论文部分内容阅读
摘 要:近年来,随着网络的发展,网络安全问题也日益严重。防火墙作为最早出现的使用量最大的安全产品,备受网络用户和网络研发机构的青睐。防火墙的核心思想是在不安全的网际环境中构造一个相对安全的子网环境。本文首先介绍了防火墙技术的基本棍念,在对防火墙有了基本的认识以后,阐述了它所能实现的功能。本文的核心是防火墙的类型以及如何根据自舟需要来选择有效的防火墙。
关键词:防火墙技术;网络安全;技术策略
1 防火墙概述
1.1 基本概念
防火墙形式多样,想要给出一个涵盖所有网络配置的归一化定义是很难的。一般来说,防火墙的主要功能是隔断外界对本地网络或主机数据库的非法访问,它是软件和硬件的组合体,事先设定一些特定准则,以挑选想要或不想要的网址。防火墙规则可划分为三方面:设定外界人员访问内部服务的权限范围,以及内部人员可以访问哪些外部服务。高级防火墙还可以对网络登录情况进行实时监控,截取并分析信息,对症下药,根据不同情况采取适当的防护手段。
一般而言,代理服务器是局域网内用户访问网络数据库的必经之路,另外它起到防火墙作用,借助多穴主机方式,将局域网和外网予以隔离,监控网络运行情况,并及时记录传输数据。
1.2 防火墙四个主要功能
⑴防火墙有助于实施通用性较佳的广泛安全政策,确定服务访问权限。防火墙主要控制网络往返访问,对于未获得授权的非法用户,严格限制其访问内部网络资源,也严禁内部向外界传递信息,只允许获得授权的数据传输。
⑵建立节流点。在公共网络和公司专有网络之间应该有一个节流点,这个工作由防火墙完成。通过节流点,防火墙可以对经过节流点的所有数据进行监控和过滤。
⑶记录网络访问行为。防火墙会实时记录访问操作,并具有报警功能。
⑷保护网络主机隐秘性。防火墙对网络到网络的过渡进行多重加密,并加强身份验证,以尽可能减少网络主机的暴露。
2 防火墙技术分析
2.1 包过滤防火墙
数据包过滤在内部网络和外部主机之间进行选择性记忆,依照访问控制列表(ACL)的算法来决定数据包是否可以通过。通过合理设置,ACL可以根据数据包报头的任意部分进行数据包筛选工作。目前,这种过滤主要针对数据包的源地址和目的地址、协议种类、源端口和目的端口。数据包过滤是在网络层和传输层之间的边界安全机制。
2.2 状态检测防火墙
该类防火墙采用了状态监测和故障诊断技术,在传统数据包过滤的基础上进行了功能拓展。采用这种技术的防火墙会对节流点处的每一个连接进行跟踪,严格监控运行状况,并按需在过滤过程中不断增减算法条目或调整规则。状态检测防火墙在网络层设置了检查引擎,通过截取数据包抽取相关信息,获得应用层的运行信息,并以此作为是否接受该连接的依据。
2.3 代理服务防火墙
代理服务是运行在防火墙主机上的特有程序,主机可以是一个双重宿主主机,同时拥有内部网络接口和外部网络接口,也可以是一个围墙式主机,作为唯一一个可以与外部网络通信的站点。代理服务器接收内部用户网络服务请求,根据相关安全准则核实其使用权限,而后转发请求,并将此请求反馈给网络主机。换言之,代理服务器发挥了网关的功能,在应用层上提供替代连接并提供代理操作。代理具有服务专属性,要按照应用服务的归属情况选择合适的代理服务器。
2.4 网络地址翻译
网络地址翻译,将私有地址转换为可以在公共网络上被路由器所识别的IP地址,在私有地址节点和外部公网节点之间建立通信通道。一般来讲,网络地址翻译设置在外部和内部网络接壤处,内部网络主机向外网主机发出数据传输请求时,先将数据包发送到NAT设备,NAT进程首先审核IP数据包报头,如果允许通过,就用唯一一个专属IP地址对内源地址字段中的私有IP地址进行替换,再将数据包发送到外部网的主机上。外部网主机发回反馈数据包后,NAT进程负责接收,根据现有的网络地址比对表,再把回应包中的共有目标地址换为原来内部主机私有地址,最后把该回应包送到内部网指定的源主机进行相关数据操作。
2.5 个人防火墙
个人防火墙又名单机防火墙,主要功能是保护PC接入公共网络时的数据安全。个人防火墙主要以软件形式存在,硬件式很少见。个人防火墙能够对内部攻击和外来侵袭产生有效抵御。
2.6 防火墙分析总结
通过上述分析,我们了解到,防火墙只是网络安全防护的一个环节,必须结合诸如病毒防护、加密算法、身份鉴别技术一类的手段,才能最大程度提高网络安全等级;再者,防火墙也并非万无一失,只能对经过节流点的访问和攻击进行防御,如果黑客通过某些手段绕过防火墙,则此类防护就失去作用;另外,架构防火墙要充分进行技术需求分析和风险成本管理,并要注意后期的维护和翻新,防火墙的测试和试验受限也较多,所以单一防火墙技术并不能很好满足用户网络安全的需要。
[参考文献]
[1]任月鸥,高文举,李秋菊.在校园网络环境下防火墙技术的应用研究[J].硅谷,2011(12)
[2]孙智康,刘健鸽,谌麟.火电厂信息系统防火墙技术的深化应用[J].湖南电力,2010(04)
[3]罗莹,陈瓅.网络安全主流技术浅谈[J].宜春学院学报.2007(02).
关键词:防火墙技术;网络安全;技术策略
1 防火墙概述
1.1 基本概念
防火墙形式多样,想要给出一个涵盖所有网络配置的归一化定义是很难的。一般来说,防火墙的主要功能是隔断外界对本地网络或主机数据库的非法访问,它是软件和硬件的组合体,事先设定一些特定准则,以挑选想要或不想要的网址。防火墙规则可划分为三方面:设定外界人员访问内部服务的权限范围,以及内部人员可以访问哪些外部服务。高级防火墙还可以对网络登录情况进行实时监控,截取并分析信息,对症下药,根据不同情况采取适当的防护手段。
一般而言,代理服务器是局域网内用户访问网络数据库的必经之路,另外它起到防火墙作用,借助多穴主机方式,将局域网和外网予以隔离,监控网络运行情况,并及时记录传输数据。
1.2 防火墙四个主要功能
⑴防火墙有助于实施通用性较佳的广泛安全政策,确定服务访问权限。防火墙主要控制网络往返访问,对于未获得授权的非法用户,严格限制其访问内部网络资源,也严禁内部向外界传递信息,只允许获得授权的数据传输。
⑵建立节流点。在公共网络和公司专有网络之间应该有一个节流点,这个工作由防火墙完成。通过节流点,防火墙可以对经过节流点的所有数据进行监控和过滤。
⑶记录网络访问行为。防火墙会实时记录访问操作,并具有报警功能。
⑷保护网络主机隐秘性。防火墙对网络到网络的过渡进行多重加密,并加强身份验证,以尽可能减少网络主机的暴露。
2 防火墙技术分析
2.1 包过滤防火墙
数据包过滤在内部网络和外部主机之间进行选择性记忆,依照访问控制列表(ACL)的算法来决定数据包是否可以通过。通过合理设置,ACL可以根据数据包报头的任意部分进行数据包筛选工作。目前,这种过滤主要针对数据包的源地址和目的地址、协议种类、源端口和目的端口。数据包过滤是在网络层和传输层之间的边界安全机制。
2.2 状态检测防火墙
该类防火墙采用了状态监测和故障诊断技术,在传统数据包过滤的基础上进行了功能拓展。采用这种技术的防火墙会对节流点处的每一个连接进行跟踪,严格监控运行状况,并按需在过滤过程中不断增减算法条目或调整规则。状态检测防火墙在网络层设置了检查引擎,通过截取数据包抽取相关信息,获得应用层的运行信息,并以此作为是否接受该连接的依据。
2.3 代理服务防火墙
代理服务是运行在防火墙主机上的特有程序,主机可以是一个双重宿主主机,同时拥有内部网络接口和外部网络接口,也可以是一个围墙式主机,作为唯一一个可以与外部网络通信的站点。代理服务器接收内部用户网络服务请求,根据相关安全准则核实其使用权限,而后转发请求,并将此请求反馈给网络主机。换言之,代理服务器发挥了网关的功能,在应用层上提供替代连接并提供代理操作。代理具有服务专属性,要按照应用服务的归属情况选择合适的代理服务器。
2.4 网络地址翻译
网络地址翻译,将私有地址转换为可以在公共网络上被路由器所识别的IP地址,在私有地址节点和外部公网节点之间建立通信通道。一般来讲,网络地址翻译设置在外部和内部网络接壤处,内部网络主机向外网主机发出数据传输请求时,先将数据包发送到NAT设备,NAT进程首先审核IP数据包报头,如果允许通过,就用唯一一个专属IP地址对内源地址字段中的私有IP地址进行替换,再将数据包发送到外部网的主机上。外部网主机发回反馈数据包后,NAT进程负责接收,根据现有的网络地址比对表,再把回应包中的共有目标地址换为原来内部主机私有地址,最后把该回应包送到内部网指定的源主机进行相关数据操作。
2.5 个人防火墙
个人防火墙又名单机防火墙,主要功能是保护PC接入公共网络时的数据安全。个人防火墙主要以软件形式存在,硬件式很少见。个人防火墙能够对内部攻击和外来侵袭产生有效抵御。
2.6 防火墙分析总结
通过上述分析,我们了解到,防火墙只是网络安全防护的一个环节,必须结合诸如病毒防护、加密算法、身份鉴别技术一类的手段,才能最大程度提高网络安全等级;再者,防火墙也并非万无一失,只能对经过节流点的访问和攻击进行防御,如果黑客通过某些手段绕过防火墙,则此类防护就失去作用;另外,架构防火墙要充分进行技术需求分析和风险成本管理,并要注意后期的维护和翻新,防火墙的测试和试验受限也较多,所以单一防火墙技术并不能很好满足用户网络安全的需要。
[参考文献]
[1]任月鸥,高文举,李秋菊.在校园网络环境下防火墙技术的应用研究[J].硅谷,2011(12)
[2]孙智康,刘健鸽,谌麟.火电厂信息系统防火墙技术的深化应用[J].湖南电力,2010(04)
[3]罗莹,陈瓅.网络安全主流技术浅谈[J].宜春学院学报.2007(02).