防火墙技术及其体系结构研究
摘要:本文首先指出了计算机网络发展过程中的安全问题,然后给出了网络安全可行的解决方案——防火墙技术,同时分析了实现防火墙的几种主要技术,并♂讨论了构筑、配置防火墙的几种基本的体系结构。
关键词:防火墙 体系结构 网络安全 外部网络 内部网络
1概述
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的
开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务、电子货币(electronic currency)、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。ฏ防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,
阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
2防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。©一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。
2.1 包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
½例如,用于特定的因特网服务的服务器驻留在特✉定的端口号的事实(如TCP端口23用于