防火墙技术的基本原理篇1

【关键词】计算机防火墙安全防护数据传输

在当今社会中，计算机已经成为人们日常的必需品，无论是生活还是工作，都已经难以离开计算机的使用，计算机网络技术为人们的生活带来了巨大的方便，同时由此带来的问题也在不断的增多，最重要和主要的问题便是网络安全。计算机网络技术具有大众性和开放性，其功能强大，但也容易引来大量的恶性攻击，2015年中国网民因网络安全问题带来的损失高达915亿元。因此对于防火墙的技术要求越来越高，所以在人们享受计算机网络技术带来的方便同时也要关注网络安全问题。

1计算机防火墙概述

1.1防火墙介绍

计算机防火墙是一种保障网络安全的防护技术，主要作用是内外网络连接时避免内网受到外网不安全因素的危害，是一种阻隔内外网之间安全的软件。计算机防火墙是一系列工作的组合，能够将未知的危险信息进行屏蔽，是内外网之间进行信息交流的站点，防火墙在保障内网安全的同时能够对数据信息的传输进行监控，计算机用户能够按照自身需求，对使用网络的过程进行监控和检测。同时防火墙有抵抗电脑病毒的功能，对计算机起到基本的信息安全保障功能。

1.2算机防火墙的特性

计算机防火墙的基本功能是对未受到计算机允许的访问请求进行筛选和屏蔽，避免计算机受到不良因素的危害。主要特性有三个：

（1）计算机的一切传输数据和信息都要通过防火墙。

（2）计算机防火墙只对授权的网络信息和流量放行。

（3）计算机防火墙能够对外界的病毒与不良攻击进行防护和抵抗。

1.3防火墙的优缺点

首先是优点：

（1）利用访问请求的方式来对计算机网络进行安全防护，而且能够把通信数据控制在一个有效安全管理区间内。

（2）计算机防火墙能够对一些服务的网络访问请求进行限制。

（3）计算机防火墙的功能比较完整，在安全性、实用性以及功能上做到统一。

（4）防火墙具备报警功能，并且拥有足够空间进行日志的存储。

其次是缺点：

（1）难以对经过授权的访问进行防御，并且容易在内部网络形成系统与系统之间的攻击。

（2）难以对合法有效用户的恶意攻击进行防御，而且在社交网络方面的非预期攻击进行防御。

（3）当恶意攻击不经过防火墙时，防火墙难以发挥其作用。

2计算机防火墙的分类

2.1包过滤型防火墙

包过滤型的防火墙是比较低级的防火墙类型，主要原理是依靠网络的分包传输技术。网络上通常是用“包”作为数据传输的单位，数据包与数据包之间会存在不同，分别存储着不同的信息，例如数据的目标端口、目标地址以及源地址等，计算机防火墙对传输过来的数据包进行读取，读取过程中来判别数据的来源站点是否可靠，如果发现不良站点传输过来的数据包，那么就会将传输的数据进行屏蔽。这项技术的主要特性在于简单、实用、成本低，能够通过小的成本代价获得较好的系统保障。

2.2型防火墙

型防火墙又叫服务器，与包过滤型防火墙对比来说，其安全性更高。型防火墙是处于服务器和客户机之间的，能够将两者之间的数据进行阻隔，对于客户机来说，型防火墙是真正的服务器，但对于服务器而言，型防火墙是真正的客户机。如果客户机在进行服务器数据访问使用时，要将访问请求传输给型防火墙，型防火墙通过请求向服务器进行数据的索取，在通过型防火墙把相关数据反馈给客户机，所以能够对网络交互中出现的一些问题进行防护，起到保障计算机网络安全的作用。

2.3监测型防火墙

作为比较新型的防火墙产品，监测型防火墙在技术上已经超越了防火墙最初的设计定义。它不仅能够主动对各层的数据进行监测，并且能够实时的来进行这项功能，对监测的数据进行分析后，能够对数据中存在的非法侵入进行判断。而且检测型防火墙通常会在服务器和网络的节点中布置探测器，利用这些探测器能够对外部的不良攻击进行侦查，同时能够防范出现在内部的恶意攻击和破坏。

3Linux防火墙的使用

Linux防火墙是计算机自带的一个功能，能够对传输进来的数据进行相关的处理，这个功能的实施者便是计算机内部的防火墙内核，使用的计算机用户可以对适合自己使用的数据包策略进行选择。

3.1服务器的配置

对网络服务系统进行相关设定，将信息服务器安放在堡垒防火墙上，再进行安全策略的设定。

3.2规则的编写

在规则编写中，首先要将数据包的身份进行明确，然后在判断数据包能否通过。

3.3防火墙的管理

首先要对安全需求进行明确，其次是聘请专业人士进行维护和管理，保障网络流量的透明化和防火墙工作的透明化。

3.4日志的监测

系统的警告日志能够将用户的相关操作进行记录，通过查看日志的记录来进行筛并且将有威胁的信息进行记录，以便起到防范作用。

4结语

科学技术和经济水平的高速发展下，计算机网络已经被应用到人们工作与生活的方方面面，大到国家政府部门、工业、农业、商业、教育行业、金融行业，小到个人的文件处理、网络冲浪以及网络视频的观看。在便捷的同时也带来了巨大的网络安全问题，而且社会对于网络安全问题的关注度越来越高，防火墙作为计算机网络安全防护主要技术，必须要与当下的网络环境步伐相一致，在基本的防护措施基础上不断开发新的防火墙技术，勇于创新和进步，才能实现计算机网络的有效防护。

参考文献

[1]杨波.网络安全体系及防火墙技术[J].武汉：软件导刊，2009（02）.

[2]林志浩.防火墙技术在网络安全上的应用[J].北京：硅谷，2009（04）.

[3]乔林波，蓝强，崔震宇.试析计算机网络安全与防范技术[J].才智，2009（25）.

[4]张旭伟，翁明江.网络安全漏洞研究及其防护[J].黑龙江科技信息，2007（05）.

防火墙技术的基本原理篇2

关键字：计算机网络；网络安全；防火墙技术

一、前言

企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet，它具有开放性，因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决，就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果，给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。

目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等，在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。

针对企业办公网络存在的众多隐患，各个企业也实施了安全防御措施，其中包括防火墙技术、数据加密技术、认证技术、PKI技术等，但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨，希望能给广大企业办公网络安全建设带来一定帮助。

二、防火墙技术概述

1.防火墙的基本概念

防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备(路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。

2.防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙

的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的

通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。

3.防火墙的功能

一般来说，防火墙具有以下几种功能：

①能够防止非法用户进入内部网络。

②可以很方便地监视网络的安全性，并报警。

③可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

④可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。

4.防火墙的分类

①包过滤型防火墙，又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall)，它工作在网络层和传输层。它基于单个数据包实施网络控制，根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施过滤。

②服务器型防火墙

服务器型防火墙通过在主机上运行的服务程序，直接对特定的应用层进行服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的服务器进程，它代替网络用户完成特定的TCP/IP功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。

③复合型防火墙

由于对更高安全性的要求，通常把数据包过滤和服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主机称为堡垒主机，负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤；②内核透明技术；③用户认证机制；④内容和策略感知能力:⑤内部信息隐藏；⑥智能日志、审计和实时报警；⑦防火墙的交互操作性等。

三、办公网络防火墙的设计

1.防火墙的系统总体设计思想

1.1设计防火墙系统的拓扑结构

在确定防火墙系统的拓扑结构时，首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑，以决定防火墙系统的拓扑结构。

1.2制定网络安全策略

在实现过程中，没有允许的服务是被禁止的，没有被禁止的服务都是允许的，因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流，逐一完成每一项许可的服务；第二条策略是允许一切没有被禁止的服务，防火墙转发所有的信息，逐项删除被禁止的服务。

1.3确定包过滤规则

包过滤规则是以处理IP包头信息为基础，设计在包过滤规则时，一般先组织好包过滤规则，然后再进行具体设置。

1.4设计服务

服务器接受外部网络节点提出的服务请求，如果此请求被接受，服务器再建立与实服务器的连接。由于它作用于应用层，故可利用各种安全技术，如身份验证、日志登录、审计跟踪、密码技术等，来加强网络安全性，解决包过滤所不能解决的问题。

1.5严格定义功能模块，分散实现

防火墙由各种功能模块组成，如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现，功能分散减少了实现的难度，增加了可靠程度。

1.6防火墙维护和管理方案的考虑

防火墙的日常维护是对访问记录进行审计，发现入侵和非法访问情况。据此对防火墙的安全性进行评价，需要时进行适当改进，管理工作要根据网络拓扑结构的改变或安全策略的变化，对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能，以保证网络极其信息的安全性。

2.一种典型防火墙设计实例——数据包防火墙设计

数据包过滤防火墙工作于DOD(DepartmentofDefense)模型的网络层，其技术核心是对是流经防火墙每个数据包进行行审查，分析其包头中所包含的源地址、目的地址、封装协议(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息，确定其是否与系统预先设定的安全策略相匹配，以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用，这一过程就称为数据包过滤。

本例中网络环境为：内部网络使用的网段为192.168.1.0，eth0为防火墙与Internet接口的网卡，eth1为防火墙与内部网络接口的网卡。

数据包过滤规则的设计如下：

2.1与服务有关的安全检查规则

这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW，FTP，Telnet，SMTP等.我们以WWW包过滤为例，来分析这类数据包过滤的实现.

WWW数据包采用TCP或UDP协议，其端口为80，设置安全规则为允许内部网络用户对Internet的WWW访问，而限制Internet用户仅能访问内部网部的WWW服务器，(假定其IP地址为192.168.1.11)。

要实现上述WWW安全规则，设置WWW数据包过滤为，在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过，而在防火墙eth1端允许所有来自内部网络WWW数据包通过。

#DefineHTTPpackets

#允许Internet客户的WWW包访问WWW服务器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允许WWW服务器回应Internet客户的WWW访问请求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

显然，设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。

与此相似，我们可以建立起与FTP，Telnet，SMTP等服务有关的数据包检查规则；

2.2与服务无关的安全检查规则

这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的，主要有以下几点：

①数据包完整性检查(TinyFragment):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能，实现完整性检查的方法是利用REDHAT，在编译其内核时设定IP；alwaysdefraymentssetto‘y’。REDHAT检查进人的数据包的完整性，合并片段而抛弃碎片。

②源地址IP(SourceIPAddressSpoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机，以期能渗透到内部网络中.要实现这一安全规则，设置拒绝数据包过滤规则为，在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。

③源路由(SourceRouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息，实现的方法也是借助REDHAT的路由功能，拒绝来自外部的包含源路由选项的数据包。

总之，放火墙优点众多，但也并非万无一失。所以，安全人员在设定防火墙后千万不可麻痹大意，而应居安思危，将防火墙与其他安全防御技术配合使用，才能达到应有的效果。

参考文献：

[1]张晔,刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999

[2]王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001

[3]郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001

[4]AnthonyNorthup.NTNetworkPlumbing:Routers,Proxies,andWebServices[M].

防火墙技术的基本原理篇3

关键词：计算机；防火墙；发展现状；应用前景

中图分类号：TP393文献标识码：A文章编号：1007-9599(2012)07-0000-01

一、计算机防火墙的分类及主要功能

（一）计算机防火墙的分类。计算机防火墙从原理与技术上划分，主要包括包过滤型技术、状态监测技术以及服务技术三种形式。

1.包过滤型技术。包过滤型技术是计算机防火墙发展过程中最基本的形式，它主要作业于以OSI网络参考模型为主的网络层和传输层。通过对数据流里的每个数据包的源地址、使用端口等进行检测来确定数据包的合理性，一些难以达到过滤条件的数据包将会被停止使用，只有达到过滤要求的数据包，才能会被转发到指定的目的地。这类的防火墙安装快捷、使用方便、便于操作，通常情况下会被安装在路由器上。

2.状态监测技术。状态监测技术主要通过抽取一些相关数据来达到监测网络各层的目的，并根据过滤条件做出正确的安全决策。状态监测技术不仅会详细分析每个数据包信息，而且还能对信息进行过滤，这种信息过滤功能能够有效防止出现安全漏洞。

3.服务技术。服务技术中的转发功能主要通过在OSI网络参考模型的应用层上设立协议过滤的方式来完成，它以网络服务应用协议为主要依据，以某个特定的数据过滤逻辑为手段来达到监视及控制通信流的效果。服务技术的每个应用服务均可设立专门的，这样能够有效地保障网络安全。

（二）计算机防火墙的主要功能

1.计算机防火墙为网络安全提供有力保障。毫无疑问，防火墙能够促进计算机内部网络安全性的提高，并能够将不安全的服务加以过滤，降低网络安全风险。如防火墙能够阻止不具备安全性的NFS协议进入网络系统中，为这样有利于粉碎攻击者借助一些安全性低的协议攻击计算机内部网络的目的。与此同时，防火墙还能完善网络安全措施，通过设置合理的网络安全方案，能将安全软件配置全部集中于防火墙上，有利于集中式系统管理的实现。同时，防火墙还具备VPN（具有Internet服务特性的企业内部网络技术体系）的支持功能，借助VPN这一重要平台，能将各企业单位布在世界各地的LAN或专用子网有效地组成一个整体，防止资源的滥用，为信息资源共享提供了强大的技术支持。

2.计算机防火墙为避免内部信息的外泄提供了安全平台。首先，借助防火墙可以实现内部网络的划分，加快内网重点网段的有效隔离，减少计算机潜在的网络安全隐患，确保计算机整体网络的正常运行。其次，借助防火墙可以使一些如Finger，DNS等透漏内部细节的服务隐藏起来。我们知道，当前网络安全中最突出的问题便是隐私泄露问题，网络系统中任何一个毫不起眼的细节都会引起安全问题，吸引外部攻击都的注意力，从而使得隐私充分暴露。

3.计算机防火墙可以实现网络存取和访问的监控与审计。网络使用统计数据对网络需求及安全威胁分析有着至关重要的作用。当网络中的访问经过防火墙时，防火墙能够很快地将这些访问以日志的形式记录下来，并提供重要的有关网络安全使用情况的统计数据。若有一些不利于网络安全的可疑动作出现，防火墙将会自动发出报警信号，同时将网络攻击的具体信息监测下来。

二、计算机防火墙技术的发展现状

（一）分布式防火墙技术。分布式防火墙技术是在过去传统的边界式防火墙技术所出现缺陷问题的基础上而产生的一种新兴技术。从狭义上看，分布式防火墙技术主要是指存在于计算机网络主机、服务器以及桌面机内部，且能为计算机主机提供安全保障的具体软件产品。从广义上看，分布式防火墙技术是指目前一种新型的防火墙体系架构，比如网络防火墙，主机防火墙等等都属于分布式防火墙技术产品。分布式防火墙技术主要优点就是在每个主机上设置防护系统，能够加强网络数据的检测与控制，解决网络边界之间存的通信问题。此外，还具有支持网络应用加密与认证功能。

（二）嵌入式防火墙技术。嵌入式防火墙技术主要指内嵌在路由器或者交换机内部的防火墙。有些路由器自身便带有嵌入式防火墙，用户也可通过自己购买防火墙模块，将其安装到原有的路由器或者交换机中即可。由于影响互联网使用的协议的因素多种多样，因而并非通过嵌入式防火墙技术就能将所有的网络访问服务问题处理妥当。加之，嵌入式防火墙系统作业于网络的IP层，因而难以确保所有的用户端计算机的安全性，使其不受到计算机病毒、木马程序、蠕虫等各种的威胁。通常情况下，嵌入式防火墙系统处于一种无监控状态，在处理信息过程中或者进行信息交换传递的过程中会将以往的网络连接状态忽略不计。

（三）智能防火墙技术。智能防火墙技术是通过人工智能学而形成的一种防火墙技术，种类繁多，主要包括防止入侵技术、防止攻击技术、防止数据欺骗技术、防止扫描技术以及协议正常化等多种技术。智能防火墙技术主要是通过利用统计数据，常用访问记忆，以及访问策略等方法加强数据交换信息的智能识别，从而有效的控制网络访问。智能防火墙技术是一种新型的计算模式，能够有效识别网络行为的特征值，消除匹配检查所需要的海量计算。此外，还能够有效地处理好拒绝服务（DDOS）的攻击问题、病毒传播问题以及高级应用入侵问题等，是当前防火墙技术发展的主流趋势，有着极大的发展前景。

三、计算机防火墙的应用前景

（一）防火墙数据包过滤技术的应用前景。防火墙数据包过滤技术的应用实际上是指防火墙系统将会采用多级别，多层次过滤措施，进行网络安全防护功能。具体包括两个方面：一方面，在分组层设置过滤技术，将一些达不到过滤条件的源路及虚假冒充的IP源地址全部过滤掉；另一方面，在应用网关层设置过滤，监控和监测FTP，SMTP，Internet等提供的网络通信数据服务。同时防火墙技术加入防病毒功能，在防止有害数据包攻击的同时，可以有效的抵御各种病毒软件，木马程序的入侵导致的防火墙失效，更加有效的保障终端的网络访问安全性。

防火墙技术的基本原理篇4

关键词:网络安全;防火墙

NetworkFirewallTechnologyApplicationinNetworkSecurity

PangHuan

(XingningEmploymentServiceCenter,Xingning514500,China)

Abstract:Thepaperdescribestheprinciplesofthefirewalldeploymentanddeploymentlocationofthefirewall,describedindetailsoffirewallselectioncriteriaandthecompositionofthesecuritysystemfromthelocationofthefirewalldeployment

Keywords:NetworkSecurity;Firewall

一、概述

网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

二、防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

(一)防火墙为网络系统的安全屏障

总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

(二)防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

(三)管理与培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

(四)防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

三、安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu&Lapadula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。

因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

参考文献:

防火墙技术的基本原理篇5

关键词：防火墙；原理

引言：

在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也兴风作浪。随着技术的成熟防火墙作为内网和外网之间的第一道防护有人越来越受到人们的重视。

一、防火墙的分类及工作原理

所谓防火墙指的是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它可以由软件构成也可以由硬件组成是一种计算机硬件和软件的结合。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。

1.包过滤型

包过滤型是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点

,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3.型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

4.监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。

二、防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

1.总拥有成本

防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。例如：假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2.防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

3.管理与培训

管理和培训是评价一个防火墙好坏的重要方面。,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

防火墙技术的基本原理篇6

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及vpn等相关问题。

abstract:alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,informationisattractingtheworld’sattentionandemployedasakindofimportantresources.internetisaveryactivelydevelopedfield.becauseitmaybeillegallyattackedbyhackers,itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.firewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyinternetattack.thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughscreeningrouter;andtheotherisproxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章绪论

§1.1概述

随着以internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。wWW.133229.COM伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自linternet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。开放的、国际化的internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用internet提高办事效率、市场反应能力和竞争力。通过internet，他们可以从异地取回重要数据，同时也面临internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品，并且这些产品早已打入市场，但是对于安全产品来说，要想进入我军部队。我们必须自己掌握安全测试技术，使进入部队的安全产品不出现问题，所以对网络安全测试的研究非常重要，具有深远的意义。

§1.2本文主要工作

了解防火墙的原理、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与vpn的概念及相关测试方法

第二章防火墙的原理、架构、技术实现

§2.1什么是防火墙？

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

§2.2防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏.dmz外网和内部局域网的防火墙系统。

§2.3防火墙的架构

防火墙产品的三代体系架构主要为：

第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；

第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；

第三代架构：iss（integratedsecuritysystem）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

§2.4防火墙的技术实现

从windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由zonealarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，windows软件防火墙从开始的时候单纯的一个截包丢包，堵截ip和端口的工具，发展到了今天功能强大的整体性的安全套件。

第三章防火墙的部署和使用配置

§3.1防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉ftp连接中的put命令，而且通过应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢？

----首先,应该安装防火墙的位置是公司内部网络与外部internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(vlan)，则应该在各个vlan之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(vpn)。

----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

§3.2防火墙的使用配置

一、防火墙的配置规则：

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过acl开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤：

1、确定设置防火墙的部署模式；

2、设置防火墙设备的ip地址信息（接口地址或管理地址（设置在vlan1上））；

3、设置防火墙设备的路由信息；

4、确定经过防火墙设备的ip地址信息（基于策略的源、目标地址）；

5、确定网络应用（如ftp、email等应用）；

6、配置访问控制策略。

第四章防火墙测试的相关标准

防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准gb/t18019-1999《信息技术包过滤防火墙安全技术要求》、gb/t18020-1999《信息技术应用级防火墙安全技术要求》和gb/t17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档，中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：

4.1规则配置方面

要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。

§4.2防御能力方面

对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了x-scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。

§4.3主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§4.4自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：

高级：预设的防火墙安全等级，用户可以上网，收发邮件；l

中级：预设的防火墙安全等级，用户可以上网，收发邮件，网络聊天，ftp、telnet等；l

低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；l

自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。l

§4.5其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。

§4.6资源占用方面

这方面的测试包括空闲时和浏览网页时的cpu占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。

§4.7软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§4.8软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护

第五章防火墙的入侵检测

§5.1什么是入侵检测系统？

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

入侵检测系统(ids)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。ids被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵

§5.2入侵检测技术及发展

自1980年产生ids概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组;缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即ims——入侵管理系统。

新一代的入侵检测系统应该是具有集成hids和nids的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统

§5.3入侵检测技术分类

从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时，存在四种可能：一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法：

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

§5.4入侵检测技术剖析

1）信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3）统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用guest帐号登录的，突然用admini帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

4）完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如md5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

§5.5防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程，不能靠几个产品单独工作来进行安全防范。理想情况下，整个系统的安全产品应该有一个响应协同，相互通信，协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动，当入侵检测系统检测到入侵后，通过和防火墙通信，让防火墙自动增加规则，以拦截相关的入侵行为，实现联动联防。

§5.6什么是vpn?

vpn的英文全称是“virtualprivatenetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或windows2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§5.7vpn的特点

1.安全保障虽然实现vpn的技术和方式很多，但所有的vpn均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于vpn直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其vpn上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证（qos）

vpn网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建vpn的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。qos通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

vpn必须能够支持通过intranet和extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。vpn管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，vpn管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、qos管理等内容。

§5.8vpn防火墙

vpn防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由vpn防火墙过滤的就是承载通信数据的通信包。

最简单的vpn防火墙是以太网桥。但几乎没有人会认为这种原始vpn防火墙能管多大用。大多数vpn防火墙采用的技术和标准可谓五花八门。这些vpn防火墙的形式多种多样：有的取代系统上已经装备的tcp/ip协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的vpn防火墙只对特定类型的网络连接提供保护（比如smtp或者http协议等）。还有一些基于硬件的vpn防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做vpn防火墙，因为他们的工作方式都是一样的：分析出入vpn防火墙的数据包，决定放行还是把他们扔到一边。

所有的vpn防火墙都具有ip地址过滤功能。这项任务要检查ip包头，根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个vpn防火墙，vpn防火墙的一端有台unix计算机，另一边的网段则摆了台pc客户机。

当pc客户机向unix计算机发起telnet请求时，pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来，协议栈将这个tcp包“塞”到一个ip包里，然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里，这个ip包必须经过横在pc和unix计算机中的vpn防火墙才能到达unix计算机。

现在我们“命令”（用专业术语来说就是配制）vpn防火墙把所有发给unix计算机的数据包都给拒了，完成这项工作以后，比较好的vpn防火墙还会通知客户程序一声呢！既然发向目标的ip数据没法转发，那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。

还有一种情况，你可以命令vpn防火墙专给那台可怜的pc机找茬，别人的数据包都让过就它不行。这正是vpn防火墙最基本的功能：根据ip地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用ip地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的vpn防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用dns主机名建立过滤表，对dns的伪造比ip地址欺骗要容易多了。

后记：

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

但无论如何，入侵检测不是对所有的入侵都能够及时发现的，即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

同样入侵检测技术也存在许多缺点，ids的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面：

1)利用加密技术欺骗ids;

2)躲避ids的安全策略;

3)快速发动进攻，使ids无法反应;

4)发动大规模攻击，使ids判断出错;

5)直接破坏ids;

6)智能攻击技术，边攻击边学习，变ids为攻击者的工具。

我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。

参考文献：

1..marcusgoncalves著。宋书民，朱智强等译。防火墙技术指南[m]。机械工业出版社

2.梅杰，许榕生。internet防火墙技术新发展。微电脑世界.