防火墙的架设、配置和安全分析论文5篇范文

第一篇：防火墙的架设、配置和安全分析论文

云南工商学院 防火墙架设配置和安全分析

防火墙架设配置和安全分析

摘 要

近年来, 随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。

网络犯罪的递增、大量黑客网站的诞生，促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟，也是最早产品化的网络防火墙产品了。目前在全球至少有千种以上的防火墙，那么防火墙到底是一种什么东西？它有那些技术指标？我们应该怎样选择一个合适的防火墙呢？

本文讨论了防火墙的安全功能、体系结构、实现防火墙的主要技术手段及配置等。

关键词：网络安全，黑客，病毒，防火墙

Abstract

In recent years, with the rapid development of computer network technology, especially the application of the Internet becomes more and more extensive, in brought an unprecedented huge amounts of information, at the same time, the openness and freedom of the network also produced the possibility of a private information and data breaches or aggression.So the security of network information becomes more and more important, and various fields in information society attach importance to this security.With a progressive increase in network crime and a large amount of hacker website come into being, it makes people to think about the security of network problems.On the market, all kind of network security tools also in the wake of red-hot growth.One of the most popular product may be the network firewall products, they are the earliest mature and commercialization product in network security tools.Now, there are at least 1000 kinds of firewalls in the world, then what kind of things is a firewall actually become? How many technical indicators does it has? How should we choose a suitable firewall? This thesis discussed the firewall’s security function, system structure and the main technical means to realize the firewall and its configuration, etc.Key words:

Network security, Hacker, Virus, Firewall

I 云南工商学院 防火墙架设配置和安全分析

目 录

第一章 绪论.........................................................................................................................................1 1.1 引言...............................................................................................................................................1 1.2 研究意义.......................................................................................................................................1 第二章 防火墙的基本原理.................................................................................................................2 2.1 什么是防火墙...............................................................................................................................2 2.2 防火墙的发展历程.......................................................................................................................3 2.3 防火墙的基本类型.......................................................................................................................3

2.3.1 网络级防火墙----------------------3 2.3.2 应用级网关-------------------------4 2.3.3 电路级网关-------------------------4 2.3.4 规则检查防火墙-------------------4 2.4 防火墙工作原理............................................................................................................................5

2.4.1 包过滤防火墙--------------------5 2.4.2 应用网关防火墙-----------------5 2.4.3 状态检测防火墙-----------------6 2.4.4 复合型防火墙--------------------6 2.4.5 新型复合型防火墙的设计-----7 2.4.5.1 合并内外路由器----------------7 2.4.5.2 合并堡垒主机和外部路由器 8 2.4.5.3 多内部路由器-------------------9 第三章 防火墙的配置.......................................................................................................................9 3.1 防火墙的初始配置......................................................................................................................10 3.2 过滤型防火墙的访问控制表（ACL）配置...............................................................................11 3.3 双宿主机网关(Dual Homed Gateway)........................................................................................14 3.4 屏蔽主机网关(Screened Host Gateway).....................................................................................15 3.5 屏蔽子网(Screened Subnet).......................................................................................................16 第四章 防火墙安全性.....................................................................................................................17

II 云南工商学院 防火墙架设配置和安全分析

4.1 防火墙具备的安全功能............................................................................................................17 4.2 对常见攻击方式的策略..............................................................................................................18 4.2.1 病毒18 4.2.4 IP 地址---------------------------18 4.3 火墙的安全技术分析..................................................................................................................18 4.4 防火墙采用的技术比较..............................................................................................................20 4.5 各类防火墙的对比......................................................................................................................21 4.6 防墙的优缺性..............................................................................................................................21 4.6.1 防火墙的优点---------------------21 4.6.2 防火墙的安全脆弱性分析-----22 第五章 防火墙的未来发展趋势.................................................................................................22 5.1 高速..............................................................................................................................................22 5.2 多功能化......................................................................................................................................23 5.3 安全..............................................................................................................................................23 第六章 总结.................................................................................................................................23

III 云南工商学院 防火墙架设配置和安全分析

第一章 绪论

1.1 引言

据统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件，1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：如果给我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络运行失常。

据了解，从2006年底至2010年底，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。

随着网络的逐步普及，网络安全的问题已经日益突。如同其它任何社会一样，互连网也受到某些无聊之人的困扰，某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。近年来，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰。而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。

1.2 研究意义

现在网络的观念已经深入人心，越来越多的人们通过网络来了解世界，同时他们也可以通过网络发布消息，与朋友进行交流和沟通，展示自己，以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已经成为当今社会关注的重要问题之一。党的十六届四中全会，把信息安全和政治安全、云南工商学院 防火墙架设配置和安全分析

经济安全、文化安全并列为国家安全的四大范畴之一，信息安全的重要性被提升到一个空前的战略高度。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙的本义原是指古代人们房屋之间修建的那道为防止火灾蔓延而建立的墙，而现在意义上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互连网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。成而有效的控制用户的上网安全。防火墙是实施小孩子或员工查看不合适的网页内容，允许按特定关键字以及特定网地进行过滤等、同时还能对DNS 缓存进行保护、对Web 页面的交互元素进行控制如过滤不需要的GIF，Flash动画等界面元素。随着时代的发展和科技的进步防火墙网络安全控制得一种必要技术，它是一个或一组系统组成，它在网络之间执行访问控制策略。实现它的实际方式各不相同，但是在原则上，防火墙可以被认为是这样同一种机制：拦阻不安全的传输流，允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息，仅让安全的、核准了的信息进入；它可以限制他人进入内部网络，过滤掉不安全服务和非法用户；它可以封锁特洛伊木马，防止机密数据的外泄；它可以限定用户访问特殊站点，禁止用户对某些内容不健康站点的访问；它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙如Outpost不但能完成以上介绍的基本功能，还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止功能日益完善和强大，但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

第二章 防火墙的基本原理

2.1 什么是防火墙

“防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但这个门在提供增强安全性的同时允许必要的访问。

在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。云南工商学院 防火墙架设配置和安全分析

2.2 防火墙的发展历程

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

第二、三代防火墙。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙。1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

一体化安全网关UTM（Unified Threat Management）。UTM即是统一威胁管理，主要包含入侵防御、VPN、防火墙、网络和电子邮件的过滤等。随着万兆UTM的出现，UTM代替防火墙的趋势不可避免。在国际上，Juniper，飞塔公司高性能的UTM占据了一定的市场份额，国内，启明星辰的高性能UTM则一直领跑国内市场。

2.3 防火墙的基本类型

实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

2.3.1 网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

下面是某一网络级防火墙的访问控制规则：

(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；

(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；(3)允许任何地址的E-mail(25口)进入主机150.0.0.3；(4)允许任何WWW数据（80口）通过； 云南工商学院 防火墙架设配置和安全分析

(5)不允许其他数据包进入。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.3.2 应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

常用的应用级防火墙已有了相应的代理服务器，例如： HTTP、NNTP、FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。

2.3.3 电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起，如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer），代理服务器是个防火墙，在其上运行一个叫做“地址转移”的进程，来将所有你公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

2.3.4 规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。云南工商学院 防火墙架设配置和安全分析

目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则 检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据

2.4 防火墙工作原理

2.4.1 包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

（包过滤防火墙工作原理图）

2.4.2 应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。云南工商学院 防火墙架设配置和安全分析

（应用网关防火墙工作原理图）

2.4.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

（状态检测防火墙工作原理图）

2.4.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础 云南工商学院 防火墙架设配置和安全分析

平台，以其他的安全模块为多层次应用环境，构筑了一套完整的立体的网络安全解决方案。

（复合型防火墙工作原理图）

2.4.5 新型复合型防火墙的设计 2.4.5.1 合并内外路由器

如果路由器有足够的功能和灵活性时，可将内、外路由的功能由一台路由器来完成。优点是：凡符合路由器规则的数据包可在内、外部网间互传；缺点：仍需要参数网络，需要一台各端口可以分别设置输入/输出的路由器。如下图： 云南工商学院 防火墙架设配置和安全分析

2.4.5.2 合并堡垒主机和外部路由器

采用让双宿主主机同时充当堡垒主机（堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的）和外部路由器的机构。优点：是内部网络的性能增强。缺点：使系统效能（信息交换）变差，灵活性低，由于堡垒主机对外更暴露，保护更加困难。如图（见下页）： 云南工商学院 防火墙架设配置和安全分析

2.4.5.3 多内部路由器

用多台路由器链接参数网络和内部网的各个部分。优点：内部处理数据的速度增快。缺点：使包过滤系统的设置更加复杂，有时会导致站点间不能建立连接。如下图：

第三章 防火墙的架设配置 云南工商学院 防火墙架设配置和安全分析

3.1 防火墙的初始配置

像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。

（图1）

防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。

防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：

普通用户模式无需特别命令，启动后即进入；

进入特权用户模式的命令为“enable”；进入配置模式的命令为“config terminal”；而进入端口模式的命令为“interface ethernet（）”。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为“全局配置模式”。

防火墙的具体配置步骤如下：

1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。

2.打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。

3.运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。

4.当PIX防火墙进入系统后即显示“pixfirewall>”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。

5.输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。

6.输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。云南工商学院 防火墙架设配置和安全分析

（1）.首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）

Interface Ethernet()auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型

Interface ethernet1 auto

（2）.配置防火墙内、外部网卡的IP地址

IP address inside ip_address netmask # Inside代表内部网卡

IP address outside ip_address netmask # outside代表外部网卡

（3）.指定外部网卡的IP地址范围：

global 1 ip_address-ip_address

（4）.指定要进行转换的内部地址

nat 1 ip_address netmask

（5）.配置某些控制选项：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。

7.配置保存：wr mem

8.退出当前模式

此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

10.查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。

11.查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。

3.2 过滤型防火墙的访问控制表（ACL）配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

1.access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。云南工商学院 防火墙架设配置和安全分析

（1）创建标准访问列表

命令格式：access-list [ normal special ] listnumber1 { permit deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：access-list [ normal special ] listnumber2 { permit deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

命令格式：no access-list { normal special } { all listnumber [ subitem ] }

上述命令参数说明如下：

●normal：指定规则加入普通时间段。

●special：指定规则加入特殊时间段。

●listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

●listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

●permit：表明允许满足条件的报文通过。

●deny：表明禁止满足条件的报文通过。

●protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

●source-addr：为源IP地址。

●source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

●dest-addr：为目的IP地址。

●dest-mask：为目的地址的子网掩码。

●operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

●icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

●icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

●log：表示如果报文符合条件，需要做日志。

●listnumber：为删除的规则序号，是1~199之间的一个数值。

●subitem：指定删除序号为listnumber的访问列表中规则的序号。

例如，现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP”的访问规则。相应配置语句只需两行即可，如下：

Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www 云南工商学院 防火墙架设配置和安全分析

Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear access-list counters：清除访问列表规则的统计信息

命令格式：clear access-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

clear access-list counters 100

如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters

3.ip access-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

ip access-group listnumber { in out }

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

ip access-group 100 in

如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in out } 命令。

4.show access-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all listnumber interface interface-name ]

这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下： 云南工商学院 防火墙架设配置和安全分析

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6.Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

命令格式为：telnet ip_address [netmask] [if_name]

其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

如果要显示当前所有的Telnet配置，则可用show telnet命令。

最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。

3.3 双宿主机网关(Dual Homed Gateway)这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器)，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络(如图1)。云南工商学院 防火墙架设配置和安全分析

三种流行防火墙配置方案分析(图一)

3.4 屏蔽主机网关(Screened Host Gateway)屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接(如图2)。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet.三种流行防火墙配置方案分析(图二)双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。云南工商学院 防火墙架设配置和安全分析

三种流行防火墙配置方案分析(图三)

3.5 屏蔽子网(Screened Subnet)这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和 Internet 分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”(如图4)，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

三种流行防火墙配置方案分析(图四)云南工商学院 防火墙架设配置和安全分析

当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全。

第四章 防火墙安全性

4.1 防火墙具备的安全功能

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下基本功能：

(1)报警功能，将任何有网络连接请求的程序通知用户，用户自行判断是否放行也或阻断其程序连接网络。

(2)黑白名单功能，可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网网等功能。

(3)局域网查询功能，可以查询本局域网内其用户，并显示各用户主机名。

(4)流量查看功能，对计算机进出数据流量进行查看，直观的完整的查看实时数据量和上传下载数据率。

(5)端口扫描功能，户自可以扫描本机端口，端口范围为0-65535端口，扫描完后将显示已开放的端口。

(6)系统日志功能，日志分为流量日志和安全日志，流量日志是记录不同时间数据包进去计算机的情况，分别记录目标地址，对方地址，端口号等。安全日志负责记录请求连接网络的程序，其中包括记录下程序的请求连网时间，程序目录路径等。

(7)系统服务功能，可以方便的查看所以存在于计算机内的服务程序。可以关闭，启动，暂停计算机内的服务程序。

(8)连网/断网功能，在不使用物理方法下使用户计算机连接网络或断开网络。

完成以上功能使系统能对程序连接网络进行管理，大大提高了用户上网的效率，降低的上网风险。从而用户上网娱乐的质量达到提高，同时也达到网络安全保护的目的。云南工商学院 防火墙架设配置和安全分析

4.2 对常见攻击方式的策略

4.2.1 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能, 但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面, 黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。

策略: 设定安全等级, 严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。

4.2.2 口令字

对口令字的攻击方式有两种: 穷举和嗅探。穷举针对来自外部网络的攻击, 来猜测防火墙管理的口令字。嗅探针对内部网络的攻击, 通过监测网络获取主机给防火墙的口令字。

策略: 设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。

4.2.3 邮件

来自于邮件的攻击方式越来越突出, 在这种攻击中, 垃圾邮件制造者将一条消息复制成成千上万份, 并按一个巨大的电子邮件地址清单发送这条信息, 当用户不经意打开邮件时, 恶意代码即可进入。

策略: 打开防火墙上的过滤功能, 在内网主机上采取相应阻止措施。

4.2.4 IP 地址

黑客利用一个类似于内部网络的IP 地址, 以“逃过”服务器检测, 从而进入内部网达到攻击的目的。

策略: 通过打开内核rp f ilter 功能, 丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC 绑定, 只有拥有相应MAC 地址的用户才能使用被绑定的IP 地址进行网络访问。本文比较了攻击者通常采用的一些攻击手段, 提出了防火墙的安全脆弱点。介绍了容入带防火墙入侵检测技术(IDS)的VPN, 设计了防火墙技术体系结构,并提出了相应的网络安全防护措施和应对常见攻击方式的策略。

4.3 火墙的安全技术分析

防火墙对网络的安全起到了一定的保护作用，但并非万无一失。通过对防火墙的基本原 云南工商学院 防火墙架设配置和安全分析

理和实现方式进行分析和研究，我对防火墙的安全性有如下几点认识。

1．正确选用、合理配置防火墙非常不容易

防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：

风险分析； 需求分析； 确立安全政策；

选择准确的防护手段，并使之与安全政策保持一致。

然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”还是个问题。

2．需要正确评估防火墙的失效状态

评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪，而且要看到一旦防火墙被攻破，它的状态如何? 按级别来分，它应有这样四种状态：a.未受伤害能够继续正常工作；b.关闭并重新启动，同时恢复到正常工作状态；c.关闭并禁止所有的数据通行；d.关闭并允许所有的数据通行。

前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3.防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch)产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

4.目前很难对防火墙进行测试验证 防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大：

(1)防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。

(2)防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

(3)选择“谁”进行公正的测试也是一个问题。

可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当必要，进而提出这样一个问题：不进行测试，何以证明防火墙安全？

5．非法攻击防火墙的基本“招数”

(1)通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例，简要描述可能的攻击过程。这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件，而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主 云南工商学院 防火墙架设配置和安全分析

机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。具体分三个步骤：

1．主机A产生它的ISN，传送给主机B，请求建立连接； 2．B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；

3．A再将B传送来的ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。IP地址欺骗攻击的第一步是切断可信赖主机。这样可以使用TCP淹没攻击(TCPSynFloodAttack)，使得信赖主机处于“自顾不暇”的忙碌状态，相当于被切断，这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST包而无暇顾及其他。攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25)，通常它是开放的，邮件能够通过这个端口，与目标主机打开(Open)一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。请求发出后，目标主机会认为它是TCP连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求，因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应，并连同预测的目标主机的ISN一同发给目标主机。随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

归纳起来，防火墙安全防护面临威胁的几个主要原因有：SOCK的错误配置；不适当的安全政策； 强力攻击；允许匿名的FTP协议；允许TFTP协议；允许Rlogin命令；允许X－Windows或OpenWindows；端口映射；可加载的NFS协议；允许Windows文件共享；Open端口。

(2)破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

(3)需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

以上分析表明，防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。从技术来讲，绕过防火墙进入网络并非不可能。

目前大多数防火墙都是基于路由器的数据包分组过滤类型，防护能力差，存在各种网络外部或网络内部攻击防火墙的技术手段。

4.4 防火墙采用的技术比较

根据防火墙对进、出网络数据的处理方法, 大致可以将防火墙分为两大体系: 包过滤防火墙和代理防火墙。云南工商学院 防火墙架设配置和安全分析

传统的包过滤防火墙基于路由器在网络层进行过滤, 根据事先定义好的过滤规则来检测每个IP 包头的相关信息来决定数据流的通过还是拒绝, 这些相关信

息包括IP 源地址、IP 目标地址、传输协议(T CP、UDP、ICMP 等等)、T CP/ U DP 目标端口、ICMP 消息类型等。过滤规则明确指出希望通过的数据包以及禁止的数据包。包过滤防火墙是安全性最低的防火墙。

状态检测技术是防火墙近几年才采用的新技术,该技术采用一种基于连接的状态检测机制, 读取、分析和利用了全面的网络通信信息和状态, 包括: 通信信息、通状态、应用状态、操作信息。状态检测防火墙仍采用客户端/ 服务器模式, 数据包在网络层被拦截, 属于同一连接的所有包作为一个整体的数据流看待, 构成连接状态表, 接着与定义好的规则表共同配合, 对表中的各个连接状态加以识别。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪, 并且根据需要可动态地在过滤规则中增加或更新条目。对于UDP这样无状态的连接, 以虚拟连接的方式构成连接表。代理服务器代表客户来处理向服务器的连接请求。当代理服务器得到一个客户的连接意图时, 它们将核实客户请求, 并经过特定的安全化的Prox y 应用程序处理连接请求, 将处理后的请求传递到真实的服务器上, 然后接受服务器应答, 进一步处理后将答复交给发出请求的最终客户。代理类型防火墙最突出的优点就是安全。它打破了客户端/ 服务器模式, 由于每一个内外网络之间的连接都要通过Prox y 的介入和转换,每个客户端/ 服务器通讯需要两个连接: 一个是从客户到防火墙, 一个是从防火墙到服务器。而且每个代理需要一个不同的应用软件进程或守护进程, 可移植性较差。新发展起来的第五代防火墙采用自适应代理技术,它结合了代理类型防火墙的安全性和包过滤防火墙的

高速度等优点。

4.5 各类防火墙的对比

防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。

状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱

4.6 防墙的优缺性

4.6.1 防火墙的优点

（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，云南工商学院 防火墙架设配置和安全分析

能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

4.6.2 防火墙的安全脆弱性分析

效地保障了内部网络的安全, 但是防火墙也不是绝对安全的防护手段, 不同的防火墙在具体实现上存在不同的安全脆弱点。对防火墙安全脆弱性分析是为有效地进行防火墙的安全防护提供帮助, 要想获得较高级别的安全保障, 必须全面了解自身防火墙的安全弱点。不同防火墙存在不同程度的安全脆弱点。攻击防火墙可以分为三部分: 防火墙探测、绕过防火墙的攻击和破坏性攻击。

在防火墙探测攻击中, 一旦攻击者标识出目标网络的防火墙, 就能确定它的部分脆弱点。对于这一类攻击, 可以通过设置防火墙过滤规则把出去的ICMP数据过滤掉, 或者可以在数据包进入防火墙时, 检查IP 数据包的TT L 值, 如果为1 者0 则丢弃, 且不发出任何ICMP 数据包来达到防止这种探测的目的;还有防火墙关闭自身不必要的端口也是很关键的。

绕过防火墙攻击通常是利用地址欺骗、T CP 序列号等手段绕过防火墙的认证机制。可以在配置防火墙时过滤掉那些进来数据包的源地址是内部地址的数据

包来达到防范IP 欺骗攻击;对源路由攻击所采取的防__御方法就是简单丢弃所有包含源路由选项的数据包;对于分片攻击目前可行的解决方案是在分片进入内部网络之前防火墙对其进行重组, 但是这增加了防火墙的负担, 也影响防火墙传发数据包的效率;木马攻击是比较常用的攻击手段, 最好的防范就是避免木马的安

装以及在系统上安装木马检测工具。

防火墙的未来发展趋势

可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

5.1 高速

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。

应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。云南工商学院 防火墙架设配置和安全分析

根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

5.2 多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

5.3 安全

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。

总结

经过两个月艰苦卓绝的努力,总于完成了本毕业设计.从当初领到题目到最后一个功能模块的完成,经历了无数次的错误->修改代码->重启服务器->运行的过程,感觉到平时学的知识是多么的浅薄,书到用时方恨少,现在是体验的真真切切.也充分反应了我平时的基本功不扎实,给我以后的工作敲响了警钟,有了努力的方向.但通过本次毕业设计,我也感受到了开源的方便,遇到什么问题,上网一查,就知道该怎么弄了,以前做个课程设计都是怕别人和我的一样,不愿意给别人看,现在知道了程序弄不出来是多么的着急,学习都是相互的,互相研究才能共同进步的.以后要多多注意这方面的事情, 本次毕业设计是我工作前一次很好的演练和实践的机会,是培养独立考问题和自学能力的锻炼,使我意识到必须努力学习才能才工作中体现自己的价值,适应社会的需要.参考文献

[1] 王新宇.防火墙技术浅析[M].宁夏：宁夏机械出版社,2009 [2] 周启辉.防火墙的现状与发展趋势分析[J].涟钢科技与管理,2009,(06)[3]张宝剑.计算机安全与防护技术[M].机械工业出版社,2008.云南工商学院 防火墙架设配置和安全分析

[4]林海波,网络安全与防火墙技术[M].北京清华大学出版社,2008.[5]凌雨欣,常红.网络安全技术与反网络入侵者[M].冶金工业出版社,2008.[6]王蓉,林海波.网络安全与防火墙技术[M].清华大学出版社,2009.[7]余建斌.黑客的攻击手段及用户对策［M］.北京人民邮电出版社,2008.[8](美)布莱克赫兹.Microsoft，UNIX及0racle主机和网络安全［M］.电子工业出版社,2009.[9] 马程.防火墙在网络安全中的应用［J］.甘肃科技,2008 [10]蒋建春, 冯登国.网络入侵检测原理与技术[ M].北京.国防工业出版社, 2009.[11] 钱桂琼, 杨泽明, 许 生.计算机取证的研究与设计[ J].计算机工程, 2008, 28(6): 56-58.致 谢

经过长时间的努力,我完成了题目为: 防火墙的安全性分析的论文撰写。

本次设计能够顺利完成,我首先要感谢一些发表书籍的老师们。其次,我要感谢我的指导老师陈春老师,他自始自终都给予了我莫大的帮助,对的设计中每一个计划,每一项安排都提出了至关重要的建议,使我少走了许多弯路,节省了大量的时间,并且能不厌其烦地指导我技术上的问题,使我的系统更加完善和符合企业网站的要求.可以说,我的毕业设计的顺利完成凝聚着导师的大量心血。

另外,我还要感谢那些网上的朋友,他们毫不吝啬的将自己所掌握的知识拿出来资源共享,才使我部分功能模块得以实现,谢谢他们。

通过这次毕业设计,我体会很多,学会是一回事,会用则就是另一回事了.以前感到自己专业技能还可以,但真正到用的时候就发现了很多缺陷,发现自己其实差距很大,还不能适应工作.为我今后指明了努力方向。

再一次，我向多方面支持和帮助过我的人表示由衷的感谢！

第二篇：防火墙配置试卷D

防火墙配置试卷D

题量：5 满分：100.0 分

显示答案

简答题（共5题,100.0分）

1按照拓扑图，搭建环境配置服务器并设置接口区域和ip地址。（15分）

提交display ip int bri中接口配置；（5分）

提交display current中接口添加到对应区域的配置；（6分）

2设置源NAT策略和配置安全策略，保证内网vlan10和vlan20用户通过HFW1能访问外网；内网vlan30和vlan40用户通过HFW2能访问外网。（共计30分）

提交HFW1的安全策略配置和NAT策略截图（7.5分）；

提交HFW2的安全策略配置和NAT策略截图（7.5分）；

提交vlan10和vlan20主机访问外网192.168.20.1后，防火墙HFW1 display firewall session table截图；（7.5分）；

提交vlan30和vlan40主机访问外网192.168.10.1后，防火墙HFW2 display firewall session table截图；（7.5分）；

设置目的NAT策略和配置安全策略，保证外网用户访问192.168.20.100的web服务时，访问的是内部网络dmz区域的172.16.8.100（共计15分）；

提交HFW1上display nat server截图（10分）；

提交外部浏览器访问http://192.168.20.100截图（5分）；

设置在任选一台防火墙配置DHCP服务器，为内部trust区域中vlan10、vlan20、vlan30和vlan40下面的主机提供iP地址。（共计12分）；

提交选择防火墙上display current与DHCP有关的截图（6分），其中地址池配置4分，端口下引用（2分））；

提交vlan10下主机pc1获得ip地址的截图（1.5分）；

提交vlan20下主机pc2获得ip地址的截图（1.5分）；

提交vlan30下主机pc3获得ip地址的截图（1.5分）；

提交vlan40下主机pc4获得ip地址的截图（1.5分）；

配置两台防火墙的双机热备，HFW1防火墙为vlan10和vlan20的active（活动）设备，HFW2防火墙为vlan10和vlan20的standby（备份）设备；HFW1防火墙为vlan40和vlan30的standby（备份）设备，HFW2防火墙为vlan30和vlan40的active（活动）设备；

两台防火墙均可以访问互联网，当active（活动）设备发生故障时能够实现切换，虚拟机访问互联网不能出现中断。（共计40分）

1）热冗余备份配置完成后，提交相关验证结果（16分）

提交启动热冗余备份后防火墙HFW1的display hrp state结果（2分）；

提交启动热冗余备份后防火墙HFW1的display vrrp brief结果（2分）；

提交启动热冗余备份后防火墙HFW2的display hrp state结果（2分），提交启动热冗余备份后防火墙HFW2的display vrrp brief结果（2分）；

提交VLAN10的主机用tracert 192.168.20.1访问外部网络主机的截图（2分）；

提交VLAN40的主机用tracert 192.168.10.1访问外部网络主机的截图（2分）；

提交FHW1的display firewall session会话转化表（2分）；

提交FHW2的display firewall session会话转化表（2分）；

2）热冗余备份环境下，在交换机g0/0/24下执行shutdown命令，提交相关验证结果（8分）

提交启动热冗余备份后防火墙HFW1的display hrp state结果（1分）；

提交启动热冗余备份后防火墙HFW1的display vrrp brief结果（1分）；

提交启动热冗余备份后防火墙HFW2的display hrp state结果（1分），提交启动热冗余备份后防火墙HFW2的display vrrp brief结果（1分）；

提交VLAN10的主机用tracert 192.168.20.1访问外部网络主机的截图（1分）；

提交VLAN40的主机用tracert 192.168.10.1访问外部网络主机的截图（1分）；

提交FHW1的display firewall session会话转化表（1分）；

提交FHW2的display firewall session会话转化表（1分）；

3）热冗余备份环境下，在交换机的g0/0/24下再执行undo shutdown命令后，等待系统恢复后提交相关验证结果（8分）

提交启动热冗余备份后防火墙HFW1的display hrp state结果（1分）；

提交启动热冗余备份后防火墙HFW1的display vrrp brief结果（1分）；

提交启动热冗余备份后防火墙HFW2的display hrp state结果（1分），提交启动热冗余备份后防火墙HFW2的display vrrp brief结果（1分）；

提交VLAN10的主机用tracert 192.168.20.1访问外部网络主机的截图（1分）；

提交VLAN40的主机用tracert 192.168.10.1访问外部网络主机的截图（1分）；

提交FHW1的display firewall session会话转化表（1分）；

提交FHW2的display firewall session会话转化表（1分）；

4）热冗余备份环境下，在防火墙HFW2下的g1/0/4下执行shutdown命令后，等待一段时间，提交相关验证结果（8分）

提交启动热冗余备份后防火墙HFW1的display hrp state结果（1分）；

提交启动热冗余备份后防火墙HFW1的display vrrp brief结果（1分）；

提交启动热冗余备份后防火墙HFW2的display hrp state结果（1分），提交启动热冗余备份后防火墙HFW2的display vrrp brief结果（1分）；

提交VLAN10的主机用tracert 192.168.20.1访问外部网络主机的截图（1分）；

提交VLAN40的主机用tracert 192.168.10.1访问外部网络主机的截图（1分）；

提交FHW1的display firewall session会话转化表（1分）；

提交FHW2的display firewall session会话转化表（1分）；

第三篇：防火墙的安全性分析论文

软件学院

专 科 生 毕 业

实 践 报 告

题 目： 防火墙的安全性分析

专 业： 计算机网络技术 年(班)级： 学 号： 姓 名： 指导教师： 完成日期： 2010 年 03 月 17 日

防火墙的安全性分析

摘要：本文从防火墙的定义、为什么使用防火墙、防火墙的概念、防火墙的功能等方面介绍了防火墙的基本信息；并从防火墙的安全技术分析、防火墙的基本类型、防火墙的工作原理、防火墙的配置、防火墙的安全措施这五个方面来对防火墙的安全性进行分析。

关键词：黑客，防火墙，网络安全

目 录

引言............................................................................................4

一、防火墙简介................................................................................4 1.1防火墙的概念..........................................................................4 1.2防火墙出现的背景和意义......................................................5 1.3 防火墙的发展史.....................................................................5 1.4 防火墙的功能.........................................................................6

二、防火墙的基本类型......................................................................7 2.1 包过滤型.................................................................................7 2.2 网络地址转化型—NAT..........................................................7 2.3 代理型......................................................................................8 2.4 监测型......................................................................................8

三、防火墙的工作原理.......................................................................8

3.1相关术语...................................................................................8

3.2 防火墙的防御机理..................................................................9

四、防火墙的配置.............................................................................10

五、防火墙的安全技术分析.............................................................11

六、防火墙的安全措施.......................................................................14

七、总结.............................................................................................14 致谢.....................................................................................................参考文献.............................................................................................引 言

在计算机技术和网络技术普遍应用的今天，人们已经不再用脑子去记很多的东西了，而主要记载在计算机上或与之相关机器上，很多时候我们只需记载一些密码便可，也方便查询。但是，网络也是不安全的，很多时候我们的计算机中的信息都有被盗的可能，因此，需要确保我们信息系统安全。以前，我们只需设置一些复杂的密码就可以，但是上网后，黑客们还是能从各种途径盗取我们的重要信息，包括我们的密码和各种敏感信息。因此，我们不只要经常给系统打补丁，还要有一个好的防火墙。有防火墙可以更好的防范黑客攻击。它可以控制端口的连接，将一些危险的端口屏蔽，防止他人对我们计算机的配置信息进行扫描；可以防范一些有攻击性的病毒。因此，给我们的计算机安装强有力的防火墙是很有必要的。我们可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警，瑞星防火墙等。这里，我将运用自己所学知识，先介绍防火墙出现的背景、意义，防火墙的发展史，防火墙的概念及其功能。然后从防火墙的类型、工作原理、配置、安全技术分析及其安全措施对防火墙的安全性进行分析。

一、防火墙简介

1.1防火墙的概念

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。

在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。它可 4 通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙的优点：

（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

1.2防火墙出现的背景和意义

随着计算机的发展，人们越来越意识到网络的重要性，通过网络，分散在各处的计算机被网络联系在一起。作为网络的组成部分，把众多的计算机联系在一起，组成一个局域网，在这个局域网中，可以在它们之间共享程序、文档等各种资源；还可以通过网络使多台计算机共享同一硬件，如打印机、调制解调器等；同时我们也可以通过网络使用计算机发送和接收传真，方便快捷而且经济。21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还 从一种专门的领域变成了无处不在。信息安全是国家发展所面临的一个重要问题。发展安全产业是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

1.3防火墙的发展史

第一代防火墙：

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

第二、三代防火墙：

1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙：

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙：

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

1.4 防火墙的功能

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

例如：TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。防火墙的主要功能有以下几点：

①防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。

②防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。

③通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

⑤除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

二、防火墙的基本类型

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT型、代理型和监测型。

2.1包过滤型

网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况 7 下,能够以较小的代价在一定程度上保证系统的安全。

2.2网络地址转化—NAT型

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

2.3代理型

代理型防火墙也称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

2.4监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分 8 析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。

三、防火墙的工作原理

3.1 相关术语

①网关

网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关，这个术语是非常常见的。②电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。③应用级网关

应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。④包过滤

包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器。在上文的防火墙类型中做过介绍。

⑤代理服务器

代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。⑥网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。

3.2防火墙的防御机理

①包过滤型防火墙：数据包过滤技术是在网络层对数据包进行选择、过滤，选择、过滤的标准是以网络管理员事先设置的过滤逻辑(即访问控制表)为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息，来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。包过滤（PacketFliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。

②应用级网关型防火墙：应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议，采用不同的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告，大大提高了网络的安全性。

特别需要指出的是：应用级网关型防火墙和包过滤型防火墙有一个共同的特点，它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统就建立起直接的联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，从而使非法访问和攻击容易得逞。

③代理服务型防火墙：代理服务也称链路级网关(Circuit Level Gateways)或TCP通道(TCP Tunnels)，也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、注册登记，形成报告。当发现被攻击迹象时，代理服务器会向网络管理员发出警报。应 用级网关型和代理服务型防火墙大多是基于主机的，价格比较贵，但性能很好，其安装和使用也比采用数据包过滤技术的防火墙复杂一些。

四、防火墙的配置

防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。

Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

五、防火墙的安全技术分析

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。

防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并并监视网络运行状态。（1）只有正确选用、合理配置防火墙，才能有效发挥其安全防护作用

防火墙作为网络安全的一种防护手段，自多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：

1、风险分析．

2、需求分析：

3、确定安全政策：

4、选择准确的防护手段，并使之与安全政策保持一致。（2）应正确评估防火墙的失效状态

评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何？

按级别来分，它应有这样４种状态：

1、未受伤害能够继续正常工作；

2、关闭并重新启动，同时恢复到正常工作状态；

3、关闭并禁止所有的数据通行；

4、关闭并允许所有的数据通行。

前两种状态比较理想，而第4种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大，原因是：

1、防火墙性能测试目前还是一种很新的技术，可用的工具和软件较少。

2、防火墙测试技术尚不先迸，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

3、选择“谁”进行公正的测试也是一个问题。可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当重要。（3）防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，商家一旦发现其产品存在安全漏洞，就会尽快发布补救产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

（4）非法攻击防火墙的基本“招数”

1、通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无 12 需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。

通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。

具体分三个步骤：

1．主机A产生它的ISN，传送给主机B，请求建立连接；

2．B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；

3.A再将B传送来的ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。

IP地址欺骗攻击的第一步是切断可信赖主机.这样可以使用TCP淹没攻击，使得信赖主机处于“自顾不暇”的忙碌状态，相当于被切断，这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST包而无暇顾及其他。

攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25)，通常它是开放的，邮件能够通过这个端口，与目标主机打开一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。

请求发出后，目标主机会认为它是TCP连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求，因此目标主机不能得到来自于信赖主机的响应。

现在攻击者发出回答响应，并连同预测的目标主机的ISN一同发给目标主机。

随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

归纳起来，防火墙安全防护面临威胁的几个主要原因有：①SOCK的错误配置；②不适当的安全政策；③强力攻击；④允许匿名的FTP协议；⑤允许TFTP协议；⑥允许Rlogin命令；⑦允许X－Windows或OpenWindows；⑧端口映射；⑨可加载的NFS协议；⑩允许Win95/NT文件共享。

破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

以上分析表明，防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。

六、防火墙的安全措施

各种防火墙的安全性能不尽相同，以下是一些一般防火墙的常用安全措施：

1.防电子欺骗术

防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。

2.网络地址转移

地址转移是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。3.开放式结构设计

开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。

七、总结

第四篇：防火墙论文

防火墙技术论文

姓 名：王田辉 学 号：2012110438 专 业：网络工程

摘要

本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用，并提出其不足之处 和解决方案。最后展望了防火墙的反战前景以及技术方向。

关键字：防火墙；网络；网络安全；功能；Internet；

Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet，目录

一、防火墙是什么.........................................1

二、防火墙的分类.........................................1

三、防火墙的发展历程.....................................1

四、防火墙的工作原理.....................................2

五、防火墙应该具备的特性.................................2

六、防火墙主要技术.......................................2

七、常见攻击方式以及应对策略.............................3

八、防火墙的反战前景以及技术方向.........................3

九、结束语...............................................4

十、参考文献.............................................4 现在无论是企业，还是个人，随着计算机的应用由单机发展到网络，网络面临着大量的安全威胁，其安全问题日益严重，日益成为广泛关注的焦点。在这样一个大环境下，网络安全问题凝了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。

一、防火墙是什么

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

二、防火墙的分类

防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件，比如天网防火墙、金山网镖、蓝盾防火墙等等。

三、防火墙的发展历程

目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年，NAI公司推出了一种自适应代理技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。

四、防火墙的工作原理

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。

五、防火墙应该具备的特性

当前的防火墙需要具备如下的技术、功能、特性，才可以成为企业用户欢迎的防火墙产品：

1、安全、成熟、国际领先的特性；

2、具有专有的硬件平台和操作系统平台；

3、采用高性能的全状态检测（Stateful Inspection）技术；

4、具有优异的管理功能，提供优异的GUI管理界面；

5、支持多种用户认证类型和多种认证机制；

6、需要支持用户分组，并支持分组认证和授权；

7、支持内容过滤；

8、支持动态和静态地址翻译(NAT；

9、支持高可用性，单台防火墙的故障不能影响系统的正常运行；

10、支持本地管理和远程管理；

11、支持日志管理和对日志的统计分析；

12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数；

13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能；

14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯；

15、支持在线升级；

16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能；

17、防火墙能够与入侵检测系统互动。

六、防火墙主要技术

先进的防火墙产品将网关与安全系统合二为一，具有以下技术：双端口或三端口的结构；透明的访问方式；灵活的代理系统；多级的过滤技术；网络地址转换技术（NAT）；Internet网关技术；安全服务器网络（SSN）；用户鉴别与加密；用户定制服务；审计和告警。

七、常见攻击方式以及应对策略

（一）病毒

策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。

（二）口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。

策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。

（三）邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。

策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。

（四）IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。

八、防火墙的反战前景以及技术方向

伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

（1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

（2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

（3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

（4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。（5)对网络攻击的检测和各种告警将成为防火墙的重要功能。（6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患

九、结束语

随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

十、参考文献

[1] 作者：彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者：IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料

[3] 作者：楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者：聂元铭 丘平《网络信息安全技术》 科学出版社

第五篇：防火墙论文

河北大学人民武装学院

河北大学人民武装学院2015届毕业论文

防火墙安全技术

河北大学人民武装学院

中 队：三十一中队

专 业：计算机网络技术

班

级：四班

姓 名：马伟韬

防火墙安全技术

摘 要

随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大，所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施，它实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。

关键词：防火墙

网络安全

包过滤

状态监视

应用代理

河北大学人民武装学院

河北大学人民武装学院

目 录

引

言..............................................................................................5

一、防火墙的概念..............................................................................6

二、防火墙的分类..............................................................................7

三、防火墙技术................................................................................10

四、技术展望....................................................................................13 结

论...............................................................................................14 谢

辞............................................................................................15 参考文献............................................................................................16

河北大学人民武装学院

引

言

随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。

河北大学人民武装学院

一、防火墙的概念

近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称。

到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（firewall）。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。

防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结构不同功能的防火墙，构筑成网络上的一道道防御大堤。

河北大学人民武装学院

二、防火墙的分类

世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。

在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通过网络驱动程序接口（network driver interface specification，ndis）把网络上传来的各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的数据报文，ndis直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软件防火墙后，尽管ndis接收到仍然的是原封不动的数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏出去了。

软件防火墙工作于系统接口与ndis之间，用于检查过滤由ndis发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分cpu资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出cpu资源去进行基于软件架构的ndis数据检测，可以大大提高工作效率。

硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有标准计算机的硬件平台和一些功能经过简化处理的unix系列操作系统和防火墙软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞和不稳定因

河北大学人民武装学院

素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火墙，它采用专门设计的硬件平台，在上面搭建的软件也是专门开发的，并非流行的操作系统，因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙，管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中，因此它自身的硬件规格也是分档次的，尽管硬件防火墙已经足以实现比较高的信息处理效率，但是在一些对数据吞吐量要求很高的网络里，档次低的防火墙仍然会形成瓶颈，所以对于一些大企业而言，芯片级的硬件防火墙才是他们的首选。

有人也许会这么想，既然pc架构的防火墙也不过如此，那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的，但是工作效率并不能和真正的pc架构防火墙相比，因为pc架构防火墙采用的是专门修改简化过的系统和相应防火墙程序，比一般计算机系统和软件防火墙更高度紧密集合，而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能，这些要求并不是安装了多网卡的计算机就能简单替代的，因此pc架构防火墙虽然是与计算机差不多的配置，价格却相差很大。

现实中我们往往会发现，并非所有企业都架设了芯片级硬件防火墙，而是用pc架构防火墙甚至前面提到的计算机替代方案支撑着，为什么？这大概就是硬件防火墙最显著的缺点了：它太贵了！购进一台pc架构防火墙的成本至少都要几千元，高档次的芯片级防火墙方案更是在十万元以上，这些价格并非是小企业所能承受的，而且对于一般家庭用户而言，自己的数据和系统安全也无需专门用到一个硬件设备去保护，何况为一台防火墙投入的资金足以让用户购买更高档的电脑了，因而广大用户只要安装一种好用的软件防火墙就够了。

为防火墙分类的方法很多，除了从形式上把它分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类；从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种；按工作位置分为边界防火墙、个人防火墙和混合防火墙；按防火墙性能分为百兆级防火墙和千兆级防火墙两类„„虽然看似种类繁多，但这只是因为业界分类方法不同罢了，例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”，因此这里主要介绍的是技术方面的分类，即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。

那么，那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢？所谓“边界”，就是指两个网络之间的接口处，工作于此的防火墙就被称为“边界防火墙”；与之相对的有“个人防火墙”，它们通常是基于软件的防火墙，只处理一台计算机的数据而不是整个网络的数据，现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢，就是我们最常见的一台台硬件防火墙

河北大学人民武装学院

了；一些厂商为了节约成本，直接把防火墙功能嵌进路由设备里，就形成了路由集成式防火墙。

河北大学人民武装学院

三、防火墙技术

传统意义上的防火墙技术分为三大类。

1.“包过滤”（packet filtering）、据都在于过滤规则的实施，但是偏又不能满足建立精细规则的要求（规则数量和防火墙性能成反比），而且它只能工作于网络层和传输层，并不能判断高级协议里的数据是否有害，但是由于它廉价，容易实现，所以它依然服役在各种领域，在技术人员频繁的设置下为我们工作着。

2.应用代理技术

由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如syn攻击、icmp洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（application proxy）技术的防火墙诞生了。我们的读者还记得“代理”的概念吗？代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。我们都知道，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。那么，如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢？这样的思想便造就了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器（transparent proxy），但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析”（application protocol analysis）的新技术。

“应用协议分析”技术工作在osi模型的最高层——应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路，在用户方面和外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数据收发实际上是经过了代理防火墙转向的，当外界数据进入代理防火墙的客户端时，“应用协议分析”模块便根据应用层协议处理这个数据，通过预置的处理规则（没错，又是规则，防火墙离不开规则）查询这个数据是否带有危害，由于这一层面对的已经不再是组合有限的报文协议，甚至可以识别类似于“get /sql.asp?id=1 and 1”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙实现一个身份验证和连接时限的

河北大学人民武装学院

功能，进一步防止内部网络信息泄漏的隐患。最后，由于代理防火墙采取是代理机制进行工作，内外部网络之间的通信都需先经过代理服务器审核，通过后再由代理服务器连接，根本没有给分隔在内外部网络两边的计算机直接会话的机会，可以避免入侵者使用“数据驱动”攻击方式（一种能通过包过滤技术防火墙规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的恶意代码）渗透内部网络，可以说，“应用代理”是比包过滤技术更完善的防火墙技术。

但是，似乎任何东西都不可能逃避“墨菲定律”的规则，代理型防火墙的结构特征偏偏正是它的最大缺点，由于它是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，换个形象的说法，每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路，而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，然而到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能就会因此瘫痪了。所以，代理防火墙的普及范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件，所以就目前整个庞大的软件防火墙市场来说，代理防火墙很难有立足之地。

3.状态监视技术

这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是checkpoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（deep packet inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。

“状态监视”（stateful inspection）技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（session filtering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数据包就被拦截，而且会话状态的保留是有时间

河北大学人民武装学院

限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施（市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已）。

河北大学人民武装学院

四、技术展望

在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术，优势将得到越来越多的体现，UTM（UnifiedThreatManagement，统一威胁管理）技术应运而生。

从概念的定义上看，UTM既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念；而从后半部分来看，UTM的概念还体现了经过多年发展之后，信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。

由于UTM设备是串联接入的安全设备，因此UTM设备本身必须具备良好的性能和高可靠性，同时，UTM在统一的产品管理平台下，集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体，实现了多种防御功能，因此，向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。

（1）网络安全协议层防御。防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用，实现七层协议的保护，而不仅限于第二到第四层。

（2）通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高，将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出，但是目前全世界对IPS的部署非常有限，影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率，针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击等，从而显著降低误报率。

（3）有高可靠性、高性能的硬件平台支撑。

（4）一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进行组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络安全。

河北大学人民武装学院

结

论

随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

河北大学人民武装学院

谢

辞

在此我要感谢我的专业老师，是你的细心指导和关怀，使我能够顺利的完成毕业论文。在我的学业和论文的研究工作中无不倾注着老师辛勤的汗水和心血。老师的严谨治学态度、渊博的知识、无私的奉献精神使我深受启迪。从尊敬的老师身上，我不仅学到了扎实、宽广的专业知识，也学到了做人的道理。在此我要向我的老师致以最衷心的感谢和深深的敬意。

河北大学人民武装学院

参考文献

[1] 杨峰,张浩军.信息战与计算机网络攻防.北京市：北京邮电大学出版

社，2011年，115~134页。

[2] 贺雪晨.黑客入侵分析与防范.北京市：清华大学出版社，2012年，58

页。

[3] 伍俊良.计算机网络安全与对抗.北京市：清华大学出版社,2013年，98~105页。

[4] 王淑红.网络安全.北京市：机械工业出版社,2012年，57~89页。