前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇计算机防火墙技术的应用范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)28-0049-02
随着计算机网络在人们生活中的不断运用,计算机网络对人们生活的影响也越来越深远,大到民族、国家、科技、国防,小到普通百姓的日常工作生活。但是计算机网络个人隐私的泄漏、计算机网络病毒的侵入、计算机网络黑客的不法利用以及计算机网络犯罪等等,这些计算机网络危害使得计算机的使用安全受到严重威胁。本文将结合计算机防火墙的概念、分类来分析计算机防火墙安全屏障的网络防范技术应用。
1 计算机防火墙的概念定义和功能使用
1.1计算机安全防火墙的概念定义
防火墙是指一种控制访问的技术,它主要用于控制两台或者两台以上的计算机之间的访问,起到一个边界防卫的作用。计算机网络安全防火墙可以用于保护一台计算机,也可以用于保护两台或者两台以上的计算机网络群,起到一个控制计算机网络访问的作用,使得计算机或者计算机群免受外界的不良干扰。计算机安全防火墙的设置主要位于Internet的高层网络,但是也有的计算机防火墙是位于计算机网络边界。
1.2 计算机安全防火墙的功能使用
防火墙指的是用来提供计算机网络访问限制和保护功能的主计算机、路由器和多计算机系统。防火墙是指通过利用建立一个网络安全协议,以及通过网络配置、主计算机系统、路由器和身份证的手段来限制计算机的不良访问,通过用户的允许或者用户的设置来起到一个计算机网络的边界防护作用。计算机安全防火墙的功用具体的就像在公用计算机网络和主保护计算机网络之间建立一个隔离墙,这种被动防卫型技术,有明确的界限和服务特点,通过计算机用户的个人设置来完成控制计算机网络访问的功能,达到保障计算机网络安全的作用。
2 防火墙的类型
防火墙技术自创立以来就有不同的类型,并且防火墙技术在日益广泛利用的今天也在不断更新中,但综合目前的各种防火墙技术开放应用来看,计算机网络安全保护防火墙技术主要分为以下几个类型。
2.1 型防火墙
通过服务器的应用,也就是在客户计算机和服务器之间设立服务器,通过的作用,在客户机内部设立防火墙隔离技术,彻底隔离网络内外的直接通讯,建立内外网之间的信息交流屏障,来实现对于计算机网络技术的保护。型服务的特点是可以针对应用层进行扫描,对于基层安全的防护功能也有很强的作用,其作用原理是通过服务器的形式,使得客户机与服务器没有直接的交流,也就是服务器的数据不能直接发给客户,而是通过请求服务器再通过服务器将服务器的数据发给客户机(过程如图1所示)。服务器相对于客户来说是一台真正的服务器,但相对于非服务器来说又是一台客户机,所以服务器本质来说通过具有两重身份的方式来实现客户机与外界网络的交流控制,从而实现客户机的安全防护功能。此类型防火墙的不足之处在于管理起来非常麻烦。
2.2 包过滤防火墙
包过滤型防火墙是一种通过网络客户机内部系统的事先设置逻辑来实现客户机的防护功能,即通过应用相关安全设备对于进出网络的信息数据进行控制和监管,其应用形式主要有两种:一,通过路由器设备进行网络计算机安全防护,将计算机的相关软件应用到客户机的网络工作站,通过对客户机的网络工作站的信息交流筛选和过滤来实现计算机网络的安全防护;二,通过包过滤防火墙对客户机路由器设备的屏蔽来实现客户机网络安全环境的创立。包过滤防火墙通过对网络上的数据包进行分解,解读,对于交流的数据分割成大小不同的数据包,每个数据包都具有不同的内容,主要包目标地址、源地址、源端口和目标端口等等。过滤型防火墙通过读取不同的数据包中的内容来判断这些数据信息的安全性,从而过滤掉不安全的数据信息,来实现对计算机网络安全的保护。
2.3监测型防火墙
检测型防火墙是一种颠覆了旧防火墙技术定义的新产品,是对各层的主动地的即时性分析,通过对各层数据的分析从而判断信息数据的安全与否,从而实现对计算机网络的防护。除此之外,检测型防火墙还在各个网络节点上设置探测器,对不安全的信息数据因素采取隔断处理的措施,来达到计算机网络防护的目的。
3 计算机网络防火墙安全屏障的网络防范技术的应用分析
随着社会人们对于计算机网络安全的要求越来越高,计算机网络防火墙安全屏障的技术压力也越来越大,这个过程中产生的费用成本也是防火墙安全屏障技术现实中应承受的压力之一。一般情况下,商业使用防火墙的要求较高,为了提高使用效率,这个时候可以采用两根ISP的网线路技术,但是这样一来这样的操作就会带来很大的人力和物力投入,也会增加商业使用者的支付成本。所以一般这项技术处于各方面的考虑,以硬件防火墙为主软件防火墙为辅,相辅相成的双管齐下的方式,以达到保护计算机网络安全的目标前提下,同时能节约成本的目标。下面来分别阐述两者的应用分析:
3.1 硬件防火墙
硬件防火墙采用硬件设备内置软件来实现计算机网路技术的防护。硬件防火墙以实物的形式应用现实生活中,虽然其成本较高是人们普遍认为的一个缺点,但是从功能上来看,硬件防火墙可装可卸,硬软件固定搭配的操作系统,管理较为方便,且防火安全效率较高。现在国内的CISCO对于一般的木马、病毒和黑客有着很好的防护作用的同时,还能很好的对客户机网络的邮件传送、上网冲浪和聊天软件进行运行建议和实时防护,是国内商业企业的重要购置对象。而且对于大中型企业也有专门的技术来进行服务,使得商业用途的计算机网络系统有更针对性的保护。
3.2 软件防火墙
软件防火墙指的是只使用软件来对计算机网络进行防护的网路防范技术,一般只是简单地将防火墙软件安装在客户计算机上,其安全性不如硬件防火墙高,而且还具有占据系统资源并影响客户计算机性能的缺点。软件防火墙主要用于个人计算机网络的防护,几乎不用于大范围的计算机网络中。但是这项技术的成本极低以及使用极其简便和一般安全防护能力较强也使得软件防火墙也很受现在客户的欢迎,最经典的例子就是现今被人们普遍使用的360软件防火墙系统,软件防火墙的优点和使用情况在360上得到很好的体现(具体情况如图2所示)。
4 结束语
现如今,计算机网络技术得到了越来越广泛的运用,计算机网络技术也已经成为了人们生活中不可或缺的一部分,人们对计算机网络技术的安全性的要求越来越高,如此一来,防火墙安全屏障的网路防范技术应用的重要性就越来越重要,相信防火墙安全防护技术高速发展的今天,必将给人们的计算机网络的使用带来越来越高的安全感。
参考文献:
[1] 刘坤灿.防火墙深度包检测技术的研究与实现[D].北京邮电大学,2013.
[2] 刘丹婷.基于联动机制的蜜网主机入侵检测系统的研究[D].北京邮电大学,2013.
[3] 郭睿.分布式拒绝服务攻击防御技术研究[D].东北大学,2008.
关键词:计算机;网络安全;防火墙技术
一、计算机网络的安全与攻击
计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。
二、网络安全中的防火墙技术
(一)防火墙技术的基本概念
防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。
(二)防火墙的常用功能构件
它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。
三、防火墙的应用价值
防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:
(一)技术的价值
技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。
(二)过滤技术的价值
过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。
(三)检测技术的价值
检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。
关键词:计算机网络;网络安全;防火墙技术;应用
随着一系列网络安全漏洞事件的发生,人们对网络安全问题也日益重视起来,防火墙技术作为一种新兴的计算机网络保护及时,已经成为了目前在保护计算机网络信息安全中非常重要的一项技术性措施。近年来,随着计算机技术的不断发展和更新,防火墙的更新和发展也十分迅速,本文就从分析防火墙的分类入手,对防火墙的特点以及应用方面进行简要的探讨。
1 防火墙的作用及分类
防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。总的来说,防火墙的基本作用概括为以下几个方面:
(1)可以限制他人进入内部网络,过滤掉不安全服务和非法用户;(2) 防止入侵者接近你的防御设施;(3)限定用户访问特殊站点;(4)为监视Internet安全提供方便。
事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
内部网络所使用的防火墙技术按照防范的方式和侧重点的不同可分为很多种类型,但总体来说可分为三大类:包过滤型(Packet Filtering)、应用型(Application Proxy)防火墙和状态监视器(Stateful Inspection)。
包过滤型防火墙作用在网络层,检查数据流中的每个数据包,并根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。
应用服务器作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监控、过滤、记录和报告应用层通信流的功能。
状态监视器采用了一个在网关上执行网络安全策略的软件引擎,利用抽取相关数据的方法对网络通信的各层实施监测,一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。
2 防火墙技术的特点和缺陷
2.1 包过滤的优缺点
优点:包过滤最为突出的特点就在于其通过一个过滤路由器就实现整个网络的安全保护工作,数据包在进行过滤时,保持对用户的透明性,同时采用该过滤路由器的过滤速度快、效率高。
缺点:包过滤在进行信息过滤时,对于地址欺骗往往缺少有效的识别,无法彻底杜绝不安全访问信息。同时,一部分网络协议不适合过滤包过滤,就导致一部分正常的信息无法通过过滤路由器的过滤而无法正常运行某些安全策略,进而导致无法防范不安全因素以及黑客等共计。另外,包过滤不支持应用层协议,对于新的安全威胁,无法进行处理。
2.2 技术的优缺点
优点:应用网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合的安全策略要求。应用网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。能生成各项记录,能灵活,完全地控制进出的流量、内容;能过滤数据内容,能为用户提供透明的加密机制,可以方便地与其他安全手段集成。
缺点:速度较路由器慢,对用户不透明,对于每项服务可能要求不同的服务器;服务不能保证你免受所有协议弱点的限制,不能改进底层协议的安全性,但是其适应性较弱,逐步被代替。
3 防火墙的应用
用户选择了最适合的防火墙后,还需要正确使用才能发挥出应有效果,否则适得其反。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
由于绝大部分的攻击都来自于Internet,所以安装防火墙的位置是应该是用户内部网络与外部Internet的接口处,这是一切防火墙都必需拥有的基本安全保障功能。不论用户内部网络结构如何,只要与Internet相连接,就会有遭受攻击的可能,就必须在这个接口处把大部分攻击拦截在用户内部网络之外。另外,如果企业用户内部网络规模较大,并且设置有虚拟局域网(VLAN)则应该在各个VLAN之间设置防火墙。一个大型企业内部的各个组成部分之间也会存在大量的数据传输和业务往来,如果不在各个VLAN间设置防火墙的话,来自于内部的攻击(包括内部变节者恶意攻击和使用者的失误)同样能够为企业造成重大损失。
作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,如果防火墙系统被攻破,则被保护的网络处于无保护状态。如果一个企业希望在Internet上开展商业活动,与众多的客户进行通信,则仅靠防火墙不能满足要求,在具体应用防火墙技术时,还要考虑到两个方面:
(1)防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。
(2)防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购里高速路由器,又会大大提高经济预算。
结束语
防火墙技术的原理在于通过阻止黑客或者其他不明访问者的访问信息,从而在网络与外部访问之间建立起一道屏障,在现代网络安全中起着重要的作用。随着计算机网络的普及,网络墙技术的应用范围也将越来越广泛,在保护网络信息完全,防止恶意侵入等方面的作用也将越来越突出。
参考文献
[1]林国庆,张玲.计算机网络安全与防火墙技术[J].榆林学院学报,2007,(2).
[2] 徐辉,陈小永.防火墙技术浅谈[J].安徽电子信息职业技术学院学报,2005,(5).
[3]郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报(社科版),2002,(1).
【关键词】计算机;防火墙;安全应用
前言
计算机网络技术发展迅速,在生活中发挥了重要作用,扮演着重要角色,不仅为人们的生产生活、休闲娱乐带来了便利,还提高了人们的生活质量,但随着时间的推移,计算机网络技术的发展为生活带来了极大的隐患,成为犯罪分子的一种犯罪工具,影响了计算机用户的信息安全、材料安全以及资产安全,基于此,为保障用户资料信息安全及正常生活秩序,安全应用防火墙至关重要。
一、计算机防火墙安全应用现状
根据防火墙的技术原理以及信息处理方式可以将计算机防火墙划分为三类,分别是状态检测防火墙、防火墙以及过滤式防火墙,此三种防火墙在具备显著的优势,同时,存在一定缺陷,为计算机防火墙安全应用埋下了安全隐患,致使计算机防火墙的安全应用现畈蝗堇止邸F湮侍庵饕体现在以下几个方面,首先,计算机防火墙安全应用系统较为落后,无法快速适应手段多样、复杂的网络攻击方式,安全防护效果不佳,在加上网络外部攻击更加智能化,致使计算机安全防护效果更差,无法做到有效防护,对一些隐藏、夹带的网络攻击无法有效监控,也无法检测控制病毒邮件的传播,存在较大的安全隐患。其次,计算机防火墙功能逐步发展,为系统管理增加了负担,同时也制约了计算机防火墙技术的发展,未能有效发挥其安全防护作用,致使内部计算机会遭到攻击,加重网络负担。第三,忽视防火墙的升级改造,使得内部防火墙很难抵御新型攻击,容易为单位造成巨大的损失。第四,病毒入侵关键服务器后,防火墙会失去控制能力,无法阻止病毒扩散,使得病毒将关键服务器成为病毒的集散地,为内部网络造成巨大的危害。
二、提高计算机防火墙安全应用措施
(一)选择恰当的防火墙系统
防火墙系统分为三大类,三者之间各有优势,也各有不足,因而,在选择防火墙系统时不能一概而论,需要选择恰当的防火墙系统,提高安全防护的效果,增强安全性与可靠性,因此,选择恰当的防火墙系统十分重要。选择恰当的防火墙系统需要做到以下几点,第一,根据用户实际需要选择恰当的防火墙系统,用户需要对计算机进行适当的分析与评估,明确自身需求,通过自身需求选择适合自己的防火墙系统,保证计算机防火墙系统较为恰当、合适。第二,注重考察计算机防火墙系统的安全性,计算机防火墙系统的主要功能就是保护计算机系统的安全,避免遭受病毒等网络攻击,维护信息与财产安全,保证系统的正常运行,因而,安全性是选择计算机防火墙系统的关键,不管选择哪类防火墙类型,首先考察的都是计算机防火墙系统的安全性。
(二)加大防火墙技术投入力度
加大技术投入,革新技术是提高计算机防火墙安全应用的主要措施,通过加大技术投入,能够提高防火墙的安全防护作用,保证计算机安全性,使其更能够适应新型病毒攻击,准确进行拦截,因此,加大防火墙技术投入力度十分重要。加大防火墙技术投入力度需要做到以下几点,第一,加大资金投入,通过加大资金投入,能够为技术研发创造条件,提供资金支持,从而保证技术研发的有效进行,促进防火墙技术的革新发展。第二,加大人才投入,人才是研发技术的主体,通过加大人才投入,能够促进技术的革新发展。
(三)更新升级防火墙性能
防火墙性能影响着防火墙的安全防护作用,通过更新升级防火墙性能,可以使防火墙功能不断完善,拦截能力与安全防护能力逐渐增强,发挥出更加重要的作用,因此,更新升级防火墙性能十分重要,更新升级防火墙性能需要做到以下几点,第一,不断研究,了解防火墙出现的问题,以此为基础,进行具有针对性的问题解决与性能革新,提高计算机防火墙的安全防护作用,使其不断发展,满足用户更高层次的需求,促进防火墙性能的更新。第二,针对防火墙系统进行不断测试与维护,与此同时,征求用户的使用意见,进行有针对性的升级,尽量满足用户需求,提高防火墙安全防护能力。
(四)设置网络安全管理平台
安全管理平台在网络管理过程中发挥着重要作用,通过设置安全管理平台,可以对电脑用户进行统一管理与调度,采用集中安全管理措施进行防护,提高防火墙系统的安全性与可靠性,因此,设置网络安全管理平台尤为重要。设置网络安全管理平台需要注意以下几点,第一,对网络安全管理平台进行实时管理与监控,安排专业技术人员进行管理,安全管理平台能够对用户进行统一管理,同样,网络安全管理平台在遭受攻击后,可能会对所有管理的用户造成危害,因此,需要安排专业技术人员进行统一管理,实时监控,保证网络安全管理平台能够正常工作,具有较高的安全性。第二,设置安全事件管理以及安全审计接口,保证安全管理工作的有效实施,通过网络安全管理平台,提高网络安全管理能力。
三、总结
做好计算机防火墙安全应用工作,是维护用户切身利益的基础,是保证用户信息资料财产安全的关键,通过大力发展防火墙技术、升级防火墙性能等措施,可以实现计算机防火墙的安全应用,促进防火墙技术的发展革新,提高网络的安全性与可靠性,具有重要意义与价值。
【参考文献】
关键词:因特网;网络安全;计算机防火墙技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
计算机防火墙是一种获取安全性方法的形象说法,它由硬件设备和软件组合而成、在专用网络和公共网络之间、内部网络和外部网络之间的界面上构造一个保护屏障,使得不同的网络之间建立一个安全网关,以保护内部专门网络,使其免受非法用户的入侵[1]。
计算机防火墙的主要功能有:过滤掉不安全服务和非法用户[2];控制对特殊站点的访问;提供监视Internet安全和预警的方便端点。其功能主要体现在访问控制,内容控制,全面的日志;集中管理,自身的安全和可用性;流量控制,NAT,VPN等方面。
目前防火墙技术正在朝着智能化和分布化的方向发展,其中智能防火墙技术对数据的识别是通过利用记忆、概率、统计和决策的智能方法来进行的,以实现访问控制。智能防火墙采用新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制,可以很好的解决目前存在的网络安全问题。智能防火墙技术是计算机防火墙技术发展的必然趋势[3,4]。
1 计算机防火墙的分类及其原理
计算机防火墙根据工作机制的不同可分为包过滤防火墙、应用型防火墙、网络地址翻译及复合型防火墙。
1.1 包过滤防火墙
包过滤防火墙技术中预先设定有包过滤规则,包过滤防火墙工作在网络层,接收到的每个数据包都要同包过滤规则进行比较,然后决定该数据包是通过还是阻塞。
包过滤防火墙又分为无状态包过滤和有状态检查包过滤。无状态包过滤防火墙是最原始的防火墙,它是根据每个包头部的信息来决定是否要将包继续传输,从而增强安全性。其安全程度相对较低,它的内部网络很容易暴露,进而容易遭受攻击。在通信中,无法维持足够的信息来决定是否应该放弃这个包,因为任何一条不完善的过滤规则都会给网络黑客可乘之机。但是有状态检查包过滤其可以记住经过防火墙的所有通信状态,并依据其记录下来的状态信息数据包的允许与否。动态包过滤防火墙是目前最流行的防火墙技术。
1.2 应用型防火墙
是指服务器利用侦听网络内部客户的服务请求,然后将这些请求发到外部的网络中;当服务器从公共服务器处接收到响应后,其再将响应返回给原始的客户,其与原始的公共服务器所起的作用是一样的[3]。
应用级技术采用在OSI的最高层检查每一个IP包,进而获得安全策略。应用技术虽然在一定程度上保证了网络的安全,但是它对每一种服务都需要,且它工作在协议栈高层,执行效率明显降低,有时会成为网络的瓶颈。
1.3 网络地址翻译
网络地址翻译将专用网络中的ip地址转换成在因特网上使用的全球唯一的公共ip地址。尽管最初设计nat的目的是为了增加在专用网络中可使用的ip地址数,但是它有一个隐蔽的安全特性,如内部主机隐蔽等。这在一定程度上保证了网络安全。nat实际上是一个基本的,一个主机代表内部所有主机发出请求,并代表外部服务器对内部主机进行响应等。但nat工作在传输层,因此它还需要使用低层和高层服务来保证网络的安全。
1.4 复合型防火墙
出于更高安全性的要求,有些开发商常把包过滤的方法与应用的方法结合起来,开发出复合型的防火墙产品,这种复合型的防火墙用以下两种方式实现网络安全维护功能:(1)通过屏蔽主机防火墙体系结构,使分组过滤路由器或防火墙与互联网相连,同时在内部网络安装一个堡垒机,利用对过滤规则的设置,使堡垒机成为互联网上其他网络访问所能到达的唯一节点,确保内部网络不受未授权的外部用户的攻击。(2)通过屏蔽子网防火墙体系结构,将堡垒机安装在一个内部子网内,同时在这一子网的两端安装两个分组过滤路由器,使这一子网与互联网及内部网络分离,进而确保这一子网不受未授权的外部用户的攻击。在结构中,堡垒机和分组过滤路由器共同构成了整个屏蔽子网防火墙体系的安全基础。
2 常见网络攻击方式及网络安全策略
2.1 网络攻击方式
2.1.1 病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒阻止于网络之外,黑客欺骗用户下载某个程序,从而使恶意代码进入到计算机内网。应对策略:设置网络安全等级,对于未经安全检测的下载程序,严格阻止其任务执行[5]。
2.1.2 口令字
穷举与嗅探是口令字的两种攻击方式。穷举是通过外部网络的攻击对防火墙的口令字进行猜测。嗅探通过监测内部网络来获取主机给防火墙的口令字。应对策略:通过设计使主机和防火墙通过单独接口进行通信或是采用一次性口令等。
2.1.3 邮件
借助邮件进行的网络攻击方式日益明显,垃圾邮件的制造者通过复制方式,把一条消息变成几百几万份消息,并将其发送到很多人,当邮件被收到并打开时,恶意代码便进入到计算机系统。应对策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
2.1.4 IP地址
黑客通过利用与内部网络相似的IP地址,能够避开服务器的检测,从而进入到内部网进行攻击。应对策略:打开内核的rp_filter功能,把具有内部地址但是是来自网络外部的数据包全部丢弃;同时把IP地址和计算机的MAC绑定,拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问[5]。
2.2 网络安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保护计算机、服务器、打印机等硬件设备与通信链路不受到人为破坏与搭线攻击等。(2)验证用户身份与使用权限,防止越权操作。(3)为计算机系统提供良好的工作环境。(4)建立安全管理制度,防止发生非法进入计算机控制室以及偷窃破坏活动等[6]。
目前,物理安全的防护措施主要有:(1)传导发射进行防护。如:在信号线与电源线上加装滤波器,使导线与传输阻抗间的交叉耦合减到最小。(2)对辐射进行防护。主要采取电磁屏蔽措施与干扰措施,在计算机系统工作时,通过利用屏蔽装置或者干扰装置来产生一种噪声,该噪声辐射到空中,能够掩盖计算机系统的信息特征与工作频率。
2.2.2 访问控制策略
作为最重要的网络安全策略之一,访问控制是确保网络安全运行的技术策略,其主要任务是指保护网络资源不被非常访问和非法使用。防火墙技术就是网络安全访问控制策略在实践中主要的应用。
2.2.3 网络安全管理策略
为了保证网络安全,除了采用物理安全策略和访问控制策略之外,加强网络的安全管理,制订有关规章制度,对于确保网络安全、可靠地运行,能起到十分有效的作用。
3 结论
随着互联网网络技术的快速发展,网络安全方面的问题必将引起人们越来越多的重视。计算机防火墙技术是用来维护网络安全的一种重要措施和手段,它主要作用是:拒绝未经授权的用户访问相关数据,阻止未经授权的用户存储或下载敏感数据,同时也要确保合法用户访问网络资源不受影响。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。相信,随着新的计算机安全问题的出现和科学技术的进一步发展,计算机防火墙也将获得进一步的改进。
参考文献:
[1] Richard Tibbs, Edward Oakes. 防火墙与VPN原理与实践[M].清华大学出版社,2008.
[2]阎慧.防火墙原理与技术[M].机械工业出版社,2004.
[3]王艳.浅析计算机安全[J].电脑知识与技术,2010,5:1054-1055.
[4]栾江.计算机防火墙发展现状及应用前景[J].信息与电脑,2010,6:17.
[5]周立.计算机防火墙技术原理分析及应用展望[J].硅谷,2008,10:49-50.