防火墙技术范文10篇-欧洲杯买球平台
时间:2023-03-25 07:18:00
防火墙技术范文篇1
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于pc架构,就是说,它们和普通的家庭用的pc没有太大区别。在这些pc架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的unix、linux和freebsd系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的asic芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有netscreen、fortinet、cisco等。这类防火墙由于是专用os(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的checkpoint防火墙和美国cisco公司的pix防火墙为代表,后者以美国nai公司的gauntlet防火墙为代表。
(1)包过滤(packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如udp、rpc(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(applicationproxy)型。
应用型防火墙是工作在osi的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括cpu、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的pc机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与pc机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如ciscoios防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的pci防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-linux实训篇[m].北京:人民邮电出版社,2003,(10).
防火墙技术范文篇2
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于pc架构,就是说,它们和普通的家庭用的pc没有太大区别。在这些pc架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的unix、linux和freebsd系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的asic芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有netscreen、fortinet、cisco等。这类防火墙由于是专用os(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的checkpoint防火墙和美国cisco公司的pix防火墙为代表,后者以美国nai公司的gauntlet防火墙为代表。
(1)包过滤(packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如udp、rpc(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(applicationproxy)型。
应用型防火墙是工作在osi的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括cpu、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的pc机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与pc机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如ciscoios防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的pci防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-linux实训篇[m].北京:人民邮电出版社,2003,(10).
防火墙技术范文篇3
关键词:internet网路安全防火墙过滤地址转换
1.引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet,如图1所示。
图1防火墙在internet中的位置
从上图不难看出,所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(accesslist)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术
第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。
在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。
4.7安全服务器网络(ssn)
为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过ftp、tnlnet等方式从内部网上管理。
ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密
为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、ftp、出站、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消ip的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或ssn的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。
所有从内部网络ssn通过防火墙与外部网络建立的连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。
5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:
1)解决分组过滤器与ssn的连接;
2)支持通过防火墙对ssn的访问;
3)支持服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(cryptocard);另一种是secureid,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和主权,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1抗ip假冒攻击
ip假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。
6.2抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internetscanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7.防火墙技术展望
伴随着internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
防火墙技术范文篇4
关键词:网络安全;防火墙;应用
网络安全问题屡见不鲜,在网络环境中受到病毒、黑客等因素的影响,导致数据库、文档等信息受到影响,在2018年,gandcrab勒索病毒就利用各种方式入侵电脑,暴露服务器信息,通过严惩代码攻击的方式直接获得服务器的控制权限,收集网络信息,破坏网络环境。根据不完全统计,在2018年泄露或者被盗的信息数据高达40亿条,随着云计算、大数据以及物联网技术的发展,数据信息泄露的问题呈现持续增长的趋势。在网络环境中,计算机与手机逐渐成为人们生活中重要的工具,在此环境中人们的信息暴露在网络环境中,人们的信息安全存在着较为严重的威胁。合理的应用网络安全防护技术手段,可以提升网络安全性。而防火墙技术作为一种较为重要的技术手段,可以提升网络安全性,规避各种网络安全问题与不足。
1网络安全中的防火墙技术分析
1.1防火墙种类。防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰与影响。随着网络技术手段的完善,防火墙技术的功能也在不断地完善,可以实现对信息的过滤,保障信息的安全性。防火墙就是一种在内部与外部网络的中间过程中发挥作用的防御系统,具有安全防护的价值与作用,通过防火墙可以实现内部与外部资源的有效流通,及时处理各种安全隐患问题,进而提升了信息数据资料的安全性。防火墙技术具有一定的抗攻击能力,对于外部攻击具有自我保护的作用,随着计算机技术的进步防火墙技术也在不断发展。(1)过滤型防火墙过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。(2)应用类型防火墙应用防火墙主要的工作范围就是在ois的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。1.2网络安全中的防火墙技术特征。(1)控制不安全服务防火墙具有控制不安全服务的特征优势,通过对内外网络的数据交互以及信息传递的处理分析,阻挡授权外的信息服务,进而降低网络内部受到危害的影响,提升了网络应用的整体安全性。(2)集中安全保护防火墙最为关键的功能就是集中安全保护。对于一些规模较大的内部网络系统,可以利用软件对其进行改动处理,在防火墙中进行集中的保护管理,此种方式无需对主机中不同部分进行分别的防护处理,在整体的角度上进行数据信息的安全保护与管理,通过密钥以及口令等防护确认分析,可以提升系统的整体安全性。(3)加强对特殊站点控制防火墙具有对特殊网站站点控制访问的特征。在信息数据传输与访问过程中,通过科学的对策与手段进行保护,可以保障主机的安全性,通过此种方式可以有效地避免主机受到不必要的访问,避免了资源受损等问题的出现,也可以屏蔽不良的网站信息。
2计算机网络环境中防火墙技术应用对策
(1)配置安全服务系统一些单独应用的计算机,在安全服务器中隔离处理,这种隔离区域与其他类型机群之间存在一定的差异性,是内网的重要组成部分,通过相对独立的局域网络,可以保护服务器数据的安全性,为系统的正常运行提供了有效的保障。在网络地址转换技术的支持之下,可以利用映射提升内网的保护性能,将主机地址变为防火墙。这样就可以提升内部结构的安全性,外部无法了解不同计算机与内网结构中的真实ip地址信息,进而达到提升内网安全性的效果。通过此种方式也可以减少ip地址数量,具有节省资本的作用。在应用中,在网络中建设了边界路由器,则可以利用边界路由器的过滤功能,配置防火墙,做好内网与防火墙连接工作,一些安全服务器隔离区域中公共服务器则无须设置防火墙,可以通过直接与边界路由器连接的方式进行处理,通过改善拓扑结构,形成属于防火墙以及边界路由器双重性的保险结构,提升了整体的安全性。同时,通过在两者之间设置安全的服务隔离区域,可以提升网络系统的安全系数,也不会影响外部客户的正常访问。(2)复合技术的应用在网络安全中应用综合防护技术具有较为显著的优势。复合技术是一种属于防火墙特征的特征,融合了以及过滤两种技术手段。通过更为稳定的方式实现防火墙技术的应用,可以有效地弥补防火墙技术的问题与不足。通过过滤与包过滤技术参数形成系统的保护类型,提升防火墙技术的灵活性,具有混合性的特征,可以实现双向优势。在防火墙中,基于此两种基础为基础,融合各种安全技术手段,通过分析网络安全具体状况,结合各种因素,在网络受到安全攻击的时候,可以通过防火墙提供快速的防御服务,进而提升防火墙技术的策略性,这种技术实现了多级防御的负荷性技术手段,可以有效地预防外网的攻击与影响,具有主动监测内网信息的作用。通过认证机制提供复合防护技术手段,可以在网络交互作用中,保障信息处于安全约束的状态,通过动态过滤的方式形成有效的技术手段;也可以对内部信息进行主动的隐藏处理,通过智能化的感应方式进行处理,在网络受到攻击与影响的时候可以迅速地进行报警提示;此种技术的交互保护能力显著提升,充分地凸显了复合技术的优势特征,提升了整体的防护价值,真正地做到了实时性的维护与管理。(3)访问策略的应用通过配置的方式实现运用策略,对其进行系统分析,可以深化计算机网络系统的运行过程,形成科学完善的保护系统。访问新系统的应用具体步骤如下:利用防火墙通过单位的方式对计算机信息进行分割处理,综合具体的单位形式规划内外两部分的访问保护,提升计算机信息流通访问的安全性。通过防火墙的访问策略,掌握计算机网络运行的目标,了解地址与端口信息,掌握各项内容。可以了解计算机网络系统的运行特征,为网络信息的安全工作开展提供有效的保障。访问策略与计算机网络安全保护方式存在一定的差异,访问策略就是一种基于计算机安全实际需求之上形成的技术手段,要通过防火墙技术进行调整处理,提升整体的安全性。访问策略就是一种基于安全保护策略为基础的,记录信息内容以及相关活动,将其作为执行的顺序标准要求,进而提升计算机安全保护效率的目的的对策。(4)入侵检测对计算机防御系统的有效性判断分析,是入侵检测效果的主要因素特征。通过入侵检测功能可以有效弥补防火墙的静态防御不足问题,将防火墙技术与入侵检测系统有效融合,可以加强对各种外部网络环境进行系统检测分析,进而了解存在的攻击行为,及时应对,通过有效的方式与手段对其进行预处理。入侵检测技术的引擎技术可以与交换机有效链接,通过入侵检测技术、网络监视以及网络管理等功能,可以有效地完善防火墙的静态不足问题,可以对在外网之间传输的信息数据进行捕获处理,基于内置攻击特征参照,综合网络现状,分析其是否存在异常状况,通过对比就可以了解具体的状况,通过系统发出警报。
3结束语
在网络安全环境中存在着诸多的安全隐患问题,合理应用防火墙技术可以规避这些问题与不足。综合网络安全环境特征,探究防火墙的技术手段,可以充分利用防火墙技术的优势,提升网络环境的安全性。
参考文献:
[1]曾袁虎.计算机网络安全中的防火墙技术应用分析[j].信息与电脑(理论版),2016.
[2]孙莉娟.计算机网络安全中的防火墙技术运用分析[j].电脑迷,2017.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[j].信息与电脑(理论版),2016.
防火墙技术范文篇5
关键词:计算机;网络安全;防火墙技术
黑客采用非法手段攻击网络及病毒的非法入侵等严重影响了其安全、稳定的运行,不仅导致用户信息资料丢失,还会对计算机网络的安全运转产生一定程度的影响。因此防火墙技术在计算机网络安全防护中的作用显得尤其重要。
1计算机网络安全分析
1.1造成威胁
通常情况下,致使网络产生安全问题的重要原因被划分为自然与人为这两大类。前者基本指的是一些自然灾害、计算机设备陈旧、电磁辐射、环境恶劣等所致使。后者主要是指病毒入侵计算机之中、黑客非法攻击、网络存在缺陷、管理出现漏洞等之类所致使。除此,还有来自于tcp/ip协议、网络安全意识匮乏等,也是网络出现安全威胁的原因。
1.2影响因素
影响网络安全性问题的因素包含了网络资源的共享与开放、网络系统设计不完善、人为恶意攻击等。资源共享是为了让网络得以应用,让任意使用者可以经过互联网访问里面的信息资源。所以一般非法入侵之人仅仅只需要通过服务器的请求就可以轻轻松松访问数据包,从而对其产生一定的安全威胁。而计算机网络系统设计不完善会对网络完全造成一定威胁,只有完善网络系统,使其系统设计合理化,才能在节约资源的状况下,达到保证安全性的目的。现阶段网络自身所具备的广泛性特征越来越明显,非法入侵之类的攻击性网络行为成了计算机网络方面防御起来比较困难的安全威胁。
1.3确保网络安全
存在两种比较有效的途径可以确保网络的安全性。第一种是给数据加密,其是利用链路或者是端端完成加密操作,还能用过节点或者是混合加密防止数据被非法破坏和恶意篡改,还能防止数据泄露等等。第二种是利用网络存取控制的方式确保其安全性,这种方式则是利用身份识别、存取权限的控制等等防止非法访问,避免造成数据丢失、泄密、破坏等之类的现象发生。
2防火墙技术分析
2.1包过滤性防火墙
这类型防火墙一般是在osi参考模型中网络及传输层通过路由器实现对整个网络的保护。若是满足路由器里面的过滤条件就可以进行数据包转发,若是与其源头、目的地址、端口号等过滤条件不相符合,则会造成数据包丢失。这类型的防火墙不但工作比较透明,而且速度也比较快,工作效率比较高。需要注意的是这类型防火墙是不能支持应用层协议,换而言之就是当面对黑客对其进行网络攻击行为时,是没有办法防御的,而且面对一些新产生的安全威胁性问题也是处理不了的。
2.2nat和应用型防火墙
这两种防火墙之中的nat防御软件是通过ip地址转换成临时注册的ip地址。内部网访问外部网时,一旦成功通过安全网卡,那么此防火墙就会自动把源地址同端口伪装之后与外部相连。若是通过的非安全网卡,则访问是通过一个开放的ip与端口。这类型的防火墙是根据原本预设好的映射规则对安全性进行判断。后一种应用型防火墙则是运行在osi的应用层,不但可以阻止网络的通信流,还可以实时监控,有很强的安全性。只是这类防火墙会对计算机网络系统的性能造成一定的影响,让管理变得相对复杂。
2.3状态检测型防火墙
它与其他类型进行对比,安全性更高,还有不错的扩展性,收缩度也很好。它是把相同连接的包看成整体数据流,而且还能对连接状态表中的状态因素进行区分与辨别。只是这类型防火会使得网络连接产生延缓滞留的问题。
3防火墙技术在计算机网络安全中的应用
综合分析计算机网络安全,也就是分析最终如何在网络这个复杂的环境中维护数据使用过程中的保密性与完整性。想要达到这个目的,可以通过对网络进行管理控制及技术解决的方法实现。通常情况是根据使用者的情况把网络安全分为物理安全、逻辑安全这两大类。普通的使用者认为计算机网络安全主要是能够在上传自己隐私时得到保护,信息可以不被窃听、篡改、伪造等。但是网络供应商却认为在此基础上,还需要考虑到某些能够对硬盘产生一定破坏的情况,网络出现异常,也需要得到保护。以下是网络安全中防火墙技术的实际运用。
3.1加密技术
网络加密技术是指发送信息的这个人先对信息进行加密处理,接触加密的密码由接收信息这方掌握。接收方接收信息之后就使用密码解除信息的加密状态,这样也就保证此次信息传输安全的完成。简而言之,加密技术也就是利用的密钥以保证信息在传输过程中的安全性。
3.2身份验证
身份验证是通过对网络用户使用权限进行授权,也就是说在此次信息的传输者与接收者二者之间进行身份验证。从而在网络环境中建立起一个相对比较安全的信息传输通道,很好地防止了那些没有得到授权的非法用户的介入。
3.3防病毒技术
防病毒技术这里主要是针对预防、清除、检测这方面进行分析。在网络建设中,安装防火墙能够对互联网之间的交换信息根据某种特定的规则进行管理控制。也就相当于为内网、外网这二者之间的信息与数据传输构建了一道安全屏障,使其得到保护。这样能够很好地防止未经授权的第三方非法入侵。若是使用的路由器同互联网进行连接,则与之相对应的服务器配套则有www、fip、dns、email等,而且其ip地址是确定的。除此之外,使用路由器同互联网进行连接,这个网络还会拥有一个c类的ip地址。因此这个网络先要进入到主干网,在主干网中对中心资源采取访问控制,禁止本服务器之外的其他服务器访问。在这之后,同时也为了防御外入者对本服务器的非法访问及盗用,就需要在连接端口接受数据的时候,检查ip和以太网的地址,丢弃盗用ip地址数据包,把与之相关联的信息进行记录。其实际具体的操作过程为:预设控制位102,一旦防火墙同ip/以太网地址访问到某个地址是属于非法访问后,自动把路由器里面的存取控制表进行更改,把非法的ip地址包过滤掉,从而阻止外来非法访问。
4结语
随着科技的发展及信息化进程的加快,人们对于网络的了解更加深入、全面,原本比较匮乏的安全意识也得以普遍提升,计算机网络安全问题逐渐成为广大用户群探讨的热门话题之一。针对计算机网络这方面产生的众多安全性问题,防火墙这种普及比较广泛、适用性很强的防范技术在确保网络安全运行的方面产生了巨大的作用。把其合理运用到计算机网络安全中,可以使其安全性在一定程度上得以更好的保障。通过对防火墙的合理运用,还能加强其安全防护功能,使广大用户在使用计算机网络时对其安全与保密性能更加放心。
作者:郑刚 单位:河南艺术职业学院
参考文献
[1]马利,梁红杰.计算机网络安全中的防火墙技术应用研究[j].电脑知识与技术,2014(16):3743-3745.
防火墙技术范文篇6
所谓网络安全,实质上也就是网络上的信息安全。网络安全所涉及的领域是非常广泛的,但是在当前许多的公用通信网络中,都存在着各种各样的安全漏洞和威胁,随着网络技术的不断发展,各种各样的网络安全技术也相应的出现了,比如说身份验证、访问授权、加密解密技术、防火墙技术等等,虽然出现了许许多多的新的网络安全技术,但是在众多的网络安全技术中,防火墙技术的应用仍然最为广泛。防火墙实质上是一个系统,该系统位于两个网络之间,并且负责执行控制策略,通过防火墙,可以使得内部网络与internet或者其它的外部网络相互隔离,从而有效的保护内部网络的安全。通过防火墙,主要可以实现对于不安全服务和非法用户的过滤,同时还能够有效的控制对站点的访问,时刻监视internet安全,一旦出现安全风险,防火墙还可以起到及时预警的作用。
1防火墙技术概述
所谓的防火墙,指的是设置在两个或者多个不同网络或者网络安全域之间信息的唯一出入口,所有的网络信息要想进入内部网络,必须要通过这一个出入口,因此防火墙成为了一个提供信息安全服务和实现网络和信息安全的基础设施,同时防火墙技术也成为了目前人们公认的最有效的网络安全保护手段。防火墙可以对访问权限进行有效的控制,从而实现对涉及用户的操作进行审查和过滤,从而有效的降低计算机网络安全风险。
1.1计算机防火墙技术
防火墙技术之所以能够实现对计算机网络的保护,主要就是因为防火墙可以将内部网络与互联网进行分离,正是因为防火墙有着很强的隔离性,所以才使得防火墙技术在计算机网络安全领域中被广泛的加以运用。一般在对防火墙进行使用的过程中,所依靠的都是包的外源地址和数据包协议,通过它们来对防火墙进行设置,从而实现有效的隔离。除此之外,防火墙的实现还可以通过服务器的软件,但是这种方式在实际应用中较为少见。在防火墙技术出现之初,它的功能仅仅局限于对主机的限制和对网络访问控制加以规范,但经过多年的发展,防火墙的功能也进一步的得到了完善,当前,防火墙已经可以完成解密和加密等功能,除此之外,还能够实现对文件的压缩和解压,从而使得计算机网络安全得到了有效的保证。
1.2防火墙的主要功能
随着网络技术的不断发展,防火墙的功能已经变得十分丰富,其功能主要有以下几个方面:第一,防火墙可以对本机的数据进行有效的筛选和过滤,通过对信息的筛选和过滤,可以有效的避免非法信息以及各种网络病毒的攻击和入侵,从而保证计算机信息的安全;第二,防火墙还可以对网络中一些特殊的站点进行较为严格的规范,因为在这些站点中往往存在着可以对计算机网络安全进行破坏的一些病毒文件,所以通过对这些站点的规范,可以有效避免人们因为无意操作而给计算机网络带来的风险;第三,防火墙还能够较为彻底的对一些不安全访问进行拦截,外部人员如果想进入内部网络,必须先要经过防火墙的审查,只有审查合格,防火墙才会允许进入,但是在防火墙的审查过程中,是有着非常多的环节的,如果任何一个环节的审查出现了问题,该访问将会被防火墙过滤,从而有效的减少了网络安全问题的出现;第四,防火墙还可以对网络运行中所产生的各种信息数据加以保护,如果防火墙发现了网络中出现有威胁网络安全的非法活动,防火墙将于第一时间发出警报,并且采取相应的措施来对其进行处理,有效的避免网络安全风险。
2防火墙的常用技术及其在网络安全中的应用
2.1数据包过滤技术及其应用
数据包过滤技术主要分为组过滤和包过滤两种,数据包过滤技术是一种较为通用的防火墙技术,并且它也较为廉价和有效。数据包过滤技术主要是在计算机网络的网络层和传输层发挥作用。它可以通过对分组包的源、宿地址、端口号机协议类型和标志确定是否允许其通过。而该技术所依据的信息主要是来源于ip、tcp或者udp包头。包过滤的主要优点就在于其对于用户来说是完全透明的,处理速度也非常的快,而且十分易于维护,因此在使用的过程中较为方便,通常包过滤都是被作为网络安全的第一道防线。但是包过滤路由器一般都是没有用户的使用记录的,所以我们也就不能够看到入侵者的攻击记录,而且随着计算机技术的不断发展,攻破一个单纯的包过滤式防火墙对于现代的黑客来说也较为简单。当前的黑客往往都采用“ip地址欺骗”的方式来攻破包过滤式防火墙,所以为了进一步的提升网络的安全性,现在已经将包过滤技术作为网络安全的第一道防线,而进一步发展起来了技术。
2.2服务技术及其应用
服务技术是在数据包过滤技术之后发展起来的,但现在服务技术已经成为了防火墙技术中使用频率较高的一种技术,而且服务技术也拥有非常高的安全性能。服务软件往往是运行在一台主机上的,通过在这一台主机上的运行来构成服务器,并且负责对客户的请求进行截获,然后再依据它的安全规则来决定该请求是否可以得到允许。如果得到了服务器的允许,该请求才能够被进一步的传递给真正的防火墙。一般而言,服务器是外部可以见到的唯一的防火墙实体,所以说服务器对于内部用户而言是完全透明的。除此之外,服务器还可以对协议特定的访问规则进行应用,从而来执行基于用户身份和报文分组内容的访问控制。这种防火墙技术可以对网络信息的交换进行完全的控制,并且还可以记录整个会话的过程,有着很高的灵活性和安全性。但是服务技术也有着自身的缺陷,那就是有可能会对网络的性能造成一定的影响,而且对于每一个服务器都要进行一次模块的设计,并且建立起相应的网关层,所以其实现往往较为复杂。
2.3状态监测技术及其应用
状态检测技术是一种在网络层来实现防火墙功能的技术,状态监测技术所使用的是在网关上执行安全策略的软件模块,这个模块被称为监测引擎。监测引擎不同于服务器,不会对网络的正常运行造成任何影响。并且监测引擎还可以采用抽取有关数据的方法来对网络通信的各层进行检测,抽取相应的状态信息,然后动态的加以保存并将其作为以后执行安全策略的一个参考。除此之外,监测引擎还可以支持多种协议及应用程序,还可以有效的实现应用和服务的扩充。相比于之前的两种防火墙技术而言,状态监测技术可以更好地对用户的访问请求进行处理,因为状态监视器会抽取有关数据来进行分析,然后再通过对网络配置和相应的安全规定的结合,来做出相应的接纳、拒绝、身份认证、报警或者给该通信加密等一系列的处理动作。
作者:李慧清 单位:内蒙古化工职业学院
引用:
[1]赵俊.浅谈计算机防火墙技术与网络安全[j].成都航空职业技术学院学报:综合版,2012.
防火墙技术范文篇7
关键词:计算机;网络安全;防火墙技术
防火墙可以对网络攻击行为起到一定的阻止作用,从而使数据信息的泄露与丢失现象得到有效避免,因此对于用户来说防火墙的作用非常重要。笔者针对防火墙这一系统,对其在计算机网络安全中的应用进行合理分析,以此不断提升防火墙的应用效率。
1防火墙在计算机网络安全中的重要性
1.1对不安全服务的有效控制
在计算机网络中常常出现一些不安全因素,而防火墙技术的出现能够有效控制安全性较差的服务。防火墙的存在还能够针对内外网的数据交换以及传输过程中,使授权的协议与服务通过防火墙,因此,外网就不能够获取与得知其他的资源内容[2]。防火墙使内网受到非法攻击的风险得以降低,从而有效地保障了内部网络的安全性能。
1.2对特殊站点访问的控制
对于防火墙这一系统来说,控制对特殊站点的访问也有一定的帮助。比如,一些需要保护的主机进行数据传输以及访问时,需要得到一定的特殊的保护,使其他主机的数据交换得到许可。通过这种方式是要防止不必要的访问,从而有效避免非法盗取资源现象的发生。因此,防火墙除了在必要情况下之外,对于内部网络的不必要访问要强行禁止。作为一道关卡,防火墙是一种对不经常使用网络用户的非常好的网络安全保护的措施。
1.3集中的安全保护
集中的安全保护能够在防火墙上体现出来。因为如果是一种较大规模的内部网络,对某些软件或附加软件进行改动的情况下,并将其放入防火墙系统中,可以达到安全保护的集中化管理。这样的方式与在各个主机之中的分散放置相比,对信息与数据的安全性更能得到一定的保障,尤其是关于重要数据与信息来说,将密码与口令系统以及身份认证软件等都放在防火墙中,则更能保证其安全性能。
1.4记录与统计网络存取的访问
防火墙会记录在内外网之间流通的任何访问与数据传输,而且将其形成日志的形式。但是作为重要的数据情报,人们通过日志对于一些可能的攻击进行分析,以此将防范准备做好。如,银行的网络风险是证券与电信等外面的单位的风险,这时就可以借助防火墙的作用,从而有效的预防与控制风险,使企业对网络中可能存在的安全隐患有所了解,从而积极采取措施来阻止外部的攻击与监控以及管理内部的访问,以此使安全风险的发生概率降到最低。
2计算机网络安全中运用防火墙技术的合理举措
2.1配置安全服务
对于单独分离部分计算机,使安全服务隔离区设置出来,这种隔离区不但与其他的服务器机群存在着差别,而且与系统管理机群之间也存在着不同。作为内网的组成部分以及相对独立的局域网,既可以保护服务器上的数据安全,又可以积极地保障系统管理的正常运行。在网络地址转换技术帮助的前提下,通过映射使内网中的处于保护状态的所有主机地址转变为防火墙上的少数几个有效公司ip地址的设置。这样一来,外部对于内网结构与各台计算机的真实ip地址的了解就失去了途径。这样既能够使对内网的安全性得到提高,也在某种程度上对公网ip地址的数量与使用有所减少。因此,防火墙对控制投资成本具有重要的作用。如果单位以往的网络建设中设置边界路由器,则可以基于他的过滤功能,配置相关的防火墙。然后,将连接防火墙与受保护内网的工作做好。另外,一些安全服务隔离区中的公用服务器,可以不进行设置防火墙,可以采用直接连接边界路由器。通过拓扑结构的改善,一个属于防火墙与边界路由器的双重保险就形成了,另外还又设置了两者之间的安全服务隔离区,这对整个计算机网络系统的安全系数起到极大的提升作用,而对外部用户的正常访问也不会造成影响。
2.2复合技术的积极应用
对于综合防护优势的积极体现,复合技术是防火墙的有一种特性。由于融合了与包过滤两类技术,防火墙对更稳定的防护方式能够体现出来,从而使防火墙技术的缺陷得以弥补。在与包过滤技术参与的基础上,系统性的防火墙的保护类型就渐渐形成了,从而使防火墙技术的灵活性得以体现出来。当前混合特性在防火墙技术上表现出来,而且与包过滤的双向优势是复合的集中体现,因此目前最重要的是应该在这两类技术的基础上,将多项安全技术融入进来,并与计算机网络安全的运行实际进行结合并加以分析,从而保障如果计算机网络的防火墙技术受到攻击危险时,可以迅速的提供防御服务,从而使防火墙技术的策略性体现出来。对于为计算机网络安全提供了多级防御的复合技术,能够有效避免外网的攻击,还能起到主动监测内网信息的作用。当前对于复合防护方式主要有认证机制的提供,从而使在网络交互过程中,保障所有信息都处于一种安全约束的状态,从而使动态过滤的防护方式得以形成;其次是对内部信息的主动隐藏,从而使智能化的感应方式得以形成,如果发生网络攻击,可以迅速进行报警提示;最后是交互保护能力的加强,使复合技术的优势发挥出来,有助于促进防护价值的提升,从而保障实时维护。
2.3访问策略的应用
运用访问策略主要是以配置的形式来实现的,也就是借助缜密的计划安排,深化统计计算机网络运行信息的整个过程,以此一个科学完善的保护系统就形成了。对于访问策略的应用主要通过几个步骤:首先,防火墙可以通过单位的形式将计算机所有运行信息进行分割,并根据单位的不同形式,对内外两部分的访问保护进行规划,从而使流通访问的安全性得以保证[7]。其次,通过防火墙访问策略,使计算机网络运行目的地址与端口的地址被了解与掌握,从而能够对计算机网络的运行特点有全面的了解,并积极为网络信息安全性的保障提供积极帮助。最后,访问策略的保护方式与计算机网络安全保护中的保护方式是不同的,访问策略是通过一种在计算机安全实际需求的基础上,以及访问策略的实际应用,并借助防火墙来适当调整,从而对保护的安全性进行提升。访问策略的安全保护策略是策略表的形成基础上,详细记录访问策略的所有活动,并且将此表当做执行顺序的标准,从而使计算机安全保护的效率得以提升。
2.4运用入侵检测的方式
对一个计算机防御体系有效性进行判断,就是入侵检测效果的主要因素。对于这个拥有一定强大检测功能的体系,能够对防火墙相对静态防御的不足加以弥补。通过入侵检测系统与防火墙技术的相互结合,可以对外部网络的各种行为进行有效检测,从而可以使存在的攻击企图被发现,以此采取积极的措施在进行预防与处理。入侵检测引擎积极向中心交换机相连接,借助入侵检测、网络监视与网络管理等功能,弥补防火墙静态情况下存在的不足,并可以捕获内外网之间传输的所有数据,接下来在内置的攻击特征的参照下,检测网络是否存在异常情况。假如通过对比,发现严重情况,系统会发出相应的警报,并且就可以交由系统管理员进行处理。
3结语
防火墙技术能够有效保护计算机网络的安全,人们对其的研究应该加大力度,更深入与全面地分析防火墙的潜在功能,从而努力提升网络安全维护的有效性,使我国的计算机网络受到强有力的保护。
作者:高冲 单位:辽宁政法职业学院
参考文献:
防火墙技术范文篇8
关键词:防火墙技术;网络安全;有效利用;概念
1防火墙网络安全技术的基本概念
防火墙技术是一个广泛的概念,它的形式各种各样,想要给出一个归一化的概念是非常困难的。防火墙网络安全技术的主要作用是拦截一些不安全的因素对网络环境的破坏。从本质上来讲,防火墙安全网络技术就是一种保护计算机和互联网环境的安全装置,从表面上来看它是通过将硬件设备和软件设施相结合来对计算机进行保护的一种措施,从科学技术上来看的话,防火墙网络安全技术是一种将安全和不安全的网络环境分开来的分离器和限制器,总体来说防火墙网络安全技术就是通过各种方式对网络环境进行监测来保护互联网信息和数据的一种科学有效的途径[1]。防火墙具有很多的特性,首先防火墙会对输送进计算机系统的数据进行严格的监测和过滤,对于一些不安全的信息来源和途径会进行有效的拦截;其次防火墙网络安全技术还具有管理性和认证性的特性,防火墙会对每一位访问互联网的人进行身份的确认,将其身份信息进行整理和登记。因此防火墙技术为人们提供了一个和谐、安全的网络环境。
2防火墙网络安全技术主要内容分类
(1)防火墙访问地址翻译技术每一个访问数据都有特定的网络地址,有些非法侵入的数据ip地址会被篡改以达到入侵正常系统的目的,以此防火墙技术根据这一问题设立了访问地址翻译技术,这项技术可以将任何访问计算机系统的ip地址翻译出来,对于一些伪装和隐藏的访问地址采用禁止访问的方法,从而保证计算机互联网环境的安全和可靠。(2)过滤数据信息传送的技术防火墙数据包传送和过滤技术指的是通过检测和限制数据的传送而达到过滤不安全数据包的目的。使用过滤数据信息传送技术可以对所有访问计算机的数据进行监控和管理,通过监控和管理形成一个安全的数据包的传送系统,然后根据这个系统会自动生成一个完整的访问列表,然后防火墙过滤技术根据已生成的数据包列表来确定和筛选安全和不安全的数据包,因此来确保计算机的网络环境安全[2]。基于这一技术,用户可以在自己的计算机中对防火墙选项进行设置,为保护计算机用户信息提供一道屏障。(3)防火墙主动防御技术主动防御技术是防火墙安全技术的加强版,更加有效的发挥主动控制和分析的功能,主动防御技术可以在计算机内网和外网设立一个探测器,这个探测器对于访问计算机的数据和信息能够主动的进行检测和控制,探测器是广泛分布于内网和外网的各个服务器和网络节点中的,所以能够对计算机的内网和外网的安全性能够全面进行保护,保证内外网的网络环境安全以及通讯的顺畅。
3防火墙网络安全技术的主要功能
(1)有助于保护用户计算机数据的隐秘性现如今随着互联网技术的广泛应用,使得网络安全出现了一定的弊端,黑客的非法入侵对企业的商业机密也造成了很大的威胁,因此合理的使用防火墙网络安全技术可以拦截一些非法数据的访问,对访问的数据进行多重过滤和筛选,减少用户数据和信息的暴露,这样在保护计算机系统的同时还保护了计算机用户信息的安全,为广大公民的网络安全提供了有效的安全保障,营造一个安全可靠、和谐共享的互联网环境。(2)建立内外网之间的节流点防护墙网络安全技术一个最主要的功能就是建立内外之间的节流点。有些企业为了保护企业的商业机密而选择用内网办公,但是不能访问外网,给人们的工作带来了巨大的不便,而且在访问外网的过程中很可能对遭到非法入侵,对企业的信息和数据会有所损害和泄露,因此防火墙网络安全技术通过建立节流点,将公司专有的内部网络与外界的公共网络安全的连接起来,通过防火墙各个节流点的设置和使用,能够过滤和控制检测公共网络中不安全的因素,保证内网工作信息的安全,同时也为企业的工作人员的互联网的使用带来了巨大的便利条件。(3)形成被访记录管理体系防火墙网络安全技术能够记录每一条访问用户计算机的数据信息,对访问数据包进行统一的检测和筛选,形成一个被访问的数据列表,根据这个信息列表,对于一些不安全的数据包进行禁止访问,对于检测出的非法入侵行为还具备着报警的功能,对黑客的非法入侵系统的行为进行法律规范,为计算机用户提供法律手段的保护。因此这个防火墙记录管理系统为优化网络系统提供了有效的手段,为计算机用户提供一个安全的互联网环境。
4防火墙网络安全技术的基本方案
(1)选择正确科学的防火墙配置虽然建设内外防火墙是非常重要的,但是也不能忽略了防火墙技术配置的科学性。因为在互联网迅速发展的时代,网络具有各种各样的功能,相对也会出现形形色色的网络安全问题,因此防火墙网络安全技术也是多种多样的,具有多元化的特点[3]。因此如何选择一套正确和科学的防火墙技术来构建一个防护系统是至关重要的。首先对各种网络安全风险要做一个全面的检测和分析,确定目标,从而更加精准的选择正确的防火墙安全技术,让不同的防火墙技术的工作方向和目的保持一致性。(2)能够判断防火墙失效的几种情况对于防火墙的保护作用我们要客观的看待,在防火墙被突破之后我们要了解到几种可能的情况。首先第一种情况是在防火墙受到攻击时计算机能够重新启动并且还能够正常使用。第二种情况是没有受到入侵时能够保持计算机的正常工作,但是关机后就会默许一些信息进行侵入。第三种情况是数据入侵导致计算机不能正常工作,出现蓝屏、自动关机的现象。所以要想有效减少此类事情的发生,就要精准评估出这几种情况分别出现的原因以及相应的防护措施,事先进行性能的检测和分析,加强防火墙技术的防护性能。(3)设置内部防火墙,确定安全策略要建立完善的防火墙网络安全保护系统,首先要从内部系统入手,建立内部防火墙保护系统,将内部防火墙建立在服务器内部的入口处,严格控制访问内部网络的数据和信息。内部防火墙的设置会对访问内部网络的用户进行控制,同时对特定用户访问的网络权限范围也进行了控制,使用户只能访问自身所需要访问的网络,对于限制之外的网络是不能被访问的。就比如银行的工作系统、保险工作系统和各种大型的企业所用的网络都是内部网络,因为银行和保险或证券基金等工作信息都是非常重要的,比如股票交易市场的工作数据是绝对不可以外漏的,他们使用的也是内网,严禁使用外网,一旦股票交易信息泄露,或者让黑客非法入侵到股票的内部系统,就会导致股票市场出现问题,给那些想要一手操控股票市场的人提供了契机。(4)适当的设立外部网络防火墙,预防外网入侵外网是互联网最主要的部分之一,所以外部网络的内容是非常复杂的,大部分黑客也是利用外网这一特点进行非法入侵,因此要合理适当的设立外部网络防火墙,切断非法入侵的途径,将内网和外网分开来,从而对外部网络非法入侵进行有效的防范[4]。通过外部网络防火墙的设置,只有被防火墙授权的计算机才能对内网进行访问,如果工作人员需要访问外网的话也只能访问与业务相关的外部网络。与此同时,限制了外网访问内网的权利,使外部人员无法掌握内部信息,禁止外网非法访问,从而为黑客入侵内部系统增加难度,提高内网工作人员使用外部网络的安全可靠性,保证工作的正常进行。
5结束语
总之,互联网环境的好坏关系到我们每一个人的生活和工作,所以要加强防火墙网络安全技术的应用就要先精准的预估防火墙防护的失效情况,之后选择正确、科学的防火墙安全技术,组建一个完整的、有效的网络安全保护体系,从内网和外网出发,设置内部和外部防火墙技术,为内外网提供一个安全可靠的网络环境,减少非法入侵的机会。
参考文献:
[1]刘益洪,陈林.基于防火墙的网络安全技术分析[j].通信技术,2018,41(6):136-138.
[2]查月华,许建真,胡建彰.基于防火墙的网络安全实现[j].电视技术,2017(6):43-45.
防火墙技术范文篇9
关键词:网络安全;防火墙技术;服务器
随着网络的不断发展和开放,在便利快捷的同时也会面对着很多潜在的新危险与新挑战,网络中的安全问题已经达到了刻不容缓的地步。为了解决网络时代的网络安全这一问题,近些年来逐渐盛行起了防火墙技术。这门技术是网络安全中的一种独立元素,其安全性能将关联着每一个用户最切身也是最直接的个人利益。因此,就需要对防火墙技术进行仔细分析,并设计出对应的软件雏形以及数学模式,使用打分制来确定其在系统中所能达到的安全等级,在对其进行安全风险评估后,使其不仅能成为加强系统安全性能的科学依据,还具有对网络安全起到防范和防御的能力。
1网络安全的概念
网络安全的概念根据用户的不同理解而有着不尽相同的解释,但是从大多数的用户角度来看,他们都期望所涉及的商业利益和个人隐私等方面的信息能够得到完整而机密性的保护,防止被人使用冒充、窃听、篡改等非法手段侵犯到其利益与隐私,并且还希望能够同时避免被其他的用户非授权性的破坏及访问。若是从管理者的角度来看,就想要对自己的后台操作,本地的网络信息访问,以及其他工作性质的操作都能得到保护与控制,防止有病毒、资源的非法占用及非法控制,甚至黑客攻击等的情况出现。网络安全其实就是信息安全,只有信息的安全才能保障数据的完整性、保密性、可用性与合法的使用性。因此,网络安全的另一种解释就是网络系统的软件、硬件甚至系统里的所有数据都能受到保护,不至于因为偶然或蓄意的行为而受到泄露、破坏和更改,使系统可以正常而可靠的持续运行。由此可见,网络安全触及到的内容有技术方面的,也有管理方面的,两方面缺一不可,且相互补充。在技术方面就会偏重于防止外部用户的非法攻击,在管理方面则会偏重于内部的人为破坏因素。当前,怎样更好更有效的保护信息数据和增强网络系统的安全性,已然成为了必须解决的一个重要问题。
2网络安全的特点
1)保密性特点:该特点是不将信息泄露出去给非授权的用户。2)完整性特点:在数据没有授权的情况下,经过储存或者传输的过程中都要保持其不被丢失或修改,破坏。3)可用性特点:这是一种在被授权后,实体能够进行访问或按照需求进行使用的一种特性。4)可控性特点:控制信息或内容向外传播。5)可审查性特点:在发生安全问题时提供手段和依据。
3防火墙的概述
伴随着网络的不断普及和发展,网络中存在的漏洞也就无可避免地会被发现出来。也就出现了有些心怀恶意的攻击者利用它们来对特定的人、单位、企业,或整个网络进行攻击,向网络安全发起挑战,以至于造成严重的威胁。为了抵御外界这种恶意的攻击,许多安全技术也就应运而生,如:保护网络安全、防火墙、网络病毒检测等。其中,位于内外网络交界处的防火墙技术就成为了特别重要的一环。1)防火墙的含义防火墙是网络中内部网络和外界网络两者之间的一道防御系统,它可以通过让内部网络和internet,或是与其他的外部网络之间相互进行隔离,再运用限制互访来达到保护内部网络的功能,当然这些处理上的操作根本就不会阻碍用户对某些风险区域的访问。防火墙技术是产生在内部和外界网络之间唯一一条安全通道,通过选择对它的配置,可以允许哪些内部的服务能够被外界所访问,以及外界的哪些人能够来访问其内部服务,以至于达到外部服务还可以让内部人员去访问等诸多权限。而新一代的防火墙还具有防止内部人员向外传输敏感数据的功能,并管理子网和子网之间,子网和外网之间的这种需要被限制的互访。若是将局域性的网络放在防火墙的后面,就需要对防火墙实施有效的配置,才能够使其发挥出防御外界攻击的保护功能。对于防火墙的认识,还可以简单的将其认为是一个限制器,或分析器和分离器,它能够有效的监视内部网络与internet之间的所有活动,确保内部网络的安全性。因此,不管防火墙 只是一个特别简单的过滤器也好,还是一个精心设置的网关也罢,其保护性的原理始终不变。并且,它的技术主要是用在保护由多台计算机组成的一些大型的网络,因为这些地方是黑客们最感兴趣,也最觉得刺激的地方。毕竟要想架设防火墙,就一定会要投入相当多的资金来筹备大型的硬件和软件,而防火墙的特点是需要在一台独立的计算机上运行。2)防火墙的简史防火墙的技术从其产生到现如今已经过了二十年,可以分为五个阶段:简单包过滤的防火墙、链路层的防火墙、应用层的防火墙、动态包过滤的防火墙和自适应的防火墙。最近这两年,人们逐渐提出了智能防火墙的技术,也就是第六代的防火墙技术。这种智能防火墙从其技术到其特征都是运用统计和记忆,概率与决策等智能方法对数据加以识别,从而实现对访问进行控制的目的。这种新型的数学方法取代了匹配检查的海量计算,通过高效率的发现网络行为中的特征值,而直接对外界访问加以控制。正因为这些都是使用的人工智能的科学方法,才会被称之为智能防火墙。更聪明也更加智能的智能防火墙利用它的优势克服了传统防火墙那种一管就死一放就乱的缺点,并且还有效地解决了原来广泛存有的拒绝服务攻击方面的问题,以及病毒传播与高级应用入侵等弊端。这种新型的智能防火墙将原来设定为出口的概念变为了关口,所有要想经过关口的数据,都一定要被防火墙检查。另一方面,这种智能防火墙本身的安全性就要比传统防火墙高出很多,并且在很多方面都有着质的跃进,这种现象也就代表了防火墙技术在未来发展中的主流方向。3)防火墙的功能①过滤,是防火墙采用的一种防护措施,会对假冒的ip源地址或是所有的源路由的分组进行识别和过滤。②网络地址的转换,也是防火墙其中的一种功能。它会使用网络中的地址转换技术来对所有的内部地址进行转换,让外界网络没有办法了解到内部的网络结构,另一方面又会容许内部的网络使用自编的地址。③防火墙还具有对访问进行监控,以及对网络的存取进行记录的功能。当外界访问可疑时,防火墙就会适时发出报警,并且会提供一些网络被攻击或是监测等方面的详细信息以供参考。
4防火墙对网络安全起的作用
防火墙的作用就在于从各个端口来判断和识别出从外部的一些不安全网络发过来到内部的安全网络里的数据是不是有害的,经过判断之后,会将有害的数据进行拦截或丢弃,已完成初步对网络安全上的保障。同时,还会在网络与系统遭到危害或破坏之前,实行报警与响应等措施。在对网络安装了防火墙或调制了正确的配置之后,能够实现以下四种目的:1)自动过滤掉非法用户或不安全的一些服务,防止他人访问内部网络、2)限制用户访问一些特殊的站点。3)禁止入侵者靠近所设的防御设施。4)在监视internet的安全,提供了便捷和方便。
5总结
防火墙是近些年来维护和保护网络安全的一种重要技术手段,会依据网络的信息保密程度来进行不同的多级保护模式与安全方面的策略。加大使用防火墙不仅经济,而且还能高效的保障网络的安全。如今已经有越来越多不同功能的防火墙技术产品被选择使用,诸如:电子邮件的防火墙、病毒防火墙以及telnet防火墙等。可即便防火墙有着如此多的功能,但也不可能是万能的,也总有其缺点,所以还是需要与其他的安全措施配合来一起防御外部攻击,才能达到更强的保护功能。
作者:李胜军 单位:吉林省经济管理干部学院
参考文献:
[1]郑林:防火墙原理入门[z].e企业,2000.
[2]杨璐:网络安全理论与技术[m].北京:人民邮电出版社,2003.
[3]刘青,张庆军:基于防火墙技术的计算机网络安全机制探析[j].硅谷,2015(3).
[4]陶宏:基于计算机网络信息安全的防火墙技术实用研究[j].消费电子,2013(12).
防火墙技术范文篇10
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙产品主要有堡垒主机、包过滤路由器、层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。自从1986年美国digital公司在internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,对安全系统提出的问题是:所有的ip是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—nat、型和监测型。
1.包过滤型:包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、tcp/udp源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造ip地址,骗过包过滤型防火墙。
2.网络地址转化—nat:网络地址转换是一种用于把ip地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的ip地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的ip地址和端口来请求访问。olm防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.型:型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.监测型:监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
- 上一篇:防火墙范文
- 下一篇:
相关文章
开展森林防火培训 筑牢森林安全屏障 2023-11-29 17:41:45
电气防火安全检测方法 2022-09-15 11:34:36
计算机网络安全与防火墙技术综述 2022-07-26 10:53:56
无人机图像采集技术在森林防火的应用 2022-07-22 09:24:31
危险化学品企业厂区内防火间距标准 2022-06-07 09:49:18
智慧消防在防火监督业务的发展 2022-05-30 09:01:17