网络防火墙关键技术探讨
2015-05-04吴佳锋
吴佳锋
摘 要:防火墙作为提高网络安全性的主要措施之一,在日益发展的信息技术和网络技术背景下,将面临更大的挑战,因此,还需要对其作进一步研究。对网络防火墙作的作用进行了分析,并对其关键技术进行了简要探讨。
关键词:网络安全;嵌入式防火墙;黑客;访问记录
中图分类号:TP393.08 文献标识码:A DOI:10.15913/j.cnki.kjycx.2015.06.135
在计算机网络应用效率不断提高的背景下,其中的安全问题也面临着更大的挑战。防火墙是提高网络环境安全性的主要方式之一,要想合法、有效和完整地保证计算机网络安全,就需要进一步研究其关键技术。因此,我们应结合网络安全需求,不断优化和完善,争取进一步提高防火墙的保护作用。
1 网络防火墙作用分析
1.1 提高网络的安全性
防火墙可有效限制非法用户的入侵行为,比如,网络破坏者或黑客等进入网络内部时,可禁止安全脆弱性服务和未授权的通信进出网络,从而通过此种方式避免来自网络的安全威胁。
1.2 限制暴露用户点
采用防火墙可实现对内部网络的划分,对网络中的网段进行隔离,避免对一个网段造成影响的安全威胁利用整个网络传播,从而对局部重点或敏感网络安全问题进行限制,最终确保全局网络的正常运行。此外,防火墙还可以保护一个网段不受到来自其他网段的攻击,通过用户身份认证的方式保证用户的合法性,即防火墙以事先确定的安全检查策略为基础,确定内部用户可享有的服务权限。
1.3 网络访问记录和监控
所有在单一网络接入点进出的信息都必须经过防火墙,因此,防火墙可以对网络存取和访问的各类信息进行收集并记录,且防火墙还可以对网络运行环境进行监控,一旦发现安全威胁,则会及时报警。
1.4 网络地址转化
网络防火墙可作为部署NAT的逻辑地址,在一定程度上缓解地址空间短缺问题,同时,还能消除结构在变换ISP时产生的重新编址问题。
2 网络防火墙关键技术分析
2.1 数据包过滤技术
包过滤技术,即在网络环境中的适当位置对数据包进行选择性通过处理。其中,数据包的选择依据为系统内设置的过滤原则,对于满足过滤规则的数据包可执行转发或丢弃处理;对于未满足过滤原则的数据包则进行删除处理。此项技术的主要目的是对进出网络的数据信息进行控制和操作,以过滤原则为基础,对进出网络的数据进行过滤,并选择相应方式进行处理。此外,包过滤技术还可以分析并监控整个信息系统的运行状态和会话,保证整个网络运行环境的安全性;可控制站点与站点、网络与网络和站点与网络之间的相互访问,但不可以对传输的数据内容进行控制。
包过滤技术实现的基础为过滤路由器,它是一种硬件设备,可以对普通路由器进行功能性扩展,以及PC机安装相应软件,比如常见的通过修改Linux内核,即可以让Linux主机具备包过滤功能。包过滤防护墙一般安装在路由器、服务器或双宿网关等位置,从而起到相应的防护作用。
2.2 分布式防火墙技术
分布式防护墙技术是一种新型的防火墙体系结构,主要包括主机防护墙、网络防火墙和中心管理三个部分。其中,主机防火墙的主要作用为充当网络服务器和保护桌面系统,主机的物理位置可以选在企业网内或外;一般需要将网络防火墙设置在内部网络、外部网络、内网与子网之间,主要支持内网可能存在的IP和非IP协议;中心管理是分布式防火墙技术的核心部分,主要起到收集、汇总日志和安全策略分发的作用,并将防火墙安全防护系统延伸到网络中作用于各主机。这种防护技术可以实现对网络边界、网络内部各节点和各子网之间的安全防护,具有错层次、多协议和内外综合防护的优点。
2.3 嵌入式防火墙技术
嵌入式防火墙即内嵌于路由器或交换机的防火墙,现在其已经成为部分路由器的标准配置。在安装时,用户可以购买防火墙模块,并将其安装到已有的交换机或路由器中即可。这种防火墙技术可作用于网络中的每一台PC、服务器或笔记本。分布于整个网络的嵌入式防火墙可使用户更加方便地访问信息,且用户所具有的各项网络资源不会被暴露在非法入侵者面前。此外,嵌入式防火墙分布结构还可以避免因系统中一台端点被入侵,进而影响整个网络的情况发生,同时,还可以以身份验证的方式确保用户的合法身份,允许其进入具备限制访问权限的计算机系统中,从而保证非法用户无法进入系统。
可以将嵌入式防火墙技术具有的安全防范功能进一步延伸到边缘防火墙范围之外,甚至可以分布到网络的各个终端,即使是攻击者通过了防火墙的防护,并取得了运行防火墙主机的控制权,也无法对其他主机进行攻击。
3 结束语
防火墙是维护网路系统安全运行的重要方式之一,现已经被广泛应用于计算机防护中。在计算机网络技术和信息技术快速发展的背景下,网络运行安全面临着更大的挑战。因此,我们需要对所有的防火墙技术进行分析,并在现有基础上,对各项新型技术进行研究,从而不断提高防火墙的安全防护效果。
参考文献
[1]郑伟.基于防火墙的网络安全技术的研究[D].长春:吉林大学,2012.
〔编辑:张思楠〕
