防火墻技術論文三篇

防火墻技術論文三篇

　　防火墻技術是網絡安全領域應用較普遍的一種技術，下面就由學習啦小編為大家提供的論文。

　　防火墻技術論文一：

　　一、防火墻概述

　　防火墻是指一種將內部網絡和外部網絡分開的方法，實際上是一種隔離控制技術。在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護網絡上被非法輸出。通過限制與網絡或某一特定區域的通信，以達到防止非法用戶侵犯受保護網絡的目的。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它對兩個網絡之問傳輸的數據包和連接方式按照一定的安全策略對其進行檢查，來決定網絡之問的通信是否被允許：其中被保護的網絡稱為內部網絡，未保護的網絡稱為外部網絡或公用網絡。應用防火墻時，首先要明確防火墻的缺省策略，是接受還是拒絕。如果缺省策略是接受，那么沒有顯式拒絕的數據包可以通過防火墻;如果缺省策略是拒絕，那么沒有顯式接受的數據包不能通過防火墻。顯然后者的安全性更高。

　　防火墻不是一個單獨的計算機程序或設備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網絡問不受歡迎的信息交換，而允許那些可接受的通信。從邏輯上講，防火墻是分離器、限制器、分析器;從物理上講，防火墻由一組硬件設備(路由器、主計算機或者路由器、主計算機和配有適當軟件的網絡的多種組合)和適當的軟件組成。

　　二、防火墻的基本類型

　　防火墻的基本類型包括包過濾、網絡地址轉化—NAT、應用代理和狀態檢測。

　　1.包過濾

　　包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判規則。

　　包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　2.網絡地址轉化—NAT

　　網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

　　在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

　　3.應用代理

　　應用代理完全接管了用戶與服務器的訪問，把用戶主機與服務器之間的數據包的交換通道給隔離起來。應用代理不允許外部主機連接到內部的網絡，只允許內部主機使用代理服務器訪問Internet主機，同時只有被認為””可信任的””代理服務器才可以允許通過應用代理。在實際的應用中，應用代理的功能是由代理服務器來完成的。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

　　4.狀態檢測

　　防火墻技術是網絡安全領域應用較普遍的一種技術，傳統上防火墻基本分為兩大類，即包過濾防火墻和應用網關防火墻，這兩種防火墻由于其受限的地方，逐漸不能適應當前的需求，因此新一代的防火墻Stateful-inspection防火墻應運而生，這種防火墻既繼承了傳統防火墻的優點，又克服了傳統防火墻的缺點，是一種革新式的防火墻。

　　Stateful-inspection防火墻是新一代的防火墻技術，由Check Point公司引入。它監視每一個有效連接的狀態，并根據這些信息決定網絡數據包是否能夠通過防火墻。它在協議棧低層截取數據包，然后分析這些數據包，并且將當前數據包及其狀態信息和其前一時刻的數據包及其狀態信息進行比較，從而得到該數據包的控制信息，來達到保護網絡安全的目的。和應用網關不同，Stateful-inspection防火墻使用用戶定義的過濾規則，不依賴預先的應用信息，執行效率比應用網關高，而且它不識別特定的應用信息，因此不用對不同的應用信息制定不同的應用規則，伸縮性好

　　三、防火墻的發展趨勢

　　1.新需求引發的技術走向

　　防火墻技術的發展離不開社會需求的變化，著眼未來，防火墻技術有的新需求如下：遠程辦公的增長：企事業在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現在一些廠商推出的(虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。

　　2.黑客攻擊引發的技術走向

　　防火墻作為內網的貼身保鏢。黑客攻擊的特點也決定了防火墻的技術走向。數據包的深度檢測：IT業界權威機構Gagner認為代理不是阻止未來黑客攻擊的關鍵，但是防火墻應能分辨并阻止數據包的惡意行為。包檢測的技術方案需要增加簽名檢測等新的功能，以查找已經的攻擊，并分辨出哪些是正常的數據流，哪些是異常數據流。協同性：從黑客攻擊事件分析，對外提供Web等應用的服務器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術、入侵檢測技術、病毒檢測技術有效協同，共同完成保護網絡安全的任務。目前主要支持和IDS的聯動和認證服務器進行聯動。

　　現有防火墻技術仍無法給我們一個相當安全的網絡。攻擊時的變數太大，所以對網絡安全的需求對防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔當了更重的任務。未來，防火墻將成為網絡安全技術中不可缺少的一部分。

　　防火墻技術論文二：

　　一、前盲

　　隨著計算機和網絡在社會中的應用的不斷增多，計算機和網絡安壘技術正變得越來越重要，部門能夠使用的安全設備和軟件的不斷增多，大量數據紛紛涌人事件日志，致使網絡管理員的工作難度越來越高，負擔越來越重。

　　二、防火墻技術

　　防火墻是一個由軟件和硬件設備組合而成，在網絡之間實施訪問控制的一個系統，通過執行訪問控制策略，限制兩個網絡之間數據的自由流動，通過控制和檢測網絡之間的信息交換和訪問行為實現對網絡安全的有效管理。

　　網絡防火墻是加強網絡之間訪問控制的設備，防止外部網絡用戶以非法手段通過外部網絡進人內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

　　1.防火墻一般有三個特性：

　　所有的通信都經過防火墻

　　防火墻只放行經過授權的網絡流量

　　防火墻能經受的住對其本身的攻擊

　　我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器(Route+ACL)，一臺多個網絡接口的計算機，服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

　　2.防火墻將保護以下三個主要方面的風險：

　　機密性的風險

　　數據完整性的風險

　　用性的風險

　　3.防火墻的主要優點如下：

　　防火墻可以通過執行訪問控制策略而保護整個網絡的安壘，并且可以將通信約束在一個可管理和可靠性高的范圍之內。

　　防火墻可以限制某些特殊服務的訪問。

　　防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

　　防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

　　4.防火墻也有許多弱點：

　　不能防御已經授權的訪問，以及存在于網絡內部系統間的攻擊。

　　不能防御合法用戶惡意的攻擊，以及社交攻擊等非預期的威脅。

　　不能修復脆弱的管理措施和存在問題的安全策略。

　　不能防御不經過防火墻的攻擊和威脅。

　　5.根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換一NAT、代理型和監測型。

　　包過濾型

　　包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。包過濾技術的優點是簡單、實用和成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

　　包過濾技術也有明顯的缺陷。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　網絡地址轉化―NAT

　　網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

　　代理型

　　代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。其優點是安壘性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

　　監測型

　　監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。

　　監測型防火墻由于實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監測型防火墻：基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安壘性需求，同時也能有效地控制安全系統的總擁有成本。

　　6.防火墻的不足

　　雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無法防范數據驅動型的攻擊。

　　這樣各單位均通過其他手段進行安全強化，如：入侵監測、殺毒軟件、網絡監控、網絡認證等。

　　雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次。不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

　　三、結束語

　　隨著事業的發展，各單位均意識到網絡安全的重要，逐步加強了網絡的監管與防護工作，在備自的網絡邊界架設防火墻，定制策略進行邊界防護，防止外部網絡對內部網絡的攻擊，起到一定的隔離作用。但是網絡的安全、設備的安全不是單純的增加設備或是安裝軟件就能萬事無憂了，更重要的還是使用人員的意識和素質，對于網絡安全來說，采取手段是必要的，但更重要的是人員的管理。

　　防火墻技術論文三：

　　1 概述

　　防火墻是網絡安全的第一道門戶，可以實現內部網(信任網絡)和外部不可信任網絡之間，或者內部不同網絡安全區域之間的隔離與訪問控制，保證網絡系統及網絡服務的可用性。狹義的防火墻是指安裝了防火墻的軟件或路由器系統，而廣義的防火墻還包括整個網絡的安全策略和安全行為。防火墻一詞來自建筑物中的同名機構，從字面意思上說，它可以防止火災從建筑物的一部分蔓延到其他部分。Internet防火墻也要起到同樣的作用，防止Internet上的不安全因素蔓延到自己企業或組織的內部網。

　　2 防火墻功能

　　本質上來講，防火墻被認為是兩個網絡間的隔斷，只允許所選定的一些形式的通信通過。防火墻另外一個重要特征是它自身抵抗攻擊的能力：防火墻自身應當不易被攻入，因為攻入防火墻就給攻擊者進入內部網一個立足點。從安全需求來看，理想的防火墻應具備以下功能：

　　1)能夠分析進出網絡的數據。

　　2)能夠通過識別、認證和授權對進出網絡的行為進行訪問控制。

　　3)能夠封堵安全策略禁止的業務。

　　4)能夠審計跟蹤通過的信息內容和活動。

　　5)能夠對網絡入侵行為進行檢測和報警。

　　6)能夠對需要保密的信息進行授權的加密和解密。

　　7)能夠對接收到的數據進行完整性校驗。

　　通過選擇優秀的防火墻產品，制定合理的安全策略，內部網絡可以在很大程度上避免受到攻擊。但是需要指出的是，當前流行的許多錯誤概念和觀點經常誤導用戶。那就是過分夸大某些產品的功能，認為所有的網絡安全問題可以通過簡單地配置防火墻來達到。雖然當單位將其網絡互聯時，防火墻是網絡安全的重要一環，但并非全部。許多危險是在防火墻能力范圍之外的。

　　3 防火墻的結構

　　3.1 包過濾性防火墻

　　說明：對進出內部網絡的所有信息進行分析，并按照一定的安全策略對進出內部網絡的信息進行限制。

　　優點：處理速度快、費用低、對用戶透明。

　　缺點：維護比較困難，只能阻止少部分IP欺騙，不支持有效地用戶認證，日志功能有限。過濾規則增加會大大降低吞吐量，無法對信息提供全面控制。

　　3.2 雙宿網關防火墻

　　說明：由一臺至少裝有兩塊網卡的堡壘主機作為防火墻，位于內外網絡之間，分別與內外網絡相離，實現物理上的隔開。服務方式，一是用戶直接登錄到雙宿主機上，二是在雙宿主機運行代理服務器。

　　優點：安全性比屏蔽路由器高。

　　缺點：入侵者一旦得到雙宿主機的訪問權，內部網絡就會被入侵，因此需要具有強大的身份認證系統，才能阻擋來自外部的不可信網絡的非法入侵。

　　3.3 屏蔽主機防火墻

　　說明：強迫所有的外部主機與一個堡壘主機相連接，不讓他們直接與內部主機相連接。它是由包過濾路由器和堡壘主機組成的。

　　優點：實現了網絡層安全和應用層安全，因此安全等級比屏蔽路由器要高。

　　缺點：堡壘主機可能被繞過，堡壘主機與其他內部主機之間沒有任何保護網絡安全的物質存在，一旦被攻破，內網就將完全暴露。

　　3.4 屏蔽子網防火墻

　　說明：用了兩個屏蔽路由器和一個堡壘主機，也稱為“單DMZ”防火墻結構。

　　優點：在定義了“非軍事區(DMZ)”網絡后，它支持網絡層和應用層安全功能，這也是最安全的防火墻系統。

　　缺點：通常情況下的屏蔽子網防火墻比較小，處于internet

　　和內部網絡之間。一般情況下，將其配置成使用internet和內部網絡系統對其訪問會受限制的系統，例如：堡壘主機、信息服務器、modem組以及其他公用服務器。

　　3.5 其他防火墻結構

　　在實際應用中，經常在前四種基本結構的基礎上進行組合。

　　1)合并“非軍事區”的外部路由器和堡壘主機結構(也是單DMZ結構)：由雙穴堡壘主機執行原來外部路由器的功能，但會缺乏專用路由器的靈活性和性能，出了需注意保護堡壘主機外，與屏蔽子網防火墻結構相比沒有明顯弱點。

　　2)合并內部路由器和堡壘主機結構(也是單DMZ)：這種結構并不提倡，因為一旦堡壘主機被入侵，內部網絡沒有安全保護。

　　3)合并DMZ的內部路由器和外部路由器結構：只有當擁有功能強大的路由器的時候，才考慮合并內、外路由器。這種結構與屏蔽主機結構一樣，路由器容易受到傷害。

　　4)兩個堡壘主機和兩個非軍事結構：也就是使用兩臺雙穴主機，設立兩個非軍事區，從而將網絡分成內網、外網、內DMZ、外DMZ四個部分。通常將不是很機密的服務器放在內DMZ網絡上，有機密信息的敏感主機放在內部網絡中。另外值得一提的是，在這種結構中，可以在外部DMZ放置一些公共信息服務主機(如FTP、WWW)，而堡壘主機對這些主機不予信任，這類主機稱為“犧牲主機”。