论文部分内容阅读
【摘要】随着计算机用户群的日益增长与Internet的普及,防火墙技术作为保障网络安全的第一道屏障,越来越多的受到人们的关注。本文从防火墙的概念入手,主要分析防火墙的类型、功能及防火墙在当今网络环境中存在的不足。
【关键词】防火墙 屏障 过滤
【中图分类号】TP393 【文献标识码】A 【文章编号】2095-3089(2012)10-0232-01
一、防火墙简介
所谓防火墙是指由软件和硬件设备组合而成、在内部网和外部网、专用网与公共网的界面上构造的一道保护屏障。其设计思想是在两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重定向经过防火墙的数据流,实现对内部网服务和访问的安全审计和控制。
防火墙的基本特性:
★内部网和外部网间的所有网络数据流必须经过防火墙。
★只有符合安全策略的数据流才能通过防火墙。
★防火墙自身应具有非常强的抗攻击能力。
二、防火墙的分类
1.从软、硬件形式分:软件防火墙、硬件防火墙、芯片级防火墙。
软件防火墙:俗称“个人防火墙”,目前使用最多,运行于特定的计算机上(往往是整个网络的网关),需要操作系统的支持,与其它软件产品一样,需在计算机上安装并做好配置。
硬件防火墙:硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
这里说的硬件防火墙是指“所谓的硬件防火墙”。所谓二字是针对芯片级防火墙而言。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,即与普通家用的PC没有太大区别。
芯片级防火墙:基于专用的硬件平台,没有操作系统。专有的ASIC芯片使它们比其他防火墙速度更快,处理能力更强,性能更高。
2.按防火墙的部署位置分类,防火墙可以分为:边界防火墙、个人防火墙、混合式防火墙。
边界防火墙:边界防火墙最为传统,它位于内外网的边界,所起的作用是对内、外部网络实施隔离,这类防火墙一般都是硬件类型,价格较贵,性能较好。
个人防火墙:安装于单台主机中,防护的是单台主机,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙:就是“分布式防火墙”和“嵌入式防火墙”,它是一整套防火墙系统,由若干软件和硬件组件组成,分布于内、外部网络边界和内部主机之间,既对内外网之间的通信进行过滤,又对网络内部各主机之间的通信进行过滤,性能最好,价格也最贵。
3.从防火墙体系结构上,可以分为包过滤防火墙和代理服务器防火墙。
包过滤防火墙:工作在OSI参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。
代理服务器防火墙:工作在OSI的应用层,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。
三、防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
1.中化的安全管理,强化安全策略
由于Internet上每天都有上百万人收集、交换信息,不可避免地会出现个别品德不良、违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许符合规则的请求通过。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。若将网络安全问题分散到各个主机上,防火墙的集中安全管理显然更经济。
2.网络日志及使用统计
防火墙是所有信息出入的必经之路,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问和网络使用情况进行统计。若发生可疑动作,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等是非常重要的。
3.保护那些易受攻击的服务
防火墙能够将网络中一个网段与另一个网段隔开,这样可以防止一个网段的问题通过整个网络传播而成为整个网络的问题。
4.增强保密
防火墙能够封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不用提供给Internet。
5.实施安全策略
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒之门外。
四、防火墙的局限性
1.不能防范来自内部的恶意攻击
防火墙不能防止专用网内部用户对资源的攻击。防火墙可以禁止系统用户经过网络连接发送专有的信息,但对于复制到磁盘、磁带上,放在公文包中带走,防火墙也无能为力。
2.不能防范不通过它的连接
防火墙能够有效地检查通过它进行传输信息,然而却无法保护不通过它而传输的信息。如果网络中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。
3.防火墙不能防范病毒
一般防火墙不对专用网提供防护外部病毒的侵犯功能。病毒可以通过FTP或其它工具传至专用网。要实现这种防护,防火墙中必须设置检测病毒的逻辑。
4.不能防备全部的威胁
防火墙用来防备已知的威胁,但没有一个防火墙能自动防御所有新的威胁。
总之,防火墙虽然可以在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,这是防火墙所不能代替的。
五、小结
防火墙作为维护网络安全的关键设备,在目前采用的网络安全防范体系中,其地位举足轻重。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个人都会遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,日益严峻的网络安全问题也要求防火墙技术有更快的提高,否则在面对新一轮网络入侵手法时便会束手无策。明天的防火墙技术将会如何发展,始终是一个新的研究课题。
作者简介:
浪花(1977年2月-),女,甘肃临洮人,兰州商学院长青学院,讲师,研究方向:计算机程序设计。
任佩剑(1983年12月-),女,河南人,兰州商学院长青学院,讲师,研究方向:计算机网络。
【关键词】防火墙 屏障 过滤
【中图分类号】TP393 【文献标识码】A 【文章编号】2095-3089(2012)10-0232-01
一、防火墙简介
所谓防火墙是指由软件和硬件设备组合而成、在内部网和外部网、专用网与公共网的界面上构造的一道保护屏障。其设计思想是在两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重定向经过防火墙的数据流,实现对内部网服务和访问的安全审计和控制。
防火墙的基本特性:
★内部网和外部网间的所有网络数据流必须经过防火墙。
★只有符合安全策略的数据流才能通过防火墙。
★防火墙自身应具有非常强的抗攻击能力。
二、防火墙的分类
1.从软、硬件形式分:软件防火墙、硬件防火墙、芯片级防火墙。
软件防火墙:俗称“个人防火墙”,目前使用最多,运行于特定的计算机上(往往是整个网络的网关),需要操作系统的支持,与其它软件产品一样,需在计算机上安装并做好配置。
硬件防火墙:硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
这里说的硬件防火墙是指“所谓的硬件防火墙”。所谓二字是针对芯片级防火墙而言。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,即与普通家用的PC没有太大区别。
芯片级防火墙:基于专用的硬件平台,没有操作系统。专有的ASIC芯片使它们比其他防火墙速度更快,处理能力更强,性能更高。
2.按防火墙的部署位置分类,防火墙可以分为:边界防火墙、个人防火墙、混合式防火墙。
边界防火墙:边界防火墙最为传统,它位于内外网的边界,所起的作用是对内、外部网络实施隔离,这类防火墙一般都是硬件类型,价格较贵,性能较好。
个人防火墙:安装于单台主机中,防护的是单台主机,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙:就是“分布式防火墙”和“嵌入式防火墙”,它是一整套防火墙系统,由若干软件和硬件组件组成,分布于内、外部网络边界和内部主机之间,既对内外网之间的通信进行过滤,又对网络内部各主机之间的通信进行过滤,性能最好,价格也最贵。
3.从防火墙体系结构上,可以分为包过滤防火墙和代理服务器防火墙。
包过滤防火墙:工作在OSI参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。
代理服务器防火墙:工作在OSI的应用层,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。
三、防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
1.中化的安全管理,强化安全策略
由于Internet上每天都有上百万人收集、交换信息,不可避免地会出现个别品德不良、违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许符合规则的请求通过。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。若将网络安全问题分散到各个主机上,防火墙的集中安全管理显然更经济。
2.网络日志及使用统计
防火墙是所有信息出入的必经之路,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问和网络使用情况进行统计。若发生可疑动作,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等是非常重要的。
3.保护那些易受攻击的服务
防火墙能够将网络中一个网段与另一个网段隔开,这样可以防止一个网段的问题通过整个网络传播而成为整个网络的问题。
4.增强保密
防火墙能够封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不用提供给Internet。
5.实施安全策略
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒之门外。
四、防火墙的局限性
1.不能防范来自内部的恶意攻击
防火墙不能防止专用网内部用户对资源的攻击。防火墙可以禁止系统用户经过网络连接发送专有的信息,但对于复制到磁盘、磁带上,放在公文包中带走,防火墙也无能为力。
2.不能防范不通过它的连接
防火墙能够有效地检查通过它进行传输信息,然而却无法保护不通过它而传输的信息。如果网络中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。
3.防火墙不能防范病毒
一般防火墙不对专用网提供防护外部病毒的侵犯功能。病毒可以通过FTP或其它工具传至专用网。要实现这种防护,防火墙中必须设置检测病毒的逻辑。
4.不能防备全部的威胁
防火墙用来防备已知的威胁,但没有一个防火墙能自动防御所有新的威胁。
总之,防火墙虽然可以在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,这是防火墙所不能代替的。
五、小结
防火墙作为维护网络安全的关键设备,在目前采用的网络安全防范体系中,其地位举足轻重。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个人都会遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,日益严峻的网络安全问题也要求防火墙技术有更快的提高,否则在面对新一轮网络入侵手法时便会束手无策。明天的防火墙技术将会如何发展,始终是一个新的研究课题。
作者简介:
浪花(1977年2月-),女,甘肃临洮人,兰州商学院长青学院,讲师,研究方向:计算机程序设计。
任佩剑(1983年12月-),女,河南人,兰州商学院长青学院,讲师,研究方向:计算机网络。