论文部分内容阅读
摘要:随着计算机网络技术的飞速发展,计算机网络的应用变得非常广泛,因此,计算机网路的安全问题也就成为了当前网络管理者们最为关注的问题。该文主要分析了目前运用比较广泛的一种计算机网络安全技术—防火墙技术,并将其与入侵检测技术的有效结合,大大提高了网络安全的防御能力。
关键词:防火墙;网络安全;入侵检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)11-2497-02
Research of Firewall Technology in Network Security Application
JIANG Xuan
(Hunan Communication Polytechnic, Changsha 410004,China)
Abstract: With the rapid development of computer network technology, The application of computer network to be very widespread, Therefore, the computer network security has become the current network managers is the most concern.. This paper mainly analyzes the more extensive use of a computer network security technology- firewall, Effective combination of Intrusion Detection Technology technology, Greatly improve the network security defense ability.
Key words: firewall; network security; intrusion detection
随着计算机网络技术的不断发展,其应用领域也变得越来越广泛,几乎渗透到了人们的工作和日常生活当中,给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时,也带来了很大的网络安全隐患。网络安全问题也变得日益严重,每年因网络安全问题带来的损失巨大,网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此,网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术以及如入侵检测技术等,这些网络安全技术是一种基于被动的网络安全技术,主要阻止一些来自外部的网络攻击。防火墙技术是阻止黑客攻击的一道闸门,它能有效的确保网络系统的安全。
1防火墙的相关研究
1.1防火墙的概念
防火墙的英文翻译是Firewall,就像一道墙一样将黑客阻隔在网络系统之外。具体的说,它就是通过部署一些硬件设备和配套的软件系统共同组建一套安全防御系统,将可靠性较高的内部网络与存在安全隐患的外部网络隔离开来,所有的网络入口都必须从这里经过,部署的防火墙系统根据企业的安全策略有效的为信息提供安全服务,因此,防火墙是用来实现网络和信息安全的基础设施。
1.2防火墙的功能
防火墙具有很强的抗攻击能力,其功能也比较多,具体的功能主要有:动态包过滤技术功能、部署网络地址变换、控制不安全的服务、集中的安全保护、加强对网络系统的访问控制、网络连接的日志记录及使用统计以及报警功能等。
1.3防火墙的分类
根据采用技术的不同,可以将防火墙分为四类:包过滤器防火墙、应用代理型防火墙、状态包检测防火墙以及复合型防火墙。包过滤器防火墙的运用主要是在ISO模型中的网络层和传输层,通过对数据包的识别和检测,将满足过滤条件的数据包转发到相应的目的地。应用代理型防火墙主要在ISO模型中的应用层工作,主要是通过对应用服务编制代理程序来实现对应用层通信流的监控。状态包检测防火墙采用一种基于连接的状态检测机制将属于同一连接的数据包作为一个整体,通过规则表与状态表的配合来完成对表中的各个连接状态因素的区分。复合型防火墙以专用集成电路为基础构建,把病毒以及相关的信息内容过滤整合到防火墙中。
2防火墙在网络安全系统中的部署
防火墙主要是防止来自网络外部的攻击,因此,在实际的部署当中,一般都是部署在外部网路和内部网路之间,以便组织来自外部网络的攻击。如果公司或企业的规模较大,比如某些公司内部还设有虚拟局域网,那么就应当在每个虚拟局域网之间来配置第二层防火墙。还有的某些公司总部和分布相隔比较远,需要通过公网连接来共享数据,那么就需要在它们之间部署防火墙。我们可以根据关键区域防火墙的主要功能与边界区域防火墙的功能重点的不同,将各种防御的职能和提供的应用具体分派到内部防火和边界防火墙上,内部防火墙墙重点保护DMZ区域和提供深层次的检测与告警,边界防火墙提高数据过滤和转发的功能。
3防火墙的不足
防火墙虽然能有效的防范外部网络安全威胁,但随着攻击技术的不断更新与发展,单靠防火墙技术很难应付复杂多变的黑客攻击。特别是来自网络内部的攻击,防火墙技术是无能为力。而往往很多网络攻击事件的发生,是由网络内部人员发动的,这些来自网络内部的攻击是防不慎防,因为他们所有的攻击行为并没有通过防火墙,一旦网络中的某些信息被内部人员获取,将很有可能对企业造成巨大的损。除此之外,还有的黑客攻击可以绕过防火墙,直接访问内部网络,防火墙并不会察觉并采取相应的防御措施,因为它只是一种被动的防御手段。防火墙应对病毒的传播也是难以有效控制的,如果网络内部人员通过访问外部网络中含有病毒的数据,防火墙没法识别数据的安全性,而一旦病毒数据进入内部网络,所有的用户都有可能受到病毒的感染,从而给网络安全带来很大的隐患。
4防火墙与入侵检测相结合的网络安全模式
设计一个有效的安全系统,至少需要防护、检测和响应三个部分。这三个部分需要实现基于时间的简单关系。也就是要求检测系统在入侵者尚未突破防御阶段就能检测出入侵者的攻击企图,一旦检测成功,响应部分作出相应的处理。这种模式虽然不能确保有效率达到百分之百,但如果检测足够快,响应足够及时准确,防护系统就能在攻击者入侵系统之前,及时发现并作出相应的保护措施,这样就能做到对整个系统安全的有效防御。我们可以通过防火墙一类的手段来做防护,入侵检测手段来做检测,当网络系统得知入侵检测系统检测到有攻击者入侵时,便会作出相应的反应,这时可以由系统自动或网络管理员手动的方式来针对入侵信息作出有效的防御。也就是说,入侵检测与防火墙的互动运行,可以实现一个比较理想的安全防范体系,有效弥补了传统安全技术不足。在设计的过程当中,并不只是将入侵检测系统和防火墙系统进行简单的叠加,而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点,互相弥补其不足,由入侵检测系统来辅助防火墙系统,具体设计如图1所示。
图1 IDS与防火墙结合设计示意图
5总结
随着防火墙技术的不断发展,其在网络信息安全中的应用领域也会变得越来越广泛,同时,网络安全问题的日益严峻,也对防火墙技术的发展提出了更高的要求。而单靠防火墙技术很难以对于复杂多变的黑客攻击。所以,将防火墙技术与其他网络安全技术的结合运用将是未来网络安全技术的发展趋势,这也是网络安全方面需要做深入研究的重要课题。
参考文献:
[1]祁明.网络安全[M].北京:高等教育出版社,2010.
[2]白以恩.计算机网络基础及应用[M].哈尔滨:哈尔滨工业大学出版,2000.
[3]姚刚.刘继峰.防火墙技术在校园网中的应用[J].漯河职业技术学院学报,2009 (2):21-23.
[4]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息, 2009 (23):28-30.
关键词:防火墙;网络安全;入侵检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)11-2497-02
Research of Firewall Technology in Network Security Application
JIANG Xuan
(Hunan Communication Polytechnic, Changsha 410004,China)
Abstract: With the rapid development of computer network technology, The application of computer network to be very widespread, Therefore, the computer network security has become the current network managers is the most concern.. This paper mainly analyzes the more extensive use of a computer network security technology- firewall, Effective combination of Intrusion Detection Technology technology, Greatly improve the network security defense ability.
Key words: firewall; network security; intrusion detection
随着计算机网络技术的不断发展,其应用领域也变得越来越广泛,几乎渗透到了人们的工作和日常生活当中,给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时,也带来了很大的网络安全隐患。网络安全问题也变得日益严重,每年因网络安全问题带来的损失巨大,网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此,网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术以及如入侵检测技术等,这些网络安全技术是一种基于被动的网络安全技术,主要阻止一些来自外部的网络攻击。防火墙技术是阻止黑客攻击的一道闸门,它能有效的确保网络系统的安全。
1防火墙的相关研究
1.1防火墙的概念
防火墙的英文翻译是Firewall,就像一道墙一样将黑客阻隔在网络系统之外。具体的说,它就是通过部署一些硬件设备和配套的软件系统共同组建一套安全防御系统,将可靠性较高的内部网络与存在安全隐患的外部网络隔离开来,所有的网络入口都必须从这里经过,部署的防火墙系统根据企业的安全策略有效的为信息提供安全服务,因此,防火墙是用来实现网络和信息安全的基础设施。
1.2防火墙的功能
防火墙具有很强的抗攻击能力,其功能也比较多,具体的功能主要有:动态包过滤技术功能、部署网络地址变换、控制不安全的服务、集中的安全保护、加强对网络系统的访问控制、网络连接的日志记录及使用统计以及报警功能等。
1.3防火墙的分类
根据采用技术的不同,可以将防火墙分为四类:包过滤器防火墙、应用代理型防火墙、状态包检测防火墙以及复合型防火墙。包过滤器防火墙的运用主要是在ISO模型中的网络层和传输层,通过对数据包的识别和检测,将满足过滤条件的数据包转发到相应的目的地。应用代理型防火墙主要在ISO模型中的应用层工作,主要是通过对应用服务编制代理程序来实现对应用层通信流的监控。状态包检测防火墙采用一种基于连接的状态检测机制将属于同一连接的数据包作为一个整体,通过规则表与状态表的配合来完成对表中的各个连接状态因素的区分。复合型防火墙以专用集成电路为基础构建,把病毒以及相关的信息内容过滤整合到防火墙中。
2防火墙在网络安全系统中的部署
防火墙主要是防止来自网络外部的攻击,因此,在实际的部署当中,一般都是部署在外部网路和内部网路之间,以便组织来自外部网络的攻击。如果公司或企业的规模较大,比如某些公司内部还设有虚拟局域网,那么就应当在每个虚拟局域网之间来配置第二层防火墙。还有的某些公司总部和分布相隔比较远,需要通过公网连接来共享数据,那么就需要在它们之间部署防火墙。我们可以根据关键区域防火墙的主要功能与边界区域防火墙的功能重点的不同,将各种防御的职能和提供的应用具体分派到内部防火和边界防火墙上,内部防火墙墙重点保护DMZ区域和提供深层次的检测与告警,边界防火墙提高数据过滤和转发的功能。
3防火墙的不足
防火墙虽然能有效的防范外部网络安全威胁,但随着攻击技术的不断更新与发展,单靠防火墙技术很难应付复杂多变的黑客攻击。特别是来自网络内部的攻击,防火墙技术是无能为力。而往往很多网络攻击事件的发生,是由网络内部人员发动的,这些来自网络内部的攻击是防不慎防,因为他们所有的攻击行为并没有通过防火墙,一旦网络中的某些信息被内部人员获取,将很有可能对企业造成巨大的损。除此之外,还有的黑客攻击可以绕过防火墙,直接访问内部网络,防火墙并不会察觉并采取相应的防御措施,因为它只是一种被动的防御手段。防火墙应对病毒的传播也是难以有效控制的,如果网络内部人员通过访问外部网络中含有病毒的数据,防火墙没法识别数据的安全性,而一旦病毒数据进入内部网络,所有的用户都有可能受到病毒的感染,从而给网络安全带来很大的隐患。
4防火墙与入侵检测相结合的网络安全模式
设计一个有效的安全系统,至少需要防护、检测和响应三个部分。这三个部分需要实现基于时间的简单关系。也就是要求检测系统在入侵者尚未突破防御阶段就能检测出入侵者的攻击企图,一旦检测成功,响应部分作出相应的处理。这种模式虽然不能确保有效率达到百分之百,但如果检测足够快,响应足够及时准确,防护系统就能在攻击者入侵系统之前,及时发现并作出相应的保护措施,这样就能做到对整个系统安全的有效防御。我们可以通过防火墙一类的手段来做防护,入侵检测手段来做检测,当网络系统得知入侵检测系统检测到有攻击者入侵时,便会作出相应的反应,这时可以由系统自动或网络管理员手动的方式来针对入侵信息作出有效的防御。也就是说,入侵检测与防火墙的互动运行,可以实现一个比较理想的安全防范体系,有效弥补了传统安全技术不足。在设计的过程当中,并不只是将入侵检测系统和防火墙系统进行简单的叠加,而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点,互相弥补其不足,由入侵检测系统来辅助防火墙系统,具体设计如图1所示。
图1 IDS与防火墙结合设计示意图
5总结
随着防火墙技术的不断发展,其在网络信息安全中的应用领域也会变得越来越广泛,同时,网络安全问题的日益严峻,也对防火墙技术的发展提出了更高的要求。而单靠防火墙技术很难以对于复杂多变的黑客攻击。所以,将防火墙技术与其他网络安全技术的结合运用将是未来网络安全技术的发展趋势,这也是网络安全方面需要做深入研究的重要课题。
参考文献:
[1]祁明.网络安全[M].北京:高等教育出版社,2010.
[2]白以恩.计算机网络基础及应用[M].哈尔滨:哈尔滨工业大学出版,2000.
[3]姚刚.刘继峰.防火墙技术在校园网中的应用[J].漯河职业技术学院学报,2009 (2):21-23.
[4]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息, 2009 (23):28-30.