个人防火墙系统

摘??? 要 当今社会是一个信息社会，一个知识经济时代。自随着Internet的迅猛发展，安全性已经成为网络互联技术中最关键的问题。本文全面介绍了Internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；同时简要描述了Internet防火墙技术的发展趋势。 Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的"战壕"，而这个"战壕"就是防火墙。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚. 关键词: 防火墙技术; 通信网络; 抗攻击能力; 数据安全 过滤路由器可以利用包过滤作为手段来提高网络的安全性。过滤功能也可以由许多商用防火墙产品来完成，或由基于软件的产品，如Karlbrige基于PC的过滤器来完成。许多商业路由器都可以通过编程来执行过滤功能。路由器制造商，如Cisco、3Com 、Newbridge 、ACC等提供的路由器都可以通过编程来执行包过滤功能。 　　1. 包过滤和网络策略 　　包过滤可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的源和服务的类型、它们的重要程度和这些服务要保护的对象。 　　一般来说，网络安全策略主要集中在阻截入侵者，而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据，而不是阻止内部用户使用外部网络服务。这种类型的网络安全策略决定了过滤路由器应该放在哪里和怎样通过编程来执行包过滤。一个好的网络安全策略还应该使内部用户难以危害网络的安全。 　　网络安全策略的一个目标就是要提供一个透明机制，以便这些策略不会对用户产生障碍。因为包过滤工作在OSI模型的网络层和传输层，而不是在应用层，这种方法一般来说比防火墙方法更具透明性。记住防火墙是工作在OSI模型的应用层的，在这一层的安全措施不应成为透明的。 　　2.一个简单的包过滤模型 　　包过滤器通常置于一个或多个网段之间，如图3所示。网络段区分为外部网段或内部网段。外部网段把你的网络连接到外面的网络如Internet上，内部网段用来连接公司的主机和其它网络资源。 　　 　　包过滤器设备的每一端口都可用来完成网络安全策略，该策略描述了通过此端口可访问的网络服务类型。如果连在包过滤设备上的网络段的数目很大，那么包过滤所要完成的就会变得很复杂。一般来说，应当避免对网络安全问题采取的过于复杂的解决方案，理由如下： 　　（1） 它们难以维护。 　　（2） 配置包过滤时容易出错。 　　（3） 它们对所实施的设备的功能有副作用。 　　但是，从纯经济的角度来看，通常决定买具有外部端口的一个路由器，而不买几个小的路由器。具有几个端口的路由器的好处是它与CPU接口的广度和处理的容量。另外，由于包过滤原则通常适用于一个接口，那么，如果用户的设计合适，一个多端口的路由器将是一个易于管理的方案。 　　大多数情况下，如图4所示的一个简单的模型可以用于完成网络安全策略。这个模型表明该包过滤设备只连有两个网段。典型的是，一个是外部网段，另一个是内部网段。包过滤用来限制那些它拒绝的服务的网络流量。因为网络策略是应用于那些与外部主机有联系的内部用户的，所以过滤路由器端口两面的过滤器必须以不同的方式工作。换句话说，过滤器是非对称的。