时间:2023-05-31 09:12:18
关键词:防火墙技术;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 防火墙的概念
防火墙一词是古代延伸而来的,在古代人们为了防止天灾的发生和天灾的蔓延,使用坚硬的物体放在一起作为屏蔽,这种屏蔽就叫做防火墙。在现代,防火墙是指内部网和Internet分开的一种方法,是一种防御系统,也是目前最重要的一种网络防护的手段。它通过设定的安全措施来对各个网络之间的数据进行检测,从而决定哪个网络需要访问,哪个网络不能访问。
2 防火墙的基本原理
防火墙的原理是数据信息的隔离掌控作用,它是一个数据分析系统,也是一个数据流限制系统。防火墙技术主要目的是实现一个安全的网络环境,它要求凡是进出网络的信息包和数据包都一定要有授权、计划和策略,从而达到内网与外网的分离。
3 防火墙的技术和种类
3.1 防火墙技术
防火墙的技术分成深度数据包处理技术、网络地址转换技术、技术、SOCKS技术、虚拟专用网技术和状态检测技术等。
(1)深度数据包处理技术。深度数据包处理技术是把多个相关联的数据包统一放在一个数据流里面使其保持平稳的状态,在受到攻击或者发生异常时,还要保证这个数据流可以平稳运行,所以它对处理要求的速度、检测、分析和组装都异常的高,为了避免使用应用时间的延迟,需要毒地处理要求进行整体的提升。
(2)网络地址转换技术。网络地址转换技术也称之为NAT,它可以分成静态地址转换技术、端口级地址转换技术、地址转换技术池和三种。
网络地址转换技术是指把IP报头上没有经过合法注册的IP地址换成经过合法注册的IP地址,让范围内的所有主机可以自由的在局域网上访问Internet。而网络地址转换技术的作用是在隐藏了计算机主机的真正网络地址的同时,也顺利解决了地址不足够的问题,其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。网络地址转换技术的优点是保证了网络的安全,让黑客没有办法对网络进行直接的攻击。
(3)技术。技术是指在征求网络管理员的意见之后,接受或者阻止设置在网络防火墙上的代码,在现实生活中用于数据的报告、数据的监控、数据的记录和数据的过滤等方面。技术的工作过程相对简单不是特别复杂,简单来说就是用户与服务器之间数据的转发,首先必须确定用户和服务器必须连接,然后把目标网络点告知服务器,并发出连接请求,最后过滤请求的合法性,只有请求合法才能以应用层网关的身份与目标网络点连接。
技术的优点是有状态性,可以提供日志功能、审计功能和完全的信息传输功能,并且可以隐藏遗留的IP地址,实现了更稳定、更全面的安全策略。每一个技术都有一个针对的特定应用,使选择更自由,如网络管理员可以选择安装自己需要的。每个之间不会相互影响,哪怕有一个出现问题也不会阻碍其他的功能,只需要把有问题的卸掉,就能保证模块整体的正常工作,也保证了防火墙不会因为失效而出现安全问题。
(4)SOCKS技术。SOCKS是目前比较新的协议标准,它主要针对电路层网关。SOCKS是指在防火墙上运行的服务软件包与各个网络连接的程序库文件包所组成的系统,它只针对于TCP服务包,这样的结构可以使软件的选择更自由,根据个人的需求来制定相对应的软件。
(5)虚拟专用网技术。虚拟专用网技术也称之为VPN,它是一种通信方式,是利用公共网络来对数据包进行加密和检查的,所以虚拟专用网技术可以实现远程用户、企业的分公司、供货商和商业伙伴与合作企业所在的内部网,进行信息和数据的连接,并保证这些数据流安全传输。
(6)状态检测技术。状态检测技术也称之为动态包过滤技术,是在包过滤的基础上进行的功能扩展,目前已经是整体性能和安全性能最好的一种防火墙技术,它是利用检测模块来建立的。检测模块就是一个软件引擎,它的功能就是对各个层次的网络通信进行安全监控。检测模块运行的前提是不能影响正常的工作,在此前提下对数据进行随机的抽取,并以动态的形式保存起来。
3.2 防火墙的种类及功能
防火墙的技术实现有以下五种,网络级防火墙、电路级网关、应用级网关和混合型防火墙。每一种的功能和使用都不同,具体情况要进行具体分析。
(1)网络级防火墙。网络级防火墙也称之为包过滤型防火墙,它是判断每个地址端口和IP源地址、协议能否通过。随着网络的发展,一个路由器就能代表一个包过滤型防火墙,这种防火墙配置简单,安全系数偏低,绝大部分的数据都能通过路由器并进行转发,但是对于数据的IP地址的方向判断不清。
越先进的路由器,其自带的防火墙也越先进,它可以快速的判断出数据包的合法性。网络及防火墙的功能有三种,在路由器的数据转发和选择的时候实施包过滤、在工作开始的站点上实施包过滤和在屏蔽路由器开始工作时实施包过滤。
(2)电路级网关。电路级网关的重要作用是监视、控制受信任的用户与网络服务器,而对于不受信任的TCP进行握手,以此来决定该行为是否合法,它比网络级防火墙和应用级网关都要高。
电路级网关的优点是,它本身有一个自带的服务器的防火墙,这个防火墙是通过地址转移来运行的,把用户所有的IP地址都反射到安全地带,它的缺点是,无法实现数据包的检查,运行时必须要联合其他应用级网关才能启动。
(3)应用级网关。应用级网关是目前安全性能比较好的一种防火墙技术,它有较好的选择控制和访问控制,但相对的缺少透明程度,实现比较困难。应用级网关是通过对网关数据的复制和传送来检查数据包的,它可以切断用户与不受信任服务器之间的联系,有效的保护用户的网络数据安全。
应用级网关虽然可以做一些比较复杂的访问、协议、控制和注册,但它所需要的软件也相对比较复杂,并且时间长、工作量大,运行效率偏低,在使用时,会经常出现访问时间延长或者多次登录的情况。
(4)混合型防火墙。混合型防火墙是一种新的突破,它综合了透明度、和检测三种功能,把过滤和预防全部集于一体,也结合了包过滤型防火墙的OSI网络层端口和IP地址上进行数据包的过滤、电路级网关的序列数字与SYN和ACK之间的比对和应用级网关的对数据包在OSI应用层的检查。混合型防火墙不仅包括传统的网络流量检测和应用层扫描,还包括OSI的第七层检测。
混合型防火墙的优点是独立的存在,不依靠其他的应用层网络,而是依据一种算法来进行数据包的过滤,其缺点是不能打破用户机和服务机的数据包分析,使得不受信任的网络和受信任的用户进行连接。
4 结束语
防火墙作为网络安全的基本手段和安全措施,是一项非常复杂的工程,随着研究课题的不断增多,防火墙技术也不断在变化,变得对信息包和数据包更容易通过和识别,使应用级防火墙朝着透明化和简单化方面发展。
参考文献:
[1]陈文惠,朱卫未.防火墙技术分析[J].信息安全与通信保密,2009(5):112-114.
[2]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与.2010(9):179-181
[3]林晓东,杨义先.防火墙技术[J].电信科学.2008(3):56-57.
关键词:防火墙;包过滤;网络安全策略;屏蔽路由器;TCP/IP
中图分类号:F49文献标识码:A 文章编号:1672-3198(2012)03-0252-01
1 防火墙的概念
计算机网络的安全防护系统用建筑行业的“防火墙”来命名,主要是两者之间有很多相似之处。在计算机网络中,防火墙是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件的集合。
2 防火墙的功能
防火墙能够确保在互联网中系统间信息交换的安全。如电子邮件,文件传输,远程登录等。防火墙的主要功能如下:防火墙是网络安全的屏障;可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄等。
3 防火墙技术分类
(1)包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。
(2)应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。
4 防火墙的体系结构
(1)屏蔽路由器结构。屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。
(2)双宿主机结构。双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。双宿主机是唯一隔开内部网和外部因特网之间的屏障,如果入侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。
(3)屏蔽主机结构。屏蔽主机结构中提供安全保护的主机仅仅与内部网相连,还有一台单独的过滤路由器,这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。该防火墙系统提供的安全等级比包过滤防火墙系统要高。过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果遭到破坏,则数据包就不会被路由到堡垒主机上。
(4)屏蔽子网体系结构。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。
5 防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
6 设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值付出这种代价;和可用性相比,站点的安全性放在什么位置。
7 防火墙的不足
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献
关键词: Internet 防火墙技术 发展展望
随着科技的发展,计算机已经得到了越来越普遍的应用,尤其是现今智能手机的普及,智能设备的应用更是达到一个新的高峰。随之而来的不仅是人们生活的方便,网络安全问题也日益严重。在我国,黑客入侵和病毒等的破坏带给我国的经济损失也在不断增加。怎样保证网络安全值得我们积极关注,我从Internet防火墙的角度提出自己的看法和见解。
1.防火墙技术浅析
1.1防火墙的概念
防火墙主要是指在不同网络安全域之间或者是不同的网络安全之间的一整套部件的组合。它是不同的网络安全域或者网络安全之间的唯一通路,可以根据企业的安全政策对出入网络的信息流进行控制,而且其本身也具有很强的抗攻击能力。它是为信息安全提供基本服务,并且保证网络信息安全的基础设施。从逻辑上来看,防火墙是一个限制器,分离器,同时是一个分析器,它可以有效地对内部网络和互联网之间的任何活动进行监控,进而保障内网的安全。
1.2防火墙的主要功能
第一,包过滤。所谓包过滤即对互联网数据的安全进行保护的一种机制,利用包过滤,可以对网络数据的流出和流入进行有效控制。包过滤主要由不同的安全规则构成。第二,地址转换。其可以分为两种形式,分别是源地址转换和目的地址转换。通过源地址转换可以将内部网络结构隐藏及将外部网络结构转换以免遭外部网络的恶意攻击。第三,应用和认证。认证就是对访问防火墙的访问者进行身份确认。即是指防火墙自身内置的认证数据库。第四,路由和透明。所谓透明主要是指将防火墙的网管给隐蔽起来,进而避免外来网络的恶意攻击,与此同时,还杜绝了外部没有进行授权的访问者对专用网络的非法访问。另外,防火墙也提供路由方式,可以让内部的多个子网之间进行安全访问。
2.防火墙技术的发展展望
防火墙技术的不断发展已经引起了个人和企业的极大关注,并且随着网络安全技术的快速发展,防火墙会向深度和广度两个方面继续发展。怎样让防御既有深度又积极主动,怎样让防火墙的网络边界防御力度更大,怎样使防火墙的处理性能更好,怎样使防火墙小型化、硬件化,改善其单独抵御攻击的能力,是以后网络安全系统升级的重要方向。
2.1未来防火墙关键技术的展望
2.1.1实现高速检测的防火墙
通过对微码编程的网络数据处理技术进行应用,不但可以及时对系统进行升级,而且对IPV6有很好的兼容性,还可以集成很多硬件协处理单元,进而使高速检测变得切实可行和方便。如果将其硬件化,则不仅会大大改善防火墙的执行速度,而且可降低由防火墙引起的网络延时。现今基于ACL算法的防火墙,因为应用协议不断增加的限制,不能很好地对应用层进行高速检测。
2.2.2信息单向流入的防火墙
因为网络的不断普及,其需求也日渐增加,防火墙也慢慢朝着硬件化和专业化的趋势发展。所谓单向防火墙即指信息的单向流动,数据只能从外网流入到内网,而不能由内网流到外网,进而达到保密的效果。
2.2.3有效防范黑客、病毒的攻击
因为IP/TCP协议中漏洞的存在,防火墙很难对服务类的攻击进行防御。比如说序列号预测及IP欺骗,已经成为防火墙较难防御种类的一部分。但是如果在防火墙中嵌入智能芯片,则可以有效地对恶意数据流量进行识别,并且阻断恶意病毒和数据的攻击。
2.2.4区域联防技术
随着网络非法技术的不断升级和发展,防火墙主机面临的安全威胁越来越大,由此对防火墙的系统结构进行升级是一件紧迫而必要的事。新型防火墙需要将个人计算机型防火墙和主机型防火墙相结合,并提取传统防火墙中的优势,全方位地对防火墙的防卫结构进行优化。其主要目的在于将各区域联合起来,通过联防来抵御网络的攻击行为。各个终端需要都需要设置一定的防护功能,并通过彼此之间的相互防卫,保证网络的信息安全。
2.2.5深度检测
随着专门针对于应用层的WEB的攻击越来越多,导致状态检测的防火墙的有效性越来越低。所谓深度检测防火墙,即将应用防火墙技术和状态检测相结合,对应用程序的流量进行综合处理,使其对数据流量能够迅速完成网络层级别的检测。深度检测的特征主要包括协议的一致性、应用层的加密或者是解密、双向负载检测等。
3.结语
当今,防火墙技术已经得到个人和企业的广泛关注,随着因特网技术的快速更新换代,也要求防火墙技术进行不断升级。只有对过去和现今防火墙所面临的问题进行全面总结和分析,才可以更好地把握住网络安全的发展趋势,进而深入而全面地改善防火墙技术,更好地保障个人和企业的信息安全,为大众谋福利。
参考文献:
[1]林晓东,杨义先,马严等.Internet防火墙系统的设计与实现[J].通信学报,1998,19(1).
[2]张晓林.Internet防火墙[J].现代制造技术与装备,2013(1):62-64.
1. 引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2. Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。
图1 防火墙在Internet中的位置
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,
它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4. 第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1 双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2 透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3 灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4 多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5 网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6 Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7 安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
4.8 用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9 用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10 审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5. 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1 安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模[!]块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2 系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的
连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。5.3 分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4 安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持服务。
5.5 鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(Crypto Card);另一种是Secure ID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。
6. 第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1 抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2 抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3 抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4 抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,Internet Scanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5 抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7. 防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
关键词:防火墙;linux;iptables;netfilter
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着网络的开放性、共享性和互连程度扩大,特别是Internet的发展,网络的重要性和对社会的影响也越来越大。随着网络上各种新兴业务的兴起,比如电子商务、电子现金、数字货币网络银行等,以及各种专用网的建设,比如金融网等,使得安全问题显得越来越重要。因此网络安全成了数据通信领域研究和发展的一个重要方向,对网络安全技术的研究成了现在计算机和通信领域的一个热点。而防火墙技术是针对网络安全特点而建立的防范措施。而LINUX操作系统不仅具有开放源代码的巨大优势,而且能适用于多种CPU和硬件平台,性能稳定,非常适合作为一些嵌入式防火墙设备的操作系统,因此,研究基于LINUX的防火墙技术具有重要的意义。
1 防火墙原理
1.1 防火墙的概念和工作原理
防火墙技术是目前各种网络安全解决方案中常用的技术,它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受阻碍地访问网络资源,从总体上看,防火墙应具有以下五大基本功能:
过滤进出网络的数据包。
管理进出网络的访问行为。
封堵某些禁止的访问行为。
记录通过防火墙的信息内容和活动。
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们要应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的技术手段。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。防火墙应该能够记录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时、防火墙自身也应具备较高的抗攻击性能。
1.2 防火墙的分类
按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和防火墙(应用层网关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
表1 两种防火墙的比较
包过滤防火墙分为静态和动态。静态包过滤防火墙根据定义好的过滤规则审查每个数据包。以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制b},报头信息中包括IP源地址、IP目标地址、传输协议(TCP, UDP, ICMP等等)、TCP/UDP目标端口, ICMP消息类型等,包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。动态包过滤防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
自适应技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应服务器 (Adaptive Proxy Server)与动态包过滤器 (Dynamic Packet filter)。
在自适应与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应就可以根据用户的配置信息,决定是使用服务从应用层请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
2 linux防火墙的实现
2.1 linux 防火墙简介
Linux最初从2.0内核的ipfwadm开始具备了基本的包过滤功能。ipfwadm能透过IP据包头的分析,分辨出数据包的来源IP与目的地IP、数据包类型、来源端口号与目的端口号、数据包流向、数据包进入防火墙的网卡界面等,并依此分析结果来对比规则进行数据包过滤,同时也支持IP伪装的功能,利用这个功能可以解决IP不足的问题,但是这些程序缺乏弹性设计,用户无法自行建立规则组合(rule set)作更精简的设定,同时也缺乏网址转换功能,无法应付越来越复杂的网络环境,已经逐渐被淘汰。随后取而代之的是ipchains。Ipchains不但指令语法更容易理解,功能也较ipfwadm优越:ipchain允许自订规则组合(rule set),称之为user-define chains,可以将彼此相关的规则组合在一起,在需要的时候跳到该组规则进行过滤,有效的将规则数量大幅缩减,克服了以往ipfw仅能进行循序过滤,导致规则过长的缺陷。同时,ipchains能提供网址转换的能力,从而满足NAT的完整需求,基本构成一套成熟的防火墙。,
在Linux2.4内核以后,被称为iptables/netfilter的防火墙以更好的结构重新构造,并实现了许多新功能,如完整的动态NAT(2.2内核实际是多对一的"地址伪装")、基于MAC及用户的过滤、真正的基于状态的过滤(不再是简单的查看tcp的标志位等)、包速率限制等。它比以前任何一个Linux内核的防火墙子系统都要完善和强大。
2.2 iptables/netfilter框架
Netfilter提供了一个抽象的、通用的框架,该框架定义的一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。当前的Netfilter,已经基于IPv4, IPX, IPv6等协议开发了对应的钩子函数。
Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上。网络报文按照来源和去向,可以分为三类:流入的、流经的和流出的。其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程,即从一个NIC转到另一个NIC。 Netfilter就是根据网络报文的流向,在以下几个点插入处理过程:
(1)NF_IP_PRE_ROUTING,在报文作路由以前执行;
(2)NF_IP_FORWARD,在报文转向另一个NIC以前执行;
(3)NF_IP_POST_ROUTING,在报文流出以前执行;
(4)NF_IP_LOCAL_IN,在流入本地的报文作路由以后执行;
(5)NF_IP_LOCAL_OUT,在本地报流出路由前执行。
Netfilter框架为多种协议提供了一套类似的钩子(HOOK),用一个struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二维数组结构存储,一维为协议族,二维为上面提到的各个调用入口。每个希望嵌入Netfilter中的模块都可以为多个协议族的多个调用点注册多个钩子函数(HOOK ),这些钩子函数将形成一条函数指针链,每次协议栈代码执行到NF HOOK()函数时(有多个时机),都会依次启动所有这些函数,处理参数所指定的协议栈内容。
每个注册的钩子函数经过处理后都将返回下列值之一,告知Neifilter核心代码处理结果,以便对报文采取相应的动作:
(1)NF_ACCEPT, 继续正常传输数据报;
(2)NF_DROP, 丢弃该数据报,不再传输;
(3)NF_STOLEN, 模块接管该数据报,不要继续传输该数据报;
(4)NF_QUEUE, 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理);
(5)NF_REPEAT, 再次调用该钩子函数。
如图1所示,数据报从左边进入系统,进行IP校验以后,数据报经过第一个钩子函数NF_IP_PRE ROUTING进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子函数NF_IP_LOCAL_IN处理以后然后传递给上层协议;若该数据包应该被转发则它被NF IP FORWARD处理;经过转发的数据报经过最后一个钩子函数NF_IP_POST_ROUTING处理以后,再传输到网络上。本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理以后发送到网络接口。
Netfilter组件也称为内核空间(kernel space),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
与之相对应的iptables组件是一种工具,也称为用户空间(user space),它使插入、修改和除去信息包过滤表中的规则变得容易。通过使用用户空间,可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。这些规则具有目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配,那么使用日标ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并杀死信息包。
内核模块提供三个规则表((table),分别是数据报过滤表(filter table),网络地址转换表(nat table)及数据报处理表(mangle table)。
数据报过滤表(filter table):
表格不会对数据报进行修改,而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进,因为在ipchains中一个被转发的数据报会遍历三条链。
网络地址转换表(nat table):
NAT表格监听三个Netfilter钩子函数:NF_IP_PRE_ROUTING,NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。
NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT,伪装(其是源NAT的一个特例)及透明(其实是目的NAT的一个特例)。
数据报处理表(mangle table):
mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用
mangle表,可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。
3 iptables的命令配置与应用
Iptables的基本语法是:
iptables [-t table] command [match] [- j target/jump]
其中Ct参数用来指定规则表,当未指定规则表时,则默认认为是filter
下面根据实例来详细解释下iptables的用法,配置防火墙的基本规则是先拒绝所有的服务,然后根据需要再添加新的规则。在实例中,我们开放了WEB服务器,邮件服务器,FTP服务器等常用的端口,在实际情况中可以根据特定的网络状况,特定的安全要求做特别的处理:
iptables CF#删除已经存在的规则
iptables -P INPUT DROP#配置默认的拒绝规则。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打开WEB服务端口的tcp协议
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打开POP3服务端口的tcp协议
iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打开SMTP服务端口的tcp协议
iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打开FTP服务端口的tcp协议
4 结论
Linux内核防火墙的iptables/netfilter框架设计得非常成功,它将所有对数据包的处理都统一到这个一个框架之下。Netfilter不仅仅有此高效的设计,同时还具备很大的灵活性,这主要表现在iptable/netfilter中的很多部分都是可扩充的,包括Table, Match, Target等。
参考文献:
[1]毛德操,胡希明.Linux内核源代码情景分析[M].浙江大学出版.2001,9.
[2]Marcus Goncalves.宋书民,等,译.防火墙技术指南[M].机械工业出版社,2000,11.
[3]Robert L.Ziegler..余青霓,等,译.LINUX防火墙[M].人民工业出版社,2000,10.
[4]博嘉科技主编.LINUX防火墙技术探秘[M].国防工业出版社,2002,10.
随着计算机网络技术的大范围普及和应用,我们的生活方式得到了明显的创新和改变。由于计算机网络技术的应用具有虚拟性、技术性、公众性等的特点,使得网络安全逐渐成为了人们所关注的问题。防火墙技术作为对计算机网络起到保护作用的安全技术,是网络环境安全健全的重要手段,它在现代的计算机网络安全技术中是最主要的一种保护形式,基于此,文章在对防火墙结构介绍的基础上,分析了其在网络安全技术中的应用状况。
1网络安全技术中防火墙技术的介绍
科学技术的进步,推动了人们生产生活的极大创新,促使社会的文明程度进一步提升,人类社会进入到了信息化时代。网络的普及一方面在给人们带来便利的同时也给信息的安全性埋下了安全隐患。防火墙作为一种保护技术,主要指的是在不同信赖程度的网络结构之间,会设置一系列相关安全部件的组合,它的主要作用就是在众多不同网络之间可以设置一个唯一的安全信息入口,并且在用户设置好的安全策略基础上,对出入网络的信息流进行有效的管理控制,能够对用户信息起到保护作用。它在计算机网络安全技术中的应用,具有十分明显的抗攻击能力,属于是一种保护网络安全的基础性措施。
2防火墙的类别种类
基于网络安全的需要,人们对于防火墙的研究也取得了显著的成就,从当前的网络安全技术构成结构来看,防火墙技术的种类类别出现了很多种,其中最为常用的有分组过滤型、应用型以及复合型等三种形式,这三种不同的形式虽然保护的原理不同,各有各自的运行流程,但是,它们最终应用目的是相同的,都是会对网络安全起到保护作用的。
2.1分组过滤型的防火墙技术
这一类型的防火墙技术也可以称之为包过滤防火墙,这是一种最基础的防火墙形式,具有简单方便、快捷实效的特点,它是在各个不同的网络之间相互连接的设备上对某些特定的IP、TCP端口号等予以许可或禁止,并对设备的数据包进行详细的检查分析,对数据包进出内部网络进行合理的限制。用户普遍选择这一类型的防火墙技术,主要是因为它的传输效率很高并且对用户的开放性也很好。在实际的网络应用中,它的建立是遵循两个原则的,一是针对于专用网络来说,它只允许内部地址的数据包通过,杜绝了不明来源的信息进入;二是针对于公共网络来说,它只允许地址为80端口的数据包通过。
2.2应用型的防火墙技术
从其名称来看,它是在某种特定技术的支持下来参与到一个TCP连接的全过程,它的运行开展的核心技术就是服务器技术。那么什么是服务器技术?它是代表客户处理在服务器连接请求的一种程序,它在外部网络向内部网络申请服务的过程中承担着中间转接的作用,属于是必不可少的环节。服务器在得到客户的连接意愿后,会对客户的请求进行核实,然后在特定的应用程序作用下来连接请求,最后把处理的请求传输到服务器上,等到服务器应答后,再进行下一步的处理工作,把答复结果传达到客户手中。在它的作用下,可以对所有应用层的信息数据包进行检查,并把所获得的检查信息纳入到决策过程中,以此来保障网络的安全性。它的应用特点就是便捷、安全。
2.3复合型的防火墙技术
这种防火墙技术是综合了前两者等的新型防护墙,它的保护原理是在ASIC架构的作用下,对防病毒和内容进行过滤整合,统一集中到防火墙中,在这一过程中还会涉及到VPN等功能。它所采用的多宿主机结构也大大提高了对网络的保护能力,支持多网络端口和多LAN的管理,也就实现了内部私有网络的安全划分,动态NAT功能和端口重定向在原则上也是属于复合型防火墙技术的一部分。除此之外,在对网络的接口、IP地址等的管理作用下,还可以顺利的实现对IP地址和特殊的带宽控制,保证了带宽的合理分配。
3网络安全技术中的防火墙作用分析
3.1减少具有危险的侵入
防火墙的作用就是保护计算机网络的安全,那么对于一些带有危险性质的网络服务,它就可以进行有效的判断,实现对其的控制。在网络数据的交换或者是传输的过程中,会因为防火墙的保护作用,所进行的数据信息传输都是满足防火墙的过滤保护要求的,因此,就不会轻易被没有经允许的外网所截取,具有很高的保密性和安全性,这样也就确保了内网运行的安全性,不会受到非法攻击。
3.2对特殊网站点访问的控制
这也是防护墙技术的主要功能体现。很多的计算机网络的使用者来说,很多需要被保护的主机,需要在考虑数据传输或者是网站访问的安全性前提下,要对其进行特殊性的保护,进而可以允许其他主机进行数据的交换和传输。这样做的目的是可以规避一些不必要的访问,保证资源的安全完整,基于此,对于防火墙来说,就要在一些特殊情况下,拒绝对内部网的非必要访问,实现对网络安全的有效保护。
3.3安全保护的集中作用
在防火墙技术的应用下,它可以把安全保护进行集中。这对于一个规模较大的内部网络运行来说,这是十分有必要的,而要实现对安全保护的集中管理,就要对其中的某些软件进行改动或者是附加安全软件放置于防火墙结构中,这种做法会比分散的放置在各个不同主机中更能确保信息数据的安全性,尤其是对于一些密码的输入等重要信息来说,更要如此。
3.4网络访问的记录和统计作用
防火墙会对任何的在内外网之间进行流通的访问和数据都有记录,并以日志的形式进行总结,它是一项非常重要的数据情报,它的作用就是可以帮助人们来对可能出现的攻击行为进行分析预测,建立预防防范机制,进而阻止外部不安全因素的攻击,保证了网络的安全。
4计算机安全网络技术中防火墙技术的应用
4.1安全服务的配置方面
这一方面中的安全服务隔离区主要是指把系统管理机群和服务器机群单独的作为个体来划分出来,安全服务隔离区严格来说并不是真正的完全独立,它还是内部网络的构成部分,保持两者的独立性主要是为了确保服务器数据和系统管理可以健康的运行。而对其的具体建立主要是靠网络地址转化技术实现的,把内部网络中需要进行保护的全部主机地址都映射为不同数量的公共网络IP地址,这样可以对内部网络结构起到屏蔽和IP地址作用,而且这样的做法也可以有效的降低成本费用。
4.2配置访问的具体策略
防火墙的安全策略是多种形式的,在它的众多安全策略中,访问策略是处于核心地位的,具有重要的作用。在进行设置之前,需要严格的遵循方案设计要求,按照标准的设计流程,循序渐进,合理有序。首先,对本单位的众多以实施的应用进行熟练的掌握,包含整个网络线路;其次,在前者的基础上对每一个具体应用的源地址、目的地址以及TCP进行详细的了解;第三,对于每一个应用的实际执行频繁状况进行把握,对左右的构成策略进行合理的调整,重新的进行排序;第四,再一次的确认无误之后,再把配置投入到使用当中,使其功能价值可以高效发挥。
4.3日志监控方面
它在计算机网络安全技术中也是一种实用价值很高的安全保护措施,很多的管理人员在进行日志信息采集的过程中很容易出现对所有的与之相关的信息都全部收集,这样的做法会浪费很多的时间成本,而且每一个防火墙所经过的数据信息量是十分巨大的,如果稍有不慎,还会对所要采集的主要信息形成“漏掉”的风险,给采集工作带来很大的难度,基于此,对于信息收集人员来说,就要在采集时有所针对性,只选择关键的信息就可以了,这样不仅方便日志顺利的形成,而且还可以保证其作用的真正高效发挥,同时也大大降低了信息采集的难度和复杂系数,除此之外,对于在进行信息的记录工作开展时,要对系统的警告信息进行记录,而对于流量信息则可以择取重点进行记录,不用全部记录。
5总结
【关键词】互联网技术 网络安全 防火墙屏蔽技术 技术要点
网络安全包括了两个方面,网络的系统安全以及网络信息安全,网络系统的硬件设施以及软件设施都属于网络安全的范畴,另外,网络安全一旦受到保障,系统中的任何资料数据都得到了保护,减少了由于外界恶意的破坏或者偶然操作导致系统运行出现中断瘫痪的现象,也避免了网络中数据资料等重要信息遭受篡改、泄露、破坏的风险。但是网络安全技术的建设是一项庞大而又艰巨的任务,随着我国互联网技术水平的逐渐发展,我国的网络安全维护方面取得了很大的进步,防火墙屏蔽技术是我国发展较早也是网络安全方面发展较为成熟的一种网络安全维护技术,防火墙屏蔽技术也被众多网络用户所接收采纳,本文基于防火墙屏蔽技术的网络安全初探进行了详细的分析与论述,不仅对造成网络安全隐患的因素进行了列举还介绍了一些有关防火墙屏蔽技术的相关知识,为我国互联网技术的安全维护工作奠定了良好的保障基础。
1 防火墙屏蔽技术的意义以及重要性
我国的网络的安全问题现在已经上升为我国网络技术发展过程中的一个焦点问题,恶意对网络进行攻击的现象频繁发生,给国家政府、企业等各个机构部门带来了灾难性的毁灭,越来越多的黑客侵袭给计算机网络带来了很大的麻烦,黑客的随意攻击使得我国的网络安全存在隐患,肆意妄为的对网络信息的篡改给国家政府、企业等各个部门带来巨大的经济损失,因此在研制出来的众多网络安全维护当中,防火墙屏蔽技术占有主导地位,防火墙屏蔽技术的发展较为成熟,可以有效地阻挡部分非法授权的访问以及网络病毒的传播,防火墙屏蔽技术已被大部分单位普遍接纳并采用到网络工程当中,由此可见在我国网络安全维护技术发展过程中防火墙屏蔽技术的未来趋势以及带来的到位的安全技术保障。防火墙屏蔽技术在计算机网络的应用领域当中已经成为抵御非法访问意思抵挡各种恶意侵入的先锋,给存在安全隐患的网络加上了一层保护系统,相当于在大体的网络当中搭建了一个子网安全平台。
2 防火墙屏蔽技术的组织架构以及安全技术要点
防火墙屏蔽技术的组织架构十分复杂,服务器和屏蔽路由器是防火墙屏蔽系统中不能缺少的两个组织架构,服务器和屏蔽路由器起到了十分重要的作用。服务器和屏蔽路由器的分工作用不同,服务器可以分辨出网络的合法还是非法,可以掌控网络申请的过滤权,可以为用户计算机当中的各种缓存记录以及账号密码等重要信息起到保护作用,但是服务器也存在很大的漏洞,服务器的应用过程中必须建立应用层网关,才能起到防护作用,这也是服务器的难以落实的原因。屏蔽路由器可以避免各种欺诈性网址的访问,可以提前识别具有欺诈攻击性的IP,另外,屏蔽路由器的组织架构比较简单,不用耗费太多的资金,但是,屏蔽路由器的设置较为复杂,相比之服务器屏蔽路由器不能及时对用户身份进行识别。防火墙屏蔽技术的组织构架十分严密,各项安全体系的结构构建也十分复杂,又谨慎仔细地执行每一条规则,在构建的过程中要记得取消默认防火墙以外的其他服务,任务执行时要确认服务是否已经认可,允许内部网络的访问;另外,还要对一些域名进行锁定,禁止一切网络对防火墙的访问,这就增加了防火墙屏蔽技术的安全性。服务器管理员访问计算机内网的时候要记得进行加密,借此可以提升防火墙的屏蔽效果,提高防火墙屏蔽技术对于网络安全的安全维护性能。
有关防火墙屏蔽技术的管理研究人员要精确地对防火墙的屏蔽效果进行评估,安全性能的良好检测可以保证防火墙的良好的工作状态,可以提前观测防火墙是否失效,是否可以迅速敏捷的辨别一些非法软件和恶意攻击的存在,另外还要及时检测防火墙的自我修复能力。良好的自我修复能力包括:经过调试可以顺利运行、遭受攻击防御之后还能再次开启并且继续运行、防火墙关闭后经过许可数据仍然被允许通过、防火墙关闭并且严禁任何数据通过。防火墙屏蔽技术的运用时要谨记定时对防火墙运行状态进行评估和检测。防火墙的配置是有科学依据的,因此计算机用户对于防火墙要用选择性的眼光去安装,防火墙屏蔽技术不仅具有多系统的防护构建也具有一定的科学性,继而要想使防火墙起到真正的屏蔽维护效果必须在配置的过程中依据严格的程序:首先要对计算机网络风险进行详细和系统的分析,其次要对计算机用户的不同需求进行深层的探究,设计出一套有针对性的方案;然后还要根据设计出的方案制定一套符合标准的安全政策并且下发给用户使用户了解用户准则;最后在选取防护措施时要谨慎,不能功亏一篑。
防火墙屏蔽技术的动态维护也十分重要,当防火墙正式安装在计算机上并且正式应用之后,要对网络安全的运行进行动态维护,在防火墙发挥安全保护工作的同时对防火墙的运行状态进行追踪,及时发现问题并且及时解决问题,要想对防火墙的运行状况进行彻底的追踪就要与供货的厂商时刻保持联系,关注厂商发表的每一个动态,及时为防火墙出现的漏洞进行后续的补救工作并且及时更新防火墙。计算机配置一旦出现错误,网络就随时面临着瘫痪的危险,因此建立一个可靠的规则集是十分必要的,规则集的精简度关系着计算机配置的错误率,只有网络准则达到小于等于三十条的时候才为最标准的规则集,因此规则集的构建十分重要,当一切从规则集进入的时候,被检测的不单单是计算机安装的防火墙,面对的是整个安全体系构架,只有大力缩短了防火墙的处理器周期,才会使防火墙的安全维护效率大大提升。
3 防火墙屏蔽技术的安全方案
防火墙屏蔽技术的安全方案的编制也是所需要完成任务当中的重中之重,因此在服务器的入口处设置一个内部防火墙的措施已经成为了一个普遍被采用的手段,这样内部防火墙的设置可以使防火墙的安全策略更加完善,可以对计算机网络的内网的控制更加严格准确。网络用户的访问设定权限的设置都凭借着内部防火墙的功劳,内部防火墙可以保障用户访问自己所需要的网站获取可靠的信息,内部防火墙强大的识别功能不仅对资源很好的辨别还能对用户进行远程的操控,记下用户在具体的某个网络区段间进行过的每一笔数据的访问痕迹,及时中断恶意的攻击操作行为,内部防火墙的集中管理化模式使每个网络区段的安全维护一体化,不用单独的进行安全设置,这些措施都有效的避免了防火墙发挥屏蔽功能使所出现的安全技术型问题。
内网防火墙的设置有效的抵挡了内网的攻击,因此要想防范好外网的攻击那么外网防火墙的设定便也是不容忽略的,外网防火墙有效地抵御了外网的恶意攻击行为。外部防火墙可以灵活的变换地址,使对内网结构的掌握超出了掌控范围,灵活的变动可以有效阻挡外界对网络的恶意攻击,使之失去目标。计算机网络的内网和外网之间这个区域就是外部防火墙所要精确设定的范围,可以对获取的数据进行详细的分析,对各种网络请求进行筛选允许合法的通过,有效地避免了一些恶意软件非法的访问。
4 防火墙屏蔽技术的发展趋势与未来发展前景
防火墙屏蔽技术有着很大的发展前景,日益向智能化、更优异的扩展性以及高效的性能发展,如今我国的互联网安全面临了很多很难解决的问题,蠕虫是最典型的病毒传播表现形式,另外对一些的网站进行的恶意攻击以及垃圾软件、邮件等的控制也属于网络安全问题,但是防火墙屏蔽技术的能力是有限的,不能解决所有的网络安全问题,因此防火墙屏蔽技术的智能化趋势是有一定的发展前景的。我国互联网技术的发展愈发成熟,从2G网络到3G网络的跨越,以及发展到今天的4G网络,防火墙的功能和规模也应该随着时代的发展而逐渐扩展起来,要及时顺应网络技术的改变。最后,防火墙的性能也应该随着时代的发展而日益高效起来,防火墙屏蔽技术的应用要渗透到任何领域当中,为更多的用户提供可靠的方案和更加安全高效的性能。
5 结语
防火墙屏蔽技术在维护网络安全方面起到了很大的作用,因此,人们要对防火墙屏蔽技术有一个十分清晰的了解与认识,防火墙屏蔽技术为网络安全作出巨大的贡献,防火墙屏蔽技术在功能、类型以及原理上要逐渐的完善和优化,最终要使防火墙屏蔽技术的安全性能达到完美才是我国对于互联网安全技术的终极目标。
参考文献
[1]张晓芳.基于防火墙屏蔽技术的网络安全初探[J].无线互联科技,2012(07).
[2]曾繁荣.防火墙技术在网络安全中的应用探究[J].青春岁月,2012(08).
[3]商娟叶,刘静.基于防火墙的网络安全技术[J].电子设计工程,2010(06).
关键词:防火墙;网络安全;网关;应用
1 引言
防火墙是提供行之有效的网络安全机制,是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实现安全的防范措施。
防火墙实质上就是一种隔离控制技术,从逻辑上看它既是一个分析器又是一个限制器。它要求所有进出的网络数据流都应该经过它,并且所有穿过它的数据流都必须有安全策略和计划的确认和授权。
2 传统防火墙技术探究
(1) 包过滤防火墙
数据包过滤(Packet filtering)技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(Access Control Table)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网络性能和透明度好。它通常安装在路由器上,内部网络与Internet连接,必须通过路由器,因此在原有网络上增加这类防火墙,几乎不需要任何额外的费用。
这类防火墙的缺点是不能对数据内容进行控制,很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及IP端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。
(2) 应用服务器
应用服务器技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层连接,由两个服务器之间的连接来实现,外部计算机的网络链路只能到达服务器,从而起到隔离防火墙内外计算机系统的作用,另外服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向管理员发出警告,并保留攻击痕迹。应用服务器对客户端的请求行使“”职责。客户端连接到防火墙并发出请求,然后防火墙连接到服务器,并代表这个客户端重复这个请求。返回时数据发送到服务器,然后再传送给用户,从而确保内部IP地址和口令不在Internet上出现。
(3) 状态检测防火墙
状态检测又称为动态包过滤,是在传统包过滤上的功能扩展。传统的包过滤在遇到利用动态端口的协议时会发生困难,如FTP,你事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如FTP的Port和Pass命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
状态检测防火墙在网络层由一个检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化,该连接就被终止。状态检测防火墙一般也包括一些级的服务,它们提供附加的对特定应用程序数据内容的支持(如HTTP连接中抽取出Java Applets或ActiveX控件等)。
3 新防火墙技术发展探究
在传统的防火墙技术中,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS(拒绝服务)、IP地址欺诈等黑客攻击,现在已基本上没有防火墙厂商单独使用这种技术,现在大多数的防火墙制造商在自己的设备上集成了其它的安全技术,如NAT和VPN、病毒防护等。
(1) 分布式防火墙技术
它是一种新的防火墙技术,它可以很好地解决边界防火墙以上的不足,不是为每对主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。从而形成了一个多层次、多协议,内外皆防的全方位安全体系。
(2) 智能防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。
4 结束语
随着网络安全技术的发展,建立以防火墙为核心, 以IDS、IPS、病毒检测、身份认证、数据加密等相关安全技术联合使用,协同配合,形成一个有效的安全防范体系,系统防御外来入侵,那么网络的安全性就能得以明显提升。
参考文献
关键词 防火墙;作用;分类;发展趋势
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)77-0211-02
1防火墙技术的概念
防火墙(Firewall)原指修建于房屋之间可以防止火灾发生时火势蔓延到其他房屋的墙壁。网络上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,通过分析进出网络的通信流量来防止非授权访问,保护本地网络安全。防火墙本身具有较强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的基础设施。见下图。
在物理上,防火墙可以是一组软硬件设备,也可以是软件实现的防火墙。在逻辑上,防火墙是一个隔离器,也是一个分析器,管理进出于网络间的数据,保证网络的安全。
2防火墙的作用
1)过滤信息,保护网络上的服务。防火墙能防止非法用户进入内部网络,禁止安全性低的服务进出网络,并抗击来自各方面的攻击;
2)方便监视网络的安全性。所有经过防火墙的流量都可以被记录下来,可以方便地监视网络的安全性,并产生日志和报警。防火墙还可以在受到攻击时通过E-mail、短信等方式及时通知网络管理员作出响应和处理;
3)增强网络的保密性。能够利用NAT(网络地址变换)技术,既实现私有地址与共有地址的转换,又可以隐藏内部网络的细节,提高了内部网络的保密性,保证信息不会被泄露与扩散。
3 防火墙的分类
3.1防火墙按照实现方式可以分为硬件防火墙和软件防火墙
软件防火墙以软件方式提供给客户,要求安装于特定的计算机和操作系统之上。安装完成后的计算机就成为防火墙。软件防火墙不在产品中提供计算机硬件,一般价格低廉,软件防火墙相对于硬件防火墙有很多优点:软件防火墙安装配置灵活,易于使用;软件和硬件系统升级容易,升级成本低廉;功能配置灵活,提供二次开发接口,还可以根据需求开发特殊功能。
硬件防火墙以硬件形式提供给客户,硬件防火墙基于专门的硬件平台,不使用普通操作系统,将防火墙功能集成于特殊的芯片之中,硬件防火墙与软件防火墙并无本质区别,只是提高了设备的稳定性、简化了系统的安装过程。
3.2防火墙按现代技术分类,包括包滤型防火墙、应用层型防火墙和状态监测防火墙
包过滤型防火墙是利用数据包过滤技术在网络层对数据包进行分析、选择,检查数据流中每一个数据包的数据地址、目的地址、所用端口号、协议状态,或它们的组合来确定是否允许该数据包通过。其特点是:有选择地允许数据分组穿过防火墙,实现内部主机和外部主机之间的数据交换,工作于OSI模型的网络层与传输层。
应用层网关是在网络的应用层实现协议过滤和转发功能。它专注于防火墙的服务器。主要针对类似浏览器,或者浏览器产生的数据流等进行数据分析,过滤,并在过滤的同时,并且对检测的数据进行记录,生成记录日记等等。应用层防火墙打破了传统的客户机/服务器模式,每个客户机/服务器的通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。应用层防火墙的不足之处在于所有跨网络访问都要通过来实现,牺牲了性能。如果在访问吞吐量大、连接数量多的情况下,将成为网络的瓶颈。
状态监测技术结合了包过滤与技术的优点,安全性能十分有效。它在线网上执行检测的软件引擎,在不影响网络正常运行的状态下,采用数据抽取检测的方法对网络通信的各层实施监控,另外,还会保留或者记录相关数据信息进行决策参考。该防火墙适用于给类网络环境,缺点是配置复杂,对系统性能要求较高,设备价格高,对网络访问速度造成一定影响。
4 防火墙的不足与缺陷
4.1防火墙无法抵抗最新的病毒或者是系统漏洞
就像杀毒软件一样,软件即使在先进,病毒库的更新还是要在新型病毒出现之后才会有。一样的,防火墙的部分防护功能也是在该攻击方式出现,并且被专业人员进行人为定义和分析并且设置才能够发挥功效的。因此,如果发现某个新的主机漏洞把您的网络选中为攻击对象,防火墙也是无力抵抗的。
4.2防火墙的并发连接数限制容易导致堵塞,拥挤或者溢出
由于防火墙要分析,判断流经防火墙的每一个数据包,因此防火墙就存在数据内容过于庞大的问题,这样就可能会形成拥堵,影响网络的正常使用。而当防火墙溢出的时候,防火墙的防线就会崩溃,形同虚设,原本被禁止的在这时也能够顺利通过。
5防火墙的发展趋势
防火墙包过滤技术要向着多功能,柔性化设计方向发展。动态包过滤技术,可通过路由器设备来设置。而一个输出的UDP数据包则能够引起对应的允许应答UDP,来创建一个临时的包过滤规则,允许其对应的UDP包进入内部网。
【 关键词 】 网络安全;防火墙技术;黑客攻击;信息数据
Study of Network Based on Firewall Security Technologies
Li Yang
(Information Engineering College in Tieling LiaoningTieling 112000)
【 Abstract 】 With the rapid development of network technology, network security issues occur frequently, cyber attacks are emerging, especially in scientific research Institute, financial institutions, government agencies, corporate computer networks more vulnerable from hacker attacks. Attackers can easily exploit by hackers is not attached to any security network, for example, arbitrarily change critical network data, unauthorized access, and dissemination of information viruses. These attacks occur, will bring large economic losses to the appropriate departments. Has successfully developed a number of safety and prevention programmes, including firewall technologies, being more mature, and the product of a relatively early network security mechanism being used by many units. Combining development of network security technology, system firewall security technology protection measures and set out future development prospects.
【 Keywords 】 network security;firewall technology;hacker attacks;information data
1 引言
现如今,防火墙技术已成为网络安全领域内抵御非法访问及不当入侵的一个关键途径,防火墙是在一个不安全的网络环境中搭建一个较安全的子网平台。本文系统地分析防火墙的组织架构方法,内、外部防火墙的部署,最终完成防火墙网络安全技术的设计策略,促使网络整体具备相对较高的安全级别,进一步提升网络的安全性能,并展望防火墙网络安全技术未来的发展前景。
2 防火墙的组织架构方法
一套防火墙系统一般要由服务器及屏蔽路由器所构成。服务器有助于辨别并过滤掉非法的网络请求,其最大优势在于尽早实现用户级的日志记录、账号控制及身份识别等目标,所存在的缺陷是必须对每项服务均构建相应的应用层网关,才能提供全方位的保护方案,这在应用中难以落实。屏蔽路由器用于防范IP的欺诈性攻击,其优势在于架构形式相对简便,硬件所耗费的成本低,不利之处在于较难构建包过滤规则,屏蔽路由器缺乏有效的用户级身份识别等。
创建一个严密的规则集,搭建安全体系结构是防火墙网络技术组织架构的关键一环,也有赖于规则密集的每条规则的执行,需重点把握几个要点:将默认防火墙多余的服务予以取消;全部的服务均经认可;允许内部网络的用户出网;增加锁定规则,阻塞对防火墙的所有访问;严禁除管理员以外的任何用户随意访问防火墙;允许互联网用户进行DNS服务器的访问;允许互联网及内网用户经SMTP实现对邮件服务器的访问,允许同样用户群经HTTP访问Web服务器;内网用户不得公开访问DMZ;内部POP的访问应认可;从DMZ到内网用户的任何通话,均需作出相应的拒绝,并予以警告;管理员可采用加密的形式访问内网;必要时,可将最普遍运用的规则移至规则集的顶部。防火墙仅剖析少部分规则,便能提升防火墙的网路安全性能。
3 防火墙的网络安全技术要点
3.1 需精确地评估防火墙的失效状况
评估防火墙的安全防护性能,不但要观察其工作状态正常与否,能否迅速地明确非法访问或恶意攻击的痕迹,还需预测防火墙被攻击后的具体状态。通常情况下,依照级别划分,共有四类状态:受攻击时能再次开启,并恢复到常规的工作状态中;在未受攻击时可持续工作;关闭并许可全部的数据经过;关闭且严禁全部的数据经过。前两类状态较理想,第三种是最不安全的状态。因此,在设置防火墙时,要事先开展失效状态的性能检测,对防火墙丧失效果的状态加以精确的评估。
3.2 正确选择、科学配置防火墙
作为维护网络安全的技术防护途径,防火墙的实现形式有多元化,构建一套科学的防护系统,实现防火墙的有效配置需严格遵循下列程序:对风险进行系统分析;对需求开展必要的探究;明确安全政策;采用精确的防护途径,力促其同安全方略相一致。
3.3 有赖于动态维护
防火墙在安装及正式应用后,并非彻底地完成任务,要使其充分地发挥安全保护作用,就需对其实施严密的追踪及维护,这就要同供货厂商加强彼此之间的联系,时时注意厂家的动态,由于厂家一经发现产品潜在的安全缺陷,便会立即相应的补救产品,这时需尽早更新防火墙。
3.4 搞好规则集的检测审计工作
网络安全的首号“敌人”是配置错误,一个可靠的规则集是确保防火墙网络安全的重中之重。假若用户公开IMAP,那么会使欺诈性的数据包经过用户的防火墙。为此,需保障规则集的简短,规则越少,便为维护提供便利条件,配置错误的出现率就越低。一般情况下,网络准则≤30条最合适。当经由规则入手时,首先就需全方位地检测安全体系框架,而不单是防火墙。规则集少,所分析的规则就少,那么防火墙的CPU周期就会缩短,效率会随之提升。
4 防火墙网络安全技术的实现方案
4.1 设置内部防火墙,编制可靠的安全方案
在服务器的入口端设定内部防火墙,可形成完善的安全策略,进而严控内网的访问。内部防火墙会对各用户的访问权限予以设定,保障内网用户仅访问所需的网络资源,针对拨号备份的线路连接,可依靠识别功能,管控远程用户。内部防火墙能记下网络区段间的访问数据,及时探查失误的操作以及从内网的另外网络区段所发起的攻击行为,并予以集中化管理,每个网络区段上部的主机不必独立设置安全策略,以有效地减少由于主观因素所致的网络安全技术问题。
4.2 合理设定外部防火墙,防范外网攻击
经外部防火墙的设定,把内网同外网相分开,可防范外网攻击行为。外部防火墙通过编制访问策略,仅已被授权的主机方能访问内网IP,使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址,使外网无法掌握内网结构,阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间,防火墙对获取的数据包加以剖析,把其中合法请求传导到对应服务主机,拒绝非法访问。
5 防火墙技术的未来发展趋势及前景
为有效地增强防火墙对网络的安全性能,防火墙技术在发展的未来会全方位顾及到操作系统的安全、网络的可靠、数据信息的保密及应用程序的安全等问题,势必朝着智能化、高扩展性能等方向迈进。
5.1 智能化
网络安全所面临的主要问题包括以蠕虫为典型表现形式的病毒传播、以拒绝访问为目标的网络攻击、以垃圾电子邮箱为主要内容的控制等。这几个问题已包含网络安全的绝大多数问题,传统意义上,防火墙解决上述问题的能力十分有限,效果欠佳。因此,智能防火墙作为新一代防火墙研发的趋势,必定会发挥相应的作用。
5.2 扩展性能更佳
伴随P2P的运用、3G网络等网络技术的成熟发展,防火墙的功能及规模也要自觉适应网络技术及安全方略的改变,未来的防火墙需是一项能伸缩自如的模块化实现方案,包含从最基础的包过滤到加密的VPN包过滤器,再到一个单独的网关,使用户依照需求设置防火墙系统。
5.3 性能趋于高效
伴随芯片技术及算法的发展,防火墙会较多地参与到应用层的分析、软件的精确过滤中,进而通过软硬件兼具的方案为用户供应更加可靠安全的性能服务。
6 结束语
综上所述,在维护网络安全方面要充分运用防火墙技术,深入了解防火墙的功能、类型、原理,在实践中不断地完善和优化防火墙的技术性能,为网络安全贡献强大的技术力量。
参考文献
[1] 张晓芳.基于防火墙屏蔽技术的网络安全初探[J].无线互联科技.2012(07).
[2] 商娟叶,刘静.基于防火墙的网络安全技术[J].电子设计工程.2010(06).
[3] 张连银.防火墙技术在网络安全中的应用[J].科技资讯.2007(09).
[4] 张新刚,刘妍.防火墙技术及其在校园网络安全中的应用[J].网络安全技术与应用.2008(05).
[5] 曾繁荣.防火墙技术在网络安全中的应用探究[J].青春岁月.2012(08).
1防火墙技术概述
1.1计算机网络安全防火墙技术的涵义。所谓计算机网络防火墙是指依托计算机软硬件设施,防护和隔离计算机网络环境中可能影响网络安全的不确定因素,避免非法用户攻入和入侵的计算机网络系统。常用的计算机网络系统需要借助信息网络通信机制,在计算机主机上安装过滤网络装置,发挥计算机网络通信控制的作用,实现授权用户有效通信的目的。就计算机网络防火墙技术本质而言,其存在的主要目的是为了保护网络和计算机的关键举措和安全设施,传递于计算机网络之间的信息需要经过防火墙技术的检测和加工,保证通信信息的安全可靠。1.2计算机网络安全防火墙技术的作用。计算机网络安全防火墙技术对于保证计算机网络环境安全有着至关重要的影响作用,是计算机网络安全的重要守护者,其具体作用主要表现在以下4个方面:(1)为计算机网络安全提供集中安全保护,在较大规模的内部网络环境中,在原有的网络运行系统中加入附加的防火墙安全技术网络系统或者改动部分软件,使得计算机网络防护墙技术能够实现信息与数据的集中安全保护。(2)对特殊站点访问加以控制,对于部分数据在不同主机之间传输和访问的过程,计算机网络安全防火墙技术必须加以控制和特殊保护,从而避免不必要访问以及非法资源盗取现象的及时控制和有效预警,保证数据之间的顺利交换。(3)对不安全服务加以控制,在计算机网络内外网之间进行数据交换传输时,防火墙对于网络站点是否具有授权权限进行严格的控制和管理,减少其他外网系统获取内部资源的概率、降低内外网之间数据信息传输时空的现象发生概率,保证计算机内部网络系统的安全。(4)统计与记录网络存取访问,计算机网络防火墙技术会对内外网之间的数据传输以及流通访问进行记录,作为计算机防火墙技术数据情报,也就是情报日记,做好有关的计算机网络技术防护工作。1.3计算机网络安全防火墙技术的特点。计算机网络安全防火墙是针对计算机运行系统中可能存在的问题研制的专门性软件,其主要表现出以下特点:首先,具有阻塞通信功能的特点,在网络信息传输过程中,防火墙具有严格把控网络安全的重要使命,为将可能存在危险因素的网络信息更好地阻隔在计算机系统之内,防火墙的内外网之间互相连接的节点上重点防御,所有信息的进入和输出都必须经过防火墙技术连接点的检查和传输,如果防火墙检测出不符合规范的通信信息,就会立即被防火墙自我防御系统阻挡,禁止进入计算机网络程序系统之中;其次,防火墙可以充当网络安全卫士,计算机的普及不仅促进了企业生产经营方式的变革,也从根本上改变了人们的生产生活方式。现在,电子支付、自动搜索等互联网技术应用方式层出不穷,为人们的生活带来便利的同时,也为那些心怀不轨的人提供了机会,有的人为了实现自己的目的以及追求经济效益,利用计算机网络安全漏洞,窃取别人的私人信息和有关数据,严重损害他人的合法利益,防火墙能够起到有效的网络防护作用,阻止带有危险信息的数据程序以及危险操作发生。最后,防火墙具有层次性特点,防火墙的防护功能是有层次的,可以将内外网之间存在安全隐患的非法信息阻挡在计算机运行程序之外,允许合理信息顺利进入计算机运行系统之内,有选择地开展计算机网络安全防护工作。
2计算机网络安全问题产生的主要原因
随着计算机网络应用的普及,我国计算机网络安全问题日益凸显,在实际应用中存在许多弊端,常见的计算机网络安全问题有:数据在传输过程中被盗取或泄露,客户端网站遭遇黑客或病毒的恶意攻击等,结合计算机网络安全常见问题以及对其有关影响因素的判断,导致计算机网络安全隐患问题的因素主要包括以下几个方面。2.1自然因素。自然因素是计算机网络安全中存在的不可抗因素,主要是指设备之间产生的电磁辐射、突发性自然灾害、设备老化、场地环境不佳等导致计算机网络安全问题出现的自然因素。不论是直接的安全影响还是间接的安全隐患,上述自然因素都使得计算机网络安全在不同程度受到一定影响,因此,计算机网络安全隐患出现的一个重要因素必须包括自然因素。2.2人为因素。人为因素是计算机网络安全隐患存在的主要因素,具体可以分为两种情况:(1)无意识的人为因素,也就是在无意间导致的计算机网络安全问题。很多计算机网络安全问题都是因为无意识的错误操作导致的安全漏洞,如计算机网络操作人员的操作不符合有关操作规定,专业技能不强,且安全意识缺乏,没有能够输入正确的操作指令,或者在无意之间泄露了有关数据信息,导致计算机网络安全存在隐患。(2)恶意攻击导致的计算机网络安全隐患,如黑客攻击,病毒感染等,有的企业为了获得最大程度的经济利益,恶意攻击竞争对手的计算机网络信息系统,获取企业分内部核心机密,对竞争对手进行恶意打压等,已经成为计算机网络安全系统中需要解决的重要问题。2.3计算机病毒因素。计算机病毒是计算机网络安全中防不胜防的意外因素,也是计算机网络安全问题产生的关键因素。计算机病毒可以跟随计算机程序进入运行系统之中,干扰计算机系统的正常运行程序和数据传输指令,且具有良好的复制和隐藏潜能,不同种类的计算机病毒对计算机安全的影响程度不同,对网络系统造成的伤害也不尽相同,一旦与黑客技术相结合,对计算机网络安全所造成的危害是不可估量的。
3计算机网络安全防火墙技术的应用
3.1计算机网络安全防火墙技术的应用优势。将防火墙技术运用到计算机网络安全系统之中,其优势主要表现在以下两个方面:(1)高效保护计算机网络系统,防火墙是专门化的网络安全保护系统,具有保护力强,保护效果明显的特点,能够自发察觉和加速计算机网络安全隐患的分析和拦截功能,并有针对性地阻止攻击行为的继续,既能够有效地保证计算网络系统不被外来信息侵入,又能够保证计算机运行系统的安全性和可靠性,强化网络运行结构以及系统的整体性能作用;(2)对网络攻击行为的准确识别能力,计算机网络安全系统可能面临不同水平和层次的攻击行为和方式,防火墙能够对网络攻击的方式和路径进行主动识别和有效防御,对所发生的攻击行为进行有效判断,进而制定安全可靠的防护措施,有效预防计算机网络安全问题的出现。防火墙技术一直处于自我更新和进步之中,有效地保证了计算机网络环境的安全,避免了网络数据被盗窃以及丢失等问题的出现。3.2计算机网络安全防火墙技术的具体应用。计算机网路安全防火墙技术被广泛应用于计算机网络环境的保护和防护之中,具体应用在以下几个方面。3.2.1包过滤技术和安全配置技术。包过滤技术就是对计算机网络系统中的运行程序和数据传输信息进行过滤检测,及时阻止有危险潜质的数据信息进入计算机系统,保证安全信息在计算机网路系统之间的正常传输功能。一般而言,过滤功能可以将计算机网路分为内网和外网,限制所有带有攻击信息的运行。防火墙包过滤技术主要运用在计算机主机以及路由器设备上,将计算机网路分成不同的运行区域,转换成单独的网络运行隔离区,保证内部网络的安全有效,提高信息的有效配置概率和网络安全的应用效率。3.2.2服务器的应用。服务器是防火墙技术中的重要组成部分,能够取代真实网络系统进行信息交换,为网络系统提供有效保护。如计算机内网运行值外网时,会暴露自己的IP信息,如若IP信息被攻击者加以破解以后,内网就会受到有关外网病毒的侵害,危害数据的保密性以及安全性。利用服务器,可以在内外网网络信息传输过程中,隐藏真实的IP信息,利用虚拟的IP信息进行数据传输活动,这样外部攻击者只能接触到由服务器创造的虚拟IP信息,保护内部网络的信息安全。3.2.3复合技术的运用。复合技术是防火墙技术最稳定的防护方式,能够针对防火墙自身存在的缺陷加以弥补和保护。服务器技术以及包过滤技术都是复合技术的基础,能够有效进行多级别的防御,及时掌握有关的数据信息,预防非法入侵情况的发生,形成一个动态的网络防护机制,促进防火墙技术防护力度,进行有效的实时防护。
4结语
由此可见,计算机网络安全防火墙技术在计算机网络安全中起着至关重要的积极作用,是保证网络安全、提高计算机网络应用效率的关键举措。
作者:吕昆 单位:河南工业和信息化职业学院
[参考文献]
[1]马利,梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术,2014(6):3743-3745.
[2]张艳斌.计算机网络安全中防火墙技术的应用研究[J].计算机光盘软件与应用,2014(9):148-149.
[3]囚杨旭.计算机网络信息安全技术研究[D].南京:南京理工大学,2008.
[4]刘青,张庆军.基于防火墙技术的计算机网络安全机制探析[J].硅谷,2015(3):33-35.
[5]汪楠,张浩.一种防火墙技术的网络安全体系构建研究[J].石家庄学院学报,2015(20):44-48.
随着科技水平的提高和网络的广泛化,医院办公也朝着信息化和自动化发展,网络技术在医院办公中起着越来越重要的作用,但是医院办公在快速、便捷化的同时也带来了一些安全问题,特别是患者的信息安全,医院信息属于患者的个人信息,如果发生泄露势必会造成患者和医院之间的隔阂,给患者带来不良的影响,因此现阶段,在医院信息化管理中应用了防火墙技术,防火墙技术能够起到保护患者信息安全,帮助工作人员做好医院信息管理工作的作用。
关键词:
网络;医院办公;安全问题;信息管理;防火墙技术
0前言
现阶段,网络不仅能够实现信息的快速传递,与传统纸质信息化存储相比,更有助于信息的整合和管理,特别是在医院中,由于信息量庞大,包括药品的种类,规格,患者的资料,患者治疗情况以及不同患者需要注射和进行治疗的项目,因此,实现信息化管理对医院来说十分重要,但是在信息化管理的同时,更要做好信息的保护工作,为使防火墙技术能够更好地应用于医院信息化管理之中,下面本文重点分析防火墙技术在医院信息化管理中的作用。
1防火墙技术概述
防火墙技术就是在一定程度上能够保证网络安全,实现对访问的控制技术,是保证计算机和内部网络安全的硬件、软件合并使用的技术,防火墙能够被用来访问外部网络的入口,通过设置和相关信息决定哪些访问需要以及被允许访问外部网络,或当访问的外部网络出现安全隐患时,阻止和拦截内部网络对外部网络的访问,及时解决一些非法入侵者。防火墙技术不仅能够保证数据和资源,更能够实现用户声誉的保护。
2医院信息化管理的重要性
医院实现信息化管理具有以下几方面重要意义:一是能够实现医院数据共享,为患者提供更加适合的治疗方案,医院的信息化管理能够更好地将整个医院患者情况和相关资料数据进行综合整理,并且能够及时更新治疗情况,患者通过检索功能,能够根据自己病情找到更适合治疗自身疾病的医生,为患者提供更加人性化的服务,同时医院能够实现内部之间的交流和信息共享,减少一些开会时间,为解决医患矛盾也提供了更好的平台。二是能够强化医院工作人员的责任意识,医院中每一位人员都是医院信息化管理的建设者,不论是医生、护士还是信息统计人员,他们每天都需要将自己的工作、治疗患者的情况、使用的药品进行记录,通过信息化管理不仅能够直接反映出医护人员的工作量和工作能力,更能够使工作人员通过相关数据显示加强自身责任意识,从而更好地进行工作,提高医疗服务质量[1]。三是有助于医护人员的学习与进步,通过信息化管理,能够将不同疾病进行分类,同时更好地记录每一个患者的治疗情况,为科研分析工作提供有力证据,从而有助于医护人员的学习与进步。四是能够加强医院的监督与管理,现阶段我国医患之间存在着很大的矛盾,进行医院信息化管理后,能够详细进行患者治疗的记录,杜绝医院出现不正之风,实现对医疗服务的有效监督,同时能够更好地实现医患之间的沟通与交流,避免出现问题,除此以外还能够更加细致的实现药品的流程化管理。
3防火墙技术应用在医院信息化管理中的作用
通过上文的分析更加清楚的了解到医院信息化管理的重要作用,为了保证医院信息化管理能够在安全的环境中进行,避免发生资料泄露、安全隐患等问题的出现,就要全面分析防火墙技术在医院信息化管理中的重要作用,使工作人员能够更好的使用防火墙技术。
3.1过滤进出医院信息系统的数据包
现阶段,在医院信息化管理工作中主要使用的防火墙技术有两类:一是包过滤型防火墙技术,二是应用型防火墙技术。包过滤型防火墙技术就能够对进出医院信息系统的数据包进行过滤,虽然防火墙技术在使用时存在不防范不通过的这一缺点,但是在医院信息化管理工作过程中由于所使用的外部网络在进行查找资料时都会通过防火墙技术进行连接,包过滤器被建立成一组与网络IP和TCP首部中字段的匹配信息,将防火墙技术作为与外部网络沟通的连接点,从而实现过滤进出数据包这一作用,保证一些带有病毒和具有攻击性的数据包难以进入医院的信息系统中,有效的保证了信息管理系统的正常运行,使医护人员能够及时记录自己的工作,提高医院信息管理工作的效率,从而更好地保证患者的治疗效果。
3.2更好管理进出医院信息系统的访问行为
防火墙能够记录进出医院信息系统的访问行为,所有进出的信息都会通过防火墙,特别是医护人员在上网查找一些相关资料时,能够被防火墙详细记录,因此在医院信息化管理中使用防火墙技术能够更好地管理进出医院信息系统的访问行为,不仅能够实现医院网络的保护,更能够避免患者信息和医护工作发生泄漏[2]。同时医护人员在访问外网的过程中,如果出现禁止访问界面时,工作人员就能够清楚的了解到该外网很可能存在安全隐患,在日后进行信息管理工作时会尽量避免访问该外网,从而保证医院能够更好管理进出医院信息系统的访问行为,做到信息安全的最优化。
3.3封堵一些禁止访问行为
通过上文介绍能够了解到在医院信息化管理工作还应用到了型防火墙技术,型防火墙技术就是主机在运行过程中使用程序,程序代表了医院信息管理在处理相应服务器连接过程中的连接请求,对医院的特定应用层进行直接服务,当医护人员在进行信息管理与记录时,提供的用户ID为合法用户,网关就能够联系相应的程序进行处理,从而允许相关的访问行为,但是当用户所提供的ID不合法,网关就不能为此提供特定的应用程序,因此防火墙就会封堵该项禁止访问行为,从而保证医院信息管理系统的安全稳定,保证信息化管理工作的正常进行。
3.4详细记录通过防火墙的内容和活动
在医院信息化管理中使用防火墙技术具有详细记录通过防火墙的内容和活动这一作用,所有出入的信息都必须通过防火墙,作为整个管理系统中唯一能够作为访问的点,防火墙能够在信息化管理网络与外部网络之间进行详细记录,不仅能够有效保证医院内部管理网络的正常运行,同时当信息化管理工作中出现问题时能够查阅相关的信息访问记录,及时查找出问题所在,并在最短时间内修复出现的漏洞,从而做好医院信息化管理工作。
3.5监测和警告攻击医院信息化管理系统的行为
在医院信息化管理工作中会不停地收集信息、交换信息、管理信息,虽然大部分人在使用网络进行医院信息化管理过程中都遵循着基本的原则,按照规则进行,但是也会存在一小部分人员进行外部网络访问时访问到一些会攻击医院信息化管理系统的网站,此时防火墙技术就起到了监测和警告攻击医院信息化管理系统行为的作用,使访问人员能够及时退出存在安全隐患的网站,从而保护医院信息化管理系统,保证医院重要信息不会出现泄漏。
4防火墙技术在医院信息化管理中的发展趋势
随着科技水平的不断提高,防火墙技术也实现了快速发展,在未来医院信息化管理工作中应用的防火墙技术越来越趋向于两个方向发展:一是智能化发展,与传统防火墙相比,智能防火墙能够通过记忆、统计、决策等智能方法实现对医院信息的识别与记录,从而更好更智能的实现医院数据访问的控制,减少医院在信息化管理过程中投入的人力和财力,除此以外,在不断发展中防火墙还将具备更好的防扫描、防攻击、防欺骗等智能化功能,从而更有效的保障医院信息化管理工作的顺利进行[3]。二是高端化发展,在不断发展中,防火墙技术势必会朝着高端化发展,防火墙技术会不断调整自己的硬件和软件技术,从而突破性能极限,在医院信息化管理应用中,防火墙性能高端化发展能够极大的降低医院信息化管理工作难度,避免发生患者信息和医院信息泄露的问题[4-5]。
5总结
总而言之,医院实现信息化管理具有重要意义,不仅能够保证医院工作的正常进行,更能够保证患者信息的保密与安全,希望通过本文对防火墙技术的分析,能够使医院的相关工作人员更加重视防火墙技术,同时能够根据防火墙技术的重要作用科学使用防火墙,为医院网络安全和信息安全提供保障。
作者:蒋敏 单位:云南省昭通市中医医院
参考文献:
[1]杨晨.探析网络安全策略中存在问题及防范措施[J].信息与电脑(理论版),2014.
[2]牟童.计算机网络安全策略与技术初探[J].电脑编程技巧与维护,2013.
[3]刘建波.“云计算”环境中的网络安全策略分析[J].中国科技投资,2012.
