计算机网络安全与防火墙技术
来源:99网
计算机光盘软件与应用 2011年第l6期 Computer CD Software and Applications 工程技术 计算机网络安全与防火墙技术 齐雪明 (沈阳理工大学,沈阳摘110168) 要:防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的 基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packetfiltering),它的代表是在 筛选路由器上实现的防火墙功能;一种是基于代理技术(Proxy),它的代表是在应用层网关上实现的防火墙功能。 关冀词:网络安全;防火墙;分组过滤;代理 中图分类号:TP393 文献标识码:A 文章嫡号:1007—9599(2011)16—0087—02 Computer Network Security and Firewall Technology Qi Xueming (Shenyang Polytechnic University,Shenyang 1 1 01 68。China) Abstract:The core idea of ifrewall technology is in an insecure Interact environment to construct a relatively safe environmerat for the subnet.This article describes the basic concepts of firewall technology and system architecturc,discusses thefirewall to .achieve two main techniques:one is based on packet ifltering technology(Packet ̄tering),it is repr ̄ented Oil hte screening router ifrewall to achieve;a is based on agent technology(Proxy),it is represen ̄d in the application layer implemented On the gateway ifewalr1. Key-words:Network security;Firewall;Packet filtering;Agent 一、防火墙的概念 防火墙是用来实现一个组织机构的网络安全措旌的主要设 备。可以是一个或一组网络设备(计算机或路由器等),可用来在 两个或多个网络闻加强访问控制。它的实现有好多种形式,有些 2.筛选路由器和防火墙与OSI模型的关系 按照与OSI模型的关系将筛选路由器和防火墙进行比较。筛 选路由器的功能相当于OSI模型的网络层(IP协议)和传输层(TCP 协议)。防火墙常常被描述为网关,而网关应可以在OSI模型的所 实现还是很复杂的,但基本原理原理却很简单。可以把它想象成 有七个层次上执行处理功能。通常,网关在OSI模型的第七层(应 一对开关,一个开关用来阻止传输,另一个开关用来允许传输。 二、防火墙的基本构件和技术 用层)执行处理功能。对于大多数防火墙网关来说,也确实如此。 防火墙可以执行分组过滤功能,因为防火墙覆盖了网络层和 传输层。有些时候,筛选路由器也被称为分组过滤网关。使用“网 关”这一术语来称呼分组过滤设备可能有以下理由,即在传输层 根据TCP标志执行的过滤功能不属于路由器的功能,因为路由器 运行在OSI模型的网络层。在网络层以上运行的设备也被称为网 关。 (一)筛选路由器(Screening Router) 许多路由器产品都具有根据给定规则对报文分组进行筛选的 功能,这些规则包括协议的类型、特定协议类型的源地址和目的 地址字段以及作为协议一部分的控制字段,这种路由器被称为筛 选路由器。最早的Cisco路由器只能根据IP数据报头部内容进行 过滤,而目前的产品还可以根据TCP端口及连接建立的情况进行 过滤,而且在过滤语法上也有了一定改进。 1.识别危险区域 筛选路由器通过查看进入的分组来决定它们当中是否有可能 有害的分组。企业网络中的边界被称为安全环形防线。由于在 INTERNET上危险的“黑客”很多,确定一个危险区域是很有用的。 这个危险区域就是指通过INTERNET可以直接访问的所有具有 TcP/IP功能的网络。 INTERNET中的地区网、国家网和主干网都代表着一个危险区 域,在危险区域内的主机对于外来攻击的防范是很脆弱的。因此, (二)分组过滤(Packet Filtering)技术 筛选路由器可以采用分组过滤功能以增强网络的安全性。筛 选功能也可以由许多商业防火墙产品和一些类似于Karlbridge 的基于纯软件的产品来实现。但是,许多商业路由器产品都可以 被编程以用来执行分组过滤功能。许多路由器厂商,象Cisco、 Bay Networks、3COM、DEC、IBM等,他们的路由器产品都可以用 来通过编程实现分组过滤功能。 1.分组过滤和网络安全策略 分组过滤可以用来实现许多种网络安全策略。网络安全策略 必须明确描述被保护的资源和服务的类型、重要程度和防范对象。 网络安全策略的一个主要目标是向用户提供透明的网络服务 机制。由于分组过滤执行在OSI模型的网络层和传输层,而不是 在应用层,所以这种途径通常比防火墙产品提供更强的透明性。 我们曾经提到防火墙在OSI模型应用层上运行,在这个层次实现 的安全措施通常都不够透明。 (下转第86页) 我们当然希望把自己的网络和主机置于危险区域之外。然而,役 有相应的设备去拦截对自己网络的攻击,则危险区域将会延伸至 自己的网络上。筛选路由器就是这样一种设备,它可以用来减小 危险区域,从而使其不能渗透到我们网络的安全防线之内。筛选 路由器本身不能够消除危险区域。但它们可以极为有效地减小危 险区域。 一87—