现代信息技术的发展, 网络安全成为了日益严峻的问题。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络的互连环境之中, 尤以Internet网络为最甚。
1 防火墙的定义
在网络中, 所谓“防火墙”, 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度, 它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络。
2 防火墙的分类
第一包过滤型, 包过滤型产品是防火墙的初级产品, 其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的, 数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用, 实现成本较低, 在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术, 只能根据数据包的来源、目标和端口等网络信息进行判断, 无法识别基于应用层的恶意侵入, 如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址, 骗过包过滤型防火墙。
第二是代理型, 代理型防火墙也可以被称为代理服务器, 它的安全性要高于包过滤型产品, 并已经开始向应用层发展。代理服务器位于客户机与服务器之间, 完全阻挡了二者间的数据交流。从客户机来看, 代理服务器相当于一台真正的服务器;而从服务器来看, 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时, 首先将数据请求发给代理服务器, 代理服务器再根据这一请求向服务器索取数据, 然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道, 外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置, 大大增加了系统管理的复杂性。
第三监测型, 监测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上, 监测型防火墙能够有效地判断出各层中的非法侵入。同时, 这种检测型防火墙产品一般还带有分布式探测器, 这些探测器安置在各种应用服务器和其他网络的节点之中, 不仅能够检测来自网络外部的攻击, 同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计, 在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此, 监测型防火墙不仅超越了传统防火墙的定义, 而且在安全性上也超越了前两代产品。
3 防火墙的功能
防火墙是网络安全的屏障, 一个防火墙 (作为阻塞点、控制点) 能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙, 所以网络环境变得更安全
防火墙可以强化网络安全策略, 通过以防火墙为中心的安全方案配置, 能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在网络访问时, 一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上, 而集中在防火墙一身上。
对网络存取和访问进行监控审计, 如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄, 通过利用防火墙对内部网络的划分, 可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
典型的防火墙具有以下几个方面的基本特性:首先, 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性, 同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道, 才可以全面、有效地保护企业网部网络不受侵害。其次, 只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性, 并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起, 原始的防火墙是一台“双穴主机”, 即具备两个网络接口, 同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来, 按照OSI协议栈的七层结构顺序上传, 在适当的协议层进行访问规则和安全审查, 然后将符合通过条件的报文从相应的网络接口送出, 而对于那些不符合通过条件的报文则予以阻断。
4 结语
目前防火墙已经在Internet上得到了广泛的应用, 而且由于防火墙不限于TCP/IP协议的特点, 也使其逐步在Internet之外更具生命力。客观的讲, 防火墙并不是解决网络安全问题的万能药方, 而只是网络安全政策和策略中的一个组成部分, 但了解防火墙技术并学会在实际操作中应用防火墙技术, 会使网络生活中让每一位网友都受益菲浅。
摘要:当今网络上的信息是越来越多, 网络对工作和生活的影响是越来越大了。可是在这浩瀚的网络资源中, 却有一股可怕的暗流。这股暗流就是数不清的病毒和木马。作为保证信息安全第一道有效屏障的防火墙技术, 受到越来越多的关注。本文从防火墙技术的概念和分类入手, 分析了防火墙技术, 以及防火墙技术的未来发展趋势。
关键词:计算机,网络安全,防火墙,信息安全
参考文献
[1] 雪山.新手设置Windows Vista自带防火墙[J].网络与信息, 2009 (1) :54.
[2] 别把Vista防火墙当“摆设”[J].计算机与网络, 2008 (10) :44.
[3] “网神”驻守安全无忧[J].计算机与网络, 2008 (9) :58.
【防火墙技术浅析】相关文章:
浅析网络防火墙安全技术09-12
森林防火管理措施浅析02-23
浅析森林防火管理与资源保护09-30
浅谈防火墙技术09-10
防火墙关键技术研究04-08
防火墙技术探究论文04-18
防火墙技术实验报告08-09
实验防火墙技术实验08-27
防火墙技术论文04-15
计算机网络安全技术及防火墙技术研究01-15