防火墻技術范例6篇

前言：中文期刊網精心挑選了防火墻技術范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

防火墻技術范文1

2、雙端口或三端口的結構。新一代防火墻產品具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接于內部網與外部網之間，另一個網卡可專用于對服務器的安全保護。

3、透明的訪問方式。以前的防火墻在訪問方式上要么要求用戶作系統登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的系統技術，從而降低了系統登錄固有的安全風險和出錯概率。

4、靈活的系統。系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種機制，一種用于從內部網絡到外部網絡的連接，另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉換（NAT）技術來解決，后者采用非保密的用戶定制或保密的系統技術來解決。

5、多級的過濾技術。為保證系統的安全性和防護水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

6、網絡地址轉換技術（NAT）。新一代防火墻利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己定制的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

7、同時使用NAT的網絡，與外部網絡的連接只能由內部網絡發起，極大地提高了內部網絡的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

8、Internet網關技術。由于是直接串連在網絡之中，新一代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、 Finger、mail、Ident、News、WWW等）來實現網關功能。為確保服務器的安全性，對所有的文件和命令均要利用改變根系統調用（chroot）作物理上的隔離。

9、在域名服務方面，新一代防火墻采用兩種獨立的域名服務器，一種是內部DNS服務器，主要處理內部網絡的DNS信息，另一種是外部DNS服務器，專門用于處理機構內部向Internet提供的部份DNS信息。

防火墻技術范文2

關鍵詞：防火墻；配置技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

Brief Analysis Firewall Disposition Technology

ZHENG Wei

(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)

Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.

Key words:Firewall;disposition;technology

1 引言

今天我們所處的信息時代，也可以說也是病毒與黑客大行其道的時代，從Internet到企業內網、從個人電腦到可上網的手機平臺，沒有地方是安全的。每一次網絡病毒的攻擊，都會讓家庭用戶、企業用戶甚至是運營商頭痛腦熱。不過經歷過了一次又一次的病毒危機后，人們已經開始思考網絡的安全了。現在任何一個企業組建網絡都會考慮到購買防火墻，且有越來越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火墻。

但是防火墻不是一道用于心理安慰的屏障，只有會用防火墻才能夠真正將威脅擋在門外，如果對防火墻的防護執行設置沒有結合企業內部的需求而進行認真充分的定義，添加到防火墻上的安全過濾規則就有可能允許不安全的服務和通信通過，從而給企業網絡帶來不必要的危險與麻煩。防火墻可以比做一道數據的過濾網，如果事先制定了合理的過濾規則，它將可以截住不合規則的數據報文，從而起到過濾的作用。相反，如果規則不正確，將適得其反。

2 防火墻配置技術

一般來說，防火墻由包過濾（靜態的或動態的）和應用網關（或者是電路級網關或者應用級網關）組成，當前主要有：過濾路由器防火墻；主機過濾防火墻；屏蔽子網防火墻；雙宿主機防火墻。

2.1 過濾路由器防火墻配置結構

在傳統的路由器中增加分組過濾功能就能形成這種最簡單的防火墻。這種防火墻的好處是完全透明，但由于是在單機上實現，形成了網絡中的“單失效點”。路由器的基本功能是轉發分組，一旦過濾機能失效，被入侵后就會形成網絡直通狀態，任何非法訪問都可以進入內部網絡。因此這種防火墻的失效模式不是“失效―安全”型，也違反了阻塞點原理。因此，我們認為這種防火墻尚不能提供有效的安全功能，僅在早期的因特網中應用。

2.2 主機過濾防火墻配置結構

這種防火墻由過濾路由器和運行網關軟件的堡壘主機（指一個計算機系統，它是防火墻配置的一部分，并且是一個或數個應用網關的主機，它暴露于來自外部網絡的直接攻擊之中）構成。該結構提供安全保護的堡壘主機僅與內部網絡相連，而過濾路由器位于內部網絡和外部網絡之間。

該主機可完成多種，如FTP、Telnet和WWW，還可以完成認證和交互作用，能提供完善的因特網訪問控制。這種防火墻中的堡壘主機是網絡的“單失效點”，也是網絡黑客集中攻擊的目標，安全保障仍不理想。但是該結構防火墻具有可操作性強、投資少，安全功能容易實現和擴充，因而目前也有比較廣泛的應用。

2.3 屏蔽子網防火墻配置結構

該防火墻是在主機過濾結構中再增加一層參數網絡的安全機制，使得內部網絡和外部網絡之間有兩層隔斷。簡而言之，一個屏蔽子網防火墻就是由兩個屏蔽路由器構成，它們是用來創建一個稱為屏蔽子網或非軍事化區域（DMZ）的外部網絡段。DMZ把堡壘主機看成是應用層網關，在堡壘主機上可以運行各種各樣的服務器。除了外部服務器，也還有一個被屏蔽路由器所分開的內部網絡段，內部服務器可以運行在連接到內部網絡段的機器上。如圖1所示。

在這種結構下，入侵者要攻擊到內部網絡就必須通過兩臺路由器的安全控制。即使入侵者通過了堡壘主機，它還必須通過內部網絡路由器才能抵達內部網。這樣，整個網絡安全機制就不會因一點被攻擊而全部癱瘓。

這種防火墻把主機的通信功能分散到多個主機組成的網絡中，有的作為FTP服務器，有的作為E-mail服務器，有的作為WWW服務器，有的作為Telnet服務器，而堡壘主機則作為服務器和認證服務器置于周邊網絡中，以維護因特網與內部網絡的連接，服務器和認證服務器是內部網絡的第一道防線，內部路由器是內部網絡的第二道防線，而把因特網的公共服務(如FTP服務器、Telnet服務器和WWW服務器及E-mail服務器等)置于周邊網絡中，也減少了內部網絡的安全風險。

2.4雙宿主機防火墻配置結構

在TCP/IP中，多宿主機擁有多個網絡接口，每一個接口都連接在物理和邏輯上分離的不同網段上，而且可以在不同的網絡段之間轉發或路由IP寶，如果在多宿主機中不能轉發或路由IP包，則不同的網絡段間被隔絕，因此可以用來配置防火墻，使IP路由無效是相對簡單和直截了當的任務。

雙宿主機是多宿主機中最常見的一個例子，雙宿主機是一種擁有兩個連接到不同網絡上的網絡接口的防火墻，一個網絡接口連接到外部的不可信任的網絡上，另一個網絡接口連接到內部的可信任的網絡上，如圖2所示

這種防火墻的最大的特點在于其IP轉發和路由能夠被取消，所以IP包不再可能在兩個網段之間被路由，應用網關運行在堡壘主機（雙宿主機）上，此外，一個屏蔽路由器被特別地放置在堡壘主機和外部網絡之間，在這個配置中，堡壘主機的外部網絡接口連接到一個外部網段（通過一個屏蔽路由器），屏蔽路由器的目的是保證來自外部網絡的任何IP包準確地到達堡壘主機（雙宿主機），如果一個包來自其他目標地址，則舍棄這個包。同時在堡壘主機（雙宿主機）和內聯網之間配置了另外一個屏蔽路由器，是堡壘主機的內部網絡接口連接到以另一個屏蔽路由器為宿主的內部網段。

由于雙宿主防火墻配置的堡壘主機也可以因為效率原因被復制，因此而得的配置優勢叫做并行雙宿主防火墻，它可以由幾個同時連接到內部或外部網段的堡壘主機構成，在這種情況下，可以在不同的主機上運行各種和SOCKS服務器。

總之，雙宿主機防火墻是一種簡單而安全的配置，在互聯網中被廣泛使用，但是對于非標準TCP/IP應用協議沒有服務器，雙宿主機防火墻配置顯得很不靈活了，這對許多WEB站點來說是一個缺點。

3 典型的防火墻結構

建造防火墻時，一般很少采用單一的技術，通常是使用多種解決不同問題的技術組合。這種組合取決于網絡管理中心向用戶提供什么樣的服務，以及網管中心能接受什么等級的風險。采用哪種技術主要取決于經費，制冷的大小或技術人員的技術、時間因素。一般有以下幾種形式。

(1)使用多堡壘主機。

(2)合并內部路由器與外部路由器。

(3)合并堡壘主機與外部路由器。

(4)合并堡壘主機與內部路由器。

(5)使用多臺內部路由器。

(6)使用多臺外部路由器。

(7)使用多個周邊網絡。

(8)使用雙重宿主主機與屏蔽子網。

4 結束語

隨著1995年以來多個上網工程的全面啟動，我國各級政府、企事業單位、網絡公司等陸續設立自己的網站，電子商務也正以前所未有的速度迅速發展，但許多應用系統卻處于不設防狀態，存在著極大的信息安全風險和隱患。

防火墻系統作為一個有效的防范手段，已經得到了廣泛的認可和應用，它們為企業部門提供有效的訪問控制服務，并且根據不同的組成和配置，形成不同安全等級的網絡系統，但是防火墻決不是任何意義上的靈丹妙藥，也不是解決所有與網絡有關的安全問題的仙丹，其最大的缺點就是不能保護站點或者內聯網用戶免受來自內部的攻擊，因此它們決不能替代企業部門內聯網的安全管理。如何進一步從軟件和硬件的實現上加強網絡安全防范工作已成為一項刻不容緩的亟需解決的現實問題，建立較為完善的網絡安全體系，防止各類網絡安全事件的發生，正是今后進一步開展研究工作的方向。

參考文獻：

[1]Rolf Oppliger,著.楊義先,馮運波,李忠獻,譯.WWW安全技術.人民郵電出版社,2001.

[2]Wes Noonan,Ido Dubrawsky,防火墻基礎.人民郵電出版社.

[3]付愛英.防火墻技術標準教程.北京理工大學出版社,2007.

防火墻技術范文3

關鍵詞：網絡安全；防火墻；技術

引言

隨著網絡的普及和推廣，電子商務的規模越來越大，網絡安全已經不僅僅是科技人員和少數黑客所涉足的領域，龐大的網絡用戶也必須進行了解和掌握，以便能夠在網絡交易中確保自己財產和個人信息的安全，如何更有效的保護重要信息數據，已經成了全世界共同關注的話題，防火墻可以提高和加強網絡的安全性，保護當今的網絡安全。所以防火墻的基礎技術普及是至關重要的。

1 防火墻概述

防火墻是一種將內部網絡和公眾網絡分開的方法，其實它是一種隔離技術，是在兩個網絡通訊時執行的一種訪問控制尺度，最大限度的阻止黑客訪問你的網絡。

2 防火墻功能特性與分類

主要功能分為訪問控制和業務感知：（1）邏輯區域過濾器；（2）隱藏內網網絡結構；（3）自身安全保障；（4）主動防御攻擊。防火墻按照形態分為硬件防火墻和軟件防火墻；按照保護對象可分為單機防火墻和網絡防火墻；按照訪問控制方式可分為包過濾防火墻、防火墻和狀態檢測防火墻，TCP-IP層-數據鏈路層-PC-防火墻-服務器-數據鏈路層-IP層-TCP層。防火墻組網方式：二層以太網接口（對網絡拓撲透明、不需要更改組網）；三層以太網接口（支持更多安全特性、對網絡拓撲有所影響）

防火墻硬件平臺分類

（1）intel X86適用于百兆網絡，受CPU處理能力和PCI總線速度的限制。

（2）ASIC硬件集成電路，它把指令或計算機邏輯固化到硬件中，提升防火墻性能。

（3）NP網絡處理器是專門為處理數據包而設計的可編程處理器，是X86與ASIC之間的折衷方案。

（4）多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機制。

什么是安全區域？安全區域（Security Zone），或者簡稱為區域（Zone）。Zone是本地邏輯安全區域的概念。Zone是一個或多個接口所連接的網絡。

防火墻安全區域分類：（1）缺省安全區域：a.非受信區域Untrust；b.非軍事化區域DMZ；c.受信區域Trust；d.本地區域Local。

防火墻安全攻擊防范：

網絡攻擊主要分為四大類：（1）流量型攻擊；（2）掃描窺探攻擊；（3）畸形報文攻擊；（4）特殊報文攻擊。

防火墻報文統計：

（1）報文統計。對于防火墻來說，不僅要對數據流量進行監控，還要對內外部網絡之間的連接發起情況進行檢測，因此要進行大量的統計、計算與分析。

（2）防火墻對報文統計結果的分析有兩個方面。a.專門的分析軟件事后分析日志信息。b.防火墻實時完成一部分分析功能。

防火墻黑名單：

（1）黑名單。黑名單是一個IP地址列表。防火墻將檢查報文源地址，如果命中，丟棄所有報文。并且快速有效地屏蔽特定IP地址的用戶。

（2）創建黑名單表項，有如下兩種方式：a.通過命令手工創建。b.通過防火墻攻擊防范模塊或IDS模塊動態創建。

防火墻性能指標：

（1）吞吐量：防火墻能同時處理的最大數據量。

（2）有效吞吐量：除掉TCP因為丟包和超時重發的數據，實際的每秒傳輸有效速率。

（3）時延：數據包的第一個比特進入防火墻到最后一個比特輸出防火墻的時間間隔指標，是用于測量防火墻處理數據的速度理想的情況。

（4）每秒新建連接數：指每秒鐘可以通過防火墻建立起來的完整TCP連接，是用來衡量防火墻數據流的實時處理能力。

（5）并發連接數：防火墻是針對連接進行處理報文的，并發連接數目是指防火墻可以同時容納的最大連接數目，一個連接就是一個TCP/UDP的訪問。該參數是用來衡量主機和服務器間能同時建立的最大連接數。

3 防火墻設備管理

3.1 設備登陸管理

（1）通過console口登陸設備：USG配置口登陸的缺省用戶名為admin，缺省用戶密碼為Admin@123。其中，用戶名不區分大小寫，密碼要區分大小寫。

（2）通過web方式登陸設備：設備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。將PC的以太網口與設備的缺省管理接口直接相連，或者通過交換機中轉相連。在PC的瀏覽器中訪問http；//192.168.0.1，進入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（3）通過telnet方式登陸設備：設備缺省可以通過GigabitEthernet0/0/0接口來實現Telnet登錄。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。通過Putty telnet192.168.0.1，進入登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（4）通過ssh方式登陸設備：新建用戶名為Client001的SSH用戶，且認證方式為password。

[USG]ssh user client001

[USG]ssh user client001 authentication-type password

為SSH用戶Client001配置密碼為Admin@123。

[USG]aaa

[USG-aaa]local-user client001 password ciher Admin@123

[USG-aaa]local-user client001 service-type ssh

配置SSH用戶Client001的服務方式為Stelnet，并啟用Stelnet服務。

[USG]ssh user client001 service-type stelnet

[USG]stelnet server enable

以上配置完成后，運行支持SSH的客戶端軟件，建立SSH連接。

3.2 設備文件管理

3.2.1 配置文件類型：saved-configuration current-configuration

3.2.2 配置文件操作

（1）保存配置文件；（2）擦出配置文件（恢復出廠設置）；（3）配置下次啟動時的系統軟件和配置文件；（4）重啟設備。

4 防火墻基本配置

（1）Vrp命令行級別分為：參觀級、監控級、配置級、管理級。（2）vrp命令視圖：用戶視圖、系統視圖、接口視圖、協議視圖。

防火墻技術范文4

本文結合工作實際的維護工作介紹防火墻技術的部分應用，對如何保護各類網絡和應用的安全，如何保護信息安全成為了本文探討的重點。

關鍵詞：bss網、mss網、防火墻

正文

1、 防火墻 簡介

通過防火墻的運用，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。。

1.1防火墻功能

防火墻的基本功能是對網絡通信進行篩選屏蔽以防止未授權的訪問進出計算

機網絡，簡單的概括就是，對網絡進行訪問控制。

防火墻是一種計算機硬件和軟件的結合，使不同網絡之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。

1.2防火墻基本原理

防火墻是指一種將內部網和公眾訪問網(如Internet)分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡

2、 防火墻種類

從實現原理上分，防火墻的技術包括四大類：網絡級防火墻（也叫包過濾

型防火墻）、應用級網關、電路級網關和規則檢查防火墻。

2.1網絡級防火墻

一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。

2.2應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。

2.3電路級網關

電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能：服務器（Proxy Server）。

2.4規則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。

3、防火墻實際應用

在實際工作中，按照承載業務的不同，某運營商的網絡大致可以分為兩類。

一是BSS網絡，用于承載運營商的計費業務；二是MSS網絡，用于滿足日常辦公的需要；

3.1 網絡結構

3.2網絡說明

如圖3-1所示，BSS網絡承載主用IP承載網，一條ATM可以承載辦公網，N*2M電路作為MSS網絡備用電路，達到了熱備和擴容的目的。而且出口的擁塞不會影響MSS網絡的使用，保證日常辦公正常。

3.3安全域的劃分

安全域的劃分根據設備的用途、存儲數據的重要性等因素，分為五個層級。從0-4安全等級依次遞減。劃分設備安全等級的原則包括以下幾個要點：

存儲私密數據，除系統工程師外不允許其他人隨意訪問的設備安全等級最高；

需要存取數據，又要提供對外接口的設備，安全等級次之；

有互聯網出口的網絡安全等級更低，如：辦公網設備；

公網或VPN接入的設備可信度最低，所以安全等級最低。

3.4核心安全區域劃分

3.4.1 核心安全網絡圖3-3

3.4.2

如圖3-3所示，以兩對防火墻作為分割線。PIX525以內的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網絡設備，沒有互聯網出口，屬于第2級；辦公網設備屬于第3級；通過互聯網由VPN接入的設備等級最低，統一歸屬于第4安全等級。

以兩對防火墻作為分割線。PIX525以內的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網絡設備，沒有互聯網出口，屬于第2級；辦公網設備屬于第3級；通過互聯網由VPN接入的設備等級最低，統一歸屬于第4安全等級。

3.5地市網絡安全域的劃分

地市網絡可以分為兩級，純生產終端劃入高安全區域，辦公終端劃入低安全區域，中間增加安全隔離設備。注意到這里BSS網絡和MSS網絡的概念已經被淡化了，我們只是根據重要程度的不同把所有設備置入了不同的安全區域里，再根據業務需要定制訪問控制列表。

3.6訪問控制列表

參照圖3-3所示，我們把最重要的設備至于0級，并為其分配獨立的IP地址空間。在安全設備上啟用NAT功能（地址映射），對1-4級設備隱藏其真實地址，即0級設備從表象上看是不存在的。并制訂嚴格的訪問策略，僅允許指定主機訪問特定主機的特定協議端口。默認拒絕一切網絡連接請求。

1級設備的訪問控制列表是雙向的，對內允許特定服務器對特定主機數據庫端口的訪問；對外允許特定的客戶群訪問特定的協議端口。

2級設備是指重要性較低的生產設備。此級設備可根據業務需求設定訪問控制策略。

3-4級就是辦公終端了，因為其能與互聯網互通，或者通過互聯網接入，所以較易感染病毒或受到攻擊。一般僅開放最小的系統訪問權限，給預最為嚴格的認證，和路由控制。

為了更好的保護0-1級設備，我們在接口處設置了入侵檢測系統，并對進入0-1級區域的操作進行了審計。審計系統還可以關聯系統帳戶和訪問進程，限制合法的用戶只能通過合法的程序操作授權范圍內的數據。

4、.部分配置

4.1限制客戶端物理位置和設備的功能（即要求軟件、硬件VPN產品在使用過程中只能是公司指定的地點、機器和人員）通過訪問控制列表來實現。

又比如通過MAC訪問列表，限制只有特定物理地址的主機才能接入：

4.2控制訪問時間的功能（包括按小時、按天的控制）

防火墻技術范文5

關鍵詞：防火墻；linux；iptables；netfilter

中圖法分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

隨著網絡的開放性、共享性和互連程度擴大，特別是Internet的發展，網絡的重要性和對社會的影響也越來越大。隨著網絡上各種新興業務的興起，比如電子商務、電子現金、數字貨幣網絡銀行等，以及各種專用網的建設，比如金融網等，使得安全問題顯得越來越重要。因此網絡安全成了數據通信領域研究和發展的一個重要方向，對網絡安全技術的研究成了現在計算機和通信領域的一個熱點。而防火墻技術是針對網絡安全特點而建立的防范措施。而LINUX操作系統不僅具有開放源代碼的巨大優勢，而且能適用于多種CPU和硬件平臺，性能穩定，非常適合作為一些嵌入式防火墻設備的操作系統，因此，研究基于LINUX的防火墻技術具有重要的意義。

1 防火墻原理

1.1 防火墻的概念和工作原理

防火墻技術是目前各種網絡安全解決方案中常用的技術，它通過控制和檢測網絡之間的信息交換和訪問行為來實現對網絡的安全管理。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權的用戶訪問，阻止未經授權的用戶存取敏感數據，同時允許合法用戶不受阻礙地訪問網絡資源，從總體上看，防火墻應具有以下五大基本功能：

過濾進出網絡的數據包。

管理進出網絡的訪問行為。

封堵某些禁止的訪問行為。

記錄通過防火墻的信息內容和活動。

對網絡攻擊進行檢測和告警。

為實現以上功能，在防火墻產品的開發中，人們要應用網絡拓撲技術、計算機操作系統技術、路由技術、加密技術、訪問控制技術、安全審計技術等成熟或先進的技術手段。其工作原理是：按照事先規定好的配置與規則，監測并過濾通過防火墻的數據流，只允許授權的或者符合規則的數據通過。防火墻應該能夠記錄有關連接的信息、服務器或主機間的數據流量以及任何試圖通過防火墻的非法訪問記錄。同時、防火墻自身也應具備較高的抗攻擊性能。

1.2 防火墻的分類

按照防火墻對內外來往數據的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和防火墻(應用層網關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

表1 兩種防火墻的比較

包過濾防火墻分為靜態和動態。靜態包過濾防火墻根據定義好的過濾規則審查每個數據包。以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制b}，報頭信息中包括IP源地址、IP目標地址、傳輸協議（TCP, UDP, ICMP等等)、TCP/UDP目標端口, ICMP消息類型等，包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。動態包過濾防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更新條目。

防火墻也叫應用層網關(Application Gateway)防火墻。這種防火墻通過一種(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。類型防火墻的最突出的優點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內外網絡的計算機以任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

自適應技術(Adaptive proxy)是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合類型防火墻的安全性和包過濾防火墻的高速度等優點，在毫不損失安全性的基礎之上將型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應服務器 (Adaptive Proxy Server)與動態包過濾器 (Dynamic Packet filter)。

在自適應與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應就可以根據用戶的配置信息，決定是使用服務從應用層請求還是從網絡層轉發包。如果是后者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。

2 linux防火墻的實現

2.1 linux 防火墻簡介

Linux最初從2.0內核的ipfwadm開始具備了基本的包過濾功能。ipfwadm能透過IP據包頭的分析，分辨出數據包的來源IP與目的地IP、數據包類型、來源端口號與目的端口號、數據包流向、數據包進入防火墻的網卡界面等，并依此分析結果來對比規則進行數據包過濾，同時也支持IP偽裝的功能，利用這個功能可以解決IP不足的問題，但是這些程序缺乏彈性設計，用戶無法自行建立規則組合(rule set)作更精簡的設定，同時也缺乏網址轉換功能，無法應付越來越復雜的網絡環境，已經逐漸被淘汰。隨后取而代之的是ipchains。Ipchains不但指令語法更容易理解，功能也較ipfwadm優越：ipchain允許自訂規則組合(rule set)，稱之為user-define chains，可以將彼此相關的規則組合在一起，在需要的時候跳到該組規則進行過濾，有效的將規則數量大幅縮減，克服了以往ipfw僅能進行循序過濾，導致規則過長的缺陷。同時，ipchains能提供網址轉換的能力，從而滿足NAT的完整需求，基本構成一套成熟的防火墻。，

在Linux2.4內核以后，被稱為iptables/netfilter的防火墻以更好的結構重新構造，并實現了許多新功能，如完整的動態NAT(2.2內核實際是多對一的"地址偽裝")、基于MAC及用戶的過濾、真正的基于狀態的過濾（不再是簡單的查看tcp的標志位等）、包速率限制等。它比以前任何一個Linux內核的防火墻子系統都要完善和強大。

2.2 iptables/netfilter框架

Netfilter提供了一個抽象的、通用的框架，該框架定義的一個子功能實現的就是包過濾子系統。Netfilter由一系列基于協議棧的鉤子組成，這些鉤子都對應某一具體的協議。當前的Netfilter，已經基于IPv4, IPX, IPv6等協議開發了對應的鉤子函數。

Netfilter是嵌入內核IP協議棧的一系列調用入口，設置在報文處理的路徑上。網絡報文按照來源和去向，可以分為三類:流入的、流經的和流出的。其中流入和流經的報文需要經過路由才能區分，而流經和流出的報文則需要經過投遞，此外，流經的報文還有一個FORWARD的過程，即從一個NIC轉到另一個NIC。 Netfilter就是根據網絡報文的流向，在以下幾個點插入處理過程：

(1)NF_IP_PRE_ROUTING，在報文作路由以前執行；

(2)NF_IP_FORWARD，在報文轉向另一個NIC以前執行；

(3)NF_IP_POST_ROUTING，在報文流出以前執行；

(4)NF_IP_LOCAL_IN，在流入本地的報文作路由以后執行；

(5)NF_IP_LOCAL_OUT，在本地報流出路由前執行。

Netfilter框架為多種協議提供了一套類似的鉤子(HOOK)，用一個struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二維數組結構存儲，一維為協議族，二維為上面提到的各個調用入口。每個希望嵌入Netfilter中的模塊都可以為多個協議族的多個調用點注冊多個鉤子函數(HOOK )，這些鉤子函數將形成一條函數指針鏈，每次協議棧代碼執行到NF HOOK()函數時(有多個時機)，都會依次啟動所有這些函數，處理參數所指定的協議棧內容。

每個注冊的鉤子函數經過處理后都將返回下列值之一，告知Neifilter核心代碼處理結果，以便對報文采取相應的動作：

(1)NF_ACCEPT， 繼續正常傳輸數據報；

(2)NF_DROP， 丟棄該數據報，不再傳輸；

(3)NF_STOLEN， 模塊接管該數據報，不要繼續傳輸該數據報；

(4)NF_QUEUE， 對該數據報進行排隊(通常用于將數據報給用戶空間的進程進行處理)；

(5)NF_REPEAT， 再次調用該鉤子函數。

如圖1所示，數據報從左邊進入系統，進行IP校驗以后，數據報經過第一個鉤子函數NF_IP_PRE ROUTING進行處理;然后就進入路由代碼，其決定該數據包是需要轉發還是發給本機的；若該數據包是發被本機的，則該數據經過鉤子函數NF_IP_LOCAL_IN處理以后然后傳遞給上層協議;若該數據包應該被轉發則它被NF IP FORWARD處理;經過轉發的數據報經過最后一個鉤子函數NF_IP_POST_ROUTING處理以后，再傳輸到網絡上。本地產生的數據經過鉤子函數NF_IP_LOCAL_OUT處理可以后，進行路由選擇處理，然后經過NF_IP_POST_ROUTING處理以后發送到網絡接口。

Netfilter組件也稱為內核空間(kernel space)，是內核的一部分，由一些信息包過濾表組成，這些表包含內核用來控制信息包過濾處理的規則集。

與之相對應的iptables組件是一種工具，也稱為用戶空間（user space），它使插入、修改和除去信息包過濾表中的規則變得容易。通過使用用戶空間，可以構建自己的定制規則，這些規則存儲在內核空間的信息包過濾表中。這些規則具有目標，它們告訴內核對來自某些源、前往某些目的地或具有某些協議類型的信息包做些什么。如果某個信息包與規則匹配，那么使用日標ACCEPT允許該信息包通過。還可以使用目標DROP或REJECT來阻塞并殺死信息包。

內核模塊提供三個規則表((table)，分別是數據報過濾表(filter table)，網絡地址轉換表(nat table)及數據報處理表(mangle table)。

數據報過濾表(filter table)：

表格不會對數據報進行修改，而只對數據報進行過濾。iptables優于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數NF_IP_LOCAL_IN，NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此對于任何一個數據報只有一個地方對其進行過濾。這相對ipchains來說是一個巨大的改進，因為在ipchains中一個被轉發的數據報會遍歷三條鏈。

網絡地址轉換表(nat table)：

NAT表格監聽三個Netfilter鉤子函數：NF_IP_PRE_ROUTING，NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING實現對需要轉發的數據報的源地址進行地址轉換而NF_IP_POST_ROUTING則對需要轉發的數據包的目的地址進行地址轉換。對于本地數據報的目的地址的轉換則由NF_IP_LOCAL_OUT來實現。

NAT表格不同于filter表格，因為只有新連接的第一個數據報將遍歷表格，而隨后的數據報將根據第一個數據報的結果進行同樣的轉換處理。NAT表格被用在源NAT,目的NAT，偽裝(其是源NAT的一個特例)及透明(其實是目的NAT的一個特例)。

數據報處理表(mangle table)：

mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用

mangle表，可以實現對數據報的修改或給數據報附上一些帶外數據。當前mangle表支持修改TOS位及設置skb的nfmard字段。

3 iptables的命令配置與應用

Iptables的基本語法是：

iptables [-t table] command [match] [- j target/jump]

其中Ct參數用來指定規則表，當未指定規則表時，則默認認為是filter

下面根據實例來詳細解釋下iptables的用法，配置防火墻的基本規則是先拒絕所有的服務，然后根據需要再添加新的規則。在實例中，我們開放了WEB服務器，郵件服務器，FTP服務器等常用的端口，在實際情況中可以根據特定的網絡狀況，特定的安全要求做特別的處理：

iptables CF#刪除已經存在的規則

iptables -P INPUT DROP#配置默認的拒絕規則。

iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打開WEB服務端口的tcp協議

iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打開POP3服務端口的tcp協議

iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打開SMTP服務端口的tcp協議

iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打開FTP服務端口的tcp協議

4 結論

Linux內核防火墻的iptables/netfilter框架設計得非常成功，它將所有對數據包的處理都統一到這個一個框架之下。Netfilter不僅僅有此高效的設計，同時還具備很大的靈活性，這主要表現在iptable/netfilter中的很多部分都是可擴充的，包括Table, Match, Target等。

參考文獻：

[1]毛德操,胡希明.Linux內核源代碼情景分析[M].浙江大學出版.2001,9.

[2]Marcus Goncalves.宋書民,等,譯.防火墻技術指南[M].機械工業出版社,2000,11.

[3]Robert L.Ziegler..余青霓,等,譯.LINUX防火墻[M].人民工業出版社,2000,10.

[4]博嘉科技主編.LINUX防火墻技術探秘[M].國防工業出版社,2002,10.

防火墻技術范文6

【關鍵詞】計算機網絡 防火墻技術 功能 趨勢

隨著信息化時代的到來，計算機網絡逐漸成為人們有效開展信息交換的重要手段，并滲透到社會生活的各個方面，給人們生活帶來了巨大影響。與此同時，保障計算機網絡信息安全，愈來愈成為當今社會面臨的亟需解決的課題。

1 防火墻技術的含義

“所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障?！彼且环N計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。它實際上是一種隔離技術。

2 防火墻的功能

防火墻對計算機網絡具有很好的保護作用。入侵者必須先穿越防火墻的安全防線，才能接觸目標計算機。具體來說防火墻有以下功能。

2.1 防火墻有保障計算機網絡安全的功能

防火墻通過自身過濾功能將不安全的數據包隔擋在“代碼墻”以外，降低Internet給計算機造成的風險。然后通過驗證程序檢測哪些數據包是安全的，并使之進入計算機，由此使得網絡環境變得更安全。

2.2 防火墻具有監控網絡存取和訪問的功能

由于進入計算機的數據包都要經過防火墻的檢測和篩選，那么防火墻就能記錄下這些數據包并對網絡的使用情況進行統計。當發生可疑數據包時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。因此，防火墻對網絡使用統計與監控具有非常重要的作用。

2.3 可以防止內部信息的外泄

隱私是網絡使用者最關心的問題。很多隱私的被流露于公眾的視野，多數都是因為計算機網絡內部某些安全漏洞。而使用防火墻就可以利用防火墻對內部網絡的劃分，實現內部網的隔離，從而限制了局部或敏感網絡安全問題對全局網絡造成的影響。進而隱蔽了那些透漏內部細節DNS服務。這樣一臺主機的域名和IP地址就不會被外界所了解。

2.4 防火墻對數據庫安全的實時保護功能

防火墻通過驗證工具和包過濾系統分析，根據預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規操作，形成數據庫的防御圈，實現SQL 危險操作的主動預防、實時審計。同時，還可以對來自于外部的入侵行為，提供SQL 注入禁止和數據庫虛擬補丁包功能。

3 防火墻技術的發展趨勢

隨著新的網絡病毒的出現，防火墻技術的發展更應該注重放行數據的安全性研究。因為使用者對網絡安全的要求是既要保證網絡安全，也必須保證網絡的正常運行。因此，新型防火墻技術在研發過程中要集成其它安全技術，使防火墻的安全性得以進一步提升。這一些新的發展趨勢，可以從防火墻體系結構、包過濾技術和防火墻系統管理三方面展開。

3.1 防火墻的體系結構發展趨勢

隨著信息化潮流的到來，計算機網絡的應用更加廣泛，規模更加龐大。使用者對網絡寬帶的安全提出了更高的要求。這意味著防火墻技術必須緊跟時代的發展，加快提升自身處理數據的能力，為計算機網絡提供更加有效的安全保護和有效的運行保障。尤其是，在當今信息化社會的生活中，計算機網絡、手機網絡等網絡媒體的應用越來越普遍，這就要求防火墻技術對流入網絡的數據處理更加有效、準確、及時。要想滿足這種需要，防火墻技術研發人員就必須制定超前的研發方案，完善防火墻的結構體系。例如當前部分制造商開發的基于ASIC的防火墻和基于網絡處理器的防火墻。

3.2 防火墻數據包過濾技術發展趨勢

（1）防火墻的主要功能就是對來自外網的木馬程序、病毒程序等危險程序進行防范和抵御。因而，在實際網絡使用中使用主體通常經防火墻稱之為病毒防火墻。從目前網絡使用者通過各種途徑選取不同的防火墻，并按照與計算機內，目的就是防范病毒的入侵。

（2）注重研發多級過濾技術?！八^多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段”。該過濾技術主要是通過編制不同的程序系統，逐級設立功能。各級根據自身的功能開展對流入網絡的數據流進行識別，檢測。層層把關，能夠更加有效的抵御病毒對計算機網絡的入侵。這是一種綜合性防火墻技術，它可以彌補各種單一過濾技術的不足。

（3）為了進一步強化防火墻的安全策略功能。目前，很多防火墻技術生產商在現有的防火墻技術的基礎上，又增加了用戶認證系統。用戶認證系統隨著無線網絡的普及應用，獲得了眾多無線網絡電信商和用戶的青睞。并逐漸成為無線網絡安全應用的必備系統。

3.3 防火墻的系統管理發展趨勢

隨著防火墻技術的快速發展，加強防火墻的系統管理也成為網絡技術發展的重點。首先是集中式管理。集中式管理的優點就是能夠使生產商以最小的投入獲取最大的效益。同時，還可以保證網絡安全保障系統的一致性。從目前成功研發的事例來看，Cisco（思科）、3Com等幾個大的防火墻技術開發商已經在注重加強防火墻的系統管理發展。其次是加大開發防火墻的監控和審計功能的力度。在防火墻技術研發過程中，我們不僅要注重事后治理，更要注重事前預防，未雨綢繆，將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網絡安全體系。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

參考文獻

[1]羅霽.并行多模式匹配算法及硬件實現研究[D].杭州電子科技大學，2013（06）：10.

[2]楊旭.計算機網絡信息安全技術研究[D]. 南京理工大學，2008（06）：43

[3]信息技術研究中心.網絡信息安全新技術與標準規范實用手冊（第1版） [M].北京：電子信息出版社，2004：20-21.

作者簡介

鄧龍敏（1998-），男 ，湖北省黃石市人?，F就讀于鄂南高中，熱衷于計算機網絡技術研究。