網絡防火牆技術論文

網絡防火牆技術是互聯網中受人關注的重點網絡安全問題。下面就隨小編一起去閲讀網絡防火牆技術論文，相信能帶給大家幫助。

網絡防火牆技術論文一

[論文關鍵詞]

防火牆 網絡安全

[論文摘要]

在當今的計算機世界，因特網無孔不入。為應付“不健全”的因特網，人們創建了幾種安全機制，例如訪問控制、認證表，以及最重要的方法之一：防火牆。

隨着網絡技術的發展，因特網已經走進千家萬户，網絡的安全成為人們最為關注的問題。目前，保護內部網免遭外部入侵比較有效的方法為防火牆技術。

一、防火牆的基本概念

防火牆是一個系統或一組系統，在內部網與因特網間執行一定的安全策略，它實際上是一種隔離技術。

一個有效的防火牆應該能夠確保所有從因特網流入或流向因特網的信息都將經過防火牆，所有流經防火牆的信息都應接受檢查。通過防火牆可以定義一個關鍵點以防止外來入侵；監控網絡的安全並在異常情況下給出報警提示，尤其對於重大的信息量通過時除進行檢查外，還應做日誌登記；提供網絡地址轉換功能，有助於緩解IP地址資源緊張的問題，同時，可以避免當一個內部網更換ISP時需重新編號的麻煩；防火牆是為客户提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務等。

二、防火牆的技術分類

現有的防火牆主要有：包過濾型、代理服務器型、複合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火牆。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、協議類型、端口號等進行篩選。包過濾在網絡層進行。

代理服務器型（Proxy Service）防火牆通常由兩部分構成，服務器端程序和客户端程序。客户端程序與中間節點連接，中間節點再與提供服務的服務器實際連接。

複合型（Hybfid）防火牆將包過濾和代理服務兩種方法結合起來，形成新的防火牆，由堡壘主機提供代理服務。

各類防火牆路由器和各種主機按其配置和功能可組成各種類型的防火牆，主要有：雙宿主主機防火牆，它是由堡壘主機充當網關，並在其上運行防火牆軟件，內外網之間的通信必須經過堡壘主機；主機過濾防火牆是指一個包過濾路由器與外部網相連，同時，一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的惟一節點，從而確保內部網不受外部非授權用户的攻擊；加密路由器對通過路由器的信息流進行加密和壓縮，然後通過外部網絡傳輸到目的端進行解壓縮和解密。

三、防火牆的基本功能

典型的防火牆應包含如下模塊中的一個或多個：包過濾路由器、應用層網關以及鏈路層網關。

（一）包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數據報的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由表信息繼續轉發，否則，則丟棄之。

與服務相關的過濾，是指基於特定的服務進行包過濾，由於絕大多數服務的監聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務的連接，路由器只需將所有包含特定 TCP／UDP目標端口的包丟棄即可。

獨立於服務的過濾，有些類型的攻擊是與服務無關的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見此類網上攻擊僅僅藉助包頭信息是難以識別的，此時，需要路由器在原過濾規則的基礎附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應用層網關

應用層網關允許網絡管理員實施一個較包過濾路由器更為嚴格的安全策略，為每一個期望的應用服務在其網關上安裝專用的代碼，同時，代理代碼也可以配置成支持一個應用服務的某些特定的特性。對應用服務的訪問都是通過訪問相應的代理服務實現的，而不允許用户直接登錄到應用層網關。

應用層網關安全性的提高是以購買相關硬件平台的費用為代價，網關的配置將降低對用户的服務水平，但增加了安全配置上的靈活性。

（三）鏈路層網關

鏈路層網關是可由應用層網關實現的特殊功能。它僅僅替代TCP連接而無需執行任何附加的包處理和過濾。

四、防火牆的安全構建

在進行防火牆設計構建中，網絡管理員應考慮防火牆的基本準則；整個企業網的安全策略；以及防火牆的財務費用預算等。

（一）基本準則

可以採取如下兩種理念中的一種來定義防火牆應遵循的準則：第一，未經説明許可的就是拒絕。防火牆阻塞所有流經的信息，每一個服務請求或應用的實現都基於逐項審查的基礎上。這是一個值得推薦的方法，它將創建一個非常安全的環境。當然，該理念的不足在於過於強調安全而減弱了可用性，限制了用户可以申請的服務的數量。第二，未説明拒絕的均為許可的。約定防火牆總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基於逐項審查而被杜絕。當然，該理念的不足在於它將可用性置於比安全更為重要的地位，增加了保證企業網安全性的難度。

（二）安全策略

在一個企業網中，防火牆應該是全局安全策略的一部分，構建防火牆時首先要考慮其保護的範圍。企業網的安全策略應該在細緻的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

（三）構建費用

簡單的包過濾防火牆所需費用最少，實際上任何企業網與因特網的連接都需要一個路由器，而包過濾是標準路由器的一個基本特性。對於一台商用防火牆隨着其複雜性和被保護系統數目的增加，其費用也隨之增加。

至於採用自行構造防火牆方式，雖然費用低一些，但仍需要時間和經費開發、配置防火牆系統，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。

五、防火牆的侷限性

儘管利用防火牆可以保護內部網免受外部黑客的攻擊，但其只能提高網絡的安全性，不可能保證網絡的絕對安全。事實上仍然存在着一些防火牆不能防範的安全威脅，如防火牆不能防範不經過防火牆的攻擊。例如，如果允許從受保護的網絡內部向外撥號，一些用户就可能形成與Internet的直接連接。另外，防火牆很難防範來自於網絡內部的攻擊以及病毒的威脅。所以在一個實際的網絡運行環境中，僅僅依靠防火牆來保證網絡的安全顯然是不夠，此時，應根據實際需求採取其他相應的安全策略。

網絡防火牆技術論文二

論文導讀：

影響計算機網絡安全的因素很多。而防火牆是一種保護計算機網絡安全的技術性措施。使用單防火牆和單子網保護多級應用系統的網絡結構。欺騙，論文參考，計算機網絡安全與防火牆技術。

關鍵詞：

計算機網絡安全，防火牆，單子網，arp欺騙

影響計算機網絡安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網絡系統資源的非法使有。這些因素可以大體分類為：計算機病毒、人為的無意失誤、人為的惡意攻擊、網絡軟件的缺陷和漏洞、物理安全問題。

而防火牆是一種保護計算機網絡安全的技術性措施，所謂“防火牆”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。

1. 非法攻擊防火牆的基本“招數”

通常情況下, 有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴，雖説成功與否尚取決於機遇等其他因素，但對攻擊者而言很值得一試。下面以數據包過濾防火牆為例，簡要描述可能的攻擊過程。

通常主機A與主機B 的TCP 連接(中間有或無防火牆) 是通過主機A向主機B 提出請求建立起來的，而其間A和B 的'確認僅僅根據由主機A 產生並經主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack)，使得信賴主機處於“自顧不暇”的忙碌狀態,相當於被切斷,這時目標主機會認為信賴主機出現了故障，只能發出無法建立連接的RST 包，而無暇顧及其他。

攻擊者最關心的是猜測目標主機的ISN。為此，可以利用SMTP的端口(25),通常它是開放的，郵件能夠通過這個端口，與目標主機打開(Open)一個TCP 連接，因而得到它的ISN。在此有效期間，重複這一過程若干次，以便能夠猜測和確定ISN的產生和變化規律，這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發出連接請求。請求發出後，目標主機會認為它是TCP 連接的請求者，從而給信賴主機發送響應(包括SYN)，而信賴主機目前仍忙於處理Flood淹沒攻擊產生的“合法”請求，因此目標主機不能得到來自於信賴主機的響應。現在攻擊者發出回答響應,並連同預測的目標主機的ISN一同發給目標主機，隨着不斷地糾正預測的ISN，攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法用户的身份登錄到目標主機而不需進一步的確認。論文參考，arp欺騙。。如果反覆試驗使得目標主機能夠接收對網絡的ROOT 登錄，那麼就可以完全控制整個網絡。

2. 單防火牆和單子網

由於不同的資源存在着不同的風險程度，所以要基於此來對網絡資源進行劃分。這裏的風險包含兩個因素: 資源將被妥協的可能性和資源本身的敏感性。例如：一個好的Web 服務器運行CGI 會比僅僅提供靜態網頁更容易得到用户的認可，但隨之帶來的卻是Web 服務器的安全隱患。網絡管理員在服務器前端配置防火牆,會減少它全面暴露的風險。數據庫服務器中存放有重要數據,它比Web 服務器更加敏感,因此需要添加額外的安全保護層。

使用單防火牆和單子網保護多級應用系統的網絡結構，這裏所有的服務器都被安排在同一個子網，防火牆接在邊界路由器與內部網絡之間，防禦來自Internet 的網絡攻擊。論文參考，arp欺騙。。在網絡使用和基於主機的入侵檢測系統下，服務器得到了加強和防護，這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的，但它們並沒有明顯的顯示在圖表中。

在這種設計方案中，所有服務器都安排在同一個子網，用防火牆將它們與Internet 隔離，這些不同安全級別的服務器在子網中受到同等級的安全保護。儘管所有服務器都在一個子網,但網絡管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火牆和單子網保護服務器的方案系統造價便宜，而且網絡管理和維護比較簡單，這是該方案的一個重要優點。因此, 當進一步隔離網絡服務器並不能從實質上降低重要數據的安全風險時，採用單防火牆和單子網的方案的確是一種經濟的選擇。

3. 單防火牆和多子網

如果遇見適合劃分多個子網的情況，網絡管理員可以把內部網絡劃分成獨立的子網，不同層的服務器分別放在不同的子網中，數據層服務器只接受中間層服務器數據查詢時連接的端口，就能有效地提高數據層服務器的安全性，也能夠幫助防禦其它類型的攻擊。論文參考，arp欺騙。。這時，更適於採用一種更為精巧的網絡結構———單個防火牆劃分多重子網結構。單個防火牆劃分多重子網的方法就是在一個防火牆上開放多個端口，用該防火牆把整個網絡劃分成多個子網，每個子網分管應用系統的特定的層。管理員能夠在防火牆不同的端口上設置不同的安全策略。

使用單個防火牆分割網絡是對應用系統分層的最經濟的一種方法，但它並不是沒有侷限性。邏輯上的單個防火牆，即便有宂餘的硬件設備，當用它來加強不同安全風險級別的服務器的安全策略時，如果該防火牆出現危險或錯誤的配置，入侵者就會獲取所有子網包括數據層服務器所在的最敏感網絡的訪問權限。而且，該防火牆需要檢測所有子網間的流通數據，因此，它會變成網絡執行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設計方案———多個防火牆劃分多個子網的方法，來消除這種缺陷。

欺騙對策

各種網絡安全的對策都是相對的，主要要看網管平時對網絡安全的重視性了。下面介始一些相應的對策：

在系統中建立靜態ARP表，建立後對本身自已係統影響不大的，對網絡影響較大，破壞了動態ARP解析過程。論文參考，arp欺騙。。靜態ARP協議表不會過期的，我們用“arp–d”命令清除ARP表，即手動刪除。論文參考，arp欺騙。。但是有的系統的靜態ARP表項可以被動態刷新，如Solaris系統，那樣的話依靠靜態ARP表項並不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態ARP表項不會自動超時消失。論文參考，arp欺騙。。 在相對系統中禁止某個網絡接口做ARP解析(對抗ARP欺騙攻擊)，可以做靜態ARP協議設置(因為對方不會響應ARP請求報文)如：arp .X 08-00-20-a8-2e-ac。 在絕大多數操作系統如：Unix、BSD、NT等，都可以結合“禁止相應網絡接口做ARP解析”和“使用靜態ARP表”的設置來對抗ARP欺騙攻擊。而Linux系統，其靜態ARP表項不會被動態刷新，所以不需要“禁止相應網絡接口做ARP解析”即可對抗ARP欺騙攻擊。