毕业设计（论文）网络安全中的防火墙设计.doc

网络安全中的防火墙摘 要随着计算机网络日益普及，网络技术正在改变着人类得现实世界，改变着人们得工作方式、学习方式以及生活方式。在经济、文化、科研、军事、政治、教育和社会生活各个领域内发挥这越来越重要的作用，对于各类信息的收集、分析、传输以及交换等处理，计算机网络越来越成为必不可少的途径。计算机网络的发展进一步走向开放，开放的计算机网络给人们提供了更多得机会和方便，社会正越来越依赖于网络及其存储的信息，然而网络的开放性也带来各种各样的复杂问题。其中网络安全是最令人关注的也是最重要的问题之一。在网络社会里，国家、政府、企业、学校和个人都面临许多潜在的网络安全的新挑战和新危险，网络的安全性受到前所未有的重视。防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。【关键词】：计算机 防火墙 网络安全 黑客攻击Firewall in network securitySummaryplay an increasingly important role in this, for all types of information collection, analysis, transmission and exchange processing, computer networks are increasingly becoming indispensable small way. To further the development of computer networks is open to the people's computer network was to provide more opportunities and convenience, society is increasingly dependent on the network and its stored information, however, the openness has also brought a variety of complex problems. Network security is one of the most concern is the most important issues. In the network society, state, government, businesses, schools and individuals are faced with many potential new network security challenges and new dangers, network security unprecedented attention. Firewall is widely used network security devices, its main purpose is to restrict the illegal flow, in order to protect the internal subnet. View from the deployment location, network firewalls are often located in export, is internal network and the only access between external networks, thereby increasing the performance of a firewall to prevent it from becoming a bottleneck, the success of firewall products become a key issue. Key words: computer firewall network security hacking 目 录第一章 绪论11.1计算机安全11.1.1计算机安全11.1.2.计算机信息系统的安全11.1.3计算机病毒11.1.4网络安全21.1.5黑客31.1.6防火墙技术31.1.7其他防范技术31.1.8我国负责计算机信息系统安全工作的主要部门31.2.1防火墙31.2.2防火墙的发展史41.3防火墙的功能41.3.1保护那些易受攻击的服务41.3.2控制对特殊站点的访问51.3.3集中化的安全管理51.3.4对网络访问进行记录和统计51.4防火墙的安全性设计51.4.1用户认证51.4.2域名服务51.4.3邮件处理51.4.4IP层的安全性51.4.5防火墙的IP安全性61.4.6防火墙的基本组成结构61.5防火墙分类61.5.1屏蔽路由器61.5.2双宿堡垒主机61.5.3屏蔽主机防火墙61.5.4屏蔽子网防火墙61.6防火墙的局限性71.6.1网络的安全性通常是以网络服务的开放性和灵活性为代价71.6.2防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失7第二章 防火墙的技术82.1包过滤防火墙82.1.1包过滤防火墙的工作原理82.1.2包过滤防火墙的优缺点82.2代理型防火墙92.2.1代理型防火墙的工作原理92.2.2代理型防火墙的优缺点112.3状态监视器防火墙122.3.1状态监视器防火墙的工作原理122.3.2状态监视器防火墙的优缺点122.4复合式防火墙122.5防火墙的优缺点12第三章 第四代防火墙技术143.1第四代防火墙的技术和功能143.1.1双端口或三端口的结构143.1.2透明的访问方式143.1.3灵活的代理系统143.1.4多级过滤技术143.1.5网络地址转换技术143.1.6Internet网关技术183.1.7安全服务器网络193.1.8用户鉴别与加密193.1.9用户定制服务193.1.10审计和告警19第四章 防火墙的应用204.1个人防火墙的应用204.1.1个人防火墙简介204.1.2个人防火墙的发展背景204.1.3个人防火墙应用214.1.4个人防火墙的特点224.1.5主流个人防火墙简介224.2企业防火墙的应用234.2.1企业防火墙的简介234.2.2企业防火墙的应用244.2.3企业防火墙选购25第五章总结与发展27参考文献28致谢29第一章 绪论1.1计算机安全1.1.1计算机安全计算机在安全方面的脆弱性使它面临的威胁是多方面的，主要的威胁可分为恶劣环境的影响、偶然故障和错误、人为的攻击破坏以及计算机病毒感染四类。 1.1.2.计算机信息系统的安全随着计算机信息系统应用的深入，计算机信息系统逐步从单机向局域网、广域网发展，特别是Internet的迅速发展，计算机信息系统安全面临新的、更严峻的挑战。 构成计算机信息系统基础的计算机操作系统和网络的千差万别，实现计算机联接的多种网络拓朴结构的混合，所采用介质的多样性，信息的集中处理或分布处理等多种形式，这些都大大增加了计算机信息系统安全问题解决的难度。因此计算机信息系统安全不再是系统内某个元素或某几个元素的安全，而是系统整体的安全，不再是一个单纯而简单的问题，而是一个系统工程。 从技术角度看，计算机系统安全包括计算机安全、网络安全和信息安全。其中信息安全是主线，它贯穿在计算机安全和网络安全之中。 1.1.3计算机病毒计算机病毒是具有自我复制能力的并具有破坏性的计算机程序（下简称"病毒"），它会影响和破坏正 常程序的执行和数据的安全。它不仅侵入到所运行的计算机系统，而且还能不断地把自己的复制品传播到 其他的程序中，以此达到其破坏作用。病毒一般都具有很强的隐蔽性，所以不易被发现。计算机病毒发展 到今天，已成为计算机世界里的一种恶性顽疾，是研究计算机安全保密防范时必须经常考虑和面对的一个主要问题。1.病毒的特点计算机病毒与生物病毒几乎具有完全相同的特征，如生物病毒的传染性、流行性、繁殖性、表现性、 针对性等特征，计算机病毒都具备，所不同的是：计算机病毒不是微生物，而是一段可执行的计算机程序。 2.病毒的传染途径传染性是计算机病毒最显著的特征，威胁也最大。如没有传染性，即使病毒的破坏性再大，也只能破坏一台计算机，而不能威胁其它计算机。 计算机病毒从一个计算机系统向其它计算机系统进行传染的主要途径是联网线路、磁盘和光盘。在单机环境下，病毒主要是通过互相交换的带毒磁盘或光盘传染的。硬盘虽然是固定式存储介质，但是硬盘是病毒的重要滋生地，许多病毒都寄生在硬盘上，一旦用寄生有病毒的硬盘启动计算机，并且对某些软盘和光盘进行读写操作，那么，病毒就会传染到软盘和光盘上，并通过这张软盘和光盘扩散开来。 对于网络来说，带病毒的服务器则是病毒的集散点，它一般通过可执行文件的传递而传播。在联网条件下，计算机病毒扩散的途径，增加了许多，它可以通过访问、文件下载、电子邮件等各种途径来传播病毒。 3.毒的危害 计算机病毒对计算机的危害形式主要有以下几种：（1） 减少存储器的可用空间；（2）使用无效的指令串与正常运行程序争夺CPU时间；（3）破坏存储器中的数据信息；（4）破坏相连网络中的各项资源；（5）构成系统死循环；（6）肆意更改、破坏各类文件和数据；（7）破坏系统I/O功能；（8）彻底毁灭软件系统。（9）用借读数据更改主板上可檫写型BIOS芯片，造成系统崩溃或主板损坏；（10）造成磁头在硬盘某些点上死读，从而破坏硬盘。计算机病毒通过这几种危害形式，给计算机造成的灾害是巨大的。这方面的事例数不胜数。4.病毒的防治由于病毒对微机资源造成严重的破坏，所以必须从管理和技术两方面采取有效措施，以防止病毒的入侵。在日常工作中，防止病毒感染的主要措施有：（1） 首先，也是最重要的一点是选择并安装一个反病毒软件，由于新的病毒不断出现（平均每天13个），没有一台计算机能在如今高度共享、高度网络化的世界里在不装反病毒软件的情况下躲过病毒的攻击。定期对所用微机进行检查，包括所使用的软盘和硬盘，以便及时发现病毒，防患于未然。（2）减少服务器中用户写的权力。把服务器中写的权力控制在尽量少的人手中，能避免不必要的麻烦和损失。（3）防范来历不明软盘和盗版光盘。应对来历不明的软盘和盗版光盘保持高度警惕，在把它塞进驱动器前要考虑清楚，如果你不得不这样做，请先用反病毒软件对软盘进行检查，扫描盘中的每一个文件（不仅仅是可执行文件），包括压缩文件。同样，在你给别人软盘时，及时对软盘写保护，这样别人机器里的病毒就不会传到你的软盘里。（4）在阅读电子邮件的附件前进行扫描。有些邮件接收软件在用户打开一封邮件后会自动打开附件，请千万关闭这个功能。（5）下载的时候要小心。下载文件是病毒来源之一。1.1.4网络安全网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。 设计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保证系统的安全，同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面的友好性。1.1.5黑客黑客是英文"Hacker"的音译原意为热衷于电脑程序的设计者。今天已演变为挑战权威，喜欢标新立异，利用某种技术手段非法进入其权限以外的电脑和网络空间的人们。黑客入侵目的很复杂，有的为显示技术实力，有的为报复他人，有的出于政治目的，有的为了技术情报和经济目的，其目标是各式各样的，包括国家安全、军事技术、政治机密、知识产权、商业机密和个人隐私。1.1.6防火墙技术伴随着的国际互联网的迅速普及和发展，诞生了一个崭新的名词-"防火墙"技术。所谓防火墙技术，就是象征性地比喻将危害信息系统安全的"火"阻挡在网络之外，为网络建一道安全的屏障。它可能由一个硬件和软件组成，也可以是一组硬件和软件构成的保护屏障。它是阻止国际互联网络"黑客"攻击的一种有效手段。简单地讲，它的作用就是在可信网络（用户的内部网络）和非可信网络（国际互联网、外部网）之间建立和实施特定的访问控制策略。所有进出的信息包都必须通过这层屏障，而只有授权的信息包（由网络的访问控制策略决定）才能通过。1.1.7其他防范技术防火墙技术是国际互联网安全技术的一个重要手段，但也不是万能的，对一些重要的网络，根据需要采用其他加密技术、网络安全检测技术和防病毒技术等等。1.1.8我国负责计算机信息系统安全工作的主要部门目前我国有三个部门负责计算机信息网络安全的工作，一个是公安部，负责计算机网络安全；第二是国家保密局，负责计算机网络系统的信息保密;第三是国家密码委员会，负责密码的研制、管理和使用。 1.2防火墙1.2.1防火墙防火墙是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测潜在的破坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙是具有以下特征的计算机硬件或软件：1.由内到外和由外到内德所有访问都必须通过它。2.只有本地安全策略所定义的合法访问才被允许通过它。3.防火墙本身无法被穿透。通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到隔离内、外部网络的目的，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。1.2.2防火墙的发展史第一代防火墙：该防火墙技术几乎与路由器同时出现，采用了包过滤技术。第二、三代防火墙：1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。 第四代防火墙：1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为状态检测（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。下图表示了防火墙技术的简单发展历史：图1-1 防火墙的发展图1.3防火墙的功能防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从基本要求上看，防火墙还是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。因此，对数据和访问的控制、对网络活动的记录，是防火墙发挥作用的根本和关键。无论何种类型的防火墙，从总体上看，都应具有五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。1.3.1保护那些易受攻击的服务防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙，这样降低了收到非法攻击的风险性，大大地提高了企业内部网的安全性。1.3.2控制对特殊站点的访问防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起来，防止不不要的访问。通常会有这样一种情况，在内部网种只有Mail服务器、FTP服务器和WWW服务器能被外部网访问，而其他访问则被防火墙禁止。1.3.3集中化的安全管理对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。1.3.4对网络访问进行记录和统计如果所有对Internet的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。1.4防火墙的安全性设计1.4.1用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限1.4.2域名服务防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。1.4.3邮件处理电子邮件是内部网络与Internet连通的一项主要业务，是Internet上用户之间交换信息时广泛采用的手段，一般采用（简单邮件传送协议simple mail transfer protocol,SMTP）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与Internet上的用户连通。1.4.4IP层的安全性IP层得安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。1.4.5防火墙的IP安全性防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。1.4.6防火墙的基本组成结构防火墙的基本组成机构有：屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网防火墙。1.5防火墙分类1.5.1屏蔽路由器屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。1.5.2双宿堡垒主机双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。1.5.3屏蔽主机防火墙屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。1.5.4屏蔽子网防火墙屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、Modem组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”。1.6防火墙的局限性1.6.1网络的安全性通常是以网络服务的开放性和灵活性为代价在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。1）由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻碍；2）由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。1.6.2防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失1.只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；2.不能解决来自内部网络的攻击和安全问题；3.不能防止受病毒感染的文件的传输；4.不能繁殖策略配置不当或错误配置引起的安全威胁；5.不能防止自然或人为的故意破坏；6.不能防止本身安全漏洞的威胁。第二章 防火墙的技术2.1包过滤防火墙包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。2.1.1包过滤防火墙的工作原理包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。2.1.2包过滤防火墙的优缺点包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。2.2代理型防火墙应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火墙和第二代自适应代理防火墙。2.2.1代理型防火墙的工作原理第一代：代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。 第二代：自适应代理防火墙 自适应代理技术（Adaptive proxy）是最近在对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。如果所有对Internet的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。电子邮件是内部网络与Internet连通的一项主要业务，是Internet上用户之间交换信息时广泛采用的手段，一般采用（简单邮件传送协议simple mail transfer protocol,SMTP）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与Internet上的用户连通。P层得安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。防火墙的基本组成机构有：屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网防火墙。屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、Modem组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”。网络的安全性通常是以网络服务的开放性和灵活性为代价在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。1.由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻碍；2.由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失1.只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；2.不能解决来自内部网络的攻击和安全问题；3.不能防止受病毒感染的文件的传输；4.不能繁殖策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；6.不能防止本身安全漏洞的威胁。包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火墙和第二代自适应代理防火墙。代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。 第二代：自适应代理防火墙 第一代：代理防火墙 商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。2.2.2代理型防火墙的优缺点代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。2.3状态监视器防火墙2.3.1状态监视器防火墙的工作原理这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作得前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参与。当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝和记录该访问，并向系统管理器报告网络状态。2.3.2状态监视器防火墙的优缺点状态监视器防火墙的优点：1.监测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。2.它会监测RPC和UDP之类得端口信息，而包过滤和代理网关都不支持此类端口。3.性能坚固。状态监视器防火墙的缺点：1.配置非常复杂。2.会降低网络的速度。2.4复合式防火墙1.常见是代理服务器和状态分析技术的组合；2.具有对一切连接尝试进行过滤的功能；3.提取和管理多种状态信息的功能；4.智能化做出安全控制和流量控制的决策；5.提供高性能的服务和灵活的适应性；6.具有网络内外完全透明的特性。2.5防火墙的优缺点优点：1.保护网络中脆弱的服务2.实现网络安全性监视和试试报警3.增强保密性和强化私有权4.实现网络地址转换5.实现安全性失效和自动故障恢复缺点：1.不能防范恶毒的知情者。2.不能防范不经过它的连接。3.不能防备全部的威胁，特别是新产生的威胁。4.不能有效地防范病毒的攻击。