第一篇:防火墙技术论文
摘要
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。
关键词:防火墙 网络安全 外部网络 内部网络
防火墙技术
1、什么是防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2、防火墙的类型和各个类型的特点及原理
防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。2.1、个人防火墙
个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。2.2、网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。2.3、应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
3、目前防火墙中的最新技术及发展情况
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为“边界防火墙(Perimeter Firewall)”。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受,它具有很好的发展前景。
分布式防火墙的特点:主机驻留、嵌入操作系统内核、类似于个人防火墙、适用于服务器托管。
分布式防火墙的功能:Internet访问控制、应用访问控制、网络状态监控、黑客攻击的防御、日志管理、系统工具。
分布式防火墙的优势:
(1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
(5)应用更为广泛,支持VPN通信。
4、个人防火墙的设计与实现
4.1、研究内容及其意义
本文提出了一种基于Linux的个人防火墙来保证网络安全的解决方案,该防火墙主要分成3个模块来实现,它们分别是数据包捕获模块、数据处理模块、过滤规则设置和查询模块。文章首先讲述了数据包进行捕获,提取数据包头信息,然将包头信息传递给数据包处理部分,并与包头信息进行匹配和处理,将处理后的信息写入日志数据库,规则设置模块则对数据库进行添加规则和显示相应的日志信息
包过滤防火墙是实现防火墙基本功能的最重要最基础的原型,是学习防火墙技术的必经之路,也为进一步设计与提高防火墙性能提供了必要的储备。4.2、数据包处理模块结构与原理分析
本节主要介绍了防火墙的数据处理的原理,叙述了过滤规则、调用数据库数据包否决等的实现,最后对日志数据库的存储进行了简单介绍。
1、数据包处理模块的结构
网络捕获模块负责从网络上截获所有的数据包,而数据包处理模块则是对截获的数据包根据数据包类型的源地址、目的地址、端口等基本信息逐个进行分析比较。数据包处理模块在对数据包进行分析后,根据数据包的特性,调用特定的过滤匹配规则确定数据包是否可以通过。其结构如图1 所示。数据包过滤功能的实现是在网络中运行程序对数据包实施有选择的通过,选择的依据就是系统内 设置的过滤规则,只要与过滤规则相匹配的的数据包就被否决,其余的数据包则默认允许通过,并将这些过滤信息存入相应的数据库。其流程图如图2 所示。
图1 数据处理模块示意图
图2 数据包处理流程图
2、数据包处理模块原理分析(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。(2)调用过滤规则数据库
程序调用过滤规则数据库来判断捕获的数据包头信息是否与过滤规则库中设置的IP 以及端口匹配。因此,它保存的是不被允许通过的IP 号或者端口号,在每次数据调用时,都要进行调用规则,如果与捕获到的数据包头信息符合,则丢弃该数据包,否则就允许该数据包通过。
首先要连接并打开过滤规则数据库,从规则库中读取被禁止的IP以及端口号,匹配后根据情况执行拒绝或者允许通过的命令。MySQL 数据库提供了一种数据库接口-CAPIs,MySQL数据库提供的CAPIs函数。CAPIs包含在mysqlclient库文件当中与MySQL 的源代码一块发行,用于连接到数据库和执行数据库查询。
现在假设MySQL 已安装,在数据库中的相关用户和数据表已被创造。MySQL 的头文件在/usr/include/mysql 目录下,因此你的程序头部必须有以下语句:include
为了实现连接,首先必须创建一个连接数据库的变量:MYSQL *mysql。MYSQL 这个结构表示对一个数据库连接的句柄,它被用于几乎所有的MySQL 函数。这些变量类型在MySQL 的库当中已有定义,我们需要这些变量是为了使用MySQL的C APIs函数。这些变量在头文件里都有详细的实现代码和解释,但是这些实现代码和解释对于程序编写来说并不重要。
为了连接服务器,调用函数mysql_init()以初始化一个连处理器,初始化这个变量:Mysql_init(MYSQL *mysql);然后就用以下函数实现对数据库的连接:MYSQL * STDCALL mysql_real_connect(MYSQLysql,const char *host,const char *user,const char *passwd,const char *db,unsigned int port,const char *unix_socket,unsigned int clientflag)。
此函数是一个非常重要的函数,其功能是连接一个MYSQL 数据库服务器。它试图建立到运行MySQL 数据库引擎的HOST 的一个连接。host 是MySQL 服务器的主机名,是一个现存MySQL 软件的主机地址。它可以是主机名或者是一个IP地址,假定它为NULL或者字符串“localhost”,则是到本地主机的一个连接。user是登录的用户名,passwd是登录密码,db 是要连接的数据库,port 是MySQL服务器的TCP/IP端口,unix_socket是连接类型,clientflag是MySQL运行成ODBC 数据库的标记。参数PORT 若不是0,对于TCP/IP连接这个值将用作端口号。参数unix_socket如果不是NULL,字符串指定套接字或应将是被使用的命名管道。参数clientflag的值通常是0。连接寻建立成功后,这个函数将返回0。至此,对数据库连接的功能基本已实现,然后就可以对数据库进行查询和添加等操作了。这是连接数据库的第一步,也是一个比较关键的地方,此连接返回的数值关系到此程序调用的各种基本信息。现在,我们可以连接数据库并进行查询。查询之前,建立个查询语句字符串: har *query。这样可以创立任何SQL 查询语句进行查询。
查询之后,我们要到一个MYSQL_RES 变量来使用查询的结果。以下这行创立这个变量:MYSQL_RES *res。
MYSQL_RES 这个结构代表返回行的一个查询的(SELECT,SHOW,DESCRIBE,EXPLAIN)的结果,返回的数据称为“数据集”。然后用mysql_use_result(MYSQL*query)。
函数读出查询结果。mysql_use_result()的一个优点是客户为结果集合需要较少的内存,因为它一次只是维持一行(并且因为有较少的分配开销,mysql_use_result()能更快些)。缺点是你必须尽快处理每一行以避免困住服务器,你不必再结果集合中随意存取行(你只能顺序存取行),而且你不知道在结果集合中有多少行,直到你检索全部结果。还有,你必须检索出所有行,即使你在检索中途确定你已找到了想寻找的信息。尽管可以很容易地查询了,要用这个查询的结果还要用到其它的函数。第一个是:MYSQL_ROW STDCALL mysql_fetch_row(MYSQL_RES *result)。
该函数把结果转换成“数组”。该函数返回的是MYSQL_ROW 变量类型。MYSQL_ROW 这个结构是数据行的一个安全表示法。当前它实现为一个计数字节的字符串数组(如果字段值可能包含二进制数据,不能将这些视为空终止串 因为这样的值可以在内部包含空字节),行通过调用其它函数获得。无法使用以空字符结束的串,因为数据在这个串可以是二进制,也许没有包括任何字符。
以下语句创立字符串数组变量:MYSQL_ROW row。
当我们用mysql_fetch_row的时候,接着变量row会取得结果的下一组数据。当到了结果的尾部,该函数返回一负值。最后我们查询完成后就要关闭这个连接了。mysql_close(MYSQL *mysql)。另外,还有一些与本程序相关的操作函数:unsigned int STDCALL mysql_num_fields(MYSQL*mysql)。这个函数返回表格里有多少个字段;取得“数据集”的数目,用到:my_ulonglong STDCALL mysql_num_rows(MYSQL_RES *res);my_ulonglong STDCALL mysql_affected_rows(MYSQL*mysql)。
这些函数是用来得到受INSERT、DELETE、UPDATE 查询语句影响的“数据集”数目。my_ulonglong该类型用于行数。这种类型提供0到1。84e19的一个范围,为了打印出这样的值,将它变换到unsigned long并且使用一个%lu打印格式。
3、与过滤规则中规则对比
(1)数据包源或目的IP地址过滤
这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/ 丢弃决定。如果数据包的源或目的IP 地址与我们设定的丢弃数据包的地址匹配,那么该数据包将被丢弃。首选要检查收到的数据包的源IP(在本程序中只对UDP数据报进行了实验,其它协议的数据包以此类推),若为本地地址则一定丢弃,其他地址则要应用过滤规则。unsigned char *deny_ip =“x7fx00x00x01”;
/* 127.0.0.1 */ if(ss==*(unsigned int *)deny_ip){
flag=1;
},接着就是检查源IP与设定的禁止的IP地址进行匹配:if(ss== row[t]){flag=1;}row[t]是规则数据库中的返回查询值,变量flag则为丢弃行为时的依据。
(2)数据包传送协议过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,因此除地址之外还要对服务器的TCP/UDP 端口进行过滤。只要在数据捕获程序的检查出相应的数据包传输协议之后,在其后只要运行拒绝命令就行了。一般来说最好匹配规则就是IP 地址与端口结合起来,9 这样就是只针对某用户某一服务来拒绝,这样的选择性更加符合实际。
(3)对数据包的否决
通过包过滤,防火墙可以拦截和检查捕获的数据包。当该数据包不符合过滤规则或者与过滤规则相一致时,防火墙就丢掉该数据包,并存入日志数据库。由于对数据包的否决是一外部命令,在C语言中可以用execlp()这一函数来执行外部命令。函数原型为:
int execlp(const char *filename,const char *arg0,.../ *(char *)0*/);比如,拒绝一IP 可以这样: execlp(“/sbin/iptables”,“iptables”,“-A”,“INPUT”,“-p”,“tcp”,“-s”,ss,“-j”,“DROP”);
对端口的过滤则只是外部命令的不一样而已。常用的否决命令有:
iptables-F // 删除已经存在的规则;
iptables-A INPUT-p tcp--dport *-j DROP // 关闭某一服务端口为*的tcp协议;
iptables-A INPUT-p tcp-s 192.168.0.130--dport22-j ACCEPT // 关闭某一IP 地址为192.1168.0.130 这台主机连接本地的SSH服务断口;
iptables-A INPUT-p udp--dport 53-j ACCEPT // 关闭DNS 服务端口的udp 数据包流入;
iptables-A INPUT-p icmp-icmp-type echo-re-quest-i eth1-j DROP // 防止死亡之ping,从接口eth1进入的icmp 协议的请求全部丢弃;
根据服务器情况,你也可以自行添加规则。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。而且实现一样用到函数:int mysql_real_query(MYSQL*mysql,const char*query,unsigned int length),只是用函数sprintf()将query值改为插入语句即可,如下:sprintf(query,“insert into logs(remove_ip,local_ip)values(‘%c’,‘%c’”,dd,ss))。这样就可以将包过滤情况轻易地存入日志数据库,以供用户查询包过滤情况。
4.3总结与展望
本文重点讨论了数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。实验证明达到了预期目的。但该防火墙系统的一些功能还有待提高,主要是如下几个方面:规则设置规则有待于进一步探讨,这关系数据包过滤的依据;包头信息提取还过于简单,提取出来供包处理模块的内容有待加强;应用层信息无法感知,也就是说,防火墙不理解通信的内容,这是状态检测发展方向。
基于以上等原因包过滤防火墙已经逐渐被状态检测防火墙所取代,虽然状态检测防火墙判断允许还是禁止数据包的依据也是源IP地址、目的IP地址、源端口、目的端口和通讯协议等,但状态检测防火墙是基于会话信息做出决策的,判断当前数据包是否符合先前允许的会话。NAT 功能可以使得防火墙受保护一边的IP 地址不至于暴露在没有保护的另一边。
新一代的防火墙系统不仅能够更好地保护防火墙后面内部网络的安全,而且应该有更为优良的整体性能。未来的防火墙将会把最强的性能和最大限度的安全性有机结合在一起,有效地解决网络安全的问题。当然防火墙只是确保网络安全的一个环节,还需要和其他安全措施一起来确保网络安全,如和IDS、IPS、信息保障等结合起来,在此不作赘述。结论
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
第二篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
第三篇:防火墙技术论文
防火墙技术论文
在学习和工作中,大家都跟论文打过交道吧,论文写作的过程是人们获得直接经验的过程。相信很多朋友都对写论文感到非常苦恼吧,以下是小编为大家整理的防火墙技术论文,希望对大家有所帮助。
防火墙技术论文1摘要:计算机网络安全是新时代关注度很高的一个问题,在此先从计算机网络自身、外界因素和安全评估技术三方面,谈了谈影响网络安全的因素。然后主要介绍了一种防火墙技术,包括它的含义、功能,以及在网络中的应用。
关键词:计算机网络安全;防火墙技术;安全评估
引言
计算机和网络技术在当前社会各个领域都有应用,方便了人们交流,改变了人们的工作方式,也是世界实现一体化的重要手段。同时,网络安全问题也成了关注的重点,常会有一些病毒和恶意攻击,使得网络安全没有保障,甚至出现信息被盗、账号失窃等事件,有时会酿成巨大损失。防火墙是保护网络安全的一种技术,使用也较为普遍,然而面对越来越高明的破坏手段,防火墙技术还需进一步完善。
1影响计算机网络安全的因素分析
1.1网络自身
网络虽然打破了地域限制,为人们交流提供了诸多方便,但其本身具有开放性和虚拟性。除了一些比较特殊的情况,网络大部分时间是开放的,每个用户都可以登录,在任何有网的地方都能用,一旦开放了,必然会有良莠不齐的东西同时出现。网络世界是虚拟的,是无限的,管理起来非常难,难免会有一些不法分子进行破坏。再者,目前流行的操作系统,如Windows、Unix等,都存在不同程度的漏洞。在当前信息化时代,信息网络技术迅速发展,产品更新速度很快,但网络安全技术却相对滞后,跟不上网络的发展速度。
1.2外界因素
包括局域网内外部的攻击,多是些非法用户利用其他用户的身份,登陆后篡改数据、盗窃信息,破坏应用系统。病毒是网络安全的一大危害,网络连接着世界各地,一旦有病毒侵入,会快速向外传播,破坏力非常大。不法分子攻击是另一大危害,多是些违法乱纪分子,利用网络漏洞恶意入侵,侵犯他人隐私。有些软件和操作系统在编写时留有后门,常被不法分子所利用。此外,计算机是物理硬件,若被破坏或者受到周围环境影响,也会影响到网络安全。
1.3安全评估技术落后
防范不法分子入侵,保护网络安全,需要有一套健全的安全评估系统,能够对网络进行实时监控,并作出全面评估。一旦发现漏洞,或正在被攻击的薄弱区,可及时进行修复防范,降低被攻击的可能性。然而我国目前的网络安全评估系统,不管是在监控上,还是评估上,都较为落后,无法提供一个良好的网络环境。
2防火墙技术的应用分析
2.1含义
防火墙是一种隔离技术,是利用软件和硬件在内部网和外部网之间形成的保护屏障,是监控数据包和网络通信流入流出的一个安全网关。只有经过用户同意,其他用户或者数据才能进来,而且还能够把不同意的用户拦在外面。
2.2安全功能
首先是报警功能,当有外来用户要进入时,防火墙会发出消息通知用户,令用户自我判断是否同意。对于本局域内的其他用户。防火墙都可以查询,还能显示用户机名。对于不允许的外来用户,机主可以利用防火墙进行设置,即黑白名单功能。其次,通过防火墙还能查看数据流量,和上传下载的速度等信息。对于计算机内部的服务程序,防火墙既能查看,又能启动关闭。系统日志功能指的是防火墙对系统安全状态以及每日流量的记录。
2.3应用
防火墙是保护网络安全的一种有效的方法,其管理主要分有以下两种。首先是单防火墙和单子网,网络资源是极其丰富的,各种资源面临的风险也有所差异。其风险主要体现在两点,一是资源自身的风险,二是在其他因素影响下的风险。与只提供静态网页的服务器相比,若某服务器正在运行CGI,显然更被用户喜欢,不过服务器的各种安全问题也会相继出现。这时,网络安全管理人员若安装了防火墙,网络的风险将有所减少。计算机网络中的很多信息都是存在数据库的,信息的敏感性要远高于网络服务器,这就要求再设一层保护层。单防火墙和单子网安全系统把全部的服务器都装在了同一个子网内,内部网和内外边界路由器之间构建防火墙,能够很好地抵抗来自外部的各种攻击。这种模式不但服务器安全更有保障,应用系统也能得到有效的保护。因此,如果隔离网络服务器,仍不能为数据资料提供安全保障,不妨采取该模式。其次,是单防火墙和多子网模式。有些情况适合划分为多个子网,此时网络安全管理人员可以将内网分为若干子网,互相保持独立,而不同层的服务器会把它们送到不同的子网中。其原理是构建一个防火墙,在防火墙上开放若干端口,然后利用防火墙划分网络,彼此独立,管有相应的层。而数据层服务器只接受中间服务器数据查询的连接端口,安全性便能得到保障。选择此模式后,用户只能直接访问表述层服务器,以此类推,表述层服务器只能访问中间层服务器。这种设计模式更能反映系统需求,在层控制方面有着良好效果。
3结束语
计算机网络技术推动了社会的进步,改善了人们的生活方式,但其安全问题也容不得忽视,尤其是那些重要的关键数据,很可能会被盗窃,后果不堪设想。所以,必须擦去有效的防范措施,防火墙便是一种有效的技术,值得推广应用。
参考文献:
[1]梁槟.浅谈计算机网络安全与防火墙技术[J].网络安全技术与应用,20xx,22(06):109-110.[2]赵海峰.浅谈计算机网络防火墙的安全技术[J].电脑开发与应用,20xx,24(10):143-144.[3]李思维.浅谈计算机网络安全影响因素及防范措施[J].科技创新与应用,20xx,20(05):176-177.
防火墙技术论文2由于网络保密信息的泄露情况严重和目前恶意网站的频频进击,使人们越来越重视电脑网络信息保护的可靠性。工作者在处理网络信息保护问题做出的突出贡献就是研究出了防火墙技术。这一技术能够很好的保障电脑信息的安全性,为电脑中数据的可靠性做铺垫。这一技术最突出的优势就是能够将信息进行隔离,既帮助客户排查多余的信息,又能夠保证网络数据不被泄露,有力的保障了计算机网络的顺利进行。
1防火墙的自身实用价值
越来越多的用户喜欢防火墙技术,并且运用这一技术,是因为其本身所具备的拦截信息、保护数据的功能。本文根据防火墙的作用,在下文中做了详细的介绍。
1.1代理技术的实用功能。
代理技术对于防火墙来说,本身就是一种极为特殊的。电脑网络在工作过程中,代理技术可以掌控不同区域的运行状态,而且是高效和可靠的。这一科研成果的功能具体在于:在内部网络和外部网络中,代理技术能够很好的将其转换,并且还能够使内网和外网互不影响。当计算机外网在运行中被断开时,内网只能够答应代理所下达的指示。即使在专业技术上有一定的缺陷,但是仍然能够起到清晰视听的作用。
1.2检测技术的实用功能
计算机网络运行状态是检测技术的主要工作,并且是一种新型的科研成果。在网络的各个层面都会用到这门技术,它能够检测到网络连接的状态,从而增强信息的传播速度,加大计算机网络运行状态的保护力度。它的主要工作就是根据网络状态,将外部网络传输到的信息当成一部分,并对其做详细解析,进而测试总体的记录,比较规则与状态这俩者间的不同。
1.3协议技术的实用功能
有一种攻击叫DOS,它能够制止整个服务器的运行,从而让计算机网络陷入僵局,与之相联系的数据也不能获取。通常来说这类攻击不会特别受到限制。如何防止这类攻击就可以通过协议技术,它能够在防火墙里边进行操控,保障计算机内部系统的顺利运行。同时,它还能够帮助不同网络获取信息,连接着服务器与数据,直至防火墙顺利运转,它才可以工作。一旦将防火墙装置于服务器内部,其保护作用就能够发挥出来,使计算机网络安全问题不被威胁,防止外部网络的侵害。打个比方:服务器之所以入侵几率变小,就是因为防火墙询问上限的设定,同时还是外网给内网传输数据的时机。正是通过这种方式,在抵御侵害的时候还可以实现检测信息包的效果。
2计算机网络程序的安全问题以及防火墙的功能
从大部分的信息调查中发现,检测网络信息安全手段都表现在计算机网络方面,而防火墙所具备的技术正是预防和阻挡,这些都能够起到保护信息安全的作用。
2.1访问手段的使用
访问网络的手段所具备的装置就是防火墙的关键部分,它能够让计算机网络被控制和规划,而且能够利用优化网络信息,完善计算机网络系统。电脑网络的顺利运行离不开防火墙技术,它所计划出的手段可以帮助计算机网络长期处于安全状态。防火墙技术的突出功能就是保护系统。
(1)这一技术能够保护每一个部门和领域,并且保证访问的可靠性能够确切落实于并不一样的单位区间。
(2)防火墙技术的又一显著特征就是它能够彻查不同的计算机网络运行的地址与方向,掌握计算机的基本特点,对其进行规划和保护。
(3)访问策略会根据计算机的实际情况实施策略,制定与其想适应的方案,为了达到最优质的效果,它也会对方案进行调整。在落实安全保护手段时,访问策略能够自动制作出策略表,方便数据的记录与访问。然而策略表并不代表它可以进行网络保护,仍需对其进行调整。不可否认的是策略表对网络的约束已经在一定程度上保障了网络的安全性。
(4)筛选工作中错误的时候,访问策略也能够与之同步进行,更好的为计算机网络的可靠性服务。
2.2使用日志监控功能
确保计算机在调查防火墙技术之后而得到的有用的数据,这就是日志的重点工作项目。防火墙的保护重点就是日志,同时,日志在整个网络安全工作中是不可或缺的一部分。在剖析防火墙日志时,不必要做到面面俱到,尽量降低问题的出现率。比方说:由于防火墙技术的工作程度较强,所以只能对产生的大量数据进行分门别类,方便监测。可见,防火墙所制成的日志数据,单单是利用分门别类获取的,日志搜集的难度并不大,对许多重要的数据也不能进行拦截。防火墙安全技术通过日志的监督控制在不断的增强,防火墙技术的筛查功能也在进步,并且能够改善流量流失情况。而日志监控的第一步就是筛选技术含量高的信息,这种方式还能够影响着日志的监督控制、报警记录等。由于其中形成的数值较完善,所以在筛选时就比较简单了。
2.3安全装置的使用
安全装置在整个网络系统中可以分割成不同的部分,而安全的重点就是安全保护部分。防火墙技术的关键就是安全装置。要想提高计算机网络安全保护的效率就必须设创立许多防火墙安全设置。在隔离部分中,它是较为独立的局域网,能够作为内部网络的一方面。追求的目标就是防止内部网络信息流失,保障网络的安全运行,营造和谐的网络氛围。而安全装置的隔离功能与一般的保护功能截然不同。它具备一些较为突出的特点。其重点的工作方式包括:自动查看信息的运行,网络隔离功能,防止攻击人士剖析IP地址,利用互联网地址进行调整以及网络公开IP地址。加强网络顺利工作的安全装置力度,支持IP技术隐蔽,能够更好的保护内网和外网中获得的信息,使之不被攻击。能够利用大量的隐藏技术,提供值转置功能,来抵制外网攻击,从而实现网络安全保护的效果。随着社会的发展和科学技术的不断进步,越来越多的单位或行业开始使用计算机网络。而大部分人们都是根据网络运输来获取、传输信息,所以网络安全在整个网络工作中是至关重要的。防火墙技术的研发能够很好的维护计算机网络的安全。
所以,我们应该尽可能的根据防火墙的长处来处理和防止网络中出现的问题,与此同时,还应该掌握防火墙的各种保护功能,从而使自己的网络系统更加的安全可靠。
防火墙技术论文3【摘要】针对计算机网络进行安全维护过程中,必然要沿用防火墙技术,主要是其能够针对计算机系统提供较为安全且可靠的运行环境。防火墙具体的工作原理,便是在计算机内外网衔接渠道之中形成保护体系,自动屏蔽一系列来源不明的网络传输信息。笔者的任务,便是针对计算机网络信息安全中防火墙技术的科学有效性运用策略,加以细致化探讨论证,希望能为相关工作人员贯彻网络安全维护职务,提供较为直观的指导性依据。
【关键词】计算机;网络信息;防火墙;有效应用
前言
计算机信息技术如今在我国社会各类产业领域之中得到普及沿用,同步状况下更对于网络安全维护工作质量提出愈加严格的规范诉求。在此类环境下,想要充分维持计算机网络资源的安全价值,就必须以计算机网络应用环境为基础性指导媒介,透过多元化开发途径将防火墙技术优势予以全方位发挥。须知防火墙更新速率飞快,已然和当前计算机网络发展进程维持同步关系,进一步为计算机网络安全运行提供高效的维护途径。所以,探索防火墙技术在如今我国计算机网络信息传输中的合理性应用策略,显得尤为紧迫。
1防火墙技术的原理和属性
所谓防火墙技术,实质上就是依照国家、法律等规范原则,进行计算机网络内部流通的所有信息,进行授权和限制性管理服务的行为流程,其间会针对关联信息加以详细化记录,保证各类信息具体来源得到妥善化校验解析至于,尽快明确网络系统内一些交互信息的状况,避免外部攻击现象的大范围滋生。至于该类技术的基础属性将依次细化为:(1)进行最有效的安全防护方案筛选应用,保证和防火墙防护体系运行规范准则的全面贴合结果。(2)全方位记录各类信息活动并且精准化检验攻击性行为,在第一时间内提供警示信息和限制性管理服务。(3)容纳全部信息,将计算机网络整体性能予以有机维护。
2计算机网络系统经常发生面对的安全威胁因素
须知计算机网络系统深处于信息环境之中,其间遭受任何形式的网络安全攻击问题,都将被视为防火墙技术重点加以防护的内容,所以说,笔者经过计算机网络系统的安全攻击现象分析过后,整理出以下威胁因素:2.1IP攻击参与该类网络攻击活动的人员会预先锁定要攻击的目标群,同时设置对应的IP攻击路径。在确保已经向目标主机发送完安全信息过后,获取主机的信任并进行相关攻击对象锁定,力求借助信息模式进行虚假形式的IP发送,一旦说IP欺骗计算机网络安全的防护举措之后,虚假形式的IP便会立即转变成为多样性的攻击行为,如进行用户信息全方位搜罗读取、篡改必要的服务项目,最终将这类攻击程序安置在用户难以及时发现的空间之中,为后续一切非法性攻击活动布置延展,做足充分的过渡准备工作。2.2拒绝服务这类攻击行为主张借助系统存在的漏洞,向计算机进行各类样式的攻击数据包发送,持续到主机处于瘫痪状态为止,这样主机便无法满足现场操作者一切网络化服务需求。实际上。该类网络攻击模式具备深刻的毁灭性特征,攻击主体在进行攻击类数据包发送过程中往往不受时间和方向等因素约束,透过数据包发送令计算机难以承受过高负荷的数据存储,进一步陷入停滞或是休眠的状态之中,此时即便是操作主体向系统发送任何操作请求,计算机也将丧失对应的服务能力,无法尽快接受并处理这方面请求,这便是所谓的计算机完全拒绝服务的现象。2.3端口攻击计算机自身存在多种类型的端口,包括远程、协议、共享等类型,在此基础上,计算机系统才能愈加流畅和高效地运行下去。通常状况之下,操作用户很难发觉对端口遭受的攻击现象以及对应的影响问题,几乎都是借助防火墙技术进行常用端口防护控制,至于其余端口则完全没有获得可靠的防护措施。
3新形势下防火墙技术在我国计算机网络安全管理中的科学应用措施
防火墙技术的工作原理,就是针对计算机的内外网络空间进行隔离化处理,从中衍生出极为稳定且高效的保护路径,旨在将一切外部攻击行为予以识别、遏制。至于该类技术如何妥善化地在计算机网络安全防护工作中改良运用,具体细节将如下所示:3.1合理推广沿用高端可靠的代理服务器代理服务器,即防火墙技术的一种,其主张向网络系统提供对应的代理服务,完成真实网络的信息交互式工序流程。如计算机网络信息借助内网向外网空间传输信息过程中,自身会携带IP信息,如若其间外网攻击主体发现并进行动态化跟踪校验,导致病毒或者是木马介入内网的几率便显得非常之高,之后病毒便会在内网之中泛滥并且窃取销毁重要数据;而沿用代理服务器之后,便会为交互信息设计供应虚拟样式的IP,同步状况下将真实IP予以合理化掩藏,外部攻击者透过跟踪破解的只能是虚拟化的IP,内网真实性信息至此便会得到应有的保护条件。3.2科学融入包过滤技术要素包过滤技术的核心特征就是进行信息选择,此类技术在确保获取到传输信息之后,会自动地联合原有的安全注册表进行综合化对比校验,认证当下传输信息的安全性。笔者在此主要以网络传输目的IP为例,针对该类IP数据包进行细致化校验解析发现,当中蕴藏着必要的源信息,可以被视为标志性信息,主要配合包过滤技术进行获得的数据包和用户安全注册表校验对比,筛选当中存在攻击隐患的数据信息,保证系统安全之后持续执行数据传输任务。需要加以强调的是,包过滤技术应用过程中,不单单控制信息内外网传输过程,同时会提供必要的限制性功能,即该类技术能够在计算机主机上和路由器上应用,因此被细化出开放和封闭式两类应用模。3.3有机贯穿复合类安全防护技术该类技术能够彰显出计算机网络信息的综合性防护功能优势,即主张在防火墙内部融入代理和包过滤两类技术要素,绽放出更为稳定的防护体系,将以往防火墙技术的诸多缺陷予以全面性填充弥补。在代理和包过滤等技术的综合作用之下,防火墙技术开始逐渐地形成系统性的保护类型,能够愈加合理地维持防火墙技术应有的灵活性特征。当前,防火墙技术表现出一定程度的混合特性,复合体现出代理和包过滤的双向优势特征,最为重要的是还可同步贯穿多元化安全防护技术,在争取考虑到计算机网络安全的运行实际基础上,保证防火墙一旦遭受任何形式的网络攻击时,便会在第一时间内作出防御服务回应,彰显出现代我国计算机防火墙技术应用所需的策略性。
4结语
综上所述,计算机网络应用空间范畴持续扩张,一时间令计算机网络在运行过程中面临更为严峻的安全威胁,想要针对这部分安全隐患加以系统化调试,第一要务便是合理改良开发防火墙技术。至于防火墙技术在网络安全发展环节中,主要彰显出变革与更新特性,在进行计算机网络系统实时性保护的基础上,规避任何形式的计算机外网攻击现象,最终维持内网环境的安全性。具体来讲,防火墙技术在我国当前计算机网络安全管理活动中,占据着十分重要的指导性地位。
参考文献
[1]苑雪.新形势下计算机网络信息安全存在的威胁及对策分析[J].科技经济市场,20xx,13(05):134~150.[2]高扬.计算机网络信息安全和安全防护[J].通讯世界,20xx,20(12):78~96.[3]林岚.计算机网络信息安全及防护策略研究[J].科技展望,20xx,31(19):108~125.
防火墙技术论文4摘要:伴随计算机网络技术的高速发展,社会生活以及生产对于计算机的应用和依赖程度不断提高,网络安全问题成为制约计算机网络计算健康发展的关键问题。防火墙是计算机网络系统的基本保证,本文针对计算机网络安全及防火墙技术的相关问题进行深入研究,简要分析计算机网络安全、防火墙技术,以及防火墙技术在计算机网络安全领域的应用,旨在促进计算机网络技术的科学发展。
关键词:计算机;网络安全;防火墙技术
计算机网络技术的应用给用户带来诸多便利,但是由于网络处于开放状态中,因而用户在应用网络系统的过程中,也会面临诸多安全隐患和威胁,用户自身操作系统的不完善、网络协议存在漏洞、电脑高手的恶意攻击都会给成为导致计算机网络安全问题的主要因素,发生计算机网络安全问题可能导致用户的数据信息丢失、系统瘫痪,严重影响计算机网络系统的正常应用。防火墙是计算机网络安全主动防御的有效途径,探究计算机网络安全及防火墙技术的相关问题进行探讨,对于促进计算机行业领域的持续发展具有现实意义。
1计算机网络安全
计算机网络技术的应用主要以各种程序信息为平台和载体,而在程序和系统运行的过程中也会衍生诸多数据信息,从某种层面而言计算机网络技术的应用便是数据信息的应用,网络数据安全也成为保障计算机网络技术应用价值的关键,保证计算机网络技术的应用安全便需要保证网络数据信息的安全。用户在应用计算机的过程中会从不同途径遭受数据丢失、泄露或者破坏等风险,造成网络数据安全威胁的节点较多,病毒以及电脑高手攻击多以节点攻击为主要方式造成计算机操作系统的损坏,用户不良的计算机网络应用习惯,可能是造成病毒植入或者感染的重要原因。由于当前计算机网络领域应用范围的不断拓展,计算机网络应用行为所产生的网络信息也体现更高价值,不法分子对于网络数据信息的恶意侵犯行为也愈发频繁,用户需要实现常态化的网络安全防护,才能够保证自身应用网络系统的安全。
2防火墙技术
用户进行计算机网络系统的应用,对于防火墙技术的应用程度也相对较高,防火墙是计算机系统安全保护的有效屏障,通过其技术形式进行划分可以分为软件型、硬件型和嵌入型三种类型,从其技术层面进行划分也可以分为状态检测型、包过滤型以及应用型等三种类型,不同类型的防火墙都有自身特点以及应用利弊,用户可以根据自身的应用需求以及网络系统配置进行合理的防火墙选择。
2.1状态检测型防火墙
状态监测性防火墙主要是对网络系统的运行数据进行检测和分析,通过自身的数据检测功能对网络运行状态中存在的不安全因素进行辨别,进而为保证系统的运行安全,对不安全状态进行必要处理,应用防火墙实现对于网络系统的安全防护作用。相较于其他类型的防火墙而言,状态监测型防火墙的安全防护系数相对较高,能够根据应用需求进行拓展和伸缩,值得注意的是,进行拓展和伸缩需要一定的应急反应和处理时间,因而会出现防护保护延迟的情况发生,网络连接状态也会出现延缓或者滞留的情况。
2.2包过滤型防火墙
包过滤型防火墙的重点在于包过滤技术的应用,包过滤技术对于计算机网络协议具有严格要求,系统运行的各项操作都需要在保障协议安全的基础和范畴内进行。防火墙的工作机制相对透明,用户进行网络系统的应用过程中,防火墙会对存在安全威胁的网站访问行为和被访问行为进行过滤,运行和防护工作效率相对较快,但是对于携带新型病毒的恶意访问或者电脑高手攻击不具有防护功能,对于原有的数据信息具有较强的依赖性,不能够进行自动更新以及程序包的升级。
2.3应用型防火墙
应用型防火墙主要通过IP转换的方式,对网络系统的入侵者进行防护,应用伪装新IP或者端口作为诱导,达到对真正网络系统的防护作用,以伪装方式迷惑不法入侵行为,实现网络系统通讯流的阻隔作用,同时也能够对网络运行状况进行实时监控,体现较高的安全性能。此种防火墙技术的应用会使网络系统的运行环境更加复杂,同时对于网络信息安全管理也提出更高要求。
3防火墙技术在计算机网络安全领域的应用
3.1身份验证
身份验证是防火墙技术的主要应用方式,通过用户的身份验证授权其各应用平台和系统的使用行为,保证其计算机网络系统操作的合法性。防火墙能够在信息的发送和接收环节中都能够发挥身份验证作用,在数据传输的过程中形成天然屏障,形成对于不法访问和传输行为的阻碍作用,保证信息的传输安全。
3.2防病毒技术
防病毒是防火墙的主要功能,同时也是其技术应用的主要方式,防病毒的功能体现也是用户进行防火墙技术应用的主要目的。防火墙在网络系统中对外界第三方访问的数据信息进行检查,非法路径访问行为会被制止,防病毒技术的应用效果比身份验证更为明显,对于处理技术的应用要求也相对较高。
3.3日志监控
防火墙在对网络系统进行应用的过程中会自动生成日志,对各类访问信息进行记载,便于在日后的应用过程中对数据信息进行分析和防护,日志监控在防火墙的应用中发挥至关重要的影响作用,用户在进行程序应用的过程中,不需要进行全面操控,仅需要针对关键信息进行操作。由于用户应用计算机网络系统会产生大量的数据信息,因而日志信息的生成量也非常大,如果用户进行全面操作需要耗费大量的时间和精力,对网络防护的即时性产生影响,用户可以对网络数据信息进行分类,并针对不同类型进行重点操作,有助于系统防护工作效率的提高。
4结束语
计算机网络安全是用户进行计算机程序和系统应用关注的重点问题,防火墙技术的应用有助于实现对于网络系统的安全防护,身份验证、防病毒技术、日志监控是防火墙技术应用的主要方式。用户进行计算机网络系统的应用,需要养成良好的网络访问习惯,积极应用防火墙技术保护系统的有序运行,以促进计算机技术应用价值的提升。
参考文献
[1]赵建青.浅议计算机网络的安全问题与防范研究[J].网络安全技术与应用,20xx(02):3,26.[2]刘意先,慕德俊.基于CIA属性的网络安全评估方法研究[J].计算机技术与发展,20xx(04):141-143,147.[3]谭玉波,赵孟,邓淼磊.网络安全态势优化评估研究与仿真[J].计算机仿真,20xx(03):210-215.
防火墙技术论文51、影响网络安全的因素
1.1 数据威胁
数据是构成网络信息的主体也是网络安全需要保护的对象, 数据运行中存在的漏洞被发现并研究, 开发利用漏洞进行针对性破坏的漏洞, 以植入木马、病毒、脚本的形式对计算机数据进行窃取、破坏、修改, 严重的可造成计算机系统瘫痪, 影响政府和企业服务器正常运行或泄露个人电脑用户隐私和造成财产损失。
1.2 外力破坏
外力破坏主要以刻意利用木马、病毒攻击计算机, 其次以利用网站病毒、邮件病毒的方式。由于用户不正确的电脑使用习惯, 如长期使用电脑却不定期杀毒给病毒以可乘之机, 或攻击者摸清网民的上网习惯和偏好的网站后对网民经常访问网站植入攻击链接, 引发网民计算机下载并运行病毒或木马, 直接对网民计算机进行攻击。
1.3 环境威胁
互联网中计算机都与服务器连接, 所有计算机处于信息共享环境中, 而用户访问互联网必须经由互联网环境, 故环境威胁不可避免。而因互联网共享环境中客户端数量较多, 网络环境内的攻击频繁且强烈。网络环境的攻击主要以互联网环境内计算机之间数据包传输的形式, 与木马病毒破坏计算机软件不同的是, 数据包中带入的网络攻击主要攻击内网的防护结构, 为“数据威胁”和“外力破坏”两种方式提高成功率和加大破坏力。
2、防火墙的类型及特点
2.1 防火墙的分类及其原理
1.数据包过滤型
数据包过滤型防火墙主要通过查看流经数据的包头, 再决定不同数据包的去向。此种防火墙对数据包常见操作有丢弃(DROP)和接受(ACCEPT)两种, 也可执行其他操作。只有满足过滤条件的数据包才被防火墙转发到相应目的地, 其余数据包被阻挡或丢弃。数据包过滤的特点有对用户透明;过滤速度快、效率高。缺点是只能根据数据包的来源、目的地、端口等网络信息进行判断, 不能完全杜绝地址欺骗。数据包过滤与一些应用协议不兼容, 不能防范不断更新的攻击, 不能处理新的安全威胁。
2.网络地址转换(NAT)
网络地址转换是将IP地址临时转换成外部的、注册的IP地址标准。在内部网络需要访问外部网络时, NAT系统将用于对外访问的源地址和源端口映射为一个伪装的地址和端口与外网连接, 以达到隐藏计算机真实内部地址的目的, 外部计算机安全网卡访问本地用户计算机内网时, 并不知道内网的网络情况, 只能与在互联网中的这一IP地址和端口进行访问, 防火墙只需根据网络安全管理员编写好的映射规则来判断这个访问的安全性再进行安全操作。NAT过程对于用户来说可视化的程度高, 由于NAT能根据预定规则运行, 所以不需用户进行繁杂的设置, 只需简单操作, 有操作门槛低, 易于上手等优点。
3、防火墙技术在计算机网络安全中的应用
3.1 访问策略中的应用
防火墙技术判断有害数据的核心依据是访问策略, 访问策略在计算机网络安全中占据主体地位。访问策略的实施主要以网络技术管理员预先配置的形式为主, 经过周全的设计布置, 依据深入统计的网络信息交换传递特点, 构建科学、完善的网络防护系统。
防火墙在访问策略中经过以下几个保护流程:
(1)防火墙将运行中的信息划分为不同的单位, 针对每个单位布置内、外两方面的访问保护;
(2)防火墙通过既有的访问策略对计算机运行的目的地址、端口地址等参数进行学习, 以适应计算机信息传递的特点;
3.2 日志监控中的应用
计算机防火墙生成的日志文件可用来高级计算机用户或发烧友对其进行分析, 以获取计算机运行中的后台行为信息。日志监控和分析在网络安全保护中很重要, 用户分析防火墙日志时, 只关注重要信息即可。具体操作方法是对网络防火墙生成的日志文件信息进行分类, 以降低日志有用信息采集的难度。计算机用户或管理员对日志监控的灵活运用, 使人工智能与防火墙安全技术相结合, 提升网络安全防护能力和网络优化效果。
结语:作为内部网络与外部网络公共网络之间的第一道屏障, 防火墙是最容易被计算机使用者和单位接受的网络安全产品之一。防火墙处于网络安全的最底层, 负责网络安全认证和传输工作, 不仅保证起到识别和过滤的作用, 同时还能为各种联网应用提供网络安全服务。随着信息技术和互联网在日常生活中被广泛普及和应用, 人们对计算机信息安全等级要求愈来愈高, 对网络信息安全管家防火墙的技术更新升级速度也提出了挑战。
参考文献
[1]于志刚.网络思维的演变与网络犯罪的制裁思路[J].中外法学, 20xx, 26(04):1045-1058.[2]马利, 梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术, 20xx, 10(16):3743-3745.[3]赵文胜.论信息安全的刑法保障[D].武汉大学, 20xx.[4]隋晓冰.网络环境下大学英语课堂教学优化研究[D].上海外国语大学, 20xx.[5]雷瑞林.计算机网络安全中的防火墙技术研究[J].福建电脑, 20xx(05):43+54.
防火墙技术论文6摘要:随着经济的发展,互联网技术越来越发达。网络已经成为人们生活中必不可少的部分。当然,网络的迅速发展也是具有两面性的,它就是一把双刃剑,一方面它给人们的生活带来了便利,让我们的生活方式更加快捷。另一方面,计算机也存在一些安全问题。例如,互联网会出现一些信息泄露、支付安全等问题。所以,维护和建立一个健康的网络环境尤为重要。文章研究了防火墙技术在计算机网络中的应用。
关键词:网络;防火墙;信息;技术
社会的高速发展下,人们对网络的依赖性越来越强。包括日常生活中的网上购物,大到上万小到几块的支付。再到网上搜索一些信息,基本上生活离不开网络。但是网络也是一把双刃剑,在这些交易的过程中,会需要我们注册各种信息,包括身份信息、银行卡信息。这些信息放在网上,总会有一些不法分子和程序偷取信息。那么,网络的安全性必须引起我们的重视。目前,防火墙技术就是解决网络安全问题的重要手段之一。
1防火墙技术存在的问题
1.1第一代防火墙技术
以往的第一代防火墙技术是通过对每个数据包检查流经网络的简单包过滤技术,按照一定的安全要求来断定能否符合既定要求。要具有良好的理解能力,只是单单了解数据处理的更高协议是行不通的。1985年,Cisc的IOS技术产生并处理分析出了第一代防火墙技术。经过多年的不断研究和改善。在各个方面都有了很大的提高和完善。它的运行速度和安全检测能力也有了巨大的提升。这项技术基于数据包中目的地址内容经过判断对数据包的全部内容进行分析,促使一些不良的数据包不会对计算机本身产生安全隐患。这项技术会先对数据源头进行检测,并由此完成一步一步向下传递的任务。这项技术的优点是速度快且费用较低。但就目前而言,它还不能对计算机进行深层次的检测,所以还不够完善。目前的网络发展存在一定的漏洞[1]。
1.2第三代防火墙
应用层网关(ApplicationLayerGateway,ALG)也叫应用层防火墙或应用层代理防火墙,其进程名是alg.exe,应用层网关通常被描述为第三代防火墙。它是由美国电报公司实验室发现的。当网络上受信任的用户连接到不安全网络(如Internet)上的服务时,这项技术就会指引至防火墙中的代理服务器。代理服务器可以伪装成Internet上的真实服务器。它可以对我们发出的请求进行评估,并根据一套单个网络服务的规则决定允许或拒绝该请求,来有效地解决计算机与计算机之间存在的一些不信任问题。
1.3电路层网关代理技术
20世纪80年代电路网关代理技术产生。这项技术设立了内端口和外端点的连接。达成了数据层的.传输。这就实现了防火墙与主机,主机和防火墙的建立。也就把数据包检测内容分成了传输控制协议(TransmissionControlProtocol,TCP)的两个部分。TCP在中转时,会连接外界和网关的母的地址。过程中分析和处理传输层的非交互数据,能够让用户通过检验网关技术,就能穿越网关访问系统和服务。这一技术也存在一些问题。它无法对数据包进行更深层的访问和认证。它只是用于服务器和用户间的联系[2]。
2目前计算机运用的防火墙技术
2.1多级过滤技术
随着经济的不断发展,网络技术研究也受到更深入的研究。传统的防火墙技术都存在一个共同特点,都采用逐一匹配的方法,这样的话计算量会很大。怎样才能提升计算机的安全性,成为我们研究的重点。随着不断的深入研究,多级过滤技术产生。它是由分组过滤、应用网关过滤、电路网关3个部分组成。第一部分分组过滤能先过滤掉一些虚假的IP地址,第二级别对服务器系统进行安全检测和防护。最后一阶段电路网关是最终的守护者,建立起主机和外部站点的联系,实现服务和运用的安全管理。
2.2计算机内部的转换
计算机技术的不断进步和发展,使得计算机网络之间的转化变得更加透明和安全。计算机之间处理的直接化使得我们的网络运用更加安全化。一些入侵程序再也无法深入窃取我们的信息和隐私。不仅这样,计算机内部的转化透明化还会提高我们主机地址的准确性。也为我们一些公司企业的内部专用网络提供了便捷的访问权限。所以,防火墙的技术在计算机安全方面起着重要作用。
2.3深化计算机系统的处理层
之前的防火墙在运用中要进行登录或者通过对路径的修改来达成电脑安全的防护。但这些只是对一些表层问题有所修护。而深化透明我们的访问方式可以对IP地址进行判断和能力进行转化。更加透明的转换方式可以对我们电脑处理层进行深化,对用户信息进行加密,减少系统和深层数据库存在的一些风险。
2.4口字令技术的运用
互联网的发展随之会带来许多安全隐患,我们在防患过程中也会遇到一些解决不了的问题。新型的防火墙技术运用于计算机时,针对数据远程传输中存在的问题,我们也研究出了一些解决方法。新型的防火墙技术在计算机运用过程中,采用了加密技术和鉴别技术。在防火墙自身系统通过口令技术自带防护技术。提升了计算机的安全性。工作和使用效率也得到了大大提高。
2.5告警功能和审计功能
防火墙的技术日益完善,为减少一些数据包中存在的安全问题对计算机的影响。告警功能和审计功能出现在新型防火技术中,而且成为重要的维护安全的产品。对通过不同计算机的地址的内容进行审计和认证,减少了服务器与服务器之间的安全隐患。提高了计算机数据和系统之间的安全性。审计功能的出现就像我们多了一位安全检测员,在运用中,有这样的一个功能让信息更加安全。而在使用过程中,告警功能会在出现异常、漏洞、危险程序时进行及时的警报。对计算机系统和信息进行了及时防护,避免出现信息泄露、程序异常等诸多问题[3]。
3如何运用防火墙技术
3.1访问策略的重要性
在日常生活中,如何更好地让我们的防火墙技术运用在生活工作中,主要还是在访问策略的制订上。我们在制订策略时,做好和认清什么可以访问,什么不可以访问。计算机在实际操作和运用中,对计算机系统进行合理的分配,可以在运用计算机时根据系统提示,安装一些科学的、安全的软件,对电脑的软件和一些病毒信息泄露进行深层保护和防护,为我们的互联网打造一个干净、无污染的网络环境。
3.2日志监控的重要性
防火墙技术的使用越来越广泛。除了在源头建立访问策略,日志监控也是重要的手段之一。我们的防火墙技术会在电脑出现异常时出现告警状态。随之也会产生日志监控,这个日志的存在也是十分重要的。当电脑出现问题时,可以通过这项功能研究分析出一些存在的问题和潜在风险,随之建立一些保护措施,确保电脑的安全使用。当出现问题时,日志可以最直接地反映出,可以帮助我们最快速度找出问题,解决问题,重新建立防火墙,拦截一些危险的程序和病毒,从而提高防火墙的使用率。
3.3合理的建立安全配置
防火墙的重点内容就在于如何做好安全配置。如何对安全网络进行模块化管理十分重要。把网络划分成不同的版块。区分出不同模块所受保护的程度。相似的模块划分成一个区域。我们可以根据自身得需要进行“区别”的对待。比如,工作中相关的文件和内容可以进行加密或重点保护,一些娱乐版块可以放在不太重要的区域。这样的优化资源配置才会把防火墙技术最大程度的运用。“区别”对待不是直接分离,它还是会在同一个区域网内,所有的版块组合在一起,还是一个计算机的内部网络。这一技术的建立可以让电脑更加优化,让信息更加安全,防火墙技术才能真正地运用于生活。
3.4保护数据安全的重要性
经济的发展,互联网的进步,防火墙技术的完善更加凸显出数据的重要性。网络时代,数据是最重要的资源。如何才能把这一资源优化利用尤为重要。我们可以发现,现在的网络环境十分自由。许多信息出现在网络上。当然有很多信息可以在网上免费查找运用,但也有许多信息也是具有一定保密性的,不是对外公开的。比如,我们登记在网上的一些银行信息、财务关系,还有一些研究成果和资料都是一些不可窃取的秘密。一直以来,很多私人的信息会出现在网上,比如电话号码、身份信息、家庭住址等。这样的做法极其需要我们的防火墙技术来减少这种行为的发生。所以,防火墙技术在网络数据运用中要尤为重视。通过初始的一些措施,及时阻止一些安全隐患的发生,提高我们互联网环境的质量[4]。
4结语
总而言之,随着社会的日益发展,互联网技术越来越发达。为减少出现个人信息、密码、身份等数据泄露,建立一个干净的网络环境我们应该运用新型的防火墙技术,重视访问策略在防火墙技术中的重要作用,结合日志监控功能,优化安全配置资源,注重数据安全的应用,不断更新和注重防火墙技术在计算机网络中的运用。
[参考文献]
[1]王海荣.防火墙技术入侵检测系统在高校校园网运用分析[J].电子技术与软件工程,20xx(10):194-195.[2]冯旗.浅述计算机防火墙技术[J].电子测试,20xx(9):65-67.[3]肖继海.防火墙技术发展趋势探析[J].信息安全与技术,20xx(8):12-13.[4]陈健.计算机网络安全常见问题与对策[J].信息系统工程,20xx(3):44-45.
防火墙技术论文7摘要:随着计算机技术的不断发展,一些问题也接踵而来,最主要的就是网络安全问题。现代一些不法分子利用网络漏洞,进行违法行动,防火墙由此而生。防火墙的主要作用就是保护计算机不受网络病毒和外界入侵的干扰,是计算机一种基础、有效防护措施。
关键词:计算机网络安全;防火墙;计算机自我防御
0引言
计算机网络安全主要指的是网络信息传输的安全性和保密性,防止系统安装的病毒软件或者外界强制攻击造成的个人信息泄密。开启防火墙的计算机不管是系统数据的安全还是日常运行,都会有一定的保障,现代我国的计算机网络安全保护技术有很多,本文主要讲解的方向就是防火墙,分析防火墙在计算机网络安全保护的作用和所处的位置,直观的理解防火墙--在计算机在进行网络互动的时候实施信息保护,先排除一些自弹危险窗口和自动下载病毒,再而保护整个计算机的操作系统,设置监管节点。防火墙在计算机网络安全保护中有着至关重要的作用。
1计算机网络存在的安全问题
1.1概述
我国现在的计算机都或多或少都存在一些安全问题,如访问系统的监管能力不强,没有一套针对性的措施来避免计算机网络安全上造成的损失。现代的一些入门防护措施只能对一些旧型的入侵进行简单防护,一旦出现稍微复杂的系统,就极可能被入侵,从而造成计算机系统的损坏和个人信息的泄露。现在很多从事秘密工作的人员对于计算机网络安全没有一个较为完善的概念,没有对计算机进行有效的网络安全防护,就很容易出问题,而等到发现问题以后再想办法为时已晚,无法补救,这样的情况造成的损失通常都是很严重的[1]。
1.2对于计算机安全系统防御力不高方面
首先,对于我国的计算机系统来说,其对网络攻击的防御效果不佳,安全防范体系并不完善,防御系统升级调整不及时,由此导致网络安全问题十分严重。目前,网络病毒与网络攻击十分猖獗,网络攻击大多是利用计算机或网络防御体系中的漏洞,进行隐秘是或者毁灭性的入侵,从而达到破坏或者盗取信息的目的。目前,最常见的网络攻击方式有木马病毒攻击、IP攻击、端口攻击、拒绝服务攻击。
1.3对安全监测数据信息上存在的问题方面
安全监测数据信息上存在的问题主要是由于系统的访问存在一定的缺陷,导致系统在访问控制系统时只能够解决程序内部设定的问题解决,对于新出现的安全问题不能进行及时的预警和解决,导致实际的数据安全受到一定的威胁,且计算机网络系统出现问题之后,往往会对原本的计算机处理系统造成严重的威胁,给计算机内部数据造成更加严重的威胁。例如,20xx年出现的“敲诈者病毒”、“勒索病毒”给人们的财产安全带来重大威胁。然而,大多数杀毒软件都没有做好数据监测工作,只是在事后制定防御机制,而不能有效改变这一问题。对此,相关技术人员必须树立正确的思想意识,加强系统防护。严格按照相关规定对数据进行监测,一旦发现问题及时启动预警防御措施。
2针对计算机网络信息安全对防火墙技术的应用分析方面
对于计算机的网络信息系统安全方面存在的问题,要建立起科学的防火墙技术,利用网络防火墙保证计算机网络系统的安全工作。计算机网络信息安全的保障思路,首先要考虑到的是数据加密的方法对于数据安全性的促进作用,在实际的操作当中,可以将数据进行加密,结合计算机网络防火墙实现对相应数据的强化保护[2]。对于实际的数据加密的方式,主要是通过网络连接和相应的端口加密来进行的,因此需要网络安全维护程序当中的控制端与协议类型符合实际的网络数据筛选条件,以实现对数据的实时转发。
3防火墙的种类及具体的使用方面
3.1对于包过滤防火墙技术的叙述
包过滤技术主要是指有选择性的对信息进行合理的判断,分辨信息的实际意义,并拒绝不良信息传输的技术。包过滤防火墙主要通过网络参考模型中的数据传输与控制,来实现相应计算机网络的保护。例如,网络传输工作当中,在对网络传输的目的IP进行相应的保护工作时,能够主动获取信息传输中的IP,并对其中的数据包进行必要的分析与识别,以保证正确信息传输的安全性和可靠性。另一方面,包过滤防火墙技术可以在计算机的内部形成新的监测网,从内到外对信息进行全面的控制和监督,从而实现过滤数据、防御攻击的目的[3]。另外,实际的包过滤防火墙技术往往应用在路由器和电脑的主机上,它可以通过实际的需求选择内网封闭或者外网开放的应用形式来实现对数据的监控管理。
3.2应用型防火墙与网路型防火墙方面
对于应用型防火墙和网络型防火墙的运用来说,网络型防火墙主要是通过网络的IP端口地址转化、注册来确保与外网的连接正确,加强对网络的实时控制。在实际的计算机访问网络的时候,即内部网络与外部网络沟通的时候,网络防火墙发挥主要作用,它能够对自动的网络终端地址和相应的端口进行监督、分析、管理,通过改变终端地址和外界网络与实际端口的连接来保证网络得到有效的控制。计算机的防火墙是为了保护计算机各项工作稳定进行的基础,只有建立完善计算机防火墙,才能够保证计算机各项数据的安全性,保证相应用户的各项隐私。所有数据要进入系统必须经过防火墙的筛选与过滤,这就给防火墙保护功能的发挥提供了可能,例如通过对某一频繁发送信息的IP进行锁定,以抵御不法分子的攻击。多防火墙联合防御是提高网络安全的重要方法。该技术方法结合了多种防火墙系统,对网络防火墙采用多种类型共同配置的方式配置防火墙,在计算机的内部将防火墙的工作内容分层次、分等级的设置,以保证相互之间的工作不受冲突。多个防火墙组成的安全系统可以监控到不同区域的安全问题,各个防火墙通过相互之间的转化,对网络的不良信息进行分层次的过滤,达到提升网络系统整体安全的目的。
4计算机网络信息安全中防火墙技术的有效运用
计算机网络的系统安全主要靠对整体网络的实时监控来实现,简单来说就是将先进的科学技术融入到计算机网络系统当中,然后利用这些技术手段实现对网络的全面管理,从而保证计算机用户相关数据的机密性,保证相关数据的安全。在计算机实际使用的过程中,由于使用者之间存在一定的差异,他们对计算机安全防护墙的认识也并不全面。例如,计算机网络使用者会认为防火墙的设置保护的是网络形式的隐私和相应信息,同时认为防火墙能够保证网络不受外界各个因素的影响而安全运行。在网络系统的专业人员看来,防火墙技术对维护网络信息的安全具有一定的促进作用,其在网络系统发生异常或者出现问题时,能够保护网络信息。对于网络信息的交流而言,信息的传送方可以将相应的信息加密处理,建立全面的安全网络系统规则,从而实现计算机网络与外界连接传输信息的机密性和安全性,保证在不法分子入侵系统时,无法窥探到信息的具体内容。计算机的网络防火墙技术在维护计算机网络信息安全上发挥了巨大的作用:
(1)计算机网络防火墙能够对存在风险的文件和信息进行有效的分析、研究、过滤,确认文件安全后传输到计算机当中,防止计算机被病毒侵入;
(2)计算机网络防火墙能够在一些没有得到正确授权的登入者登入时,拒绝登入,及时防范不法分子侵入计算机盗取信息;
(3)计算机网络防火墙也可以规范计算机用户本身的操作,对于一些违规的和不安全的网站,能够及时进行屏蔽,规范用户安全、合法地使用计算机网络。实际的工作当中,计算机网络防火墙对于用户来说,既是保障计算机网路安全的一种有效手段,又是规范用户使用计算机网络的一种行之有效的方式;
(4)对于一些企业或有工作需要的个人来说,计算机上涉及大量的数据,计算机网络防火墙的存在使得用户数据文件的安全得到保障,避免用户数据的安全受到威胁,避免文件被盗。计算机网络防火墙是保障计算机网络安全的一项基本措施,因此,要不断的将先进的技术融入到计算机网络防火墙的建设当中,已对其不断的进行优化管理,充分发挥计算机网络防火墙的真正作用。
5结论
综上所述,对于计算机网络信息安全中防火墙技术的有效运用与分析要从实际的科学技术出发,将先进的科学技术与实际的计算机网络防火墙相结合,建立安全网络信息安全管理系统,使计算机用户的实际信息得到可靠的保护;将网络安全管理与防火墙相结合,对网络数据进行必要的检查的同时,注重对系统本身的监控管理,从而不断的提高计算机网络信息的安全性。
参考文献:
[1]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑(理论版),20xx(9):193-194.[2]谢平.计算机网络信息安全中防火墙技术的有效运用研究[J].通讯世界,20xx(19):97-98.[3]何承.计算机网络安全中防火墙技术的有效运用分析[J].福建质量管理,20xx(1):171-172.
防火墙技术论文8摘要:
网络技术的迅速发展,给人们生活带来便利的同时一些网络犯罪也逐渐出现,因此信息安全的保密工作成为网络建设中的关键点,而防火墙技术就是其中重要的一个技术。防火墙相当一个屏障,竖立在内部网络与外部网络之间,保护内部网络安全。本文阐述了防火墙的功能,实现防火墙的主要技术手段,并对防火墙技术的未来进行了展望。
关键词:防火墙网络安全发展趋势
1防火墙概述
1.1防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2防火墙与入侵检测技术
2.1入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:
(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;
(2)如何来提高检测系统的检测安全性和准确性;
(3)如何来提高整个检测系统的互动性能。这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
参考文献
[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安徽教育学院学报,20xx.[2]龙毅.探讨防火墙技术的网络安全[M].硅谷.20xx,(6):181-181.
第四篇:浅析计算机网络安全和防火墙技术 论文
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 浅析计算机网络安全和防火墙技术
院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名:
年 级: 指导老师 :
二零一一年十一月二十日
摘 要
随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段,防火墙技术备受睐。
本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。
计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。
关键字:计算机网络;网络安全;防范措施;防火墙技术
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目录
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 网络安全概述.....................................................6 1.1计算机网络安全的含义...........................................................6 1.2网络信息安全的主要威胁.........................................................6 1.2.1自然威胁...................................................................6 1.2.2人为威胁—黑客攻击与计算机病毒.............................................6 1.3计算机网络中的安全缺陷及产生原因...............................................8 1.5影响计算机网络安全的因素.......................................................8 第二章 计算机网络安全防范策略..........................................10 2.1防火墙技术....................................................................10 2.2 数据加密与用户授权访问控制技术..............................................12 2.3 入侵检测技术.................................................................13 2.4防病毒技术....................................................................13 2.4.1 对付病毒有以下四种基本方法.................................................14 2.5安全管理队伍的建设............................................................17 第三章防火墙技术........................................................18 3.1防火墙的定义..................................................................18 3.2防火墙的功能..................................................................18 3.2.1防火墙是网络安全的屏障......................................................18 3.2.2防火墙的种类................................................................18 3.3 防火墙的技术原理............................................................18 3.4 防火墙的应用.................................................................19 3.4.1个人防火墙的应用............................................................19 3.4.2防火墙技术在校园网中应用....................................................23 结论...................................................................25 致谢...................................................................26 参考文献...............................................................27 IV
引言
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。
为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。
本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。
第一章 网络安全概述
1.1计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
1.2网络信息安全的主要威胁
网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。
1.2.1自然威胁
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。威胁分别有:
1.自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。
2.电磁泄漏(如侦听微机操作过程)。
3.操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)
4.计算机系统机房环境的安全。
1.2.2人为威胁—黑客攻击与计算机病毒
人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种: 网络缺陷
Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。
黑客攻击
自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。 各种病毒
病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。 管理的欠缺及资源滥用
很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。软件的漏洞和后门:随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。 网络内部用户的误操作和恶意行为
对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。
网络资源滥用
网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。 信息泄漏
恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
1.3计算机网络中的安全缺陷及产生原因
①网络安全天生脆弱
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的
②黑客攻击后果严重
近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱„„危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。
③网络杀手集团化
目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在CPU中设置“芯片陷阱”,可使美国通过因特网发布指令让敌方电脑停止工作,以起到“定时炸弹”的作用。
1.5影响计算机网络安全的因素
①网络资源的共享性
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
②网络的开放性
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞
网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅
负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
④网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
⑤恶意攻击
就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
第二章 计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。2.1防火墙技术
防火墙
防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可 以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器 上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。例1:未制定完整的企业安全策略
网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业网络环境如图2.1所示:
图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN
1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
例2:未考虑与其他安全产品的配合使用
问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调
整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
例3:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。
问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
从以上三个案例我们可以得出一些结论:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。而保护网络安全是动态的过程,防火墙需要积极地维护和升级。
2.2 数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法
2.3 入侵检测技术
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。
入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面: 1)分析用户及系统活动,查找非法用户和合法用户的越权操作; 2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 3)识别反映已知进攻的活动模式并向相关人上报警; 4)对异常行为模式的统计分析;
5)能够实时地对检测到的入侵行为进行反应; 6)评估重要系统和数据文件的完整性; 7)可以发现新的攻击模式; 入侵检测方法
方法有很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现
1.监视、分析用户及系统活动;
2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警;
4.异常行为模式的统计分析;
5.评估重要系统和数据文件的完整性;
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测技术同样存在问题
1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率
2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击
3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击
4.入侵检测系统体系结构问题
2.4 防病毒技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和
破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
一、计算机病毒的预防技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
二、检测病毒技术
计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
三、清除病毒技术
计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术
2.4.1 对付病毒有以下四种基本方法
1、基于网络目录和文件安全性方法
以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。“访问权限有:防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力,分配不同的访问权限和属性。例如,对于公用目录中的系统文件和工具软件,应该只设置只读属性,系统程序所在的目录不要授予修改权和管理权。这样,病毒就无法对系统程序实施感染和寄生,其它用户也就不会感染病毒。
由此可见,网络上公用目录或共享目录的安全性措施,对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录,由于其限于个别使用,病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。
2、采用工作站防病毒芯片
这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。
Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片,因为多数网卡的Boot Rom并没有充分利用,都会剩余一些使用空间,所以如果安全程序够小的话,就可以把它安装在网络的Boot Rom的剩余空间内,而不必另插一块芯片。
市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中,ROMBIOS,Extended BIOS装入后,Partition Table装入之前,Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:①不占主板插槽,避免了冲突;②遵循网络上国际标准,兼容性好;③具有他工作站防毒产品的优点。但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。
3、采用Station Lock网络防毒方法
Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后,才会产生感染效力“的基础之上。例如,病毒是一个不具自我辨别能力的小程序,在病毒传染过程中至少必须拦截一个DOS中断请求,而且必须试图改变程序指针,以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用,文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权,才能运行病毒体程序而实施感染。Station Lock就是通过这些特点,用间接方法观察,精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。
Station Lock也能处理一些基本的网络安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任
何破坏之前予以拦截。由于Station Lock是在启动系统开始之前,就接管了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。
4、基于服务器的防毒技术
服务器是网络的核心,一旦服务器被病毒感染,就会使服务器无法启动,整个网络陷于瘫痪,造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器,使服务器不被感染。这样,病毒也就失去了传播途径,因而从根本上杜绝了病毒在网上蔓延。
(1)对服务器中所有文件扫描
这一方法是对服务器的所有文件进行集中检查看其是否带毒,若有带毒文件,则提供给网络管理员几种处理方法。允许用户清除病毒,或删除带毒文件,或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。
(2)实时在线扫描
网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性,通常采用多线索的设计方法,让检测程序作为一个随时可以激活的功能模块,且在NetWare运行环境中,不影响其它线索的运行。这往往是设计一个NLM最重要的部分,即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动,及时告之网络管理员和工作站用户。
(3)扫描选择
该功能允许网络管理员定期检查服务器中是否带毒,例如可按每月、每星期、每天集中扫描一下网络服务器,这样就使网络用户拥有极大的操作选择余地。
(4)自动报告功能及病毒存档
当网络用户将带毒文件有意或无意地拷入服务器中时,网络防病毒系统必须立即通知网络管理员,或涉嫌病毒的使用者,同时自己记入病毒档案。病毒档案一般包括:病毒类型、病毒名称、带毒文件所存的目录及工作站标识等,另外,记录对病毒文件处理方法。
(5)工作站扫描
基于服务器的防病毒软件不能保护本地工作站的硬盘,有效的方法是在服务器上安装防毒软件,同时在上网的工作站内存中调入一个常驻扫毒程序,实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)对用户开放的病毒特征接口
大家知道病毒及其变种层出不穷。据有关资料报道,截止1994年2月25日,全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒?这要求开发商能够使自己的产品具有自动升级功能,也就是真正交给网络
用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件,经过病毒特征分析程序,自动将病毒特征加入特征库,以随时增强抗毒能力。当然这一工作难度极大,需要不懈的努力。在上述四种网络防毒技术中,Station Lock是一种针对病毒行为的防治方法,StationLock目前已能提供Intel以太网络接口卡支持,而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法,表现在可以集中式扫毒,能实现实时扫描功能,软件升级方便。特别是当连网的机器很多时,利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。
2.5 安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
第三章 防火墙技术
3.1 防火墙的定义
防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。3.2防火墙的功能
3.2.1 防火墙是网络安全的屏障
防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.2.2防火墙的种类
防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。
分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。
3.3 防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设 置好的过滤规则,通
过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。
缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。
(2)代理技术
代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术【9】。
缺点:在应用支持方面存在不足,执行速度较慢。(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用,才起到防御的最大化的效果。3.4 防火墙的应用
3.4.1 个人防火墙的应用 瑞星个人防火墙的应用 1)安装
第一步启动安装程序。
当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。
第二步完成安装后,如图3.1:
图3.1 第三步输入产品序列号和用户ID。
启动个人防火墙,当出现如图3.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。
图3.2 常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。
2)升级
第一步网络配置:
•打开防火墙主程序
•在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图3.3
图3.3 1。设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。
2。您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置
小提示:
1。如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。
2。如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相关设置。
3。请确保此步设置正确,否则可能无法完成智能升级。
第二步:智能升级
完成网络配置后,进行智能升级的操作方法:
方法一:点击主界面右侧的【智能升级】按钮,图3.4示:
图3.4 方法二:在菜单中依次选择【操作】/【智能升级】
方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序
启动瑞星个人防火墙软件主程序有三种方法:
方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。
方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。方法三:用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标
即可启动。
成功启动程序后的界面如下图3.5所示:
图3.5 主要界面元素
1、菜单栏:
用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:
图3.6
2、操作按钮:
位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:
图3.7 功能:停止防火墙的保护功能,执行此功能后,您计算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此
功能。
3、标签页:
位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:
图3。8
4、安全级别:
位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。
5、当前版本及更新日期:
位于主界面右上角,显示防火墙当前版本及更新日期。
6、规则设置
配置防火墙的过滤规则(如图3。9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯
白名单:在白名单中的计算机对本地具有完全的访问权限
端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 可信区:通过可信区的设置,可以把局域网和互联网区分对待 IP规则:在IP层过滤的规则
访问规则:本机中访问网络的程序的过滤规则
图3。9 3.4.2 防火墙技术在校园网中应用
一、安装防火墙
防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
二、校园网防火墙系统的配置
假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确
定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。
1)对进入CERNET主干网的存取控制
2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP以外的一切服务。
3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。
结论
计算机网络的安全问题越来越受到人们的重视,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等,因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平,这将是一个随着网络技术的发展而不断研究的课题。
致谢
本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间,老师渊博的学识,严谨的治学太多和细心指导,以及他给我的支持和鼓励使我终身难忘,我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的,值此论文完成之际,特别向导师致以衷心的感谢各崇高的敬意。
本课题的完成过程中,本人还得到了同学们及其他各方面的支持和帮助,特别感谢致谢在一起愉快的度过大学生活的各位室友,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母,谢谢你们!最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。
参考文献
[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报
[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月 [10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月
第五篇:internet防火墙技术浅论文
INTERNET防火墙技术浅谈
专业
计算机科学技术
日期
2007年7月
楼可挺著
2007年
陕西师范大学
目录 引言…………………………………………………………………..1 2 internet防火墙技术简介…………………………………………….2
2-1 什么是防火墙…………………………………………………...2
2-2 防火墙能做什么………….……………………………………..2
2-2-1 防火墙是网络安全的屏障…………………………………...22-2-2防火墙可以强化网络安全策略………………………………2
2-2-3对网络存取和访问进行监控审计……………………………2
2.2.4防止内部信息的外泄………………………………………….2
2-3 防火墙的种类…………………………………………………..2
2-3-1 分组过滤……………………………………………………...2
2-3-2 应用代理……………………………………………………...2
2-4 分组过滤类防火墙……………………………………………..2
2-5 应用代理型防火墙……………………………………………..2
2-6 复合型防火墙…………………………………………………...2
2-7 防火墙操作系统………………………………………………...2
2-8 NAT技术………………………………………………………....2
2-9 防火墙的抗攻击能力…………………………………………...2
2-10 防火墙的局限性……………………………………………….2 3 防火墙的配置………………………………………………………..3
3-1双宿主机网关(Dual Homed Gateway)…………………………3
3-2屏蔽主机网关(Screened Host Gateway)……………………..3
3-3屏蔽子网(Screened Subnet)…………………………………..3 4 分布式防火墙技术…………………………………………………..4
4-1 分布式防火墙的产生…….……………………………………..4
4-2 分布式防火墙的主要特点….…………………………………..4
4-2-1主机驻留……………………………………………………….4
4-2-2嵌入操作系统内核…………………………………………….4
4-2-3类似于个人防火墙…………………………………………….4
4-2-4适用于服务器托管…………………..………………………….4 4-3 分布式防火墙的主要优势…………………..…….……………..4
4-3-1增强的系统安全性……………………………………………...4
4-3-2提高了系统性能………………………………………………...4
4-3-3系统的无限扩展性……………………………………………...4
4-3-4实施主机策略………………….……………..…………………4
4-3-5应用更为广泛,支持VPN通信…………………………………4
4-4分布式防火墙的主要功能………………………………………..4
4-4-1 Internet访问控制……………………………………………..4
4-4-2应用访问控制…………………………………………………...4
4-4-3网络状态监控…………………………………………………...4
4-4-4黑客攻击的防御..……………………………………………….4
4-4-5日志管理………………………………………………………...4
4-4-6系统工具………………………………………………………...4 5 防火墙未来的技术发展趋势………………………………………..13
5.1防火墙包过滤技术发展趋势…………………………………….13
5.1.1用户身份验证…………………………………………………..13
5.1.2多级过滤技术…………………………………………………..13
5.1.3使防火墙具有病毒防护功能…………………………………..13
5.2防火墙的体系结构发展趋势…………………………………….13
5.3防火墙的系统管理发展趋势…………………………………….13
5.3.1集中式管理
5.3.2强大的审计功能和自动日志分析功能
5.3.网络安全产品的系统化 6 结束语
论文摘要
随着Internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文全面介绍了Internet防火墙技术;介绍了目前比较流行的三种防火墙的配置及防火墙自身存在的局限性;详细剖析了新一代防火墙技术(分布式防火墙技术)的功能特色、关键技术、主要优势及功能;同时简要描述了Internet防火墙技术的发展趋势。
关键词:Internet 网路安全 防火墙 分布式 访问控制
点击咨询 