防火墻在網(wǎng)絡(luò)中的作用范文

時(shí)間:2023-10-19 17:11:06

導(dǎo)語:如何才能寫好一篇防火墻在網(wǎng)絡(luò)中的作用,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

防火墻在網(wǎng)絡(luò)中的作用

篇1

【關(guān)鍵詞】:防火墻 網(wǎng)絡(luò)安全 技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)在使用過程中,受到來自外界和內(nèi)部的攻擊,造成信息丟失,或者計(jì)算機(jī)自身破壞等后果。因此我們應(yīng)關(guān)注計(jì)算機(jī)網(wǎng)絡(luò)安全,網(wǎng)絡(luò)具有復(fù)雜性,從這一點(diǎn)上使用者應(yīng)正確分析來自網(wǎng)絡(luò)的不同信息,確保操作的合理性。另一方面,要增強(qiáng)防火墻這一重要軟件的功能,實(shí)現(xiàn)對不良信息的隔離功能。

一、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的體現(xiàn)

(一)網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)安全包括很多要求,其中信息安全是其主要體現(xiàn)形式之一。要徹底的實(shí)現(xiàn)對網(wǎng)絡(luò)的防護(hù),需要建立網(wǎng)絡(luò)安全體系。其中包括物理層面、用戶使用上以及數(shù)據(jù)安全評價(jià)等方面的構(gòu)建。但互聯(lián)網(wǎng)的管理上存在漏洞,發(fā)展過于迅速也使得其疏于管理、難于管理,使得互聯(lián)網(wǎng)受到病毒的侵襲嚴(yán)重,通過互聯(lián)網(wǎng)的犯罪行為居高不下。安全隱患主要來自于無閱讀和使用權(quán)限的人通過不同的方式獲得客戶信息。病毒的發(fā)展隨著網(wǎng)絡(luò)技術(shù)的發(fā)達(dá)而逐漸增多,這給企業(yè)的安全帶來威脅。惡意的攻擊源于不安全操作以及設(shè)計(jì)不合理等因素,一旦進(jìn)入病毒程序,將造成巨大的經(jīng)濟(jì)損失。這使得網(wǎng)絡(luò)使用具有雙向性,也提醒使用者正確使用,提醒設(shè)計(jì)者不斷的更新技術(shù),增強(qiáng)計(jì)算機(jī)的防護(hù)能力。這使得防火墻技術(shù)和基于防火墻技術(shù)而更新的計(jì)算機(jī)安全防護(hù)技術(shù)成為必然。

(二)計(jì)算機(jī)安全體系結(jié)構(gòu)

計(jì)算機(jī)系統(tǒng)安全運(yùn)行模式要以信息處理功能和傳輸能力正常為前提。重點(diǎn)關(guān)注計(jì)算機(jī)由于某種原因而造成系統(tǒng)崩潰,確保信息存儲安全。計(jì)算機(jī)安全體系機(jī)構(gòu)也是防止商業(yè)信息泄露的重要途徑之一。網(wǎng)絡(luò)上系統(tǒng)信息的安全通常以客戶的口令鑒別來設(shè)定權(quán)限,另外其體系結(jié)構(gòu)還包括安全審計(jì)、方式控制以及安全隱患追蹤。信息傳播是否安全是其傳播后果的體現(xiàn),信息過濾應(yīng)是安全體系中必備功能之一。它主要用于非法信息的控制,對網(wǎng)絡(luò)搜索引擎的信息失控進(jìn)行必要的掌控。網(wǎng)絡(luò)上的信息內(nèi)容的安全則包含了其應(yīng)具有真實(shí)性、保密性以及明確性等特點(diǎn)。但目前的網(wǎng)絡(luò)發(fā)展中,信息安全隱患大量存在,需要進(jìn)一步的規(guī)范。

二、防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

防火墻具有多年的發(fā)展歷史,其在網(wǎng)絡(luò)安全防護(hù)中的作用十分明顯。且具有安裝方便,使用方便等特點(diǎn)。防火墻是對不良信息等不符合規(guī)定的網(wǎng)絡(luò)輸入進(jìn)行提醒。從而幫助使用者以正確的操作方式避免病毒等侵襲,并迫使所有的連接都使用相同的檢查方式,及時(shí)防止來自于網(wǎng)絡(luò)的攻擊。從邏輯上分析,防火墻事實(shí)上是一個(gè)限制器和分離器。是通過對網(wǎng)絡(luò)上一些不安全因素的分離和處理來確保網(wǎng)絡(luò)的安全。也就是說,“包過濾”技術(shù)是防火墻的核心技術(shù)。包過濾應(yīng)遵循一定的安全策略,管理員通過在計(jì)算機(jī)中設(shè)置過濾和控制清單來實(shí)現(xiàn)其功能。其標(biāo)準(zhǔn)主要為:在防火墻產(chǎn)品中,包過濾的標(biāo)準(zhǔn)一般是靠網(wǎng)絡(luò)管理包的源地址和目的地址、輸入和輸出請求以及TCP/IP等數(shù)據(jù)包協(xié)議。隨著技術(shù)發(fā)展,防火墻技術(shù)不在局限于硬件技術(shù),基于軟件的服務(wù)器也可以實(shí)現(xiàn)防火墻功能。早期的防火墻主要以主機(jī)屏蔽為主要功能,但新時(shí)期其信息加密能力更強(qiáng)。這一技術(shù)進(jìn)一步確保了網(wǎng)絡(luò)信息安全,從技術(shù)層面完成了質(zhì)的飛躍,這一技術(shù)的革新依然在研究之中,將成為未來計(jì)算機(jī)安全控制的核心。對于防火墻功能,主要包括以下幾個(gè)方面。其一:對不合理的信息進(jìn)行過濾,這一過程同樣包括對硬件的監(jiān)測和對軟件的監(jiān)測,可有效阻止病毒的入侵。其二:防止不安全的鏈接訪問,設(shè)置安全權(quán)限,防止不具備權(quán)限的網(wǎng)絡(luò)侵襲。這樣可以合理的過濾到不安全因素。其三:網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì),防火墻能夠形成不同的日志記錄,數(shù)據(jù)統(tǒng)計(jì)結(jié)果具有合理性,通過報(bào)警功能來確保網(wǎng)絡(luò)資源的合理分配和使用。最后:防火墻可以更好的保護(hù)內(nèi)部信息,對外網(wǎng)隱藏的信息進(jìn)行加密保護(hù),防止遠(yuǎn)程程序盜竊信息。

三、網(wǎng)絡(luò)安全體系的構(gòu)建

網(wǎng)絡(luò)安全體系的構(gòu)建是本文研究的重點(diǎn)。尤其是隨著網(wǎng)絡(luò)安全隱患越來越多,防護(hù)墻技術(shù)有待于進(jìn)一步發(fā)展。首先,在技術(shù)上我們應(yīng)不斷的進(jìn)行更新,研究病毒的侵襲模式、新病毒的生成及其原理,并且設(shè)計(jì)功能強(qiáng)大的軟件,以確保系統(tǒng)安全。其次,要加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測,對其實(shí)施全面的防病毒處理,合并其他軟件來協(xié)助防火墻完成信息監(jiān)測。上文我們討論了防火墻的強(qiáng)大的功能,在網(wǎng)絡(luò)安全體系的構(gòu)建中,還應(yīng)及時(shí)發(fā)現(xiàn)問題,將防火墻技術(shù)與最新的技術(shù)相結(jié)合,從而生成強(qiáng)大的、高效的解決網(wǎng)絡(luò)安全的軟件。當(dāng)然,在這一過程中,操作者的合理操作無疑是影響其安全系數(shù)的關(guān)鍵,基于此應(yīng)樹立使用者的安全使用意識,降低網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的威脅,確保計(jì)算機(jī)安全。

綜上所述你,計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等

參考文獻(xiàn)

[1] 張鳴 高楊.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào),2011(02).

篇2

關(guān)鍵詞:防火墻技術(shù);網(wǎng)絡(luò)安全;應(yīng)用探究

當(dāng)前,隨著社會的進(jìn)步和科學(xué)的發(fā)展,以互聯(lián)網(wǎng)為代表的先進(jìn)技術(shù)逐漸深入人們的工作和生活,并帶來了巨大的便利。而互聯(lián)網(wǎng)技術(shù)作為一把“雙刃劍”,其網(wǎng)絡(luò)安全問題也時(shí)刻威脅著人們的生產(chǎn)生活,盡管其影響力大、破壞性強(qiáng),但在入侵過程中卻往往難以被人察覺。從本質(zhì)來說,網(wǎng)絡(luò)安全能夠通過訪問控制和通信安全兩種服務(wù)來保障自身安全,而防火墻是網(wǎng)絡(luò)入口的首要防線,這種服務(wù)要達(dá)到最佳效果,需要防火墻技術(shù)與加密技術(shù)聯(lián)合防護(hù)。實(shí)踐證明,防火墻技術(shù)的網(wǎng)絡(luò)防御效果顯著,并且能夠廣泛用于各個(gè)領(lǐng)域,有效保障網(wǎng)絡(luò)安全。隨著科學(xué)的發(fā)展,防火墻技術(shù)也會不斷進(jìn)步與發(fā)展,實(shí)時(shí)保障用戶的網(wǎng)絡(luò)安全。

1概述

1.1基本概念

所謂防火墻,就其概念而言來源于建筑學(xué),意指防止火災(zāi)從建筑物燃燒至另一建筑物的阻礙物,而網(wǎng)絡(luò)上防火墻意指防止網(wǎng)絡(luò)入侵的阻擋技術(shù)。有些工程師將防火墻定義為:計(jì)算機(jī)系統(tǒng)中所有通信無論是由內(nèi)部到外部或是外部到內(nèi)部都必須經(jīng)過的,并且只有內(nèi)部訪問權(quán)的通信方允許通過的技術(shù)。實(shí)質(zhì)上,防火墻即為一種隔離控制技術(shù),以增強(qiáng)系統(tǒng)內(nèi)部網(wǎng)絡(luò)的可靠性,保障用戶安全為目的。

1.2基本功能

作為保障用戶網(wǎng)絡(luò)安全的重要技術(shù),防火墻主要有以下基本功能:(1)防止用戶內(nèi)部信息的泄露。使用防火墻技術(shù)能夠?qū)⒂?jì)算機(jī)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分,隔離重點(diǎn)網(wǎng),以防出現(xiàn)局部網(wǎng)不安全造成全局網(wǎng)不安全的現(xiàn)象。此外,防火墻技術(shù)通過對進(jìn)入系統(tǒng)的用戶身份進(jìn)行嚴(yán)格驗(yàn)證,對網(wǎng)絡(luò)進(jìn)行相應(yīng)技術(shù)加密,能夠有效防止入侵者竊取用戶數(shù)據(jù)信息。(2)增強(qiáng)網(wǎng)絡(luò)安全策略。防火墻能夠利用其執(zhí)行站點(diǎn)的安全模式把保障系統(tǒng)安全的相應(yīng)指令、加密等軟件與防火墻連接在一起,與傳統(tǒng)防護(hù)模式中各個(gè)系統(tǒng)主機(jī)共同處理網(wǎng)絡(luò)安全的解決方式相比,顯然這種集中管理模式保障安全顯得更為方便、高效。(3)保障網(wǎng)絡(luò)安全。主要表現(xiàn)在防火墻可以阻止不安全的進(jìn)程,減小入侵風(fēng)險(xiǎn),保障網(wǎng)絡(luò)安全。此外,防火墻還能拒絕部分來自路由的攻擊,并報(bào)告給網(wǎng)絡(luò)管理員,以盡可能減少對其他用戶造成麻煩的情況。(4)網(wǎng)絡(luò)存取及訪問監(jiān)控審計(jì)。防火墻能有效記錄網(wǎng)絡(luò)活動并對可疑動作提供報(bào)警功能。為管理員提供誰在訪問網(wǎng)絡(luò)、在網(wǎng)絡(luò)上做什么等信息,當(dāng)發(fā)生可疑動作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。

2防火墻的分類

2.1電路級網(wǎng)關(guān)防火墻

電路級網(wǎng)關(guān)防火墻是目前較為常見的一種防火墻,其本質(zhì)是一個(gè)用于監(jiān)控客戶機(jī)或服務(wù)器的通用服務(wù)器,它主要通過作用于OSI互聯(lián)網(wǎng)模型中的會話層或者TCP協(xié)議的TCP層來實(shí)現(xiàn)其功用。這種防火墻技術(shù)雖然也可應(yīng)用于多個(gè)協(xié)議,但缺陷在于對同一協(xié)議棧運(yùn)行的不同應(yīng)用無法及時(shí)識別,因此此類防火墻也就不用設(shè)置相應(yīng)模塊來應(yīng)對不同的應(yīng)用。在實(shí)際工作中,電路級網(wǎng)關(guān)防火墻的服務(wù)器會對客戶端進(jìn)行部分修改,當(dāng)客戶端發(fā)送相應(yīng)的請求,服務(wù)器便對請求進(jìn)行接收,并客戶端完成網(wǎng)絡(luò)的連接工作。可以看出,此類防火墻能夠?qū)⒕W(wǎng)絡(luò)信息進(jìn)行隱藏,保障信息安全。

2.2應(yīng)用級網(wǎng)關(guān)防火墻

應(yīng)用級網(wǎng)關(guān)防火墻是一種應(yīng)用服務(wù)器,主要在內(nèi)、外部網(wǎng)絡(luò)在進(jìn)行網(wǎng)絡(luò)交換申請服務(wù)時(shí)起連接的功能,其工作方式如下:(1)驗(yàn)證用戶是否符合進(jìn)入條件,如若驗(yàn)證成功,則將用戶請求發(fā)送到內(nèi)部網(wǎng)絡(luò)的主機(jī),此時(shí)也會對用戶進(jìn)行的操作進(jìn)行實(shí)時(shí)監(jiān)測;若發(fā)現(xiàn)危險(xiǎn)或疑似危險(xiǎn)則阻斷訪問。(2)當(dāng)用戶是由內(nèi)部網(wǎng)絡(luò)申請連接外部網(wǎng)絡(luò)時(shí),防火墻工作模式會先對內(nèi)部網(wǎng)絡(luò)發(fā)送的請求進(jìn)行接收和檢查,若合乎要求,防火墻將請求發(fā)送至外部網(wǎng)絡(luò)。由此看出,這兩種工作的工作方式恰好相反。應(yīng)用級網(wǎng)關(guān)防火墻的優(yōu)勢在于方便配置、工作環(huán)境良好,它在內(nèi)外網(wǎng)主機(jī)之間起連接作用,而不允許其直接連接,能夠有效保障使用過程中的安全性。此外,這種服務(wù)器還能夠?qū)τ脩舻牟僮饔涗浀酶釉敱M。

2.3靜態(tài)包過濾防火墻

靜態(tài)包過濾防火墻作用于網(wǎng)格層,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行全面分析,再根據(jù)相應(yīng)安全策略對信息過濾,其篩選Internet防火墻路由器內(nèi)部網(wǎng)…堡壘主機(jī)原則是以所監(jiān)測到的數(shù)據(jù)包的初始信息為基礎(chǔ),允許授權(quán)信息進(jìn)出,限制危險(xiǎn)信息進(jìn)出。當(dāng)前,路由器被廣泛用于網(wǎng)絡(luò)的信息傳輸,連接在內(nèi)、外部網(wǎng)路之間,因此是影響網(wǎng)絡(luò)安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產(chǎn)生作用的技術(shù),因此從某種意義上說靜態(tài)包過濾防火墻也是一種包過濾路由器。靜態(tài)包過濾防火墻的優(yōu)勢在于簡單實(shí)用,運(yùn)行速度快,且透明性較高。這種防火墻技術(shù)的工作運(yùn)用同應(yīng)用層沒有關(guān)系,這就意味著不用對用戶主機(jī)的應(yīng)用程序進(jìn)行修改,配置和使用都顯得較為方便。它的缺點(diǎn)在于這種防火墻需要對TCL、IP等相應(yīng)協(xié)議有較深的認(rèn)識;另外這種防火墻技術(shù)不能夠?qū)τ脩舻牟僮鬟M(jìn)行鑒別。

2.4狀態(tài)監(jiān)測型防火墻

狀態(tài)監(jiān)測型防火墻的作用機(jī)制在于使用了在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎來實(shí)現(xiàn)其作用和功能。這種防火墻工作在網(wǎng)絡(luò)層與鏈路層之間,可以對網(wǎng)絡(luò)通信進(jìn)行跟蹤監(jiān)測,并對相關(guān)狀態(tài)信息進(jìn)行提??;此外,狀態(tài)型監(jiān)測防火墻還能對動態(tài)鏈接表中的狀態(tài)和信息進(jìn)行儲存,并及時(shí)更新,通過信息積累不斷為下面的通信檢查提供數(shù)據(jù)支撐。狀態(tài)監(jiān)測型防火墻的另一大優(yōu)勢在于可以為類似NFS的基于端口動態(tài)分配協(xié)議的應(yīng)用提供技術(shù)支持和類似DNS的無連接的協(xié)議提供應(yīng)用支撐,相對而言,型網(wǎng)關(guān)防護(hù)墻和靜態(tài)包過濾型防火墻則不能支持以上應(yīng)用。綜上所述,狀態(tài)型防火墻能夠有效減少端口開放時(shí)間,并提供相應(yīng)服務(wù)支撐。它的缺點(diǎn)在于會默許內(nèi)部主機(jī)與外部網(wǎng)絡(luò)不通過第三方直接連接,對部分網(wǎng)絡(luò)安全隱患難以起到防護(hù)作用;此外,狀態(tài)監(jiān)測型防火墻不能夠?qū)τ脩舨僮鬟M(jìn)行鑒別。

3防火墻在網(wǎng)絡(luò)安全訪問控制中的應(yīng)用

3.1雙宿主主機(jī)模式

雙宿主主機(jī)模式是通過主機(jī)的使用來實(shí)現(xiàn)的,這臺主機(jī)擁有用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個(gè)接口。防火墻將雙宿主網(wǎng)關(guān)置于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,以阻斷IP層之間的數(shù)據(jù)傳輸。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的主機(jī)不能夠直接進(jìn)行通信,它們都只能與網(wǎng)關(guān)進(jìn)行通信,而內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信需要利用應(yīng)用層的數(shù)據(jù)共享或服務(wù)達(dá)成。

3.2屏蔽主機(jī)模式

屏蔽主機(jī)防火墻主要由堡壘主機(jī)和過濾路由器兩部分組成,其中堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò),過濾器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。堡壘主機(jī)作為連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的唯一通道,使得外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都只能連接到堡壘主機(jī),當(dāng)內(nèi)部網(wǎng)絡(luò)有通信需求時(shí),必須先到堡壘主機(jī),堡壘主機(jī)再進(jìn)行判斷,并決定是否允許連接到外部網(wǎng)絡(luò)。因此,入侵者要想實(shí)現(xiàn)對用戶電腦的入侵,必須首先將主機(jī)攻克,方能到達(dá)內(nèi)部網(wǎng)絡(luò),主機(jī)結(jié)構(gòu)如圖1所示。

3.3屏蔽子網(wǎng)模式

屏蔽子網(wǎng)包括堡壘主機(jī)以及兩個(gè)包過濾器等部分,其內(nèi)、外部網(wǎng)絡(luò)主機(jī)間設(shè)置具有隔離功能的子網(wǎng),以形成隔離區(qū),設(shè)置屏蔽子網(wǎng)的作用在于防止MAIL、Web服務(wù)器等公共服務(wù)直接通過內(nèi)外部網(wǎng)絡(luò)。通常情況下,內(nèi)、外部網(wǎng)絡(luò)都能夠訪問屏蔽子網(wǎng),而不允許穿過子網(wǎng)進(jìn)行通信,這種配置使得當(dāng)堡壘主機(jī)被攻克時(shí),內(nèi)部網(wǎng)絡(luò)仍然可以受到來自包過濾路由器的保護(hù)。這種屏蔽子網(wǎng)防火墻的最大好處在于為計(jì)算機(jī)多提供一層防護(hù),因?yàn)楸仨毠タ藘蓚€(gè)路由器和一個(gè)網(wǎng)關(guān)才能成功入侵。

4防火墻未來發(fā)展趨勢與展望

防火墻技術(shù)作為保障網(wǎng)絡(luò)安全的重要舉措之一,未來必將得到發(fā)展和更新。筆者認(rèn)為未來的防火墻技術(shù)將朝著多元化、智能化、高速化方向發(fā)展,可全面保障用戶信息、應(yīng)用程序與操作過程的安全,且會具有如下新的優(yōu)點(diǎn):(1)高速性?,F(xiàn)階段,防火墻的運(yùn)行速度不夠快的問題突出,而隨著科學(xué)技術(shù)的發(fā)展,防火墻將會更多與芯片技術(shù)相融合,利用芯片提升計(jì)算的速度和精度,最終成為以芯片技術(shù)為主的全硬件型網(wǎng)關(guān),大幅度提升網(wǎng)絡(luò)安全。(2)智能化?,F(xiàn)階段,網(wǎng)絡(luò)安全威脅主要包括病毒傳播、網(wǎng)絡(luò)攻擊、內(nèi)容控制,其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果,因此未來的防火墻技術(shù)一定是朝智能化方向發(fā)展的。(3)多元化。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,多種網(wǎng)絡(luò)模式已被運(yùn)用,未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案,為不同網(wǎng)絡(luò)設(shè)置不同技術(shù)的防火墻,為用戶提供多元化的保障。

5結(jié)語

隨著人們對網(wǎng)絡(luò)技術(shù)的運(yùn)用越來越多,依賴性越來越強(qiáng),人們對網(wǎng)絡(luò)安全也越加重視。實(shí)踐表明,防火墻在保障網(wǎng)絡(luò)安全方面成效顯著。為應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全威脅,防火墻技術(shù)需要不斷地更新和發(fā)展,在保障網(wǎng)絡(luò)安全這條隱蔽的道路上,人們需要做的仍然很多。只有人人注重網(wǎng)絡(luò)安全,采用先進(jìn)技術(shù),才能形成全方位的防御體系,保護(hù)人們的信息資源。

作者:張林 單位:中國航空動力機(jī)械研究所

參考文獻(xiàn)

篇3

所謂網(wǎng)絡(luò)安全,實(shí)質(zhì)上也就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全所涉及的領(lǐng)域是非常廣泛的,但是在當(dāng)前許多的公用通信網(wǎng)絡(luò)中,都存在著各種各樣的安全漏洞和威脅,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,各種各樣的網(wǎng)絡(luò)安全技術(shù)也相應(yīng)的出現(xiàn)了,比如說身份驗(yàn)證、訪問授權(quán)、加密解密技術(shù)、防火墻技術(shù)等等,雖然出現(xiàn)了許許多多的新的網(wǎng)絡(luò)安全技術(shù),但是在眾多的網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)的應(yīng)用仍然最為廣泛。防火墻實(shí)質(zhì)上是一個(gè)系統(tǒng),該系統(tǒng)位于兩個(gè)網(wǎng)絡(luò)之間,并且負(fù)責(zé)執(zhí)行控制策略,通過防火墻,可以使得內(nèi)部網(wǎng)絡(luò)與Internet或者其它的外部網(wǎng)絡(luò)相互隔離,從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻,主要可以實(shí)現(xiàn)對于不安全服務(wù)和非法用戶的過濾,同時(shí)還能夠有效的控制對站點(diǎn)的訪問,時(shí)刻監(jiān)視Internet安全,一旦出現(xiàn)安全風(fēng)險(xiǎn),防火墻還可以起到及時(shí)預(yù)警的作用。

1防火墻技術(shù)概述

所謂的防火墻,指的是設(shè)置在兩個(gè)或者多個(gè)不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一出入口,所有的網(wǎng)絡(luò)信息要想進(jìn)入內(nèi)部網(wǎng)絡(luò),必須要通過這一個(gè)出入口,因此防火墻成為了一個(gè)提供信息安全服務(wù)和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施,同時(shí)防火墻技術(shù)也成為了目前人們公認(rèn)的最有效的網(wǎng)絡(luò)安全保護(hù)手段。防火墻可以對訪問權(quán)限進(jìn)行有效的控制,從而實(shí)現(xiàn)對涉及用戶的操作進(jìn)行審查和過濾,從而有效的降低計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.1計(jì)算機(jī)防火墻技術(shù)

防火墻技術(shù)之所以能夠?qū)崿F(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù),主要就是因?yàn)榉阑饓梢詫?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行分離,正是因?yàn)榉阑饓τ兄軓?qiáng)的隔離性,所以才使得防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中被廣泛的加以運(yùn)用。一般在對防火墻進(jìn)行使用的過程中,所依靠的都是包的外源地址和數(shù)據(jù)包協(xié)議,通過它們來對防火墻進(jìn)行設(shè)置,從而實(shí)現(xiàn)有效的隔離。除此之外,防火墻的實(shí)現(xiàn)還可以通過服務(wù)器的軟件,但是這種方式在實(shí)際應(yīng)用中較為少見。在防火墻技術(shù)出現(xiàn)之初,它的功能僅僅局限于對主機(jī)的限制和對網(wǎng)絡(luò)訪問控制加以規(guī)范,但經(jīng)過多年的發(fā)展,防火墻的功能也進(jìn)一步的得到了完善,當(dāng)前,防火墻已經(jīng)可以完成解密和加密等功能,除此之外,還能夠?qū)崿F(xiàn)對文件的壓縮和解壓,從而使得計(jì)算機(jī)網(wǎng)絡(luò)安全得到了有效的保證。

1.2防火墻的主要功能

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,防火墻的功能已經(jīng)變得十分豐富,其功能主要有以下幾個(gè)方面:第一,防火墻可以對本機(jī)的數(shù)據(jù)進(jìn)行有效的篩選和過濾,通過對信息的篩選和過濾,可以有效的避免非法信息以及各種網(wǎng)絡(luò)病毒的攻擊和入侵,從而保證計(jì)算機(jī)信息的安全;第二,防火墻還可以對網(wǎng)絡(luò)中一些特殊的站點(diǎn)進(jìn)行較為嚴(yán)格的規(guī)范,因?yàn)樵谶@些站點(diǎn)中往往存在著可以對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行破壞的一些病毒文件,所以通過對這些站點(diǎn)的規(guī)范,可以有效避免人們因?yàn)闊o意操作而給計(jì)算機(jī)網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn);第三,防火墻還能夠較為徹底的對一些不安全訪問進(jìn)行攔截,外部人員如果想進(jìn)入內(nèi)部網(wǎng)絡(luò),必須先要經(jīng)過防火墻的審查,只有審查合格,防火墻才會允許進(jìn)入,但是在防火墻的審查過程中,是有著非常多的環(huán)節(jié)的,如果任何一個(gè)環(huán)節(jié)的審查出現(xiàn)了問題,該訪問將會被防火墻過濾,從而有效的減少了網(wǎng)絡(luò)安全問題的出現(xiàn);第四,防火墻還可以對網(wǎng)絡(luò)運(yùn)行中所產(chǎn)生的各種信息數(shù)據(jù)加以保護(hù),如果防火墻發(fā)現(xiàn)了網(wǎng)絡(luò)中出現(xiàn)有威脅網(wǎng)絡(luò)安全的非法活動,防火墻將于第一時(shí)間發(fā)出警報(bào),并且采取相應(yīng)的措施來對其進(jìn)行處理,有效的避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2防火墻的常用技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

2.1數(shù)據(jù)包過濾技術(shù)及其應(yīng)用

數(shù)據(jù)包過濾技術(shù)主要分為組過濾和包過濾兩種,數(shù)據(jù)包過濾技術(shù)是一種較為通用的防火墻技術(shù),并且它也較為廉價(jià)和有效。數(shù)據(jù)包過濾技術(shù)主要是在計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)層和傳輸層發(fā)揮作用。它可以通過對分組包的源、宿地址、端口號機(jī)協(xié)議類型和標(biāo)志確定是否允許其通過。而該技術(shù)所依據(jù)的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優(yōu)點(diǎn)就在于其對于用戶來說是完全透明的,處理速度也非常的快,而且十分易于維護(hù),因此在使用的過程中較為方便,通常包過濾都是被作為網(wǎng)絡(luò)安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的,所以我們也就不能夠看到入侵者的攻擊記錄,而且隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,攻破一個(gè)單純的包過濾式防火墻對于現(xiàn)代的黑客來說也較為簡單。當(dāng)前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻,所以為了進(jìn)一步的提升網(wǎng)絡(luò)的安全性,現(xiàn)在已經(jīng)將包過濾技術(shù)作為網(wǎng)絡(luò)安全的第一道防線,而進(jìn)一步發(fā)展起來了技術(shù)。

2.2服務(wù)技術(shù)及其應(yīng)用

服務(wù)技術(shù)是在數(shù)據(jù)包過濾技術(shù)之后發(fā)展起來的,但現(xiàn)在服務(wù)技術(shù)已經(jīng)成為了防火墻技術(shù)中使用頻率較高的一種技術(shù),而且服務(wù)技術(shù)也擁有非常高的安全性能。服務(wù)軟件往往是運(yùn)行在一臺主機(jī)上的,通過在這一臺主機(jī)上的運(yùn)行來構(gòu)成服務(wù)器,并且負(fù)責(zé)對客戶的請求進(jìn)行截獲,然后再依據(jù)它的安全規(guī)則來決定該請求是否可以得到允許。如果得到了服務(wù)器的允許,該請求才能夠被進(jìn)一步的傳遞給真正的防火墻。一般而言,服務(wù)器是外部可以見到的唯一的防火墻實(shí)體,所以說服務(wù)器對于內(nèi)部用戶而言是完全透明的。除此之外,服務(wù)器還可以對協(xié)議特定的訪問規(guī)則進(jìn)行應(yīng)用,從而來執(zhí)行基于用戶身份和報(bào)文分組內(nèi)容的訪問控制。這種防火墻技術(shù)可以對網(wǎng)絡(luò)信息的交換進(jìn)行完全的控制,并且還可以記錄整個(gè)會話的過程,有著很高的靈活性和安全性。但是服務(wù)技術(shù)也有著自身的缺陷,那就是有可能會對網(wǎng)絡(luò)的性能造成一定的影響,而且對于每一個(gè)服務(wù)器都要進(jìn)行一次模塊的設(shè)計(jì),并且建立起相應(yīng)的網(wǎng)關(guān)層,所以其實(shí)現(xiàn)往往較為復(fù)雜。

2.3狀態(tài)監(jiān)測技術(shù)及其應(yīng)用

狀態(tài)檢測技術(shù)是一種在網(wǎng)絡(luò)層來實(shí)現(xiàn)防火墻功能的技術(shù),狀態(tài)監(jiān)測技術(shù)所使用的是在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊,這個(gè)模塊被稱為監(jiān)測引擎。監(jiān)測引擎不同于服務(wù)器,不會對網(wǎng)絡(luò)的正常運(yùn)行造成任何影響。并且監(jiān)測引擎還可以采用抽取有關(guān)數(shù)據(jù)的方法來對網(wǎng)絡(luò)通信的各層進(jìn)行檢測,抽取相應(yīng)的狀態(tài)信息,然后動態(tài)的加以保存并將其作為以后執(zhí)行安全策略的一個(gè)參考。除此之外,監(jiān)測引擎還可以支持多種協(xié)議及應(yīng)用程序,還可以有效的實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。相比于之前的兩種防火墻技術(shù)而言,狀態(tài)監(jiān)測技術(shù)可以更好地對用戶的訪問請求進(jìn)行處理,因?yàn)闋顟B(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)來進(jìn)行分析,然后再通過對網(wǎng)絡(luò)配置和相應(yīng)的安全規(guī)定的結(jié)合,來做出相應(yīng)的接納、拒絕、身份認(rèn)證、報(bào)警或者給該通信加密等一系列的處理動作。

作者:李慧清 單位:內(nèi)蒙古化工職業(yè)學(xué)院

引用:

[1]趙俊.淺談計(jì)算機(jī)防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學(xué)院學(xué)報(bào):綜合版,2012.

篇4

關(guān)鍵詞:防火墻;類型;安全性

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2010) 05-0000-01

Firewall Design and Application

Lu An,Yang Tianyi

(Chongqing University,Chongqing400715)

Abstract:The firewall as a system of infrastructure,its role is to cut off the communications network controlled by the main trunk route through the controlled safe handling of any communications.There are currently firewall packet filtering,application proxy,and state detection of several types.Firewall security depends on whether the firewall is based on the safety of the operating system and using dedicated hardware platform.

Keywords:Firewall;Type;Security

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。

一、防火墻技術(shù)的涵義

網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備,它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過濾,應(yīng)用網(wǎng)關(guān)和服務(wù)等。

二、防火墻在網(wǎng)絡(luò)中的應(yīng)用

(一)防火墻系統(tǒng)總體設(shè)計(jì)

NP系統(tǒng)下實(shí)現(xiàn)軟件防火墻的設(shè)計(jì)與應(yīng)用,實(shí)質(zhì)上就是基于主機(jī)的網(wǎng)絡(luò)安全解決方案。因此,我們完全可以選擇合適的軟硬件平臺和相應(yīng)的防火墻設(shè)計(jì)原理,自己開發(fā)出一套能夠滿足要求的防火墻系統(tǒng)。

(二)網(wǎng)絡(luò)企業(yè)的防火墻設(shè)置

可以通過一個(gè)安全策略的樣本來了解防火墻的理想設(shè)置:

設(shè)置防火墻的正確位置應(yīng)該在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,它能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。

三、防火墻在網(wǎng)絡(luò)企業(yè)中的運(yùn)用

了解了什么是防火墻和它的各種特性以及防火墻的部署使用規(guī)則之后,結(jié)合實(shí)際的防火墻產(chǎn)品來說明防火墻是如何在一個(gè)網(wǎng)絡(luò)中起到作用的。

在網(wǎng)絡(luò)企業(yè)中有一款防火墻RG-WALL 50,RG-WALL作為一個(gè)路由器運(yùn)行,因此各接口屬于不同的網(wǎng)絡(luò)。在路由器或L4交換設(shè)備中,在安裝RG-WALL的位置兩側(cè)的設(shè)備原先是相互直接連接的,只需一個(gè)網(wǎng)絡(luò)地址即可,但是在中間安裝RG-WALL之后,需要新的網(wǎng)絡(luò)地址體系。模擬真實(shí)情況下的企業(yè)網(wǎng)絡(luò)運(yùn)作情況如圖1所示。

圖1企業(yè)網(wǎng)絡(luò)中拓?fù)鋱D

四、基于NP系統(tǒng)防火墻總體設(shè)計(jì)

(一)NP的防火墻系統(tǒng)主要功能

1.全程動態(tài)包過濾 本防火墻要在NP下實(shí)現(xiàn)全程動態(tài)包過濾功能,通過分析數(shù)據(jù)包的地址、協(xié)議、端口對任何網(wǎng)絡(luò)連接當(dāng)前狀態(tài)進(jìn)行訪問控制,從而提高系統(tǒng)的性能和安全性。

2.提供日志審計(jì) 本防火墻配備了日志記錄系統(tǒng)和查詢工具,用于記錄系統(tǒng)管理、系統(tǒng)訪問及針對安全策略的網(wǎng)絡(luò)訪問情況。

3.防火墻數(shù)據(jù)庫的備份本防火墻制作防火墻過濾數(shù)據(jù)庫,并且管理員可以能動地對該數(shù)據(jù)庫進(jìn)行設(shè)置。

(二)網(wǎng)絡(luò)處理器NP簡介

網(wǎng)絡(luò)處理器(NP)是一種可以編程的設(shè)備,抑或可以說是一種芯片。它是一種為了進(jìn)行網(wǎng)絡(luò)分組處理而特定開發(fā)的新型產(chǎn)品,專業(yè)的應(yīng)用于通信領(lǐng)域中的某一特殊任務(wù)當(dāng)中,其本身具有專門的指令集和配套的軟件開發(fā)系統(tǒng),因此不僅具有較強(qiáng)的編程能力,而且擁有超強(qiáng)的處理性能,從而可以很好的滿足當(dāng)今互聯(lián)網(wǎng)絡(luò)高速發(fā)展的需求以及互聯(lián)網(wǎng)業(yè)務(wù)多元化、多樣化發(fā)展的趨勢。

(三)防火墻系統(tǒng)設(shè)計(jì)方案

基于NP的網(wǎng)絡(luò)系統(tǒng)防火墻由主控單元、網(wǎng)絡(luò)處理單元和電源三部分組成,其中,主控單元采用通用處理器設(shè)計(jì)的管理與協(xié)處理板;網(wǎng)絡(luò)處理單元采用基于NP的專用網(wǎng)絡(luò)處理板,其通過PCI總線與主控單元通信;電源則專為主控單元和網(wǎng)絡(luò)處理單元提供電源支持。

1.主控單元

主控單元硬件部分采用通用中央處理單元設(shè)計(jì)的主控板,以便于管理配置網(wǎng)絡(luò)處理板和運(yùn)行其它非實(shí)時(shí)性的安全模塊。主控單元的軟件包括控制管理和高級安全兩部分??刂乒芾碥浖邮諒腤eb界面和命令行對防火墻傳遞的配置信息,并轉(zhuǎn)換為網(wǎng)絡(luò)處理器識別的信息,發(fā)送到網(wǎng)絡(luò)處理單元的控制管理模塊,同時(shí)接收從網(wǎng)絡(luò)處理單元的控制管理模塊返回的信息。高級安全軟件主要是那些對實(shí)時(shí)性要求不高或在NP中實(shí)現(xiàn)極大影響性能功能。

2.網(wǎng)絡(luò)處理單元

網(wǎng)絡(luò)處理單元采用NP設(shè)計(jì)專用的網(wǎng)絡(luò)處理板,其通過外設(shè)組件互連總線與主控單元通信。因?yàn)榉阑饓Φ陌踩^濾與操作系統(tǒng)無關(guān),并且與防火墻的配置管理及控制相分離,故網(wǎng)絡(luò)處理器的安全功能模塊可以隨時(shí)升級。

(四)基于系統(tǒng)安全防火墻關(guān)鍵技術(shù)

可靠性設(shè)計(jì)、可擴(kuò)展設(shè)計(jì)和精確流控技術(shù)是企業(yè)應(yīng)用防火墻系統(tǒng)設(shè)計(jì)當(dāng)中非常關(guān)鍵的三個(gè)技術(shù)??煽啃栽O(shè)計(jì)技術(shù)可以解決因高頻串?dāng)_帶來的千兆線速丟包問題以及避免操作系統(tǒng)帶來的不穩(wěn)定性和安全隱患問題。擴(kuò)展設(shè)計(jì)可以采用模塊化設(shè)計(jì)和模塊分層,并逐層封裝,配置與控制層提供功能的擴(kuò)展接口。精確流控技術(shù)可以實(shí)現(xiàn)WRED算法和丟包算法,以保證當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí),避免由于誤丟包而帶來的流量震蕩。

五、結(jié)論

在當(dāng)今互聯(lián)網(wǎng)絡(luò)高速發(fā)展的今天,企業(yè)網(wǎng)絡(luò)所受到的應(yīng)用層威脅正在日益加劇。應(yīng)用層不僅成為黑客入侵企業(yè)網(wǎng)絡(luò)的入口,而且成為員工出現(xiàn)泄密等安全事件的優(yōu)良載體,防御企業(yè)網(wǎng)絡(luò)應(yīng)用安全正在成為信息主管與首席安全官共同關(guān)注的話題。而研制更安全和更快速的應(yīng)用防火墻系統(tǒng),將成為今后互聯(lián)網(wǎng)絡(luò)發(fā)展應(yīng)用的一個(gè)重要課題。

參考文獻(xiàn):

[1]林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù).電信科學(xué),1997,13

[2]黃允聰,嚴(yán)望佳.防火墻的選型、配置、安裝和維護(hù).清華大學(xué)出版社,1999

[3]肖曉.教育系統(tǒng)網(wǎng)絡(luò)安全新貴EDU[J].中國教育網(wǎng)絡(luò),2005,7

篇5

關(guān)鍵詞:網(wǎng)絡(luò)安全;信息安全;防火墻

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2012) 13-0000-02

網(wǎng)絡(luò)通訊安全問題主要表現(xiàn)在信息的泄漏、篡改以及非法信息的流傳和散播,還包括一些利用網(wǎng)絡(luò)資源進(jìn)行非法貿(mào)易等問題網(wǎng)絡(luò)通信安全問題可能給企業(yè)帶來更為嚴(yán)重的經(jīng)濟(jì)損失,必須引起我們我們的高度重視和關(guān)注。網(wǎng)路的發(fā)展是以開放為基礎(chǔ)的,但是又因?yàn)檫@種過渡的開放空間,給很多不法人員帶來了空隙可鉆,從而給我們的正常網(wǎng)絡(luò)通訊造成了一定的威脅。網(wǎng)絡(luò)威脅主要來自于兩個(gè)方面,一個(gè)是對網(wǎng)絡(luò)硬件和軟件的損壞或非法入侵,產(chǎn)生線路的干擾、竊聽、病毒傳播、信息盜取等等問題;另一個(gè)是操作系統(tǒng)出現(xiàn)的問題,導(dǎo)致一些應(yīng)用方面的問題頻發(fā)。保證信息技術(shù)的安全,是保證我們生活的隱私、工作的嚴(yán)密的重要問題。

一、防火墻的基本含義及工作原理

(一)防火墻的基本含義

防火墻是指通過一些網(wǎng)絡(luò)設(shè)備,對來自于網(wǎng)絡(luò)的惡意防控程序進(jìn)行阻擋和控制。網(wǎng)絡(luò)設(shè)備包括很多,主要有計(jì)算機(jī)、路由器等等。防火墻的工作形式是不同的,而且不同類型的防火墻,所產(chǎn)生的效果也是有很大差異的,但從整體來看,所有的防火墻的工作原理基本都是相同的。他們通過設(shè)備對黑客等進(jìn)行阻攔,通過被拒絕的方式,保證攔截惡意入侵者的目的。使用防火墻需要網(wǎng)絡(luò)管理人員將防火墻的相關(guān)設(shè)置進(jìn)行詳細(xì)的設(shè)定,對于允許訪問的信息給予通過的設(shè)置,對于不允許通過的信息給予阻擋的設(shè)置,從而保證網(wǎng)絡(luò)通訊的安全進(jìn)行。

(二)防火墻的運(yùn)行原理

首先,我們分析一下包過濾防火墻的運(yùn)行原理。這種類型的防火墻主要是通過對網(wǎng)絡(luò)信息的進(jìn)入和發(fā)送進(jìn)行仔細(xì)審核分析,它需要在分析之前做好安全信息策略工作,對于已經(jīng)得到授權(quán)的信息,防火墻給予放行,對于沒有授權(quán)的信息,防火墻則給予拒絕放行的處理,從而達(dá)到保證網(wǎng)絡(luò)通訊安全的目的。

其次,我們分析一下狀態(tài)檢測防火墻,這個(gè)防火墻的設(shè)置是相對合理有效的一種方式,狀態(tài)檢測防火墻運(yùn)行在正常的服務(wù)器環(huán)境中,提供一個(gè)應(yīng)用層的感知系統(tǒng)。在防火墻打開的狀態(tài)下,信息包被截取,留放在網(wǎng)絡(luò)層,進(jìn)而對數(shù)據(jù)包中的信息進(jìn)行提取,并及時(shí)的保存,保存方式為動態(tài)的列表。通過這種方式來驗(yàn)證后續(xù)的連接請求,所以,狀態(tài)檢測防火墻實(shí)際上是為網(wǎng)絡(luò)系統(tǒng)提供了高安全性的方案,這對于計(jì)算機(jī)系統(tǒng)的操作效率有一定的提升,同時(shí),也保證了網(wǎng)絡(luò)通訊的安全性,是一個(gè)不錯(cuò)的防火墻技術(shù)。

二、防火墻的幾個(gè)技術(shù)類型

(一)包過濾類型防火墻技術(shù)

包過濾型的防火墻是一種常見的防火墻類型,它的技術(shù)是根據(jù)數(shù)據(jù)包的源頭地址、目的和端口號的信息進(jìn)行通過權(quán)利的授予,必須具有授權(quán)的數(shù)據(jù)包才能通過這個(gè)防火墻的關(guān)卡,對于一些沒有授權(quán)的數(shù)據(jù)包只能被阻擋在防火墻外,這個(gè)方法是一個(gè)比較強(qiáng)硬的設(shè)置方法,有的時(shí)候也會阻擋一些有用的信息,但是大多數(shù)情況下,它還是起到了一個(gè)比較良好的通訊安全保證作用。它的運(yùn)行特點(diǎn)是只要應(yīng)用一個(gè)簡單的路由器設(shè)備就可以對網(wǎng)絡(luò)安全起到保護(hù)的作用。而且過濾路由器的應(yīng)用特點(diǎn)是比較迅速、效率較高,運(yùn)用起來比較方便,但是也具有一定的缺陷,即對地址的依賴性比較強(qiáng),對于虛假地址沒有強(qiáng)烈的分辨能力和組織能力,而且,由于它主要是針對過濾包進(jìn)行工作,所以,限制了一些協(xié)議的過濾。從一定程度上來說,這種方法的保護(hù)作用由于其缺陷的問題被削弱了。

(二)網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻技術(shù)

采用網(wǎng)絡(luò)地址轉(zhuǎn)換的防火墻技術(shù)依靠IP地址的注冊,在運(yùn)行過程中,需要網(wǎng)絡(luò)管理員對每一個(gè)計(jì)算機(jī)服務(wù)器進(jìn)行IP地址的注冊。當(dāng)內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡對外部網(wǎng)絡(luò)進(jìn)行訪問時(shí),系統(tǒng)會將與外部通信的的源地址映射為一個(gè)偽裝的地址和端LI與外部網(wǎng)絡(luò)進(jìn)行連接,這就將真實(shí)的內(nèi)部地址進(jìn)行了有效的隱藏;相反,如果來自外部的網(wǎng)絡(luò)地址對計(jì)算機(jī)服務(wù)器進(jìn)行訪問的時(shí)候,通過開放的IP地址進(jìn)行訪問。這個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換型的防火墻也是根據(jù)預(yù)定好的映射,針對訪問地址繼續(xù)擰安全情況的分析和判斷。這種方法似乎系統(tǒng)很麻煩,但對于用戶的使用來講,沒有任何多余的操作環(huán)節(jié),正常的操作和使用便可,防火墻的效果也相對較好。

(三)應(yīng)用防火墻技術(shù)

這種防火墻技術(shù)主要在應(yīng)用層進(jìn)行工作和運(yùn)行,也對這一層的應(yīng)用信息進(jìn)行游俠的監(jiān)督和控制,它能夠做到對網(wǎng)絡(luò)通訊信息進(jìn)行完全拒絕的要求,進(jìn)行相應(yīng)的程序設(shè)定,其具有比較高的安全性能特點(diǎn),也可以對應(yīng)用層進(jìn)行安全性的檢測,對惡意入侵的病毒等進(jìn)行強(qiáng)力的控制和清掃,它的力度較大,效果也比較明顯。然而,在其應(yīng)用過程中也具有一定的問題和缺陷,由于這個(gè)類型的防火墻的力度相對較大,所以,它在應(yīng)用過程中會對網(wǎng)絡(luò)系統(tǒng)產(chǎn)生比較深的影響,對所有的可能情況都要進(jìn)行監(jiān)控,提高了整個(gè)網(wǎng)絡(luò)系統(tǒng)在管理過程中的難度。

(四)狀態(tài)檢測防火墻技術(shù)

篇6

近幾年越來越多的人開始加強(qiáng)對網(wǎng)絡(luò)安全技術(shù)的研究,使得網(wǎng)絡(luò)安全技術(shù)得到了非常發(fā)展,越來越多的新技術(shù)開始投入到實(shí)際應(yīng)用中,從而使得網(wǎng)絡(luò)更加安全。因此,下面我們就網(wǎng)絡(luò)安全的構(gòu)成和影響因素進(jìn)行深入的分析和研究。

1.1網(wǎng)絡(luò)安全構(gòu)成

就國內(nèi)互聯(lián)網(wǎng)的實(shí)際情況來看,當(dāng)前網(wǎng)絡(luò)安全主要是由以下幾個(gè)方面來構(gòu)成:一是網(wǎng)絡(luò)實(shí)體安全,也就是計(jì)算所處的物理環(huán)境和設(shè)施的安全性,以及計(jì)算機(jī)一些附屬設(shè)備的安全,如外設(shè)、網(wǎng)絡(luò)傳輸線路等等;二是軟件安全,其中包括網(wǎng)絡(luò)操作系統(tǒng)自身的安全性以及在系統(tǒng)中的安裝使用的軟件不被非法篡改和病毒入侵等;三是數(shù)據(jù)安全,確保網(wǎng)絡(luò)中的數(shù)據(jù)不被非法竊取或修改等,確保信息數(shù)據(jù)具有一致性與完整性;四是網(wǎng)絡(luò)安全管理,主要是網(wǎng)絡(luò)運(yùn)行中對突發(fā)事件所進(jìn)行的安全處理,其中包括計(jì)算機(jī)安全技術(shù)的使用和網(wǎng)絡(luò)安全管理制度體系的構(gòu)建等。

1.2網(wǎng)絡(luò)機(jī)密性

從網(wǎng)絡(luò)所具有的特征方面來看,網(wǎng)絡(luò)安全包含著五個(gè)最為基本的構(gòu)成要素:一是機(jī)密性。即保證信息數(shù)據(jù)在未授權(quán)的情況下不暴露給沒有權(quán)限的進(jìn)程與實(shí)體;二是完整性。即只有具有權(quán)限的人可以對信息數(shù)據(jù)進(jìn)行修改,并對信息數(shù)據(jù)是否經(jīng)過篡改做出判斷;三是可使用性。具有權(quán)限的實(shí)體可以對信息數(shù)據(jù)開展訪問,網(wǎng)絡(luò)攻擊者不能在占有所有資源的情況下對具有權(quán)限者的工作造成阻礙;四是可控性。即可以對授權(quán)范圍中的行為方式以及信息流向進(jìn)行有效控制;五是可審查性。對已經(jīng)存在的網(wǎng)絡(luò)安全問題提供有價(jià)值的、可調(diào)查的手段和依據(jù)。

1.3影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)所面臨的安全威脅來自于多個(gè)方面,其中主要包括以下幾點(diǎn):一是網(wǎng)絡(luò)能夠讓信息的收集更加的快捷與方便,并且能夠在很大程度上增加信息的價(jià)值,同時(shí)也形成了對網(wǎng)絡(luò)黑客的吸引力;二是計(jì)算機(jī)系統(tǒng)中存在的漏洞難以避免,這讓網(wǎng)絡(luò)入侵時(shí)刻存在可能性。計(jì)算機(jī)系統(tǒng)本身的體系結(jié)構(gòu)安全性欠缺,尤其是操作系統(tǒng)程度允許動態(tài)連接的特點(diǎn)也為黑客的入侵創(chuàng)造了更為有利的環(huán)境;三是網(wǎng)絡(luò)系統(tǒng)中信息數(shù)據(jù)存在于數(shù)據(jù)庫中,這些數(shù)據(jù)在實(shí)現(xiàn)共享的基礎(chǔ)上也具有了危險(xiǎn)性與不安全性,如具有權(quán)限的用戶超出自身權(quán)限對數(shù)據(jù)進(jìn)行修改,沒有權(quán)限的用戶通過繞過安全審核來對信息資源進(jìn)行竊取等;四是系統(tǒng)中的應(yīng)用服務(wù)協(xié)議以及通信協(xié)議具有缺陷并存在被惡意利用的可能性;五是當(dāng)前計(jì)算機(jī)病毒可以對計(jì)算機(jī)硬件造成破壞,并可以通過網(wǎng)絡(luò)對多臺計(jì)算機(jī)造成破壞。隨著計(jì)算機(jī)病毒種類、數(shù)量的增長以及病毒變種和機(jī)理的演變,病毒的檢測和查殺具有了更多的難度;六是網(wǎng)絡(luò)系統(tǒng)與計(jì)算機(jī)配置經(jīng)常發(fā)生變化并且具有十分復(fù)雜的特點(diǎn),如果配置不當(dāng)則容易造成安全漏洞的產(chǎn)生;七是相關(guān)人員在網(wǎng)絡(luò)系統(tǒng)安全方面欠缺認(rèn)識與重視,沒有針對網(wǎng)絡(luò)安全問題采取有針對性的措施。

2防火墻技術(shù)

隨著人們對網(wǎng)絡(luò)安全重視程度的不斷提高,人們研究出越來越多的措施來加強(qiáng)網(wǎng)絡(luò)安全,而防火墻技術(shù)是其中最具代表性、最常用的一種方式,因此,下面我們就對防火墻技術(shù)的概念、原理、分類進(jìn)行深入的分析和研究,以便能夠充分發(fā)揮會防火墻自身的作用和價(jià)值。

2.1防火墻技術(shù)概念

防火墻的基本含義是在建筑物中用于隔離和減緩火勢的墻壁,引申為在網(wǎng)絡(luò)安全中用于防止惡意襲擊的安全防線。防火墻的在網(wǎng)絡(luò)中引申意義就像原意一樣,主要的功能就是防止外部的危險(xiǎn)進(jìn)入到內(nèi)部進(jìn)而造成損害,并隔離網(wǎng)絡(luò)防止損害的擴(kuò)散。防火墻既可以隔絕外界干擾,又可以限制險(xiǎn)情蔓延,還可以保證內(nèi)部的系統(tǒng)安全。根據(jù)功能的不同,防火墻進(jìn)行工作的方式也是不一樣的,通常情況下防火墻的主要構(gòu)成是硬件和軟件設(shè)備,究其根本,防火墻最初的作用是為了保護(hù)內(nèi)部數(shù)據(jù)資源的安全,這是一種訪問控制技術(shù),可以通過各種方式來對因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離,當(dāng)然。如果有需要的話還可以對因特網(wǎng)中的不同部分進(jìn)行分離。

2.2防火墻工作原理及特性

對于已經(jīng)調(diào)試好的防火墻,既可以最大限度的做好監(jiān)控?cái)?shù)據(jù)流量和篩選網(wǎng)絡(luò)信息數(shù)據(jù)的工作,當(dāng)然還可以對未通過并試圖通過其他非正當(dāng)手段進(jìn)行數(shù)據(jù)連接的行為進(jìn)行及時(shí)的記錄,并為管理員進(jìn)行跟蹤和管理的依據(jù)。主流高品質(zhì)的防火墻通常有以下幾個(gè)特征:所有通過因特網(wǎng)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量都必須經(jīng)過防火墻的檢測、通過防火墻檢測并得到允許的數(shù)據(jù)信息才可以進(jìn)入內(nèi)部網(wǎng)絡(luò)、通過防火墻的所有信息流量活動還有信息記錄都必須記錄下來、具有發(fā)現(xiàn)檢測預(yù)報(bào)的功能、防火墻應(yīng)該擁有破解各類惡意攻擊的本領(lǐng)和能力。

2.3主流防火墻的不同分類

主流防火墻由于用途功能不同的原因,通常有以下四種類型:人們在對防火墻進(jìn)行分類時(shí),主要是通過其不同功能來進(jìn)行的,其主要有以下幾種類型:一是,應(yīng)用型防火墻。該種類型主要是由于防火墻服務(wù)不同的對象、選擇的服務(wù)方式不同來進(jìn)行的,通過編寫相應(yīng)的程序,從而為各個(gè)對象提供相應(yīng)的服務(wù),這就能夠在最大程度上確保應(yīng)用信息得到有效監(jiān)控的作用;二是,包過濾器防火墻,該種類型主要是在傳輸方面得到廣泛應(yīng)用。其主要功能是有效檢測和區(qū)分不同的信息數(shù)據(jù),從而能夠最終篩選出適合的信息,進(jìn)而將有用的信息傳輸?shù)狡鋵?yīng)的目的地;三是,復(fù)合型防火墻,是由最基礎(chǔ)的集成電路為結(jié)構(gòu),由防火墻阻止病毒等惡意信息。四是,狀態(tài)包檢測防火墻,這是以一種將同樣屬性的數(shù)據(jù)包連接成一個(gè)整體的監(jiān)測機(jī)制,能夠做到精確區(qū)分各個(gè)連接狀態(tài)的不同因素。

3主流防火墻技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用

總的來講,計(jì)算機(jī)網(wǎng)絡(luò)安全就是依據(jù)防火墻進(jìn)行網(wǎng)絡(luò)的管理工作,并確保工作數(shù)據(jù)的完整性及隱私性。計(jì)算機(jī)網(wǎng)絡(luò)安全分為兩種類型,分別是物理安全和邏輯安全。由于使用者是不一樣的,網(wǎng)絡(luò)安全的解讀自然就會有很多個(gè)不同的版本,舉個(gè)淺顯易懂的例子:大多數(shù)網(wǎng)絡(luò)使用者通常都是簡單的認(rèn)為網(wǎng)絡(luò)安全就是在自己運(yùn)用網(wǎng)絡(luò)進(jìn)行活動的時(shí)候自身的信息不會被竊聽或者是篡改,但是對于網(wǎng)絡(luò)供應(yīng)商們來講,計(jì)算機(jī)網(wǎng)絡(luò)安全除了上述的含義,還應(yīng)該擁有保護(hù)硬件設(shè)備的功能,還應(yīng)該有出現(xiàn)意外事故進(jìn)行自我修復(fù)回復(fù)通信功能的作用。

3.1加密

信息的加密過程一般是這樣的:先由信息發(fā)送者進(jìn)行信息加密,接受信息者知曉信息解密得密碼,接受信息者在收到信息后,通過使用自身擁有的安全秘鑰進(jìn)行信息的解讀,這樣就完成了信息的傳遞工作而不用被第三方攔截。這個(gè)措施的使用就是確保信息傳遞的安全性的。由此可以看出,防火墻技術(shù)中的加密技術(shù),能夠從根本上確保網(wǎng)絡(luò)安全,確保企業(yè)的信息不被受到侵犯,從而使企業(yè)的信息能夠在內(nèi)部進(jìn)行有效的傳遞和共享。因此,加密技術(shù)已經(jīng)在當(dāng)前我國很多企業(yè)的網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。

3.2身份的驗(yàn)證

網(wǎng)絡(luò)用戶得到授權(quán)之后,信息的發(fā)送者和接受者之間就會聯(lián)接起一條信息交換的通道并具有一定的安全系數(shù),這樣就會大大減少信息泄露的風(fēng)險(xiǎn),大幅度降低第三方非法用戶的參與導(dǎo)致信息資料的不安全性。

3.3防病毒

主要分為防治病毒、檢測病毒、清理病毒三個(gè)主要方面。

(1)在網(wǎng)絡(luò)建設(shè)中,安裝防火墻進(jìn)行數(shù)據(jù)信息的控制室時(shí)遵循一定的規(guī)則和條件的,構(gòu)建成功后就會擁有一道相對安全的信息保護(hù)屏障用于保護(hù)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行的數(shù)據(jù)交流,保護(hù)不受第三方的數(shù)據(jù)干擾和信息竊取。

(2)有很多種連接數(shù)據(jù)網(wǎng)絡(luò)的方式,通過路由器進(jìn)行網(wǎng)絡(luò)連接的方式通常擁有一個(gè)C類IP地址,服務(wù)器主要類型是WWW、Email等。該網(wǎng)絡(luò)必然會先進(jìn)行主干網(wǎng)的連接,訪問主干網(wǎng)絡(luò)信息資源,不允許其他的服務(wù)訪問。然后,會進(jìn)行IP地址的詳細(xì)檢查工作,并對信息訪問記錄進(jìn)行存儲,這些都是為了防止其他非法訪問和不正當(dāng)方式的盜用。

4結(jié)論

篇7

關(guān)鍵詞:防火墻;網(wǎng)絡(luò)安全;應(yīng)用

中圖分類號:C96 文獻(xiàn)標(biāo)識碼:A

在互聯(lián)網(wǎng)高度普及和發(fā)展的今天,我們的生產(chǎn)生活方式都發(fā)生了極大的改變,但是網(wǎng)絡(luò)安全問題也日漸突出,數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中泄密、惡意篡改、攔截以及復(fù)制問題日益嚴(yán)峻。這些隱藏的安全隱患對人們隨時(shí)可能造成機(jī)密信息的泄露以及計(jì)算機(jī)系統(tǒng)癱瘓等后果。防火墻技術(shù)是一種有效的信息隔離安全技術(shù),對于構(gòu)建安全的網(wǎng)絡(luò)信息環(huán)境具有非常重要的作用。因此,從這個(gè)角度來看,文章對防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值進(jìn)行分析具有非常重要的現(xiàn)實(shí)意義。

1防火墻技術(shù)

所謂的防火墻是指在不同的網(wǎng)絡(luò)(主要是指可信賴網(wǎng)絡(luò)與不可信賴公共網(wǎng)絡(luò))之間設(shè)置的一系列的安全部件的組合,其主要的作用是在不同的網(wǎng)絡(luò)之間設(shè)置唯一的安全信息入口,根據(jù)用戶設(shè)置的安全策略對出入網(wǎng)絡(luò)的信息流進(jìn)行管理。防火墻本身具備較強(qiáng)的抗攻擊能力,是一種實(shí)現(xiàn)網(wǎng)絡(luò)安全的基本措施。

(1)加密技術(shù)。即信息的發(fā)送方先對信息做加密處理,密碼由接收方掌握,接收方接收到經(jīng)過加密處理的信息后,用解密密鑰對信息進(jìn)行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸?shù)陌踩浴?/p>

(2)身份驗(yàn)證。通過對網(wǎng)絡(luò)用戶的使用授權(quán),在信息的發(fā)送方和接收方之間通過身份認(rèn)證,建立起相對安全的信息通道,這樣可以有效防止未經(jīng)授權(quán)的非法用戶的介入。

(3)防病毒技術(shù),主要涉及對病毒的預(yù)防、檢測以及清除三方面。

(4)進(jìn)侵檢測,即對進(jìn)入系統(tǒng)中未經(jīng)授權(quán)以及異常的信息及時(shí)作出預(yù)警,以及時(shí)檢測出信息系統(tǒng)中的安全威脅。

(5)掃描漏洞。通過對網(wǎng)絡(luò)信息系統(tǒng)中的文件及數(shù)據(jù)加以掃描,進(jìn)而查找出其中可能受到黑客威脅的漏洞,通過此掃描過程,預(yù)先評估并分析出網(wǎng)絡(luò)系統(tǒng)中可能受到黑客利用的漏洞,可以在很大程度上保障網(wǎng)絡(luò)信息安全。

(6)信息防火墻,即通過對網(wǎng)絡(luò)傳輸數(shù)據(jù)的檢測及限制,避免外部非正當(dāng)信息的侵入,最大程度的保障網(wǎng)絡(luò)內(nèi)部的信息安全。

網(wǎng)絡(luò)防火墻本身就如一堵墻壁,將內(nèi)部私人可信賴的安全網(wǎng)絡(luò)與外部公共不可信賴的網(wǎng)絡(luò)進(jìn)行隔離,從而起到區(qū)域網(wǎng)絡(luò)的不同安全區(qū)域的防御作用,其結(jié)構(gòu)如圖1所示。

成如圖1所示,防火墻在內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間起到信息安全管理的作用,通過一系列的安全策略,對互聯(lián)網(wǎng)進(jìn)入內(nèi)網(wǎng)或者內(nèi)網(wǎng)進(jìn)入互聯(lián)網(wǎng)的信息進(jìn)行管理,從而起到保護(hù)用戶數(shù)據(jù)和系統(tǒng)安全的作用。

2防火墻設(shè)置的基本原則

計(jì)算機(jī)網(wǎng)絡(luò)防火墻的設(shè)置主要需要遵循如下幾個(gè)方面的基本原則:

(1)簡便實(shí)用原則

所謂的簡便實(shí)用原則是指我們在防火墻的環(huán)境設(shè)置方面,需要確保其越簡單越好,因?yàn)樵胶唵蔚膶?shí)現(xiàn)方式,就越容易實(shí)用,而且也不容易出現(xiàn)問題,即使是出現(xiàn)問題也相對容易解決。

(2)全面深入原則

防火墻具有許多的網(wǎng)絡(luò)防護(hù)功能,但是任何一種單一的防御措施在實(shí)際上都無法有效的保障系統(tǒng)的安全。因此,在防火墻設(shè)置的時(shí)候,我們需要綜合運(yùn)用各類功能,構(gòu)建起全面、多層次的網(wǎng)絡(luò)安全防御體系,盡量使得各方面的設(shè)置能夠均衡、協(xié)調(diào),相互加強(qiáng),從根本上加強(qiáng)計(jì)算機(jī)的網(wǎng)絡(luò)安全防護(hù)能力。

(3)內(nèi)外兼顧原則

所謂的內(nèi)外兼顧的原則,主要是針對防火墻的技術(shù)特點(diǎn)而言的,由于防火墻個(gè)是防外不防內(nèi)的。但是,從計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)際情況來看,其80%的威脅都是來自于內(nèi)部,因此在進(jìn)行防火墻設(shè)置的時(shí)候,要加強(qiáng)主機(jī)防護(hù),從入侵檢測、漏洞掃描以及病毒的查殺幾個(gè)方面有效的提高防火墻的防護(hù)能力。

3計(jì)算機(jī)網(wǎng)絡(luò)防火墻的具體設(shè)置

為了更好的發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)防火墻的功能,提高計(jì)算機(jī)安全性,依據(jù)上述的設(shè)置原則,可以在如下兩個(gè)方面進(jìn)行防火墻的設(shè)置:

(1)網(wǎng)絡(luò)防火墻的功能設(shè)置

在功能設(shè)置方面,首先需要在上網(wǎng)之前開啟防火墻,然后進(jìn)行安全等級的設(shè)置,如果有固定IP的用戶,設(shè)置為中等即可,這是以往IP固定的用戶一般是局域網(wǎng)用戶,局域網(wǎng)本身就有一定的網(wǎng)絡(luò)防護(hù)功能,中等等級的設(shè)置即可。同時(shí),要打開防火墻的各項(xiàng)針對性的功能,比如網(wǎng)頁安全防護(hù)、聊天安全防護(hù)、下載安全防護(hù)、局域網(wǎng)ARP供給防護(hù)等等。對系統(tǒng)內(nèi)部則要打開鍵盤記錄防護(hù)、文件系統(tǒng)防護(hù)、驅(qū)動防護(hù)、進(jìn)程防護(hù)以及注冊表防護(hù)等幾個(gè)方面的功能。

(2)網(wǎng)絡(luò)防火墻的規(guī)則設(shè)置

一般的,網(wǎng)絡(luò)防火墻是有自身的默認(rèn)規(guī)則的,但是這些規(guī)則只針對計(jì)算機(jī)最為常見的木馬與漏洞,但是對于剛爆發(fā)的新木馬與漏洞,網(wǎng)絡(luò)防火墻舊有的規(guī)則無法使其勝任保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的任務(wù)。因此,我們需要對網(wǎng)絡(luò)防火墻的規(guī)則進(jìn)行設(shè)置。

首先,可以通過利用反病毒廠家提供的相關(guān)信息,對病毒、木馬以及計(jì)算機(jī)安全漏洞的分析結(jié)果進(jìn)行綜合分析。然后,在上述分析的基礎(chǔ)上,根據(jù)自身的實(shí)際需要以及當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀,進(jìn)行規(guī)則設(shè)置。比如,對ICMP IGMP炸彈可以設(shè)置echo requset攔截規(guī)則,攔截ICMP的1型,從而有效防止黑客侵入。具體的規(guī)則設(shè)置因人而異,因時(shí)而異,需要靈活運(yùn)用,文章不就此過多贅述。

結(jié)語

網(wǎng)絡(luò)技術(shù)的發(fā)展和普及在給我?guī)砀鞣N便利的同時(shí),也使得網(wǎng)絡(luò)信息安全態(tài)勢日益嚴(yán)峻。防火墻是一種有效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù),文章研究了網(wǎng)絡(luò)防火墻技術(shù)及網(wǎng)絡(luò)防護(hù)墻的設(shè)置基本規(guī)則,然后在此基礎(chǔ)上,文章對計(jì)算機(jī)網(wǎng)絡(luò)防火墻的功能設(shè)置以及規(guī)則設(shè)置進(jìn)行了探討。然而,我們也應(yīng)該認(rèn)識到,網(wǎng)絡(luò)安全是一項(xiàng)綜合性的課題,需要通過各方面的全力協(xié)作才能夠找到更好的網(wǎng)絡(luò)安全解決對策。希望本文的研究對于推動計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)能夠起到一定的參考作用。

參考文獻(xiàn)

[1]楊春波,張崇俊.防火墻技術(shù)的現(xiàn)狀與發(fā)展趨勢的探討[J].福建電腦,2006(02).

[2]王迪.防火墻技術(shù)及攻擊方法分析[J].湖南民族職業(yè)學(xué)院學(xué)報(bào), 2007(04) .

篇8

關(guān)鍵詞:防火墻 VPN 網(wǎng)絡(luò)安全

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2015)03-0186-01

目前,隨著計(jì)算機(jī)在各個(gè)領(lǐng)域的迅速普及,計(jì)算機(jī)在人們的生活中的所起的作用越來越重要,整個(gè)社會對計(jì)算機(jī)的依賴程度也隨之加大。隨著計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全問題也不容忽視。眾多網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,這使得網(wǎng)絡(luò)安全技術(shù)的發(fā)展得到了廣泛的關(guān)注。而防火墻作為最有效的手段,得到了迅速的發(fā)展。防火墻是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、專用網(wǎng)和公用網(wǎng)之間的保護(hù)屏障??梢杂行У目刂苾?nèi)網(wǎng)和外網(wǎng)之間的數(shù)據(jù)傳輸與訪問??梢杂行У谋苊馔饩W(wǎng)的不信任用戶用非法手段進(jìn)入網(wǎng)絡(luò),從而保證內(nèi)網(wǎng)信息的安全性。虛擬專用網(wǎng)絡(luò)是目前最常用的信息安全隧道技術(shù)。利用虛擬專用網(wǎng)建立一條加密的可靠的數(shù)據(jù)連接信道,讓信息傳遞更加安全。

1 防火墻

防火墻的發(fā)展經(jīng)歷了多個(gè)不同的階段。

1.1 包過濾技術(shù)(packet filtering)

早先,防火墻主要是對每個(gè)數(shù)據(jù)包都進(jìn)行檢查,以包過濾防火墻為代表,對于到達(dá)防火墻的數(shù)據(jù)包檢測其IP地址信息、協(xié)議信息、端口信息等來確定是轉(zhuǎn)發(fā)還是丟棄。包過濾技術(shù)有對于小型網(wǎng)絡(luò)來說實(shí)現(xiàn)簡單、效率高、速度快的優(yōu)點(diǎn),但是包過濾技術(shù)同樣存在不能分辨數(shù)據(jù)包內(nèi)的內(nèi)容,可能存在病毒安全的隱患的問題;包過濾的規(guī)則指定比較復(fù)雜。

1.2 狀態(tài)檢測(stateful-inspection)

在包過濾檢測技術(shù)的基礎(chǔ)上新發(fā)展起了一種技術(shù)為狀態(tài)檢測技術(shù),該技術(shù)的實(shí)質(zhì)為動態(tài)的包過濾技術(shù)。此狀態(tài)檢測技術(shù)具有更好的靈活性和安全性。狀態(tài)檢測技術(shù)主要是在不影響正常通信的前提下,抽取網(wǎng)絡(luò)中的數(shù)據(jù),并對抽取的數(shù)據(jù)進(jìn)行檢測,如IP地址、協(xié)議類型信息、連接狀態(tài)信息等,通過抽取的部分狀態(tài)信息,動態(tài)的保存,對連接狀態(tài)進(jìn)行識別。狀態(tài)檢測技術(shù)具有更好的靈活性和安全性。

1.3 型防火墻技術(shù)(proxy)

一部介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的服務(wù)器,不允許內(nèi)部網(wǎng)絡(luò)直接對外部網(wǎng)絡(luò)進(jìn)行各種操作,內(nèi)部網(wǎng)絡(luò)的用戶的各種操作需要通過進(jìn)行轉(zhuǎn)接,從而實(shí)現(xiàn)對外部網(wǎng)絡(luò)的間接訪問。在數(shù)據(jù)中起到上傳下達(dá)的作用。型防火墻技術(shù)的主要優(yōu)點(diǎn)為對網(wǎng)絡(luò)服務(wù)可以提供有效的監(jiān)控,同時(shí)可以對數(shù)據(jù)包進(jìn)行處理,甚至可以對內(nèi)容進(jìn)行處理,但是缺點(diǎn)是對用戶不透明,不能增強(qiáng)底層協(xié)議的安全性。

1.4 分布式防火墻(distributed firewall)

分布式防火墻提供了更為安全的防火墻,可以同時(shí)防范內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的攻擊,成為發(fā)展的一個(gè)重要方向。分布式防火墻為一種新的防火墻體系結(jié)構(gòu),其結(jié)構(gòu)包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻以及中心管理控制服務(wù)器。分布式防火墻提供了更加靈活的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)安全規(guī)則的定制也由中心管理控制服務(wù)器做集中控制和管理。分布式防火墻建立單一點(diǎn)的脆弱,更加安全的保護(hù)網(wǎng)絡(luò)。

2 VPN技術(shù)

VPN(virtual private network,虛擬專用網(wǎng))是近年來網(wǎng)絡(luò)中最為常用的構(gòu)建信息安全的技術(shù),受到了廣泛的關(guān)注,虛擬額專用網(wǎng)是在公有網(wǎng)絡(luò)中建立私有的數(shù)據(jù)通訊的網(wǎng)絡(luò),即提供一條端對端的通訊,可以保證數(shù)據(jù)信息的安全性。VPN采用的關(guān)鍵技術(shù)包括隧道技術(shù)、加密技術(shù)和密鑰交換技術(shù)。

(1)隧道技術(shù)是一種通過使用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)中傳輸數(shù)據(jù)的一種方式,用隧道傳輸數(shù)據(jù)的優(yōu)點(diǎn)在于可以傳送不同協(xié)議的數(shù)據(jù)包。隧道技術(shù)是將原始數(shù)據(jù)包添加新的IP包頭,并在隧道中進(jìn)行傳輸,將數(shù)據(jù)轉(zhuǎn)發(fā)到目的節(jié)點(diǎn),到達(dá)目的節(jié)點(diǎn)后,去掉IP包頭,得到原始數(shù)據(jù)。也就是說,隧道技術(shù)即為數(shù)據(jù)包的封裝、傳輸和解包的過程。隧道技術(shù)實(shí)際上時(shí)將一種協(xié)議的數(shù)據(jù)單元封裝在另一種協(xié)議中傳輸?shù)募夹g(shù)。(2)加密技術(shù)是保證數(shù)據(jù)包在傳輸過程中完整性和安全性的技術(shù),一般是在數(shù)據(jù)傳輸之前將數(shù)據(jù)進(jìn)行加密,當(dāng)數(shù)據(jù)到達(dá)目的節(jié)點(diǎn)后再對數(shù)據(jù)進(jìn)行解密。常用的密碼技術(shù)包括對稱加密算法和非對稱加密算法,常見的對稱加密算法為DES、AES、3DES等集中。由于對稱密鑰加密算法快,適合大規(guī)模數(shù)據(jù)的加密,因此VPN中常見的加密算法為對稱加密算法。非對稱加密算法為RSA算法和Diffie-Hellman算法。(3)密鑰交換技術(shù);采用密鑰交換協(xié)議對訪問者身份進(jìn)行驗(yàn)證,以提高傳輸?shù)陌踩?,防止非法用戶竊取密鑰。同時(shí)密鑰交換協(xié)議提供了多種驗(yàn)證方式對身份進(jìn)行驗(yàn)證,以保證數(shù)據(jù)傳輸?shù)陌踩?。這些驗(yàn)證方式包括PAP、CHAP、MS-CHAP、SPAP、EAP等。虛擬專用網(wǎng)VPN因其安全性和方便快速地組網(wǎng)特點(diǎn)已經(jīng)被廣泛應(yīng)用。

篇9

關(guān)鍵詞:分布式防火墻技術(shù);特點(diǎn);應(yīng)用

中圖分類號:S762.3+3 文獻(xiàn)標(biāo)識碼:A

前言

近幾年來,隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展,人們在享受網(wǎng)絡(luò)帶來的諸多便利的同時(shí),也正在面臨著日益嚴(yán)重的網(wǎng)絡(luò)安全問題。能否確保內(nèi)部網(wǎng)不被來自網(wǎng)內(nèi)外的用戶非法登陸及惡意攻擊,使政務(wù)、商務(wù)等信息系統(tǒng)能正常運(yùn)行,將成為影響企業(yè)利益、國家安全和社會穩(wěn)定的重要因素。因此,作為新一代的網(wǎng)絡(luò)安全技術(shù),分布式防火墻技術(shù)已應(yīng)運(yùn)而生。

一、分布式防火墻的概念 針對傳統(tǒng)邊界防火墻的缺欠,“分布式防火墻”(Distributed Firewalls)的概念被專家學(xué)者提出來。因?yàn)樗?fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù),所以“分布式防火墻”是一個(gè)完整的系統(tǒng),而不是單一的產(chǎn)品。根據(jù)其所需完成的功能,新的防火墻體系結(jié)構(gòu)包含如下部分: 1、 網(wǎng)絡(luò)防火墻

這一部分有的公司采用的是純軟件方式,而有的可以提供相應(yīng)的硬件支持。它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)邊界式防火墻相比,它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護(hù)層,這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面,更加可靠。不過在功能與傳統(tǒng)的邊界式防火墻類似。 2、主機(jī)防火墻

同樣也有純軟件和硬件兩種產(chǎn)品,是用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。這也是傳統(tǒng)邊界式防火墻所不具有的,也算是對傳統(tǒng)邊界式防火墻在安全體系方面的一個(gè)完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間,以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護(hù),還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。可以說達(dá)到了應(yīng)用層的安全防護(hù),比起網(wǎng)絡(luò)層更加徹底。

3、 中心管理服務(wù)器

中心管理服務(wù)器是整個(gè)分布式防火墻的管理核心,這是一個(gè)服務(wù)器軟件,負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能,也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進(jìn)行智能管理,提高了防火墻的安全防護(hù)靈活性,具備可管理性。

二、分布式防火墻的主要特點(diǎn)

1、主機(jī)駐留性

分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)。主機(jī)防火墻對分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是,使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間,而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。

2、類似個(gè)人防火墻

針對桌面應(yīng)用的狹義分布式防火墻與個(gè)人防火墻有相似之處,如都對應(yīng)個(gè)人系統(tǒng),但兩者的差別又是本質(zhì)的。首先,它們的管理方式不同,個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置,目標(biāo)是防止外部攻擊; 而針對桌面應(yīng)用的狹義防火墻的安全策略是由管理員統(tǒng)一設(shè)置,除了對該桌面系統(tǒng)起到保護(hù)作用外,還對該桌面系統(tǒng)的對外訪問加以控制,并且這種安全機(jī)制是使用者不能改動的。其次,個(gè)人防火墻面向個(gè)人用戶,而針對桌面應(yīng)用的狹義防火墻面向的是企業(yè)級用戶,是企業(yè)級安全解決方案的組成部分。

3、適用于服務(wù)器托管

不同的托管用戶都有不同數(shù)量的服務(wù)器在數(shù)據(jù)中心托管,服務(wù)器上也有不同的應(yīng)用。對于安裝了中心管理系統(tǒng)的管理終端,數(shù)據(jù)中心安全服務(wù)部門的技術(shù)人員可以對所有在數(shù)據(jù)中心委托安全服務(wù)的服務(wù)器的安全狀況進(jìn)行監(jiān)控,并提供有關(guān)的安全日志記錄。

4、嵌入操作系統(tǒng)內(nèi)核

主要是針對目前的純軟件式分布式防火墻。操作系統(tǒng)自身存在許多安全漏洞,運(yùn)行在其上的應(yīng)用軟件無一不受到威脅。分布式主機(jī)防火墻也運(yùn)行在主機(jī)上,所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞,主機(jī)防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行,直接接管網(wǎng)卡,在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制,除防火墻廠商自身的開發(fā)技術(shù)外,與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件,因?yàn)檫@需要一些操作系統(tǒng)不公開內(nèi)部技術(shù)接口。

三、分布式防火墻技術(shù)的主要優(yōu)勢

1、提高了系統(tǒng)性能傳統(tǒng)防火墻由于具有單一的接入控制點(diǎn),無論對網(wǎng)絡(luò)的性能還是對網(wǎng)絡(luò)的可靠性都有不利的影響。分布式防火墻則從根本上拋棄了單一的接入點(diǎn),而使這一問題迎刃而解。另一方面,分布式防火墻可以針對各個(gè)服務(wù)器及終端計(jì)算機(jī)的不同需要,對防火墻進(jìn)行最佳配置,配置時(shí)能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用,如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)行效率。

 2、系統(tǒng)的可擴(kuò)展性因?yàn)榉植际椒阑饓Ψ植荚谡麄€(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中,所以它具有無限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長,它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布,因此它們的高性能可以持續(xù)保持住。而不會像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負(fù)。

四、分布式防火墻技術(shù)的應(yīng)用

1、利用分布式防火墻堵住內(nèi)網(wǎng)漏洞隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,傳統(tǒng)邊界防火墻逐漸暴露出一些弱點(diǎn),具體表現(xiàn)在以下幾個(gè)方面。(1)受網(wǎng)絡(luò)結(jié)構(gòu)限制邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。隨著越來越多的用戶利用互聯(lián)網(wǎng)構(gòu)架跨地區(qū)企業(yè)網(wǎng)絡(luò),移動辦公和服務(wù)器托管日益普遍,加上電子商務(wù)要求商務(wù)伙伴之間在一定權(quán)限下可以彼此訪問,企業(yè)內(nèi)部網(wǎng)和網(wǎng)絡(luò)邊界逐漸成為邏輯上的概念,邊界防火墻的應(yīng)用也受到越來越多的限制。(2)內(nèi)部不夠安全邊界防火墻設(shè)置安全策略是基于這樣一個(gè)基本假設(shè):企業(yè)網(wǎng)外部的人都是不可信的,而企業(yè)網(wǎng)內(nèi)部的人都是可信的。事實(shí)上,接近80%的攻擊和越權(quán)訪問來自于企業(yè)網(wǎng)內(nèi)部,邊界防火墻對于來自企業(yè)網(wǎng)內(nèi)部的攻擊顯得力不從心。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為不“友好”的。它們對個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對于Web服務(wù)器來說,分布式防火墻進(jìn)行配置后能夠阻止一些不必要的協(xié)議通過,從而阻止了非法入侵的發(fā)生。(3)效率不高與故障點(diǎn)多邊界防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界的單點(diǎn)上,由此造成網(wǎng)絡(luò)訪問瓶頸,并使得用戶在選擇防火墻產(chǎn)品時(shí)首先考慮檢測效率,其次才是安全機(jī)制。安全策略過于復(fù)雜也進(jìn)一步降低了邊界防火墻的效率。

2、利用分布式防火墻查殺病毒企業(yè)級防火墻作為企業(yè)網(wǎng)絡(luò)安全的“門神”,有著不可替代的作用。但實(shí)踐證明,企業(yè)級防火墻也不能令人完全滿意。與企業(yè)級防火墻相比,個(gè)人防火墻(主機(jī)防火墻)可以有效地阻止內(nèi)部網(wǎng)絡(luò)攻擊,并且由于防護(hù)節(jié)點(diǎn)在主機(jī),可以大大減輕對網(wǎng)絡(luò)帶寬和資源的影響。但個(gè)人防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用和防病毒軟件的應(yīng)用一樣面臨管理的問題,沒有統(tǒng)一整體的管理,個(gè)人防火墻也不會起到應(yīng)有的作用。分布式防火墻技術(shù)的出現(xiàn),有效地解決了這一問題。以北京安軟天地科技的EVERLINK分布式防火墻為例,它不僅提供了個(gè)人防火墻、入侵檢測、腳本過濾和應(yīng)用程序訪問控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墻中央管理器,可以對網(wǎng)絡(luò)內(nèi)每臺計(jì)算機(jī)上的防火墻進(jìn)行配置、管理和更新,從宏觀上對整個(gè)網(wǎng)絡(luò)的防火墻進(jìn)行控制和管理。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進(jìn)行,也可以通過Iternet實(shí)現(xiàn)遠(yuǎn)程管理。另外,對于應(yīng)用較簡單的局域網(wǎng),網(wǎng)絡(luò)殺毒和分布式防火墻的組合是比較易于部署且維護(hù)方便的安全解決方案。

結(jié)束語

只有加強(qiáng)對分布式防火墻技術(shù)的應(yīng)用研究,使它最終形成了一個(gè)多層次、多協(xié)議、內(nèi)外皆防的全方位安全體系,才能滿足人們對防火墻技術(shù)日益增長的需求。

參考文獻(xiàn)

[1] ,李臻,彭紀(jì)奎.基于入侵檢測的分布式防火墻的應(yīng)用研究[J].微電子學(xué)與計(jì)算機(jī),2011(6).

篇10

【關(guān)鍵詞】內(nèi)部網(wǎng)絡(luò);外部網(wǎng)絡(luò);安全計(jì)算機(jī)技術(shù);信息技術(shù)

隨著當(dāng)前社會和科學(xué)技術(shù)的不斷發(fā)展和應(yīng)用,網(wǎng)絡(luò)化通信已成為信息發(fā)展的中心,是推動社會進(jìn)步,存進(jìn)社會發(fā)展的主要手段?;ヂ?lián)網(wǎng),因特網(wǎng)的不斷利用為當(dāng)前各種先進(jìn)技術(shù)和信息的交流打下了基礎(chǔ),為當(dāng)前社會發(fā)展過程中的各種應(yīng)用手段提供了前提,更為企業(yè)在市場發(fā)展中的市場認(rèn)識和市場變動奠定了認(rèn)知基礎(chǔ)和前提。在當(dāng)前科學(xué)技術(shù)飛速發(fā)展中,網(wǎng)絡(luò)技術(shù)可以說是已成為當(dāng)前各個(gè)國家,各個(gè)地區(qū)應(yīng)用的主要手段,早已覆蓋了整個(gè)世界的各個(gè)角落,成為各行各業(yè)發(fā)展的重點(diǎn)和主要手段。但是隨著社會發(fā)展中,網(wǎng)絡(luò)通信技術(shù)中的各種問題和隱患也逐步的成為影響通信良好發(fā)展的前提基礎(chǔ),更是影響社會因素健康發(fā)展的前提基礎(chǔ),在這些隱患和問題中以網(wǎng)絡(luò)安全隱患和故障為最,是當(dāng)前信息影響的主要因素和方式。

1、網(wǎng)絡(luò)防火墻安全問題

網(wǎng)絡(luò)就好比是一座城市,是一個(gè)綜合的大型城市,其中存在著各種問題和因素,也存在著諸多的影響和制約關(guān)鍵。網(wǎng)絡(luò)在剛開始成型的過程中就如同是一座不設(shè)防的城市,其在使用的過程中受到各種嚴(yán)重的攻擊與侵害,是影響網(wǎng)絡(luò)安全,制約網(wǎng)絡(luò)信息傳輸速度和計(jì)算機(jī)運(yùn)行功率。在當(dāng)前構(gòu)成網(wǎng)絡(luò)安全隱患的主要因素和方式有木馬、病毒和蠕蟲。在這三種職業(yè)因素中,蠕蟲利用應(yīng)用最廣的電子郵件上的漏洞,在網(wǎng)上猖狂傳播,對網(wǎng)絡(luò)傳遞中的各種文件進(jìn)行無休止和耗費(fèi)和占用用戶的存儲空間,進(jìn)而控制其服務(wù)器的手段。木馬是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)使用過程中的重要手段,是潛伏在網(wǎng)站和計(jì)算機(jī)中,在不備的時(shí)候竊取各種信息資源和資料,是當(dāng)前黑客在攻擊的過程中主要的使用手段和方式,更是其而已控制和截取各種資料的關(guān)鍵所在。至于病毒,是通過人為手段編寫出各種惡性程序來影響計(jì)算機(jī)運(yùn)行和信息傳遞的過程,進(jìn)而造成計(jì)算機(jī)網(wǎng)絡(luò)的癱瘓。

2、防火墻功能概述

防火墻是一個(gè)保護(hù)裝置,是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)使用過程中的主要防護(hù)措施和防御工具,是對帶各種安全隱患和惡意攻擊的主要手段和保證基礎(chǔ)。通常是指運(yùn)行特別編寫或更改過操作系統(tǒng)的計(jì)算機(jī),它存在的主要作用和目的是保護(hù)計(jì)算機(jī)使用過程中的內(nèi)部網(wǎng)絡(luò)安全和網(wǎng)絡(luò)訪問中的各種暢通運(yùn)行的目標(biāo)。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間,更是對多個(gè)網(wǎng)絡(luò)故障和網(wǎng)絡(luò)進(jìn)行保護(hù)和共同利用的過程。它主要的保護(hù)就是加強(qiáng)外部Internet對內(nèi)部網(wǎng)的訪問控制,通過暢通和允許其安全性的各種訪問手段和措施保護(hù)計(jì)算機(jī)的使用流程,是通過對各種惡性網(wǎng)絡(luò)連接的組織行為。防火墻只是網(wǎng)絡(luò)安全策略的一部分,它通過少數(shù)幾個(gè)良好的監(jiān)控位置來進(jìn)行內(nèi)部網(wǎng)與Internet的連接。在當(dāng)今,隨著網(wǎng)絡(luò)化的發(fā)展,我們總結(jié)對計(jì)算機(jī)網(wǎng)絡(luò)的入侵和攻擊,其主要的方式和基本手段可以歸納為以下幾種:①黑客入侵;②計(jì)算機(jī)病毒的攻擊;③信息的泄露、盜取和破壞;④是計(jì)算機(jī)使用的過程中內(nèi)外部人員相互攻擊的過程和手段⑤線路連接過程中被有心人利用和干擾,形成信息的泄露和竊聽,⑥拒絕服務(wù)或注入非法信息;⑦修改或刪除關(guān)鍵信息;⑧在計(jì)算機(jī)使用的時(shí)候由于身份截取或稱為攻擊的目標(biāo),⑨人為地破壞網(wǎng)絡(luò)設(shè)備,造成網(wǎng)絡(luò)癱瘓。在這些因素和安全隱患形成的過程中主要的形成原因在于:①局域網(wǎng)存在的缺陷和Internet的脆弱性;其中存在著各種防范失誤和防范安全意識的不夠強(qiáng)。②薄弱的網(wǎng)絡(luò)認(rèn)證環(huán)節(jié)和系統(tǒng)易被監(jiān)視性;③在各種軟件和網(wǎng)絡(luò)服務(wù)器設(shè)置中存在著嚴(yán)重的漏洞,這些漏洞為各種有心人打下了基礎(chǔ),造就了侵入前提。④缺少準(zhǔn)確的安全策略和安全機(jī)制;⑤網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品等落后了,沒有跟上科技的發(fā)展;⑥在計(jì)算機(jī)使用的時(shí)候沒有形成先進(jìn)的備份和系統(tǒng)恢復(fù)理念,使得容易受到各種因素的影響造成在使用中的隱患因素。⑦主機(jī)的復(fù)雜設(shè)置和復(fù)雜控制;⑧沒有認(rèn)真對待黑客和病毒對計(jì)算機(jī)的危害和對自己通信技術(shù)在使用中的安全隱患,造成在使用中各種問題和物力浪費(fèi)。只要我們充分認(rèn)識安全問題的嚴(yán)重性,嚴(yán)格按照安全規(guī)則處理,增加網(wǎng)絡(luò)在使用的過程中各種防范措施和安全性就能夠在使用的過程中設(shè)置出良好的防護(hù)體系。

3、防火墻主要技術(shù)特點(diǎn)

在當(dāng)前社會發(fā)展的過程中,隨著人們對網(wǎng)絡(luò)安全意識的不斷加深,防火墻在使用和研究的過程中也逐步的朝著新階段進(jìn)行,成為當(dāng)前網(wǎng)絡(luò)安全的重要保護(hù)手段。當(dāng)前的網(wǎng)絡(luò)安全控制手段和控制過程中主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的控制、過濾為基礎(chǔ)進(jìn)行網(wǎng)絡(luò)安全的保護(hù)和防范措施。在構(gòu)筑防火墻保護(hù)網(wǎng)絡(luò)之前,需要制定一套完整有效的安全策略是通過這種策略進(jìn)行網(wǎng)絡(luò)信息安全傳遞的過程和技術(shù)手段,這種安全策略一般分為兩層:網(wǎng)絡(luò)服務(wù)訪問策略和防火墻設(shè)計(jì)策略。

4、網(wǎng)絡(luò)服務(wù)訪問策略

網(wǎng)絡(luò)服務(wù)訪問策略是當(dāng)前網(wǎng)絡(luò)安全保障的前提和基礎(chǔ),是通過其對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行相應(yīng)保護(hù)的重要手段,是當(dāng)前社會發(fā)展中對網(wǎng)絡(luò)安全的高層次、具體到事件的策略,主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù),還通過在當(dāng)前使用的過程中各種撥號手段和保護(hù)措施是還有段進(jìn)行相關(guān)的訪問和保護(hù)應(yīng)用前提。這是因?yàn)閷σ环N網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法,所以其他的途徑也應(yīng)受到保護(hù)。是當(dāng)前網(wǎng)路防火墻安全使用過程中的相應(yīng)保護(hù)手段和保護(hù)方法。

5、防火墻的設(shè)計(jì)策略

防火墻是要根據(jù)實(shí)際應(yīng)用和相應(yīng)的規(guī)章制度來設(shè)計(jì)并實(shí)施網(wǎng)絡(luò)服務(wù)的訪問策略。是以過濾和控制網(wǎng)絡(luò)數(shù)據(jù)為基礎(chǔ)的。

6、設(shè)計(jì)時(shí)需要考慮的問題

為了確定防火墻設(shè)計(jì)策略,進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻,應(yīng)從最安全的防火墻設(shè)計(jì)策略開始,即除非明確允許,否則禁止某種服務(wù)。策略應(yīng)該解決以下的問題:需要什么服務(wù);在哪里使用這些服務(wù);是否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等服務(wù);提供這些服務(wù)的風(fēng)險(xiǎn)是什么;提供的一些保護(hù)措施有時(shí)能能否導(dǎo)致一些負(fù)面影響,如網(wǎng)絡(luò)使用中打不開網(wǎng)站、無法順利下載、不能傳輸文件等等。這就要求我們的設(shè)計(jì)者來考慮負(fù)面影響會有多大,是否值付出這種代價(jià);站點(diǎn)的安全性和可用性相比較,怎樣取舍等。