防火牆與網路安全技術論文
防火牆作為整個安全體系中最基本的保護環節,其重要性自然不言而喻。小編整理的,希望你能從中得到感悟!
篇一
略論網路安全與防火牆技術
【摘要】本文介紹網路安全產品的特點,論述了防火牆技術的定義和發展歷程,討論了防火牆產品的型別,文章最後做出了總結。
【關鍵詞】網路安全,防火牆,技術特徵
隨著21世紀的到來,全球的計算機使用者都可以通過網際網路進行聯絡。因此,對資訊保安來講,內在含義也發生了巨大的變換。網路安全從普通性防衛成為了非常普通的現象,還有,網路安全管理也變得無處不在。
一、網路安全的產品特點
從實踐上來講,國家有關的法律、法規、行政命令、政策、技術與市場的發展平臺構成了國家資訊保安體系。在建立資訊防衛體系時,中國應注重開發中國特色的安全產品。如果中國想真正處理好網路安全事物,最有效的途徑就是通過大力發展本國的安全產業,這樣可以從整體上提高網路安全技術。
就網路安全來講,其產品有以下若干特點:首先,網路安全的起因在於多樣化的安全策略以及技術。假如都運用一樣的技術和策略,這也就會造成極大的不安全。其次,在網路安全領域,安全技術與相關機制都一直都在發生改變。再者,在社會生活的諸多各方面,網路都延伸進來,也有著越來越多的手段可以連線到網路。所以,網路安全技術作為一個系統工程是十分複雜的。
二、防火牆技術
防火牆作為整個安全體系中最基本的保護環節,其重要性自然不言而喻。網路防火牆技術可以強化和控制網路間訪問,這樣做的目的在於阻止本網路之外的使用者通過非正常手段達到本網路的內部,對內部資源***網路資源***進行各種活動。在內部網路操作環境中,網路防火牆技術還可以確保部分特殊的網路互聯裝置的安全效能。遵照既定的安全方式和策略,網路防火牆技術檢測包括連線方式在內的傳輸資料,特別是在網路之間。這樣就可以對網路之間通訊是否可行,對網路在執行時的狀態程序檢測。
眼下,防火牆產品主要有以下若干種:堡壘主機、包過濾路由器、應用層閘道器***代理伺服器***以及電路層閘道器、遮蔽主機防火牆、雙宿主機等。眼下,儘管防火牆可以保證網路不再受到黑客的襲擊,且效果比較明顯。但是,也存在著很多缺點。例如,對防火牆之外的以其它攻擊途徑卻無能為力,也防止不了來自內部以及使用者們造成的危害,也未能完全阻止病毒檔案,還有,也不能抗擊資料驅動型之類的攻擊。
1986年,美國一家電腦公司首次把商用防火牆系統應用在網際網路上,並且給防火牆下了定義。防火牆技術發展得非常快。十多家公司已經在這方面做出了很多努力,並且開發出了很多型別的防火牆產品系列,但是它們的功能各不相同。
在五層網路構成的安全體系中,防火牆處於最底層,該技術屬於網路層安全技術的範圍。在本層,企業在安全系統方面必須處理好以下問題:是不是全部IP地址都可以訪問內部網路系統?假如“是”,就表明,在內部網的網路層,企業還沒有采取對於安全的措施進行防範。
防火牆技術受到人們重視的時間最早,也是內部和外部公共網路溝通和交流的首要保護傘。從理論層面講,儘管處在最底層,僅僅處理網路間安全傳輸以及認證,然而,從總體上來講,網路安全技術和網路應用一直都在發生變化。如今,該技術正在慢慢步出網路層之外,開始進入別的安全層次。
三、防火牆產品的型別
防火牆產品的發展趨勢是使用者認證、防止病毒、資料安全、與黑客侵入等。根據不同的技術,可把防火牆大體上分成四類:包過濾、網路地址轉換、代理以及監測型。
1、包過濾型。
防火牆的初級產品屬於包過濾的型別,技術來源是分包傳輸。在網際網路中,以“包”為單位傳輸資料又被劃分成固定大小的資料包,各資料包內,都包括了很多特殊型別的資訊。通過讀取地址資訊,防火牆對“資料包”的來源進行可信任判斷,並採取相應策略。
2、網路地址轉化—NAT。經過轉換後,IP地址屬於外部的、已經註冊的,這個就是IP地址標準網路,也稱為地址轉換。在內部的網路中,經由安全網絡卡,可以對外部的網路進行訪問,這樣新的對映記錄就產生了。系統則把源地址以及埠體現為非真實的地址和端I=l,通過非安全網絡卡,這個非真實的地址以及埠,可以連線到外部網路上去。這樣,內部網路的真實地址就被隱藏起來了。通過外部網路,藉助於非安全網絡卡,想要訪問內部網路時,對內部的網路連線狀況一無所知而,只能藉助於IP地址以及埠進行訪問。
3、代理型。代理型防火牆,也叫代理伺服器,就安全性而言,此類防火牆比包過濾型防火牆要高得多,而且代理型防火牆開始在應用層有所作為。該類代理型伺服器在客戶機和伺服器之間。資料交流在二者之間被完全阻止。從客戶機的情況來分析,代理伺服器可以被視為電腦的伺服器;但是,從伺服器的角度來分析,代理伺服器卻是真實的客戶機。客戶機要用到來自伺服器上的資料時,第一步要做的就是請求把資料發給代理伺服器。按照此請求,代理伺服器再從伺服器申請想要的資料,之後,資料被經由代理伺服器傳輸給客戶機。因為直接的資料通道可以在外部系統與內部伺服器相互連線和溝通,來自外部的惡意侵害對內部的網路系統也就不會有什麼危害。
4、監測型。新一代的防火牆產品是監測型防火牆。實際上,此類防火牆的技術已大大超出了對這個概念的界定。此類防火牆實施主動、實時監測各層資料。在分析這些資料的前提下,此類防火牆可以高效地判斷和找出各層的非法侵入形象。
同與此同時,通常情況下,監測性防火牆的產品都開發了分散式探測器。在林林總總的應用伺服器中和其他網路節點中就有此類防火牆,這些防火牆可以監測網路外部對網路內部飛攻擊,同時,在很大程度上方法內部範圍內的惡意破壞。此類防火牆已經超越了防火牆原先的定義,比前兩代產品的安全性也更高。
四、結束語。
眼下,在防火牆產品領域,主流趨勢是監測型防火牆,但是絕大部分代理伺服器***應用閘道器***對包過濾技術進行了合成。顯而易見的是,二者的混用比單獨使用某一型別的防火牆產品的優勢更大。因此,這種技術在未來發展前景也必將更加廣闊。
參考文獻:
[1]陸樹芬;網路安全中防火牆的作用[J];中國電子商務;2009-11
[2]黃金波,殷誠;計算機網路基礎與應用[M];北京:北京交通大學出版社;2007
篇二
防火牆與網路安全技術
摘 要: 隨著計算機的普及和網際網路的快速發展,網路安全問題顯得愈來愈重要。為解決這一問題,產生了很多網路安全產品,防火牆就是其中使用較廣的一個。針對不同的使用者和網路特點,防火牆所採用的技術也會有所不同。
關鍵詞: 資訊保安 網路安全 防火牆 技術特徵
資訊保安是國家發展所面臨的一個重要問題,對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見資訊保安的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是資訊保安保障系統的一個重要組成部分。我國在構建資訊防衛系統時,應著力發展自己獨特的安全產品。我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
1.網路安全
網路安全是指網路系統的硬體、軟體及其系統中的資料受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、洩露,保證系統連續可靠正常地執行,網路服務不中斷。網路安全從其本質上來講就是網路上的資訊保安。從廣義來說,凡是涉及到網路上資訊的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及電腦科學、網路技術、通訊技術、密碼技術、資訊保安技術、應用數學等多種學科的綜合性學科。
網路安全技術則指致力於解決諸如如何有效進行介入控制,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其它的安全服務和安全機制策略。在眾多的網路安全技術中,網路防火牆是使用較廣的一個。
2.防火牆
防火牆是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置。它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態。
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一。雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅能完成傳統防火牆的過濾任務,而且能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著資料安全與使用者認證,防止病毒與黑客侵入等方向發展。
根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型,網路地址轉換-NAT,代理型和監測型。
2.1包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址,目標地址,TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的資料包,防火牆便會將這些資料拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的來源,目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程式和***中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
2.2網路地址轉化-NAT
網路地址轉換是一種用於把IP地址轉換成臨時的,外部的,註冊的IP地址標準。它允許具有私有IP地址的內部網路訪問因特網。它還意味著使用者不需要為其網路中每一臺機器取得註冊的IP地址。
在內部網路通過安全網絡卡訪問外部網路時,將產生一個對映記錄。系統將外出的源地址和源埠對映為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網絡卡訪問內部網路時,它並不知道內部網路的連線情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的對映規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連線請求對映到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將遮蔽外部的連線請求。網路地址轉換的過程對於使用者來說是透明的,不需要使用者進行設定,使用者只要進行常規操作即可。
2.3代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,代理伺服器相當於一臺真正的伺服器,而從伺服器來看,代理伺服器又是一臺真正的客戶機。當客戶機需要使用伺服器上的資料時,首先將資料請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取資料,然後再由代理伺服器將資料傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定,大大增加了系統管理的複雜性。
2.4監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的資料進行主動的,實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,而且對來自內部的惡意破壞有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上超越了前兩代產品。
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,因此目前在實用中的防火牆產品仍然以第二代代理型產品為主。實際上,作為當前防火牆產品的主流趨勢,大多數代理型防火牆也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。
參考文獻:
[1]李俊民.網路安全與黑客攻防寶典.北京電子工業出版社,2010.
[2]麥克盧爾,庫爾茨.黑客大曝光:網路安全機密與解決方案.清華大學出版社,2006.
[3]劉曉輝.網路安全設計、配置與管理大全.電子工業出版社,2009.
[4]趙俐.防火牆策略與配置.中國水利水電出版社,2008.
[5][美]格雷格・霍爾登.防火牆與網路安全.清華大學出版社,2009.