论文防火墙对网络安全的影响摘要

1. 写一篇防火墙的管理与维护的摘要

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。防火墙的概述及其分类网络安全的重要性越来越引起网民们的注意，大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备，是处于不同网络(如可信任的局域内部网和不可信的公 1 内容导航防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 防火墙的作用、特点及优缺点防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。防火墙的作用防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户二是防止入侵者接近防御设施三是限定用户访问特殊站点四是为监视Internet安全提供方便。防火墙的特点我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 建立防火墙的安全策略要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。1) 网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。2) 防火墙的设计策略防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：① 除非明确不允许，否则允许某种服务② 除非明确允许，否则将禁止某项服务。执行防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 现在业界似乎有一种趋势认为防火墙好像没有什么用了，反正防火墙也挡不住什么攻击。在今年，“灰鸽子”和“熊猫烧香”等安全问题屡见不鲜，所以对于用户来说，尤其是那些资金比较充裕的大型行业用户，更倾向于购买一些比较贵的IDS或IPS解决方案。但事实上，防火墙还是有其用武之地的，防火墙还可以做得更多，或许对于很多用户来说，并没有必要再去花更多的钱购买IPS了。
现在，UTM、内容安全等成为了今天信息安全的新名词，在这样的大背景下，防火墙究竟应该是什么样子的呢？什么才是防火墙的立身之本呢？Secure Computing Corporation中国区总经理蔡勇及中国区技术总监郭伟一同阐释了这样的观点，从防火墙本身的设计来看，是作为安全防御的工具，而并不是现在业界的一些误导，所谓的防火墙是靠速度来取胜的，实际上，防火墙应该是靠安全性来制胜的，这才是防火墙的根本。
的确，防火墙从功能上讲，其本质是一个网络安全设备，而并不是路由器或者交换机，安全性应该是比网络通透性更为重要的参考指标。如果做到最后安全性反而缺失了的话，那“防火墙”就没有完成防火墙应该做的事情了，那么防火墙就真的变成了路由器。
当然出现这样的情况，在这其中涉及到了一个产业层面的问题，就是将来究竟是由传统的安全公司，还是由像思科这样的网络设备巨头来主导安全市场。在这里我们并不想讨论这个话题，还是想更多地关注防火墙产品本身。
除了安全性之外，对于防火墙来说，还有一点很重要，那就是应用层代理的高性能。要知道，在目前的互联网环境中，来自于应用层的攻击才是给企业、组织和个人的网络带来不安全因素的主要威胁，就算是网络层和传输层都没有问题，也并不能说明这个防火墙的性能就很好、就很安全。而也正是由于应用层的攻击在整个互联网上日益占据了主导地位，所以说应用层代理的性能才变得更为重要。
另外就是防火墙的主动防御性，Secure Computing Corporation推出的Sidewinder 7.0就是一款提供了主动式防护的防火墙，其集成了TrustedSource信誉技术。借助实时的评分系统可以切断与具有恶意信息的区域的连接，从而实现对垃圾邮件和钓鱼式攻击等安全威胁的防范，并且有效地释放了带宽空间和减轻了下游服务器的处理负担。
其实对于选择防火墙，或者说是对于信息安全的防御，并不应该是“拆东墙补西墙”，就拿前段时间出现的“灰鸽子”和“熊猫烧香”等病毒来说，出现了很多专杀产品，从商业的角度或者从技术的层面来看，就很有投机之嫌，当时是给堵上了，那明天再有别的什么“白鸽子”或者“猴子拜佛”之类的话，那又要怎么办呢？
所以，从另一个层面来讲的话，这也说明中国的用户对于安全问题并没有一个长远的规划。其实无论是选择防火墙或者是其他的安全产品，一个长远的布局是至关重要的。

2. 求一 篇关于 网络安全 的论文。。在数8000-9000。。。 可以附几篇相关文献的读后感的。。。

摘要：文中就信息网络安全内涵发生的根本变化，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。
关键词：网络安全 防火墙 技术特征
1.概述
21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。?
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。?
虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程如图1所示：
在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。
2.3.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
--- 刘大大大大
猫(3): 浅析网络安全技术

摘要：文中论述了防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。

关键词：网络安全 防火墙 PKI技术

1.概述

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

2.防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2.2.防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

2.3.管理与培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

2.4.可扩充性

在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

2.5.防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

3.加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

3.1.对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

3.2.非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e与（p-1）(q-1)互素

私有密钥：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n),其中m为明文，c为密文。

解密：m=cd(mod n)

利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

4.PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

4.2.注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

4.3.策略管理

在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

4.4.密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4.5.证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

5.安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。

国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”（Beu& La pala模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息安全关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。
慢慢看吧。。。。

3. 解析防火墙如何影响网络访问和性能

而下周Lancope将开始在它的NetFlow采集器StealthWatch中支持NSEL。
现在，支持生成NSEL流记录的防火墙数量还很有限。思科系统的自适应安全性设备（ASA）是第一个支持NSEL的。SonicWall在今年春季增加了NSEL支持。
Lancope的CTOAdam Powers说，“您将看到越来越多的防火墙供应商在他们的产品中增加NSEL支持。思科是第一个。其他供应商将随之添加支持，因为它是构成差异性的关键。CheckPoint支持了少量的功能，但是仍然有一些供应商是我未提及的，因为我们正帮助它们实现NetFlow支持，这些现在完全属于NDA保密协议。”
NSEL：系统日志的NetFlow替代方法 企业已经转向采用防火墙日志分析器供应商的产品，来优化防火墙行为监控。企业管理协会的研究主管Jim Frey说，诸如LogLogic和Splunk等供应商通过收集和分析防火墙系统日志数据，确定到达防火墙的流量类型。
思科将NSEL称为是一种专门针对防火墙报告定制的修订版NetFlow。传统的NetFlow数据包含一些简单的信息，如源，目标IP地址和端口。NSEL会指出一个流量流是被防火墙接受、拒绝还是丢弃。它也规定了与这个流相关的访问控制列表（ACL）。
支持NSEL的NetFlow采集器比防火墙日志分析器更高效，因为生成系统日志会耗尽防火墙的计算资源。“如果在一个ASA上实现NetFlow特性，那么这有利于释放CPU，使防火墙能够处理其他事务，如处理第7层数据和进行网络地址转换（NAT），”Powers说。
虽然防火墙通常是NetFlow采集的盲点，但是分析NSEL数据的采集器能够帮助检测出防火墙是否影响网络访问，Frey说。它也可以将数据整合到整个网络的更广泛视图中，期间会超出网络安全范畴，还会涉及到性能监控方面。
“防火墙是联机设备，所以它们可能对常规业务网络访问相关的设备产生影响，”Frey说。“当出现影响时，有可能是流中出现了恶意内容，也有可能是由防火墙规则不当造成的，这让人讨厌，而且有时候很难发现。有专门一整套工具用来优化多个供应商防火墙规则监控和分析。但是，一个完全可以被安全供应商接受的规则，却可能对合理的网络服务产生意想不到的结果。”
通过NSEL，NetFlow采集器可以将防火墙的遥测数据与其他网络设备的NetFlow数据进行组合，使企业更好地了解网络的状态和行为。
“假设您有一个连接互联网的边界路由器，而在这个路由器之后部署了一个传统的ASA防火墙。再往里，您还部署了一个Catalyst 6500。然后是Catalyst 3750-X接入层交换机。那么这四台设备所生成的流量流都将穿越网络，”Powers说。
所有这些设备都会提供包含不同信息的NetFlow记录。Catalyst 3750可能会产生一个NetFlow记录，其中包含发起这个流的笔记本电脑的MAC地址。路由器可能只提供DNS系统中与流相关的数据。现在，防火墙可以生成一条NSEL记录，告诉NetFlow采集器这个流被拒绝还是允许，它关联的ACL是什么。

4. 防火墙技术的发展对当今网络安全的意义

随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。

5. 因特网防火墙技术，不少于一千字，论文

随着internet的迅猛发展，安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述，全面介绍了internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；同时简要描述了internet防火墙技术的发展趋势。

关键词：internet 网路安全 防火墙 过滤 地址转换

1． 引言 

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以internet网络为最甚。internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。�

为了更加全面地了解internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。�

2. internet防火墙技术简介�

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，internet防火墙服务也属于类似的用来防止外界侵入的。它可以防
止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：�
1)限定人们从一个特定的控制点进入；�
2)限定人们从一个特定的点离开；�
3)防止侵入者接近你的其他防御设施；�
4)有效地阻止破坏者对你的计算机系统进行破坏。�
在现实生活中，internet防火墙常常被安装在受保护的内部网络上并接入internet。

所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾�

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：�
●过滤进、出网络的数据；�
●管理进、出网络的访问行为；�
●封堵某些禁止行为；�
●记录通过防火墙的信息内容和活动；�
●对网络攻击进行检测和告警。�

为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。�

3.1 基于路由器的防火墙�

由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：�
1)利用路由器本身对分组的解析，以访问控制表(access list)方式实现对分组的过滤；�
2)过滤判断的依据可以是：地址、端口号、ip旗标及其他网络特征；�
3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。�

第一代防火墙产品的不足之处十分明显，具体表现为：�

●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用Ftp协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。�
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。�
●路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(hacker)可以在网络上伪造假的路由信息欺骗防火墙。�
●路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固态的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。
�
可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套�

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。�
作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：�
1)将过滤功能从路由器中独立出来，并加上审计和告警功能；�
2)针对用户需求，提供模块化的软件包；�
3)软件可以通过网络发送，用户可以自己动手构造防火墙；�
4)与第一代防火墙相比，安全性提高了，价格也降低了。�

由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：�
配置和维护过程复杂、费时；�
对用户的技术要求高；�
全软件实现，使用中出现差错的情况很多。�

3.3 建立在通用操作系统上的防火墙�

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点：�
1)是批量上市的专用防火墙产品；�
2)包括分组过滤或者借用路由器的分组过滤功能；�
3)装有专用的代理系统，监控所有协议的数据和指令；�
4)保护用户编程空间和用户可配置内核参数的设置；
5)安全性和速度大大提高。�

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：�
1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；�
2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；�
3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；�
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；�
5)透明性好，易于使用。�

4. 第四代防火墙的主要技术及功能�

第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。�

4.1 双端口或三端口的结构�

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做ip转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。
�

4.2 透明的访问方式�

以前的防火墙在访问方式上要么要求用户做系统登录，要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。�

4.3 灵活的代理系统�

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。�

4.4 多级过滤技术�

为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒ip地址；在应用级网关一级，能利用Ftp、smtp等各种网关，控制和监测internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。�

4.5 网络地址转换技术�

第四代防火墙利用nat技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的ip源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。�

4.6 internet网关技术�

由于是直接串联在网络之中，第四代防火墙必须支持用户在internet互联的所有服务，同时还要防止与internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。�

在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部dns服务器，主要处理内部网络和dns信息；另一种是外部dns服务器，专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面，服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中，只支持静态的网页，而不允许图形或cgi代码等在防火墙内运行。在finger服务器中，对外部访问，防火墙只提可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。

4.7 安全服务器网络(ssn)�

为了适应越来越多的用户向internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理，也可设置成通过Ftp、tnlnet等方式从内部网上管理。�

ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多，因为ssn与外部网之间有防火墙保护，ssn与风部网之间也有防火墙的保护，而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦ssn受破坏，内部网络仍会处于防火墙的保护之下，而一旦dmz受到破坏，内部网络便暴露于攻击之下。�

4.8 用户鉴别与加密�

为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。�

4.9 用户定制服务�

为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用tcp、出站udp、ftp、smtp等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。�

4.10 审计和告警�

第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻，并能以发出邮件、声响等多种方式报警。�

此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。�

5． 第四代防火墙技术的实现方法

在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。�

5.1 安全内核的实现�

第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：�
1)取消危险的系统调用；�
2)限制命令的执行权限；�
3)取消ip的转发功能；�
4)检查每个分组的接口；�
5)采用随机连接序号；�
6)驻留分组过滤模块；�
7)取消动态路由功能；�
8)采用多个安全内核。�
5.2 代理系统的建立�

防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。�

在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组：�
1)源地址；�
2)目的地址；�
3)时间；�
4)同类服务器的最大数量。�

所有外部网络到防火墙内部或ssn的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或ssn的地址。�

所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络ssn的连接。�

5.3 分组过滤器的设计�

作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中ip堆栈的深层运行，极为安全。分组过滤器包括以下参数。�
1)进站接口；�
2)出站接口；�
3)允许的连接；�
4)源端口范围；�
5)源地址；�
6)目的端口的范围等。�

对每一种参数的处理都充分体现设计原则和安全政策。�

5.4 安全服务器的设计�

安全服务器的设计有两个要点：第一，所有ssn的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，ssn的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。�

ssn上的每一个服务器都隐蔽于internet，ssn提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现ssn的关键在于：�
1)解决分组过滤器与ssn的连接；�
2)支持通过防火对ssn的访问;
3)支持代理服务。

5.5鉴别与加密的考虑

鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种：一种是加密卡（cryptocard）;另一种是secure id,这两种都是一次姓口令的生成工具。

对信息内容的加密与鉴别测涉及加密算法和数字签名技术，除pem、pgp和kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家安全和主权，各国有不同的要求。

6. 第四代防火墙的抗攻击能力

作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

6.1 抗ip假冒攻击

ip假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的ip地址，因而难以攻击。

6.2 抗特洛伊木马攻击

特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载病执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。

6.3 抗口令字探寻攻击

在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户转给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令直接登录。

第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施，能够有效防止对口令字的攻击。

6.4 抗网络安全性分析

网络安全性分析工具是提供管理人员分析网络安全性之用，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，sata软件可以从网上免费获得，internet scanner可以从市面上购买，这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术，将内部网络隐蔽起来，使网路安全分析工具无法从外部对内部网络做分析。

6.5 抗邮件诈骗攻击

邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

7. 防火墙技术展望

伴随着internet的飞速发展，防火墙技术产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：
1）防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。
2）过滤深度会不断加强，从目前的地址、服务过滤，发展到url（页面）过滤、关键字过滤和对activex、java等的过滤，并逐渐有病毒扫描功能。
3）利用防火墙建立专用网是较长一段时间用户使用的主流，ip的加密需求越来越强，安全协议的开发是一大热点。�
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。�
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。�

另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。

6. 求关于防火墙浅析的论文

浅论网络安全技术—－防火墙

[摘要]防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后，他们会无一例外的考虑将自己的内联网（Intranet）接入Internet，从而可以更大的收益。
过去，许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet，这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中，因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问，从而在安全上带来极大的危险。并且，入侵者的行动通常都是很难被察觉的，因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、 防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信，只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略：
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象，不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小，所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反，其拒绝能力强，它只接收被允许了的数据包，凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求，防火墙必须具有以下功能：
（一）支持一定的安全策略，过滤掉不安全服务和非法用户，即过滤进、出网络的数据，管理进、出网络的访问行为。
以上所讲的防火墙技术是一些常用的关键技术，除此之外，还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
（二）监视网络的安全性，并报警。
（三）利用网络地址转换(NAT)技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。
（四）防火墙是进出信息都必须通过的关口，适合收集关于系统和网络使用和误用的信息。利用此关口，防火墙能在网络之间进行记录。它是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。
（五）可以连接到一个单独的网络上，在物理上与内部网络隔开，并部署WWW服务器和FTP服务器，作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素，数据包过滤和代理服务是其主要功能，防火墙要真正实现防病毒、防黑客、防入侵，必须做好一下关键技术：
1、数据包过滤技术
分组过滤或包过滤，是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录，这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性，于是发展了安全性更高的防火墙技术——代理技术。

7. 关于计算机网络安全与防火墙技术的论文怎么写

防火墙的概念
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。
参考资料：

防火墙的用途简单的说，就是防止非法程序对计算机的入侵。非法程序包括病毒，木马程序，黑客入侵，等等，只要是未经许可的入侵，均可视为非法。

防火墙的用途（Firewall Purpose）
撰文者： Indeepnight 位于 上午 8:55
防火墙是近年才开始受大众注目，以前都只把焦点放在防毒软体的能力上

不过，防火墙的用意虽然是好的，可是对于大众来说，它的功能经常都会让人摸不着头绪，甚至会防碍原有操作电脑的顺畅性

现在的作业系统，也都预设有防火墙的功能（M$、Linux皆有），不过大多数都是行销策略的手法，让大家感觉到物超所值，但实际的应用面就...乏人问津，至于硬体与软体之间的差异，可以参考笔者先前写的防火墙的使用，有粗略的说明

今天笔者就来说明一些较为常见的应用与设定：

Internet的发展给企业带来了革命性的改革和开放，企业正努力通过利用

它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可

以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战

和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以

及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加注安全的

“战壕”，而这些“战壕”又要在哪里修建呢?

基于Internet体系应用有两大部分：Intranet和Extranet。Intranet是借

助Internet的技术和设备在Internet上面构造出企业3W网，可放入企业全部信

息；而Extranet是在电子商务、互相合作的需求下，用Intranet间的通道，可

获得其它体系中部分信息。因此按照一个企业的安全体系可知防火墙战壕须在

以下位置上位置：

①保证对主机和应用安全访问；

②保证多种客户机和服务器的安全性；

③保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与

远程访问的雇员、客户、供应商提供安全通道。

同时防火墙的安全性还要来自其良好的技术性能。一般防火墙具备以下特

点：

①广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可

实现WWW浏览器、HTTP服务器、FTP等；

②对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活

动不受损坏；

③客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网

与分支机构、商业伙伴和移动用户间安全通信的附加部分；

④反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来

自网络内部。Firewall-1能监视这样的数据包并能扔掉它们；C/S 模式

和跨平台支持，能使运行在一平台的管理模块控制运行在另一平台的监

视模块。

网络安全：初上网者必看---我们为什么需要防火墙
来源：赛迪网 时间：2006-10-04 09:10:44

很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是万万要不得的！在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。怎样才能让我们的系统立于如此险恶的网络环境呢？光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。

现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件攻击。杀毒软件发展了十几年，依然是停留在被动杀毒的层面（别看那些自我标榜主动防御，无非是一些骗人的幌子，看看这个文章就知道了），而国外的调查表明，当今全球杀毒软件对80%的病毒无法起到识别作用，也就是说，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，就如警察抓住一个小偷，这个小偷留着大胡子，于是警察就天天在街上盯着大胡子的人。这样的杀毒效果可想而知。同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种方式。

现在病毒、木马的更新很快，从全球范围内来看，能造成较大损失的病毒木马，大部分都是新出现的，或者是各类变种，由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀。难道我们就任病毒木马宰割了吗？当然不！高手岂能向几个病毒木马低头！虽然杀毒软件只能干瞪眼，可是我们还有严守大门的防火墙呢！

防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢？这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的人进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），则防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动报警，并发出提示是否允许这个程序放行，这时候就需要你这个“最高统帅”做出判断了。一般来说，自己没有运行或者不太了解的程序，我们一律阻拦，并通过搜索引擎或者防火墙的提示确认该软件的性质。

写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了，举个直观的例子：你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门看得死死的，再多的信息也传不出去，从而保护了你的系统安全。

另外，对于黑客攻击，杀毒软件是没有任何办法的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，让黑客找不到入口，自然也就保证了系统的安全。

目前全球范围内防火墙种类繁多，不过从个人经验来说，推荐天网防火墙给大家。天网防火墙可以有效的防止黑客、木马或者其他恶意程序盗取您的隐私包括：网上银行、网络游戏、QQ等的帐号和密码。

8. 防火墙的应用与研究论文

一般来说摘要200-300字就足够了，楼上哥们的第一段就行了。

9. 谁给我篇计算机网络安全防火墙技术的毕业论文 要全的 急啊很急 谢谢了

本文针对网络安全的三种技术方式进行说明,比较各种方式的特色以及可能带来的安全风险或效能损失,并就信息交换加密技术的分类作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。
[关键词]网络安全 防火墙 加密技术 PKI技术

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。三、PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。