论文部分内容阅读
摘要:文章主要介绍了防火墙相关的理论知识,包括:防火墙的基本概念、分类、模型和功能,指出了防火墙的发展趋势。
关键词:防火墙技术;网络安全技术;网络技术
1防火墙的基本概念
说起防火墙,我们不得不提这个名词的来源。“防火墙”起源于古代建筑学。那时候人们为了保护房屋,防止发生火灾时火势蔓延,在建造房子时在房子的外围用石块筑起一道墙,并把它命名为防火墙。如今,随着计算机网络的发展,网络攻击手段的相继出现,防火墙一词被引用到计算机网络安全领域,代表一种保护计算机或者网络免受攻击的技术。
防火墙技术是建立在现代网络通信技术和网络安全技术基础上的应用性安全技术,越来越多的应用于专用网络和公用网络的互联环境中。
2防火墙的分类
为了对不同的网络攻击手段进行防御,防火墙也相应的划分出不同的类别。根据物理特性不同,防火墙可以分为软件防火墙和硬件防火墙。其中软件防火墙是一种运行在PC上的软件,价格相对便宜,比较适合个人用户或者对安全要求较低的小型机构;硬件防火墙可以是一个芯片,也可以是一台独立的硬件设备。价格昂贵,适合对安全要求高的企业或者机构组织。
根据技术的不同,防火墙可分为包过滤防火墙、应用代理防火墙和状态检测防火墙。其中,包过滤防火墙采用数据包过滤技术,应用于OSI的网络层和传输层,根据系统内置的过滤规则对数据包进行选择。尽管其缺点显著,比如,一旦过滤规则不能正确实施,包过滤防火墙就不能正常工作,但是由于其价格便宜,容易实现,所以它一直工作在各个领域。应用代理防火墙采用应用协议分析技术,应用于OSI的应用层。它不但能够根据内置的过滤规则对信息来源进行过滤,还能够根据信息内容进行过滤,进一步增强了信息的安全性。它以牺牲速度换取比包过滤防火墙更高的安全性,不过在网络吞吐量不大的时候用户察觉不到它的存在,但是它支撑不住高强度的数据流量,一旦数据交换频繁,整个网络就有瘫痪的可能。相比较包过滤防火墙,它很难有立足之地。状态监视防火墙采用状态监视技术,工作在OSI的网络层、传输层和应用层。该技术是CheckPoint公司基于包过滤防火墙的动态过滤技术发展而来的。该防火墙在不影响网络正常工作的前提下,通过“状态监视”模块,采用抽取相关数据的方法对网络通信的各个层次实行检测,并根据预置的安全规则做出决策。它是包过滤技术和应用协议分析技术的综合。但是由于实现技术复杂,很难部署和实现,所以目前还没有普及。
3防火墙模型
常见的防火墙系统模型有四种,它们分别是筛选路由器模型,单宿主堡垒主机模型,双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。其中筛选路由器模型是网络的第一道防线。其功能是实施对网络数据包的过滤,其通过执行由工作人员创建的相应的过滤策略实现其过滤功能。与此同时,对工作人员的TCP/IP的知识有相当高的要求,因为如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏内部网络的信息,同事也不具备监视和日志记录功能。单宿主堡垒主机又叫屏蔽主机防火墙,由包过滤路由器和堡垒主机组成。其提供的安全等级比筛选路由器模型的防火墙系统要高,因为它实现了内部网络的网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者必须首先渗透两种不同的安全系统,才能破坏内部网络的安全性。双宿主堡垒主机模型又叫屏蔽防火墙系统,可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口,但是主机不能够在两个端口之间直接转发信息。在物理结构上,所有去往内部网络的网络信息包都必须经过堡垒主机。屏蔽子网模型,其由两个包过滤路由器和一个堡垒主机构成。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组、以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。
4防火墙功能
防火墙最基本的功能就是控制数据流在计算机网络不同信任域间的传送。除此以外,他还有其他重要功能。包括策略制定和执行:防火墙通过执行其内置的规则实现对内部计算机或者网络的保护;强化网络安全策略:将口令、加密、身份认证、审计等所有安全软件配置在防火墙上,与分散的安全策略相比,方便管理且更经济;防止内部信息外泄:防火墙把内部网络与外部网络隔离开,把内部网络的重要的、敏感的信息隐藏起来。防止外部网络用户对内网隐私信息的窃取,以增强保密性,同时隐藏内部IP地址及网络结构的细节;记录和统计网络数据流量:对经过防火墙的数据进行记录和分析,从而探测和判断可能的攻击;提供VPN功能:通过防火墙可以实现虚拟专用网络的功能。
5防火墙的发展趋势
与其他安全设备或者安全模块进行互动是新一代防火墙的发展趋势。下一代防火墙将朝着高速、多功能化和更安全的方向发展。多功能化与高速是现有防火墙中的一对矛盾体,采用何种技术使其平衡是有待解决的问题。
人们普遍认为,实现高速防火墙的关键是算法。多功能化的目的是为了满足不同用户组网需求,降低组网的成本。更安全的趋势是与网络信息安全大趋势相一致的。
参考文献
[1]张熙.多域网络安全管理系统策略一致性的研究与设计.北京邮电大学,2009.
[2]吴秀梅,毕烨,王见,傅嘉伟等.防火墙技术及应用教程[M].北京:清华大学出版社,2010.10
关键词:防火墙技术;网络安全技术;网络技术
1防火墙的基本概念
说起防火墙,我们不得不提这个名词的来源。“防火墙”起源于古代建筑学。那时候人们为了保护房屋,防止发生火灾时火势蔓延,在建造房子时在房子的外围用石块筑起一道墙,并把它命名为防火墙。如今,随着计算机网络的发展,网络攻击手段的相继出现,防火墙一词被引用到计算机网络安全领域,代表一种保护计算机或者网络免受攻击的技术。
防火墙技术是建立在现代网络通信技术和网络安全技术基础上的应用性安全技术,越来越多的应用于专用网络和公用网络的互联环境中。
2防火墙的分类
为了对不同的网络攻击手段进行防御,防火墙也相应的划分出不同的类别。根据物理特性不同,防火墙可以分为软件防火墙和硬件防火墙。其中软件防火墙是一种运行在PC上的软件,价格相对便宜,比较适合个人用户或者对安全要求较低的小型机构;硬件防火墙可以是一个芯片,也可以是一台独立的硬件设备。价格昂贵,适合对安全要求高的企业或者机构组织。
根据技术的不同,防火墙可分为包过滤防火墙、应用代理防火墙和状态检测防火墙。其中,包过滤防火墙采用数据包过滤技术,应用于OSI的网络层和传输层,根据系统内置的过滤规则对数据包进行选择。尽管其缺点显著,比如,一旦过滤规则不能正确实施,包过滤防火墙就不能正常工作,但是由于其价格便宜,容易实现,所以它一直工作在各个领域。应用代理防火墙采用应用协议分析技术,应用于OSI的应用层。它不但能够根据内置的过滤规则对信息来源进行过滤,还能够根据信息内容进行过滤,进一步增强了信息的安全性。它以牺牲速度换取比包过滤防火墙更高的安全性,不过在网络吞吐量不大的时候用户察觉不到它的存在,但是它支撑不住高强度的数据流量,一旦数据交换频繁,整个网络就有瘫痪的可能。相比较包过滤防火墙,它很难有立足之地。状态监视防火墙采用状态监视技术,工作在OSI的网络层、传输层和应用层。该技术是CheckPoint公司基于包过滤防火墙的动态过滤技术发展而来的。该防火墙在不影响网络正常工作的前提下,通过“状态监视”模块,采用抽取相关数据的方法对网络通信的各个层次实行检测,并根据预置的安全规则做出决策。它是包过滤技术和应用协议分析技术的综合。但是由于实现技术复杂,很难部署和实现,所以目前还没有普及。
3防火墙模型
常见的防火墙系统模型有四种,它们分别是筛选路由器模型,单宿主堡垒主机模型,双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。其中筛选路由器模型是网络的第一道防线。其功能是实施对网络数据包的过滤,其通过执行由工作人员创建的相应的过滤策略实现其过滤功能。与此同时,对工作人员的TCP/IP的知识有相当高的要求,因为如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏内部网络的信息,同事也不具备监视和日志记录功能。单宿主堡垒主机又叫屏蔽主机防火墙,由包过滤路由器和堡垒主机组成。其提供的安全等级比筛选路由器模型的防火墙系统要高,因为它实现了内部网络的网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者必须首先渗透两种不同的安全系统,才能破坏内部网络的安全性。双宿主堡垒主机模型又叫屏蔽防火墙系统,可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口,但是主机不能够在两个端口之间直接转发信息。在物理结构上,所有去往内部网络的网络信息包都必须经过堡垒主机。屏蔽子网模型,其由两个包过滤路由器和一个堡垒主机构成。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组、以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。
4防火墙功能
防火墙最基本的功能就是控制数据流在计算机网络不同信任域间的传送。除此以外,他还有其他重要功能。包括策略制定和执行:防火墙通过执行其内置的规则实现对内部计算机或者网络的保护;强化网络安全策略:将口令、加密、身份认证、审计等所有安全软件配置在防火墙上,与分散的安全策略相比,方便管理且更经济;防止内部信息外泄:防火墙把内部网络与外部网络隔离开,把内部网络的重要的、敏感的信息隐藏起来。防止外部网络用户对内网隐私信息的窃取,以增强保密性,同时隐藏内部IP地址及网络结构的细节;记录和统计网络数据流量:对经过防火墙的数据进行记录和分析,从而探测和判断可能的攻击;提供VPN功能:通过防火墙可以实现虚拟专用网络的功能。
5防火墙的发展趋势
与其他安全设备或者安全模块进行互动是新一代防火墙的发展趋势。下一代防火墙将朝着高速、多功能化和更安全的方向发展。多功能化与高速是现有防火墙中的一对矛盾体,采用何种技术使其平衡是有待解决的问题。
人们普遍认为,实现高速防火墙的关键是算法。多功能化的目的是为了满足不同用户组网需求,降低组网的成本。更安全的趋势是与网络信息安全大趋势相一致的。
参考文献
[1]张熙.多域网络安全管理系统策略一致性的研究与设计.北京邮电大学,2009.
[2]吴秀梅,毕烨,王见,傅嘉伟等.防火墙技术及应用教程[M].北京:清华大学出版社,2010.10