防火墙技术在网络安全中的应用

来源 :北京电力高等专科学校学报 | 被引量 : 0次 | 上传用户:byang1234
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能更有效地维护自己的计算机网络及信息的安全,生成一个高效、通用、安全的网络系统。本文探讨了防火墙技术在网络安全中的应用情况。
  关键词:计算机;网络安全;防范;防火墙
  中图分类号:TN711 文献标识码:A 文章编号:1009-0118(2011)-11-0-01
  防火墙技术的应用对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
  一、防火墙的概念
  网络安全上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。,所有来自Internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲,防火墙是分离器、限制器、分析器,而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件(一个路由器或路由器的组合,一台主机)和适当的软件组成。
  二、防火墙的基本类型
  (一)网络级防火墙
  一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
  (二)应用级网关
  应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
  (三)电路级网关
  电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火绪要高两层。
  (四)规则检查防火墙
  该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样,可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。
  规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是,它并不打破客户机服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有优势。
  三、防火墙的配置
  防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-homedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就攀尽了。Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但成本也很高。
  四、防火墙的安全措施
  各种防火墙的安全性能不尽相同,而防电子欺骗术是一般防火墙的常用安全措施,防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。网络地址转移,地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册地址映射成合法地址,就可以对Internet进行访问。
  五、防火墙的选择方案
  从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火堵在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。作为防火墙的作用机制,防火墙将是计算机网络安全的重点。
  参考文献:
  [1]卢文斌.网络环境下计算机病毒的防治策略[J].武汉:湖北电力,2002.
  [2]段海波.网络安全从网络开始[J].科技情报开发与经济,2005,(1).
  [3]焦建华.网络安全的技术与管理[J].信息技术:河南省科技对外交流中心,2006,(8).
  [4]李红,崔丽霜.防火墙技术在网络安全中的运用[J].应用技术,2006,(5).
其他文献
摘要:本文分析了电力工程项目管理的含义、内容及核心,提出了成本控制的原则与建设性措施,得出项目管理是一个系统工程,项目管理与成本控制是相辅相成的,只有加强项目管理,才能控制项目成本;只有使成本控制的组织措施、技术措施及经济措施,三者融为一体、相互作用,才能达到项目成本控制的目的,才能实现电力工程成本控制过程中的精细化管理。  关键词:电力工程;成本控制;精细化;管理  中图分类号:TM73 文献标
期刊
摘要:作为变压器内部故障的主保护,纵差保护有许多特点和困难。变压器具有两个或两个以上电压等级,由于构成纵差保护的电流互感器的额定参数各不相同,由此产生的纵差保护不平衡电流很大。本文主要研究了由励磁电流所产生的不平衡电流及解决措施、由变压器各侧电流相位不同而引起的不平衡电流、由各侧电流互感器的型号不同而引起的不平衡电流以及由变压器外部故障暂态穿越性短路电流产生不平衡电流及解决措施。  关键词:变压器
期刊
摘要:文章针对辽宁省城市社区中的青少年和社区工作者,从机构设置、运行机制、工作内容和社区青少年工作的地位四个方面进行问卷调查,发现目前辽宁省社区青少年工作主要由共青团组织承担,开展的活动受到社区青少年的欢迎。但还存在着对社区青少年管理不规范、缺少活动阵地、缺少经费支持、没有活动计划、没有专职工作人员等亟待解决的问题,需要引起相关部门的重视。  关键词:社区;青少年;共青团;活动  中图分类号:G7
期刊
摘要:本文在调查甘肃省农民专业合作社经营现状的基础上,对存在的问题进行了分析,并对如何加强甘肃省农民专业合作社提出了一些建议。农民专业合作社是增加农民收入、提高农业整体素质、推进现代农业建设的有效组织形式。  关键词:农民专业合作社;现代农业;农产品商标;增加农民收入  中图分类号:C913 文献标识码:A 文章编号:1009-0118(2011)-11-0-01  《中华人民共和国农民专业合作社
期刊
摘要:贫困的代际传递问题是困扰贫困地区反贫困的重要问题,以甘肃省定西市为例,贫困的代际传递原因主要是制度性因素、文化性因素和教育因素。破解贫困的代际传递的对策主要是通过教育提高贫困家庭子女的就业能力,通过医疗保障避免贫困家庭反贫危险和改变赡养模式减轻贫困家庭负担。  关键词:贫困代际传递;影响因素;就业能力;赡养模式  中图分类号:C913 文献标识码:A 文章编号:1009-0118(2011)
期刊
摘要:良好的人际关系是学生成长与社会化过程中的重要组成部分,也是生存和发展的必备条件。然而,由于人际关系、社会的复杂性与学生心理的单纯性,使得学生常常在人际交往中受挫。在校园里建立良好的人际关系,形成一种团结友爱、朝气蓬勃的环境,将有利于学生形成和发展健康的个性品质。  关键词:专科学生;人际交往问题;解决对策  中图分类号:G64 文献标识码:A 文章编号:1009-0118(2011)-11-
期刊
摘要:经过半个多世纪的演变,台湾地区形成了具有其特色的医疗健康保障制度。不论在健保普及、医疗品质、保费的缴纳等方面,都取得了相当的成就,得到业界与民众的认可。故本文拟就台湾地区全民健康保险制度的沿革、基本内容和实施成效进行探析。  关键词:台湾;全民健保;沿革;成效  中图分类号:R-0 文献标识码:A 文章编号:1009-0118(2011)-11-0-02  从造福民众的角度观之,如今最够资格
期刊
摘要:为了进一步加强卫生系统行业作风建设、思想文化建设,发展能力建设和医德医风建设,着力构建和谐的医患关系,加快推进医疗卫生体制改革,促进卫生事业科学发展。根据市委《关于加强干部队伍能力作风建设暨“三好一满意”活动实施意见》和主管部门的要求,结合我院实际,就争创“三好一满意医院”活动的情况做出本文汇报。  关键词:满意医院;活动;体会  中图分类号:H197.3 文献标识码:A 文章编号:1009
期刊
摘要:人的行为取决于个体的一系列的心理、意识。聋学生的出走是由于客观外界不良因素的侵蚀和在日常生活中不断积累潜在的各种因素逐渐形成的。聋生出走行为有一个发展的过程,我们可以对其此行为发生前的种种信号给予关注和警惕,有的放矢,预防和减少聋生出走行为。  关键词:聋生;出走;原因;对策  中图分类号:G42 文献标识码:A 文章编号:1009-0118(2011)-11-0-01  当前聋生出走已成为
期刊
摘要:肛管结构复杂,肛管皮肤硬周围组织神经末梢丰富,感觉灵敏。因此,直肠肛管术后的患者十分痛苦。本文总结和探讨直肠肛管手术的护理方法;结合细心的临床观察;做好充分的术前准备和精心的护理可预防各种并发症的发生,减轻患者痛苦,使他们早日康复。  关键词:直肠肛管;手术后;护理方法  中图分类号:R61 文献标识码:A 文章编号:1009-0118(2011)-11-0-01  一、术前护理  (一)心
期刊