试论计算机防火墙主要功能和技术原理

来源:用户上传      作者: 李 想

　　摘要:在计算机中,一种能使一个网络及其资源不受网络“墙”外“火灾”影响的设备称为防火墙。防火墙(FireWall)基本上是一个独立的进程或一组紧密结合的进程,运行在路由器或服务器上来控制经过其网络应用程序的通信流量;用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。据统计,全球连入Internet的计算机中,有1/3以上的计算机受到防火墙的保护。随着计算机网络犯罪的递增,防火墙技术备受关注。
　　Abstract: In a computer, a way for a network and its resources from the network "wall" outside "the fire" of the device called a firewall. Firewalls (FireWall) is basically a separate process or a set of integrated processes, running up control of the router or server applications through their network traffic; used in two or more networks to enhance access control, and its purpose is to protect a network from attack from another network. According to statistics, the computer connected to the Internet, 1 / 3 of a computer protected by a firewall. With the increasing crime computer network, firewall technology concern.
　　关键词:计算机防火墙 计算机安全 网络安全
　　Keywords: computer firewall computer security network security
　　
　　在计算机中,一种能使一个网络及其资源不受网络“墙”外“火灾”影响的设备称为防火墙。防火墙(FireWall)基本上是一个独立的进程或一组紧密结合的进程,运行在路由器或服务器上来控制经过其网络应用程序的通信流量;用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。据统计,全球连入Internet的计算机中,有1/3以上的计算机受到防火墙的保护。随着计算机网络犯罪的递增,防火墙技术备受关注。
　　一、防火墙的主要功能
　　通常防火墙的主要功能有:过滤掉不安全的服务和非法用户;控制和限制对特殊站点的访问;限制他人进入内部网络;防止入侵者接近你的防御设施;提供了监视Internet安全和预警的方便端点;防火墙的设计应遵循安全防范策略的基本原则――“除非明确允许,否则就禁止”;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;可以使用FTP和Telnet等服务代理,编程的IP过滤语言,并可以根据数据包的性质进行包过滤。
　　许多用户在选择防火墙时还可能考虑一些特殊功能要求。这些功能主要有:
　　1. 网络地址转移功能( NAT)。2.双重DNS(域名服务)。3.虚拟专用网络(VPN)。4.扫毒功能。5.特殊控制需求。
　　二、 防火墙的原理以及实现方法
　　防火墙负责管理危险区域和内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给危险区域上的其它主机,极易受到攻击。由此可见,对于连接到因特网的内部网络,一定要选用适当的防火墙。就防火墙的原理来讲可以把它简单地抽象为一对开关,其中一个开关用于允许传输,另一个用于阻止传输。实际上防火墙代表了用户的网络安全策略,其实现方式比较灵活。
　　1.在边界路由器上实现。(1)通过标准的路由器来实现(由于该用途的路由器称为Screening Router,即筛选路由器、屏蔽路由器),常用的如Cisco路由器很容易设置成一个防火墙。(2)通过PC机的路由器来实现,但要使用软件包。
　　2.在一台双端口主机(Dual - homed Host)上实现。内部网络和外部网络都可以访问这台主机,但外部主机与内部主机不能直接进行通信,可以实施三种类型的防火墙:(1)应用层网关防火墙(Ap-plication Gateway Firewall) (2)代理服务型防火墙(Proxy Server Firewall) (3)线(电)路层/级网关型防火墙(Circuit Gateway Fire-wall)。
　　3.在子网上实现。在一个公共子网(该子网的作用相当于一台双端口主机)上实现,可建立含有单段网络、停火区结构的防火墙。尽管防火墙有许多防范功能,但由于互连网的开放性,它也有一些力不能及的地方,表现在:①防火墙不能防范不经由防火墙的攻击。例如,如果允许从客观存在保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的SLIP或PPP连接。从而绕过防火墙,造成一个潜在的后门攻击渠道。②目前很难对防火墙进行彻底的测试验证,面对大多数的恶意攻击,防火墙会有所防范,但是不是在任何情况下都有效是未知的,这就涉及到了一个软件及时更新的问题。
　　参考文献:
　　[1]杨永峰.校园网上软件防火墙的实现[J].承德职业学院学报,2005(9).
　　[2]程线,戴国梁.论校园网络系统建设安全性及相应策略[J].湖南广播电视大学学报,2004(6).
　　[3]李玉婷.防火墙技术及应用[J].铜业工程,2008(9).

转载注明来源:https://www.xzbu.com/1/view-290154.htm