浅析计算机网络安全和防火墙技术论文

浅析计算机网络安全和防火墙技术论文（共8篇）

浅析计算机网络安全和防火墙技术论文 篇1

1.1 网络安全的定义

计算机在网络运行环境中, 安全性受到很到的威胁, 如果不进行积极有效的调控, 很容易受病毒侵害。计算机内部的重要文件损坏或者丢失。在对网络环境进行检验时, 也主要是针对内部文件安全以及使用者信息保密情况来进行的。计算机设备接入到网络环境中, 并不存在绝对的安全, 需要用户根据使用阶段得到的反馈, 修复已经存在的漏洞以及风险问题。安全的网络环境中不存在计算机病毒, 也可以认定系统中不存在漏洞, 病毒无法攻击使用者的计算机设备, 文件与信息安全也因此得到了保障。

1.2 影响网络的安全因素

网络环境中产生不安全因素主要是否计算机病毒造成的。借助网络运行平台对使用中的设备进行攻击, 如果系统的防火墙设备足够安全, 内部信息不会丢失, 但很难保障系统中完全不存在漏洞。计算机设备中自身存在的风险是造成影响网络安全的首要因素, 其次是网络环境中的恶意攻击。明确影响计算机设备使用安全的因素后, 可以对网络进行加固处理, 通过技术手段对恶意攻击进行防御。

2 目前主要的网络安全策略

网络安全防御对策是针对风险排除来进行的。对计算机使用期间出现的漏洞进行完善, 可以由技术人员完成程序的检验, 如果用户不是专业计算机工作人员, 也可以安装安全防护软件, 定期对设备运行安全性进行检测, 发现病毒后也可以治理。具体的安全防护措施如下。

2.1 数据加密

首先是对数据库进行加密处理。计算机设备在访问网络时, 内部数据处于开放状态, 加密后可以避免远程控制访问, 客户使用过程中产生的数据也可以加密, 有选择性的进行, 涉及到隐私以及一些重要文件时, 对访问权限进行设置。再访问网络时安全性会有明显的提升, 数据安全得到保障后, 系统中也不会出现漏洞问题, 减少黑客攻击的几率。计算机设备中含有大量的数据信息, 逐次加密显然不现实, 常见得方法是对传递信息的信道进行加密。访问网络时下载得到的数据要在特殊译码模块中才能够使用。这样在下载文件时不会将病毒保存在计算机中, 同时也减少了黑客入侵的可能性。对链路进行加密也常常会使用到, 能够控制信息的传输方式, 避免网络访问端口被恶意篡改。后者是针对硬件设备来进行的, 办公设备也可以在系统中设置加密。在多重保障下计算机设备基于网络环境下运行安全性会有明显的提升。

2.2 网络存取控制

用户在使用网络设备时, 需要对身份信息进行保存, 避免设备被其他人操控。这也是网络安全措施之一, 相同原理下网络身份存取的方式还有很多, 可以根据使用需求做出整改。常见的方式包括登陆前的身份输入, 经过长时间的应用技术已经足够娴熟。

首先是身份识别, 在计算机系统中编写识别程序, 使用计算机前需要输入特定的密码, 对于一些重要文件的访问也同样需要密码。出现病毒对系统恶意攻击时, 也多了一层防护措施, 网络安全性有明显的提升。用户使用设备时可以设置密码, 网络传输端也会设置独立的密码, 在双并保障下网络安全能够满足使用需求。其次是计算机访问网络时的权限。对权限进行控制能够从根源治理病毒入侵问题。只有权限范围内的用户才能对数据库进行方法, 其他非法访问方式都不能进入到系统内部, 对数据进行篡改。权限控制是在数据库范围内进行的, 要求使用者对各项权限进行正确的设置。最后是对病毒破坏系统的恢复。计算机在网络环境中运行时, 数据库受病毒影响出现漏洞。通过安全防护系统的修护功能, 能够恢复原貌, 继续使用。备份可以采用本机上备份, 也可以采用网络备份。备份要经常进行, 尽量远离服务器, 在其他房间单独存放, 以免由于盗窃、火灾等原因导致备份的数据丢失。

3 防火墙技术

3.1 防火墙的定义

防火墙是一种将内部网和公开网分开的方法, 实质上是一种隔离技术。防火墙是保护网络安全最主要的手段之一, 近年来防火墙技术取得了很大的进展, 各种防火墙技术应运而生。

3.2 防火墙技术分析

根据防火墙所采用的技术不同, 可以将它分为四种类型:包过滤型、网络地址转换- NAT、应用代理型、状态检测型等。

(1) 包过滤型。包过滤型防火墙工作在OSI参考模型的网络层和传输层, 它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过, 只有满足过滤条件的数据包才被转发到相应目的地, 其余数据包则被数据流阻挡丢弃。包过滤的优点是:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。缺点:只能根据数据包的来源、目标和端口等网络信息进行判断, 不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击, 不支持应用层协议, 不能处理新的安全威胁。

(2) 网络地址转换- NAT。网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP地址标准, 用户必须要为网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时, 系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接, 这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时, 它并不知道内部网络的连接情况, 而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的, 不需要用户进行设置, 用户只要进行常规操作即可。

(3) 应用代理型防火墙。应用代理型防火墙是工作在OSI的最高层即应用层。其特点是完全“阻隔”了网络通信流, 通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。应用代理型防火墙的优点是安全性较高, 可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置, 大大增加了系统管理的复杂性。

计算机网络在全球范围内得到了迅速发展, 其应用几乎包括了人类生活和工作的全部领域, 它在带给我们前所未有的方便的同时, 也给我们制造了大量的问题, 计算机网络安全是一个综合性的课题, 涉及到技术、管理、使用和维护等多方面。为保证计算机网络系统的安全, 应混合使用多种安全防护策略。现代防火墙技术已从网络安全的最底层逐步走向网络层之外的其他安全层次, 在完成传统防火墙的过滤任务的同时, 还能为各种网络就用提供相应的安全服务。

摘要：分析了网络安全的重要意义, 从内容定义与影响运行安全的因素两方面进行。介绍了提升网络运营安全的有效措施, 重点探讨防火墙技术应用阶段要注意的要点内容, 通过防火墙来进行网络访问, 能够减少病毒入侵的可能性。

关键词：计算机网络,网络安全,防火墙技术

参考文献

[1]陈倩.浅析网络安全及防火墙技术在网络安全中的应用[J].网络安全技术与应用, 2014 (11) .

浅析计算机网络安全和防火墙技术论文 篇2

关键词：计算机网络安全技术；计算机网络；防火墙；网络安全；分析和探究

中图分类号：TP393.08

当今社会，是全球信息化快速发展的时代。随着科学技术的蓬勃发展，计算机的应用也日趋于普及。作为公共信息和数据交换的重要平台，计算机技术在方便人们生活的同时，其安全问题也越来越受到人们的广泛关注和重视，尤其是来自各种网页木马、钓鱼网站和病毒等方面的安全问题，更是对人们日常的通讯和数据传输等方面造成了潜在的威胁。对此，防火墙技术在抵御各种病毒、木马的入侵，保障用户终端信息安全以及提供安全可靠的网络环境上有着极为重要的作用。本文主要通过介绍计算机网络安全技术中的防火墙技术，包括防火墙的基本概念、类别划分和重要意义，以及防火墙的配置等方面。具体分析如下。

1 防火墙技术

1.1 防火墙的概念

防火墙，顾名思义，是一道“墙”。只不过这道墙不是我们通常说的物理上的墙，而是基于互联网建立起来的，用来控制网络用户的互访，以及防止外网用户非法入侵本地网络，访问本地网络资源的互联设备。通过防火墙能够隔离互联网风险区域和本地局域网的连接，但并不会妨碍本地局域网用户对互联网风险区域进行访问。同时，能够监控进出网络的通信量，抵制危险进程入侵本地网络，以免让用户终端系统设备受到损坏或用户信息泄露。

1.2 防火墙的作用

新形势下，随着现代科技的全面快速发展，网络入侵的手段也是越来越高超。同样，部分软件应用在配置上的不合理，或是选用不合适的口令，也很有可能成为网络入侵利用的手段。在这种情况下，防火墙同样起着重要的防御作用。通过禁止未授权应用程序软件在本机的使用，定期更新升级防火墙，从而为用户终端提供安全可靠的网络环境。通过对防火墙的讨论，防火墙大概有以下几个方面的作用。

（1）限制对网点的访问和封锁网点信息的泄露。防火墙能够检查进出用户终端的所有网络信息，当有未授权信息进入时，能够为网络安全起到把关作用，并只允许授权的通信通过。

（2）最大限度防止被保护子网的暴露。当一个网段发生问题时，可能会很快影响到整个网络的通信。针对这种现象，防火墙能够起到隔离网段与网段之间的通信，尤其是被保护网段相对其余网段更敏感时，防火墙发挥的作用更为突出。

（3）防火墙具有审计功能。由于防火墙能够有效记录用户终端在互联网上的活动，因此，任何经过防火墙的传输信息，尤其是网络入侵信息，都会被加以记录和总结，为终端用户提供查阅功能。

（4）防火墙能够强制安全策略。在访问互联网时，由于大部分服务存在不安全性，往往会对用户终端的安全造成不同程度上的威胁。对此，防火墙能够执行站点的安全策略，允许经过认可的不安全服务或符合规则的服务通过。同时，防火墙还能起到加密和解密进出网段信息、方便网络实施密钥管理的重要作用。

1.3 防火墙的基本类别

就目前的IT市场来看，通常防火墙技术主要有纯软件防火墙技术和物理防火墙技术两种。纯软件防火墙技术主要是基于瑞星杀毒、金山毒霸等杀毒软件研发出来的防火墙，物理防火墙技术则是指采用具体网络设备，设置在不同网络或是网络安全领域之间的一系列部件的组合。具体可以划分为包过滤防火墙、代理服务器和状态监控器等三种。

（1）包过滤防火墙。包过滤防火墙，通常是安装在网络层的路由器上，能够根据网络管理员设定的访问控制清单，有效筛选经过防火墙的所有传输信息的IP源地址、目标地址和封装协议及端口号等。但由于防火墙存在无法判断数据包来源、目标和端口等网络信息的局限性，对于恶意JAVA小程序病毒、电子邮件病毒等基于应用层的恶意入侵，无法进行识别，威胁到网络安全。

（2）代理服务器防火墙。代理服务器防火墙，即代理服务器，通常位于用户终端与服务器之间，能够完全地阻挡两者之间的数据交流。包括服务端程序和客户端程序两部分。相对于包过滤防火墙来说，代理服务器防火墙能够作用于应用层，且不提供直接的外部网络与内部服务器数据通道，安全性更高。

（3）状态监视防火墙。状态监视防火墙，能够通过检测模块对被监测数据的抽取及动态保存，方便日后制定安全决策。在网络配置和安全规定的基础上，该防火墙主要实现对用户访问请求的数据进行抽取分析，及时作出接纳、拒绝、鉴定或是加密等决定。当发现违反网络配置和安全规定的访问数据时，触发安全报警器，同时防火墙拒绝该访问，并向系统管理器报警。但状态监测防火墙配置较为复杂，且会影响网络信息传输速度的提高。就目前防火墙市场来看，通常采用应用网关集成包过滤技术。

1.4 防火墙的配置

配置防火墙，需要选用一台具备路由功能的PC机，PC机必须携带有以太网卡或串行卡等接口卡，通过以太网卡连通互联网，串行卡连通内部网络。配置完成后，内部网络与互联网络实现隔离。当外部网络向内部网络传输数据时，需要先经过防火墙，并受到来自防火墙的监测和数据记录，以此为内部网络提供安全的网络环境。在防火墙的选型上，通常用户应该选用具备高智能化、自动识别能力强和更新速度快的防火墙产品。这样不但能够避免频繁设置安全规则和处理安全警报，同时也提高了网络安全性能。此外，在参数的设置上，要求用户需要具备基本的网络知识，了解TCP/IP等各类协议提供的服务，做到准确判断应用程序和网络连接请求的危险程度，從而实现安全规则的正确配置。并通过病毒防护软件的配合使用，检测系统可能存在的病毒、木马或漏洞，进行及时杀毒和系统漏洞的修复，从而进一步为用户信息安全提供保障。

2 防火墙的展望

通过分析防火墙网络安全技术，在认识防火墙技术的基础知识和重要性的同时，了解防火墙技术中存在的不足和配置问题，进而推动防火墙技术的发展和完善。根据防火墙未来的发展，大概面临以下两点改变。

2.1 模式转变

在传统的防火墙技术中，大多数防火墙被用来防止外部网络的恶意攻击，而对于内部网络的安全隐患则考虑不全。因此，新时期下的防火墙技术，需要实现模式上的转变。就目前的防火墙发展趋势来看，越来越多的防火墙开始转换为分布式结构存在。通过分布式保护各网络节点，最大限度覆盖整个网络，从而加强了防火墙安全防护的强度。

2.2 功能扩展

就目前防火墙趋势来看，其功能也得到进一步的扩展。当前的防火墙主要朝着集成VPN、PKI和IPSec等功能，尤其是集成类似于病毒防护和入侵检测等主流功能的方向发展。通过防火墙技术和其他主流功能的相融合，不但能够从一定程度上简化防火墙的配置，同时也简化了用户对各功能设备的集中管理，提高了用户的管理能力。

参考文献：

[1]赵佳.略谈计算机网络安全与防火墙技术[J].科技信息（科学教研），2008，23.

[2]程博.我国目前计算机网络安全与防火墙技术探讨[J].改革与开放，2011，20.

[3]张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术，2012，24.

作者简介：孟庆威（1986.6-），男，吉林省白城市人，职务：硬件维护，助理工程师，学士学位，研究方向：硬件维护。

网络隔离和防火墙技术的比较研究 篇3

2012-8-6 21:20:21 文章来源：万方数据

摘要： 目前的防火墙大都依靠于对数据包的信息进行检查，检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构。

关键词： 网络隔离防火墙

一、前言

随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展，宽带网已经得到普及。业界电子商务的开展，海量的网络信息，[J趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃，但办公信息化的安全，也极大地引起人们的关注和思考，相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。

二、网络隔离技术简介

（一）网络隔离技术的发展历程

网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络（如：TCP／IP）通过不可路由的协议（如：IPX／SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）。

（二）网络隔离技术原理

网络隔离产品采用了网络隔离技术，是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之问，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，网络隔离产品从物理上隔离，阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

（三）网络隔离设备的实现机制 网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元，内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP／IP协议的数据连接，并通过私有协议进行数据的交换。

三、防火墙的体系架构介绍

目前的防火墙大都依靠于对数据包的信息进行检查，检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构，就需要分析检查它是哪一层协议的信息。根据OSI模型，防火墙架构包含以下几种：包过滤防火墙，电路网关防火墙，应用网关防火墙，状态检测包过滤防火墙和切换代理防火墙。防火墙是建立在内外网边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度，很大程度上取决于防火墙的体系架构。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

四、防火墙存在的安全漏洞

防火墙设备侧重丁二网络层到应用层的策略隔离，操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安哞：的潜在因素。首先由防火墙的体系架构可知，防火墙可能会产生网络层短路，从而导致伪造合法数据包带来的危害：防火墙还难以抵御数据驱动式攻击，即大量合法的数据包将导致网络阻塞而使止常通信瘫痪。其次，防火墙很难阻止由通用协议本身漏洞发起的入侵。第三，防火墙系统本身的缺陷也是影响内部网络安全的重要因素，当防火墙土机被控制后，内部受保护网络就会暴露无疑。第四，要使防火墙发挥有效的安全性，需要正确、合理地配置防火墙相关的安全策略，而配置的复杂程度不仅带来繁琐的工作量，同时也增加了配置不当带来的安全隐患。

五、安全性分析比较

（一）指导思想不同 1.防火墙的思路是在保障互联互通的前提下，尽可能安全；

2.网络隔离技术的思路是在保证必须安全的前提下，尽可能互联互通。

（二）体系架构不同

网络隔离产品一般为双机或三机系统，而防火墙由一台处理机组成，为单机系统。而网络隔离设备实现了0SI模型七层的断开和应用层内容的检查机制，因而不会产生网络层短路，消除了基于网络协议的攻击。

（三）安全规则配置的复杂程度不同

浅析计算机网络安全和防火墙技术论文 篇4

一、防火墙是什么

防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器 限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

二、防火墙的分类

从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。静态包过滤防火墙：

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。动态包过滤防火墙：

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

代理（应用层网关）防火墙：

这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

自适应代理防火墙：

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

三、防火墙功能

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序联网动作进行过滤。(2)对应用程序访问规则具有自学习功能。(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。

四、防火墙的不足

防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。

防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击——种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

五、常见攻击方式以及应对策略（1）常见攻击方式 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，很容易欺骗用户下载一个程序从而让恶意代码进入内部网。策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。

策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在主机上采取相应阻止措施。IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网络达到攻击的目的。

策略：通过打开内核功能，丢弃所有来自网络外部却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。（2）应对策略 方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根据自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。实施措施

好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。

七、防火墙的发展历程（1）基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，网络访问控制可能通过路由器控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第一代防火墙产品的特点：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号及其他网络特征； 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。（2）第一代防火墙产品的不足之处 具体表现为：

1)路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。

2)路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

3)路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。（4）用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。第二代防火墙产品的缺点

1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，2)配置和维护过程复杂、费时； 3)对用户的技术要求高；

4)全软件实现，使用中出现差错的情况很多。（5）建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。系统上的防火墙的特点： 1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。（6）操作系统上的防火墙的缺点

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性 无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的 安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商 的攻击；

4)透明性好，易于使用。

网络信息安全与防火墙技术 篇5

钟琛

（2012级软件开发（3）20150609）

摘 要：随着计算机网络技术的迅速发展，特别是互联网应用得越来越广泛，网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点，使其安全得不到保障。社会针对计算机网络安全，提出了许多保护措施，其中防火墙技术的应用相对较为明显，不仅显示了高水平的安全保护，于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的，所以我们应该高度重视和注意防火墙技术。因此，该文对计算机网络安全进行研究，并且分析防火墙技术的应用。关键字：计算机；网络技术；网络安全；防火墙技术

Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology

随着计算机网络的飞速发展，人们的工作，学习和生活正在不断地被计算机信息技术改变，人们的工作效率有了很大的提高，但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点，这种形式在网络和网络中极容易受到黑客，病毒，恶意软件和其他意图不明的行为攻击，因此网络信息的安全性和保密性是一个关键的问题。因此，网络的安全措施应该是一个能够面对全方位不同的威胁，只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术

计算机网络安全与防火墙技术之间存在密不可分的关系，防火墙技术随着计算机网络的需求发展，网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下： 1.1计算机网络安全

安全是计算机网络运行的主要原则，随着现代社会的信息化发展，计算机网络已经得到了推进，但是其在操作过程中依然出现安全威胁，影响计算机网络的安全级别，计算机网络安全威胁包括：

1.1.1 数据威胁

在计算机网络中数据是主体，在运行的过程中数据存在许多漏洞，从而导致计算机网络的安全问题。例如：一个计算机网络节点的数据，比较容易篡改，破坏数据的完整性，攻击者利用数据内容的一部分，窥探内网数据、泄漏数据，利用计算机网络系统漏洞，植入木马、病毒，导致系统数据瘫痪，无法支持计算机网络安全的运行。1.1.2 外力破坏

外力破坏是计算机网络安全运行不可忽视的危险部分，最主要的是人为破坏，如：病毒、木马的攻击等。目前，这种类型对计算机网络的影响比较大，一些网站病毒、邮件病毒等方式的攻击者，对用户的计算机进行攻击、病毒植入时，大多是因为用户操作习惯的不正确，从而使计算机网络系统出现漏洞。例如：用户浏览外部网站很长一段时间，但不能对病毒进行定期处理，攻击者可以很容易地找出用户的浏览习惯，添加此类链接的特性攻击网站，当用户点击该网站时，病毒立即开始攻击客户的计算机。1.1.3 环境威胁

在共享环境中的计算机网络，资源受到威胁。环境是计算机网络操作的基础，用户在访问外部网络时必须经过网络环境，所以是有显著的环境威胁的，当用户访问网络时，该攻击在网络环境中非常强，攻击者通过网络环境设置主要攻击范围，特别是对网络环境内交互的数据包进行攻击，保护内部网络的结构受到损坏，对环境的威胁，必须发挥防火墙技术的全部功能。

2防火墙的基本原理 2.1防火墙的概念

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查，然后决定是否允许该通信，将内部网对外部网屏蔽信息、运行状况和结构，从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。

防火墙本质上是一种隔离控制技术，其核心思想是在网络中不安全的环境，构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器，它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。

防火墙可以全部是硬件，也可以全部是软件，它也可以是硬件和软件两者。防火墙与内部网络和外部网络（互联网）之间的关系如图1。

图1 2.2 防火墙的作用

2.2.1 “木桶”理论在网络安全的应用

网络安全概念有一个“木桶”理论：一只水桶能装水并不取决于桶有多高，而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙，网络安全只能体现在许多主机的功能，所有主机都必须共同努力，以实现更高程度的安全性。防火墙可以简化安全管理，网络安全是加强防火墙系统，而不是分布在内部网络中的所有主机上。

2.2.2 内部网络安全性的强化

防火墙可以限制未授权的用户，如防止黑客或者破坏网络的人进入内部网络，不让不安全的脆弱性的服务（如NFS）和没有进行授权的信息或通信进出网络，并抵抗从各个地方和路线来的攻击。

2.2.3 将网络存取和访问进行记录、监控

作为一个单一的网络接入点，所有传入和传出的信息必须通过防火墙，防火墙是非常适合收集系统和网络的使用和误用，并且将记录信息。在防火墙上可以很容易地监控网络安全，并且报警。

2.2.4 限制内部用户访问特殊站点

防火墙来确定合法用户的用户认证。通过事先确定的检查策略，以决定哪些内部用户可以使用该服务，可以访问某些网站。2.2.5 限制暴露用户点，阻止内部攻击

用防火墙将内部网络进行划分，它使网段隔离，以防止网络问题通过整个网络，这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响，同时保护网络从该网络中的其他网络攻击

2.2.6 网络地址转换

防火墙部署为一个NAT逻辑地址，因此防火墙可以使地址空间短缺的问题得到缓解，并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点，所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络

防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布，有机地联系起来，形成一个整体。不仅省去了专用通信线路，而且还提供技术支持，信息共享。3防火墙的类型

在设计中的防火墙，除了安全策略，还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术，我们可以分为四个基本类型：包过滤型、网络地址转换--NAT，代理服务器型和监视器类型。3.1包过滤型

包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的，数据被划分成大小相当的包，每个包将包含特定信息，如地址数据源，目的地址，TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点，如果发现来自不安全站点的数据包，防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的，注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着，用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时，会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口，所以地址和端口通过不安全网络卡和外部网络连接的伪装，所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型

代理防火墙同样也可以被称为代理服务器，它比包过滤产品更加安全，并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于，完全阻断两者的数据交换。从客户端的角度来看，代理服务器充当真实服务器，从服务器运行时，代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据，第一数据请求发送到代理服务器，然后代理服务器获得数据到服务器响应请求，然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通，这对企业网络系统来说，外部的恶意破坏不足以伤害到。3.4监测型

监控防火墙是新一代的产品，最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性，实时监控数据，在监视器防火墙上的数据的分析的基础上，可以有效地确定各层的非法侵入。与此同时，这种检测防火墙产品一般还具有分布式探测器，这些探测器放置在节点、各种应用服务器和其它网络之间，不仅可以检测来自网络外部的攻击，同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算，在攻击的网络系统中，从网络中有相当比例的是从内部网络开始的。因此，监测的防火墙不仅超越了防火墙的传统定义，而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙，但由于监测防火墙昂贵的实施技术，而且不易于管理，所以现在在实际使用中的防火墙产品仍然在第二代代理型产品，但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本，用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求，而且还可以有效地控制总拥有成本的安全系统。4 结束语

防火墙是新型的重要的Internet安全措施，在当前社会得到了充分的认可和广泛的应用，并且由于防火墙不仅仅限于TCP / IP 协议的特点，也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分，所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全，那么这和许多因素有关，要想得到一个既高效又通用、安全的防火墙，通常要将各种各样的防火墙技术和其它网络安全技术结合在一起，并且配合要有一个可行的组织和管理措施，形成深度有序的安全防御体系。

参考文献

浅析计算机网络安全和防火墙技术论文 篇6

网络技术的发展促进计算机的普及, 改变了人们的生产和工作方式, 让人们不出门而知道天下事, 在我们国家随着这几年计算机网络的迅猛发展, 计算机网络的发展使得计算机网络犯罪事件经常发生, 当务之急是怎样在黑客攻击计算机网络的时候研究出保护计算机网络安全的办法。

1 网络安全技术的研究和防火墙技术的研究

1.1 网络安全技术的研究

计算机网络的安全指的是保证计算机网络上的传输和存储的信息的安全性, 在刚开始设计计算机的时候并没有想到在以后的应用会这么大的, 所以只考虑到方便性没有考虑其他, 为了解决这个问题研究机构做了很多研究, 一般是数据加密技术、防火墙等方面的问题研究, 但是至今为止为了防止有目的者入侵根据计算机的漏洞进行恶意攻击, 篡改数据, 引发网络安全问题, 研究人员已经把目光放在了入侵检测技术和密码技术上面, 现在是网络安全技术的注重点。在研究机构刚开始研究入侵检测技术的时候, 入侵检测技术还是比较单一的, 现在入侵检测技术在西方发达深入研究, 并且同时在西方发达国家的科研机构同时进行。因为计算机网络安全技术涉及到某些敏感的技术, 国内外的交流目前非常困难, 在国内入侵检测技术才刚刚开始研究, 处于一个模仿西方发达国家的阶段, 所以监测系统较为单一。

密码技术是整个计算机网络安全的核心, 密码技术发展到现在密码技术已经出现了很多厉害的密匙管理技术以及密码算法。密码安全技术由以前的只把重点放在保密性当中到现在变成了把重点放在密码安全的保密性、真实性、可控性结合当中。

1.2 防火墙技术

到目前为止, 现在的计算机网络运用普遍, 社会中保证计算机网络安全的一般方法就是防火墙的构筑, 防火墙的构建是把计算机当中的硬件软件结合到一起的一种方式, 把计算机当中的硬件软件结合到一起后, 所有经过的数据流都要经过这个构建好的防火墙, 能够在网络边界建立网络安全监测系统来隔离内部网络和外部网络, 实现对计算机网络的安全保护, 一般有包过滤型防火墙、应用代理型防火墙、状态监测型防火墙。

2 网络信息安全的主要威胁

2.1 网络安全威胁

网络的安全威胁可以分为2个方面, 一个是自然安全威胁, 一个是人为安全威胁并且随着时间的变化而变化, 自然安全威胁来源于各种自然灾害、恶劣的场地环境、电磁场的干扰、网络设备的老化, 这些威胁会影响储存媒体;人为安全威胁指的是黑客对网络的人为攻击, 主要有:网络缺陷、黑客攻击各种病毒、管理的欠缺及资源滥用、网络内部用户的失误操作和恶意行为、网络资源滥用、信息泄露等等, 通过攻击网络系统的漏洞达到破坏、欺骗、窃取数据的目的造成经济和政治的损失。

2.2 影响计算机网络安全的因素

影响计算机网络安全的因素有:资源共享、开放、操作漏洞、设计缺陷、恶意攻击等等, 资源共享是计算机网络应用的主要目的, 这给想要利用资源共享的黑客提供机会, 服务请求不可能完全隔离计算机网络和外界网络, 那么就容易让黑客利用服务请求得到网络数据包;网络的开放性使得网上的随便的用户能够便捷的访问到互联网的信息资料, 利用这种信息资料的便捷性黑客很容易得到个人信息;网络操作系统是网络服务最终实现的载体, 负责网络硬件设备的接口封装, 提供网络通信需要通过网络协议以及服务程序来解决, 但是网络协议的实现非常复杂, 这就使得在操作系统中一定存在实现过程中带来的漏洞和不足, 要去改善这些漏洞和不足。

网络设计是指拓扑结构的设计以及网络设备的正确选择, 网络设备、网络协议等因素都会带来计算机网络的安全问题, 合理的网络设计不仅能够节约资源还能够提高计算机网络的安全性, 不合理的网络设计则会成为计算机网络的安全隐患;网络上比较常见的安全问题是黑客的攻击和病毒的传染, 这是最难解决的计算机网络安全问题, 随着计算机的普及, 电脑的普遍化, 类似于熊猫烧香这种网络传染病毒越来越多, 这种类型的攻击越来越多, 影响也越来越大, 给人们的生活造成困扰,

3 传统的防火墙技术

作为主要的保护安全网络的手段, 防火墙技术迅速的发展, 成了网络上运用的最多的保护计算机网络安全的手段, 随着防火墙在网络应用的普及, 防火墙要能够以非常快的速度有效的处理数据问题, 下面我们来介绍传统的几种防火墙。

3.1 包过滤型防火墙

包过滤型防火墙在OSI模型中的传输层和网络层的工作中用的比较普遍, 包过滤型防火墙主要由数据的目的地址和包头源地址标志来确定可不可以通过, 满足了所有的过滤条件才可以转发到其他的地方去, 其他不符合过滤条件的数据包会被数据流所拦截过滤掉, 不让他们进入其他地方。但是因为一个包过滤型防火墙网络控制, 将他和用户预定的访问控制表进行比较后决定是否转发或者丢弃数据流, 包过滤型防火墙的好处是比较的简单, 坏处是缺少用户认证机制和审计信息, 过滤的规则很难得到完备性, 安全性比较差。

3.2 应用代理型防火墙

应用代理型防火墙一般是在OSI的最高层执行命令, 能够完完全全的挡住计算机网络的通信流, 有目的性的控制代理程序和监视通信流在应用层的用处。代理程序可以实现用户认证、审计跟踪、数据加密, 能够控制计算机网络信息流通, 具有非常的高的安全性以及灵活性, 并且客户不知道, 如果对每一种服务器都设计代理模块建立对应网关系, 那么要实现这个对应网难度是很高的, 所以人们可以侦测以及扫描应用层, 快速高效的防止病毒对应用层的入侵, 不过会加大了管理网络系统的复杂性, 影响系统性能。

3.3 状态检测型防火墙

状态监测型防火墙是用来连接状态检测的一种防火墙, 状态检测型防火墙就是把连接在一起的所有的包当成一个共同的数据流, 构成一个连接状态的表, 通过规则表和状态表中的配合识别表中的各种连接状态因素, 这种动态的连接表的记录可以是之前的通信记录也可以是其他相关应用程序的信息, 状态检测型防火墙比传统的包过滤型防火墙更好, 状态监测型防火墙更加的灵活也更安全。

4 现代的新型防火墙

无论怎么样的防火墙都会有好处和坏处, 现在的防火墙不是传统的防火墙, 而是把各种防火墙的优点结合在一起的新型防火墙, 新型防火墙一般包括用户身份认证机制等技术, 随着新型的网络病毒的出现, 新型的防火墙技术也呼之欲出, 新型的防火墙提高了数据的安全, 使得防火墙的拦截病毒技术提高了。下面介绍几种现代化新型防火墙。

4.1 智能型防火墙

这种防火墙利用统计有病毒数据, 记忆有攻击性数据的智能方法对数据流进行识别找出有病毒数据, 有攻击性数据并且拦截, 这样就可以达到控制有病毒数据, 有攻击性数据的目的, 智能型防火墙主要的技术有:防攻击技术、防欺骗技术、包擦洗和协议正常化技术、入侵防御技术等等, 这种防火墙通过第一步的过滤后对允许进入的数据流再次进行检测, 并且启动入侵防御保护, 这样就能够有效地检测新型的病毒或者有攻击性的数据, 这种类型的防火墙是现如今防火墙的主要发展方向。

4.2 分布式防火墙

这种类型的防火墙是用来改善传统的防火墙系统, 名字叫做分布式防火墙, 这种类型的防火墙是一种新型的防火墙, 这种防火墙包括了网络防火墙、主机防火墙、中心管理等等, 每个防火墙都可以根据性能不同来分布位置, 但是总体的安全是进行统一管理的, 这种防火墙体系的核心中心管理, 一般用在企业的网络服务和服务器主机中, 解决企业内部系统的网络攻击, 能够有效的保护主机, 保护企业的计算机网络安全。

5 结语

随着科技的发展, 计算机技术和通信技术是当前时代的主旋律, 人们越来越依赖于计算机网络, 随着信息电子化的发展, 网络的快速普及使得电子商务和金融商务也得到快速的发展, 计算机网络安全成了国家安全和社会稳定的一个重要的因素, 大量的黑客入侵案例告诉人们, 保护计算机的网络安全刻不容缓, 应该要积极的研究和探讨计算机网络安全技术和防火墙技术。

参考文献

[1]苏孝青, 盛志华.计算机网络安全技术发展与防火墙技术探讨[J].科技创新导报, 2009 (25) :24.

[2]刘彪.计算机网络安全技术发展与防火墙技术探讨[J].电子技术与软件工程, 2014 (4) :229.

[3]陈汇远.计算机信息系统安全技术的研究及其应用[D].北京:铁道部科学研究院, 2004.

计算机网络安全与防火墙技术探讨 篇7

关键词：网络安全；防火墙；发展趋势；研究

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2013) 06-0000-02

随着网络时代的到来，世界各地的计算机用户都享受到了互联网所带来的方便、快捷，但在享受这种方便快捷的过程中，也受到了网络安全问题的影响，而且这种影响变得越来越突出。因此，必须高度重视日渐突出的网络安全问题，如果此问题得不到很好的解决，计算机网络化发展的速度和进程就会受到阻碍和抑制。

1计算机网络安全出现的原因

1.1薄弱的认证环节

通常来说，在计算机网络上进行认证都是要通过口令的输入来完成的，因此，如果口令被未被授权的人破译出来，他们就会进行非法的认证操作，随之这就会造成数据、文件等的丢失，账号和密码等被窃取。

1.2系统的易被监视性

用户使用Telnet 或 FTP 连接他在远程主机上的账户，在网上传的口令是没有加密的。入侵者可以通过监视携带用户名和口令的 IP 包获取它们，然后使用这些用户名和口令通过正常渠道登录到系统。

2防火墙技术介绍

2.1防火墙技术的作用

在整个计算机网络安全防护的体系中，防火墙是最基本的首要保护环节，非常的重要和关键。防火墙技术的使用可以有效的进行网络间访问的控制，并将这种控制得到最大程度的强化，这种控制和强化是为了阻止一个正常运行网络之外的用户没有获得授权或者批准而进入到该网络，对该网络的一些资源等进行任意的获取。除此之外，防火墙技术还具备了全面的日志功能，它可以对网络攻击等不法行为进行记录，进而提醒用户出现的不法攻击，使得用户可以采取有效的手段进行防范。

2.2发展历程

第一代防火墙技术是在20世纪80年代出现的，主要采用了包过滤技术，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第二代防火墙技术是在1989年出现的，被人们称之为“电路层防火墙”；第三代防火墙技术是在1992年出现的，该防火墙还具有了审计和告警等相关功能，可以针对用户的个性化需求来为用户服务。NAI公司在1998年推出了第四代防火墙技术。该防火墙技术改变了以往的传统技术，具有以往没有的安全操作系统。

3提高网络安全的有效措施

3.1加强网络维护人员的管理

对于网络维护方面来说，最主要的就是加强人员的管理，从管理和制度入手，建立一个高效的人员管理队伍，加强管理人员的职业道德、素质教育，在日常的网络维护过程中，严格要求维护人员按照制度和相关的规定来完成好网络维护工作。值班人员必须时刻保持头脑清醒，做好网络设备的维护和安全巡查记录。除此之外，要对突发情况进行预先设计预案，保证维护人员具备解决突发网络安全事件的能力。

3.2培养优秀的防火墙专业技术人才

对于保证网络的安全运行，更需要有专业的防火墙技术人员来进行管理，而对这些人员的网络安全培训工作也是很重要的。因此，必须建立符合培养人才的有效政策和措施制度，培养一批优秀的防火墙专业技术人才，同时还要给与这些人才进行充分时间的培训，并进行严格的考试以及考核工作。

3.3借鉴先进的网络安全管理经验

在网络安全的管理和维护方面，虽然我们国家进行了很大的投入和科学研究，但是和一些欧美等发达国家相比还有可以提升的空间。因此，为了实现网络安全的目标，就需要我们的网络安全管理人员和研究人员不断进行自我学习，加强和先进的研究机构或者高校进行合作交流，发挥产学研的有效作用，借鉴其先进的管理经验，扎实有效的做好网络安全防护工作。

4防火墙技术的研究重点以及未来发展方向

4.1防火墙的性能将不断突破

随着网络用户数量的激增，这样就会对网络带宽的需求量产生巨大的影响，为了有效的解决带宽的需求问题，就需要防火墙提高原有的性能，例如提高处理数据的速度和能力，可以满足千万兆以上的带宽要求。除此之外，要提升认证功能，对于安全级别高的用户可以在短时间内进行认证，降低对网络通信的不利影响。

4.2防火墙的体系结构

最近几年，由于多媒体应用的越来越广泛，这样就需要当数据穿过防火墙时，数据延迟的时间要足够小。因此，一些防火墙制造商看准了这种需求，开发了具有网络处理功能的防火墙。这种防火墙执行速度和以往的防火墙不同，执行速度较快，而且在应用过程中，利用软件的高性能来发挥作用，并且用于处理数据层面任务的引擎也会发挥自身功能，这样使得CPU的沉重负担得到缓解。对于不用行业的需求，构建的防火墙体系结构也不相同。对于军队、科研院所、政府机构等一些涉及保密的地方，需要使用被屏蔽主机体系结构防火墙，则使用一个路由器在这种体系结构中，主要的安全由数据包过滤提供(例如，数据包过滤用于防止人们绕过代理服务器直接连接)。对于一般企业和高校来讲，需要使用被屏蔽子网体系结构的防火墙，被屏蔽子网体系结构主要是通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。对于个人用户来说，可以使用双重宿主主机体系结构防火墙。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另一个网络发送IP 数据包。

4.3防火墙将作为企业安全管理平台的一个组件

随着企业的不断发展和进步，越来越重视利用现代科学技术来进行企业管理，防火墙作为企业安全管理平台的一个组件，具有很重要的意义，并且具有很多优势。可以提供基于时间的访问控制、远程管理、记录和报表等诸多功能。随着企业对安全管理平台的不断重视，未来企业将改变现有的管理模式，将使用安全管理平台对安全设备进行统一的调度和管理，此时，防火墙将发挥越来越重要的作用，例如向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。

4.4防火墙将更可靠、更智能化

随着技术的不断创新，防火墙的性能和质量将越来越可靠，使用起来也越智能，使防火墙可以对病毒进行有效的防护，也就是“病毒”防火墙。当然，目前防火墙主要还是在个人电脑系统中得到很好的体现，由于是纯软件形式的防火墙，因此具有的功能更容易实现。拥有病毒防护功能的防火墙可以带来很多好处，例如保护数据和商业秘密不被窃取，大大减少企业的不必要损失，避免受保护网络受到病毒的侵害。

5结束语

目前，计算机网络安全已经关系到一个国家的安全，是一个绝不可忽视的问题。防火墙技术作为用来实现网络安全的一种有效的手段，在很大程度上可以提高网络安全的性能，但并不能完全解决安全问题，因此，还需要考虑其他技术和因素，如信息加密技术、防火墙算法设计、制订法规等。总之，防火墙是网络安全的第一道重要屏障，需要我们不断研究防火墙的防护能力并保证系统的高速有效性。

参考文献：

[1]陆树芬.网络安全中防火墙的作用[J].中国电子商务,2009,11.

[2]黄金波,殷诚.计算机网络基础与应用[M].北京:北京交通大学出版社,2007.

[3]凌传繁,杨波.网络技术[M].北京:高等教育出版社,2007.

[4]吴功宜.计算机网络[M].清华大学出版社,2007.

[5]艾钧华,付朝晖.论计算机网络安全[J].湖南科技学院学报,2005,26(11):157.

[6]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].甘肃科技纵横,2005,34(6):39.

[7]何剑平.探析计算机网络安全技术[J].南昌职工科技大学学报,2005(2):27.

[作者简介]胡国际（1975.5.1-），男，学历：本科，河北人，职称：讲师。研究方向：计算机技术。

网络防火墙技术论文 篇8

防火墙 网络安全

[论文摘要]

在当今的计算机世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。

随着网络技术的发展，因特网已经走进千家万户，网络的安全成为人们最为关注的问题。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。

一、防火墙的基本概念

防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。

一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记;提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。

二、防火墙的技术分类

现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。

包过滤(Packet Fliter)通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。

代理服务器型(Proxy Service)防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。

复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。

三、防火墙的基本功能

典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。

(一)包过滤路由器

包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。

与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。

独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

(二)应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。

应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

(三)链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

四、防火墙的安全构建

在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。

(一)基本准则

可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。

(二)安全策略

在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

(三)构建费用

简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。

至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。

五、防火墙的局限性