防火墻計算機安全中論文

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了防火墻計算機安全中論文范文，希望能給你帶來靈感和參考，敬請閱讀。

1防火墻的功能和工作原理

從邏輯上講，防火墻是分離器、限制器和分析器。防火墻就是位于內部網(wǎng)或WEB站點與因特網(wǎng)之間的一個路由器或一臺計算機。所有進入或流出內部網(wǎng)絡的數(shù)據(jù)包，都要經由防火墻。而所有經由防火墻的數(shù)據(jù)都必須經過防火墻設置中的安全策略和安全計劃的確認和授權才可通過，未經授權的數(shù)據(jù)包將被丟棄。防火墻使用這一工作原理，將可有效防范黑客、木馬程序及網(wǎng)絡病毒對網(wǎng)絡安全帶來的危害，盡最大可能保護內部網(wǎng)絡的信息安全。防火墻按照不同的工作機制又可分為三類：包過濾技術、堡壘主機、服務?，F(xiàn)簡要敘述這三類技術的工作原理。

1）包過濾技術

在網(wǎng)絡中傳輸?shù)男畔⒅饕且詳?shù)據(jù)包的形式發(fā)送，數(shù)據(jù)包又分為包頭和數(shù)據(jù)兩個部分，數(shù)據(jù)包的包頭中，包含了數(shù)據(jù)包的源IP地址和目標IP地址。數(shù)據(jù)包正是根據(jù)這樣的信息，被在網(wǎng)絡中的不同路由器根據(jù)路由表進行轉發(fā)，從源地址發(fā)送往目標地址的。在包過濾路由器中，由管理員設置安全規(guī)則，并根據(jù)安全規(guī)則對將轉發(fā)的數(shù)據(jù)包進行檢查，當發(fā)現(xiàn)不符合安全規(guī)則的數(shù)據(jù)包時，數(shù)據(jù)包將被丟棄。由于包過濾只檢查數(shù)據(jù)包的包頭中信息來決定是否對數(shù)據(jù)包進行轉發(fā)或丟棄，所以原理相對簡單和有效，易于擴展。但它也有一些缺點和局限性。在系統(tǒng)中配置包過濾規(guī)則較為困難，管理員很難在包過濾規(guī)則中考慮全面，而且對于安全規(guī)則的測試也較為麻煩。由于不支持應用層面的安全過濾，有些安全規(guī)則是難于用包過濾系統(tǒng)來實施也難以實現(xiàn)。所以實際應用中，包過濾安全往往要與其它防火墻技術結合使用。

2）服務

運行在防火墻主機上的一些特定的應用程序或者服務程序。防火墻主機是由一臺安裝有服務協(xié)議的雙重宿主主機構成，主機可連接內部網(wǎng)絡和外部網(wǎng)絡。所謂就是一個提供替代連接并且充當服務的網(wǎng)關。也被稱為應用網(wǎng)關。外部網(wǎng)絡對內部網(wǎng)絡的訪問請求，通過服務器的安全規(guī)則的檢測，對于合法的連接請求，服務主機以自身的身份與內部網(wǎng)絡相聯(lián)，并轉發(fā)數(shù)據(jù)，內部網(wǎng)絡的連接請求，也是通過服務主機與外部網(wǎng)絡相聯(lián)的。服務主機是在應用層提供服務，在管理員控制下，允許或拒絕特定的應用程序或特定服務，所以在服務主機中，可對轉發(fā)和拒絕的數(shù)據(jù)流實施監(jiān)控、記錄、過濾、報告。由于服務機制中，對數(shù)據(jù)包進行轉發(fā)，對外部的訪問可屏蔽內部網(wǎng)絡的IP地址，服務應用層也是制定更為嚴格的安全策略。

3）保壘主機

人們把處于防火墻關鍵部位，運行應用級網(wǎng)關軟件的計算機系統(tǒng)稱為堡壘主機。保壘主機在防火墻的建立過程中起著至關重要的作用。堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中到某個主機上解決。堡壘主機是網(wǎng)絡中最容易受到侵害的主機，所以堡壘訂機也必須是自身保護最完善的主機。由于堡壘主機是最易受到攻擊，所以在堡壘主機中設置服務必須最少，堡壘主機中的服務軟件也盡可能低的權限。建立堡壘主機的目的是阻止入侵者到達內部網(wǎng)絡。堡壘主機目前一般有3種類型：無路由雙宿主主機、犧牲主機和內部堡壘主機。無路由雙宿主主機，有多個網(wǎng)絡接口，但接口之間無路由的連接。犧牲主機是一種沒有任何需要保護信息的主機，入侵者可隨意登錄，但又不能與任何主機相聯(lián)。

2防火墻對于網(wǎng)絡安全的不足之處

雖然，現(xiàn)有的防火墻技術對經由防火墻數(shù)據(jù)流進行了過濾，一定程度上保護了內部網(wǎng)絡的主機的安全，但不足之處也非常明顯。包過濾防火墻，在過濾數(shù)據(jù)包時對用戶完全透明，只根據(jù)數(shù)據(jù)包中的IP信息將數(shù)據(jù)包進行轉發(fā)或丟棄，效率高。但只作用于數(shù)據(jù)鏈層，無法防御具有地址欺騙的網(wǎng)絡攻擊方式，對于應用程序中的安全保護作用有限。服務類防火墻，將內部與外部隔離，內部與外網(wǎng)的信息經由防火墻進行轉換，對外網(wǎng)屏蔽內部的結構，以達到保護內部的目的。服務于應用層，可制定轉為嚴格的保護策略，但工作的速度對于路由器工作速度慢，且過程對于用戶是隱蔽的，不同的服務，使用不同的服務器，所以服務防火墻工作效率較低。傳統(tǒng)的防火墻也有明顯不足之處：

1）對于不經由防火墻網(wǎng)絡攻擊不能防范。

2）不能防范受病毒感染的文件、軟件和文檔的傳輸。

3）不能防范內部網(wǎng)絡的攻擊。

4）防火墻的工作方式是被動的，無法根據(jù)網(wǎng)絡攻擊作出適應調整。

5）對于具有欺騙性的網(wǎng)絡攻擊，缺少應對手段。

3防火墻的新技術及安全防護策略

近年來，針對傳統(tǒng)防火墻的不足，對防火墻技術進行改進及安全防護策略。

1）在設計防火墻安全策略時，禁止不經由防火墻的訪問，確保內部網(wǎng)絡與外部所有信息流都經過防火墻。

2）與防病毒軟件相結合的防火墻技術，在應用網(wǎng)關的防火墻中，與第三方殺病軟件相結合，對經由防火墻的數(shù)據(jù)進行檢測，將病毒防御在防火墻之外。

3）智能防火墻技術，針對傳統(tǒng)防火墻被動防御的缺點，新型智能防火墻內外路由器、智能認證服務器、智能主機和堡壘主機組合構成，實現(xiàn)過濾規(guī)則自動產生和自動配置，對新發(fā)現(xiàn)的安全威脅進行自主防御。

4）分布式防火墻，分布式防火墻由安全策略管理服務器和客戶端防火墻構成。安全策略服務器負責安全策略、用戶、日志、審計等管理?？蛻舳朔阑饓ω撠煂Π踩呗缘膶嵤?。分布式防火墻可防御各種類型的被動攻擊與主動攻擊。

5）集中防火墻，集中防火墻是在入侵檢測技術的支持下，建立一個網(wǎng)絡入侵檢測系統(tǒng)和防火墻集成模型。入侵檢測系統(tǒng)可有效彌補防火墻無法識別網(wǎng)絡攻擊的缺陷。入侵檢測系統(tǒng)將有效識別網(wǎng)絡攻擊并動態(tài)調整防火墻的安全規(guī)則，使防火墻具有一定的智能化。

4結束語

在網(wǎng)絡安全越來越受到重視的今天，防火墻在抵御網(wǎng)絡攻擊、保護網(wǎng)絡的信息安全起到重要作用。隨著網(wǎng)絡技術的進步，網(wǎng)絡攻擊呈現(xiàn)手段越來越多樣化，攻擊形式也更加復雜。為更好的防御網(wǎng)絡攻擊，在網(wǎng)絡環(huán)境中配置防火墻，并正確使用防火墻安全策略和新技術原理防火墻，是可能在一定程度上有效的保護網(wǎng)絡安全的。

作者：徐振宇 單位：太原理工大學計算機科學與技術學院 山西工程技術學院