论文部分内容阅读
【摘 要】随着计算机技术的不断发展,现如今计算机是人们日常工作、学习和生活不可缺少的工具。正因为如此,在信息处理能力提高的同时,系统的连接能力也在不断的提高,网络连接的安全问题也日益突出。为了保护Internet的安全问题从而提出了防火墙技术。防火墙技术的使用,为数据和资源提供了可靠保障。本文主要对防火墙技术在计算机网络安全中的应用进行了探讨。
【关键字】安全;防火墙;互联网
引言
随着Internet的迅猛发展网络无所不在,越来越多的用户认识到Internet的发展。互联网的发展为全球实现资源和信息共享提供了方便,计算机网络的资源共享进一步加强。于此同时信息的安全问题也日益突出,对网络的安全提出了新的挑战,网络安全引起了各国、各行业的高度重视,所以迫切需要一种行之有效的解决方法。为了保证网络的安全,提出了防火墙是当今广泛采用而且比较可行的一种网络安全技术。
1、计算机网络安全概述
21世纪全世界的计算机都将通过Internet联接到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成无处不在。一个安全的计算机网络应具有完整性、可用性、保密性、真实性、可靠性和不可否认性,因此网络安全涉及各方面的问题。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系[1]。防火墙技术是网络安全最常用、最基础的技术之一,所以人们应该多了解一些防火墙技术,用它来防御网络中的各种威胁,将威胁隔绝在外。
2、防火墙的概念及功能
2.1 防火墙概念
防火墙是一种网络防护设备,是由硬件和软件设备组合而成,是一种隔离技术,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
2.2 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。最终目标是根据最少特权原则提供受控连通性在不同水平的信任区域的运行能够通过安全政策。
(1)过滤掉不合法的服务和用户。
(2)对网络进行安全性审计。
(3)防止内部信息的外泄。
(4)强化安全策略,管理进出网络的访问。
3、防火墙技术的分类及其应用
防火墙是一种网络防护设备,具有防外不防内的特点,随着防火墙技术的发展,现有防火墙不仅对外部网络发出的通信连接进行过滤,对内部网络用户发出的连接请求和数据包同样需要过滤,但是防火墙仍只允许符合安全策略的通信通过。为了达到安全防御的功能,必须使内部网络和外部网络之间的所有数据流都经过防火墙,并且只有符合防火墙规则设置的数据流才能通过防火墙。防火墙本身要有非常强的抗攻击能力和自我免疫能力,这是经过多年来防火墙发展和更新的结晶[2]。
3.1 包过滤型
包过滤型防火墙是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以数据“包”为单位进行传输的,网络中的数据被分割成为一定大小的数据包,其中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,如果一旦发现来自危险站点的数据包,防火墙便会拒绝转发这些数据将其拒之门外。
包过滤型防火墙的优点是简单实用,成本低,能够用较小的代价保证系统的安全。其缺点是只能根据数据包的源、目的地址和端口等信息来进行判断,无法辨别来自应用层的恶意入侵。
3.2 代理型
代理型防火墙也可以称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者之间的数据交换。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。如果当客户机和服务器上的数据进行交换时,首先把信息发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传送给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害行为也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,应对应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,,而且客户机可能产生的所有应用类型需要逐一进行设置, 增大了系统管理的复杂性。
3.3 监测型
监测型防火墙是新一代的产品,这一技术已经超越了最初的防火墙定义。监测型防火墙能够对计算机各层的数据进行主动的、实时的监测,并且加以分析,监测型防火墙能够有效地判断出各层中的非法侵入[3]。同时,这种防火墙产品还带有分布式探测器,这些探测器放置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时还可以对来自内部的恶意破坏也有极强的防范作用。
据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自于网络内部。因此,监测型防火墙不仅仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 。
虽然监测型防火墙安全性上已经超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,而且也不易管理,所以目前在实用中的防火墙产品仍以第二代代理型产品为主,但在某些方面也已经开始用监测型防火墙。
结束语
随着Internet在我国的不断发展,网络安全问题越来越得到重视,防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙技术的一些研究,还对国外的信息安全和防火墙技术的发展进行了密切的关注,以便能够更快的掌握这方面的信息,更早的应用到我们的网络上面。当然,我们从防火墙上的研究可以得知,防火墙是维护网络安全的第一道防线,它被大家公认为是威力最大、效果最好的有利保护措施,可以说防火墙已经成为保障计算机网络安全必不可缺的工具,因此得到了广泛的应用,于此同时,随着计算机网络技术的不断发展,防火墙技术还处在一个发展阶段,仍有许多问题有待解决。
【关键字】安全;防火墙;互联网
引言
随着Internet的迅猛发展网络无所不在,越来越多的用户认识到Internet的发展。互联网的发展为全球实现资源和信息共享提供了方便,计算机网络的资源共享进一步加强。于此同时信息的安全问题也日益突出,对网络的安全提出了新的挑战,网络安全引起了各国、各行业的高度重视,所以迫切需要一种行之有效的解决方法。为了保证网络的安全,提出了防火墙是当今广泛采用而且比较可行的一种网络安全技术。
1、计算机网络安全概述
21世纪全世界的计算机都将通过Internet联接到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成无处不在。一个安全的计算机网络应具有完整性、可用性、保密性、真实性、可靠性和不可否认性,因此网络安全涉及各方面的问题。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系[1]。防火墙技术是网络安全最常用、最基础的技术之一,所以人们应该多了解一些防火墙技术,用它来防御网络中的各种威胁,将威胁隔绝在外。
2、防火墙的概念及功能
2.1 防火墙概念
防火墙是一种网络防护设备,是由硬件和软件设备组合而成,是一种隔离技术,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
2.2 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。最终目标是根据最少特权原则提供受控连通性在不同水平的信任区域的运行能够通过安全政策。
(1)过滤掉不合法的服务和用户。
(2)对网络进行安全性审计。
(3)防止内部信息的外泄。
(4)强化安全策略,管理进出网络的访问。
3、防火墙技术的分类及其应用
防火墙是一种网络防护设备,具有防外不防内的特点,随着防火墙技术的发展,现有防火墙不仅对外部网络发出的通信连接进行过滤,对内部网络用户发出的连接请求和数据包同样需要过滤,但是防火墙仍只允许符合安全策略的通信通过。为了达到安全防御的功能,必须使内部网络和外部网络之间的所有数据流都经过防火墙,并且只有符合防火墙规则设置的数据流才能通过防火墙。防火墙本身要有非常强的抗攻击能力和自我免疫能力,这是经过多年来防火墙发展和更新的结晶[2]。
3.1 包过滤型
包过滤型防火墙是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以数据“包”为单位进行传输的,网络中的数据被分割成为一定大小的数据包,其中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,如果一旦发现来自危险站点的数据包,防火墙便会拒绝转发这些数据将其拒之门外。
包过滤型防火墙的优点是简单实用,成本低,能够用较小的代价保证系统的安全。其缺点是只能根据数据包的源、目的地址和端口等信息来进行判断,无法辨别来自应用层的恶意入侵。
3.2 代理型
代理型防火墙也可以称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者之间的数据交换。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。如果当客户机和服务器上的数据进行交换时,首先把信息发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传送给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害行为也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,应对应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,,而且客户机可能产生的所有应用类型需要逐一进行设置, 增大了系统管理的复杂性。
3.3 监测型
监测型防火墙是新一代的产品,这一技术已经超越了最初的防火墙定义。监测型防火墙能够对计算机各层的数据进行主动的、实时的监测,并且加以分析,监测型防火墙能够有效地判断出各层中的非法侵入[3]。同时,这种防火墙产品还带有分布式探测器,这些探测器放置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时还可以对来自内部的恶意破坏也有极强的防范作用。
据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自于网络内部。因此,监测型防火墙不仅仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 。
虽然监测型防火墙安全性上已经超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,而且也不易管理,所以目前在实用中的防火墙产品仍以第二代代理型产品为主,但在某些方面也已经开始用监测型防火墙。
结束语
随着Internet在我国的不断发展,网络安全问题越来越得到重视,防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙技术的一些研究,还对国外的信息安全和防火墙技术的发展进行了密切的关注,以便能够更快的掌握这方面的信息,更早的应用到我们的网络上面。当然,我们从防火墙上的研究可以得知,防火墙是维护网络安全的第一道防线,它被大家公认为是威力最大、效果最好的有利保护措施,可以说防火墙已经成为保障计算机网络安全必不可缺的工具,因此得到了广泛的应用,于此同时,随着计算机网络技术的不断发展,防火墙技术还处在一个发展阶段,仍有许多问题有待解决。