防火墙技术报告

第一篇：防火墙技术报告《网络与信息安全技术》防火墙技术浅谈班级：11计算机科学与技术3班学号：2011404010306姓名：王志成分数：2013年12月12日防火墙技术浅谈摘要：随着计算机网络的发展，全球上网的人数在不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随之不断扩大。然而，因特网的迅猛发展在给人们的生活带来了极大方便的同时，因特网本身也正遭遇着前所未有的威胁。所以，网络的安全问题也越来越成为人们现在考虑的十分重视的问题。本文主要介绍讨论了防火墙的定义、特点、基本功能，数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。关键词：防火墙技术数据包过滤数据库引言网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一种技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统的安全等级；其中，对网络安全的威胁表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰正常运行，利用网络传播病毒，线路窃听等方面，实现对目标网络的网络安全风险评估以及对风险的防范，为提高系统的安全性提供科学依据。1.防火墙概述1.1防火墙的定义所谓“防火墙”，是在两个网络之间执行说控制策略的一个或一组系统，包括硬伯和软件，目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。（2）防火墙的基本功能防火墙能够强化安全策略因为因特网上每天都有上百万人浏览信息、交换信息，不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。防火墙能有效地记录因特网上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙记录着被保护的网络和外部网络之间进行的所有事件。防火墙限制暴露用户点防火墙驹用来隔开网络中的一个网段与另一个网段。这样，就能够有效控制影响一个网段的问题通过整个网络传播。防火墙是一个安全策略的检查站所有进出网络的信息都必须通过防火墙，防火墙便成为一个安全检查点，使可疑的访问被拒绝于门外。1.3.防火墙的体系结构目前，防火墙的体系结构一般有3种：双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。（1）双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙分布式防火墙的优势：（1）增强了系统安全性：增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。（4）实施主机策略：对网络中的各节点可以起到更安全的防护。（5）应用更为广泛，支持VPN通信。3.数据包过滤处理原理分析防火墙技术其实是基于对工作在网络层中的数据包的过滤，数据包的过滤原理要遵揗一些过滤规则：（1）过滤规则本系统采用的默认过滤规则是：默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时，本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信，在用户相应的选项卡中，填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包，这就是数据包的IP过滤功能。当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能，就可以在相应的IP号下同时设置端口号，就是表示对任一用户的这一服务被禁止。其实，这只能对某一些常用的端口号进行过滤，如：对HTTP(端口80)进行过滤，就是禁止外部用户通过防火墙访问内部HTTP服务器；对FTP(端口20，21)进行过滤，就是禁止外部主机通过防火墙访问内部FTP服务器。数据处理模块用到的过滤规则将在用户界面