时间:2023-05-31 09:12:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇防火墙技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 05-0000-01
Summary of Firewall Technology
Li Huimin
(Hunan Vocational College of Information Science,Changsha410151,China)
Abstract:This article starting from the current network security issues at home.Described in detail the information security technology familiar firewall technology,a comparative analysis of the characteristics various types of firewall technology,and architecture.And to outlook on the firewall.
Keywords:Network security;Firewall;Technology
一、前言
Internet的流行,与WEB技术的发展是密不可分的。标准的WEB服务通过客户端的WEB浏览器向WEB服务器发出请求,以进行文件读取,数据提交或信息检索等操作。因此黑客攻击猖獗。随着人们对WEB依赖性的增强,针对WEB的攻击也越来越多。那些越是流行的服务器、越是流行的应用软件,越发成为被攻击的对象。美国杂志进行一年一度的信息安全行业调查表明,与2000年相比,2001年美国WEB服务器受攻击的次数翻了一翻。近50%的受调查企业收到外界对他们的WEB服务器的攻击,高于2000年的24%,而通过WEB对个人主机发起的攻击更是举不胜举。我们可以看出网络的不安全原因是:自身缺陷+开放性+黑客攻击。与网络安全相关的技术有:(1)防火墙技术;(2)PKI技术;(3)VPN技术;(4)入侵检测技术;(5)病毒防护技术。
针对出现的各种网络安全防护技术,本文将对防火墙技术做详细介绍。
二、防火墙技术
(一)防火墙的概念。防火墙是一种用来加强网络之间访问控制的特殊网络互连设备。是一种非常有效的网络安全模型。它的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道。以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
(二)防火墙的分类
1.个人防火墙。是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能。常用的个人防火墙有:Norton、天网个人防火墙、瑞星防火墙等。
2.软件防火墙。个人防火墙也是一种纯软件的防火墙,但其应用范围较小,且只支持windows系统。功能相对来说要弱很多。并且安全性和并发连接处理能力较差。作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
3.纯硬件防火墙。采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片);纯硬件防火墙最大的亮点:高性能,非常高的并发连接数和吞吐量;采用ASIC芯片的方法在国外比较流行,技术也比较成熟。
三、防火墙的体系结构
防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能,性能及使用范围。常见的防火墙的体系结构有:
(一)分组过滤路由器。作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件,就可利用过滤规则实现报文过滤功能。
(二)双宿主机。双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机,IP层的通信完全被阻止,两个网络之间的通信可以通过应用层数据共享或应用层服务来完成。通常采用服务的方法.堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等。
(三)屏蔽主机。一个分组过滤路由器连接外部网络,同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则,使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高,因为它实现了网络层安全(包过滤)和应用层安全(服务)。
(四)屏蔽子网。屏蔽子网是最安全的防火墙系统,它在内部网络和外部网络之间建立一个被隔离的子网(非军事区,DMZ(Demilitarized Zone)),如图4所示。在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中。
四、防火墙技术展望
随着技术的发展,防火墙技术也得到了长足的发展。在今后将会有智能防火墙,分布式防火墙,网络产品的系统化的应用。
(一)智能防火墙。智能防火墙是采用人工智能识别技术(统计,记忆,概率和决策等)。因此智能防火墙具有安全,高效的特点。在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。
(二)分布式防火墙。分布式防火墙是一种新的防火墙体系结构,包含网络防火墙,主机防火墙和管理中心。由于传统防火墙属于边界防火墙。缺陷是:结构性限制;内部威胁;效率和故障。但是分布式防火墙是一种新的防火墙体系结构,在网络内部增加了另一层安全,支持基于加密和认证的网络应用,与拓扑无关,支持移动计算的特点。
(三)网络产品的系统化。以防火墙为核心的网络安全体系的解决方法。(1)直接把相关安全产品“做”到防火墙中。(2)各个产品相互分离,但是通过某种通信方式形成一个整体。
五、总结
随着Internet技术的发展,网络安全将会面临更加严峻的挑战。本文从网络安全角度出发,对防火墙技术进行了详细的介绍,希望能对不同的用户提供参考。
参考文献:
[1]Timothy S.Ramteke.计算机网络[M].北京:机械工业出版社,2004
关键词:防火墙;互联网;日志
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 04-0000-02
一、引言
随着计算机的普及和互联网技术的发展,计算机的应用越来越广泛,但是网络安全问题也日益严重。据最新统计显示,在美国,每年因互联网安全问题所带来的经济损失高达100亿美元,而在我国,计算机黑客入侵和病毒破坏每年也给我国带来巨大经济损失。如何建立确保网络体系的安全是值得我们去关注的一个问题。本文从防火墙技术的角度对互联网安全问题防火措施提出了自己的见解和意见。
二、防火墙技术浅析
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
(一)防火墙的概念。防火墙是指设置在不同网络安全域或者不同网络安全之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
(二)防火墙的主要功能。1.包过滤:包过滤属于一种互联网数据安全的保护机制,通过包过滤,可以有效的控制网络数据的流入和流出。包过滤由不同的安全规则组成;2.地址转换:地址转换分为目的地质转换和源地址转换两种。源地址转换可以通过隐藏内部网络结构和转换外部网络结构实现了避免外部网络的恶意攻击。3.认证和应用:所谓认证就是指对访问防火墙的来访者身份的确认。所谓是指防火墙内置的认证数据库;4.透明和路由:主要是指把防火墙网管隐蔽起来以免遭到外来的攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网之间的安全访问。
(三)防火墙的原理及分类。根据国际计算机安全委员会的分类,防火墙分为三类,分别是包检测防火墙、包过滤防火墙和应用及服务器。包过滤技术的防范手段。包过滤防火墙是指通过把收到的数据包和预先设定的包过滤规则进行比较判断,决定是否允许通过。它主要工作在计算机的网络层,过滤的规则就是通过和网络层的IP包包头进行信息比较。IP包包头的主要信息有:封装协议、IP地址、和ICMP信息类型等。通过比较,如果信息不匹配,则拒绝转发。从速度来看,由于包括铝处于网络层,对连接的检查也比较粗略,因此,它的速度是最快的。而且实现的要求比较低。从安全性角度来看,由于其过滤规则的不完善性,所以存在一系列的漏洞,安全性却比较低。
(四)防火墙包过滤技术。随着互联网的发展,网络安全问题变得越来越重要。而且,随着黑客入侵技术的进一步提高,计算机网路安全问题也变得更加严峻。如何保护计算机网络不受到攻击和病毒感染已经成为人们普遍关心的问题,在对局域网进行保护的技术中,防火墙技术是一种非常有效的手段。而防火墙技术中的包过滤技术是发展比较早、比较广泛的技术。包过滤就是指为确保网络的安全,对每一个流经网络的数据包进行检查并根据相应的检查规则确认是否允许通过。包过滤技术具有速度与透明性两重优点。
(五)防火墙的配置。从硬件的角度看,防火墙和路由交换设备之间通常有多个借口哦,数据传输速度主要是由档次与价格决定的。比如,一般的中小企业使用的出口带宽都是100M以内的。防火墙在网络拓扑图中的位置非常关键,在网络拓扑图中,防火墙一般处于外网和内网之间互联的区域。如果防火墙上有WAN接口,就可以把它直接与外网相连。防火墙和传统的路由器在外观上差别不大,和路由器交换机不同之处在于,在对防火墙进行配置时,需要把他们划分成不同的权限和优先级。而且还要相关接口的隶属区域进行相应的配置。在进行实际设置的时候,需要把各自端口划分到某些区域时才可以进行访问。在默认情况下对数据接口的通信是组织的。除了这些差别,防火墙的其他配置和路由器交换设备的配置差不多。
软件的配置与实施,这里以H3C的F100防火墙为例,当企业外网IP地址固定并通过光纤连接的具体配置。先当企业外网出口指定IP时配置防火墙参数。选择接口四连接外网,接口一连接内网。这里假设电信提供的外网IP地址为202.10.1.194 255.255.255.0。
第一步:通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。
第二步:通过firewall packet default permit设置默认的防火墙策略为“容许通过”。
第三步:进入接口四设置其IP地址为202.10.1.194,命令为
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:进入接口一设置其IP地址为内网地址,例如192.168.1.1 255.255.255.0,命令为
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下来将这个访问控制列表应用到外网接口通过启用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下图)
执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
三、防火墙发展趋势
随着计算机病毒的发展和黑客技术的提升,传统的防火墙技术已经不能解决这些问题。从目前来看,防火墙技术正在向新的方向发展。
从防火墙的体系结构发展来看。为应对未来发展需要,人们相继开发了基于ASIC的防火墙和基于网络处理器的防火墙。这类防火墙对软件的依赖度有所增加,但是却可以大大的减轻CPU的压力。在性能上比传统防火墙有新的提升。然而从编程的角度来看,这种防火墙缺乏灵活性,要实现和软件的配合使用,必须添加新的硬件。
从防火墙的包过滤技术发展来看,一些防火墙厂商在防火墙中添加了新的认证体系和方法。从而大大的提高了用户的安全级别,但是在一定程度上也给网络通信带来了一定的负面影响。多包过滤技术的发展弥补了单独过滤技术的不足和缺陷,而且这种技术具有分层清楚、扩展性强等特点。是将来防火墙技术发展的基础。
四、结束语
互联网技术的发展使得计算机应用越来越普及,但是随之而来的是网络安全问题也日益突出,网络病毒对经济社会生活带来了极大的危害。通过采用新的防火墙技术,可以有效的确保互联网的安全。本文正是基于这个背景进行探讨和研究的。相信不久的将来,随着防火墙技术的进一步发展,互联网安全问题会逐步得到有效的控制和解决。
参考文献:
[1]王艳.浅析计算机安全[J].电脑知识与技术,2010,(s):1054
[2]艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79
[2]孟涛,杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17
一、防火墙
1.防火墙的概念
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术,在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注。防火墙并不是真正的墙,它是一类防范措施的总称。典型的防火墙具有以下三个方面的基本特征:
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,是根据美国国家安全局制定的《信息保障技术框架》实施的。
(2)只有符合安全策略的数据流才能通过防火墙。它能确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
(3)防火墙自身应具有非常强的抗攻击免疫力。
2.防火墙的常见类型
根据防范的方式和侧重点的不同,防火墙可以分为以下几种类型:
(1).包过滤型防火墙
包过滤型防火墙又称网络级防火墙,它是在网络层对数据包进行选择,根据源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断。
(2).应用级网关防火墙
应用级网关防火墙主要工作在应用层,应用服务技术能将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。
(3).电路级网关防火墙
电路级网关防火墙是在OSI模型中会话层上来过滤数据包,它用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,以此来决定该会话是否合法。
(4).规则检查型防火墙
规则检查防火墙结合了上述三种防火墙的特点,既能在OSI网络层上通过IP地址和端口号过滤进出的数据包,也可以在OSI应用层上检查数据包的内容,查看这些内容是否符合内部网络的安全规则,或是像电路级网关防火墙一样,检查SYN和ACK标记和序列数字是否逻辑有序。
3.防火墙的安全策略
安全策略是防火墙的重要组成部分,它决定了受保护网络的安全性和易用性,一个合理可行的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。策略设置不当,便会拒绝用户正常请求的合法服务或是给攻击者制造可乘之机。一般防火墙设置有两种策略:
(1)凡是未被准许的就是禁止的。防火墙先是封锁所有的信息流,然后对要求通过的信息进行审查,符合条件的就让通过。这是一种安全性高于一切的策略,其代价是网络的方便性受到限制,网络的应用范围和效率会降低在这个策略下,会有很多安全的信息和用户被拒之门外。
(2)凡是未被禁止的就是允许的。防火墙先是转发所有的信息,开始时防火墙几乎是不起作用,如同虚设,然后再逐项对有害的内容剔除,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留,但是有可能漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
网络是动态发展的,制定的安全目标也应是动态的,随着网络结构或网络应用范围的调整,防火墙的安全策略也应随之调整或改变。
4.防火墙技术存在的问题
防火墙产品主要是“身份认证”级的安全产品,只是实现了粗粒度的访问控制,无法成为安全解决方案的全部,仍有诸多方面需要改进和完善,比如:
(1)网络上有些攻击可以绕过防火墙,而防火墙却不能对绕过它的攻击提供阻挡。
(2)防火墙管理控制的是内部与外部网络之间的数据流,不能防范来自网络内部的攻击。
(3)当使用端到端的加密时,防火墙的作用会受到很大的限制。
(4)当内部网中存在后门时,将会使防火墙形同虚设。
(5)防火墙不能对被病毒感染的程序和文件的传输提供保护。
(6)所有防御规则都是事先设置好的,缺乏实时性,对变化的安全形势缺少应变的能力。
(7)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。
网络安全单靠防火墙是不够的,需要和其他形式的安全防护结合起来,在提高防火墙自身功能和性能的同时,由其他技术完成防火墙所缺乏的功能,协同配合,共同建立一个有效的安全防范体系。
二、入侵检测系统(IDS)
1.入侵检测系统的概念
网络安全技术发展到今天,除了防火墙和杀毒系统的防护,入侵检测技术也成为抵御黑客攻击的有效方式,被认为是防火墙之后的第二道安全闸门。
入侵检测系统IDS(Intrusion Detection System)主要是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象。
一个基本的入侵检测系统需要解决两个方面的问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。它在很大程度上依赖于收集信息的可靠性和准确性。一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统,还能给网络安全策略的制订提供依据。
2.入侵检测系统的类型
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类:
(1)基于主机的入侵检测(HID,Host-based Intrusion Detection)
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
关键词:网络安全 防火墙 网络处理器
Abstract:Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily, it will be adopted for net protection。
Key words:Network security Firewall Network processor
前言
随着计算器的普及,尤其网络的普及,人们习惯使用个人计算机、智能终端处理、保存日常工作、生活的信息或资料。最近我国首个个人信息保护专项的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已完成,正在报批【1】。“个人信息保护”国家标准将有利于人们重视个人信息安全问题。绝大数用户忽视信息安全,停留于计算机病毒、木马程序的概念,对黑客的能力一无所知。由于个人计算机和智能终端具有网络通信和更新程序的功能,黑客可以通过操作系统或应用软件的漏洞或后门对个人计算机或智能终端进行攻击并埋下黑客软件,或者利用用户的好奇或无知在网上传播黑客软件。常听到的黑客软件主要是获取账号密码。但不被人知道的黑客软件更为可怕,它可能专门攻击某个人使其个人计算机或智能终端的数据完全暴露在他的眼下。
不管是否安装杀毒防毒软件,只要运行网络监测程序就可以发现许多网络连接或网络通信。可以说由于黑客攻击的多样性,安装在个人计算机上的杀毒软件只能降低黑客的可能性,难以抵挡黑客的入侵,对有针对性的黑客的所作所为无动于衷。
虽然大部分单位会在互联网接入口安装企业级防火墙,但由于它仅防止来自互联网的已知攻击或人们熟知的攻击,对内网基本上不具备防范能力。
因此,为阻止黑客的入侵或攻击,防止黑客获取数据,最有效办法是在个人计算机外增加个人硬件防火墙。本文将介绍个人硬件透明防火墙。
1、透明防火墙
网络安全技术中最常用是防火墙技术,通过网络访问控制策略抵御外部攻击。通常人们把使用防火墙技术仅用于抵御外网入侵的计算器称为硬件防火墙,应用在个人计算器上的防火墙技术称为软件防火墙。目前防火墙已经成为计算器操作系统的一个组成部分,软件防火墙的概念已成为历史。
透明防火墙是一种专用网络安全设备,它具有防火墙的各种功能,它特别之处是不影响网络的拓扑结构,在网络外侧不能发现它的存在,黑客不可能对它发动攻击。透明防火墙具有更高的智能程度,在黑客攻击过程仍确保主机的运行。透明防火墙是单主机专用很容易判断主机通信是否合理,因而能避免信息泄漏或削弱隐藏在主机的黑客软件的活动能力。
2、硬件结构
个人透明防火墙是专门为个人计算机设计的透明防火墙,要求使用方便、便于携带。因此,个人透明防火墙硬件结构紧凑,外表看有两个网络口,好像一个网络联机器,用户只要把个人透明防火墙串在网在线,即一个网络接口与计算机的网口连接,另一个与网络连接,再通过usb接口向个人透明防火墙提供电源,个人透明防火墙就开始工作。
个人透明防火墙内部由继承网口的网络处理器以及支持网络处理器工作的DDR RAM和NAND FLASH组成。严格意义上个人透明防火墙是一个高度智能化的网桥。
3、透明防火墙算法
防火墙技术必须在操作系统的核心态实现。利用开源操作系统实现硬件防火墙具有较高的安全性,Linux是真正的开源操作系统,因此大部分硬件防火墙选用Linux操作系统。操作系统实现防火墙技术是在网络处理过程设立监控点,通过访问策略决定信息包的去留。在Linux内核中为实现防火墙功能增加网络过滤的钩子函数NF_HOOK。即,在网络信息处理过程中可利用内核其他功能或其他内核模块的其他功能提高网络的安全性。Linux内核为arp、bridge、decnet、ipv4、ipv6等网络通信定义了标识,对应为NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根据处理位置定义了5个标识PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已经实现包过滤的防火墙算法,并结合iptables实现防火墙功能。大部分硬件防火墙就是利用Linux的netfilter和iptables实现的。
但要求非计算器专业人士直接使用iptables进行设置是难度极高的,而且iptables采用链表方式,在链表较长的情况下运行效率比较低,所以直接使用iptables作为透明防火墙效果一般;虽然linux已为ipv6设置NF_HOOK,但iptables并不真正支持ipv6,所以,仅靠iptables或iptables-ipv6还不能有效实现网络安全。
从Linux的NF_HOOK分类可以看到只有bridge属于结构分类,其他为协议分类,因此在个人透明防火墙主要针对bridge进行数据监测最有成效。所有通过网桥的信息,不管使用什么协议,均可以在bridge的监测点监测。
4、用户接口
为防止黑客通过http端口破坏透明防火墙的运作,方便用户设置和及时知道黑客可能的攻击情况,透明防火墙采用独立的控制软件,把透明防火墙的监测数据转入个人计算机进行处理,通过动态追踪方式实现通信审计工作。
结语
通过接入透明防火墙,有效隔离各种广告信息,断开计算机在启动过程形成的各个连接。通过接入透明防火墙的前后比对,发现接上透明防火墙后内存剩余空间明显增加。
【关键词】 信息安全 防火墙
一、前言
随着互联网的普及,网络信息安全已经成为了一个严肃性的问题。随着各类网络信息泄露事件不断出现,网络信息的安全问题亟待解决。防火墙作为一种可以有效保护网络信息安全的技术,逐渐被人们开发和利用。
二、防火墙技术分类
1、数据包过滤型。数据包过滤型防火墙通过读取数据包,分析其中的一些相关信息来对该数据的可信度与安全性进行判断,然后以判断结果为依据,进行数据处理。一旦数据包不能得到防火墙的信任,便进入不了网络。这种防火墙技术实用性很强,在一般的网络环境中都能够起到保护计算机网络安全的作用,而且操作起来比较便捷,成本也较低,因此,是计算机防火墙中最基本的类型,在实际应用中得到了推广。
2、型。型防火墙,即服务器,它会回应输入封包,对内部网和外部网之间的信息交流进行阻断。它加大网络的安全性,而且正在向应用层面发展,能够针对应用层的病毒入侵实施防护措施。该种型防火墙技术的缺点是增加了成本的投入,并且对管理员的专业技能水平和综合素质有比较高的要求,对网络管理带来了一定的压力。
3、监测型。监测型防火墙可以主动完成网络通信数据的监测,在很大程度上提高了计算机网络的安全性,但是,监测性防火墙成本投入高,管理难度大,不便于操作,因此,该种防火墙技术目前还没有得到普及。在实际组网过程中,可以依据具体的网络环境,来选择与之符合的监测技术,这样可以在提高计算机网络安全的基础上,降低成本的投入。
三、防火墙在网络信息安全中的应用方式
1、网络级防火墙。它一般是根据应用协议、目的地址、源地址以及每个IP包端口来判断是否能通过。以往我们称路由器为网络级防火墙。但大多数的路由器在检查完网络信息的安全性后,能判断是否转发所接收到的IP包,可它无法对IP包的来源和去向进行判断。而高级网络级防火墙却能做到这一点,它能利用所提供的内容信息来说明数据流和连接状态,而且将需要判断的内容与规则表做个对比。这些规则表定义了所有决定IP包是否能通过的规则,当接收到IP包时,防火墙会对比每条规则查看是否有与此IP包信息内容相符的规则。假如没有相符合的规则,那么防火墙则会选用默认规则,将此IP包丢弃。
2、应用级网关。作为最为可靠的防火墙技术,它对访问控制相对严格,实现起来也比较困难。应用级网关能检查数据包,利用网关来复制传递的数据,避免被信任的客户机和服务器直接连接不被信任的主机。它与网络级防火墙相比,有一定的优势,但也有不足。虽然一些常见的应用级防火墙目前已有了相对应的服务器,譬如:FTP,HTTP,Telnet,Rlogin,NNTP等。可是对于新研发的,还没有与之相对应的服务器,只能采用一般的服务和网络防火墙。
3、电路级网关。它通过对被信任的客户机或服务器与不被信任的主机之间的TCP交换信息的监督来判断此会话的合法性。它是在OSI的会话层对数据包进行过滤,要与网络级防火墙相比,高出两层。事实上,电路级防火墙并不是相对独立的产品,它必须结合应用级网关一起工作。此外,电路级网关还具有服务器这一安全功能,所谓服务器其实也是一个防火墙,由于它能运行“地址转移”进程,能把所有内部的IP地址映射到安全的IP地址上,而这个地址是供防火墙使用的。然而,电路级网关也有一定的缺陷,由于它是工作于会话层,无法对应用层的数据包进行检查。
四、网络信息安全技术的发展趋势
综合全球范围内信息技术的发展态势来看,标准化、集成化、网络化、抽象化、可信化是其发展的五大趋势,尤其是随着互联网和计算机应用与普及范围的扩大,必然会带动网络信息安全技术的创新与发展,会促进现有信息安全关键技术的新一轮创新,并诱发网络安全新技术和全新应用模式的出现。因此,世界范围内的信息安全技术,其发展呈现出了动态性、复杂性、智能性、可控性的发展趋势,这不仅会进一步提高计算机网络和系统的安全生存能力,还能够有效增强信息安全防护中的主动性、实时性、可控性和有效性。
五、结束语
综上所述,在提高网络信息安全水平的同时,我们必须要更加注重利用防火墙技术。因为防火墙技术在可以使得我们的互联网环境变得更加安全。所以,我们可以依靠不断提高防火墙技术水平来更好的保障网络信息安全。
参 考 文 献
【关键字】DBFirewall 数据库防火墙 WEB服务器 SQL注入攻击
一、引言
数据库防火墙系统,是一种基于数据库协议分析与控制技术的数据库安全防护系统,其被部署于应用服务器和数据库之间,是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,主要应用于以数据库为基础的经济、金融、医疗等领域。
数据库防火墙本质上是一种介于应用程序和数据库之间的服务器,应用程序连接到数据库防火墙并像正常连接到数据库那样发送查询,数据库防火墙分析预期的查询,如果认为是安全的,就将它传递给数据库服务器加以执行,反之,如果认为是恶意的,就阻止运行该查询。数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻止非法违规操作,形成数据库的防御圈,实现SQL危险操作的主动预防、实时审计。
二、数据库防火墙技术专利的主要分类与应用分析
数据库防火墙采用网络防火墙中的包过滤技术,主要在过滤规则上进行改进。基于上述规则策略,数据库防火墙技术可以具有以下分支:静态防御技术、动态防御技术,其中对动态防御技术进行细分,又主要具有以下分支:基于统计分析的动态防御技术、基于语义分析的动态防御技术。
2.1静态防御技术
数据库防火墙模型中的简单的规则匹配属于静态防御技术,基于此类规则的数据库防火墙模型提供的防护程度相比网络防火墙有所提升,由于静态防御技术属于数据库防火墙中的基本防御技术,因此涉及到此方面的专利文献非常多,例如专利文献CN101370008A、CN101425937A、CN101448007A、CN102104601A等都是基于规则匹配的方式进行防御。但是基于规则的配置及使用都极为不便,基于静态防御的方法也并不是“智能的”和“动态的”,只能检测到允许或者组织特定规则的数据包,因此基于静态防御的数据库防火墙的防护能力有限。
2.2动态防御技术
动态防御技术通过对基于规则匹配的静态防御技术加以改进,通过采用经验值累加的统计分析、语义分析等智能分析的技术,对数据库防火墙的攻击进行识别,从而达到捕获SQL注入攻击和提高防火墙防御能力的目的。
2.2.1基于统计分析的动态防御技术
基于统计分析的动态防御技术中,常见的统计方式为统计攻击行为次数和攻击行为的经验值。基于经验值的行为分析是对基于规则匹配的改进,对不同的特征指定权值,对每一个操作计算风险值,即从异常的行为中提取出具有代表性的特征来作为识别异常行为的标识。如对于某一操作分别取出操作主体、操作客体、操作类型以及操作结果的经验值,将四项相乘得到此操作的风险值。
例如,申请人为IBM,公开号为US2008/0172347A1的专利申请,其公开了一种使用专家系统来决定是否变更防火墙配置的方法,所述专家系统接受与防火墙相关的信息包所在的信息流,专家系统预先定义信息流数据的风险值。专家系统使用确定的风险值来决定与信息包相关的总的风险值。最后,专家系统产生基于总的风险值的建议措施,如根据信息流中的规则集允许或者禁止所述信息流。
2.2.2基于语义分析的动态防御技术
基于语义分析的动态防御技术是指通过进行对攻击语句语义分析,即通过进一步的拆解SQL语句,分析语句的直接的含义分析得到潜在的SQL攻击的技术,该技术可以有效的避免被人精心构造的SQL语句对于数据库的攻击。
例如,申请人为北京启明星辰信息技术股份有限公司,公开号为CN101901219A的专利申请,其公开了一种数据库注入攻击检测方法及系统,该方法包括:通过对数据库历史访问记录进行自学习,对所述历史访问记录进行自学习的步骤:设置所述历史访问记录;对所述历史访问记录中的每条记录进行SQL语句解析,提取SQL模板;建立所述访问行为模式库,接收数据库实时访问;根据访问行为模式库,判断实时访问是否为注入攻击,获得判断结果。
关键词:防火墙技术;校园网;应用;措施
中图分类号:TP393.18 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.06.029
0 引言
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙有软件防火墙和硬件防火墙,软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击;硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击。
由于校园网的开放性、校园网用户网络安全意识低等因素,导致校园网络安全事故时有发生。有来自互联网的恶意攻击,也有来自校内的非法访问;有网络层面的攻击,也有应用层面的威胁。校园网网站也曾遭篡改、黑屏甚至拒绝服务等,直接影响到正常的教学秩序以及科研管理等,校园网采用防火墙技术极为必要。
1 防火墙技术在校园网应用的必要性
1.1信息共享资源的泄露
校园网络主要承担教学、科研、办公任务,因此经常要部署共享网络资源,便于师生之间的资源共享,由于缺少必要的访问控制策略和保密意识淡薄,就可能有意、无意的把重要信息,特别是科研成果长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。
1.2计算机病毒入侵
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如著名的“黑色星期五”“熊猫烧香”等病毒都曾给网络正常应用带来巨大麻烦。校园网接入互联网之后,也给病毒传播提供了通路,可能会引起网速变慢、数据丢失、系统瘫痪等问题。凭其强大的破坏力和极快的传播速度成为威胁校园网安全的罪魁祸首。
1.3黑客攻击
校园网与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇黑客攻击的风险。校园网中较易受攻击的应用服务器主要是 DNS 服务器、Web 应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对校园网络及服务器发起 DoS、DDoS 攻击,增大校园网流量,导致网络及服务不可用,甚至系统崩溃。
1.4校园网内部用户的攻击
校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的恶意攻击。根据观察,来自校园网内部的各种攻击大多是一些学生因好奇发起的。
2 防火墙技术的优缺点
在众多不安全隐患的面前,清楚地认识到防火墙的优缺点,才能有效地利用防火墙技术为校园网络安全服务。
2.1 防火墙的优点
防火墙能够有效保护校园网的安全,通过安全策略的设置,只有被认可的和符合要求的请求能够通过防火墙,这样就能够有效防止非法入侵,防火墙是内部网络与外部网络进出的唯一控制点,能够有效记录和收集网络正常使用或者错误使用的信息,使校内网络与外部网络之间的联系更加安全。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
2.2防火墙的缺点
防火墙虽然能够有效保护校园网络的安全,但也不是绝对的,防火墙自身也存在很多的缺点。防火墙能够使其保护范围内的网络系统信息用户安全发送信息,但是如果信息用户使用 U 盘等直接复制信息,那么这些信息就能够直接绕过防火墙,数据信息就被非法带走了,对于已经侵入的信息,防火墙就无法对其进行控制了,那么对于内部信息用户对数据和信息的窃取,对软件硬件的破坏,防火墙就发挥不了作用了。如果信息不通过防火墙传输,防火墙就不能够对入侵者进行有效拦截,防火墙作用的发挥需要设计方案做支撑,有了良好的设计方案才能对已知威胁进行防备,防火墙没有自动防御新威胁的功能。
3 校园网安全方案与措施
校园网络的结构一般由两部分构成:校园网内部网与校园网外部网。校园网内部网主要包含教学局域网、图书馆局域网、办公自动化局域网等。下面所提出了一些方案和措施可供大家参考。
3.1 合理设置防火墙系统
校园网大多数都是通过路由器与 Cernet 连接的,校园网的 IP 地址是确定的,闭合边界也比较明确,这为校园网的系统控制提供了便利。进入 Cernet 主干网的存取进行控制,校园网的 IP 地址都是合法的,非法的 IP 地址想要通过路由器进行 Cernet 访问,就要对校园网路由器进行命令设置,同时也要加强对主机的访问控制,网络中心的 WWW、DNS、FTP 等服务器十分重要,需要进行保护,网络中心所在的子网应该对除了WWW、DNS、FTP以外的服务进行禁止。
3.2禁止非法访问
非法访问一般都还有计算机病毒,因此一旦获得非法访问网址,就要对路由器中的存取控制列表进行更改,严谨非法访问,同时要在校园网与路由器连接的以太网预设出控制组,插入命令,用来过滤非法访问网址,插入命令就是对路由器的动态配置,路由器的配置能够通过 telnet 或者控制台登录路由器,根据命令进行人工配置,我们可以利用这一点,通过 TEHET SOCKET 编制仿真程序,针对 CISCO,对人工命令进行仿真,对路由器进行动态配置。仿真程序的编制需要一个与 CISCO 控制表项相一致的文件,这是存取控制表的插入是由 deny 决定的,先把控制项放入配置的文件中,再将配置传输入路由器中。
3.3 加强对 IP 地址的保护
首先登记每个合法IP地址和对应的以太网地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表,获得当前IP和MAC的对应关系,和事先合法的IP和MAC地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制IP地址的访问权限,当用户不需要对外通信时,可以关掉自己的IP地址对外的权限,这时即使有人盗用IP地址也不会对用户造成直接的经济损失。
4解决校园网安全问题的其它措施
不论采用什么样的防火墙技术,都不能完全解决校园网的安全问题。因此必须针对防火墙所存在的缺陷和漏洞,采取相应的措施解决校园网络的安全。
4.1封锁系统安全漏洞
黑客之所以得以非法访问系统资源和数据,很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。因此,在制定访问控制策略时,不要忘记封锁系统安全漏洞。目前,Internet中的一些重要的网络都建立了计算机紧急相应工作组,如中国教育和科研网的紧急响应组,在发现新病毒或因系统安全漏洞威胁网络安全时,会及时向用户发出安全通告,并提供各种补丁程序以便下载。许多应用软件也在不断更新版本以修正错误或完善功能。对于校园网管理人员而言,只需注意跟踪此类信息,及时下载和安装各种补丁程序,升级程序就能对保护网络和信息系统的安全起到很大作用。
4.2网络病毒的防治措施
为防止网络病毒通过校园网进行传播,可以采用时下流行的杀毒软件如:360。它具有如下特点:独创的“五核引擎”杀毒技术,查杀、清除病毒能力远超同类软件;为国内用户量身打造的“嵌入式杀毒技术”,方便高效的保护QQ、MSN上的传输的文件,以及U盘、移动硬盘上的文件,不被病毒入侵;“云查杀”技术可以快速定位用户机器内的未知可疑文件,分析、处理仅需10分钟,可以防范“新木马”入侵等。
5总结
从理论上讲,一个校园网络系统越安全越好,但是绝对安全可靠的系统并不存在。校园网防火墙系统构建是一项复杂的系统工程,实际上也是入侵者与反入侵者之间,持久的对抗与反对抗过程,不是一劳永逸地能够防范任何攻击的完美系统。校园网络访问控制体系策略的制定要针对网络的实际情况具体地对各种安全措施和方案进行取舍,使系统的性能比达到一个合理的水平。
参考文献
[1]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
[2]郑羽.网络防火墙的技术实现及性能测试[J].安庆师范学院学报(自然科学版),2008(01).
[3]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9)
关键词:计算机网络安全;防火墙技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)28-0063-02
计算机技术使人们的生活变得更为便利,在一定程度上也改变了人们工作上的方式和结构,在日常生活以及工作之中都对人们产生了极大的影响。如何保障计算机网络的安全性能也是使计算机技术更好地应用于社会中的关键部分,通过本文对计算机网络安全性能以及应对计算机网络不安全成分的防火墙技术地进一步说明和研究,从而为解决计算机技术中存在的问题创造了条件。
1计算机网络安全
所谓计算机网络安全,是指计算机处在开放的网络环境下,需要对计算机的各个部分进行保护,以保证其自身内容不会因某种原因遭到破坏、更改或者泄露,从而使计算机网络系统可以连续、正常、可靠地运行下去。计算机网络安全的内容涵盖了计算机网络所涉及额全部内容,其中包括计算机网络系统中的硬件、软件以及数据信息等等方面,它所要保护的是与计算机技术有关的一切安全问题。
计算机网络安全具有以下几点特征:
1) 保密性:计算机中的信息不可泄露给非授权的用户、实体或过程;
2) 完整性:数据未经过授权不可改变其存在的特性。即信息的储存和使用的过程中不可被人任意修改、破坏或缺失;
3) 可用性:被授权的实体可以享受使用的权利。即用户可在有需要时提取信息数据;
4) 可控性:信息的传播和内容具有一定的控制性;
5) 可审查性:可对出现的安全问题提供一定的依据和手段。
计算机网络安全问题的发生源于网络的开放性、国际性和自由性的特征。互联网是一个开放性的网络环境,网络技术是全开放的,那么网络可能面临的问题也会存在于各个方面,既包括来自网络通信协议的攻击,也有可能来自计算机软件、漏洞的出现。网络具有跨越时间和空间的特性,网络上的用户可以来自于全国各地,甚至世界的每一个角落,所以计算机也有可能会受到互联网上其他国家黑客的干扰和侵害,计算机网络面临着国际上的挑战。互联网是一个高度自由的平台,用户在网络上没有过多的限制和约束,可以自由上网,或接受必要的信息数据,用户具有随意性,有时的信息会带有攻击性的特点,情节严重的话容易造成社会局势的不稳定,对计算机技术带来不好的影响。
影响计算机网络安全的因素来自多个方面,具体包括网络自身、外界因素以及安全评估技术三个方面:
1) 网络自身:网络打破了对人们时间和地域上的局限,方便了人们的交流和沟通,不过,网络自身却存在开放性和虚拟性的特点。开放性会导致用户的信息出现优劣不等的局面,使人真假难以辨认。另外,虚拟性的网络环境难以被人们所控制,容易受到一些不法分子的侵入,最终导致计算机网络受到损害,许多网络操作系统存在漏洞,没有得到及时地处理和解决,更新速度较慢,无法适应网络地飞速发展。
2) 外界因素:网络上经常会出现不同类型的病毒,不易引起人们的察觉,一旦病毒侵入计算机就会对系统内部造成不同程度地损害,轻者会系统出现速度较慢的情况,严重的话计算机会出现死机的现象,无法正常运转。另外,网路黑客会利用自身高超的计算机技术侵入他人电脑,获取对方私密信息,损害计算机系统设备,网络上的一些软件也会带入黑客的病毒,一旦安装到电脑山就会被黑客损害,影响计算机的安全性能。
3) 安全评估技术:进一步加大计算机网络安全的保护力度就必须实施一套完善的安全评估技术。安全评估技术可对计算机进行实时的保护,一旦发现病毒入侵就会及时制止,避免对计算机的损害,从而大大降低了计算机可能被攻击的情况。但现今我国的安全评估技术还不够完善,处在一个相对落后的局势之下,没有为计算机制造一个良好的网络环境。
2防火墙技术
2.1防火墙的功能
防火墙是一种隔离技术,主要依靠软件和硬件在内部网络环境和外部网络环境之间形成相对的保护屏障,为计算机网络阻断可能产生的不安全因素。防火墙在用户同意的情况下可进入到计算机之中,反之则会将其阻挡在外。
防火墙技术具备强大的警报功能,当外部用户需要进入计算机之中,防火墙会发出警报,提醒用户,并寻求用户进行自我判断是否允许外部用户的进入。只要存在于网络环境之中的用户,防火墙可进行一定的查询,并将查到的信息向用户显示出来。用户可根据自身的需要对防火墙进行设置,阻断不允许用户关于计算机的一切行动。
防火墙可以对数据流量进行查看,以及阅读数据信息上传下载的速度如何,从而使用户可对自身的使用情况有一定掌握。计算机内部情况可通过防火墙技术进行必要的查看,也可以进行启动和关闭的程序。系统内部的日志功能就是指防火墙技术对计算机内部系统的安全情况以及每日流量使用情况的总结。
2.2防火墙技术在计算机网络安全中的应用
防火墙技术是对计算机网络进行有效防护的措施之一,同时也是计算机网络得以安全正常运行的关键所在,通过防火墙技术的使用人们可以在一个相对安全的网络环境下使用计算机技术,从而为人们自身的信息数据提供了保障。
2.2.1服务器的应用
服务器可通过开放性的系统互联网会话层对网络系统扮演着者的角色,从而实现信息资源得以共享的功能。服务器在网络系统中具有中转的作用,进一步增强了对网络系统地有效控制,提升了用户自身密码、账号的安全程度,具有一定的防护作用。不过,服务器相对来说对网络运行的质量具有较高的要求,且编程复杂,需要处在一个比较稳定的环境之下才能发挥其真正的价值。
2.2.2过滤技术的使用
防火墙技术可以对信息进行选择,根据数据信息是否具备原先存在的安全注册表,从此来判断所传输的信息是否安全,防火墙技术具有过滤的功能和特点。这种过滤技术既可以使用在计算机的主机上面,同时也可以应用在路由器上,既可以是开放性的,也可以是封闭性的,用户可以根据计算机网络存在的实际情况予以选择,并提供一定的服务设备。不过,这种过滤技术容易受到端口的限制而无法实现对全网的保护,兼容能力较低。
2.2.3复合技术的应用
复合技术是指服务器功能和过滤技术二者的结合,是一种更为稳定、安全的计算机网络安全防护设备。复合技术为二者的有机结合,可以对计算机网络出现的漏洞进行有效地解决,当计算机受到侵害的时候,可以采取多方面的保护方式,提高计算机自身的安全预测和监督能力。
复合技术的防护措施主要包括以下几点:
1) 进行安全认证,提高计算机网络的安全程度;
2) 增强用户的感知能力,出现问题时进行及时报警,保障用户信息安全;
3) 提高计算机网络的交互功能,增强计算机网络的保护能力,进一步提升防护价值。
3 结束语
综上所述,计算机网络在如今社会的使用量十分庞大,且还在处于不断扩大的局势,解决计算机网络安全已经刻不容缓。为提高计算机网络的安全性能,必须加大创新能力,开发出更为先进的防护设备,不断更新防火墙技术的内部系统,从而促进我国计算机网络地进一步发展,提高我国科学技术的水平和质量,增强我国的综合国力。
参考文献:
[1] 张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术,2012(24).
关键词:防火墙 网络安全 发展趋势
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
1防火墙概述
1.1 防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2 防火墙与入侵检测技术
2.1 入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。
根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统
这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统
这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2 入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;(2)如何来提高检测系统的检测安全性和准确性;(3)如何来提高整个检测系统的互动性能。
这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合
从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。
一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。
第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。
无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3 防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2 高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。
所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
参考文献
关键词:拒绝服务攻击;非军事化区;网络地址转换
一、防火墙概述
(一)防火墙的概念。
防火墙现在已成为各企业网络中实施安全保护的核心,安全管理员的目的是选择性地拒绝进出网络的数据流量,这些工作都是由防火墙来做的。
什么是防火墙?防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,一旦某个单元起火这种方法保护了其它的居住者,这种防护构筑物就被称之为“防火墙”。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
(二)防火墙的功能。
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
二、防火墙的分类
(一)按照防火墙防御方式划分。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packet filtering)型
(2)应用(Application Proxy)型
(二)按防火墙结构划分。
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
(三)按软、硬件形式上分。
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
软件防火墙
硬件防火墙
(四)按防火墙的应用部署位置分。
如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
(五)按防火墙的性能分。
如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
三、防火墙的体系结构
(一)屏蔽路由器(Screening Router)
这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
(二)双穴主机网关(Dual Homed Gateway)
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。
双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
(三)被屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。
数据包过滤也允许堡垒主机开放可允许的连接(什么是"可允许"将由用户的站点的安全策略决定)到外部世界。四、防火墙的发展前景
防火墙可说是信息安全领域最成熟的产品之一,但是成熟并不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。
(一)模式转变。传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。
(二)功能扩展。现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。
(三)性能提高。未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上。
五、总结
总体来说,传统的防火墙已经无法满足人们的安全需求,其功能不足以应付众多的安全威胁。
首先,在功能方面,防火墙的发展趋势是融合越来越多的安全技术,使得防火墙在向入侵防御系统的产品转化,其融合的主要安全技术包括:
与VPN技术融合。防火墙融合VPN技术,实现过滤和加密的紧密地配合,使得网络配置简单。
与入侵检测技术和攻击防御技术的融合。很多防火墙能识别越来越多的入侵行为,并能抵抗部分攻击行为。但是目前的防火墙的入侵检测只是识别一些已知的攻击行为,将来的防火墙应能具备更多的智能,主动识别和防御未知的攻击行为和入侵。
关键词:互联网;防火墙;信息
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-7917-02
回顾人类社会的发展,我们可以简单笼统地将其归纳为符号时代,数字时代,信息时代,尤其是计算机技术的发展以及互联网的普及,更是将人类社会全面推向信息化的狂潮之中。在这样的发展趋势下,人类自身的日常生活发生了很多变化,其中人们的日常娱乐方式就是最明显例证,由单调的电视机、收音机转向因特网及基于互联网的智能手机,其中的影响可见一斑。
在20世纪,大量的信息基本上依托于诸如报纸、杂志、电视等传统的媒介存在与传播,但是进入二十一世纪以来,大量的信息转入互联网这个新兴的平台,并且凭借其自身所独有的高效性与高度的共享性使得信息的传播速度得到了空前的发展,实现了质的飞跃,深入分析我们不难发现,互联网可以给用户提供一个稳定、高效、开放的信息公布平台,与此同时其他用户可以各取所需,在互联网上搜索到各种各样大量的信息,然后进行筛选处理,最终得到所需要的信息。然而基于互联网的开放性特点,其中的信息质量良莠不齐,充斥着很多的垃圾数据,甚至会有一些病毒文件伺机攻击计算机终端或者网站,这严重威胁到了互联网的信息安全以及损害了用户的个人利益。随着计算机技术的不断完善,防火墙的出现可以说在一定程度上有效地解决了上述问题,为互联网安全提供了保障。
1 防火墙的基本概念以及分类
1.1 防火墙的基本概念
防火墙一词最早出现在英文中,即firewall,是一种很形象的叫法,其定义可以简单的概括为互联网系统中介于内部网络和外部网络之间的一种安全防护系统,这种安全防护作用可以为主动防护亦可被动防御,是一种主要目的在于确保信息安全的体系。防火墙在工作时,可以根据设计人员预先设计的安全准则以及识别条件,允许或者拒绝相关信息由外部网络进入内部网络,这就相当于在内外部网络之间设立了一道安全防护墙,此外防火墙不仅仅可以单纯的对外部网络中的不安全因素进行防护,也可以有效地限制内部网络中的不安全访问,例如可以事先制定规则来限制内部网络中计算机终端访问外部网络中的病毒文件,分时间访问外部网资源。
目前在面对日益严峻的网络安全形势,防火墙技术也在不断地完善与改进,防火墙也有单一的硬件形式发展成为依托于硬件存在的软件系统,再后来就形成了由硬件和软件组合所形成的综合的系统,这种综合的防护系统在internet和intranet之间搭建了一个security gateway,就是我们熟悉的安全网关,保护内部网计算机终端免遭非法用户的入侵,在很大程度上保护了外部网与内部网之间、公共网和专用网之间的沟通通道。防火墙的基本构成见图1。
1.2 防火墙的基本分类
时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:
①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、主机系统;
②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;
③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,
④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即pack filter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonic wall。
3 防火墙的主要功能
无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。
3 防火墙的主要应用
众所周知,任何事物不可能存在绝对的安全与绝对的不安全,当下在市场上存在众多的防火墙技术的产品,先不谈质量参差不齐,即使企业或者个人用户购买到一款技术先进、性能可靠、安全指数较高的防火墙系统,在面对每天数量惊人的网络攻击时也很难保证整个网络系统绝对的密不透风,而且在实际的工作中,如果用户没有正确地根据实际情况配置计算机与调试硬件、软件相关参数,更是降低了防火墙的防护水平,得不到预期的效果。
任何一款防火墙技术软件发挥防护作用都大体上需要经过如下过程:
首先要经过正规的渠道购买正版的防火墙软件,按照使用说明书正确的安装整个系统,不能遗漏任何安装选项,否则就可能造成系统无法正常运行的状况;
其次就是要根据用户的实际情况设置系统参数,这一点至关重要,因为企业与企业所处的领域不同,因此会面对不同的种类
以及不同等级的安全威胁,有的企业可能会面临较多的信息泄露的危险,因此应该将防火墙的主要防护点侧重在越权访问以及非法窃取信息上,一般这种情况对企业的损失较大,因此防护等级较高,如果企业仅仅是防护病毒文件的入侵,那么就可以简单的限制内网用户访问外网资源即可。此外系统参数的设置也包括系统响应时间、预警信息的方式、有害文件的处理方式等等,这些参数也应该严格按照使用说明根据安全防护等级设置,如果我们将安全防护等级设置的过高,很有可能会把一些有效信息过滤掉,影响企业的正常运转和人员的正常工作;
最后就是高级功能的设置,很多软件提供给用户附加的服务,例如网络安全状况的时时监测、防护日志的查看、系统漏洞的提醒等等,用户可以根据实际需要进行设置。
参考文献:
[1] 诸海生,董震.计算机网络应用基础 [M].北京:电子工业出版社,2003:252-256.
