论文部分内容阅读
摘要:随着Internet 快速发展,网络中遇到的问题也跟随着一同发展。Internet虽然为人们提供了广泛的信息资源共享环境,但同时它也带来了信息被破坏等不安全因素。网络的安全问题已经成为网络互联技术中最为关键的问题。本文重点对网络防火墙技术的分类、其主要技术特征、网络防火墻的基本功能与防火墙安全技术分析进行论述。
关键词:网络安全;防火墙;技术特征
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务、电子货币、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
一、防火墙的概念与目的
只要用过计算机的人就应该知道,这里说的防火墙不是真的用来防火的墙,而是网络与网络之间的一种防御系统。是用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
在互联网上防火墙服务于多个目的:1、限定访问控制点2、防止侵入者侵入3、限定离开控制点4、有效地阻止破坏者对计算机系统进行破坏。
二、防火墙的主要技术
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。
1、包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
2、应用网关技术
应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
3、代理服务器技术
代理服务器作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。一些协议(如Telnet、SMTP)能更有效地处理数据包过滤,而另一些(如FTP、Gopher、WWW)能更有效地处理代理。大多数防火墙将数据包过滤和代理服务器结合起来使用。
四、防火墙的主要功能
防火墙一般有以下主要功能:
1、实时监测和保护对所有服务请求进行过滤,一旦发现未经授权的服务请求,则立即给出提示或拒绝,从而防止恶意连接,防止蠕虫等网络病毒的入侵,防止DDoS等网络攻击。
2、数据包过滤监控流入流出的数据包,屏蔽掉可疑的数据包。
3、 隐藏电脑端口将大部分端口及具有唯一性的IP地址隐藏起来,以减少黑客入侵的机会。
4、完整的访问记录防火墙都具有功能,它可以记录自己监听到的一切信息。用户可以从中分析出攻击的来源、时间等。
5、统计功能提供用户关心的与网络有关的统计资料。
六、防火墙的安全技术分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,我对以下两点有了新的认识。
1、正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤: a. 风险分析;b. 需求分析;c. 确立安全政策; d. 选择准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2、需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数据通行;d.关闭并允许所有的数据通行。
六、结束语
随着Internet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。■
参考文献
[1]网络安全基础 张 宏 编写 机械工业出版社
[2]计算机网络安全技术 蔡立军 编写 中国水利水电出版社
关键词:网络安全;防火墙;技术特征
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务、电子货币、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
一、防火墙的概念与目的
只要用过计算机的人就应该知道,这里说的防火墙不是真的用来防火的墙,而是网络与网络之间的一种防御系统。是用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
在互联网上防火墙服务于多个目的:1、限定访问控制点2、防止侵入者侵入3、限定离开控制点4、有效地阻止破坏者对计算机系统进行破坏。
二、防火墙的主要技术
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。
1、包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
2、应用网关技术
应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
3、代理服务器技术
代理服务器作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。一些协议(如Telnet、SMTP)能更有效地处理数据包过滤,而另一些(如FTP、Gopher、WWW)能更有效地处理代理。大多数防火墙将数据包过滤和代理服务器结合起来使用。
四、防火墙的主要功能
防火墙一般有以下主要功能:
1、实时监测和保护对所有服务请求进行过滤,一旦发现未经授权的服务请求,则立即给出提示或拒绝,从而防止恶意连接,防止蠕虫等网络病毒的入侵,防止DDoS等网络攻击。
2、数据包过滤监控流入流出的数据包,屏蔽掉可疑的数据包。
3、 隐藏电脑端口将大部分端口及具有唯一性的IP地址隐藏起来,以减少黑客入侵的机会。
4、完整的访问记录防火墙都具有功能,它可以记录自己监听到的一切信息。用户可以从中分析出攻击的来源、时间等。
5、统计功能提供用户关心的与网络有关的统计资料。
六、防火墙的安全技术分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,我对以下两点有了新的认识。
1、正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤: a. 风险分析;b. 需求分析;c. 确立安全政策; d. 选择准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2、需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数据通行;d.关闭并允许所有的数据通行。
六、结束语
随着Internet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。■
参考文献
[1]网络安全基础 张 宏 编写 机械工业出版社
[2]计算机网络安全技术 蔡立军 编写 中国水利水电出版社