計算機網(wǎng)絡安全及防火墻技術(shù)分析論文(2)
計算機網(wǎng)絡安全及防火墻技術(shù)分析論文
計算機網(wǎng)絡安全及防火墻技術(shù)分析論文篇二
《計算機網(wǎng)絡安全和防火墻技術(shù)》
摘 要:本文主要闡述了網(wǎng)絡安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷,然后主要闡述防火墻在網(wǎng)絡安全中起到的巨大的作用,防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。
關(guān)鍵詞:計算機網(wǎng)絡;網(wǎng)絡安全;防范措施;防火墻技術(shù)
一、前言
計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網(wǎng)絡提供商除了關(guān)心這些網(wǎng)絡信息安全外,還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞,以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信,保持網(wǎng)絡通信的連續(xù)性。
二、網(wǎng)絡信息安全的主要威脅
2.1、網(wǎng)絡安全威脅
網(wǎng)絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡設(shè)備的自然老化等。這些無目的的事件,有時會直接威脅網(wǎng)絡的安全,影響信息的存儲媒體。
人為威脅就是說對網(wǎng)絡的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點[1],以便達到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡安全的人為威脅主要分為以下幾種:網(wǎng)絡缺陷,黑客攻擊各種病毒,管理的欠缺及資源濫用,網(wǎng)絡內(nèi)部用戶的誤操作和惡意行為,網(wǎng)絡資源濫用,信息泄漏。
2.2、影響計算機網(wǎng)絡安全的因素
?、倬W(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。
?、诰W(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
③網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一,它不僅負責網(wǎng)絡硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序?qū)崿F(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡系統(tǒng)設(shè)計的缺陷。網(wǎng)絡設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡設(shè)備的選擇等。網(wǎng)絡設(shè)備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設(shè)計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡設(shè)計則會成為網(wǎng)絡的安全威脅。
⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒,這是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
三、防火墻技術(shù)
3.1 防火墻的定義
防火墻是指設(shè)置在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎(chǔ)設(shè)施。
3.2 防火墻的功能
1、防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應用代理(ApplicationProxy):也叫應用網(wǎng)關(guān)(ApplicationGateway),它作用在應用層,其特點是完全“阻隔”了網(wǎng)絡通信流通過對每種應用服務編制專門的代理程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用,實際中的應用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。
2、防火墻的技術(shù)原理
目前,防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同,大致可分為三種:
(1)包過濾技術(shù)
包過濾技術(shù)是一種基于網(wǎng)絡層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉,由此保證網(wǎng)絡系統(tǒng)的安全。該技術(shù)通??梢赃^濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù),其最大優(yōu)點就是價格便宜,實現(xiàn)邏輯簡單便于安裝和使用。
缺點:1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡層和傳輸層的信息,訪問信息有限,對網(wǎng)絡更高協(xié)議層的信息無理解能力。3)對一些協(xié)議,如UDP和RPC難以有效的過濾。
(2)代理技術(shù)
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡之間設(shè)置一個“中間檢查站”,兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網(wǎng)絡之間,對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉(zhuǎn)發(fā)到真實的服務器上,并將答復再轉(zhuǎn)發(fā)給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
(3)狀態(tài)監(jiān)視技術(shù)
這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關(guān)的代理,而是依靠某種算法來識別進出的應用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包,這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序,可方便地實現(xiàn)應用和服務的擴充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監(jiān)測,狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網(wǎng)絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應用,才起到防御的最大化的效果。
四、結(jié)束語
防火墻不能完全解決網(wǎng)絡安全的全部問題,如不能防范內(nèi)部攻擊等,因此還需要考慮其他技術(shù)的和非技術(shù)的因素,如身份鑒別,信息加密術(shù),提高網(wǎng)絡管理人員的安全意識等,總之,防火墻是網(wǎng)絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行,不斷提高網(wǎng)絡安全水平,這將是一個隨著網(wǎng)絡技術(shù)的發(fā)展而不斷研究的課題。(作者單位:湖北工業(yè)大學)
參考文獻
[1] 石淑華,池瑞楠,計算機網(wǎng)絡安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283
[2] 張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75
看過“計算機網(wǎng)絡安全及防火墻技術(shù)分析論文”的人還看了: