网络安全的根源范文1
数据加密技术是计算机网络安全的关键技术,是整个网络信息安全的核心技术,对网络数据的传输、存储等过程起到一定的保密作用。众所周知,计算机网络信息在传输和存储的过程中,会存在一定的风险性,可能会受到非授权人入侵,尤其是对一些大型企业的保密信息,甚至是国家保密信息,如果由非授权人获得并应用之后,会对企业乃至国家造成极大的影响,而采用数据加密技术之后,会对网络信息的安全有着足够的保密性,即使加密后的网络信息在传输、存储的过程中会被非授权人入侵,也能够保证这些信息不会被他人认知,起到保护网络信息安全的目的。
2计算机网络安全管理维护
2.1计算机网络配置的管理维护
计算机网络配置的管理主要是对网络进行初始化,并根据网络环境来配置,为计算机用户提供相应的网络服务,在计算机安全管理中占有重要的地位。计算机网络配置管理是由定义、辨别、监视、控制等功能实现的一个通信网路对象,而且是与网络性能有着直接的联系,如果网络配置不科学的话,网络性能也会大大降低,也会给一些网络攻击者创造更多有利的攻击条件,对计算机网络的安全造成一定的威胁,因此,应根据网络环境合理的做好计算机网络配置,确保网络能够在最佳的状态下运行,这样才能进一步保证计算机网络使用的安全[2]。
2.2网络故障的管理
网络故障是计算机网络技术中经常发生的,对计算机网络使用的安全有着一定的影响,为了避免网络故障给计算机网络安全带来威胁,应做好网络故障的管理工作。故障管理作为计算机网络管理的重要组成,是保证计算机网络安全、可靠的基础,可以实现对网络故障快速诊断、确定故障原因、处理故障的功能,例如,当计算机网络中有某个组成失效的情况下,网络就会发生故障,而通过网络故障管理能够及时的排查并确定故障原因,如果是因为某个文件、驱动等导致的,网络故障管理会迅速隔离故障,对其进行确认,直至分析出并修复网络故障之后,再解除隔离状态[3]。网络故障管理这种隔离排查的执行操作,主要是避免故障的扩大化,因为计算机网络是一项极其复杂的系统,产生网络故障也可能不是一个原因造成的,更有可能的是多个网络组件共同引起的,因此,要先将故障隔离修复之后再正常使用。从以上对网络故障管理的功能分析,网络故障管理大体分为检测、隔离、修复等三部分,也是确保计算机网络正常安全运行的关键所在。
2.3网络安全管理
计算机网络在运行的过程中,是占有一定的网络资源,网络资源也是提供计算机使用者实现各项操作的关键,如果网络资源被非法占用的话,那么,就会导致使用者无法正常使用网络资源,要确保网络资源的安全使用,必须要做好计算机网络安全管理工作。网络管理系统本身是不会被未经授权访问的,这也是确保网络管理信息的完整性和机密性的根本[4]。网络安全管理一方面是通过计算机系统来进行管理的,另一方面是通过网络安全管理员来执行相关的操作。一般情况下网络安全管理员的操作多为对网络资源的管理,每个计算机用户在使用网络的过程中都会占用网络资源,而网络管理员则会根据用户的需求、实际的情况等,对计算机用户占用和使用的网络资源进行控制和管理,这样不仅可以保证用户网络资源使用有着较高的利用性,同时还能保证网络的安全。
3结语
网络安全的根源范文2
关键词:网络安全 防火墙 技术特征
一、概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。因此,如何选择网络安全产品和方法就尤为重要。就网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
二、防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点?,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.监测型
网络安全的根源范文3
关键词:网络安全 防火墙 技术特征
1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
网络安全的根源范文4
关键词:网络黑客;网络道德;网络犯罪;网络环境
1993年互联网进入中国,上网用户不断增加。人们工作与生活融入到以互联网为中心的现代信息化社会之中。随着社会的发展和稳定对信息的依赖性越来越强,始终伴随着信息化的信息安全问题特别是黑客问题已成为抑制社会信息化进程发展的重大障碍。据风险管理公司MI2G公布的调查结果显示,2004年黑客通过木马病毒的入侵和攻击等手段,专门从事网络诈骗、窃取政府和企业信息和出售恶意程序代码等,导致网络瘫痪,给全球造成了1690亿美元的经济损失。这些黑客大部分是青年人,他们的平均年龄只有17岁,而且大部分都是在校学生。
黑客是“喜欢探索软件程序奥秘、并从中增长其个人才干的人。他们不像大多数电脑使用者,只规规矩矩地了解别人指定了解的狭小部分知识。”为什么会有黑客这样的群体?人们如此痛恨的黑客却在青少年学生中受到欢迎?本文试图从黑客产生的根源和特点来解释网络黑客现象。
一、网络黑客产生的根源
(一)认识根源
黑客是信息化社会的特有产物,随着计算机网络技术及通信技术的发展,原来的独立计算机及小型局域网成为互联网中的一员,每个上网的人既是信息的获得者,也是信息的传播者,都可以通过网页、网络游戏、实时交流软件如QQ、MSN等网络软件了解整个网络社会并参与网络社会的活动。由于青少年的认知局限性,他们无法区分现实社会与网络社会的区别与联系。网络社会是虚拟的社会,它不是由某一个人或某一个团体建立的,而是众多网民们一起把它“织”起来的,每个参与者都在织这个网,所以它的本性就是开放的。因此,在网络社会中不需要相互认识,不需要相互认证,更不需要相互鉴别真伪。但是,网络社会也是现实社会的延伸,是现实世界的升华和提高,两者是互相竞争又互相依存的关系。
(二)思想根源
由于青少年不了解网络社会与现实社会的关系,认为网络是一个虚拟的社会载体,网上的人看不见自己,所以可以滥用权利、为所欲为,甚至可以发表不负责任的言论,可以编造谎言,导致青少年诚信意识淡薄,缺乏社会责任感、缺乏正确的理想和价值观、缺乏自律意识和抵抗诱惑的能力。我们每个人,无论是年轻人还是年长的人,都应当通过现实的努力来改变现实,让这个现实更符合人心的愿望。这种真实的努力,需要付出艰辛的劳动才能获得理想的收获,有时还不一定成正比,但可以轻易地在网络世界里找到理想的社会状况,所以说,如果觉得现实是不尽如人意的,就到网上去。他们在网上的时候,才觉得自己在过着社会生活。然而,他们总还得下网。下网之后仍然孤独。久而久之,他们丧失了在现实中进行社会交往的能力。他们觉得在现实中与人打交道有很多障碍和门槛,似乎总跨不过去。但他们仍需要交往,于是,还是回到网上。他们总想通过网络社会来证明自己的存在,总想引起现实社会的注意,这样就产生了网络入侵等事件。
(三)社会根源
不管是现实社会还是虚拟的网络社会,都把黑客分为红客与骇客两类,一致认为红客是利用所掌握的网络技术帮助维护网络安全、弥补系统漏洞,服务网络,服务社会,造福人类,其行为符合道德规范的黑客,而把滥用所掌握的网络技术破坏网络安全、攻击计算机系统,危害国家和人民利益,扰乱社会,违反网络安全法,甚至构成网络犯罪的那群人称为骇客(Cracker)。甚至有人把2006年的中美黑客大战称为具有爱国主义精神的一场网络战争。对此我不敢苟同,黑客就是黑客,没有经过别人的同意擅自进入别人的电脑或网站空间,即使没有搞破坏,也没有窃取别人的资料,这也是一种不道德的、不文明的行为,可以说是一种违法行为。如果说红客带来网络技术的进步,骇客带来网络的毁灭是对的,那么现实社会中的盗亦有道也是无可厚非的。在现实社会中,如果要推动防盗门技术的发展,最好办法是不经过主人的同意,利用防盗门的缺陷打开防盗门进入主人的房间,不拿主人的一针一线,然后在客厅上写上“某某到此一游”离开。这种行为的结果势必会导致整个社会的混乱,造成人人自危。同样这种黑客行为不仅没有维护网络安全、弥补系统漏洞,反而导致网络社会的混乱和网络犯罪的滋生。如果真正的要发展网络技术,只能在实验室中进行研究,不能用在广大的网民身上。
除此之外,现实社会的某些网络营运商为了个人的私利,为黑客的发展和壮大提供了便利的条件。在网络上利用搜索引擎,可以搜索到大量的如“黑客工具”、“黑客教程”、“黑客基地”等很多提供黑客技术的网站,如同在现实社会上建立学校专门传授偷盗技巧。由于网络本身的特性,使得现实世界中的法律和道德价值标准在网络社会中往往行不通,同时与网络发展相适应的价值规范和文化体系还没有形成,以至有人说网络是一个“没有法律没有边界的新大陆”。在这块新大陆上,他们制造病毒、传播色情信息,进行在线欺诈、网上跟踪,无所不为。而现实世界的法律又往往难以制裁他们,即使一些与网络相关的法规也往往没有真正考虑到网络的特性而成了一厢情愿的规定。
(四)经济根源
病毒、黑客和流氓软件这三个“火”,已经开始拉帮结伙地骗取计算机用户和网民的钞票。瑞星网站公布的《中国大陆地区2005年度计算机病毒疫情暨网络安全报告》显示,利用“僵尸网络”赚钱的“黑客经济”产业链条已经在2005年底初步形成。与过去那种恶性病毒突然爆发相比,目前这种“悄悄潜入”的“商业病毒”给全社会造成了更大的实际损失。它们在后台运行,没有任何提示信息,一般用户根本察觉不到机器已经中毒。这些木马病毒偷偷记录用户的输入信息,比如QQ密码、网络游戏账号、网上银行卡账号等,并将这些信息直接发送到黑客手中,给用户带来直接经济损失。 (五)技术根源
网络社会是开放的社会,其开放性是以计算机网络技术为基础,以网络安全为保障。但是,由于在网络技术及通信技术的发展过程中必然会产生各种各样的问题,从而会滋生各种各样的未知网络漏洞,如操作系统漏洞、应用软件漏洞、数据库漏洞、服务器漏洞等。利用新出现漏洞的网络犯罪能力更为强大。但是,因为它并没有导致大规模的传播也就没有引起媒体的注意,所以大部分用户自然也就不知道问题的严重性,从而放松警惕未能及更新系统。
二、网民带来无法预知的危害
网络安全的根源范文5
关键词:云资源池;安全;网络堵塞;网络防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)07-1401-02
云计算的兴起,数据中心作为云端的核心,承载了越来越多的业务。和传统网络相比,在需求和规划上有着极大的差异性。这些差异也直接催生了网络的变化,也给数据中心网络安全带来了新挑战。
网络堵塞是目前遇到的最为常见的网络攻击故障,表现为网络链路链接被云主机在某一时间大量发包,占用了几乎所有的网络带宽。当网络负载接近网络容量时,延时急剧增大,当网络负载大于网络容量时,延时为无穷大,导致网络无法使用。云数据中心网络与传统网络的差异性,增加了故障排查的难度。
1 网络堵塞监测
2.3 查看对应物理主机和承载的虚拟机异常流量
发现192.168.254.11服务器上的流量有异常,该物理主机的流量比正常情况下出现了很大变化,说明运行在该物理主机上的虚拟机有流量问题。查看每个虚拟机的流量变化情况。发现有个iTV-100的虚拟机的流量出现了异常:
正常情况下,流量在50M左右,流量突然增加到900M以上,高峰时刻达到了1200M,超过了防火墙的网络出口上限1000M,可以判断,该虚拟机是引起网络堵塞的原因。
3 安全加固
造成网络堵塞大部分是由于DDOS攻击引起的。这种攻击就是要阻止合法用户对正常网络资源的访问,它通过很多“僵尸主机”向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,导致合法用户无法正常访问服务器的网络资源。
3.1 攻击防范配置
攻击防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施。防火墙都提供了一些防御能力,华为防护墙的防范网络攻击的配置如下。
3.2 虚拟应用流量限制
在云平台下,由于部署了众多的业务平台,为安全起见,每个业务平台都有各自独立使用的Vlan,在调研阶段,就需要对业务平台使用的网络带宽情况进行规划。部署时,进行网络带宽限制。Vmware提供了对一个Vlan进行网络流量限制的方法。在Vlan属性对话框中,开启流量调整策略,设置平均带宽、带宽峰值、突发大小的值。
4 结束语
云资源池的安全性一方面依赖于服务器虚拟化本身的安全性能,另一方面,需要采用传统的安全技术和云资源池下的特性结合起来,在现有的网络设备上进行配置,减少网络遭受攻击的可能性。该文介绍的网络在遭受攻击后的检测,通过分析防火墙、交换机、物理机的网络流量、虚拟机的网络流量几个层面的特性,定位到网络攻击的根源,并提供了几个加固防范的措施。
参考文献:
网络安全的根源范文6
[关键词]网络安全 防火墙技术 服务器
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名“防火墙”。现在,如果一个网络接到了internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统”。
简言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是internet)之间提供一个封锁工具。在使用防火墙的决定背后,潜藏着这样的推理:假如没有防火墙,一个网络就暴露在不那么安全的internet诸协议和设施面前,面临来自internet其他主机的探测和攻击的危险。在一个没有防火墙的环境里,网络的安全性只能体现为每一个主机的功能,在某种意义上,所有主机必须通力合作,才能达到较高程度的安全性。网络越大,这种较高程度的安全性越难管理。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—nat、型和监测型。
包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、tcp/udp源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造ip地址,骗过包过滤型防火墙。
网络地址转化—nat。网络地址转换是一种用于把ip地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的ip地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的ip地址和端口来请求访问。olm防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
型。型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。
防火墙产品不能替代墙内的谨慎的安全措施。防火墙在当今internet世界中的存在是有生命力的。它是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的,因此,它不是解决所有网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分。
参考文献:
[1]李建军.浅谈企业级防火墙选购[j].信息技术与信息化,2006,(03).
[2]周利江.医院网络系统防火墙的选择[j]. 医疗装备, 2005,(08).
[3]肖晓.教育系统网络安全新贵edu[j]. 中国教育网络,2005,(07).
