前言:中文期刊网精心挑选了计算机防火墙技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
计算机防火墙技术范文1
关键词:防火墙技术;体系配置;选择实施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
Deploy and Implementation of Computer Firewall System
ZHOU Li
(Yunnan Jinma Machinery General Factory,Kunming 650102,China)
Abstract:Internet security is not only related to the further development of the Internet and popularity even linked to the Internet to puter security are many factors to establish an absolute security of information systems,how to build better security defenses,ensure the transmission of information security,the firewall has become the computer technology to examine the important issues of the world.This article analyzed not only the history of the firewall but also how to built up a strong firewall in the future.
Key words:Firewall technology;System structure; Choice implementation
随着计算机网络技术的不断发展和完善,计算机网络的应用已经渗透到人们日常生活的各个方面,对社会各个领域的发展产生了重要影响。我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理。然而,由于计算机网络在设计之初只考虑了它的开放性、共享性而忽略了它的安全性,构成计算机网络的许多要素从网络操作系统到网络传输协议 TCP/IP 以及各种网络服务软件都存在着设计缺陷或者系统漏洞,使得一些重要的计算机网络系统极易成为黑客恶意攻击的目标。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最核心、最有效的手段之一。
1 防火墙的体系结构
防火墙系统通常是由过滤路由器和服务器组成。对于一个典型的防火墙的体系结构来说,它包括屏蔽路由器、双宿主主机、被屏蔽主机,被屏蔽子网等类型。
1.1 屏蔽路由器
这是防火墙最基本的构件,它可以由厂家专门生产的路由器实现,也可以由主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装有基于IP层的报文过滤软件,实现报文过滤功能。它的缺点是一旦被攻陷之后很难发现,而且不能识别不同的户。
1.2 双宿主主机
双宿主主机结构是一台至少装有两块网卡或者说至少具有两个网络接口的堡垒主机构成的。其中的两块网卡分别和内网和外网相连,而防火墙的功能则是用堡垒主机运行的防火墙软件来实现。采用双宿主主机结构时,允许内网和外网与双宿主主机进行连接,但是不允许内网和外网直接通信。双宿主主机将在内网和外网的信息完全切断了,从而保护了内部网络。这种结构的优点是它可以利用堡垒主机中记录下的各种日志,可以便于日后检查。但是由于只有堡垒主机这一道屏障,一旦被攻破,那么防火墙就不会再起作用,整个内网完全暴露了出来。所以为了保护内网,双宿主主机要禁止网络层的路由功能,加强身份认证系统,尽量减少在堡垒主机上的用户的帐户数目。
1.3 屏蔽主机网关
屏蔽主机网关是由过滤路由器和应用网关组成的。这种结构使用了一台过滤路由器,它提供来自仅仅与内部网络相连的主机的服务,也即强迫所有到达路由器的数据包被发送到被屏蔽主机。对于这种结构来说,堡垒主机是配置在内部网络上的,而在内网和外网之间放有包过滤路由器。并且在路由器上设定好规则,使从外网来的数据必须要经过堡垒主机,而去往其它主机上的信息被阻塞了。在这种体系结构中,主要的安全是由数据包过滤提供的,而数据包过滤的设置必须要保证堡垒主机是内网和外网之间的唯一通道。同双宿主主机结构一样,堡垒主机也是至关重要的地方。此时它提供了众多的网络服务,例如:邮件服务器、新闻服务器、DNS 服务器,打印服务器或文件服务等等,因此它的安全配置重要到直接决定了整个内网的安全。
1.4 被屏蔽子网
在屏蔽主机网关的结构中,我们可以看到堡垒主机是受到攻击的主要部分,而且也使得内网的安全完全依靠于堡垒主机。那么如果在屏蔽主机网关的结构中多用上一台路由器,而这台路由器的意义主要在于构建一个安全子网在内网和外网之间。如果入侵者想攻入内网的话,那么他就必须在攻破堡垒主机之后,还要面对内部路由器,大大提高了安全性。这种结构就是当然具体建造防火墙时,为了解决安全问题,通常进行多种组合以便发挥更大的作用。
2 防火墙的安全防护措施及选择和实施
2.1 防火墙的安全防护措施
防火墙攻击可以分为三部:防火墙探测、绕过防火墙的攻击和破坏性攻击。在防火墙探测攻击中,一旦攻击者标识出目标网络的防火墙,就能确定它们的部分脆弱点。对于这一类攻击,可以通过设置防火墙过滤规则把出去的ICMP 数据包过滤掉,或者可以在数据包进入防火墙时,检查IP数据包的TTL值。如果为1或者0则丢弃,且不发出任何ICMP数据包来达到防止这种探测的目的。绕过防火墙攻击通常是利用地址欺骗、TCP序列号等手段绕过防火墙的认证机制。可以在配置防火墙时过滤掉那些进来数据包的源地址是内部地址的数据包来达到防范IP欺骗攻击;对源路由攻击所采取的防御方法就是简单丢弃所有包含源路由选项的数据包;对于分片攻击目前可行的解决方案是在分片进入内部网络之前防火墙对其进行重组,但是这增加了防火墙的负担,也影响防火墙传发数据包的效率;木马攻击是比较常用的攻击手段,最好的防范就是避免木马的安装以及在系统上安装木马检测工具。
2.2 防火墙的选择和实施
2.2.1 选择
首先是明确目的。想要如何操作这个系统,亦即只允许想要的工作通过,比如某企业只需要电子邮件服务,则该企业将防火墙设置为只允许电子邮件服务通过,而禁止FTP.WWW等服务;还是允许多种业务通过防火墙,但要设置相应的监测、计量、注册和稽核等。其次是想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单,再根据清单的要求来设置防火墙的各项功能。
第三是费用问题。安全性越高,实现越复杂,费用也相应的越高,反之费用较低,这就需要对网络中需保护的信息和数据进行详细的经济性评估。一般网络安全防护系统的造价占需保护的资源价值的1%左右。所以在装配防火墙时,费用与安全性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是不存在的。可以在现有经济条件下尽可能科学的配置各种防御措施,使防火墙充分地发挥作用。
2.2.2 防火墙的实施技术
2.2.2.1 网络地址转换技术(NAT)
NAT现在已成为防火墙的主要技术之一。通过此项功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。NAT又分“SNAT(SourceNAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换,对外部网络是屏蔽的,使得外部非法用户对内部主机的攻击更加困难。而DNAT就是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,防火墙首先把目的地址转换为自己的地址,然后再转发外部网络的通信连接,这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信,这样就有效地保护了内部主机的信息安全。
2.2.2.2 加密技术
加密技术分为两类:即对称加密和非对称加密。在对称加密技术中,对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密。现在许多种类的防火墙产品都采用了加密技术来保证信息的安全。
2.2.2.3 多级的过滤技术
防火墙采用分组、应用网关和电路网关的三级过滤措施来实现其功能。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,能利用SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的执行严格控制。
3 结束语
在互联网高速发展的时代,人们在享受众多快捷信息的同时,网络安全问题也变的日趋重要。防火墙作为维护网络安全的第一道防线,被认为是威力最大、效果最好的有利保护措施,已成为保障计算机网络安全不可缺少的必备工具,并得到了广泛的应用,但是我们也不能过分依赖防火墙,防火墙不是万能的,网络的安全是一个整体,并不是有某一样特别出色的配置,所以我们要合理的应用防火墙,使它发挥最大的功效,为我们提供更安全的保障。
参考文献:
[1]周明全,吕林涛,李军怀.网络信息安全技术.西安电子科技大学出版社,2005年12月,P143-150.
[2]朱鹏.基于状态包过滤的防火墙技术.微计算机工程,2005年3月, P197-199.
[3]吴功宜.计算机网络.清华大学出版社,2005年9月,P386-392.
[4]胡道元,闵京华.网络安全.清华大学出版社,2005年9月,P145-167.
[5](美)Anne Carasik-Henmi,等.李华飚,柳振良,王恒,等.防火墙核心技术精解.中国水利水电出版社,2005年12月,P256-277.
[6]王代潮.曾能超防火墙技术的演变及其发展趋势分析,信息安全与通信保密,2005年7月.
计算机防火墙技术范文2
关键词:计算机;网络安全;防火墙技术;研究
1引言
在研究计算机防火墙技术过程,要结合实际,明确计算机网络存在的安全隐患,以此才能有针对性的进行时间探索,以提高计算机防火墙技术应用水平,进一步构建更加健康、高效的网络环境,下面具体分析。
2防火墙技术概述
防火墙是现代化互联网信息科技下,一种网络隔离、防护的信息技术,是由计算机的硬件、软件所组成,能够保护用户的正常、安全使用。在实际使用的过程之中,在互联网通讯机制的条件下,能够将互联网过滤设置在计算机中,帮助计算机网络通信的控制,只有经过审核有资质的用户采用使用。从本质上来看,防火墙是一类网络系统与计算机之间的保护设备,研究表明,加装防火墙的计算机和系统能够有效组织外来攻击。在计算机网络的安全标准之下,防火墙能够动态化地进行网络数据包,针对监测到存在安全隐患的数据和信息,能够在第一时间内切断网络信息传导,避免外来恶意用户的攻击,从根本上保护好互联网用户的信息安全。同时,还能不间断地为网络系统进行过滤,将潜在的安全隐患进行阻挡,断绝任何病毒入侵的可能。此外,防火墙还会降阻挡记录等进行备份,从而帮助用户了解到潜在的安全信息,共建良好、开放的互联网信息渠道。
3计算机网络存在的安全隐患
3.1安全防护不足
尽管计算机和互联网技术传入中国已久,但目前我国计算机仍然呈现较为严重的访问机制不安全的现象,尤其是防火墙技术的使用上仍然较为匮乏,相关的信息保护能力差强人意。对于计算机网络系统内部的安全隐患,安全防护措施不到位,并且有些技术人员不重视计算机网络信息安全,当计算机网络出现问题以后才进行处理,缺少预见性,这使得某些严重的恶意攻击给计算机网络造成较大损害,用户数据信息被窃取,严重损害了用户切身利益。
3.2攻击后门
从软件与互联网开发的实际情况和经验来看,程序人员往往会便于自身的测试、更新与修改,会保留专门的后门程序。而部分技术人员在完成软件的调配测试后,疏于管理并没有将专门的后门程序予以删除,这就导致了部分软件在实际运用过程中潜在的安全隐患。部分黑客或病毒无法直接通过软件入侵用户计算机,但从后门系统往往能够更为便捷地入侵,导致了用户信息以及数据的泄露现象。
3.3自保能力差
结合过往用户使用计算机的经验来看,尽管会使用多种多样的手段与方法来杜绝潜在的安全隐患以及外来攻击,但病毒以及黑客的技术也在与时俱进地发展,导致隔绝不利。部分新型计算机病毒的传播速率非常快,只采用原有的技术往往无法检测。尤其是部分个人用户缺乏专门的检测技术与理念,无法跟上计算机病毒日益改变的需求,即使开展了一定程度上的检测工作,也难以达到百分之百的防患。因此,当病毒尤其是新型病毒大面积爆发的时候,往往会引发计算机和互联网的瘫痪。
3.4木马病毒
在我国互联网信息科技力量不断发展的情况下,互联网改变了诸多行业以及业务工作,带来了极大的便利与快捷。但与此同时,个人、企业的数据信息也会挂载在互联网上。而木马病毒即为其中盗取信息的负面因素之一,木马病毒会侵入计算机并对数据信息予以破坏,同时木马病毒还有极高的传播性,会通过通讯软件或邮件传播。在开放的互联网环境之下,木马病毒的传播性将会不断扩张。部分木马病毒的隐蔽性较强,会伪装在系统软件之下,如果用户没有仔细辨认就加以下载,会迅速潜伏到计算机系统中并窃取计算机用户的正常权限,使得用户的数据、信息等被盗取,严重的情况下还会使得用户的个人信息安全遭到侵害。
4计算机网络安全中防火墙技术应用
4.1安全服务配置
在互联网计算机网络之中,防火墙能够有效设置专门的安全服务隔离区,将选定的计算机单独隔离,而隔离的情况下外来的用户和病毒将无法搜索该机群。安全配置下能够设置计算机处于专门的局域网下,作为内网的组成部分能够确保信息数据的安全,并且保证计算机的其他系统正常、独立运转。在防火墙技术的使用过程之中,还具备专门的地址转换能力,即在防火墙保护下的计算机在使用各软件的过程中,不会直接暴露自身的IP地址及其内网结构,而是转为虚拟的IP地址,用以充分提升内网的安全同时,公网的IP地址数量减少,能够进一步降低投资成本。如果局域网中还加设了专门的边界路由器,将进一步简化虚拟、转化的过程,从根本上保障了内网的使用安全。另外,若公用服务器位于安全服务隔离区,可对边界路由器进行直接连接,不用设置防火墙,并且通过优化拓扑结构,可以实现边界路由器和防火墙的双重保险,极大地提高了计算机网络安全,也不会影响外部用户对内网的正常访问。
4.2复合技术
复合技术是目前防火墙综合利用的有效技术方法之一,通过复合技术能够结合互联网中包过滤与技术的二者优势,帮助提供更加稳定、可靠和安全的防护措施,减少了防火墙使用过程中的弊端。目前防火墙技术的复合能力越发成熟,对用户的保护程度也不断提高。防火墙技术的集中体现了多元化的特性,是集合了杀毒软件、防火墙以及警备系统的一种综合性技术,在互联网科技力量越发完善的今天,不论是个人用户还是企业级用户,通过加装防火墙都能够达到良好的效果,保证计算机和互联网的使用安全。与此同时,通过对计算机网络加装专门的防火墙软件系统,能够实现多层不同的防御机制,不仅能够对用户的正常使用有良好的监控,与此同时还能够对外网的恶意攻击等有明显的保护作用。复合技术能够提供多重加密与保护,想要正常访问必须通过多个端口,所以达到了良好的保护目的。此外,防火墙的复合技术还能够主动隐藏计算机的内部情况,避免了黑客或病毒的恶意访问,减少了被访问的几率即可提升防护的综合水平。
4.3运用访问策略
首先,通过防火墙的使用能够将互联网的使用有机分为内网和外网,规划两种不同的使用、参考路径,达到良好的数据传到、访问和交互的安全目的。其次,防火墙技术能够在进入系统前,对对方的系统以及情况有一个初步的了解,在无异常情况的前提条件下予以运作,保证安全系数。最后,计算机网络和访问策略运用的是不同保护方式,访问策略是基于计算机网络的安全需求,优化防火墙调整,从而提升计算机网络防护安全。另外,以形成策略表为前提,访问策略运用,对访问策略所有活动进行详细记录,以该表作为执行顺序,从而提高计算机网络安全防护效率。
4.4入侵检测方式运用
入侵检测是计算机互联网使用过程中最为重要的一项功能,通过动态化的检测系统能够充分提升计算机防护体系的稳定性,弥补当前计算机对自身系统和外来信息排查不力的情况出现,防火墙与计算机的杀毒软件互相结合,能够全方位的监控计算机,通过多元化的计算机方式完成计算机网络的安全隐患排查。与此同时,用户在使用防火墙软件的时候,除了被动检测的方法以外,还可以不定期地使用软件进行自主的入侵检测。部分病毒和木马会在计算机系统中潜伏一定周期,而通过主动检测的方式能够降低这种事故的发生概率,提升用户的安全性。
4.5日志监控中的应用
防火墙软件的最大意义在于,防火墙并非只是一款被动“防守”的软件,而是能够自主判断和记录潜在的风险因素。目前防火墙软件都会有专门的日志监控体系,针对保护计算机使用的情况予以相应的记录,能够将潜在的安全因素以及拦截风险的情况予以明确的记录,并且以智能化的方式进行判断,一旦在后续的使用过程中出现类似的特征,能够在第一时间予以拦截、打击,帮助用户保证自己的使用安全。需要注意的是,用户还需要对防护墙的自主拦截以及日志监控进行梳理分析,并非所有的信息日志都需要加以记录,只需要记录专门有潜在风险以及明确出现恶意攻击的行为,用以最大程度上保证防火墙的使用效率和使用质量。
计算机防火墙技术范文3
【关键词】计算机;网络;安全;防火墙;
中图分类号:TN711 文献标识码:A
一、前言
在计算机得到了快速的发展以后,计算机的硬件发展可谓是日新月异,其软件的发展无法跟上硬件的发展,导致计算机网络的安全问题频发,导致私密信息泄露,引发经济损失。因此,我们需要对网络安全进行思考,对于经常使用的防火墙技术进行分析。
二、网络信息安全的主要威胁
1.网络安全威胁
网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种:网络缺陷,黑客攻击各种病毒,管理的欠缺及资源滥用,网络内部用户的误操作和恶意行为,网络资源滥用,信息泄漏。
2.影响计算机网络安全的因素
①网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞。网络操作系统是网络铷议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞o
④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
⑤恶意攻击。就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
三、防火墙技术
目前,防火墙技术已经成为运用最多的网络产品之一。做为最主要的保护网络安全的有效手段之一,近些年来,防火墙的技术得到了迅速的发展,并取得了许多的进步,下面主要阐述以下三种防火墙技术:
1.包过滤型
这种类型的防火墙主要是在0SI模型中的传输层和网络层中工作,它主要由数据的目的地址和包头源地址等标志来确定是不是可以通过,只有满足了一切过滤的条件的数据包才可以被转发到相应的地址,其余的数据包都会被数据流抛弃。
2.应用型防火墙
应用型的防火墙主要是在OSI模型中的最高层(应用层)中工作,它彻底的阻挡了网络的通信流,通过编制有针对性的的程序来实现控制和监视活动在应用层的通信流的作用。其优点是有着比较高的安全系数,可以侦测和扫描应用层,有效的防止基于应用层的入侵和病毒。缺点是影响了系统的总体的性能,加大了系统管理的复杂性。
3.状态检测型
这种类型的防火墙是用一种基于连接的状态检测的机制,把在同一连接上的所有的包当成一个总体的数据流,这就构成了连接状态表,通过规则表和状态表的一致配合,来识别表中的各种连接状态的因素。这种动态连接表中的记录不仅可以是之前的通信信息,也能是其他相关的应用程序的信息。所以,对比传统的包过滤的防火墙的静态过滤规则表,它更灵活,也更安全。
四、计算机网络的安全策略
1.物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST 技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
访问控制策略
通过访问控制来限制网络资源的非法窃取行为。这种方式能够对网络安全和网络资源保护起到良好的作用,也是主要手段。安全策略的配合使用能够发挥最佳效果,让网络真正的安全,因此网络访问控制是网络安全的核心策略之一。
入网访问控制:入网访问控制是网络访问的第一道关口,通过访问控制来限制哪些用户可以登入到哪些服务器,并且限制了他们获取资源的权限。用户的入网访问控制主要有三个过程:对用户名进行识别验证、用户口令的识别验证、用户帐号的缺省限制检查。必须三个过程都通过才能够获得访问该网络的权限,否则不能够访问。用户名和口令是首要的防护机制,用户在进行注册的时候,通过用户名和口令的输入来获得合法身份,如果服务器验证为不合法的用户,申请失败,当成功之后,用户进行该网络访问的时候,系统会要求用户输入用户名和口令,这就像是你的身份证,只有通过验证才能够获得权限。所以口令是你入网的关键,出于对口令的安全性考虑,输入的口令不会在计算机上显示,而且口令的组成和长度有所限制,用户口令系统会对其进行加密处理,至于加密的方式则有很多种。经过加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器来验证用户的身份。
防火墙控制策略
网络防火墙是用来强化网络访问控制的额一种网络互联设备,通过对用户的限制来避免一些非法用户从外部网络访问内部网络,对内部网络资源进行窃取。他的机制主要是对网络和网络之间传递的数据包进行检测,看其是否是在允许的之内,如果不是则不予以通过,可以对网络的运行起到一种监视的作用。现在的防火墙主要有堡垒主机、包过滤路由、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。不同的防火墙使用的技术不同,主要包含以下几种技术:包过滤型、网络地址转换-NAT、型和监测型。
包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。
(2)防火墙:这种防火墙主要是通过服务器和过滤路由器构成,也是当前使用比较多的一种防火墙。过滤路由器对通过的数据进行严格的挑选,并且和网络相连,将合格的数据传送给服务器,它是过滤路由器和软件的结合。
五、结语
随着科技的发展,计算机也得到了极大地发展,计算机技术和通信技术是当前时代的主旋律,计算机网络为工作和生活带来和很多的改变,让我们能够更加快捷、迅速的获得我们想要的信息,同时信息量也是十分庞大的,计算机的应用更是深入各行各业,正是因为其强大和广泛,网络安全才更加的重要,因此,我们要采用有效的措施来进行防护,保证网络的安全,避免信息泄露,导致经济的巨大损失。
参考文献
[1]温爱华,石建国 计算机网络安全与防火墙技术 [J] 《产业与科技论坛》 -2011年19期-
[2]叶健 计算机网络安全和防火墙技术 [J] 《金田》 -2012年5期-
计算机防火墙技术范文4
关键词:计算机;网络安全管理;防火墙技术
中图分类号:TP393.08
随着计算机技术的快速发展和应用,加快了信息技术的变革和创新,尤其是在近几年的发展过程中,计算机技术得到了全国性的普及,并且计算机技术和网络资源已经形成了非常有效的联合。尽管,网络技术的快速发展带动了人们生活模式和节奏的转变,改善了数字化校园的环境,但是网络资源在没有防护或部分防护的情况下,仍然遭受到不同种类的黑客攻击,因此造成网络资源的破坏和丢失。为此,应加强现代网络资源的保护。
1 防火墙技术发展状况分析
随着新技术的发展和创新,现代化的防火墙技术已经具备了防御外部不良网络资源的同时,对于系统内部的操作有一定的过滤行为,但是防火墙只能够允许符合安全策略的通信。但是为了更高的提高防火墙的防御功能,必须具备过滤所有数据的能力。这也是世界网络技术界对防火墙技术的创新,接下来笔者向大家介绍两种最为常见的网络防护技术。第一种是包过滤型防护墙技术,这种包过滤型防火墙技术工作原理是建立在OSI网络参考模型中的网络层和传输层之间,可以依据不同的数据包源头地址和端口号数据等安全标志判断和分析是否通过。只有满足了这种过滤条件的数据包资源才有可能被转发到需要的目的地,那么其余没有通过的数据包资源就会被挡在外部。第二种是应用型防火墙技术,这种防火墙技术的工作原理是在OSI网络层中的最高层,就是常说的应用层。最大的特点就是完全阻断了网络通信流的数据,通过对每一种应用服务专门编制的程序,实现监督的作用和控制的作用。除了这两种防火墙技术之外,还有很典型的边界防火墙技术和混合防火墙技术等
2 防火墙技术的工作原理
2.1 包过滤型防火墙技术的工作原理
包过滤型防火墙技术的工作原理是通过若干条规则组合而成,然后提供给用户让用户进行自主的选择和设置,但是必须由网络经验非常丰富的网络技术人员对其进行操作和搜集最新的被攻击信息,然后通过加载信息,比如说名称、说明和协议等,包含了所有数据包出入防火墙的过滤方法。对于IP包过滤型技术工作的原理是根据IP数据包的信息,比如说IP地址和IP传输的目的地等进行相应的过滤,如果说在IP数据中加装了封装的TCP或者是ICMP协议的,需要根据这些特殊的协议进行特殊的过滤。应用层的协议主要包括了RPC应用服务过滤和FTP过滤等,主要的操作过程是:防火墙可以根据不同文件的组成格式,判断这个文件的初始地址、目的地地址和文件保存的具体时间、文件的特点和长度等信息,然后根据每个文件不同样的端口数据,对其进行最终的检测、截获和扫描工作。
2.2 应用型防火墙技术的工作原理
在应用层提供服务:服务是在确定了用户的连接请求之后,然后向服务器发出相关的请求,然后服务器根据服务器的要求,对用户端提出的请求作出应答。为了确定连接时的时效性和唯一性,在进行工作的时候需要维护服务器的数据和连接表,为了更好的确定和提供授权,服务器会适当的维护一个扩展字段的集合。在传输层提供服务:说的是防火墙技术会允许FTP的指令对某些指定的文件允许通过。用过户类型技术就是应用层在这个时候具有高级的能力,比如说POP3和HTTP等。支持网络地址的相互转换,简称NAT,意思就是可以将一个IP地址反映到另一个IP地址中,然后为终端的服务器提供路由的服务。NAT方法经常用在办公区域或者是私有区域,目的是更好的解决IP地址不够用的问题。
3 优势和不足
3.1 包过滤型
优势:通过一个过滤路由器就可以对整个网络系统形成保护,数据包在过滤的时候完全对用户透明,并且过滤路由器的工作效率非常高,过滤速度非常快。
不足:没有办法彻底的防御地址欺骗的问题,并且有些应用协议并不适合利用数据包的方式进行过滤。没有非常有效的方法应对黑客的攻击和侵袭,完全不支持应用层协议。
3.2 应用型
优势:网关可以直接隔断内网和外网之间的联系,内网用户对外网进行访问的时候直接转换成防火墙对外网的访问,然后防火墙通过技术的判定之后会转发给内网用户。所有的通信数据都必须通过应用层的专业软件完成,访问者任何时候都没有办法和服务器建立直接的TCP关系,并且整个应用层的协议会话都是完全符合安全策略规定的。而且在检查传输层、应用层和网络层之间的协议特征,对于数据包的检测能力非常强。服务的时候会对每一项数据信息及时记录,工作的灵活性和全面性可以有效的控制进出应用层的内容和流量。
不足:工作的速度相对于路由器工作速度慢,的过程对于用户是完全隐蔽的,对于不同的服务会要求使用不同的服务器,服务没有办法改进底层协议的安全性,适应能力比较弱。
4 最新的防护技术
(1)数据连接路层是TCP/IP协议的最低层,这个层面的常规功能是对于上层数据进行物理帧的拆封和密封,还有对硬件信息的搜寻和管理。在新型的防火墙技术中,数据连接路层除了上述简单的功能之外,还加设了监听网络数据和直接读卡的功能。(2)对于IP层的处理相对来说很复杂,而且需要进行非常多的安全工作。假如说在非常极端的情况下,可以修改IP地址的报头,增设安全机制的数量,但是考虑到系统的兼容性能,不能选择这样的方法,而是转而利用了包过滤型防火墙技术和ICMP所提供的相关功能。但是随着安全技术的不断发展,我们选择第一种方法,前提是必须有路由器的支持。IP层面临的最大问题就是IP地址的欺骗,并且很多上层结构中存在很多的IP欺骗隐患,比如说常见的就是DNS地址的欺骗。在IP层的安全防护工作依据就是根据地址的信息和目的地址的过滤,这个作用在大多数的路由器当中已经得到了实现,但是本系统中的IP层的主要任务就是:地址的过滤、地址和MAC之间的绑定和禁止地址的欺骗。
ICMP在网络防火墙技术当中的主要作用是:对于隐藏在子网内的主机信息进行有效的控制。ICMP虽然说在这个方面有一定的作用,比如说差错报告等,但是也存在很大的安全隐患。一般对外部环境来说,ICMP都应该禁止,因此对于隐藏子网内的主机信息采取了三种不同的策略:第一种是对主机内部的ICMP包可以转发,在转发的时候已经改写了IP源地址,使得外部访问者没有办法看到真正的内部IP地址。第二种是对ICMP请求包全部抛弃。第三种是当内部有请求指令的时候,才可以动态的和外部主机进行连接,并且一些ICMP的威胁安全相应也应该抛弃,比如说路由器的ICMP包。
5 结束语
通过上述材料的分析,随着计算机技术的不断发展,使得现代的人们对于信息资源的依赖性过于紧密,这是影响了防火墙技术的高速高效的发展,这就要求现在的防火墙技术必须将计算机技术和网络技术联合在一起,才可以在硬件和软件方面同时抵御和保护计算机资源。
参考文献:
[1]徐文君.计算机网络安全管理分析[J].河南科技,2013(2):123-124.
[2]赵俊.浅谈计算机防火墙技术与网络安全[J].成都航空职业技术学院学报:综合版,2012(4):79-80.
[3]曹秀娟.防火墙技术在校园网络安全管理中的应用[J].计算机安全,2010(12):143-145.
[4]王莉.网络安全与防火墙技术[J].内江科技,2007(6):13-17.
计算机防火墙技术范文5
一、计算机网络的安全与攻击
计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。
二、网络安全中的防火墙技术
(一)防火墙技术的基本概念
防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。
(二)防火墙的常用功能构件
它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。
三、防火墙的应用价值
防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:
(一)技术的价值
技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。
(二)过滤技术的价值
过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。
(三)检测技术的价值
检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。
四、总结
随着计算机网络的使用愈加广泛,网络安全问题也需要重视。而防火墙技术是计算机网络安全的重要保障手段,科学的利用防火墙技术的原理,能够更加合理的阻止各种信息或数据的泄露问题,避免计算机遭到外部的攻击,确保网络环境的安全。将防火墙技术应用于计算机的网络安全方面能够更加有效的根据实际的情况对网络环境进行保护,发挥其自身的作用以实现保护计算机网络安全的目的。
计算机硕士论文参考文献
[1]马利.计算机网络安全中的防火墙技术应用研究[J].信息与电脑,2017,13(35):35.
计算机防火墙技术范文6
网络技术的迅速发展,给人们生活带来便利的同时一些网络犯罪也逐渐出现,因此信息安全的保密工作成为网络建设中的关键点,而防火墙技术就是其中重要的一个技术。防火墙相当一个屏障,竖立在内部网络与外部网络之间,保护内部网络安全。本文阐述了防火墙的功能,实现防火墙的主要技术手段,并对防火墙技术的未来进行了展望。
关键词:防火墙网络安全发展趋势
1防火墙概述
1.1防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2防火墙与入侵检测技术
2.1入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:
(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;
(2)如何来提高检测系统的检测安全性和准确性;
(3)如何来提高整个检测系统的互动性能。这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合
从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
参考文献
[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安徽教育学院学报,2011.
