论文部分内容阅读
【摘 要】随着计算机网络的普及,技术的发展,网络信息安全已日益引起人们的高度重视。防火墙的应用可以准确发现变种恶意软件等未知威胁,来有效的保护我们的网络安全。
【关键词】防火墙;网络安全;技术趋势等
一、防火墙的基本概念
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是提供信息安全服务,实现网络和信息安全的基础设施。在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
防火墙其实是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全,同时,防火墙在威胁检测的基础上,有着风险与威胁的可视化、策略联动实时风险减缓等功能,从而使安全防护增加,更有效的防止外来黑客对网络的攻击与破坏。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
二、防火墙的作用
根据不同的需要,防火墙的功能作用可分为以下四点:
(一)防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。
(二)防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
(三)对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(四)防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、常见防火墙类型
我们这里最常见的两大类型是:分组过滤防火墙和应用代理防火墙。
(一)分组过滤( Packet filtering ):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
(二)应用代理(Application Proxy ):也叫应用网关(Application Gateway ), 它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
四、防火墙发展的新技术趋势
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点,作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。作为保护网络边界的安全产品,防火墙技术也已经逐步成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来,面对未来高端防火墙的发展趋势,无论是从用户还是产品供应商,都不可避免的推向了一种对新型防火墙技术需求的角度。
防火墙技术的发展离不开社会需求的变化,着眼未来,为了能更好的提高防火墙的性能,我们注意到以下几个需求。
(一)管理接口和SOC的整合。如果把信息安全技术看作是一个整体行为的话,那么面对防火墙未来的发展趋势,管理接口和SOC整合也必须考虑在内,毕竟安全是一个整体,而不是靠单一产品所能解决的。
(二)抗DOS能力。从近年来网络恶性攻击事件情况分析来看,解决DOS攻击也是防火墙必须要考虑的问题了。利用ASIC芯片架构的防火墙,可以利用自身处理网络流量速度快的能力,来解决存在于这个问题上的攻击事件。但是,解决这个问题并不是单单靠ASIC芯片架构就可以的,更多的还是面向对应用层攻击的问题,有待于新技术的出现。
(三)减慢蠕虫和垃圾邮件的传播速度的功能。网络的快速发展,已经成了病毒滋生的温床,而垃圾邮件的出现,更加扩大了网络安全威胁的风险。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。
(四)对入侵行为的智能切断。安全是一个动态的过程,而对于入侵行为的预见和智能切断,作为边界安全设备的防火墙来说,也是未来发展的一个大问题。
(五)多端口并适合靈活配置。多端口的防火墙能为用户更好的提供安全解决方案,而作为多端口、灵活配置的防火墙,也是未来防火墙技术的趋势。
目前,随着新技术的发展,混合使用的一些新技术的防火墙正向我们走来,当然,防火墙本身也有其局限性,即不经过防火墙的入侵,防火墙则是无能为力的,如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户,则会造成安全隐患。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取相应的安全策略。
参考文献:
[1]胡建伟主编.《网络安全与保密》.西安电子科技大学出版社.
[2]石志国,薛为民,江俐编著.《计算机网络安全教程》.清华大学出版社.
[3]《中国电脑教育报》社编.《中国电脑教育报》 .
【关键词】防火墙;网络安全;技术趋势等
一、防火墙的基本概念
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是提供信息安全服务,实现网络和信息安全的基础设施。在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
防火墙其实是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全,同时,防火墙在威胁检测的基础上,有着风险与威胁的可视化、策略联动实时风险减缓等功能,从而使安全防护增加,更有效的防止外来黑客对网络的攻击与破坏。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
二、防火墙的作用
根据不同的需要,防火墙的功能作用可分为以下四点:
(一)防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。
(二)防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
(三)对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(四)防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、常见防火墙类型
我们这里最常见的两大类型是:分组过滤防火墙和应用代理防火墙。
(一)分组过滤( Packet filtering ):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
(二)应用代理(Application Proxy ):也叫应用网关(Application Gateway ), 它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
四、防火墙发展的新技术趋势
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点,作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。作为保护网络边界的安全产品,防火墙技术也已经逐步成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来,面对未来高端防火墙的发展趋势,无论是从用户还是产品供应商,都不可避免的推向了一种对新型防火墙技术需求的角度。
防火墙技术的发展离不开社会需求的变化,着眼未来,为了能更好的提高防火墙的性能,我们注意到以下几个需求。
(一)管理接口和SOC的整合。如果把信息安全技术看作是一个整体行为的话,那么面对防火墙未来的发展趋势,管理接口和SOC整合也必须考虑在内,毕竟安全是一个整体,而不是靠单一产品所能解决的。
(二)抗DOS能力。从近年来网络恶性攻击事件情况分析来看,解决DOS攻击也是防火墙必须要考虑的问题了。利用ASIC芯片架构的防火墙,可以利用自身处理网络流量速度快的能力,来解决存在于这个问题上的攻击事件。但是,解决这个问题并不是单单靠ASIC芯片架构就可以的,更多的还是面向对应用层攻击的问题,有待于新技术的出现。
(三)减慢蠕虫和垃圾邮件的传播速度的功能。网络的快速发展,已经成了病毒滋生的温床,而垃圾邮件的出现,更加扩大了网络安全威胁的风险。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。
(四)对入侵行为的智能切断。安全是一个动态的过程,而对于入侵行为的预见和智能切断,作为边界安全设备的防火墙来说,也是未来发展的一个大问题。
(五)多端口并适合靈活配置。多端口的防火墙能为用户更好的提供安全解决方案,而作为多端口、灵活配置的防火墙,也是未来防火墙技术的趋势。
目前,随着新技术的发展,混合使用的一些新技术的防火墙正向我们走来,当然,防火墙本身也有其局限性,即不经过防火墙的入侵,防火墙则是无能为力的,如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户,则会造成安全隐患。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取相应的安全策略。
参考文献:
[1]胡建伟主编.《网络安全与保密》.西安电子科技大学出版社.
[2]石志国,薛为民,江俐编著.《计算机网络安全教程》.清华大学出版社.
[3]《中国电脑教育报》社编.《中国电脑教育报》 .