試析計算機網(wǎng)絡(luò)安全的防火墻技術(shù)要點.doc

試析計算機網(wǎng)絡(luò)安全的防火墻技術(shù)要點 摘要隨著計算機技術(shù)的不斷發(fā)展，這一技術(shù)逐漸成為了經(jīng)濟發(fā)展中的主要動力。同時各種黑客技術(shù)、病毒入侵等這些造成的各種信息危害也在持續(xù)提高。因此深入探討計算機網(wǎng)絡(luò)安全，充分分析防火墻技術(shù)，深入探究防火墻技術(shù)在整個計算機網(wǎng)絡(luò)安全中的作用和技術(shù)要點便是重要任務(wù)。不斷提升防火墻技術(shù)，營造安全的計算機網(wǎng)絡(luò)環(huán)境便是我們不斷的追求。 關(guān)鍵詞計算機網(wǎng)絡(luò)安全防火墻技術(shù) ：TP393：A 0前言 在發(fā)展過程中計算機使用范圍逐漸擴大，同時各種信息技術(shù)也在快速改變著人們的生活。這些除了讓人們的工作效率不斷提高之外，也讓人們網(wǎng)絡(luò)信息計算的安全成為十分重要的問題，也將成為阻礙網(wǎng)絡(luò)發(fā)展的重要絆腳石。因此我們從網(wǎng)絡(luò)安全的定義，以及影響安全的因素出發(fā)找到合理的安全策略，以及防火墻技術(shù)，通過這樣的方式打造安全的網(wǎng)絡(luò)環(huán)境。 1網(wǎng)絡(luò)安全和主要防御策略 1.1網(wǎng)絡(luò)安全定義 安全計算機整個運行環(huán)境中會受到很多威脅，對沒有進行積極調(diào)控的會受到各種病毒侵害。造成重要文件的丟失。網(wǎng)絡(luò)環(huán)境在檢驗過程中一定要針對內(nèi)部安全以及保密情況下進行。在設(shè)備接入網(wǎng)絡(luò)中之后沒有絕對安全，要依據(jù)階段性的反饋不斷修復(fù)已經(jīng)存在的問題。 1.2防御策略 現(xiàn)在的安全防御策略主要是針對網(wǎng)絡(luò)風(fēng)險，對出現(xiàn)的漏洞進行及時完善，對不是專業(yè)計算機從業(yè)者的可以使用安全軟件進行防護，同時要對設(shè)備安全性進行定期檢測，發(fā)現(xiàn)病毒及時治理。主要是數(shù)據(jù)加密，對開放狀態(tài)下的數(shù)據(jù)進行加密這樣防止出現(xiàn)遠程訪問。在提升保障了之后，減少大量安全漏洞以及攻擊率。還可以使用網(wǎng)絡(luò)存取控制技術(shù)，在使用網(wǎng)絡(luò)設(shè)備過程中，一定要對信息進行及時保存，避免出現(xiàn)被操控，比如在進行登陸之前要輸入身份，在長時間使用后這些技術(shù)也已經(jīng)十分成熟。同時對于安全防護修護，可以在恢復(fù)之后持續(xù)使用。在備份時也可以盡量多備份，同時要盡可能遠離服務(wù)器，避免在出現(xiàn)盜竊時丟失。 2計算機網(wǎng)絡(luò)防火墻概念功能 2.1計算機防火墻的概念 防火墻原始意義主要是在房屋中間修建的墻，主要是為了防止出現(xiàn)火災(zāi)或者在發(fā)生火災(zāi)時能夠避免蔓延到其他房間。計算機網(wǎng)絡(luò)防火墻是為在不同網(wǎng)絡(luò)中或者在網(wǎng)絡(luò)安全區(qū)域設(shè)置的各種組合，同時也是被保護網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)中的重要屏障。因此防火墻從理論上講是限制器以及分離器，同時也是重要的分析器，主要是監(jiān)控互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)中的活動，確保內(nèi)部安全。網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)依據(jù)安全策略精心個實施檢查，同時決定哪些不被允許以及網(wǎng)絡(luò)信息和結(jié)構(gòu)運行狀態(tài)，同時提供審計時的控制點，達到保護內(nèi)部信息避免出現(xiàn)未經(jīng)授權(quán)的訪問，同時過濾各種有害信息。 2.2防火墻的功能 入侵檢測，這種主要是端口檢測掃描拒絕攻擊、溢出攻擊、木馬攻擊、網(wǎng)絡(luò)蠕蟲等這些各種途徑的攻擊。 防火墻可以持續(xù)強化安全策略?？梢詫崿F(xiàn)集中管理，同時將各種安全軟件都在防火墻中進行配置。 網(wǎng)絡(luò)地址間的轉(zhuǎn)換。這種網(wǎng)絡(luò)地址不斷的變化主要是外網(wǎng)以及內(nèi)網(wǎng)之間的IP轉(zhuǎn)換，主要目的是地址以及源地址之間的轉(zhuǎn)換。SNAT可以對內(nèi)網(wǎng)之間的地質(zhì)進行轉(zhuǎn)變，這些可以實現(xiàn)對外網(wǎng)的內(nèi)部結(jié)構(gòu)隱蔽，使用這樣的方式可以減少受到?jīng)]有授權(quán)情況下的攻擊。同時也可以將動態(tài)、靜態(tài)IP與內(nèi)部IP實現(xiàn)對應(yīng)，這樣也大大減少了地址空間少的問題，節(jié)省眾多資源和成本。 網(wǎng)絡(luò)操作的審計以及監(jiān)控。這種主要是認證機制和身份標以及對創(chuàng)建的文件進行修改，可以對系統(tǒng)管理上的有關(guān)操作、安全事件都進行記錄。提供各種統(tǒng)計數(shù)據(jù)以及網(wǎng)絡(luò)使用情況，這樣方便了管理人員對這些進行跟蹤。通常防火墻主要提供三類審計，分別是流量日志和入侵日志，以及系統(tǒng)管理日志。這些都可以保證受到攻擊以及可疑動態(tài)時能夠及時報警同時提供詳細信息。 3網(wǎng)絡(luò)防火墻技術(shù)分類以及優(yōu)缺點 網(wǎng)絡(luò)防火墻在分類上有很多種類。根據(jù)自己內(nèi)部的過濾，對網(wǎng)絡(luò)中的數(shù)據(jù)以及流量實施控制以及操作。數(shù)據(jù)包監(jiān)控在防火墻的使用上一共有三個種類：第一，路由設(shè)備可以在完成選擇以及數(shù)據(jù)轉(zhuǎn)發(fā)過程中進行過濾。第二，在工作站中使用軟件進行過濾。第三，在屏蔽路由器中設(shè)置好過濾功能?，F(xiàn)在經(jīng)常會使用的方式是第一種。這種主要作用在傳輸層以及網(wǎng)絡(luò)層。主要是對端口標示以及ICMP這些進行檢查。 同時過濾防火墻的優(yōu)勢為：第一，過濾能夠不變更主機上的使用程序。第二，他是單獨安放在沒有數(shù)據(jù)包過濾器內(nèi)的，這樣對整個網(wǎng)絡(luò)來講也十分有利。第三，使用這種技術(shù)對用戶來講要求簡單。第四，很多數(shù)據(jù)路由中都會有過濾功能。 但是也有一些不足，主要表現(xiàn)在：第一，過濾過程中單單是對傳輸層以及網(wǎng)絡(luò)層中十分有限的信息內(nèi)進行。第二過濾過程中過濾規(guī)則較少，增加數(shù)目會讓設(shè)備的性能受到很大的影響，這樣也會造成用戶在使用過程中很難使用自己要用的規(guī)則。第三，現(xiàn)在使用的過濾工具沒有徹底完善，存在自身缺陷。第四，沒有相關(guān)的信息，同時這種設(shè)備在過濾RPC、UDP這些協(xié)議時較為困難。第五，這種技術(shù)對管理員自己的素質(zhì)要求較高。除此之外也可以使用代理防火墻。 代理防火墻計算，使用代理技術(shù)主要是在OSI中高層檢測IP包，這樣的方式實現(xiàn)安全。代理技術(shù)跟包過濾較有很大不同，這種技術(shù)在網(wǎng)絡(luò)層控制各種信息流，同時代理技術(shù)也并不相同代理機制可以在應(yīng)用層使用，實現(xiàn)防火功能。同時代理功能主要是可以終止客戶連接同時初始新的連接這樣的方式保護內(nèi)部網(wǎng)絡(luò)。應(yīng)用代理防火墻主要優(yōu)勢為。第一，代理可以生成各種記錄。第二，代理能夠方便配置。第三，代理更加靈活，能夠控制內(nèi)容以及流量。在使用各種措施之后，我們可以依據(jù)規(guī)則，用戶也可以使用代理得到完整的安全策略。第四，代理和各種安全手段可以實現(xiàn)集成。 主要缺點：第一，代理對用戶來講并不透明，他們需求用戶進行在客戶端安裝各種軟件，這樣也會給用戶造成不透明，代理速度降低。第二，代理過程中速度較慢。第三，各種服務(wù)會使用到各種不同的服務(wù)器。第四，除代理服務(wù)，服務(wù)器會對用戶進行限制。第五，代理服務(wù)器并不能確保協(xié)議弱點。 防火墻體系結(jié)構(gòu)。主要是使用架構(gòu)以及采用實現(xiàn)的方法，這些也是決定防火墻性能以及功能的重要因素，其中主要體系分為以下幾種。 雙宿主主機防火墻：這種主要是在互聯(lián)網(wǎng)以及被保護的網(wǎng)絡(luò)中設(shè)置堡壘，這種堡壘一般會有兩個網(wǎng)卡，共同阻止IP通信。因此網(wǎng)絡(luò)之間使用應(yīng)用層的共享數(shù)據(jù)以及代理服務(wù)實現(xiàn)。兩個網(wǎng)卡有不同的功能一個是用來連接內(nèi)網(wǎng)一個是外網(wǎng)連接。這種方式對于安全審計較為方便同時會出現(xiàn)“單失效點”。 被屏蔽主網(wǎng)防火墻：這種為路由器聯(lián)系外網(wǎng)，同時因為并非普通路由器，可以在內(nèi)網(wǎng)中聯(lián)入堡壘主機，也運行網(wǎng)關(guān)軟件。之后可以在路由器中設(shè)置有關(guān)規(guī)則，同時也將成為堡壘主機和外網(wǎng)之間的唯一通路。安全等級較高可以實現(xiàn)高層應(yīng)用層以及網(wǎng)絡(luò)層兩重安全。同時要保證路由器完好。 被屏蔽子網(wǎng)防火墻：這種結(jié)構(gòu)較為復(fù)雜種類很多，同時也是較為安全結(jié)構(gòu)，第一要在非軍事區(qū)，同時也是內(nèi)網(wǎng)和外網(wǎng)之間的隔離。在實現(xiàn)方式中子網(wǎng)端可以放置兩個路由器，同時也是分組過濾路由器，無論是內(nèi)網(wǎng)還是外網(wǎng)都可以訪問，但是一定要禁止通過已經(jīng)被屏蔽的子網(wǎng)實行通信。 4小結(jié) 防火墻作為重要的保護手段，自身也有缺陷，不能解決自身攻擊，因此我們一定要對防火墻計術(shù)進行不斷探索。希望通過分析可以推動防火墻技術(shù)的發(fā)展。 參考文獻 1肖玉梅，蘇紅艷.試析當前計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)J.數(shù)