计算机网络课设

7-28: 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙？

防火墙的工作原理：防火墙中的分组过滤路由器检查进出被保护网络的分组数据，按照系统管理员事先设置好的防火墙规则来与分组进行匹配，符合条件的分组就能通过，否则就丢弃。 防火墙提供的功能有两个：一个是阻止，另一个是允许。阻止就是阻止某种类型的通信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是阻止。

网络级防火墙：主要是用来防止整个网络出现外来非法的入侵，

属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据，而后者则是检查用户的登录是否合法。

    应用级防火墙：从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分各种应用。

  

  

 

                     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  摘要

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

一  防火墙是什么

防火墙是一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。由于防火墙不可能阻止所有入侵的发生，作为系统防御的第二防线，入侵检测系统IDS网络活动，并进行报警以便进一步采取相应措施。

防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。这个访问控制策略是由使用防火墙的单位自行制定的，这种安全策略应该最适合本单位的需要，防火墙位于互联网和内部网络之间。互联网这边是防火墙的外面，而内部网络这边是防火墙的里面。一般都把防火墙里面的网络称为“可信的网络”，而把防火墙外面的网络称为“不可信的网络”。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

二 防火墙发展历史 

20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。  到1989年，贝尔验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段：

    第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。

第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。

第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

三 防火墙技术分类

（1）分组过滤路由器：是一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃。过滤规则是基于分组的网络层或运输层首部的信息，例如：源/目的IP地址，源/目的端口，协议类型(TCP或UDP)，等等。我们知道，TCP的端口号指出了在TCP上面的应用层服务。例如，端口号为23是TELNET，端口号119是新闻网USENET，等等。所以，如果在分组上过滤器中将所有目的端口号为23的入分组（incoming packet）都进行阻拦，那么所有外单位用户就不能使用TELNET登录到本单位的主机上。同理，如果某公司不愿意其雇员在上班时花费大量时间去看互联网的USENET新闻，就可将目的端口号为119的出分组阻拦住，使其无法发送到互联网。

分组过滤器可以是无状态，即独立的处理每一个分组。也可以是有状态的，即要跟踪每一个连接或会话的通信状态，并根据这些状态信息来决定是否转发分组。例如，一个目的地是某个客户动态分配端口的进入分组，它被允许通过的唯一条件是：该分组是该端口发出合法请求的一个响应。这样的规则只能通过有状态的检查来实现。

分组过滤路由器的优点是简单高效，且对于用户是透明的，但不能对高层数据进行过滤。例如，不能禁止某个用户对某个特定应用进行某个特定的操作，不能支持应用层数据鉴别。这些功能需要使用应用网关技术来实现。

（2）应用网关也称为代理服务器，它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关。所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时，先发送给应用网关，应用网关在应用层大开该报文，查看该请求是否合法/。如果请求合法，应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法，应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法，报文则被丢弃。例如，一个邮件网关在检查每一个邮件时，根据邮件地址，或邮件的其他首部，甚至是报文的内容来确定该邮件能否通过防火墙。

应用网关也有一些缺点。首先，每种应用都需要一个不同的应用网关（可以运行在同一台主机）其次，在应用层转发和处理报文，处理负担较重。另外，对应用程序不透明，需要在应用程序客户端配置应用网关地址。

四 防火墙功能概述 

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。

防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序连网动作进行过滤

(2)对应用程序访问规则具有自学习功能。

(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。

(5)被拦阻时能通过声音或闪烁图标给用户报警提示。防火墙仅靠这些

核心技术功能是远远不够的。核心技术是基础必须在这个基础之上加

入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。

五 防火墙的不足

    防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

六 防火墙主要技术特点

（1）应用层采用Winsock 2 SPI进行网络数据控制、过滤；

（2）核心层采用NDIS HOOK进行控制，尤其是在Windows 2000 下，此技术属微软未公开技术。此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock 2 SPI ；二是核心层封包过滤，采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上，属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用

Winsock 2 SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows 平台，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95 只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，CPU 占用率低；封包还没有按照低层协议进行切片，所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。

七 结论

随着Internet和Intranet技术的发展，网络的安全已经显得越来越重要，网络病毒对企业造成的危害已经相当广泛和严重，相应的病毒防范技术也发展到了网络层面，并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生，就是为了解决来自企业网络内和外的攻击；克服传统“边界防火墙”的缺点，集成了IDS、VPN和防病毒等防病毒等安全技术，实现从网络到服务器以及客户端全方位的安全解决方案，满足企业实际应用和发展的安全要求。

防火墙是为用户提供信息的保密，认证和完整性保护机制网络中的服务，数据以及系统免受侵扰和破坏。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。