打开文本图片集
摘 要:现阶段伴随我国计算机互联网技术的飞速发展以及在生活工作中的普遍应用,网络安全问题也随之被人们所越来越重视。计算机病毒的传播与感染,网络黑客的非法入侵喝攻击等等,这都是严重危害计算机网络安全的手段之一。因此,网络虽然给人类带来了更多的方便与快捷,但同时人们针对网络安全的防范问题也要随之注重起来。本文主要阐述防火墙技术在计算机网络安全中的防御作用,以及如何使用防火墙来保证自己所应用的网络不受外界的攻击和侵害。
关键词:网络安全;防火墙技术;安全防御
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2013) 04-0000-02
1 防火墙的概念和原理
防火墙原来就是在保护房屋安全的一到屏障,在当今网络社会,防火墙就是各个计算机与互联网连接方面通过一系列的软硬件设备组成的访问控制技术,用于防止外面的互联网对局域网的威胁与入侵,位计算机正常运行提供安全保障。防火墙的主要目的就是为保护网络安全而把内网和外网分隔开的。
2 防火墙技术在计算机网络安全中的作用
防火墙的主要作用是避免未授权的数据信息流入或流出受保护的网络,以此提高受保护网络的安全性和可靠性,主要包括以下几点内容:(1)控制访问内部网络的人员,将非法访问用户和存在安全隐患的服务进行隔离;(2)防止外界非法入侵者破坏网络防护设备;(3)对用户访问的特殊站点进行有效限制;(4)为实时监测网络的安全情况提供便捷方法。
由防火墙可以提供网络边界控制服务,因此,防火墙技术更适用于独立的内部网络。例如校园内部网络、企业内部网络等集中型网络。防火墙技术已经成为控制网络访问、保障网络安全的关键技术。通常情况下,大部分Web网站都是通过设置防火墙系统对网络提供保护服务,这也是能够有效防止黑客入侵的安全保护方式,网络服务器的部署要在防火墙系统配置完成后实施。
3 几种防火墙的技术比较
(1)包过滤防火墙是对数据包本身进行过滤的而不是针对具体的网络服务,所以包过滤防火墙能适应于所有的网络。而且包过滤防火墙主要是通过路由器进行数据包检测的,大多数路由器都集成了数据包检测的功能,所以包过滤型防火墙的价格比较低,性价比很高,处理速度也比较快。但是,这种防火墙安全性并不是很高,难以对用户的身份进行辨别等缺点。(2)代理型防火墙是工作在应用层上的,对网络连接中的内容可以进行监控,他在一定程度上断开了内外网络的连接,使得网络活动更安全,但是它在对网络中更深的内容进行检测的时候也使得它的速度减慢,当数据的吞吐量比较大事容易出现问题,所以不适用于高速网。
4 防火墙技术在计算机网络安全中应用体系构建
(1)防火墙体系结构设计。以一个相对独立的内部网络为例,如果能够使用一台计算机作为防火墙隔离就能够提供较高的安全性,这种防火墙体系能够保护内部网络不会受到来自外部网络的非法入侵和攻击,使内部网络的计算机终端能够安全访问互联网。但是,如果对庞大的计算机网络来说,简单的防火墙设置不能够完全抵御外界入侵和攻击,应该按照计算机网络被保护的级别程度、数据信息的秘密级别和造成安全问题的损失代价等综合因素来制定安全有效的防御策略。由此,我们需要设计实现相对复杂的防火墙体系结构,并随时根据安全防御的实际需求改变结构或做出适当调整。
如果一个内部网络需要向互联网提供应用服务,就应该将提供公共信息的服务器置于隔离区(DMZ)中,以屏蔽主机型防火墙体系结构作为基本模型,本文设计了一个改进型的屏蔽主机型防火墙体系结构,如图1所示:
如图1所示,防火墙主机包括三个接口,分别连接到互联网和内部局域网中。其中,一个局域网是内部网络专用网,另一个局域网是放置公共服务器的隔离区。需要进行保护的内部网络与防火墙的eth1接口相互连接,并且给这个接口配置一个非法网络地址192.168.0.0/24,对于隔离区局域网来说,将其与防火墙的eth2接口相互连接,同样为其配置一个非法网络地址192.168.0.0/24,最后将每个服务都分配一个属于自己的网络地址。此时,防火墙的缺省安全策略配置主要包括两种情况,一是全部禁止,允许明确选择的数据包通过;二是全部接受,禁止明确选择的数据包通过。
由此可见,全部禁止是更为有效的防火墙安全策略。以下是对防火墙进行配置,将明确允许通过的数据包进行定义。
由防火墙与局域网隔离区的关系来看,应该将代理服务器中代理的全部应用服务允许防火墙通过,并将公共信息服务器中包括的公共应用服务允许防火墙通过。隔离区中的公共信息服务器可以与防火墙外部网卡绑定的合法网络地址相互对应,通过网络地址转换器进行转换之后使处于互联网中的计算机可以访问内部网络资源。由防护区与内部专用网络的关系来看,防火墙的配置应该允许内部专用网络的全部数据包通过,同时对流入内部专用网络的数据包进行控制,允许由内部专用网络流出的数据包重新流入到内部专用网络中。由局域网隔离区与内部专用网络的关系来看,防火墙的配置应该允许来自内部专用网络的数据包进入局域网隔离区,但是对由局域网隔离区流入到内部专用网中的数据包进行控制。而且,防火墙要将代理服务器中的应用服务允许通过到内部专用网络,只能允许内部专用网络流入到局域网隔离区的数据包重新流入内部专用网络。
(2)防火墙技术的应用。防火墙的主要用途就是边界防护,目前,网络层防火墙主要用于网上部署和执行网络安全策略上,实时在各个受信级进行网址转换、过滤、检测状态性协议以及VPN技术。
近几年,随着Web2.0的广泛使用以及基于服务架构的普及,导致端口/协议类的网络安全策略之间的效率和关联度普遍降低。现有的网络防火墙不能够形成面向安全防护的应用,因此,这就为下一代防火墙的出现和广泛应用奠定了必然的趋势。下一代防火墙的优点是所能防护的范围涵盖了网络协议当中的L3-L7,也就是说,其不但能够发挥出来网络层防火墙的这些功能,还能够针对一次入侵行为中所包含的各种手段进行应用安全防护和统一监测,如漏洞利用、应用扫描、非法访问、Web入侵、蠕虫病毒、恶意代码、带宽滥用等。
具体来讲,防火墙是目前为止使用最多的防止威胁的程序,在使用效果的比较上来讲也是最好的。在一定程度上,防火墙能够防止网络在运行过程中各种威胁的出现,同时,对于已经出现的威胁能够进行及时回应,以此阻止各种攻击动作以及威胁相应的连接,从整体上减少用户网络风险的存在。
5 结论
总结以上所述,要保障自己网路安全问题不受侵害,防火墙技术是最基本也是最可靠有效的方法。并且根据个人或者企业所使用的网络的不同选择适合各个行业的内部的需求的防火墙技术和结构,在本文中所提到的防火墙技术能够简单实现对内部网络安全保护措施。以最大程度的保障自己的内部网路不受外界的侵害。但技术是死的,人是活的,作为网路用户或者网络安全管理者,应该不断的学习最新的网络安全技术,以保证一旦有突发事件出现时,能够有依靠自己所学所知的技术来应对,如此来保证我们的网络更加安全稳定。
参考文献:
[1]马春光,郭芳芳.防火墙、入侵检测与VPN[M].北京邮电大学出版社.
[2]Matthew Strebe.高效构筑与管理防火墙[M].北京:电子工业出版社.
[3]卢浩,胡华平,刘波.恶意软件分类方法研究[J].计算机应用研究,2009(6):47-48.
[作者简介]姜可(1974.9-),北京信息职业技术学院信息中心网络工程师,从1993年参加工作开始即从事网络设计、架构、组建、运维等工作,在网络运维及管理方面有着丰富的实践经验,熟悉各类网络交换设备、网络安全设备,网络应用设备的安装、配置与调试。研究方向:网络设计,网络安全,网络管理,网络运维。