第一篇:防火墙网络安全技术分析
摘要:
21世纪是信息时代,以计算机技术、互联网技术、多媒体技术为核心的信息技术在近20年中有了飞跃性的发展。计算机技术的应用与发展促进了信息技术的变革,并且计算机技术不断普及,成为人们日常生活中重要的一部分,不仅对社会中的个人有重要影响,还影响着世界经济和社会的发展。但是,随着信息技术的不断普及也逐渐产生了各种问题,互联网中存在着更多的威胁和攻击,互联网安全容易受到他人的破坏,容易造成个人信息的泄漏甚至导致系统平台和网络资源瘫痪无效。因此,文章对基于防火墙的网络安全技术进行了探讨。
关键词:
防火墙 网络安全技术
如今,互联网技术已经渗透到社会中的方方面面,成为人们社会生活的一部分。所以网络安全的重要性更加突出,只有安全的互联网才能够保障互联网的正常使用,否则当互联网遭受破坏、信息能够被窃取、互联网服务被非法中断问题出现时必然会影响人们的正常生活和社会生产。防火墙技术作为网络安全的一个重要保障起着不可替代的作用,通过加密防毒、NAT技术、多端口、安全审计等对网络安全的保障有更加重要的作用。
1防火墙技术和网络安全的概念
1.1防火墙技术的概念
防火墙是一个处于专用网与共用网之间的软硬件结合的系统,它为内部网构建了一个安全屏障,是建立在互联网之间的一个安全网关,可以保护内部网用户免受非法用户入侵的目的。它有2个重要功能:一是将不符合条件的人和数据隔离在网络外部;二是允许符合条件的人进入。它是内部网成员与外部通信的必要条件。防火墙具有4个功能:网络安全的屏障,强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息泄漏。网络安全屏障不仅可以提高内部网络的安全性,还可以通过过滤网络数据和安全服务,有效地降低内部网络的风险。因此,只有那些特殊的应用程序的选择能够通过防火墙。加强网络安全策略是对所有安全软件进行集中的安全管理。例如,认证和审核等,这些安全软件可以在防火墙上配置防火墙的安全程序,并且管理更加经济、方便。对网络存取和访问进行监控审计是指如果所有的访问都能够通过防火墙,那么防火墙就能够记录下这些访问记录并且进行存储与整理,同时能够提供网络使用情况的统计数据。当发现可以的访问数据时,防火墙会先拦截继而进行适当的报警并且提供网络是否收到检测和攻击的详细信息。防止内部信息的外泄,这是通过防火墙对内部网络的划分,实现内部网重点网段的隔离,限制局部重点或敏感网络安全问题对全局网络的影响。
1.2网络安全的概念
网络安全是保护网络系统的软硬件系统,并对数据进行分析。网络安全是一个综合性的学科,包括密码技术、计算机科学、信息安全技术、应用数学等知识,只要涉及网络信息的真实性、安全性、完整性、保密性和可控性等都是网络安全的研究领域。安全性是信息安全的特性,是未经授权的用户实体或过程。完整性是指对数据的修改必须由用户授权,如果未经授权就不能修改或者破坏信息。可用性是指数据可以得到授权的实体访问,并且根据安全需要进行访问的特性。可控性是指能够控制信息的传播和内容的性质。现阶段网络安全所受到的威胁众多,除了一些意外事故和自然灾害之外更多的是人为因素,例如入侵的黑客、病毒等。对于网络入侵有着众多的方式,例如:口令入侵、木马、万维网欺骗技术、电子邮件攻击、节点攻击、网络监听、黑客软件、安全漏洞攻击、端口扫描攻击等。
2各类防火墙的设计技术
2.1包过滤技术
网络中传送信息的单位是数据包,数据包包含IP源地址、IP目的地址、内部协议、TCP/ICMP消息类型、数据包的收发接口等。这些数据包在网络中传输时可以通过不同的途径到达目的地。包过滤技术就是在数据包传送技术基础上发生作用的,它利用路由器监视并过滤网络上流入流出的数据包,拒绝发送可疑的数据包。网络连接都需要借助路由器,路由器成为内外网络之间通信必须经过的途径,防火墙就是一个拥有过滤功能的简单路由器。防火墙进行网络安全防护时,对所有的数据包都逐一审查,查看是否安全,是否经过授权。针对过滤包技术进行防火墙设计时应该遵循以下规则:对所有进入内部网的数据包其源地址不能是网络内部地址,并且目的地地址必须是外部地址;对离开内部的网络数据其源地址必须是内部地址,并且目的地地址不能是内部地址;对任何通过防火墙的数据无论是目的地址还是源地址都不能是私有地址。包过滤技术能够实现配置客户开放外网对内网的服务器访问,实现外网对内网发起的数据端口连接,开放对内网的非连接请求,接受来自内网的数据包转发等等作用。
2.2地址翻译技术
该技术可以通过对传输数据包报头中的IP地址进行替换,允许私有地址访问公共网络,它会在内主机访问外网时生成一个访问记录,通过将私有的源地址进行伪装和隐藏就可以利用这个伪装地址进行内外网间的数据传输。当代网络生活中共有的IP地址越来越少,通过私有网络访问公网是普遍现象,地址翻译技术在对IP地址进行转换的过程中要注意内部接口和外部接口,明确地进行网络地址翻译。
2.3技术
技术的构建是在内网主机和服务器之间构建一个服务器,这个服务器作为内网的唯一标示,只有通过这个才能与外网进行数据信息的接收和转发。这项技术要以服务设备为基础对数据包进行封锁,这样能够让外网对内网的修改和破坏变得更加困难,还能够有效地隐蔽内网自身的漏洞,不被外网发现。
2.4屏蔽主机防火墙的设计
屏蔽主机防火墙由包滤路由器与外部网连接,用一个堡垒主机安装在内部网络上,替代服务器发生作用。屏蔽主机防火墙设计的主要配置参数包括:WWW服务器:192.168.0.10;外网主机:211.1.1.2;内部网:192.168.0.0/24;接内网:192.168.0.1;接外部路由器:61.1.1.2。
2.5屏蔽子网络防火墙的设计
屏蔽子网防火墙是在被屏蔽子网体系结构中再添加额外的安全层到屏蔽主机体系结构中。它的配置设计主要参数包括:外部网:10.0.0.0/8;DMZ区:172.16.0.0/16;内部网:192.168.4.0/24;接内部路由器:192.168.4.1。
2.6防火墙设计的主要原则
在网络设计中电路设备的安全和效率是首先需要保障的,对于关键的设备和电路要做好冗余和备份。另一方面就是要保证网络传输的可靠性和可用性,需要采用故障处理和容错技术。在网络设计中需要遵守的主要原则有:安全保密性原则、可扩充性原则、经济合理性原则、可实施性原则。安全保密性措施指的是在设计网络时需要制定一整套措施来保证传输信息的安全,人们在利用网络信息时保障数据传输的安全是至关重要的,当人们浏览网页时很容易留下个人资料、隐私信息等,而大部分的用户都没有关于保障信息安全的相关知识和技术,也很容易忽视这些信息的删除,所以建立一整套的安全保密措施是至关重要的,能够有效防止一些非法分子盗取用户的隐私信息,这一原则对于社会个人、企业、国家都有重要作用。可扩充性原则指的是在网络规模不断扩大和功能不断完善的今天对于网络扩容提出了新的要求。首先要不能影响用户的使用,其次就是要灵活方便,网络升速、配置调整,这些都是网络设计时需要考虑的内容,这主要是方便日后数据包容量的扩大和满足用户业务数量的激增以及业务流向的调整。经济合理性原则指的是在选择和优化网络结构和技术时要进行技术经济和性能价格之间的比较,对于现有的设备要做到充分的保护和利用。在进行网络设计时要先对性价比进行分析,例如:仅仅是用户个人上网不涉及非常重要的信息时,如果让个人进行网络设计肯定性价比较高,并且起到的作用也不大,但对于一些大型企业或者政府部门来说,就需要进行很完善的网络设计,因为它的网络信息更加重要,很可能涉及政务信息、商业机密,并且这类信息也容易被一些非法分子攻击,建立强大的防火墙能够有效保障信息安全,保障用户的切身利益。可实施原则是指在满足上面的那些原则的基础上还要充分考虑自身条件,网络设计还要考虑施工和维护的可能性。
3结语
本文对当今社会网络安全中的防火墙技术进行了分析和研究,介绍了多种防火墙的设计。网络是一个非常庞大和复杂的系统,网络的安全性也更为重要。威胁网络安全的因素越来越多,防火墙是保障网络通信安全的重要手段之一,在应用防火墙维护网络时要进行正确的配置和选择,还要对其进行定期的维护,这样才能够充分发挥防火墙的作用,保障网络通信安全。在设置防火墙时也要注意提高它在智能化、高速化和多功能化3个方面的作用。希望本文能够对防火墙的设计有所帮助,促进网络安全的发展。
作者:王立群 单位:辽宁科技大学
[参考文献]
[1]许若权.基于防火墙技术的网络系统安全设计[J].网络安全技术与应用,2014(5):66.
[2]王学慧.基于防火墙的网络安全技术的研究[J].电子制作,2013(21):138.
[3]胡春,张桃林.基于防火墙的智慧校园网络安全技术的研究[J].计算机光盘软件与应用,2014(23):183.
第二篇:网络安全问题与防火墙技术发展探析
0引言
随着科技创新的发展,以计算机为基础、互联网络为支撑的信息技术正在引领时展的潮流。并且由于近15年的发展,人们已经认可了“信息化时代”,并且在各个领域不断对其进行创新研究与开发应用。以我国为例,出现了网络购物、网络征婚与网上订餐等等,而且由于国家的提倡,在不久的将来,互联网技术与实体企业的结合,将会给我国的发展带来新的动力,并对我国的产业结构调整带来新的机遇。本文以网络安全问题为主题,集中讨论信息化背景下的防火墙技术。首先对其进行了简要概述,主要从网络安全体系的构建切入,展开对防火墙技术的详细分析,着重阐述了防火墙技术的分类、功能、特点,并对其技术优势进行了说明,而且对其缺陷也做了介绍,最后,对其未来发展进行了展望。希望通过本文初步分析可以引起更多的交流与讨论,同时希望可以为该方面的研究提供一些可资利用的信息,以供参考。
1概述网络安全问题
因互联网的迅猛发展与迅速的普及化,以及通过网络的犯罪活动等,暴露了诸多网络安全隐患,对人们使用网络产生了一些负面影响,所以,应该通过网络安全体系的构建为用户提供更为安全可靠的网络使用环境。近些年来,我国了出现了一些杀毒软件,而且随着功能的不断更新,技术的完善化,为网络安全提供了保障。其中,最为主要的还是通过防火墙技术来达到对不安全因素的预防,同时对内部网络的信息安全提供检查与监测,并为其提供安全服务。从计算机安全体系结构方面分析,其最终的目标即在于保护信息传输系统的安全,为用户提供隐私保护,而且对一些可能性的破坏现象进行预防,从而为用户安全使用网络提供可靠的环境,在其构建过程中,注重用户身份验证、权限控制、数据权限、方式控制、安全审计、病毒防治、加密等等,而且主要集中于安全传播、安全过滤,控制非法活动、保证计算机用户的安全。
2防火墙技术
2.1防火墙技术的类型
从分类看,防火墙技术主要包括包过滤、、状态检查、地址翻译、虚拟专用网及内容检查技术。首先,包过滤技术,是指对数据包的选择性过滤,但要求有一定的网络位置;其中最主要的是包检查模块,安装位置在路由器,也可安装于网关,其有效性集中体现在提前处理,也就是说,在TPC处理IP包之前,进行提前处理。从基本原理分析,因为检查模块的处理功能,可以使进出站的数据得到防火墙的检查、验证,若有不符合规则的数据包存在,则会出现报警处理;若有需丢弃的数据包,通过过滤策略,可进行回复选择,在这一方面,需要谨慎处理,因为攻击者往往会对拒绝包类型进行分析,并通过这一条件猜测包过滤规则等。其次,技术,主要是指对特定应用服务的有效控制,针对性强,每一个特定应用服务都可对应控制。其作用集中在应用层,状态性能突出,对部分与传输相关的状态容易呈现,具体来讲,即是作为一个中间转接站,完成外部网与内部网申请服务的对接,从内部网络看,只接受的服务请求,而且对外部网络及其它节点的直接请求,则会采取拒绝态度,从功能角度分析,服务避属于堡垒主机或双宿网关,可以有效的为网络安全提供保障。第三,状态检查技术,主要是指可实现防火墙功能的一项技术,其作用在网络层。如同包过滤技术一样,它也有一个检测模块,但不同的是,这一检测模块主要是在网关上执行网络安全策略的软件引擎。可以抽取网络通信中的状态信息,并对其进行监测。从功能看,可支持多种协议及应用程序,对应用与服务功能也容易实现扩充,尤其是可以完成对RPC、UDP等端口信息的监测,优于包过滤与技术。第四,地址翻译技术,是指对IP地址的代替,用一个代替另一个。一是为了隐藏内部网的IP地址;二是使内部网IP地址无效,从而防止外部网的讯问,但能够确保内部网络间的互访。第五,虚拟专用网技术,主要是临时性的安全连接,需要在公共网络中完成,可以有效保证内部网在公用网络中的安全与稳定。拥有加密数据、信息认证、身份确认、访问控制等功能,从目前来看,受到了网络安全技术人员的追捧。第六,在高层服务协议数据监控方面,需要用到内容检查技术,从而为数据流提供安全保障,在分析数据方面,它有高度的智能化。
2.2防火墙技术的功能与特点
网络攻击与防火墙技术,二者如同水火,是一对矛盾,也是网络中的两个主要对手,攻击者属于破坏者,防火墙属于保护者,不断在互联网络上上演着“成功与失败”。从功能来看,防火墙技术是网络安全系统的重要保障,主要是利用控制与监测手段达到对信息的保护;从发展阶段看,它已经经历了四大阶段,基本功能体现在对进出网络数据包的过滤,对进出网络的访问进行授权限制,对进出防火墙的信息内容、活动进行记录、对网络攻击进行检测与报警。从优势方面看,防火墙属于访问控制设备,主要针对内部网与外部网,防火墙因其基本功能,可以有效地为网络系统提供安全可靠的保障,比如,针对易受攻击的服务,可以通过隔离,将安全程度较低的服务放在受保护子网之外,从而降低使用风险,预防攻击;针对访问,防火墙可以对网点系统访问进行控制,还可以通过防火墙系统,保障改动软件、附加软件的安全,但需将这些软件放置在防火墙系统内;再如执行网络政策、封锁域名信息、监控网络使用状态等优势都非常明显。从缺陷方面看,主要集中于防火墙无法对内部网络用户的攻击进行预防,而且由于安全性能的提升,会限制一些网络服务,还有对于可能绕过防火墙的攻击也束手无策,尤其是因网络技术的不断更新,新型的攻击也不易防御,因此,应该认识到防火墙技术与攻击技术是此消彼长的关系,需要不断的进行跟进与研究,才能更好的做到为网络安全提供可靠的保证。
2.3防火墙技术的发展
以目前的发展态势分析,上世纪九十年代中期以防火墙技术加密码技术,渐渐走向成熟,尤其是近二十年的发展,形成了四个主要的发展阶段,首先是路由器阶段,主要是通过路由器分组过滤达到对网络访问的控制,具体是对其数据包源地址、目的地址、UCP端口号、TCP端口号等方面的参数进行检查,体现了防火墙与路由器的结合及一体性,但明显的缺点在于,黑客容易通过伪造路由信息,透过防火墙达到攻击的目的,这是因为信息以明文传送造成;另一个即是因路由协议存在较多漏洞,因而易被外部网探入,还有在分组过滤规则方面与配置方面复杂性的增加,降低了整体性能与管理难度。其次,在服务器阶段,这一阶段的显著特征是独立过滤功能,并且由于审计与报警功能的添加,可以利用模块化的方式来达到安全控制与管理,但因其引起了运行速度的变慢,所以就在很短时间内出现了代替品,也即是第三个状态监控功能的阶段。在此阶段,可以通过网络层,进行数据包内容的实时性检查、监控,对用户的编程空间起到了较好的保护作用,由于原码的保密性质,安全性不能保证,而且因防火墙与操作系统多属一家,因而操作系统商家一般不对安全性负责。因而随着时间推移与技术进步,目前出现了较多带有安全操作系统的防火墙,因其应用了诸多新技术,如安全服务网络、身份鉴别、加密技术、定制化服务、网络诊断、清除等等安全技术,因而可以对各种攻击手段进行较好的防护。因此,从其现在的发展以及对于未来的发展来进行一番展望,可以认识到它的可能性发展动向,比如,向智能化、集成化方向的转向、自动杀毒功能的实现、人机交互界面的升级与优化等等。
3结束语
总而言之,信息化已经成为了时展的主旋律,由于有了互联网络,人类的生活方式发生了巨大转变,而且生活形态有了质的变化。因而,在信息化背景下,对网络安全问题及其体系需要增强建设,而且应该对防火墙技术加大研究力度,做好网络防御工作。另一方面,应该加大对于网络犯罪的打击力度,并对其犯罪手法进行细致的分析与研究,如此,有助于提升互联网络安全性能的提升,并提高对其防护的技术水平。从发展的角度看,伴随算法优化,过滤功能不断扩展及检测与预警功能的提升等,防火墙技术将会更全面、综合性更强,并且为我国的网络安全建设工作提供新的力量。
作者:洪刚 单位:公安消防高等专科学校
引用:
[1]高卓,罗毅,涂光瑜等.变电站的计算机网络安全分析[J].电力系统自动化,2012.
[2]林晓东,杨义先,马严等.Internet防火墙系统的设计与实现[J].通信学报,2014.
[3]吴国威.数字化变电站中信息处理及网络信息安全分析[J].继电器,2013.
[4]陈禹.计算机网络防火墙的设置分析[J].中国新技术新产品,2012.
第三篇:校园网络安全防火墙技术应用研究
【摘要】
当今时代,信息技术高度发达,互联网在学校中也逐渐的普及,给学校师生的工作、学习、生活等带来了极大的便利。然而,互联网络作为全校师生获取信息、传递信息的一大平台,在给师生工作、学习、生活等带来便利的同时,其中也有一系列的问题产生,危害着学校以及师生的信息安全。因此,将防火墙技术应用到校园网络的安全防御系统中来,以全方位的防御系统来抵御黑客以及一些不法份子的入侵,保障校园网络的安全运行是非常必要的。下面,本文将在初步分析目前我国校园网络防火墙技术应用与发展的现状的基础上,深入探讨如何提高防火墙技术在校园网络中安全防御的能力。
【关键词】
防火墙技术 校园 网络安全 应用 研究
1防火墙的内涵及其分类
防火墙是在内部网络与外部网路之间设置的一道访问权限系统,用来隔离外部危险因素入侵内部网络,防止外部网络在未经用户允许的情况下查看、盗取用户信息,保障用户的用网安全和信息安全。作为一种新兴的Internet网络安全防御系统,防火墙技术采用隔离控制的技术,极大的阻止了用户信息的非法访问与非法输出,对于保障国家、企业以及个人的信息安全起着不可替代的作用,Firewall已初步得到社会的广泛认可与应用。防火墙主要由4部分组成:服务访问政策、验证工具、包过滤以及应用网关。然而,从不同的角度来看,防火墙的分类也有所有不同。例如,从技术方面上来看,防火墙目前大致可以分为标注防火墙和双穴网关两类,前者虽具备专业性,且管理水平较高,但是却缺乏时效性;后者是前者的升级版,其在继承前者所有优点的同时还可以快速有效的处理比较复杂的应用软件,且能够充分保证信息数据的安全性。其次,在原理上,防火墙技术主要分为四大类:即网络级防火墙、应用级防火墙、电路级网关和规则检查防火墙,他们在防御外部网络的非法访问时发挥着各自的作用,在不同的情况下需要采取不同的组合方式以达到最好的使用效果[1]
2目前我国校园网络安全发展现状
2.1学校在校园网络安全建设方面的重心存在偏差
随着时代的进步,互联网作为一种新兴信息传播媒介,在我国各大中小学校以及高等院校的普及程度都得到了极大的提高,网络信息技术在校园逐渐普及的同时,校园网络的安全问题也在随之而生,威胁着全校师生的信息安全。然而,纵观我国的各地区的学校,其在进行校园网络安全建设工作时,过度的重视了不良信息的防范工作,一味的将杜绝校园网络上的不健康信息摆在校园网络安全建设工作的首位,而校园网络系统的病毒防御系统建设工作和抵御外部网络的非法入侵工作却只能处于退而其次的地位,学校在校园网络安全的建设工作上重心有失偏颇,不利于校园网络的安全健康运行。[2]
2.2校园网络安全建设资金投入不足
我国大部分学校受资金不足等因素的限制,在大多数情况下不愿以昂贵的价格去购买防火墙等设备,对于校园网络安全的建设的内容、方式以及其必要性认识也不够明确,因此,大部分学校几乎很少购置防火墙设备,即使有配置防火墙设备也大多是一些运行成本低廉的低端产品,对于校园网络也根本起不到丝毫的安全防御作用;此外,还有的学校甚至直接将校园网络安全建设的资金挪用到校园学术研究及公共设施等的建设上。
3在校园网络安全环境下的防火墙技术的应用
3.1加强防火墙技术的引入与应用能力
针对上文所提到的目前我国各学校存在的校园网络安全建设工作重心有失偏颇的问题,各地区的学校需要找准重点,将病毒防御和抵御非法入侵的工作作为校园网络建设工作发展的重点,改变过去一味重视预防校园网络不良信息的传播而忽视防火墙建设工作的做法,促进校园网络的健康稳步发展。华为赛门铁克系列的防火墙,其网络吞吐量(Mbps)为2000,且配有Dos.DDoS等入侵检测系统,除了提供1个固定百兆WAN接口和8个固定百兆LAN接口,还提供1个扩展插槽,网络端口为1*10/100WAN,8*10/100MLAN,扩展:1MIC,+Ex-press2MIC+Express,具备VPN等功能同时支持3G功能,WAN接口支持:FE,ADSL,E1/CE1,采用多核处理器,极大的满足了用户快速访问内部网络信息资料的需求,由此可见,学校可以参考相关该防火墙数据的相关参数,以更好的进行防火墙的配置,最终达到保障校园网络安全的目标。[3]
3.2加大防火墙设备购置力度
为了实现校园网络的健康安全运行,学校需要加大力度进行防火墙设备的购置工作,明确认识到防火墙建设对校园网络安全建设的不可忽视的影响,加大对校园网络安全建设的资金投入。目前市场上的病毒防御设备众多,例如比较知名的金山、赛门铁克、诺顿等,而天融新、天网等防火墙主要针对的则是网络安全防御问题,因此,学校可以根据本校校园网络建设发展的实际需要,从学校网络应用的实际出发,科学合理的购置适合的防火墙设备以促进校园网络的良好运行。同时,在校园网的E-Mail服务器、网页浏览器等软件中安装网盾、金山杀毒软件等也能有效的监控非法访问与信息非法输出行为,并及时的将其制止,这也能在一定程度上保障师生的用网安全。
4结语
综上所述,防火墙技术对于保障校园网络的安全极具现实意义,其功能是无可比拟的,然而,它却并不是万能的,由于受到各种不确定因素的影响,其在应用的过程中仍然还有一些问题产生,因此防火墙技术的发展还需要不断的更新与改进,如何发挥防火墙技术在校园网络安全建设中的最大作用,提高校园网络安全水平,保障全校师生的用网安全将是需要我们不断研究的课题。
作者:杨帆 单位:常州旅游商贸高等职业技术学校
参考文献:
[1]马丽君.浅析防火墙技术在校园网络安全中的应用[J].网络安全技术与应用,2014,12:64,66.
[2]王建章.防火墙技术在校园网络安全中的应用[J].信息与电脑(理论版),2011,01:116.
[3]伍星.防火墙技术在校园网络安全管理中的应用研究[J].科技信息,2011,10:234.
