计算机网络安全：通信与网络安全技术

1、防火墙（firewall）技术

防火墙一般具有以下几个功能：

（1）访问控制功能。这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护内部网络的资源和数据。需要禁止非授权的访问，防火墙需要识别哪个用户可以访问何种资源，包括服务控制、方向控制、用户控制和行为控制等功能。

（2）内容控制功能。根据数据内容进行控制，例如，防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息，也可以限制外部访问，使它们只能访问本地Web服务器中一部分信息

（3）全面的日志功能。防火墙需要完整地记录网络访问情况，包括内、外网进出的访问，以检查网络访问情况。一旦网络发生了入侵或者遭到了破坏，就可以对日志进行审计和查询。

（4）集中管理功能。在一个安全体系中，防火墙可能不止一台，因此，防火墙应该是易于集中管理的。

（5）自身的安全和可用性。防火墙要保证自身的安全，不被非法侵入，保证正常的工作。如果防火墙被侵入，安全策略被修改，这样，内部网络就变得不安全。同时，防火墙也要保证可用性，否则网络就会中断，网络连接就会失去意义。

另外，防火墙还应带有如下的附加功能：

（1）流量控制。针对不同的用户限制不同的流量，可以合理使用带宽资源。

（2）网络地址转换（Network Address Translation, NAT）。NAT是通过修改数据包的源地址（端口）或者目的地址（端口）来达到节省IP地址资源，隐藏内部IP地址功能的一种技术。

（3）VPN（Virtual Private Network，虚拟专用网）。只利用数据封装和加密技术，使本来只能在私有网络上传送的数据能够通过公共网络进行传输，使系统费用大大降低。

一般可以分为包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙。

（1）包过滤型防火墙。包过滤型防火墙是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤规则（访问控制表）。通过检查每个数据包的源地址、目的地址、端口和协议状态等因素，确定是否允许该数据包通过。包过滤型防火墙的优点是逻辑简单、成本低，易于安装和使用，网络性能和透明性好，通常安装在路由器上。其缺点是很难准确地设置包过滤器，缺乏用户级的授权；包过滤判别的条件位于数据包的头部，由于IPv4的不安全性，很可能被假冒或窃取；是基于网络层的安全技术，不能检测通过高层协议而实施的攻击。

（2）电路级网关型防火墙。电路级网关型防火墙起着一定的代理服务作用，监视两台计算机建立连接时的握手信息，判断该会话请求是否合法。一旦会话连接有效后，该网关仅复制和传递数据。电路级网关型防火墙在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步的分析，因此安全性低。

（3）应用网关型防火墙。应用网关型防火墙是在应用层上实现协议过滤和转发功能，针对特别的网络应用协议制定数据过滤规则。应用网关通常安装在专用工作站系统上，由于它工作于应用层，因此具有高层应用数据或协议的理解能力，可以动态地修改过滤规则，提供记

录和统计信息。应用网关型防火墙和包过滤型防火墙有一个共同特点，就是它们仅依靠特定的逻辑来判断是否允许数据包通过，一旦符合条件，则防火墙内外的计算机系统建立直接联系，防火墙外部网络能直接了解内部网络结构和运行状态，这大大增加了实施非法访问攻击的机会。