论文部分内容阅读
【摘 要】随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。本文主要对防火墙体系结构以及技术进行分析,浅谈防火墙技术在网络安全中的应用以及其他保障网络安全的策略。
【关键词】网络安全;防火墙技术
网络安全从本质上来讲就是网络上的信息安全。它涉及的领域相当广泛,这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。同样网络安全的技术措施也包括很多,包括有身份验证、访问授权、加解密技术、防火墙技术等等。虽然,近几年来涌现出了很多的网络安全技术,但防火墙技术仍然是最常用的一种网络安全技术。
防火墙是位于两个网络之间执行控制策略的系统,它使内部网络与Internet之间,或与其他外部网络互相隔离,从而保护内部网络的安全。
可以将防火墙的主要功能概括为:过滤不安全服务及非法用户、控制对站点的访问、监视Internet安全和预警。
一、防火墙的种类
防火墙的实现技术大体可以划分为两种:报文过滤和应用层网关。
(一)报文过滤
报文过滤是在网络协议的IP层实现的,路由器可以完成。它根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报文信息来判断是否允许报文通过。
报文过滤的主要弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用,如果攻击者把自己主机的IP地址设成一个合法主机IP地址,就可以很轻易地通过报文过滤器
(二)应用层网关
应用层网关(Application Layer Gateway Service),简称“ALG”(也叫应用层防火墙或应用层代理防火墙),其进程名是alg.exe[1](所在位置C:\Windows\System32),应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络(如Internet)上的服务时,该应用被引导至防火墙中的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估,并根据一套单个网络服务的规则决定允许或拒绝该请求。WinXP Home/PRO默认安装的启动类型为手动。
对于防火墙技术来说,报文过滤的弱点可以通过应用层网关来克服,在网络协议的应用层实现防火墙,其实现方式也有多种:包括应用代理服务器、回路级代理服务器、代理服务器、IP通道、网络地址转换、隔离域名服务器、邮件技术。
1.应用代理服务器:在网络应用层提供授权检查及代理服务;当外部某台主机试图网络访问受保护的网络时,必须先在防火墙上进行身份的认证,然后防火墙把外部主机与内部主机连接。防火墙可以限制用户访问主机、访问时间及访问方式。同样受保护的主机访问外部网络主机也需要防火墙的认证后才能访问。
2.回路级代理服务器:它是一种网络应用层的国际标准,当受保护网络主机需要与外部网络交换信息时,在防火墙上可以查到该主机的报文信息,如UserID、IP源地址、IP目的地址等,经过确认后方可与外界网络互联。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,因为网络用户不需要登陆到防火墙上,受保护的网络主机登陆到外网主机的IP地址也是防火墙的IP地址。
3.IP通道:如果一个大公司的两个子网相隔较远,需要通过Internet进行通信,则可以通过IP通道来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
二、防火墙技术的构建
(一)屏蔽路由器
屏蔽路由器是最常用的基本构建,可以由厂家专门生产路由器来实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有报文都必须在此通过检查,同时路由器上必须安装基于IP层的报文过滤软件,实现报文过滤功能,许多路由器本省均带有报文过滤配置选项,一般比较简单。
(二)屏蔽主机网关
屏蔽主机网关技术易于实现也很安全,应用也较为广泛;如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。
(三)屏蔽子网
屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连),其实现方法:例如两个路由器一个控制Intranet数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
(四)其他网络安全策略
随着网络的发展,保证网络安全的策略除了上面所说的防火墙技术之外,还能采用以下方法:1、用备份和镜像技术提高数据完整性;2、定期检查病毒;3、及时安装各种补丁程序;4、提高物理安全;5、仔细阅读网络管理人员判断和解决问题的日志;6、加密文件。
防火墙技术是目前应对网络安全问题的有效的技术手段之一,但是网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
参考文献:
[1]刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999(09).
[2]王丽艳.浅谈防火墙技术与防火墙系统设计[J].辽宁工学院学报,2001(01).
[3]郭伟.数据包过滤技术与防火墙的设计[J].江汉大学学报,2001(03).
作者简介:
易伟(1984—),男,河南信阳人,助理实验师,现供职于郑州科技学院,研究方向:信息管理、管理学,教育学等。
彭淑华(1981—),女,黑龙江伊春人,助理实验师,现供职于郑州科技学院,研究方向:计算机,教育学。
【关键词】网络安全;防火墙技术
网络安全从本质上来讲就是网络上的信息安全。它涉及的领域相当广泛,这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。同样网络安全的技术措施也包括很多,包括有身份验证、访问授权、加解密技术、防火墙技术等等。虽然,近几年来涌现出了很多的网络安全技术,但防火墙技术仍然是最常用的一种网络安全技术。
防火墙是位于两个网络之间执行控制策略的系统,它使内部网络与Internet之间,或与其他外部网络互相隔离,从而保护内部网络的安全。
可以将防火墙的主要功能概括为:过滤不安全服务及非法用户、控制对站点的访问、监视Internet安全和预警。
一、防火墙的种类
防火墙的实现技术大体可以划分为两种:报文过滤和应用层网关。
(一)报文过滤
报文过滤是在网络协议的IP层实现的,路由器可以完成。它根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报文信息来判断是否允许报文通过。
报文过滤的主要弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用,如果攻击者把自己主机的IP地址设成一个合法主机IP地址,就可以很轻易地通过报文过滤器
(二)应用层网关
应用层网关(Application Layer Gateway Service),简称“ALG”(也叫应用层防火墙或应用层代理防火墙),其进程名是alg.exe[1](所在位置C:\Windows\System32),应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络(如Internet)上的服务时,该应用被引导至防火墙中的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估,并根据一套单个网络服务的规则决定允许或拒绝该请求。WinXP Home/PRO默认安装的启动类型为手动。
对于防火墙技术来说,报文过滤的弱点可以通过应用层网关来克服,在网络协议的应用层实现防火墙,其实现方式也有多种:包括应用代理服务器、回路级代理服务器、代理服务器、IP通道、网络地址转换、隔离域名服务器、邮件技术。
1.应用代理服务器:在网络应用层提供授权检查及代理服务;当外部某台主机试图网络访问受保护的网络时,必须先在防火墙上进行身份的认证,然后防火墙把外部主机与内部主机连接。防火墙可以限制用户访问主机、访问时间及访问方式。同样受保护的主机访问外部网络主机也需要防火墙的认证后才能访问。
2.回路级代理服务器:它是一种网络应用层的国际标准,当受保护网络主机需要与外部网络交换信息时,在防火墙上可以查到该主机的报文信息,如UserID、IP源地址、IP目的地址等,经过确认后方可与外界网络互联。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,因为网络用户不需要登陆到防火墙上,受保护的网络主机登陆到外网主机的IP地址也是防火墙的IP地址。
3.IP通道:如果一个大公司的两个子网相隔较远,需要通过Internet进行通信,则可以通过IP通道来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
二、防火墙技术的构建
(一)屏蔽路由器
屏蔽路由器是最常用的基本构建,可以由厂家专门生产路由器来实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有报文都必须在此通过检查,同时路由器上必须安装基于IP层的报文过滤软件,实现报文过滤功能,许多路由器本省均带有报文过滤配置选项,一般比较简单。
(二)屏蔽主机网关
屏蔽主机网关技术易于实现也很安全,应用也较为广泛;如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。
(三)屏蔽子网
屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连),其实现方法:例如两个路由器一个控制Intranet数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
(四)其他网络安全策略
随着网络的发展,保证网络安全的策略除了上面所说的防火墙技术之外,还能采用以下方法:1、用备份和镜像技术提高数据完整性;2、定期检查病毒;3、及时安装各种补丁程序;4、提高物理安全;5、仔细阅读网络管理人员判断和解决问题的日志;6、加密文件。
防火墙技术是目前应对网络安全问题的有效的技术手段之一,但是网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
参考文献:
[1]刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999(09).
[2]王丽艳.浅谈防火墙技术与防火墙系统设计[J].辽宁工学院学报,2001(01).
[3]郭伟.数据包过滤技术与防火墙的设计[J].江汉大学学报,2001(03).
作者简介:
易伟(1984—),男,河南信阳人,助理实验师,现供职于郑州科技学院,研究方向:信息管理、管理学,教育学等。
彭淑华(1981—),女,黑龙江伊春人,助理实验师,现供职于郑州科技学院,研究方向:计算机,教育学。