防火墙技术技术论文

防火墙技术技术论文

浅析防火墙技术

【摘要】防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用

户的切身利益。随着计算机技术和网络技术的发展，计算机网络给人们带来了很多便利，

于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。使用防火墙能很好的提高

系统的安全性，减少系统受到网络安全方面的威胁。在现在的计算机时代，网络信息的安

全越显得重要。而对防火墙技术的要求也会越来越高。

【关键词】防火墙;网络安全;网络技术

为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术。防火墙具有很

强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控

制个人电脑用户信息在互联网上的收发。

用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信

息交流阻止恶性信息对本机的攻击而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。

一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多

端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行

转发。屏蔽路由器从包头取得信息。代理服务器是防火墙中的一个服务器进程，它能够代

替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，一个

为特定网络应用而连接两个网络的网关。代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通

信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用

户级的认证。最简单的情况是，它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，应推荐用户使用更强的认证机制。

当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时，首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的，其上面的所有信息都暴露在公网之上。这种高度地暴露规

定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个

人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好

强制阻止进入。同样地，堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指

定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有

日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。

当构造防火墙设备时，经常要遵循下面两个主要的概念。第一，保持设计的简单性。

第二，要计划好一旦防火墙被渗透应该怎么办。

保持设计的简单性。一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注

意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机

的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删

除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客

很少的机会穿过防火墙。

安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安

全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭

到破坏、更改、显露，系统能连续正常运行。”

从技术讲，计算机安全分为3种：

1.实体的安全。它保证硬件和软件本身的安全。

2.运行环境的安全性。它保证计算机能在良好的环境里持续工作。

3.信息的安全性。它保障信息不会被非法阅读、修改和泄漏。

随着网络的发展，计算机的安全问题也延伸到了计算机网络。面对这一系列的安全

性问题的解决，我们就要采用防火墙来进行抵御。然而最简单的防火墙配置，就是直接在

内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时

还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置

方案。

1.双宿主机网关Dual Homed Gateway

这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适

配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件通常是代理服务器，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主

机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络

2.屏蔽主机网关Screened Host Gateway

屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主

机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒

主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立

过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网

络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽

主机和路由器访问Internet。

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

3.屏蔽子网Screened Subnet

这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由

器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在

子网内构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理

服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公

开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是

外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富程

度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势，而相对于产品本

身某个方面的演进，更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到某个环境的某个产品的应用情况，更关系到信息安全领域的未来。

参考文献

[1]石志国，薛为民，尹浩.计算机网络安全教程[M].北京：清华大学出版社，2021.

[2]石志国，薛为民，尹浩.计算机网络安全教程实验指导[M].北京：清华大学出版社，2021.

[3]李太君，林元乖，张晋.计算机网络[M].北京：清华大学出版社，2021.

防火墙技术研究

摘要：随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为

最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。对防

火墙的原理以及分类、作用进行了详细的介绍，旨在为选择防火墙的用户提供借鉴。

关键词：网络安全;防火墙

中图分类号：TP393.08 文献标识码：A 文章编号：1672-3198202109-0240-02

1 从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以

及芯片级防火墙。

1软件防火墙。

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的

本文来源：https://www.bwwdw.com/article/0l8j.html