防火墙技术下网络安全(共12篇)
防火墙技术下网络安全 篇1
0 引言
网络通过使用防火墙,不但可以提高其安全性,而且可以对其通信量进行监督和控制。传统的防火墙对于网络边界和服务只是做了假设,这样的技术处于很被动的状况,它不能对内部的非法入侵进行全方位地控制,因此传统的防火墙是适合于相对独立的网络,而Intranet是属于相对集中的网络。随着计算机网络普及越来越高,因此网络受到侵犯的几率也就越来越大,网络黑客问题频发发生,所以要想改变这种局面,对于传统的防火墙技术进行改进更新是非常有必要的。
1 传统型防火墙概述
1.1 传统型防火墙的分类
传统的防火墙主要有代理服务型防火墙和数据包过滤型防火墙。代理服务型防火墙的主要功能把外部应用程序和内部网络通过安检然后连接到一起,之后代理服务器会把所有的连接记录生成日志,以方便以后的安全检查和相关的数据和信息的收集。用这些数据信息来保证以后采集来信息的安全性。代理服务型防火墙虽然具有相对良好的安全性,但在网络接入时,由于数据处理量大会导致速度和性能的降低,使用起来缺乏相应的灵活性;包过滤型防火墙一般都位于协议网络之中,它的功能主要是根据原始设置的模块对每个数据包进行检测和过滤,使用起来较为方便,而且易维护。虽然包过滤型防火墙是透明的,能够阻止外部的非法入侵,但是它没有记录功能,无法对内部访问进行记录,内部数据和信息容易泄漏,缺乏安全性。
1.2 传统型防火墙的缺陷
随着网络技术的快速发展,其面临的安全性问题也越来越严峻,我平时应用比较多的传统防火墙在如今的网络中总会存在这样那样的漏洞,其主要表现在以下几个方面:第一,传统的防火墙无法像智能防火墙,根据网络和网络信息的状态自动调整规则。第二,传统的防火墙是很难制定规则,如包过滤防火墙,虽然效率较高,但难以制定规则。有一种应用代理防火墙它虽然可以制定规则,但其效率又很低。第三,传统的防火墙没有主动过滤和屏蔽功能,对没有记录信息的攻击和危险程序无法进行阻拦。第四,传统的防火墙对信息的过滤相对比较单一,而且无法利用这些信息。第五,传统的防火墙的拦截能力非常有限,只能对一些相对简单的情况进行拦截,不具备深度检测功能。
2 INTRANET 条件下,智能型防火墙的工作原理
当内网互联主机与互联网主机连接时,需要使用相应的IP地址,反之当互联网主机与内网互联主机连接时,需要通过网关映射到内网主机。这将使互联网网络无法看到内部网的网络,而且内部网的网络将自己躲了起来。此外,DMZ中堡垒主机过滤管理程序可以顺利通过安全通道,并与内部网中的智能认证服务器进行互相通信,而且通信的信息都是秘密进行的。由于智能认证服务器能够进行秘密通信,因此它可以修改内外路由器表,也可以调整制定过滤规则。在智能防火墙中的智能认证服务程序和应用过滤管理程序可以互相协调,不仅可以在堡垒主机上运行,还可以在服务器上运行。
3 INTRANET 条件下智能型防火墙的网络安全技术实现方式
3.1 智能型防火墙堡垒主机及其实现方法
堡垒主机起着连接内部网和互联网的作用,它的作用非常重要,但是它容易受到攻击,因此我必须要对其做好安全性保护,首先我们对堡垒主机操作系统——Linux操作系统,做了非常缜密的安全化处理,其具体方法是:对于SMTP,FTP,HTTP等的基本网路服务进行保留,对他们的源代码进行重新改写,使它们中的过滤功能从中分离出来,建立一个新的模块,这个模块被称为:应用过滤管理器模块,让这个模块运行在堡垒主机上,统一调度管理所有的应用代理服务。应用过滤管理器的主要功能是对所有经过堡垒主机的信息进行拦截,然后从下至上对其经过协议的信息进行逐层分析,并对相对安全的数据进行存储,最后秘密地传达给智能认证服务器,让智能认证服务器对这些信息进行分析处理,分析完之后再秘密地传回给应用过滤管理器,然后应用过滤管理器根据分析结果对应用代理过滤功能进行重新配置,同时激发相应代理进行工作。
3.2 智能型防火墙的智能认证服务器及实现方法
智能认证服务程序和网络数据库是智能认证服务器的核心,智能认证服务器是通过信息驱动来进行操作的,如果外部主机访问内部网络,则需要外部路由器的数据审核,通过审核的信息才能顺利达到DMZ网络,对于内部网的信息请求,不需要经过内部路由器审核,它可以直接进入DMZ网络,另外,还需要这些路由器是否制定过滤规则,如果制定了过滤规则,就不能进行信息传达,并且这些信息也将被丢弃掉,但是,如果过滤规则允许进行传输,那么这些信息还需要通过防火墙。如果数据包和路由器制定的规则不一致,那么这个数据包将会被用过滤管理器拦截下来,然后从底层协议到上层协议对其进行分析,如果分析结果是具有安全性的,那么这个数据包将会被传输给智能认证服务器。智能认证服务器上的数据接收器就会把这些信息存储到网络安全数据库中,网络安全数据库发生变化后,推理机就会自动进行工作,推理机就会使用安全专家知识库里的信息对刚刚进入网络安全数据库中的这些信息进行分析、比较和推断,看看是否能够找出相关对应的数据,从而得出过滤方案,使网络管理员能够直观的看到,方便网络管理员根据实际情况作出相应的处理。这时原文发生器就会转化其内部的代码或者通过修改路由器表和过滤规则来实现内外主机通信;或者由代理过滤管理器通过修改过滤规则,将其传输到DMZ上的堡垒主机,堡垒主机中的应用过滤管理器对其过滤功能进行重新配置,激发其他应用代理进行工作。因此,智能型防火墙更能全面严格地进行安全控制。
4 结束语
总之,为了保证INTRANET条件下智能型防火墙的网络安全性更可靠,避免数据和信息的泄露,我们就要分析和了解传统边界防火墙的特点及其工作原理,充分掌握传统型防火墙的优缺点,并从中找出传统型防火墙存在的缺陷和不足,在改善和提高传统型防火墙的基础上,努力研发新型的智能防火墙,并提出智能型防火墙的INTRANET条件下网络安全技术的实现方式,从而降低Intranet管理人员的工作量,为保护网络事业做出更大更深层次的贡献。
摘要:随着互联网技术的快速发展,网络安全问题显得越来越重要,如果Internet受到非法入侵者的攻击,那么它的数据和信息就很难得到安全的保护。为了避免这种情况的发生,我们必须在企业Intranet中设计足够安全保护措施。目前技术比较成熟的网络安全保护技术主要有:防火墙技术,入侵检测技术,加密技术,身份认证技术等。在我们平时的日常生活中,应用最多的就是防火墙技术,防火墙技术是一种非常有效的网络安全技术,它可以过滤不安全的因素。尤其是智能防火墙,它比传统的防火墙拥有更多的优点。本文根据Intranet条件下对智能防火墙的安全性进行了分析和探讨,希望能为相关研究提供一些参考借鉴。
关键词:智能型防火墙,INTRANET,网络安全技术
参考文献
[1]郑崇伟,蒋天发.基于智能型防火墙INTRANET网络安全技术的研究[J].计算机工程与应用.2003.
[2]宋铁石,李同伟,王冠.以智能型防火墙为基础的INTRANET网络安全技术[J].电脑开发与应用.2014.
[3]徐晨莉,李国贞.局域网环境背景下的计算机网络安全技术应用研究[J].网络安全技术与应用.2014.
防火墙技术下网络安全 篇2
摘要:随着互联网信息技术的高速发展,网络技术已经被广泛运用到各个领域。但是,目前随着个人网络技术水平的提高,有许多非法的组织或者个人,通过破解密码偷窃学校、企业,甚至是国家的隐私性机密文件或者是资金,严重威胁到这些单位的财产和隐私安全。因此,网络在给社会带来巨大便捷性的同时,也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术,以达到保护网络安全的目的。
关键词:网络安全问题;防火墙技术;应用
引言:网络技术凭借着自身快捷性和准确性等优势,已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段,人们对网络的依赖性较强,但企业、个人频繁出现信息资源被盗,机密性文件被窃取,网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件,这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中,甚至还出现在国家安全部门或者机关部门中。所以,如何在信息化高速发展的今天,实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验,提出创新性的方案和手段,来克服网络安全问题给社会带来的风险。
一、运用防火墙技术强化网络安全策略
相关单位在运用防火墙技术时,要重视配置以防火墙为中心的安全策略方案,将口令、身份认证、审查、加密等安全信息全部配置到防火墙上,这样相比将网络安全问题分散与各个主机或者是其它部位来讲,都集中在防火墙上更便于管理,安全性强,投入成本少,经济效益高。笔者根据自己长期的研究,总结了一套运用防火墙强化网络安全策略的相关配置方案,其基本步骤如下:第一,在控制面板上实现对防火墙基础信息的设置,这是实现防火墙强化网络安全策略的首要前提和根本保证;第二,实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置,动态地址转化和静态地址转换的功能作用各不相同,动态地址转换主要用于内部网络的对外访问用户的出口,而静态地址转换则用来帮
助实现停火区的服务区地址的映射的效果,两者要紧密相连,缺一不可,否则防火墙也达不到其应有的功效;第三,为了最大程度的实现防火墙的防护功能,需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中,实现各个安全策略之间良性的运作效果。
二、发挥防火墙网络安全屏障的作用
防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过,从而保护内部网络免受非法用户的侵入,从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用,提高内部网络的安全性,通过过滤外来网络的不安全服务,降低网络安全风险的系数,防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时,也极大的保护了网路免遭受基于路由的攻击和破坏,防火墙在受到不明信息的攻击和骚扰时,能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析,说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用,企业等相关部门要采取一定的措施:第一,增强职员防火墙在网络安全中应用的意识;第二,建立其防火墙配置和管理部门,包括对防火墙管理人员的培训和管理;第三,加大对防火墙技术的资金投入,不断升级防火墙技术等。通过以上策略,完善防火墙技术在网络安全中的硬软件基础设施,在防火墙技术的屏障保护下,实现网络系统的健康稳定安全和可持续运行。
三、运用防火墙技术监控网络存取和访问
防火墙能有效地记录Internet上的任何活动,当其它网络用户等访问经过防火墙时,防火墙就会发挥自身技术监控审计的功能,不仅能详细记录这些访问的时间和来源,而且还可以自动生成日志,可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时,防火墙能根据风险程度自动报警,并能提供网络是否受到外部网络的攻击和监测的详细信息,为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外,时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值,分析网络安全风险存在的系数,从而加紧防范,遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能,首先就要确保防火墙技
术的正常运行,保证24小时不分时间和部门进行监测和存取记录,做到防患于未然。
四、发挥防火墙对信息数据库安全维护的补充作用
信息数据库是各个企业必备的存储区域,信息,数据库的建立,不仅为了实现资源的有效整理,还兼顾保证信息,数据的安全。防止内部信息的外泄是防火墙的主要优点之一,我们之所以在某种程度上将防火墙视为一种隔离技术,是因为防火墙技术是一种将内部网和公众访问网(如Internet)分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离,限制和拒绝了一些非法信息的侵入,确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发,使防火墙技术能够确保单位的信息和安全,维护单位和个人的利益。
结语:
网络安全问题的频繁出现,提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用,网络安全已经得到了极大的改善。但是,我们不能否认一个防护墙并不能百分之百的保障网络安全,相关部门需要长期不断的探索,在摸索中开发出更先进的防火墙技术,提高网络的安全性。
参考文献:
网络安全与防火墙技术探讨 篇3
【关键词】网络安全 防火墙技术 地址翻译 代理
现代社会是一个信息爆炸的时代,各类通讯交流与工作学习等都离不开信息网络,而如何保证信息系统的安全,就是网络环境的安全,成为了人们重要探讨的话题。在网络安全与防火墙技术的探讨中,如何合法、完整、有效的对计算机网络安全进行保证,从各方面对网络环境出现的问题进行分析,这对现代社会的发展有着积极重要的意义。
一、网络安全技术
(一)网络安全技术的简介
在信息网络的建立之初,设计者注重的是网络的实用性,开放性和快捷性,并没有过多的考虑到网络的安全性,所以这就赋予网络本身天生的脆弱性,极易受到破坏。所以网络安全技术由此产生,大量专家为此做了大量研究。其中,网络安全的核心技术就是密码技术,其设计并不只限于加密方法的设计,还涉及到了其安全协议的设计,它是主要的在网络信息平台把关传输安全的方法。而防火墙则是一种综合性的保障内部的网络安全的最为有效的技术。
(二)网络安全技术的分类及关系
简单的来说,主要的网络安全技术是信息传送安全技术、防火墙技术和本地安全技术。而信息传送安全技术中又包含了信息加密、数字签名或数字认真、认证检查、信息发送方法,本地安全技术中包含了审计跟踪、访问控制、弱点保护和病毒防范。它们之间相辅相成,从最外部的信息传送安全技术开始,通过防火墙,再到本地的安全策略以及访问控制和预防病毒等。
二、防火墙技术
(一)防火墙的概论
总的来说,防火墙是结合了硬件系统和软件系统的一个对访问授权许可的认证和控制,它主要是为了防止计算机网络受到外部的攻击,从一定程度上将广域网与局域网分离开,它是提供信息安全服务和实现信息网络安全的一个基础,提供对内部网络安全的控制服务。而之所以要引入防火墙技术,就是针对网络平台建立之初,并没有考虑安全因素的漏洞,从而加强子网络的安全环境。在构建防火墙时,是将其设置在网关或网点与广域网的连接之处,从而有效将本地网络与因特网分离开。在防火墙工作时,会有效的记录工作日志,将运行期间发生的各类事件和网络情况与安全问题统统记录起来,将被允许或被拒绝的进程记录在日志当中。
在设计防火墙的时候,要充分考虑安全性与实用性,因为防火墙作为一个保障计算机网络信息平台的重要措施,要首先将安全性摆在第一位,只有保证了安全性,才能接下来对实用性进行规划。而也不能因此抛弃了防火墙的实用性,众所周知,就算一个防火墙再安全,如果它过于复杂或不实用,那操作起来也是繁琐的,达不到设计的目的,不能发挥其安全性的全部效率,不能被使用者接受。同时这里要指出目前防火墙存在的几个尚待提高的地方。第一,不能防止内部的人为破坏,第二,无法防范后门的攻击,第三,防火墙目前的智能性欠佳,第四,防火墙在一定程度上会影响网络的性能,第五,目前还没有真正开放的,与软硬件平台无关的防火墙软件,第六,大多数的防火墙不具有专业防御病毒的能力,第七,防火墙不能起到物理保护的功能。
(二)防火墙的关键技术
1.信息包传松技术。在网络信息平台,所有的数据信息包传送都是将其分割成几个一定长度的信息包,通过进出接口,通过防火墙的包过滤口,传送到线路上,然后在抵达目的地后再重新组装还原。
2.包过滤技术。包过滤技术是防火墙对进出网络的信息进行控制和操作的一项技术,它是防火墙对计算机网络保护的一个主要技术。它根据管理员设定的指令和规则,对进出网络的数据进行过滤,分别哪些可以进,哪些不能进,同时也控制了哪些能出,哪些不能出。而且还对整个信息系统的运行状态和会话进行分析与监控。这项技术是安装在一个路由器上或服务器上的,它包括一个检查模块,对各类网络间的相互访问进行控制和监控。它一般的工作原理就是对要转发的文件数据包全部拦截,然后对其进行分析和记录,对通过规则的数据包允许转发,对不通过规则的进行报警和通知。
3.地址翻译技术。单独使用防火墙防御外部攻击是不够的,还要与地址翻译技术相结合。本地网络通过不同的地址访问外部可以有效的隐藏本地网络的真实地址,也可以使得外部攻击者摸不清内部网络的网络结构,从而更加有效的对信息网络进行保护。
三、防火墙技术的发展趋势
防火墙技术要向远程上网集中管理的方式发展,要加深过滤的深度,加大对安全协议的开发,加强对攻击源的警告,还要不断完善防火墙各类安全工具,同时要对其开放性与可移植性进行深度研究,并减少防火墙对网络性能的影响等,这都能在未来有效的提高防火墙的安全性和实用性。
总之,网络安全离不开网络安全与防火墙技术,从各方面对网络环境出现的问题进行分析,这对现代社会的发展有着积极重要的意义。
参考文献:
[1]李冬冬《网络防火墙关键技术的研究与实现》[D],燕山大学,2001.
[2]张帆《防火墙技术及其应用研究》[D],郑州大学,2002.
网络安全与防火墙技术 篇4
网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行。网络安全技术最早受到人们关注的就是网络防火墙技术。作为网络安全的一道屏障防火墙应该安装到那个部位呢?第一, 网络防火墙应该安装在公司内部网络和外部网络的接口处, 这是其网络安全的第一道屏障。第二, 如果公司内部网络拓扑比较大, 应该在各个局域网之间设置网络防火墙。网络防火墙的作用就是阻止恶意的攻击, 因此不论是公司内部网络还是外部网络只要有攻击的可能都应该安装防火墙。
二、网络防火墙实现的技术
(一) 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
对称加密使用的是对称密码编码技术, 其主要的特点就是使用同一个密钥对文件进行加密和解密, 也就是文件加密的密钥也可以用作文件解密的密钥, 因为这种特性所以被称为对称加密技术。当文件在交换的过程中如果加密密钥没有被泄露, 那么文件在网络传输中就保证了其机密性和完整性。但是这种对称的加密技术也并不是十分的完美, 其仍存在令人不满意的一面, 如果一个人和多个人进行文件交互时, 那么其就会维护与所有相交互人员的密钥, 还有就是大量的浮点运算致使计算量大, 加密/解密速度慢, 需占用较多资源。
(二) 非对称加密/公开密钥加密
非对称密钥是相对对称密钥而言的, 顾名思义其对文件的加密密钥和解密密钥不是同一个密钥, 其密钥是成对出现的。在这一对密钥中其中任一个密钥都可以向人公开, 而另一个密钥则有持有人妥善保管。被公开的密钥则用于信息交流时加密使用, 个人持有的则是用于解密。解密密钥有自己掌握, 另一个密钥可以广泛的公开, 但它只应于生成密钥的交换方。
这种非对称的密钥加密技术可以使交换双方不必交换密钥就能够进行安全的交流, 因此其被广泛应用于网络贸易, 数字签名等信息交流方面。
(三) PKI技术
PKI是IPublie Key Infrastucture的简写, 所谓PKI就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。信息技术安全的核心技术就是PKI技术, 这也是电子商务领域的关键技术和基础技术。电子商务, 电子政务等都是经过互联网络进行的活动, 因此缺少物理等方面的接触, 这就使得网络电子验证方式越显的那么重要。而PKI技术正适合这些经常进行网上交流而物理接触较少的行业, 并且都够很好的处理好交流的机密性, 真实性, 完整性和可控制性等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。
三、安全技术的研究现状和方向
我国的信息网络已经经历了通信的保密, 数据保护两个阶段, 现在已经进入了网络信息安全的研究阶段, 已经研发的网络安全软件或产品有, 防火墙, 安全型路由器, 黑客的入侵检测, 对系统的脆弱检测软件等。但是我们应该知道, 网络信息安全是一个复杂的领域, 其是有数学, 物理, 生活信息技术等学科的长期交叉和融合的一个新成果。要想提出系统的, 完整的解决网络信息安全的方案, 应该从以下五个方面入手, 信息安全系统, 信息的分析和检测, 现代密码理论, 安全协议, 安全体系结构, 这五个部分是相互协调的一个有机整体。
国际上信息安全研究起步较早, 力度大, 积累多, 应用广, 在70年代美国的网络安全技术基础理论研究成果”计算机保密模型” (Beu&Lapadula模型) 的基础上, 指定了”可信计算机系统安全评估准则” (TCSEC) , 其后又制定了关于网络系统数据库方面和系列安全解释, 形成了安全信息系统体系结构的准则。
作为网络信息安全的重要内容的安全协议, 其形式化的方法可以追溯到上个世纪的70年代末, 现在有三种分析方法, 这三种方法是基于状态机, 模态逻辑和代数工具, 但是这三种方法仍普遍存在漏洞, 现正处于待提高的阶段。密码学作为网络信息安全技术的关键学科, 近几年来活动非常的活跃, 尤其是欧, 美, 亚洲等国频繁的举办网络信息安全和密码学的会议。上个世纪70年代, 美国的一个学者首先提出了公开的密钥密码体制, 这使网络信息系统的密钥管理摆脱了困境, 同时也解决了网络数字签名, 其依然是现在网络信息安全研究的一个热点。随着互联网络的普及推广, 电子商务也得到了前所未有的发展机遇, 因此电子商务的安全性也在受到人们的普遍关注, 其现在也正处于研究和发展阶段, 它带动了论证理论、密钥管理等研究, 由于计算机运算速度的不断提高, 各种密码算法面临着新的密码体制, 如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。
现在人类已经进入了信息社会, 网络安全技术必将成为本世纪网络信息安全发展的关键技术, 其将会信息这一重要的战略资源提供强有力的保障, 这样才能够推动社会的发展。现阶段我国的网络信息安全技术仍处于研究和产品开发的初级阶段, 我们还必须更加努力的去探索, 研究, 开发, 走具有我国特色的产学研联合发展的道路, 以期赶上或者超过发达国家的科技水平, 保证我国信息网络的安全, 推动我国国民经济的高速发展。
参考文献
[1]王新颖.浅议电信互联网的安全体系[J]电脑知识与技术, 2009, (21)
网络防火墙技术论文 篇5
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
基于防火墙技术的网络安全防护 篇6
关键词:防火墙;网络安全;防护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Firewall Technology-based Network Security Protection
Meng Xianmin
(Institute of Geological Science Shengli Oilfield,Dongying257000,China)
Abstract:In the 21st century,the network pervades virtually every aspect of our lives,the problem of network security becomes increasingly.
Firewall technology is to solve the two different network security communication between technology.This paper mainly introduced based on firewall network security protection,including:firewall meaning,
firewall,the basic types of firewall technology,firewall function etc.
Keywords:Firewall;Network security;Protective
一、前言
在社会信息化、网络化不断发展的今天,以网络方式获得信息和交流信息已成为现代信息社会的重要特征,例如网上办公、电子商务、数据处理等等,网络已经和人民的日常生活紧密联系起来,但网络也存在不容忽视的问题,例如,病毒、黑客攻击、系统漏洞等。为了应对越来越多的病毒、入侵和攻击,人们对信息的安全传输、安全存储、安全处理的要求越来越显得十分迫切和重要。
二、防火墙的类型
防火墙的分类方法有许多种,这里仅对其做简单介绍。
按照特性可划分为软件防火墙、硬件防火墙、芯片级防火墙三种;
从结构上可划分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;
从实现原理上可划分为网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙四种;
按工作位置分为边界防火墙、个人防火墙和混合防火墙三种;
三、防火墙的技术
尽管防火墙的分类方法和类型众多,但是采取的技术确大同小异,主要有以下几种:
(一)数据包过滤技术。数据包过滤技术是最早使用且应用广泛的一种技术。数据包过滤技术工作在0Sl网络参考模型的网络层和传输层,它使用一个软件查看所流经的数据包的包头,由此决定整个包的命运。具体来讲就是包过滤防火墙审查每一个到达的数据包,根据IP转发过程中的源地址、目的地址、内装协议(TCP、UDP、ICMP)、TCPUDP的目标端口号、ICMP的消息类型号等字段查看它们是否匹配某一条过滤规则,然后根据所配备的规则是拒绝还是允许来决定丢弃或转发该数据包。
(二)应用网关技术。由于数据包过滤技术具有不能防范黑客攻击:不支持应用层协议:不能处理新的安全威胁等缺点,因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”技术的防火墙诞生了。应用网关技术通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网,应用代理网关防火墙彻底隔绝内网与外网的直接通信.内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。其优点是只准许有代理的服务通过,其他所有服务都完全被封锁;可以过滤协议,防止不可靠的服务背着管理员进行。其缺点是会使网络的访问速度变慢。
(三)地址翻译技术。网络地址翻译(NAT,Network Address Translation)最初的设计目的是增加在专用网络中可使用的IP地址数,但现在则用于屏蔽内部主机。NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址,实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能,使外部主机无法探测到它们。地址翻译技术主要模式有以下几种。
(四)动态防火墙技术。也称为动态包过滤技术,基本过滤原理与静态包过滤技术类似,但是它能感知一个连接到一个新连接和一个已知连接之间的差别。动态数据包过滤技术试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。它将已有连接写入内存中一个表格中。后续数据包先与表格进行比较,若数据包属于已有连接,则直接允许通过,否则进行常规的过滤。动态防火墙技术的状态感知技术避免了对通过防火墙的每个数据包都进行规则库检查,教静态包过滤技术在性能上提高很多,而且由于能够区分连接的双方,则对于动态端口的协议通过分析可以打开相应端口,提高了整体安全性。
(五)状态监测技术。状态检测技术防火墙将包过滤技术和应用网关技术两者的优点结合起来,状态检测防火墙在网络层由一个检查引拳截获数据包,并抽取出与应用层状态有关的信息在核心部份建立了状态连接表,并对网絡中流通的数据编成一个个的会话,并利用状态表跟踪每个会话的状态,就是说其能够对突破前两种监测的只限于网络层和应用层的局限性,其能够对各层数据进行主动的、实时的监测,并对监测数据进行系统的分析,从而更好地准确判断出各层中的非法入侵行为,其不仅可以对付外部网络攻击,而且还对内部网络的恶意破坏有很强的防范作用。
四、防火墙的作用
防火墙时刻监控网络状态,自动过滤不安全的服务,以此达到降低内部网络系统所面临的风险的目的,极大的提高了网络的安全性。因此,内部网络环境要经受较少的外部风险,只有通过严格的防火墙控制来保证,这样使得内部网络系统不会被外部攻击者利用,而且在保证安全的情况下使用一些服务。对于内部局域网不可缺少的服务如NIS或NFS,可以采用公用的方式使用,从而减轻内部网络管理系统的负担。
五、结束语
防火墙作为维护网络安全的关键设备,在目前采用的网络,安全的防范体系中,占据着举足轻重的位置,在网络安全中所扮演的重要角色是不可撼动的。当然,网络安全是一个系统的、包括多个方面的庞大体系,防火墙仅仅是其中一环,必须从各个方面综合全面入手,才能更好的保证互联网的安全,也才能发挥出防火墙在互联网中的重要作用。
参考文献:
[1]杨广宇.防火墙—内网与外网的安全壁垒.河南科技,2010,10
防火墙与网络安全技术 篇7
1. 网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。
网络安全技术则指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其它的安全服务和安全机制策略。在众多的网络安全技术中,网络防火墙是使用较广的一个。
2. 防火墙
防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅能完成传统防火墙的过滤任务,而且能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换-NAT,代理型和监测型。
2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序和电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2 网络地址转化-NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3 代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,而且对来自内部的恶意破坏有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,因此目前在实用中的防火墙产品仍然以第二代代理型产品为主。实际上,作为当前防火墙产品的主流趋势,大多数代理型防火墙也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。
摘要:随着计算机的普及和互联网的快速发展, 网络安全问题显得愈来愈重要。为解决这一问题, 产生了很多网络安全产品, 防火墙就是其中使用较广的一个。针对不同的用户和网络特点, 防火墙所采用的技术也会有所不同。
关键词:信息安全,网络安全,防火墙,技术特征
参考文献
[1]李俊民.网络安全与黑客攻防宝典.北京电子工业出版社, 2010.
[2]麦克卢尔, 库尔茨.黑客大曝光:网络安全机密与解决方案.清华大学出版社, 2006.
[3]刘晓辉.网络安全设计、配置与管理大全.电子工业出版社, 2009.
[4]赵俐.防火墙策略与VPN配置.中国水利水电出版社, 2008.
网络安全与防火墙技术 篇8
关键词:网络安全,防火墙,新趋势
引言
Internet的迅速发展给我们的工作和学习生活带来了巨大的改变。我们通过网络获得各种共享的网络资源。同时, 网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。为了保证计算机网络的安全, 人们提出了许多方法和技术, 采用防火墙技术是其中最重要、最有效的技术之一。
1 防火墙的概念
防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。
2 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中, 不同信任程度区域间传送的数据流。
2.1 防火墙是网络安全的屏障。
2.2 防火墙可以强化网络安全策略。
2.3 对网络存取和访问进行监控审计。
2.4 防止内部信息的外泄。
3 几种主要的防火墙技术
总体来讲, 防火墙技术经历了包过滤、应用代理网关、状态检测三个阶段。
3.1 包过滤技术
包过滤防火墙工作在网络层, 对数据包的源及目地IP具有识别和控制作用, 对于传输层, 也只能识别数据包是TCP还是UDP及所用的端口信息, 现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力, 由于只对数据包的IP地址、TCP/UDP协议和端口进行分析, 包过滤防火墙的处理速度较快, 并且易于配置。
3.2 应用代理网关技术
应用代理网关防火墙彻底隔断内网与外网的直接通信, 内网用户对外网的访问变成防火墙对外网的访问, 然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发, 访问者任何时候都不能与服务器建立直接的TCP连接, 应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征, 对数据包的检测能力比较强。
3.3 状态检测技术
Internet上传输的数据都必须遵循TCP/IP协议, 根据TCP协议, 每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段, 我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的, 而是前后之间有着密切的状态联系, 基于这种状态变化, 引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数, 而不关心数据包连接状态变化的缺点, 在防火墙的核心部分建立状态连接表, 并将进出网络的数据当成一个个的会话, 利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表, 更考虑了数据包是否符合会话所处的状态, 因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量, 状态检测技术在大大提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术, 使防火墙性能大幅度提升, 能应用在各类网络环境中, 尤其是在一些规则复杂的大型网络上。
4 防火墙技术发展的新趋势[3]
随着新的网络攻击的出现, 防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
4.1 防火墙包过滤技术发展趋势
4.1.1 多级过滤技术。
所谓多级过滤技术, 是指防火墙采用多级过滤措施, 并辅以鉴别手段。在分组过滤 (网络层) 一级, 过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级, 遵循过滤规则, 过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关 (应用层) 一级, 能利用FTP、SMTP等各种网关, 控制和监测Internet提供的所用通用服务。
4.1.2 使防火墙具有病毒防护功能。
现在通常被称之为“病毒防火墙”, 当然目前主要还是在个人防火墙中体现, 因为它是纯软件形式, 更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播, 比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
4.2 防火墙的体系结构发展趋势
随着网络应用的增加, 对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。
4.3 防火墙的系统管理发展趋势
防火墙的系统管理也有一些发展趋势, 主要体现在以下几个方面:
4.3.1 首先是集中式管理。
分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本, 并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。
4.3.2 强大的审计功能和自动日志分析功能。
这两点的应用可以更早地发现潜在的威胁
并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞, 及时地调整安全策略等各方面管理具有非常大的帮助。
4.3.3 网络安全产品的系统化。
随着网络安全技术的发展, 现在有一种提法, 叫做“建立以防火墙为核心的网络安全体系”。因为我们在现实中发现, 仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系, 就可以为内部网络系统部署多道安全防线, 各种安全技术各司其职, 从各方面防御外来入侵。
结束语
随着Internet广泛应用和计算机科学技术的不断发展, 防火墙技术也在不断的发展。但是在网络日益严峻的今天, 光有防火墙技术是远远不够的, 我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障, 如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究。
参考文献
[1]杜淑光, 网络安全与防火墙技术[J], 制造业自动化2007.12.
[2]方铖.浅析网络安全及常用防护技术[J], 广西轻工业2007.5.
网络安全与防火墙技术分析 篇9
随着计算机与网络技术的普及,信息网络安全事件日益增多,信息内外联网的安全工作显得越来越重要。目前针对信息网络的攻击已经变得相当容易,而且通过互联网可以轻而易举获得这些资源。信息网络的互联,无论对企业用户还是个人计算机用户都提供了更多更快的信息和造就了更大的商机,同时也为黑客大开方便之门,提供了大量的入侵机会。
1 网络安全的主要威胁
网络安全威胁的来源是多方面的,但究其性质基本上可以归结为以下几类。
1.1 窃听
用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
1.2 网络嗅探
利用计算机的网络接口漏洞截获计算机数据报文的一种手段。常见方法包括网络流量监测、嗅探器收集网络信息等。
1.3 拒绝服务
信息使用者对信息或其他资源的合法访问被无条件地阻止。攻击者通过不断的发送无效数据或垃圾数据,使网络、服务器瘫痪或最终崩溃。目前常见的拒绝服务攻击为分布式拒绝服务攻击(DDoS),借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动拒绝服务攻击,从而成倍地提高拒绝服务攻击的威力。
1.4 假冒
通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。
1.5 授权侵犯
保护的信息被泄露或透露给某个非授权的实体,造成某一资源被某个非授权的人,或以非授权的方式使用。
1.6 计算机病毒
一种在计算机系统运行过程中能够实现传染和侵害功能的程序,具有破坏性,复制性和传染性。
为了保证信息网络的安全,防御网络安全威胁,降低信息安全隐患,人们提出了很多方法和技术,防火墙技术是其中运用比较广泛、有效的方式。防火墙可以阻断网络中的威胁,及时做出反应,从而减少网络风险。
2 防火墙技术
防火墙最基本的功能就是对网络通信进行适当筛选,然后屏蔽有害信息进出网络,多数的防火墙都是在不可信任的网络和可信任的网络之间。[1]
2.1 防火墙的作用
2.1.1 包过滤
包过滤是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出网络。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。包过滤的最大优点是对用户透明,传输性能高。
2.1.2 包的透明转发
由于防火墙一般部署在提供某些服务或应用的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。因此,防火墙具备网关功能,方便数据包的转发。
2.1.3 网络地址转换
防火墙可以部署为NAT模式(Network Address Translator,网络地址变换),用来缓解地址空间短缺的问题。由于Internet日益发展及IP地址空间有限,使得企业私网内用户无法获得足够的公网IP地址,私网内用户可以通过防火墙的NAT转换的映射地址访问公网网络上的资源,从而解决企业公网地址不足的问题。同时NAT功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。
2.1.4 阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。例如在防火墙设置访问策略,禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。
2.2 防火墙的分类
一个防火墙的实现过程无论多么复杂,归根结底主要分为三大类:包过滤(Packet Filtering)、应用代理(Application Proxy)和状态监测(State Inspection)
2.2.1 包过滤防火墙
包过滤防火墙工作在网络层,具有识别和控制数据包的源地址及目地地址的作用。包过滤防火墙将对每一个接收到的数据包做出允许或拒绝的决定。包过滤防火墙针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。基于TCP/IP协议的信息网络上的数据都是以一定格式的数据包的形式进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如标识发送者和接收者位置的IP地址、TCP/UDP端口号等地址信息。防火墙通过读取数据包中的地址信息来判断这些数据包是否来自可信任的区域,一旦发现来自不可信区域的数据包,防火墙便会阻挡这些数据通过,将其拒之门外。
在信息网络的安全控制中,包过滤防火墙对所有通过它的数据流中每个数据包的IP包头信息进行检查,然后按照网络管理员所设定的过滤规则进行匹配。如果某个数据包信息匹配防火墙设定的过滤规则,那么传输过来的数据包就会通过。反之,数据包信息不匹配防火墙设定的过滤规则,数据包就会被过滤掉。
包过滤防火墙具有处理数据包速度快、容易实现、比较简单等优点。由于包过滤防火墙工作在IP层和TCP层,所以处理包的速度较快,对于一个小型的、不太复杂的站点较容易实现。同时包过滤防火墙具有不支持有效的用户认证、规则表很快会变得很大而且复杂、过于依赖一个单一的部件来保护系统等缺点。
2.2.2 应用代理防火墙
应用代理防火墙安全性较高,对数据包的检测能力较强,能够有效的防范基于应用层的侵入和病毒传播。应用代理实际是设置在防火墙网关上有特殊功能的应用层代码,还可应用于实施数据流监测、过滤、记录和审计等功能。网络管理员可以通过应用代理防火墙设置允许或拒绝特定的应用程序或者服务。应用代理防火墙提供应用层服务控制,彻底隔断内部网络与外部网络的直接通信,起到内部网络向外部网络申请服务时转发作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。
应用代理的工作原理比较简单。首先是内部网络用户与代理防火墙建立连接,然后将访问的外部目的地址告知代理,对于符合防火墙策略的合法请求,代理防火墙会以自己的身份(应用代理)与外部目的地址建立有效连接,然后代理在这两个连接中进行数据转发。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能够实现比包过滤防火墙更严格的安全策略。[2]
2.2.3 状态检测防火墙
状态检测防火墙又称动态包过滤防火墙,能够对各层的数据进行主动的、实时的监测。在对各层数据加以分析的基础上,状态检测防火墙能够有效地判断出各层中的非法侵入。状态检测防火墙摒弃了包过滤防火墙仅通过识别和控制数据包lP地址、端口号等参数,不关心数据包具体数据的匹配过滤的方法,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个会话,利用状态表跟踪每一个会话状态。状态监测对每—个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
2.3 防火墙的优缺点
2.3.1 防火墙的主要优点
(1)防火墙可作为网络通信的阻塞点,能够强化安全策略,可以识别和丢弃带欺骗性源IP地址的包。防火墙隔离受信任网络与不受信任网络,极大地加强了网络安全,并简化了网络管理。
(2)防火墙一般部署于内部与外部网络之间,所有数据包都会通过防火墙进行传输,能有效地收集和记录网络上的活动,提供监视、管理网络的使用和预警功能。
2.3.2 防火墙的主要缺点
(1)防火墙对绕过它的攻击行为无能为力。
(2)由于防火墙部署的位置多位于外部网络与内部网络之间,因此无法阻挡内部网络的威胁,亦无法完全阻挡病毒。
3 总结
网络安全技术将成为信息网络发展的关键技术,因此网络安全应从网络结构、管理和应用等多方面进行考虑。同时一个具有良好效果的网络安全措施往往综合了多种方法。防火墙技术作为实现网络安全措施的一种主要手段,主要是用来拒绝未经授权用户对网络的访问,同时允许合法用户不受妨碍的访问网络资源。在信息网络中,应利用防火墙技术采取有效和可行的措施,消除安全隐患,确保整个网络的安全、稳定、可靠的运行。
摘要:本文论述了网络安全面临的主要威胁,并分析了防火墙技术在网络安全中的作用和分类。
关键词:防火墙,网络安全
参考文献
[1]庄健平.防火墙技术与网络安全[J].计算机安全技术,2010,09:131-132.
[2]玄文启.基于计算机网络的防火墙技术即实现[J].中国信息科技,2010(20):117-118.
[3]何小虎.网络安全与防火墙技术[J].黑龙江科技信息,2008,09:84.
[4]李莘.防火墙与网络安全[J].河南科技,2010(07上):55-56.
防火墙技术下网络安全 篇10
网络技术的发展促进计算机的普及, 改变了人们的生产和工作方式, 让人们不出门而知道天下事, 在我们国家随着这几年计算机网络的迅猛发展, 计算机网络的发展使得计算机网络犯罪事件经常发生, 当务之急是怎样在黑客攻击计算机网络的时候研究出保护计算机网络安全的办法。
1 网络安全技术的研究和防火墙技术的研究
1.1 网络安全技术的研究
计算机网络的安全指的是保证计算机网络上的传输和存储的信息的安全性, 在刚开始设计计算机的时候并没有想到在以后的应用会这么大的, 所以只考虑到方便性没有考虑其他, 为了解决这个问题研究机构做了很多研究, 一般是数据加密技术、防火墙等方面的问题研究, 但是至今为止为了防止有目的者入侵根据计算机的漏洞进行恶意攻击, 篡改数据, 引发网络安全问题, 研究人员已经把目光放在了入侵检测技术和密码技术上面, 现在是网络安全技术的注重点。在研究机构刚开始研究入侵检测技术的时候, 入侵检测技术还是比较单一的, 现在入侵检测技术在西方发达深入研究, 并且同时在西方发达国家的科研机构同时进行。因为计算机网络安全技术涉及到某些敏感的技术, 国内外的交流目前非常困难, 在国内入侵检测技术才刚刚开始研究, 处于一个模仿西方发达国家的阶段, 所以监测系统较为单一。
密码技术是整个计算机网络安全的核心, 密码技术发展到现在密码技术已经出现了很多厉害的密匙管理技术以及密码算法。密码安全技术由以前的只把重点放在保密性当中到现在变成了把重点放在密码安全的保密性、真实性、可控性结合当中。
1.2 防火墙技术
到目前为止, 现在的计算机网络运用普遍, 社会中保证计算机网络安全的一般方法就是防火墙的构筑, 防火墙的构建是把计算机当中的硬件软件结合到一起的一种方式, 把计算机当中的硬件软件结合到一起后, 所有经过的数据流都要经过这个构建好的防火墙, 能够在网络边界建立网络安全监测系统来隔离内部网络和外部网络, 实现对计算机网络的安全保护, 一般有包过滤型防火墙、应用代理型防火墙、状态监测型防火墙。
2 网络信息安全的主要威胁
2.1 网络安全威胁
网络的安全威胁可以分为2个方面, 一个是自然安全威胁, 一个是人为安全威胁并且随着时间的变化而变化, 自然安全威胁来源于各种自然灾害、恶劣的场地环境、电磁场的干扰、网络设备的老化, 这些威胁会影响储存媒体;人为安全威胁指的是黑客对网络的人为攻击, 主要有:网络缺陷、黑客攻击各种病毒、管理的欠缺及资源滥用、网络内部用户的失误操作和恶意行为、网络资源滥用、信息泄露等等, 通过攻击网络系统的漏洞达到破坏、欺骗、窃取数据的目的造成经济和政治的损失。
2.2 影响计算机网络安全的因素
影响计算机网络安全的因素有:资源共享、开放、操作漏洞、设计缺陷、恶意攻击等等, 资源共享是计算机网络应用的主要目的, 这给想要利用资源共享的黑客提供机会, 服务请求不可能完全隔离计算机网络和外界网络, 那么就容易让黑客利用服务请求得到网络数据包;网络的开放性使得网上的随便的用户能够便捷的访问到互联网的信息资料, 利用这种信息资料的便捷性黑客很容易得到个人信息;网络操作系统是网络服务最终实现的载体, 负责网络硬件设备的接口封装, 提供网络通信需要通过网络协议以及服务程序来解决, 但是网络协议的实现非常复杂, 这就使得在操作系统中一定存在实现过程中带来的漏洞和不足, 要去改善这些漏洞和不足。
网络设计是指拓扑结构的设计以及网络设备的正确选择, 网络设备、网络协议等因素都会带来计算机网络的安全问题, 合理的网络设计不仅能够节约资源还能够提高计算机网络的安全性, 不合理的网络设计则会成为计算机网络的安全隐患;网络上比较常见的安全问题是黑客的攻击和病毒的传染, 这是最难解决的计算机网络安全问题, 随着计算机的普及, 电脑的普遍化, 类似于熊猫烧香这种网络传染病毒越来越多, 这种类型的攻击越来越多, 影响也越来越大, 给人们的生活造成困扰,
3 传统的防火墙技术
作为主要的保护安全网络的手段, 防火墙技术迅速的发展, 成了网络上运用的最多的保护计算机网络安全的手段, 随着防火墙在网络应用的普及, 防火墙要能够以非常快的速度有效的处理数据问题, 下面我们来介绍传统的几种防火墙。
3.1 包过滤型防火墙
包过滤型防火墙在OSI模型中的传输层和网络层的工作中用的比较普遍, 包过滤型防火墙主要由数据的目的地址和包头源地址标志来确定可不可以通过, 满足了所有的过滤条件才可以转发到其他的地方去, 其他不符合过滤条件的数据包会被数据流所拦截过滤掉, 不让他们进入其他地方。但是因为一个包过滤型防火墙网络控制, 将他和用户预定的访问控制表进行比较后决定是否转发或者丢弃数据流, 包过滤型防火墙的好处是比较的简单, 坏处是缺少用户认证机制和审计信息, 过滤的规则很难得到完备性, 安全性比较差。
3.2 应用代理型防火墙
应用代理型防火墙一般是在OSI的最高层执行命令, 能够完完全全的挡住计算机网络的通信流, 有目的性的控制代理程序和监视通信流在应用层的用处。代理程序可以实现用户认证、审计跟踪、数据加密, 能够控制计算机网络信息流通, 具有非常的高的安全性以及灵活性, 并且客户不知道, 如果对每一种服务器都设计代理模块建立对应网关系, 那么要实现这个对应网难度是很高的, 所以人们可以侦测以及扫描应用层, 快速高效的防止病毒对应用层的入侵, 不过会加大了管理网络系统的复杂性, 影响系统性能。
3.3 状态检测型防火墙
状态监测型防火墙是用来连接状态检测的一种防火墙, 状态检测型防火墙就是把连接在一起的所有的包当成一个共同的数据流, 构成一个连接状态的表, 通过规则表和状态表中的配合识别表中的各种连接状态因素, 这种动态的连接表的记录可以是之前的通信记录也可以是其他相关应用程序的信息, 状态检测型防火墙比传统的包过滤型防火墙更好, 状态监测型防火墙更加的灵活也更安全。
4 现代的新型防火墙
无论怎么样的防火墙都会有好处和坏处, 现在的防火墙不是传统的防火墙, 而是把各种防火墙的优点结合在一起的新型防火墙, 新型防火墙一般包括用户身份认证机制等技术, 随着新型的网络病毒的出现, 新型的防火墙技术也呼之欲出, 新型的防火墙提高了数据的安全, 使得防火墙的拦截病毒技术提高了。下面介绍几种现代化新型防火墙。
4.1 智能型防火墙
这种防火墙利用统计有病毒数据, 记忆有攻击性数据的智能方法对数据流进行识别找出有病毒数据, 有攻击性数据并且拦截, 这样就可以达到控制有病毒数据, 有攻击性数据的目的, 智能型防火墙主要的技术有:防攻击技术、防欺骗技术、包擦洗和协议正常化技术、入侵防御技术等等, 这种防火墙通过第一步的过滤后对允许进入的数据流再次进行检测, 并且启动入侵防御保护, 这样就能够有效地检测新型的病毒或者有攻击性的数据, 这种类型的防火墙是现如今防火墙的主要发展方向。
4.2 分布式防火墙
这种类型的防火墙是用来改善传统的防火墙系统, 名字叫做分布式防火墙, 这种类型的防火墙是一种新型的防火墙, 这种防火墙包括了网络防火墙、主机防火墙、中心管理等等, 每个防火墙都可以根据性能不同来分布位置, 但是总体的安全是进行统一管理的, 这种防火墙体系的核心中心管理, 一般用在企业的网络服务和服务器主机中, 解决企业内部系统的网络攻击, 能够有效的保护主机, 保护企业的计算机网络安全。
5 结语
随着科技的发展, 计算机技术和通信技术是当前时代的主旋律, 人们越来越依赖于计算机网络, 随着信息电子化的发展, 网络的快速普及使得电子商务和金融商务也得到快速的发展, 计算机网络安全成了国家安全和社会稳定的一个重要的因素, 大量的黑客入侵案例告诉人们, 保护计算机的网络安全刻不容缓, 应该要积极的研究和探讨计算机网络安全技术和防火墙技术。
参考文献
[1]苏孝青, 盛志华.计算机网络安全技术发展与防火墙技术探讨[J].科技创新导报, 2009 (25) :24.
[2]刘彪.计算机网络安全技术发展与防火墙技术探讨[J].电子技术与软件工程, 2014 (4) :229.
[3]陈汇远.计算机信息系统安全技术的研究及其应用[D].北京:铁道部科学研究院, 2004.
防火墙技术下网络安全 篇11
关键词:油田企业;网络安全;防火墙技术;应用
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01
Application of Oilfield Enterprise Network Security and Firewall Technology
Hou Haidong
(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)
Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.
Keywords:Oilfield enterprise;Network security;Firewall technology;Application
计算机从出现到发展,短短几十年间,无论从生活、学习,还是工作中都带来了巨大的影响,使我们的生活、学习和工作都起了翻天覆地的变化。在各个企业里面,现代化的建设都是建立在计算机网络技术应用之上的,计算机技术覆盖了企业生产的各个大小环节。保证企业中网络的安全性,使企业生产顺利进行,这是企业中网络运行的基本保障。笔者仔细分析了青海油田企业网络安全现状,针对青海油田企业的网络安全问题,提出相应的解决策略,结合防火墙技术的应用,提高油田企业网络安全性,保证企业生产的顺利进行。
一、青海油田企业网络工作概况
青海油田是一家大型企业,其二级单位网络中目前包含华为、港湾、华为3COM、Cisco等厂商设备,属于多厂商互联网络。青海油田企业的整个网络主体建设于1999年,逐年累建至今。目前网络集中问题有多个方面,网络缺乏管理性;多厂商设备,难以统一管理;大部分设备陈旧,汇聚层性能、带宽不足;冗余可靠性差。由于这些原因,导致汇聚层设备扩展性不够,一些单位层层级连网,影响网络的稳定性和可靠性,使得网络安全问题成为极大的难题。
二、网络安全风险
网络安全风险根据不同的方面,有许多的风险因素,比如网络外部的环境是否安全,包括了电源故障、设备被盗、认为操作失误、线路截获、高可用性的硬件、机房环境、双机多冗余的设计、安全意识、报警系统等。再比如系统完全,包括了整个局域网的网络硬件平台、网络操作系统等。每一个网络操作系统都有其后门,不可能有绝对安全的操作系统。还有网络平台的安全风险,作为企业发布信息的公开平台,要是受到了攻击或者在运行中间出现了问题,对企业的声誉是极大的影响。同时,作为公开的服务器,本身随时都面临着黑客的攻击,安全风险比其他的原本就要高上许多。另外,应用系统安全也是风险因素中的一个,在不断发展和增加过程中,其安全漏洞也在日益增加,并且漏洞隐藏得只会越来越深。此外还有管理的安全,管理混乱、责权不分、安全管理制度不健全等都是管理安全的风险因素。
三、油田企业网络安全管理工作
随着油田企业中网络用户的逐渐增多,网络安全问题也越来越突出、越来越被网络管理工作人员所重视。在实际工作中,通过增强单位用户对网络安全重要性的紧迫性的认识、强化和规范用户防病毒意识等手段,全面采用网络版防病毒系统,部署防病毒服务器和补丁分发服务器。在网络管理过程中,技术人员定期检查、预防、控制和及时更新防病毒系统病毒定义码,按时向总部上报极度防病毒巡检表。网络管理技术人员还积极做好入侵保护系统IPS策略的日常管理和日志审计工作,使有限的网络资源能用于重点保障业务工作的正常进行。
四、油田企业网络安全防范举措与防火墙技术应用
在油田企业网络运行过程中,安全威胁主要有非授权访问、信息泄露或丢失、拒绝服务攻击、破坏数据完整性、利用网络传播病毒等方面。要防范油田企业网络安全,主要的防御体系是由漏洞扫描、入侵检测和防火墙组成的。油田企业的局域网主要又外部网络、内部职工网络、内部单位办公网络和公开服务器区域组成。在每一个出口通过安装硬件防火墙设备,用防火墙来实现内部网络、外部网络以及公开服务器网的区分。防火墙对外部的安全威胁起到了抵御的作用,但是从内部发动的安全攻击却无能为力。这个时候就需要动态监测网络内部活动以及及时做出响应,将网络入侵监测系统接入到防火墙和交换机上的IDS端口,一旦发现入侵或者可疑行为之后,立即报告防火墙动态调整安全策略,采取相应的防御措施。另外,网络安全还需要被动的防御体系,它是由VPN路由和防火墙组成,被动防御体系主要实现了外网的安全接入。外网在于企业网络之间实现数据传输的时候,经过防火墙高强度的加密认证,保证外网接入的安全性。在油田企业网络安全与防火墙技术应用中,还需要加对病毒的防范、数据安全的保护和数据备份与恢复的建设。在服务器上安装服务器端杀毒软件,在每一台网络用户电脑上安装客户端杀毒软件,通过及时更新病毒代码,防范病毒的入侵。采用自动化备份、安装磁带机等外部存贮设备等方法,保证数据的安全。
五、总结
油田企业网络安全不仅关系着企业的整体发展,还关系着油田企业中广大职工的网络使用安全,积极采取防火墙技术应用到网络安全防范之中,以提高青海油田企业网络的安全性,保证企业的正常工作、企业职工的正常生活。
参考文献:
[1]何黎明,方风波,王波涛.油田網络安全风险评估与策略研究[J].石油天然气学报,2008,3:279-280
[2]陈岗.大型企业信息网络安全问题解决方案[J].岳阳师范学院学报(自然科学版),2006,2:168-169
[3]王龙,李健.计算机网络安全的防范策略——防火墙技术的研究[J].网络财富,2009,12:257-259
浅谈网络防火墙安全技术 篇12
网络安全产品有以下几大特点:第一, 网络安全来源于安全策略与技术的多样化, 如果采用一种统一的技术和策略也就不安全了;第二, 网络的安全机制与技术要不断地变化;第三, 随着网络在社会个方面的延伸, 进入网络的手段也越来越多, 因此, 网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系, 需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面, 总是不断地向上攀升, 所以安全产业将来也是一个随着新技术发展而不断发展的产业。
二、防火墙
网络防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关 (代理服务器) 以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
2.1包过滤型
包过滤型产品是防火墙的初级产品, 其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的, 数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用, 实现成本较低, 在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。
2.2网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时, 将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口, 让这个伪装的地址和端口通过非安全网卡与外部网络连接, 这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时, 它并不知道内部网络的连接情况, 而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时, 防火墙认为访问是安全的, 可以接受访问请求, 也可以将连接请求映射到不同的内部计算机中。当不符合规则时, 防火墙认为该访问是不安全的, 不能被接受, 防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的, 不需要用户进行设置, 用户只要进行常规操作即可。
2.3代理型
代理型防火墙也可以被称为代理服务器, 它的安全性要高于包过滤型产品, 并已经开始向应用层发展。代理服务器位于客户机与服务器之间, 完全阻挡了二者间的数据交流。从客户机来看, 代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时, 首先将数据请求发给代理服务器, 代理服务器再根据这一请求向服务器索取数据, 然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道, 外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高, 可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置, 大大增加了系统管理的复杂性。
2.4监测型
监测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上, 监测型防火墙能够有效地判断出各层中的非法侵入。同时, 这种检测型防火墙产品一般还带有分布式探测器, 这些探测器安置在各种应用服务器和其他网络的节点之中, 不仅能够检测来自网络外部的攻击, 同时对来自内部的恶意破坏也有极强的防范作用。
三、结束语
防火墙是一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它位于两个网络之间执行控制策略的系统, 用来限制外部非法用户访问内部网络资源, 通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。
参考文献
[1]谢希仁:《计算机网络》 (第4版) , 电子工业出版社, 2003年。
【防火墙技术下网络安全】推荐阅读:
网络防火墙安全技术05-30
计算机防火墙安全技术08-17
防火墙技术分析08-08
防火墙技术及应用05-30
防火墙技术及其发展06-18
防火墙技术实验报告08-31
分布式防火墙技术06-16
构建网络防火墙08-14
冬季防火国旗下讲话07-07
基于防火墙的网络安全08-15