防火墙在网络中的应用范文1
关键词:防火墙;网络安全;发展趋势
一、防火墙技术在网络安全应用中的重要性
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面:
1.网络安全的屏障
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
3.监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
二、防火墙技术在网络安全中的应用现状
随着防火墙技术的不断更新,新型的防火墙技术安全性能更高,它综合了过滤和技术,克服二者在安全方面的缺陷,不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、ARP、ICMP、SYNFlood等共计手段方面有明显的优势和效果,增强了服务,并使其与包过滤相融合,加上智能过滤技术,使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种:
1.分布式防火墙技术,指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品,广义上讲,分布式防火墙是一种新的防火墙体系结构,包括用于内外部网之间和内网之间防护的网络防火墙、对网络中服务器和桌面机保护的主机防火墙、用于保护网络中单一设备的中心边界防火墙等。
2.嵌入式防火墙技术,指内嵌于路由器或交换机的防火墙,通常也被称为阻塞点防火墙,这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络程序、入侵检测告警程序和防病毒程序等,确保企业内部和外部的网络安全。
3.职能防火墙技术,通过利用统计、记忆、概率和决策的职能方法对数据进行识别,并达到访问控制的目的,由于这些方法多时人工职能学科采用的方法,也统称为职能防火墙,通常这种防火墙的关键技术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术、AAA技术等。
虽然防火墙技术越来越成熟,功能也越来越强大,但依然存在一些不足,主要表现在以下几个方面:
1.不能防御不经过防火墙的攻击,显而易见,若果防火墙布置在企业网络的边界 ,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接与外网连接的话,防火墙就不起作用。
2.不能防御计算机病毒的攻击,计算机病毒攻击的方式层出不穷,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙常常无能为力。
3.防火墙自身存在安全漏洞,无论是硬件还是软件防火墙,都会或多或少的存在设计漏洞,一些不法分子可能会利用这些设计上的漏洞绕过防火墙对系统进行攻击。
4.对防御数据驱动式的攻击无能为力,作为一种常见的攻击方式,但其每次通过防火墙时的数据却都是符合规则的,但这些数据组合以后就会对系统进行破坏。
5.以损失有用服务为代价,为了信息安全,我们通常会关闭一些不必要的服务,但这些服务中也有许多有价值的服务信息,虽然可以一定程度上提高计算机应用的安全性,但也必须以放弃一部分使用价值为代价。
三、防火墙技术的未来发展趋势
针对目前防火墙不能解决的问题以及越来越多的网络攻击方式的出现,对防火墙技术也必将有更高的要求,未来将向高速度、多功能和安全性更高的方向发展,其未来发展趋势可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来实现。
1.在防火墙包过滤技术发展方面,首先安全策略功能会更加强大,新的防火墙技术会把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,使得用户在身份验证方面的安全功能增强。其次,加强防火墙的多级过滤技术,通过多级的过滤技术并配合其它方面的鉴别手段,可以从不同层面过滤掉所有的源路由分组、假冒IP源地址、禁止出或入的协议、有害数据包、控制和监测互联网提供的所有通用服务等,在一定程度上弥补单独过滤技术的不足。同时,新的防火墙技术或会增加更多的扩展功能,甚至包括防病毒和入侵监测等主流功能。
2.在防火墙体系结构发展方面,随着互联网用户的增加,以及用户对网络的更高要求,防火墙技术也必须以更加快速的数据处理来满足显示要求。目前出现的基于ASIC的防火墙和基于网络处理器的防火墙都在不同程度上顺应着这种潮流,这两种防火墙技术性能虽然得到了大幅度的提高,但是,它们依然有其不足之处,如基于ASIC的防火墙是使用专门饿硬件处理网络数据流,但纯硬件的ASIC防火墙缺乏可编程性,使得其灵活性大打折扣。而基于网络处理器的防火墙虽然属于基于软件的解决方案,而且灵活性更强,但其作用的发挥很大程度上取决于软件性能的好坏。因此比较理想化的解决方案是增加ASIC芯片的可编程性,使其能够更好的和软件想配合,这样才能同时满足运行性能和灵活性能的要求。
3.在防火墙的系统管理发展方面,分布式和分层的安全结构的集中管理方式是未来的发展趋势,这种集中的管理方式不仅能降低管理成本,而且能在网络安全中保证策略的一致性,使得防火墙能够起到快速响应和快速防御的效果。其次,未来防火墙的系统管理方面将拥有更加强大的审计功能和自动日志分析功能,通过这些方面的加强,能够更早的发现潜在的威胁并采取有效地预防措施,在日常中,通过其日志分析功能,能够及早的帮助计算机管理员发现系统中可能存在的安全漏洞,对做到早预防和调整安全管理策略是必不可少的。最后,网络安全产品的系统化也是未来的发展的趋势,因为目前的防火墙技术难以满足当前的网络安全要求,通过建立以防火墙为核心的安全体系,就可以为内部网络提供更多的安全保障,使各安全技术各司其职,从各个方面防御外来入侵。
参考文献
[1]马东辉.入侵检测系统与防火墙在教育网络中的互动应用研究[D].中国石油大学.2011年
[2]刘波.防火墙穿透技术的研究与实现[D].沈阳工业大学.2009年
[3]黄晗辉.防火墙规则的异常检测及优化研究[D].重庆大学.2010年
[4]陈文惠.防火墙系统策略配置研究[D].中国科学技术大学.2007年
防火墙在网络中的应用范文2
关键词:防火墙;包过滤;校园网络;网络安全
中图分类号:TP393.08
针对主干网的DDoS攻击、针对特定端口的大范围网络扫描与利用开放式递归DNS 查询进行流量放大攻击等事件依然是主干网需要时刻警惕的安全问题。由于高校集中高密度的学生人群和学校本身的特殊性质,校园网络安全的问题需要引起社会的关注。
1 网络安全问题
360网站安全部门总监赵武在2013中国互联网大会表示360公司在2012年做统计的时候发现互联网80%的网站存在高危漏洞。到2013年360公司在高考期间做了一个中国高校网站的检测报告,其实也证明超过95%的高校网站曾经被篡改过。国内的网站安全器,政府和高校的得分情况是最低。针对这一问题,美国联邦政府已考虑将其活动独立于当前互联网中,而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说,由于其需要使学生学会应用互联网并从互联网中取得新知识,其不能将自身完全脱离互联网。但另一方面,当前校园网络对安全问题的重视性相比许多大型商业公司十分不够,这一方面是由于网络安全本身的复杂性,许多学校没有足够的技术能力解决这一问题,另一方面是由于购买专业的防火墙产品所需要的经费不足。因此更有必要探索更为合适的防火墙解决策略,而构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。
2 防火墙实现及策略定义
2.1 防火墙配置环境。校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的,学生使用的计算机往往存在许多安全漏洞,但学生在上网时一般采用最直接和简单的方式连接到互联网。学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境,这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。因此,减少遭受攻击的最简单的方式就是设置私有网络,通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构,同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时,除了校园本身要设置中央防火墙外,内网也应架设独立的防火墙,这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外,因为这种内网的防火墙级别较低,针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标,我们将通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的,因此完全无需额外的购买费用,只需要单独使用一台电脑安装linux系统和双网卡。
2.2 防火墙的构建。首先,校内的某个计算机教室组成的局域网要连接到互联网中,那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0(具有公共网络地址202.101.1.2)和card1用于与局域网(c类私有地址192.168.1.0)相连。Linux系统自带有ipchains封包过滤软件,可以通过链(规则列表)实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链。对于从互联网进入局域校园网的报文来说,其首先进入输入链经过输入链包含的规则检查,被允许通过或拒绝通过,随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。
2.3 防火墙配置策略。由于我们采用的是linux系统内置的ipchains包过滤软件,对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过,再规定可以通过的报文。第二种是先允许所有报文通过,再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的,其常用的软件和所需的功能对于教师而言十分熟悉,因此我们选择第一种策略。如此,链中包含的规则可以比较少,因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。
首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则,这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则,我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文,其设置如下:
/sbin/ipchains -A input -j DENY
- i card0 -s 192.168.1.1/24
/sbin/ip chains -A input -j DENY
-i card0 -d 192.168.1.1/24
/sbin/ip chains -A output -j DENY
- i card0 -s 192.168.1.1/24
/sbin/ip chains -A output -j DENY
-i card0 -d 192.168.1.1/24
/sbin/ipchinas -A input -j DENY
- i card0 -s 202.101.1.25/32
/sbin/ipchinas -A output -j DENY
- i card0 -d 202.101.1.25/32
随后我们禁止广播包:
/sbin/ipchains -A input -j DENY
- i card1 -s 255.255.255.255
/sbin/ipchains -A input -j DENY
- i card1 -d 0.0.0.0
/sbin/ipchains -A output -j DENY
- i card1 -s 240.0.0.0/3
最后转发内部所有的报文,并启动网络地址转换功能,即开启IP MASQ功能,这一规则定义是针对转发链进行的:
/sbin/ipchains -A forward -j ACCEPT
- i card0 -s 192.168.1.1/24
/sbin/ipchains -A forward -j ACCEPT
-i card0 -d 192.168.1.1/24
/sbin/ipchains -A forward -j MASQ
- i card1 -s 192.168.1.1/24
这一功能可以隐藏局域网的IP地址,即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤,便实现了基本的封包过滤防火墙设置。
3 结束语
(1)校园局域网络通过基于linux系统的ipchains防火墙连接互联网,通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址,同时还节省了学校宝贵的IP地址资源。(2)构建双宿主机型linux防火墙仅需一立的电脑,而无需额外购买昂贵的硬件防火墙,即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的学校来说十分合适。(3)合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统,无论从互联网进入校园局域网的报文会被检查,从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能,有效地保护了网络的安全,实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。
参考文献:
[1]马振晗,贾军保.密码学与网络安全[M].北京:清华大学出版社,2009.
[2]尧新远.计算机信息管理技术在网络安全中的应用[J].软件,2012(07).
[3]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用,2012(23).
防火墙在网络中的应用范文3
防火墙的构成上主要包括3个部分, 即限制器、分离器和分析器。防火墙是用于计算机防病毒的硬件, 安装在互联网与内部网之间, 对互联网信息进入到内部网可以起到门户的作用, 对于不良信息进行阻隔, 可以起到降低内部网遭到病毒侵袭的发生率[1]。
可见, 防火墙技术事实上是隔离技术。如果外网信息传递中, 经过防火墙检测属于安全信息, 就可以允许进入到内部网络。防火墙是保证计算机安全运行环境的重要屏障。防火墙技术所发挥的功能具体如下。
1.1 防火墙技术对网络安全可以起到强化作用
防火墙技术对网络安全可以起到强化作用, 体现在防火墙的设计方案、口令等都是根据计算机网络的运行需要量身定做的。
安装防火墙后, 计算机可以过滤不安全信息, 使得网络环境更为安全。防火墙可以禁止网络数据信息系统 (Network File System;缩写:NFS) , 对网络起到一定的保护作用, 不良企图的分子就不会利用网络数据信息系统攻击内部网。防火墙还可以拒绝各种类型的数据块, 即网络中交换与传输的数据单元, 即为报文 (message) , 可以进行一次性发送, 由此提高了内网的安全性。
如果发现有不良信息, 还可以及时通知管理员, 由此可以降低自身的损失率。
1.2 防火墙技术可以避免内网信息出现泄露问题
防火墙技术可以将重点网段起到保护作用, 发挥隔离作用, 使得内网之间的访问受到限制。内网的访问人员得到有效控制, 对于经过审查后存在隐患的用户就可以通过防火墙技术进行隔离, 使得内网的数据信息更为安全[2]。
在内网中, 即便是不被人注意的细节也会引起不良用户的兴趣而发起攻击, 使得内网的数据信息泄露, 这是由于内网产生漏洞所导致的。
比如, Finger作为UNIX系统中的实用程序, 是用于查询用户的具体情况的。如果Finger显示了用户的真实姓名、访问的时间, 不良用户一旦获得这些信息后, 就会对UNIX系统的使用程度充分了解。在网络运行状态下, 不良用户就会对UNIX系统进行在线攻击。
防火墙技术的应用, 就可以避免这种网络攻击事件发生。域名系统 (Domain Name System;缩写DNS) 会被隐藏起来, 主机用户真实姓名以及IP地址都不是真实的, 不良用户即便攻击, 防火墙技术发挥作用, 使得没有授权的信息不会进入到网络环境中, 保护了网络环境, 网络安全性能有所提高[3]。
1.3 防火墙技术可以对网络访问的现象起到一定的监督控制作用
计算机安装防火墙后, 所有对主机的访问都要接受防火墙的审查, 在防火墙技术的使用中, 完整的访问记录会被制作出来。
如果有可疑的现象存在, 防火墙就会启动报警系统, 不良用户的IP地址提供出来, 包括各种记录的信息、网络活动状态都会接受审计, 而且还可以做出安全分析, 对于各种威胁也可以进行详细分析。通过使用防火墙技术, 就可以使得不良用户被抵挡在门外, 由此起到了预防隐患的作用[4]。
2 防火墙技术在计算机网络安全中的应用
2.1 采用防火墙技术对网络数据信息进行加密
采用防火墙技术对计算机数据信息实施保护, 就是通过数据信息加密的方法对数据信息实施保护。
在数据信息进行传输或者对数据信息存储的过程中, 就可以采用加密的形式, 以保证数据信息在传输的过程容易被识辨, 而且真实的信息被加密之后, 就会被错误的信息所覆盖, 不会被病毒所攻击而导致信息缺失或者被篡改, 由此降低了被网络病毒攻击的几率。
对数据信息采用防火墙技术实施保护, 所使用的密码是通过密码算法计算出来的, 这些密码可以是对称的, 也可以是不对称的。
对称密码所加密的数据信息, 加密的密码与解密的密码是相同的, 密码的安全度不是很高, 所以密码与数据信息的保密程度密切相关;不对称密码对数据信息加密所采用的密码与解密的密码不同, 而解密密码的安全度直接决定了数据信息的安全度[5], 所以不对称密码所发挥的保密作用会更好一些。
2.2 防火墙技术对域网系统安全运行提供保护
应用防火墙技术保护计算机网络, 是为了防止不良访问者攻击网络。防火墙安装在网络系统的外部, 阻止来自外部网络的病毒攻击, 由此维护了内部网络环境的安全。
防火墙技术重在保证信息安全, 是基于网络通信技术建立起来的。对于两个网络之间有不同的信任程度, 就可以使用防火墙这种防护设备, 由此避免了外来病毒的攻击[6]。
防火墙技术发挥作用, 可以避免非法用户访问, 确保网络处于安全稳定的运行状态, 维护了网络信息以及网络数据库信息。
当浏览网络信息的过程中有不良信息被拦截的提示的时候, 就意味着在网络上已经安装了防火墙, 对网络起到了安全保护的作用, 对不良信息进行了成功拦截。
防火墙技术的应用, 不仅可以发挥拦截信息的功能, 还会阻拦垃圾信息并对垃圾信息自动删除, 避免产生信息被干扰而无法发挥其作用的现象。
防火墙安装在局域网和互联网之间, 当信息在网络之间传输的时候, 防火墙就会检验信息, 对局域网系统运行实施了安全保护。
比如, 采用防火墙技术对校园网数据中心所接收的信息实时检测。对于要通过防火墙的病毒, 防火墙技术就可以发挥病毒检测作用, 对数据库中心进行防护。当数据库中心被攻击, 防火墙技术就可以在线检测, 有效地阻断网络型病毒的不良影响[7]。
3 结论
综上所述, 计算机网络是开放的空间, 在虚拟的网络空间中实现信息共享, 这就为网络型病毒的入侵提供了可利用的空间。
计算机网络运行中, 做好安全维护工作是非常必要的, 以在充分发挥计算机网络的作用的同时, 还可以提高信息传播质量。
计算机网络运行中, 由于安全维护不到位而存在问题, 就会给病毒以可乘之机, 使得病毒会通过网络运行中所存在的系统漏洞而入侵到计算机系统中。为了避免由此导致的严重后果, 就需要对网络型病毒进行分析, 对防火墙技术充分利用, 做好计算机网络的安全维护工作, 以避免计算机网络遭到威胁。
参考文献
[1]胡菊.计算机网络安全方面问题的分析[J].中国电子商情 (科技创新) , 2014 (3) :15.
[2]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用, 2013 (4) :178-179.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑 (理论版) , 2016 (4) :54-55.
[4]张武帅, 王东飞.防火墙技术在计算机网络安全中的应用探究[J].电脑知识与技术, 2015 (31) :35-36.
[5]李国胜, 张静薇.计算机网络安全管理相关安全技术探析[J].科技创新导报, 2013 (8) :215.
防火墙在网络中的应用范文4
【关键词】 ISA 防火墙 多重网络
ISA firewall technology in the enterprise application of multi-networking
Abstract: With the continuous development of network information technology, enterprise network is facing more and more applications and challenges, and firewall technology is the key to communication and communication between the internal network and the external Internet network. This paper introduces the realization of ISA firewall technology in the complex network environment, analyzes the characteristics and advantages of the technology, and explains its practical significance in the multi network information management.
Key Words:ISA; Firewall; Multi-networking
引言
对现代企业而言,互联网已成为一个不可或缺的平台,经过几十年的发展,Internet已将几乎所有企业网络直接或间接的联接起来。在这个无处不在的网络体系中,从使用范围和安全角度来划分,企业网络的应用一般可分为内部网络(Internal network)和外部网络(External network)应用。通过防火墙、路由器等软硬件措施可保障各个应用的安全运行和相互联系。随着我国信息化进程的进一步加快,企业网络应用的环境也变得日益复杂、多样和多变。许多企业需要通过Internet连接总公司网络、各地分公司网络、外地VPN(虚拟专用网络)客户端、DMZ(屏蔽子网络)、各种受保护的专用网络(如:电话会议、视频会议网络)等,如何将这些网络联接起来,并且确保网络之间传送数据的安全性,成为各级企业网络管理人员所要解决的问题。也就是说,随着业务规模的日益扩大和应用需求的不断增多,原本形式单一的企业网络面临复杂多重网络环境的挑战。
一、多重网络环境中的应用需求
天华化工机械及自动化研究设计院有限公司(天华院)是中国化工集团公司旗下重要的集科技、研发、生产制造为一体的企业。该院的企业网络与Internet的连接原本是由Windows Server2003提供服务器和防火墙管理,网络系统仅满足于本企业的Internet/Intranet应用需求,提供较单一的内网Web、E-mail以及其它网络应用服务。该网络按照B类私用网络编址,在局域网内没有划分VLAN,仅按照分属部门的不同划分了IP地址段。
2012年起,集团公司为逐步整合和加强对子公司的信息管理,统一规划了其下属企业的网络布局,在全国各地为各个分支机构提供SSL VPN接入服务,子公司、下属各企业通过VPN专线安全的接入化工集团内部网络,访问集团的Protal、OA、集团邮箱、ERP、视频会议等应用系统。
从表1可以看出,根据新的网络规划,天华院企业内部网络需重新划分为多个VLAN,以便为规范管理不同的设备、应用服务。同时,由于管理的需要,院区内不同的研究所、设计室和部门,甚至同一部门中的不同个人因为职务、职责的不同,也拥有不尽相同的内外网(Intranet/Internet)访问权限和对各类网络应用的使用权限,这些权限务必能够通过随时根据需要进行调整和变更。为根据这些原则能够方便的管理处于企业园区内不同楼宇、不同物理节点上的计算机及其使用者,必须由服务器提供管控手段。另外,由于引入视频会议的实际情况,需要同时引入两个不同运营商的网络线路,中国电信20M带宽光缆提供基础的Internet接入服务,中国移动2M光缆提供专线视频会议服务。整个网络环境由于应用需求的猛增和管理控制的多样变得愈加复杂,为网络管理部门提出了新的要求和难题。
二、ISA Server的技术特点
ISA(Internet Security and Acceleration)Server是Microsoft推出的集防火墙、服务器于一身的服务器端软件,它同时有服务器(客户端共享上网)、防火墙(安全连接Internet、安全网络内各项服务如Web、FTP、E-mail到Internet上、提供安全的VPN连接)功能。当企业网络接入Internet时,Internet为企业提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和管理性等有关的风险和问题。ISA Server提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA的服务器中的“缓存”功能是业界最好、速度最快的,使得企业网络可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
ISA Server为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,通过状态信息包检测、应用层过滤、和全面的工具,穿越不同的网络层面,保护您企业内部网络的应用系统、服务、和数据的安全。相对于其他防火墙解决方案,Microsoft ISA Server的主要优势包括了它的高级应用层检测和保护功能,易于使用,提供快速、安全的Internet访问的能力,分布式防火墙集中管理能力,以及易于与目前的防火墙和 VPN 结构集成的功能。
三、ISA 在多重网络中的技术实现
天华院原有的网络系统即是由Windows Server2003提供简单Web服务,由于网络结构形式比较简单,仅仅使用二层交换设备。为在多重网络环境中实现新的服务功能,网络 升级改造并引入了ISA Server企业版防火墙系统,同时增加三层交换设备解决网络中的子网划分问题。
3.1 防火墙
首先,须将ISA Server设置为整个企业网络的防火墙(Perimeter Firewall),增加一个DMZ网络区域来专门放置要的服务器。也就是说,在这个架构中,ISA Server通过三个接口将三个网络联接起来:内部网络(Intranet)、互联网(Internet)、边界网络(Perimeter network)。其中,边界网络又称为DMZ(Demilitarized Zone,非军事区)或是屏蔽子网络(Screened subnet),在这个区域专门放一些重要的服务器。将企业内部的Web、FTP、E-mail CNKI Server等放置在这个区域内,最重要的作用是这些服务器不但现在可以服务于内部网络,将来可能要通过ISA安全的到互联网上。
3.2 通过三层交换实现VLAN
根据集团公司对企业网络统一规划要求和对子网分配方案,天华院的企业网络需要重新划分为多个VLAN。原有的二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。尽管基于MAC地址的VLAN能够在二层交换机上实现,但这种方法通常所以这种划分方法通常适用于小型局域网。是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果网络日趋扩大,用户日益增多,配置工作是非常累的,而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。因此,有必要引入新的三层交换设备。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,三层交换技术就是二层交换技术+三层转发技术。在三层交换中可以采用基于端口的VLAN,这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可,适合于任何大小的网络。
为在资源优化的前提下划分VLAN,天华院的网络设备采用二、三层交换设备混搭的模式来实现。将一台三层交换机作为中心交换设备,院区内其它研究所、设计室、部门根据原有物理位置、工作职责分配和连接方式的不同划分为多个VLAN。
3.3 路由、网络规则
防火墙在网络中的应用范文5
关键词:校园网络安全;防火墙;应用分析
中图分类号:TP393.08
广义来讲,网络是信息现代化社会中的基本物质基础,我国在进行教育改革的过程中会应用到网络多媒体技术,因为利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高。我国校园网络是为师生提供良好的教学管理平台和科研平台,为其供给相应宽带多媒体网络,校园网络是学校现代化网络信息教学环境的重要技术基础和物质基础,其是能够科学合理建立校园远程教育体系的有力保证,所以我们应该对校园网络安全防火墙技术有所认知且对相关难题加以解决,以至达到预期教学目的。
1 校园网络信息安全和安全防火墙技术概述
1.1 我国校园网络信息安全的具体含义是指校园网络系统硬件、校园网络系统软件和相关网络系统数据保护等并不会受到偶然外界因素和恶意原因等遭到破坏修改和泄密等且能使整体网络系统正常运行,保证基本网络服务不会被中断。而我们通常所说的防火墙则是指建立在计算机网络边界中对应计算机网络监控系统,使用此种方式来保证计算机网络安全。与此同时计算机网络防火墙是加强计算机内部网络和网络之间的计算机网络安全防御系统,防火墙主要由防火墙硬件设备和防火墙软件设备共同构成。
1.2 从整体计算网路安全防火墙角度而言,校园网络安全防火墙具体功能包括封堵相关计算机网络氛围禁止行为和管理进出计算机网络访问行为以及记录通过计算机网络安全防火墙信息内容等,需要注意的是计算机网络安全防火墙活动信息和计算机网络攻击进行检测以及计算机网络攻击进行告警提示等都属校园网络安全防火墙基本范畴。校园网络安全防火墙技术主要包括过滤计算机网络安全技术和计算机应用技术两种。从实际角度出发可以得出对应结论,实际校园网络安全防火墙产品通常都是上述二者共同结合创造而成的。
2 校园网络安全防火墙技术具体探讨与分析
2.1 校园网络安全防火墙技术之包过滤技术
我们通常所说的校园网络安全防火墙包过滤技术主要是指较为老旧的计算机网络防火墙应用技术,校园计算机网络防火墙包过滤技术发展至今,现已成功做到从计算机网络完全防火墙静态包过滤技术到计算机网络安全防火墙动态包过滤技术的转化。
2.2 校园计算机网络安全防火墙静态包过滤技术
静态包过滤技术相对简单且易于实现,校园计算机网络安全防火墙静态包过滤技术在网关主机TC协议栈和网关主机IP协议栈二者中所具有的的对应IP层增加流程进行具体技术过滤审查过程,之后在此基础上对IP包进栈和IP包转发以及IP包出栈三者进行对均包源地址和均包目的地以及均包端口等进行检测,对相关计算机网络用户可以可与上述内容作出安全问题解决策略。一般较为常见的问题就是对某些计算机网络源地址机制对外访问策略实施和禁止对外部计算机网络目标地址访问等,并在此过程中关闭计算机网络危险端口。图1为校园计算机网络安全防火墙静态包过滤技术系统示意:
图1 校园计算机网络安全防火墙静态包过滤技术系统示意图
2.3 校园计算机网络安全防火墙动态包过滤技术
校园计算机网络安全防火墙动态包过滤技术主要包括一定量的计算机网络安全防火墙静态包过滤技术和动态检查计算机网络系统有效连接状态审查技术,所以在计算机领域又称其为计算机网络安全防火墙状态包过滤技术。需要了解到,状态包过滤技术摒弃了较为传统老套的第一代计算机网络安全防火墙动态包过滤技术,传统计算机网络安全防火墙包过滤技术只是简单基于计算机网络头信息、过滤规则不足可能导致计算机网络安全系统出现安全漏洞,并在此基础上也不会对大型计算机网络管理能力添加动力。SPFs相对于计算机网络安全防火墙包处理规则是以对应动态形式出现的,SPFs技术为技术基础的计算机网络安全防火墙是一个动态计算机网络出入口,就算在同一个计算机网络信息服务端口中,SPFs技术也可根据计算机网络运行状态监测结果进行打开程序操作和关闭程序操作等。SPFs技术可以科学合理地对各个有效连接重要施以监督审查,之后以此为基础,将计算机网络前数据和计算机网络状态信息与在其之前时间多的计算机网络数据包和计算机网络状态信息进行详细比较,换个角度而言,也就是说SPFs技术可以经过严密计算机网络系统算法分析,按照结构实施对应解决策略和解决手段操作,此时可以允许出现数据包通过状态和数据包拒绝通过状态以及加密数据整体显示等多种状态出现。
3 校园计算机网络安全防火墙应用技术
我们通常所说的应用防火墙工作方式与上述基于包过滤校园计算机网络安全防火墙技术不同,因为校园计算机网络安全防火墙应用技术是基于相应软件系统得以运行的。当计算机网络远程用户有与相关计算机运行网关网络连接意向时,此时我们应该运用网关会导致远程联接阻塞的状况发生,之后要会对计算机网络连接请求域中的每一个环节进行详细检查和审核,其中计算机网络请求域主要包括应用协议和用户账号两种。如果此时计算机网络远联接请求符合计算机网络应用要求时,相关应用网关此时就可以向计算机网络外部发出连接请求,换个角度而言,就是说计算机网络应用网关此时为访问中介。较为典型的计算机网络应用网关不可将计算机网络IP数据进行计算机内部网络转发,此时应用自身计算机网络系统作为计算机网络转换器,之后在此基础上计算机网络解释器会完成整个计算机网络访问过程。
4 结束语
综上所述,防火墙技术已是当下我国校园网络安全建设中一项重要组成部分和实施环节,利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高,计算机网络完全防火墙静态包过滤技术和计算机网络安全防火墙应用技术是防火墙技术中两个重要方面。计算机网络技术的迅速普及使得计算机网络技术日渐融入我们工作和生活中以及相关学习方式中。
参考文献:
[1]方胜.防火墙技术在校园网中的应用[J].电脑知识与技术,2005(26).
[2]罗来俊.防火墙技术在校园网中的应用[J].科技广场,2008(10).
[3]张新刚,刘妍.浅析防火墙技术及其在高校校园网中的应用[J].教育信息化,2006(09).
防火墙在网络中的应用范文6
关键词:防火墙技术;网络安全;应用探究
当前,随着社会的进步和科学的发展,以互联网为代表的先进技术逐渐深入人们的工作和生活,并带来了巨大的便利。而互联网技术作为一把“双刃剑”,其网络安全问题也时刻威胁着人们的生产生活,尽管其影响力大、破坏性强,但在入侵过程中却往往难以被人察觉。从本质来说,网络安全能够通过访问控制和通信安全两种服务来保障自身安全,而防火墙是网络入口的首要防线,这种服务要达到最佳效果,需要防火墙技术与加密技术联合防护。实践证明,防火墙技术的网络防御效果显著,并且能够广泛用于各个领域,有效保障网络安全。随着科学的发展,防火墙技术也会不断进步与发展,实时保障用户的网络安全。
1概述
1.1基本概念
所谓防火墙,就其概念而言来源于建筑学,意指防止火灾从建筑物燃烧至另一建筑物的阻碍物,而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为:计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的,并且只有内部访问权的通信方允许通过的技术。实质上,防火墙即为一种隔离控制技术,以增强系统内部网络的可靠性,保障用户安全为目的。
1.2基本功能
作为保障用户网络安全的重要技术,防火墙主要有以下基本功能:(1)防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分,隔离重点网,以防出现局部网不安全造成全局网不安全的现象。此外,防火墙技术通过对进入系统的用户身份进行严格验证,对网络进行相应技术加密,能够有效防止入侵者窃取用户数据信息。(2)增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起,与传统防护模式中各个系统主机共同处理网络安全的解决方式相比,显然这种集中管理模式保障安全显得更为方便、高效。(3)保障网络安全。主要表现在防火墙可以阻止不安全的进程,减小入侵风险,保障网络安全。此外,防火墙还能拒绝部分来自路由的攻击,并报告给网络管理员,以尽可能减少对其他用户造成麻烦的情况。(4)网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
2防火墙的分类
2.1电路级网关防火墙
电路级网关防火墙是目前较为常见的一种防火墙,其本质是一个用于监控客户机或服务器的通用服务器,它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议,但缺陷在于对同一协议栈运行的不同应用无法及时识别,因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中,电路级网关防火墙的服务器会对客户端进行部分修改,当客户端发送相应的请求,服务器便对请求进行接收,并客户端完成网络的连接工作。可以看出,此类防火墙能够将网络信息进行隐藏,保障信息安全。
2.2应用级网关防火墙
应用级网关防火墙是一种应用服务器,主要在内、外部网络在进行网络交换申请服务时起连接的功能,其工作方式如下:(1)验证用户是否符合进入条件,如若验证成功,则将用户请求发送到内部网络的主机,此时也会对用户进行的操作进行实时监测;若发现危险或疑似危险则阻断访问。(2)当用户是由内部网络申请连接外部网络时,防火墙工作模式会先对内部网络发送的请求进行接收和检查,若合乎要求,防火墙将请求发送至外部网络。由此看出,这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好,它在内外网主机之间起连接作用,而不允许其直接连接,能够有效保障使用过程中的安全性。此外,这种服务器还能够对用户的操作记录得更加详尽。
2.3静态包过滤防火墙
静态包过滤防火墙作用于网格层,对进出内部网络的信息进行全面分析,再根据相应安全策略对信息过滤,其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础,允许授权信息进出,限制危险信息进出。当前,路由器被广泛用于网络的信息传输,连接在内、外部网路之间,因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术,因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用,运行速度快,且透明性较高。这种防火墙技术的工作运用同应用层没有关系,这就意味着不用对用户主机的应用程序进行修改,配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识;另外这种防火墙技术不能够对用户的操作进行鉴别。
2.4状态监测型防火墙
状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间,可以对网络通信进行跟踪监测,并对相关状态信息进行提取;此外,状态型监测防火墙还能对动态链接表中的状态和信息进行储存,并及时更新,通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑,相对而言,型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述,状态型防火墙能够有效减少端口开放时间,并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接,对部分网络安全隐患难以起到防护作用;此外,状态监测型防火墙不能够对用户操作进行鉴别。
3防火墙在网络安全访问控制中的应用
3.1双宿主主机模式
双宿主主机模式是通过主机的使用来实现的,这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间,以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信,它们都只能与网关进行通信,而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。
3.2屏蔽主机模式
屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成,其中堡垒主机位于内部网络,过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道,使得外部网络和内部网络都只能连接到堡垒主机,当内部网络有通信需求时,必须先到堡垒主机,堡垒主机再进行判断,并决定是否允许连接到外部网络。因此,入侵者要想实现对用户电脑的入侵,必须首先将主机攻克,方能到达内部网络,主机结构如图1所示。
3.3屏蔽子网模式
屏蔽子网包括堡垒主机以及两个包过滤器等部分,其内、外部网络主机间设置具有隔离功能的子网,以形成隔离区,设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下,内、外部网络都能够访问屏蔽子网,而不允许穿过子网进行通信,这种配置使得当堡垒主机被攻克时,内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护,因为必须攻克两个路由器和一个网关才能成功入侵。
4防火墙未来发展趋势与展望
防火墙技术作为保障网络安全的重要举措之一,未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展,可全面保障用户信息、应用程序与操作过程的安全,且会具有如下新的优点:(1)高速性。现阶段,防火墙的运行速度不够快的问题突出,而随着科学技术的发展,防火墙将会更多与芯片技术相融合,利用芯片提升计算的速度和精度,最终成为以芯片技术为主的全硬件型网关,大幅度提升网络安全。(2)智能化。现阶段,网络安全威胁主要包括病毒传播、网络攻击、内容控制,其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果,因此未来的防火墙技术一定是朝智能化方向发展的。(3)多元化。随着网络技术的不断发展,多种网络模式已被运用,未来的防火墙将会形成一种可随意伸缩的模块化解决方案,为不同网络设置不同技术的防火墙,为用户提供多元化的保障。
5结语
随着人们对网络技术的运用越来越多,依赖性越来越强,人们对网络安全也越加重视。实践表明,防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁,防火墙技术需要不断地更新和发展,在保障网络安全这条隐蔽的道路上,人们需要做的仍然很多。只有人人注重网络安全,采用先进技术,才能形成全方位的防御体系,保护人们的信息资源。
作者:张林 单位:中国航空动力机械研究所
参考文献
