论文部分内容阅读
摘 要:防火墙是指建立在内外网络之间的过滤封锁机制,用户的的数据会遭到了不同程度的破坏、复制,数据的安全性和自身的利益受到了严重的威胁,防火墙技术在网络安全中是不可缺少的一项技术。本文着重论述了网络防火墙的基本概念、安全技术、主要技术特征及防火墙在网络安全中的应用。
关键词:防火墙;网络安全;策略
随着计算机网络的发展,网络的开放性、共享性、互联程度也随着扩大,Intemet已成为全球重要的信息传播工具。网络丰富的信息资源给用户带来了极大的方便,为人们提供了发布信息和检索信息的场所,但网络作为一种新的通讯技术,由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在一些隐患,迫切要求我们不断提高网络的安全含量,人们为了保护其数据和资源的安全,创建了防火墙。
一、防火墙与网络安全
1、网络防火墙技术是一种隔离控制技术,用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。从理论上讲因特网防火墙服务属于类似的用来防止外来入侵的,它可以防止因特网上的各类危险传播到自己网络内部;防火墙常常被安装在保护的内部网络连接到因特网的站点上,所有来自外部的传输信息或内部网络发出的信息都必须穿过防火墙,因此,防火墙能够确保如电子信件、文件传输、远程登陆或在特定的系统间信息交换的安全。自从1986年美国Digital公司在Intemet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术及产品得到了飞速的发展。
2、网络安全从狭义的保护角度来讲,是指计算机及其网络系统资源和信息资源不被未授权的用户访问,即计算机、网络系统的硬件、软件及其系统中的数据受到保护。不因偶然或者恶意的原因而遭破坏、更改或泄露,系统能连续、可靠、正常地运行。从广义来说,凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保证网络信息的安全性十分重要。目前没有一种技术可以完全解决网络上的所有问题,所以我们还需要其他技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。网络安全工作大致有以下几个方面的特征:①需求量日益增加,市场潜力巨大;②国内厂商日益成熟,竞争日趋于激烈;③专业安全服务以逐渐引起重视;④网络安全整理方案需求更趋实用;⑤国家重点工程成为网络安全市场的巨大推动力等。
二、防火墙的基本准则
1、防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。2、企业网的安全策略在一个企业网中。防火墙应该是全局安全策略的一部分。构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。3、防火墙的费用简单的包过滤防火墙所需费用最少。实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。因而,防火墙的配备是需要相当的费用,如何以最小的费用来最大限度地满足企业网的安全需求,这将是企业网决策者应该周密考虑的问题。
三、防火墙技术的局限
尽管利用防火墙技术可以比较有效地保护计算机网络免受外部黑客所进行的网络攻击。但不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁。在实际应用中防火墙存在着许多的局限。如防火墙不能防范不经过防火墙的攻击。如果允许从受保护的网络内部向外拨号。一些用户就可能形成与外部公共网络的直接连接。躲避了防火墙对其的访问控制和安全检查:由于防火墙是设置在内部网和外部网之间的安全组件。不能解决来自内部人员对网络的破坏或资料的盗窃等安全问题;目前防火墙并不具备杀毒功能。不能阻止受病毒感染的文件的传输。所以也不能保护内部网络免受计算机病毒的破坏:防火墙技术是根据事先设定的安全策略来保护内部网络的。只能防范已知的安全威胁,无法预测前所未见的攻击方式。另外,防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客可以通过防火墙准许的端口对该服务器的漏洞进行攻击。
四、防火墙的实现技术
用于防火墙的主要技术有:包过滤技术、代理技术、SOCKS技术、状态检查技术、地址翻译技术、VPN技术、内容检查技术和其他防火墙技术等。
数据包过滤包过滤防火墙一般有一个包检查模块,包过滤可以安装在一个双宿网关上或一个路由器上来实现,当然也可以安装在一台服务器上。数据包过滤可以根据数据包头中的各种信息来控制站点与站点、站点与网络、网络与网络之间的互相访问,但不能控制传输的数据的内容,因为内容是应用层数据,不是包过滤系统能辨认的,数据包过滤允许你在单个地方为整个网络提供特别的保护。应用层网关应用层网关可以管理存储转发的流量以及某些交互流量,其通过编程来弄清用户应用层的流量。并能在用户层和应用层提供访问控制。并且,还可用来保持一个所有应用程序使用的完美的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。网关本身可以建立他们所需的附加安全。代理服务和网络地址转换代理是通过侦听网络内部客户的服务请求然后把这些请求发向外部网络,就好象代理服务器就是原始的客户来工作的。当代理服务器从公共服务器那里接收到响应时,它再将响应返回
给原始客户,就好象它就是原始的公共服务器一样。
五、充分利用防火墙的安全技术提高网络安全
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务。同时还能为各种网络应用提供相应的安全服务。
1、正确选用、合理配置防火墙。防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:风险分析-需求分析-确立安全政策-选择准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2、正确评估防火墙的失效状态。评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常。能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3、防火墙必须进行动态维护。防火墙安装和投入使用后,并非万事大吉。要想充分发挥它
的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
4、掌握非法攻击防火墙的基本“招数”通常情况下,有效的攻击都是从相关的子网进行的因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。例如数据包过滤防火墙,这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。为了不断更新防火墙的技术,作为网络安全的管理者就更应掌握非法攻击防火墙的基本“招数”,只有这样才能做到心中有数与时俱进,使本单位的网络安全得到保障。
参考文献:
[1]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社,2000:1。
[2]谢希仁.计算机网络(第四版)[M].北京:电子工业出版社,2005。
[3]杜刚.浅析网络安全技术防火墙的应用[J].民航科技,2007,6。
关键词:防火墙;网络安全;策略
随着计算机网络的发展,网络的开放性、共享性、互联程度也随着扩大,Intemet已成为全球重要的信息传播工具。网络丰富的信息资源给用户带来了极大的方便,为人们提供了发布信息和检索信息的场所,但网络作为一种新的通讯技术,由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在一些隐患,迫切要求我们不断提高网络的安全含量,人们为了保护其数据和资源的安全,创建了防火墙。
一、防火墙与网络安全
1、网络防火墙技术是一种隔离控制技术,用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。从理论上讲因特网防火墙服务属于类似的用来防止外来入侵的,它可以防止因特网上的各类危险传播到自己网络内部;防火墙常常被安装在保护的内部网络连接到因特网的站点上,所有来自外部的传输信息或内部网络发出的信息都必须穿过防火墙,因此,防火墙能够确保如电子信件、文件传输、远程登陆或在特定的系统间信息交换的安全。自从1986年美国Digital公司在Intemet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术及产品得到了飞速的发展。
2、网络安全从狭义的保护角度来讲,是指计算机及其网络系统资源和信息资源不被未授权的用户访问,即计算机、网络系统的硬件、软件及其系统中的数据受到保护。不因偶然或者恶意的原因而遭破坏、更改或泄露,系统能连续、可靠、正常地运行。从广义来说,凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保证网络信息的安全性十分重要。目前没有一种技术可以完全解决网络上的所有问题,所以我们还需要其他技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。网络安全工作大致有以下几个方面的特征:①需求量日益增加,市场潜力巨大;②国内厂商日益成熟,竞争日趋于激烈;③专业安全服务以逐渐引起重视;④网络安全整理方案需求更趋实用;⑤国家重点工程成为网络安全市场的巨大推动力等。
二、防火墙的基本准则
1、防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。2、企业网的安全策略在一个企业网中。防火墙应该是全局安全策略的一部分。构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。3、防火墙的费用简单的包过滤防火墙所需费用最少。实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。因而,防火墙的配备是需要相当的费用,如何以最小的费用来最大限度地满足企业网的安全需求,这将是企业网决策者应该周密考虑的问题。
三、防火墙技术的局限
尽管利用防火墙技术可以比较有效地保护计算机网络免受外部黑客所进行的网络攻击。但不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁。在实际应用中防火墙存在着许多的局限。如防火墙不能防范不经过防火墙的攻击。如果允许从受保护的网络内部向外拨号。一些用户就可能形成与外部公共网络的直接连接。躲避了防火墙对其的访问控制和安全检查:由于防火墙是设置在内部网和外部网之间的安全组件。不能解决来自内部人员对网络的破坏或资料的盗窃等安全问题;目前防火墙并不具备杀毒功能。不能阻止受病毒感染的文件的传输。所以也不能保护内部网络免受计算机病毒的破坏:防火墙技术是根据事先设定的安全策略来保护内部网络的。只能防范已知的安全威胁,无法预测前所未见的攻击方式。另外,防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客可以通过防火墙准许的端口对该服务器的漏洞进行攻击。
四、防火墙的实现技术
用于防火墙的主要技术有:包过滤技术、代理技术、SOCKS技术、状态检查技术、地址翻译技术、VPN技术、内容检查技术和其他防火墙技术等。
数据包过滤包过滤防火墙一般有一个包检查模块,包过滤可以安装在一个双宿网关上或一个路由器上来实现,当然也可以安装在一台服务器上。数据包过滤可以根据数据包头中的各种信息来控制站点与站点、站点与网络、网络与网络之间的互相访问,但不能控制传输的数据的内容,因为内容是应用层数据,不是包过滤系统能辨认的,数据包过滤允许你在单个地方为整个网络提供特别的保护。应用层网关应用层网关可以管理存储转发的流量以及某些交互流量,其通过编程来弄清用户应用层的流量。并能在用户层和应用层提供访问控制。并且,还可用来保持一个所有应用程序使用的完美的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。网关本身可以建立他们所需的附加安全。代理服务和网络地址转换代理是通过侦听网络内部客户的服务请求然后把这些请求发向外部网络,就好象代理服务器就是原始的客户来工作的。当代理服务器从公共服务器那里接收到响应时,它再将响应返回
给原始客户,就好象它就是原始的公共服务器一样。
五、充分利用防火墙的安全技术提高网络安全
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务。同时还能为各种网络应用提供相应的安全服务。
1、正确选用、合理配置防火墙。防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:风险分析-需求分析-确立安全政策-选择准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2、正确评估防火墙的失效状态。评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常。能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3、防火墙必须进行动态维护。防火墙安装和投入使用后,并非万事大吉。要想充分发挥它
的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
4、掌握非法攻击防火墙的基本“招数”通常情况下,有效的攻击都是从相关的子网进行的因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。例如数据包过滤防火墙,这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。为了不断更新防火墙的技术,作为网络安全的管理者就更应掌握非法攻击防火墙的基本“招数”,只有这样才能做到心中有数与时俱进,使本单位的网络安全得到保障。
参考文献:
[1]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社,2000:1。
[2]谢希仁.计算机网络(第四版)[M].北京:电子工业出版社,2005。
[3]杜刚.浅析网络安全技术防火墙的应用[J].民航科技,2007,6。