防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全的影響
防火墻技術(shù)是目前應(yīng)當(dāng)網(wǎng)絡(luò)安全問題的有效的技術(shù)手段之一,以下是小編搜集整理的一篇探究防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全影響的論文范文,歡迎閱讀查看。
【摘 要】本文通過防火墻的分類、工作原理、應(yīng)用等分析,同時(shí)對(duì)防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的作用及影響進(jìn)行論述。
【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;技術(shù)
引言
隨著科學(xué)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善,在當(dāng)今信息化的社會(huì)中,我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計(jì)算機(jī)系統(tǒng)來存儲(chǔ)和處理,伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理,所以計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中的作用越來越大。為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全,人們提出了許多手段和方法,采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)施對(duì)網(wǎng)絡(luò)安全的有效管理。
1.防火墻的分類
防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng),它用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅,同時(shí),仍允許雙方通信,目前,許多防火墻都用于Internet內(nèi)部網(wǎng)之間,但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。按防火墻發(fā)展的先后順序可分為:包過濾型(PackFilter)防火墻(也叫第一代防火墻)。復(fù)合型(Hybrid)防火墻(也叫第二代防火墻);以及繼復(fù)合型之后的第三代防火墻,在第三代防火墻中最具代表性的又:IGA (InternetGatewayAppciance)防毒墻;SonicWall防火墻以及Cink TvustCyberwall等。
按防火墻在網(wǎng)絡(luò)中的位置可分為:邊界防火墻、分布式防火墻。分布式防火墻又包括主機(jī)防火墻、網(wǎng)絡(luò)防火墻。按實(shí)現(xiàn)手段可分為:硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包,如鏈接方式,按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
2.防火墻在網(wǎng)絡(luò)安全中的作用
防火墻的作用是防止非法通信和未經(jīng)過授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。防火墻的任務(wù)就是從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計(jì)算機(jī)的數(shù)據(jù)是否有害,并盡可能地將有害數(shù)據(jù)丟棄,從而達(dá)到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。它還要在計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。一般通過對(duì)內(nèi)部網(wǎng)絡(luò)安裝防火墻和正確配置后都可以達(dá)到以下目的:①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶。②防止入侵者接近你的防御設(shè)施。③限定用戶訪問特殊站點(diǎn)。④為監(jiān)視Intemet安全提供方便。
3.防火墻的工作原理
防火墻可以用來控制Internet和Intranet之間所有的數(shù)據(jù)流量。在具體應(yīng)用中,防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當(dāng)軟件的計(jì)算機(jī)網(wǎng)絡(luò)的多種組合。防火墻為網(wǎng)絡(luò)安全起到了把關(guān)作用,只允許授權(quán)的通信通過。防火墻是兩個(gè)網(wǎng)絡(luò)之間的成分集合,有以下性質(zhì):①內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須通過防火墻;②只有符合安全策略的數(shù)據(jù)流才能通過防火墻;③防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。一個(gè)好的防火墻應(yīng)具有以下屬性:一是所有的信息都必須通過防火墻;二是只有在受保護(hù)網(wǎng)絡(luò)的安全策略中允許的通信才允許通過防火墻;三是記錄通過防火墻的信息內(nèi)容和活動(dòng);四是對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警;五是防火墻本身對(duì)各種攻擊免疫。
4.防火墻技術(shù)
防火墻的種類多種多樣,在不同的發(fā)展階段,采用的技術(shù)也各不相同,因而也就產(chǎn)生了不同類型的防火墻。防火墻所采用的技術(shù)主要有:
4.1 屏蔽路由技術(shù)
最簡(jiǎn)單和最流行的防火墻形式是“屏蔽路由器”。屏蔽路由器在網(wǎng)絡(luò)層工作(有的'還包括傳輸層),采用包過濾或虛電路技術(shù),包過濾通過檢查每個(gè)IP網(wǎng)絡(luò)包,取得其頭信息,一般包括:到達(dá)的物理網(wǎng)絡(luò)接口,源IP地址,目標(biāo)IP地址,傳輸層類型(TCPUDP ICMP),源端口和目的端口。根據(jù)這些信息,判別是否規(guī)則集中的某條目匹配,并對(duì)匹配包執(zhí)行規(guī)則中指定的動(dòng)作(禁止或允許)。
4.2 基于代理的(也稱應(yīng)用網(wǎng)關(guān))防火墻技術(shù)
它通過被配置為“雙宿主網(wǎng)關(guān)”,具有兩個(gè)網(wǎng)絡(luò)接口卡,同時(shí)接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個(gè)網(wǎng)絡(luò)通信,它是按裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“代理”,通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許直接與真正的服務(wù)通信,而是與代理服務(wù)器通信(用戶的默認(rèn)網(wǎng)關(guān)指向代理服務(wù)器)。各個(gè)應(yīng)用代理在用戶和服務(wù)之間處理所有的通信。能夠?qū)νㄟ^它的數(shù)據(jù)進(jìn)行詳細(xì)的審計(jì)追蹤,許多專家也認(rèn)為它更加安全,因?yàn)榇碥浖梢愿鶕?jù)防火墻后面的主機(jī)的脆弱性來制定,以專門防范已知的攻擊。
4.3 包過濾技術(shù)
系統(tǒng)按照一定的信息過濾規(guī)則,對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制,允許授權(quán)信息通過,而拒絕非授權(quán)信息通過。包過濾防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包,從其IP頭、傳輸層協(xié)議頭,甚至應(yīng)用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問控制規(guī)則進(jìn)行一一匹配比較,執(zhí)行其相關(guān)的動(dòng)作。
4.4 動(dòng)態(tài)防火墻技術(shù)
動(dòng)態(tài)防火墻技術(shù)是針對(duì)靜態(tài)包過濾技術(shù)而提出的一項(xiàng)新技術(shù)。靜態(tài)包過濾技術(shù)局限于過濾基于源及目的的端口,IP地址的輸入輸出業(yè)務(wù),因而限制了控制能力,并且由于網(wǎng)絡(luò)的所有高位(1024-65 535)端要么開發(fā),要么關(guān)閉,使網(wǎng)絡(luò)處于很不完全的境地。而動(dòng)態(tài)防火墻技術(shù)可創(chuàng)建動(dòng)態(tài)的規(guī)則,使其適應(yīng)不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求,規(guī)則能被修改并接受或拒絕條件。動(dòng)態(tài)防火墻為了跟蹤維護(hù)連接狀態(tài),它必須對(duì)所有進(jìn)出的數(shù)據(jù)包進(jìn)行分析,從其傳輸層,應(yīng)用層中提取相關(guān)的通訊和應(yīng)用狀態(tài)信息,根據(jù)其源和目的IP地址,傳輸層協(xié)議和源及目的端口來區(qū)分每一連接,并建立動(dòng)態(tài)連接表為所有連接存儲(chǔ)其狀態(tài)和上下文信息;同時(shí)為檢查后續(xù)通訊。應(yīng)及時(shí)更新這些信息,當(dāng)連接結(jié)束時(shí),也應(yīng)及時(shí)從連接表中刪除其相應(yīng)信息。
4.5 一種改進(jìn)的防火墻技術(shù)(或稱復(fù)合型防火墻技術(shù))
由于過濾型防火墻安全性不高,代理服務(wù)器型防火墻速度較慢,因而出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點(diǎn)的改進(jìn)型防火墻技術(shù),它保證了一定的安全性,又使通過它的信息傳輸速度不至于受到太大的影響。對(duì)于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請(qǐng)求,由于對(duì)內(nèi)部網(wǎng)的威脅不大,因此可直接下載外部網(wǎng)建立連接,對(duì)于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的請(qǐng)求,先要通過包過濾型防火墻,在此經(jīng)過初步安全檢查,兩次檢查確定無疑后可接受其請(qǐng)求,否則,就需要丟棄或作其他處理。
5.防火墻的應(yīng)用
5.1 硬件防火墻的設(shè)置
下面以思科PIX 501型防火墻為例,設(shè)置如下:要設(shè)置內(nèi)部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
現(xiàn)在,設(shè)置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1 255.255.255.0
PIX1(config)#
下一步,啟動(dòng)內(nèi)部和外部接口。確認(rèn)每一個(gè)接口的以太網(wǎng)電纜線連接到一臺(tái) 交換機(jī)。注意,enthernet0接口是外部接口,它在PIX 501防火墻中只是一個(gè)10base-T接口。ether-net1接口是內(nèi)部接口,是一個(gè)100Base-T接口。下面是啟動(dòng)這些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full PIX1(config)#
最后設(shè)置一個(gè)默認(rèn)的路由,這樣,發(fā)送到PIX防火墻的所有的通訊都會(huì)流向下一個(gè)上行路由器(我們被分配的IP地址是10.76.12.254):
PIX1(config)#route outside 0 0 10.76.12.254
PIX1(config)#
當(dāng)然,PIX防火墻也支持動(dòng)態(tài)路由協(xié)議(如RIP和OSPF協(xié)議)。
現(xiàn)在,我們接著介紹一些更高級(jí)的設(shè)置。網(wǎng)絡(luò)地址解析:
由于我們有IP地址連接,我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱作“PAT”或者“NATOver-load”的網(wǎng)絡(luò)地址解析。這樣,所有的內(nèi)部設(shè)備都可以共享一個(gè)公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點(diǎn),請(qǐng)輸入這些命令:
PIX1(config)# nat (inside )1 10.0.0.0 255.0.0.0
PIX1(config)#global(outside) 1 10.1.1.2
Global10.1.1.2 will be PortAddressTranslated
PIX1(config)#
使用這些命令之后,全部內(nèi)部客戶機(jī)都可以連接到公共網(wǎng)絡(luò)的設(shè)備和共享IP地址10.1.1.2。然而,客戶機(jī)到目前為止還沒有任何規(guī)則允許他們這樣做。
5.2軟件防火墻的設(shè)置以天網(wǎng)、諾頓防火墻為例
5.2.1 天網(wǎng)防火墻(2.60版)
在天網(wǎng)防火墻的主面板上點(diǎn)擊“系統(tǒng)設(shè)置”按鈕,在彈出的“系統(tǒng)設(shè)置”窗口中,點(diǎn)擊“規(guī)則設(shè)定”中的“向?qū)?rdquo;,就會(huì)彈出設(shè)置向?qū)А?/p>
在“安全級(jí)別設(shè)置”對(duì)話框中選擇好安全級(jí)別(局限網(wǎng)內(nèi)的用戶可以選擇“低”)后再點(diǎn)擊“下一步”按鈕,進(jìn)入“局限網(wǎng)信息設(shè)置”窗口。勾選“我的電腦在局限網(wǎng)中使用”,軟件便會(huì)自動(dòng)檢測(cè)本機(jī)的IP地址并顯示在下方。接下來,一路點(diǎn)擊“下一步”按鈕即可完成設(shè)置了。
5.2.2諾頓個(gè)人防火墻
在軟件的主界面左側(cè)點(diǎn)擊“Internet區(qū)域控制”選項(xiàng)在右側(cè)窗口進(jìn)入“信任區(qū)域”選項(xiàng)卡,點(diǎn)擊“添加”按鈕,打開“設(shè)定計(jì)算機(jī)”對(duì)話框。在該對(duì)話框中選擇“使用范圍”,然后再下面輸入允許訪問的起始地址和結(jié)束地址即可。
6.結(jié)束語
防火墻技術(shù)是目前應(yīng)當(dāng)網(wǎng)絡(luò)安全問題的有效的技術(shù)手段之一,但是網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問題,網(wǎng)絡(luò)上任何一個(gè)漏洞,都會(huì)導(dǎo)致全網(wǎng)的安全問題,我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個(gè)體系的安全。
【防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全的影響】相關(guān)文章:
1.基于防火墻的網(wǎng)絡(luò)安全技術(shù)探討
2.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用探析
3.防火墻技術(shù)與校園網(wǎng)絡(luò)安全論文
6.技術(shù)進(jìn)步對(duì)人類的影響GMAT范文