防火墙在网络中的作用范文
时间:2023-10-19 17:11:06
导语:如何才能写好一篇防火墙在网络中的作用,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
计算机网络在使用过程中,受到来自外界和内部的攻击,造成信息丢失,或者计算机自身破坏等后果。因此我们应关注计算机网络安全,网络具有复杂性,从这一点上使用者应正确分析来自网络的不同信息,确保操作的合理性。另一方面,要增强防火墙这一重要软件的功能,实现对不良信息的隔离功能。
一、计算机网络技术的体现
(一)网络信息安全
网络安全包括很多要求,其中信息安全是其主要体现形式之一。要彻底的实现对网络的防护,需要建立网络安全体系。其中包括物理层面、用户使用上以及数据安全评价等方面的构建。但互联网的管理上存在漏洞,发展过于迅速也使得其疏于管理、难于管理,使得互联网受到病毒的侵袭严重,通过互联网的犯罪行为居高不下。安全隐患主要来自于无阅读和使用权限的人通过不同的方式获得客户信息。病毒的发展随着网络技术的发达而逐渐增多,这给企业的安全带来威胁。恶意的攻击源于不安全操作以及设计不合理等因素,一旦进入病毒程序,将造成巨大的经济损失。这使得网络使用具有双向性,也提醒使用者正确使用,提醒设计者不断的更新技术,增强计算机的防护能力。这使得防火墙技术和基于防火墙技术而更新的计算机安全防护技术成为必然。
(二)计算机安全体系结构
计算机系统安全运行模式要以信息处理功能和传输能力正常为前提。重点关注计算机由于某种原因而造成系统崩溃,确保信息存储安全。计算机安全体系机构也是防止商业信息泄露的重要途径之一。网络上系统信息的安全通常以客户的口令鉴别来设定权限,另外其体系结构还包括安全审计、方式控制以及安全隐患追踪。信息传播是否安全是其传播后果的体现,信息过滤应是安全体系中必备功能之一。它主要用于非法信息的控制,对网络搜索引擎的信息失控进行必要的掌控。网络上的信息内容的安全则包含了其应具有真实性、保密性以及明确性等特点。但目前的网络发展中,信息安全隐患大量存在,需要进一步的规范。
二、防火墙技术在计算机网络安全中的应用
防火墙具有多年的发展历史,其在网络安全防护中的作用十分明显。且具有安装方便,使用方便等特点。防火墙是对不良信息等不符合规定的网络输入进行提醒。从而帮助使用者以正确的操作方式避免病毒等侵袭,并迫使所有的连接都使用相同的检查方式,及时防止来自于网络的攻击。从逻辑上分析,防火墙事实上是一个限制器和分离器。是通过对网络上一些不安全因素的分离和处理来确保网络的安全。也就是说,“包过滤”技术是防火墙的核心技术。包过滤应遵循一定的安全策略,管理员通过在计算机中设置过滤和控制清单来实现其功能。其标准主要为:在防火墙产品中,包过滤的标准一般是靠网络管理包的源地址和目的地址、输入和输出请求以及TCP/IP等数据包协议。随着技术发展,防火墙技术不在局限于硬件技术,基于软件的服务器也可以实现防火墙功能。早期的防火墙主要以主机屏蔽为主要功能,但新时期其信息加密能力更强。这一技术进一步确保了网络信息安全,从技术层面完成了质的飞跃,这一技术的革新依然在研究之中,将成为未来计算机安全控制的核心。对于防火墙功能,主要包括以下几个方面。其一:对不合理的信息进行过滤,这一过程同样包括对硬件的监测和对软件的监测,可有效阻止病毒的入侵。其二:防止不安全的链接访问,设置安全权限,防止不具备权限的网络侵袭。这样可以合理的过滤到不安全因素。其三:网络连接的日志记录及使用统计,防火墙能够形成不同的日志记录,数据统计结果具有合理性,通过报警功能来确保网络资源的合理分配和使用。最后:防火墙可以更好的保护内部信息,对外网隐藏的信息进行加密保护,防止远程程序盗窃信息。
三、网络安全体系的构建
网络安全体系的构建是本文研究的重点。尤其是随着网络安全隐患越来越多,防护墙技术有待于进一步发展。首先,在技术上我们应不断的进行更新,研究病毒的侵袭模式、新病毒的生成及其原理,并且设计功能强大的软件,以确保系统安全。其次,要加强网络安全监测,对其实施全面的防病毒处理,合并其他软件来协助防火墙完成信息监测。上文我们讨论了防火墙的强大的功能,在网络安全体系的构建中,还应及时发现问题,将防火墙技术与最新的技术相结合,从而生成强大的、高效的解决网络安全的软件。当然,在这一过程中,操作者的合理操作无疑是影响其安全系数的关键,基于此应树立使用者的安全使用意识,降低网络病毒对网络的威胁,确保计算机安全。
综上所述你,计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等
参考文献
[1] 张鸣 高杨.计算机网络安全与防火墙技术研究[J].黄河水利职业技术学院学报,2011(02).
篇2
关键词:防火墙技术;网络安全;应用探究
当前,随着社会的进步和科学的发展,以互联网为代表的先进技术逐渐深入人们的工作和生活,并带来了巨大的便利。而互联网技术作为一把“双刃剑”,其网络安全问题也时刻威胁着人们的生产生活,尽管其影响力大、破坏性强,但在入侵过程中却往往难以被人察觉。从本质来说,网络安全能够通过访问控制和通信安全两种服务来保障自身安全,而防火墙是网络入口的首要防线,这种服务要达到最佳效果,需要防火墙技术与加密技术联合防护。实践证明,防火墙技术的网络防御效果显著,并且能够广泛用于各个领域,有效保障网络安全。随着科学的发展,防火墙技术也会不断进步与发展,实时保障用户的网络安全。
1概述
1.1基本概念
所谓防火墙,就其概念而言来源于建筑学,意指防止火灾从建筑物燃烧至另一建筑物的阻碍物,而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为:计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的,并且只有内部访问权的通信方允许通过的技术。实质上,防火墙即为一种隔离控制技术,以增强系统内部网络的可靠性,保障用户安全为目的。
1.2基本功能
作为保障用户网络安全的重要技术,防火墙主要有以下基本功能:(1)防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分,隔离重点网,以防出现局部网不安全造成全局网不安全的现象。此外,防火墙技术通过对进入系统的用户身份进行严格验证,对网络进行相应技术加密,能够有效防止入侵者窃取用户数据信息。(2)增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起,与传统防护模式中各个系统主机共同处理网络安全的解决方式相比,显然这种集中管理模式保障安全显得更为方便、高效。(3)保障网络安全。主要表现在防火墙可以阻止不安全的进程,减小入侵风险,保障网络安全。此外,防火墙还能拒绝部分来自路由的攻击,并报告给网络管理员,以尽可能减少对其他用户造成麻烦的情况。(4)网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
2防火墙的分类
2.1电路级网关防火墙
电路级网关防火墙是目前较为常见的一种防火墙,其本质是一个用于监控客户机或服务器的通用服务器,它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议,但缺陷在于对同一协议栈运行的不同应用无法及时识别,因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中,电路级网关防火墙的服务器会对客户端进行部分修改,当客户端发送相应的请求,服务器便对请求进行接收,并客户端完成网络的连接工作。可以看出,此类防火墙能够将网络信息进行隐藏,保障信息安全。
2.2应用级网关防火墙
应用级网关防火墙是一种应用服务器,主要在内、外部网络在进行网络交换申请服务时起连接的功能,其工作方式如下:(1)验证用户是否符合进入条件,如若验证成功,则将用户请求发送到内部网络的主机,此时也会对用户进行的操作进行实时监测;若发现危险或疑似危险则阻断访问。(2)当用户是由内部网络申请连接外部网络时,防火墙工作模式会先对内部网络发送的请求进行接收和检查,若合乎要求,防火墙将请求发送至外部网络。由此看出,这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好,它在内外网主机之间起连接作用,而不允许其直接连接,能够有效保障使用过程中的安全性。此外,这种服务器还能够对用户的操作记录得更加详尽。
2.3静态包过滤防火墙
静态包过滤防火墙作用于网格层,对进出内部网络的信息进行全面分析,再根据相应安全策略对信息过滤,其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础,允许授权信息进出,限制危险信息进出。当前,路由器被广泛用于网络的信息传输,连接在内、外部网路之间,因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术,因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用,运行速度快,且透明性较高。这种防火墙技术的工作运用同应用层没有关系,这就意味着不用对用户主机的应用程序进行修改,配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识;另外这种防火墙技术不能够对用户的操作进行鉴别。
2.4状态监测型防火墙
状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间,可以对网络通信进行跟踪监测,并对相关状态信息进行提取;此外,状态型监测防火墙还能对动态链接表中的状态和信息进行储存,并及时更新,通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑,相对而言,型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述,状态型防火墙能够有效减少端口开放时间,并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接,对部分网络安全隐患难以起到防护作用;此外,状态监测型防火墙不能够对用户操作进行鉴别。
3防火墙在网络安全访问控制中的应用
3.1双宿主主机模式
双宿主主机模式是通过主机的使用来实现的,这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间,以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信,它们都只能与网关进行通信,而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。
3.2屏蔽主机模式
屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成,其中堡垒主机位于内部网络,过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道,使得外部网络和内部网络都只能连接到堡垒主机,当内部网络有通信需求时,必须先到堡垒主机,堡垒主机再进行判断,并决定是否允许连接到外部网络。因此,入侵者要想实现对用户电脑的入侵,必须首先将主机攻克,方能到达内部网络,主机结构如图1所示。
3.3屏蔽子网模式
屏蔽子网包括堡垒主机以及两个包过滤器等部分,其内、外部网络主机间设置具有隔离功能的子网,以形成隔离区,设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下,内、外部网络都能够访问屏蔽子网,而不允许穿过子网进行通信,这种配置使得当堡垒主机被攻克时,内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护,因为必须攻克两个路由器和一个网关才能成功入侵。
4防火墙未来发展趋势与展望
防火墙技术作为保障网络安全的重要举措之一,未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展,可全面保障用户信息、应用程序与操作过程的安全,且会具有如下新的优点:(1)高速性。现阶段,防火墙的运行速度不够快的问题突出,而随着科学技术的发展,防火墙将会更多与芯片技术相融合,利用芯片提升计算的速度和精度,最终成为以芯片技术为主的全硬件型网关,大幅度提升网络安全。(2)智能化。现阶段,网络安全威胁主要包括病毒传播、网络攻击、内容控制,其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果,因此未来的防火墙技术一定是朝智能化方向发展的。(3)多元化。随着网络技术的不断发展,多种网络模式已被运用,未来的防火墙将会形成一种可随意伸缩的模块化解决方案,为不同网络设置不同技术的防火墙,为用户提供多元化的保障。
5结语
随着人们对网络技术的运用越来越多,依赖性越来越强,人们对网络安全也越加重视。实践表明,防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁,防火墙技术需要不断地更新和发展,在保障网络安全这条隐蔽的道路上,人们需要做的仍然很多。只有人人注重网络安全,采用先进技术,才能形成全方位的防御体系,保护人们的信息资源。
作者:张林 单位:中国航空动力机械研究所
参考文献
篇3
所谓网络安全,实质上也就是网络上的信息安全。网络安全所涉及的领域是非常广泛的,但是在当前许多的公用通信网络中,都存在着各种各样的安全漏洞和威胁,随着网络技术的不断发展,各种各样的网络安全技术也相应的出现了,比如说身份验证、访问授权、加密解密技术、防火墙技术等等,虽然出现了许许多多的新的网络安全技术,但是在众多的网络安全技术中,防火墙技术的应用仍然最为广泛。防火墙实质上是一个系统,该系统位于两个网络之间,并且负责执行控制策略,通过防火墙,可以使得内部网络与Internet或者其它的外部网络相互隔离,从而有效的保护内部网络的安全。通过防火墙,主要可以实现对于不安全服务和非法用户的过滤,同时还能够有效的控制对站点的访问,时刻监视Internet安全,一旦出现安全风险,防火墙还可以起到及时预警的作用。
1防火墙技术概述
所谓的防火墙,指的是设置在两个或者多个不同网络或者网络安全域之间信息的唯一出入口,所有的网络信息要想进入内部网络,必须要通过这一个出入口,因此防火墙成为了一个提供信息安全服务和实现网络和信息安全的基础设施,同时防火墙技术也成为了目前人们公认的最有效的网络安全保护手段。防火墙可以对访问权限进行有效的控制,从而实现对涉及用户的操作进行审查和过滤,从而有效的降低计算机网络安全风险。
1.1计算机防火墙技术
防火墙技术之所以能够实现对计算机网络的保护,主要就是因为防火墙可以将内部网络与互联网进行分离,正是因为防火墙有着很强的隔离性,所以才使得防火墙技术在计算机网络安全领域中被广泛的加以运用。一般在对防火墙进行使用的过程中,所依靠的都是包的外源地址和数据包协议,通过它们来对防火墙进行设置,从而实现有效的隔离。除此之外,防火墙的实现还可以通过服务器的软件,但是这种方式在实际应用中较为少见。在防火墙技术出现之初,它的功能仅仅局限于对主机的限制和对网络访问控制加以规范,但经过多年的发展,防火墙的功能也进一步的得到了完善,当前,防火墙已经可以完成解密和加密等功能,除此之外,还能够实现对文件的压缩和解压,从而使得计算机网络安全得到了有效的保证。
1.2防火墙的主要功能
随着网络技术的不断发展,防火墙的功能已经变得十分丰富,其功能主要有以下几个方面:第一,防火墙可以对本机的数据进行有效的筛选和过滤,通过对信息的筛选和过滤,可以有效的避免非法信息以及各种网络病毒的攻击和入侵,从而保证计算机信息的安全;第二,防火墙还可以对网络中一些特殊的站点进行较为严格的规范,因为在这些站点中往往存在着可以对计算机网络安全进行破坏的一些病毒文件,所以通过对这些站点的规范,可以有效避免人们因为无意操作而给计算机网络带来的风险;第三,防火墙还能够较为彻底的对一些不安全访问进行拦截,外部人员如果想进入内部网络,必须先要经过防火墙的审查,只有审查合格,防火墙才会允许进入,但是在防火墙的审查过程中,是有着非常多的环节的,如果任何一个环节的审查出现了问题,该访问将会被防火墙过滤,从而有效的减少了网络安全问题的出现;第四,防火墙还可以对网络运行中所产生的各种信息数据加以保护,如果防火墙发现了网络中出现有威胁网络安全的非法活动,防火墙将于第一时间发出警报,并且采取相应的措施来对其进行处理,有效的避免网络安全风险。
2防火墙的常用技术及其在网络安全中的应用
2.1数据包过滤技术及其应用
数据包过滤技术主要分为组过滤和包过滤两种,数据包过滤技术是一种较为通用的防火墙技术,并且它也较为廉价和有效。数据包过滤技术主要是在计算机网络的网络层和传输层发挥作用。它可以通过对分组包的源、宿地址、端口号机协议类型和标志确定是否允许其通过。而该技术所依据的信息主要是来源于IP、TCP或者UDP包头。包过滤的主要优点就在于其对于用户来说是完全透明的,处理速度也非常的快,而且十分易于维护,因此在使用的过程中较为方便,通常包过滤都是被作为网络安全的第一道防线。但是包过滤路由器一般都是没有用户的使用记录的,所以我们也就不能够看到入侵者的攻击记录,而且随着计算机技术的不断发展,攻破一个单纯的包过滤式防火墙对于现代的黑客来说也较为简单。当前的黑客往往都采用“IP地址欺骗”的方式来攻破包过滤式防火墙,所以为了进一步的提升网络的安全性,现在已经将包过滤技术作为网络安全的第一道防线,而进一步发展起来了技术。
2.2服务技术及其应用
服务技术是在数据包过滤技术之后发展起来的,但现在服务技术已经成为了防火墙技术中使用频率较高的一种技术,而且服务技术也拥有非常高的安全性能。服务软件往往是运行在一台主机上的,通过在这一台主机上的运行来构成服务器,并且负责对客户的请求进行截获,然后再依据它的安全规则来决定该请求是否可以得到允许。如果得到了服务器的允许,该请求才能够被进一步的传递给真正的防火墙。一般而言,服务器是外部可以见到的唯一的防火墙实体,所以说服务器对于内部用户而言是完全透明的。除此之外,服务器还可以对协议特定的访问规则进行应用,从而来执行基于用户身份和报文分组内容的访问控制。这种防火墙技术可以对网络信息的交换进行完全的控制,并且还可以记录整个会话的过程,有着很高的灵活性和安全性。但是服务技术也有着自身的缺陷,那就是有可能会对网络的性能造成一定的影响,而且对于每一个服务器都要进行一次模块的设计,并且建立起相应的网关层,所以其实现往往较为复杂。
2.3状态监测技术及其应用
状态检测技术是一种在网络层来实现防火墙功能的技术,状态监测技术所使用的是在网关上执行安全策略的软件模块,这个模块被称为监测引擎。监测引擎不同于服务器,不会对网络的正常运行造成任何影响。并且监测引擎还可以采用抽取有关数据的方法来对网络通信的各层进行检测,抽取相应的状态信息,然后动态的加以保存并将其作为以后执行安全策略的一个参考。除此之外,监测引擎还可以支持多种协议及应用程序,还可以有效的实现应用和服务的扩充。相比于之前的两种防火墙技术而言,状态监测技术可以更好地对用户的访问请求进行处理,因为状态监视器会抽取有关数据来进行分析,然后再通过对网络配置和相应的安全规定的结合,来做出相应的接纳、拒绝、身份认证、报警或者给该通信加密等一系列的处理动作。
作者:李慧清 单位:内蒙古化工职业学院
引用:
[1]赵俊.浅谈计算机防火墙技术与网络安全[J].成都航空职业技术学院学报:综合版,2012.
篇4
关键词:防火墙;类型;安全性
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01
Firewall Design and Application
Lu An,Yang Tianyi
(Chongqing University,Chongqing400715)
Abstract:The firewall as a system of infrastructure,its role is to cut off the communications network controlled by the main trunk route through the controlled safe handling of any communications.There are currently firewall packet filtering,application proxy,and state detection of several types.Firewall security depends on whether the firewall is based on the safety of the operating system and using dedicated hardware platform.
Keywords:Firewall;Type;Security
随着网络技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。
一、防火墙技术的涵义
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。实现防火墙的主要技术有:数据包过滤,应用网关和服务等。
二、防火墙在网络中的应用
(一)防火墙系统总体设计
NP系统下实现软件防火墙的设计与应用,实质上就是基于主机的网络安全解决方案。因此,我们完全可以选择合适的软硬件平台和相应的防火墙设计原理,自己开发出一套能够满足要求的防火墙系统。
(二)网络企业的防火墙设置
可以通过一个安全策略的样本来了解防火墙的理想设置:
设置防火墙的正确位置应该在内部网络与外部网络之间,它能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
三、防火墙在网络企业中的运用
了解了什么是防火墙和它的各种特性以及防火墙的部署使用规则之后,结合实际的防火墙产品来说明防火墙是如何在一个网络中起到作用的。
在网络企业中有一款防火墙RG-WALL 50,RG-WALL作为一个路由器运行,因此各接口属于不同的网络。在路由器或L4交换设备中,在安装RG-WALL的位置两侧的设备原先是相互直接连接的,只需一个网络地址即可,但是在中间安装RG-WALL之后,需要新的网络地址体系。模拟真实情况下的企业网络运作情况如图1所示。
图1企业网络中拓扑图
四、基于NP系统防火墙总体设计
(一)NP的防火墙系统主要功能
1.全程动态包过滤 本防火墙要在NP下实现全程动态包过滤功能,通过分析数据包的地址、协议、端口对任何网络连接当前状态进行访问控制,从而提高系统的性能和安全性。
2.提供日志审计 本防火墙配备了日志记录系统和查询工具,用于记录系统管理、系统访问及针对安全策略的网络访问情况。
3.防火墙数据库的备份本防火墙制作防火墙过滤数据库,并且管理员可以能动地对该数据库进行设置。
(二)网络处理器NP简介
网络处理器(NP)是一种可以编程的设备,抑或可以说是一种芯片。它是一种为了进行网络分组处理而特定开发的新型产品,专业的应用于通信领域中的某一特殊任务当中,其本身具有专门的指令集和配套的软件开发系统,因此不仅具有较强的编程能力,而且拥有超强的处理性能,从而可以很好的满足当今互联网络高速发展的需求以及互联网业务多元化、多样化发展的趋势。
(三)防火墙系统设计方案
基于NP的网络系统防火墙由主控单元、网络处理单元和电源三部分组成,其中,主控单元采用通用处理器设计的管理与协处理板;网络处理单元采用基于NP的专用网络处理板,其通过PCI总线与主控单元通信;电源则专为主控单元和网络处理单元提供电源支持。
1.主控单元
主控单元硬件部分采用通用中央处理单元设计的主控板,以便于管理配置网络处理板和运行其它非实时性的安全模块。主控单元的软件包括控制管理和高级安全两部分。控制管理软件接收从Web界面和命令行对防火墙传递的配置信息,并转换为网络处理器识别的信息,发送到网络处理单元的控制管理模块,同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP中实现极大影响性能功能。
2.网络处理单元
网络处理单元采用NP设计专用的网络处理板,其通过外设组件互连总线与主控单元通信。因为防火墙的安全过滤与操作系统无关,并且与防火墙的配置管理及控制相分离,故网络处理器的安全功能模块可以随时升级。
(四)基于系统安全防火墙关键技术
可靠性设计、可扩展设计和精确流控技术是企业应用防火墙系统设计当中非常关键的三个技术。可靠性设计技术可以解决因高频串扰带来的千兆线速丢包问题以及避免操作系统带来的不稳定性和安全隐患问题。扩展设计可以采用模块化设计和模块分层,并逐层封装,配置与控制层提供功能的扩展接口。精确流控技术可以实现WRED算法和丢包算法,以保证当网络发生拥塞时,避免由于误丢包而带来的流量震荡。
五、结论
在当今互联网络高速发展的今天,企业网络所受到的应用层威胁正在日益加剧。应用层不仅成为黑客入侵企业网络的入口,而且成为员工出现泄密等安全事件的优良载体,防御企业网络应用安全正在成为信息主管与首席安全官共同关注的话题。而研制更安全和更快速的应用防火墙系统,将成为今后互联网络发展应用的一个重要课题。
参考文献:
[1]林晓东,杨义先.网络防火墙技术.电信科学,1997,13
[2]黄允聪,严望佳.防火墙的选型、配置、安装和维护.清华大学出版社,1999
[3]肖晓.教育系统网络安全新贵EDU[J].中国教育网络,2005,7
篇5
关键词:网络安全;信息安全;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
网络通讯安全问题主要表现在信息的泄漏、篡改以及非法信息的流传和散播,还包括一些利用网络资源进行非法贸易等问题网络通信安全问题可能给企业带来更为严重的经济损失,必须引起我们我们的高度重视和关注。网路的发展是以开放为基础的,但是又因为这种过渡的开放空间,给很多不法人员带来了空隙可钻,从而给我们的正常网络通讯造成了一定的威胁。网络威胁主要来自于两个方面,一个是对网络硬件和软件的损坏或非法入侵,产生线路的干扰、窃听、病毒传播、信息盗取等等问题;另一个是操作系统出现的问题,导致一些应用方面的问题频发。保证信息技术的安全,是保证我们生活的隐私、工作的严密的重要问题。
一、防火墙的基本含义及工作原理
(一)防火墙的基本含义
防火墙是指通过一些网络设备,对来自于网络的恶意防控程序进行阻挡和控制。网络设备包括很多,主要有计算机、路由器等等。防火墙的工作形式是不同的,而且不同类型的防火墙,所产生的效果也是有很大差异的,但从整体来看,所有的防火墙的工作原理基本都是相同的。他们通过设备对黑客等进行阻拦,通过被拒绝的方式,保证拦截恶意入侵者的目的。使用防火墙需要网络管理人员将防火墙的相关设置进行详细的设定,对于允许访问的信息给予通过的设置,对于不允许通过的信息给予阻挡的设置,从而保证网络通讯的安全进行。
(二)防火墙的运行原理
首先,我们分析一下包过滤防火墙的运行原理。这种类型的防火墙主要是通过对网络信息的进入和发送进行仔细审核分析,它需要在分析之前做好安全信息策略工作,对于已经得到授权的信息,防火墙给予放行,对于没有授权的信息,防火墙则给予拒绝放行的处理,从而达到保证网络通讯安全的目的。
其次,我们分析一下状态检测防火墙,这个防火墙的设置是相对合理有效的一种方式,状态检测防火墙运行在正常的服务器环境中,提供一个应用层的感知系统。在防火墙打开的状态下,信息包被截取,留放在网络层,进而对数据包中的信息进行提取,并及时的保存,保存方式为动态的列表。通过这种方式来验证后续的连接请求,所以,状态检测防火墙实际上是为网络系统提供了高安全性的方案,这对于计算机系统的操作效率有一定的提升,同时,也保证了网络通讯的安全性,是一个不错的防火墙技术。
二、防火墙的几个技术类型
(一)包过滤类型防火墙技术
包过滤型的防火墙是一种常见的防火墙类型,它的技术是根据数据包的源头地址、目的和端口号的信息进行通过权利的授予,必须具有授权的数据包才能通过这个防火墙的关卡,对于一些没有授权的数据包只能被阻挡在防火墙外,这个方法是一个比较强硬的设置方法,有的时候也会阻挡一些有用的信息,但是大多数情况下,它还是起到了一个比较良好的通讯安全保证作用。它的运行特点是只要应用一个简单的路由器设备就可以对网络安全起到保护的作用。而且过滤路由器的应用特点是比较迅速、效率较高,运用起来比较方便,但是也具有一定的缺陷,即对地址的依赖性比较强,对于虚假地址没有强烈的分辨能力和组织能力,而且,由于它主要是针对过滤包进行工作,所以,限制了一些协议的过滤。从一定程度上来说,这种方法的保护作用由于其缺陷的问题被削弱了。
(二)网络地址转换防火墙技术
采用网络地址转换的防火墙技术依靠IP地址的注册,在运行过程中,需要网络管理员对每一个计算机服务器进行IP地址的注册。当内部网络通过安全网卡对外部网络进行访问时,系统会将与外部通信的的源地址映射为一个伪装的地址和端LI与外部网络进行连接,这就将真实的内部地址进行了有效的隐藏;相反,如果来自外部的网络地址对计算机服务器进行访问的时候,通过开放的IP地址进行访问。这个网络地址转换型的防火墙也是根据预定好的映射,针对访问地址继续拧安全情况的分析和判断。这种方法似乎系统很麻烦,但对于用户的使用来讲,没有任何多余的操作环节,正常的操作和使用便可,防火墙的效果也相对较好。
(三)应用防火墙技术
这种防火墙技术主要在应用层进行工作和运行,也对这一层的应用信息进行游侠的监督和控制,它能够做到对网络通讯信息进行完全拒绝的要求,进行相应的程序设定,其具有比较高的安全性能特点,也可以对应用层进行安全性的检测,对恶意入侵的病毒等进行强力的控制和清扫,它的力度较大,效果也比较明显。然而,在其应用过程中也具有一定的问题和缺陷,由于这个类型的防火墙的力度相对较大,所以,它在应用过程中会对网络系统产生比较深的影响,对所有的可能情况都要进行监控,提高了整个网络系统在管理过程中的难度。
(四)状态检测防火墙技术
篇6
近几年越来越多的人开始加强对网络安全技术的研究,使得网络安全技术得到了非常发展,越来越多的新技术开始投入到实际应用中,从而使得网络更加安全。因此,下面我们就网络安全的构成和影响因素进行深入的分析和研究。
1.1网络安全构成
就国内互联网的实际情况来看,当前网络安全主要是由以下几个方面来构成:一是网络实体安全,也就是计算所处的物理环境和设施的安全性,以及计算机一些附属设备的安全,如外设、网络传输线路等等;二是软件安全,其中包括网络操作系统自身的安全性以及在系统中的安装使用的软件不被非法篡改和病毒入侵等;三是数据安全,确保网络中的数据不被非法窃取或修改等,确保信息数据具有一致性与完整性;四是网络安全管理,主要是网络运行中对突发事件所进行的安全处理,其中包括计算机安全技术的使用和网络安全管理制度体系的构建等。
1.2网络机密性
从网络所具有的特征方面来看,网络安全包含着五个最为基本的构成要素:一是机密性。即保证信息数据在未授权的情况下不暴露给没有权限的进程与实体;二是完整性。即只有具有权限的人可以对信息数据进行修改,并对信息数据是否经过篡改做出判断;三是可使用性。具有权限的实体可以对信息数据开展访问,网络攻击者不能在占有所有资源的情况下对具有权限者的工作造成阻碍;四是可控性。即可以对授权范围中的行为方式以及信息流向进行有效控制;五是可审查性。对已经存在的网络安全问题提供有价值的、可调查的手段和依据。
1.3影响网络安全的因素
网络所面临的安全威胁来自于多个方面,其中主要包括以下几点:一是网络能够让信息的收集更加的快捷与方便,并且能够在很大程度上增加信息的价值,同时也形成了对网络黑客的吸引力;二是计算机系统中存在的漏洞难以避免,这让网络入侵时刻存在可能性。计算机系统本身的体系结构安全性欠缺,尤其是操作系统程度允许动态连接的特点也为黑客的入侵创造了更为有利的环境;三是网络系统中信息数据存在于数据库中,这些数据在实现共享的基础上也具有了危险性与不安全性,如具有权限的用户超出自身权限对数据进行修改,没有权限的用户通过绕过安全审核来对信息资源进行窃取等;四是系统中的应用服务协议以及通信协议具有缺陷并存在被恶意利用的可能性;五是当前计算机病毒可以对计算机硬件造成破坏,并可以通过网络对多台计算机造成破坏。随着计算机病毒种类、数量的增长以及病毒变种和机理的演变,病毒的检测和查杀具有了更多的难度;六是网络系统与计算机配置经常发生变化并且具有十分复杂的特点,如果配置不当则容易造成安全漏洞的产生;七是相关人员在网络系统安全方面欠缺认识与重视,没有针对网络安全问题采取有针对性的措施。
2防火墙技术
随着人们对网络安全重视程度的不断提高,人们研究出越来越多的措施来加强网络安全,而防火墙技术是其中最具代表性、最常用的一种方式,因此,下面我们就对防火墙技术的概念、原理、分类进行深入的分析和研究,以便能够充分发挥会防火墙自身的作用和价值。
2.1防火墙技术概念
防火墙的基本含义是在建筑物中用于隔离和减缓火势的墙壁,引申为在网络安全中用于防止恶意袭击的安全防线。防火墙的在网络中引申意义就像原意一样,主要的功能就是防止外部的危险进入到内部进而造成损害,并隔离网络防止损害的扩散。防火墙既可以隔绝外界干扰,又可以限制险情蔓延,还可以保证内部的系统安全。根据功能的不同,防火墙进行工作的方式也是不一样的,通常情况下防火墙的主要构成是硬件和软件设备,究其根本,防火墙最初的作用是为了保护内部数据资源的安全,这是一种访问控制技术,可以通过各种方式来对因特网和内部网络进行隔离,当然。如果有需要的话还可以对因特网中的不同部分进行分离。
2.2防火墙工作原理及特性
对于已经调试好的防火墙,既可以最大限度的做好监控数据流量和筛选网络信息数据的工作,当然还可以对未通过并试图通过其他非正当手段进行数据连接的行为进行及时的记录,并为管理员进行跟踪和管理的依据。主流高品质的防火墙通常有以下几个特征:所有通过因特网进入内部网络的数据流量都必须经过防火墙的检测、通过防火墙检测并得到允许的数据信息才可以进入内部网络、通过防火墙的所有信息流量活动还有信息记录都必须记录下来、具有发现检测预报的功能、防火墙应该拥有破解各类恶意攻击的本领和能力。
2.3主流防火墙的不同分类
主流防火墙由于用途功能不同的原因,通常有以下四种类型:人们在对防火墙进行分类时,主要是通过其不同功能来进行的,其主要有以下几种类型:一是,应用型防火墙。该种类型主要是由于防火墙服务不同的对象、选择的服务方式不同来进行的,通过编写相应的程序,从而为各个对象提供相应的服务,这就能够在最大程度上确保应用信息得到有效监控的作用;二是,包过滤器防火墙,该种类型主要是在传输方面得到广泛应用。其主要功能是有效检测和区分不同的信息数据,从而能够最终筛选出适合的信息,进而将有用的信息传输到其对应的目的地;三是,复合型防火墙,是由最基础的集成电路为结构,由防火墙阻止病毒等恶意信息。四是,状态包检测防火墙,这是以一种将同样属性的数据包连接成一个整体的监测机制,能够做到精确区分各个连接状态的不同因素。
3主流防火墙技术在网络安全中的运用
总的来讲,计算机网络安全就是依据防火墙进行网络的管理工作,并确保工作数据的完整性及隐私性。计算机网络安全分为两种类型,分别是物理安全和逻辑安全。由于使用者是不一样的,网络安全的解读自然就会有很多个不同的版本,举个浅显易懂的例子:大多数网络使用者通常都是简单的认为网络安全就是在自己运用网络进行活动的时候自身的信息不会被窃听或者是篡改,但是对于网络供应商们来讲,计算机网络安全除了上述的含义,还应该拥有保护硬件设备的功能,还应该有出现意外事故进行自我修复回复通信功能的作用。
3.1加密
信息的加密过程一般是这样的:先由信息发送者进行信息加密,接受信息者知晓信息解密得密码,接受信息者在收到信息后,通过使用自身拥有的安全秘钥进行信息的解读,这样就完成了信息的传递工作而不用被第三方拦截。这个措施的使用就是确保信息传递的安全性的。由此可以看出,防火墙技术中的加密技术,能够从根本上确保网络安全,确保企业的信息不被受到侵犯,从而使企业的信息能够在内部进行有效的传递和共享。因此,加密技术已经在当前我国很多企业的网络中得到了广泛的应用。
3.2身份的验证
网络用户得到授权之后,信息的发送者和接受者之间就会联接起一条信息交换的通道并具有一定的安全系数,这样就会大大减少信息泄露的风险,大幅度降低第三方非法用户的参与导致信息资料的不安全性。
3.3防病毒
主要分为防治病毒、检测病毒、清理病毒三个主要方面。
(1)在网络建设中,安装防火墙进行数据信息的控制室时遵循一定的规则和条件的,构建成功后就会拥有一道相对安全的信息保护屏障用于保护内网和外网进行的数据交流,保护不受第三方的数据干扰和信息窃取。
(2)有很多种连接数据网络的方式,通过路由器进行网络连接的方式通常拥有一个C类IP地址,服务器主要类型是WWW、Email等。该网络必然会先进行主干网的连接,访问主干网络信息资源,不允许其他的服务访问。然后,会进行IP地址的详细检查工作,并对信息访问记录进行存储,这些都是为了防止其他非法访问和不正当方式的盗用。
4结论
篇7
关键词:防火墙;网络安全;应用
中图分类号:C96 文献标识码:A
在互联网高度普及和发展的今天,我们的生产生活方式都发生了极大的改变,但是网络安全问题也日渐突出,数据在网络传输过程中泄密、恶意篡改、拦截以及复制问题日益严峻。这些隐藏的安全隐患对人们随时可能造成机密信息的泄露以及计算机系统瘫痪等后果。防火墙技术是一种有效的信息隔离安全技术,对于构建安全的网络信息环境具有非常重要的作用。因此,从这个角度来看,文章对防火墙技术在计算机网络安全中的应用价值进行分析具有非常重要的现实意义。
1防火墙技术
所谓的防火墙是指在不同的网络(主要是指可信赖网络与不可信赖公共网络)之间设置的一系列的安全部件的组合,其主要的作用是在不同的网络之间设置唯一的安全信息入口,根据用户设置的安全策略对出入网络的信息流进行管理。防火墙本身具备较强的抗攻击能力,是一种实现网络安全的基本措施。
(1)加密技术。即信息的发送方先对信息做加密处理,密码由接收方掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
(2)身份验证。通过对网络用户的使用授权,在信息的发送方和接收方之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。
(3)防病毒技术,主要涉及对病毒的预防、检测以及清除三方面。
(4)进侵检测,即对进入系统中未经授权以及异常的信息及时作出预警,以及时检测出信息系统中的安全威胁。
(5)扫描漏洞。通过对网络信息系统中的文件及数据加以扫描,进而查找出其中可能受到黑客威胁的漏洞,通过此扫描过程,预先评估并分析出网络系统中可能受到黑客利用的漏洞,可以在很大程度上保障网络信息安全。
(6)信息防火墙,即通过对网络传输数据的检测及限制,避免外部非正当信息的侵入,最大程度的保障网络内部的信息安全。
网络防火墙本身就如一堵墙壁,将内部私人可信赖的安全网络与外部公共不可信赖的网络进行隔离,从而起到区域网络的不同安全区域的防御作用,其结构如图1所示。
成如图1所示,防火墙在内网与互联网之间起到信息安全管理的作用,通过一系列的安全策略,对互联网进入内网或者内网进入互联网的信息进行管理,从而起到保护用户数据和系统安全的作用。
2防火墙设置的基本原则
计算机网络防火墙的设置主要需要遵循如下几个方面的基本原则:
(1)简便实用原则
所谓的简便实用原则是指我们在防火墙的环境设置方面,需要确保其越简单越好,因为越简单的实现方式,就越容易实用,而且也不容易出现问题,即使是出现问题也相对容易解决。
(2)全面深入原则
防火墙具有许多的网络防护功能,但是任何一种单一的防御措施在实际上都无法有效的保障系统的安全。因此,在防火墙设置的时候,我们需要综合运用各类功能,构建起全面、多层次的网络安全防御体系,尽量使得各方面的设置能够均衡、协调,相互加强,从根本上加强计算机的网络安全防护能力。
(3)内外兼顾原则
所谓的内外兼顾的原则,主要是针对防火墙的技术特点而言的,由于防火墙个是防外不防内的。但是,从计算机网络安全的实际情况来看,其80%的威胁都是来自于内部,因此在进行防火墙设置的时候,要加强主机防护,从入侵检测、漏洞扫描以及病毒的查杀几个方面有效的提高防火墙的防护能力。
3计算机网络防火墙的具体设置
为了更好的发挥计算机网络防火墙的功能,提高计算机安全性,依据上述的设置原则,可以在如下两个方面进行防火墙的设置:
(1)网络防火墙的功能设置
在功能设置方面,首先需要在上网之前开启防火墙,然后进行安全等级的设置,如果有固定IP的用户,设置为中等即可,这是以往IP固定的用户一般是局域网用户,局域网本身就有一定的网络防护功能,中等等级的设置即可。同时,要打开防火墙的各项针对性的功能,比如网页安全防护、聊天安全防护、下载安全防护、局域网ARP供给防护等等。对系统内部则要打开键盘记录防护、文件系统防护、驱动防护、进程防护以及注册表防护等几个方面的功能。
(2)网络防火墙的规则设置
一般的,网络防火墙是有自身的默认规则的,但是这些规则只针对计算机最为常见的木马与漏洞,但是对于刚爆发的新木马与漏洞,网络防火墙旧有的规则无法使其胜任保护计算机网络安全的任务。因此,我们需要对网络防火墙的规则进行设置。
首先,可以通过利用反病毒厂家提供的相关信息,对病毒、木马以及计算机安全漏洞的分析结果进行综合分析。然后,在上述分析的基础上,根据自身的实际需要以及当前的网络安全现状,进行规则设置。比如,对ICMP IGMP炸弹可以设置echo requset拦截规则,拦截ICMP的1型,从而有效防止黑客侵入。具体的规则设置因人而异,因时而异,需要灵活运用,文章不就此过多赘述。
结语
网络技术的发展和普及在给我带来各种便利的同时,也使得网络信息安全态势日益严峻。防火墙是一种有效的计算机网络安全防护技术,文章研究了网络防火墙技术及网络防护墙的设置基本规则,然后在此基础上,文章对计算机网络防火墙的功能设置以及规则设置进行了探讨。然而,我们也应该认识到,网络安全是一项综合性的课题,需要通过各方面的全力协作才能够找到更好的网络安全解决对策。希望本文的研究对于推动计算机网络安全建设能够起到一定的参考作用。
参考文献
[1]杨春波,张崇俊.防火墙技术的现状与发展趋势的探讨[J].福建电脑,2006(02).
[2]王迪.防火墙技术及攻击方法分析[J].湖南民族职业学院学报, 2007(04) .
篇8
关键词:防火墙 VPN 网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)03-0186-01
目前,随着计算机在各个领域的迅速普及,计算机在人们的生活中的所起的作用越来越重要,整个社会对计算机的依赖程度也随之加大。随着计算机技术的发展,网络安全问题也不容忽视。众多网络安全事件时有发生,这使得网络安全技术的发展得到了广泛的关注。而防火墙作为最有效的手段,得到了迅速的发展。防火墙是在内部网络和外部网络之间、专用网和公用网之间的保护屏障。可以有效的控制内网和外网之间的数据传输与访问。可以有效的避免外网的不信任用户用非法手段进入网络,从而保证内网信息的安全性。虚拟专用网络是目前最常用的信息安全隧道技术。利用虚拟专用网建立一条加密的可靠的数据连接信道,让信息传递更加安全。
1 防火墙
防火墙的发展经历了多个不同的阶段。
1.1 包过滤技术(packet filtering)
早先,防火墙主要是对每个数据包都进行检查,以包过滤防火墙为代表,对于到达防火墙的数据包检测其IP地址信息、协议信息、端口信息等来确定是转发还是丢弃。包过滤技术有对于小型网络来说实现简单、效率高、速度快的优点,但是包过滤技术同样存在不能分辨数据包内的内容,可能存在病毒安全的隐患的问题;包过滤的规则指定比较复杂。
1.2 状态检测(stateful-inspection)
在包过滤检测技术的基础上新发展起了一种技术为状态检测技术,该技术的实质为动态的包过滤技术。此状态检测技术具有更好的灵活性和安全性。状态检测技术主要是在不影响正常通信的前提下,抽取网络中的数据,并对抽取的数据进行检测,如IP地址、协议类型信息、连接状态信息等,通过抽取的部分状态信息,动态的保存,对连接状态进行识别。状态检测技术具有更好的灵活性和安全性。
1.3 型防火墙技术(proxy)
一部介于内部网络和外部网络之间的服务器,不允许内部网络直接对外部网络进行各种操作,内部网络的用户的各种操作需要通过进行转接,从而实现对外部网络的间接访问。在数据中起到上传下达的作用。型防火墙技术的主要优点为对网络服务可以提供有效的监控,同时可以对数据包进行处理,甚至可以对内容进行处理,但是缺点是对用户不透明,不能增强底层协议的安全性。
1.4 分布式防火墙(distributed firewall)
分布式防火墙提供了更为安全的防火墙,可以同时防范内部网络和外部网络的攻击,成为发展的一个重要方向。分布式防火墙为一种新的防火墙体系结构,其结构包括网络防火墙、主机防火墙以及中心管理控制服务器。分布式防火墙提供了更加灵活的网络拓扑结构、网络安全规则的定制也由中心管理控制服务器做集中控制和管理。分布式防火墙建立单一点的脆弱,更加安全的保护网络。
2 VPN技术
VPN(virtual private network,虚拟专用网)是近年来网络中最为常用的构建信息安全的技术,受到了广泛的关注,虚拟额专用网是在公有网络中建立私有的数据通讯的网络,即提供一条端对端的通讯,可以保证数据信息的安全性。VPN采用的关键技术包括隧道技术、加密技术和密钥交换技术。
(1)隧道技术是一种通过使用网络的基础设施,在网络中传输数据的一种方式,用隧道传输数据的优点在于可以传送不同协议的数据包。隧道技术是将原始数据包添加新的IP包头,并在隧道中进行传输,将数据转发到目的节点,到达目的节点后,去掉IP包头,得到原始数据。也就是说,隧道技术即为数据包的封装、传输和解包的过程。隧道技术实际上时将一种协议的数据单元封装在另一种协议中传输的技术。(2)加密技术是保证数据包在传输过程中完整性和安全性的技术,一般是在数据传输之前将数据进行加密,当数据到达目的节点后再对数据进行解密。常用的密码技术包括对称加密算法和非对称加密算法,常见的对称加密算法为DES、AES、3DES等集中。由于对称密钥加密算法快,适合大规模数据的加密,因此VPN中常见的加密算法为对称加密算法。非对称加密算法为RSA算法和Diffie-Hellman算法。(3)密钥交换技术;采用密钥交换协议对访问者身份进行验证,以提高传输的安全性,防止非法用户窃取密钥。同时密钥交换协议提供了多种验证方式对身份进行验证,以保证数据传输的安全性。这些验证方式包括PAP、CHAP、MS-CHAP、SPAP、EAP等。虚拟专用网VPN因其安全性和方便快速地组网特点已经被广泛应用。
篇9
关键词:分布式防火墙技术;特点;应用
中图分类号:S762.3+3 文献标识码:A
前言
近几年来,随着互联网应用的飞速发展,人们在享受网络带来的诸多便利的同时,也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击,使政务、商务等信息系统能正常运行,将成为影响企业利益、国家安全和社会稳定的重要因素。因此,作为新一代的网络安全技术,分布式防火墙技术已应运而生。
一、分布式防火墙的概念 针对传统边界防火墙的缺欠,“分布式防火墙”(Distributed Firewalls)的概念被专家学者提出来。因为它要负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分: 1、 网络防火墙
这一部分有的公司采用的是纯软件方式,而有的可以提供相应的硬件支持。它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界式防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。不过在功能与传统的边界式防火墙类似。 2、主机防火墙
同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护,比起网络层更加彻底。
3、 中心管理服务器
中心管理服务器是整个分布式防火墙的管理核心,这是一个服务器软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
二、分布式防火墙的主要特点
1、主机驻留性
分布式防火墙是一种主机驻留式的安全系统。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
2、类似个人防火墙
针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处,如都对应个人系统,但两者的差别又是本质的。首先,它们的管理方式不同,个人防火墙的安全策略由系统使用者自己设置,目标是防止外部攻击; 而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置,除了对该桌面系统起到保护作用外,还对该桌面系统的对外访问加以控制,并且这种安全机制是使用者不能改动的。其次,个人防火墙面向个人用户,而针对桌面应用的狭义防火墙面向的是企业级用户,是企业级安全解决方案的组成部分。
3、适用于服务器托管
不同的托管用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。对于安装了中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。
4、嵌入操作系统内核
主要是针对目前的纯软件式分布式防火墙。操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。
三、分布式防火墙技术的主要优势
1、提高了系统性能传统防火墙由于具有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点,而使这一问题迎刃而解。另一方面,分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运行效率。
2、系统的可扩展性因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
四、分布式防火墙技术的应用
1、利用分布式防火墙堵住内网漏洞随着网络安全技术的不断发展,传统边界防火墙逐渐暴露出一些弱点,具体表现在以下几个方面。(1)受网络结构限制边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。(2)内部不够安全边界防火墙设置安全策略是基于这样一个基本假设:企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些不必要的协议通过,从而阻止了非法入侵的发生。(3)效率不高与故障点多边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。
2、利用分布式防火墙查杀病毒企业级防火墙作为企业网络安全的“门神”,有着不可替代的作用。但实践证明,企业级防火墙也不能令人完全满意。与企业级防火墙相比,个人防火墙(主机防火墙)可以有效地阻止内部网络攻击,并且由于防护节点在主机,可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题,没有统一整体的管理,个人防火墙也不会起到应有的作用。分布式防火墙技术的出现,有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙为例,它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器,可以对网络内每台计算机上的防火墙进行配置、管理和更新,从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行,也可以通过Iternet实现远程管理。另外,对于应用较简单的局域网,网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。
结束语
只有加强对分布式防火墙技术的应用研究,使它最终形成了一个多层次、多协议、内外皆防的全方位安全体系,才能满足人们对防火墙技术日益增长的需求。
参考文献
[1] ,李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).
篇10
【关键词】内部网络;外部网络;安全计算机技术;信息技术
随着当前社会和科学技术的不断发展和应用,网络化通信已成为信息发展的中心,是推动社会进步,存进社会发展的主要手段。互联网,因特网的不断利用为当前各种先进技术和信息的交流打下了基础,为当前社会发展过程中的各种应用手段提供了前提,更为企业在市场发展中的市场认识和市场变动奠定了认知基础和前提。在当前科学技术飞速发展中,网络技术可以说是已成为当前各个国家,各个地区应用的主要手段,早已覆盖了整个世界的各个角落,成为各行各业发展的重点和主要手段。但是随着社会发展中,网络通信技术中的各种问题和隐患也逐步的成为影响通信良好发展的前提基础,更是影响社会因素健康发展的前提基础,在这些隐患和问题中以网络安全隐患和故障为最,是当前信息影响的主要因素和方式。
1、网络防火墙安全问题
网络就好比是一座城市,是一个综合的大型城市,其中存在着各种问题和因素,也存在着诸多的影响和制约关键。网络在刚开始成型的过程中就如同是一座不设防的城市,其在使用的过程中受到各种严重的攻击与侵害,是影响网络安全,制约网络信息传输速度和计算机运行功率。在当前构成网络安全隐患的主要因素和方式有木马、病毒和蠕虫。在这三种职业因素中,蠕虫利用应用最广的电子邮件上的漏洞,在网上猖狂传播,对网络传递中的各种文件进行无休止和耗费和占用用户的存储空间,进而控制其服务器的手段。木马是当前计算机网络使用过程中的重要手段,是潜伏在网站和计算机中,在不备的时候窃取各种信息资源和资料,是当前黑客在攻击的过程中主要的使用手段和方式,更是其而已控制和截取各种资料的关键所在。至于病毒,是通过人为手段编写出各种恶性程序来影响计算机运行和信息传递的过程,进而造成计算机网络的瘫痪。
2、防火墙功能概述
防火墙是一个保护装置,是当前计算机网络使用过程中的主要防护措施和防御工具,是对带各种安全隐患和恶意攻击的主要手段和保证基础。通常是指运行特别编写或更改过操作系统的计算机,它存在的主要作用和目的是保护计算机使用过程中的内部网络安全和网络访问中的各种畅通运行的目标。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,更是对多个网络故障和网络进行保护和共同利用的过程。它主要的保护就是加强外部Internet对内部网的访问控制,通过畅通和允许其安全性的各种访问手段和措施保护计算机的使用流程,是通过对各种恶性网络连接的组织行为。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。在当今,随着网络化的发展,我们总结对计算机网络的入侵和攻击,其主要的方式和基本手段可以归纳为以下几种:①黑客入侵;②计算机病毒的攻击;③信息的泄露、盗取和破坏;④是计算机使用的过程中内外部人员相互攻击的过程和手段⑤线路连接过程中被有心人利用和干扰,形成信息的泄露和窃听,⑥拒绝服务或注入非法信息;⑦修改或删除关键信息;⑧在计算机使用的时候由于身份截取或称为攻击的目标,⑨人为地破坏网络设备,造成网络瘫痪。在这些因素和安全隐患形成的过程中主要的形成原因在于:①局域网存在的缺陷和Internet的脆弱性;其中存在着各种防范失误和防范安全意识的不够强。②薄弱的网络认证环节和系统易被监视性;③在各种软件和网络服务器设置中存在着严重的漏洞,这些漏洞为各种有心人打下了基础,造就了侵入前提。④缺少准确的安全策略和安全机制;⑤网络安全技术、工具、手段和产品等落后了,没有跟上科技的发展;⑥在计算机使用的时候没有形成先进的备份和系统恢复理念,使得容易受到各种因素的影响造成在使用中的隐患因素。⑦主机的复杂设置和复杂控制;⑧没有认真对待黑客和病毒对计算机的危害和对自己通信技术在使用中的安全隐患,造成在使用中各种问题和物力浪费。只要我们充分认识安全问题的严重性,严格按照安全规则处理,增加网络在使用的过程中各种防范措施和安全性就能够在使用的过程中设置出良好的防护体系。
3、防火墙主要技术特点
在当前社会发展的过程中,随着人们对网络安全意识的不断加深,防火墙在使用和研究的过程中也逐步的朝着新阶段进行,成为当前网络安全的重要保护手段。当前的网络安全控制手段和控制过程中主要是通过对网络数据的控制、过滤为基础进行网络安全的保护和防范措施。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略是通过这种策略进行网络信息安全传递的过程和技术手段,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
4、网络服务访问策略
网络服务访问策略是当前网络安全保障的前提和基础,是通过其对计算机网络安全进行相应保护的重要手段,是当前社会发展中对网络安全的高层次、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还通过在当前使用的过程中各种拨号手段和保护措施是还有段进行相关的访问和保护应用前提。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。是当前网路防火墙安全使用过程中的相应保护手段和保护方法。
5、防火墙的设计策略
防火墙是要根据实际应用和相应的规章制度来设计并实施网络服务的访问策略。是以过滤和控制网络数据为基础的。
6、设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;提供的一些保护措施有时能能否导致一些负面影响,如网络使用中打不开网站、无法顺利下载、不能传输文件等等。这就要求我们的设计者来考虑负面影响会有多大,是否值付出这种代价;站点的安全性和可用性相比较,怎样取舍等。
