防火牆技術論文二篇

　　防火牆技術是一種和網際網路使用者的安全息息相關的一種網路安全技術，小編整理的，希望你能從中得到感悟!

　　防火牆技術論文篇一

　　淺談Internet防火牆技術

　　摘要：防火牆技術是一種和網際網路使用者的安全息息相關的一種網路安全技術，本文主要是通過分析防火牆日誌檔案，建立了相應的分析模型，然後通過分析網際網路防火牆的工作原理以及和傳統防火牆的優劣對比，在充分結合並分析現有計算機領域最新技術的基礎上，提出了新的防火牆技術。

　　關鍵詞：防火牆;網際網路;日誌

　　中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 ***2012*** 04-0000-02

　　一、引言

　　隨著計算機的普及和網際網路技術的發展，計算機的應用越來越廣泛，但是網路安全問題也日益嚴重。據最新統計顯示，在美國，每年因網際網路安全問題所帶來的經濟損失高達100億美元，而在我國，計算機黑客入侵和病毒破壞每年也給我國帶來巨大經濟損失。如何建立確保網路體系的安全是值得我們去關注的一個問題。本文從防火牆技術的角度對網際網路安全問題防火措施提出了自己的見解和意見。

　　二、防火牆技術淺析

　　隨著Internet的迅速發展，網路應用涉及到越來越多的領域，網路中各類重要的、敏感的資料逐漸增多;同時由於黑客入侵以及網路病毒的問題，使得網路安全問題越來越突出。因此，保護網路資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對於區域性網路的保護，防火牆仍然不失為一種有效的手段，防火牆技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發展起來的一種技術，其應用非常廣泛。

　　***一***防火牆的概念。防火牆是指設定在不同網路安全域或者不同網路安全之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出***，能根據企業的安全政策控制***允許、拒絕、監測***出入網路的資訊流，且本身具有較強的抗攻擊能力。它是提供資訊保安服務，實現網路和資訊保安的基礎設施。防火牆提供資訊保安服務，是實現網路和資訊保安的基礎設施。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網路和網際網路之間的任何活動，保證了內部網路的安全。

　　***二***防火牆的主要功能。1.包過濾：包過濾屬於一種網際網路資料安全的保護機制，通過包過濾，可以有效的控制網路資料的流入和流出。包過濾由不同的安全規則組成;2.地址轉換：地址轉換分為目的地質轉換和源地址轉換兩種。源地址轉換可以通過隱藏內部網路結構和轉換外部網路結構實現了避免外部網路的惡意攻擊。3.認證和應用代理：所謂認證就是指對訪問防火牆的來訪者身份的確認。所謂代理是指防火牆內建的認證資料庫;4.透明和路由：主要是指把防火牆網管隱蔽起來以免遭到外來的攻擊。隱蔽智慧閘道器提供了對網際網路服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網路的非法訪問;防火牆還支援路由方式，提供靜態路由功能，支援內部多個子網之間的安全訪問。

　　***三***防火牆的原理及分類。根據國際電腦保安委員會的分類，防火牆分為三類，分別是包檢測防火牆、包過濾防火牆和應用及代理伺服器。包過濾技術的防範手段。包過濾防火牆是指通過把收到的資料包和預先設定的包過濾規則進行比較判斷，決定是否允許通過。它主要工作在計算機的網路層，過濾的規則就是通過和網路層的IP包包頭進行資訊比較。IP包包頭的主要資訊有：封裝協議、IP地址、和ICMP資訊型別等。通過比較，如果資訊不匹配，則拒絕轉發。從速度來看，由於包括鋁處於網路層，對連線的檢查也比較粗略，因此，它的速度是最快的。而且實現的要求比較低。從安全性角度來看，由於其過濾規則的不完善性，所以存在一系列的漏洞，安全性卻比較低。

　　***四***防火牆包過濾技術。隨著網際網路的發展，網路安全問題變得越來越重要。而且，隨著黑客入侵技術的進一步提高，計算機網路安全問題也變得更加嚴峻。如何保護計算機網路不受到攻擊和病毒感染已經成為人們普遍關心的問題，在對區域網進行保護的技術中，防火牆技術是一種非常有效的手段。而防火牆技術中的包過濾技術是發展比較早、比較廣泛的技術。包過濾就是指為確保網路的安全，對每一個流經網路的資料包進行檢查並根據相應的檢查規則確認是否允許通過。包過濾技術具有速度與透明性兩重優點。

　　***五***防火牆的配置。從硬體的角度看，防火牆和路由交換裝置之間通常有多個藉口哦，資料傳輸速度主要是由檔次與價格決定的。比如，一般的中小企業使用的出口頻寬都是100M以內的。防火牆在網路拓撲圖中的位置非常關鍵，在網路拓撲圖中，防火牆一般處於外網和內網之間互聯的區域。如果防火牆上有WAN介面，就可以把它直接與外網相連。防火牆和傳統的路由器在外觀上差別不大，和路由器交換機不同之處在於，在對防火牆進行配置時，需要把他們劃分成不同的許可權和優先順序。而且還要相關介面的隸屬區域進行相應的配置。在進行實際設定的時候，需要把各自埠劃分到某些區域時才可以進行訪問。在預設情況下對資料介面的通訊是組織的。除了這些差別，防火牆的其他配置和路由器交換裝置的配置差不多。

　　軟體的配置與實施，這裡以H3C的F100防火牆為例，當企業外網IP地址固定並通過光纖連線的具體配置。先當企業外網出口指定IP時配置防火牆引數。選擇介面四連線外網，介面一連線內網。這裡假設電信提供的外網IP地址為202.10.1.194 255.255.255.0。

　　第一步：通過CONSOLE介面以及本機的超級終端連線F100防火牆，執行system命令進入配置模式。

　　第二步：通過firewall packet default permit設定預設的防火牆策略為“容許通過”。

　　第三步：進入介面四設定其IP地址為202.10.1.194，命令為

　　int e0/4

　　ip add 202.10.1.194 255.255.255.0

　　第四步：進入介面一設定其IP地址為內網地址，例如192.168.1.1 255.255.255.0，命令為

　　int e0/1

　　ip add 192.168.1.1 255.255.255.0

　　第五步：將兩個介面加入到不同的區域，外網介面配置到非信任區untrust，內網介面加入到信任區trust――

　　fire zone untrust

　　add int e0/4

　　fire zone trust

　　add int e0/1

　　第六步：由於防火牆執行基本是通過NAT來實現，各個保護工作也是基於此功能實現的，所以還需要針對防火牆的NAT資訊進行設定，首先新增一個訪問控制列表――

　　acl num 2000

　　rule per source 192.168.0.0 0.0.255.255

　　rule deny

　　第七步：接下來將這個訪問控制列表應用到外網介面通過啟用NAT――

　　int e0/4

　　nat outbound 2000

　　第八步：最後新增路由資訊，設定預設路由或者靜態路由指向外網介面或外網電信下一跳地址――

　　ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 ***如下圖***

　　執行save命令儲存退出後就可以在企業外網出口指定IP時實現防火牆資料轉發以及安全保護功能了。

　　三、防火牆發展趨勢

　　隨著計算機病毒的發展和黑客技術的提升，傳統的防火牆技術已經不能解決這些問題。從目前來看，防火牆技術正在向新的方向發展。

　　從防火牆的體系結構發展來看。為應對未來發展需要，人們相繼開發了基於ASIC的防火牆和基於網路處理器的防火牆。這類防火牆對軟體的依賴度有所增加，但是卻可以大大的減輕CPU的壓力。在效能上比傳統防火牆有新的提升。然而從程式設計的角度來看，這種防火牆缺乏靈活性，要實現和軟體的配合使用，必須新增新的硬體。

　　從防火牆的包過濾技術發展來看，一些防火牆廠商在防火牆中添加了新的認證體系和方法。從而大大的提高了使用者的安全級別，但是在一定程度上也給網路通訊帶來了一定的負面影響。多包過濾技術的發展彌補了單獨過濾技術的不足和缺陷，而且這種技術具有分層清楚、擴充套件性強等特點。是將來防火牆技術發展的基礎。

　　四、結束語

　　網際網路技術的發展使得計算機應用越來越普及，但是隨之而來的是網路安全問題也日益突出，網路病毒對經濟社會生活帶來了極大的危害。通過採用新的防火牆技術，可以有效的確保網際網路的安全。本文正是基於這個背景進行探討和研究的。相信不久的將來，隨著防火牆技術的進一步發展，網際網路安全問題會逐步得到有效的控制和解決。

　　參考文獻：

　　[1]王豔.淺析電腦保安[J].電腦知識與技術,2010,***s***:1054

　　[2]艾軍.防火牆體系結構及功能分析[J].電腦知識與技術.2004,***s***:79

　　[2]孟濤,楊磊.防火牆和安全審計[M].電腦保安.2004,***4***:17

　　[4]鄭林.防火牆原理入門[Z].E企業.2000.

　　[作者簡介]於婷婷***1989.08-***，女，就讀於哈爾濱師範大學電腦科學與資訊工程學院，本科生，研究方向為電腦科學與技術。

　　防火牆技術論文篇二

　　防火牆安全技術探討

　　摘 要：隨著當前網際網路的飛速發展，網路安全已經成為人們目前最為關心的問題。因為網路傳遞資訊非常迅速，並且擁有非常強的隱蔽性，網際網路上很難知道使用者的真實姓名，網路黑客、網路犯罪、以及各種不良的資訊在網上的散佈已經越來越嚴重。網際網路的安全與生產，意味著曾經的通訊安全年代已經轉變為當前的資訊保安年代。保障網路資訊的安全是當前需要迫切解決的問題，我們不僅要應用法律武器，還需要採用技術手段來保障網際網路的安全，而採用防火牆技術是目前保證網路安全的重要手段之一。

　　【關鍵詞】IP地址 閘道器 網路防火牆 地址

　　網際網路的安全技術是目前非常熱門的一項安全技術，也是國際社會非常關心的重要話題。

　　網際網路的發展勢頭非常迅速，致使各類資訊在網際網路中迅速蔓延，但是資訊科技的發展還不夠健全，需要不斷的創新。網際網路的普及在給社會大眾帶來許多便捷和效率的同時，也給人們造成了許多困擾。目前計算機網路已經普及到了各行各業，而行業中的各類商業機密都會儲存在計算機中，倘若網路不能夠保證安全，這些商業機密就很有可能會被竊取。這就需要應用防火牆技術來保障計算機網路的安全。

　　1 防火牆安全技術概述

　　1.1 防火牆安全技術的定義

　　通常防火牆所指的是由電腦硬體與軟體結合構成的一種保護措施，其是存在於公用網與專用網以及外網與內網之間的一種保護屏障。所謂的防火牆技術採用的是通過加強網路控制訪問，以此來預防外網使用者採用非法手段入侵內網，從而竊取內容的重要機密，從而達到保障網路安全操作環境目的的安全技術。防火牆技術是採用一定的技術來安全檢查網際網路中傳輸的各類資料，從而實現保障網路的安全，防火牆在檢查傳輸資料的同時還時刻監視著網際網路執行的狀況。

　　1.2 防火牆安全技術的作用

　　一是防火牆可以過濾不良的資訊，從而保障網際網路的安全執行，相關的網路協議必須通過仔細的選擇才可以通過防火牆的安全過濾。因此，防火牆在一定程度上保障了網際網路的安全。

　　二是防火牆安全技術可以行之有效的保障內部資訊的安全。防火牆可以有效的對內網進行區分，以此來照顧關鍵網段，採取針對性的隔離措施，就可以控制一些較為敏感或關鍵性的安全問題對網路造成的威脅。與此同時，內部網路的機密問題一直都是網際網路中非常關鍵的問題，而我們在預防非法資訊入侵的同時，還必須要注意內網中的潛在問題，在內網中極有可能隱藏了一些隱患，而防火牆技術可以很好的過濾這些潛在的隱患，並且隔離這些隱患。

　　三是防火牆安全技術可以實現網路訪問的控制。防火牆還具備一個非常重要的作用，即有訪問在通過防火牆的時候，其可以自動記錄訪問者的具體資訊，並省城對應的日誌，從而提供對應的查詢資料。只要出現非法操作，防火牆就可以及時發現，併發出警報，同時還可以提供攻擊方的具體資料，從而有效的控制網路訪問者。

　　2 計算機防火牆安全技術的幾種型別

　　2.1 防火牆技術之包過濾型

　　防火牆技術中最為基本的模式就是包過濾型，其是網路防

　　火牆當中最為簡單的方式，這種技術是根據“網路分包傳輸技術”完成的。“包”是網際網路中資訊傳輸的基本傳輸單位，網際網路中的資料在傳輸的時候，通常都會被分成若干個資料包，其中不同的資料包所包括的資訊也不盡相同。而防火牆就是採取安全過濾這些資料包，從而判斷其中是否有不安全因素，只要發現數據包中包含隱患又或者是來自於不安全網站的資料包，包過濾型防火牆就會採取隔離的方式來針對這些資料包，管理員在隔離區根據情況進行對應的處理措施。

　　包過濾型防火牆技術具備一定的安全保護能力，然而作為較為初級的保護措施，其也存在著不足。其優勢在於技術簡單，成本不高，可以應付較為簡單的網路環境。包過濾型防火牆可以對資料包實施簡單的過濾監督，針對資料包的協議、源地址及目標地址進行對應的檢查，其也是網際網路之間進行訪問的唯一途徑，其可以對資料包進行有效的控制。其缺點是不支援應用方面協議的監控，針對高階的黑客入侵無可賴何，並且不能過濾新增的安全隱患。

　　2.2 防火牆技術之代理型

　　代理型防火牆就是我們俗稱的代理伺服器，其安全性要遠遠高於包過濾型防火牆。所以，其正在向包過濾型防火牆不能涉及到的方向發展。存在於伺服器與客戶機器當中的代理型防火牆，可以針對內外網當中的通訊資訊，特別是直接通訊方面能夠徹底的隔絕，組織外部網及內部網之間的資訊流通，其對於客戶機器來說，代理型防火牆就充當了伺服器的角色。而針對伺服器方面來說，代理型防火牆又充當了客戶機器的角色。代理型防火牆的優勢在於安全性得以提升，缺點則是其讓網路管理變得較為繁雜，對網路管理員的專業知識要求過高。

　　2.3 防火牆技術之監測型

　　監測型防火牆技術己經超越了原始防火牆的定義，監測型防火牆主要是對各個層面都能實現實時的檢測，同時，對檢測到的資料進行分析，從而判斷出來自不同層面的不安全因素。一般情況下監測型防火牆的產品還帶有探測器，這種探測器是一種分散式的探測器，它能夠對內網和外網進行雙重的監測，防禦外部網路攻擊的同時還能夠防範內部網路的破壞。因此，監測型防火牆在安安全性上遠遠超越了傳統防火牆，但是當前市面上的價格比較高，應用的資金投入較大。

　　3 小結

　　而當前主流的防火牆技術，大部分都是採用代理伺服器結合了包過濾的技術，將這兩種技術有機的結合起來顯然要比單獨使用其中之一的技術更為全面。因為這種技術是以應用為本的，應用型閘道器都可以提升協議的過濾作用，並且採用代理應用，應用閘道器可以有效的防止內部機密的洩露。

　　參考文獻

　　[1] 王淑琴，海麗軍.對計算機網路安全技術的探討[J].內蒙古科技與經濟，2007***20***.

　　[2] 譚建輝.電子商務時代的網路安全技術問題探究[J].大眾科技，2005***10***.

　　[3] 阿迪亞・扎曼別克，木合布力・謝力甫汗. 淺談計算機網路安全技術[J].中國教師， 2008***S1***.

　　作者單位

　　西安交通大學城市學院 陝西省西安市 710041