计算机网络安全防火墙技术毕业论文 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet 防火墙服务也属 于类似的用来防止外界侵入的。它可以防止 Internet 上的各种危险(病毒、资源盗用等)传播 到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的 护城河,服务于以下多个目的: 1)限定人们从一个特定的控制点进入; 2)限定人们从一个特定的点离开; 3)防止侵入者接近你的其他防御设施; 4)有效地阻止破坏者对你的计算机系统进行破坏。 在现实生活中,Internet 防火墙常常被安装在受保护的内部网络上并接入 Internet。 从上图不难看出,所有来自 Internet 的传输信息或你发出的信息都必须经过防火墙。这样,防 火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安 全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图 1 中体会 出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强 Internet(内部网)之间安全防御的一 个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与 产品发展的回顾 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为 来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能: ●过滤进、出网络的数据; ●管理进、出网络的访问行为; ●封堵某些禁止行为; ●记录通过防火墙的信息内容和活动; ●对网络攻击进行检测和告警。 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路 由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可 以将其划分为如下四个阶段(即四代)。 3.1 基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使 具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是: 1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤; 2)过滤判断的依据可以是:地址、端口号、IP 旗标及其他网络特征; 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路 由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火 墙。 ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用 FTP 协议时,外部服务器容易从 20 号端口上与内部网相连,即使在路由器上设置了过滤规则,内部 网络的 20 号端口仍可以由外部探寻。 ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十 分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统 管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来 很多错误。 ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送 

的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。 ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由, 而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则 设置会大大降低路由器的性能。 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客 的攻击是十分危险的。 3.2 用户化的防火墙工具套 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己 的网络,从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: 1)将过滤功能从路由器中独立出来,并加上审计和告警功能; 2)针对用户需求,提供模块化的软件包; 3)软件可以通过网络发送,用户可以自己动手构造防火墙; 4)与第一代防火墙相比,安全性提高了,价格也降低了。 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相 当复杂的要求,并带来以下问题: 配置和维护过程复杂、费时; 对用户的技术要求高; 全软件实现,使用中出现差错的情况很多。 3.3 建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些 特点: 1)是批量上市的专用防火墙产品; 2)包括分组过滤或者借用路由器的分组过滤功能; 3)装有专用的代理系统,监控所有协议的数据和指令; 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同 。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如: 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性 无从保证; 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的 安全性负责; 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻 击; 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能; 5)透明性好,易于使用。