写论文没有思路的时候,经常查阅一些论文范文,小编为此精心准备了《防火墙技术论文范文(精选3篇)》,仅供参考,大家一起来看看吧。摘要:目前,网络以及资源不断受到威胁。防火墙确保一个网络不会受到另一个网络所带来的攻击。研究了防火墙的防范措施及实现的关键技术。希望人们对防火墙技术有比较全面的了解。
第一篇:防火墙技术论文范文
网络防火墙技术
摘要:网络安全问题已经成为超越并涵盖国防安全、经济安全和社会安全的第一安全问题。防火墙技术是互联网上使用最为广泛的安全防范措施。该文从现有的网络安全问题出发,对防火墙技术的基本原理、主流技术、现有防火墙产品的体系架构进行了全面介绍,并对防火墙的未来发展趋势做了展望。
关键词:防火墙;网络;安全技术
随着互联网产业和技术的高速发展,全球已经进入一个“全球互联”的互联网信息时代,网络信息化系统以及相关系统间的通信网络已经成为一种提供公共服务的基础设施。互联网以及所带来的应用已经深入社会的各个层面,网络安全已经成为与国家、社会和每个个体都紧密相关的问题。对一个国家来说,网络安全已经成为国防安全、经济安全之上的第一安全。对于整个社会而言,网络安全是社会正常运行的重要保障。对于个人来说,网络安全是个人隐私和尊严、个人财产和人身安全的安全保护伞。近两年来,随着移动互联网的飞速发展,网络安全形势日趋严峻。
互联网系统存在安全问题的主要原因有:(1)系统本身存在缺陷和漏洞;(2)互联网的开放性;(3)网络上大量的黑客攻击行为。目前,针对网络安全的防控技术主要有:(1)病毒防护技术,(2)入侵检测技术,(3)VPN技术,(4)PKI(公钥)技术,(5)防火墙技术。本文主要对防火墙技术进行介绍。
1 防火墙技术概述
(1)防火墙的概念
实际上来讲,防火墙是一种设置于不同网络安全边际上的高级访问控制设备。网络安全人员通过在该设备上设置安全控制策略对网络行为进行安全管控。防火墙的核心设计理念是在不安全的互联网网络环境中隔离出一个相对比较安全的网络子网,其方法则是在被保护的内部网络与外部网络之间建设一个唯一安全通道,通过控制通过安全通道内的信息流达到保证内部网络安全的目的。
(2)防火墙的分类
从使用范围和构成来分,防火墙可以分成个人防火墙、软件防火墙和硬件防火墙三个类型。
个人防火墙——安装在个人电脑或个人移动终端上的软件系统,为个人电脑或移动终端提供简单的防火墙功能。常用的个人防火墙有360安全卫士、腾讯安全卫士、百度安全卫士等。
个人防火墙除了提供基本的防火墙功能之外,还提供基础杀毒功能和系统优化功能等。
软件防火墙——是与硬件系统无关的,通过软件来实现阻止非法访问的软件系统。该软件系统可以运行在多种操作系统之上,功能比较强大。本质上来讲,个人防火墙是软件防火墙的一种简化版本。
硬件防火墙——此类防火墙采用专门的CPU芯片(非X86芯片)來处理防火墙的安全控制策略的防火墙。此类防火墙的所有控制逻辑均在硬件芯片内来实现,因此也叫芯片级防火墙。芯片级防火墙的优点在于:性能比较高,具有非常高的并发处理能力和吞吐量。
2 防火墙的技术原理
防火墙本质上是一种通过隔离并设置“安全检查站”的方式来防护的技术。通过设置安全检查策略,允许符合安全策略的访问者和数据流通过进出内部网络,对于那些不符合安全策略的数据流和访问请求拒绝通过“安全检查站”。这样,既可以防止外部网络的非法访问,也可以阻止内部敏感数据被窃取,达到阻止黑客访问网络,并更改、删除和复制网络中重要信息的目的。
防火墙所采用的技术主要有:包过滤技术、应用及代理服务器技术、状态检测技术和完全内容检测技术。
(1)包过滤技术
包过滤(IP Filtering or packet filtering)工作在网络层,其主要原理是通过检测数据包中的IP、端口和协议等信息,来决定是否允许数据包通过。
当设置的包过滤规则比较合理的情况下,网络的安全可以得到充分的保障。包过滤检测主要是对IP数据包的包头信息进行检测,检测内容包括:TCP/UDP的源端口号或这目的端口号,协议类型:TCP、UDP、ICMP等,源或目的IP地址,数据包的源地址和目的地址。
所检测的信息如果能够与检测规则中的某一条匹配成功并且该规则为允许通过规则,则该数据包被转发;如果所检测信息与某一条检测规则匹配并且该规则为拒绝通过规则,则该数据包则会被丢弃;如果所检测信息没有与任何一条检测规则匹配成功,则根据缺省规则的约定对数据包进行转发或是丢弃处理。
如图1所示,如果需要允许IP地址为192.168.0.1的电脑浏览网页(建立HTTP连接),允许IP地址为192.168.0.2的电脑与Internet建立FTP连接,不允许其他电脑与Internet通信,则可以设置如下过滤规则:a)允许源IP地址为192.168.0.1,目的端口号为80的数据包通过(HTTP协议的端口号为80);b)允许源IP地址为192.168.0.1,目的端口号为53的数据包通过(DNS的端口号为53,在浏览网页时通常需要进行域名解析);c)允许源IP地址为192.168.0.2 ,目的端口号为21的数据包通过(FTP的端口号为21)d)缺省禁止所有的其他连接。
(2)应用及代理服务器技术
包过滤技术不能够完全保障网络的安全,某些特殊的报文攻击,比如:SYN攻击、ICMP洪水,可以避开包过滤防护。代理服务器实际上是作为一个数据转发服务器而存在。这种通道是为了实现用户保密或突破访问限制而设置的。“应用代理”防火墙实际上是带有数据检测过滤功能的透明代理服务器(Transparent Proxy)。但是它采用一种被称为“应用协议分析”(Application Protocol Analysis)的新技术,并不是单纯地在代理服务器中嵌入包过滤技术。
该技术的基本原理是:为了防止互联网上的用户直接获得内部网的信息,在内部网的边缘设置代理服务器,将互联网和内部网的连接通路分成两段,一段是互联网到代理服务器,另一段是代理服务器到内部网中的某个主服务器。当有互联网上用户请求访问内部网的某个服务器时,该业务请求总被送到代理服务器,由代理服务器作为代理去访问内部网的某个服务器。这样,所有来自互联网的访问请求均要通过代理服务器的安全管控,从而使得外部访问者无法了解内部网的结构和运行状态。
该技术的主要优点:屏蔽了被保护的内部网;实现对数据流的监测和控制。主要缺点:系统实现相对复杂;需要设置额外的硬件设备;服务请求延迟比较大。
(3)状态检测技术
状态检测技术是一种基于链接的状态检测机制。该技术将属于同一链接的所有数据分组当作一个整体数据流,从而构成链接的状态表。规则表和状态表共同作用对表中的各个连接状态信息进行识别。
状态检测技术所检测的状态信息有:①通信信息,②通信状态,③应用状态,④操作信息。
通信信息——操作系统的内核中嵌入检测模块。通信信息则是包括了OSI模型的所有对应层的通信信息。检测模块在进行检测时,先从底部协议层的数据包开始进行检测,如果数据包符合所设置的安全策略,则再进行更高层级的安全检测。
通信状态——状态表存储于状态检测防火墙中。受保护的网络中发出的数据包的状态信息被存储到状态表中。然后,状态检测防火墙读取状态表中的记录,并与那些请求进入受保护网络的数据进行分析比对,最终只允许那些响应内部网服务请求的数据包通过检测,进入内部网络。
应用状态——状态检测模块被加入了自学习功能,因此可以学习最新的协议和应用。由此,状态检测模块能够支持各种最新的应用程序。应用程序中状态信息也被收集起来并存入状态表,用以支撑检测策略。
操作信息——此类信息包括数据包中的用于执行逻辑或数学运算的部分。由于状态检测技术采用的是面向对象技术,因此可以收集通信信息、通信状态和应用状态等多种信息并结合安全策略、状态关联信息和通信数据,构成出功能强大、机制灵活并满足用户特殊安全需求的安全策略规则。
(4)完全内容检测技术
内容检测防火墙将多种防火墙技术结合在一起,是一种新型的防火墙。完全内容防火墙的实现是基于特定的硬件系统,并依托包过滤技术,设计了用于内容检测的特定功能模块和软件系统。
完全内容检测防火墙可以说是包过滤防火墙的加强型。这种防火墙技术并非一种标准化技术,而是可以根据客户的特定需求,可以根据网络协议的不同对特定数据包进行内容检测,比如:需要检测某些网络浏览内容,则直接对HTTP协议数据包进行检测;如果需要对往来的电子邮件内容进行检测,则直接拦截基于POP3和SMTP协议的数据包进行检测即可。
内容检测防火墙的主要优点:对网络层保护强,检测网络层内容;对应用层保护能力强大,实现对应用层协议的检测;在会话层设计了相关检测模块,会话保护很强;检测中具有上下文相关性;检测中的前后报文有联系。
3 防火墙的体系架构
防火墙的功能、性能和适用范围是由防火墙系统所采用实现技术和体系架构所决定的。常见的防火墙体系架构有:
(1)包过滤型防火墙架构
分组过滤路由器是包过滤型防火墙的主要实现部件。作为Internet和内部网之间的唯一通道,分组过滤器对所有进出内部网络的数据包/分组报文进行检查,并根据检测规则决定是否允许通过。
由于包过滤型防火墙一般设置在网络层,其主要任务是对IP报文进行检测,所以也被叫作IP过滤器或网络层防火墙。
该种防火墙的主要优点:处理速度快;不需要增加额外硬件;处理过程对于用户来讲是透明的。其缺点:维护困难;仅能防止IP欺骗类攻击;没有日志记录功能。
其应用范围:安全性要求不高的小型网络中。
(2)双宿/多宿主机防火墙架构
具有双网卡的堡垒主机是双宿/多宿主机防火墙的主要构成部件。堡垒主机位于内部网和Internet之间,用于隔离Internet和内部网之间的网络层通信。两者之间的通信只能有堡垒主机作为中转站进行转接。
该架构的优点:被保护网络完全被屏蔽,网络安全性高;实现了数据流监控、过滤、记录和报告功能,且功能比较强大。缺点:访问速度变慢;提供服务相对滞后;特定的服务无法提供。
(3)被屏蔽主机防火墙架构
该种架构中额外设置一个过滤路由器。该路由器主要用于将Internet上所有对内部网的访问路由到堡垒主机上,迫使所有的外部访问仅能与堡垒主机相连接,而不是直接访问业务主机。该架构本质上双宿/多宿主机防火墙是一样的,但是其增加了边缘网络,将堡垒主机置于边缘网络,提升了安全性。
(4)被屏蔽子网(Screened Subnet)防火墙架构
该防火墙架构的核心思想是:在Internet和内部网之间设置一个被隔离的子网,或称为非军事区(DMZ, Demilitarized Zone)。如图5所示,在实际实现的时候,被屏蔽子网的兩端被设置两个分组过滤路由器,子网内构成一个DNS。Internet和内部网均可以通过各自端的路由器访问被屏蔽子网,但是却无法穿越被屏蔽子网。
4 防火墙的未来发展趋势
随着网络技术的不断发展,防火墙相关产品和技术也在不断进步。
(1)防火墙的产品发展趋势
目前,就防火墙产品而言,新的产品有:智能防火墙、分布式防火墙和网络产品的系统化应用等。
智能防火墙——在防火墙产品中加入人工智能识别技术,不但提高防火墙的安全防范能力,而且由于防火墙具有自学习功能,可以防范来自网络的最新型攻击。
分布式防火墙——一种全新的防火墙体系结构。网络防火墙、主机防火墙和管理中心是分布式防火墙的构成组件。传统防火墙实际上是在网络边缘上实现防护的防火墙,而分布式防火墙则在网络内部增加了另外一层安全防护。分布式防火墙的优点有:支持移动计算;支持加密和认证功能,与网络拓扑无关等。
网络产品的系统化应用——主要是指某些厂商的安全产品直接与防火墙进行融合,打包销售。另外,有些厂商的产品之间虽然各自独立,当各个产品之间可以进行通信。
(2)防火墙的技术发展趋势
包过滤技术——作为防火墙技术中最核心的技术之一—自身具有比较明显的缺点:不具备身份验证机制和用户角色配置功能。因此,一些产品开发商就将AAA认证系统集成到防火墙中,确保防火墙具备支持基于用户角色的安全策略功能。
多级过滤技术就是在防火墙中设置多层过滤规则。在网络层,利用分组过滤技术拦截所有假冒的IP源地址和源路由分组;根据过滤规则,传输层拦截所有禁止出/入的协议和数据包;在应用层,利用FTP、SMTP等网关对各种Internet的服务进行监测和控制。
综合来讲,上述技术都是对已有防火墙技术的有效补充,是提升已有防火墙技术的弥补措施。
(3)防火墙的体系结构发展趋势
随着软硬件处理能力、网络带宽的不断提升,防火墙的数据处理能力也在得到提升。尤其近几年多媒体流技术(在线视频)的发展,要求防火墙的处理时延必须越来越小。
基于以上业务需求,防火墙制造商开发了基于网络处理器和基于ASIC (Application Specific Integrated Circuits,专用集成电路)的防火墙产品。基于网络处理器的防火墙本质上还是依赖于软件系统的解决方案,因此软件性能的好坏直接影响防火墙的性能。而基于ASIC的防火墙产品具有定制化、可编程的硬件芯片以及与之相匹配的软件系统,因此性能的优越性不言而喻,可以很好地满足客户对系统灵活性和高性能的要求。
5 结束语
随着互联网技术的飞速发展,接入互联网的设备无论从种类还是数量都是越来越多,在互联网上进行的社会活动也越来越多,包括商业、社交等诸多方面,因此,互联网安全问题已经成为涵盖经济安全、社會安全、国防安全等诸多方面对的综合性安全问题。
本文从网络安全的角度出发,对网络防火墙的主流技术、产品体系架构和未来的技术演进方向做了一个比较全面的介绍。
参考文献:
[1] 黄志军,赵皑,徐红贤.网络安全与防火墙技术[J].海军工程大学学报,2002(14).
[2] 李慧敏.防火墙技术综述[J].计算机光盘软件与应用,2011(5).
[3] 陈栋.防火墙技术分析[J].新乡学院学报(自然科学版),2012(29).
[4] 赵鹏.浅析防火墙技术[J].计算机光盘软件与应用,2011(9).
[5] 于婷婷.浅谈Internet防火墙技术[J].计算机光盘软件与应用,2012(4).
[6] 王中,郭兰申,王永滨,杨威.Linux防火墙分析[J].河北工业大学学报,2001(4).
【通联编辑:代影】
作者:方自远 王栋
第二篇:防火墙技术研究
摘 要:目前,网络以及资源不断受到威胁。防火墙确保一个网络不会受到另一个网络所带来的攻击。研究了防火墙的防范措施及实现的关键技术。希望人们对防火墙技术有比较全面的了解。
关键字:计算机;防火墙;功能;原理
本文著录格式:[1] 孙明美.防火墙技术研究[J].软件,2013,34(7):119-120
0 引言
信息化时代,们越来越注重放置于网络之上的资料或者是在网络上进行的交易等信息安全。计算机犯罪的危害性已经超过了传统犯罪,犯罪人员通过网络漏洞或缺陷,应用计算机技术,对网络及各种电子数据、资料等信息发动进攻,进行破坏。网络系统每天都在遭受着各种攻击,网络信息安全现状不容乐观。
1 防火墙基本概念
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它是一种计算机硬件和软件的结合。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。常见的网络攻击有三种:拒绝服务攻击、侵入攻击、信息盗窃攻击。拒绝服务攻击通常都是针对某个特定的系统或网络而故意实施的恶意攻击行为。侵入攻击是最经常遭受到的攻击方式,它会使攻击者窃取到你系统的访问权并盗用你的计算机资源。信息盗窃攻击是指攻击者从目标系统里偷走数据的情形。
2 防火墙防范措施
基本的防火墙防御。我们可以通过包过滤型和应用代理型等防火墙技术防御SYNFlood 攻击。应用代理防火墙位于客户端与服务器端中间,所以充当代理角色。这样客户端要与服务器端建立一个TCP 连接,就必须先与防火墙进行三次TCP 握手,当客户端和防火墙的三次握手成功之后,再由防火墙与服务器端进行TCP 三次握手,完成后即可成功建立一个TCP 连接。所有的报文都通过防火墙转发,而且如果客户端未同防火墙建立起TCP 连接就无法同服务器端建立连接。
特殊的防火墙防御。针对SYN Flood 攻击,防火墙通常有三种防护方式。 (1) SYN 网关。防火墙在收到客户端的SYN包时,直接转发给服务器,防火墙在收到服务器的SYN + ACK包后,一方面将SYN + ACK 包转发给客户端,另一方面以客户端的名义给服务器回送一个ACK 包,完成一个完整的TCP 三次握手,让服务器端由半连接状态进入连接状态。当客户端真正的ACK 包到达时,如果ACK 包里有数据则转发给服务器,否则丢弃该包。(2)被动式SYN 网关。防火墙负责转发客户端发往服务器的SYN 包,以及服务器发往客户端的SYN + ACK 包和客户端发往服务器的ACK 包.如果客户端在防火墙计时器到期时还没发送ACK 包,防火墙即往服务器发送RST包,以使服务器从队列中删去该半连接。(3) SYN 中继。防火墙在收到客户端的SYN 包后,并不向服务器转发信息而是记录该状态信息,然后主动给客户端回送SYN + ACK 包。如果收到客户端的ACK包,表明是正常访问,由防火墙向服务器发送SYN 包并完成在三次握手。
3 防火墙实现的关键技术
3.1包过滤(Paket Filter)技术。通过检查数据流中的每个数据包,根据数据包的源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的地出口端。其余数据包则被从数据流中删除。包过滤技术的实现方式相当简单,但包过滤防火墙是在网络层上工作的一种技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用层协议实现的安全威胁无防范能力。
3.2应用网关(Application Gateway)。应用网关针对特别的网络应用服务协议指定数据过滤逻辑,并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时对数据包分析的结果及采取的措施进行登录和统计,形成报告。
3.3代理服务(Proxy Service)。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段,防火墙内外计算机系统间的应用层联系由两个终止于代理服务器上的链接来实现。外部计算机的网络链路只能到达代理服务器,由此实现了防火墙内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。它可以将被保护网络的内部结构屏蔽起来,显著增强了网络的安全性能,同时代理服务器也对过往的数据包进行分析、记录,并可形成报告。当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
参考文献
[1]荣海讯.防火墙技术极其发挥咱趋势剖析.淮北职业技术学院报,2008(03).
[2]孙建华等.网络系统管理———Linux 实训篇.人民邮电出版社,2003.10,第17-25 页.
[3]邓亚平.计算机网络安全.人民邮电出版社,2004.09,第113-117 页.
[4]王睿等. 网络安全与防火墙技术. 清华大学出版社,2000,第37-42 页.
[5]王建章.浅析计算机网络的安全性[J].科技信息,2011(16).
[6]李博. 基于A S P网站的安全问题及其对策[J].德州学院学报,2011(S1).
[7]王宝华,徐化来.计算机信息网络安全问题的对策分析[J].科技致富向導,2012(12).
作者:孙明美
第三篇:防火墙技术的应用
摘要:随着信息技术的发展和经济竞争的日益激烈,当今社会对计算机网络的依赖越来越强,网络对社会的影响也越来越大。计算机网络是计算机与信息技术相结合的产物,网络的安全与否已经直接影响到社会安全。防火墙技术是目前最流行也是使用最广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为网络的第一道安全防线,正受到越来越多用户的关注。该文针对防火墙技术在计算机中的应用进行了分析和探究。
关键词:计算机网络;防火墙;网络安全
随着计算机技术的快速发展和应用,不断地促进了信息技术的变革。近年来随着计算机网络技术飞速发展,计算机和网络资源已经形成了非常有效的联合,网络技术在带给我们便捷的同时,其安全性问题也日益突显出来。连接到互联网上的计算机在没有安全防护的情况下,很多私密的信息会被泄露,轻则丢掉数据,重则系统平台会被攻击乃至系统瘫痪,经常会造成一些不可挽回的物质和经济损失。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术,它可以看作是内外网的一种网关,能将内网与外网有效的分隔开,保障网络的安全。
1 防火墙功能简介
防火墙是联接内部网络和外部不安全网络的“桥梁”电脑。它们专门被用来过滤和拦截有害信息,只允许符合严格安全标准的信息通过,如图1所示。防火墙的任务就是对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马等不安全程序。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信,从而达到初步的网络系统安全保障。防火墙可以在计算机网络和计算机系统受到危害之前进行报警、拦截和响应[1]。
在实际应用中,某些特定主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,需要将这些机与内网设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。这就需要构建一个DMZ区,俗称非军事化区。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不能接触到存放在内网中的服务器,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
图1 防火墙部署图
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其具有抵御外部侵袭但是不能阻止内部侵袭的一种防护手段,但是随着新技术的发展和创新,现代化的防火墙技术不仅能够对外部网络发出的通信连接进行过滤,同时对内部网络用户发出的部分连接请求和数据包同样过滤,防火墙只能够允许符合安全策略的连接通信[2]。为了达到网络安全,必须使内网和外网络之间的所有数据通信都流经防火墙。并且人为制订一些安全规则,符合防火墙规则设置的数据流才能通过防火墙,使网络环境变得更安全。而且要求防火墙本身要有非常强的抗攻击能力。防火墙在完成配置后,都可以达到以下功能:
1) 网络管理员通过设置一定的访问规则,规范网络使用。对于不同的服务面向其相应的用户开放,这样可以灵活地设置用户的访问权限,保障内网数据的安全。通过防火墙过滤不安全信息,限制其他人员及计算机进入内部网络;对于符合防火墙规则的安全数据,可以自由通过防火墙。这样既可以防止危险数据对内网的侵袭,又能保证外网用户可以安全的使用内网数据,同时使内网计算机安全正常运行。
2) 解决IP地址不足。防火墙可以利用自身的NAT等技术,将内、外网IP地址对应起来,解决网络IP地址不足问题。
3) 有效地审核、记录内外网访问信息。防火墙作为连接内网与外网的网关,可以通过防火墙自身的过滤功能,对内、外部网络存取和访问进行监控审计,记录下这些访问并进行日志记录,利用防火墙的这一特性,我们可以有效的记录计算机访问内网资源的情况,当发生可疑动作时,防火墙能进行适当的报警,这也为日后的安全技术分析提供依据。
2 防火墙安全策略
防火墙的安全策略是防火墙系统中的重要组成部分,安全策略决定了保护网络的安全性,一个好的防火墙首先应该有一个行之有效的安全策略,它必须满足用户的安全需求,在安全和方便直接找到一个平衡点。防火墙安全策略包括防火墙设计策略和服务访问策略。
防火墙设计策略,是防火墙底层的策略,它描述防火墙如何根据定义的服务策略来具体限制访问和过滤服务的。防火墙的两个基本设计策略是“允许所有除明确拒绝之外的通讯或服务进行,拒绝所有除明确允许之外的通讯或服务进行”[3]。防火墙服务访问策略是防火墙的高层策略,它明确定义了受保护的网络应该允许和拒绝的网络服务和其使用的范围。
3 防火墙技术
为了更好的提高防火墙的防御功能,必须具备过滤所有数据的能力。防火墙能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,保护内部网的安全。防火墙通常用于保护公司的内部网络,也可用于不同部门之间的网络分离。
开放系统互连模型(OSI)分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。根据防火墙技术主要工作在该模型的哪些层面上,可以将防火墙技术分为“包过滤型防火墙”和“应用代理型防火墙”两大类。
包过滤型防护墙是建立在网络层和传输层,它可以根据不同的源地址、端口号和网络协议等安全标识判断并根据已定规则分析是都允许通过。包过滤防火墙是一种通用、安全有效的技术手段。传统包过滤技术不断发展进化,目前包过滤技术向两种过滤方式:静态包过滤与动态包过滤。静态包过滤防火墙根据数据中提取出来的IP地址来决定是否转发该数据,它的优点是简单方便、速度快,对网络性能影响不大。但对于一些具有欺骗性的数据包,这类防火墙很难将其分辨出来。动态包过滤防火墙采用动态设置包过滤规则的方法,这些规则只是在原来静态包过滤的基础上加了一些连接信息表,根据该信息表对每一个连接进行跟踪。
包过滤防火墙技术有如下特点。处理包的速度比较快,效率高,通过使用过滤路由器能为用户提供了一种透明的服务,即包过滤路由器对用户和应用来讲是透明的,用户不用改变客户端程序或改变自己的行为。但其自身也存在着不足,一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。包过滤防火墙不能彻底防止地址欺骗,某些应用协议不适用于包过滤技术,不能防范黑客攻击,不支持应用层协议。
应用代理型防火墙技术的工作原理是在OSI网络层中的第七层,就是常说的应用层,直接对特定的应用层进行服务。最大的特点就是完全阻断了网络通信流的数据,也被称为应用层的网关级防火墙。它通过对FTP,Telnet等不同应用服务分别提供相应的代理程序,使内外网通信都能经过代理服务器的中间转换,实现网络的安全访问,起到了监督的作用和控制的作用。应用代理技术就是应用层在这个时候具有高级代理的能力,同时这种防火墙技术支持网络地址的相互转换(NAT),它可以将一个私有IP地址映射成一个IP公有的地址,然后为终端的服务器提供路由的服务。NAT方法经常用在办公区或私有区域,可以更好的解决IP地址不够分配的问题。
应用代理技术防火墙的特点。应用代理防火墙直接阻断内外网之间的直接通信。内外网络之间的通信不是直接的,而外网用户访问内网服务器都需先经过代理服务器审核,通过后再由代理服务器代为连接,这样所有符合规则的通信都必须经由防火墙转发,避免了入侵者使用数据驱动类型的攻击方式入侵内部网。同时,代理能生成各项记录,灵活地控制进出的流量及内容,对数据包有较强的鉴别能力。
4 结束语
随着计算机技术的不断发展,人们越来越依赖于网络,对于信息资源的依赖也过于紧密,网络安全问题也不可避免,这直接影响着防火墙技术的发展。为了保障网络的安全运行,防火墙技术越来越重要。我们需要选择适合实际应用的防火墙来抵御有害信息入侵计算机系统,但仅依靠防火墙技术是不够的,需要使现在的防火墙技术将计算机技术和网络技术结合在一起,才能真正解决计算机的网络安全问题。
参考文献:
[1] 曹莉兰.基于防火墙技术的网络安全机制研究[D].电子科技大学,2007.
[2] 秦燕.防火墙技术在计算机网络中的应用研究[J].计算机光盘软件与应用,2013(10).
[3] 丁方.基于策略的防火墙技术的研究与实现[D].西北工业大学,2007.
作者:刘小斌