前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的計算機防火墻技術的應用主題范文,僅供參考,歡迎閱讀并收藏。
【關鍵詞】防火墻技術 計算機安全 構建 策略
隨著網(wǎng)絡信息技術的不斷發(fā)展,計算機網(wǎng)絡已廣泛應用于現(xiàn)代生產(chǎn)生活之中。但在開放的互聯(lián)網(wǎng)環(huán)境之下,網(wǎng)絡信息安全問題日益成為制約網(wǎng)絡信息技術發(fā)展,影響計算機網(wǎng)絡有效應用的重要因素。從實際來看,計算機系統(tǒng)設計缺陷、應用軟件漏洞、計算機病毒、人為惡意攻擊等,都是當前計算機面臨的主要安全威脅。如何在快速發(fā)展的互聯(lián)網(wǎng)時代,構建完備的安全防御體系,既是計算機自身安全的內(nèi)部需求,也是強化計算機發(fā)展的重要舉措。特別是多樣化的外部威脅源,對計算機的網(wǎng)絡信息安全構成了極大地安全隱患,惡意攻擊行為的發(fā)生、計算機病毒感染,輕則造成計算機系統(tǒng)運行效率下降,重則重要數(shù)據(jù)丟失、被截獲,甚至出現(xiàn)系統(tǒng)癱瘓等問題。防火墻技術是當前廣泛應用與計算機安全構建中的安全技術之一,隨著防火墻技術的不斷發(fā)展與成熟,其在計算機安全構建中的作用日益凸顯。通過“防火墻+入侵檢測”的互動構建,提高了計算機安全防御系統(tǒng)的整體性能,也優(yōu)化了防火墻的防御性能,特別是對于難響應等問題的解決,提高了防火墻的現(xiàn)實應用價值。
1 防火墻概述
在互聯(lián)網(wǎng)快速發(fā)展的當前,開放的互聯(lián)網(wǎng)推動力現(xiàn)代社會的發(fā)展,但在發(fā)展的同時也伴隨著諸多的新問題,特別是計算機網(wǎng)絡信息安全問題的日益嚴峻,強調(diào)構建計算機安全防護體系的必要性與緊迫性。防火墻技術是現(xiàn)代計算機安全構建中重要技術之一,對于網(wǎng)絡信息安全起到重要的作用。如圖1所示,是防火墻的防火作用的體系圖,從中可以知道,防火墻就是在本地網(wǎng)絡與外地網(wǎng)絡之間構建了防御系統(tǒng),進而起到安全防護的作用。
因此,防火墻防護作用的體現(xiàn),主要在于防止未經(jīng)授權或不希望的通信進入被其保護的網(wǎng)絡。一般而言,防火墻的作用體現(xiàn)在以下幾點:
(1)對Internet的外部進入行為,防火墻可以進行過濾非法用戶或不安全服務,進而起到安全防護作用;
(2)在開放的互聯(lián)網(wǎng)環(huán)境下,存在諸多不安全站點,防火墻可以限制人們對特殊站點的訪問,進而起到安全防御作用;
(3)防火墻的監(jiān)視作用也十分有效,通過對Internet的安全監(jiān)視,進而確保內(nèi)部網(wǎng)絡行為安全。
但是,從防火墻技術本身而言,其實質(zhì)上是一種被動技術,難以對內(nèi)部的非法訪問起到有效防護的作用。這就決定,防火墻適合用于相對獨立的網(wǎng)絡環(huán)境,起到網(wǎng)絡防護屏障的效果。一方面,防火墻作為網(wǎng)絡安全的屏障,對于存在的惡意攻擊、不安全服務,可以進行過濾,降低網(wǎng)絡安全風險;另一方面,防火墻對于一些精心選擇的應用協(xié)議可能難以防御,但就目前的網(wǎng)絡安全構建而言,防火墻在凈化網(wǎng)絡安全環(huán)境上仍具有重要的現(xiàn)實作用,可以同時保護網(wǎng)絡免受基于路由的不安全攻擊。因此,從實際而言,防火墻在諸多計算機網(wǎng)絡安全上,可以起到實際性的安全防護作用。
(1)實現(xiàn)對“脆弱服務”的有效保護;
(2)實現(xiàn)對系統(tǒng)安全訪問的切實控制;
(3)確保計算機的集中安全管理,并在保密性上進一步強化;
(4)通過對不法使用數(shù)據(jù)等的記錄與統(tǒng)計,強化對網(wǎng)絡不安全行為的監(jiān)控。
2 防火墻的分類及工作原理
當前,防火墻已廣泛應用于計算機安全領域,并不同類型的防火墻,在網(wǎng)絡安全構建中的功能不同。強化對各類防火墻的認識,對于其在計算機網(wǎng)絡安全中的應用,具有十分重要的現(xiàn)實意義。具體而言,防火墻主要分為服務型防火墻;包過濾防火墻、復合型防火墻。
2.1 包過濾防火墻
一般而言,包過濾防火墻安置于路由器,以IP信息包作為基礎,實現(xiàn)對目標地址、IP源地址等進行帥選,進而在過濾中確保計算機安全。如圖2所示,是基于包過濾技術的防火墻設計。其中,網(wǎng)絡層是包過濾防火墻的工作點,在Intranet與Internet中,對于傳輸?shù)腎P數(shù)據(jù)包進行檢查與過濾。因此,包過濾防火墻有著顯著的優(yōu)越性:
(1)具有靈活有效性。
(2)簡單易行性。
但是,包過濾防火墻由于防火墻機制的固有缺陷,存在以下幾點缺陷:
(1)對于“假冒”難以實現(xiàn)有效防控。
(2)只能在網(wǎng)絡層與傳輸層實現(xiàn)防御作用。
(3)對于網(wǎng)絡內(nèi)部的攻擊威脅不能起到防御作用。因此,在基于包過濾防火墻下的計算機安全構建,在很大程度上提高了計算機的運行環(huán)境的安全性,但也存在一些不足,應針對實際的安全構建需求,進行科學合理的安全加固,確保計算機網(wǎng)絡安全。
2.2 服務型防火墻
一般而言,服務型防火墻主要有客戶程序段、服務器端程序等構成。具體如圖3所示,是服務型防火墻體系。服務型防火墻的中間節(jié)點與客戶端程序處于相連狀態(tài),并且,在中間節(jié)點上,又與外部服務器進行連接也就是說,當客戶端將瀏覽器配置成使用功能時,防火墻就將客戶端瀏覽器的請求轉(zhuǎn)給互聯(lián)網(wǎng);當互聯(lián)網(wǎng)返回響應時,服務器再把它轉(zhuǎn)給你的瀏覽器。因此,相比于過濾型防火墻,在服務型防火墻中并不存在內(nèi)外網(wǎng)之間的直接連接,并且服務型防火墻在功能上,也提供審計、日記等服務功能。
2.3 復合型防火墻
復合型防火墻作為新一代的防火墻技術,集和了智能IP識別技術,實現(xiàn)了對應用、協(xié)議等的高效分組識別,也進一步強化了對應用的訪問控制。在智能IP識別技術中,實現(xiàn)了創(chuàng)新性的發(fā)展,在摒棄傳統(tǒng)復合型防火墻技術的同時,創(chuàng)新性的采用了諸多新技術,如特有快速搜索算法、零拷貝流分析等,在構建計算機安全上,日益發(fā)揮重要的作用。下圖4所示,是復合型防火墻工作原理圖。在計算機安全構建中,復合型防護墻實現(xiàn)了內(nèi)容過濾、病毒防御的整合。常規(guī)防火墻難以對隱蔽的網(wǎng)絡信息安全實現(xiàn)有效防控,復合型防火墻體現(xiàn)了網(wǎng)絡信息安全的新思路,在網(wǎng)絡界面對應用層進行掃描。正如圖4所示,網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描,實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施。
因此,在計算機安全構建中,針對安全體系之需求,選擇相應的防火墻,以全方位確保計算的運行安全。當前,計算機安全因素日益多樣化,防火墻在計算機安全中的作用日益顯現(xiàn),這也強調(diào)防火墻在今后的發(fā)展中,應不斷地創(chuàng)新,以更好地滿足計算機安全需求。
3 計算機安全問題
3.1 計算機系統(tǒng)設計缺陷
從Windows XP到Windows7、Windows8,再到現(xiàn)在的Windows10,操作系統(tǒng)的不斷發(fā)展,帶給了計算機快速發(fā)展的重要前提。但是,由于系統(tǒng)設計的缺陷也是計算機陷入安全危機的重要原因。一方面,系統(tǒng)補丁的不斷出現(xiàn),用戶通補丁的及時下載,以確保計算機的安全性;另一方面,系統(tǒng)越來越完善、越來越完善,設計上的缺陷難以避免,這些缺陷的存在,是計算機安全的最大隱患之一,值得微軟、殺毒軟件商、客戶的重視。
3.2 應用軟件漏洞
計算機的普及與應用,推動了現(xiàn)代社會的發(fā)展,特別是各類應用軟件的研發(fā)與應用,極大地提高并豐富了計算機的用途。在計算機應用軟件的設計過程中,設計者往往會在軟件中設置“后門”,以便于設計公司“防盜版”。但是,設計中所設置的“后門”,卻極易成為病毒或黑客攻擊,進而造成計算機安全。當然,計算機應用軟件“后門”存在的同時,很多應用軟件也存在自身的安全隱患。從實際來看,計算機應用軟件的常見安全漏洞主要有以下幾個方面:
3.2.1 SQL注入
SQL注入是指,將SQL命令插入至Web表單的輸入域的查詢字符串,進而欺騙服務器執(zhí)行惡意的SQL命令。如圖5所示,就是典型的惡意SQL注入,對于計算機的安全構成了較大的安全隱患,導致用戶端的信息安全。
3.2.2 緩沖區(qū)溢出
在軟件安全中,緩沖區(qū)溢出已成為重要的安全威脅。在實際當中,計算機諸多安全問題與緩沖區(qū)溢出有關。如,設計空間的轉(zhuǎn)換規(guī)則的校驗問題;局部測試空間與設計空間不足。這些問題的出現(xiàn),就是因為緩沖區(qū)溢出所致,影響計算機的安全運行與操作。
3.2.3 加密弱點
加密是確保計算機安全的有效措施,也是構建安全體系的重要方法。但是由于不安全加密算法的使用;身份驗證算法有缺陷;未對加密數(shù)據(jù)進行簽名等,都在很大程度上造成了加密弱點,進而影響到計算機的網(wǎng)絡信息安全。
3.3 人為惡意攻擊
開放的互聯(lián)網(wǎng)環(huán)境之下,人為惡意攻擊成為計算機網(wǎng)絡的最大安全問題之一,對用戶的信息安全造成嚴重的威脅。當前,人為惡意攻擊主要分為兩種:一種是主動攻擊;另一種是被動攻擊。其中,主動攻擊是指利用各種攻擊手段,有選擇性或針對性的破壞信息的完整性,進而造成網(wǎng)絡信息安全問題;而被動攻擊則是在不影響網(wǎng)絡正常工作的前提之下,對相關機密信息進行截獲或破譯。因此,無論是主動的人為惡意攻擊,還是被動的人為惡意攻擊,都對計算機安全造成極大的安全威脅。輕者影響正常運行;重則導致系統(tǒng)癱瘓、數(shù)據(jù)丟失。
3.4 計算機病毒
談“毒”“色”變的網(wǎng)絡信息時代,病毒已成為計算機安全的重要威脅源。計算機病毒具有隱蔽性、傳播性和可存儲性,這是病毒之所有如此大破壞性的原因。首先,計算機病毒隱藏于數(shù)據(jù)文件或可持續(xù)的程序之中,強大的隱蔽性導致難以發(fā)現(xiàn)。一旦病毒入侵、觸發(fā),對計算機系統(tǒng)安全直接構成威脅。;其次,計算機病毒主要通過程序運行、文件傳輸(復制)等方式進行傳播,可傳染性是病毒對計算機安全構成安全威脅的重要因素。從實際來看,計算機病毒運行之后,對計算機安全的危害輕則系統(tǒng)運行效率降低,重則出現(xiàn)系統(tǒng)癱瘓,重要文件、數(shù)據(jù)發(fā)生丟失。近年來,計算機病毒隨著信息技術的不斷發(fā)展,不斷出“新”,諸多惡性病毒基于網(wǎng)絡形成了較大范圍內(nèi)的計算機安全問題。例如,威震一時的“熊貓燒香病毒”、“CH病毒”等,在網(wǎng)絡傳播之下,形成了嚴重的計算機網(wǎng)絡安全,造成巨大損失。
3.5 用戶安全意識淡薄
網(wǎng)絡時代的到來,讓計算機網(wǎng)絡成為現(xiàn)代社會生產(chǎn)生活的不可獲取的重要產(chǎn)物。目前,我國網(wǎng)民數(shù)量已超6億人,其中有近90%的網(wǎng)民遭遇過計算機安全問題,但這些網(wǎng)民對計算機安全問題比較忽視,在思想上缺乏安全意識。如,。據(jù)不完全統(tǒng)計,我國有近83%的計算機用戶有過病毒感染的經(jīng)歷。其中,16%的用戶在計算機病毒的入侵下,出現(xiàn)全部數(shù)據(jù)遭到破壞;58%的用戶是部分數(shù)據(jù)遭到破壞。一方面,計算機病毒所造的網(wǎng)絡信息安全威脅是巨大的,輕則造成用戶數(shù)據(jù)出現(xiàn)部分丟失或損壞,重則導致系統(tǒng)癱瘓,直接給用戶造成致命的安全威脅;另一方面,我國廣大的計算機用戶缺乏良好的安全意識,上網(wǎng)行為不規(guī)范、進入非法網(wǎng)站等行為,都會對計算機安全造成較大影響。
3.6 拒絕服務攻擊
當前,在惡意人為進攻中,拒絕服務攻擊的網(wǎng)絡安全問題尤為突出。通過利用操作系統(tǒng)漏洞、TCP/IP漏洞,對網(wǎng)絡設備實施惡意攻擊,進而造成不同程度的網(wǎng)絡信息安全問題。一般情況之下,攻擊者通過對網(wǎng)絡服務系統(tǒng)進行惡意干擾,進而造成服務系統(tǒng)流程發(fā)生改變,一些無關的惡意程序被執(zhí)行,以至于操作系統(tǒng)運行減慢,甚至出現(xiàn)系統(tǒng)癱瘓。而對于合法的用戶,被惡意程序排斥無法進入網(wǎng)絡服務系統(tǒng)。從實際來看,電子郵件炸彈等網(wǎng)絡安全事例,就是拒絕服務攻擊所帶來的網(wǎng)絡信息安全問題。
3.7 黑客入侵
黑客是網(wǎng)絡信息安全的重要威脅源,通過破譯密碼、放置木馬程序等方法,對網(wǎng)絡系統(tǒng)實施攻擊。近年來,黑客入侵的網(wǎng)絡安全事件頻發(fā),逐步成為全球網(wǎng)絡信息安全的重要防范領域。特別是在金融證券、軍事等領域,黑客入侵事件尤為頻繁。當前計算機的所使用的操作系統(tǒng)易win7為主,但由于系統(tǒng)存在安全漏洞,且漏洞補丁未能及時開發(fā)。這樣一來,黑客利用系統(tǒng)漏洞,實施黑客入侵,對計算機用戶造成威脅。一旦計算機被黑客入侵,黑客可以對用戶的數(shù)據(jù)庫進行任意的修改、刪除,進而對用戶的網(wǎng)絡信息安全帶來極大的安全隱患。
4 基于計算機安全下防火墻入侵檢測
當前,防火墻技術已廣泛應用于計算機網(wǎng)絡信息安全的構建之中,發(fā)揮著保護層的重要作用。首先,防火墻可以有效地對外部網(wǎng)訪問進行限制,進而為內(nèi)部網(wǎng)構建了保護層,確保內(nèi)部網(wǎng)絡的安全訪問;其次,防火墻通過對網(wǎng)絡訪問進行統(tǒng)計記錄,對惡意行為或可以動作進行報警,以確保外部可疑動作及時有效地進行監(jiān)視;再次,防火墻的安全體現(xiàn),主要在于防范技術體系的建立。如,通過分組過濾技術、服務技術,構建計算機安全防范技術體系,為網(wǎng)絡信息安全構建安全可靠的網(wǎng)絡安全防范體系。
在計算機安全隱患日益多樣化、互聯(lián)網(wǎng)開放化的當前,防火墻技術的應用,一方面是計算機安全構建的內(nèi)部需求,在確保計算機安全上起到重要作用;另一方面,防火墻技術不斷發(fā)展與日益完善,相對成熟的技術狀態(tài),為防火墻技術廣泛應用于計算機安全構建,創(chuàng)造了良好的內(nèi)外條件。因此,強化防火墻技術在計算機安全構建中的應用,特別是防火墻的入侵檢測,符合計算機安全構建的要求,也是充分發(fā)揮防火墻防御作用的集中體現(xiàn)。
4.1 入侵檢測
隨著計算機安全問題的日益突出,如何強化威脅入侵檢測,已成為構建計算機安全的重要基礎。實質(zhì)而言,入侵檢測就是指對網(wǎng)絡資源、計算機上的“惡意”行為進行有效的識別,并及時響應。因此,入侵檢測一方面對來源于外部的攻擊進行有效檢測,進而確保計算機網(wǎng)絡安全;另一方面,對于未被授權的活動進行檢測,對可能存在的入侵行為進行防御。這就說明,入侵檢測為計算機構建了完備的安全體系,并強化了計算機防御惡意入侵的能力。
4.2 入侵檢測技術(IDS)
隨著計算機安全技術的不斷發(fā)展,入侵檢測技術作為新一代安全防范技術,已廣泛應用于計算機的安全構建之中,并取得良好的應用效果。入侵檢測系統(tǒng)通過對計算機系統(tǒng)和計算機網(wǎng)絡中的關鍵點的若干信息進行收集,并進行全面的分析,以便于發(fā)現(xiàn)是否有被攻擊或違反安全策略的惡意攻擊行為。因此,入侵檢測系統(tǒng)實現(xiàn)了檢測、記錄及報警響應于一體的動態(tài)安全防御體系,不僅能夠?qū)ν獠咳肭中袨檫M行有效監(jiān)測,而且對于計算機網(wǎng)絡內(nèi)部行為進行監(jiān)督,是否存在未授權活動的用戶。IDS對計算機內(nèi)部的數(shù)據(jù)通訊信息進行全面的分析,而且對網(wǎng)絡外部的不良入侵企圖進行分辨,確保計算機系統(tǒng)在受到危險攻擊之前,能夠及時作出報警。當然,入侵檢測系統(tǒng)只是起到預防報警響應等作用,但是自身無法進行阻止和處理。IPS是用于計算機安全構建中的入侵防御系統(tǒng),如表1所示,是IDS與IPS的比較分析。從中可以知道,IPS在安全構建中,其諸多性能優(yōu)于IDS,特別是多重檢測機制,提高檢測性能與精準度。但是,IDS部署簡單,具有良好的適應性和可操作性。在安全構建中起到一定的響應報警,對于計算機安全防御體系十分重要。
4.3 “防火墻+入侵檢測技術”,構建安全防護體系
在計算機的安全構建中,完備的安全防御體系應具備是三個部分:一是防護;二是檢測;三是響應。從一定層面而言,任何一部分的缺失,都可能造成計算機安全防御體系的功能缺失,進而影響正常的防御能力。首先,防御體系中的三個部分,其之間的關系體現(xiàn),主要在于實現(xiàn)基于時間的簡單關系,即P>R+D。其中,D代表檢測入侵行為所需時間;R為事件響應設施產(chǎn)生效力所需的時間;P為防御體系防護手段所需的支持時間。因此,從這一簡單的關系式,我們可以清楚地知道,但惡意入侵行為尚未突破計算機的安全防御系統(tǒng),入侵檢測系統(tǒng)已發(fā)現(xiàn)這一惡意行為,進而及時報警效應。也就是說,對于計算機安全防御體系,雖然難以實現(xiàn)百分百的安全防御,但是快速有效的檢測響應機制,是確保計算機安全的重要前提,在接受到報警響應之后,防火墻的防護作用發(fā)揮重要作用?!胺阑饓?入侵檢測技術”的防御體系構建,對于提高安全防御能力,具有十分重要的現(xiàn)實意義。兩者結(jié)合實現(xiàn)的有效互動,一方面實現(xiàn)了更加完備的安全防御體系,在很大程度上解決了傳統(tǒng)計算機網(wǎng)絡信息安全技術單一的不足;另一方面,解決了防火墻防御難響應的現(xiàn)實問題,進而提高了防火墻在計算機安全構建中的應用價值,滿足計算機的安全需求。
總而言之,“防火墻+入侵檢測”的互動結(jié)合,實現(xiàn)了防火墻通過IDS發(fā)現(xiàn)策略之外的惡意攻擊行為,并且對源于外部的網(wǎng)絡攻擊進行有效阻斷。正如圖6所示的互動邏輯,互動關系的建立極大地提高了防火墻的整體防護性能,進一步滿足了當前計算機安全構建的現(xiàn)實需求。
4.4 “防火墻+入侵檢測”的接口互動方式
從實際而言,“防火墻+入侵檢測”的接口互動方式主要有兩種:
(1)將入侵檢測技術嵌入防火墻之中,實現(xiàn)兩者緊密結(jié)合。在這種互動方式之下,流經(jīng)防火墻的數(shù)據(jù)源進入入侵檢測系統(tǒng),而非數(shù)據(jù)包。這就說明,所有需要通過的數(shù)據(jù)包,一方面要接受防火墻的驗證,另一方面也要判斷其是否具有攻擊性,進而確保防御體系性能的充分發(fā)揮。
(2)兩者的互動通過開發(fā)接口實現(xiàn)。也就是說,入侵檢測系統(tǒng)或防火墻開放一個接口,用于另一方的接入。這種互動方式,需要雙方按照固定的協(xié)議進行通信,進而完成網(wǎng)絡安全事件的傳輸。相比而言,第二種接入方式的靈活性更大,且在很大程度上不會對防火墻的防護性能造成影響。
5 結(jié)語
總而言之,構建安全的網(wǎng)絡信息環(huán)境,是網(wǎng)絡信息技術發(fā)展的必然要求,也是網(wǎng)絡信息技術更好服務社會發(fā)展的重要基礎。在網(wǎng)絡信息安全的防范中,一方面要構建安全防范體系,對計算機病毒等實施有效的攔截;另一方面,逐步完善防火墻與其他技術的整合,進一步強化防火墻的防御性能。當前,計算機安全問題突出,在很大程度上影響了計算機的發(fā)展,同時也影響了其在日常生產(chǎn)生活中的應用價值。因此,在實現(xiàn)安全構建的過程中,一方面充分認識到當前計算機安全所面臨的主要安全問題,特別是對于計算機病毒、人為惡意攻擊等安全問題,直接影響了計算機的安全運行。防火墻技術在近年的發(fā)展中,技術不斷完備與成熟,
在計算機安全構建中的作用日益凸顯,通過“防火墻+入侵檢測”的互動結(jié)合,一方面提高了安全構建中的安全防御能力;另一方面也改善了防火墻的防御性能,強化了其在計算機安全構建中的應用價值。
參考文獻
[1]張曉雙.淺析計算機網(wǎng)絡安全的主要隱患及管理措施[J].電子制作,2015(03).
[2]盛洪.分析就死算計網(wǎng)絡通信安全問題與防范策略探究[J].電子測試,2015(05).
[3]劉濤.淺析計算機網(wǎng)絡安全技術[J].電子制作,2015(05).
[4]鄭偉.基于防火墻的網(wǎng)絡安全技術的研究[D].吉林大學,2012.
[5]林國慶.淺析計算機網(wǎng)絡安全與防火墻技術[J].恩施職業(yè)技術學院學報,2010(07).
[6]易前旭.網(wǎng)絡安全中的防火墻使用技術[J].電子技術與軟件工程,2014(08).
[7]王蕾.企業(yè)計算機網(wǎng)絡的安全管理探討[J].中國新技術新產(chǎn)品,2014(12).
[8]賴月芳.LINUX環(huán)境下的防火墻網(wǎng)絡安全設計與實現(xiàn)[D].華南理工大學,2013.
[9]溫愛華.計算機網(wǎng)絡安全與防火墻技術[J].產(chǎn)業(yè)與科技論壇,2011(10).
[10]沈國平.試析計算機安全與防火墻技術[J].黑龍江科技信息,2012(05).
[11]Wan.perp.The application of firewall technology in campus network security [J].information and computer,2011 (01).
[12]z-lfreid.The system configuration and the selection of computer firewall to implement the technology [J]. value engineering,2011(03).
[13]Li Chunlin.Research and application of database technology [J]. information technology,2010(04).
[14]major.Internet firewall technology development of [J].microcomputer world,2008(12).
[15]Lin Guoqing.Analysis of computer network security and firewall technology [J].Journal of Enshi Technical College,2010(07).
作者簡介
郭志強(1971-),男,廣東省廣州市番禺區(qū)人。碩士學位。現(xiàn)為廣州市番禺區(qū)教育裝備中心教師(中學一級)。
關鍵詞:計算機網(wǎng)絡;防火墻技術;應用
中圖分類號:TP393.08
隨著計算機技術的快速發(fā)展和應用,加快了信息技術的變革和創(chuàng)新,尤其是在近幾年的發(fā)展過程中,計算機技術得到了全國性的普及,并且計算機技術和網(wǎng)絡資源已經(jīng)形成了非常有效的聯(lián)合。盡管,網(wǎng)絡技術的快速發(fā)展帶動了人們生活模式和節(jié)奏的轉(zhuǎn)變,改善了數(shù)字化校園的環(huán)境,但是網(wǎng)絡資源在沒有防護或部分防護的情況下,仍然遭受到不同種類的黑客攻擊,因此造成網(wǎng)絡資源的破壞和丟失。為此,應加強現(xiàn)代網(wǎng)絡資源的保護。
1 防火墻技術的分類
防護墻技術使用網(wǎng)絡性質(zhì)的防護設備,具有抵御外部侵襲但是沒有辦法抵御內(nèi)部侵襲的一種防護手段,但是隨著新技術的發(fā)展和創(chuàng)新,現(xiàn)代化的防火墻技術已經(jīng)具備了防御外部不良網(wǎng)絡資源的同時,對于系統(tǒng)內(nèi)部的操作有一定的過濾行為,但是防火墻只能夠允許符合安全策略的通信。但是為了更高的提高防火墻的防御功能,必須具備過濾所有數(shù)據(jù)的能力。這也是世界網(wǎng)絡技術界對防火墻技術的創(chuàng)新,接下來筆者向大家介紹兩種最為常見的網(wǎng)絡防護技術:
1.1 包過濾型防護墻技術。該技術包過濾型防火墻技術工作原理是建立在OSI網(wǎng)絡參考模型中的網(wǎng)絡層和傳輸層之間,可以依據(jù)不同的數(shù)據(jù)包源頭地址和端口號數(shù)據(jù)等安全標志判斷和分析是否通過。只有滿足了這種過濾條件的數(shù)據(jù)包資源才有可能被轉(zhuǎn)發(fā)到需要的目的地,那么其余沒有通過的數(shù)據(jù)包資源就會被擋在外部。
1.2 應用型防火墻技術。此種防火墻技術的工作原理是在OSI網(wǎng)絡層中的最高層,就是常說的應用層。最大的特點就是完全阻斷了網(wǎng)絡通信流的數(shù)據(jù),通過對每一種應用服務專門編制的程序,實現(xiàn)監(jiān)督的作用和控制的作用。除了這兩種防火墻技術之外,還有很典型的邊界防火墻技術和混合防火墻技術等。
2 防火墻技術工作原理
2.1 包過濾型防火墻技術的工作原理
包過濾型防火墻技術的工作原理是通過若干條規(guī)則組合而成,然后提供給用戶讓用戶進行自主的選擇和設置,但是必須由網(wǎng)絡經(jīng)驗非常豐富的網(wǎng)絡技術人員對其進行操作和搜集最新的被攻擊信息,然后通過加載信息,比如說名稱、說明和協(xié)議等,包含了所有數(shù)據(jù)包出入防火墻的過濾方法。對于IP包過濾型技術工作的原理是根據(jù)IP數(shù)據(jù)包的信息,比如說IP地址和IP傳輸?shù)哪康牡氐冗M行相應的過濾,如果說在IP數(shù)據(jù)中加裝了封裝的TCP或者是ICMP協(xié)議的,需要根據(jù)這些特殊的協(xié)議進行特殊的過濾。應用層的協(xié)議主要包括了RPC應用服務過濾和FTP過濾等,主要的操作過程是:防火墻可以根據(jù)不同文件的組成格式,判斷這個文件的初始地址、目的地地址和文件保存的具體時間、文件的特點和長度等信息,然后根據(jù)每個文件不同樣的端口數(shù)據(jù),對其進行最終的檢測、截獲和掃描工作。
2.2 應用型防火墻技術的工作原理
在應用層提供服務:服務是在確定了用戶的連接請求之后,然后向服務器發(fā)出相關的請求,然后服務器根據(jù)服務器的要求,對用戶端提出的請求作出應答。為了確定連接時的時效性和唯一性,在進行工作的時候需要維護服務器的數(shù)據(jù)和連接表,為了更好的確定和提供授權,服務器會適當?shù)木S護一個擴展字段的集合。在傳輸層提供服務:說的是防火墻技術會允許FTP的指令對某些指定的文件允許通過。用過戶類型技術就是應用層在這個時候具有高級的能力,比如說POP3和HTTP等。支持網(wǎng)絡地址的相互轉(zhuǎn)換,簡稱NAT,意思就是可以將一個IP地址反映到另一個IP地址中,然后為終端的服務器提供路由的服務。NAT方法經(jīng)常用在辦公區(qū)域或者是私有區(qū)域,目的是更好的解決IP地址不夠用的問題。
3 兩種防火墻技術的優(yōu)勢及不足
3.1 包過濾型
優(yōu)勢:通過一個過濾路由器就可以對整個網(wǎng)絡系統(tǒng)形成保護,數(shù)據(jù)包在過濾的時候完全對用戶透明,并且過濾路由器的工作效率非常高,過濾速度非常快。
不足:沒有辦法徹底的防御地址欺騙的問題,并且有些應用協(xié)議并不適合利用數(shù)據(jù)包的方式進行過濾。沒有非常有效的方法應對黑客的攻擊和侵襲,完全不支持應用層協(xié)議。
3.2 應用型
優(yōu)勢:網(wǎng)關可以直接隔斷內(nèi)網(wǎng)和外網(wǎng)之間的聯(lián)系,內(nèi)網(wǎng)用戶對外網(wǎng)進行訪問的時候直接轉(zhuǎn)換成防火墻對外網(wǎng)的訪問,然后防火墻通過技術的判定之后會轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有的通信數(shù)據(jù)都必須通過應用層的專業(yè)軟件完成,訪問者任何時候都沒有辦法和服務器建立直接的TCP關系,并且整個應用層的協(xié)議會話都是完全符合安全策略規(guī)定的。而且在檢查傳輸層、應用層和網(wǎng)絡層之間的協(xié)議特征,對于數(shù)據(jù)包的檢測能力非常強。服務的時候會對每一項數(shù)據(jù)信息及時記錄,工作的靈活性和全面性可以有效的控制進出應用層的內(nèi)容和流量。
不足:工作的速度相對于路由器工作速度慢,的過程對于用戶是完全隱蔽的,對于不同的服務會要求使用不同的服務器,服務沒有辦法改進底層協(xié)議的安全性,適應能力比較弱。
4 最新的防護技術
(1)數(shù)據(jù)連接路層是TCP/IP協(xié)議的最低層,這個層面的常規(guī)功能是對于上層數(shù)據(jù)進行物理幀的拆封和密封,還有對硬件信息的搜尋和管理。在新型的防火墻技術中,數(shù)據(jù)連接路層除了上述簡單的功能之外,還加設了監(jiān)聽網(wǎng)絡數(shù)據(jù)和直接讀卡的功能。(2)對于IP層的處理相對來說很復雜,而且需要進行非常多的安全工作。假如說在非常極端的情況下,可以修改IP地址的報頭,增設安全機制的數(shù)量,但是考慮到系統(tǒng)的兼容性能,不能選擇這樣的方法,而是轉(zhuǎn)而利用了包過濾型防火墻技術和ICMP所提供的相關功能。但是隨著安全技術的不斷發(fā)展,我們選擇第一種方法,前提是必須有路由器的支持。IP層面臨的最大問題就是IP地址的欺騙,并且很多上層結(jié)構中存在很多的IP欺騙隱患,比如說常見的就是DNS地址的欺騙。在IP層的安全防護工作依據(jù)就是根據(jù)地址的信息和目的地址的過濾,這個作用在大多數(shù)的路由器當中已經(jīng)得到了實現(xiàn),但是本系統(tǒng)中的IP層的主要任務就是:地址的過濾、地址和MAC之間的綁定和禁止地址的欺騙。
ICMP在網(wǎng)絡防火墻技術當中的主要作用是:對于隱藏在子網(wǎng)內(nèi)的主機信息進行有效的控制。ICMP雖然說在這個方面有一定的作用,比如說差錯報告等,但是也存在很大的安全隱患。一般對外部環(huán)境來說,ICMP都應該禁止,因此對于隱藏子網(wǎng)內(nèi)的主機信息采取了三種不同的策略:第一種是對主機內(nèi)部的ICMP包可以轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)的時候已經(jīng)改寫了IP源地址,使得外部訪問者沒有辦法看到真正的內(nèi)部IP地址。第二種是對ICMP請求包全部拋棄。第三種是當內(nèi)部有請求指令的時候,才可以動態(tài)的和外部主機進行連接,并且一些ICMP 的威脅安全相應也應該拋棄,比如說路由器的ICMP包。
5 結(jié)束語
通過上述材料的分析,隨著計算機技術的不斷發(fā)展,使得現(xiàn)代的人們對于信息資源的依賴性過于緊密,這是影響了防火墻技術的高速高效的發(fā)展,這就要求現(xiàn)在的防火墻技術必須將計算機技術和網(wǎng)絡技術聯(lián)合在一起,才可以在硬件和軟件方面同時抵御和保護計算機資源。
參考文獻:
[1]葉碧野.基于計算機網(wǎng)絡的防火墻技術及實現(xiàn)[J].數(shù)字技術與應用,2011(12):250-251.
[2]占科.計算機網(wǎng)絡防火墻技術淺析[J].企業(yè)導報,2011(11):230-230.
關鍵詞:網(wǎng)絡安全;防火墻技術;計算機網(wǎng)絡
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 13-0000-02
Discussion on Computer Network Security Firewall Technology
Cheng Hao
(Huai'an Municipal Party Audio-visual Center of CPC,Huaian223002,China)
Abstract:The rapid development of computer networks for people working and learning and life changing dramatically.But at the same time, computer network security issues become increasingly prominent,then,how in today's network environment to ensure the security of computer networks is particularly important.The question of accounting machines to calculate the development of network security,computer network security and firewall technology to do was discussed.
Keywords:Network security;Firewall technology;Computer network
現(xiàn)今社會隨著計算機網(wǎng)絡技術的發(fā)展,促進了信息技術的變革,社會對計算機網(wǎng)絡的依賴也逐漸增強。計算機網(wǎng)絡正改變著人們在工作和生活中的方式。但是,隨之而來的計算機網(wǎng)絡受攻擊現(xiàn)象也就出現(xiàn)了,數(shù)據(jù)丟失、網(wǎng)上銀行賬號密碼被破解等現(xiàn)象,使用戶苦不堪言,損失的也無法挽回。為保護計算機、服務器和局域網(wǎng)資源受到攻擊等,利用防火墻技術是當前比較可行的一種網(wǎng)絡安全保護技術。
一、防火墻的概念
防火墻是由軟件和硬件設備組合而成,在內(nèi)部和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上構造的保護屏障,是一種獲取安全性方法。詳細點說就是:“防火墻”是一個通用的術語,在兩個網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng),是在網(wǎng)絡上建立的網(wǎng)絡通信控制系統(tǒng),用來保護計算機的網(wǎng)絡安全,他是一種控制技術,既可以是種軟件產(chǎn)品,也可以是制作或嵌入到某個硬件產(chǎn)品中。它是設置在不同網(wǎng)絡或是不同網(wǎng)絡安全區(qū)域之間的一系列控制裝置組合,也是不同網(wǎng)絡和網(wǎng)絡安全區(qū)域之間的信息和數(shù)據(jù)的唯一入口,根據(jù)網(wǎng)絡管理人員制定的網(wǎng)絡安全策略控制出入的各種數(shù)據(jù)信息流,對網(wǎng)絡信息提供有效的安全服務。換句話說,從邏輯上來講,防火墻其實就是一個分離器、限制器、分析器,它可以有效的監(jiān)控所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)之間的任何活動,然后對網(wǎng)絡之間所傳送的數(shù)據(jù)包會按照一定的安全策略進行檢查,從而確定網(wǎng)絡內(nèi)部服務中哪些允許外部訪問,哪些不允許外部訪問。也保證了所有要保護的內(nèi)部計算機的網(wǎng)絡穩(wěn)定。
二、計算機網(wǎng)絡安全中防火墻技術的作用以及功能
(一)計算機網(wǎng)絡安全中防火墻的作用:防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。首先,可以說防火墻是網(wǎng)絡安全的屏障。因為一個防火墻,它能極大地提高一個內(nèi)部網(wǎng)絡使用的安全性,并且通過過濾不安全的服務降低風險。因為只有經(jīng)過選擇的安全的應用協(xié)議能通過防火墻,所以可以大大提高網(wǎng)絡質(zhì)量,可以讓網(wǎng)絡環(huán)境變得更加安全。比如防火墻可以禁止大家都知道的不安全的NFS協(xié)議進出受保護網(wǎng)絡,這樣呢,外部的攻擊者它就不可能利用這些脆弱的協(xié)議向內(nèi)部網(wǎng)絡進行攻擊。防火墻同時還可以保護網(wǎng)絡免受于路由的攻擊,比如說選項中源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻的管理員。
其次,防火墻可以大大的強化網(wǎng)絡的安全策略,可以對網(wǎng)絡存取和訪問進行監(jiān)控審計。以防火墻為中心的安全方案配置,能將所有安全軟件,配置在防火墻上。與把網(wǎng)絡安全問題分散在每個主機上相比較,這樣的防火墻的集中安全管理就更為經(jīng)濟了。換句話講如果所有的訪問都經(jīng)過防火墻,那么,防火墻可以記錄下這些訪問并可以作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑工作時,防火墻就會進行適當?shù)膱缶?,并提供網(wǎng)絡是否受到監(jiān)測和攻擊等詳細信息。另外一方面,收集一個網(wǎng)絡的使用和誤用情況也是十分重要的。最后,防火墻可以防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡的劃分,我們可以實現(xiàn)內(nèi)部網(wǎng)絡重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響,可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。再者,網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等也是非常重要的。因為隱私是內(nèi)部網(wǎng)絡非常關心的問題,內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內(nèi)部網(wǎng)絡的某些安全漏洞。除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部技術體系VPN,通過VPN,可以將企事業(yè)單位在地域上分布在各地的L A N或?qū)S米泳W(wǎng)有機地聯(lián)成一個整體,這樣不僅省去了專用通信線路,而且也為信息共享提供了技術保障。
(二)計算機網(wǎng)絡安全中防火墻的類型:防火墻是非常重要的網(wǎng)絡防護設備。當然,它也有著不同的版本類型,它可以是硬件自身的一部分,可將因特網(wǎng)連接和計算機都捕入其中;也可以在一個獨立的機器上運行,該機器則作為它所在網(wǎng)絡中所有計算機的和防火墻。為達到安全防御的功能,必須應該使內(nèi)部和外部網(wǎng)絡之間的所有數(shù)據(jù)都通過防火墻進出。并且只有符合防火墻規(guī)則設置的數(shù)據(jù)流才可以通過防火墻;防火墻本身也要有非常非常強的抗攻擊能力和自我免疫能力。防火墻不但可以用于對因特網(wǎng)的連接,同時它也可以用來在組織網(wǎng)絡內(nèi)部保護大型機和重要數(shù)據(jù)資源,所以根據(jù)防火墻技術的分類,我們通常分為以下的類型:
1.網(wǎng)絡層防火墻
網(wǎng)絡層防火墻主要就是獲取數(shù)據(jù)包的包頭信息,如協(xié)議號、源地址、目的地址和目的端口等,或者直接獲取包頭的一段數(shù)據(jù)。網(wǎng)絡層防火墻可視為一種IP封包過濾器,運作在底層的TCP/IP協(xié)議堆棧上。過濾型防火墻工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中阻擋丟棄。
2.應用層防火墻
應用層防火墻是對整個信息流進行分析,也有人把應用層防火墻叫應用型防火墻。它是工作在OSI參考模型的最高層,即應用層使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用FTP時的數(shù)據(jù)流都是屬于這一層的。應用層防火墻它可以攔截進出某應用程序的所有封包, 并且封鎖其他的封包。它的特點其實就是完全“阻隔”了網(wǎng)絡通信流,通過對每一種應用服務編制專門的程序,從而實現(xiàn)監(jiān)視和控制應用層通信流的作用。我們根據(jù)防火墻的應用位置分為:邊界防火墻、個人防火墻和混合防火墻。根據(jù)防火墻的性能來分,則有:百兆級防火墻和千兆級防火墻等等。
(三)常用防火墻技術的工作原理:
1.防火墻網(wǎng)絡層包過濾型的工作原理。通過防火墻的包內(nèi)容設置:在基于TCP/IP協(xié)議的計算機網(wǎng)絡上,所有網(wǎng)絡上的計算機都是用IP地址來唯一地標識其在網(wǎng)絡中的位置的,而所有來往于計算機之間的信息都是以一定格式的數(shù)據(jù)包的形式傳輸?shù)?,?shù)據(jù)包中包含了標識發(fā)送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數(shù)據(jù)包被送上計算機網(wǎng)絡時,路曲器會讀取數(shù)據(jù)包中接受者的IP地址,并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去,當所有的數(shù)據(jù)包都到達目的主機之后再被重新組裝還原。這就是包過濾型火墻。包過濾防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡上的這一傳輸原理來設計的,包過濾防火墻的過濾規(guī)則包由若干條規(guī)則組成,由具體的防火墻軟件提供或用戶自定義規(guī)則設置,可以實現(xiàn)網(wǎng)絡中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會檢查所有通過它的數(shù)據(jù)流中每個數(shù)據(jù)包的IP包頭信息,然后按照網(wǎng)絡管理員所設定的過濾規(guī)則進行過濾。應用層協(xié)議過濾要求主要包括FTP過濾、基于R P C的應用服務過濾,基于UDP的應用服務過濾要求以及動態(tài)包過濾技術等。其具體操作過程為:防火墻根據(jù)具體報文的組成格式,判斷該報文的源主機地址和目的主機地址以及該報文的存活時間,長度,報文的特性和報文的其他信息等,其中包括各種不同協(xié)議的包,依據(jù)各包通訊的不同端口,完成截獲、檢測和掃描以及過濾功能。
2.防火墻應用層型工作原理。實際是設置在Internet 防火墻網(wǎng)關上有特殊功能的應用層代碼,是在網(wǎng)管員允許下或拒絕的特定的應用程序或者特定服務,還可應用于實施數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。在應用層提供支持。以及服務,在確認客戶端連接請求有效后接管連接,代為向服務器發(fā)出連接請求,服務器應根據(jù)服務器的應答,決定如何響應客戶端請求,服務進程應當連接兩個連接。內(nèi)部網(wǎng)絡只接受提出的服務請求,拒絕外部網(wǎng)絡其他接點的直接請求。為確認連接的唯一性與時效性,進程應當維護連接表或相關數(shù)據(jù)庫,為了提供認證和授權,進程應當維護一個擴展字段集合。其實的工作原理是比較簡單的,它就是用戶跟服務器建立連接,然后將目的站點告知,對于合法的請求,以自己的身份(應用層網(wǎng)關)與目的站點建立連接,然后在這兩個連接中轉(zhuǎn)發(fā)數(shù)據(jù)。其主要特點是有狀態(tài)性,能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息,同時還能夠提供全部的審計和日志功能,既能隱藏內(nèi)部IP地址,又能夠?qū)崿F(xiàn)比包過濾路由器更嚴格的安全策略。型防火墻它針對每一個特定應用都有一個模塊,管理員完全可以根據(jù)網(wǎng)絡的需要安裝相應的。一般情況下每個相互無關,即使某個工作發(fā)生問題,只需將它簡單地卸出,不會影響其它的模塊,可以說他很大程度上提高了網(wǎng)絡的安全性。
三、計算機網(wǎng)絡安全中防火墻技術的應用
目前保護計算機網(wǎng)絡安全最主要的手段之一就是構筑防火墻.防火墻的系統(tǒng)管理發(fā)展趨勢主要體現(xiàn)在集中式管理.分布式和分層的安全結(jié)構
(一)防火墻和單子網(wǎng)
因為由于不同的資源有著不一樣的風險程度,所以我們要基于此來對我們的網(wǎng)絡資源去進行劃分。這里的風險,主要包含著兩方面的因素:一是資源將被妥協(xié)的可能性以及資源本身的敏感性。比方說一個好地WEB服務器在運行CGI,它會比那種僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認可,但是隨之而來的便是WEB服務器的安全隱患問題。我們的網(wǎng)絡管理人員在服務器前端配置好防火墻,就會大大的減少全面暴漏的風險。數(shù)據(jù)庫服務器里存放著重要的數(shù)據(jù)信息,它就比WEB服務器更為敏感,因此呢,我們就需要添加額外的安全保護層。使用單防火墻好單子網(wǎng)保護多級應用系統(tǒng)的網(wǎng)絡結(jié)構,這里面所有的服務器都被安排在了同一個子網(wǎng),防火墻連接在邊界路由器與內(nèi)部網(wǎng)之間,防御來自互聯(lián)網(wǎng)的網(wǎng)絡攻擊。在網(wǎng)絡使用以及基于主機入侵檢測系統(tǒng)下,服務器得到了加強與防護,這樣便可以保護應用系統(tǒng)免受攻擊。像這種的縱向防護技術在所有堅固的設計中可以說是相當普遍的,但他/它們并沒有很明顯的顯示在圖表中。這種設計方案中,所有的服務器全部安排在一個子網(wǎng)里,用防火墻講他們跟互聯(lián)網(wǎng)隔離,這些不同安全級別的服務器在子網(wǎng)中受到同等級的安全保護。所以,當進一步隔離網(wǎng)絡服務器并不能從實質(zhì)上降低重要數(shù)據(jù)的安全風險時,采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。
(二)單防火墻和多子網(wǎng)
如果遇到了比較適合劃分多個子網(wǎng)的情況,網(wǎng)絡管理人員可以把內(nèi)部的網(wǎng)絡劃分成為獨立的子網(wǎng),不同層的服務器分別把他們放在不同的子網(wǎng)中去,數(shù)據(jù)層服務器只接受中間層服務器數(shù)據(jù)查詢的連接端口,就能很好地提高數(shù)據(jù)層服務器的安全性,同時也能幫助防御其他類型的攻擊。這時,就比較適用單個防火墻劃分多重子網(wǎng)結(jié)構。它的方法就是在一個防火墻上開放出多個端口,用該防火墻把整個網(wǎng)絡劃分多個子網(wǎng),每個子網(wǎng)分管應用系統(tǒng)特定的層。網(wǎng)絡管理人員可以在防火墻不同的端口設置不同的安全策略。在這種配制中,互聯(lián)網(wǎng)用戶只能直接訪問表述層的服務器,表述層服務器只能訪問到中間層服務器,而中間層服務器也只能訪問數(shù)據(jù)庫服務器。這種結(jié)構與多級應用結(jié)構進行對比。就會發(fā)現(xiàn)這種設計能貼切地反映應用系統(tǒng)的需求,并且能對每個層進行有效的訪問控制。
結(jié)語:
隨著現(xiàn)代計算機網(wǎng)絡技術的不斷發(fā)展,計算機網(wǎng)絡安全技術已經(jīng)發(fā)展成為國家安全以及社會穩(wěn)定的重要問題.同時它也是一個涉及計算機科學、網(wǎng)絡技術以及網(wǎng)絡信息安全等多種學科的科學問題。而防火墻作為維護網(wǎng)絡安全的第一道防線,它被大家公認為是威力最大、效果最好的有利保護措施,可以說防火墻已成為保障計算機網(wǎng)絡安全不可缺少的必備工具,因此得到了廣泛的應用,于此同時,隨著計算機網(wǎng)絡技術的不斷發(fā)展,防火墻作為重要的網(wǎng)絡安全屏障,它的技術也在不斷地發(fā)展以適應新的網(wǎng)絡環(huán)境和新的網(wǎng)絡技術,所以防火墻在網(wǎng)絡安全領域扮演的角色也將會變得越來越重要。
參考文獻:
[1]蔡立軍.計算機網(wǎng)絡安全技術[M].中國水利水電出版社,2002(06)
[2]胡朝龍.淺談計算機網(wǎng)絡安全對策及其縱深防御思想[J].科技創(chuàng)新導報,2007(02)
[3]馮登國.網(wǎng)絡安全原理與技術[M].科技出版社,2007(09)
[4]黎連業(yè),張維.防火墻及其應用技術[M].清華大學出版社,2004(09)
[5]張連銀.防火墻技術在網(wǎng)絡安全中的應用[J].科技資訊,2007(09)
[6]朱鵬.于狀態(tài)包過濾的防火墻技術[M].微計算機工程,2005(03)
關鍵詞:計算機 防火墻 安全應用
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)06-0213-01
計算機防火墻是建立在計算機與網(wǎng)絡之間的保護屏障,可以使網(wǎng)絡信息安全地傳播,對網(wǎng)絡環(huán)境中的危險因素進行控制,為網(wǎng)絡安全運行提供了保障。在計算機網(wǎng)絡傳播過程中病毒會隨著信息入侵網(wǎng)絡系統(tǒng),防火墻這時候就起到監(jiān)督控制的作用,阻止病毒入侵網(wǎng)絡系統(tǒng),保護用戶的計算機不受病毒的侵害。但是在目前的計算機防火墻安全應用中仍舊存在著一定的缺陷,所以針對防火墻安全應用中存在的問題,計算機研究領域應該加大研究力度,為計算機網(wǎng)絡帶來安全可靠的防火墻。
1 計算機防火墻的簡介
1.1 計算機防火墻的概念
所謂的計算機防火墻就是建立在計算機與外部網(wǎng)絡之間的一道保護屏障,分析進入計算機的網(wǎng)絡信息是否安全并對有害的信息病毒進行攔截,對計算機網(wǎng)絡進行監(jiān)控防護實現(xiàn)計算機網(wǎng)絡的安全運行。計算機用戶對于防火墻的使用也非常普遍,防火墻可以對進入用戶計算機的網(wǎng)絡信息進行分析,一旦發(fā)現(xiàn)有病毒入侵計算機防火墻及時采取防護措施,對計算機系統(tǒng)進行保護。
1.2 防火墻的優(yōu)點
防火墻的最大優(yōu)點就是對計算機網(wǎng)絡起到保護的作用,具體又分為幾點:(1)防火墻可以對計算機系統(tǒng)的安全策略進行合理地配置,把信息流通限制在一定的范圍內(nèi),減少危險因素對計算機網(wǎng)絡的侵害。(2)防火墻可以限制用戶對特殊網(wǎng)絡的訪問。(3)防火墻的功能比較集中,應用性比較高。(4)防火墻的辨別能力比較強,如果計算機的存儲空間比較大,防火墻可以對所有經(jīng)過計算機網(wǎng)絡系統(tǒng)的信息進行辨別存儲。(5)防火墻具有報警功能,在病毒入侵時可以向有關計算機網(wǎng)絡人員發(fā)出警告信息。
1.3 計算機防火墻的種類
計算機防火墻是在計算機技術的不斷改革更新基礎上發(fā)展起來的,每一階段的防火墻種類都不同,不論是什么類型的防火墻都有共同的特點就是對計算機網(wǎng)絡進行安全保護,但是不同種類的防火墻都有不同的缺陷。下面針對三種防火強進行分析。(1)過濾防火墻。所謂的過濾防火墻就是對通過計算機的每一份信息都進行檢測,根據(jù)事先制定的檢測方案對信息進行過濾,放行安全的信息并攔截危險的信息。過濾防火墻是通過對信息的IP地址以及信息端口進行檢測分析,操作比較簡單,是防火墻發(fā)展階段最基礎的技術。(2)防火墻。防火墻就是根據(jù)網(wǎng)絡運行協(xié)議與網(wǎng)絡運行規(guī)則建立在計算機與網(wǎng)絡之間的一種信息轉(zhuǎn)換技術。防火墻可以更好地為計算網(wǎng)絡服務,適應力比較強,可以防止網(wǎng)絡信息交叉對計算機造成的危害,可以屏蔽有危害的網(wǎng)絡信息,把安全的網(wǎng)絡信息通過防火墻轉(zhuǎn)換到計算機系統(tǒng)中去,為計算機網(wǎng)絡的安全運行提供了保障。(3)網(wǎng)絡運行狀態(tài)監(jiān)控防火墻。網(wǎng)絡運行狀態(tài)監(jiān)控防火墻就是對網(wǎng)絡系統(tǒng)的各分支系統(tǒng)進行監(jiān)控檢測,通過事先制定的監(jiān)控檢測制度對網(wǎng)絡系統(tǒng)中的流通信息進行分析檢測,過濾危險信息,把安全信息轉(zhuǎn)換到計算機網(wǎng)絡系統(tǒng)中。狀態(tài)監(jiān)控防火墻避免了由于信息過濾不充分或者是代替不合理造成病毒信息的遺漏,對計算機網(wǎng)絡系統(tǒng)造成危害。
2 目前計算機防火墻安全應用存在的缺陷
計算機網(wǎng)絡技術在不斷改革更新,防火墻的應用也越來越廣泛,但是在防火墻安全應用過程中還是存在一定的缺陷,主要表現(xiàn)在以下幾方面。(1)防火墻不能檢測出危險信息。由于計算機技術的快速更新,病毒入侵也會運用更先進的方式攜帶危險信息進入計算機網(wǎng)絡系統(tǒng),而防火墻卻不能夠檢測出來,使病毒順利地入侵計算機系統(tǒng),對計算機造成了極大的危害。(2)不能阻止病毒在計算機系統(tǒng)中的快速擴散。一旦病毒入侵計算機的關鍵系統(tǒng),防火墻就不能阻止病毒的快速擴散。計算機關鍵系統(tǒng)就會快速地擴散病毒,導致計算機的整個系統(tǒng)都會被病毒入侵,對計算機造成極大的危害甚至導致計算機系統(tǒng)的癱瘓。(3)增加計算機安全管理的負擔。隨著防火墻的功能越來越多,需要計算機加大對防火墻的管理控制力度,增加了計算機的安全管理負擔。如果計算機一旦對防火墻的管理力度不夠,就會限制防火墻的安全防護能力,極大程度上影響了防火墻在計算機系統(tǒng)中的安全應用。
3 Linux防火墻的安全應用
所謂的Linux防火墻是在過濾、防火墻基礎上建立的更深次的狀態(tài)監(jiān)控防火墻。這種防火墻的優(yōu)點就是費用低、控制力度大、對網(wǎng)絡內(nèi)部的保護力度比較強。下面針對這種防火墻的特點具體分析在計算機系統(tǒng)中的安全應用。(1)配置網(wǎng)絡服務器。在進行防火墻安裝時應該為防火墻與計算機之間配置服務器,起到傳遞信息的作用。通過激活服務器來制定相應的防火墻安全防護措施,保證服務器很好的和防火墻進行配合,方便防火墻對信息的IP地址進行分析檢測,為計算機提供安全的服務信息。(2)制定防火墻運行規(guī)則。在制定防火墻運行規(guī)則時應該首先制定防火墻的安全防護策略,分析哪些信息是允許通過的哪些是不允許通過的。防火墻允許內(nèi)部系統(tǒng)訪問外部的網(wǎng)絡系統(tǒng),在轉(zhuǎn)換信息時把安全信息轉(zhuǎn)換到計算機內(nèi)部系統(tǒng)中去,對危險信息進行攔截。防火墻允許內(nèi)部系統(tǒng)的信息通過,對外部網(wǎng)絡信息的通過進行限制,安全的信息可以通過防火墻,對危險的信息進行攔截去清除。
4 結(jié)語
綜上所述,Linux防火墻的安全應用極大程度上滿足了計算機網(wǎng)絡用戶對于防火墻的需求。Linux防火墻比一般防火墻的功能還要強大,在過濾、防火墻的基礎上又加強對網(wǎng)絡系統(tǒng)的安全防護能力,對進入網(wǎng)絡系統(tǒng)的數(shù)據(jù)包進行檢測分析,可以限制病毒信息數(shù)據(jù)包的通過,對內(nèi)部網(wǎng)絡進行有效地保護,促進計算機網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行。
參考文獻
[1]倪鵬濤.關于計算機防火墻安全應用的思考[J].計算機光盤軟件與應用,2012(10).
關鍵詞:計算機防火墻;網(wǎng)絡安全保護;互聯(lián)網(wǎng)
計算機的網(wǎng)絡安全可以被定義為機密性、完整性和可用性。就保密性而言,只能訪問授權信息;可用性指不減少計算機系統(tǒng)應用內(nèi)存的情況下,仍然可以按照授權用戶的要求提供服務。防火墻系統(tǒng)可以決定哪些計算機可以請求訪問內(nèi)部服務。來自計算機網(wǎng)絡的信息必須通過防火墻,由防火墻判斷是否予以通行。數(shù)據(jù)通過防火墻,必須獲得授權碼或者是防火墻已經(jīng)授權的數(shù)據(jù)。―旦防火墻系統(tǒng)受到攻擊或被突破,其數(shù)據(jù)是迂回的,則不能提供任何防護。
1.計算機防火墻定義及作用
1.1計算機防火墻的定義
通俗來講,防火墻主要作用就是隔離開受保護的網(wǎng)絡與不受保護的網(wǎng)絡,通過類似于安檢點的一種單一集中的安全檢查點,審查并過濾所有從因特網(wǎng)到受保護網(wǎng)絡的連接(反之亦然)。一些防火墻偏重于阻塞傳輸流量,而另一些防火墻則是允許傳輸流。這兩種機制看起來似乎自相矛盾,但這種機制恰恰反映了防火墻的早期設計思路,也給后續(xù)防火墻的設計改良提供了方向??偟膩碚f,防火墻可以被理解成簡單的兩種機制,一種機制是輸電線路阻塞環(huán)流,另一個機制是允許傳輸流。因為防護墻最初的設計理念總是信任內(nèi)部網(wǎng)絡和不信任外部網(wǎng)絡的,所以初始防火墻過濾的只是外部的交流信息,對于網(wǎng)絡用戶和內(nèi)部網(wǎng)絡的交流則不作要求。當前防火墻過濾機制的變化,不僅從外部網(wǎng)絡通信連接過濾,連接請求從內(nèi)部網(wǎng)絡的用戶還需要過濾數(shù)據(jù)包,防火墻保護仍然遵守安全政策需求的溝通。
1.2防火墻的作用
防火墻,字面意思是確保網(wǎng)絡的安全。防火墻內(nèi)部存儲著大量的數(shù)據(jù),這些數(shù)據(jù)可以提供系統(tǒng)反饋信息、允許程序運行、需要返回的信息。防火墻只允許那些默認允許應用程序訪問,其本身也起到避免黑客對系統(tǒng)造成損害的作用。下面簡單介紹一些防火墻的功能。
(1)過濾風險服務和非法用戶,限制外來數(shù)據(jù)訪問進入內(nèi)部網(wǎng)絡;(2)防止內(nèi)部用戶入侵國防網(wǎng)絡設施;(3)只允許特定用戶訪問特定的網(wǎng)絡站點;(4)為網(wǎng)絡安全監(jiān)測提供了方便;(5)防火墻的位置可以用來記錄計算機程序?qū)W(wǎng)絡的訪問;(6)可以用作部署NAT網(wǎng)絡;(7)用于網(wǎng)絡地址的位置變換,使用NAT技術,將有限的動態(tài)或靜態(tài)IP地址與內(nèi)部IP地址相對應,以節(jié)省地址空間。
2.計算機防火墻的分類和結(jié)構
2.1計算機防火墻的分類
當今時代網(wǎng)絡通信取得了飛速發(fā)展,網(wǎng)絡訪問信息基礎設施得以不斷增加,防火墻技術也在不斷發(fā)展。目前防火墻的精細分類和基礎功能都已經(jīng)趨于完善。其中內(nèi)部網(wǎng)絡防火墻技術按照不同的方式和預防側(cè)重點可分為多種類型,包括過濾防火墻、應用防火墻和監(jiān)控狀態(tài)防火墻,雙主機主機防火墻和主機防火墻過濾類型等等。包過濾防火墻功能應用在網(wǎng)絡層,主要是檢查每個數(shù)據(jù)包的數(shù)據(jù)流,根據(jù)數(shù)據(jù)包的源地址、目的地址和端口來判斷是否允許數(shù)據(jù)包通過。
(1)應用程序在應用程序?qū)臃掌?,其特點是完全“切斷”網(wǎng)絡流量,每個應用程序服務編制通過特殊的,實現(xiàn)監(jiān)控、過濾、記錄和報告的功能流的應用程序?qū)印?/p>
(2)狀態(tài)監(jiān)視器是使用一個網(wǎng)關來實現(xiàn)網(wǎng)絡安全戰(zhàn)略的軟件引擎,收集的數(shù)據(jù)在每一層要通過網(wǎng)絡通信實現(xiàn)監(jiān)控,一旦某次訪問違反安全規(guī)則,安全報警系統(tǒng)將拒絕此次訪問,錄入系統(tǒng)警報當前網(wǎng)絡狀態(tài)。
(3)雙主機主機防火墻和主機過濾防火墻所提供的是堡壘主機相應的服務。雙主機主機防火墻通常是通過堡壘主機作為網(wǎng)關,網(wǎng)關防火墻軟件并運行,保證網(wǎng)絡通信,必須通過堡壘主機。防火墻和主機過濾器將連接路由器和外聯(lián)網(wǎng),并安裝堡壘內(nèi)部,使堡壘機外部網(wǎng)只有節(jié)點,確保內(nèi)部網(wǎng)絡從未經(jīng)授權的用戶。
(4)復合防火墻,將信息包過濾和服務有效地結(jié)合在一起,形成新的防火墻,主機名為堡壘主機,負責提供服務。
2.2計算機防火墻的結(jié)構
目前計算機常用的幾種典型的防火墻系統(tǒng)通常采用以下結(jié)構:
(1)包過濾網(wǎng)關式防火墻。內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的信息過濾器,它有兩個網(wǎng)絡接口,分別連接內(nèi)部和外部網(wǎng)絡,內(nèi)部局域網(wǎng)(Local Area Network,LAN)和外部互聯(lián)網(wǎng)直接通信,并能夠完成兩個網(wǎng)卡之間的IP數(shù)據(jù)包轉(zhuǎn)發(fā)常見的路由功能,包過濾的過濾函數(shù)根據(jù)本地安全策略,確定哪些是可以通過網(wǎng)絡接口的數(shù)據(jù)包,哪些數(shù)據(jù)包將被禁止,也就是說,信息包過濾網(wǎng)關相當于一個靜態(tài)流量監(jiān)控功能的路由器。這是包過濾防火墻的基本結(jié)構,包過濾防火墻價格低廉,人氣很高,使用方便,但配置不當可能會導致防火墻網(wǎng)關機器和攻擊數(shù)據(jù)包在允許范圍內(nèi)的服務和系統(tǒng)出現(xiàn)故障,等等。
(2)雙孔式網(wǎng)關防火墻。它是一種替換式的網(wǎng)關防火墻過濾裝置,它與包過濾式網(wǎng)關防火墻都是防火墻網(wǎng)絡和內(nèi)部網(wǎng)絡之間的防護裝置。同樣有兩個網(wǎng)絡接口,連接到內(nèi)部和外部的網(wǎng)絡。不同的是,雙孔式網(wǎng)關防火墻禁止IP轉(zhuǎn)發(fā)功能,使內(nèi)部和外部網(wǎng)絡IP數(shù)據(jù)流完全阻塞,通過提供服務網(wǎng)關功能的實現(xiàn)。因為只有一個特定類型的協(xié)議可以請求服務處理,所以雙孔式網(wǎng)關防火墻意識到“默認拒絕”的安全策略,具有很高的安全性。雙孔式網(wǎng)關防火墻是一個典型的應用防火墻,它完全“切斷”內(nèi)部和外部的網(wǎng)絡流量,達到更高層次的安全控制,這是類型應用防火墻的特點類型的包過濾防火墻。
這兩個防火墻有一個共同點:都是通過防火墻與主機防火墻。如果突破防火墻主機,局域網(wǎng)絡安全防御就被攻破了o
3.計算機防火墻技術應用
對于軟件防火墻,公司經(jīng)常使用微軟IsAserVer軟件。防火墻市場使用反響是很好的,但通過狀態(tài)包過濾和鏈接,會讓企業(yè)遭受新的攻擊。信息包過濾允許保護網(wǎng)絡數(shù)據(jù)和應用程序和電路為其服務,如果狀態(tài)濾波器動態(tài)端口需要打開,與這些端口通信的數(shù)據(jù)端口最終將被關閉,需要將鏈路層安全動態(tài)信息包過濾,以保證安全性和易用性。同時通過防火還可以了解到其主要是記錄和報告活動。使用這個記錄和報告不僅可以簡化用戶,搜索用戶組,也可以簡化服務器,簡化網(wǎng)絡信息搜索,其通過使用接口、向?qū)А⒛0搴拖鄳墓芾砉ぞ呖梢灾苯訛橛脩籼峁┓铡?/p>
4.計算機防火墻的發(fā)展趨勢分析
未來階段的計算機系統(tǒng)有集中管理的發(fā)展趨勢,其中最常用的是分層分布式安全管理的安全體系結(jié)構,它具有以下優(yōu)點:管理結(jié)構可以降低管理成本,提高網(wǎng)絡的安全性;集中管理系統(tǒng)對傳統(tǒng)電腦的反應速度要求更高。這種類型的管理系統(tǒng),可以提供一個良好的日志分析功能和審計功能,可以調(diào)整安全策略,合理降低網(wǎng)絡安全威脅。
關鍵詞:計算機;網(wǎng)絡安全;防火墻技術;研究
1引言
在研究計算機防火墻技術過程,要結(jié)合實際,明確計算機網(wǎng)絡存在的安全隱患,以此才能有針對性的進行時間探索,以提高計算機防火墻技術應用水平,進一步構建更加健康、高效的網(wǎng)絡環(huán)境,下面具體分析。
2防火墻技術概述
防火墻是現(xiàn)代化互聯(lián)網(wǎng)信息科技下,一種網(wǎng)絡隔離、防護的信息技術,是由計算機的硬件、軟件所組成,能夠保護用戶的正常、安全使用。在實際使用的過程之中,在互聯(lián)網(wǎng)通訊機制的條件下,能夠?qū)⒒ヂ?lián)網(wǎng)過濾設置在計算機中,幫助計算機網(wǎng)絡通信的控制,只有經(jīng)過審核有資質(zhì)的用戶采用使用。從本質(zhì)上來看,防火墻是一類網(wǎng)絡系統(tǒng)與計算機之間的保護設備,研究表明,加裝防火墻的計算機和系統(tǒng)能夠有效組織外來攻擊。在計算機網(wǎng)絡的安全標準之下,防火墻能夠動態(tài)化地進行網(wǎng)絡數(shù)據(jù)包,針對監(jiān)測到存在安全隱患的數(shù)據(jù)和信息,能夠在第一時間內(nèi)切斷網(wǎng)絡信息傳導,避免外來惡意用戶的攻擊,從根本上保護好互聯(lián)網(wǎng)用戶的信息安全。同時,還能不間斷地為網(wǎng)絡系統(tǒng)進行過濾,將潛在的安全隱患進行阻擋,斷絕任何病毒入侵的可能。此外,防火墻還會降阻擋記錄等進行備份,從而幫助用戶了解到潛在的安全信息,共建良好、開放的互聯(lián)網(wǎng)信息渠道。
3計算機網(wǎng)絡存在的安全隱患
3.1安全防護不足
盡管計算機和互聯(lián)網(wǎng)技術傳入中國已久,但目前我國計算機仍然呈現(xiàn)較為嚴重的訪問機制不安全的現(xiàn)象,尤其是防火墻技術的使用上仍然較為匱乏,相關的信息保護能力差強人意。對于計算機網(wǎng)絡系統(tǒng)內(nèi)部的安全隱患,安全防護措施不到位,并且有些技術人員不重視計算機網(wǎng)絡信息安全,當計算機網(wǎng)絡出現(xiàn)問題以后才進行處理,缺少預見性,這使得某些嚴重的惡意攻擊給計算機網(wǎng)絡造成較大損害,用戶數(shù)據(jù)信息被竊取,嚴重損害了用戶切身利益。
3.2攻擊后門
從軟件與互聯(lián)網(wǎng)開發(fā)的實際情況和經(jīng)驗來看,程序人員往往會便于自身的測試、更新與修改,會保留專門的后門程序。而部分技術人員在完成軟件的調(diào)配測試后,疏于管理并沒有將專門的后門程序予以刪除,這就導致了部分軟件在實際運用過程中潛在的安全隱患。部分黑客或病毒無法直接通過軟件入侵用戶計算機,但從后門系統(tǒng)往往能夠更為便捷地入侵,導致了用戶信息以及數(shù)據(jù)的泄露現(xiàn)象。
3.3自保能力差
結(jié)合過往用戶使用計算機的經(jīng)驗來看,盡管會使用多種多樣的手段與方法來杜絕潛在的安全隱患以及外來攻擊,但病毒以及黑客的技術也在與時俱進地發(fā)展,導致隔絕不利。部分新型計算機病毒的傳播速率非???,只采用原有的技術往往無法檢測。尤其是部分個人用戶缺乏專門的檢測技術與理念,無法跟上計算機病毒日益改變的需求,即使開展了一定程度上的檢測工作,也難以達到百分之百的防患。因此,當病毒尤其是新型病毒大面積爆發(fā)的時候,往往會引發(fā)計算機和互聯(lián)網(wǎng)的癱瘓。
3.4木馬病毒
在我國互聯(lián)網(wǎng)信息科技力量不斷發(fā)展的情況下,互聯(lián)網(wǎng)改變了諸多行業(yè)以及業(yè)務工作,帶來了極大的便利與快捷。但與此同時,個人、企業(yè)的數(shù)據(jù)信息也會掛載在互聯(lián)網(wǎng)上。而木馬病毒即為其中盜取信息的負面因素之一,木馬病毒會侵入計算機并對數(shù)據(jù)信息予以破壞,同時木馬病毒還有極高的傳播性,會通過通訊軟件或郵件傳播。在開放的互聯(lián)網(wǎng)環(huán)境之下,木馬病毒的傳播性將會不斷擴張。部分木馬病毒的隱蔽性較強,會偽裝在系統(tǒng)軟件之下,如果用戶沒有仔細辨認就加以下載,會迅速潛伏到計算機系統(tǒng)中并竊取計算機用戶的正常權限,使得用戶的數(shù)據(jù)、信息等被盜取,嚴重的情況下還會使得用戶的個人信息安全遭到侵害。
4計算機網(wǎng)絡安全中防火墻技術應用
4.1安全服務配置
在互聯(lián)網(wǎng)計算機網(wǎng)絡之中,防火墻能夠有效設置專門的安全服務隔離區(qū),將選定的計算機單獨隔離,而隔離的情況下外來的用戶和病毒將無法搜索該機群。安全配置下能夠設置計算機處于專門的局域網(wǎng)下,作為內(nèi)網(wǎng)的組成部分能夠確保信息數(shù)據(jù)的安全,并且保證計算機的其他系統(tǒng)正常、獨立運轉(zhuǎn)。在防火墻技術的使用過程之中,還具備專門的地址轉(zhuǎn)換能力,即在防火墻保護下的計算機在使用各軟件的過程中,不會直接暴露自身的IP地址及其內(nèi)網(wǎng)結(jié)構,而是轉(zhuǎn)為虛擬的IP地址,用以充分提升內(nèi)網(wǎng)的安全同時,公網(wǎng)的IP地址數(shù)量減少,能夠進一步降低投資成本。如果局域網(wǎng)中還加設了專門的邊界路由器,將進一步簡化虛擬、轉(zhuǎn)化的過程,從根本上保障了內(nèi)網(wǎng)的使用安全。另外,若公用服務器位于安全服務隔離區(qū),可對邊界路由器進行直接連接,不用設置防火墻,并且通過優(yōu)化拓撲結(jié)構,可以實現(xiàn)邊界路由器和防火墻的雙重保險,極大地提高了計算機網(wǎng)絡安全,也不會影響外部用戶對內(nèi)網(wǎng)的正常訪問。
4.2復合技術
復合技術是目前防火墻綜合利用的有效技術方法之一,通過復合技術能夠結(jié)合互聯(lián)網(wǎng)中包過濾與技術的二者優(yōu)勢,幫助提供更加穩(wěn)定、可靠和安全的防護措施,減少了防火墻使用過程中的弊端。目前防火墻技術的復合能力越發(fā)成熟,對用戶的保護程度也不斷提高。防火墻技術的集中體現(xiàn)了多元化的特性,是集合了殺毒軟件、防火墻以及警備系統(tǒng)的一種綜合性技術,在互聯(lián)網(wǎng)科技力量越發(fā)完善的今天,不論是個人用戶還是企業(yè)級用戶,通過加裝防火墻都能夠達到良好的效果,保證計算機和互聯(lián)網(wǎng)的使用安全。與此同時,通過對計算機網(wǎng)絡加裝專門的防火墻軟件系統(tǒng),能夠?qū)崿F(xiàn)多層不同的防御機制,不僅能夠?qū)τ脩舻恼J褂糜辛己玫谋O(jiān)控,與此同時還能夠?qū)ν饩W(wǎng)的惡意攻擊等有明顯的保護作用。復合技術能夠提供多重加密與保護,想要正常訪問必須通過多個端口,所以達到了良好的保護目的。此外,防火墻的復合技術還能夠主動隱藏計算機的內(nèi)部情況,避免了黑客或病毒的惡意訪問,減少了被訪問的幾率即可提升防護的綜合水平。
4.3運用訪問策略
首先,通過防火墻的使用能夠?qū)⒒ヂ?lián)網(wǎng)的使用有機分為內(nèi)網(wǎng)和外網(wǎng),規(guī)劃兩種不同的使用、參考路徑,達到良好的數(shù)據(jù)傳到、訪問和交互的安全目的。其次,防火墻技術能夠在進入系統(tǒng)前,對對方的系統(tǒng)以及情況有一個初步的了解,在無異常情況的前提條件下予以運作,保證安全系數(shù)。最后,計算機網(wǎng)絡和訪問策略運用的是不同保護方式,訪問策略是基于計算機網(wǎng)絡的安全需求,優(yōu)化防火墻調(diào)整,從而提升計算機網(wǎng)絡防護安全。另外,以形成策略表為前提,訪問策略運用,對訪問策略所有活動進行詳細記錄,以該表作為執(zhí)行順序,從而提高計算機網(wǎng)絡安全防護效率。
4.4入侵檢測方式運用
入侵檢測是計算機互聯(lián)網(wǎng)使用過程中最為重要的一項功能,通過動態(tài)化的檢測系統(tǒng)能夠充分提升計算機防護體系的穩(wěn)定性,彌補當前計算機對自身系統(tǒng)和外來信息排查不力的情況出現(xiàn),防火墻與計算機的殺毒軟件互相結(jié)合,能夠全方位的監(jiān)控計算機,通過多元化的計算機方式完成計算機網(wǎng)絡的安全隱患排查。與此同時,用戶在使用防火墻軟件的時候,除了被動檢測的方法以外,還可以不定期地使用軟件進行自主的入侵檢測。部分病毒和木馬會在計算機系統(tǒng)中潛伏一定周期,而通過主動檢測的方式能夠降低這種事故的發(fā)生概率,提升用戶的安全性。
4.5日志監(jiān)控中的應用
防火墻軟件的最大意義在于,防火墻并非只是一款被動“防守”的軟件,而是能夠自主判斷和記錄潛在的風險因素。目前防火墻軟件都會有專門的日志監(jiān)控體系,針對保護計算機使用的情況予以相應的記錄,能夠?qū)撛诘陌踩蛩匾约皵r截風險的情況予以明確的記錄,并且以智能化的方式進行判斷,一旦在后續(xù)的使用過程中出現(xiàn)類似的特征,能夠在第一時間予以攔截、打擊,幫助用戶保證自己的使用安全。需要注意的是,用戶還需要對防護墻的自主攔截以及日志監(jiān)控進行梳理分析,并非所有的信息日志都需要加以記錄,只需要記錄專門有潛在風險以及明確出現(xiàn)惡意攻擊的行為,用以最大程度上保證防火墻的使用效率和使用質(zhì)量。
關鍵詞:防火墻;網(wǎng)絡安全;應用
中圖分類號:C96 文獻標識碼:A
在互聯(lián)網(wǎng)高度普及和發(fā)展的今天,我們的生產(chǎn)生活方式都發(fā)生了極大的改變,但是網(wǎng)絡安全問題也日漸突出,數(shù)據(jù)在網(wǎng)絡傳輸過程中泄密、惡意篡改、攔截以及復制問題日益嚴峻。這些隱藏的安全隱患對人們隨時可能造成機密信息的泄露以及計算機系統(tǒng)癱瘓等后果。防火墻技術是一種有效的信息隔離安全技術,對于構建安全的網(wǎng)絡信息環(huán)境具有非常重要的作用。因此,從這個角度來看,文章對防火墻技術在計算機網(wǎng)絡安全中的應用價值進行分析具有非常重要的現(xiàn)實意義。
1防火墻技術
所謂的防火墻是指在不同的網(wǎng)絡(主要是指可信賴網(wǎng)絡與不可信賴公共網(wǎng)絡)之間設置的一系列的安全部件的組合,其主要的作用是在不同的網(wǎng)絡之間設置唯一的安全信息入口,根據(jù)用戶設置的安全策略對出入網(wǎng)絡的信息流進行管理。防火墻本身具備較強的抗攻擊能力,是一種實現(xiàn)網(wǎng)絡安全的基本措施。
(1)加密技術。即信息的發(fā)送方先對信息做加密處理,密碼由接收方掌握,接收方接收到經(jīng)過加密處理的信息后,用解密密鑰對信息進行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸?shù)陌踩浴?/p>
(2)身份驗證。通過對網(wǎng)絡用戶的使用授權,在信息的發(fā)送方和接收方之間通過身份認證,建立起相對安全的信息通道,這樣可以有效防止未經(jīng)授權的非法用戶的介入。
(3)防病毒技術,主要涉及對病毒的預防、檢測以及清除三方面。
(4)進侵檢測,即對進入系統(tǒng)中未經(jīng)授權以及異常的信息及時作出預警,以及時檢測出信息系統(tǒng)中的安全威脅。
(5)掃描漏洞。通過對網(wǎng)絡信息系統(tǒng)中的文件及數(shù)據(jù)加以掃描,進而查找出其中可能受到黑客威脅的漏洞,通過此掃描過程,預先評估并分析出網(wǎng)絡系統(tǒng)中可能受到黑客利用的漏洞,可以在很大程度上保障網(wǎng)絡信息安全。
(6)信息防火墻,即通過對網(wǎng)絡傳輸數(shù)據(jù)的檢測及限制,避免外部非正當信息的侵入,最大程度的保障網(wǎng)絡內(nèi)部的信息安全。
網(wǎng)絡防火墻本身就如一堵墻壁,將內(nèi)部私人可信賴的安全網(wǎng)絡與外部公共不可信賴的網(wǎng)絡進行隔離,從而起到區(qū)域網(wǎng)絡的不同安全區(qū)域的防御作用,其結(jié)構如圖1所示。
成如圖1所示,防火墻在內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間起到信息安全管理的作用,通過一系列的安全策略,對互聯(lián)網(wǎng)進入內(nèi)網(wǎng)或者內(nèi)網(wǎng)進入互聯(lián)網(wǎng)的信息進行管理,從而起到保護用戶數(shù)據(jù)和系統(tǒng)安全的作用。
2防火墻設置的基本原則
計算機網(wǎng)絡防火墻的設置主要需要遵循如下幾個方面的基本原則:
(1)簡便實用原則
所謂的簡便實用原則是指我們在防火墻的環(huán)境設置方面,需要確保其越簡單越好,因為越簡單的實現(xiàn)方式,就越容易實用,而且也不容易出現(xiàn)問題,即使是出現(xiàn)問題也相對容易解決。
(2)全面深入原則
防火墻具有許多的網(wǎng)絡防護功能,但是任何一種單一的防御措施在實際上都無法有效的保障系統(tǒng)的安全。因此,在防火墻設置的時候,我們需要綜合運用各類功能,構建起全面、多層次的網(wǎng)絡安全防御體系,盡量使得各方面的設置能夠均衡、協(xié)調(diào),相互加強,從根本上加強計算機的網(wǎng)絡安全防護能力。
(3)內(nèi)外兼顧原則
所謂的內(nèi)外兼顧的原則,主要是針對防火墻的技術特點而言的,由于防火墻個是防外不防內(nèi)的。但是,從計算機網(wǎng)絡安全的實際情況來看,其80%的威脅都是來自于內(nèi)部,因此在進行防火墻設置的時候,要加強主機防護,從入侵檢測、漏洞掃描以及病毒的查殺幾個方面有效的提高防火墻的防護能力。
3計算機網(wǎng)絡防火墻的具體設置
為了更好的發(fā)揮計算機網(wǎng)絡防火墻的功能,提高計算機安全性,依據(jù)上述的設置原則,可以在如下兩個方面進行防火墻的設置:
(1)網(wǎng)絡防火墻的功能設置
在功能設置方面,首先需要在上網(wǎng)之前開啟防火墻,然后進行安全等級的設置,如果有固定IP的用戶,設置為中等即可,這是以往IP固定的用戶一般是局域網(wǎng)用戶,局域網(wǎng)本身就有一定的網(wǎng)絡防護功能,中等等級的設置即可。同時,要打開防火墻的各項針對性的功能,比如網(wǎng)頁安全防護、聊天安全防護、下載安全防護、局域網(wǎng)ARP供給防護等等。對系統(tǒng)內(nèi)部則要打開鍵盤記錄防護、文件系統(tǒng)防護、驅(qū)動防護、進程防護以及注冊表防護等幾個方面的功能。
(2)網(wǎng)絡防火墻的規(guī)則設置
一般的,網(wǎng)絡防火墻是有自身的默認規(guī)則的,但是這些規(guī)則只針對計算機最為常見的木馬與漏洞,但是對于剛爆發(fā)的新木馬與漏洞,網(wǎng)絡防火墻舊有的規(guī)則無法使其勝任保護計算機網(wǎng)絡安全的任務。因此,我們需要對網(wǎng)絡防火墻的規(guī)則進行設置。
首先,可以通過利用反病毒廠家提供的相關信息,對病毒、木馬以及計算機安全漏洞的分析結(jié)果進行綜合分析。然后,在上述分析的基礎上,根據(jù)自身的實際需要以及當前的網(wǎng)絡安全現(xiàn)狀,進行規(guī)則設置。比如,對ICMP IGMP炸彈可以設置echo requset攔截規(guī)則,攔截ICMP的1型,從而有效防止黑客侵入。具體的規(guī)則設置因人而異,因時而異,需要靈活運用,文章不就此過多贅述。
結(jié)語
網(wǎng)絡技術的發(fā)展和普及在給我?guī)砀鞣N便利的同時,也使得網(wǎng)絡信息安全態(tài)勢日益嚴峻。防火墻是一種有效的計算機網(wǎng)絡安全防護技術,文章研究了網(wǎng)絡防火墻技術及網(wǎng)絡防護墻的設置基本規(guī)則,然后在此基礎上,文章對計算機網(wǎng)絡防火墻的功能設置以及規(guī)則設置進行了探討。然而,我們也應該認識到,網(wǎng)絡安全是一項綜合性的課題,需要通過各方面的全力協(xié)作才能夠找到更好的網(wǎng)絡安全解決對策。希望本文的研究對于推動計算機網(wǎng)絡安全建設能夠起到一定的參考作用。
參考文獻
[1]楊春波,張崇俊.防火墻技術的現(xiàn)狀與發(fā)展趨勢的探討[J].福建電腦,2006(02).
[2]王迪.防火墻技術及攻擊方法分析[J].湖南民族職業(yè)學院學報, 2007(04) .
關鍵詞:計算機網(wǎng)絡;防火墻;防火墻設置
中圖分類號:TP309.7
文獻標識碼:A 文章編號:1672-7800(2014)003-0140-02
0 引言
伴隨著計算機應用技術的快速發(fā)展,計算機網(wǎng)絡技術已經(jīng)在各個行業(yè)普遍應用。計算機網(wǎng)絡安全一般是指運用計算機網(wǎng)絡技術與管理控制方法,保證數(shù)據(jù)信息處在同一計算機網(wǎng)絡環(huán)境下的保密性、可靠性以及有效性。計算機網(wǎng)絡安全一般由邏輯安全性和物理安全性構成。通常情況下邏輯安全性包括保密性、可靠性與有效性三個方面。物理安全性主要是指維護計算機系統(tǒng)設備與有關設施對應的物理安全,從而避免受到相應的破壞。各種計算機網(wǎng)絡安全技術的應用,在較大程度上可以保證計算機網(wǎng)絡的信息安全,其中的防火墻技術已經(jīng)成為計算機網(wǎng)絡安全的一項基本技術[1]。
1 防火墻架構體系
1.1 屏蔽路由器
因為屏蔽路由器是內(nèi)網(wǎng)和外網(wǎng)相互連接的單一性通道,所以能夠快速地對數(shù)據(jù)信息進行過濾處理。與此同時還需要安裝相應的報文過濾軟件,這是以IP層作為基礎的,這個軟件自身配置有報文過濾相對應的設置選項,能夠?qū)唵涡问降膱笪倪M行過濾處理,如果其受到攻擊,則容易出現(xiàn)用戶識別的相關問題。
1.2 雙穴主機網(wǎng)關
雙穴主機網(wǎng)關通常是使用一臺堡壘主機作為防火墻,這臺主機需要安裝兩塊網(wǎng)卡實現(xiàn)相關功能。堡壘主機的系統(tǒng)軟件能夠?qū)ο到y(tǒng)日志進行保護,也能夠?qū)崿F(xiàn)硬件拷貝日志或者遠程日志的相關功能,為計算機網(wǎng)絡檢查與計算機網(wǎng)絡管理提供極大的便利。其不足之處是計算機遭受入侵時,計算機網(wǎng)絡管理員無法確認遭受攻擊的主機對象,當堡壘主機受到入侵時,雙穴主機網(wǎng)關會退化成為簡單形式的路由器。大部分防火墻證明,在雙宿主機模式的防火墻中,尋徑功能能否受到禁止是非常關鍵的[2]。
1.3 被屏蔽主機網(wǎng)關
堡壘主機通常只設置一個網(wǎng)卡,被屏蔽主機網(wǎng)關通過和計算機內(nèi)部網(wǎng)絡進行連接,在路由器上設定相關的過濾規(guī)則,同時把單宿堡壘主機相應地設置成為由Internet惟一能夠訪問的主機,防止計算機內(nèi)部網(wǎng)絡受到未經(jīng)授權的外部用戶入侵。假如受保護網(wǎng)屬于一個虛擬形式的擴展本地網(wǎng),即使缺乏子網(wǎng)與路由器,內(nèi)網(wǎng)的相應變化也不會限制堡壘主機與屏蔽路由器的相關配置。網(wǎng)關相應的基本控制方法取決于具體安裝的軟件,假如入侵者設法登錄,計算機內(nèi)網(wǎng)中的剩余主機就會遭受很大程度的威脅,這和雙穴主機網(wǎng)關受到攻擊時的情況類似。這種類型技術的安全程度比較高,操作容易、實用性好,所以在實踐中獲得廣泛應用。
2 防火墻類型
2.1 數(shù)據(jù)包過濾型防火墻
數(shù)據(jù)包過濾型防火墻一般是通過讀取數(shù)據(jù)包,根據(jù)其中的一部分信息來對數(shù)據(jù)的可信度和安全性進行有效性判斷,然后以判斷結(jié)果作為根據(jù),進行相關的數(shù)據(jù)處理。如果數(shù)據(jù)包無法得到防火墻的信任,則無法進入到相應的計算機操作系統(tǒng),這種類型的防火墻技術實用性相對較好,在一般形式的計算機網(wǎng)絡環(huán)境中都可以起到充分保護計算機網(wǎng)絡安全的作用,同時具有操作簡單與成本低的特點。然而,因為這種技術僅僅是根據(jù)一部分基本信息來判斷其安全性的,所以對于一部分應用程序與郵件病毒無法作出有效的防御。
2.2 型防火墻
型防火墻即為服務器,其可以回應輸入封包,可阻斷內(nèi)部網(wǎng)與外部網(wǎng)相互之間的信息交流,如圖1所示。型網(wǎng)絡主要是處在客戶機與服務器之間的,此時對于客戶機而言,防火墻屬于一臺服務器,其能夠增強外部網(wǎng)絡竄改內(nèi)部網(wǎng)絡的相應阻力,在很大程度上能夠提升計算機網(wǎng)絡的安全性能,同時可以對應用層的病毒入侵進行有效的防護。這種型防火墻技術的主要缺點是加大了成本,對計算機網(wǎng)絡管理員的專業(yè)技能水平與綜合素質(zhì)要求較高[3]。
2.3 監(jiān)測型防火墻
監(jiān)測型防火墻在一定程度上能主動完成計算機網(wǎng)絡通信數(shù)據(jù)的監(jiān)測功能,可以充分提升計算機網(wǎng)絡的安全性能。原始的計算機防火墻設計概念是過濾掉對計算機網(wǎng)絡環(huán)境與計算機網(wǎng)絡運行產(chǎn)生破壞的數(shù)據(jù)信息,而監(jiān)測型防火墻一般是主動監(jiān)測信息,顯示出強大的計算機安全保障能力。然而監(jiān)測型防火墻成本投入高,管理難度大,所以現(xiàn)階段這種防火墻技術仍未得到普及。
3 防火墻設置方法
3.1 網(wǎng)絡級防火墻
網(wǎng)絡級防火墻通常是根據(jù)應用協(xié)議、目的地址、源地址與各個IP包端口來判斷能否通過。過去路由器一般稱為網(wǎng)絡級防火墻,然而大部分的路由器在檢查完計算機網(wǎng)絡信息的安全性能之后,就可以判斷能否轉(zhuǎn)發(fā)所接收到的IP包,但卻不能對IP包的來源與去向進行有效判斷,高級網(wǎng)絡級防火墻則可以充分達到這個功能,其可以直接利用所提供的內(nèi)容信息表明數(shù)據(jù)流與連接狀態(tài),同時把所需要判斷的內(nèi)容和規(guī)則進行對比分析,這部分規(guī)則定義了全部IP包能否通過的相應規(guī)則。假如接收到IP包時,防火墻會對比各條規(guī)則查看有與這IP包信息內(nèi)容相互符合的具體規(guī)則,以此決定攔截或通過。
3.2 應用級網(wǎng)關
應用級網(wǎng)關屬于最為安全的一種防火墻技術,能對具體檢索結(jié)果進行有效的頁面等級分析,最終達到輸出最主要的一種頁面形式。關鍵頁/權威頁的執(zhí)行思想是:在互聯(lián)網(wǎng)架構體系中存在一種重要頁面形式,這種重要頁面形式通常是在某種學科體系中占據(jù)著權威且關鍵的位置,然而這種關鍵頁/權威頁并不存在多種連接形式。對于這種形式的關鍵頁,不僅可以隱藏性地體現(xiàn)出其它Web文檔的重要性,還可以充分體現(xiàn)出關鍵頁的實際作用。對于權威頁而言,一般可以在多個關鍵頁應用,同時各個引用的關鍵頁也存在著多個權威頁的連接形式,從而計算機可以根據(jù)算法計算出用戶所需要查詢的相關網(wǎng)頁。
3.3 Web行為挖掘在搜索引擎中的應用
對于搜索引擎而言,Web行為挖掘一般是通過挖掘方式來對用戶的檢索行為進行有效歸類和統(tǒng)計處理的?;ヂ?lián)網(wǎng)的信息檢索屬于研究主體對象,搜索引擎主要通過使用Web行為挖掘?qū)τ嬎銠C用戶的日常檢索內(nèi)容進行有效性分析,其中一般包含了檢索詞、檢索時間與檢索方式等。使用Web行為挖掘方式對檢索日志進行分析之后,能夠進行簡單的判斷處理,對于用戶潛在的共同檢索行為進行相關性統(tǒng)計,從而可以更好反饋對搜索引擎效果,通過一系列的總結(jié)和歸納處理之后能夠進一步完善搜索引擎[4]。
4 結(jié)語
伴隨著計算機網(wǎng)絡技術的快速發(fā)展,防火墻會逐步地對計算機系統(tǒng)安全進行有效保護,應不斷地分析并完善計算機網(wǎng)絡防火墻的相關安全設置方法。計算機防火墻的安全設計應不斷改進,以保證計算機網(wǎng)絡環(huán)境的運行安全。
參考文獻:
[1] 王浩.淺談計算機網(wǎng)絡防火墻安全優(yōu)化設計[J].科學時代,2012(6).
[2] 劉宇.計算機網(wǎng)絡混合型防火墻系統(tǒng)的設計與實現(xiàn)[J].科技創(chuàng)業(yè)家,2011(3).
[3] 王菊.淺談計算機網(wǎng)絡安全性及防范措施[J].數(shù)字技術與應用,2010(11).
[4] 林中良.計算機網(wǎng)絡安全防護技術的研究[J].硅谷,2012(1).
Research on the Computer Network Firewall Setting Method
關鍵詞計算機網(wǎng)絡安全防火墻設計
中圖分類號:TP393文獻標識碼:A
生活中已經(jīng)漸漸離不開計算機,也離不開網(wǎng)絡??梢韵胂鬀]有計算機沒有網(wǎng)絡那么人類的許多活動將不能正常順利進行。人與人之間的溝通離不開網(wǎng)絡,各種商業(yè)的進行離不開網(wǎng)絡,所有的醫(yī)療離不開網(wǎng)絡??偠灾?,言而總之,與人類有關的一切活動都已離不開網(wǎng)絡。近兩年也是中國網(wǎng)絡發(fā)展高峰期。
隨著我們社會經(jīng)濟和科學技術的不斷發(fā)展,經(jīng)濟的發(fā)展經(jīng)營模式早已經(jīng)由以往的粗放式經(jīng)濟變更為當前的集約化經(jīng)濟,知識和科技迅速推動經(jīng)濟轉(zhuǎn)型,在此過程中網(wǎng)絡信息技術變得尤為重要,電子信息技術也隨之發(fā)展。目前,電子信息技術已經(jīng)進入了一個比較成熟化的階段,通過各種方式與社會各行各業(yè)有機的結(jié)合到一起成為一種新的行業(yè),或者為行業(yè)注入了新鮮的血液,使得行業(yè)重新煥發(fā)光彩。近年來,計算機相關技術在我國得到了快速發(fā)展的機遇,同時計算機技術為我國的快速發(fā)展提供了便利。我國在計算機方面的研究也取得了很大的成就,計算機技術基本遍布我國各個行業(yè),如電子銀行、電子商務、電子政務、電子醫(yī)院、電子支付等一系列與計算機相關的技術很多都在我們的生活和工作中得以應用。計算機網(wǎng)絡技術存在于我們生活的各個方面,且已經(jīng)成為了我國政治、經(jīng)濟和文化安全的重要組成部分,因此我們對于計算機網(wǎng)絡安全的要求將變得更高。
1首先來介紹一下有關防火墻技術知識
1.1防火墻技術的概念分析
防火墻,即Firewalls,是指通過位于計算機網(wǎng)絡內(nèi)部與其外部網(wǎng)絡之間的網(wǎng)絡安全管理系統(tǒng),防火墻技術是通過一項特殊定制的計算機安全防護系統(tǒng),該系統(tǒng)可以通過既定的標準和規(guī)則,選擇性的允許或限制網(wǎng)絡傳輸數(shù)據(jù)的傳遞或通過,從而能夠從客戶端保障計算機網(wǎng)絡的正常、有序運行。
防火墻主要是一種在本地網(wǎng)絡和外網(wǎng)之間起到防御性作用的技術,該技術主要由兩部分構成,分別是軟件部分和硬件部分,其主要作用是進行網(wǎng)絡的防護和隔離,同時是不同網(wǎng)絡安全防護的唯一通道,通過防火墻的建立,能夠?qū)W(wǎng)絡實施有效的安全保護,防止計算機受到外界的攻擊和侵襲。同時防火墻是保障用戶網(wǎng)絡信息完全的重要手段之一,其自身具有防護功能,能夠?qū)υL問內(nèi)網(wǎng)的信息進行阻截和放行,并且防火墻可以充當分析器和分離器的功能,對內(nèi)網(wǎng)和外網(wǎng)的信息流實施分析,通過篩選之后讓安全的信息流通過。
1.2防火墻技術的主要功能分析
第一,對不安全的網(wǎng)絡信息服務進行控制,通過有效安全的出入策略對不信任域和信任域之間進行分離,從而在內(nèi)部網(wǎng)絡外將不安全服務進行拒絕,同時可以依照相關計劃規(guī)則和定義,在需要時對策略進行關閉和啟動,從而靈活性的保障內(nèi)網(wǎng)的安全。第二,集中性的安全保護作用,防火墻可以對內(nèi)部網(wǎng)絡中的所有軟件實施集中性的管理,從而高效的實施操作,通過防火墻來進行集中性的安全保護。第三,提升對網(wǎng)絡系統(tǒng)的訪問控制能力,通過相關的設定,控制外網(wǎng)對內(nèi)網(wǎng)的訪問,比如發(fā)生重大網(wǎng)絡安全服務故障時,可以對外部網(wǎng)絡進行有效的屏蔽,防止其進行訪問,從而起到良好的保護作用。第四,動態(tài)包過濾作用,通過該功能能夠?qū)ν▽Ψ阑饓Φ臄?shù)據(jù)包進行過濾分析,對其中的相關信息進行提取和分析,從而決定是否允許該數(shù)據(jù)包進入內(nèi)網(wǎng),從而達到動態(tài)網(wǎng)絡控制的作用。
2計算機網(wǎng)絡安全防護過程中有關防火墻技術的應用
根據(jù)計算機網(wǎng)絡發(fā)展研究,可知截止目前我國計算機網(wǎng)絡安全防火墻技術主要由包過濾技術、服務器防火技術、修改訪問策略技術三種,其具體應用如下:
2.1包過濾技術
計算機防火墻包過濾技術是指在實際計算機安全防護工作中,在信息的傳輸環(huán)節(jié)能夠?qū)υ械?、預定的安全訪問注冊信息表進行對比、分析,從而發(fā)掘在其計算機傳輸過程中是否存在相應的安全隱患問題的方式。這一技術的應用能夠?qū)τ嬎銠C網(wǎng)絡傳輸過程中的信息進行選擇、篩選,從而自發(fā)的獲取計算機網(wǎng)絡中存在的標的地址,并對該標的地址的信息進行二次審核,針對數(shù)據(jù)是否具備攻擊性進行審核、解析。這種技術目前已經(jīng)逐漸的被應用到了計算機主機及路由設備的安全防護工作中,例如,在實際的計算機安全防護工作中,這一技術成功的將計算機網(wǎng)絡的傳輸路徑分為以開放式和選擇性封閉式為主的內(nèi)網(wǎng)和外網(wǎng)雙類型網(wǎng)絡,并通過控制其雙類型網(wǎng)站間的信息、資料傳輸,來從根本上改善計算機網(wǎng)絡安全防火墻技術中存在的隱患問題,進而保證計算機網(wǎng)絡的使用安全。
2.2服務器防火墻技術的應用
服務設備是指能夠為計算機網(wǎng)絡設備所提供其正常運行所必須的服務設備,該類型設備的存在能夠代替計算機網(wǎng)絡進行運行,從而幫助計算機網(wǎng)絡完成其所需的信息、資料傳遞、處理工作。例如,在實際計算機網(wǎng)絡安全防護工作過程中,如果計算機所需要傳遞的網(wǎng)絡系統(tǒng),在其傳輸過程中其代碼中攜帶隱藏性的IP地址或?qū)ν飧檰栴}時,不法分子很容易通過計算機病毒、木馬等傳染性軟件攻擊、感染計算機的內(nèi)部網(wǎng)絡,從而使得計算機信息的內(nèi)部使用數(shù)據(jù)被不發(fā)分子所竊取、利用。針對這—問題,在實際的計算機安全防護工作中,計算機安全防護人員可以通過在應用服務器時信息交換的過程中對外提供虛擬信息的方式避免發(fā)生地址泄露、資料流出等問題。與此同時,由于服務設備的安全性能通常情況下較高,這就使得其在工作中能夠?qū)~號中需要管理和驗證的信息加以二次保護,進而為計算機網(wǎng)絡用戶提供更加安全、完善的計算機網(wǎng)絡安全防火墻環(huán)境。
2.3計算機訪問策略的應用
截至目前,計算機訪問策略的應用在實際的計算機網(wǎng)絡安全防護工作中占據(jù)了較大部分,這種訪問策略的存在是進行計算機防火墻技術理念的核心。計算機訪問策略的應用以計算機配置構成為基礎模型配備更加周密、詳實的計算,從而構建最適于計算機安全管理的科學防護體系。計算機訪問策略不激進針對計算機網(wǎng)絡的實際運行狀態(tài)進行檢測、監(jiān)控,發(fā)掘計算機使用的特征,從而對計算機的訪問策略進行個性化處理,制定符合該計算機使用需求的訪問策略,從而保障計算機網(wǎng)絡安全的使用情況。例如,在實際的計算機網(wǎng)絡安全管理工作中,首先,可以針對不同的外站信息進行統(tǒng)一的規(guī)劃,并按照統(tǒng)一的標準將其劃分為不同的層級,進而進行更加具有針對性的網(wǎng)絡防護工作。其次,可以使防火墻通過計算機網(wǎng)絡訪問策略的應用統(tǒng)計出各類型計算機網(wǎng)絡運行情況的特征,并針對性的規(guī)劃之處具備自身特診的計算機網(wǎng)絡安保方案,及時的對計算機安全防護工作中可能存在的問題及隱患進行處理,更加深入、細致的針對計算機網(wǎng)絡安全情況進行保護。
3隨著發(fā)展防火墻出現(xiàn)的一系列問題
3.1計算機系統(tǒng)的本身安全隱患是首要問題
系統(tǒng)是一個計算機的根本,如今計算機的操作系統(tǒng)已經(jīng)有很多種類型,同時也有很多操作系統(tǒng)已經(jīng)停止了更新升級服務,這就造成了還在使用這些操作系統(tǒng)的使用者面臨著嚴重的系統(tǒng)安全威脅。計算機的硬件配置不協(xié)調(diào),網(wǎng)絡中樞的穩(wěn)定性較差,服務器的感應不夠靈敏,這類型的計算機需要不停進行服務器、軟件升級,而升級太頻繁反而會造成計算機系統(tǒng)出現(xiàn)不穩(wěn)定的情況。計算機的防火墻作為計算機安全防護的一道墻,雖然防火墻可以對一些信息進行掃描,可以有效封鎖大部分的木馬,但是也不能夠確保計算機網(wǎng)絡絕對安全。
3.2保護系統(tǒng)落后造成的病毒問題
病毒造成安全隱患。隨著計算機使用日益頻繁,計算機病毒變得越來越多,計算機病毒作為一種計算機網(wǎng)絡安全最大威脅。計算機病毒的傳播方式很多,有的計算機病毒通過插件、接口、軟件等進行傳播,計算機病毒給計算機帶來極大的危害,其具有復制能力強和傳染性高等特點。計算機一旦感染病毒那么計算機中的信息可能被更改、刪除或者泄露,甚至有的病毒還會損毀計算機的硬件,給計算機造成致命打擊。計算機病毒的破壞能力極強,且病毒的隱藏較強,不易被發(fā)現(xiàn),這就導致了計算機在使用過程中必須及時更新,否則很可能被計算機病毒侵入。甚至絕大時候這些病毒是人為因素造成的,我們要提高網(wǎng)絡知識素質(zhì),也要學會應對機損及病毒的辦法。
3.3黑客人為因素造成的極具殺傷力安全隱患
計算機網(wǎng)絡屬于一種開放性的網(wǎng)絡,且計算機網(wǎng)絡在我們的生活中已經(jīng)相當普及,那么計算機常會面臨著黑客入侵的威脅。越來越多的人對計算機網(wǎng)絡開始了深入的學習,一些走向了正道,一些卻成為了新型犯罪分子——黑客。黑客惡意攻擊往往會對計算機造成致命打擊,黑客攻擊比病毒的威脅更大,一般而言黑客攻擊計算機主要目的在于獲取用戶數(shù)據(jù)和盜取計算機用戶的隱秘文件。網(wǎng)絡資源和計算機系統(tǒng)漏洞成為了黑客攻擊的主要目標,黑客利用計算機的缺陷或者計算機軟件的缺陷攻擊用戶,使得用戶的信息泄露。尤其是一些企業(yè)電腦遭受到黑客的攻擊,造成企業(yè)的信息泄露,其后果將是無法預料。
4對計算機出現(xiàn)的種種問題是需要去解決的
4.1黑客首先需要加強法律知識意識
一切的和平都是以法律限制為基礎,計算機網(wǎng)絡的發(fā)展太過于迅猛以至于沒有健全的法律去制約這個行的社會模式。因此加強法律條文去控制一個文明的網(wǎng)絡社會。
4.2加強計算機的網(wǎng)絡安全管理
計算機加密工作必須注意嚴防計算機與外界互聯(lián)網(wǎng)之間的信息交換,嚴禁在非涉密計算機上操作或者處理涉密信息。辦公網(wǎng)絡內(nèi)必須和其他的公共信息網(wǎng)之間進行隔離,強化身份鑒別和訪問控制,規(guī)范計算機操作人員的日常操作習慣,確保計算機受到良好的保護。嚴禁公司人員在門戶網(wǎng)站、微信平臺或者其他的互聯(lián)網(wǎng)平臺上一些涉密信息,計算機使用者必須具備網(wǎng)絡安全意識,按照相關的信息安全規(guī)范,構建相關的計算機網(wǎng)絡公開條例和規(guī)定,嚴格審查制度保證計算機網(wǎng)絡信息安全。網(wǎng)絡信息審查工作要有領導分管、部門負責、專人實施。計算機網(wǎng)絡安全管理必須落實各項安全制度,一切均從基礎做起,嚴格把關。
5總結(jié)
計算機網(wǎng)絡安全應用技術及防火墻設計是現(xiàn)代的必須產(chǎn)物,是網(wǎng)絡的必備資源為我國計算機網(wǎng)絡信息安全提供了一份重要的保障。
隨著杜會信息化建設的不斷加快,計算機技術、網(wǎng)絡通信技術得到有效的發(fā)展和應用,在互聯(lián)網(wǎng)日新月異的發(fā)展過程中,計算機網(wǎng)絡技術廣泛的應用到了不同行業(yè)和領域當中,眾多的企業(yè)和單位都構建了自己的局域網(wǎng)絡系統(tǒng),同時也和外網(wǎng)建立了連接,從而進行網(wǎng)絡信息資源的傳輸和共享,但同時也為人們的網(wǎng)絡信息安全保障帶來了一定的挑戰(zhàn),網(wǎng)絡病毒也在互聯(lián)網(wǎng)中瘋狂的傳播,給網(wǎng)絡用戶的信息安全造成了一定的威脅,因此,要有效的利用防火墻技術,不斷研究和開發(fā)新的防火墻技術,從而保障人們的用網(wǎng)安全。
參考文獻
[1] 張文亮.計算機網(wǎng)絡安全存在的漏洞及防御措施[J].2016.
[2] 莊莉.計算機網(wǎng)絡安全應用防火墻技術作用探討[J].2017.
[3] 石鋒.計算機網(wǎng)絡防火墻應用研究[D].重慶:重慶大學,2008.
[4] 杜海英.防火墻技術在局域網(wǎng)中的應用研究[J].煤,2011(05).