第一篇:网络安全技术论文
从360和腾讯事件看网络信息安全
李娅楠
(中国民航大学 理学院 090243116)
摘要:阐述了网络信息安全的内涵,网络安全的组成,威胁网络安全的因素及相应应对措施。在此基础上论文指出对于网络安全教育和管理的加强是十分必要的,因此应加强信息安全学科建设和人才培养,确保我国的信息安全。
关键词:网络信息安全威胁因素 网络安全技术
最近,360杀毒软件和QQ聊天软件的争斗在网络上掀起了滔天巨浪。为此,有关QQ涉嫌窥探个人电脑隐私、奇虎360、金山等安全软件公司纷纷发布电脑隐私保护器软件,旨在应对或保护个人电脑隐私,一场由信息安全、个人隐私引发的“企业恩怨”正在上演。在这次事件中,360认为腾讯扫描用户硬盘,查看用户隐私;腾讯则认为360影响其程序运行,为此引发两者一系列争斗,并且斗争愈演愈烈,最终殃及用户。作为第三方,我并不关心这两家公司谁输谁赢,重要的是,透过这个现象,让我意识到,这场利益争夺战带来的影响,已经远远超出了这两家公司业务的范畴。我们应该跳出360与腾讯的恩怨,清醒意识并正确认识到网络信息安全的重要性。
计算机网络安全(Network Security)是一门涉及计算机科学,网络技术,通信技术,密码技术,信息安全技术,应用数学,数论,信息论等多种学科的综合性科学。国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的网络上的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。当然,网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)角度,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单
独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
计算机的安全体系是一个层次对的体系,从高到低的层次关系如下图所示:
其中网络安全是最高级的安全,它是指保护网络系统的硬件,软件及其数据不受恶意或偶然的导致破坏,更改或泄漏,使系统连续可靠正常运行,使网络服务不中断。
而从人为(黑客)角度来看,常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。
信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。
完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作。
网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
常见的计算机网络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。
窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。行为否认:通讯实体否认已经发生的行为。
电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
当然,除了人为因素,网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定,他们主要表现在:每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序,就可能存在BUG。而这一系列的缺陷,更加给想要进行攻击的人以方便。所以,网络安全问题可以说是由人所引起的。因此,对于网络安全教育和管理的加强是十分必要的,与此相关的加强计算机网络安全的对策措施有:1.对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
2.运用网络加密技术:网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻
击,又可以防止非授权用户的访问。
3.加强计算机网络访问控制:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4.使用防火墙技术:采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
对于此次360腾讯事件,且不论腾讯是否窥探了我们的隐私,透过此次腾讯与360之间的争夺战,我们应该正确认识到信息安全与隐私保护的必要性。现今计算机及网络已成为我们不可或缺的工具,然而计算机及网络在给我们带来极大方便的同时,也隐藏着巨大的危机和漏洞。即使对于计算机专业人士来讲,如果不是顶层设计人员,都很难搞清屏幕之下,到底有多少代码在悄悄地窥视。这次两个国产软件商的纷争,可以说把神秘的网络风险揭开了一角。在计算机网络系统中,绝对安全是不存在的,而计算机网络信息安全的工作贯穿于计算机网络建设、发展的始终,这就需要我们时刻重视,不断学习,才能确保计算机网络的安全、可靠地运行。总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着 新技术发展而不断发展的产业。
参考文献:
[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[2]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003
[3]张民,徐跃进.网络安全实验教程,清华大学出版社,2007,6.
第二篇:网络安全技术论文
当前网络常见安全问题分析
指导老师:
摘要:信息时代,人们对计算机和网络的应用和依赖程度愈来愈高,信息安全问题日益突显,海量的信息存储在网络上,随时可能遭到非法入侵,存在着严重的安全隐患本文针对根据几火突出的网络安全问题,归纳并提出了一些网络信息安全防抄的方法和策略计算机网络的广泛应用给计算机的安全提出了更高的要求,也使网络安全问题日渐突出。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。关键词:网络安全
黑客入侵
网络诈骗
1、网络安全的基本内涵
网络安全从本质上来讲就是网络上的信息安全,网络安全从其本质上来讲就是网络上的信息安全,具体指的是网络系统的硬件、软件及其系统中的数据受到保护,不会因为偶然的或者恶意的攻击而遭到破坏、更改、泄漏,系统能够连续可靠、正常地运行,网络服务不中断网络安全包括数据安全和系统安全两方面,它具有保密性、完整性、可用性可控性、不可否认性五大特征
从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
2、常见的网络安全问题
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
2.1遭受黑客攻击
自 1994 年国际互联网进入我国以来,我国的网民人数急剧增长,随着网络的逐渐普及,黑客队伍也相应产生并逐渐壮大,其作案范围日益扩大,作案手段日益高明,对网络安全造成了危害。
黑客主要是使用一些现有的工具对操作系统的弱口令或安全漏洞加以利用攻击,获得一般用户甚至管理员用户权限,进而达到实施破坏的目的。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的
电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
2.2计算机病毒
病毒实际上是一种特殊的程序或普通程序中的一段特殊代码,它的功能是破坏计算机的正常运行或窃取用户计算机上的隐私。计算机感染上病毒后,轻则使系统效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。有了互联网后,病毒的传播速度更快,涉及范围更广,危害性更大。计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
2.3 垃圾邮件和间谍软件
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能不同程度地影响系统性能。
2.4 计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污盗窃、诈骗和金融犯罪等活动。网络安全的防范措施
3.1 安装杀毒软件
计算机病毒有以下五种特征:寄生性、传染性、破坏性、可触发性、可潜伏性。根据计算机病毒的特征,人们摸索出了许多检测计算机病毒和杀毒的软件。国内的有瑞星、KV3000、金山毒霸、360杀毒软件等,国外的有诺顿、卡巴斯基等。但是,没有哪种杀毒软件是万能的,所以当本机的杀毒软件无法找到病毒时,用户可以到网上下载一些专杀工具,如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。值得注意的是,安装了杀毒软件后,我们还必须每周至少更新一次杀毒软件病毒库,因为防病毒软件只有最新才是最有效的。每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。当受到网络攻击时,我们的第一反应就是拔掉网络连接端口以断开网络。3.2 安装网络防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。常见的个人网络防火墙有天网防火墙、瑞星防火墙和360安全卫士等。.安装防病毒网关软件 防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
3.3 数据加密
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。一般把受保护的原始信息称为明文,编码后的称为密文。数据加密的基本过程包括对明文进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该加密的编码信息转化为原来的形式的过程。机密资料被加密后,无论是被人通过复制数据、还是采用网络传送的方式窃取过去,只要对方不知道你的加密算法,该机密资料就成了毫无意义的乱码一堆。常见的加密软件有SecWall、明朝万达、完美数据加密大师等。
3.4 警惕“网络钓鱼”
“网络钓鱼”(phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。黑客就是利用这种欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。黑客通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。对此,用户应该提高警惕,可安装一款有反垃圾邮件功能的良好杀毒软件。大多数安全产品都能将这种邮件识别为垃圾邮件,使你对它们的花言巧语提高警惕。不登录不熟悉的网站,键入网站地址时要认真校对。多用常识思考,因为这是你 抵御诈骗的最有效方式。没有人会无条件地给予你什么,而网上一见钟情的概率也是微乎其微。因此,你从一开始就要对这种联络抱有高度怀疑,以防误入圈套。结语
本文简要地分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
1、尹建璋《计算机网络技术及应用实例》西安电子科技大学出版社,2、刘远生、辛一主编《计算机网络安全》北京:清华大学出版社.2009.6
3、张千里,陈光英《网络安全新技术》北京:人民邮电出版社,2003.1
4、徐茂智《信息安全概论》人民邮电出版社2007.8
5、刘永华、解圣庆《局域网组建、管理与维护》清华大学出版社2006.6
5、吕江。网络安全现状分析及应对措施[J].中国新技术新产品,2009,23:44~45.
The current network common security analysis
Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud
第三篇:网络安全技术论文
网络安全技术 论文
题 目 网络安全之防火墙技术 学生姓名 __ *** ___ __ 学 号 _ ***_ ____ 专业班级 ___*** _
指导老师 _ ***_ __ _
2011年 12 月12日
摘要:
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法作了简要的分析,论述了其安全体系的构成。关键词:网络安全 防火墙
一、防火墙的定义和由来
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
二、防火墙的功能
防火墙服务于以下多个目的: 1)限定人们从一个特定的控制点进入; 2)限定人们从一个特定的点离开; 3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
1)防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3)对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
三、防火墙技术与产品发展的回顾
从总体上看,防火墙应该具有以下五大基本功能:
●过滤进、出网络的数据; ●管理进、出网络的访问行为; ●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动; ●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年
来的发展,可以将其划分为如下四个阶段(即四代)。
1)基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤; 2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。2)用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;; 2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。3)建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点::
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。
四、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。
以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.防火墙本身是安全的
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。3.可扩充性
随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
五、结论
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。针对这些缺陷,应该设计更为有效的防火墙,为网络安全提供更全面的保障。
参考文献
[1] 莫向阳.Filter-Hook Driver详解[M].北京:机械工业出版社,2008。[2] W.Richard Stevens.TCP/IP详解卷一[M].北京:机械工业出版社,2004。[3] 辛长安.Viusal C++编程技术与难点剖析[M].北京:清华大学出版社,2002。
第四篇:网络安全技术论文
常见防火墙技术分析
指导教师:曾启杰
(广东工业大学自动化学院,广州,510006)
摘 要:随着科学技术和经济的迅猛发展,网络所涉及的应用领域也越来越广泛。Internet的迅猛发展给现代人的生产和生活带来了前所未有的飞跃,但同时网络病毒和黑客入侵的问题也越来越突出,网络安全问题变得尤为重要。就目前网络保护而言,防火墙依然是一种有效的手段。但是,由于防火墙是属于高科技产物,许多人对此还并不了解。鉴于此,本文从通用的角度,通俗易懂地表述有关防火墙技术的一些知识及应用。
关键词: 防火墙(Firewall)Internet防火墙技术 网络安全(Network Security)应用现状 1防火墙技术
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。
1.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
而在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。[1]
1.2防火墙原理
首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙,但是他们的基本实现都是类似的。
│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │
防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。
1.3防火墙的主要类型
1.3.1 网络层防火墙
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。1.3.2 应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,我们使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。[2] 1.3.3 数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。
1.4防火墙技术
1.4.1 Internet防火墙技术概念
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet防火墙是近年发展起来的一项网络安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。1.4.2 Internet防火墙目的
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守
1)2)3)
4)有效地阻止破坏者对你的计算机系统进行破坏。1.4.3 Internet防火墙五大基本功能
所有来自Internet的传输信息或你发出的信息都必须经过防火墙,这样防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用。
防火墙作为网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访
1)过滤进、出网络的数据 2)管理进、出网络的访问行为 3)封堵某些禁止行为
4)记录通过防火墙的信息内容和活动 5)对网络攻击进行检测和告警
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。[3]
2.防火墙技术的功能 2.1基本功能
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计 算机。我们可以将防火墙配置成许多不同保护级别,高级别的保护可能会禁止一些服务,如视频流等。
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
2.2保护网络安全
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.3数据库安全
实现数据库安全的实时防护。数据库防火墙通过SQL 协议分析,根据预定义的禁止和许可策略让合法的SQL 操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL 危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为,提供SQL 注入禁止和数据库虚拟补丁包功能。
2.4其他功能
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
3.防火墙技术的应用
3.1防火墙技术在网络安全应用中的重要性
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面: 3.1.1 网络安全的屏障
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
3.1.2 强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
3.1.3 监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提 3 供网络是否受到监测和攻击的详细信息。
3.1.4 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
3.2黑客攻击防火墙技术
一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。
第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。
第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而对防火墙和内部网络破坏。
第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。[4]
3.3防火墙技术在网络安全中的应用现状
随着防火墙技术的不断更新,新型的防火墙技术安全性能更高,它综合了过滤和代理技术,克服二者在安全方面的缺陷,使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种:
1.分布式防火墙技术,指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品,广义上讲,分布式防火墙是一种新的防火墙体系结构。
2.嵌入式防火墙技术,指内嵌于路由器或交换机的防火墙,通常也被称为阻塞点防火墙,这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络代理程序、入侵检测告警程序和防病毒程序等,确保企业内部和外部的网络安全。
3.职能防火墙技术,通过利用统计、记忆、概率和决策的职能方法对数据进行识别,并达到访问控制的目的,由于这些方法多时人工职能学科采用的方法,也统称为职能防火墙。
3.4 windows防火墙的具体操作
3.4.1 如何关闭windows防火墙
a:打开“开始”菜单,“运行”输入control命令打开控制面板;
b:在控制面板中找到“防火墙”图标双击打开;
c:选择“关闭(不推荐)”并确定即可关闭防火墙。3.4.2 如何打开windows防火墙
只需将关闭防火墙的第三步改成“启用(推荐)”即可开启示windows防火墙。
参考文献
1防火墙知识导读
2杨青,崔建群,郑世钰 .计算机网络技术及应用教程 :清华大学出版社,2007年2月第1版 . 3浅析Internet防火墙技术 4黑客突破防火墙常用的几种技术
第五篇:《网络安全技术》论文
常见防火墙技术分析
摘要:
计算机网络是一把双刃剑,它的开放性和便利性的同时,也增加了私有信息和数据被破坏或侵犯的可能性。
本文首先会简单地讲述目前计算机网络存在的安全隐患,我国网络安全的现状及网络安全问题产生的原因。
其次,由于网络安全威胁的存在,防火墙应运而生。防火墙是网络安全的关键技术, 其本质是一种隔离技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文将重点从安全功能、体系结构、实现防火墙的主要技术手段及配置等方面分析防火墙。关键词:网络安全,防火墙,防火墙类型
1.我国网络安全的现状
1.1研究背景
“计算机网络安全”定义:国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。其具有以下五个方面的特征:保密性、完整性、可用性、可控性和可审查性。
当前,计算机已经被广泛地用于社会生产和生活的各个领域。特别是随着信息化和技术化的不断推进,计算机也在更加深刻地影响着社会的方方面面。
计算机网络安全问题主要有:信息在传输的过程中,数据被篡改和复制,以及拦截和查看,甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行,出现系统瘫痪或重要数据的泄漏,造成不可挽回的严重后果。
网络安全的主要威胁有:窃听、网络嗅探、拒绝服务、假冒、授权侵犯、计算机病毒。
1.2研究意义
为了有效解决网络安全问题和威胁,构建安全可靠的网络安全环境,我国有必要从技术方面对防火墙进行完善。基于网络内部和外部环境的特殊性,防火墙技术是目前保护网络安全最为有效地技术,不仅能够对网络传输的数据进行检查,还能对整个网络进行监控。
2.防火墙技术的概述
2.1防火墙技术的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,主要用来保护安全网络免受来自不安全网络的入侵,实际上是一种隔离技术。简单地说就是,防火墙是在两个网络间进行访问控制,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要
信息。不同的防火墙,配置的方法也不同,这取决于安全策略,预算以及全面规划等。
它是不同网络或网络安全域之间信息的唯一出入口,有效地加强网络之间访问控制。它是提供信息安全服务,实现网络和信息安全的基础设施,是一种非常有效的网络安全模型。
如图1:
2.2防火墙技术的发展史及分类
纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)及相应的分类。
2.2.1 第一代防火墙:基于路由器的防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术,从而使具有分组过滤功能的路由器成为第一代防火墙产品。简单地说,第一代防火墙产品一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作为出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包自哪里,即将去哪里。
特点:
(1)网络级防火墙简洁、速度快、费用低,并且对用户透明;
(2)可利用路由器实现对分组的过滤;
(3)把地址、端口号、IP旗标及其他网络特征作为判断依据
不足:
(1)本身具有安全漏洞,外部网络要探寻内部网络十分容易。
(2)分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
(3)路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
(4)路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
2.2.2第二代防火墙:用户防火墙工具套
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙。为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
他能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。他并且能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
特点:
(1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
(2)针对用户需求,提供模块化的软件包;
(3)软件可以通过网络发送,用户可以自己动手构造防火墙;
(4)与第一代防火墙相比,安全性提高了,价格也降低了。
不足:
(1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求;
(2)对用户的技术要求高;
(3)全软件实现,安全性和处理速度均有局限,使用中出现差错的情况很多。
2.2.3 第三代防火墙:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品
特点:
(1)是批量上市的专用防火墙产品;
(2)包括分组过滤或者借用路由器的分组过滤功能;
(3)装有专用的代理系统,监控所有协议的数据和指令;
(4)保护用户编程空间和用户可配置内核参数的设置;
(5)安全性和速度大大提高。
不足:
(1)缺乏安全保障,因为作为基础的操作系统及其内核往往不为防火墙管理者所知;
(2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的 安全性负责;
(3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
2.2.4第四代防火墙:具有安全操作系统的防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。
特点:
(1)防火墙厂商具有操作系统的源代码,并可实现安全内核。
(2)对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护。
(3)对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁。
(4)在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能。
(5)透明性好,易于使用。
2.3 防火墙技术的功能
(1)访问控制功能。是一种简单、有效的安全控制技术,也是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源。
(2)防止内部信息外泄。根据数据内存进行控制,如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地Web服务器中一部分信息。
(3)集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全需要,需要制定不同的安全策略,然后在防火墙上实施,使用中还需要根据情况改变安全策略,因此防火墙应具备集中管理功能。
(4)阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。
(5)自身的安全和可用性。防火墙要保证自身的安全不被非法侵入,保证正常的运作。如果防火墙被侵入,防火墙的安全策略被修改,这样内网就变得不安全。
(6)数据包的透明转发。由于防火墙一般部署在提供某些服务或应用的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。因此,防火墙具备网关功能,方便数据包的转发。
3防火墙技术在计算机网络安全中的运用
从整体上来说,计算机网络安全是通过网络的管理控制,以及技术的解决办法,确保在网络的环境中,保护数据进行使用和保密,及完整性。计算机网络安全主要有物理和逻辑安全。但是根据使用者的不一样,对网络安全的理解也就会不一样。如:一般的使用者认为,计算机网络安全就是在网络上传自己的隐私或者是重要的信息时,能够保护信息不能被窃听和篡改,以及伪造。而网络的供应商们则认为,除了保证网络信息的安全,还要考虑各种对网络硬件破坏因素的保护,以及在出现异常时恢复网络通信的保护。
(1)加密技术。即信息的发送方先对信息做加密处理,密码由和接收方掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
(2)身份验证。通过对网络用户的使用授权,在信息的发送方和接收方之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。
(3)防病毒技术。主要涉及对病毒的预防、检测以及清除三方面。
其一,在网络建设中,安装防火墙对互联网之间的交换信息按照某种规则进行控制,构
成一道安全屏障来保护内网与外网间的信息和数据传输,确保网络不被其他未经授权的第三方侵入。
其二,网络的连接如果是由路由器和互联网相连,服务器有www.xiexiebang.common firewall technology
Deluxe Zhang
Abstract:
It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with,this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words:Network security,Firewall,The type of firewall