系统。

（2）.按照工作原理，防火墙可分为包过滤防火墙（包括状态监测型防火墙）、应用代理防火墙、复合型防火墙，其中复合型防火墙是将包过滤技术和应用代理技术相结合。

3.特征：

（一）.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。

（二）只有符合安全策略的数据流才能通过防火墙。

（三）防火墙具有相当强的抗攻击能力。

(四)应用层防火墙具备更细致的防护能力。

(五）数据库防火墙针对数据库恶意攻击具有阻断能力。

历史发展：

第一代防火墙技术采用了包过滤技术，通过路由器的控制功能来实现。

第二代防火墙即电路层防火墙，数据包在应用层管理，向不同协议提供服务。

第三代防火墙代理（应用）防火墙，拥有很强的日志记录和审计功能。

第四代防火墙是基于动态包过滤技术，后来发展成为状态监视技术。

第五代防火墙一种自适应代理技术，结合代理防火墙安全性和包过滤防火墙高效率的优点。

二防火墙的安全功能

防火墙是内外网之间的安全屏障，对流经防火墙的数据进行过滤，阻止有害或者不需要的信息通过，过滤掉一些攻击保障用户的安全。防火墙不能把所有的数据拒之门外，所以如何设置防火墙规则非常关键，这直接决定了防火墙的性能。

一般防火墙都应该兼有报警功能、端口扫描功能、日志功能、黑白名单功能等，为满足用户的安全需求和查询需求。

三防火墙技术

防火墙技术是一种综合技术，一般很少采用单一技术，通常是多种为解决不同问题而进行技术组合，主要包括以下技术

(一)包过滤技术

1.这是一门最早的防火墙技术，主要是基于数据包过滤技术，通过检测数据包的首

部信息来决定是否丢弃，工作原理是检查发送方IP地址、接收方IP地址，TCP端口、TCP标志位等信息是否满足数据包过滤访问控制列表来判断是传送还是丢弃，工作在网络层和传输层。包过滤技术粗略可分为包过滤技术和状态检测技术，详细可分静态包过滤技术、动态包过滤技术、状态包检测技术、深度包检测技术。

包过滤优点是效率高速度快，逻辑简单，成本低，但是缺点亦明显。因为是利用部分数据包的首部信息、通过过滤规则来检测，不仅依据信息少，而且性能受过滤规则数目影响较大，若设置数量过少，则不能满足安全性的要求，数目过多效率会大大降低。

因为网络管理员要设置过滤规则，所以对网络员的专业素质较高。并且不能防止IP地址欺骗，因为过滤依据是IP地址、目的IP地址，而IP地址的伪造是很容易并且很普遍的。该技术还缺少审计和报警机制、缺少上下文关联信息，所以不能对网络上流动的信息做出全面的记录和控制，不能进行身份验证、不能有效过滤等UDP、RPC一类的协议。即使再完善的数据包过滤仍有一些应用协议如FTP、RPC不适合于数据包过滤。

因为该技术是动态分配端口号，所以必须全部打开客户端动态分配端口区域，不能实现使用哪个端口就打开哪个端口，这时若防火墙没有记住已存在的TCP连接，则无法抵御TCP的ACK扫描。目前，防火墙已经较少使用该技术，市场上主要使用状态包过滤技术和应用代理技术。