試析計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻技術(shù)要點(diǎn).doc

試析計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻技術(shù)要點(diǎn) 摘要隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，這一技術(shù)逐漸成為了經(jīng)濟(jì)發(fā)展中的主要?jiǎng)恿?。同時(shí)各種黑客技術(shù)、病毒入侵等這些造成的各種信息危害也在持續(xù)提高。因此深入探討計(jì)算機(jī)網(wǎng)絡(luò)安全，充分分析防火墻技術(shù)，深入探究防火墻技術(shù)在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全中的作用和技術(shù)要點(diǎn)便是重要任務(wù)。不斷提升防火墻技術(shù)，營(yíng)造安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境便是我們不斷的追求。 關(guān)鍵詞計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù) ：TP393：A 0前言 在發(fā)展過程中計(jì)算機(jī)使用范圍逐漸擴(kuò)大，同時(shí)各種信息技術(shù)也在快速改變著人們的生活。這些除了讓人們的工作效率不斷提高之外，也讓人們網(wǎng)絡(luò)信息計(jì)算的安全成為十分重要的問題，也將成為阻礙網(wǎng)絡(luò)發(fā)展的重要絆腳石。因此我們從網(wǎng)絡(luò)安全的定義，以及影響安全的因素出發(fā)找到合理的安全策略，以及防火墻技術(shù)，通過這樣的方式打造安全的網(wǎng)絡(luò)環(huán)境。 1網(wǎng)絡(luò)安全和主要防御策略 1.1網(wǎng)絡(luò)安全定義 安全計(jì)算機(jī)整個(gè)運(yùn)行環(huán)境中會(huì)受到很多威脅，對(duì)沒有進(jìn)行積極調(diào)控的會(huì)受到各種病毒侵害。造成重要文件的丟失。網(wǎng)絡(luò)環(huán)境在檢驗(yàn)過程中一定要針對(duì)內(nèi)部安全以及保密情況下進(jìn)行。在設(shè)備接入網(wǎng)絡(luò)中之后沒有絕對(duì)安全，要依據(jù)階段性的反饋不斷修復(fù)已經(jīng)存在的問題。 1.2防御策略 現(xiàn)在的安全防御策略主要是針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)，對(duì)出現(xiàn)的漏洞進(jìn)行及時(shí)完善，對(duì)不是專業(yè)計(jì)算機(jī)從業(yè)者的可以使用安全軟件進(jìn)行防護(hù)，同時(shí)要對(duì)設(shè)備安全性進(jìn)行定期檢測(cè)，發(fā)現(xiàn)病毒及時(shí)治理。主要是數(shù)據(jù)加密，對(duì)開放狀態(tài)下的數(shù)據(jù)進(jìn)行加密這樣防止出現(xiàn)遠(yuǎn)程訪問。在提升保障了之后，減少大量安全漏洞以及攻擊率。還可以使用網(wǎng)絡(luò)存取控制技術(shù)，在使用網(wǎng)絡(luò)設(shè)備過程中，一定要對(duì)信息進(jìn)行及時(shí)保存，避免出現(xiàn)被操控，比如在進(jìn)行登陸之前要輸入身份，在長(zhǎng)時(shí)間使用后這些技術(shù)也已經(jīng)十分成熟。同時(shí)對(duì)于安全防護(hù)修護(hù)，可以在恢復(fù)之后持續(xù)使用。在備份時(shí)也可以盡量多備份，同時(shí)要盡可能遠(yuǎn)離服務(wù)器，避免在出現(xiàn)盜竊時(shí)丟失。 2計(jì)算機(jī)網(wǎng)絡(luò)防火墻概念功能 2.1計(jì)算機(jī)防火墻的概念 防火墻原始意義主要是在房屋中間修建的墻，主要是為了防止出現(xiàn)火災(zāi)或者在發(fā)生火災(zāi)時(shí)能夠避免蔓延到其他房間。計(jì)算機(jī)網(wǎng)絡(luò)防火墻是為在不同網(wǎng)絡(luò)中或者在網(wǎng)絡(luò)安全區(qū)域設(shè)置的各種組合，同時(shí)也是被保護(hù)網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)中的重要屏障。因此防火墻從理論上講是限制器以及分離器，同時(shí)也是重要的分析器，主要是監(jiān)控互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)中的活動(dòng)，確保內(nèi)部安全。網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)依據(jù)安全策略精心個(gè)實(shí)施檢查，同時(shí)決定哪些不被允許以及網(wǎng)絡(luò)信息和結(jié)構(gòu)運(yùn)行狀態(tài)，同時(shí)提供審計(jì)時(shí)的控制點(diǎn)，達(dá)到保護(hù)內(nèi)部信息避免出現(xiàn)未經(jīng)授權(quán)的訪問，同時(shí)過濾各種有害信息。 2.2防火墻的功能 入侵檢測(cè)，這種主要是端口檢測(cè)掃描拒絕攻擊、溢出攻擊、木馬攻擊、網(wǎng)絡(luò)蠕蟲等這些各種途徑的攻擊。 防火墻可以持續(xù)強(qiáng)化安全策略。可以實(shí)現(xiàn)集中管理，同時(shí)將各種安全軟件都在防火墻中進(jìn)行配置。 網(wǎng)絡(luò)地址間的轉(zhuǎn)換。這種網(wǎng)絡(luò)地址不斷的變化主要是外網(wǎng)以及內(nèi)網(wǎng)之間的IP轉(zhuǎn)換，主要目的是地址以及源地址之間的轉(zhuǎn)換。SNAT可以對(duì)內(nèi)網(wǎng)之間的地質(zhì)進(jìn)行轉(zhuǎn)變，這些可以實(shí)現(xiàn)對(duì)外網(wǎng)的內(nèi)部結(jié)構(gòu)隱蔽，使用這樣的方式可以減少受到?jīng)]有授權(quán)情況下的攻擊。同時(shí)也可以將動(dòng)態(tài)、靜態(tài)IP與內(nèi)部IP實(shí)現(xiàn)對(duì)應(yīng)，這樣也大大減少了地址空間少的問題，節(jié)省眾多資源和成本。 網(wǎng)絡(luò)操作的審計(jì)以及監(jiān)控。這種主要是認(rèn)證機(jī)制和身份標(biāo)以及對(duì)創(chuàng)建的文件進(jìn)行修改，可以對(duì)系統(tǒng)管理上的有關(guān)操作、安全事件都進(jìn)行記錄。提供各種統(tǒng)計(jì)數(shù)據(jù)以及網(wǎng)絡(luò)使用情況，這樣方便了管理人員對(duì)這些進(jìn)行跟蹤。通常防火墻主要提供三類審計(jì)，分別是流量日志和入侵日志，以及系統(tǒng)管理日志。這些都可以保證受到攻擊以及可疑動(dòng)態(tài)時(shí)能夠及時(shí)報(bào)警同時(shí)提供詳細(xì)信息。 3網(wǎng)絡(luò)防火墻技術(shù)分類以及優(yōu)缺點(diǎn) 網(wǎng)絡(luò)防火墻在分類上有很多種類。根據(jù)自己內(nèi)部的過濾，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)以及流量實(shí)施控制以及操作。數(shù)據(jù)包監(jiān)控在防火墻的使用上一共有三個(gè)種類：第一，路由設(shè)備可以在完成選擇以及數(shù)據(jù)轉(zhuǎn)發(fā)過程中進(jìn)行過濾。第二，在工作站中使用軟件進(jìn)行過濾。第三，在屏蔽路由器中設(shè)置好過濾功能?，F(xiàn)在經(jīng)常會(huì)使用的方式是第一種。這種主要作用在傳輸層以及網(wǎng)絡(luò)層。主要是對(duì)端口標(biāo)示以及ICMP這些進(jìn)行檢查。 同時(shí)過濾防火墻的優(yōu)勢(shì)為：第一，過濾能夠不變更主機(jī)上的使用程序。第二，他是單獨(dú)安放在沒有數(shù)據(jù)包過濾器內(nèi)的，這樣對(duì)整個(gè)網(wǎng)絡(luò)來講也十分有利。第三，使用這種技術(shù)對(duì)用戶來講要求簡(jiǎn)單。第四，很多數(shù)據(jù)路由中都會(huì)有過濾功能。 但是也有一些不足，主要表現(xiàn)在：第一，過濾過程中單單是對(duì)傳輸層以及網(wǎng)絡(luò)層中十分有限的信息內(nèi)進(jìn)行。第二過濾過程中過濾規(guī)則較少，增加數(shù)目會(huì)讓設(shè)備的性能受到很大的影響，這樣也會(huì)造成用戶在使用過程中很難使用自己要用的規(guī)則。第三，現(xiàn)在使用的過濾工具沒有徹底完善，存在自身缺陷。第四，沒有相關(guān)的信息，同時(shí)這種設(shè)備在過濾RPC、UDP這些協(xié)議時(shí)較為困難。第五，這種技術(shù)對(duì)管理員自己的素質(zhì)要求較高。除此之外也可以使用代理防火墻。 代理防火墻計(jì)算，使用代理技術(shù)主要是在OSI中高層檢測(cè)IP包，這樣的方式實(shí)現(xiàn)安全。代理技術(shù)跟包過濾較有很大不同，這種技術(shù)在網(wǎng)絡(luò)層控制各種信息流，同時(shí)代理技術(shù)也并不相同代理機(jī)制可以在應(yīng)用層使用，實(shí)現(xiàn)防火功能。同時(shí)代理功能主要是可以終止客戶連接同時(shí)初始新的連接這樣的方式保護(hù)內(nèi)部網(wǎng)絡(luò)。應(yīng)用代理防火墻主要優(yōu)勢(shì)為。第一，代理可以生成各種記錄。第二，代理能夠方便配置。第三，代理更加靈活，能夠控制內(nèi)容以及流量。在使用各種措施之后，我們可以依據(jù)規(guī)則，用戶也可以使用代理得到完整的安全策略。第四，代理和各種安全手段可以實(shí)現(xiàn)集成。 主要缺點(diǎn)：第一，代理對(duì)用戶來講并不透明，他們需求用戶進(jìn)行在客戶端安裝各種軟件，這樣也會(huì)給用戶造成不透明，代理速度降低。第二，代理過程中速度較慢。第三，各種服務(wù)會(huì)使用到各種不同的服務(wù)器。第四，除代理服務(wù)，服務(wù)器會(huì)對(duì)用戶進(jìn)行限制。第五，代理服務(wù)器并不能確保協(xié)議弱點(diǎn)。 防火墻體系結(jié)構(gòu)。主要是使用架構(gòu)以及采用實(shí)現(xiàn)的方法，這些也是決定防火墻性能以及功能的重要因素，其中主要體系分為以下幾種。 雙宿主主機(jī)防火墻：這種主要是在互聯(lián)網(wǎng)以及被保護(hù)的網(wǎng)絡(luò)中設(shè)置堡壘，這種堡壘一般會(huì)有兩個(gè)網(wǎng)卡，共同阻止IP通信。因此網(wǎng)絡(luò)之間使用應(yīng)用層的共享數(shù)據(jù)以及代理服務(wù)實(shí)現(xiàn)。兩個(gè)網(wǎng)卡有不同的功能一個(gè)是用來連接內(nèi)網(wǎng)一個(gè)是外網(wǎng)連接。這種方式對(duì)于安全審計(jì)較為方便同時(shí)會(huì)出現(xiàn)“單失效點(diǎn)”。 被屏蔽主網(wǎng)防火墻：這種為路由器聯(lián)系外網(wǎng)，同時(shí)因?yàn)椴⒎瞧胀酚善?，可以在?nèi)網(wǎng)中聯(lián)入堡壘主機(jī)，也運(yùn)行網(wǎng)關(guān)軟件。之后可以在路由器中設(shè)置有關(guān)規(guī)則，同時(shí)也將成為堡壘主機(jī)和外網(wǎng)之間的唯一通路。安全等級(jí)較高可以實(shí)現(xiàn)高層應(yīng)用層以及網(wǎng)絡(luò)層兩重安全。同時(shí)要保證路由器完好。 被屏蔽子網(wǎng)防火墻：這種結(jié)構(gòu)較為復(fù)雜種類很多，同時(shí)也是較為安全結(jié)構(gòu)，第一要在非軍事區(qū)，同時(shí)也是內(nèi)網(wǎng)和外網(wǎng)之間的隔離。在實(shí)現(xiàn)方式中子網(wǎng)端可以放置兩個(gè)路由器，同時(shí)也是分組過濾路由器，無論是內(nèi)網(wǎng)還是外網(wǎng)都可以訪問，但是一定要禁止通過已經(jīng)被屏蔽的子網(wǎng)實(shí)行通信。 4小結(jié) 防火墻作為重要的保護(hù)手段，自身也有缺陷，不能解決自身攻擊，因此我們一定要對(duì)防火墻計(jì)術(shù)進(jìn)行不斷探索。希望通過分析可以推動(dòng)防火墻技術(shù)的發(fā)展。 參考文獻(xiàn) 1肖玉梅，蘇紅艷.試析當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)J.數(shù)