時間:2023-05-31 09:12:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇防火墻技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2011) 05-0000-01
Summary of Firewall Technology
Li Huimin
(Hunan Vocational College of Information Science,Changsha410151,China)
Abstract:This article starting from the current network security issues at home.Described in detail the information security technology familiar firewall technology,a comparative analysis of the characteristics various types of firewall technology,and architecture.And to outlook on the firewall.
Keywords:Network security;Firewall;Technology
一、前言
Internet的流行,與WEB技術的發展是密不可分的。標準的WEB服務通過客戶端的WEB瀏覽器向WEB服務器發出請求,以進行文件讀取,數據提交或信息檢索等操作。因此黑客攻擊猖獗。隨著人們對WEB依賴性的增強,針對WEB的攻擊也越來越多。那些越是流行的服務器、越是流行的應用軟件,越發成為被攻擊的對象。美國雜志進行一年一度的信息安全行業調查表明,與2000年相比,2001年美國WEB服務器受攻擊的次數翻了一翻。近50%的受調查企業收到外界對他們的WEB服務器的攻擊,高于2000年的24%,而通過WEB對個人主機發起的攻擊更是舉不勝舉。我們可以看出網絡的不安全原因是:自身缺陷+開放性+黑客攻擊。與網絡安全相關的技術有:(1)防火墻技術;(2)PKI技術;(3)VPN技術;(4)入侵檢測技術;(5)病毒防護技術。
針對出現的各種網絡安全防護技術,本文將對防火墻技術做詳細介紹。
二、防火墻技術
(一)防火墻的概念。防火墻是一種用來加強網絡之間訪問控制的特殊網絡互連設備。是一種非常有效的網絡安全模型。它的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。目的是為了在被保護的內部網與不安全的非信任網絡之間設立唯一的通道。以按照事先制定的策略控制信息的流入和流出,監督和控制使用者的操作。
(二)防火墻的分類
1.個人防火墻。是在操作系統上運行的軟件,可為個人計算機提供簡單的防火墻功能。常用的個人防火墻有:Norton、天網個人防火墻、瑞星防火墻等。
2.軟件防火墻。個人防火墻也是一種純軟件的防火墻,但其應用范圍較小,且只支持windows系統。功能相對來說要弱很多。并且安全性和并發連接處理能力較差。作為網絡防火墻的軟件防火墻具有比個人防火墻更強的控制功能和更高的性能。
3.純硬件防火墻。采用專用芯片(非X86芯片)來處理防火墻核心策略的一種硬件防火墻,也稱為芯片級防火墻。(專用集成電路(ASIC)芯片或者網絡處理器(NP)芯片);純硬件防火墻最大的亮點:高性能,非常高的并發連接數和吞吐量;采用ASIC芯片的方法在國外比較流行,技術也比較成熟。
三、防火墻的體系結構
防火墻系統實現所采用的架構及其實現所采用的方法。它決定著防火墻的功能,性能及使用范圍。常見的防火墻的體系結構有:
(一)分組過濾路由器。作為內外網連接的唯一通道,要求所有的報文都必須在此通過檢查。通過在分組過濾路由器上安裝基于IP層的報文過濾軟件,就可利用過濾規則實現報文過濾功能。
(二)雙宿主機。雙宿主機在被保護網絡和Internet之間設置一個具有雙網卡的堡壘主機,IP層的通信完全被阻止,兩個網絡之間的通信可以通過應用層數據共享或應用層服務來完成。通常采用服務的方法.堡壘主機上運行著防火墻軟件,可以轉發應用程序和提供服務等。
(三)屏蔽主機。一個分組過濾路由器連接外部網絡,同時一個運行網關軟件的堡壘主機安裝在內部網絡。通常在路由器上設立過濾規則,使這個堡壘主機成為從外部唯一可直接到達的主機。提供的安全等級較高,因為它實現了網絡層安全(包過濾)和應用層安全(服務)。
(四)屏蔽子網。屏蔽子網是最安全的防火墻系統,它在內部網絡和外部網絡之間建立一個被隔離的子網(非軍事區,DMZ(Demilitarized Zone)),如圖4所示。在很多實現中,兩個分組過濾路由器放在子網的兩端,內部網絡和外部網絡均可訪問被屏蔽子網,但禁止它們穿過被屏蔽子網通信。通常將堡壘主機、各種信息服務器等公用服務器放于DMZ中。
四、防火墻技術展望
隨著技術的發展,防火墻技術也得到了長足的發展。在今后將會有智能防火墻,分布式防火墻,網絡產品的系統化的應用。
(一)智能防火墻。智能防火墻是采用人工智能識別技術(統計,記憶,概率和決策等)。因此智能防火墻具有安全,高效的特點。在保護網絡和站點免受黑客攻擊、阻斷病毒的惡意傳播、有效監控和管理內部局域網、保護必需的應用安全、提供強大的身份認證授權和審計管理等方面具有廣泛的應用價值。
(二)分布式防火墻。分布式防火墻是一種新的防火墻體系結構,包含網絡防火墻,主機防火墻和管理中心。由于傳統防火墻屬于邊界防火墻。缺陷是:結構性限制;內部威脅;效率和故障。但是分布式防火墻是一種新的防火墻體系結構,在網絡內部增加了另一層安全,支持基于加密和認證的網絡應用,與拓撲無關,支持移動計算的特點。
(三)網絡產品的系統化。以防火墻為核心的網絡安全體系的解決方法。(1)直接把相關安全產品“做”到防火墻中。(2)各個產品相互分離,但是通過某種通信方式形成一個整體。
五、總結
隨著Internet技術的發展,網絡安全將會面臨更加嚴峻的挑戰。本文從網絡安全角度出發,對防火墻技術進行了詳細的介紹,希望能對不同的用戶提供參考。
參考文獻:
[1]Timothy S.Ramteke.計算機網絡[M].北京:機械工業出版社,2004
關鍵詞:防火墻;互聯網;日志
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 04-0000-02
一、引言
隨著計算機的普及和互聯網技術的發展,計算機的應用越來越廣泛,但是網絡安全問題也日益嚴重。據最新統計顯示,在美國,每年因互聯網安全問題所帶來的經濟損失高達100億美元,而在我國,計算機黑客入侵和病毒破壞每年也給我國帶來巨大經濟損失。如何建立確保網絡體系的安全是值得我們去關注的一個問題。本文從防火墻技術的角度對互聯網安全問題防火措施提出了自己的見解和意見。
二、防火墻技術淺析
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
(一)防火墻的概念。防火墻是指設置在不同網絡安全域或者不同網絡安全之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
(二)防火墻的主要功能。1.包過濾:包過濾屬于一種互聯網數據安全的保護機制,通過包過濾,可以有效的控制網絡數據的流入和流出。包過濾由不同的安全規則組成;2.地址轉換:地址轉換分為目的地質轉換和源地址轉換兩種。源地址轉換可以通過隱藏內部網絡結構和轉換外部網絡結構實現了避免外部網絡的惡意攻擊。3.認證和應用:所謂認證就是指對訪問防火墻的來訪者身份的確認。所謂是指防火墻內置的認證數據庫;4.透明和路由:主要是指把防火墻網管隱蔽起來以免遭到外來的攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網絡的非法訪問;防火墻還支持路由方式,提供靜態路由功能,支持內部多個子網之間的安全訪問。
(三)防火墻的原理及分類。根據國際計算機安全委員會的分類,防火墻分為三類,分別是包檢測防火墻、包過濾防火墻和應用及服務器。包過濾技術的防范手段。包過濾防火墻是指通過把收到的數據包和預先設定的包過濾規則進行比較判斷,決定是否允許通過。它主要工作在計算機的網絡層,過濾的規則就是通過和網絡層的IP包包頭進行信息比較。IP包包頭的主要信息有:封裝協議、IP地址、和ICMP信息類型等。通過比較,如果信息不匹配,則拒絕轉發。從速度來看,由于包括鋁處于網絡層,對連接的檢查也比較粗略,因此,它的速度是最快的。而且實現的要求比較低。從安全性角度來看,由于其過濾規則的不完善性,所以存在一系列的漏洞,安全性卻比較低。
(四)防火墻包過濾技術。隨著互聯網的發展,網絡安全問題變得越來越重要。而且,隨著黑客入侵技術的進一步提高,計算機網路安全問題也變得更加嚴峻。如何保護計算機網絡不受到攻擊和病毒感染已經成為人們普遍關心的問題,在對局域網進行保護的技術中,防火墻技術是一種非常有效的手段。而防火墻技術中的包過濾技術是發展比較早、比較廣泛的技術。包過濾就是指為確保網絡的安全,對每一個流經網絡的數據包進行檢查并根據相應的檢查規則確認是否允許通過。包過濾技術具有速度與透明性兩重優點。
(五)防火墻的配置。從硬件的角度看,防火墻和路由交換設備之間通常有多個借口哦,數據傳輸速度主要是由檔次與價格決定的。比如,一般的中小企業使用的出口帶寬都是100M以內的。防火墻在網絡拓撲圖中的位置非常關鍵,在網絡拓撲圖中,防火墻一般處于外網和內網之間互聯的區域。如果防火墻上有WAN接口,就可以把它直接與外網相連。防火墻和傳統的路由器在外觀上差別不大,和路由器交換機不同之處在于,在對防火墻進行配置時,需要把他們劃分成不同的權限和優先級。而且還要相關接口的隸屬區域進行相應的配置。在進行實際設置的時候,需要把各自端口劃分到某些區域時才可以進行訪問。在默認情況下對數據接口的通信是組織的。除了這些差別,防火墻的其他配置和路由器交換設備的配置差不多。
軟件的配置與實施,這里以H3C的F100防火墻為例,當企業外網IP地址固定并通過光纖連接的具體配置。先當企業外網出口指定IP時配置防火墻參數。選擇接口四連接外網,接口一連接內網。這里假設電信提供的外網IP地址為202.10.1.194 255.255.255.0。
第一步:通過CONSOLE接口以及本機的超級終端連接F100防火墻,執行system命令進入配置模式。
第二步:通過firewall packet default permit設置默認的防火墻策略為“容許通過”。
第三步:進入接口四設置其IP地址為202.10.1.194,命令為
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:進入接口一設置其IP地址為內網地址,例如192.168.1.1 255.255.255.0,命令為
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:將兩個接口加入到不同的區域,外網接口配置到非信任區untrust,內網接口加入到信任區trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墻運行基本是通過NAT來實現,各個保護工作也是基于此功能實現的,所以還需要針對防火墻的NAT信息進行設置,首先添加一個訪問控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下來將這個訪問控制列表應用到外網接口通過啟用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,設置缺省路由或者靜態路由指向外網接口或外網電信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下圖)
執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
三、防火墻發展趨勢
隨著計算機病毒的發展和黑客技術的提升,傳統的防火墻技術已經不能解決這些問題。從目前來看,防火墻技術正在向新的方向發展。
從防火墻的體系結構發展來看。為應對未來發展需要,人們相繼開發了基于ASIC的防火墻和基于網絡處理器的防火墻。這類防火墻對軟件的依賴度有所增加,但是卻可以大大的減輕CPU的壓力。在性能上比傳統防火墻有新的提升。然而從編程的角度來看,這種防火墻缺乏靈活性,要實現和軟件的配合使用,必須添加新的硬件。
從防火墻的包過濾技術發展來看,一些防火墻廠商在防火墻中添加了新的認證體系和方法。從而大大的提高了用戶的安全級別,但是在一定程度上也給網絡通信帶來了一定的負面影響。多包過濾技術的發展彌補了單獨過濾技術的不足和缺陷,而且這種技術具有分層清楚、擴展性強等特點。是將來防火墻技術發展的基礎。
四、結束語
互聯網技術的發展使得計算機應用越來越普及,但是隨之而來的是網絡安全問題也日益突出,網絡病毒對經濟社會生活帶來了極大的危害。通過采用新的防火墻技術,可以有效的確保互聯網的安全。本文正是基于這個背景進行探討和研究的。相信不久的將來,隨著防火墻技術的進一步發展,互聯網安全問題會逐步得到有效的控制和解決。
參考文獻:
[1]王艷.淺析計算機安全[J].電腦知識與技術,2010,(s):1054
[2]艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79
[2]孟濤,楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17
一、防火墻
1.防火墻的概念
防火墻是目前最為流行也是使用最為廣泛的一種網絡安全技術,在構建安全網絡環境的過程中,防火墻作為第一道安全防線,受到越來越多用戶的關注。防火墻并不是真正的墻,它是一類防范措施的總稱。典型的防火墻具有以下三個方面的基本特征:
(1)內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻,是根據美國國家安全局制定的《信息保障技術框架》實施的。
(2)只有符合安全策略的數據流才能通過防火墻。它能確保網絡流量的合法性,并在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。
(3)防火墻自身應具有非常強的抗攻擊免疫力。
2.防火墻的常見類型
根據防范的方式和側重點的不同,防火墻可以分為以下幾種類型:
(1).包過濾型防火墻
包過濾型防火墻又稱網絡級防火墻,它是在網絡層對數據包進行選擇,根據源地址和目的地址、應用或協議以及每個IP包的端口來做出通過與否的判斷。
(2).應用級網關防火墻
應用級網關防火墻主要工作在應用層,應用服務技術能將所有跨越防火墻的網絡通信鏈路分為兩段,使得網絡內部的客戶不直接與外部的服務器通信。
(3).電路級網關防火墻
電路級網關防火墻是在OSI模型中會話層上來過濾數據包,它用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,以此來決定該會話是否合法。
(4).規則檢查型防火墻
規則檢查防火墻結合了上述三種防火墻的特點,既能在OSI網絡層上通過IP地址和端口號過濾進出的數據包,也可以在OSI應用層上檢查數據包的內容,查看這些內容是否符合內部網絡的安全規則,或是像電路級網關防火墻一樣,檢查SYN和ACK標記和序列數字是否邏輯有序。
3.防火墻的安全策略
安全策略是防火墻的重要組成部分,它決定了受保護網絡的安全性和易用性,一個合理可行的安全策略能夠在網絡安全需求及用戶易用性之間實現良好的平衡。策略設置不當,便會拒絕用戶正常請求的合法服務或是給攻擊者制造可乘之機。一般防火墻設置有兩種策略:
(1)凡是未被準許的就是禁止的。防火墻先是封鎖所有的信息流,然后對要求通過的信息進行審查,符合條件的就讓通過。這是一種安全性高于一切的策略,其代價是網絡的方便性受到限制,網絡的應用范圍和效率會降低在這個策略下,會有很多安全的信息和用戶被拒之門外。
(2)凡是未被禁止的就是允許的。防火墻先是轉發所有的信息,開始時防火墻幾乎是不起作用,如同虛設,然后再逐項對有害的內容剔除,被禁止的內容越多,防火墻的作用就越大。在此策略下,網絡的靈活性得到完整地保留,但是有可能漏過的信息太多,使安全風險加大,并且網絡管理者往往疲于奔命,工作量增大。
網絡是動態發展的,制定的安全目標也應是動態的,隨著網絡結構或網絡應用范圍的調整,防火墻的安全策略也應隨之調整或改變。
4.防火墻技術存在的問題
防火墻產品主要是“身份認證”級的安全產品,只是實現了粗粒度的訪問控制,無法成為安全解決方案的全部,仍有諸多方面需要改進和完善,比如:
(1)網絡上有些攻擊可以繞過防火墻,而防火墻卻不能對繞過它的攻擊提供阻擋。
(2)防火墻管理控制的是內部與外部網絡之間的數據流,不能防范來自網絡內部的攻擊。
(3)當使用端到端的加密時,防火墻的作用會受到很大的限制。
(4)當內部網中存在后門時,將會使防火墻形同虛設。
(5)防火墻不能對被病毒感染的程序和文件的傳輸提供保護。
(6)所有防御規則都是事先設置好的,缺乏實時性,對變化的安全形勢缺少應變的能力。
(7)防火墻不能防止利用標準網絡協議中的缺陷進行的攻擊。
網絡安全單靠防火墻是不夠的,需要和其他形式的安全防護結合起來,在提高防火墻自身功能和性能的同時,由其他技術完成防火墻所缺乏的功能,協同配合,共同建立一個有效的安全防范體系。
二、入侵檢測系統(IDS)
1.入侵檢測系統的概念
網絡安全技術發展到今天,除了防火墻和殺毒系統的防護,入侵檢測技術也成為抵御黑客攻擊的有效方式,被認為是防火墻之后的第二道安全閘門。
入侵檢測系統IDS(Intrusion Detection System)主要是通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中潛在的違反安全策略的行為和被攻擊的跡象。
一個基本的入侵檢測系統需要解決兩個方面的問題:一是如何充分并可靠地提取描述行為特征的數據;二是如何根據特征數據,高效并準確地判定行為的性質。它在很大程度上依賴于收集信息的可靠性和準確性。一個成功的入侵檢測系統,不僅可使系統管理員時刻了解網絡系統,還能給網絡安全策略的制訂提供依據。
2.入侵檢測系統的類型
根據數據來源和系統結構的不同,入侵檢測系統可以分為基于主機、基于網絡和混合性入侵檢測系統三類:
(1)基于主機的入侵檢測(HID,Host-based Intrusion Detection)
關鍵詞:網絡安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術分
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
(2)應用(ApplicationProxy)型。
應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型防火和第二代自適應防火墻。
類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務,在自己的程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3從防火墻結構分
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。
分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
4按防火墻的應用部署位置分
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
參考文獻
[1]孫建華等.網絡系統管理-Linux實訓篇[M].北京:人民郵電出版社,2003,(10).
關鍵詞:網絡安全 防火墻 網絡處理器
Abstract:Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily, it will be adopted for net protection。
Key words:Network security Firewall Network processor
前言
隨著計算器的普及,尤其網絡的普及,人們習慣使用個人計算機、智能終端處理、保存日常工作、生活的信息或資料。最近我國首個個人信息保護專項的國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》已完成,正在報批【1】。“個人信息保護”國家標準將有利于人們重視個人信息安全問題。絕大數用戶忽視信息安全,停留于計算機病毒、木馬程序的概念,對黑客的能力一無所知。由于個人計算機和智能終端具有網絡通信和更新程序的功能,黑客可以通過操作系統或應用軟件的漏洞或后門對個人計算機或智能終端進行攻擊并埋下黑客軟件,或者利用用戶的好奇或無知在網上傳播黑客軟件。常聽到的黑客軟件主要是獲取賬號密碼。但不被人知道的黑客軟件更為可怕,它可能專門攻擊某個人使其個人計算機或智能終端的數據完全暴露在他的眼下。
不管是否安裝殺毒防毒軟件,只要運行網絡監測程序就可以發現許多網絡連接或網絡通信。可以說由于黑客攻擊的多樣性,安裝在個人計算機上的殺毒軟件只能降低黑客的可能性,難以抵擋黑客的入侵,對有針對性的黑客的所作所為無動于衷。
雖然大部分單位會在互聯網接入口安裝企業級防火墻,但由于它僅防止來自互聯網的已知攻擊或人們熟知的攻擊,對內網基本上不具備防范能力。
因此,為阻止黑客的入侵或攻擊,防止黑客獲取數據,最有效辦法是在個人計算機外增加個人硬件防火墻。本文將介紹個人硬件透明防火墻。
1、透明防火墻
網絡安全技術中最常用是防火墻技術,通過網絡訪問控制策略抵御外部攻擊。通常人們把使用防火墻技術僅用于抵御外網入侵的計算器稱為硬件防火墻,應用在個人計算器上的防火墻技術稱為軟件防火墻。目前防火墻已經成為計算器操作系統的一個組成部分,軟件防火墻的概念已成為歷史。
透明防火墻是一種專用網絡安全設備,它具有防火墻的各種功能,它特別之處是不影響網絡的拓撲結構,在網絡外側不能發現它的存在,黑客不可能對它發動攻擊。透明防火墻具有更高的智能程度,在黑客攻擊過程仍確保主機的運行。透明防火墻是單主機專用很容易判斷主機通信是否合理,因而能避免信息泄漏或削弱隱藏在主機的黑客軟件的活動能力。
2、硬件結構
個人透明防火墻是專門為個人計算機設計的透明防火墻,要求使用方便、便于攜帶。因此,個人透明防火墻硬件結構緊湊,外表看有兩個網絡口,好像一個網絡聯機器,用戶只要把個人透明防火墻串在網在線,即一個網絡接口與計算機的網口連接,另一個與網絡連接,再通過usb接口向個人透明防火墻提供電源,個人透明防火墻就開始工作。
個人透明防火墻內部由繼承網口的網絡處理器以及支持網絡處理器工作的DDR RAM和NAND FLASH組成。嚴格意義上個人透明防火墻是一個高度智能化的網橋。
3、透明防火墻算法
防火墻技術必須在操作系統的核心態實現。利用開源操作系統實現硬件防火墻具有較高的安全性,Linux是真正的開源操作系統,因此大部分硬件防火墻選用Linux操作系統。操作系統實現防火墻技術是在網絡處理過程設立監控點,通過訪問策略決定信息包的去留。在Linux內核中為實現防火墻功能增加網絡過濾的鉤子函數NF_HOOK。即,在網絡信息處理過程中可利用內核其他功能或其他內核模塊的其他功能提高網絡的安全性。Linux內核為arp、bridge、decnet、ipv4、ipv6等網絡通信定義了標識,對應為NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根據處理位置定義了5個標識PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已經實現包過濾的防火墻算法,并結合iptables實現防火墻功能。大部分硬件防火墻就是利用Linux的netfilter和iptables實現的。
但要求非計算器專業人士直接使用iptables進行設置是難度極高的,而且iptables采用鏈表方式,在鏈表較長的情況下運行效率比較低,所以直接使用iptables作為透明防火墻效果一般;雖然linux已為ipv6設置NF_HOOK,但iptables并不真正支持ipv6,所以,僅靠iptables或iptables-ipv6還不能有效實現網絡安全。
從Linux的NF_HOOK分類可以看到只有bridge屬于結構分類,其他為協議分類,因此在個人透明防火墻主要針對bridge進行數據監測最有成效。所有通過網橋的信息,不管使用什么協議,均可以在bridge的監測點監測。
4、用戶接口
為防止黑客通過http端口破壞透明防火墻的運作,方便用戶設置和及時知道黑客可能的攻擊情況,透明防火墻采用獨立的控制軟件,把透明防火墻的監測數據轉入個人計算機進行處理,通過動態追蹤方式實現通信審計工作。
結語
通過接入透明防火墻,有效隔離各種廣告信息,斷開計算機在啟動過程形成的各個連接。通過接入透明防火墻的前后比對,發現接上透明防火墻后內存剩余空間明顯增加。
【關鍵詞】 信息安全 防火墻
一、前言
隨著互聯網的普及,網絡信息安全已經成為了一個嚴肅性的問題。隨著各類網絡信息泄露事件不斷出現,網絡信息的安全問題亟待解決。防火墻作為一種可以有效保護網絡信息安全的技術,逐漸被人們開發和利用。
二、防火墻技術分類
1、數據包過濾型。數據包過濾型防火墻通過讀取數據包,分析其中的一些相關信息來對該數據的可信度與安全性進行判斷,然后以判斷結果為依據,進行數據處理。一旦數據包不能得到防火墻的信任,便進入不了網絡。這種防火墻技術實用性很強,在一般的網絡環境中都能夠起到保護計算機網絡安全的作用,而且操作起來比較便捷,成本也較低,因此,是計算機防火墻中最基本的類型,在實際應用中得到了推廣。
2、型。型防火墻,即服務器,它會回應輸入封包,對內部網和外部網之間的信息交流進行阻斷。它加大網絡的安全性,而且正在向應用層面發展,能夠針對應用層的病毒入侵實施防護措施。該種型防火墻技術的缺點是增加了成本的投入,并且對管理員的專業技能水平和綜合素質有比較高的要求,對網絡管理帶來了一定的壓力。
3、監測型。監測型防火墻可以主動完成網絡通信數據的監測,在很大程度上提高了計算機網絡的安全性,但是,監測性防火墻成本投入高,管理難度大,不便于操作,因此,該種防火墻技術目前還沒有得到普及。在實際組網過程中,可以依據具體的網絡環境,來選擇與之符合的監測技術,這樣可以在提高計算機網絡安全的基礎上,降低成本的投入。
三、防火墻在網絡信息安全中的應用方式
1、網絡級防火墻。它一般是根據應用協議、目的地址、源地址以及每個IP包端口來判斷是否能通過。以往我們稱路由器為網絡級防火墻。但大多數的路由器在檢查完網絡信息的安全性后,能判斷是否轉發所接收到的IP包,可它無法對IP包的來源和去向進行判斷。而高級網絡級防火墻卻能做到這一點,它能利用所提供的內容信息來說明數據流和連接狀態,而且將需要判斷的內容與規則表做個對比。這些規則表定義了所有決定IP包是否能通過的規則,當接收到IP包時,防火墻會對比每條規則查看是否有與此IP包信息內容相符的規則。假如沒有相符合的規則,那么防火墻則會選用默認規則,將此IP包丟棄。
2、應用級網關。作為最為可靠的防火墻技術,它對訪問控制相對嚴格,實現起來也比較困難。應用級網關能檢查數據包,利用網關來復制傳遞的數據,避免被信任的客戶機和服務器直接連接不被信任的主機。它與網絡級防火墻相比,有一定的優勢,但也有不足。雖然一些常見的應用級防火墻目前已有了相對應的服務器,譬如:FTP,HTTP,Telnet,Rlogin,NNTP等。可是對于新研發的,還沒有與之相對應的服務器,只能采用一般的服務和網絡防火墻。
3、電路級網關。它通過對被信任的客戶機或服務器與不被信任的主機之間的TCP交換信息的監督來判斷此會話的合法性。它是在OSI的會話層對數據包進行過濾,要與網絡級防火墻相比,高出兩層。事實上,電路級防火墻并不是相對獨立的產品,它必須結合應用級網關一起工作。此外,電路級網關還具有服務器這一安全功能,所謂服務器其實也是一個防火墻,由于它能運行“地址轉移”進程,能把所有內部的IP地址映射到安全的IP地址上,而這個地址是供防火墻使用的。然而,電路級網關也有一定的缺陷,由于它是工作于會話層,無法對應用層的數據包進行檢查。
四、網絡信息安全技術的發展趨勢
綜合全球范圍內信息技術的發展態勢來看,標準化、集成化、網絡化、抽象化、可信化是其發展的五大趨勢,尤其是隨著互聯網和計算機應用與普及范圍的擴大,必然會帶動網絡信息安全技術的創新與發展,會促進現有信息安全關鍵技術的新一輪創新,并誘發網絡安全新技術和全新應用模式的出現。因此,世界范圍內的信息安全技術,其發展呈現出了動態性、復雜性、智能性、可控性的發展趨勢,這不僅會進一步提高計算機網絡和系統的安全生存能力,還能夠有效增強信息安全防護中的主動性、實時性、可控性和有效性。
五、結束語
綜上所述,在提高網絡信息安全水平的同時,我們必須要更加注重利用防火墻技術。因為防火墻技術在可以使得我們的互聯網環境變得更加安全。所以,我們可以依靠不斷提高防火墻技術水平來更好的保障網絡信息安全。
參 考 文 獻
【關鍵字】DBFirewall 數據庫防火墻 WEB服務器 SQL注入攻擊
一、引言
數據庫防火墻系統,是一種基于數據庫協議分析與控制技術的數據庫安全防護系統,其被部署于應用服務器和數據庫之間,是針對關系型數據庫保護需求應運而生的一種數據庫安全主動防御技術,主要應用于以數據庫為基礎的經濟、金融、醫療等領域。
數據庫防火墻本質上是一種介于應用程序和數據庫之間的服務器,應用程序連接到數據庫防火墻并像正常連接到數據庫那樣發送查詢,數據庫防火墻分析預期的查詢,如果認為是安全的,就將它傳遞給數據庫服務器加以執行,反之,如果認為是惡意的,就阻止運行該查詢。數據庫防火墻通過SQL協議分析,根據預定義的禁止和許可策略讓合法的SQL操作通過,阻止非法違規操作,形成數據庫的防御圈,實現SQL危險操作的主動預防、實時審計。
二、數據庫防火墻技術專利的主要分類與應用分析
數據庫防火墻采用網絡防火墻中的包過濾技術,主要在過濾規則上進行改進。基于上述規則策略,數據庫防火墻技術可以具有以下分支:靜態防御技術、動態防御技術,其中對動態防御技術進行細分,又主要具有以下分支:基于統計分析的動態防御技術、基于語義分析的動態防御技術。
2.1靜態防御技術
數據庫防火墻模型中的簡單的規則匹配屬于靜態防御技術,基于此類規則的數據庫防火墻模型提供的防護程度相比網絡防火墻有所提升,由于靜態防御技術屬于數據庫防火墻中的基本防御技術,因此涉及到此方面的專利文獻非常多,例如專利文獻CN101370008A、CN101425937A、CN101448007A、CN102104601A等都是基于規則匹配的方式進行防御。但是基于規則的配置及使用都極為不便,基于靜態防御的方法也并不是“智能的”和“動態的”,只能檢測到允許或者組織特定規則的數據包,因此基于靜態防御的數據庫防火墻的防護能力有限。
2.2動態防御技術
動態防御技術通過對基于規則匹配的靜態防御技術加以改進,通過采用經驗值累加的統計分析、語義分析等智能分析的技術,對數據庫防火墻的攻擊進行識別,從而達到捕獲SQL注入攻擊和提高防火墻防御能力的目的。
2.2.1基于統計分析的動態防御技術
基于統計分析的動態防御技術中,常見的統計方式為統計攻擊行為次數和攻擊行為的經驗值。基于經驗值的行為分析是對基于規則匹配的改進,對不同的特征指定權值,對每一個操作計算風險值,即從異常的行為中提取出具有代表性的特征來作為識別異常行為的標識。如對于某一操作分別取出操作主體、操作客體、操作類型以及操作結果的經驗值,將四項相乘得到此操作的風險值。
例如,申請人為IBM,公開號為US2008/0172347A1的專利申請,其公開了一種使用專家系統來決定是否變更防火墻配置的方法,所述專家系統接受與防火墻相關的信息包所在的信息流,專家系統預先定義信息流數據的風險值。專家系統使用確定的風險值來決定與信息包相關的總的風險值。最后,專家系統產生基于總的風險值的建議措施,如根據信息流中的規則集允許或者禁止所述信息流。
2.2.2基于語義分析的動態防御技術
基于語義分析的動態防御技術是指通過進行對攻擊語句語義分析,即通過進一步的拆解SQL語句,分析語句的直接的含義分析得到潛在的SQL攻擊的技術,該技術可以有效的避免被人精心構造的SQL語句對于數據庫的攻擊。
例如,申請人為北京啟明星辰信息技術股份有限公司,公開號為CN101901219A的專利申請,其公開了一種數據庫注入攻擊檢測方法及系統,該方法包括:通過對數據庫歷史訪問記錄進行自學習,對所述歷史訪問記錄進行自學習的步驟:設置所述歷史訪問記錄;對所述歷史訪問記錄中的每條記錄進行SQL語句解析,提取SQL模板;建立所述訪問行為模式庫,接收數據庫實時訪問;根據訪問行為模式庫,判斷實時訪問是否為注入攻擊,獲得判斷結果。
關鍵詞:防火墻技術;校園網;應用;措施
中圖分類號:TP393.18 文獻標識碼:A DOI:10.3969/j.issn.1003-6970.2013.06.029
0 引言
防火墻是一種隔離控制技術,是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。防火墻有軟件防火墻和硬件防火墻,軟件防火墻一般安裝在主機上,它既可以防止來自外網,也可以防止來自局域網內部的攻擊;硬件防火墻是安裝在校園網的入口處,以減少外部對校園網的攻擊。
由于校園網的開放性、校園網用戶網絡安全意識低等因素,導致校園網絡安全事故時有發生。有來自互聯網的惡意攻擊,也有來自校內的非法訪問;有網絡層面的攻擊,也有應用層面的威脅。校園網網站也曾遭篡改、黑屏甚至拒絕服務等,直接影響到正常的教學秩序以及科研管理等,校園網采用防火墻技術極為必要。
1 防火墻技術在校園網應用的必要性
1.1信息共享資源的泄露
校園網絡主要承擔教學、科研、辦公任務,因此經常要部署共享網絡資源,便于師生之間的資源共享,由于缺少必要的訪問控制策略和保密意識淡薄,就可能有意、無意的把重要信息,特別是科研成果長期暴露在網絡上,從而被輕易竊取并傳播出去造成泄密。
1.2計算機病毒入侵
校園網的特點是用戶量大、上網時間長、在線用戶比例高,在這種高速、大容量的局域網中,各種計算機病毒和蠕蟲都容易通過用戶的不小心或有漏洞的系統迅速傳播擴散,由于它是在網絡上傳播的,加快了病毒的傳播速度,造成網絡阻塞甚至癱瘓,給網絡帶來災難性后果。如著名的“黑色星期五”“熊貓燒香”等病毒都曾給網絡正常應用帶來巨大麻煩。校園網接入互聯網之后,也給病毒傳播提供了通路,可能會引起網速變慢、數據丟失、系統癱瘓等問題。憑其強大的破壞力和極快的傳播速度成為威脅校園網安全的罪魁禍首。
1.3黑客攻擊
校園網與 Internet 相連,在享受 Internet 方便快捷的同時,也面臨著遭遇黑客攻擊的風險。校園網中較易受攻擊的應用服務器主要是 DNS 服務器、Web 應用服務器和郵件服務器。黑客甚至利用一些專業的攻擊工具對校園網絡及服務器發起 DoS、DDoS 攻擊,增大校園網流量,導致網絡及服務不可用,甚至系統崩潰。
1.4校園網內部用戶的攻擊
校園網與一般企業網不同的是,不僅要注意防止外部網絡對校園網的攻擊,還要注意防范校園網內部的惡意攻擊。根據觀察,來自校園網內部的各種攻擊大多是一些學生因好奇發起的。
2 防火墻技術的優缺點
在眾多不安全隱患的面前,清楚地認識到防火墻的優缺點,才能有效地利用防火墻技術為校園網絡安全服務。
2.1 防火墻的優點
防火墻能夠有效保護校園網的安全,通過安全策略的設置,只有被認可的和符合要求的請求能夠通過防火墻,這樣就能夠有效防止非法入侵,防火墻是內部網絡與外部網絡進出的唯一控制點,能夠有效記錄和收集網絡正常使用或者錯誤使用的信息,使校內網絡與外部網絡之間的聯系更加安全。利用防火墻在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、偷竊或破壞網絡上的重要信息。
2.2防火墻的缺點
防火墻雖然能夠有效保護校園網絡的安全,但也不是絕對的,防火墻自身也存在很多的缺點。防火墻能夠使其保護范圍內的網絡系統信息用戶安全發送信息,但是如果信息用戶使用 U 盤等直接復制信息,那么這些信息就能夠直接繞過防火墻,數據信息就被非法帶走了,對于已經侵入的信息,防火墻就無法對其進行控制了,那么對于內部信息用戶對數據和信息的竊取,對軟件硬件的破壞,防火墻就發揮不了作用了。如果信息不通過防火墻傳輸,防火墻就不能夠對入侵者進行有效攔截,防火墻作用的發揮需要設計方案做支撐,有了良好的設計方案才能對已知威脅進行防備,防火墻沒有自動防御新威脅的功能。
3 校園網安全方案與措施
校園網絡的結構一般由兩部分構成:校園網內部網與校園網外部網。校園網內部網主要包含教學局域網、圖書館局域網、辦公自動化局域網等。下面所提出了一些方案和措施可供大家參考。
3.1 合理設置防火墻系統
校園網大多數都是通過路由器與 Cernet 連接的,校園網的 IP 地址是確定的,閉合邊界也比較明確,這為校園網的系統控制提供了便利。進入 Cernet 主干網的存取進行控制,校園網的 IP 地址都是合法的,非法的 IP 地址想要通過路由器進行 Cernet 訪問,就要對校園網路由器進行命令設置,同時也要加強對主機的訪問控制,網絡中心的 WWW、DNS、FTP 等服務器十分重要,需要進行保護,網絡中心所在的子網應該對除了WWW、DNS、FTP以外的服務進行禁止。
3.2禁止非法訪問
非法訪問一般都還有計算機病毒,因此一旦獲得非法訪問網址,就要對路由器中的存取控制列表進行更改,嚴謹非法訪問,同時要在校園網與路由器連接的以太網預設出控制組,插入命令,用來過濾非法訪問網址,插入命令就是對路由器的動態配置,路由器的配置能夠通過 telnet 或者控制臺登錄路由器,根據命令進行人工配置,我們可以利用這一點,通過 TEHET SOCKET 編制仿真程序,針對 CISCO,對人工命令進行仿真,對路由器進行動態配置。仿真程序的編制需要一個與 CISCO 控制表項相一致的文件,這是存取控制表的插入是由 deny 決定的,先把控制項放入配置的文件中,再將配置傳輸入路由器中。
3.3 加強對 IP 地址的保護
首先登記每個合法IP地址和對應的以太網地址,形成一個對應表。運行時通過定期掃描校園網內各個路由器中的ARP表,獲得當前IP和MAC的對應關系,和事先合法的IP和MAC地址進行比較,如不一致,則為非法訪問。這種方法的出發點是每個網卡的以太網地址是固定不變而且是唯一的。但事實上用戶可以讓網卡使用任意的以太網地址。因此,這種方法的效果不是很好。可對其進行改進,由用戶自己動態地控制IP地址的訪問權限,當用戶不需要對外通信時,可以關掉自己的IP地址對外的權限,這時即使有人盜用IP地址也不會對用戶造成直接的經濟損失。
4解決校園網安全問題的其它措施
不論采用什么樣的防火墻技術,都不能完全解決校園網的安全問題。因此必須針對防火墻所存在的缺陷和漏洞,采取相應的措施解決校園網絡的安全。
4.1封鎖系統安全漏洞
黑客之所以得以非法訪問系統資源和數據,很多情況下是因為操作系統和各種應用軟件的設計漏洞或者管理上的漏洞所致。因此,在制定訪問控制策略時,不要忘記封鎖系統安全漏洞。目前,Internet中的一些重要的網絡都建立了計算機緊急相應工作組,如中國教育和科研網的緊急響應組,在發現新病毒或因系統安全漏洞威脅網絡安全時,會及時向用戶發出安全通告,并提供各種補丁程序以便下載。許多應用軟件也在不斷更新版本以修正錯誤或完善功能。對于校園網管理人員而言,只需注意跟蹤此類信息,及時下載和安裝各種補丁程序,升級程序就能對保護網絡和信息系統的安全起到很大作用。
4.2網絡病毒的防治措施
為防止網絡病毒通過校園網進行傳播,可以采用時下流行的殺毒軟件如:360。它具有如下特點:獨創的“五核引擎”殺毒技術,查殺、清除病毒能力遠超同類軟件;為國內用戶量身打造的“嵌入式殺毒技術”,方便高效的保護QQ、MSN上的傳輸的文件,以及U盤、移動硬盤上的文件,不被病毒入侵;“云查殺”技術可以快速定位用戶機器內的未知可疑文件,分析、處理僅需10分鐘,可以防范“新木馬”入侵等。
5總結
從理論上講,一個校園網絡系統越安全越好,但是絕對安全可靠的系統并不存在。校園網防火墻系統構建是一項復雜的系統工程,實際上也是入侵者與反入侵者之間,持久的對抗與反對抗過程,不是一勞永逸地能夠防范任何攻擊的完美系統。校園網絡訪問控制體系策略的制定要針對網絡的實際情況具體地對各種安全措施和方案進行取舍,使系統的性能比達到一個合理的水平。
參考文獻
[1]張艷,王雪濤.網絡防火墻的組網及實例分析[J].電信快報,2010(01).
[2]鄭羽.網絡防火墻的技術實現及性能測試[J].安慶師范學院學報(自然科學版),2008(01).
[3]楊秋田.校園網安全研究[J].武警學院學報,2010,26(9)
關鍵詞:計算機網絡安全;防火墻技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)28-0063-02
計算機技術使人們的生活變得更為便利,在一定程度上也改變了人們工作上的方式和結構,在日常生活以及工作之中都對人們產生了極大的影響。如何保障計算機網絡的安全性能也是使計算機技術更好地應用于社會中的關鍵部分,通過本文對計算機網絡安全性能以及應對計算機網絡不安全成分的防火墻技術地進一步說明和研究,從而為解決計算機技術中存在的問題創造了條件。
1計算機網絡安全
所謂計算機網絡安全,是指計算機處在開放的網絡環境下,需要對計算機的各個部分進行保護,以保證其自身內容不會因某種原因遭到破壞、更改或者泄露,從而使計算機網絡系統可以連續、正常、可靠地運行下去。計算機網絡安全的內容涵蓋了計算機網絡所涉及額全部內容,其中包括計算機網絡系統中的硬件、軟件以及數據信息等等方面,它所要保護的是與計算機技術有關的一切安全問題。
計算機網絡安全具有以下幾點特征:
1) 保密性:計算機中的信息不可泄露給非授權的用戶、實體或過程;
2) 完整性:數據未經過授權不可改變其存在的特性。即信息的儲存和使用的過程中不可被人任意修改、破壞或缺失;
3) 可用性:被授權的實體可以享受使用的權利。即用戶可在有需要時提取信息數據;
4) 可控性:信息的傳播和內容具有一定的控制性;
5) 可審查性:可對出現的安全問題提供一定的依據和手段。
計算機網絡安全問題的發生源于網絡的開放性、國際性和自由性的特征。互聯網是一個開放性的網絡環境,網絡技術是全開放的,那么網絡可能面臨的問題也會存在于各個方面,既包括來自網絡通信協議的攻擊,也有可能來自計算機軟件、漏洞的出現。網絡具有跨越時間和空間的特性,網絡上的用戶可以來自于全國各地,甚至世界的每一個角落,所以計算機也有可能會受到互聯網上其他國家黑客的干擾和侵害,計算機網絡面臨著國際上的挑戰。互聯網是一個高度自由的平臺,用戶在網絡上沒有過多的限制和約束,可以自由上網,或接受必要的信息數據,用戶具有隨意性,有時的信息會帶有攻擊性的特點,情節嚴重的話容易造成社會局勢的不穩定,對計算機技術帶來不好的影響。
影響計算機網絡安全的因素來自多個方面,具體包括網絡自身、外界因素以及安全評估技術三個方面:
1) 網絡自身:網絡打破了對人們時間和地域上的局限,方便了人們的交流和溝通,不過,網絡自身卻存在開放性和虛擬性的特點。開放性會導致用戶的信息出現優劣不等的局面,使人真假難以辨認。另外,虛擬性的網絡環境難以被人們所控制,容易受到一些不法分子的侵入,最終導致計算機網絡受到損害,許多網絡操作系統存在漏洞,沒有得到及時地處理和解決,更新速度較慢,無法適應網絡地飛速發展。
2) 外界因素:網絡上經常會出現不同類型的病毒,不易引起人們的察覺,一旦病毒侵入計算機就會對系統內部造成不同程度地損害,輕者會系統出現速度較慢的情況,嚴重的話計算機會出現死機的現象,無法正常運轉。另外,網路黑客會利用自身高超的計算機技術侵入他人電腦,獲取對方私密信息,損害計算機系統設備,網絡上的一些軟件也會帶入黑客的病毒,一旦安裝到電腦山就會被黑客損害,影響計算機的安全性能。
3) 安全評估技術:進一步加大計算機網絡安全的保護力度就必須實施一套完善的安全評估技術。安全評估技術可對計算機進行實時的保護,一旦發現病毒入侵就會及時制止,避免對計算機的損害,從而大大降低了計算機可能被攻擊的情況。但現今我國的安全評估技術還不夠完善,處在一個相對落后的局勢之下,沒有為計算機制造一個良好的網絡環境。
2防火墻技術
2.1防火墻的功能
防火墻是一種隔離技術,主要依靠軟件和硬件在內部網絡環境和外部網絡環境之間形成相對的保護屏障,為計算機網絡阻斷可能產生的不安全因素。防火墻在用戶同意的情況下可進入到計算機之中,反之則會將其阻擋在外。
防火墻技術具備強大的警報功能,當外部用戶需要進入計算機之中,防火墻會發出警報,提醒用戶,并尋求用戶進行自我判斷是否允許外部用戶的進入。只要存在于網絡環境之中的用戶,防火墻可進行一定的查詢,并將查到的信息向用戶顯示出來。用戶可根據自身的需要對防火墻進行設置,阻斷不允許用戶關于計算機的一切行動。
防火墻可以對數據流量進行查看,以及閱讀數據信息上傳下載的速度如何,從而使用戶可對自身的使用情況有一定掌握。計算機內部情況可通過防火墻技術進行必要的查看,也可以進行啟動和關閉的程序。系統內部的日志功能就是指防火墻技術對計算機內部系統的安全情況以及每日流量使用情況的總結。
2.2防火墻技術在計算機網絡安全中的應用
防火墻技術是對計算機網絡進行有效防護的措施之一,同時也是計算機網絡得以安全正常運行的關鍵所在,通過防火墻技術的使用人們可以在一個相對安全的網絡環境下使用計算機技術,從而為人們自身的信息數據提供了保障。
2.2.1服務器的應用
服務器可通過開放性的系統互聯網會話層對網絡系統扮演著者的角色,從而實現信息資源得以共享的功能。服務器在網絡系統中具有中轉的作用,進一步增強了對網絡系統地有效控制,提升了用戶自身密碼、賬號的安全程度,具有一定的防護作用。不過,服務器相對來說對網絡運行的質量具有較高的要求,且編程復雜,需要處在一個比較穩定的環境之下才能發揮其真正的價值。
2.2.2過濾技術的使用
防火墻技術可以對信息進行選擇,根據數據信息是否具備原先存在的安全注冊表,從此來判斷所傳輸的信息是否安全,防火墻技術具有過濾的功能和特點。這種過濾技術既可以使用在計算機的主機上面,同時也可以應用在路由器上,既可以是開放性的,也可以是封閉性的,用戶可以根據計算機網絡存在的實際情況予以選擇,并提供一定的服務設備。不過,這種過濾技術容易受到端口的限制而無法實現對全網的保護,兼容能力較低。
2.2.3復合技術的應用
復合技術是指服務器功能和過濾技術二者的結合,是一種更為穩定、安全的計算機網絡安全防護設備。復合技術為二者的有機結合,可以對計算機網絡出現的漏洞進行有效地解決,當計算機受到侵害的時候,可以采取多方面的保護方式,提高計算機自身的安全預測和監督能力。
復合技術的防護措施主要包括以下幾點:
1) 進行安全認證,提高計算機網絡的安全程度;
2) 增強用戶的感知能力,出現問題時進行及時報警,保障用戶信息安全;
3) 提高計算機網絡的交互功能,增強計算機網絡的保護能力,進一步提升防護價值。
3 結束語
綜上所述,計算機網絡在如今社會的使用量十分龐大,且還在處于不斷擴大的局勢,解決計算機網絡安全已經刻不容緩。為提高計算機網絡的安全性能,必須加大創新能力,開發出更為先進的防護設備,不斷更新防火墻技術的內部系統,從而促進我國計算機網絡地進一步發展,提高我國科學技術的水平和質量,增強我國的綜合國力。
參考文獻:
[1] 張瑞.計算機網絡安全及防火墻技術分析[J].電腦知識與技術,2012(24).
關鍵詞:防火墻 網絡安全 發展趨勢
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2015)11-0000-00
1防火墻概述
1.1 防火墻的概念
防火墻主要是用來加強網絡之間的訪問和控制,以防止安全策略中禁止的通訊,從而保護計算機安全的一種硬件或軟件。它和建筑之中的防火墻功能有些類似,通常外部的網絡用戶以非法的手段從外部網絡進入內部網絡,訪問內部網絡資源,竊取數據。為了保護計算機的安全,防火墻對兩個或者以上的安全策略進行檢查,進行的通訊是否安全從而決定是否放行,同時也監視者網絡的運行狀態。設立防火墻的主要目的是出于信息的安全考慮,防止外部的用戶任意的瀏覽計算機內部信息和竊取數據,以達到保護計算機安全的目的。
1.2防火墻的功能
防火墻的功能主要有,隔離內外網絡,增加保密內容,防止信息被有意盜竊。建立檢查點,強化安全策略,記錄一些入侵途徑的日志,監控網絡情況,為預警提供方便等。
2 防火墻與入侵檢測技術
2.1 入侵檢測系統概述
入侵檢測是對一些有害的信息進行監測或者阻止,它可以對信息安全提供保障。
根據檢測系統監測的對象是主機還是網絡,可以將入侵檢測系統主要分為兩種。
2.1.1基于主機的入侵檢測系統
這類系統主要用于保護運行關鍵應用的服務器。通過查看日志文件,可以發現入侵或者入侵的企圖,并迅速的啟動應急程序,從而到達避開檢測系統的目的。
2.1.2基于網絡的入侵檢測系統
這種入侵檢測系統通過在共享的網段上對數據的監聽來收集數據并分析可疑的對象數據,這種系統不要嚴格的審計,因此對主機的要求不高,而且還可以提供對網絡通用的的保護,不必去擔心不同主機的不同架構。
2.2 入侵檢測系統面臨的挑戰
入侵檢測系統(IDS)是近些年來發展起來的一種動態安全防范技術,它主要是通過對一些關鍵點收集信息并對它們進行分析,看行為是否有被攻擊的跡象。這也是一種集檢測、記錄、報警、響應的動態安全技術,它不僅能檢查外部的入侵行為,也可以檢測內部的行為,這種檢測技術主要面臨著三個挑戰,分別表現在以下幾個方面:(1)如何來提高檢測數據的速度以適應日益發展的網絡通信要求;(2)如何來提高檢測系統的檢測安全性和準確性;(3)如何來提高整個檢測系統的互動性能。
這些挑戰在以后的信息安全問題中將繼續凸顯出來,所以只有繼續提高檢測技術來應對這些方面的挑戰。
2.3防火墻與入侵技術的結合
從概念上我們可以看出防火墻是一種對入侵比較被動的防御,而入侵檢測相對來說是一種主動的防御。防火墻作為第一道防線,阻止了網絡層的攻擊,拒絕了一些明顯的攻擊數據但是還是放入了一些隱藏攻擊的數據,這時就需要入侵檢測技術的支持。如果防火墻加入了入侵檢測技術那么很快就會確認入侵者,這樣就大大的提高了防火墻的整體防御效力。下面是防火墻和入侵檢測系統的兩種合作方式。
一種是緊密的結合。這種結合就是把入侵檢測技術配置到防火墻中。這種結合使得所有的數據在經過防火墻的同時也會接受入侵檢測技術的檢查。來判斷數據包是否有入侵嫌疑。從而達到即時阻擋。
第二種是兩者之間拿出一個開放接口給對方調用,并且按照一定的協議進行交流。這種結合方式是在對防火墻和入侵檢測的優缺點進行分析后研究建立的模型,實現了功能上的優勢互補。
無論是哪種方式,入侵檢測技術和防火墻的結合都很好的解決了防火墻可以阻擋但難發現入侵的弊端,同時也解決了入侵檢測技術容易發現進攻但難阻擋的劣勢。這樣的結合型防火墻不僅能快速的發現進攻而且還能夠及時做出反應來阻擋進攻。同時高效的收集有關入侵信息也給了入侵很大的威懾力。
3 防火墻發展趨勢及前景
防火墻的一些安全問題暴露出防火墻的一些不足,防火墻開始出現了一種更高級的防火墻,這是也是防火墻一種設計理念的升華。這種較為先進的防火墻帶有檢測系統,它通過過濾數據來檢測入侵,這也是現有防火墻的一種主流模式了。在未來防火墻的檢測技術中將繼續聚合更多的范疇,這些聚合的范疇也很大的提高了防火墻的性能和功能的擴展,與此同時我們可以展望未來的防火墻必定是向著多功能化、高性能、智能化、更安全的方向發展。
3.1多功能化防火墻
現在防火墻已經出現了一種聚成多種功能的設計趨勢,入侵檢測這樣的功能很多出現在現在防火墻產品中了,這樣的設計給管理性能帶來了不少的提升。甚至會有更多新穎的設計出現在防火墻中,比如短信功能,當防火墻的規則被變更或者出現入侵攻擊的時候,報警行為會通過多種途徑將消息發送到管理員手中,包括即時短信,或者電話呼叫。以確保安全行為第一時間即被啟動。也許在不久的將來我們就可以在防火墻產品上看到更多更出色的功能設計。
3.2 高性能防火墻
另外一種趨勢是性能的提高,未來的防火墻在功能上的提高一定會伴隨著性能的提升,特別是數據的流量日益復雜更需要性能的保障。如果只是要求性能的提高必然會出現問題。單純的流量過濾性能問題是比較容易解決的問題,但是與應用層涉及越密,性能提高需要面對的問題就會越來越復雜。特別是在大型應用環境中防火墻規則庫有幾萬的記錄,這對防火墻的負荷來說是很大的考驗,所以一些并行處理技術的高性能防火墻將出現在人們的眼中。
3.3智能化防火墻
網絡中的一些以垃圾電子郵件的發送,惡意性網站網頁的彈出問題等,這些已經不是簡單的防火墻技術可以解決的。傳統防火墻解決的效果差而且效果也不好,所以智能防火墻在未來的發展趨勢中也必定發揮出相應的作用。
所以不論是從功能還是性能或者其他方面來說防火墻在今后都將會迅速發展,這也是反映了信息安全對防火墻的要求,同時也是防火墻的發展趨勢。
參考文獻
關鍵詞:拒絕服務攻擊;非軍事化區;網絡地址轉換
一、防火墻概述
(一)防火墻的概念。
防火墻現在已成為各企業網絡中實施安全保護的核心,安全管理員的目的是選擇性地拒絕進出網絡的數據流量,這些工作都是由防火墻來做的。
什么是防火墻?防火墻的本義是指古代構筑和使用木制結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,一旦某個單元起火這種方法保護了其它的居住者,這種防護構筑物就被稱之為“防火墻”。然而,多數防火墻里都有一個重要的門,允許人們進入或離開大樓。因此,雖然防火墻保護了人們的安全,但這個門在提供增強安全性的同時允許必要的訪問。
(二)防火墻的功能。
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
二、防火墻的分類
(一)按照防火墻防御方式劃分。
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packet filtering)型
(2)應用(Application Proxy)型
(二)按防火墻結構劃分。
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
分布式防火墻再也不是只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
(三)按軟、硬件形式上分。
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
軟件防火墻
硬件防火墻
(四)按防火墻的應用部署位置分。
如果按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
(五)按防火墻的性能分。
如果按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
三、防火墻的體系結構
(一)屏蔽路由器(Screening Router)
這是防火墻最基本的構件。它可以由廠家專門生產的路由器實現,也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件,實現報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。
單純由屏蔽路由器構成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷后很難發現,而且不能識別不同的用戶。
(二)雙穴主機網關(Dual Homed Gateway)
雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的,該計算機至少有兩個網絡接口。這種配置是用一臺裝有兩塊網卡的堡壘主機做防火墻。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火墻軟件,可以轉發應用程序,提供服務等。防火墻內部的系統能與雙重宿主主機通信,同時防火墻外部的系統(在因特網上)能與雙重宿主主機通信,但是這些系統不能直接互相通信。它們之間的IP通信被完全阻止。
雙穴主機網關優于屏蔽路由器的地方是:堡壘主機的系統軟件可用于維護系統日志、硬件拷貝日志或遠程日志。這對于日后的檢查很有用。但這不能幫助網絡管理者確認內網中哪些主機可能已被黑客入侵。
雙穴主機網關的一個致命弱點是:一旦入侵者侵入堡壘主機并使其只具有路由功能,則任何網上用戶均可以隨便訪問內網。
(三)被屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易于實現也很安全,因此應用廣泛。例如,一個分組過濾路由器連接外部網絡,同時一個堡壘主機安裝在內部網絡上,通常在路由器上設立過濾規則,并使這個堡壘主機成為從外部網絡唯一可直接到達的主機,這確保了內部網絡不受未被授權的外部用戶的攻擊。
在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的:即堡壘主機是因特網上的主機能連接到內部網絡上的系統的橋梁(例如,傳送進來的電子郵件)。即使這樣,也僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或者服務將必須連接到這臺堡壘主機上。因此,堡壘主機需要擁有高等級的安全。
數據包過濾也允許堡壘主機開放可允許的連接(什么是"可允許"將由用戶的站點的安全策略決定)到外部世界。四、防火墻的發展前景
防火墻可說是信息安全領域最成熟的產品之一,但是成熟并不意味著發展的停滯,恰恰相反,日益提高的安全需求對信息安全產品提出了越來越高的要求,防火墻也不例外,下面我們就防火墻一些基本層面的問題來談談防火墻產品的主要發展趨勢。
(一)模式轉變。傳統的防火墻通常都設置在網絡的邊界位置,不論是內網與外網的邊界,還是內網中的不同子網的邊界,以數據流進行分隔,形成安全管理區域。
(二)功能擴展。現在的防火墻產品已經呈現出一種集成多種功能的設計趨勢,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防御系統)的產品轉化了。
(三)性能提高。未來的防火墻產品由于在功能性上的擴展,以及應用日益豐富、流量日益復雜所提出的更多性能要求,會呈現出更強的處理性能要求,而寄希望于硬件性能的水漲船高肯定會出現瓶頸,所以諸如并行處理技術等經濟實用并且經過足夠驗證的性能提升手段將越來越多的應用在防火墻產品平臺上。
五、總結
總體來說,傳統的防火墻已經無法滿足人們的安全需求,其功能不足以應付眾多的安全威脅。
首先,在功能方面,防火墻的發展趨勢是融合越來越多的安全技術,使得防火墻在向入侵防御系統的產品轉化,其融合的主要安全技術包括:
與VPN技術融合。防火墻融合VPN技術,實現過濾和加密的緊密地配合,使得網絡配置簡單。
與入侵檢測技術和攻擊防御技術的融合。很多防火墻能識別越來越多的入侵行為,并能抵抗部分攻擊行為。但是目前的防火墻的入侵檢測只是識別一些已知的攻擊行為,將來的防火墻應能具備更多的智能,主動識別和防御未知的攻擊行為和入侵。
關鍵詞:互聯網;防火墻;信息
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)35-7917-02
回顧人類社會的發展,我們可以簡單籠統地將其歸納為符號時代,數字時代,信息時代,尤其是計算機技術的發展以及互聯網的普及,更是將人類社會全面推向信息化的狂潮之中。在這樣的發展趨勢下,人類自身的日常生活發生了很多變化,其中人們的日常娛樂方式就是最明顯例證,由單調的電視機、收音機轉向因特網及基于互聯網的智能手機,其中的影響可見一斑。
在20世紀,大量的信息基本上依托于諸如報紙、雜志、電視等傳統的媒介存在與傳播,但是進入二十一世紀以來,大量的信息轉入互聯網這個新興的平臺,并且憑借其自身所獨有的高效性與高度的共享性使得信息的傳播速度得到了空前的發展,實現了質的飛躍,深入分析我們不難發現,互聯網可以給用戶提供一個穩定、高效、開放的信息公布平臺,與此同時其他用戶可以各取所需,在互聯網上搜索到各種各樣大量的信息,然后進行篩選處理,最終得到所需要的信息。然而基于互聯網的開放性特點,其中的信息質量良莠不齊,充斥著很多的垃圾數據,甚至會有一些病毒文件伺機攻擊計算機終端或者網站,這嚴重威脅到了互聯網的信息安全以及損害了用戶的個人利益。隨著計算機技術的不斷完善,防火墻的出現可以說在一定程度上有效地解決了上述問題,為互聯網安全提供了保障。
1 防火墻的基本概念以及分類
1.1 防火墻的基本概念
防火墻一詞最早出現在英文中,即firewall,是一種很形象的叫法,其定義可以簡單的概括為互聯網系統中介于內部網絡和外部網絡之間的一種安全防護系統,這種安全防護作用可以為主動防護亦可被動防御,是一種主要目的在于確保信息安全的體系。防火墻在工作時,可以根據設計人員預先設計的安全準則以及識別條件,允許或者拒絕相關信息由外部網絡進入內部網絡,這就相當于在內外部網絡之間設立了一道安全防護墻,此外防火墻不僅僅可以單純的對外部網絡中的不安全因素進行防護,也可以有效地限制內部網絡中的不安全訪問,例如可以事先制定規則來限制內部網絡中計算機終端訪問外部網絡中的病毒文件,分時間訪問外部網資源。
目前在面對日益嚴峻的網絡安全形勢,防火墻技術也在不斷地完善與改進,防火墻也有單一的硬件形式發展成為依托于硬件存在的軟件系統,再后來就形成了由硬件和軟件組合所形成的綜合的系統,這種綜合的防護系統在internet和intranet之間搭建了一個security gateway,就是我們熟悉的安全網關,保護內部網計算機終端免遭非法用戶的入侵,在很大程度上保護了外部網與內部網之間、公共網和專用網之間的溝通通道。防火墻的基本構成見圖1。
1.2 防火墻的基本分類
時至今日,防火墻的發展已經經歷了一個較長的過程,其發展歷程可以大致地歸納為:基于硬件技術的防火墻,最常見的硬件是路由器設備;以用戶為中心建立的防火墻應用工具;伴隨著計算機操作系統的發展而逐步建立起來的防火墻技術,例如在常見的xp、windous7系統中開發的防火墻工具;擁有安全操作系統的防火墻,比較常見為netscreen。在每個發展階段都涌現出很多產品,無論這些產品基于何種技術或者平臺,我們都可以將其總結為:
①按照結構的不同可以將防火墻分為兩類,即路由器和過濾器設備的組合體系、主機系統;
②從工作原理上進行分類,防火墻可以分為四大類,即專業的硬件防火墻、數據包過濾型、電路層網關和應用級網關;
③按照防火墻在網絡中的位置來進行分類的話,其可以分為兩種:分布式防火墻和邊界防火墻,其中網絡系統防火墻以及內部網絡中的主機共同構成了前者,
④按照防火墻技術的發展先后順序,防火墻技術可以分為:第Ⅰ代防火墻技術即pack filter。第Ⅱ代防火墻技術即我們所熟悉的組合式防火墻。第Ⅲ代防火墻技術即基于第Ⅱ代防火墻技術所完善改進而成的技術,例如防毒墻。第Ⅳ代防火墻技術,例如sonic wall。
3 防火墻的主要功能
無論是在外部網絡中還是內部網絡中,防火墻對于整個網絡體系的安全防護作用都是至關重要的,是互聯網與垃圾信息、病毒文件之間的有效屏障,其主要是保護特定的網絡或者特定的網絡中計算機終端免遭非法越權入侵以及內部網中的用戶與外部進行非法通信。如上文所述,防火墻技術已經經過了四代的發展,技術在不斷完善,但是其工作原理可以歸納為:將防護節點安置于內外部網絡的鏈接端口,在這些斷口處設定相關安全規則,一旦發生數據傳輸或者訪問,這些數據就必須經過端口安全規則的檢測認證,檢測區是否對網絡存在安全威脅,如果經檢測有害,那么會立即阻斷數據傳輸,起到了保護計算機網絡的目的,與此同時防火墻系統要在網絡受到攻擊時及時做出警示,提醒計算機用戶以及網絡安全維護人員不安全信息,終止操作,消除威脅。其中值得注意的是,防火墻的響應時間也是至關重要的一環,因為在不同的網絡之間的數據傳輸具有速度快、效率高、數量大、偽裝性好的特點,因此,在眾多信息中及時甄別出垃圾信息并及時按照既定程序阻斷刪除對于保護網絡系統安全就顯得尤為重要。防火墻的主要功能如圖2所示。
3 防火墻的主要應用
眾所周知,任何事物不可能存在絕對的安全與絕對的不安全,當下在市場上存在眾多的防火墻技術的產品,先不談質量參差不齊,即使企業或者個人用戶購買到一款技術先進、性能可靠、安全指數較高的防火墻系統,在面對每天數量驚人的網絡攻擊時也很難保證整個網絡系統絕對的密不透風,而且在實際的工作中,如果用戶沒有正確地根據實際情況配置計算機與調試硬件、軟件相關參數,更是降低了防火墻的防護水平,得不到預期的效果。
任何一款防火墻技術軟件發揮防護作用都大體上需要經過如下過程:
首先要經過正規的渠道購買正版的防火墻軟件,按照使用說明書正確的安裝整個系統,不能遺漏任何安裝選項,否則就可能造成系統無法正常運行的狀況;
其次就是要根據用戶的實際情況設置系統參數,這一點至關重要,因為企業與企業所處的領域不同,因此會面對不同的種類
以及不同等級的安全威脅,有的企業可能會面臨較多的信息泄露的危險,因此應該將防火墻的主要防護點側重在越權訪問以及非法竊取信息上,一般這種情況對企業的損失較大,因此防護等級較高,如果企業僅僅是防護病毒文件的入侵,那么就可以簡單的限制內網用戶訪問外網資源即可。此外系統參數的設置也包括系統響應時間、預警信息的方式、有害文件的處理方式等等,這些參數也應該嚴格按照使用說明根據安全防護等級設置,如果我們將安全防護等級設置的過高,很有可能會把一些有效信息過濾掉,影響企業的正常運轉和人員的正常工作;
最后就是高級功能的設置,很多軟件提供給用戶附加的服務,例如網絡安全狀況的時時監測、防護日志的查看、系統漏洞的提醒等等,用戶可以根據實際需要進行設置。
參考文獻:
[1] 諸海生,董震.計算機網絡應用基礎 [M].北京:電子工業出版社,2003:252-256.
