前言:中文期刊网精心挑选了防火墙在网络中的作用范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
防火墙在网络中的作用范文1
1防火墙概述
防火墙是一种通过相关的网络设备对网络中的一些恶意程序或者恶意信息进行拦截和防控,保证计算机网络安全。从现在的来看,防火墙的工作原理都是对进入或者输出的信息进行相关的检测,获得防火墙体系授权的信息能够通过,未获得授权的信息将无法通过。但是不同类型的防火墙有着不同的防控作用,网络管理者可以通过对防火墙进行相关信息设置来改变防火墙的防控作用。
2防火墙的技术类型
2.1状态检测技术
状态检测类型防火墙是一种通过网络连接状态对相关的恶意程序或者恶意信息进行防控的防火墙,状态检测防火墙是在网络中建立一个状态连接表,然后对相关的数据进行识别检测。该类型防火墙具有较高的安全性和灵活性,是现在应用较为广泛的防火墙类型。但是也存在着在数据检测时出现网络迟滞。
2.2网络地址转换技术
网络地址转换防火墙是在网络运行过程中,网络管理者对网络系统中的所有的计算机服务器进行网络地址注册。在这样的网络体系中,所有的计算机服务器通过系统的安全网卡对外部网络进行访问。这样网络中的真实的网络地址将被隐藏起来,从而避免了相关的恶意程序的攻击,因此能够很好的对网络通信进行安全保护。
2.3应用技术
应用类型的防火主要是在应用层对相关的进出网络的信息进行监控和管理。这种防火墙只需在网络中输入相关的安全保障程序就能够对相关的计算机网络通信进行完全防护,具有较高的安全性,能够对入侵的病毒进行有效的清除。但是这种类型的防火墙防护能力较强,因此在使用过程中十分容易造成网络由于过度防护的网络瘫痪,因此对网络的稳定性有一定的影响,在实际中应用范围较小。
2.4包过滤类型技术
包过滤类型的防火墙是通过对数据包、端口和目的的信息的授权管理来防止恶意程序和恶意信息的进入。这种类型的防火墙最大的特点是只要在网络中安装一个路由器就能够对整个网络进行保护,过滤型路由器具有较高的运行效率,因此能够提升防火墙的防控效率。但是这种类型的防火墙由于主要依靠网络地址,因此对伪装的恶意网络地址不能进行识别,存在一定的安全防控漏洞。
3防火墙选择建议
3.1防火墙类型
为了发挥防火墙在网络通信方面的防控作用,要根据网络类型和网络的运行状况来选择合适的防火墙类型。例如一些局域网来讲要保证网络通信的安全应该选择网络地址转换类型的防火墙。对一些动态网络的网络通信安全保护要求防火墙有较高的灵活性,应此应该选择状态检测型防火墙。因此在网络通信安全防护方面,只有根据网络类型和网络防护对象来选择合适的防火墙才能真正的发挥防火墙的作用,保证网络通信安全。
3.2具有扩充性
防火墙是要对整个网络进行相关的保护,需要根据网络的发展进行全局保护,因此所选择的防火墙应该具有一定的扩充性来适应网络的变化。对一些新建网络而言,由于网络规模较小,信息传输量较小,防火墙的防控压力较小,随着网络的扩大,整个网络的防控压力增大,这是需要对防火墙进行扩充,从而使防火墙对整个网络进行防控。只有选择的防火墙具有一定的扩充性才能适应网络发展的需要,才能真正的保护网络通信。
3.3防火墙安全性
防火墙在网络中的作用范文2
关键词: 防火墙技术;网络;技术;安全;体系架构
1 防火墙的概念
防火墙实际上是一种隔离技术,它可以将内部网和公众访问网分开,是一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个网络间,实施网络之间访问控制的一组组件集合,它可以在两个网络通讯时执行的一种访问控制尺度,它允许安全的数据进入内部网,同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问进行审计和控制。
2 防火墙的分类
防火墙有很多种形式,有的以软件形式运行在普通计算机之上,也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法,从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙;从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类;按防火墙性能可分为百兆级防火墙和千兆级防火墙;按防火墙技术可分为包过滤防火墙和应用级两大类。
3 防火墙的功能
在没有防火墙的环境中,局域网内部上的每个节点都暴露给Internet上的其它主机,局域网的安全性要由其中每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点,从而使得局域网规模越大,把所有主机保持在相同安全水平上的可管理能力就越小。
引入防火墙后,局域网的安全性在防火墙上得到了统一的加固,主要体现在:1)强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。2)记录与Internet之间的通信活动。作为内外网之间唯一的放完通道,防火墙能够记录内部网和外部网络之间发生的多有事件。3)实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中的传播。4)提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙,这样的防火墙便成为一个安全检查点,把所有可疑的访问拒之门外。
4 防火墙技术分析
4.1 包过滤防火墙
数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住,它按照一种被称为访问控制列表(access control list,ACL)的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包,目前,这种过滤主要是针对数据包的协议地址(包括源地址和目的地址)、协议类型和TCP/IP端口(包括源端口和目的端口)来进行的。因此,数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。
4.2 状态检测防火墙
状态检测防火墙采用了状态检测包过滤的技术,是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎,它截获数据包从中抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。
4.3 服务型防火墙
(proxy)服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机,也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。服务程序接受内部网用户对Internet服务的请求,按照相应的安全策略转发它们的请求,并返回Internet网上主机的响应。实际上,就是一个在应用层提供替代连接并充当服务的网关。具有应用相关性,要按照应用服务类型的不同,选择相应的服务。
4.4 网络地址翻译
网络地址翻译(network address translation,NAT),是一种通过将私有地址转换为可以在公网上被路由的公有IP地址,实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上,当内部网络的一台主机想要向外部网络中的主机进行数据传输时,它先将数据包发到NAT设备;NAT设备上的NAT进程将首先查看IP包报头的内容,如果该包是被允许通过的,就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址,然后将数据包转发到外部网络的目标主机上;当外部主机回应包被发送回来时,NAT进程将接收它,并通过查看当前的网络地址转换表,用原来的内部主机私有地址替换回应包中的公有目标地址,然后将该回应包送到内部网的相应源主机上。
4.5 个人防火墙
个人防火墙,也就是通常的单机版防火墙,个人防火墙是保护个人计算机接入公共网络(如因特网)的安全有效措施。个人防火墙以软件防火墙为主,很少见到有个人用硬件防火墙设备。个人防火墙不但可以抵挡外来攻击还可以抵挡内部的攻击。
4.6 防火墙分析综述
通过对防火墙技术性的分析,我们对防火墙有了更加深刻的了解和认识。首先,防火墙只是整个网络安全防护的一部分,其他防护手段如病毒防治、密码技术、鉴别技术等对网络安全也相当重要;其次,防火墙不是绝对安全,只能防护经过防火墙的访问和攻击,而对绕过防火墙进入网络的访问无能为力;再次,防火墙的架构需要风险分析和需求分析,并要进行动态维护,在测试和验证等方面还会受到限制,所以防火墙的防护能力不一定能够满足安全政策的需要。
5 防火墙体系结构
5.1 防火墙硬件架构
在网络信息安全的平台上,多采用的x86、NP、ASIC三种架构的防火墙。
在低端千兆市场上,x86架构的防火墙是主流产品。x86系列架构的防火墙又被称为工控机防火墙,具有开发、设计门槛低、技术成熟等优点,但它对数据包的转发性能相对较弱。
在高端千兆市场上,基于NP的防火墙将占有较大的市场分额。网络处理器(NP)是可编程处理器,是专门用来处理数据包的,它内含的数据处理引擎可以并发进行数据处理工作,能够直接完成网络数据的处理。
ASIC架构的防火墙是采用专用集成电路ASIC技术设计的专门的数据包处理流水线,它可以优化存储器等资源利用,是公认的能满足千兆环境应用的技术方案。但集成电路ASIC技术的开发成本高、开发周期长、开发难度大,一直没能得到广泛的应用。
5.2 防火墙软件架构
根据产品的需要构建完善的产品框架,以软件质量标准实现产品的框架,才是完善的软件架构实现模式。完善的软件架构可以使用户和软件之间、系统与软件之间找到很好的结合点。通过对软件产品和活动的评审和审计可以验证软件的质量,检验软件质量是否符合相应的规程和标准。产品框架的设计师关系到产品稳定性、实用性、安全性等的问题的关键,合理的软件架构可以使得操作系统得到优化,网络容易集成,还能确保应用互操作性。
6 安全体系架构
安全体系结构是面向资源的结构模块化设计,对文件、节点对象、协议类型、应用行为、管理端口协议等资源直接进行控制,极大的提高了网络的安全性,并保证了配置的方便性。系统采用可纵向结构层次化设计和横向功能模块化设计,使得安全系统的层次分明,系统结构清晰合理。对象型设计模式在配置过程中需要先定义配置的对象,后续的配置都按配置进行设置策略。一体化硬件设计要使用高速芯片加速处理网络的数据报文。数据流区块化导引比较则是结合网络连接和当前会话状态进行分析和监控。
防火墙作为最早出现的网络安全产品在网络安全中起着非常重要的作用。近年来,随着防火墙发展人们对防火墙的要求越来越高,防火墙已不再是一个简单的安全产品,而是网络安全的代名词。一般情况下,内外网交界的位置对于网络安全来说非常关键,为了降低网络传输延迟,只有在这个位置放置防火墙、病毒检测设备等。在实际使用中,如果能将防火墙、病毒检测等相关安全产品联合起来协同配合使用,充分发挥它们各自的长处,建立一个有效的安全防范体系,网络安全性就可以有明显的提升。
总之,随着网络信息化的发展,互联网的安全威胁也越来越大,防火墙作为内部网和外部网之间的一种访问控制技术,己经成为保护网络安全的一个重要措施。尽管防火墙的作用非常重要,但在网络安全中不能把防火墙作为唯一的防御手段,还应当结合其他安全措施,建立全面的安全防御体系。
参考文献:
[1]张蓉、贾义,浅析防火墙的系统架构及技术实现,2010年,01期.
[2]刘立博,基于中间层驱动的分布式防火墙技术的研究,2007年,06期.
防火墙在网络中的作用范文3
关键词:防火墙;内部网络;安全防护策略
前言
近几年来,计算机网络已经成为现代社会发展过程中的重要组成部分,在给现代人的生活、工作、学习带来便利的同时,也造成了严重的安全隐患,恶意攻击、计算机病毒、非法入侵等行为日益加剧,给个人、企业、社会都带来了不同程度的损失,网络安全已经成为现代社会重点关注的问题。防火墙是一种常见的网络安全技术,其合理使用能够有效的降低计算机网络中的安全隐患,为用户的内网信息安全提供基本保障。
1 防火墙的基本介绍
防火墙是隔离在内部网络和外部网络之间的一道防御系统,它能够帮助内部网络系统抵挡来自外部网络的攻击与入侵,为内部网络的安全性提供基本保障。从本质上来看,防火墙是一种隔离技术,能够对内部网络与外部网络之间的通信进行合理的控制,它能够允许外部数据、外部用户进入到内部网络当中,同时也能够将恶意的外部数据、外部用户阻隔在内部网络之外,未经授权的外部网络是不能够访问内部网络的,从而避免恶意的外部网络进行内部网络信息的更改、拷贝、销毁等行为,进一步确保计算机内部网络信息的安全性。防火墙主要包括服务访问规则、验证工具、包过滤和应用网关四个部分组成,在实际使用过程中的功能比较丰富[1]。
2 防火墙的主要应用
2.1 防火墙在网络安全中的应用
随着科学技术的不断完善,防火墙在计算机网络安全中的使用越来越广泛,防火墙技术也趋于成熟,在内部网络与外部网络通信的过程中发挥着至关重要的作用,相当于一个安全过滤的装置,能够将来自外部网络的恶意入侵都阻隔在内部网络之外,为内部网络的运行划分出一个安全的区域,是一种有效的网络安全防护手段。在进行网络安全管理的过程中,主要有两种规划方式,一种是在现行的网络中安装防火墙,通过合理添加防火墙的方式增强计算机内部网络的安全性能,采用透明模式进行防火墙的安装,虽然用户在实际应用的过程中感受不到防火墙的存在,但是它确实对用户的网络安全起到了保护的作用。
另一种方式是在设计网络结构的初级阶段就充分考虑网络安全的问题,在网络设计方案当中加入防火墙的设计的内容,相对于透明模式的防火墙设计,更加倾向于混合模式的设计理念,通过连接应用服务器和用户机来提高网络通信的性能,最大限度的为网络安全提供有效防护,确保其他服务项目的顺利进行。另外,这种模式的防火墙设计结构还具有极强的延展性,能够根据计算机网络结构设计的实际情况添加防火墙[2]。
2.2 防火墙在内网安全中的应用[3]
防火墙属于内网与外网之间的安全防护措施,从表面上看主要是阻隔来自外网的恶意入侵、散播计算机病毒等行为,没有直接进行内部网络的管理与保护。其实,防火墙在内网安全中的同样具有广泛的应用。将防火墙安装在计算机网络中不同的位置,所起到的作用也有很大的差异,放置于内网与外网之间的防火墙主要对外网进行管理,而放置在内网中的防火墙则是保护内网安全的控件。在放置于内网中的防火墙上安装TCP/UDP端口过滤功能,那么防火墙在应用的过程中就能够对计算机内网所接收到的数据信息进行过滤,从而起到内网安全防护的作用。
3 基于防火墙的内网安全防护策略
使用防火墙的最终目的就是要确保计算机内部网络信息的安全性,为用户的内部网络信息提供最大限度的安全保障。但是,计算机内网的网络结构比较复杂,要想充分发挥出防火墙的保护作用还需要做出一定的调整,本文主要采用增加防火墙数量的手段来提高计算机内网的安全运行,如图1所示。
通过图1我们能够知道,这种模型利用三个防火墙把一般内网中的传输服务器、用户终端与核心服务器三个区域进行区分,传输服务器、用户终端与核心服务器相互之间通信的时候都需要经过防火墙的同意,进一步确保计算机内网的安全性。图1中将最重要的信息安排在了最内层,外部网络如果想要获取最内层的信息首先要经过五层防火墙,用户与外部网络之间的通信也需要经过三层防火墙,甚至就连内部用户与核心服务器之间的通信都需要经过两层防火墙,有效的对计算机内部的信息进行保护。
这种防火墙设计模式不仅能够在内部网络与外部网络之间建立一种安全防护,还能够帮助计算机系统进行内部网络的安全管理,最大限度的l挥出计算机内部资源和外部资源的优势,利用防火墙技术将内部网络和外部网络有机的区分开,并且在防护的过程中还能够加强对于内部网络的安全管理。另外,这种多层防火墙的设计模式还具有一定的延伸性,设计师可以根据计算机内部网络构架的复杂程度进行防火墙的添加,进一步增强防火墙对内部网络的保护作用,对于提升内部网络的安全性和实用性有很大的帮助[4]。
4 结束语
综上分析可知,本文以三个防火墙技术为例进行内网安全防护策略的分析,确保防火墙技术的应用效果在内网中能够最大限度的发挥出来,为内网的正常使用提供安全保障。这种防护策略能够在原有内网防护系统的基础上增加防火墙的个数,直到对内网中的所有组成部分都进行妥善的保护。计算机内网安全防护不仅需要管理人员的监督与维护,还需要计算机使用者的鼎力配合,进一步提升使用者的安全意识,从而有效的进行内网的安全防护工作。
参考文献
[1]庞雄昌,王 .一种改进的内网安全防护策略[J].计算机安全,2011,12:9-12.
[2]张亮,黄子君.基于防火墙的内网安全防护策略研究[J].科技风,2014,19:13.
防火墙在网络中的作用范文4
【关键词】网络安全 计算机 防火墙
在互联网技术飞速发展的同时,蓄意破坏网络安全环境的不法分子群体也逐渐壮大起来,为了有效抵御黑客的入侵,防火墙技术被引入网络管理系统。所谓防火墙,便是在网络表层披了一件刀枪不入的外衣,其很大程度上制止了不法分子们实施破坏行为的企图。因此,必须加强防火墙技术在网络安全中的应用。
1 防火墙的概论
防火墙技术的应用提高了网络管理的安全性,保障了网络间信息传输的安全,防范了网络外部人员的恶意入侵,是区域防护理念的一大重要实践,为保护计算机网络安全提供了一种方便而快捷的手段。
1.1 概念
防火墙是一种结合了计算机硬件与软件的设施,具有网络防护功能,是本地网络与外部网络之间的一层防护膜,能够有效地过滤外界网络数据包,放行经过认证的数据,最大程度地阻止黑客的访问,从而保证本地网络的安全。
1.2 特点
防火墙能够控制网络之间的访问,按照一定的安全策略对网络间的连接方式以及传输的数据包进行检查,严格控制网络间的通信,阻止非授权用户的访问,过滤不良信息。而一个合格的防火墙系统应具备以下几个特点:
(1)严格筛选网络间传输的数据,放行经过认证的数据;
(2)有效保证自身不受攻击的影响;
(3)使用新型的信息安全技术;
(4)配置良好的、易于管理的人机界面。
1.3 功能
1.3.1 防止非法用户进入内部网络
通过口令、密码、身份认证等方式强化网络安全,制止非授权用户的入侵,强化网络安全策略。
1.3.2 监管网络信息
记录对网络的访问,统计网络使用情况,对可疑的访问进行报警处理,分析网络需求与网络威胁。
1.3.3 限定对特殊站点的访问
严格控制对网络站点的访问,自动扫描网络信息,过滤不安全服务,减少外部网络的恶意攻击。
2 防火墙技术在网络安全中的应用
2.1 技术
2.1.1 数据包传送技术
数据包包含了IP地址、内部协议等信息,所谓数据包传送技术,便是指对数据包的过滤。防火墙通过路由器对数据包进行监视与审查,判断其与包过滤规则的匹配度,一旦匹配度达标,便立即停止数据包的传输。而包过滤规则具有以下两点要求:
(1)只有源地址是外部地址,目标地址是内部地址的数据包才能进入内部网,反之,源地址是内部地址,目标地址是外部地址的才能离开;
(2)无论是数据包的源地址还是目标地址都必须是公共的,而不能使用私有地址。
2.1.2 技术
技术具有一定的强效型和特殊性,能够成功运转在计算机的各个模块中。利用这种技术,防火墙能够有效地分割内外网,只处理内网的请求而拒绝外网的,杜绝了混淆内外网情况的发生,从而保障了内网的安全性。
2.1.3 协议技术
防火墙利用协议技术对各类网关进行筛选,经过认证的网关才能打开,这一程序良好地防止了DOS的无限制攻击,杜绝了计算机发生瘫痪的可能性。
2.2 方向
2.2.1 银行网络中的应用
为适应当代社会网络发展的潮流,各大银行开发了网络项目,以提供更方便快捷的服务。出于银行服务项目的特殊性,人们对保障其网络安全问题的需求越发迫切。基于Internet协议的网络银行系统缺乏相关的安全机制,存在着很多安全漏洞,而防火墙的应用在这时便体现了其特有的功能。
例如,各商业银行可以将其内部局域网与防火墙的内口连接,通过相关技术提高其安全级别,从而保证网络交易的安全性,进一步推动网络银行的发展。
2.2.2 办公网络中的应用
企业在自动化网络的应用中具有开放性,极易导致病毒或黑客的入侵,如若处理不当,很有可能导致企业内部数据和商业机密的丢失。为确保企业经营活动的正常运行,防火墙技术的应用便显得尤为必要。
(1)企业会在活动前确认防火墙中的包过滤规则内容,在处理好IP地址的基础上,具体设置其IP包头,通过具体要求对不同的网络进行一一发送,在所有IP包头到达目的地后组装数据包,从而有效传输数据。
(2)为规避风险,企业会采用服务的方式,服务器一旦接受了外部网络节点提出的服务请求,就会与实际服务器建立连接端口,充分发挥其网络通信的媒介作用,保证用户使用网络的安全性。另外,企业会采取地址迁移的方法来降低风险,通过NAT来实现IP地址在内外部网络间的交换,从而构建安全网络,推进企业经营活动的有效运行。
2.2.3 校园网络中的应用
计算机校园网被越来越广泛地应用于各大、中、小学校,致使能够保证其安全保密性的防火墙技术越来越重要。
校园网在运用过程中极具频繁性,因此防火墙技术为其设计了特定的访问网络限制功能,有效保障了师生的正常学习与工作。
2.2.4 家庭网络中的应用
家庭网络一般使用的是Windows系统,受到外部网络攻击的可能性较小,因此防火墙技术在家庭网络的应用中得到了很好的发展。
3 防火墙技术的发展趋势
网络攻击的方式日新月异,为确保计算机网络的安全性,防火墙技术也不断地更新换代,并出现了一些新的发展趋势,主要体现在以下两个方面。
3.1 包过滤技术的发展趋势
(1)对防火墙进行用户身份认证,增加应用级网关技术,提高安全级别;
(2)采取多级过滤措施,加强防火墙技术的综合性。
3.2 体系结构的发展趋势
随着网络应用的增加,防火墙需要以极高的速率处理数据,加之多媒体应用的普遍化,数据穿过防火墙所带来的延迟要足够小。为满足以上需要,一些制造商开发了基于网络处理器以及ASIC系统的防火墙,专门处理数据层面的任务,减轻CPU的负担。
4 总结
构建安全网络能够帮助企业、个人、家庭等团体在安全的网络环境下运转计算机网络,因此防火墙技术在其中发挥的作用是不容置喙的。但防火墙技术并不能完全杜绝危害网络安全情况的发生,只有不断探索、研究、完善防火墙技术,才能更好地保障网络环境的安全性。
参考文献
[1]郑晓娟.安全网络构建中防火墙技术的研究与应用[J].网络安全技术与应用,2016(03):25,28.
[2]崔艳娜.防火墙技术应用于网络安全分析[J].网络安全技术与应用,2016(03):19-20.
防火墙在网络中的作用范文5
关键词:防火墙;网络安全;安全策略;类型
互联网技术在给人们带来便利的同时,也给人们带来了一些安全隐患,尤其是Internet的出现,更是加剧了安全隐患。自互联网兴起以来,世界各国均发生过互联网黑客案件,世界上一半以上的计算机都曾遭受过黑客的攻击,银行、金融行业更甚,加强网络安全是人们不容忽视的一个问题。网络安全涉及到的内容很多,也有很多安全技术,其中最常见的是防火墙技术,它为网络安全带来了保障,目前已经得到了广泛的推广。
1 网络安全策略与防火墙
1.1 网络安全策略
目前,网络已经成为人们生活和工作中不可缺少的一部分,人们在互联网上进行商品交易、邮件互传、资金转账等活动,如果网络存在安全威胁,那么人们的财产以及一些个人信息也将会受到威胁,实施网络安全策略,就是为了在一定程度上增强网络的安全性,从而保护用户的安全。常见的威胁网络安全的因素体现在以下几个方面,如操作系统自身漏洞、防火墙设置不当、用户的有意破坏等,针对这些问题,制定相关的网络安全策略势在必行[1]。
1.2 网络安全特征
网络安全是人们使用互联网进行活动的前提、是最重要的保障。一个安全的网络环境,应该具备以下九个特征:一是要具有保密性,保证用户的个人信息和资料不被泄露,所有的一切活动都建立在授权的基础上;二是要具有真实性,用户在互联网上进行一些账户注册时,要保证其信息是真实的,鉴别真伪便是真实性需要解决的问题;三是要具有完整性,保证信息的完整,使其不受到恶意的破坏;四是要具有可靠性,在一定的时间内,网络系统能够完成预先设定的要求;五是要具有可用性,网络信息在被授权的情况下,可以被用户获取并使用;六是具有非抵赖性,对网络信息资源进行操作的用户,其真实性被确定,因此对于其的网络行为不可抵赖;七是具有可控性,对于一些不良的网络信息要进行控制,使其不能在网络上进行传播;八是具有授权功能,能授权给予某些特定用户,使其具有访问一些资源的权利;九是具有认证功能,被授权的用户,需要通过身份认证才能行使权力。
1.3 防火墙技术
防火墙是网络安全技术的一种,它的防护效果最佳,已经受到越来越多的重视。防火墙是一个硬件和软件结合的系统,它处在专用网络和共用网络之间,为内部网络构筑了一层保护墙,保护内部网络的用户不受到网络安全威胁,因此被称为防火墙。每一网的计算机都应该设有防火墙,只有通过防火墙,用户才可以进行数据传输,即安全的数据通过防火墙传输出去,而存在隐患的数据被拦截。黑客在进行网络入侵时,只有先通过防火墙,才能得到内部网络的数据。因此,加强防火墙技术对网络安全具有十分重要的意义。
2 防火墙的常见类型
2.1 包过滤型防火墙
包过滤型防火墙是最基础的防火墙技术,其在网络分包传输技术的基础上产生,工作原理比较简单。通常情况下,数据通过网络进行传输的时候,都是通过“包”的形式进行传输,即将需要传输的数据信息分割成一个个的数据包,以数据包的形式进行传输。数据包在通过防火墙的时候,防火墙会对数据包内所含有的源信息进行判断,如果发现安全隐患,那么该数据包将会被拦截。该类型的防火墙简单实用,成本较低,但是安全系数不够高,只能在一定程度上保护网络的安全性,在面对一些高危险病毒的时候,该类型防火墙往往会识别不出来,导致网络安全受到威胁。
2.2 网络地址转换型防火墙
网络地址转换允许具有IP地址的用户以及其网络中的任何一台电脑访问因特网,且在内部网络进行外部访问时,防火墙将会将访问外部的源地址和源端口伪装成另一个源地址和源端口,使用伪装之后的地址与外部网络进行连接,从而对用户的真实的IP地址起到保护的作用。当外部的网络要对内部的网络进行访问的时候,防火墙会根据伪装时设定的信息来对访问进行判断,当访问符合预先设定的规则时,访问将会被允许,否则将会被拒绝。网络地址转换型的防火墙是不需要用户进行特定设置的,用户在使用会联网的过程中,该类型防火墙将会自动起到保护作用。
2.3 型防火墙
型防火墙又称为服务器,其保护作用要高于包过滤型防火墙。服务器置于客户机和服务器之间,主要用于阻挡两者进行数据交流。对于客户机来说,服务器可以看为一台真正的服务器,而对于服务器来说,服务器又是一台真正的客户机。服务器的工作原理是,用户必须通过服务器才能从服务器上获取所需要的数据,服务器在这里扮演着桥梁的角色,服务器作为用户与服务器之间的桥梁,向服务器传达用户的需求,服务器将所需数据传输给服务器,最后由服务器将数据传输给用户。在网络中,外部服务器和内部服务器之间是不连通的,因此内部数据在通过服务器进行传输时可以免受外部网络的侵害。型服务器的安全性能高,但是设置过程复杂,系统管理不易。
2.4 监测型防火墙
监测型防火墙是近年来新开发的一门防火墙技术,该类型的防火墙能够对网络上的数据实现随时随地的监测,且该类型防火墙的分布十分广泛,带有分布式的探测器,其防护效果极高[2]。监测型防火墙在一定程度上超出了传统的防火墙的定义,其性能优于其他类型的防火墙,但是由于该类型防火墙的实现成本比较昂贵,因此该类型的防火墙还没得到广泛的应用和推广。目前,考虑到成本等多方面因素,用户可以选择性地设置防火墙,在满足安全需要的同时对成本进行控制。
3 防火墙技术的具体应用
3.1 内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。
3.2 外网中的防火墙技术
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
4 结束语
在信息化的今天,网络安全具有十分重要的意义,防火墙技术作为保护网络安全的屏障,已经受到越来越多的重视。文章对网络安全进行了介绍,随后重点分析了几种类型的防火墙以及防火墙的具体应用。通过以上分析可知,防火墙技术在保护网络完全方面具有很大的优势,但是该技术也不是一劳永逸的,网络在发展,新的安全隐患也在不断产生,因此,对于防火墙技术的研究也是不能中断的。发展防火墙技术,保护网络安全,是相关工作人员不断追求的目标。
参考文献
防火墙在网络中的作用范文6
论文关键词:网络信息安全;大型网络;硬件防火墙;三次握手;过滤;cpu负载
伴随着信息技术的发展,网络已经成为人们工作生活必不可少的工具,而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障,而硬件防火墙会成为保护大中型网络信息安全的首选!
1大中型网络为何选择硬件防火墙
软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。
对于大中型网络来说,将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给cpu增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的dos(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点.在大中型网络中一般会采用硬件防火墙。
2硬件防火墙的工作原理和网络安全防御策略
2.1防火墙在网络中的位置
外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(dmz),放人公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。
2.2硬件防火墙的构成
硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入linux系统,因为有些指令程序需要安装在windows系统之中,而windows稳定性不如linux,如果在本身就很脆弱的系统平台中布署安全策略.这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全.而且可以保障内部网络中不同部门不同区域之间的安全.
2.3大中型网络安全威胁来源
现今的网络使用的都是tcp,ip协议,tcp报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用tcpflp协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。
在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。
2.4网络中的攻击手段
网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用ip欺骗使服务器复位合法用户的连接,使其不能正常连接.还有就是迫使服务器缓冲区满,无法接受新的请求。
2.4.1伪造ip欺骗攻击
ip欺骗中攻击者构造一个tcp数据,伪装自己的ip和一个合法用户ip相同,并且对服务器发送tcp数据,数据中包含复位链接位(rst),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立连接。
2.4.2syn flood攻击
synflood是利用了tcp协议的缺陷,一个正常的tcp连接需要三次握手,首先客户端发送一个包含syn标志的数据包,然后服务器返回一个syn/ack的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ack,这样才完成tcp连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(backlogqueue)中。synflood攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置tcp报文段的首部,使整个t0p拉文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有syn标志的tcp连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的tcp资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
2.4.3ack hood攻击
用户和服务器之间建立了tcp连接后,所有tcp报文都会带有ack标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应rst包给用户。对于jsp服务器来说,小的ack包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ackflood会让a.pache或iis服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ackflood会对路由器等网络设备以及服务器造成影响。
2.4.4udpflood攻击
udpflood攻击是利用udp协议无连接的特点,伪造大量客户端ip地址向服务器发起udp连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,udpflood会对视频服务器和dns服务器等造成攻击。
2.4.5icm pflood攻击
icmpflood通过pin生的大量数据包,发送给服务器,服务器收到大量icmp数据包,使cpu占用率满载继而引起该tcp/ip栈瘫痪,并停止响应tcp/ip请求,从而遭受攻击,因此运行逐渐变慢,进而死机。
除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带dos攻击,自身消耗dos攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。
2.5硬件防火墙防御攻击的策略
2.5.1伪造ip欺骗攻击的防御策略
当ip数据包出内网时检验其ip源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的ip数据包发出之前,先对来自该ip数据包的ip源地址进行检验。如果该ip包的ip源地址不是其所在局域网内部的ip地址,该ip包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的ip地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的ip源地址的方法基本可以做到预防伪造ip欺骗攻击。
2.5.2syn flo0d攻击防御策略
硬件防火墙对于synflood攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是syncookie和safere.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,synflood攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙synflood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假ip发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。
synco0kie和safereset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
2.5.3 ack flood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ack包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ackflood攻击的依据。防火墙建立hash表存放tcp连接状态,从而大致上知道网络状况。
2.5.4udphood攻击防御策略
udpf1ood攻击防御比较困难,因为udp是无连接的,防火墙应该判断udp包的大小,大包攻击则采用粉碎udp包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃udp包,抑或将udp也设一些和tcp类似的规则。
2.5.5icm pflood攻击防御策略
对于icmpflood的防御策略,硬件防火墙采用过滤icmp报文的方法。
硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。
3硬件防火墙的配置考虑要素和选购标准
硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有等等,还有授权的问题,外网域内网之问,内网里各个不同部门之间,还有dmz区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化.并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑cpu负载问题,过高的cpu负载可能是遭到网络dos攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。
