论文部分内容阅读
摘 要:网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能更有效地维护自己的计算机网络及信息的安全,生成一个高效、通用、安全的网络系统。本文探讨了防火墙技术在网络安全中的应用情况。
关键词:计算机;网络安全;防范;防火墙
中图分类号:TP393.08
防火墙技术的应用对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
1 计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三方面:(1)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁;(2)人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏;(3)网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后門”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2 防火墙基本概念和类型
从网络安全的角度来看,防火墙作为一套完整的装置,主要应用于两个网络之间加强访问控制。防火墙一般都是安装在内部网络与外部网络的连接点上,就是为了能够维护内部网络在和外部网络进行接触的安全。也就是说来自外部网的信息或者是信息要从内部网络向外部网络进行传输,都必须要经过防火墙。从逻辑的角度来看,防火墙应该需要包括分离器和限制器以及分析器这么几个重要的组成部分,然而其物理实现方式是不同的。防火墙都包含由一个或多个路由器以及一台主机构成的硬件还有必要的软件。防火墙要想实现其功能,需要同时具备包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙几个不同类型。
2.1 网络级防火墙
网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。路由器就是比较简单的网络级防火墙,基本所有的路由器都可以通过对这些信息的检查,然后来确定是不是要把所收到的包转发。然而路由器无法判断一个IP包从那里来,然后要到那里去。比较先进的网络级防火墙是能够判断这点的,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接。
网络级防火墙和其他防火墙比较起来相对比较简洁和速度,同时费用也比较低对用户也比较透明。然而网络级防火墙由于只对地址和端口进行检查,因此其对网络的保护相对比较有限,这是一个很大的缺憾。
2.2 应用级网关
应用级网关可以对传递的数据包进行检查,避免受信任服务器和不受信任主机之间直接进行联系。应用级网关可以对应用层上的协议有一个比较好的理解,可以进行一些比较复杂的访问控制,同时在进行注册和稽核的时候也比较专业。然而其也存在比较明显的缺点,任何一种协议都离不开代理软件,因此使用的时候其工作量非常大,因此和网络级防火墙比较起来其效率就会低很多。
2.3 电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息, 这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火绪要高两层。
2.4 规则检查防火墙
规则检查防火墙充分吸取了包过滤防火墙和电路级网关以及应用级网关的优点。规则检查防火墙可以实行包过滤防火墙的功能,在OSI网络层上依靠IP地址和端口号,对传递的数据包进行过滤。规则检查防火墙也像电路级网关一样,对SYN和ACK标记和序列数字进行检查,看其是否符合逻辑。它也可以在OSI应用层上对数据包进行检查,核实传递的内容是不是满足公司网络的安全规则。
规则检查防火墙尽管结合了其他的防火墙的特点,但客户机服务机模式来对应用层数据进行分析的方式并没有被改变,其允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙依靠某种算法来对应用层数据进行分析,在理论上这种方式具有更大的优势。
3 防火墙的安全措施
不同防火墙之间在安全性能方面存在一定的差别,但是全部防火墙都会防电子欺骗术。在确保数据包的IP地址和网关接口之间是一致的前提下才容许数据进行传递,避免通过修改IP地址来进行非授权访问,从而威胁信息的安全。此外,还还可以鉴别可疑信息,发现可惜信息就向网络管理员进行报警。网络地址转移也是很多防火墙经常使用的一种安全措施,地址转移就是对外网隐藏其内部地址,这样内部地址就不会对外网进行公开了。这样就能够克服IP寻址方式的很多局限,使得内部寻址模式变得更加完善。
4 防火墙的选择方案
防火墙属于是对一系列防范措施进行的总称。比较简单的防火墙,利用路由器就可以完成其功能,复杂防火墙需要主机或者是一个子网来来完成其功能。防火墙可以安全屏障设置在IP层,也能够依靠应用层软件来对外来攻击进行保护。在对防火墙进行选择的时候,要根据实际的需要来完成,在满足功能需求的前提下找到一个最佳的方案,既要保证网络服务高效灵活和安全,同时也要兼顾到应用成本。
如果我们要是从发展趋势这个角度来看,防火墙在未来会介于网络级防火墙与应用级防火墙二者之间。网络级防火墙具有识别信息能力会不断得到加强,而应用级防火堵会向着“透明”和“低级”的方向进行发展。这样就使得防火墙慢慢的发展成为一个快速注册的稽查系统,使得数据和信息在传播的时候用加密方式来保护其安全性,这样人们在利用网络进行数据传送的时候更加放心。防火墙在维护计算机网络安全方面发挥着重要的作用,这一点是有目共睹的。
参考文献:
[1]易伟,浅析防火墙技术在网络安全中的应用[J].网友世界,2013,15.
[2]王秀翠王彬,防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,5.
作者单位:南京市职业病防治院,南京 210000
关键词:计算机;网络安全;防范;防火墙
中图分类号:TP393.08
防火墙技术的应用对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
1 计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三方面:(1)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁;(2)人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏;(3)网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后門”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2 防火墙基本概念和类型
从网络安全的角度来看,防火墙作为一套完整的装置,主要应用于两个网络之间加强访问控制。防火墙一般都是安装在内部网络与外部网络的连接点上,就是为了能够维护内部网络在和外部网络进行接触的安全。也就是说来自外部网的信息或者是信息要从内部网络向外部网络进行传输,都必须要经过防火墙。从逻辑的角度来看,防火墙应该需要包括分离器和限制器以及分析器这么几个重要的组成部分,然而其物理实现方式是不同的。防火墙都包含由一个或多个路由器以及一台主机构成的硬件还有必要的软件。防火墙要想实现其功能,需要同时具备包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙几个不同类型。
2.1 网络级防火墙
网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。路由器就是比较简单的网络级防火墙,基本所有的路由器都可以通过对这些信息的检查,然后来确定是不是要把所收到的包转发。然而路由器无法判断一个IP包从那里来,然后要到那里去。比较先进的网络级防火墙是能够判断这点的,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接。
网络级防火墙和其他防火墙比较起来相对比较简洁和速度,同时费用也比较低对用户也比较透明。然而网络级防火墙由于只对地址和端口进行检查,因此其对网络的保护相对比较有限,这是一个很大的缺憾。
2.2 应用级网关
应用级网关可以对传递的数据包进行检查,避免受信任服务器和不受信任主机之间直接进行联系。应用级网关可以对应用层上的协议有一个比较好的理解,可以进行一些比较复杂的访问控制,同时在进行注册和稽核的时候也比较专业。然而其也存在比较明显的缺点,任何一种协议都离不开代理软件,因此使用的时候其工作量非常大,因此和网络级防火墙比较起来其效率就会低很多。
2.3 电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息, 这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火绪要高两层。
2.4 规则检查防火墙
规则检查防火墙充分吸取了包过滤防火墙和电路级网关以及应用级网关的优点。规则检查防火墙可以实行包过滤防火墙的功能,在OSI网络层上依靠IP地址和端口号,对传递的数据包进行过滤。规则检查防火墙也像电路级网关一样,对SYN和ACK标记和序列数字进行检查,看其是否符合逻辑。它也可以在OSI应用层上对数据包进行检查,核实传递的内容是不是满足公司网络的安全规则。
规则检查防火墙尽管结合了其他的防火墙的特点,但客户机服务机模式来对应用层数据进行分析的方式并没有被改变,其允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙依靠某种算法来对应用层数据进行分析,在理论上这种方式具有更大的优势。
3 防火墙的安全措施
不同防火墙之间在安全性能方面存在一定的差别,但是全部防火墙都会防电子欺骗术。在确保数据包的IP地址和网关接口之间是一致的前提下才容许数据进行传递,避免通过修改IP地址来进行非授权访问,从而威胁信息的安全。此外,还还可以鉴别可疑信息,发现可惜信息就向网络管理员进行报警。网络地址转移也是很多防火墙经常使用的一种安全措施,地址转移就是对外网隐藏其内部地址,这样内部地址就不会对外网进行公开了。这样就能够克服IP寻址方式的很多局限,使得内部寻址模式变得更加完善。
4 防火墙的选择方案
防火墙属于是对一系列防范措施进行的总称。比较简单的防火墙,利用路由器就可以完成其功能,复杂防火墙需要主机或者是一个子网来来完成其功能。防火墙可以安全屏障设置在IP层,也能够依靠应用层软件来对外来攻击进行保护。在对防火墙进行选择的时候,要根据实际的需要来完成,在满足功能需求的前提下找到一个最佳的方案,既要保证网络服务高效灵活和安全,同时也要兼顾到应用成本。
如果我们要是从发展趋势这个角度来看,防火墙在未来会介于网络级防火墙与应用级防火墙二者之间。网络级防火墙具有识别信息能力会不断得到加强,而应用级防火堵会向着“透明”和“低级”的方向进行发展。这样就使得防火墙慢慢的发展成为一个快速注册的稽查系统,使得数据和信息在传播的时候用加密方式来保护其安全性,这样人们在利用网络进行数据传送的时候更加放心。防火墙在维护计算机网络安全方面发挥着重要的作用,这一点是有目共睹的。
参考文献:
[1]易伟,浅析防火墙技术在网络安全中的应用[J].网友世界,2013,15.
[2]王秀翠王彬,防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,5.
作者单位:南京市职业病防治院,南京 210000