计算机网络安全与防火墙技术研究
试论计算机网络安全与防火墙技术
试论计算机 网络安全 与防火墙技术
文/ 吴 小 雷
随着 计算 机 网络技 术 的不 断 发展 ,其 在我们 日常生 活及 工作 中的应 用也越 来 越广 泛。计 算机
网络 不仅 改 变 了人 们 的 传 统 生 活
2 . 5 防 火墙 的安 全 防 护 措施
算机 网络 安全 策略及 防 火墙技 进 行 1 分 祈
( 3 )存取 权限控制技术 ,其 主要对如 下 两点进行控制 :一是避免非法用户入侵系统, 二 是避 免合法 用户对 系统 的资 源进行 非法使 用 。对于开放 的系统而言 ,必须进行网络资源 随 着 计 算 机 网 络 应用 范 围 的逐 步 扩 大 ,其 相 关使 用 规 定 的制 订 ,一 方 面 应 对 哪 类 用 户 可 另一方面 , 已经转变了人们的传统生活 、工作、生产及学 对 哪些资源进行合法访问进行 定义 , 习方式 ,推动 了工作效率的不断提高 ,还为用 还应对合法用户的操作权限进行定义。只有对 户提供 了庞大丰富的信息资源。但是 ,近些年 这两点进行 明确 ,并对权限控制进行规范 ,方 来, 有 关 计 算机 网 络 的安 全 问题 越 来 越 受 关 注 , 可确保计算机 网络的安全性 ; 【 关键词】计算机 网络安全 防火墙技术 各类 网络安全事故 的发生为人们敲响了警钟 , 因此 ,必须采取有效的网络安全策略及防火墙
1 . 1数 据 加 密技 术
总称 ,其可使 内部 同外部 网络之 间互相 隔离 , 并通过对网络互访 的限制来对 内部 网络进行保 护 ,因此 ,是一种 十分有效 的网络安全模型 。 在互联网上 ,防火墙 技术将 风险区域及安全区 域之间的连接进行 了隔离 ,但是 ,不会对人们 访问风险区域造成 妨碍 。其还可 以对 网络通信 量进行监控 ,确保 经过核审 的安全信息能够进 入 ,并对网络安全 可能存在 的威胁数据进行抵
计算机网络安全与防火墙技术
计算机网络安全与防火墙技术探讨摘要:随着科技的不断进步,计算机网络的大范围应用推动了社会的不断进步,但在发展的过程中,网络安全成为我们不得不面对的棘手问题,亟待科研工作者解决。
本文首先介绍计算机网络安全出现的原因,对防火墙技术的主要作用和发展历程进行了详细的介绍,针对防火墙技术提出了提高网络安全的措施,最后对计算机网络安全和防火墙技术的发展趋势进行了总结。
关键词:网络安全;防火墙;发展趋势;研究中图分类号:tp393.08文献标识码:a文章编号:1007-9599 (2013) 06-0000-02随着网络时代的到来,世界各地的计算机用户都享受到了互联网所带来的方便、快捷,但在享受这种方便快捷的过程中,也受到了网络安全问题的影响,而且这种影响变得越来越突出。
因此,必须高度重视日渐突出的网络安全问题,如果此问题得不到很好的解决,计算机网络化发展的速度和进程就会受到阻碍和抑制。
1计算机网络安全出现的原因1.1薄弱的认证环节通常来说,在计算机网络上进行认证都是要通过口令的输入来完成的,因此,如果口令被未被授权的人破译出来,他们就会进行非法的认证操作,随之这就会造成数据、文件等的丢失,账号和密码等被窃取。
1.2系统的易被监视性用户使用telnet 或 ftp 连接他在远程主机上的账户,在网上传的口令是没有加密的。
入侵者可以通过监视携带用户名和口令的ip 包获取它们,然后使用这些用户名和口令通过正常渠道登录到系统。
2防火墙技术介绍2.1防火墙技术的作用在整个计算机网络安全防护的体系中,防火墙是最基本的首要保护环节,非常的重要和关键。
防火墙技术的使用可以有效的进行网络间访问的控制,并将这种控制得到最大程度的强化,这种控制和强化是为了阻止一个正常运行网络之外的用户没有获得授权或者批准而进入到该网络,对该网络的一些资源等进行任意的获取。
除此之外,防火墙技术还具备了全面的日志功能,它可以对网络攻击等不法行为进行记录,进而提醒用户出现的不法攻击,使得用户可以采取有效的手段进行防范。
探讨计算机网络安全与防火墙技术
[5 ̄- 2 - 网络 安 全 【 . 1 M】 电子 工业 出版 社 , 0 . 2 5 0
[ 张新有_ 工技术与 实验教程 【 . 3 】 网络 M] 清华大学出版社, 0 . 2 5 0
【】 诺 诺 . 算 机 网 络 安 全 及 防 范 策 略 探 讨 0 . 龙 江 科 技 信 4商 计 1黑
术 ,而进行包过滤 的标 准通常就是 根据安全策 略制定 的。在 防火墙产品中 ,包过滤 的标准一般是靠网络管理 员在防火墙设备的访 问控制清单 中设定 。访问控制一般 基于的标准有 :包的源地址、包的 目的地址、连接请求
网络安全是一个系统的工程 ,不能仅仅依靠防火墙 等单个的系统 ,而需要仔细考虑系统的安全需求 ,并将
查 , 防止 一 个 需 要 保 护 的 网 络 遭 外 界 因素 的 干 扰 和 破 坏 。在 逻 辑 上 ,防火 墙是 一 个 分 离 器 ,一 个 限制 器 ,也
领域 ,出于无知或好奇修 改了其 中的数据。另有一些 内 部用户利用 自身的合法身份有意对数据进行破坏 。网络 黑客一旦进入某个网络进行破坏 ,其造成的损失无法估
S S EU IY 系统 : Y C RT S 安全 >
探讨 计算机 网络 安全 与防火墙 技术
◆ 薛毅 飞
摘 要 : 随 着It nt 术 发展 , 算机 网络 正在 逐 步 改 变A 4 的 生产 、 生 活及 ne e r 技 计 .] r 工作 方 式 。但 计 算 机 网络技 术 的迅 速 发 展 计 算机 网络 安 全 问题 也 日益 突显 ,这就 要 求 我 们 必 须采 取 强有 力 的措 施 来保 证 计 算机 网络 的安 全 。我 们 必须 站在 全球 化 的 高度上 来考虑 ,在保 障 网络 资源的安全的 问题 上 ,防火墙的构建是 关键 的部 分 。 本 文对 计 算 机 网络 安 全 技 术发 展 现 状 、防 火墙 技 术进 行 了探 讨 与 分析 。 关键词 :计算机 网络技术 ;防火墙技术 ;安全体 系结构;网络安全
计算机网络安全与防火墙技术毕业论文
计算机网络安全与防火墙技术毕业论文摘要
近年来,随着互联网的发展,计算机网络安全问题日益突出。
网络安全威胁不断更新,造成网络安全风险增加。
为了保护企业网络系统免受安全威胁,有必要加强企业网络安全管理,并采用防火墙技术来防护网络资源免受外部网络的威胁。
本文对防火墙技术的发展及其在网络安全中的应用进行了深入分析和讨论,从技术上以及组织方面全面进行管理,保护企业网络资源的安全。
关键词:网络安全;防火墙技术;企业网络
1.绪论
近年来,随着信息技术的发展,计算机网络在社会经济各个领域频繁地使用和应用,使计算机网络安全的重要性日益凸显。
随着网络安全威胁不断更新,造成网络安全风险增加,网络安全的保护更加迫切。
为了保护企业网络系统免受安全威胁,有必要加强企业网络安全管理,并采用防火墙技术来防护网络资源免受外部网络的威胁。
本文分三部分:论文第一部分提出了防火墙技术的概念、发展历史以及技术特性;第二部分对防火墙技术的特性、策略、结构及日常管理进行了较为深入的介绍;最后,文章结束时。
浅议计算机网络安全与防火墙技术
浅议计 算机 网络 安全与 防火墙技术
刘香媛
( 柳州众诚水 电工程建设有 限责任公司 广西 柳州 5 4 5 0 0 0 )
【 摘 要 】网络系统的安全对于 国家机 关、银行、企业至关 重要,安全 保密工作成为 网络建 设 中的关键技术 ,防火墙技 术就是 其 中重要 的一环。防火墙相 当于一个控流器,可用来监视 或拒 绝应用层 的通信 业务 ,它通过建立一整套规则和策略来 监测和 限制穿过 防火墙 的数据流, 允许合法数据包通过,组织非法数据包 通过,从 而达 到有效保 护内部 网络安全 的 目的。 【 关键 词 】 计算机 网络安全 防火墙 中图分 类号 :TP 文献标 识码 :A 文章编号 :1 0 0 9 — 9 1 4 X( 2 0 1 3 ) 3 5 — 3 0 1 — 0 1 影 响计算机 网络安 全的 因素很多 ,有 些 因素可能是有 意 的,也 和资源本身 的敏感性 。例如 :一个好的We b J ] [  ̄ 务器运行 C G I 会 比仅仅 提供静态 网页更容易得到用户 的认可 ,但 随之带来 的却是we b 服务器 对 网络系 统资源 的非法使 有 。这些 因素 可以大体 分类为 :计算机 病 的安全 隐患。 网络管 理员在服务器 前端配置 防火墙, 会减少 它全面暴 毒 、人 为的无 意失误 、人 为的恶 意攻击 、网络软件的缺陷和漏洞、物 露 的风 险。数据库 服务器 中存 放有重要 数据, 它比We b 服务 器更 加敏 理安全 问题 。而防火墙是一 种保 护计算机 网络 安全的技术性措 施 ,所 感 , 因此需要 添加额外 的安全保护层 。 谓 “ 防火墙 ” ,是指一种将 内部 网和公众访问 网(  ̄ I l n t e r n e t ) 分 开的方 使 用单 防火墙和单 子 网保 护多级应用 系统 的网络结构 ,这 里所 法 ,它实 际上是一种 隔离技术 。防火墙是 在两个 网络通讯 时执 行的一 有的服务器都被安排在同一个 子网 ,防火墙接在边界路 由器与 内部 网 种访 问控制尺度 ,它 能允许你 “ 同意”的人 和数 据进入你 的网络 ,同 络之间 ,防御来 自I n t e r n e t 的 网络攻击。在网络使用 和基于主机 的入侵 时将你 “ 不 同意 ”的人和数据拒之 门外 , 最大 限度地 阻止网络中的黑 检测系统下 ,服务器得 到了加 强和防护 ,这样便可 以保护应用系统免 客来访 问你 的网络 ,防止他们更改 、拷贝 、毁坏中是非常普遍的 , 但 它们并没有 明显 的显示在 图表 中。 1非法攻击防火墙的基本 “ 招数 ” 通常情 况下, 有效 的攻击都是从 相关 的子网进行 的。因为这些 网 在 这种设计 方案 中 ,所有服 务器都安排 在 同一个 子网 ,用 防火 址得到 了防火墙 的信赖 ,虽说成功 与否 尚取决 于机遇等其他 因素,但 墙将 它们 与I n t e r n e t 隔离 ,这些不同安全级别 的服务器在子 网中受到 同 对攻击者而言很值得一试 。下面 以数据包过滤 防火墙为例 ,简要描述 等 级的安全保 护 。尽管所有 服务器都在 一个子 网, 但 网络管理员仍 然 可能的攻击过程。 可 以将 内部 资源 与外部共享资源有效地分离 。使用单防火墙和单子网 通常 主机A 与 主机B 的T C P 连接 ( 中间有 或无防火墙) 是通过 主机A 保护 服务器 的方案 系统造价便宜 ,而且 网络管理和维护 比较简单 ,这 向主机B 提 出请 求建立起来 的 ,而其间A 和B 的确认仅仅根据 由主机A 是该 方案 的一个 重要优点 。因此, 当进 一步隔离 网络 服务器并不 能从 产生并经主机B 验证的初始序列号I S N 。I P 地址欺骗攻击 的第一步是切 实质上 降低重要数据 的安全风 险时,采用单防火墙和单子网的方 案的 断可信赖主机 。这样可以使用T C P 淹没攻击( T C P S y n F l o o d A t t a c k 1 ,使 确是一种经济 的选择 。 得信赖 主机 处于 “ 自 顾不 暇”的忙碌状态 , 相当于被切 断, 这时 目标 主 3单防火墙和多子网 机会认为信赖 主机 出现了故障 ,只能发 出无法 建立 连接的R S T 包 ,而 如果遇见适合划分多个子网的情 况,网络管理员可以把 内部网络 无暇顾及其他。 划分成独立的子网,不同层 的服务器分别放在不同的子网中,数据层服 攻击者 最关心 的是猜测 目标 主机的I S N。为此 ,可 以利用S M T P 务器只接受 中间层服务器数据查询时连接 的端 口,就能有效地提高数据 的端 口( 2 5 ) , 通 常它是开放 的,邮件能够通过这个 端 口,与 目标主机打 层服务器 的安全陛,也能够帮助防御其它类型的攻击。这时 , 更适于采 开( O p e n ) 一个T C P 连接 ,因而得 到它的I S N 。在此有效期间 ,重复这一 用一种更为精巧的网络结构———目 防火墙划分多重子网结构。 过程若干次 ,以便能够猜测 和确定I S N 的产 生和变化规律 ,这样就可 单个防火墙划分多重子网的方法就是在一个防火墙上开放多个端 以使用 被切断 的可信赖 主机 的I P 地 址 向 目标主机 发 出连 接请求 。请 口,用该防火墙把整个网络划分成多个子 网,每个子网分管应用系统的 求 发出后 , 目 标主机会认 为它是T C P 连接 的请求者 ,从 而给信赖主机 特定的层。管理员能够在防 火墙不同的端 口 E 设置不同的安全策略。 发送 响应( 包 括S Y N ) ,而信赖 主机 目前仍忙于处理F l o o d 淹没 攻击产生 在这种配制中 ,I n t e r n e 佣 户只能直接访 问表述层的服务器,表述 的 “ 合 法”请求 ,因此 目标主 机不能得 到来 自于信赖 主机的 响应 。 层服务器只能访问到中间层服务器 ,而中间层服务器也只能访 问数据库 现在 攻击者发 出回答 响应 , 并 连同预测的 目标主机 的I s N 一 同发给 目标 服务器 。这种结构与多级应用结构进行对 比,就会发现这种设计能贴切 主机 ,随着不 断地纠正预测 的I S N,攻击者最终 会与 目标主机 建立一 地反映应用系统的需求 ,并且能对每个层进行有效的访问控制 。但是, 个会 晤 。通 过这种方式 , 攻击者 以合法用户 的身份登 录到 目标 主机 而 这种情况下防火墙的访 问控制策略要比所有服务器在同一个子 网的情况 不 需进一 步 的确认 。如 果反复试 验使得 目标主机 能够接 收对 网络 的 复杂得多 ,因而这种设计也增加了防火墙配置失误的可能性 。 R O O T 登录 ,那么就可以完全控制整个 网络 。 使用单个 防火墙 分割 网络 是对应用 系统分层 的最经济 的一种方 归 纳起 来 ,防火墙 安全防护面 临威 胁的几个主要原 因有 :S O C K 法 ,但它并不是没有局限性。逻辑上的单个 防火墙 ,即便有冗余 的硬 的错误 配置 ;不适 当的安 全政策 ;强力攻击 ;允许 匿名的F T P 协议 ; 件设备 ,当用它来加强不同安全风险级别 的服务器 的安全策略时 ,如 允许T F 1 ’ P 协议 ;允 许R l o g i n 命令 ;允许X — Wi n d o w s 或O p e n Wi n d o w s ; 果该防火墙出现危险或错误的配置 ,入侵者就会获取所有子 网包括数 端 口映射 ;可加载 的N F S 协议 ;允许文件共享 ;O p e n 端 口。 据层服务器所在的最敏感网络的访 问权 限。而且 ,该 防火墙需要检测 2单 防 火 墙 和 单 子 网 所有子 网间 的流通数据 ,因此 ,它会变成 网络执行效 率的瓶 颈。所 由于不 同的资源存 在着不 同的风 险程 度 ,所 以要基 于此来对 网 以 ,在资金允许 的情况 下 ,我们 可以用 另一种设计方案——多个防火 络资 源进行划 分 。这里 的风险包 含两个 因素 : 资源将被 妥协的可能性 墙 划分多个 子网的方法 ,来消除这种缺陷。
计算机网络安全中的防火墙技术研究
国际标 准化 组 织 (S 对 计 算 机 系统 安 全 的 IO) 定义是 : 数据 处 理 系 统 建 立 和 采 用 的技 术 和管 为 理 的安 全保 护 , 护 计算 机 硬件 、 保 软件 和数 据不 因 偶然 和恶 意 的原 因遭 到破坏 、 改 和泄露 . 更 由此 可 以将计 算机 网络 的安 全 理解 为 : 过 采 用 各 种 技 通 术和管 理措施 , 网络 系统 正常 运行 , 使 从而 确保 网
湖南 环境 生物职业 技术 学院学报
20 0 8年 9月
网络进 入 内部 网络 , 问内部 网络 资源 , 护 内部 访 保 网络操 作环境 的 特殊 网络互 联 设 备 . 对 两 个 或 它
网络 的安全 防线 之 内 ; ( ) 组 过 滤 ( aktFlr g 2分 Pce ien )技 术 . 组 t i 分 过 滤技 术 以增 强 筛选 路 由器 网络 的安 全性 .分 组
一
络数据的可用性 、 完整性 和保密性.¨
12 It t . ne me 的安 全 隐患主 要体 现
( )ne t 一 个 开 放 的 、 控 制 机 构 的 网 1 It me是 无 络 , 客 ( ce) 常 会 侵 人 网络 中 的计 算 机 系 黑 Hakr 经 统, 或窃 取 机 密 数 据 和 盗 用 特 权 , 或破 坏 重 要 数 据, 或使 系统 功 能得 不 到充 分 发 挥 直至 瘫 痪 ;2 () It t ne 的数 据传 输是 基 于 T P I 信 协议 进 行 me C /P通
的, 这些协议缺乏使 传输过程中的信息不被窃取 的安全措施 ; 3 I e t 的通信业务多数使 用 ( )n me上 t U i操 作系 统来 支持 , nx操 作 系统 中 明显 存 在 nx Ui 的安全脆 弱 性 问题 会 直 接 影 响 安 全 服 务 ; 4) ( 在 计算机上存储 、 传输和处理的普通信息 , 还没有像 传统的邮件通信那样进行信封保护和签字盖章. 信息的来源和去向是否真实 , 内容是否被改动 , 以
计算机网络安全中的防火墙技术应用研究
DOI:10.19551/ki.issn1672-9129.2020.24.018计算机网络安全中的防火墙技术应用研究李振禹(95988部队㊀吉林㊀长春㊀130062)摘要:为使计算机安全得到更大保障,提出合理应用防火墙技术的建议,进而实现对计算机安全的更有效防护,减少或规避用户在使用计算机时出现信息泄露㊁网络破坏等情况㊂文章首先阐述了当下计算机网络常见的安全隐患,其次列举了防火墙技术的分类情况,分别是分组过滤型㊁应用代理型与复合型,最后较为详细的讨论了防火墙技术在维护计算机网络安全中的具体应用,以供同行参考借鉴㊂关键词:计算机;网络安全;防火墙技术;实践应用中图分类号:TP393.08㊀㊀㊀文献标识码:A㊀㊀㊀文章编号:1672-9129(2020)24-0018-01㊀㊀1㊀当下常见的计算机网络安全隐患1.1硬件安全隐患㊂各种类型的硬件设施是计算机网络的重要构成,各种硬件自身可能存在一定缺陷,自身没有形成完善化的安全防范体系,以致在投用阶段滋生出一些安全隐患㊂例如,电子辐射泄露便是最为常见的硬件隐患类型,若计算机及网络资源内电磁信息泄漏至外界,那么将会增加计算机网络系统内其他信息被窃取㊁被盗用的概率㊂很多安全隐患问题也表现在通信方面上,光缆㊁专线㊁微波等是大部分数据信息互换与传送的载体㊂电话线㊁专线线路会因防御系统升级缺乏时效性,造成其内部信息被不法分子盗取[1]㊂1.2软件漏洞㊂很多应用性能偏高的软件在设计早期并没有将漏洞与缺陷问题整体消除,计算机操作系统也是同样的道理㊂计算机投用阶段,主机内操作系统的运行状态相对独立,也暴露出较显著的漏洞问题,不同操作软件系统设计与研发方案不同,漏洞呈现出的形式也千差万别㊂一些攻击者通过漏洞即可破坏计算机系统环境,很可能造成主机 瘫痪 ,系统内很多数据资料丢失,不利于系统稳定高效运行㊂1.3木马病毒㊂木马病毒是计算机网络内的常见病毒类型,该类病毒基本是隐匿于计算机的部分程序内,当用户打开系统程序以后木马病毒便会被激活,该类病毒主要是探寻到计算机后门,等待时机窃取被控计算机内的密码与重要文件等,可以对计算机进行监控㊁资料篡改等操作,破坏计算机系统的应用功能,降低数据信息的安全性,情况严重时会导致计算机 瘫痪 ㊂木马病毒具有强大的传播复制能力,当木马病毒侵害计算机某个文件或应用程序时,则其会在极短时间内传播㊁侵扰其他很多文件和应用程序㊂欺骗是木马病毒隐蔽的主要形式,时常采用伪装的办法使自己合法化,比如采用合法的文件类型后缀名 dll㊁sys㊁ini '等,或采用现有的合法系统文件名,而后将其保存于该类文件目录内等㊂2㊀防火墙技术分类2.1分组过滤型㊂该类型的防火墙也被叫做包过滤防火墙,是一种最基础的技术㊂该型防火墙技术操作十分快捷㊁简易且具有较强的时效性,可以管理不同网络相互衔接的设备,比如一些特定的IP端口㊁TCP端口号,技术应用实践中会参照实际,设定允许㊁禁止传送信息的类别与标准㊂该种防火墙技术还能全面检查数据包,分析其安全状态,精准控制数据包临近的内部网络环境㊂当下,大部分计算机用户采用的是分组过滤型防火墙,和其他类型防火墙技术相比较,该种防火墙在传输快速性㊁开放性方面更占据优势㊂在具体应用使用过程中,分组过滤防火墙仅准许计算机内部网络内数据包通过,若数据包始源不明确,则防火墙将会自动将其拦截㊂2.2应用代理型㊂这也是当下常用的防火墙技术类型之一,其主要是在某些代理技术的支撑下,参与至另一个TCP衔接中的过程㊂代理服务器技术是该型防火墙的核心技术,其作用主要有如下两点,一是能够代理客户处理服务器传送过来的衔接申请,二是也能够由外部网络对内部网络提出申请服务,技术应用过程中能够取得较好的转送㊁衔接效果㊂在维护与巩固计算机环境安全阶段,若能科学使用代理服务器,则能更全面的掌握用户群体的衔接需求,并严格审查用户的申请信息,审核通过后将相关处理申请整体的传输到服务器内㊂3㊀防火墙技术在计算机网络安全管理中的应用3.1访问策略㊂访问策略为计算机网络运行的主要构成部分之一,关系着用户上网安全与否,将防火墙技术应用到该环节中,能较好的维护计算机使用过程安全㊂通常而言,在了解计算机功能特征及对其IP作出科学划分以后,再采用防火墙去配置有关工作内容,有益于全面提升计算机运作状态的安全性㊂防火墙在配置方面的应用主要有如下几大方面:一是鉴于计算机网络内存储有多种类型信息的实况采用防火墙规划信息的目的,并结合信息所属类型的差异性进行归档,将他们细化成不同的单位㊂参照信息性质及应用功能的差异性,防火墙技术有针对性的对其实施内保护或外保护策略,力争将信息传送过程的安全风险水平降至最低㊂二是防火墙技术可以智能了解不同站点上信息的配置情况,而后参照计算机网络运行及功能特征等,采用相配套方法进行维护,进一步提升计算机网络运作过程的安稳性㊁有效性㊂三是伴随计算机系统升级㊁更新过程,其运作阶段难免会出现各种漏洞补丁,防火墙技术能精确㊁快捷的检测到该种问题,提升问题解除效率㊂3.2安全配置㊂安全配置是防火墙技术的核心,故而在具体应用阶段,可以利用模块化防范对计算机网络内模块作出合理规划㊂科学设计出安全防护模块,在进行安全保护前,需建设相对应的隔离区,进而确保计算机环境安全保护措施有效推进㊂从某种层面上分析,防火墙技术的安全配置和计算机网络形成良好的融合效果,互融阶段更有效的保护了计算机网络㊂结束语:现如今,计算机网络是人类生活与工作中不可缺少的重要部分之一,故而是否能建设出更为安全的网络环境具有很大现实意义㊂防火墙技术有多种形式,相关人员应不断拓展对该项技术研究的深度,进而实现对计算机网络运行安全的多样化防护,为我国计算机事业快速发展进步提供更可靠的技术支撑㊂参考文献:[1]卢彬.计算机网络维护工作和管理创新优化[J].农家参谋,2020(24):268-269.㊃81㊃。
防火墙技术在计算机网络安全中的应用
防火墙技术在计算机网络安全中的应用1. 引言1.1 防火墙技术的背景防火墙技术作为计算机网络安全领域中的重要技术之一,起源于上世纪90年代。
当时,随着互联网的迅猛发展和普及,网络攻击也随之增加,企业和个人用户的网络安全问题日益凸显。
为了保护网络系统和数据安全,防火墙技术开始被广泛运用。
防火墙技术的概念最早由IBM提出,并在其企业网络系统中首次应用。
随后,各大科技公司纷纷推出了自己的防火墙产品,如Cisco、Check Point等。
这些防火墙产品不仅在企业网络中得到广泛应用,也逐渐进入到个人用户的网络环境中。
随着互联网技术的不断发展和应用场景的日益复杂化,防火墙技术也在不断创新和完善。
从最初的包过滤型防火墙到应用层防火墙再到网络地址转换(NAT)防火墙,防火墙技术的功能和性能不断提升,为用户提供了更强大的网络安全保护。
防火墙技术的出现和发展,为网络安全提供了一道重要的防线,帮助用户有效地防御各种网络攻击和威胁,保护了个人和企业的网络系统和数据安全。
在当今信息化社会中,防火墙技术已经成为一种必不可少的网络安全工具。
1.2 防火墙技术的重要性防火墙技术在计算机网络安全中的重要性不可忽视。
随着网络攻击日益猖獗,数据泄露和网络威胁成为了企业和个人面临的严重问题。
而防火墙技术作为网络安全的第一道防线,可以有效地阻止恶意攻击和不明访问,保护网络不受未经授权的访问和入侵。
1. 阻挡网络攻击:防火墙可以根据设定的规则和策略,过滤和监控网络数据包的流向,阻挡恶意攻击和病毒的入侵,保护网络安全。
2. 保护隐私和数据安全:防火墙可以限制网络用户的访问权限,确保敏感信息和数据不被泄露给未经授权的人员,保护用户的隐私和数据安全。
3. 加强网络管理和监控:通过防火墙技术,管理员可以对网络流量进行监控和管理,及时发现异常行为和安全漏洞,提高网络的稳定性和安全性。
4. 遵守法律法规:各国家和地区对网络安全都有相关的法律法规要求,企业和个人需要遵守这些规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全与防火墙技术研究摘要:近年来,网络犯罪的递增、大量黑客网站的诞生,网络系统的安全问题越来越受到重视。
网络系统的安全对于国家机关、银行、企业是至关重要的,即使是对于学校、甚至个人也是如此。
因此,安全保密工作越来越成为网络建设中的关键技术,防火墙技术就是其中重要的一环。
防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流,允许合法数据包通过,组织非法数据包通过,从而达到有效保护内部网络安全的目的。
本文讨论了防火墙的安全功能、体系结构和实现防火墙的主要技术手段及配置等。
关键字:计算机网络;防火墙;网络安全;防范措施引言反恐是现今世界的重要课题,计算机网络安全是其中一个重要方面,尤其是银行、航空等关系到国计民生的行业。
研究网络安全具有重要的现实意义。
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有。
这些因素可以大体分类为:计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。
而防火墙技术又是网络安全最基本的技术之一。
人们应当了解一些防火墙技术,更好地设置防火墙,使它可以防御网络中的各种威胁,并且做出及时的响应,将那些危险的连接和攻击行为隔绝在外。
1.防火墙的概念网络防火墙技术是—种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内互联设备。
它对两个或的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
设立防火墙的主要目的是保护—个网络不受来自另一个网络的攻击。
防火墙相当于—个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进人和离去的报文分组的IP 和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。
防火墙是一种保护计算机网络安全的技术性措施,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
2.防火墙的分类a)按防火墙的软硬件形式来分1)软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
2)硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
3)芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
b)按防火墙的处理机制来分1)包过滤型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。
只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
2)应用代理型应用代理型防火墙是工作在OSI的最高层,即应用层。
其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
3)状态检测型状态检测型直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
c)按防火墙的结构来分1)单一主机防火墙单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
2)路由器集成式防火墙3)分布式防火墙d)按防火墙的应用部署位置来分1)边界防火墙边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。
这类防火墙一般都是硬件类型的,价格较贵,性能较好。
2)个人防火墙个人防火墙安装于单台主机中,防护的也只是单台主机。
这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
3)混合式防火墙混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。
它属于最新的防火墙技术之一,性能最好,价格也最贵。
3.防火墙的功能a)限制他人进入内部网络,过滤掉不安全服务和非法用户;b)防止入侵者接近防御设施;c)限制访问特殊站点;d)为监视网络安全和预警提供方便;e)防止资源被滥用。
4.防火墙系统的构建a)创建步骤创建成功的防火墙系统一般需要6步:制订安全计划、构建安全体系、制订规则程序、落实规则集、注意更换控制、做好审计工作。
b)应遵循的原则在构建过程中,应遵循以下两个原则:1)未经说明许可的就是拒绝防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都建立在逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于,过于强调安全,而减弱了可用性,限制了用户可以申请的服务的数量。
2)未说明拒绝的均为许可的约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝的。
当然,该理念的不足在于,它将可用性置于比安全性更为重要的地位,增加了保证企业网安全性的难度。
c)防火墙的体系架构目前,成熟的体系构架有X86架构,它采用通用CPU和PCI 总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。
而对于一些对网络安全有一定要求的中小企业来说,选择NP防火墙是最佳的选择。
NP技术通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用。
如果你受到的网络攻击太过复杂,那么使用基于ASIC的防火墙是你的最佳选择。
ASIC将指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。
5.防火墙的特点a)特性1)所有的通信都经过防火墙;2)防火墙只放行经过授权的网络流量;3)防火墙能经受的住对其本身的攻击。
b)优点1)防火墙可以通过执行访问控制策略而保护整个网络的安全,并且可以将通信约束在一个可管理和可靠性高的范围之内;2)防火墙可以用于限制对某些特殊服务的访问;3)防火墙功能单一,不需要在安全性,可用性和功能上做取舍;4)防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。
c)弱点1)不能防御已经授权的访问,以及存在于网络内部系统间的攻击;2)不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁;3)不能修复脆弱的管理措施和存在问题的安全策略;4)不能防御不经过防火墙的攻击和威胁。
6.防火墙的入侵检测a)入侵检测系统的概念入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
b)入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。
误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。
误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。
c)误报没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面:1)缺乏共享数据的机制;2)缺乏集中协调的机制;3)缺乏揣摩数据在一段时间内变化的能力;4)缺乏有效的跟踪分析。
d)入侵检测系统的类型和性能比较根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1)基于主机的入侵检测系统主要用于保护运行关键应用的服务器。
它通过监视与分析土机的审计记录和日志文件:来检测入侵。
日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。
通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。
2)基于网络的入侵检测系统主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。
e)入侵检测的方法1)目前入侵检测方法有三种分类依据:i.根据物理位置进行分类;ii.根据建模方法进行分类;iii.根据时间分析进行分类。
2)常用的方法有三种:i.静态配置分析静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。
静态是指检查系统的静态特征(比如,系统配置信息)。
采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。
ii.异常性检测方法异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。
但是。
在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。
因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。
而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。
iii.基于行为的检测方法基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。
基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。
但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。
7.防火墙的安全措施一个有效的安全体系,至少由防护、检测、响应3部分组成。
这三者之间要实现基于时间的简单关系:P>D+R(式中:P代表防护手段所需支持的时问,D代表入侵检测手段发现入侵行为所需的时间,尺代表事件响应设施产生效力所需的时间)。