防火墙 英文 文献 翻译.doc

译文：防火墙在计算机网络安全中的研究摘 要本文在各种防火墙的原理和优缺点的基础上分析了计算机网络安全功能和其面临的主要威胁， ，综合了目前国内和国际上的防火墙技术通过合成并比较各种技术，结合黑龙江省级网络中心的现状，深入研究的影响防火墙性能的主要因素本文研究了防火墙技术的实际在计算机网络中的安全性的应用程序，则是指这种新技术称为紧耦合防火墙，最后本文导致缺乏防火墙技术和其发展方向索引词：网络安全，防火墙，信息安全01 引言在防火墙的产品和技术中，封包过滤技术和多应用技术的整合构建的复合防火墙是目前防火墙产品的一个特色，同样，近几年，作为一种技术，防火墙主流技术的发展也是一样，这些产品在未来更加完全地发展防火墙的演变，现有的 x86 构架仍然占据着大部分快速防火墙的国内市场，这主要是由于其技术成熟，成本相对较低，至强的防火墙服务器架构由于其本身硬件的高性能，所以有很多供应商使用它作为一个千兆网防火墙平台NP 结构在这个业界中已经被认为是防火墙架构的最好选择12 计算机网络安全技术2.1 网络安全国际化标准组织（ISO）定义“计算机安全”为：“建立数据处理系统保护计算机的硬件、软件、数据被意外和恶意地破坏和信息被披露的安全保护和管理的技术。

”这强调了对静态信息保护它同时被定义为：“计算机硬件、软件和数据都被保护，这不是因为意外和恶意的破坏和信息披露的存在，而是为了保证该系统可以持续运行 ”这个定义侧重于描述动态的意义网络安全的内容应该包括两个方面，即物理安全和逻辑安全物理安全意系统意味着设备和相关设备是在物理保护下的，从而避免损坏、丢失逻辑安全包括了数据完整性、机密性、可用性和可控性2.2 网络安全的特征网络安全有以下四个基本特征：（1）数据完整性：这意味着数据在没有授权的情况下不能更改，只有那些被允许修改数据的人才能确定数据可以被修改2）数据保密性：数据不能泄露给未经授权的用户、实体或为他们所用数据加密通过在传输、使用实现这一目标，在转换过程中并不违法通过第三方的访问3）数据可用性：这意味着一个被授权的实体和使用的需求，即攻击者的确不占用所有的资源，只是妨碍工作的授权4）数据可控性：这意味着能够在授权中控制信息流和行为模式，这样就可以作为访问数据、通信和内容的控制系统必须能够控制那些可以进入系统或者网络数据的用户，同时还要控制如何访问，还必须能够对网络上的用户进行身份验证，并记录所有用户的网络活动2.3 网络安全的主要威胁从技术的角度来看，网络的不安全，一方面是因为所有资源都通过网络分享，另一方面是因为它的技术是开放的。

一般来说，网络安全的威胁主要有以下几个方面：（1）无意的人为错误：运营商的不当使用，安全配置的漏洞，用户薄弱的安全意识，无意中选择的密码都将构成网络安全的威胁2）人为恶意攻击：此类攻击分为两类：一类是主动攻击，其目的为篡改系统内信息或者通过一系列对其有效信息真实性与完整性的破坏的方式改变程序运行状态和操作运算；另一类是被动攻击，并非通过对普通网络工作而是对信息进行拦截或窃取从而对保密系统造成巨大威胁2（3）网络后门软件与漏洞：没有任何一款防护黑客软件能够 100%避免程序漏洞类似的程序，应用软件以及具有针对性措施的漏洞都是黑客攻击网络系统的主要途径4）非授权访问：未经许可下对网络/电脑资源的运用被视为非授权访问主要由以下形式：以非法操作冒充他人身份访问网络；授权用户以合法方式操作等2.4 安全理论及其技术加密技术：加密技术是防止信息在网络上广泛传播的信息安全技术之中唯一实用的技术任何级别的安全技术都会采用加密的原理，加密技术可以应用于保护网络数据通信，地区网络信息，电子邮件，数据库数据，以及工作站或文件服务器的数据用于网络数据通信和数据库储存数据的数据加密措施具有重要意义，可保障机密性，认证与否，数据完整性与确认信息等。

目前，重要程序可分类保护于私人密码或公共密码私钥方法：意味着加密与解密采用统一的秘钥，秘钥采用数据加密标准（DES） ，三重数据加密方法，高级加密算法，加强加密算法采用此方法需存储大量密钥以弥补此方法在密钥上的缺陷，同时，为了更好提高安全因素，这些密钥需要升级并及时通知其他使用人公钥方法：此种数据加密方法需要两类密钥，一类是私钥，一类是公钥数据传输的发送者先用接收方的公钥加密数据并将数据发送至接收方，接收方接收数据后用自己的私钥进行破译其基本加密算法有 RSA 算法，椭圆曲线加密算法等防火墙技术：位于两个网络不同程度的信任它是一组集合访问控制、安全政策和入侵的措施，通过之间两个网络的通信来控制和实施统一的安全政策以防止对重要信息资源的未经授权的访问并成功保护系统安全从逻辑上说，防火墙是一个分隔器、限制器，但也是一个能够为了保证内网安全而有效监控内部网络活动和外部网络活动的解析器从物理的角度来看，防火墙通常是一个硬件设备——一个路由器或者主机、额外的硬件和软件网络配置的结合根据不同的预防方法，防火墙可以分为三个类别：包过滤型，代理服务器类型和状态检测类型防火墙可以防止不安全的协议和服务；预防从外部网络到内部网络的窥探信息，并提供一个数据的审计跟踪以保证内部网络安全的运作。

入侵检测技术：是指入侵检测和实时监测报告系统，其主要由传感器、分析仪、管理者和用户界面组件构成它从不同的源系统和网络（包括内部网络信息和外部网络信息）收集信息，然后根据已知攻击模式的信息分析来检查是否有入侵的迹象它可以完全跟踪用户的活动，识别违反安全策略活动的用户；提供专家系统，自动配置系统一致性检验和 诊断、监测和分析数据包来识别与已知的入侵活动同样的模式根据目标监控系统、入侵检测，系统可以分为基于网络的的入侵检测和基于主机的入侵检测身份验证：身份验证用来证明一个人的声明，这个声明表明个人信息安全系统的过程是一个重要的部分认证的依据是：个人身份证号码、密码、安全标识、智能卡、信息钮、个人的身体特征，如指纹等以下有很多用来鉴定的技术：3一次性口令技术：基于以下两个系统 （1）密码存储在客户端和中央服务器 （2）密码存储在中央服务器因为每个密码只使用一次，大多数密码以明文形式发送反病毒技术:在网络环境下,计算机病毒带来不可估量的威胁和破坏爆发的红色代码病毒和导火线病毒，足够证明计算机网络病毒对社区带来灾难性的后果因此,预防计算机病毒,是网络安全技术的重要组成部分之一网络杀毒技术,包括病毒的预防,病毒的检测和病毒的消除和其他三种技术:（1）反病毒技术：通过他们自己的永久系统内存得到优先访问系统，控制监测，判断系统中是否存在病毒，从而防止计算机病毒进入计算机系统和破坏系统。

技术包括：加密可执行程序，引导扇区保护，系统监控和读写控制（如杀毒卡）等等2）病毒检测技术：这是种根据如自检、关键字、文件长度变化特性的病毒检测技术最新的防病毒技术将病毒检测、多层次的数据保护和集中管理和许多其他功能集成起来形成一个多层次的防御系统，其不仅具有健壮的病毒检测功能，同事也有客户端/服务器数据保护功能3）病毒消除技术：是通过对计算机病毒的分析，开发的一个杀死的病毒程序和恢复原始文件的软件资源有大量的病毒攻击和应用程序，所以该病毒存在于信息共享的网络媒体，因此应该在网络实时反病毒入口处加强网关对于内部病毒，比如一个客户端 感染了病毒，通过服务器防病毒功能在病毒从客户端转移到服务器前终止进程，将病毒感染区域限制最低今天的网络反病毒技术已经发展成一个“扫黑” 、反病毒、从网站门户阻止病毒，同防火墙、入侵检测和其他安全产品进一步完整和综合解决方案43 防火墙的分类（1）包过滤防火墙基于包过滤的防火墙，也被称作过过滤路由器或者网络层防火墙，它工作在网络层和传输层，基于对单个数据包网络控制它对收到的数据包的 IP 源地址、IP 目的地址、TCP/UDP 源端口号和目的端口号、ICMP 消息类型、包访问接口、协议类型、数据封包的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

它实际上是控制内部网络主机直接访问外部网络，而外部网络上的主机是必须别限制的这种防火墙的优点是简单、方便、快速、透明、对性影响较小，但是它缺乏用户日志和审计信息，缺乏用户身份验证机制，没有日志记录和报告功能，不能审核管理能力，复杂困难的过滤规则的完整性的管理能力难以测试，安全性差，而且由于不同的操作环境中，TCP 和 UDP端口的数字代表不同类型的应用服务协议，因此兼容性差2）代理服务器型防火墙代理服务器型防火墙通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务器进程，它代理用户完成TCP/IP 网络的访问功能一个代理服务器实际上是一个特定的网络应用程序在必须通过了代理的中间转换的内部网络中连接两个网关，内部网络只接受有代理服务器拒绝外部网络直接连接的服务器请求3）复合型防火墙由于对更高安全性的要求，常把包过滤防火墙与代理服务器防火墙的功能和特点结合起来，形成复合型防火墙主机称为堡垒主机，负责代理服务各种类型的防火墙有自己的有点和缺点当前的防火墙不再是一个单一类型的信息包过滤防火墙或代理服务器类型，为了提高灵活性和安全性，将各种各样的安全技术结合起来，形成一个复合型多层防火墙。

复合型防火墙通常使用下面的技术，动态包过滤；核心和透明技术；用户身份验证机制；内容和策略的感知能力；内部信息隐藏；侦测日志、审计和实时警报；防火墙互用性等4.紧耦合防火墙在网络安全中的应用传统的防火墙有很多局限性，根本原因在于一个松散连接的边界防火墙和被保护的主机是通过网络电缆连接的边境防火墙可以保护内部网络主机，但主机不依赖于并且完全独立于边界防火墙，所以导致这个安全架构有一个巨大的漏洞在网络安全保护中，边境防火墙是现在最常见的安装方法，所以根据这个现有的信息系统安全情况，考虑到紧耦合防火墙的体系结构安全，设计是非常关键的，迫在眉睫的54.1 传统边界防火墙的优缺点传统的边界防火墙通常部署在网络边界，控制了外部网络和内部网络的唯一通道边界防火墙最大的优点是架构简单，但是必须确保，内部网络只有防火墙这一条出口因此，传统防火墙的第一个局限是，如果用户擅自打开另外一条通往 Internet 的通道，那么这个防火墙就完全失效所以边界防火墙和计算机主机之间是一种松散耦合关系，很容易被用户非法旁路另一方面，内部和外部间网络唯一访问的唯一的保障就是边界防火墙，这样风险过于集中，一旦边境防火墙被攻破，那么整个内网就等于完全沦陷，任由攻击者宰割了。

如图 14.2 紧耦合防火墙的思考为了解决上述边界防火墙的问题，现踢出“紧耦合防火墙”这一新的概念紧耦合防火墙是一种可取代大型计算机系统的网卡，与主机总线系统紧密相连的网络安全设备图 1 总体驱动紧耦合防火墙4.3 紧耦合防火墙的设计为了保证网络安全，我们移植了 Netfilter（防火墙） ，Snort（入侵检测）和 FreeSwan （VPN）和其他网络安全软件——紧耦合防火墙此外，计算机硬件安全模块提供了一个加密芯片，芯片除了 VPN 硬件加密和解密功能，我们也为主机设计了一种驱动程序用6来提供文档加密和解密功能根据用户需求，紧耦合防火墙也许能为用户提供更多安全功能随着防火墙技术的日趋成熟和网络攻击技术的发展，大部分防火墙防御系统失败的原因不仅仅是防火墙系统本身和防火墙系统的策略规划、管理和维护紧耦合防火墙在设计中要考虑一下几个策略：（1）简单：根据防火墙的基本规律，防火墙必须配置成尽可能降低风险 “复杂”将会导致漏洞和隐藏的一些不安全现象因此，当我们设计紧耦合防火墙的时候，文件系统已经被简化，防火墙的配置程序也要简洁的尽可能清晰的，使管理员容易理解，我们也可以更好地监控系统以确保系统安全。