防火墻技術的研究

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻技術的研究范文，相信會為您的寫作帶來幫助，發(fā)現更多的寫作思路和靈感。

防火墻技術的研究范文第1篇

關鍵詞：因特網；網絡安全；計算機防火墻技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 16-0000-02

計算機防火墻是一種獲取安全性方法的形象說法，它由硬件設備和軟件組合而成、在專用網絡和公共網絡之間、內部網絡和外部網絡之間的界面上構造一個保護屏障，使得不同的網絡之間建立一個安全網關，以保護內部專門網絡，使其免受非法用戶的入侵[1]。

計算機防火墻的主要功能有：過濾掉不安全服務和非法用戶[2]；控制對特殊站點的訪問；提供監(jiān)視Internet安全和預警的方便端點。其功能主要體現在訪問控制，內容控制，全面的日志；集中管理，自身的安全和可用性；流量控制，NAT，VPN等方面。

目前防火墻技術正在朝著智能化和分布化的方向發(fā)展，其中智能防火墻技術對數據的識別是通過利用記憶、概率、統(tǒng)計和決策的智能方法來進行的，以實現訪問控制。智能防火墻采用新的數學方法，消除了匹配檢查所需要的海量計算，高效發(fā)現網絡行為的特征值，直接進行訪問控制，可以很好的解決目前存在的網絡安全問題。智能防火墻技術是計算機防火墻技術發(fā)展的必然趨勢[3，4]。

1 計算機防火墻的分類及其原理

計算機防火墻根據工作機制的不同可分為包過濾防火墻、應用型防火墻、網絡地址翻譯及復合型防火墻。

1.1 包過濾防火墻

包過濾防火墻技術中預先設定有包過濾規(guī)則，包過濾防火墻工作在網絡層，接收到的每個數據包都要同包過濾規(guī)則進行比較，然后決定該數據包是通過還是阻塞。

包過濾防火墻又分為無狀態(tài)包過濾和有狀態(tài)檢查包過濾。無狀態(tài)包過濾防火墻是最原始的防火墻，它是根據每個包頭部的信息來決定是否要將包繼續(xù)傳輸，從而增強安全性。其安全程度相對較低，它的內部網絡很容易暴露，進而容易遭受攻擊。在通信中，無法維持足夠的信息來決定是否應該放棄這個包，因為任何一條不完善的過濾規(guī)則都會給網絡黑客可乘之機。但是有狀態(tài)檢查包過濾其可以記住經過防火墻的所有通信狀態(tài)，并依據其記錄下來的狀態(tài)信息數據包的允許與否。動態(tài)包過濾防火墻是目前最流行的防火墻技術。

1.2 應用型防火墻

是指服務器利用偵聽網絡內部客戶的服務請求，然后將這些請求發(fā)到外部的網絡中；當服務器從公共服務器處接收到響應后，其再將響應返回給原始的客戶，其與原始的公共服務器所起的作用是一樣的[3]。

應用級技術采用在OSI的最高層檢查每一個IP包，進而獲得安全策略。應用技術雖然在一定程度上保證了網絡的安全，但是它對每一種服務都需要，且它工作在協議棧高層，執(zhí)行效率明顯降低，有時會成為網絡的瓶頸。

1.3 網絡地址翻譯

網絡地址翻譯將專用網絡中的ip地址轉換成在因特網上使用的全球唯一的公共ip地址。盡管最初設計nat的目的是為了增加在專用網絡中可使用的ip地址數，但是它有一個隱蔽的安全特性，如內部主機隱蔽等。這在一定程度上保證了網絡安全。nat實際上是一個基本的，一個主機代表內部所有主機發(fā)出請求，并代表外部服務器對內部主機進行響應等。但nat工作在傳輸層，因此它還需要使用低層和高層服務來保證網絡的安全。

1.4 復合型防火墻

出于更高安全性的要求，有些開發(fā)商常把包過濾的方法與應用的方法結合起來，開發(fā)出復合型的防火墻產品，這種復合型的防火墻用以下兩種方式實現網絡安全維護功能：（1）通過屏蔽主機防火墻體系結構，使分組過濾路由器或防火墻與互聯網相連，同時在內部網絡安裝一個堡壘機，利用對過濾規(guī)則的設置，使堡壘機成為互聯網上其他網絡訪問所能到達的唯一節(jié)點，確保內部網絡不受未授權的外部用戶的攻擊。（2）通過屏蔽子網防火墻體系結構，將堡壘機安裝在一個內部子網內，同時在這一子網的兩端安裝兩個分組過濾路由器，使這一子網與互聯網及內部網絡分離，進而確保這一子網不受未授權的外部用戶的攻擊。在結構中，堡壘機和分組過濾路由器共同構成了整個屏蔽子網防火墻體系的安全基礎。

2 常見網絡攻擊方式及網絡安全策略

2.1 網絡攻擊方式

2.1.1 病毒

盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能，但仍然很難將所有的病毒阻止于網絡之外，黑客欺騙用戶下載某個程序，從而使惡意代碼進入到計算機內網。應對策略：設置網絡安全等級，對于未經安全檢測的下載程序，嚴格阻止其任務執(zhí)行[5]。

2.1.2 口令字

窮舉與嗅探是口令字的兩種攻擊方式。窮舉是通過外部網絡的攻擊對防火墻的口令字進行猜測。嗅探通過監(jiān)測內部網絡來獲取主機給防火墻的口令字。應對策略：通過設計使主機和防火墻通過單獨接口進行通信或是采用一次性口令等。

2.1.3 郵件

借助郵件進行的網絡攻擊方式日益明顯，垃圾郵件的制造者通過復制方式，把一條消息變成幾百幾萬份消息，并將其發(fā)送到很多人，當郵件被收到并打開時，惡意代碼便進入到計算機系統(tǒng)。應對策略：打開防火墻上的過濾功能，在內網主機上采取相應阻止措施。

2.1.4 IP地址

黑客通過利用與內部網絡相似的IP地址，能夠避開服務器的檢測，從而進入到內部網進行攻擊。應對策略：打開內核的rp_filter功能，把具有內部地址但是是來自網絡外部的數據包全部丟棄；同時把IP地址和計算機的MAC綁定，擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問[5]。

2.2 網絡安全策略

2.2.1物理安全策略

物理安全策略的目的有：（1）保護計算機、服務器、打印機等硬件設備與通信鏈路不受到人為破壞與搭線攻擊等。（2）驗證用戶身份與使用權限，防止越權操作。（3）為計算機系統(tǒng)提供良好的工作環(huán)境。（4）建立安全管理制度，防止發(fā)生非法進入計算機控制室以及偷竊破壞活動等[6]。

目前，物理安全的防護措施主要有：（1）傳導發(fā)射進行防護。如：在信號線與電源線上加裝濾波器，使導線與傳輸阻抗間的交叉耦合減到最小。（2）對輻射進行防護。主要采取電磁屏蔽措施與干擾措施，在計算機系統(tǒng)工作時，通過利用屏蔽裝置或者干擾裝置來產生一種噪聲，該噪聲輻射到空中，能夠掩蓋計算機系統(tǒng)的信息特征與工作頻率。

2.2.2 訪問控制策略

作為最重要的網絡安全策略之一，訪問控制是確保網絡安全運行的技術策略，其主要任務是指保護網絡資源不被非常訪問和非法使用。防火墻技術就是網絡安全訪問控制策略在實踐中主要的應用。

2.2.3 網絡安全管理策略

為了保證網絡安全，除了采用物理安全策略和訪問控制策略之外，加強網絡的安全管理，制訂有關規(guī)章制度，對于確保網絡安全、可靠地運行，能起到十分有效的作用。

3 結論

隨著互聯網網絡技術的快速發(fā)展，網絡安全方面的問題必將引起人們越來越多的重視。計算機防火墻技術是用來維護網絡安全的一種重要措施和手段，它主要作用是：拒絕未經授權的用戶訪問相關數據，阻止未經授權的用戶存儲或下載敏感數據，同時也要確保合法用戶訪問網絡資源不受影響。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統(tǒng)免受侵擾和破壞。相信，隨著新的計算機安全問題的出現和科學技術的進一步發(fā)展，計算機防火墻也將獲得進一步的改進。

參考文獻：

[1] Richard Tibbs， Edward Oakes. 防火墻與VPN原理與實踐[M].清華大學出版社，2008.

[2]閻慧.防火墻原理與技術[M].機械工業(yè)出版社，2004.

[3]王艷.淺析計算機安全[J].電腦知識與技術，2010，5：1054-1055.

[4]欒江.計算機防火墻發(fā)展現狀及應用前景[J].信息與電腦，2010，6：17.

[5]周立.計算機防火墻技術原理分析及應用展望[J].硅谷，2008，10：49-50.

防火墻技術的研究范文第2篇

關鍵詞：防火墻 入侵檢測 聯動

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2015）05-0000-00

1 技術簡介

（1）防火墻技術 防火墻是在內部網絡與外部網絡之間實施安全防范的系統(tǒng)，是一種訪問控制機制。通常安裝在被保護的內部網與互聯網的連接點上，從互聯網或從內部網上產生的活動都必須經過防火墻，如電子郵件、文件傳輸、遠程登錄或其他的特定活動等。它通過建立一整套規(guī)則和策略來監(jiān)測、限制、轉換跨越防火墻的數據流，實現保護內部網絡的目的。

（2）入侵檢測系統(tǒng) 入侵檢測系統(tǒng)是一個能夠對網絡或計算機系統(tǒng)的活動進行實時監(jiān)控的系統(tǒng)，它能夠發(fā)現并報告網絡或系統(tǒng)中存在的可疑跡象，為網絡管理員及時采取對策提供有價值的信息。

2 防火墻與入侵檢測系統(tǒng)聯動的原理

防火墻是遏制攻擊的一種手段，但它存在一些明顯的不足：一是防火墻保護的是網絡邊界安全，對網絡內部主動發(fā)起的攻擊行為無法阻止。二是防火墻是根據靜態(tài)的策略進行訪問檢查，根據管理員定義的過濾規(guī)則對進出網絡的信息流進行過濾和控制的，無法根據情況的變化進行動態(tài)調整，對于隱藏于正常訪問后的網絡攻擊卻無能為力，因為防火墻不能正確識別這種攻擊。三是正確配置防火墻訪問規(guī)則比較困難。

聯動本質上是安全產品之間一種信息互通的機制，其理論基礎是：安全事件的意義不是局部的，將安全事件及時通告給相關的安全系統(tǒng)， 有助于從全局范圍評估安全事件的威脅，并在適當的位置采取動作。只要在某個節(jié)點發(fā)生了安全事件，無論是一個簡單系統(tǒng)捕捉到的原始事件，還是一些具有分析能力的系統(tǒng)“判斷”出來的，它都可能需要將這個事件通過某種機制傳遞給相關的系統(tǒng)，因此“聯動”是安全產品間實現互操作的一種表現。聯動系統(tǒng)具有幾種基本特性：一是有效性，針對具體的入侵行為，聯動采取的響應措施應該能夠有效阻止入侵的延續(xù)和最大限度降低系統(tǒng)損失；二是及時性，要求系統(tǒng)能夠及時地采取有效響應措施，盡最大可能地縮短從入侵發(fā)現到響應執(zhí)行的時間；三是合理性，響應措施的選擇應該在技術可行的前提下，綜合考慮法律、道德、制度、代價、資源約束等因素，采用合理可行的響應措施；四是安全性，聯動系統(tǒng)的作用在于保護網絡及主機免遭非法入侵，顯然它自身的安全性是最基本的要求。

總之，防火墻與入侵檢測系統(tǒng)進行聯動就是為了實現動、靜結合，防火墻提供靜態(tài)防護，而入侵檢測系統(tǒng)提供動態(tài)防護。因此防火墻和入侵檢測系統(tǒng)的結合，構建一個動態(tài)的防御體系，將一切已知的可能的攻擊行為進行阻斷，給網絡帶來全面的防護。

3 防火墻與入侵檢測系統(tǒng)聯動在內網中的實現

（1）網絡結構 防火墻和入侵檢測系統(tǒng)在單位內網中的部署如圖1 所示。

當防火墻和入侵檢測系統(tǒng)實現聯動后，若單位內網的用戶區(qū)域有攻擊行為發(fā)生時，入侵檢測系統(tǒng)會檢測到該攻擊行為，馬上通知防火墻，防火墻會阻斷該攻擊行為，以確保服務器區(qū)及整個網絡的數據信息安全。

（2） 聯動系統(tǒng)的功能模塊 聯動系統(tǒng)由入侵檢測、聯動控制和防火墻三大模塊組成，總體框架如圖2 所示。當數據流經過防火墻過濾后，進入內網，入侵檢測系統(tǒng)將其捕獲，然后經過解碼、預處理，再交由檢測引擎進行檢測。檢測引擎將當前數據與已初始化的規(guī)則鏈進行匹配，當檢測到有匹配數據時，即檢測到攻擊行為，交給聯動控制模塊。聯動控制模塊判斷是否需要聯動，若需要，則啟動防火墻接口組件改變防火墻過濾規(guī)則，進行實時阻斷。

聯動系統(tǒng)主要由如下功能模塊組成：①IDS接口組件。它主要用于統(tǒng)一入侵檢測系統(tǒng)報警格式。它負責將不同的報警格式翻譯為聯動系統(tǒng)所能理解的統(tǒng)一格式，使系統(tǒng)具有良好的擴展性。②聯動控制模塊。該模塊是聯動系統(tǒng)的核心，由分析組件、策略日志、策略響應組件和策略響應信息庫組成。當IDS接口組件把轉換為統(tǒng)一格式的入侵信息傳遞到分析組件后，該組件調用策略日志的入侵檢測系統(tǒng)可信性數據，包括誤報/漏報率等信息，根據這些信息生成可信性矩陣，判斷是否需要聯動。若需要，則提交給策略響應組件，此組件從策略響應信息庫中選擇具體響應策略并將其傳給防火墻接口組件。在此過程中，首先制定一個初步的響應策略并執(zhí)行實現聯動。但是開始時的響應策略未必是最優(yōu)響應，通過評估響應策略，并把響應策略的不同響應效果存儲于響應策略信息庫中，當系統(tǒng)遇到相同類型入侵時就可以調用具有最佳響應效果的策略并執(zhí)行，使系統(tǒng)能夠隨著運行時間的增長而逐漸提高抗入侵能力，實現系統(tǒng)的自適應性。③防火墻接口組件。它主要負責接收策略響應組件發(fā)來的信息，生成新的防火墻規(guī)則，引起防火墻動作。其設計重點是正確修改防火墻規(guī)則集，防止防火墻規(guī)則集自身產生異常或隱患。防火墻技術的基礎是包過濾技術，其依據就是一條條的防火墻規(guī)則，將通過防火墻的數據包與防火墻規(guī)則集中的規(guī)則逐條比較，遇到匹配規(guī)則就按規(guī)則中定義的動作處理，若沒有匹配規(guī)則則按防火墻缺省策略處理。這就意味著配置防火墻規(guī)則時必須謹慎處理防火墻規(guī)則的順序以及它們之間的關系，未經正確性檢驗的規(guī)則集中很可能含有無效規(guī)則甚至沖突規(guī)則，從而導致預期的安全目標不能實現。既然需要通過聯動修改防火墻規(guī)則，防火墻接口就必須正確地修改防火墻規(guī)則，確保對防火墻的修改不會與其現有的策略產生沖突。目前防火墻接口組件主要著眼于解決接收入侵信息并將其翻譯為防火墻可以理解的規(guī)則，然后發(fā)送給防火墻進行相應處理。

（3）聯動在單位內網中的實施過程 防火墻與入侵檢測系統(tǒng)之間的聯動主要是通過開放接口來實現，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的SSL協議進行通信，完成網絡安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。

①防火墻的聯動配置 根據單位內網的網絡安全需求配置好了訪問策略，對不同區(qū)域之間的訪問進行了控制。防火墻根據這些定義的策略對網絡的信息流進行過濾和控制，但對于隱藏于正常訪問后的網內主動發(fā)起的攻擊卻無法識別，因此需要和入侵檢測系統(tǒng)進行聯動，通過入侵檢測系統(tǒng)及時發(fā)現其策略之外的攻擊行為，通知防火墻進行訪問控制，以保證網內的信息安全。

防火墻聯動的配置過程為：在防火墻管理器中選擇“入侵防御”的“IDS聯動”菜單，將彈出“IDS聯動配置”對話框，在對話框里輸入防火墻和入侵檢測系統(tǒng)的IP地址后將自動生成一個聯動密鑰文件，然后將防火墻產生的密鑰保存為.key文件，以便將該密鑰導入到入侵檢測系統(tǒng)中去。②入侵檢測系統(tǒng)的聯動配置 入侵檢測系統(tǒng)由管理控制中心、網絡引擎和顯示中心組成。管理控制中心主要是進行用戶、組件、多級、策略任務、系統(tǒng)更新、日志維護等方面的管理。網絡引擎是由策略驅動的網絡監(jiān)聽和分析系統(tǒng)，采用旁路偵聽方式全面?zhèn)陕牼W上信息流，進行實時分析，將分析結果與網絡引擎上運行的策略集相匹配，執(zhí)行報警、阻斷、日志等功能，完成對控制中心指令的接收和響應工作。顯示中心主要是進行入侵事件定位、入侵風險評估、流量監(jiān)測等。入侵檢測系統(tǒng)的聯動配置過程為：在“組件管理”中選擇“聯動設置”，將彈出“聯動信息設置”的對話框，在對話框中輸動的防火墻設備名稱、IP地址及端口號，然后將防火墻自動生成的密鑰文件導入，與防火墻的聯動配置完成。入侵檢測系統(tǒng)時時對單位內網的各種事件進行著監(jiān)測。侵檢測系統(tǒng)和防火墻進行了聯動后，當它檢測到單位內網防火墻策略之外的攻擊行為的時候，就會馬上通知防火墻，防火墻立即會對該行為進行阻斷，增強了網絡的安全防御能力。

4 結語

綜上所述，防火墻和入侵檢測系統(tǒng)的功能特點和局限性決定了它們彼此非常需要對方，且不可能相互取代，防火墻側重于控制，而入侵檢測系統(tǒng)則側重于主動發(fā)現入侵的信號。防火墻不能檢測出攻擊行為，對單位內網內部主動發(fā)起的攻擊行為無法阻止，一些攻擊會利用防火墻合法的通道進入網絡。而入侵檢測系統(tǒng)檢測到攻擊行為，如不能及時有效地阻斷或者過濾，這種攻擊行為仍將對單位內網內部安全造成危害。因此，防火墻和入侵檢測系統(tǒng)之間十分合適建立緊密的聯動關系，以將兩者的能力充分發(fā)揮出來，相互彌補不足，相互提供保護。從信息安全整體防御的角度出發(fā)，這種聯動是十分必要的，它能夠極大地提高單位內網安全體系的防護能力。

參考文獻

防火墻技術的研究范文第3篇

關鍵詞：IPv6；分布式防火墻 ；Linux

引言

隨著Internet的快速發(fā)展，網絡安全問題是人們最為關注的問題，基于IPv4協議邊界式防火墻存在著日益突出的問題，主要體現在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問題。邊界式防火墻在保護企業(yè)內部網絡的情況下，確實是一種有效的網絡安全技術，而隨著網絡應用規(guī)模的日益擴大，它的缺陷也不斷呈現出來，很難實現網絡的安全性和網絡性能的均衡性。為了彌補IPv4和傳統(tǒng)邊界式防火墻的缺陷性及網絡安全性等問題，此文提出了基于Linux的IPv6分布式防火墻網絡體系架構的設計與實現。IPv6作為下一代互聯網的基礎協議存在很多優(yōu)勢。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問題，并且在安全性、移動性以及QoS等方面有著強有力的支持，IPv6協議由于包頭設計得更加合理，使得路由器在處理數據包時更加快捷。此外，IPv6將IPSec集成到了協議內部，使得IPSec不再單獨存在等等。

1 分布式防火墻網絡體系結構

1.1分布式防火墻技術

分布式防火墻分為安全策略管理服務器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務器主要負責安全策略、用戶、日志、審計等管理作用。該服務器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負責管理系統(tǒng)日志、多主機的統(tǒng)一管理，使終端用戶“零”負擔。客戶端防火墻主要作用于各個服務器、工作站、個人計算機上，按照安全策略文件的內容，必須通過包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢測，保護計算機在正常情況下連接網絡時不會受到黑客惡意的入侵與攻擊，從而大大提高了網絡安全性能。多臺基于主機但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中，安全策略仍然被集中定義，但是在每一個單獨的網絡端點（如主機、路由器）上實施。

分布式防火墻包括安全策略語言、安全策略機制及應用、實施安全策略機制。安全策略的法則嚴格地規(guī)定了允許通過的通訊文件和禁止通過的通訊的文件，它可以在多種類型的情況下應用，還必須有權利委派和身份鑒別的功能。策略制定之后就可以至網絡端點上去了。在傳輸過程中，策略系統(tǒng)必須保證策略法則的完整性、真實性。策略有多種形式，可以直接“推”到終端系統(tǒng)上，可以由終端按照需求截取，也可以提供給用戶（以證書的形式）。策略實施機制系統(tǒng)在主機上，在處理進出的通訊之前，它需要查詢本地策略才能做出允許或者禁止的決定。

1.2分布式防火墻體系架構

圖1分布式防火墻體系架構

針對邊界式防火墻的缺陷，提出了“分布式防火墻”（Distributed Firewalls）作為新的防火墻體系結構，因為它主要負責網絡邊界、每個子網和網絡內部每一個節(jié)點之間的安全防護，所以分布式防火墻為一個完整的體系，而不僅僅是單一的產品。依據它所需完成的功能，包括三部分：網絡防火墻（Network Firewall）、主機防火墻（Host Firewall）、中心管理（Central Managerment），如圖1所示。

（1）網絡防火墻（Network Firewall）

網絡防火墻一般是純軟件方式，有時候需要硬件的支持。它作用于外部網與內部網之間，及內部網下各個小子網之間的防護，這也是與傳統(tǒng)邊界式防火墻不同之處，這樣以來整個網絡的安全防護體系就會更加全面、可靠。

網絡防火墻包括入侵檢測模塊、防火墻模塊和管理模塊。入侵檢測模塊所用的是snort_inLine，防火墻模塊在Linux環(huán)境下所用的是基于Netfilter框架的Iptables，為了使網絡防火墻更好的安全防護整個網絡，防火墻模塊和入侵檢測模塊內嵌式互動，防火墻實時截取網絡數據包，假如是信賴的網段或主機的數據包，就直接通過網絡防火墻，減少入侵檢測系統(tǒng)的匹配次數；如果不是，數據包通過內核態(tài)至用戶態(tài)，入侵檢測系統(tǒng)接收到數據包再檢測，如果發(fā)現入侵，就通知防火墻截斷，如果沒有發(fā)現入侵，就依照防火墻配置的法則處理。管理模塊包含數據發(fā)送程序(向管理中心發(fā)送防火墻和入侵檢測系統(tǒng)日志)、數據接受程序(接受管理中心發(fā)放的法則)兩部分，數據發(fā)送程序的作用是：先與自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數據發(fā)送，直到文件完成。數據接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（2）主機防火墻（Host Firewall）

與網絡防火墻的設計一樣，主要對網絡中的服務器和桌面機進行防護，這是在邊界式防火墻安全體系方面的改進。它主要作用于同一內部子網之間的工作站與服務器之間，來確保內部網絡服務器的安全，這樣就安全防護應用層了，比起網絡層來更加全面。

主機防火墻由防火墻模塊、主機管理模塊組成，防火墻模塊在Linux環(huán)境下用的是基于Netfilter框架的Iptables，按照管理中心的安全策略過濾數據包；主機管理模塊包括數據發(fā)送程序(向管理中心發(fā)送日志)、數據接受程序(接受管理中心發(fā)放的法則)兩部分，數據發(fā)送程序的作用是：先與自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數據發(fā)送，直到文件完成。數據接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（3）管理中心（Managerment Central）

它作為服務器軟件，主要負責總體安全策略的策劃、管理、分發(fā)及日志的匯總，還有遠程管理、系統(tǒng)設置、系統(tǒng)安全等其它輔助功能。它也是在邊界式防火墻功能的一個完善。它具有智能管理的功能，提高了防火墻的安全防護靈活性、管理性。網絡防火墻和主機防火墻把日志發(fā)送給日志分析系統(tǒng)之后保存到日志文件之中，網絡管理維護中心發(fā)放法則給網絡防火墻和主機防火墻，管理中心與主機防火墻和邊界防火墻之間的通信必須通過身份驗證之后運用openssH數據安全通道加密通訊，這樣管理中心與主機防火墻和網絡防火墻的通信才會更加安全。此外管理中心還有用戶圖形界面(GUI)功能，負責管理網絡中的所有端點、制定和分發(fā)安全策略，而且要分析從主機防火墻、網絡防火墻接收的日志，依據分析的結果再修改安全策略。

2主機防火墻的設 計與實現

Linux廣泛地應用到世界各地服務器網絡當中，由于它是開源的。Linux版本2.4內核中已采用了Netfilter的防火墻框架，而且內核中還支持IPv6協議棧。所以此文采用Linux作為目標環(huán)境下的系統(tǒng)的開發(fā)和運行平臺。

2.1主機管理模塊

主機管理模塊包括數據發(fā)送程序(向管理中心發(fā)送日志)、數據接受程序(接受管理中心發(fā)放的法則)兩部分，數據發(fā)送程序的作用：首先要跟自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數據再發(fā)送，直到文件完成。數據接受程序的作用：監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

2.2主機防火墻模塊

Linux版本2.4內核中集成了Netfilter框架，基于Linux平臺下，該框架具有新的網絡安全功能：網絡數據包過濾、狀態(tài)保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務：負責從用戶命令行界面接收命令之后轉化成內核認識的結構體，調用相應的內核操作函數，將法則插入到內核中去。運用Iptables，一定在編譯Linux內核時(版本一定比2.4大)選擇跟Netfilter相關的內核模塊。Netfilter作為內核空間的實現模塊，Iptables作為用戶空間的控制命令解析器，只有它們合起來才能完成整體的工作。因此首先必須對內核進行裁剪和編譯，選擇與Netfilter相關的項目，（位于“Networking options”子項下）。

Netfilter是由一系列基于協議棧的鉤子組成，這些鉤子都對應某一具體的協議。Netfilter支持IPv4、IPv6與IPx等協議，具有協議對應的鉤子函數。這些鉤子函數在數據包通過協議棧的幾個關鍵點時被調用，協議棧把數據包與鉤子標號作為參數傳遞給Netfilter鉤子；可以編寫內核模塊來注冊一個或多個鉤子，以掛鉤自己的處理函數，這樣當數據包被傳遞給某個鉤子時，內核就會依次調用掛鉤在這個鉤子上的每一個處理函數，這些處理函數就能對數據包進行各種處理（修改、丟棄或傳遞給用戶進程等）；接收到的數據包，用戶進程也可以對它進行各種處理。一個IPV6數據包在通過Netfilter防火墻框架時，它將經過如圖2所示的流程。

圖2 IPv6網絡數據包處理流程

每一個IPv6數據包經過Netfilter框架時，必須通過5個鉤子函數處理：

（1）HOOK1（NF_IP6_PRE_ROUTING），數據包在抵達路由之前經過這個鉤子。目前，在這個鉤子上只對數據包作包頭檢測處理，一般應用于防止拒絕服務攻擊和NAT；（2）HOOK2（NF_IP6_LOCAL_IN），目的地為本地主機的數據包經過這個鉤子。防火墻一般建立在這個鉤子上；（3）HOOK3（NF_IP6_FORWARD），目的地非本地主機的數據包經過這個鉤子；（4）HOOK4（NF_IP6_POST_ROUTING），數據包在離開本地主機之前經過這個鉤子，包括源地址為本地主機和非本地主機的；（5）HOOK5（NF_IP6_LOCAL_OUT），本地主機發(fā)出的數據包經過這個鉤子。

IP網絡數據包處理流程：數據報從左邊進入系統(tǒng)，進行IPv6校驗以后，數據報經過第一個鉤子NF_IP_PRE_ROUTING注冊函數進行處理；然后就進入路由代碼，其決定該數據包是需要轉發(fā)還是發(fā)給本機的；若該數據包是發(fā)被本機的，則該數據經過鉤子NF_IP6_LOCAL_IN注冊函數處理以后然后傳遞給上層協議；若該數據包應該被轉發(fā)則它被NF_IP6_FORWARD注冊函數處理；經過轉發(fā)的數據報經過最后一個鉤子NF_IP6_POST_ROUTING注冊函數處理以后，再傳輸到網絡上。

本地產生的數據經過鉤子函數NF_IP6_LOCAL_OUT注冊函數處理以后，進行路由選擇處理，然后經過NF_IP6_POST_ROUTI NG注冊函數處理以后發(fā)送到網絡上。

3 結論

針對本文設計的Linux環(huán)境下IPv6分布式防火墻的測試中，用兩臺IPv6主機對防火墻保護下的內網主機進行訪問，來測試防火墻。外網主機的環(huán)境一臺為WINXP,另一臺是Linux。通過對外網主機訪問記錄的驗證來檢測防火墻的性能。測試的實驗結果表明：系統(tǒng)都能按照規(guī)則對數據包進行處理，實現了IPv6分布式防火墻的功能。隨著網絡的不斷發(fā)展，傳統(tǒng)的邊界式防火墻的弊端越來越暴露出來了，Linux作為一種開放源代碼的操作系統(tǒng)，在世界各地有著廣泛的應用。Linux內核版本2.4中已經采用了Netfilter的防火墻框架，而且內核中已支持IPv6協議棧，而下一代通信協議IPv6是未來網絡發(fā)展的趨勢。本文在Linux環(huán)境下設計并實現了一個分布式防火墻具有重大意義。

參考文獻：

[1]范振岐.基于Linux的IPv6復合防火墻的設計[J].網絡安全技術與使用,2006,2:35-37.

[2]蔣雄偉.Linux下的分布式防火墻設計與實現:[碩士學位論文].南京:南京理工大學.2006.

[3]張科.IPv6防火墻狀態(tài)檢測技術的研究與實現:[碩士學位論文].重慶:重慶大學.2007.

[4]楊剛，陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計算機工程與設計，2007，(28):4124-4132.

[5]高鴻峰，王一波,傅光軒.Netfilter框架下IPv6防火墻的設計與實現[J].電子科技大學學報，2007，36(6):1427-1429.

防火墻技術的研究范文第4篇

關鍵詞： 防火墻 TCP/IP 網絡協議 校園網

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。IT術語中的防火墻是指隔離在本地網絡與外界網絡之間的一道防御統(tǒng)，是這一類防范措施的總稱。應該說，在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區(qū)域 （即Internet或有一定風險的網絡）與安全區(qū)域（局域網）的連接，同時不妨礙人們對風險區(qū)域的訪問。

2. Windows網絡協議的實現及操作系統(tǒng)的總體架構

2.1 Windows網絡協議的實現

網絡協議是網絡上所有設備（網絡服務器、計算機及交換機、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數網絡都采用分層的體系結構，每一層都建立在它的下層之上，為它的上一層提供一定的服務，而把如何實現這一服務的細節(jié)對上一層加以屏蔽。

2.2 Windows操作系統(tǒng)的總體架構

Microsoft Windows系列操作系統(tǒng)是在微軟給IBM機器設計MS-DOS的基礎上設計的圖形操作系統(tǒng)。現在的Windows系統(tǒng)，如Windows 2000、Windows XP皆是建立于現代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統(tǒng)上借用來的。

3. 防火墻發(fā)展研究

3.1防火墻體系結構

雙重宿主主機體系結構圍繞雙重宿主主機構筑。

3.2被屏蔽子網體系結構

被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡和外部網絡（通常是Internet）隔離開。

4.防火墻技術在校園網中的實現

這里，假定校園網通過Cisco路由器與CERNET相連。校園內的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email，WWW，FTP等服務器，可采用以下存取控制策略。

4.1對進入CERNET主干網的存取控制

校園網有自己IP地址，應禁止IP地址從本校路由器訪問CERNET。可用下述命令設置與校園網連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對網絡中心資源主機的訪問控制

網絡中心的DNS，Email，FTP，WWW等服務器是重要的資源，要特別保護，可對網絡中心所在子網禁止DNS，Email，WWW，FTP以外的一切服務。

4.3對校外非法網址的訪問

可通過計費系統(tǒng)獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。

5.結語

本文闡述了防火墻的體系結構及在校園網絡中的應用，并且介紹了網絡協議的實現與操作系統(tǒng)的總體架構。

參考文獻：

[1]黎連業(yè)， 張維 編著.防火墻及其應用技術[M]. 北京：清華大學出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網絡封包截獲技術[M].北京：電子工業(yè)出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術大全[M]. 北京：機械工業(yè)出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國水利水電出版社，2005.5，第一版.

防火墻技術的研究范文第5篇

1.1監(jiān)測型

監(jiān)測型防火墻在網絡安全保護中，表現出主動特性，主動阻斷網絡攻擊。此類防火墻的能力比較高，其在安全防護的過程中體現探測服務，主要探測網絡節(jié)點。節(jié)點處的攻擊較為明顯，有效探測到網絡內部、外部的所有攻擊，以免攻擊者惡意篡改信息，攻擊內網。監(jiān)測型防火墻在網絡安全中的應用效益較為明顯，成為防火墻的發(fā)展趨勢，提升網絡安全的技術能力，但是由于監(jiān)測型防火墻的成本高，促使其在網絡安全中的發(fā)展受到挑戰(zhàn)，還需借助技術能力提升自身地位。

1.2型

型屬于包過濾的演變，包過濾應用在網絡層，而型則服務于應用層，完成計算機與服務器的過程保護。型防火墻通過提供服務器，保護網絡安全，站在計算機的角度出發(fā)，型防火墻相當于真實服務器，對于服務器而言，型防火墻則扮演計算機的角色。型防火墻截取中間的傳輸信息，形成中轉站，通過與中轉的方式，集中處理惡意攻擊，切斷攻擊者可以利用的通道，由此外部攻擊難以進入內網環(huán)境。型防火墻安全保護的能力較高，有效防止網絡攻擊。

2.基于防火墻的網絡安全技術應用

結合防火墻的類型與技術表現，分析其在網絡安全中的實際應用，體現基于防火墻網絡安全技術的優(yōu)勢。防火墻在網絡安全中的應用主要以內外和外網為主，做如下分析：

2.1防火墻技術在內網中的應用

防火墻在內網中的位置較為特定，基本安置在Web入口處，保護內網的運行環(huán)境。內網系統(tǒng)通過防火墻能夠明確所有的權限規(guī)劃，規(guī)范內網用戶的訪問路徑，促使內網用戶只能在可控制的狀態(tài)下，實現運行訪問，避免出現路徑混淆，造成系統(tǒng)漏洞。防火墻在內網中的應用主要表現在兩方面，如：(1)認證應用，內網中的多項行為具有遠程特性，此類網絡行為必須在認證的約束下，才能實現準確連接，以免出現錯接失誤，導致內網系統(tǒng)面臨癱瘓威脅；(2)防火墻準確記錄內網的訪問請求，規(guī)避來自內網自身的網絡攻擊，防火墻記錄請求后生成安全策略，實現集中管控，由此內網計算機不需要實行單獨策略，在公共策略服務下，即可實現安全保護。

2.2防火墻技術在外網中的應用

防火墻在外網中的應用體現在防范方面，防火墻根據外網的運行情況，制定防護策略，外網只有在防火墻授權的狀態(tài)下，才可進入內網。針對外網布設防火墻時，必須保障全面性，促使外網的所有網絡活動均可在防火墻的監(jiān)視下，如果外網出現非法入侵，防火墻則可主動拒絕為外網提供服務。基于防火墻的作用下，內網對于外網而言，處于完全封閉的狀態(tài)，外網無法解析到內網的任何信息。防火墻成為外網進入內網的唯一途徑，所以防火墻能夠詳細記錄外網活動，匯總成日志，防火墻通過分析日常日志，判斷外網行為是否具有攻擊特性。近幾年，隨著網絡化的發(fā)展，外網與內網連接并不局限于一條路徑，所以在所有的連接路徑上都需實行防火墻保護，實時監(jiān)控外網活動。

3.防火墻技術在網絡安全的優(yōu)化措施

防火墻技術面對日益復雜的網絡發(fā)展，表現出低效狀態(tài)，出現部分漏洞，影響防火墻安全保護的能力。因此，為保障網絡安全技術的運行水平，結合防火墻的運行與發(fā)展，提出科學的優(yōu)化途徑，發(fā)揮防火墻網絡保護的優(yōu)勢。針對網絡安全中的防火墻技術，提出以下三點優(yōu)化措施：

3.1控制擁有成本

防火墻能力可以通過成本衡量，擁有成本成為防火墻安全保護能力的評價標準。控制防火墻的擁有成本，避免其超過網絡威脅的損失成本，由此即可體現防火墻的防護效益。如果防火墻的成本低于損失成本，表明該防火墻未能發(fā)揮有效的防護能力，制約了網絡安全技術的發(fā)展。

3.2強化防火墻自身安全

防火墻自身的安全級別非常明顯，由于其所處的網絡環(huán)境不同，促使其在安全保護方面受到影響。為加強防火墻的安全能力，規(guī)范配置設計，深入研究防火墻的運行實質，手動更改防護參數，排除防火墻自帶的漏洞。防火墻經過全面測試后才可投入網絡市場，但是因為防火墻的種類較多，所以其自身仍舊存在風險項目。強化防火墻的自身安全，才可提升網絡安全技術的防護性能。

3.3構建防火墻平臺

防火墻平臺能夠體現綜合防護技術，確保網絡防護的安全、穩(wěn)定。通過管理手段構建防火墻平臺，以此來保障網絡安全技術的能力，發(fā)揮防火墻預防與控制的作用。防火墻管理在平臺構建中占據重要地位，直接影響防火墻平臺的效益，有利于強化平臺防范水平。由此可見：防火墻平臺在網絡安全技術中具有一定影響力，保障防火墻的能力，促使防火墻處于優(yōu)質的狀態(tài)，安全保護網絡運行。

4.結束語