防火墙技术的应用
2015-01-20刘小斌
摘要:随着信息技术的发展和经济竞争的日益激烈,当今社会对计算机网络的依赖越来越强,网络对社会的影响也越来越大。计算机网络是计算机与信息技术相结合的产物,网络的安全与否已经直接影响到社会安全。防火墙技术是目前最流行也是使用最广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为网络的第一道安全防线,正受到越来越多用户的关注。该文针对防火墙技术在计算机中的应用进行了分析和探究。
关键词:计算机网络;防火墙;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)36-8618-02
随着计算机技术的快速发展和应用,不断地促进了信息技术的变革。近年来随着计算机网络技术飞速发展,计算机和网络资源已经形成了非常有效的联合,网络技术在带给我们便捷的同时,其安全性问题也日益突显出来。连接到互联网上的计算机在没有安全防护的情况下,很多私密的信息会被泄露,轻则丢掉数据,重则系统平台会被攻击乃至系统瘫痪,经常会造成一些不可挽回的物质和经济损失。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术,它可以看作是内外网的一种网关,能将内网与外网有效的分隔开,保障网络的安全。
1 防火墙功能简介
防火墙是联接内部网络和外部不安全网络的“桥梁”电脑。它们专门被用来过滤和拦截有害信息,只允许符合严格安全标准的信息通过,如图1所示。防火墙的任务就是对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马等不安全程序。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信,从而达到初步的网络系统安全保障。防火墙可以在计算机网络和计算机系统受到危害之前进行报警、拦截和响应[1]。
在实际应用中,某些特定主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,需要将这些机与内网设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。这就需要构建一个DMZ区,俗称非军事化区。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不能接触到存放在内网中的服务器,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
图1 防火墙部署图
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其具有抵御外部侵袭但是不能阻止内部侵袭的一种防护手段,但是随着新技术的发展和创新,现代化的防火墙技术不仅能够对外部网络发出的通信连接进行过滤,同时对内部网络用户发出的部分连接请求和数据包同样过滤,防火墙只能够允许符合安全策略的连接通信[2]。为了达到网络安全,必须使内网和外网络之间的所有数据通信都流经防火墙。并且人为制订一些安全规则,符合防火墙规则设置的数据流才能通过防火墙,使网络环境变得更安全。而且要求防火墙本身要有非常强的抗攻击能力。防火墙在完成配置后,都可以达到以下功能:
1) 网络管理员通过设置一定的访问规则,规范网络使用。对于不同的服务面向其相应的用户开放,这样可以灵活地设置用户的访问权限,保障内网数据的安全。通过防火墙过滤不安全信息,限制其他人员及计算机进入内部网络;对于符合防火墙规则的安全数据,可以自由通过防火墙。这样既可以防止危险数据对内网的侵袭,又能保证外网用户可以安全的使用内网数据,同时使内网计算机安全正常运行。
2) 解决IP地址不足。防火墙可以利用自身的NAT等技术,将内、外网IP地址对应起来,解决网络IP地址不足问题。
3) 有效地审核、记录内外网访问信息。防火墙作为连接内网与外网的网关,可以通过防火墙自身的过滤功能,对内、外部网络存取和访问进行监控审计,记录下这些访问并进行日志记录,利用防火墙的这一特性,我们可以有效的记录计算机访问内网资源的情况,当发生可疑动作时,防火墙能进行适当的报警,这也为日后的安全技术分析提供依据。
2 防火墙安全策略
防火墙的安全策略是防火墙系统中的重要组成部分,安全策略决定了保护网络的安全性,一个好的防火墙首先应该有一个行之有效的安全策略,它必须满足用户的安全需求,在安全和方便直接找到一个平衡点。防火墙安全策略包括防火墙设计策略和服务访问策略。
防火墙设计策略,是防火墙底层的策略,它描述防火墙如何根据定义的服务策略来具体限制访问和过滤服务的。防火墙的两个基本设计策略是“允许所有除明确拒绝之外的通讯或服务进行,拒绝所有除明确允许之外的通讯或服务进行”[3]。防火墙服务访问策略是防火墙的高层策略,它明确定义了受保护的网络应该允许和拒绝的网络服务和其使用的范围。
3 防火墙技术
为了更好的提高防火墙的防御功能,必须具备过滤所有数据的能力。防火墙能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,保护内部网的安全。防火墙通常用于保护公司的内部网络,也可用于不同部门之间的网络分离。
开放系统互连模型(OSI)分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。根据防火墙技术主要工作在该模型的哪些层面上,可以将防火墙技术分为“包过滤型防火墙”和“应用代理型防火墙”两大类。
包过滤型防护墙是建立在网络层和传输层,它可以根据不同的源地址、端口号和网络协议等安全标识判断并根据已定规则分析是都允许通过。包过滤防火墙是一种通用、安全有效的技术手段。传统包过滤技术不断发展进化,目前包过滤技术向两种过滤方式:静态包过滤与动态包过滤。静态包过滤防火墙根据数据中提取出来的IP地址来决定是否转发该数据,它的优点是简单方便、速度快,对网络性能影响不大。但对于一些具有欺骗性的数据包,这类防火墙很难将其分辨出来。动态包过滤防火墙采用动态设置包过滤规则的方法,这些规则只是在原来静态包过滤的基础上加了一些连接信息表,根据该信息表对每一个连接进行跟踪。
包过滤防火墙技术有如下特点。处理包的速度比较快,效率高,通过使用过滤路由器能为用户提供了一种透明的服务,即包过滤路由器对用户和应用来讲是透明的,用户不用改变客户端程序或改变自己的行为。但其自身也存在着不足,一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。包过滤防火墙不能彻底防止地址欺骗,某些应用协议不适用于包过滤技术,不能防范黑客攻击,不支持应用层协议。
应用代理型防火墙技术的工作原理是在OSI网络层中的第七层,就是常说的应用层,直接对特定的应用层进行服务。最大的特点就是完全阻断了网络通信流的数据,也被称为应用层的网关级防火墙。它通过对FTP,Telnet等不同应用服务分别提供相应的代理程序,使内外网通信都能经过代理服务器的中间转换,实现网络的安全访问,起到了监督的作用和控制的作用。应用代理技术就是应用层在这个时候具有高级代理的能力,同时这种防火墙技术支持网络地址的相互转换(NAT),它可以将一个私有IP地址映射成一个IP公有的地址,然后为终端的服务器提供路由的服务。NAT方法经常用在办公区或私有区域,可以更好的解决IP地址不够分配的问题。
应用代理技术防火墙的特点。应用代理防火墙直接阻断内外网之间的直接通信。内外网络之间的通信不是直接的,而外网用户访问内网服务器都需先经过代理服务器审核,通过后再由代理服务器代为连接,这样所有符合规则的通信都必须经由防火墙转发,避免了入侵者使用数据驱动类型的攻击方式入侵内部网。同时,代理能生成各项记录,灵活地控制进出的流量及内容,对数据包有较强的鉴别能力。
4 结束语
随着计算机技术的不断发展,人们越来越依赖于网络,对于信息资源的依赖也过于紧密,网络安全问题也不可避免,这直接影响着防火墙技术的发展。为了保障网络的安全运行,防火墙技术越来越重要。我们需要选择适合实际应用的防火墙来抵御有害信息入侵计算机系统,但仅依靠防火墙技术是不够的,需要使现在的防火墙技术将计算机技术和网络技术结合在一起,才能真正解决计算机的网络安全问题。
参考文献:
[1] 曹莉兰.基于防火墙技术的网络安全机制研究[D].电子科技大学,2007.
[2] 秦燕.防火墙技术在计算机网络中的应用研究[J].计算机光盘软件与应用,2013(10).
[3] 丁方.基于策略的防火墙技术的研究与实现[D].西北工业大学,2007.endprint
包过滤防火墙技术有如下特点。处理包的速度比较快,效率高,通过使用过滤路由器能为用户提供了一种透明的服务,即包过滤路由器对用户和应用来讲是透明的,用户不用改变客户端程序或改变自己的行为。但其自身也存在着不足,一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。包过滤防火墙不能彻底防止地址欺骗,某些应用协议不适用于包过滤技术,不能防范黑客攻击,不支持应用层协议。
应用代理型防火墙技术的工作原理是在OSI网络层中的第七层,就是常说的应用层,直接对特定的应用层进行服务。最大的特点就是完全阻断了网络通信流的数据,也被称为应用层的网关级防火墙。它通过对FTP,Telnet等不同应用服务分别提供相应的代理程序,使内外网通信都能经过代理服务器的中间转换,实现网络的安全访问,起到了监督的作用和控制的作用。应用代理技术就是应用层在这个时候具有高级代理的能力,同时这种防火墙技术支持网络地址的相互转换(NAT),它可以将一个私有IP地址映射成一个IP公有的地址,然后为终端的服务器提供路由的服务。NAT方法经常用在办公区或私有区域,可以更好的解决IP地址不够分配的问题。
应用代理技术防火墙的特点。应用代理防火墙直接阻断内外网之间的直接通信。内外网络之间的通信不是直接的,而外网用户访问内网服务器都需先经过代理服务器审核,通过后再由代理服务器代为连接,这样所有符合规则的通信都必须经由防火墙转发,避免了入侵者使用数据驱动类型的攻击方式入侵内部网。同时,代理能生成各项记录,灵活地控制进出的流量及内容,对数据包有较强的鉴别能力。
4 结束语
随着计算机技术的不断发展,人们越来越依赖于网络,对于信息资源的依赖也过于紧密,网络安全问题也不可避免,这直接影响着防火墙技术的发展。为了保障网络的安全运行,防火墙技术越来越重要。我们需要选择适合实际应用的防火墙来抵御有害信息入侵计算机系统,但仅依靠防火墙技术是不够的,需要使现在的防火墙技术将计算机技术和网络技术结合在一起,才能真正解决计算机的网络安全问题。
参考文献:
[1] 曹莉兰.基于防火墙技术的网络安全机制研究[D].电子科技大学,2007.
[2] 秦燕.防火墙技术在计算机网络中的应用研究[J].计算机光盘软件与应用,2013(10).
[3] 丁方.基于策略的防火墙技术的研究与实现[D].西北工业大学,2007.endprint
包过滤防火墙技术有如下特点。处理包的速度比较快,效率高,通过使用过滤路由器能为用户提供了一种透明的服务,即包过滤路由器对用户和应用来讲是透明的,用户不用改变客户端程序或改变自己的行为。但其自身也存在着不足,一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。包过滤防火墙不能彻底防止地址欺骗,某些应用协议不适用于包过滤技术,不能防范黑客攻击,不支持应用层协议。
应用代理型防火墙技术的工作原理是在OSI网络层中的第七层,就是常说的应用层,直接对特定的应用层进行服务。最大的特点就是完全阻断了网络通信流的数据,也被称为应用层的网关级防火墙。它通过对FTP,Telnet等不同应用服务分别提供相应的代理程序,使内外网通信都能经过代理服务器的中间转换,实现网络的安全访问,起到了监督的作用和控制的作用。应用代理技术就是应用层在这个时候具有高级代理的能力,同时这种防火墙技术支持网络地址的相互转换(NAT),它可以将一个私有IP地址映射成一个IP公有的地址,然后为终端的服务器提供路由的服务。NAT方法经常用在办公区或私有区域,可以更好的解决IP地址不够分配的问题。
应用代理技术防火墙的特点。应用代理防火墙直接阻断内外网之间的直接通信。内外网络之间的通信不是直接的,而外网用户访问内网服务器都需先经过代理服务器审核,通过后再由代理服务器代为连接,这样所有符合规则的通信都必须经由防火墙转发,避免了入侵者使用数据驱动类型的攻击方式入侵内部网。同时,代理能生成各项记录,灵活地控制进出的流量及内容,对数据包有较强的鉴别能力。
4 结束语
随着计算机技术的不断发展,人们越来越依赖于网络,对于信息资源的依赖也过于紧密,网络安全问题也不可避免,这直接影响着防火墙技术的发展。为了保障网络的安全运行,防火墙技术越来越重要。我们需要选择适合实际应用的防火墙来抵御有害信息入侵计算机系统,但仅依靠防火墙技术是不够的,需要使现在的防火墙技术将计算机技术和网络技术结合在一起,才能真正解决计算机的网络安全问题。
参考文献:
[1] 曹莉兰.基于防火墙技术的网络安全机制研究[D].电子科技大学,2007.
[2] 秦燕.防火墙技术在计算机网络中的应用研究[J].计算机光盘软件与应用,2013(10).
[3] 丁方.基于策略的防火墙技术的研究与实现[D].西北工业大学,2007.endprint
