防火墙在网络中的应用篇1
[关键词]防火墙技术网络安全工作原理具体应用
如今计算机网络普遍存在于各个地区,无论是住宅还是企事业单位,都离不开对网络技术的应用。人们通过网络数据来了解实时信息以及处理日常事务。由于计算机网络具有一定的互传性和连通性,因此在数据传播的过程中无法保证安全性,导致隐私易受到侵害,而随着计算机网络的频繁使用,被入侵的概率也随之增加。据调查,有超过63%的计算机用户在2006年内曾被攻击和入侵。其中不仅包括企事业单位,也包括住宅以及学校等。因此,为防止侵入现象进一步扩大,必须利用防火墙来进行阻挡,以确保并提高公共网络或家庭网络的安全性。
一、防火墙概述及其工作原理
防火墙属于计算机程序的一种,它是能够将本地网络与外界网络进行隔离并且形成防御的一种可执行控制策略的系统。它能够对外界网络即将进入本地网络的数据及信息进行严格筛选和检查,通过对该数据的运行状况、类型以及具体内容进行过滤,将不明确或危险的不良数据隔离在外,对防火墙系统认为安全的数据允许传入本地网络中,有效实现其隔离性以及安全性。从逻辑上讲,防火墙既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认及授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软硬件兼而有之的。
二、防火墙技术在网络安全中的应用
1.防火墙技术应用于网络安全屏障保护
由于企事业单位及其他单位需要利用网络技术来进行日常工作和档案储存管理,而一些外部人员会对其档案和相关资料进行窃取,侵害企事业单位及其他单位的利益。因此,该单位可以在内部网络和外界网络间建立防火墙,利用防火墙技术来阻挡外界入侵病毒或其他程序,保证内部程序和相关数据的安全。利用防火墙技术并按照防火墙技术特定的规则对外来数据进行识别和筛选,将危险数据挡在防火墙外,有效地降低外界入侵企事业单位或其他单位数据库的风险,从而避免了网络遭受基于路由的攻击和破坏,有效地保障了内部网络的安全性。
2.防火墙技术应用于网络安全的策略
部分特定单位的档案及相关资料较为机密,因此需要对防火墙进行加密或加固。此时该单位应对防火墙的配置进行加强,通过设置以防火墙为主的安全策略来提高对内部网络的保护。首先,应根据需要将口令、身份认证以及其他加密手段对防火墙进行设置,以此来提高防火墙的保护程度。其次,在控制面板上设定防火墙基础信息,利用将动态网址和静态网址转换的方法提高防火墙的安全性能。再次,将整个网络系统的安全策略应用添加到防火墙的安全策略当中,使各个安全策略稳定运作,最大限度地实施防火墙的防护功能。该形式不仅安全性强,且投入成本少,而起到的防护效果也有所提高。
3.防火墙技术应用于网络存取和访问监控
防火墙在网络中的应用篇2
关键词:防火墙;数据包;;认证
当今我们已经步入网络信息时代,校园中的教职工和学生在通过校园网络获取信息的便利时,又滋生出了新的网络安全问题。为了尽量避免资料被丢失、数据被篡改、密码被盗等恶性事件的发生,在校园网络中应建立起一套网络安全体系,特别是从制度和措施上建立起有自己特色的网络安全体系。其中“防火墙”是其必须要考虑的安全保障技术之一。
防火墙(硬件或软件)是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
根据其防范的方式和侧重点的不同,防火墙可分为三大类。
(1)数据包过滤:数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表。通过检查数据流中每个数据包的源地址、目标地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性和透明性好,它通常安装在路由器上,路由器是内部网络与internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
(2)应用级网关:应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用级网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)服务:服务也称链路级网关或tCp通道,也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接,由两个终止服务器上的链接来实现,外部计算机的网络链路只能达到服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
根据以上特点,校园网络在设置防火墙时应当从以下几个方面着手。
(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自ipSourceRouting、ipSpoofing、SYnflood、iC-mpflood、UDpflood、pingofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、nat模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的ip地址被设置为0.0.0.0,防火墙对于用户来说是可视或透明的。
(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。
(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。
(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、Javaap-ple、activeX和恶意脚本过滤等。
(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。
(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或ip/maC绑定等多种认证方式,对于内部网络的安全又多了一层保障。
总之,要做到校园网络安全,防火墙技术是非常重要的网络安全屏障之一,但要确保网络安全仍必须要从全方位着手,重点还要从管理和安全意识上下功夫。否则即使技术上再先进,也有可能因为人为的疏忽大意而造成资料丢失、泄密等。
参考文献:
[1]唐正军,李建华.入侵检测技术[m].北京:清华大学出版社,2004.
[2]马晓春.防火墙技术在网络入侵检测系统中的应用研究[D].西安:西北工业大学,2005.
防火墙在网络中的应用篇3
1传统防火墙的不足
传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:
(1)结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。
(2)防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。
(3)效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。
(4)故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。
2分布式防火墙的概念
为了解决传统防火墙面临的问题,美国at&t实验室研究员Stevenm.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:
(1)网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。
(2)主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。
(3)中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。
3分布式防火墙的工作模式
分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。
分布式防火墙工作模式结构
从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。
4分布式防火墙的构建
分布式防火墙的构建主要有如下四个步骤:
(1)策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。
(2)日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。
(3)策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。
(4)认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据ip地址进行认证。为了避免ip地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、ipSec等。
5分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1)分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。
(2)分布式防火墙消除了结构性瓶颈问题,提高了系统性能。
(3)分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
6结论
总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。
参考文献
[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).
防火墙在网络中的应用篇4
关键词:网络安全体系;硬件防火墙;核心应用
中图分类号:tp393文献标识码:a文章编号:1009-3044(2016)09-0037-02
1引言
二十一世纪的今天,伴随着日益发展计算机网络,是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分,硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢?
2网络安全体系简单构建例
一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。
2.1实施对象概况和安全需求
?汇聚层交换机,核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。
?该制衣企业拥有电脑数量约为100台,还有3台网络打印机,一台web兼e-mail服务器,一台Ftp服务器,一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。
?该企业在广域网连接方面,除了要实现因特网接入外,还要提供远程办公和跟合作伙伴、供应商的Vpn连接。
?内部客户端不能直接访问外网,需要通过企业主干网接入inteRnet(全球互联信息网)。供应部、营销部、技术部可以连接internet。实现供应部与各供应商保持联络,能和接收相关原材料需求和供应信息,但不能访问特定娱乐新闻购物类网站;营销部可以跟各渠道商通过邮件时刻保持联系,在关注现有客户同时发现潜在客户,推广企业的产品,打开市场销路;技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术,为其他部门寻找和准备相对应的网络资源。
?除以上部门外其他部门除有特殊情况外都不能连接internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行p2p和Bt方式的下载行为。
2.2利用硬件防火墙完善网络拓扑结构
基于上述的判断,软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任,这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。
在该网络安全体系结构中硬件防火墙主要由神州数码DCFw-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术,拥有包括tCp会话保持与报文重组、Vpn、QoS流量管理的芯片级加速方案,并且提供独立的硬件DFa引擎,带有ipS入侵检测模组。辅以高达48Gbps的高速交换总线,以及新一代64位实时并行操作系统DCFoS,确保整个系统不仅在处理网络通讯,而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性,其新一代网络安全架构能提供给用户最大化的可扩展能力,方便日后的升级。
在考虑到网络服务器群组的使用和防护要求,同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式,如图1所示。
在该形式中,专门划分出一个周边网络“非军事区域(DmZ)”,来将对外提供服务的各种服务器放置其中(配置示例如图2所示),使internet侧用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络,防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DmZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率,而将原本用于隔离内网络和DmZ区、对内部用户访问DmZ区和外部网络权限进行控制的内部路由器省略,由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的ipS模组对数据流进行再次检查和报警,防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响,还可以将硬件防火墙设定为定时复制对方过滤规则,实现一个联动和备用功能。简单来说外网、DmZ、内网三者主要实现下面三个效果:
?外网可以访问DmZ,但不能直接访问内部网络。
?DmZ可访问外网,不能访问内网。
?内网可以访问外网和DmZ。
作为堡垒主机的硬件防火墙除了可以向外部用户提供www、Ftp、e-mail等应用服务外,还可以在接受外部用户的服务器资源请求同时向内部用户提供DnS、e-mail、Ftp等服务,并提供内部网络用户访问外部资源的接口。
2.3搭建网络安全平台
经过防火墙体系结构选型和构建,以及对如何完善安全服务机制的初步探讨后,整个网络安全体系已经初见雏形。而作为网络安全体系中重要一环的网络安全平台,则可以将硬件防火墙设备与相关网络技术结合起来,利用其搭建一个以硬件防火墙为核心的可操作性强的网络安全平台。
2.3.1外部访问认证
由于存在合作伙伴、协力企业、在外出差员工等对企业网络资源访问需求的群体,企业必须为他们提供一种安全的远程连接访问方式。而硬件防火墙上技术成熟、使用广泛的,成本低廉的Vpn虚拟专用网络技术则正好能满足企业的需求。
通常来说传统的通过特定Vpn连接软件连接的第一代Vpn实现方式上有基于数据链路层pptp、L2tp的Vpn实现方式与基于网络层的ipSec的Vpn实现方式(如图3所示)。虽然创建基于pptp和L2tp的Vpn的方法较创建ipSecVpn方法要简单许多,但是随着时代的进步和网络安全威胁的日益增加,基于数据链路层的Vpn连接已无法完全胜任时代的安全需求了。所以现在进行Vpn配置时一般选择使用ipSec技术作为数据传输时安全保障。
从原理上说,ipSec通过使用基于HaSH函数的消息摘要来确保数据传输的完整性,使用动态密钥来对数据进行传输加密。也刚正好符合完善网络安全机制的要求。
图3传统Vpn实现方式
在防火墙中创建基于ipSec的Vpn时,一般要先创建好iKe(即internet密钥交换协议)的第一阶段和第二阶段提议,然后继续创建Vpn对端,并在接下来创建ipSeC隧道并制定基于隧道的安全策略,最后再创建源nat策略。在实现过程中有以下几个要点:
?ipSec隧道建立的条件必须要一端触发才可。
?基于隧道的策略要放在该方向策略的最上方。另外从本地到对端网段的源nat策略应该放在源nat策略中的最上方。
?在ipSeCVpn隧道中关于iD的概念,这个iD是指本地加密子网和对端加密子网。
除上述模式外,硬件防火墙还能支持第二代Vpn实现方式SCVpn,即基于传输层的SSLVpn。其优势在于相对ipSecVpn相比,配置和构建相对简单方便,穿透力强能以透明模式功能,而且SSLVpn客户端早已融入到各主流浏览器中。用户只需要通过浏览器登录并通过验证即可使用Vpn功能,为用户省去繁琐的客户端携带和安装,大大增强便捷性。但是缺点也很明显,由于SSL协议的限制,在硬件防火墙上使用SSLVpn性能发挥上远远不如ipSecVpn。
2.3.2内部访问验证
为了对内网用户进行具体的网络行为跟踪监督工作,分配内网用户访问权限。进行内部访问认证从而确认网络行为实施者就变得很有必要了。一般来说,进行网络内部访问认证需要配置Radius认证服务器、active-Directory认证服务器和LDap认证服务器中的一种,用来存储用户信息和提供用户验证功能,虽说每一种验证服务器的功能都非常强大,但是部署起来不但需为之投入额外资金和资源,而且配置相对繁琐和维护也相对不易,对于小型企业来说实施起来有一定困难。幸好得益于硬件防火墙强大的性能,我们也可以直接在硬件防火墙上配置本地认证,然后通过web浏览器为客户端进行认证登陆(如图4所示)。当然有条件的企业亦可以通过将硬件防火墙上的weB访问验证方式跟Radius、active-Directory、LDap验证服务器无缝结合起来,减轻硬件防火墙的资源负担,增强整个内部访问验证的可靠性和高效性。
图4内部weB认证登陆页面(下转第54页)
(上接第38页)
2.3.3网络层到应用层全面控制
硬件防火墙通过在网络层和传输层通过特定的规则、数据封包的属性来对数据进行检测和过滤,从而抵御非法数据的入侵和黑客的攻击,同时提供多种地址转换方式,这些都是硬件防火墙最传统也最常用的应用。
开启硬件防火墙在应用层上的附加功能以扩展硬件防火墙的安全保护范围,提升整个网络的安全指数。例如通过URL过滤可以屏蔽一些跟工作无关的新闻、娱乐、购物类网站以及恶意网址;通过网页内容过滤来屏蔽一些敏感的关键字;通过开启防病毒检测,从网络外部阻挡病毒木马的入侵;通过上网行为监督,来提高网络的使用效率;通过im工具过滤来提升员工的工作效率。
3结束语
随着计算机网络在人们生活的各个领域中广泛应用,以网络为目标的不法行为也日渐增多。为所属网络构建一个完整高效可操作性强的网络安全体系亦越来越重要。而这次通过构建基于实际案例和具体网络安全指标的网络安全体系例子则非常充分地体现了硬件防火墙在网络安全体系中的区域隔离、攻击防护、协议过滤、流量控制、用户认证、上网行为追踪记录与管理、Vpn远程访问等核心应用。相信在很长的一段时间内如何有效地和实地利用硬件防火墙在应用上的优势将会是影响整个网络安全体系构建成败的关键因素。
参考文献:
[1]谢希仁.计算机网络(第6版)[m].北京:电子工业出版社,2013.
[2]王达.金牌网管师:网络工程方案规划和设计[m].北京:中国水利水电出版社,2010.
防火墙在网络中的应用篇5
关键词防火墙;网络;应用
中图分类号:tp3文献标识码:a文章编号:1671-7597(2014)05-0191-02
随着计算机的普及和应用,促使计算机网络技术也不断的更新。在当下,网络已成为人们生活的必需品,但是由于计算机网络的广泛应用,使得网络安全问题也频繁出现。计算机网络安全问题已成为社会各界人士们关注的焦点,它已给人们的生活带来了极大困扰。
1防火墙技术的有关知识
1)防火墙技术。防火墙是一种访问控制机制,由网络决策人员及专家共同来决定哪些外部服务可对内部服务进行访问,哪些内部服务可允许外部服务的访问。防火墙是一种在计算机内部网络和外部网络之间进行安全防护的系统,是用来确保网络环境安全的技术。防火墙的两个准则是:一切没有被允许的就是禁止的,一切没有被禁止的就是允许的。
2)防火墙的分类及其特点。防火墙常用的两种类型分别是包过滤型和应用型。
包过滤型防火墙是从数据包头源地址,目的地址端口号和协议类型等方面来进行判断的。满足条件的数据包才能通过并被转发于目的地,而未通过的则会被阻挡。这种类型的防火墙通过一个过滤路由器就能对网络进行保护,其数据包的过滤十分公开化,速度快而效率高。但包过滤型防火墙防护级别不高,不能完全防止被ip地址所欺骗。
应用型防火墙是运用在oSi的最高层,它是将网络信息流完全截断的一种防火墙技术。针对每种应用服务而编出应对的程序,从而对应用层通信流进行监控。这种防火墙技术可以彻底阻隔内网与外网的直接通信,但其速度较慢,对底层协议的安全起不到作用。
2防火墙在计算机网络中的应用意义和作用
1)防火墙在计算机网络中的应用意义。网络安全问题主要是针对计算机之间进行数据存储和传输的过程是否安全,是否能保证所传数据的完整性,保密性和可用性。所谓完整性是指数据未被恶意的篡改和破坏,保密性是指除指定用户外都无法侵入进行访问,可行性是指按照客户的权限要求进行服务。防火墙技术旨在保护计算机内部服务不受外部网络的侵害,设置访问权限,从而避免内部网络中的数据被外部网络恶意破坏。防火墙技术对与保障计算机网络安全有着重要作用,它不仅能对计算机的内部数据进行保护,还是外部网络想要访问内部网络必须通过的媒介。它控制着内部和外部二者间的访问权限。只有被防火墙允许的数据才能对内部进行访问,从而有效地保障了内部数据的信息安全。因而确保防火墙系统不被侵犯和破害是很重要的。
2)防火墙在计算机网络中的作用。防火墙在计算机网络的应用中旨在保护数据信息不被恶意破害和篡改,防止一些未被授权的外界网络侵入受保护的计算机内部破坏数据信息,从而保证受保护的计算机网络的安全。防火墙技术严格控制访问内部网络的用户,将那些非法用户隔离在内部网络之外,它有效限制了用户访问的特殊站点,对网络的运行状态进行实时检测,是一个网络防护系统。防火墙在一些独立的计算机内部网络中具有显著效果。对于像校园内部网络,企业内部网络这种集中型网络,防火墙技术更适用于此。如今,防火墙技术在计算机网络中的应用越来越广泛和普及,已逐渐成为保护网络安全的重要技术之一。
3防火墙技术的发展
随着计算机网络应用的普及化,人们对于计算机网络安全问题越来越重视,因而作为保护计算机网络安全的防火墙计算也不断的发展。防火墙技术的在智能化,功能集成和协议方面都有了新突破。
最初的防火墙通常是先对一些安全的网络进行授权再对网络进行鉴别,这种事先进行决策的方法已无法应对越来越高明的网络攻击手法。针对过去的包过滤型防火墙的缺点进行更新的新型智能化包过滤防火墙,弥补了传统型防火墙对网络信息捕获能力和处理能力差的缺陷。这种防火墙与人工智能相结合,对外界网络信息数据进行智能过滤,不仅能预防已知的危险,还能根据网络的变化来进行正确的识别和阻隔。这种智能化的防火墙不再依赖人工干预,减少了过滤时间,提高了过滤效果。因而人工智能的发展对防火墙的发展有着巨大的影响,而这种引入人工智能的防火墙将会发展的越来越好。
另一种新型的防火墙是将传统的包过滤型防火墙和服务型防火墙相结合起来的综合型防火墙。这种防火墙克服了传统防火墙的缺点,既对数据链路层进行控制,又对应用层进行控制。这种新型的防火墙结合了多方面的技术,例如,在对外界网络进行访问控制时还要对访问并者进行身份的核实,对进入防火墙的网络数据进行病毒侦测等等。鉴于网络安全涉及的内容广泛,因而在防火墙未来的发展中,将朝着综合性发展。
未来的防火墙发展将与系统软件紧密结合。计算机用户不仅受到外界网络的侵入,还受到来自于一些系统软件所携带的漏洞和病毒的危害。因而在对计算机用户进行网络安全保护时要将这两方面都顾及到。这种要求为防火墙的发展开辟了新的方向。防火墙技术已在计算机用户中普遍应用,它成为一个基本的配置存在于操作系统中,其功能也是操作系统的基本功能。若防火墙能作为系统软件的一部分存在,不再是单一的系统,就能使防火墙更好地发挥其防护功能。防火墙是一个网络安全防护系统,但它本就是一个操作系统,因而将防火墙与系统软件相结合起来,能对防火墙自身进行维护,使得防火墙不被破坏,从而才能稳固网络安全。
4结束语
随着时代的进步,计算机技术不断发展,计算机网络已融入人们的生活里,但正是如此,在这个网络时代里,网络安全问题频繁出现,日渐受人们重视。要解决网络安全问题,就必须促进计算机技术和计算机网络技术的协调发展。而防火墙作为防护网络安全的重要措施之一,是需要不断改进其技术的。防火墙的发展将会引入人工智能,突破传统的防火墙技术,将其与系统软件结合起来。在未来,防火墙技术的发展能保障计算机网络有一个安全的应用环境。
参考文献
[1]陶宏.基于计算机网络信息安全的防火墙技术实用研究[J].消费电子,2013(12).
[2]李琳.试析计算机防火墙技术及其应用[J].信息安全与技术,2012(3).
防火墙在网络中的应用篇6
关键词:计算机;防火墙;发展现状;应用前景
中图分类号:tp393文献标识码:a文章编号:1007-9599(2012)07-0000-01
一、计算机防火墙的分类及主要功能
(一)计算机防火墙的分类。计算机防火墙从原理与技术上划分,主要包括包过滤型技术、状态监测技术以及服务技术三种形式。
1.包过滤型技术。包过滤型技术是计算机防火墙发展过程中最基本的形式,它主要作业于以oSi网络参考模型为主的网络层和传输层。通过对数据流里的每个数据包的源地址、使用端口等进行检测来确定数据包的合理性,一些难以达到过滤条件的数据包将会被停止使用,只有达到过滤要求的数据包,才能会被转发到指定的目的地。这类的防火墙安装快捷、使用方便、便于操作,通常情况下会被安装在路由器上。
2.状态监测技术。状态监测技术主要通过抽取一些相关数据来达到监测网络各层的目的,并根据过滤条件做出正确的安全决策。状态监测技术不仅会详细分析每个数据包信息,而且还能对信息进行过滤,这种信息过滤功能能够有效防止出现安全漏洞。
3.服务技术。服务技术中的转发功能主要通过在oSi网络参考模型的应用层上设立协议过滤的方式来完成,它以网络服务应用协议为主要依据,以某个特定的数据过滤逻辑为手段来达到监视及控制通信流的效果。服务技术的每个应用服务均可设立专门的,这样能够有效地保障网络安全。
(二)计算机防火墙的主要功能
1.计算机防火墙为网络安全提供有力保障。毫无疑问,防火墙能够促进计算机内部网络安全性的提高,并能够将不安全的服务加以过滤,降低网络安全风险。如防火墙能够阻止不具备安全性的nFS协议进入网络系统中,为这样有利于粉碎攻击者借助一些安全性低的协议攻击计算机内部网络的目的。与此同时,防火墙还能完善网络安全措施,通过设置合理的网络安全方案,能将安全软件配置全部集中于防火墙上,有利于集中式系统管理的实现。同时,防火墙还具备Vpn(具有internet服务特性的企业内部网络技术体系)的支持功能,借助Vpn这一重要平台,能将各企业单位布在世界各地的Lan或专用子网有效地组成一个整体,防止资源的滥用,为信息资源共享提供了强大的技术支持。
2.计算机防火墙为避免内部信息的外泄提供了安全平台。首先,借助防火墙可以实现内部网络的划分,加快内网重点网段的有效隔离,减少计算机潜在的网络安全隐患,确保计算机整体网络的正常运行。其次,借助防火墙可以使一些如Finger,DnS等透漏内部细节的服务隐藏起来。我们知道,当前网络安全中最突出的问题便是隐私泄露问题,网络系统中任何一个毫不起眼的细节都会引起安全问题,吸引外部攻击都的注意力,从而使得隐私充分暴露。
3.计算机防火墙可以实现网络存取和访问的监控与审计。网络使用统计数据对网络需求及安全威胁分析有着至关重要的作用。当网络中的访问经过防火墙时,防火墙能够很快地将这些访问以日志的形式记录下来,并提供重要的有关网络安全使用情况的统计数据。若有一些不利于网络安全的可疑动作出现,防火墙将会自动发出报警信号,同时将网络攻击的具体信息监测下来。
二、计算机防火墙技术的发展现状
(一)分布式防火墙技术。分布式防火墙技术是在过去传统的边界式防火墙技术所出现缺陷问题的基础上而产生的一种新兴技术。从狭义上看,分布式防火墙技术主要是指存在于计算机网络主机、服务器以及桌面机内部,且能为计算机主机提供安全保障的具体软件产品。从广义上看,分布式防火墙技术是指目前一种新型的防火墙体系架构,比如网络防火墙,主机防火墙等等都属于分布式防火墙技术产品。分布式防火墙技术主要优点就是在每个主机上设置防护系统,能够加强网络数据的检测与控制,解决网络边界之间存的通信问题。此外,还具有支持网络应用加密与认证功能。
(二)嵌入式防火墙技术。嵌入式防火墙技术主要指内嵌在路由器或者交换机内部的防火墙。有些路由器自身便带有嵌入式防火墙,用户也可通过自己购买防火墙模块,将其安装到原有的路由器或者交换机中即可。由于影响互联网使用的协议的因素多种多样,因而并非通过嵌入式防火墙技术就能将所有的网络访问服务问题处理妥当。加之,嵌入式防火墙系统作业于网络的ip层,因而难以确保所有的用户端计算机的安全性,使其不受到计算机病毒、木马程序、蠕虫等各种的威胁。通常情况下,嵌入式防火墙系统处于一种无监控状态,在处理信息过程中或者进行信息交换传递的过程中会将以往的网络连接状态忽略不计。
(三)智能防火墙技术。智能防火墙技术是通过人工智能学而形成的一种防火墙技术,种类繁多,主要包括防止入侵技术、防止攻击技术、防止数据欺骗技术、防止扫描技术以及协议正常化等多种技术。智能防火墙技术主要是通过利用统计数据,常用访问记忆,以及访问策略等方法加强数据交换信息的智能识别,从而有效的控制网络访问。智能防火墙技术是一种新型的计算模式,能够有效识别网络行为的特征值,消除匹配检查所需要的海量计算。此外,还能够有效地处理好拒绝服务(DDoS)的攻击问题、病毒传播问题以及高级应用入侵问题等,是当前防火墙技术发展的主流趋势,有着极大的发展前景。
三、计算机防火墙的应用前景
(一)防火墙数据包过滤技术的应用前景。防火墙数据包过滤技术的应用实际上是指防火墙系统将会采用多级别,多层次过滤措施,进行网络安全防护功能。具体包括两个方面:一方面,在分组层设置过滤技术,将一些达不到过滤条件的源路及虚假冒充的ip源地址全部过滤掉;另一方面,在应用网关层设置过滤,监控和监测Ftp,Smtp,internet等提供的网络通信数据服务。同时防火墙技术加入防病毒功能,在防止有害数据包攻击的同时,可以有效的抵御各种病毒软件,木马程序的入侵导致的防火墙失效,更加有效的保障终端的网络访问安全性。
防火墙在网络中的应用篇7
关键词:防火墙病毒企业网安全
一、防火墙的相关知识
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过防火墙。它对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行,还能禁止特定端口的流出通信,封锁特洛伊木马,禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。防火墙一般安装在内部网络与外部网络之间,集中所有互联网流量,因此对其要求极高,一旦发生故障必须能迅速恢复。
二、选择防火墙需要注意的问题
作为企业信息安全保护最基础的硬件,防火墙在企业整体防范体系中占据至关重要的地位。一款反应和处理能力不强的防火墙,不但保护不了企业的信息安全,反而会成为安全的最大隐患,所以,选择防火墙必须谨慎。
1.应购买具有品牌优势、质量信得过的产品。厂商的持续开发能力以及升级和维护能力非常重要。目前对国内安全产品的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用),国家保密局测评认证中心的认证(针对政府网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可),以及中国人民信息安全测评认证中心(针对军队使用)。
2.在性能方面只选适合的,不一定选最高的,除了要考虑产品本身应该安全可靠,还要考虑防火墙性能的稳定,并应有良好的扩展性与适应性,方便管理和控制也是必须考虑的。除此之外还要注意防火墙的基本性能,如效率与安全防护能力、网络吞吐量、提供专业的数量,以及与其他信息安全产品的联动等问题。
3.价格并非越贵越好。不同价格的防火墙保证的安全程度也不同。硬件防火墙因为比软件防火墙稳定和效率更高,一般价格也要高一些。对于有条件的企业来说,最好选择整套企业级的防火墙解决方案。
4.用户在选择防火墙时,除了考虑性能与价格外,还应考虑厂商提供的售后服务。一旦使用中遇到用户解决不了的问题或故障时,厂商应及时响应、快速解决问题。
三、防火墙的分类
防火墙有很多种分类方法:依据采用的技术的不同,防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙;按照应用对象的不同,防火墙产品可分为企业级防火墙与个人防火墙;根据防御方式的不同,防火墙产品又可分为包过滤型(packetFiltering)防火墙、应用级网关型(applicationLevelGateway)防火墙和服务型(proxyService)防火墙,等等。
四、应对企业中的网络安全隐患
拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务,譬如Voip和netmeeting。这两种服务都需要为25种以上的不同服务开放端口,所以就应该使用应用网关防火墙,或者仅限于严格控制的环境(譬如,从内部网络、某一组ip地址启动服务、只在特定时间段进行)。此外,如果在复杂的大型环境安装防火墙,应该使用支持集中式防火墙管理和配置功能的防火墙,譬如piX、CyberGuard、Firebox、Firewall-1、netScreen和SidewinderG2。
对应用层数据进行加密,已经被广泛地应用于各种场合,以提高数据的安全性。如在邮箱系统中,就采用了SSL的加密机制。用户可以选择是否要对邮件的内容进行加密。若用户选择SSL加密的话,则在邮件发送的时候,邮箱系统会自动对整封邮件在应用层面上进行加密。
这就对深度检测防火墙提出了新的挑战,防火墙必须有对应用层数据进行加密、解密的能力。因为像一些病毒邮件,其往往隐藏在邮件的附件中,也就是隐藏在应用层的数据中。而因为对应用层的数据采取了加密处理,所以一般防火墙不能够辨别应用层数据中是否存在着病毒文件。只有防火墙能够对应用层数据进行解密、加密的能力,才能够判断数据包中是否含有应用层的攻击信息。所以,如果防火墙的深度检测功能不能够对企业中的关键应用,如邮件系统,提供深度检测安全性的话(即对应用层数据进行解密后的检测),则整个深度检测就会失去其存在的意义。换句话说,深度检测只能够检测未经过加密处理的应用层数据,其效果就会大大的打折扣。
在企业的关键应用中,一般邮件系统中会实现应用层的数据加密。除了这个应用外,企业可能在Vpn、Ftp服务器、oa服务器中也实现了类似SSL的加密机制。根据了解,只要能够在互联网上进行访问的信息化应用,一般都会在应用层上对数据加密,以提高数据的安全性。通过对应用层数据加密,可以有效地防止攻击者通过网络侦听的手段窃取公司的机密数据。
1.能否有效解决应用层字符串匹配问题
在针对应用层的攻击中,很多是通过字符串的匹配不当来实现的。如典型的欺骗iDS攻击,就是通过这个字符串不匹配而完成的。
有时候为了了解某种请求的安全策略是否被启用,防火墙通常会根据请求的信息与自身的安全策略来进行匹配。一旦条件匹配,防火墙就采用对应的安全策略。非法攻击者会利用各种手段,对用户的请求信息进行伪装,企图让字符串不匹配,以达到越过安全设备的目的。可以简单一点来理解:当客户端想通过防火墙的时候,客户端的数据会向防火墙发送一个请求。在这个请求信息中,会包含是否需要采用某种安全策略的信息,而这些信息都是通过一些特定的字符串来表示的。当防火墙收到请求信息时,就会把这些字符串跟自身的进行对比。若符合,则采取某种安全策略,如加密等;若不符合,则不会采用安全策略,而以普通的方式转发。
如此,只要攻击者对请求者的请求信息进行随意的更改,就可能导致请求信息字符串与防火墙中的字符串不匹配,从而绕过安全设备,进行一些非法的勾当。为了解决这个字符串匹配问题,深度检测技术设计了一种“正常化技术”。通过这种技术,能够让深度检测识别隐藏在URL编码、Unicode数据中的应用层攻击行为,以提高应用层数据的安全性。
2.能否判断协议的一致性
数据要在网络上传输,都必须遵守一定的规范。在网络上,数据的交通法规就是各种应用层协议,如Http、Smtp、Ftp协议等。这些协议都有全球统一的规范。如果员工发送一封邮件,则应用层的数据必须符合Smtp协议的规范。
但是,很多攻击者就利用这些规范来对企业网络进行攻击。如在邮件中,会插入Ftp协议的内容。当用户查看邮件内容的时候,在不知情的情况下,系统自动从Ftp服务器上下载木马、病毒等非法软件,实现应用层的攻击。所以,深度检测技术既然能够检测应用层的数据,则我们就希望它好事做到底,能够进一步判断协议的一致性。也就是说,其应用层中的数据所采用的协议跟其所声明的协议类型是否一致。如果不一致的话,则防火墙就需要过滤这个数据包,并向管理员提出警告。如果一致的话,就顺利转发。
3.piX防火墙
为了在组织中高效使用防火墙,需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样就能控制谁能访问网络,访问什么服务,及如何利用piX防火墙的功能实现你的安全策略。
本文为全文原貌未安装pDF浏览器用户请先下载安装原版全文
图1显示了piX防火墙如何保护内部网络安全地访问internet。
在这个结构中,piX防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问internet。piX防火墙让你将诸如web、Snmp、e-mail等服务放置在被保护网络中,以控制外部用户的对这些服务的访问。
服务系统也能放置在perimeter网络中(图1)。piX防火墙也能控制和监视inside网络或outside网络对这些服务系统的访问。
典型的inside网络就是一个组织自己的内部intranet网络,外部网络就是internet。但是,piX防火墙也能在intranet网络中使用以隔离或保护一组内部的计算机系统。perimeter网络能和inside网络一样进行安全配置。piX防火墙的inside、perimeter和outside接口能监听Rip路由更新消息,如果需要,所有的接口能广播一个缺省的Rip路由。
piX防火墙能在两个或多个网络之间防止非授权的连接,即piX防火墙能保护一个或多个网络,与外部的、非保护的网络隔离,防止非授权访问。这些网络间的所有连接都能被piX防火墙控制。
当向外连接的数据包(outboundpackets)到达piX防火墙的被保护接口时(insideinterface),piX防火墙检查先前的数据包是否是来自此主机。如果没有,piX防火墙就在它的状态表为新的连接建立一个转换槽(translationslot)。通过网络地址转换(nat)或端口地址转换(pat)的分配,这个槽包括内部ip地址和一个唯一的全局ip地址。piX防火墙这时转换这个数据包的源ip地址(sourceip)为这个唯一的全局ip地址,并按需修改其他字段,然后转发这个数据包到合适的非保护接口。
当向内连接的数据包(inboundpackets)到达piX防火墙的非保护接口时(outsideinterface),它必须先经过piX防火墙的安全检查。如果数据包检查通过,则piX防火墙移走这个数据包的目的ip地址(Destinationip),插入内部的ip地址。这样,这个数据包被转发到被保护接口。
转换内部地址,动态转换对在internet上不需要固定地址的桌面计算机是非常有用的。使用非niC(networkinformationCenter)注册的ip地址的内部网络主机通过在piX防火墙中的地址转换能直接访问internet上的标准tCp/ip程序,而不需要特定的客户程序。piX防火墙支持能为每个内部主机提供一个全局唯一网络地址的网络地址转换(nat),和为许多内部主机提供一个共享的全局唯一网络地址的端口地址转换(pat)。nat和pat能转换为多达64K主机地址。
piX防火墙中的另一个地址转换是静态转换。静态转换能有效地移动一个内部的、非注册主机到防火墙中的虚网。这对一个需要映射到外部internet网关的内部主机是非常有用的,如Smtp服务器。
防火墙在网络中是一个逻辑装置,用来保护内部的网络不受来自internet的侵害。严格意义的防火墙,就是一个或一组系统,用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外,但又不影响正常工作。其核心思想就是在不安全的网间网环境中构造一个相对安全的子网环境。因此当我们掌握一定技术后,便可以充分利用防火墙的技术,阻止一切危害企业网安全的隐患,使企业网络正常运行,信息安全得到保证。
参考文献:
[1]刘晓辉.网络基础.机械工业出版社,2007.
[2]马亮,杜恺琳.局域网组网技术与维护管理.电子工业出版社,2009.
防火墙在网络中的应用篇8
【关键词】防火墙屏障过滤
【中图分类号】tp393【文献标识码】a【文章编号】2095-3089(2012)10-0232-01
一、防火墙简介
所谓防火墙是指由软件和硬件设备组合而成、在内部网和外部网、专用网与公共网的界面上构造的一道保护屏障。其设计思想是在两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重定向经过防火墙的数据流,实现对内部网服务和访问的安全审计和控制。
防火墙的基本特性:
内部网和外部网间的所有网络数据流必须经过防火墙。
只有符合安全策略的数据流才能通过防火墙。
防火墙自身应具有非常强的抗攻击能力。
二、防火墙的分类
1.从软、硬件形式分:软件防火墙、硬件防火墙、芯片级防火墙。
软件防火墙:俗称“个人防火墙”,目前使用最多,运行于特定的计算机上(往往是整个网络的网关),需要操作系统的支持,与其它软件产品一样,需在计算机上安装并做好配置。
硬件防火墙:硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CpU资源去进行基于软件架构的nDiS数据检测,可以大大提高工作效率。
这里说的硬件防火墙是指“所谓的硬件防火墙”。所谓二字是针对芯片级防火墙而言。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于pC架构,即与普通家用的pC没有太大区别。
芯片级防火墙:基于专用的硬件平台,没有操作系统。专有的aSiC芯片使它们比其他防火墙速度更快,处理能力更强,性能更高。
2.按防火墙的部署位置分类,防火墙可以分为:边界防火墙、个人防火墙、混合式防火墙。
边界防火墙:边界防火墙最为传统,它位于内外网的边界,所起的作用是对内、外部网络实施隔离,这类防火墙一般都是硬件类型,价格较贵,性能较好。
个人防火墙:安装于单台主机中,防护的是单台主机,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙:就是“分布式防火墙”和“嵌入式防火墙”,它是一整套防火墙系统,由若干软件和硬件组件组成,分布于内、外部网络边界和内部主机之间,既对内外网之间的通信进行过滤,又对网络内部各主机之间的通信进行过滤,性能最好,价格也最贵。
3.从防火墙体系结构上,可以分为包过滤防火墙和服务器防火墙。
包过滤防火墙:工作在oSi参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。
服务器防火墙:工作在oSi的应用层,通过对每种应用服务编制专门的程序,实现监视和控制应用层数据流的作用。
三、防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
1.中化的安全管理,强化安全策略
由于internet上每天都有上百万人收集、交换信息,不可避免地会出现个别品德不良、违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许符合规则的请求通过。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。若将网络安全问题分散到各个主机上,防火墙的集中安全管理显然更经济。
2.网络日志及使用统计
防火墙是所有信息出入的必经之路,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问和网络使用情况进行统计。若发生可疑动作,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等是非常重要的。
3.保护那些易受攻击的服务
防火墙能够将网络中一个网段与另一个网段隔开,这样可以防止一个网段的问题通过整个网络传播而成为整个网络的问题。
4.增强保密
防火墙能够封锁有关网点系统的DnS信息。因此,网点系统名字和ip地址都不用提供给internet。
5.实施安全策略
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒之门外。
四、防火墙的局限性
1.不能防范来自内部的恶意攻击
防火墙不能防止专用网内部用户对资源的攻击。防火墙可以禁止系统用户经过网络连接发送专有的信息,但对于复制到磁盘、磁带上,放在公文包中带走,防火墙也无能为力。
2.不能防范不通过它的连接
防火墙能够有效地检查通过它进行传输信息,然而却无法保护不通过它而传输的信息。如果网络中有些资源绕过防火墙直接与internet连通,则得不到防火墙的保护。
3.防火墙不能防范病毒
一般防火墙不对专用网提供防护外部病毒的侵犯功能。病毒可以通过Ftp或其它工具传至专用网。要实现这种防护,防火墙中必须设置检测病毒的逻辑。
4.不能防备全部的威胁
防火墙用来防备已知的威胁,但没有一个防火墙能自动防御所有新的威胁。
总之,防火墙虽然可以在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,这是防火墙所不能代替的。
五、小结
防火墙作为维护网络安全的关键设备,在目前采用的网络安全防范体系中,其地位举足轻重。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个人都会遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,日益严峻的网络安全问题也要求防火墙技术有更快的提高,否则在面对新一轮网络入侵手法时便会束手无策。明天的防火墙技术将会如何发展,始终是一个新的研究课题。
作者简介:
防火墙在网络中的应用篇9
1.1防火墙技术概念
从字面意思来看,防火墙技术就是在计算机网络与防火墙之间构筑一面墙,起到保护效果。防火墙技术将系统中的硬软件结合起来,完成对不良信息的过滤与筛选工作,一旦筛选出不良信息,防火墙便会及时进行拦截,从而保护计算机网络安全。目前,计算机防火墙技术较为完善,最为常见的有监测型、过滤型、型3种防火墙。计算机防火墙技术在计算机系统维护中有着非常重要的作用,是当前计算机网络领域研究的重要方向,怎样不断地提高计算机网络安全技术,构建系统可靠的防火墙网络是计算机领域需要研究的关键内容[1]。
1.2类型
防火墙是保护网络安全的有效手段,当然,它也有很多类型,既能够存在于硬件部分,也能在独立机器中运行,该机制就变成了防火墙所在网络的。为了有效实现安全防护的目标,就必须要让内外部网络中全部数据都经过防火墙进入,同时,只有和防火墙规则具有一致性的数据流才能经过防火墙,并且防火墙自身也必须要具备很强的抗攻击与免疫力。防火墙可以连接因特网,也可以将其应用在组织网内部重要数据信息的保护过程中,因此,可以将防火墙分成网络层防火墙与应用层防火墙两种类型[2]。
1.3基本功能
1.3.1动态包过滤技术
动态包过技术实际上也可以称作状态检测技术,可以快速截获经过经过防火墙的数据包,提取相关信息,并结合信息的安全程度看是否允许信息经过,能够达到动态网络监控的效果。防火墙能够动态管理经过端口的信息,前提是要连接[3]。
1.3.2控制不安全服务
防火墙能够控制不完全服务,提前将信任域和不信任域间数据出入情况设置好,从而避免不安全服务的进入,确保内部网的运行安全。
1.3.3集中安全保护
防火墙能够将内部要防护的软件全部集中起来,还包含全部要改动及附加的软件,如身份认证、电子口令等。这类安全问题都能由防火墙集中管理,且操作起来非常简单。
1.3.4加强网络系统访问控制
防火墙能够设置外部网对内部网访问服务,并加强访问控制,如涉及到重大网络安全服务能够屏蔽外部网,使其无法访问;针对那些涉及较小网络安全服务,可以对外部网进行访问[4]。
2防火墙技术
2.1过滤技术
防火墙技术在特定位置提供过滤服务,如在网络系统tCp位置,防火墙先对tCp位置接收到的数据包的安全性进行检查,一旦发现存在安全隐患,就不允许数据包传输。同时,将过滤技术应用到外网环境中,其预防特征特别明显,有效防止不良信息的传输,从而保证tCp区域运行安全。过滤技术的应用不仅能够实现对计算机网络安全控制,而且在路由器方面应用价值非常明显。
2.2协议技术
该种技术主要是用来防止Dos攻击,若Dos攻击就会使整个计算机系统陷入瘫痪,系统难以有效运行,该类攻击并未进行明确限制。防火墙使用协议技术,在Dos攻击中对计算机内部网络进行保护,并提供相关网关服务,得到防火墙的回应,服务器才能有效运行。
2.3检测技术
检测技术主要是对计算机网络运行状态进行检测,外网传输的数据包当成整体,对数据包状态内容进行准确分析,并将分析结果进行汇总,生成记录表,分成规则、状态两个记录表,对两表的数据信息进行分析,判断数据状态。目前,检测技术在各层网络间运用的非常普遍,能够准确地获取网络连接状态,扩宽网络安全防护范围,从而保证计算机网络系统运行的安全性[5]。
3计算机网络安全中防火墙技术的应用
随着计算机网络技术的广泛运用,其各种安全问题也逐渐显现出来,采取有效措施保护计算机网络网络安全是目前需要解决的重点问题,下面对计算机网络安全中防火墙技术的应用相关内容进行了分析。
3.1包过滤防火墙
该种防火墙通常只应用在oSi7层模型中网络层数据。可以完成防火墙状态的检测,预先将逻辑策略确定好,主要包括端口、地址及源地址等,所有经过防火墙的数据都必须要分析,若数据包中的信息与策略中的要求不符,则数据包能够通过,若完全相符,则数据包就会被拦截。数据包在传输过程中都会被分解成很多个由目的、地质等构成的小数据包,在经过防火墙时,它们可以通过各种传输路径传输过去,但最后会在同一个地方会合。在目的地点,数据包还是要接受防火墙检测,合格之后,才能通过。一旦在传输时,数据包丢失或者是地址发生变化等都会被丢弃。但是,该技术在应用的过程中也有一些缺点,如:部分包过滤网关对有效的用户认证并不支持;规则表变化快,规则难以测试,随着规则表的结构与复杂性的增大,规则结构的漏洞也会随之增多;该种防火墙是由一个独立的部件来保护,一旦该部件出现问题,就会危害整个网络系统;通常情况下,包过滤防火墙智能对一种类型的ip威胁进行阻止,也就是外部主机伪装内部主机的ip[6]。
3.2深层检测防火墙
深层检测防火墙是计算机防火墙技术发展的主要方向,该技术先完成对网络信息的检测,再对流量走向进行实时跟踪,并继续完成检测任务。该种防火墙技术的保护作用,并不只是停留于网络层面,而是有效防护应用层网络攻击,安全性能强。
3.3应用网关防火墙
该种防火墙也可以称为防火墙,其主要应用在oSi的网络层及传输层。这种防火墙技术与包过滤防火墙存在一定的差异,即认证的是个人,并非相关设备,只有当个人验证成功之后,才能对网络资源进行有效访问,认证主要包含的内容有密码、用户名等。通过应用网关防火墙,就能有效防止黑客的攻击。同时,应用网关防火墙又可以分成直通与连接网关防火墙两种,其中连接网关防火墙一般属于认证机制,能够以截获数据流量的方式来认证,认证完成后,连接网关防火墙才能开始访问。另外,该种防火墙还能有效保护应用层,使应用层运行更加安全,而直通式并不能实现这一目标。但是,应用网关防火墙也有自身的不足之处:利用相关软件来处理数据包,支持的应用非常少,有时必须要制定客户端软件。
3.4分布防火墙
该种防火墙主要是由安全策略及客户端服务器组成,客户端防火墙主要工作于各个服务器、工作站上,依据安全策略文件中的相关内容,依赖包过滤等几层安全检测,确保计算机在正常运用的情况下不会受到网络黑客的攻击,确保网络运行安全。而安全策略管理服务器主要是服务安全策略、用户等的管理。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统,因而,其是集中控制管理中心,减少了终端运用的工作负担。分布防火墙主要应用于企业或者是单位局域网内部,其安全运行必须要依赖于一些安全防护软件,主要包含网络与主机防火墙两种,其中网络防火墙主要应用于内外部网之间,主机防火墙应用于局域网内部。该种防火墙主要是对内部缺陷进行防护,有效防止外部攻击,从而确保局域网运行安全。
4结语
网络信息技术的普及与运用,给人们的生活带来了极大的便利,但也面临着许多安全问题,在经过很多网络安全问题之后,人们对网络安全越来越重视,大多数网络用户都安装了计算机网络防火墙。网络资源有着很多可利用的优势资源,怎样充分利用网络资源优势,解决网络中遇到的问题,是广大从业者必须要思考和解决的问题,需要不断地去研究探索,满足新时代计算机发展的现实需要。
参考文献
[1]徐凌云,周立中,朱平阳.关于防火墙技术在计算机网络安全中的应用剖析[J].数字通讯世界,2014,(22):129-135.
[2]秦素梅,龚艳春,张淑敏,等.浅析防火墙技术在计算机网络安全方面的具体应用[J].网络安全技术与实际应用,2015,(16):208-216.
[3]徐东纯,周艳萍,王馨悦,等.基于CC2530的环境监测无线传感器网络节点设计[J].计算机应用,2016,(20):325-329.
[4]江科,周立军.浅议防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2016,(15):108-116.
防火墙在网络中的应用篇10
【关键词】网络安全;防火墙技术;性能;发展趋势
1引言
随着网络技术的飞速发展和网络时代的到来,网络安全问题变的越来越严重。由于网络不安全造成的损失也越来越大,人们为解决网络安全问题投入的资金也越来越多。网络安全是一个关系国家安全、社会稳定的重要问题,网络的安全已经成为急需解决的问题。
为了保护网络的安全,人们将防火墙这个概念运用到了网络世界里。它是内部网络和外部网络之间的一道栅栏,用以阻挡外部网络的入侵,相当于中世纪的护城河。防火墙是目前最为流行、使用最为广泛的一种网络安全技术。本文主要讨论防火墙技术,并对其发展趋势作了初步的分析。
2防火墙技术
2.1防火墙概述
防火墙是网络之间一种特殊的访问控制设施,是一种屏障,用于隔离internet的某一部分,限制这部分与internet其它部分之间数据的自由流动。防火墙的位置被安装在内部网络与外部网络之间,以在不可靠的互联网络中建立一个可靠的子网。防火墙作为保障内部网络安全的手段,它有助于建立一个网络安全机制,并通过网络配置、主机系统、路由器与身份认证等手段来实现安全机制。一般说来防火墙主要有以下的功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄;安全策略检查和实施nat的理想平台。
防火墙是两个网络之间的成分集合,它必须具有以下性质才能起作用:
(1)从里向外或从外向里的流量都必须通过防火墙;
(2)只有本地安全策略放行的流量才能通过防火墙;
(3)防火墙本身是不可穿透的。
2.2防火墙的类型
(1)ip级防火墙
ip级防火墙又称为报文过滤或包过滤(packetfilter)防火墙,它通常在路由软件中实现,工作在网络层中,因此也称网络防火墙。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、tCp/UDp源端口号、tCp/UDp目的端口号及数据包头中的各种标志位等因数来确定是否允许数据包通过。使用这种类型的防火墙时,内部主机与外部主机之间存在直接的ip报文交互,即使防火墙停止工作也不影响其连通性。因此,ip防火墙具有简单、方便、速度快,透明性好和不影响网络的特点。但是ip防火墙只能根据ip地址和端口号来过滤报文,缺乏用户日志和审计信息,缺乏用户认证机制,对过滤规则的完备性也难以得到检验,所以ip防火墙的安全性是比较差的。
(2)应用级防火墙
应用级防火墙又称(proxy)防火墙。它通常作用在应用层,直接对特定的应用层进行服务。这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host),为两端的机器服务请求,也可以是一些可以访问internet并被内部主机访问的堡垒主机。防火墙能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是效率低,对于每一种应用服务都必须为其设计一个软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。
(3)链路级防火墙
链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的应用协议,而是一种传输层的tCp(UDp)连接中继服务。连接的发起方不直接与响应方建立连接,而是与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别。在随后的通信中维护数据的安全(如进行数据加密)、控制通信的进展。链路级防火墙提供的安全保护主要包括:对连接的存在时间进行监测,除去超出所允许的存在时间的连接,这可防止过大的邮件和文件传送;建立允许的发起方表,提供鉴别机制;对传输的数据提供加密保护。
各种防火墙的性能比较如表2-1所示。
2.3传统防火墙的缺点
上述三种基本的防火墙技术都存在不足之处。比如ip级防火墙存在不能彻底防止地址欺骗、正常的数据包路由器无法执行某些安全策略等不足,应用级防火墙则有不能改进低层协议的安全性、实现比较复杂等缺点。传统的防火墙大多都采用报文过滤技术。在实际环境中,大多数的攻击和越权访问来自于内部,而传统的边界防火墙无法对内部网络进行有效的保护。首先,防火墙提供的是静态防御,它的规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。其次,防火墙规则是一种粗颗粒的检查,对一些协议细节无法做到完全解析。此外,防火墙防外不防内,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。
3防火墙的发展趋势
目前防火墙的安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构,往往是安全高效率就低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。
3.1分布式防火墙
分布式防火墙是指那些驻留在网络中的主机,如服务器或台式机并对系统自身提供安全防护的软件产品,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。
分布式防火墙把internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如Http和HttpS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。从广义来讲,分布式防火墙是一中新的防火墙体系结构,他包含网络防火墙、主机防火墙、中心管理等产品。
3.2防火墙联动
随着人们安全意识的日益提高,防火墙、防病毒、入侵检测、加密机等安全产品开始被大量部署在网络中。由于缺少统一、联动的技术,现有安全产品往往各自为政,没能形成一个统一的整体。为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题,引起众多专家和安全厂商的关注。目前,应用范围较为广泛的防火墙联动方式主要有以下几种。
(1)与防病毒实现联动
病毒对网络系统造成了巨大的破坏和威胁,构建可靠的网络防毒体系是网络安全的必要保障。防火墙处于内外网络信息流的必经之地,在网关一级就对病毒进行查杀,成为网络防病毒系统的重要一环。
(2)与入侵检测实现联动
防火墙与入侵检测系统联动是联动体系中重要的一环,这是因为这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。第二种方式是通过开放接口来实现联动。
(3)与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是Checkpoint的防火墙,它提供两个api:Lea(Logexportapi)和eLa(eventLoggingapi),允许第三方访问日志数据。
4结束语
随着internet广泛应用和计算机科学技术的不断发展,防火墙技术也在不断的发展。但是在网络日益严峻的今天,光有防火墙技术是远远不够的,我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障,如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究的课题。
【参考文献】
[1]蔡永泉编著.计算机网络安全[m].北京:北京航空航天大学出版社,2006.10
[2]赵安军,曾应员,徐邦海,常春藤编著.网络安全技术与应用[m].北京:人民邮电出版社,2007.7
[3]王代潮,曾德超.防火墙技术的演变及其发展趋势分析[J].网络安全技术与应用,2005(07)