分析网络通信安全及防火墙技术
2017-06-15王辉
王辉
摘 要:随着信息技术在我国各地的普及应用,网络问题也在不断地出现,对人们的生活工作带来了一定的困扰,信息技术问题主要体现在网络故障和网络通讯安全的问题上,网络故障主要是由于硬件设施和软件配置的问题导致的,相对而言,比较容易解决。目前,网络通讯安全问题是影响信息技术发展和应用的严重问题。下文分析了威胁网络安全技术的主要因素,阐述了防火墙在网络安全中的巨大作用,对各种类型的防火墙的优点和缺点以及使用效果做了探讨。
关键词:计算机网络 网络安全 防范措施 防火墙技术
引言
随着网络技术的发展,网络通信给人们的工作生活带来诸多便利,同时网络安全的问题也随着网络技术的发展而日益严重。网络通讯安全问题主要表现在信息的泄漏、篡改以及非法信息的流传和散播,还包括一些利用网络资源进行非法贸易等问题,网络通信安全问题可能给企业带来严重的经济损失,所以必须要引起我们我们的高度重视和关注。防火墙技术能提高系统的安全性,减少网络的不安全因素。在现如今的计算机时代,网络信息的安全尤为重要,我们对防火墙技术的要求也会越来越高。
一、网络信息安全的主要威胁
网络信息安全的威胁是多方面的,随着时间的变化而变化。这些威胁大致可以分为自然威胁和人为威胁。
自然威脅可能来自各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些非目的性事件,有时直接威胁到网络的安全,影响信息存储介质。
人为威胁是对网络的人为攻击。这些攻击都是通过搜索系统的弱点,以达到破坏、欺骗、窃取数据的目的,可能会造成经济和政治上无法估量的损失。网络安全的人为威胁主要分为以下几类:网络缺陷、黑客攻击病毒、资源管理不足和内部网络用户滥用网络源造成信息泄露[2]。
(一)影响计算机网络安全的因素
网络资源共享。资源共享是计算机网络应用的主要目的,但它为攻击者利用共享资源破坏系统安全提供了机会。随着互联网需求的不断增长,不可能完全隔离外部服务请求,并且很容易通过服务请求的机会获得网络数据包。
网络的开放性。互联网上的任何用户都非常方便地访问互联网上的信息资源,因此很容易得到一个企业、单位和个人的敏感信息[3]。
网络操作系统漏洞。网络操作系统是实现网络协议和网络服务的最终载体,它不仅负责网络硬件的接口,同时还提供所需的网络通信协议和服务程序。由于网络协议的复杂性,操作系统在实现过程中必然存在缺陷和漏洞。
网络系统设计中的缺陷。网络系统设计指的是拓扑结构的设计和各种网络设备的选择。网络设备、网络协议、网络操作系统的不合理将直接带来安全隐患。合理的网络设计在节约资源的情况下,也能保证更好的安全性。网络设计的不合理将对网络安全造成威胁。
恶意攻击。黑客是一种常见的网络攻击和病毒,这是最难以防范的网络安全的威胁因素。随着计算机教育的普及,这样的攻击越来越多,影响也越来越大[4]。
二、防火墙技术
(一)防火墙定义
防火墙是设置在不同网络或网络安全域之间的一系列部件的组合,根据网络安全策略控制(权限拒绝监听)访问网络信息流,本身具有较强的抗攻击能力。它是提供信息安全服务、保障网络信息安全的基础设施。理论上讲,防火墙是一个分离器、一个限制器、也是一个分析器,它可以监控内部网和Internet之间的所有活动,保证了内部网络的安全。
(二)防火墙的种类
防火墙技术可根据防范的方式和侧重点的不同,总体来讲分为两大类:分组过滤以及应用代理。
分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过[5]。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“阻隔”了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现。
(三)防火墙技术原理
1、包过滤技术
包过滤是一种基于网络层的防火墙技术。根据一组过滤规则,检查IP分组以确定数据包是否通过。不符合IP地址要求的,将被防火墙过滤掉,从而保证网络系统的安全。该技术通常可以基于一些或所有以下的信息组IP包过滤:源IP地址;目的IP地址;TCP / UDP源端口;TCP / UDP目的端口。数据包过滤技术实际上是一种基于路由器的技术,其最大的优点是价格便宜,易于实现逻辑,易于安装和使用[6]。
2、代理技术
代理技术是另一种完全不同于包过滤技术的防火墙技术。其主要思想是在两个网络之间建立一个“中间检查点”,通过网络进行通信。“中间检查点”是代理服务器,在两个网络之间运行并检查网络之间的每个请求。当代理服务器接收用户请求时,它检查请求的有效性。如果是合法的,则请求转发到实际服务器并转发给用户。为应用程序服务编写代理服务器,在应用层中工作。
3、监视技术
这是第三代防火墙技术,融合了前两者的优点。网络通信可以在各级检测。用同包过滤技术,可以检测IP地址,端口号,以及TCP标签,过滤掉数据包。它允许客户信任和不信任的主机建立直接的联系,不依赖于相关的应用层代理、应用层数据,但在方法确定进口,这些算法通过已知的合法数据包模式比较导入数据包,因此理论上可以更多的应用级代理的数据包过滤。
状态监视器的监控模块支持多种协议和应用,可扩展应用和服务。此外,它还可以监视RPC和UDP端口的信息,并且数据包过滤和代理不支持这样的端口。这样,通过对各个层的监控,实现状态监控,达到网络安全的目的。目前,使用多状态监控防火墙,它对用户是透明的,在OSI顶部加密数据,不修改客户端程序,就没有必要为每个运行在防火墙上的服务添加一个代理。
结语
现如今,网络安全问题已引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取等严重问题,网络、应用程序的安全漏洞越来越多,各种病毒泛滥成灾。这一切,对国家及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。
参考文献
[1]杨富国.网络通信安全及防火墙技术分析[J]. 信息通信,2013,(09):139-140.
[2]李志平,张伟斌,郑昕,黄智英. 网络通信安全及防火墙技术浅析[J].中国新通信,2014,(21):3-4.
[3]张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术,2012,(24):5787-5788.
[4]卫星,周瑜龙.网络通信安全及防火墙技术浅析[J].计算机光盘软件与应用,2012,(13):135-136.
[5]付冬波,吴伟丰.基于分布式防火墙技术的网络安全系统分析[J].信息与电脑(理论版),2016,(08):133-134.
[6]汪红琼.网络通信安全与防火墙技术研究[J].通讯世界,2015,(16):12.