论文部分内容阅读
摘要:网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能更有效地维护自己的计算机网络及信息的安全,生成一个高效、通用、安全的网络系统。本文探讨了防火墙技术在网络安全中的应用情况。
关键词:计算机;网络安全;防范;防火墙
中图分类号:TN711 文献标识码:A 文章编号:1009-0118(2011)-11-0-01
防火墙技术的应用对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
一、防火墙的概念
网络安全上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。,所有来自Internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲,防火墙是分离器、限制器、分析器,而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件(一个路由器或路由器的组合,一台主机)和适当的软件组成。
二、防火墙的基本类型
(一)网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
(二)应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
(三)电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火绪要高两层。
(四)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样,可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。
规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是,它并不打破客户机服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有优势。
三、防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-homedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就攀尽了。Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但成本也很高。
四、防火墙的安全措施
各种防火墙的安全性能不尽相同,而防电子欺骗术是一般防火墙的常用安全措施,防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。网络地址转移,地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册地址映射成合法地址,就可以对Internet进行访问。
五、防火墙的选择方案
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火堵在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。作为防火墙的作用机制,防火墙将是计算机网络安全的重点。
参考文献:
[1]卢文斌.网络环境下计算机病毒的防治策略[J].武汉:湖北电力,2002.
[2]段海波.网络安全从网络开始[J].科技情报开发与经济,2005,(1).
[3]焦建华.网络安全的技术与管理[J].信息技术:河南省科技对外交流中心,2006,(8).
[4]李红,崔丽霜.防火墙技术在网络安全中的运用[J].应用技术,2006,(5).
关键词:计算机;网络安全;防范;防火墙
中图分类号:TN711 文献标识码:A 文章编号:1009-0118(2011)-11-0-01
防火墙技术的应用对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
一、防火墙的概念
网络安全上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。,所有来自Internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲,防火墙是分离器、限制器、分析器,而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件(一个路由器或路由器的组合,一台主机)和适当的软件组成。
二、防火墙的基本类型
(一)网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
(二)应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
(三)电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火绪要高两层。
(四)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样,可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。
规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是,它并不打破客户机服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有优势。
三、防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-homedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就攀尽了。Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但成本也很高。
四、防火墙的安全措施
各种防火墙的安全性能不尽相同,而防电子欺骗术是一般防火墙的常用安全措施,防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。网络地址转移,地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册地址映射成合法地址,就可以对Internet进行访问。
五、防火墙的选择方案
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火堵在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。作为防火墙的作用机制,防火墙将是计算机网络安全的重点。
参考文献:
[1]卢文斌.网络环境下计算机病毒的防治策略[J].武汉:湖北电力,2002.
[2]段海波.网络安全从网络开始[J].科技情报开发与经济,2005,(1).
[3]焦建华.网络安全的技术与管理[J].信息技术:河南省科技对外交流中心,2006,(8).
[4]李红,崔丽霜.防火墙技术在网络安全中的运用[J].应用技术,2006,(5).