今天學習啦小編要跟大家介紹下防火墻技術的研究以及發(fā)展，下面就是學習啦小編為大家整理到的資料，請大家認真看看!

　　防火墻技術的研究

　　一、防火墻簡介

　　1.防火墻的概念

　　防火墻的本義是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)的總稱。

　　2.防火墻的發(fā)展

　　(1)第一代防火墻

　　第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術。

　　(2)第二、三代防火墻

　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。

　　(3)第四代防火墻

　　1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術。

　　(4)第五代防火墻

　　1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

　　二、防火墻的類型

　　從技術上看，防火墻有三種基本類型：包過濾型、代理服務器型和復合型。

　　包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡層，基于單個IP包實施網(wǎng)絡控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。

　　代理服務器型防火墻(Proxy Service Firewall)通過在計算機或服務器上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網(wǎng)關級防火墻。代理服務器型防火墻的核心，是運行于防火墻主機上的代理服務器進程，實質上是為特定網(wǎng)絡應用連接企業(yè)內部網(wǎng)與Internet的網(wǎng)關。

　　復合型防火墻(Hybrid Firewall)把包過濾、代理服務和許多其他的網(wǎng)絡安全防護功能結合起來，形成新的網(wǎng)絡安全平臺，以提高防火墻的靈活性和安全性。

　　三、防火墻技術原理

　　防火墻從原理上主要有三種技術：包過濾(PackeFiltering)技術、代理服務(ProxyService)技術和狀態(tài)檢測(StateInspection)技術。

　　1.包過濾(PacketFiltering)技術

　　在基于TCP/IP協(xié)議的計算機網(wǎng)絡上，所有網(wǎng)絡上的計算機都是利用IP地址的唯一標志來確定其在網(wǎng)絡中的位置的，而所有來往于計算機之間的信息都是以一定格式的數(shù)據(jù)包的形式來傳輸?shù)?，?shù)據(jù)包中包含了標志發(fā)送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數(shù)據(jù)包被送上計算機網(wǎng)絡時，路由器會讀取數(shù)據(jù)包中接受者的IP地址，并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去，當所有的數(shù)據(jù)包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡上的這一傳輸原理來設計的，它可以實現(xiàn)網(wǎng)絡中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會檢查所有通過它的數(shù)據(jù)流中每個數(shù)據(jù)包的IP包頭信息，然后按照網(wǎng)絡管理員所設定的過濾規(guī)則進行過濾。

　　2.代理服務(ProxyService)技術

　　代理實際是設置在Internet防火墻網(wǎng)關上有特殊功能的應用層代碼，是在網(wǎng)管員允許下或拒絕特定的應用程序或者特定服務，還可應用于實施數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。在應用層，提供應用層服務的控制，起到內部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉接作用，內部網(wǎng)絡只接受代理提出的服務請求，拒絕外部網(wǎng)絡其他接點的直接請求。代理的工作原理比較簡單。用戶與代理服務器建立連接，將目的站點告知代理，對于合法的請求，代理以自己的身份(應用層網(wǎng)關)與目的站點建立連接，然后代理在這兩個連接中轉發(fā)數(shù)據(jù)。其主要特點是有狀態(tài)性，能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息，能提供全部的審計和日志功能，能隱藏內部IP地址，能實現(xiàn)比包過濾路由器更嚴格的安全策略。

　　3.狀態(tài)檢測(StateInspection)技術

　　狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由Checkpoint提出。狀態(tài)檢測作為防火墻技術其安全特性最佳，它采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)(狀態(tài)信息)的方法對網(wǎng)絡通信的各層實施監(jiān)測，并動態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。

　　四、各防火墻體系結構的優(yōu)缺點

　　1.雙重宿主主機體系結構提供來自于多個網(wǎng)絡相連的主機的服務(但是路由關閉)，它圍繞雙重宿主主計算機構筑。該計算機至少有兩個網(wǎng)絡接口，位于因特網(wǎng)與內部網(wǎng)之間，并被連接到因特網(wǎng)和內部網(wǎng)。兩個網(wǎng)絡都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務。

　　2.被屏蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網(wǎng)絡相連的主機的服務。屏蔽路由器位于因特網(wǎng)與內部網(wǎng)之間，提供數(shù)據(jù)包過濾功能。堡壘主機是1個高度安全的計算機系統(tǒng)，通常因為它暴露于因特網(wǎng)之下，作為聯(lián)結內部網(wǎng)絡用戶的橋梁，易受到侵襲損害。這里它位于內部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設置它為因特網(wǎng)上唯一能連接到內部網(wǎng)絡上的主機系統(tǒng)。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：①允許其他內部主機，為了某些服務而開放到因特網(wǎng)上的主機連接(允許那些經由數(shù)據(jù)包過濾的服務)。②不允許來自內部主機的所有連接(強迫這些主機經由堡壘主機使用代理服務)。這種體系結構通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務組，所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他內部主機之間無任何保護網(wǎng)絡安全的東西存在;路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡對侵襲者開放。

　　3.被屏蔽子網(wǎng)體系結構考慮到堡壘主機是內部網(wǎng)上最易被侵襲的機器(因為它可被因特網(wǎng)上用戶訪問)，我們添加額外的安全層到被屏蔽主機體系結構中，將堡壘主機放在額外的安全層，構成了這種體系結構。這種在被保護的網(wǎng)絡和外部網(wǎng)之間增加的網(wǎng)絡，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結構有兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。1個位于周邊網(wǎng)與內部網(wǎng)之間，稱為內部路由器，另一個位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機位于周邊網(wǎng)上。侵襲者若想侵襲內部網(wǎng)絡，必須通過兩個路由器，即使他侵入了堡壘主機，仍無法進入內部網(wǎng)。因此這種結構沒有損害內部網(wǎng)絡的單一易受侵襲點。

　　五、對防火墻技術造成的安全漏洞的建議

　　防火墻的管理及配置相當復雜，要想成功地維護防火墻，防火墻管理員必須對網(wǎng)絡安全的手段及其與系統(tǒng)配置的關系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統(tǒng)組成的防火墻，管理上有所疏忽也是在所難免的。

　　對此可作如下改進：管理上的安全問題，關鍵在于提高管理員的素質，積極學習安全管理及網(wǎng)絡安全知識，熟練掌握防火墻的系統(tǒng)配置關系，多多實踐，積累足夠的經驗，多個系統(tǒng)防火墻的管理一定要有高度認真、負責到底的精神。總而言之，提高管理者的素質至關重要。

　　防火墻技術的發(fā)展

　　一、防火墻的概念和原理

　　防火墻原來就是在保護房屋安全的一到屏障，在當今網(wǎng)絡社會，防火墻就是各個計算機與互聯(lián)網(wǎng)連接方面通過一系列的軟硬件設備組成的訪問控制技術，用于防止外面的互聯(lián)網(wǎng)對局域網(wǎng)的威脅與入侵，位計算機正常運行提供安全保障。防火墻的主要目的就是為保護網(wǎng)絡安全而把內網(wǎng)和外網(wǎng)分隔開的。

　　二、防火墻的分類

　　防火墻技術可以分為好多類，但是根據(jù)防火墻對數(shù)據(jù)的處理，我們可以把防火墻大致分為包過濾防火強和代理型防火墻兩大體系。

　　(一)包過濾防火墻：數(shù)據(jù)包過濾技術是防火墻位系統(tǒng)提供安全保障的主要技術，主要是通過對進出網(wǎng)絡的數(shù)據(jù)包進行檢查過濾控制，從而對數(shù)據(jù)進行選擇。包過濾型防火墻是作用于網(wǎng)絡層與傳輸層之間通過路由來檢測數(shù)據(jù)包的技術。因為每個數(shù)據(jù)包都包含有特定信息，而路由器就只是對數(shù)據(jù)包包頭的信息進行檢測，具有較高性價比。包過濾防火墻又分為靜態(tài)包過濾、動態(tài)包過濾技術和狀態(tài)監(jiān)測防火墻。

　　1.靜態(tài)包過濾：最傳統(tǒng)的包過濾防火墻就是靜態(tài)包過濾防火墻，靜態(tài)包過濾規(guī)則是在啟動配置好的，只有系統(tǒng)管理員才可以修改的一種過濾規(guī)則。這種防火墻就好似根據(jù)原來定義好的過濾規(guī)則來審查每一個數(shù)據(jù)包，把每個數(shù)據(jù)包與規(guī)則表中的信息進行匹配來審核，以便確定其中是否與某一條包過濾規(guī)則匹配。

　　2.動態(tài)包過濾：這種防火墻相比較靜態(tài)包過濾防火墻來說最大的有點就是他可以動態(tài)的監(jiān)測用戶可以使用的服務范圍，比較靈活，而且只有符合條件的網(wǎng)絡服務才被防火墻打開端口允許訪問，在結束后再關閉端口。這種技術的包過濾防火墻是對通過的每一條連接進行跟蹤監(jiān)測，然后再根據(jù)需要在過濾規(guī)則中可以動態(tài)的增加或者更新規(guī)則條目。這就是采用了基于連接狀態(tài)的監(jiān)測和動態(tài)設置包過濾規(guī)則的方法。

　　3.狀態(tài)監(jiān)測防火墻：狀態(tài)監(jiān)測防火墻把網(wǎng)絡中的不同鏈接階段表現(xiàn)為狀態(tài)，狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標志位參數(shù)的不同。狀態(tài)監(jiān)測防火墻在根據(jù)規(guī)則表檢查完數(shù)據(jù)包后，再根據(jù)狀態(tài)的變化檢查各個數(shù)據(jù)包之間的關聯(lián)性。防火墻的內部放置了分布探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡節(jié)點上，不僅能防范外網(wǎng)的入侵也能制止內患，具有雙重防范作用。

　　(二)代理型防火墻：代理防火墻是為對每一個用戶的請求進行處理，是用一個比較安全的代理應用程序來處理，然后再傳遞到真實的服務器上，就是通過代理先處理安全后再轉發(fā)。真實的服務器應答后再將答復發(fā)給最終用戶。代理型防火墻工作在應用層上，這樣就使內網(wǎng)外網(wǎng)間阻斷，任何想進入內網(wǎng)的數(shù)據(jù)流都必須經過代理審核，使得系統(tǒng)更安全不易遭受攻擊。應用網(wǎng)關防火墻起到了一個特殊的作用，它首先對用戶發(fā)來的服務請求進行解析，當服務通過審核后防火墻就再把數(shù)據(jù)封裝成數(shù)據(jù)包，讓防火墻代替用戶把服務進行轉發(fā)。電路級網(wǎng)關防火墻是工作在傳輸層上的，在傳輸層上對通信端點之間轉換數(shù)據(jù)包。自適應代理服務器和動態(tài)包過濾組成自適應代理型防火墻。

　　三、幾種防火墻的技術比較

　　(一)包過濾防火墻是對數(shù)據(jù)包本身進行過濾的而不是針對具體的網(wǎng)絡服務，所以包過濾防火墻能適應于所有的網(wǎng)絡。而且包過濾防火墻主要是通過路由器進行數(shù)據(jù)包檢測的，大多數(shù)路由器都集成了數(shù)據(jù)包檢測的功能，所以包過濾型防火墻的價格比較低，性價比很高，處理速度也比較快。但是，這種防火墻安全性并不是很高，難以對用戶的身份進行辨別等缺點。

　　(二)代理型防火墻是工作在應用層上的，對網(wǎng)絡連接中的內容可以進行監(jiān)控，他在一定程度上斷開了內外網(wǎng)絡的連接，使得網(wǎng)絡活動更安全，但是它在對網(wǎng)絡中更深的內容進行檢測的時候也使得它的速度減慢，當數(shù)據(jù)的吞吐量比較大事容易出現(xiàn)問題，所以不適用于高速網(wǎng)。

　　四、防火墻的局限性

　　防火墻對我們信息的正確性與安全性有著重要的作用，防火墻是網(wǎng)絡安全不可或缺的一部分，那么防火墻的局限性在哪呢?1.防火墻是防外不防內——防火墻可以阻止外部網(wǎng)上的不安全用戶對內網(wǎng)的攻擊和危險入侵，也可以對內屏蔽內網(wǎng)上連接外網(wǎng)的重要站點和端口。但是卻很難解決內部網(wǎng)的管理人員的安全問題，便是防外不防內。而有些統(tǒng)計表明，網(wǎng)絡上的安全問題絕大一部分就是來自于內部網(wǎng)絡管理人員。2.防火墻管理和配置有難度——相信第一次配置防火墻的人員都有這樣經驗，它的配置和管理相當復雜，有一系列的問題。因此對于管理人員來說它的維護就更要求要熟悉防火墻的系統(tǒng)配置，對它要有深刻了解才能更好的對它進行安全的管理。它的安全策略無法集中地管理。3.防火墻的訪問控制不夠徹底——防火墻不能對網(wǎng)絡連接中的所有數(shù)據(jù)包進行拆分檢查只能實現(xiàn)粗粒度的訪問控制，并且不能與網(wǎng)絡內部的其他安全措施進行集中使用。

　　五、防火墻未來的展望

　　防火墻是整個網(wǎng)絡安全系統(tǒng)中很重要的一部分。在現(xiàn)實生活中，要把防火墻與其他技術進行配合使用才能更好地保證網(wǎng)絡安全，當今社會，最重要最有價值的就是數(shù)據(jù)，要保證它的安全與正確，要更加注重防火墻的發(fā)展，才更能保證在信息安全系統(tǒng)中的堡壘作用。各種防火墻技術各有各的優(yōu)缺點，防火墻技術的發(fā)展可以從這幾個方面著手：1.改進防火墻的體系結構，防火墻是防外不防內的，在防止外部危險網(wǎng)絡入侵的同時也要加強對內網(wǎng)的管理和控制，可以對防火墻進行分布式的管理。內部網(wǎng)中對防火墻造成的安全隱患更大些，因此要即時改進更新防火墻的體系結構來保障局域網(wǎng)的安全。2.深度過濾與檢測速度的提高。深度過濾技術是對數(shù)據(jù)進行更深層次的檢測，要是進行深度過濾就是要以付出檢測速度為代價，要實現(xiàn)兩者的結合就是最好。