论文部分内容阅读
【摘要】本文就信息网络安全内涵发生的根本变化,阐述发展信息安全体系的重要性,论述防火墙的部署原则、防火墙的主要功能、防火墙安全技术的分类、主要技术特征及防火墙的选择。
【关键词】网络安全防火墙技术特征
1、概述
在信息技术快速发展的今天,计算机信息安全问题正面临严峻的挑战。争夺信息资源、获取对方机密、破坏、销毁对方数据等,早已成为一场看不见硝烟的全球性战争。信息安全与国家的政治稳定、军事安全、经济发展和民族兴衰息息相关。因此,通过发展民族的安全产业,提高国家信息安全体系的保障能力是解决网络安全问题的根本途径。
2、防火墙
网络防火墙技术是一种用来加强网络之间访问控制、防止外部网用户以非法手段通过外部网络进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。安全、管理、速度是防火墙的3大要素。
防火墙至少提供两个基本服务:
①有选择地限制外部网用户对内部网的访问,保护本地网的特定资源。
②有选择地限制内部网用户对外部网的访问。
2.1安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是外部公网的连接处,都应安装防火墙。
2.2防火墙的主要功能
①阻止易受攻击的服务进入内部网。防火墙可以通过过滤不安全的服务来降低内部网上主系统所冒的风险。
②控制访问网点。防火墙能够控制对网点系统的访问,使某些主系统可以由外部网络访问,而将其他主系统封闭起来,限制有害的访问,防止内部信息的外泄。
③集中安全性管理。通过以防火墙为中心的安全配置方案,将所有口令、加密、身份认证、审计等安全软件配置在防火墙上。
④对网络存取和访问进行监控审计。防火墙能够对访问作出日志记录,提供网络使用的统计数据,对网络进行入侵检测。
⑤检测扫描计算机的企图。防火墙可以检测到端口扫描,当计算机被扫描时能发出警告,可以通过禁止连接来阻止攻击,可以跟踪和报告进行扫描攻击的计算机IP地址。
⑥防范特洛伊木马和病毒。
2.3防火墙安全技术的分类
目前防火墙技术主要有4种:包过滤技术、代理服务技术、电路层网关和状态检测技术。
①包过滤技术
包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包,其技术依据是网络中的分包传输技术。它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向,根据网站的安全策略来接纳或者拒绝数据包。
②代理服务技术
代理服务技术是运行在防火墙主机上的专用应用程序,它位于内部网络上的用户和外部网上的服务之间,内部用户和外部网服务彼此不能直接通信。代理负责接收外部网所服务请求,再转发到具体的服务中。
③电路层网关技术
电路层网关技术的运行方式与代理服务技术相似,其本质上属于代理服务技术,它把数据包提交给应用层过滤,并只依赖于TCP的连接,遵循SOCKS协议,即电路层网关的标准。它在网络的传输层实施访问策略,在内部网和外部网之间建立一个虚拟电路进行通信。
④状态监测技术
状态监测技术是包过滤技术的延伸,状态监测技术在网络层截获数据包。在对这些数据加以分析的基础上,它能有效地判断出各层中的非法侵入。它提供的解决方案安全性很高,性能、灵活性和扩展性达到最佳。目前市场上流行的防火墙大都采用的是状态监测技术。
2.4防火墙的选择
选择防火墙时应注意以下几点。
①可靠性。注意厂商推荐的防火墙是否有国家权威测评认证机构的认证,了解厂商的防火墙在市场上的占有率。
②防火墙的体系结构。选择符合需要的防火墙体系结构。
③技术指标。包括:网络吞吐量、丢包率、延迟和最大并发连接数等。
④扩展性。好的防火墙的功能应该能够适应网络规模和安全策略和变化。
⑤可升级性和兼容性。由于网络技术的发展和攻击手段的变化,防火墙必须不断的升级,才能有效抵御黑客的攻击,并且不应该与已有的业务软件提供的服务相冲突。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关、电路层网关、屏蔽主机防火墙、双宿主机等类型、
对于计算机网络安全体系来说,防火墙并非完美无缺,仍有许多问题无法解决,防火墙的主要缺陷有:不能防范不通过防火墙的连接入侵,不能完全阻止传送已有感染病毒的软件或文件,不能自动防御所有新的威胁。因此不可能靠一次性的防火墙设置来解决所有的网络安全问题。
(作者单位:533600广西田阳县职业技术学校)
【关键词】网络安全防火墙技术特征
1、概述
在信息技术快速发展的今天,计算机信息安全问题正面临严峻的挑战。争夺信息资源、获取对方机密、破坏、销毁对方数据等,早已成为一场看不见硝烟的全球性战争。信息安全与国家的政治稳定、军事安全、经济发展和民族兴衰息息相关。因此,通过发展民族的安全产业,提高国家信息安全体系的保障能力是解决网络安全问题的根本途径。
2、防火墙
网络防火墙技术是一种用来加强网络之间访问控制、防止外部网用户以非法手段通过外部网络进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。安全、管理、速度是防火墙的3大要素。
防火墙至少提供两个基本服务:
①有选择地限制外部网用户对内部网的访问,保护本地网的特定资源。
②有选择地限制内部网用户对外部网的访问。
2.1安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是外部公网的连接处,都应安装防火墙。
2.2防火墙的主要功能
①阻止易受攻击的服务进入内部网。防火墙可以通过过滤不安全的服务来降低内部网上主系统所冒的风险。
②控制访问网点。防火墙能够控制对网点系统的访问,使某些主系统可以由外部网络访问,而将其他主系统封闭起来,限制有害的访问,防止内部信息的外泄。
③集中安全性管理。通过以防火墙为中心的安全配置方案,将所有口令、加密、身份认证、审计等安全软件配置在防火墙上。
④对网络存取和访问进行监控审计。防火墙能够对访问作出日志记录,提供网络使用的统计数据,对网络进行入侵检测。
⑤检测扫描计算机的企图。防火墙可以检测到端口扫描,当计算机被扫描时能发出警告,可以通过禁止连接来阻止攻击,可以跟踪和报告进行扫描攻击的计算机IP地址。
⑥防范特洛伊木马和病毒。
2.3防火墙安全技术的分类
目前防火墙技术主要有4种:包过滤技术、代理服务技术、电路层网关和状态检测技术。
①包过滤技术
包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包,其技术依据是网络中的分包传输技术。它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向,根据网站的安全策略来接纳或者拒绝数据包。
②代理服务技术
代理服务技术是运行在防火墙主机上的专用应用程序,它位于内部网络上的用户和外部网上的服务之间,内部用户和外部网服务彼此不能直接通信。代理负责接收外部网所服务请求,再转发到具体的服务中。
③电路层网关技术
电路层网关技术的运行方式与代理服务技术相似,其本质上属于代理服务技术,它把数据包提交给应用层过滤,并只依赖于TCP的连接,遵循SOCKS协议,即电路层网关的标准。它在网络的传输层实施访问策略,在内部网和外部网之间建立一个虚拟电路进行通信。
④状态监测技术
状态监测技术是包过滤技术的延伸,状态监测技术在网络层截获数据包。在对这些数据加以分析的基础上,它能有效地判断出各层中的非法侵入。它提供的解决方案安全性很高,性能、灵活性和扩展性达到最佳。目前市场上流行的防火墙大都采用的是状态监测技术。
2.4防火墙的选择
选择防火墙时应注意以下几点。
①可靠性。注意厂商推荐的防火墙是否有国家权威测评认证机构的认证,了解厂商的防火墙在市场上的占有率。
②防火墙的体系结构。选择符合需要的防火墙体系结构。
③技术指标。包括:网络吞吐量、丢包率、延迟和最大并发连接数等。
④扩展性。好的防火墙的功能应该能够适应网络规模和安全策略和变化。
⑤可升级性和兼容性。由于网络技术的发展和攻击手段的变化,防火墙必须不断的升级,才能有效抵御黑客的攻击,并且不应该与已有的业务软件提供的服务相冲突。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关、电路层网关、屏蔽主机防火墙、双宿主机等类型、
对于计算机网络安全体系来说,防火墙并非完美无缺,仍有许多问题无法解决,防火墙的主要缺陷有:不能防范不通过防火墙的连接入侵,不能完全阻止传送已有感染病毒的软件或文件,不能自动防御所有新的威胁。因此不可能靠一次性的防火墙设置来解决所有的网络安全问题。
(作者单位:533600广西田阳县职业技术学校)