前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻技術(shù)的研究范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

防火墻技術(shù)的研究范文第1篇

關(guān)鍵詞：因特網(wǎng)；網(wǎng)絡(luò)安全；計(jì)算機(jī)防火墻技術(shù)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 16-0000-02

計(jì)算機(jī)防火墻是一種獲取安全性方法的形象說(shuō)法，它由硬件設(shè)備和軟件組合而成、在專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的界面上構(gòu)造一個(gè)保護(hù)屏障，使得不同的網(wǎng)絡(luò)之間建立一個(gè)安全網(wǎng)關(guān)，以保護(hù)內(nèi)部專門網(wǎng)絡(luò)，使其免受非法用戶的入侵[1]。

計(jì)算機(jī)防火墻的主要功能有：過(guò)濾掉不安全服務(wù)和非法用戶[2]；控制對(duì)特殊站點(diǎn)的訪問(wèn)；提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。其功能主要體現(xiàn)在訪問(wèn)控制，內(nèi)容控制，全面的日志；集中管理，自身的安全和可用性；流量控制，NAT，VPN等方面。

目前防火墻技術(shù)正在朝著智能化和分布化的方向發(fā)展，其中智能防火墻技術(shù)對(duì)數(shù)據(jù)的識(shí)別是通過(guò)利用記憶、概率、統(tǒng)計(jì)和決策的智能方法來(lái)進(jìn)行的，以實(shí)現(xiàn)訪問(wèn)控制。智能防火墻采用新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制，可以很好的解決目前存在的網(wǎng)絡(luò)安全問(wèn)題。智能防火墻技術(shù)是計(jì)算機(jī)防火墻技術(shù)發(fā)展的必然趨勢(shì)[3，4]。

1 計(jì)算機(jī)防火墻的分類及其原理

計(jì)算機(jī)防火墻根據(jù)工作機(jī)制的不同可分為包過(guò)濾防火墻、應(yīng)用型防火墻、網(wǎng)絡(luò)地址翻譯及復(fù)合型防火墻。

1.1 包過(guò)濾防火墻

包過(guò)濾防火墻技術(shù)中預(yù)先設(shè)定有包過(guò)濾規(guī)則，包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，接收到的每個(gè)數(shù)據(jù)包都要同包過(guò)濾規(guī)則進(jìn)行比較，然后決定該數(shù)據(jù)包是通過(guò)還是阻塞。

包過(guò)濾防火墻又分為無(wú)狀態(tài)包過(guò)濾和有狀態(tài)檢查包過(guò)濾。無(wú)狀態(tài)包過(guò)濾防火墻是最原始的防火墻，它是根據(jù)每個(gè)包頭部的信息來(lái)決定是否要將包繼續(xù)傳輸，從而增強(qiáng)安全性。其安全程度相對(duì)較低，它的內(nèi)部網(wǎng)絡(luò)很容易暴露，進(jìn)而容易遭受攻擊。在通信中，無(wú)法維持足夠的信息來(lái)決定是否應(yīng)該放棄這個(gè)包，因?yàn)槿魏我粭l不完善的過(guò)濾規(guī)則都會(huì)給網(wǎng)絡(luò)黑客可乘之機(jī)。但是有狀態(tài)檢查包過(guò)濾其可以記住經(jīng)過(guò)防火墻的所有通信狀態(tài)，并依據(jù)其記錄下來(lái)的狀態(tài)信息數(shù)據(jù)包的允許與否。動(dòng)態(tài)包過(guò)濾防火墻是目前最流行的防火墻技術(shù)。

1.2 應(yīng)用型防火墻

是指服務(wù)器利用偵聽(tīng)網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求，然后將這些請(qǐng)求發(fā)到外部的網(wǎng)絡(luò)中；當(dāng)服務(wù)器從公共服務(wù)器處接收到響應(yīng)后，其再將響應(yīng)返回給原始的客戶，其與原始的公共服務(wù)器所起的作用是一樣的[3]。

應(yīng)用級(jí)技術(shù)采用在OSI的最高層檢查每一個(gè)IP包，進(jìn)而獲得安全策略。應(yīng)用技術(shù)雖然在一定程度上保證了網(wǎng)絡(luò)的安全，但是它對(duì)每一種服務(wù)都需要，且它工作在協(xié)議棧高層，執(zhí)行效率明顯降低，有時(shí)會(huì)成為網(wǎng)絡(luò)的瓶頸。

1.3 網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯將專用網(wǎng)絡(luò)中的ip地址轉(zhuǎn)換成在因特網(wǎng)上使用的全球唯一的公共ip地址。盡管最初設(shè)計(jì)nat的目的是為了增加在專用網(wǎng)絡(luò)中可使用的ip地址數(shù)，但是它有一個(gè)隱蔽的安全特性，如內(nèi)部主機(jī)隱蔽等。這在一定程度上保證了網(wǎng)絡(luò)安全。nat實(shí)際上是一個(gè)基本的，一個(gè)主機(jī)代表內(nèi)部所有主機(jī)發(fā)出請(qǐng)求，并代表外部服務(wù)器對(duì)內(nèi)部主機(jī)進(jìn)行響應(yīng)等。但nat工作在傳輸層，因此它還需要使用低層和高層服務(wù)來(lái)保證網(wǎng)絡(luò)的安全。

1.4 復(fù)合型防火墻

出于更高安全性的要求，有些開(kāi)發(fā)商常把包過(guò)濾的方法與應(yīng)用的方法結(jié)合起來(lái)，開(kāi)發(fā)出復(fù)合型的防火墻產(chǎn)品，這種復(fù)合型的防火墻用以下兩種方式實(shí)現(xiàn)網(wǎng)絡(luò)安全維護(hù)功能：（1）通過(guò)屏蔽主機(jī)防火墻體系結(jié)構(gòu)，使分組過(guò)濾路由器或防火墻與互聯(lián)網(wǎng)相連，同時(shí)在內(nèi)部網(wǎng)絡(luò)安裝一個(gè)堡壘機(jī)，利用對(duì)過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為互聯(lián)網(wǎng)上其他網(wǎng)絡(luò)訪問(wèn)所能到達(dá)的唯一節(jié)點(diǎn)，確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)的外部用戶的攻擊。（2）通過(guò)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)，將堡壘機(jī)安裝在一個(gè)內(nèi)部子網(wǎng)內(nèi)，同時(shí)在這一子網(wǎng)的兩端安裝兩個(gè)分組過(guò)濾路由器，使這一子網(wǎng)與互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)分離，進(jìn)而確保這一子網(wǎng)不受未授權(quán)的外部用戶的攻擊。在結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)屏蔽子網(wǎng)防火墻體系的安全基礎(chǔ)。

2 常見(jiàn)網(wǎng)絡(luò)攻擊方式及網(wǎng)絡(luò)安全策略

2.1 網(wǎng)絡(luò)攻擊方式

2.1.1 病毒

盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過(guò)時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒阻止于網(wǎng)絡(luò)之外，黑客欺騙用戶下載某個(gè)程序，從而使惡意代碼進(jìn)入到計(jì)算機(jī)內(nèi)網(wǎng)。應(yīng)對(duì)策略：設(shè)置網(wǎng)絡(luò)安全等級(jí)，對(duì)于未經(jīng)安全檢測(cè)的下載程序，嚴(yán)格阻止其任務(wù)執(zhí)行[5]。

2.1.2 口令字

窮舉與嗅探是口令字的兩種攻擊方式。窮舉是通過(guò)外部網(wǎng)絡(luò)的攻擊對(duì)防火墻的口令字進(jìn)行猜測(cè)。嗅探通過(guò)監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)來(lái)獲取主機(jī)給防火墻的口令字。應(yīng)對(duì)策略：通過(guò)設(shè)計(jì)使主機(jī)和防火墻通過(guò)單獨(dú)接口進(jìn)行通信或是采用一次性口令等。

2.1.3 郵件

借助郵件進(jìn)行的網(wǎng)絡(luò)攻擊方式日益明顯，垃圾郵件的制造者通過(guò)復(fù)制方式，把一條消息變成幾百幾萬(wàn)份消息，并將其發(fā)送到很多人，當(dāng)郵件被收到并打開(kāi)時(shí)，惡意代碼便進(jìn)入到計(jì)算機(jī)系統(tǒng)。應(yīng)對(duì)策略：打開(kāi)防火墻上的過(guò)濾功能，在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施。

2.1.4 IP地址

黑客通過(guò)利用與內(nèi)部網(wǎng)絡(luò)相似的IP地址，能夠避開(kāi)服務(wù)器的檢測(cè)，從而進(jìn)入到內(nèi)部網(wǎng)進(jìn)行攻擊。應(yīng)對(duì)策略：打開(kāi)內(nèi)核的rp_filter功能，把具有內(nèi)部地址但是是來(lái)自網(wǎng)絡(luò)外部的數(shù)據(jù)包全部丟棄；同時(shí)把IP地址和計(jì)算機(jī)的MAC綁定，擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪問(wèn)[5]。

2.2 網(wǎng)絡(luò)安全策略

2.2.1物理安全策略

物理安全策略的目的有：（1）保護(hù)計(jì)算機(jī)、服務(wù)器、打印機(jī)等硬件設(shè)備與通信鏈路不受到人為破壞與搭線攻擊等。（2）驗(yàn)證用戶身份與使用權(quán)限，防止越權(quán)操作。（3）為計(jì)算機(jī)系統(tǒng)提供良好的工作環(huán)境。（4）建立安全管理制度，防止發(fā)生非法進(jìn)入計(jì)算機(jī)控制室以及偷竊破壞活動(dòng)等[6]。

目前，物理安全的防護(hù)措施主要有：（1）傳導(dǎo)發(fā)射進(jìn)行防護(hù)。如：在信號(hào)線與電源線上加裝濾波器，使導(dǎo)線與傳輸阻抗間的交叉耦合減到最小。（2）對(duì)輻射進(jìn)行防護(hù)。主要采取電磁屏蔽措施與干擾措施，在計(jì)算機(jī)系統(tǒng)工作時(shí)，通過(guò)利用屏蔽裝置或者干擾裝置來(lái)產(chǎn)生一種噪聲，該噪聲輻射到空中，能夠掩蓋計(jì)算機(jī)系統(tǒng)的信息特征與工作頻率。

2.2.2 訪問(wèn)控制策略

作為最重要的網(wǎng)絡(luò)安全策略之一，訪問(wèn)控制是確保網(wǎng)絡(luò)安全運(yùn)行的技術(shù)策略，其主要任務(wù)是指保護(hù)網(wǎng)絡(luò)資源不被非常訪問(wèn)和非法使用。防火墻技術(shù)就是網(wǎng)絡(luò)安全訪問(wèn)控制策略在實(shí)踐中主要的應(yīng)用。

2.2.3 網(wǎng)絡(luò)安全管理策略

為了保證網(wǎng)絡(luò)安全，除了采用物理安全策略和訪問(wèn)控制策略之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制訂有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行，能起到十分有效的作用。

3 結(jié)論

隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全方面的問(wèn)題必將引起人們?cè)絹?lái)越多的重視。計(jì)算機(jī)防火墻技術(shù)是用來(lái)維護(hù)網(wǎng)絡(luò)安全的一種重要措施和手段，它主要作用是：拒絕未經(jīng)授權(quán)的用戶訪問(wèn)相關(guān)數(shù)據(jù)，阻止未經(jīng)授權(quán)的用戶存儲(chǔ)或下載敏感數(shù)據(jù)，同時(shí)也要確保合法用戶訪問(wèn)網(wǎng)絡(luò)資源不受影響。防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。相信，隨著新的計(jì)算機(jī)安全問(wèn)題的出現(xiàn)和科學(xué)技術(shù)的進(jìn)一步發(fā)展，計(jì)算機(jī)防火墻也將獲得進(jìn)一步的改進(jìn)。

參考文獻(xiàn)：

[1] Richard Tibbs， Edward Oakes. 防火墻與VPN原理與實(shí)踐[M].清華大學(xué)出版社，2008.

[2]閻慧.防火墻原理與技術(shù)[M].機(jī)械工業(yè)出版社，2004.

[3]王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù)，2010，5：1054-1055.

[4]欒江.計(jì)算機(jī)防火墻發(fā)展現(xiàn)狀及應(yīng)用前景[J].信息與電腦，2010，6：17.

[5]周立.計(jì)算機(jī)防火墻技術(shù)原理分析及應(yīng)用展望[J].硅谷，2008，10：49-50.

防火墻技術(shù)的研究范文第2篇

關(guān)鍵詞：防火墻 入侵檢測(cè) 聯(lián)動(dòng)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2015）05-0000-00

1 技術(shù)簡(jiǎn)介

（1）防火墻技術(shù) 防火墻是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間實(shí)施安全防范的系統(tǒng)，是一種訪問(wèn)控制機(jī)制。通常安裝在被保護(hù)的內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的連接點(diǎn)上，從互聯(lián)網(wǎng)或從內(nèi)部網(wǎng)上產(chǎn)生的活動(dòng)都必須經(jīng)過(guò)防火墻，如電子郵件、文件傳輸、遠(yuǎn)程登錄或其他的特定活動(dòng)等。它通過(guò)建立一整套規(guī)則和策略來(lái)監(jiān)測(cè)、限制、轉(zhuǎn)換跨越防火墻的數(shù)據(jù)流，實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

（2）入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控的系統(tǒng)，它能夠發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象，為網(wǎng)絡(luò)管理員及時(shí)采取對(duì)策提供有價(jià)值的信息。

2 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的原理

防火墻是遏制攻擊的一種手段，但它存在一些明顯的不足：一是防火墻保護(hù)的是網(wǎng)絡(luò)邊界安全，對(duì)網(wǎng)絡(luò)內(nèi)部主動(dòng)發(fā)起的攻擊行為無(wú)法阻止。二是防火墻是根據(jù)靜態(tài)的策略進(jìn)行訪問(wèn)檢查，根據(jù)管理員定義的過(guò)濾規(guī)則對(duì)進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行過(guò)濾和控制的，無(wú)法根據(jù)情況的變化進(jìn)行動(dòng)態(tài)調(diào)整，對(duì)于隱藏于正常訪問(wèn)后的網(wǎng)絡(luò)攻擊卻無(wú)能為力，因?yàn)榉阑饓Σ荒苷_識(shí)別這種攻擊。三是正確配置防火墻訪問(wèn)規(guī)則比較困難。

聯(lián)動(dòng)本質(zhì)上是安全產(chǎn)品之間一種信息互通的機(jī)制，其理論基礎(chǔ)是：安全事件的意義不是局部的，將安全事件及時(shí)通告給相關(guān)的安全系統(tǒng)， 有助于從全局范圍評(píng)估安全事件的威脅，并在適當(dāng)?shù)奈恢貌扇?dòng)作。只要在某個(gè)節(jié)點(diǎn)發(fā)生了安全事件，無(wú)論是一個(gè)簡(jiǎn)單系統(tǒng)捕捉到的原始事件，還是一些具有分析能力的系統(tǒng)“判斷”出來(lái)的，它都可能需要將這個(gè)事件通過(guò)某種機(jī)制傳遞給相關(guān)的系統(tǒng)，因此“聯(lián)動(dòng)”是安全產(chǎn)品間實(shí)現(xiàn)互操作的一種表現(xiàn)。聯(lián)動(dòng)系統(tǒng)具有幾種基本特性：一是有效性，針對(duì)具體的入侵行為，聯(lián)動(dòng)采取的響應(yīng)措施應(yīng)該能夠有效阻止入侵的延續(xù)和最大限度降低系統(tǒng)損失；二是及時(shí)性，要求系統(tǒng)能夠及時(shí)地采取有效響應(yīng)措施，盡最大可能地縮短從入侵發(fā)現(xiàn)到響應(yīng)執(zhí)行的時(shí)間；三是合理性，響應(yīng)措施的選擇應(yīng)該在技術(shù)可行的前提下，綜合考慮法律、道德、制度、代價(jià)、資源約束等因素，采用合理可行的響應(yīng)措施；四是安全性，聯(lián)動(dòng)系統(tǒng)的作用在于保護(hù)網(wǎng)絡(luò)及主機(jī)免遭非法入侵，顯然它自身的安全性是最基本的要求。

總之，防火墻與入侵檢測(cè)系統(tǒng)進(jìn)行聯(lián)動(dòng)就是為了實(shí)現(xiàn)動(dòng)、靜結(jié)合，防火墻提供靜態(tài)防護(hù)，而入侵檢測(cè)系統(tǒng)提供動(dòng)態(tài)防護(hù)。因此防火墻和入侵檢測(cè)系統(tǒng)的結(jié)合，構(gòu)建一個(gè)動(dòng)態(tài)的防御體系，將一切已知的可能的攻擊行為進(jìn)行阻斷，給網(wǎng)絡(luò)帶來(lái)全面的防護(hù)。

3 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)在內(nèi)網(wǎng)中的實(shí)現(xiàn)

（1）網(wǎng)絡(luò)結(jié)構(gòu) 防火墻和入侵檢測(cè)系統(tǒng)在單位內(nèi)網(wǎng)中的部署如圖1 所示。

當(dāng)防火墻和入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)后，若單位內(nèi)網(wǎng)的用戶區(qū)域有攻擊行為發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)會(huì)檢測(cè)到該攻擊行為，馬上通知防火墻，防火墻會(huì)阻斷該攻擊行為，以確保服務(wù)器區(qū)及整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)信息安全。

（2） 聯(lián)動(dòng)系統(tǒng)的功能模塊 聯(lián)動(dòng)系統(tǒng)由入侵檢測(cè)、聯(lián)動(dòng)控制和防火墻三大模塊組成，總體框架如圖2 所示。當(dāng)數(shù)據(jù)流經(jīng)過(guò)防火墻過(guò)濾后，進(jìn)入內(nèi)網(wǎng)，入侵檢測(cè)系統(tǒng)將其捕獲，然后經(jīng)過(guò)解碼、預(yù)處理，再交由檢測(cè)引擎進(jìn)行檢測(cè)。檢測(cè)引擎將當(dāng)前數(shù)據(jù)與已初始化的規(guī)則鏈進(jìn)行匹配，當(dāng)檢測(cè)到有匹配數(shù)據(jù)時(shí)，即檢測(cè)到攻擊行為，交給聯(lián)動(dòng)控制模塊。聯(lián)動(dòng)控制模塊判斷是否需要聯(lián)動(dòng)，若需要，則啟動(dòng)防火墻接口組件改變防火墻過(guò)濾規(guī)則，進(jìn)行實(shí)時(shí)阻斷。

聯(lián)動(dòng)系統(tǒng)主要由如下功能模塊組成：①IDS接口組件。它主要用于統(tǒng)一入侵檢測(cè)系統(tǒng)報(bào)警格式。它負(fù)責(zé)將不同的報(bào)警格式翻譯為聯(lián)動(dòng)系統(tǒng)所能理解的統(tǒng)一格式，使系統(tǒng)具有良好的擴(kuò)展性。②聯(lián)動(dòng)控制模塊。該模塊是聯(lián)動(dòng)系統(tǒng)的核心，由分析組件、策略日志、策略響應(yīng)組件和策略響應(yīng)信息庫(kù)組成。當(dāng)IDS接口組件把轉(zhuǎn)換為統(tǒng)一格式的入侵信息傳遞到分析組件后，該組件調(diào)用策略日志的入侵檢測(cè)系統(tǒng)可信性數(shù)據(jù)，包括誤報(bào)/漏報(bào)率等信息，根據(jù)這些信息生成可信性矩陣，判斷是否需要聯(lián)動(dòng)。若需要，則提交給策略響應(yīng)組件，此組件從策略響應(yīng)信息庫(kù)中選擇具體響應(yīng)策略并將其傳給防火墻接口組件。在此過(guò)程中，首先制定一個(gè)初步的響應(yīng)策略并執(zhí)行實(shí)現(xiàn)聯(lián)動(dòng)。但是開(kāi)始時(shí)的響應(yīng)策略未必是最優(yōu)響應(yīng)，通過(guò)評(píng)估響應(yīng)策略，并把響應(yīng)策略的不同響應(yīng)效果存儲(chǔ)于響應(yīng)策略信息庫(kù)中，當(dāng)系統(tǒng)遇到相同類型入侵時(shí)就可以調(diào)用具有最佳響應(yīng)效果的策略并執(zhí)行，使系統(tǒng)能夠隨著運(yùn)行時(shí)間的增長(zhǎng)而逐漸提高抗入侵能力，實(shí)現(xiàn)系統(tǒng)的自適應(yīng)性。③防火墻接口組件。它主要負(fù)責(zé)接收策略響應(yīng)組件發(fā)來(lái)的信息，生成新的防火墻規(guī)則，引起防火墻動(dòng)作。其設(shè)計(jì)重點(diǎn)是正確修改防火墻規(guī)則集，防止防火墻規(guī)則集自身產(chǎn)生異?；螂[患。防火墻技術(shù)的基礎(chǔ)是包過(guò)濾技術(shù)，其依據(jù)就是一條條的防火墻規(guī)則，將通過(guò)防火墻的數(shù)據(jù)包與防火墻規(guī)則集中的規(guī)則逐條比較，遇到匹配規(guī)則就按規(guī)則中定義的動(dòng)作處理，若沒(méi)有匹配規(guī)則則按防火墻缺省策略處理。這就意味著配置防火墻規(guī)則時(shí)必須謹(jǐn)慎處理防火墻規(guī)則的順序以及它們之間的關(guān)系，未經(jīng)正確性檢驗(yàn)的規(guī)則集中很可能含有無(wú)效規(guī)則甚至沖突規(guī)則，從而導(dǎo)致預(yù)期的安全目標(biāo)不能實(shí)現(xiàn)。既然需要通過(guò)聯(lián)動(dòng)修改防火墻規(guī)則，防火墻接口就必須正確地修改防火墻規(guī)則，確保對(duì)防火墻的修改不會(huì)與其現(xiàn)有的策略產(chǎn)生沖突。目前防火墻接口組件主要著眼于解決接收入侵信息并將其翻譯為防火墻可以理解的規(guī)則，然后發(fā)送給防火墻進(jìn)行相應(yīng)處理。

（3）聯(lián)動(dòng)在單位內(nèi)網(wǎng)中的實(shí)施過(guò)程 防火墻與入侵檢測(cè)系統(tǒng)之間的聯(lián)動(dòng)主要是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)，即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方使用，雙方按照固定的SSL協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。

①防火墻的聯(lián)動(dòng)配置 根據(jù)單位內(nèi)網(wǎng)的網(wǎng)絡(luò)安全需求配置好了訪問(wèn)策略，對(duì)不同區(qū)域之間的訪問(wèn)進(jìn)行了控制。防火墻根據(jù)這些定義的策略對(duì)網(wǎng)絡(luò)的信息流進(jìn)行過(guò)濾和控制，但對(duì)于隱藏于正常訪問(wèn)后的網(wǎng)內(nèi)主動(dòng)發(fā)起的攻擊卻無(wú)法識(shí)別，因此需要和入侵檢測(cè)系統(tǒng)進(jìn)行聯(lián)動(dòng)，通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為，通知防火墻進(jìn)行訪問(wèn)控制，以保證網(wǎng)內(nèi)的信息安全。

防火墻聯(lián)動(dòng)的配置過(guò)程為：在防火墻管理器中選擇“入侵防御”的“IDS聯(lián)動(dòng)”菜單，將彈出“IDS聯(lián)動(dòng)配置”對(duì)話框，在對(duì)話框里輸入防火墻和入侵檢測(cè)系統(tǒng)的IP地址后將自動(dòng)生成一個(gè)聯(lián)動(dòng)密鑰文件，然后將防火墻產(chǎn)生的密鑰保存為.key文件，以便將該密鑰導(dǎo)入到入侵檢測(cè)系統(tǒng)中去。②入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)配置 入侵檢測(cè)系統(tǒng)由管理控制中心、網(wǎng)絡(luò)引擎和顯示中心組成。管理控制中心主要是進(jìn)行用戶、組件、多級(jí)、策略任務(wù)、系統(tǒng)更新、日志維護(hù)等方面的管理。網(wǎng)絡(luò)引擎是由策略驅(qū)動(dòng)的網(wǎng)絡(luò)監(jiān)聽(tīng)和分析系統(tǒng)，采用旁路偵聽(tīng)方式全面?zhèn)陕?tīng)網(wǎng)上信息流，進(jìn)行實(shí)時(shí)分析，將分析結(jié)果與網(wǎng)絡(luò)引擎上運(yùn)行的策略集相匹配，執(zhí)行報(bào)警、阻斷、日志等功能，完成對(duì)控制中心指令的接收和響應(yīng)工作。顯示中心主要是進(jìn)行入侵事件定位、入侵風(fēng)險(xiǎn)評(píng)估、流量監(jiān)測(cè)等。入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)配置過(guò)程為：在“組件管理”中選擇“聯(lián)動(dòng)設(shè)置”，將彈出“聯(lián)動(dòng)信息設(shè)置”的對(duì)話框，在對(duì)話框中輸動(dòng)的防火墻設(shè)備名稱、IP地址及端口號(hào)，然后將防火墻自動(dòng)生成的密鑰文件導(dǎo)入，與防火墻的聯(lián)動(dòng)配置完成。入侵檢測(cè)系統(tǒng)時(shí)時(shí)對(duì)單位內(nèi)網(wǎng)的各種事件進(jìn)行著監(jiān)測(cè)。侵檢測(cè)系統(tǒng)和防火墻進(jìn)行了聯(lián)動(dòng)后，當(dāng)它檢測(cè)到單位內(nèi)網(wǎng)防火墻策略之外的攻擊行為的時(shí)候，就會(huì)馬上通知防火墻，防火墻立即會(huì)對(duì)該行為進(jìn)行阻斷，增強(qiáng)了網(wǎng)絡(luò)的安全防御能力。

4 結(jié)語(yǔ)

綜上所述，防火墻和入侵檢測(cè)系統(tǒng)的功能特點(diǎn)和局限性決定了它們彼此非常需要對(duì)方，且不可能相互取代，防火墻側(cè)重于控制，而入侵檢測(cè)系統(tǒng)則側(cè)重于主動(dòng)發(fā)現(xiàn)入侵的信號(hào)。防火墻不能檢測(cè)出攻擊行為，對(duì)單位內(nèi)網(wǎng)內(nèi)部主動(dòng)發(fā)起的攻擊行為無(wú)法阻止，一些攻擊會(huì)利用防火墻合法的通道進(jìn)入網(wǎng)絡(luò)。而入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊行為，如不能及時(shí)有效地阻斷或者過(guò)濾，這種攻擊行為仍將對(duì)單位內(nèi)網(wǎng)內(nèi)部安全造成危害。因此，防火墻和入侵檢測(cè)系統(tǒng)之間十分合適建立緊密的聯(lián)動(dòng)關(guān)系，以將兩者的能力充分發(fā)揮出來(lái)，相互彌補(bǔ)不足，相互提供保護(hù)。從信息安全整體防御的角度出發(fā)，這種聯(lián)動(dòng)是十分必要的，它能夠極大地提高單位內(nèi)網(wǎng)安全體系的防護(hù)能力。

參考文獻(xiàn)

防火墻技術(shù)的研究范文第3篇

關(guān)鍵詞：IPv6；分布式防火墻 ；Linux

引言

隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題是人們最為關(guān)注的問(wèn)題，基于IPv4協(xié)議邊界式防火墻存在著日益突出的問(wèn)題，主要體現(xiàn)在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問(wèn)題。邊界式防火墻在保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的情況下，確實(shí)是一種有效的網(wǎng)絡(luò)安全技術(shù)，而隨著網(wǎng)絡(luò)應(yīng)用規(guī)模的日益擴(kuò)大，它的缺陷也不斷呈現(xiàn)出來(lái)，很難實(shí)現(xiàn)網(wǎng)絡(luò)的安全性和網(wǎng)絡(luò)性能的均衡性。為了彌補(bǔ)IPv4和傳統(tǒng)邊界式防火墻的缺陷性及網(wǎng)絡(luò)安全性等問(wèn)題，此文提出了基于Linux的IPv6分布式防火墻網(wǎng)絡(luò)體系架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)。IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議存在很多優(yōu)勢(shì)。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問(wèn)題，并且在安全性、移動(dòng)性以及QoS等方面有著強(qiáng)有力的支持，IPv6協(xié)議由于包頭設(shè)計(jì)得更加合理，使得路由器在處理數(shù)據(jù)包時(shí)更加快捷。此外，IPv6將IPSec集成到了協(xié)議內(nèi)部，使得IPSec不再單獨(dú)存在等等。

1 分布式防火墻網(wǎng)絡(luò)體系結(jié)構(gòu)

1.1分布式防火墻技術(shù)

分布式防火墻分為安全策略管理服務(wù)器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務(wù)器主要負(fù)責(zé)安全策略、用戶、日志、審計(jì)等管理作用。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)?？蛻舳朔阑饓χ饕饔糜诟鱾€(gè)服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，按照安全策略文件的內(nèi)容，必須通過(guò)包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢測(cè)，保護(hù)計(jì)算機(jī)在正常情況下連接網(wǎng)絡(luò)時(shí)不會(huì)受到黑客惡意的入侵與攻擊，從而大大提高了網(wǎng)絡(luò)安全性能。多臺(tái)基于主機(jī)但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中，安全策略仍然被集中定義，但是在每一個(gè)單獨(dú)的網(wǎng)絡(luò)端點(diǎn)（如主機(jī)、路由器）上實(shí)施。

分布式防火墻包括安全策略語(yǔ)言、安全策略機(jī)制及應(yīng)用、實(shí)施安全策略機(jī)制。安全策略的法則嚴(yán)格地規(guī)定了允許通過(guò)的通訊文件和禁止通過(guò)的通訊的文件，它可以在多種類型的情況下應(yīng)用，還必須有權(quán)利委派和身份鑒別的功能。策略制定之后就可以至網(wǎng)絡(luò)端點(diǎn)上去了。在傳輸過(guò)程中，策略系統(tǒng)必須保證策略法則的完整性、真實(shí)性。策略有多種形式，可以直接“推”到終端系統(tǒng)上，可以由終端按照需求截取，也可以提供給用戶（以證書(shū)的形式）。策略實(shí)施機(jī)制系統(tǒng)在主機(jī)上，在處理進(jìn)出的通訊之前，它需要查詢本地策略才能做出允許或者禁止的決定。

1.2分布式防火墻體系架構(gòu)

圖1分布式防火墻體系架構(gòu)

針對(duì)邊界式防火墻的缺陷，提出了“分布式防火墻”（Distributed Firewalls）作為新的防火墻體系結(jié)構(gòu)，因?yàn)樗饕?fù)責(zé)網(wǎng)絡(luò)邊界、每個(gè)子網(wǎng)和網(wǎng)絡(luò)內(nèi)部每一個(gè)節(jié)點(diǎn)之間的安全防護(hù)，所以分布式防火墻為一個(gè)完整的體系，而不僅僅是單一的產(chǎn)品。依據(jù)它所需完成的功能，包括三部分：網(wǎng)絡(luò)防火墻（Network Firewall）、主機(jī)防火墻（Host Firewall）、中心管理（Central Managerment），如圖1所示。

（1）網(wǎng)絡(luò)防火墻（Network Firewall）

網(wǎng)絡(luò)防火墻一般是純軟件方式，有時(shí)候需要硬件的支持。它作用于外部網(wǎng)與內(nèi)部網(wǎng)之間，及內(nèi)部網(wǎng)下各個(gè)小子網(wǎng)之間的防護(hù)，這也是與傳統(tǒng)邊界式防火墻不同之處，這樣以來(lái)整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就會(huì)更加全面、可靠。

網(wǎng)絡(luò)防火墻包括入侵檢測(cè)模塊、防火墻模塊和管理模塊。入侵檢測(cè)模塊所用的是snort_inLine，防火墻模塊在Linux環(huán)境下所用的是基于Netfilter框架的Iptables，為了使網(wǎng)絡(luò)防火墻更好的安全防護(hù)整個(gè)網(wǎng)絡(luò)，防火墻模塊和入侵檢測(cè)模塊內(nèi)嵌式互動(dòng)，防火墻實(shí)時(shí)截取網(wǎng)絡(luò)數(shù)據(jù)包，假如是信賴的網(wǎng)段或主機(jī)的數(shù)據(jù)包，就直接通過(guò)網(wǎng)絡(luò)防火墻，減少入侵檢測(cè)系統(tǒng)的匹配次數(shù)；如果不是，數(shù)據(jù)包通過(guò)內(nèi)核態(tài)至用戶態(tài)，入侵檢測(cè)系統(tǒng)接收到數(shù)據(jù)包再檢測(cè)，如果發(fā)現(xiàn)入侵，就通知防火墻截?cái)?，如果沒(méi)有發(fā)現(xiàn)入侵，就依照防火墻配置的法則處理。管理模塊包含數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送防火墻和入侵檢測(cè)系統(tǒng)日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽(tīng)SSH端口，把接收到的法則代替原來(lái)的法則，讓它運(yùn)用新的法則。

（2）主機(jī)防火墻（Host Firewall）

與網(wǎng)絡(luò)防火墻的設(shè)計(jì)一樣，主要對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這是在邊界式防火墻安全體系方面的改進(jìn)。它主要作用于同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，來(lái)確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，這樣就安全防護(hù)應(yīng)用層了，比起網(wǎng)絡(luò)層來(lái)更加全面。

主機(jī)防火墻由防火墻模塊、主機(jī)管理模塊組成，防火墻模塊在Linux環(huán)境下用的是基于Netfilter框架的Iptables，按照管理中心的安全策略過(guò)濾數(shù)據(jù)包；主機(jī)管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽(tīng)SSH端口，把接收到的法則代替原來(lái)的法則，讓它運(yùn)用新的法則。

（3）管理中心（Managerment Central）

它作為服務(wù)器軟件，主要負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總，還有遠(yuǎn)程管理、系統(tǒng)設(shè)置、系統(tǒng)安全等其它輔助功能。它也是在邊界式防火墻功能的一個(gè)完善。它具有智能管理的功能，提高了防火墻的安全防護(hù)靈活性、管理性。網(wǎng)絡(luò)防火墻和主機(jī)防火墻把日志發(fā)送給日志分析系統(tǒng)之后保存到日志文件之中，網(wǎng)絡(luò)管理維護(hù)中心發(fā)放法則給網(wǎng)絡(luò)防火墻和主機(jī)防火墻，管理中心與主機(jī)防火墻和邊界防火墻之間的通信必須通過(guò)身份驗(yàn)證之后運(yùn)用openssH數(shù)據(jù)安全通道加密通訊，這樣管理中心與主機(jī)防火墻和網(wǎng)絡(luò)防火墻的通信才會(huì)更加安全。此外管理中心還有用戶圖形界面(GUI)功能，負(fù)責(zé)管理網(wǎng)絡(luò)中的所有端點(diǎn)、制定和分發(fā)安全策略，而且要分析從主機(jī)防火墻、網(wǎng)絡(luò)防火墻接收的日志，依據(jù)分析的結(jié)果再修改安全策略。

2主機(jī)防火墻的設(shè) 計(jì)與實(shí)現(xiàn)

Linux廣泛地應(yīng)用到世界各地服務(wù)器網(wǎng)絡(luò)當(dāng)中，由于它是開(kāi)源的。Linux版本2.4內(nèi)核中已采用了Netfilter的防火墻框架，而且內(nèi)核中還支持IPv6協(xié)議棧。所以此文采用Linux作為目標(biāo)環(huán)境下的系統(tǒng)的開(kāi)發(fā)和運(yùn)行平臺(tái)。

2.1主機(jī)管理模塊

主機(jī)管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用：首先要跟自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)再發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用：監(jiān)聽(tīng)SSH端口，把接收到的法則代替原來(lái)的法則，讓它運(yùn)用新的法則。

2.2主機(jī)防火墻模塊

Linux版本2.4內(nèi)核中集成了Netfilter框架，基于Linux平臺(tái)下，該框架具有新的網(wǎng)絡(luò)安全功能：網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾、狀態(tài)保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務(wù)：負(fù)責(zé)從用戶命令行界面接收命令之后轉(zhuǎn)化成內(nèi)核認(rèn)識(shí)的結(jié)構(gòu)體，調(diào)用相應(yīng)的內(nèi)核操作函數(shù)，將法則插入到內(nèi)核中去。運(yùn)用Iptables，一定在編譯Linux內(nèi)核時(shí)(版本一定比2.4大)選擇跟Netfilter相關(guān)的內(nèi)核模塊。Netfilter作為內(nèi)核空間的實(shí)現(xiàn)模塊，Iptables作為用戶空間的控制命令解析器，只有它們合起來(lái)才能完成整體的工作。因此首先必須對(duì)內(nèi)核進(jìn)行裁剪和編譯，選擇與Netfilter相關(guān)的項(xiàng)目，（位于“Networking options”子項(xiàng)下）。

Netfilter是由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對(duì)應(yīng)某一具體的協(xié)議。Netfilter支持IPv4、IPv6與IPx等協(xié)議，具有協(xié)議對(duì)應(yīng)的鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包通過(guò)協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)時(shí)被調(diào)用，協(xié)議棧把數(shù)據(jù)包與鉤子標(biāo)號(hào)作為參數(shù)傳遞給Netfilter鉤子；可以編寫(xiě)內(nèi)核模塊來(lái)注冊(cè)一個(gè)或多個(gè)鉤子，以掛鉤自己的處理函數(shù)，這樣當(dāng)數(shù)據(jù)包被傳遞給某個(gè)鉤子時(shí)，內(nèi)核就會(huì)依次調(diào)用掛鉤在這個(gè)鉤子上的每一個(gè)處理函數(shù)，這些處理函數(shù)就能對(duì)數(shù)據(jù)包進(jìn)行各種處理（修改、丟棄或傳遞給用戶進(jìn)程等）；接收到的數(shù)據(jù)包，用戶進(jìn)程也可以對(duì)它進(jìn)行各種處理。一個(gè)IPV6數(shù)據(jù)包在通過(guò)Netfilter防火墻框架時(shí)，它將經(jīng)過(guò)如圖2所示的流程。

圖2 IPv6網(wǎng)絡(luò)數(shù)據(jù)包處理流程

每一個(gè)IPv6數(shù)據(jù)包經(jīng)過(guò)Netfilter框架時(shí)，必須通過(guò)5個(gè)鉤子函數(shù)處理：

（1）HOOK1（NF_IP6_PRE_ROUTING），數(shù)據(jù)包在抵達(dá)路由之前經(jīng)過(guò)這個(gè)鉤子。目前，在這個(gè)鉤子上只對(duì)數(shù)據(jù)包作包頭檢測(cè)處理，一般應(yīng)用于防止拒絕服務(wù)攻擊和NAT；（2）HOOK2（NF_IP6_LOCAL_IN），目的地為本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子。防火墻一般建立在這個(gè)鉤子上；（3）HOOK3（NF_IP6_FORWARD），目的地非本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子；（4）HOOK4（NF_IP6_POST_ROUTING），數(shù)據(jù)包在離開(kāi)本地主機(jī)之前經(jīng)過(guò)這個(gè)鉤子，包括源地址為本地主機(jī)和非本地主機(jī)的；（5）HOOK5（NF_IP6_LOCAL_OUT），本地主機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子。

IP網(wǎng)絡(luò)數(shù)據(jù)包處理流程：數(shù)據(jù)報(bào)從左邊進(jìn)入系統(tǒng)，進(jìn)行IPv6校驗(yàn)以后，數(shù)據(jù)報(bào)經(jīng)過(guò)第一個(gè)鉤子NF_IP_PRE_ROUTING注冊(cè)函數(shù)進(jìn)行處理；然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的；若該數(shù)據(jù)包是發(fā)被本機(jī)的，則該數(shù)據(jù)經(jīng)過(guò)鉤子NF_IP6_LOCAL_IN注冊(cè)函數(shù)處理以后然后傳遞給上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP6_FORWARD注冊(cè)函數(shù)處理；經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)經(jīng)過(guò)最后一個(gè)鉤子NF_IP6_POST_ROUTING注冊(cè)函數(shù)處理以后，再傳輸?shù)骄W(wǎng)絡(luò)上。

本地產(chǎn)生的數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù)NF_IP6_LOCAL_OUT注冊(cè)函數(shù)處理以后，進(jìn)行路由選擇處理，然后經(jīng)過(guò)NF_IP6_POST_ROUTI NG注冊(cè)函數(shù)處理以后發(fā)送到網(wǎng)絡(luò)上。

3 結(jié)論

針對(duì)本文設(shè)計(jì)的Linux環(huán)境下IPv6分布式防火墻的測(cè)試中，用兩臺(tái)IPv6主機(jī)對(duì)防火墻保護(hù)下的內(nèi)網(wǎng)主機(jī)進(jìn)行訪問(wèn)，來(lái)測(cè)試防火墻。外網(wǎng)主機(jī)的環(huán)境一臺(tái)為WINXP,另一臺(tái)是Linux。通過(guò)對(duì)外網(wǎng)主機(jī)訪問(wèn)記錄的驗(yàn)證來(lái)檢測(cè)防火墻的性能。測(cè)試的實(shí)驗(yàn)結(jié)果表明：系統(tǒng)都能按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理，實(shí)現(xiàn)了IPv6分布式防火墻的功能。隨著網(wǎng)絡(luò)的不斷發(fā)展，傳統(tǒng)的邊界式防火墻的弊端越來(lái)越暴露出來(lái)了，Linux作為一種開(kāi)放源代碼的操作系統(tǒng)，在世界各地有著廣泛的應(yīng)用。Linux內(nèi)核版本2.4中已經(jīng)采用了Netfilter的防火墻框架，而且內(nèi)核中已支持IPv6協(xié)議棧，而下一代通信協(xié)議IPv6是未來(lái)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。本文在Linux環(huán)境下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)分布式防火墻具有重大意義。

參考文獻(xiàn)：

[1]范振岐.基于Linux的IPv6復(fù)合防火墻的設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與使用,2006,2:35-37.

[2]蔣雄偉.Linux下的分布式防火墻設(shè)計(jì)與實(shí)現(xiàn):[碩士學(xué)位論文].南京:南京理工大學(xué).2006.

[3]張科.IPv6防火墻狀態(tài)檢測(cè)技術(shù)的研究與實(shí)現(xiàn):[碩士學(xué)位論文].重慶:重慶大學(xué).2007.

[4]楊剛，陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，(28):4124-4132.

[5]高鴻峰，王一波,傅光軒.Netfilter框架下IPv6防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].電子科技大學(xué)學(xué)報(bào)，2007，36(6):1427-1429.

防火墻技術(shù)的研究范文第4篇

關(guān)鍵詞： 防火墻 TCP/IP 網(wǎng)絡(luò)協(xié)議 校園網(wǎng)

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。IT術(shù)語(yǔ)中的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御統(tǒng)，是這一類防范措施的總稱。應(yīng)該說(shuō)，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域 （即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。

2. Windows網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)及操作系統(tǒng)的總體架構(gòu)

2.1 Windows網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)

網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)及交換機(jī)、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時(shí)信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，為它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽。

2.2 Windows操作系統(tǒng)的總體架構(gòu)

Microsoft Windows系列操作系統(tǒng)是在微軟給IBM機(jī)器設(shè)計(jì)MS-DOS的基礎(chǔ)上設(shè)計(jì)的圖形操作系統(tǒng)。現(xiàn)在的Windows系統(tǒng)，如Windows 2000、Windows XP皆是建立于現(xiàn)代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統(tǒng)上借用來(lái)的。

3. 防火墻發(fā)展研究

3.1防火墻體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。

3.2被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開(kāi)。

4.防火墻技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)

這里，假定校園網(wǎng)通過(guò)Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，且有明確的閉和邊界。它有一個(gè)C類的IP地址，有DNS，Email，WWW，F(xiàn)TP等服務(wù)器，可采用以下存取控制策略。

4.1對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制

校園網(wǎng)有自己IP地址，應(yīng)禁止IP地址從本校路由器訪問(wèn)CERNET?？捎孟率雒钤O(shè)置與校園網(wǎng)連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問(wèn)控制

網(wǎng)絡(luò)中心的DNS，Email，F(xiàn)TP，WWW等服務(wù)器是重要的資源，要特別保護(hù)，可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止DNS，Email，WWW，F(xiàn)TP以外的一切服務(wù)。

4.3對(duì)校外非法網(wǎng)址的訪問(wèn)

可通過(guò)計(jì)費(fèi)系統(tǒng)獲得最新的IP訪問(wèn)信息，利用域名查詢或字符匹配等方法確定來(lái)自某個(gè)IP的訪問(wèn)是非法的。

5.結(jié)語(yǔ)

本文闡述了防火墻的體系結(jié)構(gòu)及在校園網(wǎng)絡(luò)中的應(yīng)用，并且介紹了網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)與操作系統(tǒng)的總體架構(gòu)。

參考文獻(xiàn)：

[1]黎連業(yè)， 張維 編著.防火墻及其應(yīng)用技術(shù)[M]. 北京：清華大學(xué)出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京：電子工業(yè)出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術(shù)大全[M]. 北京：機(jī)械工業(yè)出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國(guó)水利水電出版社，2005.5，第一版.

防火墻技術(shù)的研究范文第5篇

1.1監(jiān)測(cè)型

監(jiān)測(cè)型防火墻在網(wǎng)絡(luò)安全保護(hù)中，表現(xiàn)出主動(dòng)特性，主動(dòng)阻斷網(wǎng)絡(luò)攻擊。此類防火墻的能力比較高，其在安全防護(hù)的過(guò)程中體現(xiàn)探測(cè)服務(wù)，主要探測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)。節(jié)點(diǎn)處的攻擊較為明顯，有效探測(cè)到網(wǎng)絡(luò)內(nèi)部、外部的所有攻擊，以免攻擊者惡意篡改信息，攻擊內(nèi)網(wǎng)。監(jiān)測(cè)型防火墻在網(wǎng)絡(luò)安全中的應(yīng)用效益較為明顯，成為防火墻的發(fā)展趨勢(shì)，提升網(wǎng)絡(luò)安全的技術(shù)能力，但是由于監(jiān)測(cè)型防火墻的成本高，促使其在網(wǎng)絡(luò)安全中的發(fā)展受到挑戰(zhàn)，還需借助技術(shù)能力提升自身地位。

1.2型

型屬于包過(guò)濾的演變，包過(guò)濾應(yīng)用在網(wǎng)絡(luò)層，而型則服務(wù)于應(yīng)用層，完成計(jì)算機(jī)與服務(wù)器的過(guò)程保護(hù)。型防火墻通過(guò)提供服務(wù)器，保護(hù)網(wǎng)絡(luò)安全，站在計(jì)算機(jī)的角度出發(fā)，型防火墻相當(dāng)于真實(shí)服務(wù)器，對(duì)于服務(wù)器而言，型防火墻則扮演計(jì)算機(jī)的角色。型防火墻截取中間的傳輸信息，形成中轉(zhuǎn)站，通過(guò)與中轉(zhuǎn)的方式，集中處理惡意攻擊，切斷攻擊者可以利用的通道，由此外部攻擊難以進(jìn)入內(nèi)網(wǎng)環(huán)境。型防火墻安全保護(hù)的能力較高，有效防止網(wǎng)絡(luò)攻擊。

2.基于防火墻的網(wǎng)絡(luò)安全技術(shù)應(yīng)用

結(jié)合防火墻的類型與技術(shù)表現(xiàn)，分析其在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用，體現(xiàn)基于防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)勢(shì)。防火墻在網(wǎng)絡(luò)安全中的應(yīng)用主要以內(nèi)外和外網(wǎng)為主，做如下分析：

2.1防火墻技術(shù)在內(nèi)網(wǎng)中的應(yīng)用

防火墻在內(nèi)網(wǎng)中的位置較為特定，基本安置在Web入口處，保護(hù)內(nèi)網(wǎng)的運(yùn)行環(huán)境。內(nèi)網(wǎng)系統(tǒng)通過(guò)防火墻能夠明確所有的權(quán)限規(guī)劃，規(guī)范內(nèi)網(wǎng)用戶的訪問(wèn)路徑，促使內(nèi)網(wǎng)用戶只能在可控制的狀態(tài)下，實(shí)現(xiàn)運(yùn)行訪問(wèn)，避免出現(xiàn)路徑混淆，造成系統(tǒng)漏洞。防火墻在內(nèi)網(wǎng)中的應(yīng)用主要表現(xiàn)在兩方面，如：(1)認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程特性，此類網(wǎng)絡(luò)行為必須在認(rèn)證的約束下，才能實(shí)現(xiàn)準(zhǔn)確連接，以免出現(xiàn)錯(cuò)接失誤，導(dǎo)致內(nèi)網(wǎng)系統(tǒng)面臨癱瘓威脅；(2)防火墻準(zhǔn)確記錄內(nèi)網(wǎng)的訪問(wèn)請(qǐng)求，規(guī)避來(lái)自內(nèi)網(wǎng)自身的網(wǎng)絡(luò)攻擊，防火墻記錄請(qǐng)求后生成安全策略，實(shí)現(xiàn)集中管控，由此內(nèi)網(wǎng)計(jì)算機(jī)不需要實(shí)行單獨(dú)策略，在公共策略服務(wù)下，即可實(shí)現(xiàn)安全保護(hù)。

2.2防火墻技術(shù)在外網(wǎng)中的應(yīng)用

防火墻在外網(wǎng)中的應(yīng)用體現(xiàn)在防范方面，防火墻根據(jù)外網(wǎng)的運(yùn)行情況，制定防護(hù)策略，外網(wǎng)只有在防火墻授權(quán)的狀態(tài)下，才可進(jìn)入內(nèi)網(wǎng)。針對(duì)外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ淖饔孟?，內(nèi)網(wǎng)對(duì)于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無(wú)法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過(guò)分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。近幾年，隨著網(wǎng)絡(luò)化的發(fā)展，外網(wǎng)與內(nèi)網(wǎng)連接并不局限于一條路徑，所以在所有的連接路徑上都需實(shí)行防火墻保護(hù)，實(shí)時(shí)監(jiān)控外網(wǎng)活動(dòng)。

3.防火墻技術(shù)在網(wǎng)絡(luò)安全的優(yōu)化措施

防火墻技術(shù)面對(duì)日益復(fù)雜的網(wǎng)絡(luò)發(fā)展，表現(xiàn)出低效狀態(tài)，出現(xiàn)部分漏洞，影響防火墻安全保護(hù)的能力。因此，為保障網(wǎng)絡(luò)安全技術(shù)的運(yùn)行水平，結(jié)合防火墻的運(yùn)行與發(fā)展，提出科學(xué)的優(yōu)化途徑，發(fā)揮防火墻網(wǎng)絡(luò)保護(hù)的優(yōu)勢(shì)。針對(duì)網(wǎng)絡(luò)安全中的防火墻技術(shù)，提出以下三點(diǎn)優(yōu)化措施：

3.1控制擁有成本

防火墻能力可以通過(guò)成本衡量，擁有成本成為防火墻安全保護(hù)能力的評(píng)價(jià)標(biāo)準(zhǔn)?？刂品阑饓Φ膿碛谐杀荆苊馄涑^(guò)網(wǎng)絡(luò)威脅的損失成本，由此即可體現(xiàn)防火墻的防護(hù)效益。如果防火墻的成本低于損失成本，表明該防火墻未能發(fā)揮有效的防護(hù)能力，制約了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.2強(qiáng)化防火墻自身安全

防火墻自身的安全級(jí)別非常明顯，由于其所處的網(wǎng)絡(luò)環(huán)境不同，促使其在安全保護(hù)方面受到影響。為加強(qiáng)防火墻的安全能力，規(guī)范配置設(shè)計(jì)，深入研究防火墻的運(yùn)行實(shí)質(zhì)，手動(dòng)更改防護(hù)參數(shù)，排除防火墻自帶的漏洞。防火墻經(jīng)過(guò)全面測(cè)試后才可投入網(wǎng)絡(luò)市場(chǎng)，但是因?yàn)榉阑饓Φ姆N類較多，所以其自身仍舊存在風(fēng)險(xiǎn)項(xiàng)目。強(qiáng)化防火墻的自身安全，才可提升網(wǎng)絡(luò)安全技術(shù)的防護(hù)性能。

3.3構(gòu)建防火墻平臺(tái)

防火墻平臺(tái)能夠體現(xiàn)綜合防護(hù)技術(shù)，確保網(wǎng)絡(luò)防護(hù)的安全、穩(wěn)定。通過(guò)管理手段構(gòu)建防火墻平臺(tái)，以此來(lái)保障網(wǎng)絡(luò)安全技術(shù)的能力，發(fā)揮防火墻預(yù)防與控制的作用。防火墻管理在平臺(tái)構(gòu)建中占據(jù)重要地位，直接影響防火墻平臺(tái)的效益，有利于強(qiáng)化平臺(tái)防范水平。由此可見(jiàn)：防火墻平臺(tái)在網(wǎng)絡(luò)安全技術(shù)中具有一定影響力，保障防火墻的能力，促使防火墻處于優(yōu)質(zhì)的狀態(tài)，安全保護(hù)網(wǎng)絡(luò)運(yùn)行。

4.結(jié)束語(yǔ)