防火墻在網絡中的作用范文
時間:2023-10-19 17:11:06
導語:如何才能寫好一篇防火墻在網絡中的作用,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
計算機網絡在使用過程中,受到來自外界和內部的攻擊,造成信息丟失,或者計算機自身破壞等后果。因此我們應關注計算機網絡安全,網絡具有復雜性,從這一點上使用者應正確分析來自網絡的不同信息,確保操作的合理性。另一方面,要增強防火墻這一重要軟件的功能,實現對不良信息的隔離功能。
一、計算機網絡技術的體現
(一)網絡信息安全
網絡安全包括很多要求,其中信息安全是其主要體現形式之一。要徹底的實現對網絡的防護,需要建立網絡安全體系。其中包括物理層面、用戶使用上以及數據安全評價等方面的構建。但互聯網的管理上存在漏洞,發展過于迅速也使得其疏于管理、難于管理,使得互聯網受到病毒的侵襲嚴重,通過互聯網的犯罪行為居高不下。安全隱患主要來自于無閱讀和使用權限的人通過不同的方式獲得客戶信息。病毒的發展隨著網絡技術的發達而逐漸增多,這給企業的安全帶來威脅。惡意的攻擊源于不安全操作以及設計不合理等因素,一旦進入病毒程序,將造成巨大的經濟損失。這使得網絡使用具有雙向性,也提醒使用者正確使用,提醒設計者不斷的更新技術,增強計算機的防護能力。這使得防火墻技術和基于防火墻技術而更新的計算機安全防護技術成為必然。
(二)計算機安全體系結構
計算機系統安全運行模式要以信息處理功能和傳輸能力正常為前提。重點關注計算機由于某種原因而造成系統崩潰,確保信息存儲安全。計算機安全體系機構也是防止商業信息泄露的重要途徑之一。網絡上系統信息的安全通常以客戶的口令鑒別來設定權限,另外其體系結構還包括安全審計、方式控制以及安全隱患追蹤。信息傳播是否安全是其傳播后果的體現,信息過濾應是安全體系中必備功能之一。它主要用于非法信息的控制,對網絡搜索引擎的信息失控進行必要的掌控。網絡上的信息內容的安全則包含了其應具有真實性、保密性以及明確性等特點。但目前的網絡發展中,信息安全隱患大量存在,需要進一步的規范。
二、防火墻技術在計算機網絡安全中的應用
防火墻具有多年的發展歷史,其在網絡安全防護中的作用十分明顯。且具有安裝方便,使用方便等特點。防火墻是對不良信息等不符合規定的網絡輸入進行提醒。從而幫助使用者以正確的操作方式避免病毒等侵襲,并迫使所有的連接都使用相同的檢查方式,及時防止來自于網絡的攻擊。從邏輯上分析,防火墻事實上是一個限制器和分離器。是通過對網絡上一些不安全因素的分離和處理來確保網絡的安全。也就是說,“包過濾”技術是防火墻的核心技術。包過濾應遵循一定的安全策略,管理員通過在計算機中設置過濾和控制清單來實現其功能。其標準主要為:在防火墻產品中,包過濾的標準一般是靠網絡管理包的源地址和目的地址、輸入和輸出請求以及TCP/IP等數據包協議。隨著技術發展,防火墻技術不在局限于硬件技術,基于軟件的服務器也可以實現防火墻功能。早期的防火墻主要以主機屏蔽為主要功能,但新時期其信息加密能力更強。這一技術進一步確保了網絡信息安全,從技術層面完成了質的飛躍,這一技術的革新依然在研究之中,將成為未來計算機安全控制的核心。對于防火墻功能,主要包括以下幾個方面。其一:對不合理的信息進行過濾,這一過程同樣包括對硬件的監測和對軟件的監測,可有效阻止病毒的入侵。其二:防止不安全的鏈接訪問,設置安全權限,防止不具備權限的網絡侵襲。這樣可以合理的過濾到不安全因素。其三:網絡連接的日志記錄及使用統計,防火墻能夠形成不同的日志記錄,數據統計結果具有合理性,通過報警功能來確保網絡資源的合理分配和使用。最后:防火墻可以更好的保護內部信息,對外網隱藏的信息進行加密保護,防止遠程程序盜竊信息。
三、網絡安全體系的構建
網絡安全體系的構建是本文研究的重點。尤其是隨著網絡安全隱患越來越多,防護墻技術有待于進一步發展。首先,在技術上我們應不斷的進行更新,研究病毒的侵襲模式、新病毒的生成及其原理,并且設計功能強大的軟件,以確保系統安全。其次,要加強網絡安全監測,對其實施全面的防病毒處理,合并其他軟件來協助防火墻完成信息監測。上文我們討論了防火墻的強大的功能,在網絡安全體系的構建中,還應及時發現問題,將防火墻技術與最新的技術相結合,從而生成強大的、高效的解決網絡安全的軟件。當然,在這一過程中,操作者的合理操作無疑是影響其安全系數的關鍵,基于此應樹立使用者的安全使用意識,降低網絡病毒對網絡的威脅,確保計算機安全。
綜上所述你,計算機網絡安全從技術上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等
參考文獻
[1] 張鳴 高楊.計算機網絡安全與防火墻技術研究[J].黃河水利職業技術學院學報,2011(02).
篇2
關鍵詞:防火墻技術;網絡安全;應用探究
當前,隨著社會的進步和科學的發展,以互聯網為代表的先進技術逐漸深入人們的工作和生活,并帶來了巨大的便利。而互聯網技術作為一把“雙刃劍”,其網絡安全問題也時刻威脅著人們的生產生活,盡管其影響力大、破壞性強,但在入侵過程中卻往往難以被人察覺。從本質來說,網絡安全能夠通過訪問控制和通信安全兩種服務來保障自身安全,而防火墻是網絡入口的首要防線,這種服務要達到最佳效果,需要防火墻技術與加密技術聯合防護。實踐證明,防火墻技術的網絡防御效果顯著,并且能夠廣泛用于各個領域,有效保障網絡安全。隨著科學的發展,防火墻技術也會不斷進步與發展,實時保障用戶的網絡安全。
1概述
1.1基本概念
所謂防火墻,就其概念而言來源于建筑學,意指防止火災從建筑物燃燒至另一建筑物的阻礙物,而網絡上防火墻意指防止網絡入侵的阻擋技術。有些工程師將防火墻定義為:計算機系統中所有通信無論是由內部到外部或是外部到內部都必須經過的,并且只有內部訪問權的通信方允許通過的技術。實質上,防火墻即為一種隔離控制技術,以增強系統內部網絡的可靠性,保障用戶安全為目的。
1.2基本功能
作為保障用戶網絡安全的重要技術,防火墻主要有以下基本功能:(1)防止用戶內部信息的泄露。使用防火墻技術能夠將計算機內部網絡進行劃分,隔離重點網,以防出現局部網不安全造成全局網不安全的現象。此外,防火墻技術通過對進入系統的用戶身份進行嚴格驗證,對網絡進行相應技術加密,能夠有效防止入侵者竊取用戶數據信息。(2)增強網絡安全策略。防火墻能夠利用其執行站點的安全模式把保障系統安全的相應指令、加密等軟件與防火墻連接在一起,與傳統防護模式中各個系統主機共同處理網絡安全的解決方式相比,顯然這種集中管理模式保障安全顯得更為方便、高效。(3)保障網絡安全。主要表現在防火墻可以阻止不安全的進程,減小入侵風險,保障網絡安全。此外,防火墻還能拒絕部分來自路由的攻擊,并報告給網絡管理員,以盡可能減少對其他用戶造成麻煩的情況。(4)網絡存取及訪問監控審計。防火墻能有效記錄網絡活動并對可疑動作提供報警功能。為管理員提供誰在訪問網絡、在網絡上做什么等信息,當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。
2防火墻的分類
2.1電路級網關防火墻
電路級網關防火墻是目前較為常見的一種防火墻,其本質是一個用于監控客戶機或服務器的通用服務器,它主要通過作用于OSI互聯網模型中的會話層或者TCP協議的TCP層來實現其功用。這種防火墻技術雖然也可應用于多個協議,但缺陷在于對同一協議棧運行的不同應用無法及時識別,因此此類防火墻也就不用設置相應模塊來應對不同的應用。在實際工作中,電路級網關防火墻的服務器會對客戶端進行部分修改,當客戶端發送相應的請求,服務器便對請求進行接收,并客戶端完成網絡的連接工作。可以看出,此類防火墻能夠將網絡信息進行隱藏,保障信息安全。
2.2應用級網關防火墻
應用級網關防火墻是一種應用服務器,主要在內、外部網絡在進行網絡交換申請服務時起連接的功能,其工作方式如下:(1)驗證用戶是否符合進入條件,如若驗證成功,則將用戶請求發送到內部網絡的主機,此時也會對用戶進行的操作進行實時監測;若發現危險或疑似危險則阻斷訪問。(2)當用戶是由內部網絡申請連接外部網絡時,防火墻工作模式會先對內部網絡發送的請求進行接收和檢查,若合乎要求,防火墻將請求發送至外部網絡。由此看出,這兩種工作的工作方式恰好相反。應用級網關防火墻的優勢在于方便配置、工作環境良好,它在內外網主機之間起連接作用,而不允許其直接連接,能夠有效保障使用過程中的安全性。此外,這種服務器還能夠對用戶的操作記錄得更加詳盡。
2.3靜態包過濾防火墻
靜態包過濾防火墻作用于網格層,對進出內部網絡的信息進行全面分析,再根據相應安全策略對信息過濾,其篩選Internet防火墻路由器內部網…堡壘主機原則是以所監測到的數據包的初始信息為基礎,允許授權信息進出,限制危險信息進出。當前,路由器被廣泛用于網絡的信息傳輸,連接在內、外部網路之間,因此是影響網絡安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產生作用的技術,因此從某種意義上說靜態包過濾防火墻也是一種包過濾路由器。靜態包過濾防火墻的優勢在于簡單實用,運行速度快,且透明性較高。這種防火墻技術的工作運用同應用層沒有關系,這就意味著不用對用戶主機的應用程序進行修改,配置和使用都顯得較為方便。它的缺點在于這種防火墻需要對TCL、IP等相應協議有較深的認識;另外這種防火墻技術不能夠對用戶的操作進行鑒別。
2.4狀態監測型防火墻
狀態監測型防火墻的作用機制在于使用了在網關上執行網絡安全策略的軟件引擎來實現其作用和功能。這種防火墻工作在網絡層與鏈路層之間,可以對網絡通信進行跟蹤監測,并對相關狀態信息進行提取;此外,狀態型監測防火墻還能對動態鏈接表中的狀態和信息進行儲存,并及時更新,通過信息積累不斷為下面的通信檢查提供數據支撐。狀態監測型防火墻的另一大優勢在于可以為類似NFS的基于端口動態分配協議的應用提供技術支持和類似DNS的無連接的協議提供應用支撐,相對而言,型網關防護墻和靜態包過濾型防火墻則不能支持以上應用。綜上所述,狀態型防火墻能夠有效減少端口開放時間,并提供相應服務支撐。它的缺點在于會默許內部主機與外部網絡不通過第三方直接連接,對部分網絡安全隱患難以起到防護作用;此外,狀態監測型防火墻不能夠對用戶操作進行鑒別。
3防火墻在網絡安全訪問控制中的應用
3.1雙宿主主機模式
雙宿主主機模式是通過主機的使用來實現的,這臺主機擁有用于連接內部網絡和外部網絡的兩個接口。防火墻將雙宿主網關置于內部網絡和外部網絡之間,以阻斷IP層之間的數據傳輸。內部網絡和外部網絡的主機不能夠直接進行通信,它們都只能與網關進行通信,而內部網絡與外部網絡的通信需要利用應用層的數據共享或服務達成。
3.2屏蔽主機模式
屏蔽主機防火墻主要由堡壘主機和過濾路由器兩部分組成,其中堡壘主機位于內部網絡,過濾器位于內部網絡和外部網絡之間。堡壘主機作為連接外部網絡和內部網絡的唯一通道,使得外部網絡和內部網絡都只能連接到堡壘主機,當內部網絡有通信需求時,必須先到堡壘主機,堡壘主機再進行判斷,并決定是否允許連接到外部網絡。因此,入侵者要想實現對用戶電腦的入侵,必須首先將主機攻克,方能到達內部網絡,主機結構如圖1所示。
3.3屏蔽子網模式
屏蔽子網包括堡壘主機以及兩個包過濾器等部分,其內、外部網絡主機間設置具有隔離功能的子網,以形成隔離區,設置屏蔽子網的作用在于防止MAIL、Web服務器等公共服務直接通過內外部網絡。通常情況下,內、外部網絡都能夠訪問屏蔽子網,而不允許穿過子網進行通信,這種配置使得當堡壘主機被攻克時,內部網絡仍然可以受到來自包過濾路由器的保護。這種屏蔽子網防火墻的最大好處在于為計算機多提供一層防護,因為必須攻克兩個路由器和一個網關才能成功入侵。
4防火墻未來發展趨勢與展望
防火墻技術作為保障網絡安全的重要舉措之一,未來必將得到發展和更新。筆者認為未來的防火墻技術將朝著多元化、智能化、高速化方向發展,可全面保障用戶信息、應用程序與操作過程的安全,且會具有如下新的優點:(1)高速性。現階段,防火墻的運行速度不夠快的問題突出,而隨著科學技術的發展,防火墻將會更多與芯片技術相融合,利用芯片提升計算的速度和精度,最終成為以芯片技術為主的全硬件型網關,大幅度提升網絡安全。(2)智能化。現階段,網絡安全威脅主要包括病毒傳播、網絡攻擊、內容控制,其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果,因此未來的防火墻技術一定是朝智能化方向發展的。(3)多元化。隨著網絡技術的不斷發展,多種網絡模式已被運用,未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案,為不同網絡設置不同技術的防火墻,為用戶提供多元化的保障。
5結語
隨著人們對網絡技術的運用越來越多,依賴性越來越強,人們對網絡安全也越加重視。實踐表明,防火墻在保障網絡安全方面成效顯著。為應對復雜的網絡安全威脅,防火墻技術需要不斷地更新和發展,在保障網絡安全這條隱蔽的道路上,人們需要做的仍然很多。只有人人注重網絡安全,采用先進技術,才能形成全方位的防御體系,保護人們的信息資源。
作者:張林 單位:中國航空動力機械研究所
參考文獻
篇3
所謂網絡安全,實質上也就是網絡上的信息安全。網絡安全所涉及的領域是非常廣泛的,但是在當前許多的公用通信網絡中,都存在著各種各樣的安全漏洞和威脅,隨著網絡技術的不斷發展,各種各樣的網絡安全技術也相應的出現了,比如說身份驗證、訪問授權、加密解密技術、防火墻技術等等,雖然出現了許許多多的新的網絡安全技術,但是在眾多的網絡安全技術中,防火墻技術的應用仍然最為廣泛。防火墻實質上是一個系統,該系統位于兩個網絡之間,并且負責執行控制策略,通過防火墻,可以使得內部網絡與Internet或者其它的外部網絡相互隔離,從而有效的保護內部網絡的安全。通過防火墻,主要可以實現對于不安全服務和非法用戶的過濾,同時還能夠有效的控制對站點的訪問,時刻監視Internet安全,一旦出現安全風險,防火墻還可以起到及時預警的作用。
1防火墻技術概述
所謂的防火墻,指的是設置在兩個或者多個不同網絡或者網絡安全域之間信息的唯一出入口,所有的網絡信息要想進入內部網絡,必須要通過這一個出入口,因此防火墻成為了一個提供信息安全服務和實現網絡和信息安全的基礎設施,同時防火墻技術也成為了目前人們公認的最有效的網絡安全保護手段。防火墻可以對訪問權限進行有效的控制,從而實現對涉及用戶的操作進行審查和過濾,從而有效的降低計算機網絡安全風險。
1.1計算機防火墻技術
防火墻技術之所以能夠實現對計算機網絡的保護,主要就是因為防火墻可以將內部網絡與互聯網進行分離,正是因為防火墻有著很強的隔離性,所以才使得防火墻技術在計算機網絡安全領域中被廣泛的加以運用。一般在對防火墻進行使用的過程中,所依靠的都是包的外源地址和數據包協議,通過它們來對防火墻進行設置,從而實現有效的隔離。除此之外,防火墻的實現還可以通過服務器的軟件,但是這種方式在實際應用中較為少見。在防火墻技術出現之初,它的功能僅僅局限于對主機的限制和對網絡訪問控制加以規范,但經過多年的發展,防火墻的功能也進一步的得到了完善,當前,防火墻已經可以完成解密和加密等功能,除此之外,還能夠實現對文件的壓縮和解壓,從而使得計算機網絡安全得到了有效的保證。
1.2防火墻的主要功能
隨著網絡技術的不斷發展,防火墻的功能已經變得十分豐富,其功能主要有以下幾個方面:第一,防火墻可以對本機的數據進行有效的篩選和過濾,通過對信息的篩選和過濾,可以有效的避免非法信息以及各種網絡病毒的攻擊和入侵,從而保證計算機信息的安全;第二,防火墻還可以對網絡中一些特殊的站點進行較為嚴格的規范,因為在這些站點中往往存在著可以對計算機網絡安全進行破壞的一些病毒文件,所以通過對這些站點的規范,可以有效避免人們因為無意操作而給計算機網絡帶來的風險;第三,防火墻還能夠較為徹底的對一些不安全訪問進行攔截,外部人員如果想進入內部網絡,必須先要經過防火墻的審查,只有審查合格,防火墻才會允許進入,但是在防火墻的審查過程中,是有著非常多的環節的,如果任何一個環節的審查出現了問題,該訪問將會被防火墻過濾,從而有效的減少了網絡安全問題的出現;第四,防火墻還可以對網絡運行中所產生的各種信息數據加以保護,如果防火墻發現了網絡中出現有威脅網絡安全的非法活動,防火墻將于第一時間發出警報,并且采取相應的措施來對其進行處理,有效的避免網絡安全風險。
2防火墻的常用技術及其在網絡安全中的應用
2.1數據包過濾技術及其應用
數據包過濾技術主要分為組過濾和包過濾兩種,數據包過濾技術是一種較為通用的防火墻技術,并且它也較為廉價和有效。數據包過濾技術主要是在計算機網絡的網絡層和傳輸層發揮作用。它可以通過對分組包的源、宿地址、端口號機協議類型和標志確定是否允許其通過。而該技術所依據的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優點就在于其對于用戶來說是完全透明的,處理速度也非常的快,而且十分易于維護,因此在使用的過程中較為方便,通常包過濾都是被作為網絡安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的,所以我們也就不能夠看到入侵者的攻擊記錄,而且隨著計算機技術的不斷發展,攻破一個單純的包過濾式防火墻對于現代的黑客來說也較為簡單。當前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻,所以為了進一步的提升網絡的安全性,現在已經將包過濾技術作為網絡安全的第一道防線,而進一步發展起來了技術。
2.2服務技術及其應用
服務技術是在數據包過濾技術之后發展起來的,但現在服務技術已經成為了防火墻技術中使用頻率較高的一種技術,而且服務技術也擁有非常高的安全性能。服務軟件往往是運行在一臺主機上的,通過在這一臺主機上的運行來構成服務器,并且負責對客戶的請求進行截獲,然后再依據它的安全規則來決定該請求是否可以得到允許。如果得到了服務器的允許,該請求才能夠被進一步的傳遞給真正的防火墻。一般而言,服務器是外部可以見到的唯一的防火墻實體,所以說服務器對于內部用戶而言是完全透明的。除此之外,服務器還可以對協議特定的訪問規則進行應用,從而來執行基于用戶身份和報文分組內容的訪問控制。這種防火墻技術可以對網絡信息的交換進行完全的控制,并且還可以記錄整個會話的過程,有著很高的靈活性和安全性。但是服務技術也有著自身的缺陷,那就是有可能會對網絡的性能造成一定的影響,而且對于每一個服務器都要進行一次模塊的設計,并且建立起相應的網關層,所以其實現往往較為復雜。
2.3狀態監測技術及其應用
狀態檢測技術是一種在網絡層來實現防火墻功能的技術,狀態監測技術所使用的是在網關上執行安全策略的軟件模塊,這個模塊被稱為監測引擎。監測引擎不同于服務器,不會對網絡的正常運行造成任何影響。并且監測引擎還可以采用抽取有關數據的方法來對網絡通信的各層進行檢測,抽取相應的狀態信息,然后動態的加以保存并將其作為以后執行安全策略的一個參考。除此之外,監測引擎還可以支持多種協議及應用程序,還可以有效的實現應用和服務的擴充。相比于之前的兩種防火墻技術而言,狀態監測技術可以更好地對用戶的訪問請求進行處理,因為狀態監視器會抽取有關數據來進行分析,然后再通過對網絡配置和相應的安全規定的結合,來做出相應的接納、拒絕、身份認證、報警或者給該通信加密等一系列的處理動作。
作者:李慧清 單位:內蒙古化工職業學院
引用:
[1]趙俊.淺談計算機防火墻技術與網絡安全[J].成都航空職業技術學院學報:綜合版,2012.
篇4
關鍵詞:防火墻;類型;安全性
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-01
Firewall Design and Application
Lu An,Yang Tianyi
(Chongqing University,Chongqing400715)
Abstract:The firewall as a system of infrastructure,its role is to cut off the communications network controlled by the main trunk route through the controlled safe handling of any communications.There are currently firewall packet filtering,application proxy,and state detection of several types.Firewall security depends on whether the firewall is based on the safety of the operating system and using dedicated hardware platform.
Keywords:Firewall;Type;Security
隨著網絡技術的飛速發展,網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段,它主要是用來拒絕未經授權用戶的訪問,阻止未經授權用戶存取敏感數據,同時允許合法用戶不受妨礙的訪問網絡資源。
一、防火墻技術的涵義
網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。實現防火墻的主要技術有:數據包過濾,應用網關和服務等。
二、防火墻在網絡中的應用
(一)防火墻系統總體設計
NP系統下實現軟件防火墻的設計與應用,實質上就是基于主機的網絡安全解決方案。因此,我們完全可以選擇合適的軟硬件平臺和相應的防火墻設計原理,自己開發出一套能夠滿足要求的防火墻系統。
(二)網絡企業的防火墻設置
可以通過一個安全策略的樣本來了解防火墻的理想設置:
設置防火墻的正確位置應該在內部網絡與外部網絡之間,它能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。
三、防火墻在網絡企業中的運用
了解了什么是防火墻和它的各種特性以及防火墻的部署使用規則之后,結合實際的防火墻產品來說明防火墻是如何在一個網絡中起到作用的。
在網絡企業中有一款防火墻RG-WALL 50,RG-WALL作為一個路由器運行,因此各接口屬于不同的網絡。在路由器或L4交換設備中,在安裝RG-WALL的位置兩側的設備原先是相互直接連接的,只需一個網絡地址即可,但是在中間安裝RG-WALL之后,需要新的網絡地址體系。模擬真實情況下的企業網絡運作情況如圖1所示。
圖1企業網絡中拓撲圖
四、基于NP系統防火墻總體設計
(一)NP的防火墻系統主要功能
1.全程動態包過濾 本防火墻要在NP下實現全程動態包過濾功能,通過分析數據包的地址、協議、端口對任何網絡連接當前狀態進行訪問控制,從而提高系統的性能和安全性。
2.提供日志審計 本防火墻配備了日志記錄系統和查詢工具,用于記錄系統管理、系統訪問及針對安全策略的網絡訪問情況。
3.防火墻數據庫的備份本防火墻制作防火墻過濾數據庫,并且管理員可以能動地對該數據庫進行設置。
(二)網絡處理器NP簡介
網絡處理器(NP)是一種可以編程的設備,抑或可以說是一種芯片。它是一種為了進行網絡分組處理而特定開發的新型產品,專業的應用于通信領域中的某一特殊任務當中,其本身具有專門的指令集和配套的軟件開發系統,因此不僅具有較強的編程能力,而且擁有超強的處理性能,從而可以很好的滿足當今互聯網絡高速發展的需求以及互聯網業務多元化、多樣化發展的趨勢。
(三)防火墻系統設計方案
基于NP的網絡系統防火墻由主控單元、網絡處理單元和電源三部分組成,其中,主控單元采用通用處理器設計的管理與協處理板;網絡處理單元采用基于NP的專用網絡處理板,其通過PCI總線與主控單元通信;電源則專為主控單元和網絡處理單元提供電源支持。
1.主控單元
主控單元硬件部分采用通用中央處理單元設計的主控板,以便于管理配置網絡處理板和運行其它非實時性的安全模塊。主控單元的軟件包括控制管理和高級安全兩部分。控制管理軟件接收從Web界面和命令行對防火墻傳遞的配置信息,并轉換為網絡處理器識別的信息,發送到網絡處理單元的控制管理模塊,同時接收從網絡處理單元的控制管理模塊返回的信息。高級安全軟件主要是那些對實時性要求不高或在NP中實現極大影響性能功能。
2.網絡處理單元
網絡處理單元采用NP設計專用的網絡處理板,其通過外設組件互連總線與主控單元通信。因為防火墻的安全過濾與操作系統無關,并且與防火墻的配置管理及控制相分離,故網絡處理器的安全功能模塊可以隨時升級。
(四)基于系統安全防火墻關鍵技術
可靠性設計、可擴展設計和精確流控技術是企業應用防火墻系統設計當中非常關鍵的三個技術。可靠性設計技術可以解決因高頻串擾帶來的千兆線速丟包問題以及避免操作系統帶來的不穩定性和安全隱患問題。擴展設計可以采用模塊化設計和模塊分層,并逐層封裝,配置與控制層提供功能的擴展接口。精確流控技術可以實現WRED算法和丟包算法,以保證當網絡發生擁塞時,避免由于誤丟包而帶來的流量震蕩。
五、結論
在當今互聯網絡高速發展的今天,企業網絡所受到的應用層威脅正在日益加劇。應用層不僅成為黑客入侵企業網絡的入口,而且成為員工出現泄密等安全事件的優良載體,防御企業網絡應用安全正在成為信息主管與首席安全官共同關注的話題。而研制更安全和更快速的應用防火墻系統,將成為今后互聯網絡發展應用的一個重要課題。
參考文獻:
[1]林曉東,楊義先.網絡防火墻技術.電信科學,1997,13
[2]黃允聰,嚴望佳.防火墻的選型、配置、安裝和維護.清華大學出版社,1999
[3]肖曉.教育系統網絡安全新貴EDU[J].中國教育網絡,2005,7
篇5
關鍵詞:網絡安全;信息安全;防火墻
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 13-0000-02
網絡通訊安全問題主要表現在信息的泄漏、篡改以及非法信息的流傳和散播,還包括一些利用網絡資源進行非法貿易等問題網絡通信安全問題可能給企業帶來更為嚴重的經濟損失,必須引起我們我們的高度重視和關注。網路的發展是以開放為基礎的,但是又因為這種過渡的開放空間,給很多不法人員帶來了空隙可鉆,從而給我們的正常網絡通訊造成了一定的威脅。網絡威脅主要來自于兩個方面,一個是對網絡硬件和軟件的損壞或非法入侵,產生線路的干擾、竊聽、病毒傳播、信息盜取等等問題;另一個是操作系統出現的問題,導致一些應用方面的問題頻發。保證信息技術的安全,是保證我們生活的隱私、工作的嚴密的重要問題。
一、防火墻的基本含義及工作原理
(一)防火墻的基本含義
防火墻是指通過一些網絡設備,對來自于網絡的惡意防控程序進行阻擋和控制。網絡設備包括很多,主要有計算機、路由器等等。防火墻的工作形式是不同的,而且不同類型的防火墻,所產生的效果也是有很大差異的,但從整體來看,所有的防火墻的工作原理基本都是相同的。他們通過設備對黑客等進行阻攔,通過被拒絕的方式,保證攔截惡意入侵者的目的。使用防火墻需要網絡管理人員將防火墻的相關設置進行詳細的設定,對于允許訪問的信息給予通過的設置,對于不允許通過的信息給予阻擋的設置,從而保證網絡通訊的安全進行。
(二)防火墻的運行原理
首先,我們分析一下包過濾防火墻的運行原理。這種類型的防火墻主要是通過對網絡信息的進入和發送進行仔細審核分析,它需要在分析之前做好安全信息策略工作,對于已經得到授權的信息,防火墻給予放行,對于沒有授權的信息,防火墻則給予拒絕放行的處理,從而達到保證網絡通訊安全的目的。
其次,我們分析一下狀態檢測防火墻,這個防火墻的設置是相對合理有效的一種方式,狀態檢測防火墻運行在正常的服務器環境中,提供一個應用層的感知系統。在防火墻打開的狀態下,信息包被截取,留放在網絡層,進而對數據包中的信息進行提取,并及時的保存,保存方式為動態的列表。通過這種方式來驗證后續的連接請求,所以,狀態檢測防火墻實際上是為網絡系統提供了高安全性的方案,這對于計算機系統的操作效率有一定的提升,同時,也保證了網絡通訊的安全性,是一個不錯的防火墻技術。
二、防火墻的幾個技術類型
(一)包過濾類型防火墻技術
包過濾型的防火墻是一種常見的防火墻類型,它的技術是根據數據包的源頭地址、目的和端口號的信息進行通過權利的授予,必須具有授權的數據包才能通過這個防火墻的關卡,對于一些沒有授權的數據包只能被阻擋在防火墻外,這個方法是一個比較強硬的設置方法,有的時候也會阻擋一些有用的信息,但是大多數情況下,它還是起到了一個比較良好的通訊安全保證作用。它的運行特點是只要應用一個簡單的路由器設備就可以對網絡安全起到保護的作用。而且過濾路由器的應用特點是比較迅速、效率較高,運用起來比較方便,但是也具有一定的缺陷,即對地址的依賴性比較強,對于虛假地址沒有強烈的分辨能力和組織能力,而且,由于它主要是針對過濾包進行工作,所以,限制了一些協議的過濾。從一定程度上來說,這種方法的保護作用由于其缺陷的問題被削弱了。
(二)網絡地址轉換防火墻技術
采用網絡地址轉換的防火墻技術依靠IP地址的注冊,在運行過程中,需要網絡管理員對每一個計算機服務器進行IP地址的注冊。當內部網絡通過安全網卡對外部網絡進行訪問時,系統會將與外部通信的的源地址映射為一個偽裝的地址和端LI與外部網絡進行連接,這就將真實的內部地址進行了有效的隱藏;相反,如果來自外部的網絡地址對計算機服務器進行訪問的時候,通過開放的IP地址進行訪問。這個網絡地址轉換型的防火墻也是根據預定好的映射,針對訪問地址繼續擰安全情況的分析和判斷。這種方法似乎系統很麻煩,但對于用戶的使用來講,沒有任何多余的操作環節,正常的操作和使用便可,防火墻的效果也相對較好。
(三)應用防火墻技術
這種防火墻技術主要在應用層進行工作和運行,也對這一層的應用信息進行游俠的監督和控制,它能夠做到對網絡通訊信息進行完全拒絕的要求,進行相應的程序設定,其具有比較高的安全性能特點,也可以對應用層進行安全性的檢測,對惡意入侵的病毒等進行強力的控制和清掃,它的力度較大,效果也比較明顯。然而,在其應用過程中也具有一定的問題和缺陷,由于這個類型的防火墻的力度相對較大,所以,它在應用過程中會對網絡系統產生比較深的影響,對所有的可能情況都要進行監控,提高了整個網絡系統在管理過程中的難度。
(四)狀態檢測防火墻技術
篇6
近幾年越來越多的人開始加強對網絡安全技術的研究,使得網絡安全技術得到了非常發展,越來越多的新技術開始投入到實際應用中,從而使得網絡更加安全。因此,下面我們就網絡安全的構成和影響因素進行深入的分析和研究。
1.1網絡安全構成
就國內互聯網的實際情況來看,當前網絡安全主要是由以下幾個方面來構成:一是網絡實體安全,也就是計算所處的物理環境和設施的安全性,以及計算機一些附屬設備的安全,如外設、網絡傳輸線路等等;二是軟件安全,其中包括網絡操作系統自身的安全性以及在系統中的安裝使用的軟件不被非法篡改和病毒入侵等;三是數據安全,確保網絡中的數據不被非法竊取或修改等,確保信息數據具有一致性與完整性;四是網絡安全管理,主要是網絡運行中對突發事件所進行的安全處理,其中包括計算機安全技術的使用和網絡安全管理制度體系的構建等。
1.2網絡機密性
從網絡所具有的特征方面來看,網絡安全包含著五個最為基本的構成要素:一是機密性。即保證信息數據在未授權的情況下不暴露給沒有權限的進程與實體;二是完整性。即只有具有權限的人可以對信息數據進行修改,并對信息數據是否經過篡改做出判斷;三是可使用性。具有權限的實體可以對信息數據開展訪問,網絡攻擊者不能在占有所有資源的情況下對具有權限者的工作造成阻礙;四是可控性。即可以對授權范圍中的行為方式以及信息流向進行有效控制;五是可審查性。對已經存在的網絡安全問題提供有價值的、可調查的手段和依據。
1.3影響網絡安全的因素
網絡所面臨的安全威脅來自于多個方面,其中主要包括以下幾點:一是網絡能夠讓信息的收集更加的快捷與方便,并且能夠在很大程度上增加信息的價值,同時也形成了對網絡黑客的吸引力;二是計算機系統中存在的漏洞難以避免,這讓網絡入侵時刻存在可能性。計算機系統本身的體系結構安全性欠缺,尤其是操作系統程度允許動態連接的特點也為黑客的入侵創造了更為有利的環境;三是網絡系統中信息數據存在于數據庫中,這些數據在實現共享的基礎上也具有了危險性與不安全性,如具有權限的用戶超出自身權限對數據進行修改,沒有權限的用戶通過繞過安全審核來對信息資源進行竊取等;四是系統中的應用服務協議以及通信協議具有缺陷并存在被惡意利用的可能性;五是當前計算機病毒可以對計算機硬件造成破壞,并可以通過網絡對多臺計算機造成破壞。隨著計算機病毒種類、數量的增長以及病毒變種和機理的演變,病毒的檢測和查殺具有了更多的難度;六是網絡系統與計算機配置經常發生變化并且具有十分復雜的特點,如果配置不當則容易造成安全漏洞的產生;七是相關人員在網絡系統安全方面欠缺認識與重視,沒有針對網絡安全問題采取有針對性的措施。
2防火墻技術
隨著人們對網絡安全重視程度的不斷提高,人們研究出越來越多的措施來加強網絡安全,而防火墻技術是其中最具代表性、最常用的一種方式,因此,下面我們就對防火墻技術的概念、原理、分類進行深入的分析和研究,以便能夠充分發揮會防火墻自身的作用和價值。
2.1防火墻技術概念
防火墻的基本含義是在建筑物中用于隔離和減緩火勢的墻壁,引申為在網絡安全中用于防止惡意襲擊的安全防線。防火墻的在網絡中引申意義就像原意一樣,主要的功能就是防止外部的危險進入到內部進而造成損害,并隔離網絡防止損害的擴散。防火墻既可以隔絕外界干擾,又可以限制險情蔓延,還可以保證內部的系統安全。根據功能的不同,防火墻進行工作的方式也是不一樣的,通常情況下防火墻的主要構成是硬件和軟件設備,究其根本,防火墻最初的作用是為了保護內部數據資源的安全,這是一種訪問控制技術,可以通過各種方式來對因特網和內部網絡進行隔離,當然。如果有需要的話還可以對因特網中的不同部分進行分離。
2.2防火墻工作原理及特性
對于已經調試好的防火墻,既可以最大限度的做好監控數據流量和篩選網絡信息數據的工作,當然還可以對未通過并試圖通過其他非正當手段進行數據連接的行為進行及時的記錄,并為管理員進行跟蹤和管理的依據。主流高品質的防火墻通常有以下幾個特征:所有通過因特網進入內部網絡的數據流量都必須經過防火墻的檢測、通過防火墻檢測并得到允許的數據信息才可以進入內部網絡、通過防火墻的所有信息流量活動還有信息記錄都必須記錄下來、具有發現檢測預報的功能、防火墻應該擁有破解各類惡意攻擊的本領和能力。
2.3主流防火墻的不同分類
主流防火墻由于用途功能不同的原因,通常有以下四種類型:人們在對防火墻進行分類時,主要是通過其不同功能來進行的,其主要有以下幾種類型:一是,應用型防火墻。該種類型主要是由于防火墻服務不同的對象、選擇的服務方式不同來進行的,通過編寫相應的程序,從而為各個對象提供相應的服務,這就能夠在最大程度上確保應用信息得到有效監控的作用;二是,包過濾器防火墻,該種類型主要是在傳輸方面得到廣泛應用。其主要功能是有效檢測和區分不同的信息數據,從而能夠最終篩選出適合的信息,進而將有用的信息傳輸到其對應的目的地;三是,復合型防火墻,是由最基礎的集成電路為結構,由防火墻阻止病毒等惡意信息。四是,狀態包檢測防火墻,這是以一種將同樣屬性的數據包連接成一個整體的監測機制,能夠做到精確區分各個連接狀態的不同因素。
3主流防火墻技術在網絡安全中的運用
總的來講,計算機網絡安全就是依據防火墻進行網絡的管理工作,并確保工作數據的完整性及隱私性。計算機網絡安全分為兩種類型,分別是物理安全和邏輯安全。由于使用者是不一樣的,網絡安全的解讀自然就會有很多個不同的版本,舉個淺顯易懂的例子:大多數網絡使用者通常都是簡單的認為網絡安全就是在自己運用網絡進行活動的時候自身的信息不會被竊聽或者是篡改,但是對于網絡供應商們來講,計算機網絡安全除了上述的含義,還應該擁有保護硬件設備的功能,還應該有出現意外事故進行自我修復回復通信功能的作用。
3.1加密
信息的加密過程一般是這樣的:先由信息發送者進行信息加密,接受信息者知曉信息解密得密碼,接受信息者在收到信息后,通過使用自身擁有的安全秘鑰進行信息的解讀,這樣就完成了信息的傳遞工作而不用被第三方攔截。這個措施的使用就是確保信息傳遞的安全性的。由此可以看出,防火墻技術中的加密技術,能夠從根本上確保網絡安全,確保企業的信息不被受到侵犯,從而使企業的信息能夠在內部進行有效的傳遞和共享。因此,加密技術已經在當前我國很多企業的網絡中得到了廣泛的應用。
3.2身份的驗證
網絡用戶得到授權之后,信息的發送者和接受者之間就會聯接起一條信息交換的通道并具有一定的安全系數,這樣就會大大減少信息泄露的風險,大幅度降低第三方非法用戶的參與導致信息資料的不安全性。
3.3防病毒
主要分為防治病毒、檢測病毒、清理病毒三個主要方面。
(1)在網絡建設中,安裝防火墻進行數據信息的控制室時遵循一定的規則和條件的,構建成功后就會擁有一道相對安全的信息保護屏障用于保護內網和外網進行的數據交流,保護不受第三方的數據干擾和信息竊取。
(2)有很多種連接數據網絡的方式,通過路由器進行網絡連接的方式通常擁有一個C類IP地址,服務器主要類型是WWW、Email等。該網絡必然會先進行主干網的連接,訪問主干網絡信息資源,不允許其他的服務訪問。然后,會進行IP地址的詳細檢查工作,并對信息訪問記錄進行存儲,這些都是為了防止其他非法訪問和不正當方式的盜用。
4結論
篇7
關鍵詞:防火墻;網絡安全;應用
中圖分類號:C96 文獻標識碼:A
在互聯網高度普及和發展的今天,我們的生產生活方式都發生了極大的改變,但是網絡安全問題也日漸突出,數據在網絡傳輸過程中泄密、惡意篡改、攔截以及復制問題日益嚴峻。這些隱藏的安全隱患對人們隨時可能造成機密信息的泄露以及計算機系統癱瘓等后果。防火墻技術是一種有效的信息隔離安全技術,對于構建安全的網絡信息環境具有非常重要的作用。因此,從這個角度來看,文章對防火墻技術在計算機網絡安全中的應用價值進行分析具有非常重要的現實意義。
1防火墻技術
所謂的防火墻是指在不同的網絡(主要是指可信賴網絡與不可信賴公共網絡)之間設置的一系列的安全部件的組合,其主要的作用是在不同的網絡之間設置唯一的安全信息入口,根據用戶設置的安全策略對出入網絡的信息流進行管理。防火墻本身具備較強的抗攻擊能力,是一種實現網絡安全的基本措施。
(1)加密技術。即信息的發送方先對信息做加密處理,密碼由接收方掌握,接收方接收到經過加密處理的信息后,用解密密鑰對信息進行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸的安全性。
(2)身份驗證。通過對網絡用戶的使用授權,在信息的發送方和接收方之間通過身份認證,建立起相對安全的信息通道,這樣可以有效防止未經授權的非法用戶的介入。
(3)防病毒技術,主要涉及對病毒的預防、檢測以及清除三方面。
(4)進侵檢測,即對進入系統中未經授權以及異常的信息及時作出預警,以及時檢測出信息系統中的安全威脅。
(5)掃描漏洞。通過對網絡信息系統中的文件及數據加以掃描,進而查找出其中可能受到黑客威脅的漏洞,通過此掃描過程,預先評估并分析出網絡系統中可能受到黑客利用的漏洞,可以在很大程度上保障網絡信息安全。
(6)信息防火墻,即通過對網絡傳輸數據的檢測及限制,避免外部非正當信息的侵入,最大程度的保障網絡內部的信息安全。
網絡防火墻本身就如一堵墻壁,將內部私人可信賴的安全網絡與外部公共不可信賴的網絡進行隔離,從而起到區域網絡的不同安全區域的防御作用,其結構如圖1所示。
成如圖1所示,防火墻在內網與互聯網之間起到信息安全管理的作用,通過一系列的安全策略,對互聯網進入內網或者內網進入互聯網的信息進行管理,從而起到保護用戶數據和系統安全的作用。
2防火墻設置的基本原則
計算機網絡防火墻的設置主要需要遵循如下幾個方面的基本原則:
(1)簡便實用原則
所謂的簡便實用原則是指我們在防火墻的環境設置方面,需要確保其越簡單越好,因為越簡單的實現方式,就越容易實用,而且也不容易出現問題,即使是出現問題也相對容易解決。
(2)全面深入原則
防火墻具有許多的網絡防護功能,但是任何一種單一的防御措施在實際上都無法有效的保障系統的安全。因此,在防火墻設置的時候,我們需要綜合運用各類功能,構建起全面、多層次的網絡安全防御體系,盡量使得各方面的設置能夠均衡、協調,相互加強,從根本上加強計算機的網絡安全防護能力。
(3)內外兼顧原則
所謂的內外兼顧的原則,主要是針對防火墻的技術特點而言的,由于防火墻個是防外不防內的。但是,從計算機網絡安全的實際情況來看,其80%的威脅都是來自于內部,因此在進行防火墻設置的時候,要加強主機防護,從入侵檢測、漏洞掃描以及病毒的查殺幾個方面有效的提高防火墻的防護能力。
3計算機網絡防火墻的具體設置
為了更好的發揮計算機網絡防火墻的功能,提高計算機安全性,依據上述的設置原則,可以在如下兩個方面進行防火墻的設置:
(1)網絡防火墻的功能設置
在功能設置方面,首先需要在上網之前開啟防火墻,然后進行安全等級的設置,如果有固定IP的用戶,設置為中等即可,這是以往IP固定的用戶一般是局域網用戶,局域網本身就有一定的網絡防護功能,中等等級的設置即可。同時,要打開防火墻的各項針對性的功能,比如網頁安全防護、聊天安全防護、下載安全防護、局域網ARP供給防護等等。對系統內部則要打開鍵盤記錄防護、文件系統防護、驅動防護、進程防護以及注冊表防護等幾個方面的功能。
(2)網絡防火墻的規則設置
一般的,網絡防火墻是有自身的默認規則的,但是這些規則只針對計算機最為常見的木馬與漏洞,但是對于剛爆發的新木馬與漏洞,網絡防火墻舊有的規則無法使其勝任保護計算機網絡安全的任務。因此,我們需要對網絡防火墻的規則進行設置。
首先,可以通過利用反病毒廠家提供的相關信息,對病毒、木馬以及計算機安全漏洞的分析結果進行綜合分析。然后,在上述分析的基礎上,根據自身的實際需要以及當前的網絡安全現狀,進行規則設置。比如,對ICMP IGMP炸彈可以設置echo requset攔截規則,攔截ICMP的1型,從而有效防止黑客侵入。具體的規則設置因人而異,因時而異,需要靈活運用,文章不就此過多贅述。
結語
網絡技術的發展和普及在給我帶來各種便利的同時,也使得網絡信息安全態勢日益嚴峻。防火墻是一種有效的計算機網絡安全防護技術,文章研究了網絡防火墻技術及網絡防護墻的設置基本規則,然后在此基礎上,文章對計算機網絡防火墻的功能設置以及規則設置進行了探討。然而,我們也應該認識到,網絡安全是一項綜合性的課題,需要通過各方面的全力協作才能夠找到更好的網絡安全解決對策。希望本文的研究對于推動計算機網絡安全建設能夠起到一定的參考作用。
參考文獻
[1]楊春波,張崇俊.防火墻技術的現狀與發展趨勢的探討[J].福建電腦,2006(02).
[2]王迪.防火墻技術及攻擊方法分析[J].湖南民族職業學院學報, 2007(04) .
篇8
關鍵詞:防火墻 VPN 網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2015)03-0186-01
目前,隨著計算機在各個領域的迅速普及,計算機在人們的生活中的所起的作用越來越重要,整個社會對計算機的依賴程度也隨之加大。隨著計算機技術的發展,網絡安全問題也不容忽視。眾多網絡安全事件時有發生,這使得網絡安全技術的發展得到了廣泛的關注。而防火墻作為最有效的手段,得到了迅速的發展。防火墻是在內部網絡和外部網絡之間、專用網和公用網之間的保護屏障。可以有效的控制內網和外網之間的數據傳輸與訪問。可以有效的避免外網的不信任用戶用非法手段進入網絡,從而保證內網信息的安全性。虛擬專用網絡是目前最常用的信息安全隧道技術。利用虛擬專用網建立一條加密的可靠的數據連接信道,讓信息傳遞更加安全。
1 防火墻
防火墻的發展經歷了多個不同的階段。
1.1 包過濾技術(packet filtering)
早先,防火墻主要是對每個數據包都進行檢查,以包過濾防火墻為代表,對于到達防火墻的數據包檢測其IP地址信息、協議信息、端口信息等來確定是轉發還是丟棄。包過濾技術有對于小型網絡來說實現簡單、效率高、速度快的優點,但是包過濾技術同樣存在不能分辨數據包內的內容,可能存在病毒安全的隱患的問題;包過濾的規則指定比較復雜。
1.2 狀態檢測(stateful-inspection)
在包過濾檢測技術的基礎上新發展起了一種技術為狀態檢測技術,該技術的實質為動態的包過濾技術。此狀態檢測技術具有更好的靈活性和安全性。狀態檢測技術主要是在不影響正常通信的前提下,抽取網絡中的數據,并對抽取的數據進行檢測,如IP地址、協議類型信息、連接狀態信息等,通過抽取的部分狀態信息,動態的保存,對連接狀態進行識別。狀態檢測技術具有更好的靈活性和安全性。
1.3 型防火墻技術(proxy)
一部介于內部網絡和外部網絡之間的服務器,不允許內部網絡直接對外部網絡進行各種操作,內部網絡的用戶的各種操作需要通過進行轉接,從而實現對外部網絡的間接訪問。在數據中起到上傳下達的作用。型防火墻技術的主要優點為對網絡服務可以提供有效的監控,同時可以對數據包進行處理,甚至可以對內容進行處理,但是缺點是對用戶不透明,不能增強底層協議的安全性。
1.4 分布式防火墻(distributed firewall)
分布式防火墻提供了更為安全的防火墻,可以同時防范內部網絡和外部網絡的攻擊,成為發展的一個重要方向。分布式防火墻為一種新的防火墻體系結構,其結構包括網絡防火墻、主機防火墻以及中心管理控制服務器。分布式防火墻提供了更加靈活的網絡拓撲結構、網絡安全規則的定制也由中心管理控制服務器做集中控制和管理。分布式防火墻建立單一點的脆弱,更加安全的保護網絡。
2 VPN技術
VPN(virtual private network,虛擬專用網)是近年來網絡中最為常用的構建信息安全的技術,受到了廣泛的關注,虛擬額專用網是在公有網絡中建立私有的數據通訊的網絡,即提供一條端對端的通訊,可以保證數據信息的安全性。VPN采用的關鍵技術包括隧道技術、加密技術和密鑰交換技術。
(1)隧道技術是一種通過使用網絡的基礎設施,在網絡中傳輸數據的一種方式,用隧道傳輸數據的優點在于可以傳送不同協議的數據包。隧道技術是將原始數據包添加新的IP包頭,并在隧道中進行傳輸,將數據轉發到目的節點,到達目的節點后,去掉IP包頭,得到原始數據。也就是說,隧道技術即為數據包的封裝、傳輸和解包的過程。隧道技術實際上時將一種協議的數據單元封裝在另一種協議中傳輸的技術。(2)加密技術是保證數據包在傳輸過程中完整性和安全性的技術,一般是在數據傳輸之前將數據進行加密,當數據到達目的節點后再對數據進行解密。常用的密碼技術包括對稱加密算法和非對稱加密算法,常見的對稱加密算法為DES、AES、3DES等集中。由于對稱密鑰加密算法快,適合大規模數據的加密,因此VPN中常見的加密算法為對稱加密算法。非對稱加密算法為RSA算法和Diffie-Hellman算法。(3)密鑰交換技術;采用密鑰交換協議對訪問者身份進行驗證,以提高傳輸的安全性,防止非法用戶竊取密鑰。同時密鑰交換協議提供了多種驗證方式對身份進行驗證,以保證數據傳輸的安全性。這些驗證方式包括PAP、CHAP、MS-CHAP、SPAP、EAP等。虛擬專用網VPN因其安全性和方便快速地組網特點已經被廣泛應用。
篇9
關鍵詞:分布式防火墻技術;特點;應用
中圖分類號:S762.3+3 文獻標識碼:A
前言
近幾年來,隨著互聯網應用的飛速發展,人們在享受網絡帶來的諸多便利的同時,也正在面臨著日益嚴重的網絡安全問題。能否確保內部網不被來自網內外的用戶非法登陸及惡意攻擊,使政務、商務等信息系統能正常運行,將成為影響企業利益、國家安全和社會穩定的重要因素。因此,作為新一代的網絡安全技術,分布式防火墻技術已應運而生。
一、分布式防火墻的概念 針對傳統邊界防火墻的缺欠,“分布式防火墻”(Distributed Firewalls)的概念被專家學者提出來。因為它要負責對網絡邊界、各子網和網絡內部各節點之間的安全防護,所以“分布式防火墻”是一個完整的系統,而不是單一的產品。根據其所需完成的功能,新的防火墻體系結構包含如下部分: 1、 網絡防火墻
這一部分有的公司采用的是純軟件方式,而有的可以提供相應的硬件支持。它是用于內部網與外部網之間,以及內部網各子網之間的防護。與傳統邊界式防火墻相比,它多了一種用于對內部子網之間的安全防護層,這樣整個網絡的安全防護體系就顯得更加全面,更加可靠。不過在功能與傳統的邊界式防火墻類似。 2、主機防火墻
同樣也有純軟件和硬件兩種產品,是用于對網絡中的服務器和桌面機進行防護。這也是傳統邊界式防火墻所不具有的,也算是對傳統邊界式防火墻在安全體系方面的一個完善。它是作用在同一內部子網之間的工作站與服務器之間,以確保內部網絡服務器的安全。這樣防火墻的作用不僅是用于內部與外部網之間的防護,還可應用于內部網各子網之間、同一內部子網工作站與服務器之間。可以說達到了應用層的安全防護,比起網絡層更加徹底。
3、 中心管理服務器
中心管理服務器是整個分布式防火墻的管理核心,這是一個服務器軟件,負責總體安全策略的策劃、管理、分發及日志的匯總。這是新的防火墻的管理功能,也是以前傳統邊界防火墻所不具有的。這樣防火墻就可進行智能管理,提高了防火墻的安全防護靈活性,具備可管理性。
二、分布式防火墻的主要特點
1、主機駐留性
分布式防火墻是一種主機駐留式的安全系統。主機防火墻對分布式防火墻體系結構的突出貢獻是,使安全策略不僅僅停留在網絡與網絡之間,而是把安全策略推廣延伸到每個網絡末端。
2、類似個人防火墻
針對桌面應用的狹義分布式防火墻與個人防火墻有相似之處,如都對應個人系統,但兩者的差別又是本質的。首先,它們的管理方式不同,個人防火墻的安全策略由系統使用者自己設置,目標是防止外部攻擊; 而針對桌面應用的狹義防火墻的安全策略是由管理員統一設置,除了對該桌面系統起到保護作用外,還對該桌面系統的對外訪問加以控制,并且這種安全機制是使用者不能改動的。其次,個人防火墻面向個人用戶,而針對桌面應用的狹義防火墻面向的是企業級用戶,是企業級安全解決方案的組成部分。
3、適用于服務器托管
不同的托管用戶都有不同數量的服務器在數據中心托管,服務器上也有不同的應用。對于安裝了中心管理系統的管理終端,數據中心安全服務部門的技術人員可以對所有在數據中心委托安全服務的服務器的安全狀況進行監控,并提供有關的安全日志記錄。
4、嵌入操作系統內核
主要是針對目前的純軟件式分布式防火墻。操作系統自身存在許多安全漏洞,運行在其上的應用軟件無一不受到威脅。分布式主機防火墻也運行在主機上,所以其運行機制是主機防火墻的關鍵技術之一。為自身的安全和徹底堵住操作系統的漏洞,主機防火墻的安全監測核心引擎要以嵌入操作系統內核的形態運行,直接接管網卡,在把所有數據包進行檢查后再提交操作系統。為實現這樣的運行機制,除防火墻廠商自身的開發技術外,與操作系統廠商的技術合作也是必要的條件,因為這需要一些操作系統不公開內部技術接口。
三、分布式防火墻技術的主要優勢
1、提高了系統性能傳統防火墻由于具有單一的接入控制點,無論對網絡的性能還是對網絡的可靠性都有不利的影響。分布式防火墻則從根本上拋棄了單一的接入點,而使這一問題迎刃而解。另一方面,分布式防火墻可以針對各個服務器及終端計算機的不同需要,對防火墻進行最佳配置,配置時能夠充分考慮到這些主機上運行的應用,如此便可在保障網絡安全的前提下大大提高網絡運行效率。
2、系統的可擴展性因為分布式防火墻分布在整個企業的網絡或服務器中,所以它具有無限制的擴展能力。隨著網絡的增長,它們的處理負荷也在網絡中進一步分布,因此它們的高性能可以持續保持住。而不會像邊界式防火墻一樣隨著網絡規模的增大而不堪重負。
四、分布式防火墻技術的應用
1、利用分布式防火墻堵住內網漏洞隨著網絡安全技術的不斷發展,傳統邊界防火墻逐漸暴露出一些弱點,具體表現在以下幾個方面。(1)受網絡結構限制邊界防火墻的工作機理依賴于網絡的拓撲結構。隨著越來越多的用戶利用互聯網構架跨地區企業網絡,移動辦公和服務器托管日益普遍,加上電子商務要求商務伙伴之間在一定權限下可以彼此訪問,企業內部網和網絡邊界逐漸成為邏輯上的概念,邊界防火墻的應用也受到越來越多的限制。(2)內部不夠安全邊界防火墻設置安全策略是基于這樣一個基本假設:企業網外部的人都是不可信的,而企業網內部的人都是可信的。事實上,接近80%的攻擊和越權訪問來自于企業網內部,邊界防火墻對于來自企業網內部的攻擊顯得力不從心。分布式防火墻把Internet和內部網絡均視為不“友好”的。它們對個人計算機進行保護的方式如同邊界防火墻對整個網絡進行保護一樣。對于Web服務器來說,分布式防火墻進行配置后能夠阻止一些不必要的協議通過,從而阻止了非法入侵的發生。(3)效率不高與故障點多邊界防火墻把檢查機制集中在網絡邊界的單點上,由此造成網絡訪問瓶頸,并使得用戶在選擇防火墻產品時首先考慮檢測效率,其次才是安全機制。安全策略過于復雜也進一步降低了邊界防火墻的效率。
2、利用分布式防火墻查殺病毒企業級防火墻作為企業網絡安全的“門神”,有著不可替代的作用。但實踐證明,企業級防火墻也不能令人完全滿意。與企業級防火墻相比,個人防火墻(主機防火墻)可以有效地阻止內部網絡攻擊,并且由于防護節點在主機,可以大大減輕對網絡帶寬和資源的影響。但個人防火墻在企業網絡中的應用和防病毒軟件的應用一樣面臨管理的問題,沒有統一整體的管理,個人防火墻也不會起到應有的作用。分布式防火墻技術的出現,有效地解決了這一問題。以北京安軟天地科技的EVERLINK分布式防火墻為例,它不僅提供了個人防火墻、入侵檢測、腳本過濾和應用程序訪問控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墻中央管理器,可以對網絡內每臺計算機上的防火墻進行配置、管理和更新,從宏觀上對整個網絡的防火墻進行控制和管理。這種管理可以在企業內部網中進行,也可以通過Iternet實現遠程管理。另外,對于應用較簡單的局域網,網絡殺毒和分布式防火墻的組合是比較易于部署且維護方便的安全解決方案。
結束語
只有加強對分布式防火墻技術的應用研究,使它最終形成了一個多層次、多協議、內外皆防的全方位安全體系,才能滿足人們對防火墻技術日益增長的需求。
參考文獻
[1] ,李臻,彭紀奎.基于入侵檢測的分布式防火墻的應用研究[J].微電子學與計算機,2011(6).
篇10
【關鍵詞】內部網絡;外部網絡;安全計算機技術;信息技術
隨著當前社會和科學技術的不斷發展和應用,網絡化通信已成為信息發展的中心,是推動社會進步,存進社會發展的主要手段。互聯網,因特網的不斷利用為當前各種先進技術和信息的交流打下了基礎,為當前社會發展過程中的各種應用手段提供了前提,更為企業在市場發展中的市場認識和市場變動奠定了認知基礎和前提。在當前科學技術飛速發展中,網絡技術可以說是已成為當前各個國家,各個地區應用的主要手段,早已覆蓋了整個世界的各個角落,成為各行各業發展的重點和主要手段。但是隨著社會發展中,網絡通信技術中的各種問題和隱患也逐步的成為影響通信良好發展的前提基礎,更是影響社會因素健康發展的前提基礎,在這些隱患和問題中以網絡安全隱患和故障為最,是當前信息影響的主要因素和方式。
1、網絡防火墻安全問題
網絡就好比是一座城市,是一個綜合的大型城市,其中存在著各種問題和因素,也存在著諸多的影響和制約關鍵。網絡在剛開始成型的過程中就如同是一座不設防的城市,其在使用的過程中受到各種嚴重的攻擊與侵害,是影響網絡安全,制約網絡信息傳輸速度和計算機運行功率。在當前構成網絡安全隱患的主要因素和方式有木馬、病毒和蠕蟲。在這三種職業因素中,蠕蟲利用應用最廣的電子郵件上的漏洞,在網上猖狂傳播,對網絡傳遞中的各種文件進行無休止和耗費和占用用戶的存儲空間,進而控制其服務器的手段。木馬是當前計算機網絡使用過程中的重要手段,是潛伏在網站和計算機中,在不備的時候竊取各種信息資源和資料,是當前黑客在攻擊的過程中主要的使用手段和方式,更是其而已控制和截取各種資料的關鍵所在。至于病毒,是通過人為手段編寫出各種惡性程序來影響計算機運行和信息傳遞的過程,進而造成計算機網絡的癱瘓。
2、防火墻功能概述
防火墻是一個保護裝置,是當前計算機網絡使用過程中的主要防護措施和防御工具,是對帶各種安全隱患和惡意攻擊的主要手段和保證基礎。通常是指運行特別編寫或更改過操作系統的計算機,它存在的主要作用和目的是保護計算機使用過程中的內部網絡安全和網絡訪問中的各種暢通運行的目標。防火墻可以安裝在兩個組織結構的內部網與外部的Internet之間,更是對多個網絡故障和網絡進行保護和共同利用的過程。它主要的保護就是加強外部Internet對內部網的訪問控制,通過暢通和允許其安全性的各種訪問手段和措施保護計算機的使用流程,是通過對各種惡性網絡連接的組織行為。防火墻只是網絡安全策略的一部分,它通過少數幾個良好的監控位置來進行內部網與Internet的連接。在當今,隨著網絡化的發展,我們總結對計算機網絡的入侵和攻擊,其主要的方式和基本手段可以歸納為以下幾種:①黑客入侵;②計算機病毒的攻擊;③信息的泄露、盜取和破壞;④是計算機使用的過程中內外部人員相互攻擊的過程和手段⑤線路連接過程中被有心人利用和干擾,形成信息的泄露和竊聽,⑥拒絕服務或注入非法信息;⑦修改或刪除關鍵信息;⑧在計算機使用的時候由于身份截取或稱為攻擊的目標,⑨人為地破壞網絡設備,造成網絡癱瘓。在這些因素和安全隱患形成的過程中主要的形成原因在于:①局域網存在的缺陷和Internet的脆弱性;其中存在著各種防范失誤和防范安全意識的不夠強。②薄弱的網絡認證環節和系統易被監視性;③在各種軟件和網絡服務器設置中存在著嚴重的漏洞,這些漏洞為各種有心人打下了基礎,造就了侵入前提。④缺少準確的安全策略和安全機制;⑤網絡安全技術、工具、手段和產品等落后了,沒有跟上科技的發展;⑥在計算機使用的時候沒有形成先進的備份和系統恢復理念,使得容易受到各種因素的影響造成在使用中的隱患因素。⑦主機的復雜設置和復雜控制;⑧沒有認真對待黑客和病毒對計算機的危害和對自己通信技術在使用中的安全隱患,造成在使用中各種問題和物力浪費。只要我們充分認識安全問題的嚴重性,嚴格按照安全規則處理,增加網絡在使用的過程中各種防范措施和安全性就能夠在使用的過程中設置出良好的防護體系。
3、防火墻主要技術特點
在當前社會發展的過程中,隨著人們對網絡安全意識的不斷加深,防火墻在使用和研究的過程中也逐步的朝著新階段進行,成為當前網絡安全的重要保護手段。當前的網絡安全控制手段和控制過程中主要是通過對網絡數據的控制、過濾為基礎進行網絡安全的保護和防范措施。在構筑防火墻保護網絡之前,需要制定一套完整有效的安全策略是通過這種策略進行網絡信息安全傳遞的過程和技術手段,這種安全策略一般分為兩層:網絡服務訪問策略和防火墻設計策略。
4、網絡服務訪問策略
網絡服務訪問策略是當前網絡安全保障的前提和基礎,是通過其對計算機網絡安全進行相應保護的重要手段,是當前社會發展中對網絡安全的高層次、具體到事件的策略,主要用于定義在網絡中允許的或禁止的網絡服務,還通過在當前使用的過程中各種撥號手段和保護措施是還有段進行相關的訪問和保護應用前提。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。是當前網路防火墻安全使用過程中的相應保護手段和保護方法。
5、防火墻的設計策略
防火墻是要根據實際應用和相應的規章制度來設計并實施網絡服務的訪問策略。是以過濾和控制網絡數據為基礎的。
6、設計時需要考慮的問題
為了確定防火墻設計策略,進而構建實現策略的防火墻,應從最安全的防火墻設計策略開始,即除非明確允許,否則禁止某種服務。策略應該解決以下的問題:需要什么服務;在哪里使用這些服務;是否應當支持撥號入網和加密等服務;提供這些服務的風險是什么;提供的一些保護措施有時能能否導致一些負面影響,如網絡使用中打不開網站、無法順利下載、不能傳輸文件等等。這就要求我們的設計者來考慮負面影響會有多大,是否值付出這種代價;站點的安全性和可用性相比較,怎樣取舍等。
