计算机网络安全与防火墙技术
摘要
防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境本文
介绍了防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术Packetfilteri
g，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术Proxy，它的代表是在应用层网关上实现的防火墙功能
关键词
网络安全，防火墙，分组过滤，代理，堡垒主机
一防火墙的概念与构成
所谓防火墙就是一个或一组网络设备计算机或路由器等，可用来在两个或多个网络间加强访问控制它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单你可以把它想象成一对开关，一个开关用来阻止传输另一个开关用来允许传输
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源
不同的防火墙侧重点不同从某种意义上来说，防火墙实际上代表了一个网络的访问原则如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略securitypolicy，即确定那些类型的信息允许通过防火墙，那些类型的信息不允许通过防火墙防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外
在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进入和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过
防火墙是用来实现一个组织机构的网络安全措施的主要设备在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施本文主要介绍下列防火墙的基本构件和技术：筛选路由器scree
i
grouter、分组过滤packetfilteri
g技术、双宿主机dualhomedhost、代理服务ProxyService、应用层网关applicatio
levelgateway和堡垒主机basr