防火墙在网络中的应用范文
时间:2023-10-20 17:25:30
导语:如何才能写好一篇防火墙在网络中的应用,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、防火墙技术在网络安全应用中的重要性
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面:
1.网络安全的屏障
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
3.监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
二、防火墙技术在网络安全中的应用现状
随着防火墙技术的不断更新,新型的防火墙技术安全性能更高,它综合了过滤和技术,克服二者在安全方面的缺陷,不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、ARP、ICMP、SYNFlood等共计手段方面有明显的优势和效果,增强了服务,并使其与包过滤相融合,加上智能过滤技术,使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种:
1.分布式防火墙技术,指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品,广义上讲,分布式防火墙是一种新的防火墙体系结构,包括用于内外部网之间和内网之间防护的网络防火墙、对网络中服务器和桌面机保护的主机防火墙、用于保护网络中单一设备的中心边界防火墙等。
2.嵌入式防火墙技术,指内嵌于路由器或交换机的防火墙,通常也被称为阻塞点防火墙,这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络程序、入侵检测告警程序和防病毒程序等,确保企业内部和外部的网络安全。
3.职能防火墙技术,通过利用统计、记忆、概率和决策的职能方法对数据进行识别,并达到访问控制的目的,由于这些方法多时人工职能学科采用的方法,也统称为职能防火墙,通常这种防火墙的关键技术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术、AAA技术等。
虽然防火墙技术越来越成熟,功能也越来越强大,但依然存在一些不足,主要表现在以下几个方面:
1.不能防御不经过防火墙的攻击,显而易见,若果防火墙布置在企业网络的边界 ,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接与外网连接的话,防火墙就不起作用。
2.不能防御计算机病毒的攻击,计算机病毒攻击的方式层出不穷,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙常常无能为力。
3.防火墙自身存在安全漏洞,无论是硬件还是软件防火墙,都会或多或少的存在设计漏洞,一些不法分子可能会利用这些设计上的漏洞绕过防火墙对系统进行攻击。
4.对防御数据驱动式的攻击无能为力,作为一种常见的攻击方式,但其每次通过防火墙时的数据却都是符合规则的,但这些数据组合以后就会对系统进行破坏。
5.以损失有用服务为代价,为了信息安全,我们通常会关闭一些不必要的服务,但这些服务中也有许多有价值的服务信息,虽然可以一定程度上提高计算机应用的安全性,但也必须以放弃一部分使用价值为代价。
三、防火墙技术的未来发展趋势
针对目前防火墙不能解决的问题以及越来越多的网络攻击方式的出现,对防火墙技术也必将有更高的要求,未来将向高速度、多功能和安全性更高的方向发展,其未来发展趋势可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来实现。
1.在防火墙包过滤技术发展方面,首先安全策略功能会更加强大,新的防火墙技术会把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,使得用户在身份验证方面的安全功能增强。其次,加强防火墙的多级过滤技术,通过多级的过滤技术并配合其它方面的鉴别手段,可以从不同层面过滤掉所有的源路由分组、假冒IP源地址、禁止出或入的协议、有害数据包、控制和监测互联网提供的所有通用服务等,在一定程度上弥补单独过滤技术的不足。同时,新的防火墙技术或会增加更多的扩展功能,甚至包括防病毒和入侵监测等主流功能。
2.在防火墙体系结构发展方面,随着互联网用户的增加,以及用户对网络的更高要求,防火墙技术也必须以更加快速的数据处理来满足显示要求。目前出现的基于ASIC的防火墙和基于网络处理器的防火墙都在不同程度上顺应着这种潮流,这两种防火墙技术性能虽然得到了大幅度的提高,但是,它们依然有其不足之处,如基于ASIC的防火墙是使用专门饿硬件处理网络数据流,但纯硬件的ASIC防火墙缺乏可编程性,使得其灵活性大打折扣。而基于网络处理器的防火墙虽然属于基于软件的解决方案,而且灵活性更强,但其作用的发挥很大程度上取决于软件性能的好坏。因此比较理想化的解决方案是增加ASIC芯片的可编程性,使其能够更好的和软件想配合,这样才能同时满足运行性能和灵活性能的要求。
3.在防火墙的系统管理发展方面,分布式和分层的安全结构的集中管理方式是未来的发展趋势,这种集中的管理方式不仅能降低管理成本,而且能在网络安全中保证策略的一致性,使得防火墙能够起到快速响应和快速防御的效果。其次,未来防火墙的系统管理方面将拥有更加强大的审计功能和自动日志分析功能,通过这些方面的加强,能够更早的发现潜在的威胁并采取有效地预防措施,在日常中,通过其日志分析功能,能够及早的帮助计算机管理员发现系统中可能存在的安全漏洞,对做到早预防和调整安全管理策略是必不可少的。最后,网络安全产品的系统化也是未来的发展的趋势,因为目前的防火墙技术难以满足当前的网络安全要求,通过建立以防火墙为核心的安全体系,就可以为内部网络提供更多的安全保障,使各安全技术各司其职,从各个方面防御外来入侵。
参考文献
[1]马东辉.入侵检测系统与防火墙在教育网络中的互动应用研究[D].中国石油大学.2011年
[2]刘波.防火墙穿透技术的研究与实现[D].沈阳工业大学.2009年
[3]黄晗辉.防火墙规则的异常检测及优化研究[D].重庆大学.2010年
[4]陈文惠.防火墙系统策略配置研究[D].中国科学技术大学.2007年
篇2
关键词:防火墙;数据包;;认证
当今我们已经步入网络信息时代,校园中的教职工和学生在通过校园网络获取信息的便利时,又滋生出了新的网络安全问题。为了尽量避免资料被丢失、数据被篡改、密码被盗等恶性事件的发生,在校园网络中应建立起一套网络安全体系,特别是从制度和措施上建立起有自己特色的网络安全体系。其中“防火墙”是其必须要考虑的安全保障技术之一。
防火墙(硬件或软件)是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
根据其防范的方式和侧重点的不同,防火墙可分为三大类。
(1)数据包过滤:数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表。通过检查数据流中每个数据包的源地址、目标地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性和透明性好,它通常安装在路由器上,路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
(2)应用级网关:应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用级网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)服务:服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接,由两个终止服务器上的链接来实现,外部计算机的网络链路只能达到服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
根据以上特点,校园网络在设置防火墙时应当从以下几个方面着手。
(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。
(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。
(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。
(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。
(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。
(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。
总之,要做到校园网络安全,防火墙技术是非常重要的网络安全屏障之一,但要确保网络安全仍必须要从全方位着手,重点还要从管理和安全意识上下功夫。否则即使技术上再先进,也有可能因为人为的疏忽大意而造成资料丢失、泄密等。
参考文献:
[1]唐正军, 李建华. 入侵检测技术[M]. 北京: 清华大学出版社, 2004.
[2]马晓春.防火墙技术在网络入侵检测系统中的应用研究[D].西安:西北工业大学,2005.
篇3
关键词 防火墙;计算机网络;应用;探讨
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)21-0107-01
近年来,黑客攻击网站的事情时有发生。尽管网络给我们带来了便利,但因为计算机网络安全问题而出现的个人信息泄露、网银密码泄露等事件屡见不鲜。为了维护我们在网络上应享有的正当权益以及保护我们的个人信息,对计算机网络防火墙技术的探讨是很有必要的。
1 防火墙技术的简介
防火墙是一种由软件和硬件结合起来而形成的网络安全系统。防火墙的主要作用是在内部网络和外部网络之间建立起一个筛选的过程,避免外部网络的不安全因素进入内部网络并给内部网络造成损坏。防火墙的这个作用能有效避免内部网络遭受外部网络的病毒的入侵,使内部网络的文件丢失或者被盗取给内部网络用户带来损失。防火墙除了能将外部网络的不安全因素筛选出来以外,还能使内部网络的用户设置允许访问内部网络的名单,这一特点给计算机的网络安全带来了很大的保障。内部网络用户设置了内部网络的访问名单以后,只有有访问权限的人才能进入内部网络,没有访问权限的人则无法访问内部网络。防火墙的这个特性能极大地避免外来者未经用户允许进入内部网络的情况的发生。
2 防火墙技术的类型
防火墙技术可以有很多种分类的方法,其中包括依据构成防火墙的物质的不同来对防火墙进行分类、依据防火墙针对安全问题的解决方法来对防火墙进行分类、依据防火墙的构造来对防火墙进行分类以及依据防火墙起作用的地方来对防火墙进行分类。
2.1 依据构成防火墙的物质的不同来对防火墙进行分类
依据构成防火墙的物质的不同来对防火墙进行分类的话可以把防火墙分为三个类型。这种分类分出来的防火墙类型是软件构成的防火墙、硬件构成的防火墙以及芯片构成的防火墙。
软件构成的防火墙有一定的局限性,只有在指定的计算机上,软件构成的防火墙才能工作。如今的计算机操作系统非常多,不同的计算机操作系统的兼容性也不一样。就比如在某些操作系统中软件构成的防火墙能工作,但在其他的操作系统中软件构成的防火墙不能工作。因此要想软件构成的防火墙工作,就要选对能使防火墙适应的操作系统。
硬件构成的防火墙是以PC作为它的间架结构的。硬件构成的防火墙没有独有的硬件平台。在中关村等电子产品比较丰富的地方,出售的防火墙都是这种类型的硬件构成的防火墙。
芯片构成的防火墙与硬件构成的防火墙相比较最大的特点就是有它自己的独立的硬件平台,它和软件构成的防火墙相比较而言芯片构成的防火墙没有软件构成的防火墙所具有的操作系统。但因为芯片构成的防火墙有着独特的芯片,因此芯片构成的防火墙在所有防火墙种类中的工作速度最快以及解决问题的能力要更强。
2.2 依据防火墙针对安全问题的解决方法来对防火墙进行分类
依据防火墙真的安全问题的解决方法来进行分类可以把防火墙分为三个类型。运用这种方法进行分类所得出来的防火墙的类型分别是包过滤类型的防火墙、应用以及类型的防火墙和状态监测类型的防火墙。
包过滤类型的防火墙顾名思义就是通过对文件进行过滤来达到保护内部网络的目的的防火墙。它所运行的地方是在网络层和传输层,文件如果通过了过滤是安全的就会被传输进内部网络,如果文件没有通过过滤被检测出来存在安全问题,那么,这个文件就会被丢弃,不会让它进入到用户的内部网络。
应用以及类型的防火墙的运行原理是对不同的应用程序实行不同的,用这种方法来完成对外部数据传输进内部网络的监控。
外部网络的信息传入到内部网络时会进行分类,状态监测类型的防火墙的运行原理就是把这些分类以后的信息进行调整,然后根据不同时段所分类出来的信息进行一个总的判断,最后来判定能不能让信息进入到内部网络。
2.3 依据防火墙的构造来对防火墙进行分类
依据防火墙的构造可以把防火墙分为三个类型。这三种类型的防火墙分别是只有一个主机的防火墙、由集成电路构成的防火墙以及分布式防火墙。只有一个主机的防火墙是比较老的防火墙,目前大部分防火墙都不只有一个主机,其主要原因是因为它的价格比较昂贵。由集成电路构成的防火墙就目前来说是这三种防火墙中应用得最多最广的,它的价格比只有一个主机的防火墙要便宜许多。而分布式防火墙是最新的一种防火墙,它的性能是非常优秀的,但因为在三种防火墙中它的价格最贵,所以在目前应用得并不是很广泛。
2.4 依据防火墙起作用的地方来对防火墙进行分类
依据防火墙起作用的地方来对防火墙进行分类的话可以将防火墙分为三类,分别是位于网络边界的防火墙、软件构成的防火墙以及分布式的防火墙。
位于网络边界的防火墙工作的地方是在内部网络和外部网络的边界上,它所工作的原理是通过把内部网络和外部网络分开来达到保护用户的内部网络的目的。位于网络边界的防火墙一般都是由硬件构成的防火墙,因此如果要买的话金额是比较多的。
软件构成的防火墙通常都工作于单独的内部网络,只保护一台计算机,这种防火墙的购买金额是最低的,因此,它的防护作用也是最差的。
分布式的防火墙在上文已经提到过了,它的构建是最复杂的,它的构建既有软件也有硬件。分布式防火墙不仅可以对外部网络的文件传输进行筛选,还能对内部网络之间传输的数据进行过滤。
3 防火墙的作用
防火墙的作用经过归纳总结一共有5个:①过滤掉不安全的文件;②避免外人在未经主人允许的情况下进入内部网络;③禁止用户访问一些非法的网站;④对网络进行实时的监控;⑤避免用户的文件被非法盗取。
4 小结
本文简要介绍了防火墙的概念涵义以及防火墙的种类,并就防火墙种类的划分原则进行了简单介绍,随着计算机网络的发展,网络安全势必会成为人们关注的焦点问题,我们必须基于现有的防火墙水平,不断创新防护技术,实现更好的防护效果。
参考文献
[1]林汉祥.浅析计算机网络安全及防范[J].计算机光盘软件与应用,2013(15).
[2]白会民.基于防火墙技术的计算机网络安全问题探讨[J].消费电子·理论版,2013(2).
[3]张润秋,张庆敏,张恺.基于防火墙技术对网络安全防护的认识[J].计算机光盘软件与应用,2013(15).
篇4
【关键词】 ISA 防火墙 多重网络
ISA firewall technology in the enterprise application of multi-networking
Abstract: With the continuous development of network information technology, enterprise network is facing more and more applications and challenges, and firewall technology is the key to communication and communication between the internal network and the external Internet network. This paper introduces the realization of ISA firewall technology in the complex network environment, analyzes the characteristics and advantages of the technology, and explains its practical significance in the multi network information management.
Key Words:ISA; Firewall; Multi-networking
引言
对现代企业而言,互联网已成为一个不可或缺的平台,经过几十年的发展,Internet已将几乎所有企业网络直接或间接的联接起来。在这个无处不在的网络体系中,从使用范围和安全角度来划分,企业网络的应用一般可分为内部网络(Internal network)和外部网络(External network)应用。通过防火墙、路由器等软硬件措施可保障各个应用的安全运行和相互联系。随着我国信息化进程的进一步加快,企业网络应用的环境也变得日益复杂、多样和多变。许多企业需要通过Internet连接总公司网络、各地分公司网络、外地VPN(虚拟专用网络)客户端、DMZ(屏蔽子网络)、各种受保护的专用网络(如:电话会议、视频会议网络)等,如何将这些网络联接起来,并且确保网络之间传送数据的安全性,成为各级企业网络管理人员所要解决的问题。也就是说,随着业务规模的日益扩大和应用需求的不断增多,原本形式单一的企业网络面临复杂多重网络环境的挑战。
一、多重网络环境中的应用需求
天华化工机械及自动化研究设计院有限公司(天华院)是中国化工集团公司旗下重要的集科技、研发、生产制造为一体的企业。该院的企业网络与Internet的连接原本是由Windows Server2003提供服务器和防火墙管理,网络系统仅满足于本企业的Internet/Intranet应用需求,提供较单一的内网Web、E-mail以及其它网络应用服务。该网络按照B类私用网络编址,在局域网内没有划分VLAN,仅按照分属部门的不同划分了IP地址段。
2012年起,集团公司为逐步整合和加强对子公司的信息管理,统一规划了其下属企业的网络布局,在全国各地为各个分支机构提供SSL VPN接入服务,子公司、下属各企业通过VPN专线安全的接入化工集团内部网络,访问集团的Protal、OA、集团邮箱、ERP、视频会议等应用系统。
从表1可以看出,根据新的网络规划,天华院企业内部网络需重新划分为多个VLAN,以便为规范管理不同的设备、应用服务。同时,由于管理的需要,院区内不同的研究所、设计室和部门,甚至同一部门中的不同个人因为职务、职责的不同,也拥有不尽相同的内外网(Intranet/Internet)访问权限和对各类网络应用的使用权限,这些权限务必能够通过随时根据需要进行调整和变更。为根据这些原则能够方便的管理处于企业园区内不同楼宇、不同物理节点上的计算机及其使用者,必须由服务器提供管控手段。另外,由于引入视频会议的实际情况,需要同时引入两个不同运营商的网络线路,中国电信20M带宽光缆提供基础的Internet接入服务,中国移动2M光缆提供专线视频会议服务。整个网络环境由于应用需求的猛增和管理控制的多样变得愈加复杂,为网络管理部门提出了新的要求和难题。
二、ISA Server的技术特点
ISA(Internet Security and Acceleration)Server是Microsoft推出的集防火墙、服务器于一身的服务器端软件,它同时有服务器(客户端共享上网)、防火墙(安全连接Internet、安全网络内各项服务如Web、FTP、E-mail到Internet上、提供安全的VPN连接)功能。当企业网络接入Internet时,Internet为企业提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和管理性等有关的风险和问题。ISA Server提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA的服务器中的“缓存”功能是业界最好、速度最快的,使得企业网络可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
ISA Server为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,通过状态信息包检测、应用层过滤、和全面的工具,穿越不同的网络层面,保护您企业内部网络的应用系统、服务、和数据的安全。相对于其他防火墙解决方案,Microsoft ISA Server的主要优势包括了它的高级应用层检测和保护功能,易于使用,提供快速、安全的Internet访问的能力,分布式防火墙集中管理能力,以及易于与目前的防火墙和 VPN 结构集成的功能。
三、ISA 在多重网络中的技术实现
天华院原有的网络系统即是由Windows Server2003提供简单Web服务,由于网络结构形式比较简单,仅仅使用二层交换设备。为在多重网络环境中实现新的服务功能,网络 升级改造并引入了ISA Server企业版防火墙系统,同时增加三层交换设备解决网络中的子网划分问题。
3.1 防火墙
首先,须将ISA Server设置为整个企业网络的防火墙(Perimeter Firewall),增加一个DMZ网络区域来专门放置要的服务器。也就是说,在这个架构中,ISA Server通过三个接口将三个网络联接起来:内部网络(Intranet)、互联网(Internet)、边界网络(Perimeter network)。其中,边界网络又称为DMZ(Demilitarized Zone,非军事区)或是屏蔽子网络(Screened subnet),在这个区域专门放一些重要的服务器。将企业内部的Web、FTP、E-mail CNKI Server等放置在这个区域内,最重要的作用是这些服务器不但现在可以服务于内部网络,将来可能要通过ISA安全的到互联网上。
3.2 通过三层交换实现VLAN
根据集团公司对企业网络统一规划要求和对子网分配方案,天华院的企业网络需要重新划分为多个VLAN。原有的二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。尽管基于MAC地址的VLAN能够在二层交换机上实现,但这种方法通常所以这种划分方法通常适用于小型局域网。是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果网络日趋扩大,用户日益增多,配置工作是非常累的,而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。因此,有必要引入新的三层交换设备。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,三层交换技术就是二层交换技术+三层转发技术。在三层交换中可以采用基于端口的VLAN,这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可,适合于任何大小的网络。
为在资源优化的前提下划分VLAN,天华院的网络设备采用二、三层交换设备混搭的模式来实现。将一台三层交换机作为中心交换设备,院区内其它研究所、设计室、部门根据原有物理位置、工作职责分配和连接方式的不同划分为多个VLAN。
3.3 路由、网络规则
篇5
关键词:防火墙技术;网络安全;应用探究
当前,随着社会的进步和科学的发展,以互联网为代表的先进技术逐渐深入人们的工作和生活,并带来了巨大的便利。而互联网技术作为一把“双刃剑”,其网络安全问题也时刻威胁着人们的生产生活,尽管其影响力大、破坏性强,但在入侵过程中却往往难以被人察觉。从本质来说,网络安全能够通过访问控制和通信安全两种服务来保障自身安全,而防火墙是网络入口的首要防线,这种服务要达到最佳效果,需要防火墙技术与加密技术联合防护。实践证明,防火墙技术的网络防御效果显著,并且能够广泛用于各个领域,有效保障网络安全。随着科学的发展,防火墙技术也会不断进步与发展,实时保障用户的网络安全。
1概述
1.1基本概念
所谓防火墙,就其概念而言来源于建筑学,意指防止火灾从建筑物燃烧至另一建筑物的阻碍物,而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为:计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的,并且只有内部访问权的通信方允许通过的技术。实质上,防火墙即为一种隔离控制技术,以增强系统内部网络的可靠性,保障用户安全为目的。
1.2基本功能
作为保障用户网络安全的重要技术,防火墙主要有以下基本功能:(1)防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分,隔离重点网,以防出现局部网不安全造成全局网不安全的现象。此外,防火墙技术通过对进入系统的用户身份进行严格验证,对网络进行相应技术加密,能够有效防止入侵者窃取用户数据信息。(2)增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起,与传统防护模式中各个系统主机共同处理网络安全的解决方式相比,显然这种集中管理模式保障安全显得更为方便、高效。(3)保障网络安全。主要表现在防火墙可以阻止不安全的进程,减小入侵风险,保障网络安全。此外,防火墙还能拒绝部分来自路由的攻击,并报告给网络管理员,以尽可能减少对其他用户造成麻烦的情况。(4)网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
2防火墙的分类
2.1电路级网关防火墙
电路级网关防火墙是目前较为常见的一种防火墙,其本质是一个用于监控客户机或服务器的通用服务器,它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议,但缺陷在于对同一协议栈运行的不同应用无法及时识别,因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中,电路级网关防火墙的服务器会对客户端进行部分修改,当客户端发送相应的请求,服务器便对请求进行接收,并客户端完成网络的连接工作。可以看出,此类防火墙能够将网络信息进行隐藏,保障信息安全。
2.2应用级网关防火墙
应用级网关防火墙是一种应用服务器,主要在内、外部网络在进行网络交换申请服务时起连接的功能,其工作方式如下:(1)验证用户是否符合进入条件,如若验证成功,则将用户请求发送到内部网络的主机,此时也会对用户进行的操作进行实时监测;若发现危险或疑似危险则阻断访问。(2)当用户是由内部网络申请连接外部网络时,防火墙工作模式会先对内部网络发送的请求进行接收和检查,若合乎要求,防火墙将请求发送至外部网络。由此看出,这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好,它在内外网主机之间起连接作用,而不允许其直接连接,能够有效保障使用过程中的安全性。此外,这种服务器还能够对用户的操作记录得更加详尽。
2.3静态包过滤防火墙
静态包过滤防火墙作用于网格层,对进出内部网络的信息进行全面分析,再根据相应安全策略对信息过滤,其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础,允许授权信息进出,限制危险信息进出。当前,路由器被广泛用于网络的信息传输,连接在内、外部网路之间,因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术,因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用,运行速度快,且透明性较高。这种防火墙技术的工作运用同应用层没有关系,这就意味着不用对用户主机的应用程序进行修改,配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识;另外这种防火墙技术不能够对用户的操作进行鉴别。
2.4状态监测型防火墙
状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间,可以对网络通信进行跟踪监测,并对相关状态信息进行提取;此外,状态型监测防火墙还能对动态链接表中的状态和信息进行储存,并及时更新,通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑,相对而言,型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述,状态型防火墙能够有效减少端口开放时间,并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接,对部分网络安全隐患难以起到防护作用;此外,状态监测型防火墙不能够对用户操作进行鉴别。
3防火墙在网络安全访问控制中的应用
3.1双宿主主机模式
双宿主主机模式是通过主机的使用来实现的,这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间,以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信,它们都只能与网关进行通信,而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。
3.2屏蔽主机模式
屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成,其中堡垒主机位于内部网络,过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道,使得外部网络和内部网络都只能连接到堡垒主机,当内部网络有通信需求时,必须先到堡垒主机,堡垒主机再进行判断,并决定是否允许连接到外部网络。因此,入侵者要想实现对用户电脑的入侵,必须首先将主机攻克,方能到达内部网络,主机结构如图1所示。
3.3屏蔽子网模式
屏蔽子网包括堡垒主机以及两个包过滤器等部分,其内、外部网络主机间设置具有隔离功能的子网,以形成隔离区,设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下,内、外部网络都能够访问屏蔽子网,而不允许穿过子网进行通信,这种配置使得当堡垒主机被攻克时,内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护,因为必须攻克两个路由器和一个网关才能成功入侵。
4防火墙未来发展趋势与展望
防火墙技术作为保障网络安全的重要举措之一,未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展,可全面保障用户信息、应用程序与操作过程的安全,且会具有如下新的优点:(1)高速性。现阶段,防火墙的运行速度不够快的问题突出,而随着科学技术的发展,防火墙将会更多与芯片技术相融合,利用芯片提升计算的速度和精度,最终成为以芯片技术为主的全硬件型网关,大幅度提升网络安全。(2)智能化。现阶段,网络安全威胁主要包括病毒传播、网络攻击、内容控制,其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果,因此未来的防火墙技术一定是朝智能化方向发展的。(3)多元化。随着网络技术的不断发展,多种网络模式已被运用,未来的防火墙将会形成一种可随意伸缩的模块化解决方案,为不同网络设置不同技术的防火墙,为用户提供多元化的保障。
5结语
随着人们对网络技术的运用越来越多,依赖性越来越强,人们对网络安全也越加重视。实践表明,防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁,防火墙技术需要不断地更新和发展,在保障网络安全这条隐蔽的道路上,人们需要做的仍然很多。只有人人注重网络安全,采用先进技术,才能形成全方位的防御体系,保护人们的信息资源。
作者:张林 单位:中国航空动力机械研究所
参考文献
篇6
关键词:网络;防火墙;过滤;网络安全;应用
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)30-7199-02
网络技术的不断更新,特别是互联网络的覆盖,给人们的工作和生活都带来前所未有的冲击,在享受网络带给人民的便捷的同时,威胁网络安全的各种病毒软件正给整个网络系统提出了新的挑战。信息是有价值的,如何确保网络信息的安全性,网络防火墙的应用,正是为了有效规避网络风险的攻击,为网络用户以及整个互联网络系统的安全运行提供了保障。本文结合网络防火墙的工作原理,通过对其技术领域的分析和探讨,来提高对网络防火墙的应用。
1 对网络防火墙的定义
网络防火墙作为确保网络安全运行的重要设备和功能,正在被越来越多网络管理者所关注,作为第一道安全防线,网络防火墙通过对来自公网和内网的各类访问请求进行有效分类和组织,通过过滤、、地址迁移等方式来最大限度的阻止网络中的非法入侵和攻击,确保网络系统和各类信息资源、数据的安全。同时,根据对网络防火墙进行安全策略管理,能够实现网络出入口的信息流的有效控制,不仅能为企业的网络系统提供安全保障,同时也对来自外网的访问进行筛选和甄别,实现对网络运行的有效监控和防范。
网络防火墙不同于建筑中的隔离墙,它是从网络管理的理论中引申出来的确保网络安全的防护软硬件系统。从管理逻辑上说,网络防火墙主要有分析模块,对风险的分离模块,以及对服务的限制模块,从工作本质上讲,网络防火墙作为保护网络数据和用户信息安全的保护装置,主要是通过对来自网内、外的访问请求进行安全监测和审核,从而实现对网络间的各类请求进行有效控制的访问机制,换句话说,网络防火墙就像是一道门槛,对门内、外两个方向的信息进行控制,当有非法的请求出现时,将此进行隔离并清除,当有正常访问请求出现时,确保正常访问的运行。
2 网络防火墙的功能
网络防火墙通过设置好的访问规章和机制,来监控通过网络防火墙的数据流,对于非法的、试图恶意闯入的访问请求进行检测和跟踪,以便于对其进行隔离和清除。为此,网络防火墙在网络管理中的作用主要表现在以下几点。
1)网络防火墙是促进网络安全的屏障
在对网络防火墙进行相应的安全设置后,比如通过对NFS协议进行禁止,可以防范非法用户通过此协议来攻击网络安全,同时,通过对网络路由中的源路由攻击和ICMP重定向进行设置,也可以加以防范此类攻击。
2)优化网络安全策略
网络防火墙的防范功能是与网络安全策略相一致的,通过对网络防火墙进行有效的设置,如对口令、密码、验证等信息进行配置,可以实现对来自网内外的访问请求进行统一的管理。
3)加强对访问和存取操作的有效监控和审核
网络防火墙通过对来自网络的各类访问进行记录并给出统计信息,当发生网络异常时,网络防火墙可以提供向的监测数据,通过对其进行分辨和分析,对一些网络的使用情况以及异常请求进行有效的探测,为此,不仅能够通过相应的检测信息,也能对网络的使用需求或受到的威胁进行有效防范。
4)预防内部信息被盗
网络防火墙不仅能够有效防范外部的攻击,也能对内部网络进行有效的划分,从而实现对内部网络发送的威胁进行隔离,避免其对整个网络造成的影响。
3 网络防火墙的分类应用
根据网络防火墙在网络管理中的功能不同,往往采用不同的防范机制,主要有。
1)从网络层实现对数据包的过滤
在现代网络系统通信过程中,基于网络层的防火墙主要是通过对数据流中的数据包进行检测来是实现对网络风险的控制目的。根据系统管理员对网络管理的需要,对通过路由器的所有数据包,进行按事先设定的包过滤规则,从数据包的源地址,以及目标地址等进行检测和判断,通过一定的规则将其发送至不同的网路上,当所有的包都到达目的地时,再通过一定包合并规则实现数据包的组装,从而完成信息的有效传输。
2)通过服务来实现对风险的规避
通常所说的是就对来自网络的请求通过服务器来实现信息的传输。比如来自网内的用户发出服务请求,首先经由服务器的判断,合法的请求可以通过服务器再将请求连接至应用服务器,应用服务器将相应传递给服务器,服务器再将相应发送给网络请求。于是,服务器在实现网络通信的过程中,充当了中介的作用。
3)通过地址迁移的方式来实现对风险的控制
在企业网内部使用的IP地址,通常称为虚拟地址或本地地址,在与外网进行交互的时候,需要通过NAT路由器来实现内外网IP地址的映射,从而实现了数据包的跨网传输的需要。在这种地址迁移机制下,既有分组过滤的功能,又有应用的设计思路,通过NAT路由器来实现了对请求的内外网之间的数据服务。
4 结束语
总之,在网络环境下,防火墙是确保网络安全运行的关键设备,通过对网络防火墙的有效设置,充分发挥各类防火墙的防范优势,针对不同的企业应用,从而实现最有效的网络配置,为信息安全保驾护航。
参考文献:
篇7
计算机病毒;防范;蠕虫病毒;性能优化
1.计算机病毒特性
计算机病毒具有以下几个特点:
寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
潜伏性:有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
隐蔽性:计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
2.计算机病毒的表现形式
计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
机器不能正常启动:加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
运行速度降低:如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
磁盘空间迅速变小:由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
文件内容和长度有所改变:一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
经常出现“死机”现象:正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。
外部设备工作异常:外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
3.计算机病毒硬件防火墙
A.防火墙基础原理
防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。
包过滤防火墙:包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
应用网关防火墙:应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
状态检测防火墙:状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
复合型防火墙:复合型防火墙是指综合了状态检测与透明的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
B.防火墙的初始配置
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持简单实用、全面深入、内外兼顾的原则,从根本上对入侵检测、主机防护、漏洞扫描、病毒查杀等形成联动机制。
防火墙的具体配置步骤如下:
将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
当PIX防火墙进入系统后即显示“pixfirewall>”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
输入命令:configure terminal,进入全局配置模式,对系统进行初始化设置。
首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)。
Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,“auto”选项为系统自适应网卡类型Interface ethernet1 auto
配置防火墙内、外部网卡的IP地址。
IP address inside ip_address netmask# Inside代表内部网卡
IP address outside ip_address netmask# outside代表外部网卡
指定外部网卡的IP地址范围:global 1 ip_address-ip_address
指定要进行转换的内部地址:nat 1 ip_address netmask
配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
配置保存:wr memo
退出当前模式:此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
病毒防杀是信息安全的一个重要的组成部分,是保证信息安全无误传送的重要前提,本文较全面地介绍了各种计算机病毒的基本原理、常用技术,以及对抗计算机病毒的策略、方法与技术。内容由浅入深、由易到难,注重理论联系实际,在介绍原理的同时,尽量给出实例分析,以期增加手工分析、查杀病毒的经验与能力。
篇8
关键词:分布式防火墙;体系结构;原理;应用
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
The Research and Implementation of Distributed Firewall
Zhang Jintao
(The College of Science and Technology of Guizhou University,Guiyang550004,China)
Abstract:Distributed in the traditional firewall,the firewall is based on the evolved,it plays an important role in network security.In this paper,the traditional firewall and distributed firewalls were introduced,and then distributed firewall architecture and working principle are described,on the basis of research and analysis of distributed firewall,application and implementation.
Keywords:Distributed firewall;Architecture;Principle;Application
一、防火墙的概念
(一)传统防火墙。传统的防火墙又叫边界防火墙,是在内部网和外部网之间搭建的一种屏障,它可以有效的实现内外网之间的存取,同时它也是内部网和外部网之间的唯一的一个出入口。传统的防火墙技术主要有包过滤技术和服务器技术这两种。其中,包过滤技术是通过路由器将通过它的两个接口之间的IP进行过滤,并对数据流中的每个数据进行检查,防止不安全的数据通过,从而实现了网络的安全;带来服务器技术主要是通过主机运行服务程序,即应用防火墙技术,它首先接受外来的连接请求,然后进行安全检查,再确保安全状态之后,再实现网络应用服务器的安全连接,另外,服务器还可以通过用户认证、日志和信息跟踪等方式来实现网络的安全流通。
(二)分布式防火墙。分布式防火墙是用于内部网和外部网之间的,或者内部网各子网之间的防护产品。它最初是由美国AT&T的试验研究员提出来的,分布式防火墙有狭义和广义之分,它是对主机系统提供安全防护的软件。与传统的防火墙技术相比,分布式防火墙技术更多一层安全保护层,它是对传统防火墙技术的完善和发展。主机防火墙主要是负责安全策略的实施,对网络的服务器和桌面进行保护。
二、分布式防火墙的研究
(一)分布式防火墙的体系结构。研究分布式防火墙的体系结构,主要从以下几点来分析:1.网络防火墙。网络防火墙是用于内外部网络之间的防护产品,它比传统的防火墙更多一层防护,是网络显得更加安全可靠。2.主机防火墙。主机防火墙主要是针对主机,负责安全策略的实施,这种防火墙即可出现在内部网络中,也可以出现在外部网络中。3.中心管理。分布式防火墙的中心管理是其安全检测机制的一个重要组成部分,其安全策略是同一策划和管理的,它必须根据不同的安全性要求来设置其在网络中的任何位置,它是分布式防火墙最重要的一个部分。
(二)主机防火墙。主机防火墙主要包括:主机驻留、嵌入操作系统内核、类似于个人防火墙这三种。
主机驻留是针对主机上运行的具体应用情况及对外提出具体服务而设置的一种安全策略。
嵌入操作系统内核是主机防火墙安全运行的一种形态,由于操作系统本身存在着一些安全问题,因此主机防火墙也在主机上运行,其运行机制成为主机防火墙的关键技术之一,这就要求按照嵌入操作系统内核的形态来运行和完成。
类似于个人防火墙与桌面应用的主机防火墙相类似,都有其对应的个人系统,但是类似个人防火墙的管理方式不一样,它不允许别人干涉,目的是为了防止外部的攻击,它除了对桌面机起到保护的作用外,还可以对桌面机的外部访问进行控制管理。
(三)分布式防火墙的工作原理。分布式防火墙的工作原理主要是从策略语言、系统管理工具和IP安全协议这三个方面进行研究。1.策略语言。策略语言的运用旨在标识内部主机,目前通常是通过IP地址来标识内部主机,但是这种方法安全性不够高,还存在着一些安全问题,因此在这一过程中,可以通过使用IP协议的密码访问来标识主机,提高其安全性。2.系统管理工具。系统管理工具的作用是将形成的文件传给有防火墙保护的主机,这些主机的防火墙就是分布式防火墙。3.IP安全协议。该协议主要用于加密的保护,如AH协议和IKE协议等,它能够实现密钥交换等功能。
三、分布式防火墙的应用实现
1.网络访问控制。分布式防火墙在网络访问中的应用控制,主要是通过网络访问规则来实现控制和管理的,它可以通过控制该工作站的时间段内是否被允许或者被禁止访问所规定的内容,决定某个用户是否可以访问网络服务器。2.应用访问控制。分布式防火墙在应用访问控制中的运用也极其广泛,它通过对网络的通讯连接路程、网络层、地址以及传输层和端口等过滤和检查,以此来控制网络的应用请求,实现网络访问的安全性。3.黑客攻击的安全防护。分布式防火墙在防止黑客攻击中具有广泛的应用,它主要通过抵御和拒绝服务攻击、抵制欺骗式攻击和PING攻击和木马等方式来实现其安全防护的作用,它对防止黑客的攻击具有很重要的实际意义。4.系统工具的应用。分布式防火墙在系统工具中的应用主要包括设定参数,制定访问规则,备份和恢复数据以及模板的设置和管理等。5.VPN通信。分布式防火墙除了具有以上的功能之外,它还可以支持VPN通信,它把内部主机和外部主机与防火墙之间采用隧道的技术方式来实现分布式防火墙的安全防护作用,通过这种方法,它可以使通信的双方都必须经过防火墙才能顺利的进行通讯活动,分布式防火墙其本身所具备的逻辑网络的概念,使得远程内部主机和物理上的内部主机没有区别,从根本上接触了安全防护存在的问题。
四、结束语
目前,随着网络技术的发展,网络的应用水平虽然在不断的提高,但是网络中的安全威胁种类和方式也越来越多,黑客攻击,欺骗手段更加恶劣,这就使得分布式防火墙得到了长足的进步和发展,它是对传统的防火墙技术的改进和完善,相信随着网络技术的不断发展,分布式防火墙技术也将会发挥着越来越重要的作用。
参考文献:
[1]李伦,尹兰.一种改进的应用网关防火墙系统[J].计算机工程与应用,2003,5:185-186
[2]高峰,卢尚琼.分布式防火墙与校园网络安全[J].计算机应用研究,2003,1:77-79
篇9
【关键词】信息安全; 威胁;防御策略;防火墙
1 计算机信息网络安全概述
所谓计算机信息网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。
根据国家计算机网络应急技术处理协调中心的权威统计,通过分布式密网捕获的新的漏洞攻击恶意代码数量平均每天112次,每天捕获最多的次数高达4369次。因此,随着网络一体化和互联互通,我们必须加强计算机通信网络安全防范意思,提高防范手段。
2 计算机信息安全常见的威胁
以上这些因素都可能是计算机信息资源遭到毁灭性的破坏。像一些自然因素我们是不可避免的,也是无法预测的;但是像一些人为攻击的、破坏的我们是可以防御的、避免的。因此,我们必须重视各种因素对计算机信息安全的影响,确保计算机信息资源万无一失。
3 计算机信息的安全的防御策略
根据计算机网络系统的网络结构和目前一般应用情况,我们采取可两种措施:一是,采用漏洞扫描技术,对重要网络设备进行风险评估,保证网络系统尽量在最优的状态下运行;二是,采用各种计算机网络安全技术,构筑防御系统,主要有:防火墙技术、VPN技术、网络加密技术、身份认证技术、网络的实时监测。
3.1 漏洞扫描技术
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得到目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击的安全漏洞扫描,如测试弱口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。
3.2 防火墙技术
防火墙是网络安全的屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境更安全,信息的安全就得到了保障。使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。
防火墙一般是指用来在两个或多个网络间加强访问控制的一个或一组网络设备。从逻辑上来看,防火墙是分离器、限制器和分析器;从物理上来看,各个防火墙的物理实现方式可以多种多样,但是归根结底他们都是一组硬件设备(路由器、主机)和软件的组合体;从本质上来看,防火墙是一种保护装置,它用来保护网络数据、资源和合法用户的声誉;从技术上来看,防火墙是一种访问控制技术,它在某个机构的网络与不安全的网络之间设置障碍,阻止对网络信息资源的非法访问。
3.3 计算机网络的加密技术(ipse)
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可以解决网络在公网的数据传输安全性问题,也可以解决远程用户访问内网的安全问题。IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可以对其上层的各种应用服务提供透明的覆盖安全保护。IP安全是整个TCP/IP 安全的基础,是网络安全的核心。ipse 提供的安全功能或服务主要包括:访问控制、无连接完整性、数据起源认证、抗重放攻击、机密性、有限的数据流机密性。
3.4 身份认证
身份认证的作用是阻止非法实体的不良访问。有多种方法可以认证一个实体的合法性,密码技术是最常用的,但由于在实际系统中有许多用户采用很容易被猜测的单词或短语作为密码,使得该方法经常失效。其他认证方法包括对人体生理特征的识别、智能卡等。随着模式识别技术的发展,身份识别技术与数字签名等技术结合,使得对于用户身份的认证和识别更趋完善。
3.5 入侵检测技术
入侵检测技术是对入侵行为的检测,他通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
3.6 虚拟专用网技术
虚拟专用网(Virtual private Network,VPN) 是一门网络技术,提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式;是通过一个公用网络(通常是因特网)建立起一个临时的、安全的连接,是一条穿过不安全的公用网络的安全、稳定的隧道。
下面,我们主要谈一下防火墙在网络信息安全中的应用。
4 防火墙防御策略
4.1 防火墙的基本概念
所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。
4.2 防火墙的功能
1)过滤掉不安全服务和非法用户。
2)控制对特殊站点的访问。
3)提供监视Internet安全和预警的方便端点。
4.3 防火墙的优点
1)防火墙能强化安全策略
因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的"交通警察",它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。
2)防火墙能有效地记录Internet上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3)防火墙限制暴露用户点
防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
4)防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
4.4 防火墙的不足
1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2)防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
4.5 防火墙的类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换―NAT、型和状态监测型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术,工作在网络层。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。但包过滤防火墙的缺点有三:一是,非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是,数据包的源地址、目的地址以及IP 的端口号都在数据包的头部,很有可能被窃听或假冒;三是,无法执行某些安全策略。
网络地址转化―NAT。 “你不能攻击你看不见的东西”是网络地址转换的理论基础。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。当数据包流经网络时,NAT将从发送端的数据包中移去专用的IP地址,并用一个伪IP地址代替。NAT软件保留专用IP地址和伪IP地址的一张地址映射表。当一个数据包返回到NAT系统,这一过程将被逆转。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。如果黑客在网上捕获到这个数据包,他们也不能确定发送端的真实IP地址,从而无法攻击内部网络中的计算机。NAT技术也存在一些缺点,例如,木马程序可以通过NAT进行外部连接,穿透防火墙。
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品, 它分为应用层网关和电路层网关。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据, 然后再由服务器将数据传输给客户机。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部结构的作用,这种防火墙是网络专家公的最安全的防火墙。缺点是速度相对较慢。
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。它是由Check Point 软件技术有限公司率先提出的,也称为动态包过滤防火墙。总的来说,具有:高安全性,高效性,可伸缩性和易扩展性。实际上,作为当前防火墙产品的主流趋势,大多数服务器也集成了包过滤技术,这两种技术的混合显然比单独使用具有更大的优势。总的来说,网络的安全性通常是以网络服务的开放性和灵活性为代价的,防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。除了使用了防火墙后技术,我们还使用了其他技术来加强安全保护,数据加密技术是保障信息安全的基石。所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样。
4.6 防火墙的配置
1)双宿堡垒主机防火墙
一个双宿主机是一种防火墙,拥有两个联接到不同网络上的网络接口。例如,一个网络接口联到外部的不可信任的网络上,另一个网络接口联接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层服务来完成。一般情况下,人们采用服务的方法,因为这种方法为用户提供了更为方便的访问手段。
2)屏蔽主机防火墙
这种防火墙强迫所有的外部主机与一个堡垒主机相联接,而不让它们直接与内部主机相连。为了实现这个目的,专门设置了一个过滤路由器,通过它,把所有外部到内部的联接都路由到了堡垒主机上。下图显示了屏蔽主机防火墙的结构。
3)屏蔽主机防火墙
在这种体系结构中,堡垒主机位于内部网络,屏蔽路由器联接Internet和内部网,它是防火墙的第一道防线。屏蔽路由器需要进行适当的配置,使所有的外部联接被路由到堡垒主机上。并不是所有服务的入站联接都会被路由到堡垒主机上,屏蔽路由器可以根据安全策略允许或禁止某种服务的入站联接(外部到内部的主动联接)。
对于出站联接(内部网络到外部不可信网络的主动联接),可以采用不同的策略。对于一些服务,如Telnet,可以允许它直接通过屏蔽路由器联接到外部网而不通过堡垒主机;其他服务,如WWW和SMTP等,必须经过堡垒主机才能联接到Internet,并在堡垒主机上运行该服务的服务器。怎样安排这些服务取决于安全策略。
5 结束语
随着信息技术的发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,以及一般采取的几种安全防范策略,主要讨论了防火墙在网络信息安全中所起到的作用。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
【参考文献】
[1]田园.网络安全教程[M].人民邮电出版社,2009.
篇10
[关键词] 信息安全防火墙过滤迁移
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享,需要将一批计算机连成网络才能保证电子商务活动的正常开展,这样就带来了更多的安全隐患。特别是对当今最大的网络――国际互联网,很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就变得越来越重要。
如何来保证计算机网络的安全性呢?方法虽然很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常一个公司在购买网络安全设备时,总是把防火墙放在首位。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?本文从防火墙的概念出发,详细分析了防火墙的功能,并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务式防火墙、地址迁移式防火墙等。
一、防火墙介绍
防火墙是指一种将内部网和公众访问网分开的方法,是网络之间一种特殊的访问控制设施。在Internet网络与内部网之间设置的一道屏障,防止黑客进入内部网,由用户制定安全访问策略,抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、技术和地址迁移技术等。
二、防火墙的作用
1.作为网络安全的屏障
只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
3.可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
4.可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、防火墙的技术分类
1.包过滤技术(Packet Filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时,路由器会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。
包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了,取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息。通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。
2.服务式防火墙
服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给服务器。服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。服务的实质是中介作用,它不允许内部网和外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的服务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立连接;应用系统给予服务器响应;服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由服务器中转,外部网用户无法直接与应用服务器交互,避免了来自外部用户的攻击。通常服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的服务器。 目前,很多内部网络都同时使用分组过滤路由器和服务器来保证内部网络的安全性,并且取得了较好的效果。
3.地址迁移式防火墙
由于多种原因,IPv4地址逐步面临耗尽的危机,而Ipv6的实际应用还有待时日。随着企业上网的人数增多,企业获得的公共IP地址(称全局IP地址,或者实际IP地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾向。 一种可能的解决方案是为每个企业分配若干个全局IP地址,企业网内部使用自定义的IP地址(称为本地IP地址或者虚拟IP地址)。 当内外用户希望相互访问时,专门的路由器(NAT路由器)负责全局/本地IP地址的映射。NAT路由器位于不同地址域的边界处,通过保留部分全局IP地址的分配权来支持IP数据报的跨网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定(释放全局地址)。
地址迁移式防火墙实际上融合了分组过滤和应用的设计思想,可以根据应用的需求限定允许内外网访问的结点;可以屏蔽内网的地址,保证内网的安全性。 数据报分析是NAT路由器必须做的工作(例如,修改IP数据报携带的高层协议数据单元中的地址信息),因此可以有选择地提供/拒绝部分跨网的应用服务。
四、小结
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
参考文献:
[1]高峰许南山:防火墙包过滤规则问题的研究[J].应用,2003,23(6)
[2]赵启斌梁京章:防火墙过滤规则异常的研究[J].工程,2005.12
- 上一篇:网络安全产业研究报告
- 下一篇:经济学网络课程
