防火墙技术的研究范文1
关键词:防火墙穿透;NAT;网络通信;P2P;客户端/服务器模式
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)10-2226-03
Abstract: This paper studies the firewall penetrating technology, sets up a mathematical model using the UDP channel. Besides, it discusses how to detect the type of firewall and NAT, how to create the communication process, and the role of transit server in the communicate process.
Key words: Firewall penetrating;NAT;Network communication;P2P;Client /Server mode
在安全问题越发敏感的今天,越来越多的用户开始注意到信息安全的重要性,除了安装相应的杀毒软件,防火墙则是作为保护网络安全的第一屏障。一般的防火墙会依照特定的规则,允许或是限制传输的数据通过。当然,该文不考虑企业级别的防火墙,因为通过一些禁用协议、端口,甚至基于应用层的控制,会使我们的穿透无从谈起,此处,我们只讨论它的NAT特性。在我们研究的问题中,需要实现在P2P环境的,不同网段的用户自由通信,而且这种通讯往往需要外网用户请求内网建立连接,然而,防火墙通常会认为此连接是不受信的,通信在此就会被阻断,该文研究的穿透就此而来。
1 UDP 穿透防火墙简介
1.1 使用UDP 穿透防火墙的原因
防火墙在内外网之间建立了一道屏障,用于保护内网的用户免受外部用户的攻击,防火墙的安全策略之一,就是阻止外部不受信的用户访问内部网络,尤其是对TCP的连接敏感,往往会被阻断,并且TCP三次握手的建立是不对称的,所以使用TCP穿透防火墙很困难,想要成功,往往决定与NAT对各种TCP包的序列的响应,该文选用UDP来进行穿透。在P2P通信的过程中,外网用户通常需要发起通信,如何使用UDP报文来实现真正意义上的P2P通信就显得更加有必要。
1.2 使用UDP 穿透防火墙的技术简介
STUN(Session Traversal Utilities for NAT,NAT会话传输应用程序)是一种以client/server模式设计的协议,它允许位于NAT(或多层NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT以及由NAT为本地使用的端口所绑定公网端口。这些信息被用来在两个同时处于NAT设备之后的PC之间建立UDP通信,而且不需要改造现有NAT。该协议由RFC 5389定义[1]。
通信中,一旦终端得知公网端的UDP端口,通信就可以开始了。如果NAT是完全圆锥型的,那么双方中的任何一方都可以发起通信;如果NAT是IP限制圆锥型或端口限制圆锥型,双方必须一起开始传输。该文中的边界设备会提供一个STUN服务器,Laptop端自带此类的客户端。客户端会向STUN服务器发送请求,接受到请求之后,服务器会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许流量传回内网的端口,可以认为打通了一个临时的UDP通道[2],图1是STUN的工作流程。
优点:
1) STUN服务器的部署位置灵活,且不需要对现有网络进行改造,易实现;
2) 协议简单,在多层NAT的网络环境下也可以使用
限制:
1) 不能检测对称型ANT;
2) 不能处理同一NAT下的检测
在该文中,采用STUN技术和中转服务器来弥补单一STUN技术的不足,实现穿透。
2 UDP穿透防火墙的建模
2.1 数学模型的建立
2.1.1 “STUN+中转服务器”模型
该文中所采用的NAT穿透方案,是将STUN技术和中转服务器联合实现的。为了分析得比较清楚,我们把防火墙和NAT逻辑分离,用等效模型来分析穿透的特征,由于是搭建的实验环境,可以认为通信成功建立的概率是100%,将穿透模型细分,则可以描述为以下的六类:
1) 通信双方均无防火墙且非严格NAT;
2) 一方无防火墙且非严格NAT,另一方有防火墙且非严格NAT;
3) 一方无防火墙且非严格NAT,另一方有防火墙且严格NAT;
4) 双方都有防火墙且非严格NAT;
5) 一方有防火墙且非严格NAT,另一方有防火墙且严格NAT;
6) 双方都有防火墙且非严格NAT;
终端与STUN服务器之间通讯维护:终端定期向服务器发送在keepalive,服务器收到后返回相应的keepalive,从而保证通信以及UPD hole的及时、有效。在服务器端,STUN本身有一个老化时间来可以通过keepalive来判断对方的失效与否,如果超过3倍时间的keepalive,则认为对端连接失效,从而保证了的连接效率[3]。
2.1.2 模型的穿透机制
穿透的机制分为两种:
第一,借助一个通讯双方都信任的转发者,该转发者必须有一定的协议机制来协商,传输转发数据,然而,为了方便起见,我们认为的转发者为:无防火墙,无NAT的公网中间节点来实现,这就是寻址服务器。
第二,对于第一种情况不能解决的问题,还需要再借助一个第三方―中转服务器,透过中转服务器的作用,我们能实现对于各种情况的的防火墙穿透。
2.1.3 P2P技术与寻集中式中转服务并存的方案
要想在存在防火墙的环境下,要实现Laptop1 和Laptop 2之间的P2P通信,它们之间必须彼此信任或者说能使它们变得相互信任。直接信任是很难实现,通常使部分终端之间变得相互信任,最终不能互相信任的结点需要通过中转服务器中转。提供寻址服务的结点必须被两个终端信任,简单而直接的办法就是在公网中部署,因为公网的IP是可以直接访问的,只要不设立相应的防火墙,那么所有知道该服务器域名以及IP的终端都可以访问它。寻址服务器的工作模式为:
注册:Laptop 1、Laptop 1在初始化阶段,并各自在寻址服务器上注册,注册的过程中,边界路由会透过NAT,将信息发送到寻址服务器,并在防火墙上登记,在寻址服务器反馈回来的信息则会被防火墙认定为可信的,一次注册或者说登录的过程就结束了。寻址服务器会将公网上的UDP地址,建立一张包含“终端ID―终端UDP地址―终端端口”的映射表[4]。
数据的发送:当Laptop 1 发送数据到Laptop 2时,Laptop 1的数据将由UDP报文来封装,其中包含Laptop 2的ID,数据报会发送到寻址服务器,寻址服务器取出数据报中的目的地的ID,然后在映射表中获取Laptop 2的地址,然后将数据报直接转发到相应的地址,数据报最终到达了Laptop 2。这种通过寻址服务器转发数据的方法叫做“集中式中转服务”。
保持:为了保证穿透的UDP hole有效,每隔几秒钟终端需向寻址服务器 发送keepalive报文。
2.2 中转服务器
2.2.1 中转服务器的工作原理
1) 中转服务器的使用条件:双方均有防火墙,有一方是严格NAT或者双方都是严格NAT。
2) 成为中转服务器的选择条件:受信任的(无防护墙);还不是已经成为中转服务器。
2.2.2 中转服务器的工作模型
以Laptop 1和Laptop 2通信为例,Laptop 1发起会话:
1) Laptop 1根据寻址服务器返回的寻址应答报文,向中转服务器发起请求,将这个请求报文以及本次通信的所有数据包发给中转服务器;
2) Laptop 2收到通知后,如果发现本次通话需要用中转服务器,则向中转服务器发送UDP的防火墙打通包。
3) 中转服务器收到需要转发的请求时,可根据请求中的双方IP地址、ID,建立一个镜像通道,并且将数据报文转发给Laptop 2。同时,将中转服务器置为busy;
4) 在之后的工作中,中转服务器收到其他需要转发的数据包时,会先和已建立的镜像通道匹配,如果匹配成功,则转发到另一端;匹配不成功则不作处理;
5) Laptop 2收到请求,如果发现使用了中转服务器,则给它返回应答报文,将这个请求报文以及本次通信的所有数据包发给中转服务器,等待中转服务器转发[14]。
如果镜像通道建立以后,收到“通话结束”的包或在老化时间内没有收到匹配成功的数据包,则关闭该镜像通道,同时将中转服务器置为idle。
2.3 有中转服务器介入的终端之间的UDP会话的建立及撤消
2.3.1注册信息和UDP通道的维持
健全的网络中,用户、中转服务器会先和寻址服务器建立UDP连接,之后,就需要和有通信需求的外网用户建立UDP会话时, UDP会话则分几种情况,通常称一次会话建立的过程叫做一次呼叫,涉及到主叫、被叫、寻址服务器、可能涉及中转服务器,成功通信的前提是主叫、被叫及中转服务器均已在寻址服务器上注册。中转服务器的注册和UDP通道的维持,同样使用“集中式中转服务”,但是超时时间可能不同,中转服务器本身也具备自己的状态。
2.3.2数据请求流程
3 结论
基于UDP的防火墙穿透技术的是现代P2P应用下的重要技术之一,它对语音,视屏数据的处理有着重要的意义,但是现实网络存在的一些因素往往给P2P用户的直接通信带来了问题,比如防火墙,又比如NAT。要想正真实现通信,穿透技术就很有研究的价值了。其实现在有不少的基于TCP的防火墙穿透技术的出现,但是使用UDP的优势使得二者并存。穿透技术中有一个重要的角色,那就是中转服务器,通过研究需要使用第三方直接中转的情况是:通讯双方,一方有防火墙且非严格NAT,另一方有防火墙且严格NAT和双方都有防火墙且非严格NAT。其他情况只需要借助寻址服务器皆可以通信,完全直通的情况只有完全圆锥型NAT且无防火墙的情况。对于通信双方均在一个NAT下的情况,也是可以通信的,只是寻址服务器直接会反馈一个私网的地址,终端直接在私网内通信。关于第三方的取代问题,中转服务器可以使用公网的服务器(当然,只要公网服务器的功能够强大而且也允许我们这么做),但是通常是使用一个通信的终端来实现的,因为大量的音频和视频数据往往会给公网服务器带来巨大的负担,这个通信的终端来转发这些大量的数据,有利于提高网络的性能,节约宝贵的公网资源。
参考文献:
[1] F2F team.防火墙穿透原理[R]. F2F team,2006.
防火墙技术的研究范文2
王晓雨1,2
(1.武汉理工大学 计算机学院,湖北 武汉 430063;2.荆楚理工学院 计算机工程学院,湖北 荆门 448000)
摘要:防火墙技术是网络安全领域的一项重要技术,该文针对当前校园网应用中所遇到的问题,提出了几种解决的方法,并重点阐述了防火墙技术及其在校园网络安全中的应用。
关键词:校园网;网络安全;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)34-9659-02
Based on Campus Net to Application and Research of Firewall Technology
WANG Xiao-yu1,2
(puter School, Wuhan University of Technology, Wuhan 430063, China; puter Engineering College, Jingchu University of Technology, Jingmen 448000, China)
Abstract: The firewall technology is one of important technology in network safety field. This article proposed some methods to solve the safe problem in campus net,and elaborated with emphasis the firewall technology and its application in campus network safety.
Key words: campus net; network safety; firewall
随着因特网的快速普及与高速发展,校园网已经成为每个学校必备的信息基础设施之一,但是在我们共享校园网带来方便的同时,一些不安全的因素严重影响校园网网络的正常运行, 因此如何保证校园网络的正常运行已经成为当前校园网建设中不可忽视的问题。
1 校园网络安全
1.1 校园网的安全隐患
目前的校园网络大都是利用Internet技术构建并与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇各类攻击的风险。首先,Internet的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而Internet最初的设计基本没有考虑安全问题。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论Windows还是Unix等几乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才让黑客有了可乘之机。另外,来自校园网络内部的安全隐患也不容忽视,且大多数校园网用户的安全意识淡薄,具体表现在:密码设置过于简单;不经常用杀毒软件扫描和删除病毒;不对杀毒软件和防火墙软件进行及时更新;不经常扫描系统漏洞并打上补丁;使用移动存储介质时不事先用杀毒软件进行扫描;运行或打开不明来历的文件或邮件;经常浏览带有色情的网站或恶意网站等等。
1.2 校园网络安全的解决方法
1.2.1 防火墙技术
利用防火墙,我们可以将校园网络和Internet分开,在防火墙中设置网络通信时的访问控制尺度,只有防火墙允许访问的用户和数据能进入校园网络内部,同时将不允许的用户与数据拒之门外,最大限度地阻止黑客访问校园网络,防止他们随意更改、移动甚至删除网络的重要信息。同时配置智能信息过滤系统,既过滤掉外部不良信息的访问,又杜绝内部不良信息的泛滥。
1.2.2 入侵检测技术
入侵检测是防火墙的合理补充。防火墙属于静态的安全防御技术,对于网络日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动的对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等等,提高了校园网信息安全基础结构的完整性。入侵检测技术在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。
1.2.3 建立网络病毒防护体系
校园网络中的病毒防护体系主要分为服务器的防护和工作站的防护。病毒防护体系中的服务器端产品,应该具有实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等功能。网络工作站的病毒防护位于学校防毒体系中的最底层,对学校计算机用户而言,也是最后一道防、杀病毒的要塞。
1.2.4 合理地划分VLAN、绑定IP地址和MAC地址
根据学校各部门职能的不同将校园网划分成不同的VLAN,把各部门或实验室有效地隔离开。由于一个VLAN内部的广播和单播流量不会转发到其它VLAN中,所以有助于控制网络流量,提高网络的安全性。同时,对学校内使用静态IP地址上网的机器进行IP地址和MAC地址的绑定,这可以解决校园网内IP地址盗用的问题。
1.2.5 使用加密技术和虚拟专用网(VPN)技术来保证数据传输的安全性
TCP/IP协议数据流采用明文传输,为了防止重要信息在网络上被截获、窃听,应该对网络中传输的重要数据进行加密。VPN能够在公共网络中为两台通信的计算机建立一个逻辑上的安全通道,通过数据加密和身份认证使得数据包即使被截获也不容易被破译,提供了很好的安全性。VPN可以在学校分校区、外出师生等与校园网之间建立可信的安全连接,并保证数据的安全传输。
1.2.6 数据备份与用户管理
为了维护校园网的安全,必须对重要资料进行备份,以防止因各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而遭受重大损失。校园网安全除了先进的技术,还必须要有严格、合理和有效的安全管理来支持和补充。首先,必须要建立一套严格的安全管理制度;其次,加强对教师和学生网络安全的教育和培训,增强网络安全意识;再次,规范上网场所,过滤有害信息;最后,培养一支具有安全管理意识和管理技能的校园网管理队伍。
2 防火墙技术
防火墙技术作为内部网络与外部网络之间的第一道安全屏障,能阻挡来自外部网络的入侵,对校园网的安全具有特殊的意义。根据防火墙的功能及采用的机制的不同,可将防火墙分为以下几种类型:包过滤防火墙、服务器防火墙、状态检测防火墙。
2.1 包过滤防火墙
包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。所以在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。有经验的黑客很容易伪造IP地址,骗过包过滤防火墙。
2.2 服务器防火墙
服务器防火墙是工作在OSI的最高层,即应用层, 掌握着应用系统中可用作安全决策的全部信息。服务器防火墙是校园内部网与外部网的隔离点,通过对每种应用服务编制专门的程序,起着监视和隔绝应用层通信流的作用。服务器是一种基于用户的身份认证来控制流量进出的技术。校园网络内部所有的主机向外的访问请求,都被服务器截获,在请求主机的身份得到确认后,服务器将代表内部主机将访问请求转发给外部的服务器,同时,也将外部的服务器的应答转交给内部的主机。在这种方式中,内部主机被服务器保护,不能与外部发生任何连接,将校园网络与公用网络完全隔离,增加了安全性。
服务器防火墙的优点是安全性较高,对付基于应用层的侵入和病毒都十分有效。但是也有其不足的地方,主要表现在以下三方面:1)容易成为校园网络向外访问的瓶颈;2)对系统的整体性能有较大的影响,服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;3)工作于应用层,对DoS攻击等基于底层协议漏洞的攻击无抵抗。
2.3 状态检测防火墙
状态检测防火墙结合了包过滤防火墙和服务器防火墙的优点。比包过滤防火墙更加安全,比服务器防火墙能提供更好的性能。现在的防火墙产品大多数都是状态检测防火墙。在状态检测防火墙中,维护着一个状态表,状态表中记录着所有的网络连接的会话信息。通过对状态表应用安全策略来控制通过防火墙的所有流量。当一个连接开始时,将该连接的会话信息记录在状态表中,如果安全策略允许该连接,则转发连接的流量,返回的流量要与状态表中已存在的会话信息进行比较,如果不匹配,则丢弃掉这个连接。连接的会话信息包括:源、目的TCP/UDP 端口号,TCP序列号,TCP标记,TCP会话状态,UDP流量跟踪等。包过滤防火墙对流量的控制是静态的,它只根据事先设定的访问控制列表,决定是允许或拒绝该流量,而不关心该流量以前的、今后的连接状态。而状态检测防火墙对流量的控制是动态的,是针对连接的,所以在状态检测防火墙中通过欺骗一个TCP会话获得访问权的现象几乎不可能发生。
状态检测防火墙一般有几个接口,一个用来连接校园网络,称为内部接口;一个用来连接公用网络,称为外部接口;一个用来连接一些向公用网络提供服务的服务器,称为DMZ接口。内部接口的安全级别最高,外部接口的安全级别最低,DMZ接口的安全级别处在内部接口和外部接口之间。
3 防火墙技术在校园网中的应用
在比较几种防火墙性能的基础上并结合自身校园网的特点,我校采用福建锐捷公司提供的锐捷RG-WALL防火墙。该防火墙采用锐捷网络独创的分类算法设计支持扩展的状态检测技术,具备高性能的网络传输功能,不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
具体实施是在Internet与校园网内网之间部署一台RG-WALL160A防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则;2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击;3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
4 结束语
防火墙作为校园网的第一道重要的安全屏障,也不是万能的,不能保证绝对安全,例如,防火墙不能防范人为攻击、误操作、口令泄露造成的安全问题;不能防止有安全隐患的软件或文件的传输;也不能防范不经由防火墙的攻击等。所以为了保障校园网的安全,还需要结合其他安全技术的使用,也不能忽视用户安全教育、提高管理人员技术素养等方面的工作。
参考文献:
[1] Hare C, Siyan K.防火墙与网络安全[M].刘成勇,刘明刚,译.北京:机械工业出版社,1998.
防火墙技术的研究范文3
关键词:计算机网络安全;防火墙技术;应用;研究
随着信息技术的快速发展,计算机网络安全问题越来越受到人们的关注,优化网络防火墙技术,可以有效阻止网络攻击,防止信息泄露和数据丢失,所以优化计算机网络安全防火墙技术是十分重要的。本文对现存的计算机网络安全问题及应用作出具体分析,不断提高网络防火墙技术。
一、防火墙技术的基本概念
防火墙技术在实际网络安全应用中为网络结构建立起屏障,为各个网络节点的访问设置权限,确保彼此沟通的有效性和安全性。防火墙技术在网络的内部和外部之间建立了一个保护机制,外部信息的传入需要通过网络防火墙的检测,通过分离器单元和分析器单元检测数据,分析数据的安全性,保持防火墙技术建立的统一性,才能优化网络安全,达到防火墙技术优化处理效果。
此外,随着人们接受数据方式的改变,防火墙技术能够最大限度的保障网络安全,防止人们在网络数据搜索时避免恶性事件的发生,有效避免黑客、病毒、钓鱼软件给网络安全带来的威胁,防火墙技术为计算机网络安全提供了一个屏障,抵御外部的恶意攻击。防火墙技术对出入计算机网络的内容进行集中监测、分析,确保信息安全之后再传入计算机内网,不安全信息将被直接屏蔽。
二、导致计算机网络安全的原因
随着如今网络技术的快速发展,在计算机网络给生活带来极大便利的同时计算机网络也存在着极大的安全隐患,一般的网络安全问题会导致计算机系统的损坏,严重的情况下将会给个人或企业带来重大的经济财产损失。
计算机网络安全产生的原因可分为两个层面,分别是人为原因和自然原因。人为因素所引发的网络安全问题大都是由于网络技术人员专业技术或是安全意识不高,操作人员实际操作不规范会导致严重的网络安全问题。另一方面就存在恶意的网络攻击事件,网络黑客和竞争对手的蓄意为之会导致计算机网络安全受损。自然因素所导致的是在计算机设备正常运行中由于设备老化或是设备之间的电磁辐射导致设备原件损壞,网络系统瘫痪网络安全问题随之而来。除此之外,计算机病毒也是诱发网络安全的重要原因之一,计算机病毒出现之后由于其隐蔽性较高且拥有较强的复制能力,往往不容易发现,当计算机网络安全问题发生之后就会给使用者造成非常大的影响,严重的更可能导致计算机瘫痪。
三、防火墙技术对于计算机网络安全的重要性
(一)规避网络危险站点的访问
在平常的网络数据传输中需要访问一定的站点,防火墙技术对于危险站点的控制可以有效的规避开一些网络安全问题。防火墙技术在用户获取外网数据时必须通过授权协议来通过防火墙,在其他主机请求数据交换时给计算机提供一定的保护,防火墙技术通过这种方式对危险的项目强行禁止访问,间接降低了计算机内网受到危险攻击的可能性,从而达到保护计算机网络安全的目的。
(二)防火墙技术的集中保护
防火墙技术对于网络安全的集中保护是十分重要的,在计算机的网络内部可以通过将计算机中一些特定软件和附属软件纳入网络防火墙系统中,可以采用集中化的管理模式,这给重要数据和信息提供了一定的保障,计算机网络防火墙技术把一些口令和密码设置到防火墙中,更能确保其计算机网络安全性。
(三)统计不安全的网络访问记录
防火墙可以经过对内外网络之间访问痕迹的记录,将访问数据和传输记录通过网络日志的形式记载,网络访问信息作为重要的数据情报通过对网络攻击的分析,由此做好日后的防范。例如企业的网络风险是由于外部单位所引发的财务和证券风险,这是企业就可以借助防火墙技术有效的规避和预防风险,企业在对网络安全问题有所了解之后就可以积极的采用防范措施阻止外部的恶意访问和进行内部的主动监控,从而将计算机网络安全问题带来的未知风险降到最低。
四、在计算机网络安全中优化防火墙技术的主要措施
(一)在计算机网络安全管理中优化防火墙加密技术
在计算机网络数据交换中可采用加密和处理技术,在信息发送之前可对数据进行集中加密,接收方需要经过验证密码之后才可以解密文件,实现最高安全化的传递信息,减少数据信息的泄漏。
(二)开发更先进的网络安全防火墙身份验证技术
优化网络用户在授权使用中信息发送和接收中的身份识别技术,确保信息在传送中安全有效的传递,减少使用用户可介入的阶段,进一步提升传递信息的稳定性,确保计算机网络安全最大化。
(三)防火墙复合技术的使用
网络安全技术需要多方面的保护,防火墙复合技术就是建立在防火墙与过滤基础上采用更稳定的保护方式,从而弥补现阶段的防火墙技术漏洞。在防火墙技复合术上体现出了防火墙技术的双向性,在计算机网络安全防火墙受到攻击时可以及时的作出防御,能够更有效地避免外网的攻击。
五、结语
综上所述,我们从计算机网络安全的概念、网络安全问题产生的原因、计算机网络安全的重要性以及优化计算机网络防火墙技术四个层面分析,进一步优化防火墙技术结构,确保计算机网络安全,充分发挥防火墙技术的实际价值和其优势,有效防范计算机网络安全问题,健全完善的计算机网络安全保护机制,为计算机网络安全持续发展打下坚实的基础。
参考文献
[1]肖玉梅[1],苏红艳[2].试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013(5):218-218.
[2]姜可[1].浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013(4):178-179.
防火墙技术的研究范文4
关键词 防火墙;网络;应用
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)05-0191-02
随着计算机的普及和应用,促使计算机网络技术也不断的更新。在当下,网络已成为人们生活的必需品,但是由于计算机网络的广泛应用,使得网络安全问题也频繁出现。计算机网络安全问题已成为社会各界人士们关注的焦点,它已给人们的生活带来了极大困扰。
1 防火墙技术的有关知识
1)防火墙技术。防火墙是一种访问控制机制,由网络决策人员及专家共同来决定哪些外部服务可对内部服务进行访问,哪些内部服务可允许外部服务的访问。防火墙是一种在计算机内部网络和外部网络之间进行安全防护的系统,是用来确保网络环境安全的技术。防火墙的两个准则是:一切没有被允许的就是禁止的,一切没有被禁止的就是允许的。
2)防火墙的分类及其特点。防火墙常用的两种类型分别是包过滤型和应用型。
包过滤型防火墙是从数据包头源地址,目的地址端口号和协议类型等方面来进行判断的。满足条件的数据包才能通过并被转发于目的地,而未通过的则会被阻挡。这种类型的防火墙通过一个过滤路由器就能对网络进行保护,其数据包的过滤十分公开化,速度快而效率高。但包过滤型防火墙防护级别不高,不能完全防止被IP地址所欺骗。
应用型防火墙是运用在OSI的最高层,它是将网络信息流完全截断的一种防火墙技术。针对每种应用服务而编出应对的程序,从而对应用层通信流进行监控。这种防火墙技术可以彻底阻隔内网与外网的直接通信,但其速度较慢,对底层协议的安全起不到作用。
2 防火墙在计算机网络中的应用意义和作用
1)防火墙在计算机网络中的应用意义。网络安全问题主要是针对计算机之间进行数据存储和传输的过程是否安全,是否能保证所传数据的完整性,保密性和可用性。所谓完整性是指数据未被恶意的篡改和破坏,保密性是指除指定用户外都无法侵入进行访问,可行性是指按照客户的权限要求进行服务。防火墙技术旨在保护计算机内部服务不受外部网络的侵害,设置访问权限,从而避免内部网络中的数据被外部网络恶意破坏。防火墙技术对与保障计算机网络安全有着重要作用,它不仅能对计算机的内部数据进行保护,还是外部网络想要访问内部网络必须通过的媒介。它控制着内部和外部二者间的访问权限。只有被防火墙允许的数据才能对内部进行访问,从而有效地保障了内部数据的信息安全。因而确保防火墙系统不被侵犯和破害是很重要的。
2)防火墙在计算机网络中的作用。防火墙在计算机网络的应用中旨在保护数据信息不被恶意破害和篡改,防止一些未被授权的外界网络侵入受保护的计算机内部破坏数据信息,从而保证受保护的计算机网络的安全。防火墙技术严格控制访问内部网络的用户,将那些非法用户隔离在内部网络之外,它有效限制了用户访问的特殊站点,对网络的运行状态进行实时检测,是一个网络防护系统。防火墙在一些独立的计算机内部网络中具有显著效果。对于像校园内部网络,企业内部网络这种集中型网络,防火墙技术更适用于此。如今,防火墙技术在计算机网络中的应用越来越广泛和普及,已逐渐成为保护网络安全的重要技术之一。
3 防火墙技术的发展
随着计算机网络应用的普及化,人们对于计算机网络安全问题越来越重视,因而作为保护计算机网络安全的防火墙计算也不断的发展。防火墙技术的在智能化,功能集成和协议方面都有了新突破。
最初的防火墙通常是先对一些安全的网络进行授权再对网络进行鉴别,这种事先进行决策的方法已无法应对越来越高明的网络攻击手法。针对过去的包过滤型防火墙的缺点进行更新的新型智能化包过滤防火墙,弥补了传统型防火墙对网络信息捕获能力和处理能力差的缺陷。这种防火墙与人工智能相结合,对外界网络信息数据进行智能过滤,不仅能预防已知的危险,还能根据网络的变化来进行正确的识别和阻隔。这种智能化的防火墙不再依赖人工干预,减少了过滤时间,提高了过滤效果。因而人工智能的发展对防火墙的发展有着巨大的影响,而这种引入人工智能的防火墙将会发展的越来越好。
另一种新型的防火墙是将传统的包过滤型防火墙和服务型防火墙相结合起来的综合型防火墙。这种防火墙克服了传统防火墙的缺点,既对数据链路层进行控制,又对应用层进行控制。这种新型的防火墙结合了多方面的技术,例如,在对外界网络进行访问控制时还要对访问并者进行身份的核实,对进入防火墙的网络数据进行病毒侦测等等。鉴于网络安全涉及的内容广泛,因而在防火墙未来的发展中,将朝着综合性发展。
未来的防火墙发展将与系统软件紧密结合。计算机用户不仅受到外界网络的侵入,还受到来自于一些系统软件所携带的漏洞和病毒的危害。因而在对计算机用户进行网络安全保护时要将这两方面都顾及到。这种要求为防火墙的发展开辟了新的方向。防火墙技术已在计算机用户中普遍应用,它成为一个基本的配置存在于操作系统中,其功能也是操作系统的基本功能。若防火墙能作为系统软件的一部分存在,不再是单一的系统,就能使防火墙更好地发挥其防护功能。防火墙是一个网络安全防护系统,但它本就是一个操作系统,因而将防火墙与系统软件相结合起来,能对防火墙自身进行维护,使得防火墙不被破坏,从而才能稳固网络安全。
4 结束语
随着时代的进步,计算机技术不断发展,计算机网络已融入人们的生活里,但正是如此,在这个网络时代里,网络安全问题频繁出现,日渐受人们重视。要解决网络安全问题,就必须促进计算机技术和计算机网络技术的协调发展。而防火墙作为防护网络安全的重要措施之一,是需要不断改进其技术的。防火墙的发展将会引入人工智能,突破传统的防火墙技术,将其与系统软件结合起来。在未来,防火墙技术的发展能保障计算机网络有一个安全的应用环境。
参考文献
[1]陶宏.基于计算机网络信息安全的防火墙技术实用研究[J].消费电子,2013(12).
[2]李琳.试析计算机防火墙技术及其应用[J].信息安全与技术,2012(3).
防火墙技术的研究范文5
关键词:下一代防火墙;网上技术交易市场;网络安全
1 网上技术交易市场简介
网上技术交易市场是传统技术市场在现代网络经济和网络技术飞速发展的背景下出现的一种新的发展趋势,有着传统技术市场不可比拟的优势。它不仅能加快、改善技术交易的流程,缩短技术转移周期,而且能为技术交易提供更为便利的增值服务,从而大大提高技术交易的效率。
徐州市也开展了网上技术交易市场的建设,以提供科技成果转化过程中的各类信息为主要服务内容,为高等院校、科研院所、企业、各类中介服务机构以及相关管理部门等创新主体提供全方位、全公益性的信息服务。网上技术交易市场的基本运行机制为会员制,包括2类会员:一类是供给类会员,是拥有技术研发能力和技术成果并愿意在网上技术交易市场和交易的单位,主要包括高等院校、科研院所等。另一类是需求类会员,是指对技术成果有需求的从事生产活动的单位,主要是企业。
网上技术交易市场定位为“科技成果转化一站式信息服务平台”,是建立在互联网上的在线服务平台。平台主要包括技术成果信息模块、技术需求信息模块、技术合同管理模块、技术合作洽谈模块和技术与金融对接模块等。
在线服务平台的信息功能与门户网站类似,但系统结构与业务流程却不尽相同。一般网站的信息由网站工作人员来操作,业务流程简单,工作人员通常从内网登录系统信息,对网络安全性要求不高。而网上技术交易市场需要会员的参与,无论是供给类会员还是需求类会员,都须从外网访问在线服务平台并信息,这就对系统的安全性提出了更高的要求。平台系统本身从安全方面考虑,采用了基于角色的权限管理,针对供给方会员用户、需求方会员用户、工作人员用户以及管理员用户不同的业务需求,将用户定义为不同的角色,通过为不同的角色赋予不同的权限,使用户只能访问自己被授权的资源,从而保障平台系统的安全。
随着互联网的发展,来自网络的安全威胁越来越严重,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。网上技术交易市场在线服务平台在互联网上对公众开放,因此除了平台系统本身的安全外,还需要考虑到网络安全问题。
2 网上技术交易市场面临的主要网络威胁
以往的网络攻击方式有ARP欺骗、路由欺骗、拒绝服务式攻击、洪水攻击、会话劫持、DNS欺骗等,这些攻击大多位于网络底层,而现在越来越多的攻击发生在应用层,针对应用层的攻击已经成为现阶段网络安全最大的威胁。其中,Web应用安全问题、APT攻击以及敏感信息的泄漏是业务系统面临的主要威胁。
2.1 Web应用安全问题
互联网技术的高速发展,大量Web应用快速上线,包括网上技术交易市场在内的大多数在线业务系统都是基于Web的应用,web业务成为当前互联网应用最为广泛的业务。大多数Web系统都十分脆弱,易受攻击。根据著名咨询机构Gartner的调查,安全攻击有75%都是发生在Web应用层。而且针对Web的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。
Web业务系统面临的安全问题主要有几个方面:一是系统开发时遗留的问题,由于Web应用程序的编写人员在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等;二是系统底层漏洞问题,Web系统包括底层的操作系统和Web业务常用的系统(如IIS,Apache),这些系统本身存在诸多的安全漏洞,这些漏洞可以给入侵者可乘之机;三是网络运维管理中的问题,业务系统中在管理方面存在许多安全隐患,如弱口令、内网安全缺陷等,导致被黑客利用对网站进行攻击。
2.2 APT攻击
APT攻击,即高级持续性威胁(Advanced PersistentThreat,APT)攻击,是近几年来出现的一种利用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有难检测、持续时间长和攻击目标明确等特点。APT在发动攻击之前对攻击对象的业务流程和目标系统进行精确的收集,这种行为往往经过长期的策划,具备高度的隐蔽性。在收集的过程中,会主动挖掘信息系统和应用程序的漏洞,并针对特定对象有计划性和组织性地窃取数据。
APT攻击的过程通常包括的步骤是:首先,攻击者通过各种途径收集用户相关信息,包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息;其次,攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统,采用低烈度的攻击模式避免目标发现以及防御;再次,攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络,进而对目标全网造成危害;最后,攻击者逐步了解全网结构及获取更高权限后锁定目标资产,进而开始对数据进行窃取或者造成其他重大侵害。
2.3 数据泄漏问题
近几年,数据泄漏事件愈来愈频繁的发生,公民信息数据在网上大规模泄露事件时有发生,给网络安全构成了严重危害,产生了重大的社会影响。2013年,2000万开房信息数据被泄露下载,通过被泄露的数据库文件,可以轻易查到个人姓名、身份证号、地址、手机、住宿时间等隐私信息。2014年,12306的用户数据泄漏,导致大量用户数据在网络上传播,涉及用户账号、明文密码、身份证件、邮箱等信息。2015年,30多个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息因此被泄露。10月,网易邮箱过亿用户敏感信息遭泄露,泄露信息包括用户名、密码、密码密保信息等,部分邮箱所关联的其他服务账号也受到影响。
网上技术交易市场的后台数据库中,保存有会员的数据信息,包括企业用户信息和个人用户信息,如果涉及交易信息、价格信息等敏感的数据遭到泄露,可能使用户遭受经济损失,甚至对社会秩序、公众利益造成危害。
3 基于下一代防火墙的网络安全防护方案设计
针对网上技术交易市场的安全防护,必须有效应对这些网络威胁。而且,由于网上技术交易市场规模不大,还需要考虑到控制成本并易于管理。
典型的网络安全方案通常配置防火墙、防病毒设备、入侵检测设备、漏洞扫描设备以及Web应用层防火墙。这些设备功能专一,能够防护不同类别的网络攻击,但如果不全部部署,则会在相应的保护功能上出现安全短板。但全部部署又存在成本高、管理难、效率低的问题。首先是成本问题,对于中小规模的网络系统来说,将这些设备全部配齐,价格昂贵;其次,安全设备种类繁多也增加了管理上的成本,网管人员需要在每台设备上逐一部署安全策略、安全防护规则等,让不同类型的设备能够协同工作,势必会在日常运维中耗费大量的时间和精力;在防护效果方面,各种设备之间无法对安全信息进行统一分杯不能达到良好的整体防护效果。
因此,针对网上技术交易市场的实际应用需求,设计了一种基于下一代防火墙的网络安全防护的方案。
下一代防火墙是一种可以全面应对应用层威胁的高性能防火墙,通过分析网络流量中的使用者、应用和内容,能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。下一代防火墙具有应用层洞察与控制、威胁防护、应用层数据防泄漏、全网设备集中管理等功能特性,这些功能能够有效地、有针对性地应对网上技术交易市场业务系统面临的主要网络威胁。
在网络拓扑结构设计方面,将下一代防火墙部署在网络边界、服务器交换机的前端,实现业务系统所在服务器与互联网的逻辑隔离,从攻击源头上防止来自网络层面、系统层面、应用层面以及数据层面对网上技术市场业务系统的安全威胁(见图1)。
在解决Web应用安全的问题上,下一代防火墙能够提供全方位、高性能、深层次的应用安全防护。下一代防火墙采用高度集成的一体化智能过滤引擎技术,能够在一次数据拆包过程中,对数据进行并行深度检测,完成2~7层的安全处理。同时,下一代防火墙内置有高精度应用识别引擎,可以采用多种识别方式进行细粒度、深层次的应用和协议识别,具有极高的应用协议识别率与精确度,对于主流应用、加密业务应用、移动应用、企业内网业务应用都可以实现全方位识别。
在应对APT攻击方面,下一代防火墙的安全监测引擎和威胁检测特征库,对基于已知漏洞、恶意代码发起的APT攻击能进行有效的防护。在针对零日漏洞和未知恶意代码的威胁时,下一代防火墙通过沙箱技术构建虚拟运行环境,隔离运行未知或可疑代码,分析威胁相关信息,识别各种未知的恶意代码,并自动生成阻断规则,实时、主动地防范APT攻击。
下一代防火墙实现数据防泄漏主要是利用应用识别技术和文件过滤技术。高精度应用识别引擎能够对具有数据传输能力的应用进行数据扫描,文件过滤技术可以基于文件特征进行扫描,敏感信息检测功能可以自定义“身份证号码”“银行卡号”“密码”等多种内容并进行监测,通过这些技术的综合运用,可以有效地识别、报警并阻断敏感信息被非法泄漏。
防火墙技术的研究范文6
网络科技的迅猛发展,给人们的生产、生活带来了一定的便捷。但同时随着网络技术的不断成熟,网络安全问题日益凸显,部分网络黑客将计算机系统漏洞作为侵袭条件,对相关计算机用户的网络资源进行恶意攻击,篡改数据,引发了不同程度的网络安全问题。目前已成为了人们日益关注的话题。基于此,本文以在计算机防护中起到了显著的作用的防火墙技术作为切入点,首先扼要分析了计算机网络安全技术的研究进展,然后介绍了防火墙的不同功能及其分类,最后提出了防火墙的构建步骤及其防护措施。
【关键词】计算机 防火墙 网络安全 入侵 技术
网络技术的发展,促进了计算机的普及,在一定程度上改变了人们的生产、生活与工作方式,将网络作为途径,人们能够实现足不出户而知晓天下事的功能,同时通过网络亦能够实现资源共享、信息分享及人与人之间的沟通与交流。网络在给人们带来便利的同时也凸显了一些问题。部分黑客将计算机作为主要侵袭对象,窃取商业机密、进行恶意攻击、盗取相关资源,无一不给网络安全造成了严重的威胁,甚至少部分黑客程序,无需用户操作,便可自动化地破坏整个系统网络,严重阻碍了网络环境的正常运作。目前,计算机网络安全问题已成为了全球范围内人们所关注的重点话题。以下则主要从计算机网络安全技术发展的轨迹出发,研究了防火墙网络安全体系的构建。
1 计算机网络安全技术的发展概述
计算机网路技术主要是基于网络数据存储与传输的安全性考虑而衍生的安全防护技术。由于在开发初期,研究人员仅将开发重点放置于推广与操作的方便性方面,进而导致了安全防护体系相对来说比较脆弱,并不具备较优的防护处理水平。因此,为解决计算机网络安全防护的问题,国内外诸多相关的研究机构展开了大量的探索与分析,在网络身份认证、数据资源加密、网络防火墙及安全管理等方面展开了深入的研究,推动了入侵检测技术的诞生。入侵技术推广早期,检测方法相对来说比较简单,功能并不完善,同时并不具备较强的适用性。并随着开发研究的不断深入与普及,入侵检测方法也处于不断完善的过程中,许多新型的攻击特征已被总结与归纳,入侵反应措施也趋向完善。
在计算机网络安全技术中占据核心地位的安全防护技术便为密码技术,研发至今发展已有20余年,部分高强度的网络密钥管理技术与密码算法也在迅速涌现。开发重点同样也由传统的保密性转移至兼顾保密、可控与真实等方面。并配合用户的身份认证形成了数字化的网络签名技术。当前在保障计算机网络信息传递的安全性方面,密码技术有其重要的影响作用,而加密算法则是密码技术中的关键与核心。不同性质的网络密钥同样有其不同的密钥体制。其主要决定因素在于网络协议的安全性。此外,网络漏洞扫描同样也是计算机网络安全技术发展的产物,由于任何计算机均有其不同的安全漏洞,而选取人工测试的方法耗时较长,且效率较低、准确度不高,而网络漏洞扫描技术则能够实现漏洞扫描的全自动操作,同时预控安全危险,保护整个计算机系统网络,是安全防护系统中不可或缺的重要部分。
2 防火墙技术与其系统构建措施分析
2.1 防火墙技术的功能及其分类
防火墙主要是计算机防范措施的总括,它能够隔离内外部网络,采取限制网络互访的方式达到保护内部网路的目的,是十分高效的网络安全防护措施。它能够隔绝计算机安全与风险区域的网络连接,同时能够对适时网络通信量进行监测,有效制止恶意网络资源的入侵与进攻,能够自动过滤非法用户与不安全的网络信息,隔离入侵者与防御设施,限制访问点权限,防止资源滥用。防火墙同样有其不同的类别,按照软件形式可将其划分为硬件防火墙与软件防火墙,而按照技术类型则可将其分为包过滤型防火墙与应用型防火墙。此外,按照结构类型、部署部位、使用性能同样也将其分为不同类型的防火墙。
2.2 防火墙的构建及其防护措施的制定
网络防火墙的构建仅需遵守简单的六个步骤,即规划与制定安全计划与协议、建立网络安全体系、制作网络规则程序、落实网络规则集、调整控制准备、完善审计处理。当前较为成熟的防火墙体系架构为X86架构,将PCI与CPU总线作为通用接口,具备较优的可拓展性与灵活性,是大型企业防火墙开发的主要体系架构之一。而对于中小型企业来说,NP型架构的防火墙则为防护网络侵袭的最优选择。采取与之相匹配的软件开发系统,有其强大的网络编程能力。而对于对网络防护要求十分高的企业、单位或个人,则可采用ASIC架构的防火墙手段,它不仅具备强大的数据处理能力,同时有其独具优势的防火墙性能。
网络防火墙安全措施则主要是由检测、防护及响应三个部分构成。在整个防火墙系统中,防御属于一级防护措施,而检测则是确立入侵的主要手段,响应则是做出系统反馈的控制要素。当前实现网络入侵检测与防火墙系统之间的互动一般有两种方案。第一,将网络入侵检测系统嵌入防火墙中。第二,则是通过开发网络接口的方式实现两者之间的互动。同样按照原始固定网络协议来进行信息互通,并实现网络安全事件的传输处理。一般第二种方式应用较为广泛,它具备较强的灵活性,同时不会影响两者的防护性能。在网络安全防护体系中,通过将入侵检测与防火墙技术相结合,能够有效提高检测速度,提高系统的适应能力与灵活性,为网络的有效防护奠定了良好的基础,大大提升了计算机系统的防御能力,保障了系统的安全性。
3 结束语
综上所述,在网络技术迅猛发展的背景下,要保障信息数据的安全性,保障网络传输的稳定性,充分发挥其正面作用,必须以构建网络防火墙为重点,并配合数据加密、身份认证等安全措施,提高网络系统的抵御能力,防止恶意入侵,并提升网络系统的安全性,全面保障信息数据存储的稳定性。
参考文献
[1]苏孝青,盛志华.计算机网络安全技术发展与防火墙技术探讨[J].科技创新导报,2009,25:24.
[2]张鸣,高杨.计算机网络安全与防火墙技术研究[J].黄河水利职业技术学院学报,2011,02:48-50.
[3]程博.我国目前计算机网络安全与防火墙技术探讨[J].改革与开放,2011,20:192.
