防火墙在网络中的作用范文1
关键词 防火墙;网络安全;技术研究
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)02-0116-01
信息时代的到来,促使网络已经涉足到我国的各个领域,不论是运行工作,还是机密防护,都涉及到网络,网络安全逐渐成为重点关注的内容。为保障网络安全,可利用防火墙的检测、警示、防护作用,维持网络环境的安全状态,避免恶意攻击和病毒植入,近几年,有关防火墙的新型技术不断出现,例如:加密、认证等,严谨控制网络环境,提高防火墙的把关工作。
1 防火墙简介
防火墙是针对网络环境而言,网络信息在交互的过程中,通过防火墙,实现由内而外、自外而内的保护,例如:外部信息进入内部网络环境时,防火墙可以利用内部的组件,对流通信息实行高质量检测,符合内部网络要求时,防火墙才可“放行”信息,如发现危险信息,防火墙会主动隔断其与内部的联系,然后生成安全日志,防止同名恶意信息的再次攻击,因此,防火墙本身具备高质量的运行系统。防火墙具备防御的性质,发挥限制信息的作用,而且防火墙干预的范围非常广,基本可以保护所控制的网络整体,既要确保系统不被外界恶意信息攻击,又要保障内部信息的安全储存,防止信息泄露,同时防火墙还可以起到隔离的作用,一方面有效分析运行、传递的信息,另一方面限制信息往来,体现防火墙独立的信息处理能力。
2 防火墙在网络安全中的要点
网络安全技术中,防火墙具备不可缺少的一部分,同时期在对网络信息进行安全保护时,表现出诸多要点,必须做好防火墙要点分析的工作,才可发挥防火墙的保护作用。
2.1 防火墙的维护
防火墙是根据外界攻击的类型、特性实行升级更新,在安装后,需实行同步维护,开发者研发防火墙后,并不是可以一直维护网络环境,需对其进行有针对的更新,根据防火墙在使用中表现出的缺陷,进行实质修复,所以使用者必须注重后期维护,时刻跟踪防火墙的状态,保障防火墙时刻处于最新型的保护状态。
2.2 防火墙的配置
防火墙的配置,即是实现信息保护的策略,通过合理的配置,可以提高防火墙的防护能力,因此必须保障配置原则,首先需要分析网络环境的风险级别,采取合理的防护配置,避免高风险对应低级配,然后分析网络运行要素,针对网络需求,选择合理的配置,再次明确策略,主要是根据网络的危险性,制定防火墙策略,实现最优处理,最后搭配适宜,重点是实现网络是防护的高度吻合性。
2.3 防火墙的失效处理
防火墙虽然可以起到防护作用,但是在一定程度上,有可能被恶意攻破,导致其处于失效状态,防火墙一旦失效,即表示其暂时失去防护能力,主要观察防火墙的失效状态,看是否能够自行恢复防御效果,一般防火墙会自动重启,逐步恢复失效前的能力,此时使用者可关闭防火墙内的所有通道,禁止数据流通,对防火墙实行评估、检测,达到正常后,在投入使用。
2.4 防火墙的规则使用
防火墙在使用规则方面,遵循“四部曲”的工作流程,即策略、体系、规则和规则集。按照四项使用流程,在保障信息安全的基础上,增加流通性,维护信息的真实性,体现防火墙的保护功能,其中最重要的是规则集,其可确保防火墙的状态,促使防火墙时刻处于信息检查的状态,将出、入的信息如实记录。
3 防火墙在网络安全中的分类和功能
网络是时刻处于不同类型的变动状态中,防火墙必须摸清网络的变化特性,才可发挥防御功能,目前针对网络的不同使用特性,防火墙出现不同性质的分类,对防火墙的分类和功能做以下分析。
3.1 防火墙的分类
按照性质可将防火墙分为三类:监测型、型和过滤型,分析如下。
1)监测型。监测型属于目前安全性能比较高的一类,支持后台维护,即自动对正在运行的网络,实行抽检、防护,而且不会造成任何网络负担,有效监测网络是否存在外来攻击,同时防止网络内部的自行攻击,结合网络层次和机制,监测网络运行。
2)型。型虽然效率高,但是安全性能存在不足之处,其可在内外交接的过程中,有效掩藏内网,切断内外连接,避免内网遭遇攻击,型主要是防止木马、病毒以及其他恶意植入,此类防火墙使用时,必须搭配合理的服务器,以此提高防御的效率。
3)过滤型。过滤型应用在数据流通较大的网络内,其主要的作用对象也是数据流,因为其在维护上没有较高的要求,所以其为防护基础,基本网络环境中,都安装此类防火墙。
3.2 防火墙的功能
1)控制内部数据。通过防火墙,加强网络访问的安全度,例如:防火墙对网络访问者实行身份验证,保障访问安全,保障内部访问者的安全登录,确保内部信息、数据的安全,避免内部出现行为攻击。
2)提高网络安全度。防火墙与网络其他防护软件形成组合,提高安全程度,高端防火墙还实现专有信息,即加密内部信息,对信息进行集中处理,在信息流通的过程中,必须经过防火墙的加密保护和检测。
3)监控网络运行。防火墙可以有效监控网络运行,警示发生在网络区域内的行为,一旦发现网络危险,立刻提示,记录并处理危险动作,分析是否存在攻击信息。
4)屏蔽外界干扰。防火墙可以针对网络形成整体的保护层,避免外界危险信息的入侵,防火墙中包含协议解析功能,针对外界进入的信息,分析路径、IP,进而搜索到信息来源,部分外界攻击容易利用IP,因为IP协议处于暴露状态,所以防火墙重点屏蔽网络IP处的信息干扰,同时防火墙可以屏蔽网络的多项暴露处,避免为外界攻击构成信息通道。
4 结束语
防火墙本身是建立在运行系统基础上的软件,针对网络构建安全的运行环境,目前,防火墙在网络安全中占据重要地位,因此,社会投入大量的科研力量,重点研究防火墙中的网络技术,促使其既可以形成保护系统,又可以提高网络的安全效果,营造可靠、安全、稳定的网络环境,积极推进网络在企业中的利用度,同时保障企业网络系统的运行。
参考文献
[1]张连银.防火墙技术在网络安全中的应用[J].科技资讯,2012(09):90-92.
[2]刘彦保.防火墙技术及其在网络安全中的应用[J].延安教育学院学报,2012(02):56-58.
防火墙在网络中的作用范文2
关键词:防火墙;校园网;病毒;服务器;路由器
近年来互联网技术蓬勃发展,人们网络使用的频率以及依赖度不断提高,校园网络在学校教学、管理等方面的作用日益凸显出来,同时校园网网络安全问题也越来越严重,各种计算机病毒、黑客以及非法入侵事件不断出现。防火墙技术作为网络安全的一项重要技术,在校园网络安全当中有着重要的应用价值。
1防火墙技术概述
1.1防火墙的功能
防火墙可以说是校园网络安全重要的保障,通过监测并控制网络之间交换的数据包以及访问行为,对网络实行严格的安全管理,所以防火墙需要具备基本的功能,例如控制管理网络访问行为,检测并告警网络攻击行为,对于不安全的服务以及信息进行限制与拦截,隐蔽校园网络并对进出数据加以监控,记录防火墙信息以及活动等。因为防火墙的作用非常重要,所以防火墙一方面需要具备这些常规功能,另一方面也应当具备附加功能,比如入网身份的验证和授权,病毒的免疫功能、虚拟专用网和网络地址转换等等。
1.2防火墙的优缺点
在防火墙的优点方面,防火墙可以保护校园网络安全,设置安全策略保证符合要求的那些请求才可以通过防火墙,从而有效避免非法入侵行为,并且防火墙作为校园内部网络同外部网络进出的控制点,可以收集并记录网络使用信息以及错误信息,确保校园网络同外部网络联系的安全性。防火墙可以间隔网络当中的网段,避免因为某个网段安全问题而影响整个校园网络的使用,作为检查站可以检查那些试图侵入校园网络的行为,从而避免可疑访问进入。
在防火墙的缺点方面,防火墙虽然可以保护校园网络安全,不过作用并非是绝对的,也有其自身的缺点。防火墙可以保护校园网络当中系统用户发送的安全信息,不过要是用户直接复制信息,这些复制的信息就可以绕过防火墙,从而非法带走数据信息,对侵入的信息而言,防火墙同样无法加以控制,并且对校园网络内部用户窃取数据以及信息,破坏校园网络软件硬件的行为,防火墙都无法发挥作用。要是信息绕过防火墙传输,同样无法有效拦截入侵者。除此之外,防火墙充分发挥作用的需要良好的设计方案,设计方案合理才可以防备已知的安全威胁,而没有防御新出现的安全威胁的作用。
2校园网络应用防火墙技术的必要性
(1)计算机病毒问题。计算机病毒可以说是威胁校园网络安全一个最为常见的影响因素,计算机病毒传播的途径多种多样,U盘、网络下载以及邮件等都是常见的传播方式。同时随着病毒产业链的不断发展壮大,解密以及道好问题带来用户信息以及隐私泄露、网络阻塞、文件破坏以及硬件损害等现象层出不穷,甚至有可能导致校园网络系统瘫痪。由于校园网络的用户数量比较多,网络安全管理方面存在欠缺,容易给计算机病毒传输提供条件,尤其是校园网络使用涉及到各种资源的共享,从而容易使得计算机病毒造成教学科研成果的泄露。
(2)黑客攻击的问题。因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方,黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
(3)内部用户的问题。现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
3防火墙技术在校园网络安全中的应用
3.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
3.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
3.3配置路由器防火墙
防火墙技术在校园网络安全当中的应用一方面除了使用服务器,另一方面就是通过路由器来接入到Internet。路由器作为连接多个网络的设备,可以在不同网络间实现数据信息交换。现在路由器的功能日益增多,其中一个重要功能就是具备安全功能,集成防火墙以及VPN(虚拟专有网络)等方面的功能。通常情况下,安全路由器在接入Internet的时候采用防火墙技术,基于源以及目标IP地址和端口过滤环节的防火墙技术,并且通过防火墙技术,能够让内部局域网避免受到外网的攻击,从而发挥安全防护作用。
3.4防火墙入侵检测
防火墙在网络中的作用范文3
关键词:防火墙;内部网络;安全防护策略
前言
近几年来,计算机网络已经成为现代社会发展过程中的重要组成部分,在给现代人的生活、工作、学习带来便利的同时,也造成了严重的安全隐患,恶意攻击、计算机病毒、非法入侵等行为日益加剧,给个人、企业、社会都带来了不同程度的损失,网络安全已经成为现代社会重点关注的问题。防火墙是一种常见的网络安全技术,其合理使用能够有效的降低计算机网络中的安全隐患,为用户的内网信息安全提供基本保障。
1 防火墙的基本介绍
防火墙是隔离在内部网络和外部网络之间的一道防御系统,它能够帮助内部网络系统抵挡来自外部网络的攻击与入侵,为内部网络的安全性提供基本保障。从本质上来看,防火墙是一种隔离技术,能够对内部网络与外部网络之间的通信进行合理的控制,它能够允许外部数据、外部用户进入到内部网络当中,同时也能够将恶意的外部数据、外部用户阻隔在内部网络之外,未经授权的外部网络是不能够访问内部网络的,从而避免恶意的外部网络进行内部网络信息的更改、拷贝、销毁等行为,进一步确保计算机内部网络信息的安全性。防火墙主要包括服务访问规则、验证工具、包过滤和应用网关四个部分组成,在实际使用过程中的功能比较丰富[1]。
2 防火墙的主要应用
2.1 防火墙在网络安全中的应用
随着科学技术的不断完善,防火墙在计算机网络安全中的使用越来越广泛,防火墙技术也趋于成熟,在内部网络与外部网络通信的过程中发挥着至关重要的作用,相当于一个安全过滤的装置,能够将来自外部网络的恶意入侵都阻隔在内部网络之外,为内部网络的运行划分出一个安全的区域,是一种有效的网络安全防护手段。在进行网络安全管理的过程中,主要有两种规划方式,一种是在现行的网络中安装防火墙,通过合理添加防火墙的方式增强计算机内部网络的安全性能,采用透明模式进行防火墙的安装,虽然用户在实际应用的过程中感受不到防火墙的存在,但是它确实对用户的网络安全起到了保护的作用。
另一种方式是在设计网络结构的初级阶段就充分考虑网络安全的问题,在网络设计方案当中加入防火墙的设计的内容,相对于透明模式的防火墙设计,更加倾向于混合模式的设计理念,通过连接应用服务器和用户机来提高网络通信的性能,最大限度的为网络安全提供有效防护,确保其他服务项目的顺利进行。另外,这种模式的防火墙设计结构还具有极强的延展性,能够根据计算机网络结构设计的实际情况添加防火墙[2]。
2.2 防火墙在内网安全中的应用[3]
防火墙属于内网与外网之间的安全防护措施,从表面上看主要是阻隔来自外网的恶意入侵、散播计算机病毒等行为,没有直接进行内部网络的管理与保护。其实,防火墙在内网安全中的同样具有广泛的应用。将防火墙安装在计算机网络中不同的位置,所起到的作用也有很大的差异,放置于内网与外网之间的防火墙主要对外网进行管理,而放置在内网中的防火墙则是保护内网安全的控件。在放置于内网中的防火墙上安装TCP/UDP端口过滤功能,那么防火墙在应用的过程中就能够对计算机内网所接收到的数据信息进行过滤,从而起到内网安全防护的作用。
3 基于防火墙的内网安全防护策略
使用防火墙的最终目的就是要确保计算机内部网络信息的安全性,为用户的内部网络信息提供最大限度的安全保障。但是,计算机内网的网络结构比较复杂,要想充分发挥出防火墙的保护作用还需要做出一定的调整,本文主要采用增加防火墙数量的手段来提高计算机内网的安全运行,如图1所示。
通过图1我们能够知道,这种模型利用三个防火墙把一般内网中的传输服务器、用户终端与核心服务器三个区域进行区分,传输服务器、用户终端与核心服务器相互之间通信的时候都需要经过防火墙的同意,进一步确保计算机内网的安全性。图1中将最重要的信息安排在了最内层,外部网络如果想要获取最内层的信息首先要经过五层防火墙,用户与外部网络之间的通信也需要经过三层防火墙,甚至就连内部用户与核心服务器之间的通信都需要经过两层防火墙,有效的对计算机内部的信息进行保护。
这种防火墙设计模式不仅能够在内部网络与外部网络之间建立一种安全防护,还能够帮助计算机系统进行内部网络的安全管理,最大限度的l挥出计算机内部资源和外部资源的优势,利用防火墙技术将内部网络和外部网络有机的区分开,并且在防护的过程中还能够加强对于内部网络的安全管理。另外,这种多层防火墙的设计模式还具有一定的延伸性,设计师可以根据计算机内部网络构架的复杂程度进行防火墙的添加,进一步增强防火墙对内部网络的保护作用,对于提升内部网络的安全性和实用性有很大的帮助[4]。
4 结束语
综上分析可知,本文以三个防火墙技术为例进行内网安全防护策略的分析,确保防火墙技术的应用效果在内网中能够最大限度的发挥出来,为内网的正常使用提供安全保障。这种防护策略能够在原有内网防护系统的基础上增加防火墙的个数,直到对内网中的所有组成部分都进行妥善的保护。计算机内网安全防护不仅需要管理人员的监督与维护,还需要计算机使用者的鼎力配合,进一步提升使用者的安全意识,从而有效的进行内网的安全防护工作。
参考文献
[1]庞雄昌,王 .一种改进的内网安全防护策略[J].计算机安全,2011,12:9-12.
[2]张亮,黄子君.基于防火墙的内网安全防护策略研究[J].科技风,2014,19:13.
防火墙在网络中的作用范文4
关键词:防火墙 网络安全 技术
0 引言
随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
1 防火墙的分类
防火墙是在内部网与外部网之间实施安全防范的系统,它用于保护可信网络免受非可信网络的威胁,同时,仍允许双方通信,目前,许多防火墙都用于Internet内部网之间,但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙);以及继复合型防火墙之后的第三代防火墙,在第三代防火墙中最具代表性的有:IGA (InternetGatewayAppciance)防毒墙;SonicWall防火墙以及Cink TvustCyberwall等。
按防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。
网络防火墙技术是一种用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式,按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2 防火墙在网络安全中的作用
防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害,并尽可能地将有害数据丢弃,从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的:①限制他人进入内部网络,过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视Intemet安全提供方便。
3 防火墙的工作原理
防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中,防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用,只允许授权的通信通过。防火墙是两个网络之间的成分集合,有以下性质:①内部网络和外部网络之间的所有网络数据流都必须经过防火墙;②只有符合安全策略的数据流才能通过防火墙;③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙;二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙;三是记录通过防火墙的信息内容和活动;四是对网络攻击的检测和告警;五是防火墙本身对各种攻击免疫。
4 防火墙技术
防火墙的种类多种多样,在不同的发展阶段,采用的技术也各不相同,因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有:
4.1 屏蔽路由技术 最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层),采用包过滤或虚电路技术,包过滤通过检查每个IP网络包,取得其头信息,一般包括:到达的物理网络接口,源IP地址,目标IP地址,传输层类型(TCPUDP ICMP),源端口和目的端口。根据这些信息,判别是否规则集中的某条目匹配,并对匹配包执行规则中指定的动作(禁止或允许)。
4.2 基于的(也称应用网关)防火墙技术 它通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网。由于网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就称为“”,通常是为其所提供的服务定制的。服务不允许直接与真正的服务通信,而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪,许多专家也认为它更加安全,因为软件可以根据防火墙后面的主机的脆弱性来制定,以专门防范已知的攻击。
4.3 包过滤技术 系统按照一定的信息过滤规则,对进出内部网络的信息进行限制,允许授权信息通过,而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包,从其IP头、传输层协议头,甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,执行其相关的动作。
4.4 动态防火墙技术 动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口,IP地址的输入输出业务,因而限制了控制能力,并且由于网络的所有高位(1024—65 535)端要么开放,要么关闭,使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则,使其适应不断改变的网络业务量。根据用户的不同要求,规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态,它必须对所有进出的数据包进行分析,从其传输层,应用层中提取相关的通讯和应用状态信息,根据其源和目的IP地址,传输层协议和源及目的端口来区分每一连接,并建立动态连接表为所有连接存储其状态和上下文信息;同时为检查后续通讯。应及时更新这些信息,当连接结束时,也应及时从连接表中删除其相应信息。
4.5 一种改进的防火墙技术(或称复合型防火墙技术) 由于过滤型防火墙安全性不高,服务器型防火墙速度较慢,因而出现了一种综合上述两种技术优点的改进型防火墙技术,它保证了一定的安全性,又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求,由于对内部网的安全威胁不大,因此可直接下载外部网建立连接,对于那些从外部网向内部网提出的请求,先要通过包过滤型防火墙,在此经过初步安全检查,两次检查确定无疑后可接受其请求,否则,就需要丢弃或作其他处理。
5 防火墙的应用
5.1 硬件防火墙的设置
下面以思科PIX 501型防火墙为例,设置如下:要设置内部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10. 1. 1. 1 255. 0. 0. 0
PIX1(config)#
现在,设置外部接口的IP地址:
PIX1(config)#ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ether-net1接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
最后设置一个默认的路由,这样,发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10. 76. 12. 254):
PIX1(config)#route outside 0 0 10. 76. 12. 254
PIX1(config)#
当然, PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。
现在,我们接着介绍一些更高级的设置。网络地址解析
由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NATOverload”的网络地址解析。这样,所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点,请输入这些命令:
PIX1(config)#nat ( inside) 1 10. 0. 0. 0 255. 0. 0. 0
PIX1(config)#global (outside) 1 10. 1. 1. 2
Global10. 1. 1. 2 will be PortAddressTranslated
PIX1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址10. 1. 1. 2。然而,客户机到目前为止还没有任何规则允许他们这样做。
5.2 软件防火墙的设置以天网、诺顿防火墙为例:
5.2.1 天网防火墙(2.60版) 在天网防火墙的主面板上点击“系统设置”按钮,在弹出的“系统设置”窗口中,点击“规则设定”中的“向导”,就会弹出设置向导。
在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮,进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”,软件便会自动探测本机的IP地址并显示在下方。接下来,一路点击“下一步”按钮即可完成设置了。
5.2.2 诺顿个人防火墙 在软件的主界面左侧点击“Internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
防火墙在网络中的作用范文5
从逻辑上讲,防火墙是分离器、限制器和分析器。防火墙就是位于内部网或WEB站点与因特网之间的一个路由器或一台计算机。所有进入或流出内部网络的数据包,都要经由防火墙。而所有经由防火墙的数据都必须经过防火墙设置中的安全策略和安全计划的确认和授权才可通过,未经授权的数据包将被丢弃。防火墙使用这一工作原理,将可有效防范黑客、木马程序及网络病毒对网络安全带来的危害,尽最大可能保护内部网络的信息安全。防火墙按照不同的工作机制又可分为三类:包过滤技术、堡垒主机、服务。现简要叙述这三类技术的工作原理。
1)包过滤技术
在网络中传输的信息主要是以数据包的形式发送,数据包又分为包头和数据两个部分,数据包的包头中,包含了数据包的源IP地址和目标IP地址。数据包正是根据这样的信息,被在网络中的不同路由器根据路由表进行转发,从源地址发送往目标地址的。在包过滤路由器中,由管理员设置安全规则,并根据安全规则对将转发的数据包进行检查,当发现不符合安全规则的数据包时,数据包将被丢弃。由于包过滤只检查数据包的包头中信息来决定是否对数据包进行转发或丢弃,所以原理相对简单和有效,易于扩展。但它也有一些缺点和局限性。在系统中配置包过滤规则较为困难,管理员很难在包过滤规则中考虑全面,而且对于安全规则的测试也较为麻烦。由于不支持应用层面的安全过滤,有些安全规则是难于用包过滤系统来实施也难以实现。所以实际应用中,包过滤安全往往要与其它防火墙技术结合使用。
2)服务
运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机是由一台安装有服务协议的双重宿主主机构成,主机可连接内部网络和外部网络。所谓就是一个提供替代连接并且充当服务的网关。也被称为应用网关。外部网络对内部网络的访问请求,通过服务器的安全规则的检测,对于合法的连接请求,服务主机以自身的身份与内部网络相联,并转发数据,内部网络的连接请求,也是通过服务主机与外部网络相联的。服务主机是在应用层提供服务,在管理员控制下,允许或拒绝特定的应用程序或特定服务,所以在服务主机中,可对转发和拒绝的数据流实施监控、记录、过滤、报告。由于服务机制中,对数据包进行转发,对外部的访问可屏蔽内部网络的IP地址,服务应用层也是制定更为严格的安全策略。
3)保垒主机
人们把处于防火墙关键部位,运行应用级网关软件的计算机系统称为堡垒主机。保垒主机在防火墙的建立过程中起着至关重要的作用。堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中到某个主机上解决。堡垒主机是网络中最容易受到侵害的主机,所以堡垒订机也必须是自身保护最完善的主机。由于堡垒主机是最易受到攻击,所以在堡垒主机中设置服务必须最少,堡垒主机中的服务软件也尽可能低的权限。建立堡垒主机的目的是阻止入侵者到达内部网络。堡垒主机目前一般有3种类型:无路由双宿主主机、牺牲主机和内部堡垒主机。无路由双宿主主机,有多个网络接口,但接口之间无路由的连接。牺牲主机是一种没有任何需要保护信息的主机,入侵者可随意登录,但又不能与任何主机相联。
2防火墙对于网络安全的不足之处
虽然,现有的防火墙技术对经由防火墙数据流进行了过滤,一定程度上保护了内部网络的主机的安全,但不足之处也非常明显。包过滤防火墙,在过滤数据包时对用户完全透明,只根据数据包中的IP信息将数据包进行转发或丢弃,效率高。但只作用于数据链层,无法防御具有地址欺骗的网络攻击方式,对于应用程序中的安全保护作用有限。服务类防火墙,将内部与外部隔离,内部与外网的信息经由防火墙进行转换,对外网屏蔽内部的结构,以达到保护内部的目的。服务于应用层,可制定转为严格的保护策略,但工作的速度对于路由器工作速度慢,且过程对于用户是隐蔽的,不同的服务,使用不同的服务器,所以服务防火墙工作效率较低。传统的防火墙也有明显不足之处:
1)对于不经由防火墙网络攻击不能防范。
2)不能防范受病毒感染的文件、软件和文档的传输。
3)不能防范内部网络的攻击。
4)防火墙的工作方式是被动的,无法根据网络攻击作出适应调整。
5)对于具有欺骗性的网络攻击,缺少应对手段。
3防火墙的新技术及安全防护策略
近年来,针对传统防火墙的不足,对防火墙技术进行改进及安全防护策略。
1)在设计防火墙安全策略时,禁止不经由防火墙的访问,确保内部网络与外部所有信息流都经过防火墙。
2)与防病毒软件相结合的防火墙技术,在应用网关的防火墙中,与第三方杀病软件相结合,对经由防火墙的数据进行检测,将病毒防御在防火墙之外。
3)智能防火墙技术,针对传统防火墙被动防御的缺点,新型智能防火墙内外路由器、智能认证服务器、智能主机和堡垒主机组合构成,实现过滤规则自动产生和自动配置,对新发现的安全威胁进行自主防御。
4)分布式防火墙,分布式防火墙由安全策略管理服务器和客户端防火墙构成。安全策略服务器负责安全策略、用户、日志、审计等管理。客户端防火墙负责对安全策略的实施。分布式防火墙可防御各种类型的被动攻击与主动攻击。
5)集中防火墙,集中防火墙是在入侵检测技术的支持下,建立一个网络入侵检测系统和防火墙集成模型。入侵检测系统可有效弥补防火墙无法识别网络攻击的缺陷。入侵检测系统将有效识别网络攻击并动态调整防火墙的安全规则,使防火墙具有一定的智能化。
4结束语
防火墙在网络中的作用范文6
关键词:网络安全;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1672-3198(2007)09-0240-02
1 从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2 从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packet filtering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(Application Proxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3 从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4 按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5 按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
