《浅析防火墙技术在网络安全中的应用 .docx》由会员分享,可在线阅读,更多相关《浅析防火墙技术在网络安全中的应用 .docx(3页珍藏版)》请在三一文库上搜索。
1、浅析防火墙技术在网络平安中的应用 浅析防火墙技术在网络平安中的应用 【摘 要】随着科学技术的快速开展,网络技术的不断开展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的开展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的平安,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络平安政策的有机组成局部,它通过控制和监测网络之间的信息交换和访问行为来实施对网络平安的有效管理。本文主要对防火墙体系结构以及技术进行分析,浅谈防火墙技术在网络平安中的
2、应用以及其他保障网络平安的策略。 【关键词】网络平安;防火墙技术 网络平安从本质上来讲就是网络上的信息平安。它涉及的领域相当广泛,这是因为在目前的公用通信网络中存在着各种各样的平安漏洞和威胁。同样网络平安的技术措施也包括很多,包括有身份验证、访问授权、加解密技术、防火墙技术等等。虽然,近几年来涌现出了很多的网络平安技术,但防火墙技术仍然是最常用的一种网络平安技术。 防火墙是位于两个网络之间执行控制策略的系统,它使内部网络与Internet之间,或与其他外部网络互相隔离,从而保护内部网络的平安。 可以将防火墙的主要功能概括为:过滤不平安效劳及非法用户、控制对站点的访问、监视Internet平安和
3、预警。 一、防火墙的种类 防火墙的实现技术大体可以划分为两种:报文过滤和应用层网关。 报文过滤 报文过滤是在网络协议的IP层实现的,路由器可以完成。它根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报文信息来判断是否允许报文通过。 报文过滤的主要弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用,如果攻击者把自己主机的IP地址设成一个合法主机IP地址,就可以很轻易地通过报文过滤器 应用层网关 应用层网关,简称“ALG,其进程名是alg.exe【1】,应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络上的效劳时,该应用被引导至
4、防火墙中的代理效劳器。代理效劳器可以毫无破绽地伪装成Internet上的真实效劳器。它可以对请求进行评估,并根据一套单个网络效劳的规那么决定允许或拒绝该请求。WinXP Home/PRO默认安装的启动类型为手动。 对于防火墙技术来说,报文过滤的弱点可以通过应用层网关来克服,在网络协议的应用层实现防火墙,其实现方式也有多种:包括应用代理效劳器、回路级代理效劳器、代理效劳器、IP通道、网络地址转换、隔离域名效劳器、邮件技术。 1.应用代理效劳器:在网络应用层提供授权检查及代理效劳;当外部某台主机试图网络访问受保护的网络时,必须先在防火墙上进行身份的认证,然后防火墙把外部主机与内部主机连接。防火墙可
5、以限制用户访问主机、访问时间及访问方式。同样受保护的主机访问外部网络主机也需要防火墙的认证后才能访问。 2.回路级代理效劳器:它是一种网络应用层的国际标准,当受保护网络主机需要与外部网络交换信息时,在防火墙上可以查到该主机的报文信息,如UserID、IP源地址、IP目的地址等,经过确认前方可与外界网络互联。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,因为网络用户不需要登陆到防火墙上,受保护的网络主机登陆到外网主机的IP地址也是防火墙的IP地址。 3.IP通道:如果一个大公司的两个子网相隔较远,需要通过Internet进行通信,那么可以通过IP通道来防止Internet
6、上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。 二、防火墙技术的构建 屏蔽路由器 屏蔽路由器是最常用的根本构建,可以由厂家专门生产路由器来实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有报文都必须在此通过检查,同时路由器上必须安装基于IP层的报文过滤软件,实现报文过滤功能,许多路由器本省均带有报文过滤配置选项,一般比拟简单。 屏蔽主机网关 屏蔽主机网关技术易于实现也很平安,应用也较为广泛;如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规那么,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不
7、受未被授权的外部用户的攻击。 如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。网关的根本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。 屏蔽子网 屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的效劳。在这种体系结构中,主要的平安由数据包过滤提供,其实现方法:例如两个路由器一个控制Intranet数据流,另一个控制Internet数据流,Intr
8、anet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理效劳,但是来自两网络的访问都必须通过两个包过滤路由器的检查。 其他网络平安策略 随着网络的开展,保证网络平安的策略除了上面所说的防火墙技术之外,还能采用以下方法:1、用备份和镜像技术提高数据完整性;2、定期检查病毒;3、及时安装各种补丁程序;4、提高物理平安;5、仔细阅读网络管理人员判断和解决问题的日志;6、加密文件。 防火墙技术是目前应对网络平安问题的有效的技术手段之一,但是网络平安是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的
9、平安问题,我们应该用系统工程的观点、方法,分析网络的平安及具体措施。平安措施主要包括:行政法律手段、各种管理制度以及专业措施。一个较好的平安措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络平安应遵循整体平安性原那么,根据规定的平安策略制定出合理的网络平安体系结构。这样才能真正做到整个系统的平安。 参考文献: 【1】刘玉莎.防火墙技术的研究与探讨J.计算机系统应用,1999. 【2】王丽艳.浅谈防火墙技术与防火墙系统设计J.辽宁工学院学报,2001. 【3】郭伟.数据包过滤技术与防火墙的设计J.江汉大学学报,2001. 彭淑华,女,黑龙江伊春人,助理实验师,现供职于郑州科技学院,研究方向:计算机,教育学。