时间:2023-06-19 16:14:57
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇防火墙技术的研究,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】计算机网络 防火墙技术 功能 趋势
随着信息化时代的到来,计算机网络逐渐成为人们有效开展信息交换的重要手段,并渗透到社会生活的各个方面,给人们生活带来了巨大影响。与此同时,保障计算机网络信息安全,愈来愈成为当今社会面临的亟需解决的课题。
1 防火墙技术的含义
“所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。”它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。它实际上是一种隔离技术。
2 防火墙的功能
防火墙对计算机网络具有很好的保护作用。入侵者必须先穿越防火墙的安全防线,才能接触目标计算机。具体来说防火墙有以下功能。
2.1 防火墙有保障计算机网络安全的功能
防火墙通过自身过滤功能将不安全的数据包隔挡在“代码墙”以外,降低Internet给计算机造成的风险。然后通过验证程序检测哪些数据包是安全的,并使之进入计算机,由此使得网络环境变得更安全。
2.2 防火墙具有监控网络存取和访问的功能
由于进入计算机的数据包都要经过防火墙的检测和筛选,那么防火墙就能记录下这些数据包并对网络的使用情况进行统计。当发生可疑数据包时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。因此,防火墙对网络使用统计与监控具有非常重要的作用。
2.3 可以防止内部信息的外泄
隐私是网络使用者最关心的问题。很多隐私的被流露于公众的视野,多数都是因为计算机网络内部某些安全漏洞。而使用防火墙就可以利用防火墙对内部网络的划分,实现内部网的隔离,从而限制了局部或敏感网络安全问题对全局网络造成的影响。进而隐蔽了那些透漏内部细节DNS服务。这样一台主机的域名和IP地址就不会被外界所了解。
2.4 防火墙对数据库安全的实时保护功能
防火墙通过验证工具和包过滤系统分析,根据预定义的禁止和许可策略让合法的SQL 操作通过,阻断非法违规操作,形成数据库的防御圈,实现SQL 危险操作的主动预防、实时审计。同时,还可以对来自于外部的入侵行为,提供SQL 注入禁止和数据库虚拟补丁包功能。
3 防火墙技术的发展趋势
随着新的网络病毒的出现,防火墙技术的发展更应该注重放行数据的安全性研究。因为使用者对网络安全的要求是既要保证网络安全,也必须保证网络的正常运行。因此,新型防火墙技术在研发过程中要集成其它安全技术,使防火墙的安全性得以进一步提升。这一些新的发展趋势,可以从防火墙体系结构、包过滤技术和防火墙系统管理三方面展开。
3.1 防火墙的体系结构发展趋势
随着信息化潮流的到来,计算机网络的应用更加广泛,规模更加庞大。使用者对网络宽带的安全提出了更高的要求。这意味着防火墙技术必须紧跟时代的发展,加快提升自身处理数据的能力,为计算机网络提供更加有效的安全保护和有效的运行保障。尤其是,在当今信息化社会的生活中,计算机网络、手机网络等网络媒体的应用越来越普遍,这就要求防火墙技术对流入网络的数据处理更加有效、准确、及时。要想满足这种需要,防火墙技术研发人员就必须制定超前的研发方案,完善防火墙的结构体系。例如当前部分制造商开发的基于ASIC的防火墙和基于网络处理器的防火墙。
3.2 防火墙数据包过滤技术发展趋势
(1)防火墙的主要功能就是对来自外网的木马程序、病毒程序等危险程序进行防范和抵御。因而,在实际网络使用中使用主体通常经防火墙称之为病毒防火墙。从目前网络使用者通过各种途径选取不同的防火墙,并按照与计算机内,目的就是防范病毒的入侵。
(2)注重研发多级过滤技术。“所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段”。该过滤技术主要是通过编制不同的程序系统,逐级设立功能。各级根据自身的功能开展对流入网络的数据流进行识别,检测。层层把关,能够更加有效的抵御病毒对计算机网络的入侵。这是一种综合性防火墙技术,它可以弥补各种单一过滤技术的不足。
(3)为了进一步强化防火墙的安全策略功能。目前,很多防火墙技术生产商在现有的防火墙技术的基础上,又增加了用户认证系统。用户认证系统随着无线网络的普及应用,获得了众多无线网络电信商和用户的青睐。并逐渐成为无线网络安全应用的必备系统。
3.3 防火墙的系统管理发展趋势
随着防火墙技术的快速发展,加强防火墙的系统管理也成为网络技术发展的重点。首先是集中式管理。集中式管理的优点就是能够使生产商以最小的投入获取最大的效益。同时,还可以保证网络安全保障系统的一致性。从目前成功研发的事例来看,Cisco(思科)、3Com等几个大的防火墙技术开发商已经在注重加强防火墙的系统管理发展。其次是加大开发防火墙的监控和审计功能的力度。在防火墙技术研发过程中,我们不仅要注重事后治理,更要注重事前预防,未雨绸缪,将潜在的威胁扼杀在流入之初。最后是建立以防火墙为核心的网络安全体系。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
参考文献
[1]罗霁.并行多模式匹配算法及硬件实现研究[D].杭州电子科技大学,2013(06):10.
[2]杨旭.计算机网络信息安全技术研究[D]. 南京理工大学,2008(06):43
[3]信息技术研究中心.网络信息安全新技术与标准规范实用手册(第1版) [M].北京:电子信息出版社,2004:20-21.
作者简介
邓龙敏(1998-),男 ,湖北省黄石市人。现就读于鄂南高中,热衷于计算机网络技术研究。
关键词:网络安全;防火墙技术
中图分类号:TP393 文献标识码:B
Research&Application of Firewall Technology in Network Security Policy
Wang YanshuangWang Li
(1.Tangshan Radio&Television,Ad Management Center,Tangshan063000,China;2.Tangshan Radio&Television,Transmission Broadcast Department,Tangshan063000,China)
Abstract:Today,the Internet already from the basic information sharing to the electronic commerce,the network using and so on,more complex aspect developed,along with commercial use's increase,the network security becomes a latent huge question gradually.And will also involve to whether to constitute the criminality question.The firewall technology's introduction gives manages and enhances the network the security,has provided the essential and convenient way.
Keywords:Network security;Firewall technology
一、防火墙的概念
防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之,防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具。防火墙是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络,例如企业内部的局域网络等。
二、防火墙的功能
(一)防火墙是网络安全的屏障:
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
(二)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将如口令、加密、身份认证、审计等的应用配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济,更坚固。
(三)对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
三、防火墙技术原理
(一)数据包过滤技术
数据包过滤技术工作在OSI网络参考模型的网络层和传输层,它是个人防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口,根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
(二)应用网关技术
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
(三)地址翻译技术
地址翻译技术是将一个IP地址用另一个IP地址代替。地址翻译技术主要模式有以下几种。
1.静态翻译。按照固定的翻译表,将主机的内部地址翻译成防火墙的外网接口地址。
2.动态翻译。为隐藏内部主机或扩展的内部网络地址之间,一个大的用户群共享一个或一组小的Internet IP地址。
3.负载平衡翻译。一个IP地址和端口被翻译为同等配置的多个服务器。当请求到达时,防火墙按照一个算法平衡所有连接到内部的服务器。
4.网络冗余翻译。多个连续被附结在一个NAT防火墙上,防火墙根据负载和可用性对连接进行选择和使用。
(四)状态检测技术
状态检测防火墙采用基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接因素加以识别。
四、防火墙的特性
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
一个好的防火墙系统应具有以下五方面的特性:
①有的内部网络和外部网络之间传输的数据必须通过防火墙;
②只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
③火墙本身不受各种攻击的影响;
④使用目前新的信息安全技术,比如现代密码技术等;
⑤人机界面良好,用户配置使用方便,易管理。
结束语:
通过网络防火墙的部署,可以有效起到防止内部信息的外泄,防止外部网络人员恶意入侵。开放安全端口,保护系统服务器免受恶意攻击。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,大大提高网络的整体安全性。
参考文献:
[1]赵战生.我国信息安全及其技术研究.中国信息导报,1999,(8):5-7
[关键词]计算机网络防火墙研究和应用
计算机技术的不断发展,给我们带来了前所未有的便捷,也带来了改革发展的新力量,尤其是计算机在这些年的发展程度,在全世界范围内都得到了普及。在计算机应用上,网络资源和计算机技术的结合对我们生活造成了很大的变化。但是,在网络技术的推动下我们的生活节奏加快的同时,也增加了我们以前所没遇到的很多问题,包括对网络资源的保护,以及个人信息的保障。这就让我们对于网络环境的净化开始逐渐重视起来,在网络资源没有防护或者只是一部分防护的情况下,黑客的存在经常会造成我们信息和资源的丢失,所以我们必须加强网络防火墙的建设力度必不可少。
一、网络防火墙技术的分类
防火墙技术是我们使用网络性的防护设备,起到一个保护资源的作用。但是却只能抵挡外部的侵入而不能有效的抵挡内部的损伤的手段。但是随着现代技术的发展,现代化的防火墙已经具有一定的内外皆备的特点,但是防火墙的作用依然是只能过滤掉自己认为不安全的信息,不能够达到所有信息都检索的缺点,所以我们需要建立更高程度的防火墙,就得先从可以过滤所有数据的能力着手,这也是我们现在需要大力发展的方向。下面是两种我们最常见的两种防火墙:
(一)包过滤性防火墙技术
包过滤性防火墙的技术的工作原理是建立在OSI网络参考模型中的网络层面和传输层面之中,这种防火墙技术是根据不同数据的源头地址和终端口的数据安全性之来自行判断是否可以通过防火墙的技术,只有符合条件的资源才可以传输过来,不符合义上安全条件的都被挡在外部,不能自行进入。
(二)应用型防火墙
应用型防火墙技术的原理是建立在OSl网络层面的顶层,也就是我们说的应用层面,最显著的特点就是全部阻截网络通信留的数据,通过对所有应用贴上专门的编制程序,达到一种监督的作用。除了这两种技术以外,还有很多的防火墙技术,具有突出特点的就是边界防火墙和混合式防火墙技术等。
二、防火墙的工作原理
(一)包过滤性防火墙的工作原理
包过滤性防火墙的工作原理就是对许多规则作出一种组合形式,之后再让用户进行选择和设置自己想要过滤掉的资源以及留下资源的程度。但是这也需要经验老到的防火墙技术人员对防火墙进行操作以及对当前最新的被攻击资源进行集中,然后再进行加载信息。比如信息的名称、说明和协议等,包括着所有数据包进出防火墙的方法。对于IP包过滤性防火墙技术的工作原理就是根据IP数据包的各种信息,对其进行相应的过滤,如果这种IP包是携带着封装的TCP或者是ICMP协议一起进入防火墙的,就需要对这种情况进行特殊处理,不能让之随意出入。应用层面的协议主要是RPC应用服务的过滤以及FTP过滤等,主要的工作过程就是,防火墙可以在不同文件的组成上面,判断出该文件的初发地址、目的地址以及文件的保存时间和特点,然后再根据这些信息对其进行最后的检测和扫描,确认该文件的安全性以及可使用性。
(二)应用型网络防火墙的原理
应用型防火墙,顾名思义是在应用层面提供服务的一种防护手段。服务是在接收到用户的连接请求是,向服务器发出与请求有关的诉求,之后在这样的情况下,服务器根据服务器的要求,对用户的请求做出一个回答。为了能够更好的确定链接中的效率,在进行工作的时候需要维护服务器的数据信息和连接表,服务器还在一定情况下维护一个扩展字段的集合,达到一种更好的提供授权的效果。
三、两种防火墙的优点和缺点
(一)包过滤性防火墙
优点:操作简单。包过滤性防火墙可以通过一个过滤路由器就可以对整个网络系统完成保护作用,数据包在过滤的过程当中完全对用户透明,保证了用户的安全性,而且这种方式的工作效率比较高,过滤速度相当快,可以很大程度上解决用户的速度需要。
缺点:不能彻底的防御因为地址欺骗的问题,内有一个只能的识别黑客的攻击,完全不支持应用层面的协议。
(二)应用型防火墙
优点:型防火墙最大的优点就是网关可以直接隔开内网和外网的联系,用户对外网进行使用的时候自动转换成防火墙对外网的访问,然后防火墙自动判定之后再转给用户,使得安全性大大的提高。而且型防火墙所有的通信数据都是通过应用层的软件完成防护,用用不可以直接和服务器建立连接,对于数据包的检测性非常好。
缺点:型防火墙因为其工作性质,导致速度比较慢,对于用户是完全屏蔽的,对不同的需要需要用不同的服务器来完成,适应能力比较弱。
四、防火墙的研究开发
在防火墙的研究与开发中,需要对数据层安装一定程度的监听功能以及读卡能力,着重研究对于上层数据进行物理帧的拆封和密封,保证数据的安全性。对于有时候会出现很极端的情况,防火墙需要修改IP地址的报头才能解决问题,这对于IP层的处理来说是非常复杂的一个环节,而且需要进行大量的安全性工作,所以一般情况下是不可以使用修改IP报头的方法,只能是包过滤性防火墙和ICMP的相关功能结合。随着技术的不断发展,包过滤性防火墙必须室友路由器的支持才能完成,而现在的IP层面遇到的对打的问题是IP地址的骗术,并且在许多的上层结构存在着相当多的IP地址欺骗问题,这就需要我们进一步来研发更准确更方便的防火墙来解决问题,让我们能够减少网络的安全隐患。
五、小结
关键词:防火墙技术;屏蔽路由器;双穴主机网关;屏蔽主机网关
中图分类号:TP319文献标识码:A文章编号:1672-7800(2013)001-0070-02
1主机防火墙软件系统组成
为了更好地对主机防火墙软件系统进行开发与设计,先对主机防火墙软件系统的组成进行分析。主机防火墙软件系统主要包括屏蔽路由器、双穴主机网关以及被屏蔽主机网关。这三个元器件组成了主机防火墙软件系统,在系统运行中具有独特的功能。
1.1屏蔽路由器
主机防火墙软件系统最基本的组成原件就是屏蔽路由器。网络用户一般都是购买厂家生产好的屏蔽路由器,然后安装到主机当中实现保护功能。硬件和软件是屏蔽路由器的两个重要组成部分。报文的过滤功能一般的路由器就能实现,但是一般路由器的这个功能非常简单,为了更好地对报文进行过滤,屏蔽路由器被引入到主机中。因此,屏蔽路由器在很大程度上确保了主机系统的安全性能。
1.2双穴主机网关
网络接口是双穴主机的一个重要特点,双穴主机网关的工作原理是将堡垒主机当做防火墙,主机防火墙软件系统的运行就是靠堡垒主机来实现的。网络用户的管理人员可以通过双穴主机网关的部分功能及时发现网络安全问题,并及时解决网络安全问题。因此,双穴主机网关在维护网络系统的安全上起到了非常重要的作用。
1.3被屏蔽主机网关
被屏蔽主机网关在主机系统中占据了非常重要的位置。被屏蔽主机网关的主要功能就是为了防止外部不安全信息对网络用户的入侵,被屏蔽主机网关在很大程度上保证了网络用户的安全。网络系统外部的用户如果没有得到网络系统管理者的进入许可,就不能进入网络系统。因此,被屏蔽主机网关在很大程度上确保了网络系统的安全性能。
2主机防火墙软件系统发展趋势
主机防火墙软件系统的3个重要组成部分在网络运行过程中的作用各不相同。3个组成部分的功能共同确保了网络运行环境的安全。近年来,防火墙技术发展飞速,在技术方面也不断成熟,但是随着科学技术的不断改革与创新,网络系统也在不断地更新换代。网络技术的不断发展给网络安全提出了巨大的挑战,随着网络技术的发展,几乎无时无刻都有网络用户的信息被窃取。因此,为了给广大的网络用户提供一个安全的网络运行环境,防火墙软件系统必须继续进行技术方面的创新。防火墙软件系统只有在技术方面获得突破之后,才能有效地保证网络用户的安全。主机防火墙软件系统相关技术的研究也因此变得更加重要。为了保证网络系统的安全,主机防火墙软件系统必须及时地加以更新。
近些年来,主机防火墙技术在模式上发生了巨大的转变,主机防火墙软件系统以前的位置经常被设置在网络比较边缘的位置上。防火墙软件系统在网络的边界上进行设置的目的是为了对进入网络系统的数据进行分析,如果防火墙软件系统在数据分析的过程中发现数据存在不安全因素,那么数据则不被允许进入网络系统。然而,这种防火墙软件系统由于被动的防御方式,在应用方面受到了很大的限制。为了使得防火墙软件系统更能适应网络用户的要求,并更好地对网络系统进行安全保护,外网之外则成为防火墙软件系统安装的位置。当防火墙软件系统安装位置定在了外网之外,网络系统的安全性能也得到了明显的提高。
目前,防火墙软件系统的主要功能是为了防止外部用户对网络系统的入侵。为了对防火墙软件系统的功能进行拓展以更大程度地满足网络用户的要求,防火墙软件系统在今后应该将杀毒功能也放到其中。杀毒技术在防火墙软件系统中的应用,将使得防火墙软件系统的防御功能变得更加强大。这将是今后防火墙软件系统的一个必然发展趋势。
3主机防火墙软件系统开发与设计
为了更好地对主机防火墙软件系统进行优化以最大限度地满足网络用户的需求,下面主要对主机防火墙软件系统中的关键技术进行分析研究。分布式防火墙的重要组成原件是主机防火墙,主机防火墙在整个网络系统中发挥了重要作用。主机防火墙软件系统是在主机上运行,以此来组织外界对网络系统的入侵。
3.1主机防火墙软件系统的包过滤功能
宿主机操作系统的内核是主机防火墙软件系统运行的具置。所以网络协议及主机操作系统与主机防火墙软件系统有着直接联系。主机防火墙软件系统的主要功能是为了对主机操作系统的网络协议进行分析,将拦截点设置在比较恰当的位置上。这些拦截点将会对所有进入网络系统的数据进行分析,进入网络系统的数据只有被拦截点审查通过之后才能进入网络系统。如果进入网络系统的数据存在安全方面的问题,则这些数据将被拦截点阻止在网络系统的外部。主机防火墙软件系统就是采取这种手段对进入网络系统的数据进行过滤,以此来保证网络系统运行环境的安全。
3.2主机防火墙软件系统的核心功能
包过滤是主机防火墙软件系统的一个核心技术。主机防火墙软件系统除了具有强大的包过滤功能外,还具有一些其它的功能。为了更好地了解主机防火墙软件系统,下面主要对主机防火墙软件系统的核心功能进行介绍。
主机防火墙软件系统的核心功能主要有以下几个方面:第一,主机防火墙软件系统可以对策略中心所配置的一些相关安全策略进行接收,以此来增强数据的过滤功能;第二,主机防火墙软件系统为了对应用程度的联网动作进行一定程度的过滤,使得应用程序的访问策略变得尤为重要;第三,主机防火墙软件系统可以对一些网络活动进行及时监控,如果发现一些网络活动对网络系统具有破坏作用,那么主机防火墙软件系统则可以对这些网络活动进行阻止以保证网络系统的安全;第四,主机防火墙软件系统可以对一些网络活动进行记录,以便网络系统出现问题后能及时地对这些网络活动进行分析;第五,主机防火墙软件系统为了让策略中心知道防火墙软件系统处于运行状态,还可以定时发送消息给策略中心。以上五个方面的功能就是主机防火墙软件系统的核心功能,它们在主机防火墙软件系统中起到了非常重要的作用,网络系统运行环境的安全性就是靠这五项功能来实现的。
3.3主机防火墙软件系统设计思路
主机防火墙软件系统设计思路的完善与否将直接影响到整个网络系统的安全。因此,为了确保整个网络系统拥有一个安全的运行环境,必须充分重视主机防火墙软件系统的设计。主控单元和网络处理单元是主机防火墙软件系统的主要设计内容。下面对主控单元和网络处理单元进行简单介绍。
3.3.1主控单元设计
通用的中央处理单元是主控单元硬件经常采用的。主控单元硬件的主要功能是为了对网络处理板进行管理及配置。主控单元在保证网络系统运行环境的安全方面起着非常重要的作用。因此,为了保证网络系统能够拥有一个更加安全的运行环境,主控单元的设计工作必须引起设计人员的重视。主控单元在进行设计的过程中,要注重采用一些比较强大的组成原件,以此来增加主控单元的功能。
3.3.2网络处理单元设计
网络处理单元设计的好坏直接影响到整个主机防火墙软件系统的功能,最终影响到整个网络系统的安全。因此,为了确保网络系统能够拥有一个安全的运行环境,网络处理单元的设计必须引起设计人员的重视。专用的网络处理器在网络处理单元中的应用是网络处理单元的一个显著特点,主控单元与专用网络处理器总线的连接是网络处理单元的外部设置内容。网络处理单元的主要功能是对来自主控单元的信息进行分析,这些信息只有被确认没有破坏性之后才能被传输到网络系统中,如果这些数据被发现具有破坏性,那么数据将会被阻止在网络系统的外面。网络处理单元是不被主机防火墙软件系统所控制的,其功能主要靠专用的网络处理器来决定。
4结语
为了更好地对主机防火墙软件系统进行开发与设计,本文主要对主机防火墙软件系统的组成部分、主机防火墙软件系统的发展趋势以及主机防火墙软件系统开发设计中的几个关键问题等方面进行了分析研究。主机防火墙技术是确保网络系统不被外来用户入侵的一项技术保证措施,为了给网络系统营造一个安全的运行环境,必须对主机防火墙技术进行不断地改进与完善。
参考文献:
[1]郝身刚.具有系统防御功能的新型主机防火墙系统设计[J].南阳师范学院学报,2011(12).
[2]李晓.基于透明网桥的垃圾信息防火墙软件系统设计与实现[D].成都:电子科技大学,2008.
[3]刘洁宇,任新华.分布式防火墙系统中主机防火墙的设计与实现[J].山西电子技术,2008(3).
[4]芦志朋.深度包检测主机防火墙的研究与实现[D].成都:电子科技大学,2010.
1.1 防火墙技术概念
从字面意思来看, 防火墙技术就是在计算机网络与防火墙之间构筑一面墙, 起到保护效果。防火墙技术将系统中的硬软件结合起来, 完成对不良信息的过滤与筛选工作, 一旦筛选出不良信息, 防火墙便会及时进行拦截, 从而保护计算机网络安全。目前, 计算机防火墙技术较为完善, 最为常见的有监测型、过滤型、型3种防火墙。计算机防火墙技术在计算机系统维护中有着非常重要的作用, 是当前计算机网络领域研究的重要方向, 怎样不断地提高计算机网络安全技术, 构建系统可靠的防火墙网络是计算机领域需要研究的关键内容[1]。
1.2 类型
防火墙是保护网络安全的有效手段, 当然, 它也有很多类型, 既能够存在于硬件部分, 也能在独立机器中运行, 该机制就变成了防火墙所在网络的。为了有效实现安全防护的目标, 就必须要让内外部网络中全部数据都经过防火墙进入, 同时, 只有和防火墙规则具有一致性的数据流才能经过防火墙, 并且防火墙自身也必须要具备很强的抗攻击与免疫力。防火墙可以连接因特网, 也可以将其应用在组织网内部重要数据信息的保护过程中, 因此, 可以将防火墙分成网络层防火墙与应用层防火墙两种类型[2]。
1.3 基本功能
1.3.1 动态包过滤技术
动态包过技术实际上也可以称作状态检测技术, 可以快速截获经过经过防火墙的数据包, 提取相关信息, 并结合信息的安全程度看是否允许信息经过, 能够达到动态网络监控的效果。防火墙能够动态管理经过端口的信息, 前提是要连接[3]。
1.3.2 控制不安全服务
防火墙能够控制不完全服务, 提前将信任域和不信任域间数据出入情况设置好, 从而避免不安全服务的进入, 确保内部网的运行安全。
1.3.3 集中安全保护
防火墙能够将内部要防护的软件全部集中起来, 还包含全部要改动及附加的软件, 如身份认证、电子口令等。这类安全问题都能由防火墙集中管理, 且操作起来非常简单。
1.3.4 加强网络系统访问控制
防火墙能够设置外部网对内部网访问服务, 并加强访问控制, 如涉及到重大网络安全服务能够屏蔽外部网, 使其无法访问;针对那些涉及较小网络安全服务, 可以对外部网进行访问[4]。
2 防火墙技术
2.1 过滤技术
防火墙技术在特定位置提供过滤服务, 如在网络系统TCP位置, 防火墙先对TCP位置接收到的数据包的安全性进行检查, 一旦发现存在安全隐患, 就不允许数据包传输。同时, 将过滤技术应用到外网环境中, 其预防特征特别明显, 有效防止不良信息的传输, 从而保证TCP区域运行安全。过滤技术的应用不仅能够实现对计算机网络安全控制, 而且在路由器方面应用价值非常明显。
2.2 协议技术
该种技术主要是用来防止Dos攻击, 若Dos攻击就会使整个计算机系统陷入瘫痪, 系统难以有效运行, 该类攻击并未进行明确限制。防火墙使用协议技术, 在Dos攻击中对计算机内部网络进行保护, 并提供相关网关服务, 得到防火墙的回应, 服务器才能有效运行。
2.3 检测技术
检测技术主要是对计算机网络运行状态进行检测, 外网传输的数据包当成整体, 对数据包状态内容进行准确分析, 并将分析结果进行汇总, 生成记录表, 分成规则、状态两个记录表, 对两表的数据信息进行分析, 判断数据状态。目前, 检测技术在各层网络间运用的非常普遍, 能够准确地获取网络连接状态, 扩宽网络安全防护范围, 从而保证计算机网络系统运行的安全性[5]。
3 计算机网络安全中防火墙技术的应用
随着计算机网络技术的广泛运用, 其各种安全问题也逐渐显现出来, 采取有效措施保护计算机网络网络安全是目前需要解决的重点问题, 下面对计算机网络安全中防火墙技术的应用相关内容进行了分析。
3.1 包过滤防火墙
该种防火墙通常只应用在OSI 7层模型中网络层数据。可以完成防火墙状态的检测, 预先将逻辑策略确定好, 主要包括端口、地址及源地址等, 所有经过防火墙的数据都必须要分析, 若数据包中的信息与策略中的要求不符, 则数据包能够通过, 若完全相符, 则数据包就会被拦截。数据包在传输过程中都会被分解成很多个由目的、地质等构成的小数据包, 在经过防火墙时, 它们可以通过各种传输路径传输过去, 但最后会在同一个地方会合。在目的地点, 数据包还是要接受防火墙检测, 合格之后, 才能通过。一旦在传输时, 数据包丢失或者是地址发生变化等都会被丢弃。但是, 该技术在应用的过程中也有一些缺点, 如:部分包过滤网关对有效的用户认证并不支持;规则表变化快, 规则难以测试, 随着规则表的结构与复杂性的增大, 规则结构的漏洞也会随之增多;该种防火墙是由一个独立的部件来保护, 一旦该部件出现问题, 就会危害整个网络系统;通常情况下, 包过滤防火墙智能对一种类型的IP威胁进行阻止, 也就是外部主机伪装内部主机的IP[6]。
3.2 深层检测防火墙
深层检测防火墙是计算机防火墙技术发展的主要方向, 该技术先完成对网络信息的检测, 再对流量走向进行实时跟踪, 并继续完成检测任务。该种防火墙技术的保护作用, 并不只是停留于网络层面, 而是有效防护应用层网络攻击, 安全性能强。
3.3 应用网关防火墙
该种防火墙也可以称为防火墙, 其主要应用在OSI的网络层及传输层。这种防火墙技术与包过滤防火墙存在一定的差异, 即认证的是个人, 并非相关设备, 只有当个人验证成功之后, 才能对网络资源进行有效访问, 认证主要包含的内容有密码、用户名等。通过应用网关防火墙, 就能有效防止黑客的攻击。同时, 应用网关防火墙又可以分成直通与连接网关防火墙两种, 其中连接网关防火墙一般属于认证机制, 能够以截获数据流量的方式来认证, 认证完成后, 连接网关防火墙才能开始访问。另外, 该种防火墙还能有效保护应用层, 使应用层运行更加安全, 而直通式并不能实现这一目标。但是, 应用网关防火墙也有自身的不足之处:利用相关软件来处理数据包, 支持的应用非常少, 有时必须要制定客户端软件。
3.4 分布防火墙
该种防火墙主要是由安全策略及客户端服务器组成, 客户端防火墙主要工作于各个服务器、工作站上, 依据安全策略文件中的相关内容, 依赖包过滤等几层安全检测, 确保计算机在正常运用的情况下不会受到网络黑客的攻击, 确保网络运行安全。而安全策略管理服务器主要是服务安全策略、用户等的管理。该服务器是集中管理控制中心, 统一制定和分发安全策略, 负责管理系统, 因而, 其是集中控制管理中心, 减少了终端运用的工作负担。分布防火墙主要应用于企业或者是单位局域网内部, 其安全运行必须要依赖于一些安全防护软件, 主要包含网络与主机防火墙两种, 其中网络防火墙主要应用于内外部网之间, 主机防火墙应用于局域网内部。该种防火墙主要是对内部缺陷进行防护, 有效防止外部攻击, 从而确保局域网运行安全。
4 结语
网络信息技术的普及与运用, 给人们的生活带来了极大的便利, 但也面临着许多安全问题, 在经过很多网络安全问题之后, 人们对网络安全越来越重视, 大多数网络用户都安装了计算机网络防火墙。网络资源有着很多可利用的优势资源, 怎样充分利用网络资源优势, 解决网络中遇到的问题, 是广大从业者必须要思考和解决的问题, 需要不断地去研究探索, 满足新时代计算机发展的现实需要。
参考文献
[1]徐凌云, 周立中, 朱平阳.关于防火墙技术在计算机网络安全中的应用剖析[J].数字通讯世界, 2014, (22) :129-135.
[2]秦素梅, 龚艳春, 张淑敏, 等.浅析防火墙技术在计算机网络安全方面的具体应用[J].网络安全技术与实际应用, 2015, (16) :208-216.
[3]徐东纯, 周艳萍, 王馨悦, 等.基于CC2530的环境监测无线传感器网络节点设计[J].计算机应用, 2016, (20) :325-329.
[4]江科, 周立军.浅议防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用, 2016, (15) :108-116.
关键词:防火墙技术;网络安全;应用探究
当前,随着社会的进步和科学的发展,以互联网为代表的先进技术逐渐深入人们的工作和生活,并带来了巨大的便利。而互联网技术作为一把“双刃剑”,其网络安全问题也时刻威胁着人们的生产生活,尽管其影响力大、破坏性强,但在入侵过程中却往往难以被人察觉。从本质来说,网络安全能够通过访问控制和通信安全两种服务来保障自身安全,而防火墙是网络入口的首要防线,这种服务要达到最佳效果,需要防火墙技术与加密技术联合防护。实践证明,防火墙技术的网络防御效果显著,并且能够广泛用于各个领域,有效保障网络安全。随着科学的发展,防火墙技术也会不断进步与发展,实时保障用户的网络安全。
1概述
1.1基本概念
所谓防火墙,就其概念而言来源于建筑学,意指防止火灾从建筑物燃烧至另一建筑物的阻碍物,而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为:计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的,并且只有内部访问权的通信方允许通过的技术。实质上,防火墙即为一种隔离控制技术,以增强系统内部网络的可靠性,保障用户安全为目的。
1.2基本功能
作为保障用户网络安全的重要技术,防火墙主要有以下基本功能:(1)防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分,隔离重点网,以防出现局部网不安全造成全局网不安全的现象。此外,防火墙技术通过对进入系统的用户身份进行严格验证,对网络进行相应技术加密,能够有效防止入侵者窃取用户数据信息。(2)增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起,与传统防护模式中各个系统主机共同处理网络安全的解决方式相比,显然这种集中管理模式保障安全显得更为方便、高效。(3)保障网络安全。主要表现在防火墙可以阻止不安全的进程,减小入侵风险,保障网络安全。此外,防火墙还能拒绝部分来自路由的攻击,并报告给网络管理员,以尽可能减少对其他用户造成麻烦的情况。(4)网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
2防火墙的分类
2.1电路级网关防火墙
电路级网关防火墙是目前较为常见的一种防火墙,其本质是一个用于监控客户机或服务器的通用服务器,它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议,但缺陷在于对同一协议栈运行的不同应用无法及时识别,因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中,电路级网关防火墙的服务器会对客户端进行部分修改,当客户端发送相应的请求,服务器便对请求进行接收,并客户端完成网络的连接工作。可以看出,此类防火墙能够将网络信息进行隐藏,保障信息安全。
2.2应用级网关防火墙
应用级网关防火墙是一种应用服务器,主要在内、外部网络在进行网络交换申请服务时起连接的功能,其工作方式如下:(1)验证用户是否符合进入条件,如若验证成功,则将用户请求发送到内部网络的主机,此时也会对用户进行的操作进行实时监测;若发现危险或疑似危险则阻断访问。(2)当用户是由内部网络申请连接外部网络时,防火墙工作模式会先对内部网络发送的请求进行接收和检查,若合乎要求,防火墙将请求发送至外部网络。由此看出,这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好,它在内外网主机之间起连接作用,而不允许其直接连接,能够有效保障使用过程中的安全性。此外,这种服务器还能够对用户的操作记录得更加详尽。
2.3静态包过滤防火墙
静态包过滤防火墙作用于网格层,对进出内部网络的信息进行全面分析,再根据相应安全策略对信息过滤,其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础,允许授权信息进出,限制危险信息进出。当前,路由器被广泛用于网络的信息传输,连接在内、外部网路之间,因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术,因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用,运行速度快,且透明性较高。这种防火墙技术的工作运用同应用层没有关系,这就意味着不用对用户主机的应用程序进行修改,配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识;另外这种防火墙技术不能够对用户的操作进行鉴别。
2.4状态监测型防火墙
状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间,可以对网络通信进行跟踪监测,并对相关状态信息进行提取;此外,状态型监测防火墙还能对动态链接表中的状态和信息进行储存,并及时更新,通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑,相对而言,型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述,状态型防火墙能够有效减少端口开放时间,并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接,对部分网络安全隐患难以起到防护作用;此外,状态监测型防火墙不能够对用户操作进行鉴别。
3防火墙在网络安全访问控制中的应用
3.1双宿主主机模式
双宿主主机模式是通过主机的使用来实现的,这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间,以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信,它们都只能与网关进行通信,而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。
3.2屏蔽主机模式
屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成,其中堡垒主机位于内部网络,过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道,使得外部网络和内部网络都只能连接到堡垒主机,当内部网络有通信需求时,必须先到堡垒主机,堡垒主机再进行判断,并决定是否允许连接到外部网络。因此,入侵者要想实现对用户电脑的入侵,必须首先将主机攻克,方能到达内部网络,主机结构如图1所示。
3.3屏蔽子网模式
屏蔽子网包括堡垒主机以及两个包过滤器等部分,其内、外部网络主机间设置具有隔离功能的子网,以形成隔离区,设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下,内、外部网络都能够访问屏蔽子网,而不允许穿过子网进行通信,这种配置使得当堡垒主机被攻克时,内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护,因为必须攻克两个路由器和一个网关才能成功入侵。
4防火墙未来发展趋势与展望
防火墙技术作为保障网络安全的重要举措之一,未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展,可全面保障用户信息、应用程序与操作过程的安全,且会具有如下新的优点:(1)高速性。现阶段,防火墙的运行速度不够快的问题突出,而随着科学技术的发展,防火墙将会更多与芯片技术相融合,利用芯片提升计算的速度和精度,最终成为以芯片技术为主的全硬件型网关,大幅度提升网络安全。(2)智能化。现阶段,网络安全威胁主要包括病毒传播、网络攻击、内容控制,其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果,因此未来的防火墙技术一定是朝智能化方向发展的。(3)多元化。随着网络技术的不断发展,多种网络模式已被运用,未来的防火墙将会形成一种可随意伸缩的模块化解决方案,为不同网络设置不同技术的防火墙,为用户提供多元化的保障。
5结语
随着人们对网络技术的运用越来越多,依赖性越来越强,人们对网络安全也越加重视。实践表明,防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁,防火墙技术需要不断地更新和发展,在保障网络安全这条隐蔽的道路上,人们需要做的仍然很多。只有人人注重网络安全,采用先进技术,才能形成全方位的防御体系,保护人们的信息资源。
作者:张林 单位:中国航空动力机械研究所
参考文献
关键词:计算机网络;安全技术;防火墙
随着计算机网络技术的快速发展,各种信息在网络中传递的速度越来越快,计算机网络技术在为人们带来方便的同时,也给人们带来极大的困扰。目前,很多行业都在使用计算机网络技术进行信息管理,如果计算机网络不安全,很容易造成信息泄露、丢失、修改等现象,因此,计算机网络安全技术成为当前比较热门的技术之一,防火墙安全防范技术是计算机网络安全技术的一种,在计算机网络安全中发挥着十分重要的作用。
1 计算机网络安全概述
计算机网络安全的含义没有明确的规定,不同的使用者对计算机网络安全的要求和认识有很大的差别,但计算机网络安全从本质上讲,包括计算机网络系统的软件安全、硬件安全、传递信息安全等几部分,计算机网络安全既需要技术安全也需要管理安全。计算机网络安全的主要内容有保密性、安全协议、接入控制等三部分,任务用户提供安全、可靠、真实、保密的信息是计算机网络系统的主要任务之一,如果计算机网络系统达不到保密要求,那么计算机网络就没有安全可言;安全协议是一种保护信息安全的手段,对计算机网络安全有十分重要的作用;接入控制主要是对接入网络权限和相关限制进行控制,由于网络技术比较复杂,传递的信息比较多,因此,常在接入控制中采用加密技术。
2 防火墙安全防范技术
2.1 防火墙安全防范技术概述
在计算机网络安全中,防火墙安全防范技术是一种计算机网络安全防范应用比较广泛的技术,防火墙是重要的计算机网络安全保障方式,在计算机网络安全防范中,防火墙能对网络环境的进出权限进行控制,对相关链接方式进行检查,对计算机网络信息进行保护,防止网络信息受到恶意破坏和干扰。在计算机网络环境中,防火墙大多是以独立的系统或者利用网络路由器进行安全保护。
2.2 计算机网络安全中常用的防火墙技术
随着计算机网络技术快速发展,防火墙安全防范技术也不断的发生着变化,目前,常用的防火墙技术有型防火墙安全技术、包过滤型防火墙安全技术、监测型防火墙安全技术、网址转换防火墙安全技术等。
2.2.1 型防火墙安全技术
型防火墙安全技术是一种服务器,属于高级防火墙技术,型防火墙安全技术常用于用户之间,对可能对电脑信息造成危害的动作进行拦截,从用户的角度讲,服务器是有用的服务器,从服务器的角度看,型服务器,就是用户机。当用户的计算机进行信息沟通、传递时,所有的信息都会通过型服务器,型服务器会将不利的信息过滤掉,例如阻拦各种攻击信息的行为,服务器会将真正的信息传递到用户的计算机中。型防火墙技术的最大的特点是安全性能高,针对性强,能将不利的信息直接过滤掉。
2.2.2 包过滤型防火墙安全技术
包过滤防火墙安全技术是一种比较传统的安全技术,其关键技术点是网络分包传输,在信息传递过程中,以包为单位,每个数据包代表不同的含义,数据包可以根据信息数据的大小、信息的来源、信息的性质等进行划分,包过滤防火墙技术就是对这些数据包进行识别,判断这些数据包是否合法,从而实现计算机网络安全防护。
包过滤型防火墙安全技术是在计算机网路系统中设定过滤逻辑,使用相关软件对进出网络的数据进行控制,从而实现计算机网络安全防护。包过滤防火墙技术的最重要的是包过滤技术,包过滤型防火墙安全技术的特点有适应性强、实用性强、成本低,但包过滤型防火墙技术的最大缺点是不能对恶意程序、数据进行进行识别,一些非法人员可以伪造地址,绕过包过滤防火墙,直接对用户计算机进行攻击。
2.2.3 监测型防火墙安全技术
监测型防火墙安全技术是对数据信息进行检测,从而提高计算机网络安全,但监测型防火墙安全技术成本费用比较高,不容易管理,从安全角度考虑,监测型防火墙安全技术还是可以用于计算机网络中。
2.2.4 网址转换防火墙安全技术
网址转换技术将网络地址转换成外部的、临时的地址,这样外部IP对内部网络进行访问时,其他用户不能利用其他IP重复访问网络,外部IP在访问网络时,首先会转到记录和识别中进行身份确认,系统的源地址通过外部网络和非安全网卡连接真正的IP会转换成虚拟的IP,将真正的IP隐藏起来。当用户访问网络时,如果符合相关准则,防火墙就会允许用户访问,如果检测不符合准则,防火墙就会认为该访问不安全,进行拦截。
3 防火墙安全防范技术在计算机网络安全中的应用
3.1 访问策略设置
访问策略设置是防火墙的核心安全策略,因此,在设置访问策略时,要采用详细的信息说明和详细的系统统计,在设置过程中,要了解用户对内部及外部的应用,掌握用户目的地址、源地址,然后根据排序准则和应用准则进行设置在,这样防火墙在执行过程中,能按照相应的顺序进行执行。
3.2 安全服务配置
安全服务的是一个独立的局域网络,安全服务的隔离区将系统管理的机群和服务器的机群单独划分出来,从而保障系统管理和服务器的信息安全,安全服务既是独立的网络又是计算机内部网络的重要组成部分。对于内部网络可以采用网址转换防火墙安全技术进行保护,将主机地址设置成有效的IP地址,并且将这些网址设置公用地址,这样就能对外界IP地址进行拦截,有效的保护计算机内部网络安全,确保计算机内部网络安全、稳定的运行。如果企业拥有边界路由器,可以利用原有的边界路由器,采用包过滤防火墙安全技术进行网络安全保护,这样还可有降低防火墙成本费用。
3.3 日志监控
日志监控是保护计算机网络安全的重要管理手段之一,在进行日志监控时,一些管理员认为不必要进行日志信息采集,但防火墙信息数据很多,并且这些信息十分繁杂,只有收集关键的日志,才能当做有效的日志。系统警告信息十分重要,对进入防火墙的信息进行选择性记录,就能记录下对计算机网络有威胁的信息。
4 结束语
计算机网络技术的快速发展必然会为网络安全带来一定的隐患,因此,要不断更新完善计算机网络安全技术,改革防火墙安全防范技术,抵抗各种对计算机信息有害的行为,提高计算机网络安全防护能力,确保计算机网络安全,从而保证计算机网络系统安全稳定的运行。
参考文献
[1]王丽玲.浅谈计算机安全与防火墙技术[J].电脑开发与应用,2012(11):67-69.
[2]刘可.基于计算机防火墙安全屏障的网络防范技术[J].电脑知识与技术,2013,9(06):1308-1309.
[3]徐囡囡.关于计算机网络安全防范技术的研究和应用[J].信息与电脑(理论版),2011(06):106-108.
[4]王吉.基于计算机防火墙安全屏障的网路防范技术[J].信息与电脑(理论版),2014(01):162-163.
关键词:计算机 互联网 防火墙 网络安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2014)05-0197-01
1 引言
网络安全对于国家民族以及社会稳定的作用影响较为深远,进行计算机网络安全的分析研究,主要也是进行计算机网络信息安全技术的研究分析。在计算机安全问题研究中,造成计算机网络安全问题以及隐患发生的主要因素包括,计算机网络病毒以及计算机网络犯罪、计算机网络黑客等,并且随着计算机网络信息技术在商业领域中的应用范围不断扩大,上述因素造成的计算机网络安全问题影响与经济损失也在不断增加,该文将结合计算机网络安全指标与等级标准,从防火墙安全屏障的概念含义分析出发,对于常用的计算机防火墙网络安全防范技术进行分析介绍。
2 计算机防火墙的概念和功能
2.1 概念
防火墙是一种具象化的表述,又被称为防护墙,于1993年被运用到互联网中,防火墙的实质是一种介于网络内部和外部之间,为了对信息起到保护作用的安全系统,简单来说就是一种对于网络访问的筛选和控制技术。防火墙的工作原理是通过计算机中的硬件和软件进行结合,形成一个作用于不同网络的安全管卡,从而使得其具备对于各种信息的验证和过滤功能。谈到网络防范技术,就必须要提到防火墙技术,这是在信息安全防护中运用的最为广泛,也是最为基础的技术。它通过对网络进行限制和分析,实现对于网络活动的监控,如果探测到问题的发生,就会自动进行屏蔽。这种技术主要是在网络中运用的,能够很好的过滤不良信息,自动的抵抗安全威胁,使得信息在网络上的传播和交流能够拥有安全可靠的环境。
2.2 功能
防火墙,顾名思义,其功能的核心在于对非法或者是不良的访问进行限制,起到安全防范的作用。而且随着技术的进步,更新一代的防火墙开始具备传统防火墙所没有的功能,比如微软的windows7系统中自带的防火墙,可以对数据包进行自动的过滤和分析,更具职能性。总之,防火墙能够强化计算机与网络的信息安全,能够对互联网的访问进行分析和控制,能够对不良和非法信息进行检测和过滤,功能可靠且强大。
3 常用防火墙技术分析
3.1 包过滤型
这类产品在防火墙中属于最为初级和基本的,其工作原理是互联网中的最为核心的概念,即分包传输。我们都知道,在网络上,信息和数据在传输过程中要以“包”为单位,在传输之前,信息会被进行既定的分割,这些被处理过的信息就被称为“数据包”。每个数据包中所涵盖的信息是不同的,而防火墙在接收到这些数据包后,会通过分析其地址来源和危险系数,从而判断出其中的信息是否会对网络安全造成危害,一旦有妨害危险,这些“数据包”就会被系统自动过滤,当然,为了实际考虑,防火墙的判断规则是可以被修改的,这取决于用户的安全需求。
3.2 型
这种类型的防火墙又叫做服务器,它是比包过滤型防火墙较为高端,功能较多的一种技术类型。它不仅拥有包过滤型的功能价值,而且随着技术的不断发展,这一类型的产品在慢慢向应用层面转变。型具有高可靠性的特点,但是由于要在使用前进行设定,所以在方便性上明显不足。
3.3 监测型
作为防火墙技术的最新成就,监测型已经不再局限于单纯的防火墙传统价值。它最大的特点就是实时性和主动性,可以对于不同节点和层面的信息进行全方位的监测,并通过自带的强大分析和处理系统,对非法侵入进行防范。不过监测型最为突出的特点是其对于网络内部威胁的防范性,因为其自带的分布式探测器可以对于任何节点进行监测,所以不仅对于网外,网内也可以起到安全防范的作用。
4 结语
综上所述,我们知道防火墙技术在计算机和互联网中的运用意义十分重大,虽然随着科技的进步,越来越多的网络防范信息安全技术被创造出来,但是其基本地位是无法被取代的。在在信息资源的传播和交流过程中,由于网络的一些特性和社会中不良分子的影响,使得安全保密问题成为计算机信息系统的重点和难点,所以一定要不断的创新,提高技术含量,使得防火墙发挥出更强大的功能。
参考文献
[1]张安妮,李明东.拒绝服务(DoS)攻击的分析与防御对策[A].办公自动化学会.OA’2005第九届办公自动化国际学术研讨会论文集[C].办公自动化学会,2005:4.
[2]陈关胜.防火墙技术现状与发展趋势研究[A].中国优选法统筹法与经济数学研究会计算机模拟分会.信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C].中国优选法统筹法与经济数学研究会计算机模拟分会,2011:6.
关键词:防火墙技术 校园网络 安全应用
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)10-0210-01
随着社会的高速发展,计算机和互联网科技得到了全球化普及,不同的用户都能通过计算机等网络终端在互联网的交流中满足自我需求。新时期下,学校的教学任务中也相应地增加了网络方面的系统知识,既要引导学生如何正确利用计算机和互联网开展学习和工作,又要加强学生的网络安全意识,提高网络安全操作技能。互联网在校园内基本实现了全面铺设,频繁使用过程中必然也容易产生诸多安全问题,阻碍教学科研等工作的顺利开展。要加强校园网络的安全性,必然需要重视防火墙技术,并通过积极努力实现在效果网络中的应用。
1 防火墙技术简述
防火墙技术的主要保护对象是某一网络内部结构的安全性。借助不断更新的电脑硬件和软件,现代技术能够在某一局域网络与外源互联网之间搭建安全防护体系,从而实现了对外部危险信息的隔绝,保障局域内网的信息安全。这种抵御外来入侵的技术就是防火墙技术。因为防火墙的存在,别有用心的网络用户对局域网展开的非法访问直接被拒绝和阻止。其主要的作用原理是将众多没有得到内网主机验证的IP地址码进行分组,形成具有高度隐蔽性的伪装,同时其地址功能主动断开内网与外网之间的数据连接,使得内网有了可靠的安全屏障。正是源于这样的作用机理,包括校园网、机关单位内网等网络都搭建了包含防火墙技术的安全防御系统。
2 校园网络安全性的内涵
校园网的用户主要是广大师生群体。这样的内网系统必然包含更多用于教学和科研等交流内容的数据,具有一定的特殊性,因此,校园网的安全性必然需要高度重视,才能确保网络可靠运行,过滤众多社会不良信息,保护内部资源的流失。校园网络的安全性主要体现在几个方面:①强化相关网络安全制度,实现优质高效的安全管理;②较高的用户身份识别,可以有效区分不法分子入侵;③防火墙的构建,及时阻止外界不健康的信息的传播,并主动过滤和屏蔽不信任网站;④师生个人信息的严密保存,通过各种加密措施实现信息安全,杜绝失窃或篡改行为;⑤安全监控系统的建立,能够对校园内的各种网络设备进行监控和保护。
3 防火墙技术在校园网络中的应用体现
3.1 不断巩固和优化内网防火墙
学校作为网络应用更为频繁的集中区域,不但要加强网络安全的制度管理和行为管理,更要在网络应用中不断改良和优化防火墙技术的,使之始终保持与校园发展环境的适应性。学校应该组建专业部门和专业人员,落实网络防火墙的重点建设,全面考察市场中的防火墙技术,引进与校园网络环境高匹配度的设备和技术,例如当前华为集团收购赛门铁克企业后强强联合推出的多业务防火墙系列,高达2000数值的吞吐量,集合Dos.DDoS系统加强检测外界入侵,设备上设置1个广域网接口,8个局域网接口,配置有可扩展式插槽。这样的防火墙配置有多核处理器,能够同时满足不同网络用户的需求。校园网应该紧跟时展,引进更高技术的安全保护设备,才能实现校园网络的安全运行。
3.2 实时开展外界不良入侵监控
网络入侵是当前互联网应用的常见风险,对网络进行入侵监控,能够及时对出现的网络问题采取相应的检测,并保持跟踪记录,便于未来具体处理时可供参考。防火墙技术应该加强对于不同等级的外界入侵攻击的有效防御能力。尤其在校园网中,入侵检测功能能够将某段时间出现的异常状况,以电邮的形式及时汇报到网络管理员处,管理员在启酉嘤υぞ机制后将积极开展危机处理。
3.3 加强登录用户认证
校园防火墙可以直接对登录网络的用户进行身份认证,同时也能够对用户点击访问的不同网站进行认证。如发现某网站不可信,或存在其他风险,防火墙将及时锁定用户数据库信息,完成IP地址或MAC地址的绑定,从未限制用户进入该网站,显示为无法访问。
3.4 保持系统的日常检测维护
防火墙在安装接入到校园网后,就会始终保持工作状态。因此,应该由专人开展定期检查和维护工作。通过查阅某一周期内的网络流量,核对异常记录,加强对网络日志的备份和清除,提供可存储效率。
3.5 持续开展系统漏洞扫描
校园网络防火墙的应用,不但能够有效降低来自外网的危险入侵,而且能够对自身的网络系统进行漏洞扫描。网络结构一向具有复杂性,无论是简单的程序还是复杂的软件运行,都会导致网络出现一定的不良反应,从而产生异常。防火墙技术在功能优化后,应成为专业网管的有力辅助工具,人工与机器的同步扫描下,网络漏洞存在的概率进一步降低,安全隐患能够在较短的时间内被消除。
3.6 选购正规可靠的相关防御装置
谈及防火墙技术在校园网络中的应用,还应该注意加强对防御装置的选购。当前市面上防火墙类别五花八门,使用效果也不尽相同,因此,还是应该面向拥有市场好口碑的主流产品进行选购,如金山网络防护、天网安全系统等。学校在确保自身投入符合预算要求后,可以配备更多的配套装置,如校园网专业浏览器、服务器、专业版杀毒软件等等,借助不同手段综合提升网络安全保护能力。
4 结语
校园网络的安全问题值得重视。在加强制度管理、行为管理的同时,对于网络防火墙技术的应用要保持科学性和严谨性。不但需要积极购入设备优化防火墙、加强入侵检查和用户认证、加强日常检测维护和漏洞扫描,更要结合其他手段,形成多元化的综合防御系统,才能更好地实现校园网络的安全运行。
参考文献
[1]杨帆.防火墙技术及其在校园网络安全中的应用研究[J].科技展望,2015(35):10.
[2]王谦,马全福.关于现代网络安全技术及其在校园网络中的应用探讨[J].网络安全技术与应用,2016 (02):30-31.
[3]马丽君.浅析防火墙技术在校园网络安全中的应用[J].网络安全技术与应用,2014(12):64,66.
关键词计算机;网络安全;防火墙技术;应用对策
中图分类号TP3文献标识码A文章编号1674-6708(2018)210-0147-02
随着网络技术的快速发展和广泛应用,计算机在各个行业大力普及并实现了网络互连信息共享。但是,网络的开放性给计算机网络安全带来了威胁,为病毒和黑客提供了可入侵的空间。为了防止计算机网络运行中遭到病毒的攻击,采用防火墙技术是非常必要的。
通过分析网络型病毒,根据对病毒以及黑客的分析结果具有针对性地使用防火墙技术,塑造安全的计算机网络环境,可以保证计算机网络安全稳定地运行。
1防火墙技术的概述
防火墙的构成上主要包括3个部分,即限制器、分离器和分析器。防火墙是用于计算机防病毒的硬件,安装在互联网与内部网之间,对互联网信息进入到内部网可以起到门户的作用,对于不良信息进行阻隔,可以起到降低内部网遭到病毒侵袭的发生率[1]。
可见,防火墙技术事实上是隔离技术。如果外网信息传递中,经过防火墙检测属于安全信息,就可以允许进入到内部网络。防火墙是保证计算机安全运行环境的重要屏障。防火墙技术所发挥的功能具体如下。
1.1防火墙技术对网络安全可以起到强化作用
防火墙技术对网络安全可以起到强化作用,体现在防火墙的设计方案、口令等都是根据计算机网络的运行需要量身定做的。
安装防火墙后,计算机可以过滤不安全信息,使得网络环境更为安全。防火墙可以禁止网络数据信息系统(NetworkFileSystem;缩写:NFS),对网络起到一定的保护作用,不良企图的分子就不会利用网络数据信息系统攻击内部网。防火墙还可以拒绝各种类型的数据块,即网络中交换与传输的数据单元,即为报文(message),可以进行一次性发送,由此提高了内网的安全性。
如果发现有不良信息,还可以及时通知管理员,由此可以降低自身的损失率。
1.2防火墙技术可以避免内网信息出现泄露问题
防火墙技术可以将重点网段起到保护作用,发挥隔离作用,使得内网之间的访问受到限制。内网的访问人员得到有效控制,对于经过审查后存在隐患的用户就可以通过防火墙技术进行隔离,使得内网的数据信息更为安全[2]。
在内网中,即便是不被人注意的细节也会引起不良用户的兴趣而发起攻击,使得内网的数据信息泄露,这是由于内网产生漏洞所导致的。
比如,Finger作为UNIX系统中的实用程序,是用于查询用户的具体情况的。如果Finger显示了用户的真实姓名、访问的时间,不良用户一旦获得这些信息后,就会对UNIX系统的使用程度充分了解。在网络运行状态下,不良用户就会对UNIX系统进行在线攻击。
防火墙技术的应用,就可以避免这种网络攻击事件发生。域名系统(DomainNameSystem;缩写DNS)会被隐藏起来,主机用户真实姓名以及IP地址都不是真实的,不良用户即便攻击,防火墙技术发挥作用,使得没有授权的信息不会进入到网络环境中,保护了网络环境,网络安全性能有所提高[3]。
1.3防火墙技术可以对网络访问的现象起到一定的监督控制作用
计算机安装防火墙后,所有对主机的访问都要接受防火墙的审查,在防火墙技术的使用中,完整的访问记录会被制作出来。
如果有可疑的现象存在,防火墙就会启动报警系统,不良用户的IP地址提供出来,包括各种记录的信息、网络活动状态都会接受审计,而且还可以做出安全分析,对于各种威胁也可以进行详细分析。通过使用防火墙技术,就可以使得不良用户被抵挡在“门”外,由此起到了预防隐患的作用[4]。
2防火墙技术在计算机网络安全中的应用
2.1采用防火墙技术对网络数据信息进行加密
采用防火墙技术对计算机数据信息实施保护,就是通过数据信息加密的方法对数据信息实施保护。
在数据信息进行传输或者对数据信息存储的过程中,就可以采用加密的形式,以保证数据信息在传输的过程容易被识辨,而且真实的信息被加密之后,就会被错误的信息所覆盖,不会被病毒所攻击而导致信息缺失或者被篡改,由此降低了被网络病毒攻击的几率。
对数据信息采用防火墙技术实施保护,所使用的密码是通过密码算法计算出来的,这些密码可以是对称的,也可以是不对称的。
对称密码所加密的数据信息,加密的密码与解密的密码是相同的,密码的安全度不是很高,所以密码与数据信息的保密程度密切相关;不对称密码对数据信息加密所采用的密码与解密的密码不同,而解密密码的安全度直接决定了数据信息的安全度[5],所以不对称密码所发挥的保密作用会更好一些。
2.2防火墙技术对域网系统安全运行提供保护
应用防火墙技术保护计算機网络,是为了防止不良访问者攻击网络。防火墙安装在网络系统的外部,阻止来自外部网络的病毒攻击,由此维护了内部网络环境的安全。
防火墙技术重在保证信息安全,是基于网络通信技术建立起来的。对于两个网络之间有不同的信任程度,就可以使用防火墙这种防护设备,由此避免了外来病毒的攻击[6]。
防火墙技术发挥作用,可以避免非法用户访问,确保网络处于安全稳定的运行状态,维护了网络信息以及网络数据库信息。
当浏览网络信息的过程中有“不良信息被拦截”的提示的时候,就意味着在网络上已经安装了防火墙,对网络起到了安全保护的作用,对不良信息进行了成功拦截。
防火墙技术的应用,不仅可以发挥拦截信息的功能,还会阻拦垃圾信息并对垃圾信息自动删除,避免产生信息扰而无法发挥其作用的现象。
防火墙安装在局域网和互联网之间,当信息在网络之间传输的时候,防火墙就会检验信息,对局域网系统运行实施了安全保护。
比如,采用防火墙技术对校园网数据中心所接收的信息实时检测。对于要通过防火墙的病毒,防火墙技术就可以发挥病毒检测作用,对数据库中心进行防护。当数据库中心被攻擊,防火墙技术就可以在线检测,有效地阻断网络型病毒的不良影响[7]。
3结论
综上所述,计算机网络是开放的空间,在虚拟的网络空间中实现信息共享,这就为网络型病毒的入侵提供了可利用的空间。
计算机网络运行中,做好安全维护工作是非常必要的,以在充分发挥计算机网络的作用的同时,还可以提高信息传播质量。
计算机网络运行中,由于安全维护不到位而存在问题,就会给病毒以可乘之机,使得病毒会通过网络运行中所存在的系统漏洞而入侵到计算机系统中。为了避免由此导致的严重后果,就需要对网络型病毒进行分析,对防火墙技术充分利用,做好计算机网络的安全维护工作,以避免计算机网络遭到威胁。
参考文献
[1]胡菊.计算机网络安全方面问题的分析[J].中国电子商情(科技创新),2014(3):15.
[2]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013(4):178-179.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑(理论版),2016(4):54-55.
[4]张武帅,王东飞.防火墙技术在计算机网络安全中的应用探究[J].电脑知识与技术,2015(31):35-36.
[5]李国胜,张静薇.计算机网络安全管理相关安全技术探析[J].科技创新导报,2013(8):215.
[6]杨敏.虚拟专用网络技术在计算机网络信息安全中的应用探讨[J].科技创新与应用,2014(23):72.
关键词:防火墙;网络;新一代
一、新一代防火墙技术的特点
1、多级过滤技术。
为保证系统的安全性和防护水平,新一代防火墙采用三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
2、透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的系统技术从而降低了系统登录固有的安全风险和出错概率。
3、网络地址转换技术。
新一代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4、用户鉴别与加密
为了降低防火墙产品在Telnet FTP等服务和远程管理上的安全风险鉴别功能必不可少第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段并实现了对邮件的加密
5、审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、己发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
二、新一代防火墙技术的应用和发展
1、智能防火墙技术
智能防火墙是利用统计、记忆、概率和决策的方法来对数据进行识别,并达到访问控制的目的。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地切断恶意病毒或木马的流量攻击。智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。智能防火墙支持包擦洗技术,对IP、TCP、UDP、ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。总之,智能防火墙解决了拒绝服务攻击的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向,与传统防火墙相比有质的飞跃。主要应用领域主要包括:入侵防御、防范黑客攻击、防范潜在风险、防范恶意数据攻击、防范,,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、身份认证授权和审计管理等方面。
2、嵌入式防火墙技术
嵌入式防火墙也被称为阻塞点防火墙,是内潜于路由器或交换机的防火墙。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。嵌入式防火墙弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络程序而设计,它确保了企业内部与外部的网络具有以下功能:不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都能实现安全移动与远程接入,可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。能够为那些需要在家访问公司局域网的远程办公用户提供了保护。
3、分布式防火墙技术
分布式防火墙产品是指那些驻留在网络主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品。它包含:(l)网络防火墙。用于内部网和外部网之间和内部网子网之间的保护产品,后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。(2)主机防火墙。对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或便携式计算机。分布式防火墙克服了传统防火墙的缺陷,它的优势在于:在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;与拓扑无关,支持移动计算。主要应用在企业的网络和服务器主机,在于堵住内部网的漏洞,解决来自企业内部网的攻击。分布式防火墙实施在企业各个网络端点上,克服了传统防火墙的缺陷,有效地保护了主机,适应了新的网络应用的需要。
三、结语
总之,随着新的网络攻击方式的出现,对网络宽带提出了更高的要球。这意味着防火墙要能够以非常高的速率处理数据。在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小,同时满足来自灵活性和运行性能的要求。为了满足这种需要,新一代防火墙的研究将任重道远。
参考文献:
[1]周学广、刘艺,信息安全学,北京:机械工业出版社.2003
关键词:防火墙;包过滤;服务器;状态检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10942-01
1 引言
近年来,计算机网络在全球得到了迅速的发展,其应用涉及到社会的各个领域,人们的诸多活动也越来越依赖于网络。然而,网络并非是安全的,由于网络本身存在的安全缺陷,再加上黑客攻击、病毒传播以及各种各样的威胁日益增多,使得网络的安全防线十分脆弱。为了确保网络系统的安全,目前人们研究并使用了多种安全防护措施,防火墙技术就是其中非常重要的一种防御手段。
2 防火墙的概念
防火墙是建立在内部网络和外部网络边界上的一种网络安全检测系统,它可以记录进出网络的数据传输,并且能根据已经制定好的安全策略,决定是否允许数据流通过。其目的是要防止未经授权的通信进出被保护的内部网络,通过边界控制来强化内部网络的安全政策。在这里内部网络被认为是安全和可信赖的,外部网络通常指的是Internet,被认为是不安全的和不可信赖的。
一般来说,防火墙都具有以下这些功能:一是限制来自网络外部的访问,过滤掉不安全的服务和非法用户,保护内部网络资源不受外部的入侵;二是提供集中管理方式,即将所有的安全软件配置在防火墙上来保护内部网络;三是尽可能对外隐藏内部网络的数据、结构和运行状况;四是能完整地记录网络访问情况,一旦网络发生了入侵或者遭到破坏,就可以通过对日志进行审计和查询以获得相关信息。
防火墙作为内部和外部网络之间的一道屏障,两种网络之间的接口,必须满足以下几点才可以起作用:所有进出被保护网络的通信都应该通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;理论上讲,防火墙本身是不可进入的。
3 防火墙的关键技术
3.1 包过滤技术
包过滤(Packet Filter)技术又称为静态数据包过滤,是最早出现的防火墙技术,虽然防火墙技术发展到现在提出了很多新的理念,但是包过滤仍然是防火墙为系统提供安全保障的主要技术,它可以阻挡攻击,禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。包过滤技术的原理是在网络层中依据过滤规则和包头信息选择性地转发或阻断数据包。用户可以根据自身的安全需求制定相关的规则,这些规则存储在包过滤设备的端口中,当数据包到达端口时,防火墙会依据这些过滤规则,独立地审查每个数据包的包头,根据数据包的源地址、目的地址、所使用的TCP或UDP端口、包头中的各种标志位及用来传送数据包的协议等因素来确定是允许该数据包通过还是删除该数据包。
包过滤技术的优点是简单实用,处理速度快,而且它对于用户来说是透明的,合法用户在进出网络时,根本感觉不到它的存在。同时,包过滤技术的缺陷也很明显的:一是安全性低,一般的包过滤防火墙对数据包数据内容不做任何检查,只检查数据包头信息,无法彻底防止地址欺骗;二是过滤规则很难配置,规则之间会存在冲突或漏洞,检查起来相对困难;三是缺少日志功能,当系统被渗入或被攻击时,很难得到大量的有用信息。
3.2 服务器技术
服务器(Proxy Server)在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发作用。当内部客户机要使用外部服务器的数据时会向其发出访问请求,服务器接收到该请求后会检查其是否符合规定,如果规则允许,服务器会修改数据包中的IP地址,然后发送给外部服务器,此时会认为是服务器发送访问请求;同样外部服务器返回的数据包会经过服务器的检测,得到允许后转发给发送请求的客户机。服务器运行在两个网络之间,对于客户机来说像是一台真的服务器,对于外界的服务器来说它又是一台客户机。由于每个内外网络之间的连接都要经过服务器的介入和转换,因此没有给内外网络的计算机以任何直接会话的机会,从而确保内部网络安全。
服务器的优点是有安全性好,能有效隔离内外网的直接通信,实施较强的数据流监控、过滤和日志功能。但是它也存在一些缺陷,首先它会使访问速度变慢,因为进出网络的每次通信都必须经过,而服务都要消耗一定的时间;其次,对于每一种应用服务都必须为其设计一个专门的软件模块来进行安
全控制,而且,并不是所有的互联网应用软件都可以使用服务。
3.3 状态检测技术
状态检测(Stateful Inspection)防火墙又叫做动态包过滤防火墙,是在传统包过滤技术的基础上进行改进的结果,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来,根据过去的通信信息和其他应用程序获得的状态信息动态生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙的理论基础是使用客户机/服务器模式进行的连接具有连接状态,最典型的是TCP连接,TCP连接必须经过3次握手,在这些不同的阶段中其状态是不一样的,而状态的转换又有着其规律,因此防火墙通过TCP包头的标志位就可以确定连接处于何种状态,一旦发现所发送包和状态不符,就可认为是状态异常的包进行拒绝,而不必对IP地址或TCP端口进行检查。
状态检测防火墙中有一个规则集和一个状态表(State Table)。状态表中保留着当前活动的合法连接,它的内容是动态变化的。当防火墙接收到初始化TCP连接的数据包时,会根据事先设定的静态规则集对此数据包进行检查,如果在检查所有的规则之后,该数据包都没有被允许通过,那么拒绝此次连接。如果该数据包被接受,则在状态表中记录下该连接的相关信息。对于随后的数据包,就将其与状态表里纪录的连接内容进行比较,如果状态表中存在此会话而且数据包状态正确,则接受此数据包,否则丢弃。
这种方式的好处在于:不是每个数据包都要和安全规则比较,只有在新的请求连接的数据包到来时才进行安全检查,从而提高了系统的性能;而且状态表是动态的,保存了数据包的状态信息,安全性高。
4 防火墙的局限性
虽然防火墙能够提高网络的安全性,但它并不是全能的,它也具有一定的局限性:
4.1 防火墙不能防范不通过它的连接。
防火墙一般位于内部网络的边界上,监控所有通过它的通信,如果信息能够通过无线接入技术或拨号访问等方式绕过防火墙进出网络,那么防火墙就没有任何用处。
4.2 防火墙不能防范全部的威胁。
防火墙是在已知的攻击模式下制定相应的安全策略的,因此能够防范已知的威胁,对于全新的攻击方式则难以有效。
4.3 防火墙不能防止感染了病毒的软件或文件的传输。
虽然很多防火墙都会对通过的所有数据包进行安全检测,已决定是否允许其通过,但一般只会检查数据包的包头部分,对数据包的具体内容不太关心。即使是最先进的数据包过滤,在病毒防范上也是不适用的,因为病毒的种类太多,操作系统也有多种,而且有很多方法可以将病毒在数据中隐藏起来,因此不能期望防火墙能替代杀毒软件。要解决病毒问题还必须在每台主机上安装专门的杀病毒软件。
4.4 防火墙不能防范内部用户的恶意行为。
由于内部用户进行的偷窃数据或其它破坏行为都处于网络内部,其各种信息均不通过防火墙,因此防火墙无法阻止。
5 防火墙的发展方向
随着网络技术的发展,黑客攻击、恶意软件及病毒等各种安全威胁的进一步升级,促使防火墙也在不断发展。
5.1 目前的防火墙采取数据匹配检查的方法,安全性越高,需要的计算量就越大,效率也就随之降低。未来的防火墙要求是高安全性和高效率的统一。使用专门的芯片负责访问控制功能,设计新的防火墙的技术构架是未来防火墙的方向。
5.2 分布式防火墙。当前的防火墙一般都是边界防火墙,只能监控通过防火墙的数据,并且认为内部网络是绝对安全的。然而事实并非如此,网络上的很多灾难常常是由内部用户的无意或恶意行为造成的,于是提出了分布式防火墙的概念。分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三个部分,对网络边界、各子网和网络内部各节点之间的进行安全防护。这种方式加强了对内部网络的监控,构建了一个全方位的保护体系。
5.3 联动防火墙。基于防火墙本身的局限性以及其他安全技术的成熟应用,出现了联动防火墙的概念。将防火墙同其他安全设备进行整合,充分发挥各自的优势,协同配合,架构起立体的安全防范体系。例如将防火墙与防病毒产品联动,可以在网关处对病毒进行查杀,将病毒阻挡在网络之外。此外防火墙与入侵监测系统的联动也是非常重要的,因为两种技术有很强的互补性。
5.4 智能防火墙。智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙能解决普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,比传统的防火墙更安全,效率更高。
6 结束语
防火墙是网络安全的屏障,能有效地提高网络的安全性,但不要将网络安全单纯的依赖于防火墙,它仅是全面的安全策略中的一个重要组成部分,应该和防病毒、入侵检测、数据加密、身份认证等安全防护技术结合起来,共同建立一个有效的安全防范体系。
参考文献:
[1]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.7.
[2]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.1.
[3]陈天洲,陈纯,谷小妮.计算机安全策略[M].浙江大学出版社,2004.8.
