TCP/IP网络的信息安全与防火墙技术

核心提示： 通常防火墙具有以下特点：◆ 从内部到外部或从外部到内部的所有通信都必须通过防火墙◆只有符合本地安全策略的通信才会被允许通过◆ 防火墙本身是免疫的，不会被穿透的理想的防火墙应该是能过滤一切来自外部的不安全因素，TCP/IP网络的信息安全与防火墙技术(7)，防止危险的入侵活动，它可以与入侵检测

通常防火墙具有以下特点：

◆ 从内部到外部或从外部到内部的所有通信都必须通过防火墙

◆只有符合本地安全策略的通信才会被允许通过

◆ 防火墙本身是免疫的，不会被穿透的

理想的防火墙应该是能过滤一切来自外部的不安全因素，防止危险的入侵活动。它可以与入侵检测系统一起维护系统的安全，也可以通过自身的良好的安全配置，简单、高效地完成大多数场合安全防护。

三 防火墙技术现状

防火墙是一套完整的（软、硬件）系统，它可以从TCP/IP的各个层次中提取、存储、记录并管理相关的信息，以便实施系统的访问安全决策控制。 防火墙的实现技术目前主要包含两大类：包过滤技术和应用代理技术，事实上，实际的产品中往往是二者的良好结合。

1 包过滤技术

包过滤技术是最早的防火墙应用技术，发展到现在，它已经从早期的静态包过滤演进到了现在的动态包过滤技术。

1) 静态包过滤

静态包过滤技术的实现非常简单，就是在网关主机的TCP/IP协议栈的IP层增加一个过滤检查，对IP包的进栈、转发、出栈时均进行针对于每个包的源地址、目的地址、端口、应用协议进行检查，用户可以设立安全策略，比如某某源地址禁止对外部的访问、禁止对外部的某些目标地址的访问、关闭一些危险的端口等等，事实证明，一些简单而有效的安全策略可以极大的提高内部系统的安全，由于静态包过滤规则的简单、高效，直至目前，它仍然得到应用。

2) 动态包过滤技术

动态包过滤（Dynamic Packet Filter）技术除了含有静态包过滤的过滤检查技术之外，还会动态的检查每一个有效连接的状态，所以通常也称为状态包过滤（Stateful Packet Filters）技术。

状态包过滤（SPFs）克服了第一代包过滤(静态包过滤)技术的不足，如信息分析只基于头信息、过滤规则的不足可能会导致安全漏洞、对于大型网络的管理能力不足等等。