防火墻作為基本的網(wǎng)絡(luò)安全要素，被廣泛應(yīng)用于各種網(wǎng)絡(luò)環(huán)境中，學(xué)習(xí)啦小編整理的防火墻技術(shù)論文，希望你能從中得到感悟!

　　防火墻技術(shù)論文篇一

　　網(wǎng)絡(luò)安全之防火墻技術(shù)

　　摘要：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)應(yīng)用高度發(fā)達，網(wǎng)絡(luò)安全問題日益突出。防火墻作為基本的網(wǎng)絡(luò)安全要素，被廣泛應(yīng)用于各種網(wǎng)絡(luò)環(huán)境中，并且正在發(fā)揮著重要作用。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻

　　1 概論

　　當(dāng)今社會互聯(lián)網(wǎng)高度發(fā)達，幾乎全世界的計算機都通過因特網(wǎng)聯(lián)系在了一起。網(wǎng)絡(luò)安全也成了互聯(lián)網(wǎng)用戶每時每刻要面對的問題?，F(xiàn)在，網(wǎng)絡(luò)安全已經(jīng)成了專門的技術(shù)。保證網(wǎng)絡(luò)安全有很多種措施，包括防火墻技術(shù)、數(shù)字簽名、數(shù)據(jù)加密解密技術(shù)、訪問控制、身份認證技術(shù)等，其中防火墻技術(shù)使用最廣泛，實用性最強。

　　2 防火墻技術(shù)

　　防火墻技術(shù)是一個由硬件設(shè)備和軟件組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障，是形象的說法。防火墻既可以是一個硬件設(shè)備也可以是運行在一般硬件上的一套軟件。防火墻能加強網(wǎng)絡(luò)之間訪問控制，防止外網(wǎng)用戶以非法手段訪問內(nèi)部網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)環(huán)境。防火墻能很好的保護用戶，入侵者只有穿過防火墻，才能接觸到用戶計算機。防火墻可以阻擋大部分的網(wǎng)絡(luò)進攻，能滿足絕大多數(shù)用戶的需要。

　　3 防火墻分類

　　3.1 從實現(xiàn)方式上分 從實現(xiàn)方式上防火墻可以分為軟件防火墻和硬件防火墻兩類。軟件防火墻以純軟件的方式實現(xiàn)，只能通過軟件設(shè)置一定的規(guī)則來限制外網(wǎng)用戶非法訪問內(nèi)部網(wǎng)絡(luò)。軟件防火墻功能相對簡單，價格便宜，廣泛應(yīng)用于小型企業(yè)及個人用戶。硬件防火墻指通過軟硬件的結(jié)合的方式來隔離內(nèi)部外部網(wǎng)絡(luò)，效果很好，但是價格昂貴，只適用于大型企事業(yè)單位。

　　3.2 從架構(gòu)上分 防火墻從架構(gòu)上分可以分為通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器(NP)架構(gòu)三種。

　　通用CPU架構(gòu)以基于Inter X86架構(gòu)的防火墻為代表。其特點是靈活性高和可擴展性好。由于PCI總線速度較低，CPU處理能力弱，通用CPU架構(gòu)防火墻的數(shù)據(jù)吞吐量較低，和理論值2Gbps有很大差距。該架構(gòu)的防火墻通常作為百兆級防火墻。

　　ASIC(Application Specific Integrated Circuit專用集成電路)技術(shù)是高端網(wǎng)絡(luò)設(shè)備廣泛采用的技術(shù)。其采用了多總線技術(shù)、數(shù)據(jù)層面、控制層面分離與硬件轉(zhuǎn)發(fā)模式等技術(shù)。ASIC架構(gòu)防火墻解決了寬帶容量和性能不足的問題，穩(wěn)定性也得到了很好的保證。ASIC架構(gòu)防火墻是世界公認的滿足千兆骨干級網(wǎng)絡(luò)應(yīng)用的技術(shù)方案，線速可達千兆。ASIC技術(shù)的優(yōu)勢體現(xiàn)在對網(wǎng)絡(luò)層的數(shù)據(jù)轉(zhuǎn)發(fā)，而對應(yīng)用層的數(shù)據(jù)處理不占優(yōu)勢。

　　網(wǎng)絡(luò)處理器(NP)是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器，它具有高處理能力、開放的編程接口、完全的可編程性、簡單的編程模式等優(yōu)點。

　　NP內(nèi)含多個數(shù)據(jù)處理器，可以并發(fā)處理數(shù)據(jù)。數(shù)據(jù)處理能力較通用處理器強大很多，處理一般性任務(wù)時可以達到線速。網(wǎng)絡(luò)處理器架構(gòu)下的產(chǎn)品成本比通用CPU架構(gòu)的成本要高，而處理能力比ASIC價格低。但是網(wǎng)絡(luò)處理器架構(gòu)防火墻集成度高由于有多個數(shù)據(jù)處理器，能夠勝任高速數(shù)據(jù)處理。

　　3.3 從技術(shù)上分 目前有很多種防火墻技術(shù)，根據(jù)采用技術(shù)的不同，總體可以分為兩大類：包過濾型和應(yīng)用代理型。

　　3.3.1 包過濾型防火墻 包過濾型防火墻是最原始的防火墻，作用在網(wǎng)絡(luò)層和傳輸層，技術(shù)依據(jù)是數(shù)據(jù)在網(wǎng)絡(luò)中采用分組傳輸技術(shù)。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸前先被劃分為多個數(shù)據(jù)包，每個數(shù)據(jù)包都包含一些特定信息，如數(shù)據(jù)源地址，目的地址、協(xié)議類型、端口號等標(biāo)志。防火墻根據(jù)這些信息判斷數(shù)據(jù)是否安全。滿足防火墻過濾條件的數(shù)據(jù)包被轉(zhuǎn)發(fā)到相應(yīng)的目的地址，其余數(shù)據(jù)包則被丟棄。

　　在包過濾防火墻的發(fā)展過程中，出現(xiàn)了第一代靜態(tài)包過濾型防火墻第二代動態(tài)包過濾型防火墻。

　　靜態(tài)包過濾防火墻根據(jù)管理員預(yù)先定義好的數(shù)據(jù)過濾規(guī)則檢查每個數(shù)據(jù)包，與過濾規(guī)則匹配成功則丟棄，否則讓其通過。過濾規(guī)則基于數(shù)據(jù)包中的特定信息，如數(shù)據(jù)源地址，目的地址、協(xié)議類型、端口號等。

　　動態(tài)包過濾型防火墻的包過濾規(guī)則采用動態(tài)設(shè)置的方法，解決了靜態(tài)包過濾型防火墻出現(xiàn)的問題。該技術(shù)后來發(fā)展成為狀態(tài)監(jiān)測(Stateful Inspection)包過濾技術(shù)。采用這種技術(shù)的防火墻利用狀態(tài)表跟蹤所有的網(wǎng)絡(luò)會話狀態(tài)，不僅根據(jù)規(guī)則表檢查每一個包，還根據(jù)會話所處的狀態(tài)檢查數(shù)據(jù)包。狀態(tài)檢測防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)傳輸行為，增強了控制能力。狀態(tài)檢測防火墻對通過其建立的每一個連接都進行跟蹤，并且可根據(jù)需要在過濾規(guī)則中動態(tài)地增加或更新條目。

　　包過濾技術(shù)既簡單實用，又能適用于所有的網(wǎng)絡(luò)服務(wù)，基本上能滿足大多數(shù)企業(yè)的安全要求。但是包過濾技術(shù)也有它的缺點。該技術(shù)是基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的數(shù)據(jù)來源、目標(biāo)地址和端口號等信息判斷是否安全。對于應(yīng)用層的入侵，如惡意軟件以及文件附帶的病毒則無能為力。因為偽造IP地址，騙過包過濾型防火墻對于有經(jīng)驗的黑客來說并不是一件難事。為特定服務(wù)開放的端口存在著一定的受攻擊風(fēng)險。

　　3.3.2 應(yīng)用代理型防火墻 應(yīng)用代理型防火墻工作在應(yīng)用層。它通過對各種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)控應(yīng)用層通信流的作用。

　　在代理型防火墻技術(shù)的發(fā)展過程中，出現(xiàn)了第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

　　應(yīng)用網(wǎng)關(guān)型防火墻有時也被稱為代理服務(wù)器，其安全性遠高于包過濾型防火墻。該防火墻位于服務(wù)器與客戶機之間，對于服務(wù)器來說，它相當(dāng)于客戶機;對于客戶機來說，它相當(dāng)于服務(wù)器。從客戶機發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，可以隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。由于外部客戶機與內(nèi)部服務(wù)器之間沒有直接通信，所以外部的行為一般不會影響內(nèi)部服務(wù)器。這種類型的防火墻被公認為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

　　自適應(yīng)代理型防火墻是一種新型防火墻，近年來得到了廣泛的應(yīng)用。它既具有包過濾防火墻的高速度的優(yōu)點又具有代理類型防火墻的安全性的優(yōu)點，能在不降低安全性的基礎(chǔ)上將防火墻的性能提高數(shù)倍。自適應(yīng)代理型防火墻的基本組成要素包括動態(tài)包過濾器和自適應(yīng)代理服務(wù)器。

　　應(yīng)用代理型防火墻是為防范應(yīng)用層攻擊設(shè)計的，它可以篩選保護OIS網(wǎng)絡(luò)模型中的任意層數(shù)據(jù)通信。應(yīng)用代理型防火墻有以下優(yōu)點：隱藏內(nèi)部IP;限制某些協(xié)議的傳出請求;指定對連接的控制;能夠記錄連接日志，對追蹤攻擊和非法訪問很有用。

　　應(yīng)用代理防火墻的缺點：用戶每次連接都要認證，帶來不便;用戶系統(tǒng)須定制;速度相對較慢，當(dāng)網(wǎng)絡(luò)通信速率較高時，就會影響內(nèi)外部通信，但通常情況下不會很明顯。

　　4 結(jié)束語

　　防火墻系統(tǒng)只是一種網(wǎng)絡(luò)安全防護手段，并不能保證網(wǎng)絡(luò)安全萬無一失。它只能防護經(jīng)過自身的非法訪問和攻擊，某些惡意的訪問可以通過客戶機的軟件繞過放過防火墻，傳輸非法數(shù)據(jù)。另外對于數(shù)據(jù)驅(qū)動式攻擊、帶病毒的數(shù)據(jù)防火墻都不能直接攔截。

　　單純的防火墻技術(shù)逐漸不能滿足人們對網(wǎng)絡(luò)安全的需要，防火墻技術(shù)的改進及與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用已經(jīng)成為網(wǎng)絡(luò)安全的重要手段。主要的技術(shù)手段有：多級過濾技術(shù)、分布式防火墻、入侵檢查系統(tǒng)、入侵防御系統(tǒng)。

　　隨著計算機技術(shù)的發(fā)展，防火墻技術(shù)會不斷的向前發(fā)展，網(wǎng)絡(luò)安全問題也會不斷涌現(xiàn)。只有不斷改進安全策略，才能保證網(wǎng)絡(luò)安全穩(wěn)定的發(fā)展。

　　參考文獻：

　　[1]伍錦群.防火墻技術(shù)的探討[J].長春理工大學(xué)學(xué)報.2008，(03).

　　[2]莊健平.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].電腦編程技巧與維護.2010，(22).

　　[3]黃惠烽.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].科技信息，2007，(08).

　　防火墻技術(shù)論文篇二

　　防火墻技術(shù)的研究

　　【摘要】本文首先介紹了防火墻的起源，以及防火墻的基本概念和防護墻的基本原理。重點講述了防火墻的幾種配置方式，以及幾種配置方式存在的問題。然后指出存在了防火墻的發(fā)展趨勢。

　　【關(guān)鍵詞】防火墻;信息安全;預(yù)警監(jiān)視

　　1 概述

　　自從美國賓夕法尼亞大學(xué)成功研發(fā)出第一臺計算機，到如今計算機已經(jīng)發(fā)生了巨大的變化。計算機發(fā)生巨大的變化之一，即是計算機之間的通信。計算機之間的通信的基礎(chǔ)是計算機網(wǎng)絡(luò)技術(shù)。計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使大量的計算機連接到互聯(lián)網(wǎng)上。計算機通過互聯(lián)網(wǎng)進行通信和從事各種各樣的商業(yè)活動。人們通過計算機進行交流和商業(yè)活動，這就給一些不法分子有了可乘機，通過計算機技術(shù)的漏洞進行違法犯罪的活動，這些活動主要包括竊取別人的銀行賬戶和密碼，監(jiān)聽別人的通話，竊取商業(yè)機密，更有甚者是破壞別人的電腦等等。以上的犯罪活動更加凸顯了網(wǎng)絡(luò)安全的重要性，如何才能保護用戶的網(wǎng)上活動，已經(jīng)成為一件很重要的事情。防火墻這項技術(shù)的出現(xiàn)有效的解決了上述的問題。作為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)備，防火墻的主要功能是有選擇的接受一些安全的信息，而把那些具有安全隱患的信息隔離在網(wǎng)絡(luò)的外部。這樣就能保證用戶的電腦安全，另外，防火墻也是一種經(jīng)濟的產(chǎn)品。

　　2 防火墻

　　2.1什么是防火墻

　　防火墻也稱為防護墻是由Gil Shwed于1993年發(fā)明并且寫入到國際互聯(lián)網(wǎng)，防火墻更確切的說是信息安全的保護系統(tǒng)。它被放到各種不同的網(wǎng)絡(luò)之間，網(wǎng)絡(luò)之間的信息通信都要經(jīng)由防火墻的篩選，并且防火墻可以設(shè)定不同的規(guī)則，具體是根據(jù)企業(yè)的不同的安全政策來篩選信息。防火墻自身具有很強的保護能力，能夠有效的抵抗不同的網(wǎng)絡(luò)攻擊。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

　　2.2防火墻的原理

　　科學(xué)技術(shù)的快速發(fā)展，促進了網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)的開放度和規(guī)模也隨之?dāng)U大，這就導(dǎo)致網(wǎng)絡(luò)上涉及到個人隱私的信息和數(shù)據(jù)或多或少的會遭到主動或被動的攻擊。為了保護網(wǎng)絡(luò)上個人信息的能夠采用方法有，第一給所有的服務(wù)器安裝入侵檢測，第二、安裝防火墻。對于第一種方法有點不現(xiàn)實，因為服務(wù)器的數(shù)量和網(wǎng)點的數(shù)量比較多。另外，每個服務(wù)器上運行的操作系統(tǒng)不可能相同，當(dāng)網(wǎng)絡(luò)暴露出安全隱患時，對每個節(jié)點都進行更改和修復(fù)所存在的問題，都將是一件困難的事。對于第二方法就是采用防火墻的技術(shù)，防火墻的主要功能是在企業(yè)內(nèi)部的網(wǎng)絡(luò)和外部的互聯(lián)網(wǎng)設(shè)立一個安全接口。外部網(wǎng)絡(luò)的信息想要訪問內(nèi)部網(wǎng)絡(luò)的信息就需要防火墻的篩選。對于安全的信息防火墻防火墻會允許訪問內(nèi)部網(wǎng)絡(luò)的信息，對于不安全的信息會被禁止訪問內(nèi)部信息。

　　2.3防火墻的特點

　　防火墻所擁有的特點如下：

　　(1)防火墻具有對一些特別的站點進行支持，特供多種的服務(wù)支持。這些支持主要包括FTP、HTTP、WWW瀏覽器支持。

　　(2)防火墻具有預(yù)警和監(jiān)視網(wǎng)絡(luò)安全的能力，并且能夠?qū)τ脩舻拿孛苄畔⑦M行加密，以保證用戶的消息或者具有商業(yè)價值的數(shù)據(jù)不被損壞。

　　(3)防火墻具有設(shè)置特定用戶的能力，通過安裝客戶端設(shè)置安全的用戶能夠訪問你的網(wǎng)絡(luò)，把一些危險的用戶設(shè)置為不能訪問，可以有效的保護自身的網(wǎng)絡(luò)安全。

　　(4)防火墻能夠有效的解決欺騙的問題，具體是指一些具有外部網(wǎng)絡(luò)的入侵者通過模擬內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，來欺騙防火墻。但是防火墻具有檢測真?zhèn)蔚哪芰Α?/p>

　　(5)防火墻具有跨平臺支持的能力，能夠在一個系統(tǒng)上安裝管理軟件來指揮另一個平臺軟件的運行。

　　(6)防火墻具有保護郵件的功能，具體是指能夠使網(wǎng)絡(luò)遠離郵寄服務(wù)的入侵。

　　3 防火墻的配置

　　如果防火墻處于未連通的狀態(tài)，所謂連通的狀態(tài)是指是指服務(wù)器之間沒有建立連接，沒有完成握手協(xié)議，這個時候任何數(shù)據(jù)都無法穿越防火墻。但是防火墻內(nèi)部的主機之間可以進行通信。具體的通信規(guī)則如下：

　　一般把區(qū)域劃分為3個部分內(nèi)部區(qū)域(inside)、外部區(qū)域(outside)、以及dmz區(qū)域。

　　對于內(nèi)部區(qū)域能夠與所有的外部區(qū)域和dmz區(qū)域進行通信。其中內(nèi)部區(qū)域訪問dmz區(qū)域需要static的配合。而外部區(qū)域訪問dmz區(qū)域需要acl的配合。

　　Static主要是指靜態(tài)地址轉(zhuǎn)換，acl是指訪問控制列表。

　　防火墻的配置方式主要有三種方式分別是Screened-subnet、Dual-homed、Screened-host方式。

　　(1)Screened-subnet主要有兩個部分組成Screeningrouter和Bastionhost。通過兩個部分在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間形成一個隔離的區(qū)域，這個區(qū)域即是“?；饏^(qū)”。防火墻的這種配置方式具有的優(yōu)點是安全性非常好，但是費用太高。

　　(2)防火墻中配置方式中最簡單的一種方式是Dual-homed。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間放置Dual-homed Gateway，這種方式也是Bastionhost。這種配置方式的優(yōu)點是價格低廉，

　　(3)防火墻配置方式中Screened-host方式，為了更好的保護Bastionhost，為它建立了Screeningrouter作為安全屏障。另外這個結(jié)構(gòu)主要依靠Screeningrouter和Bastionhost，其中之一被破壞，全部網(wǎng)絡(luò)會被破壞。

　　4 防火墻的發(fā)展趨勢

　　傳統(tǒng)的防火墻只能夠保護內(nèi)部網(wǎng)絡(luò)的安全性，但是對于整個網(wǎng)絡(luò)的整體性能不具有整天協(xié)調(diào)性。因此，作為防火墻的發(fā)展方向應(yīng)該更好的完善防火墻的整體性能。另外，傳統(tǒng)的防火墻盡管能夠?qū)?nèi)部網(wǎng)絡(luò)提供較高的安全保護，通過提高安全級別。但是提高防火墻的安全級別是通過降低帶寬來實現(xiàn)的，這就很大的限制了網(wǎng)絡(luò)的運行效率。評價防火墻的優(yōu)劣主要是通過評價通過防火墻的數(shù)據(jù)量。因此下一代防火墻的發(fā)展方向就是在提高防火墻的安全級別基礎(chǔ)上，如何提高通過防火墻的數(shù)據(jù)量。另外，現(xiàn)在很多防火墻都支持NAT技術(shù)，但是使用NAT技術(shù)之后對防火墻的安全性能有所影響，如何減少這個影響也是防火墻的發(fā)展趨勢之一。

　　5 結(jié)束語

　　互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，越來越多的電腦連接到Internet。導(dǎo)致網(wǎng)絡(luò)安全的問題越來越明顯。因此防火墻這項技術(shù)受到越來越多網(wǎng)絡(luò)安全人士的關(guān)注。為了保護國家信息的安全，國家加大對防火墻技術(shù)研究的支持。使得防火墻技術(shù)在我國有了很大發(fā)展。另外，防火墻還處在進步的階段，有很大的提升空間。

　　參考文獻：

　　[1]陳斌等.網(wǎng)絡(luò)設(shè)計，電子工業(yè)出版社，2005，9

　　[2]朱雁輝.WLNDOWS防火墻與網(wǎng)絡(luò)技術(shù)，電子工業(yè)出版社，2002，4

　　[3]常紅等.網(wǎng)絡(luò)安全技術(shù)與反黑客，冶金工業(yè)出版社，2001，6

　　[4]袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)，清華大學(xué)出版社，2002，5

　　[5]胡道元.計算機網(wǎng)絡(luò)，清華大學(xué)出版社，1999，1

　　[6]刑鈞.網(wǎng)絡(luò)安全與防火墻技術(shù)，電子科技大學(xué)出版社，2004，3

　　[7]謝希仁.計算機網(wǎng)絡(luò)工程基礎(chǔ)，電子工業(yè)出版社，2002，5

　　
看了“防火墻技術(shù)論文”的人還看：

1.防火墻技術(shù)論文三篇

2.linux防火墻技術(shù)論文

3.安全防范技術(shù)論文

4.關(guān)于淺談網(wǎng)絡(luò)安全論文有哪些

5.有關(guān)計算機網(wǎng)絡(luò)安全的思考論文3000字