防火墙与网络安全技术论文

2017-06-17

防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。小编整理的防火墙与网络安全技术论文,希望你能从中得到感悟!

防火墙与网络安全技术论文篇一

略论网络安全与防火墙技术

【摘要】本文介绍网络安全产品的特点,论述了防火墙技术的定义和发展历程,讨论了防火墙产品的类型,文章最后做出了总结。

【关键词】网络安全,防火墙,技术特征

随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。

一、网络安全的产品特点

从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。

就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。

二、防火墙技术

防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。

眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。

1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。

在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统?假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。

防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。

三、防火墙产品的类型

防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、代理以及监测型。

1、包过滤型。

防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。

2、网络地址转化—NAT。经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络,也称为地址转换。在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。这样,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。

3、代理型。代理型防火墙,也叫代理服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且代理型防火墙开始在应用层有所作为。该类代理型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,代理服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,代理服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给代理服务器。按照此请求,代理服务器再从服务器申请想要的数据,之后,数据被经由代理服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。

4、监测型。新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。

同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。

四、结束语。

眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分代理服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。

参考文献:

[1]陆树芬;网络安全中防火墙的作用[J];中国电子商务;2009-11

[2]黄金波,殷诚;计算机网络基础与应用[M];北京:北京交通大学出版社;2007

防火墙与网络安全技术论文篇二

防火墙与网络安全技术

摘 要: 随着计算机的普及和互联网的快速发展,网络安全问题显得愈来愈重要。为解决这一问题,产生了很多网络安全产品,防火墙就是其中使用较广的一个。针对不同的用户和网络特点,防火墙所采用的技术也会有所不同。

关键词: 信息安全 网络安全 防火墙 技术特征

信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分。我国在构建信息防卫系统时,应着力发展自己独特的安全产品。我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。

1.网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。

网络安全技术则指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其它的安全服务和安全机制策略。在众多的网络安全技术中,网络防火墙是使用较广的一个。

2.防火墙

防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅能完成传统防火墙的过滤任务,而且能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换-NAT,代理型和监测型。

2.1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序和电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.2网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

2.3代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

2.4监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,而且对来自内部的恶意破坏有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上超越了前两代产品。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,因此目前在实用中的防火墙产品仍然以第二代代理型产品为主。实际上,作为当前防火墙产品的主流趋势,大多数代理型防火墙也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。

参考文献:

[1]李俊民.网络安全与黑客攻防宝典.北京电子工业出版社,2010.

[2]麦克卢尔,库尔茨.黑客大曝光:网络安全机密与解决方案.清华大学出版社,2006.

[3]刘晓辉.网络安全设计、配置与管理大全.电子工业出版社,2009.

[4]赵俐.防火墙策略与VPN配置.中国水利水电出版社,2008.

[5][美]格雷格・霍尔登.防火墙与网络安全.清华大学出版社,2009.

更多相关阅读

最新发布的文章