计算机网络安全与互联网与防火墙

计算机网络安全与互联网与防火墙

摘要：随着Internet在我国的迅速发展，防火墙技术引起了各方面的广泛关注. 一方面在对国外信息安全和防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作。目前使用较多的，是在路由器上采用分组过滤技术提供安全保证，对其它方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段，仍有许多问题有待解决。因此，密切关注防火墙的最新发展，对推动Internet 在我国的健康发展有着重要的意义

关键词：网络安全、防火墙、分组过滤、代理、堡垒主机

Abstract:The firewall technology core thought is in the unsafe Internetenvironment a structure relative security sub- net environment.

This article introduced the firewall technology basic concept and thesystem structure. Discussed has realized the firewall two main technical method: One kind is filters the technology based on the grouping (Packetfiltering), Its representative is the firewall function which realizes on thescreening router; One kind is based on the proxy technology (Proxy), Its representative is the firewall function which realizes on theapplication level gateway .

Key word:The network security, the firewall, the grouping filters, proxy,fortress main engine.

目录

第1章网络安全 (3)

1.1网络安全概念 (3)

1.2 Internet的安全隐患的主要现体 (3)

1.3 网络安全防范的内容 (4)

第2章防火墙 (5)

2.1防火墙的概念 (5)

2.2 防火墙的基本构件和技术 (6)

2.2.1 筛选路由器 (6)

2.2.2 分组过滤技术 (7)

2.2.3 双宿主机 (9)

结束语 (15)

参考文献 (15)

第一章网络安全

1.1网络安全概念

国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

1.2 Internet的安全隐患主要体现在下列几方面：

(1)Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

(2)Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

(3)Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

(4)在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

(5)电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

(6)计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

1.3 网络安全防范的内容

一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。

计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人的资金安全、商家的货物安全，还关系到国家的经济安全、国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。

1.4 确保网络安全的主要技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

第二章防火墙

2.1 概念

所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强访问控制。它的实现有好多种形式，有些实现还是很复杂的，但基本原理却很简单。你可以把它想象成一对开关，一个开关用来阻止传输, 另一个开关用来允许传输。

设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全. 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。

不同的防火墙侧重点不同。从某种意义上来说，防火墙实际上代表了一个网络的访问原则。如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy)，即确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构。一