论文部分内容阅读
摘 要: 由于Internet的日益商业化和社会化,人们对Internet网络信息的安全性越来越关注。然而,绝对安全的计算机是根本不存在的,绝对安全的网络也是不可能的。随着网络经济和网络社会时代的到来,网络达到无处不有、无所不用的境地。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为,实施对网络安全的有效管理。
关键词: 计算机网络 网络安全 防火墙技术
所谓防火墙,就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。它的实现有多种形式,有些实现是很复杂的,但基本原理原理很简单。如你可以把它想象成一对开关,一个开关用来阻止传输,另一个开关用来允许传输。换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。当然,防火墙不仅用于某个网络与因特网的隔离,而且可用于网络中部门网络之间的隔离。
1.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录相关的连接来源、服务器提供的通信量及试图闯入者的任何企图,以方便管理员监测和跟踪,防火墙本身必须免于渗透。
2.防火墙在网络安全中的作用
一般来说,防火墙具有以下几种功能:
(1)防火墙是网络安全的屏障,防止非法用户进入内部网络。
(2)防止内部信息的外泄,很方便地监视网络的安全性,并报警。
(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来解决地址空间短缺的问题。
(4)可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度讲,这就是所谓的停火区(DMZ)。
3.防火墙的分类
(1)包过滤型防火墙,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
(2)代理服务器型防火墙。代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,代替网络用户发挥特定的TCP/IP功能。一个代理服务器实际上就是一个为特定网络应用而连接两个网络的网关。
(3)复合型防火墙。由于对更高安全性的要求,通常把数据包过滤与代理服务系统的功能和特点综合起来,构成复合型防火墙系统,所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其优缺点。当前的防火墙产品已不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
4.网络防火墙的设计
(1)设计防火墙系统的拓扑结构。在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造及重要的资源的保护等方面加以考虑,以完善防火墙系统的拓扑结构。
(2)制定网络安全策略。在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此,网络安全的第一条策略是拒绝一切未许可的服务,防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
(3)确定包过滤规则。包过滤规则以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
(4)设计代理服务。代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,因此可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,增强网络安全性,解决包过滤所不能解决的问题。
(5)严格定义功能模块,分散实现。
(6)防火墙维护和管理方案的考虑。防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。因此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络及其信息的安全性。
参考文献:
[1]蔡立军.计算机网络安全技术.中国水利水电出版社,2002.
[2]雷震甲.网络工程师教程.清华大学出版社,2004.
关键词: 计算机网络 网络安全 防火墙技术
所谓防火墙,就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。它的实现有多种形式,有些实现是很复杂的,但基本原理原理很简单。如你可以把它想象成一对开关,一个开关用来阻止传输,另一个开关用来允许传输。换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。当然,防火墙不仅用于某个网络与因特网的隔离,而且可用于网络中部门网络之间的隔离。
1.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录相关的连接来源、服务器提供的通信量及试图闯入者的任何企图,以方便管理员监测和跟踪,防火墙本身必须免于渗透。
2.防火墙在网络安全中的作用
一般来说,防火墙具有以下几种功能:
(1)防火墙是网络安全的屏障,防止非法用户进入内部网络。
(2)防止内部信息的外泄,很方便地监视网络的安全性,并报警。
(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来解决地址空间短缺的问题。
(4)可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度讲,这就是所谓的停火区(DMZ)。
3.防火墙的分类
(1)包过滤型防火墙,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
(2)代理服务器型防火墙。代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,代替网络用户发挥特定的TCP/IP功能。一个代理服务器实际上就是一个为特定网络应用而连接两个网络的网关。
(3)复合型防火墙。由于对更高安全性的要求,通常把数据包过滤与代理服务系统的功能和特点综合起来,构成复合型防火墙系统,所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其优缺点。当前的防火墙产品已不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
4.网络防火墙的设计
(1)设计防火墙系统的拓扑结构。在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造及重要的资源的保护等方面加以考虑,以完善防火墙系统的拓扑结构。
(2)制定网络安全策略。在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此,网络安全的第一条策略是拒绝一切未许可的服务,防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
(3)确定包过滤规则。包过滤规则以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
(4)设计代理服务。代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,因此可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,增强网络安全性,解决包过滤所不能解决的问题。
(5)严格定义功能模块,分散实现。
(6)防火墙维护和管理方案的考虑。防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。因此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络及其信息的安全性。
参考文献:
[1]蔡立军.计算机网络安全技术.中国水利水电出版社,2002.
[2]雷震甲.网络工程师教程.清华大学出版社,2004.