关于防火墙的安全应用以及主要功能
计算机防火墙防护技术的安全应用以及主要功能想必大家都不清楚,所以今天小编要跟大家介绍下防火墙的安全应用以及主要功能,下面就是小编为大家整理到的资料,请大家认真看看!
防火墙的安全应用
1 防火墙功能简介
防火墙技术是一种将软硬件结合起来,作用在各网络界面之间的网络屏障,它只允许已知的安全信息通过屏障,屏蔽不安全的信息和程序,利用自身的网关技术来确保合法用户的权限,防止非法用户入侵。防火墙的内部存储了许多数据,防火墙能够根据这些数据来确定哪些信息或程序安全,可以通过,哪些信息或程序非法,不能通过,防火墙只允许被一些默认允许的程序访问,避免黑客系统对防火墙的破坏。防火墙主要有一下几大功能:
(1)系统管理员可以在防火墙内部自定义一个空间,制定一套限定网络的访问机制,将那些被防火墙漏掉的威胁程序通过自己的设定分离出去,这样既增强了防火墙的安全性能,又能够使计算机安全运行。
(2)防火墙技术规范了网络的访问,管理员可以通过防火墙对员工的操作进行一些限制,对防火墙中的信息进行进一步筛选,防止员工进入一些危险网站或安装一些危险程序等,更加智能化的管理员工的工作。
(3)防火墙技术可以实现共享内存的作用,它可以利用NAT技术,将本机上的IP地址与网络中的IP地址对应起来,以缓解地址空间的短缺,解决地址空间不足的问题。
(4)防火墙作为连接计算机内部与外部的屏障,可以通过防火墙的过滤作用,记录进入防火墙的程序或信息,利用防火墙的这一特性,我们可以科学、有效的记录计算机在访问网络时所产生的费用等。
2 防火墙的类型
2.1 代理型防火墙
代理型防火墙相当于一种代理服务器,是一种安全系数较高的高级防护技术,代理型防火墙介于用户与用户之间,相当于信息的中转站,可以对一些有危害的信息进行有针对性的阻止。对于用户来说,代理型服务器就是真正的服务器,而对于服务器来说,代理型服务器就是客户机,用户与用户之间要进行网络信息的交流、沟通时,首先必须要经过代理型服务器进行中转,然后经过代理型服务器过滤之后再传输到真正的用户的计算机中,实现用户与用户之间的交流,当发送的信息存在恶意或者是不良的攻击性时,防火墙就要对其进行拦截、筛选,以保障计算机网络的安全和用户信息的安全,代理型防火墙具有很强的安全性能,能够对计算机中的信息进行有针对性的筛选,将不良、有害的信息直接过滤出去,保障网络的安全运行。
2.2 包过滤型防火墙
包过滤型防火墙技术相对古老,其关键点在于网络的分包传输,应用这种防火墙会以包作为单位来进行网络信息的传输,每个包所代表的含义不同,并且不同内容的信息会被分配到不同的包里,可以根据信息的大小、性质、来源、某种特殊的信息、目标地址、目标端口或者不同的源地址等对信息进行划分。包过滤型防火墙就是对对这些数据包中的信息进行分析,判断其是否合法、安全,被允许访问的数据包就会通过防火墙的检测,不被允许的就表示数据包存在安全隐患。包过滤型防火墙有很多的优点,如对环境的适应能力较强,简单方便、实用性强、成本较低且能够在简单的环境中保证网络信息的安全,但这种技术存在一个很重要的缺点:它只能从端口、目标或者数据包的来源来检测信息的安全性,不能够识别一些恶意的程序或信息,一些有经验的网络黑客将会很容易破解防火墙技术,传播病毒,导致用户的计算机遭到破坏。
2.3 网址转化型防火墙――NAT
网址转化就是指网络地址进行转换,转换成临时的、外部的、注册的地址标准,然后允许外部的私有IP对内部网络进行访问,并且该用户只能用一个IP地址进行访问,外部的私有IP会先进行转换,与原有的进行识别、判断并确认,之后才能放行,系统将真正的IP转换成虚拟IP,这样起到隐藏真正IP的作用。通过网络中预先设置的安全准则判断是否安全,符合则接受访问,不符合则拒绝访问。网络转换的过程也很简单、易操作。
2.4 监测型防火墙
原先的防火墙一般只是防范或阻止一些恶意侵犯计算机网络的地址,不能够对数据信息进行实时的检测,而监测型防火墙可以实现这一功能,能够对数据信息进行自动实时的检测,有效的提高了计算机的安全性,但这种防火墙不易管理,且成本较高,所以这种防火墙应用较少,但综合安全和成本两方面来看,监测型防火墙还是可行的,能够有效的保障计算机的安全。
3 防火墙技术在计算机中的应用
3.1 配置防火墙访问策略
访问策略是防火墙的安全核心,因此,要有详细的信息说明或系统的统计才能执行设置,并且要了解访问单位对内部或外界的应用、该单位的源地址、目标地址、TCP/UDP的端口,然后根据执行的频繁程度对策略在表中的位置进行实施和配置。这种规则是按照顺序进行执行的,我们按照一般的规则直接放在首位能够有效的提高防火墙的应用,并且增强防火墙的工作效率。
3.2 网络安全服务配置
网络安全服务的隔离区是将系统划分出一个独立的局域网络,保障系统的管理和服务器上的数据信息的安全,从而使系统能够正常的运行。通过防火墙对网络地址进行相应的转换,将网络地址设置成公用的,全部的主机地址设置成有效的网络IP地址,这样能够实现对外部的IP地址进行屏蔽,有效的保护内部的网络IP地址,保证计算机的安全运行。企业或单位在有边界路由的情况下,可以利用原有的路由,再用包过滤型防火墙技术对网络进行保护,这在降低成本的同时有效的保护了网络的安全。或者是将公用的服务器与边界路由进行连接,不需设置防火墙,在服务器和路由之间设置一个隔离区,仅需将一些安全访问的数据信息或IP地址放在隔离区内,即可形成简单的保护和防范。
3.3 对日志进行监控
对日志进行监控是非常有效的管理手段,它能够有效的保障网络的安全运行,系统的告警日志会实时的记录用户所进行的每一步操作,而防火墙的信息数据量非常大,并且非常复杂,所以,系统的告警日志是非常重要的,通过查看告警日志记录的关于防火墙的数据信息,并对其进行筛选,将对网络安全构成威胁的信息记录下来并做好日志,然后做好防范工作,以保证网络安全、有效的运行。
4 总结
随着计算机技术的不断发展,人们越来越依赖于网络,网络安全问题是不可避免的,因此,计算机网络安全技术也要随着计算机技术的发展而不断的改革、创新,为了保障网络的安全运行,防火墙技术的重要性是不言而喻的,所以,我们在组建网络时必须要选择合适的防火墙,抵御有害信息入侵计算机系统,但仅仅靠防火墙技术是不够的,要从科学、全面的方面入手,才能真正解决计算机的网络安全问题。
防火墙的主要功能以及技术原理
一、防火墙的主要功能
通常防火墙的主要功能有:过滤掉不安全的服务和非法用户;控制和限制对特殊站点的访问;限制他人进入内部网络;防止入侵者接近你的防御设施;提供了监视Internet安全和预警的方便端点;防火墙的设计应遵循安全防范策略的基本原则――“除非明确允许,否则就禁止”;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;可以使用FTP和Telnet等服务代理,编程的IP过滤语言,并可以根据数据包的性质进行包过滤。
许多用户在选择防火墙时还可能考虑一些特殊功能要求。这些功能主要有:
1. 网络地址转移功能( NAT)。2.双重DNS(域名服务)。3.虚拟专用网络(VPN)。4.扫毒功能。5.特殊控制需求。
二、 防火墙的原理以及实现方法
防火墙负责管理危险区域和内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给危险区域上的其它主机,极易受到攻击。由此可见,对于连接到因特网的内部网络,一定要选用适当的防火墙。就防火墙的原理来讲可以把它简单地抽象为一对开关,其中一个开关用于允许传输,另一个用于阻止传输。实际上防火墙代表了用户的网络安全策略,其实现方式比较灵活。
1.在边界路由器上实现。(1)通过标准的路由器来实现(由于该用途的路由器称为Screening Router,即筛选路由器、屏蔽路由器),常用的如Cisco路由器很容易设置成一个防火墙。(2)通过PC机的路由器来实现,但要使用软件包。
2.在一台双端口主机(Dual - homed Host)上实现。内部网络和外部网络都可以访问这台主机,但外部主机与内部主机不能直接进行通信,可以实施三种类型的防火墙:(1)应用层网关防火墙(Ap-plication Gateway Firewall) (2)代理服务型防火墙(Proxy Server Firewall) (3)线(电)路层/级网关型防火墙(Circuit Gateway Fire-wall)。
3.在子网上实现。在一个公共子网(该子网的作用相当于一台双端口主机)上实现,可建立含有单段网络、停火区结构的防火墙。尽管防火墙有许多防范功能,但由于互连网的开放性,它也有一些力不能及的地方,表现在:①防火墙不能防范不经由防火墙的攻击。例如,如果允许从客观存在保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的SLIP或PPP连接。从而绕过防火墙,造成一个潜在的后门攻击渠道。②目前很难对防火墙进行彻底的测试验证,面对大多数的恶意攻击,防火墙会有所防范,但是不是在任何情况下都有效是未知的,这就涉及到了一个软件及时更新的问题。