首页 > 文章中心 > 正文

防火墙网络安全影响因素分析

前言:本站为你精心整理了防火墙网络安全影响因素分析范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。

防火墙网络安全影响因素分析

编者按:本论文主要从包过滤型;网络地址转化—NAT;型;监测型等进行讲述,包括了包过滤型产品是防火墙的初级产品、网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准、型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品、监测型防火墙是新一代产品,这一技术实际已经超越了最初的防火墙定义等,具体资料请见:

【摘要】随着互联网应用的日益普及,网络已成为主要的数据传输和信息交换平台,许多部门和企业在网上构建了关键的业务流程,电子政务和电子商务将成为未来主流的运作模式。网络安全和信息安全是保障网上业务正常进行的关键,并已日益成为网络用户普遍关注的焦点问题。因此,网络安全成为这两年IT业内的热点话题,而防火墙更是热点中的一个焦点。因为,防火墙是企业网络安全的最重要的守护者。

【关键词】防火墙包过滤地址转换—NAT

型和监测型防火墙技术是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。防火墙可以是独立的系统,也可以在一个进行网络互连的路由器上实现防火墙。

用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:屏蔽路由器,又称包过滤防火墙;双穴主机,双穴主机是包过滤网关的一种替代;主机过滤结构,这种结构实际上是包过滤和的结合;屏蔽子网结构,这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。

1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

3型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

4监测型

监测型防火墙是新一代产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数服务器也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。防火墙是一个具有主动性的网络安全模型,是以一个良好的安全策略为起点的。由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该具有主动性眼光,并在第一时刻更新安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。