防火墻與網(wǎng)絡(luò)安全技術(shù)論文
防火墻作為整個安全體系中最基本的保護(hù)環(huán)節(jié),其重要性自然不言而喻。學(xué)習(xí)啦小編整理的防火墻與網(wǎng)絡(luò)安全技術(shù)論文,希望你能從中得到感悟!
防火墻與網(wǎng)絡(luò)安全技術(shù)論文篇一
略論網(wǎng)絡(luò)安全與防火墻技術(shù)
【摘要】本文介紹網(wǎng)絡(luò)安全產(chǎn)品的特點(diǎn),論述了防火墻技術(shù)的定義和發(fā)展歷程,討論了防火墻產(chǎn)品的類型,文章最后做出了總結(jié)。
【關(guān)鍵詞】網(wǎng)絡(luò)安全,防火墻,技術(shù)特征
隨著21世紀(jì)的到來,全球的計(jì)算機(jī)用戶都可以通過互聯(lián)網(wǎng)進(jìn)行聯(lián)系。因此,對信息安全來講,內(nèi)在含義也發(fā)生了巨大的變換。網(wǎng)絡(luò)安全從普通性防衛(wèi)成為了非常普通的現(xiàn)象,還有,網(wǎng)絡(luò)安全管理也變得無處不在。
一、網(wǎng)絡(luò)安全的產(chǎn)品特點(diǎn)
從實(shí)踐上來講,國家有關(guān)的法律、法規(guī)、行政命令、政策、技術(shù)與市場的發(fā)展平臺構(gòu)成了國家信息安全體系。在建立信息防衛(wèi)體系時,中國應(yīng)注重開發(fā)中國特色的安全產(chǎn)品。如果中國想真正處理好網(wǎng)絡(luò)安全事物,最有效的途徑就是通過大力發(fā)展本國的安全產(chǎn)業(yè),這樣可以從整體上提高網(wǎng)絡(luò)安全技術(shù)。
就網(wǎng)絡(luò)安全來講,其產(chǎn)品有以下若干特點(diǎn):首先,網(wǎng)絡(luò)安全的起因在于多樣化的安全策略以及技術(shù)。假如都運(yùn)用一樣的技術(shù)和策略,這也就會造成極大的不安全。其次,在網(wǎng)絡(luò)安全領(lǐng)域,安全技術(shù)與相關(guān)機(jī)制都一直都在發(fā)生改變。再者,在社會生活的諸多各方面,網(wǎng)絡(luò)都延伸進(jìn)來,也有著越來越多的手段可以連接到網(wǎng)絡(luò)。所以,網(wǎng)絡(luò)安全技術(shù)作為一個系統(tǒng)工程是十分復(fù)雜的。
二、防火墻技術(shù)
防火墻作為整個安全體系中最基本的保護(hù)環(huán)節(jié),其重要性自然不言而喻。網(wǎng)絡(luò)防火墻技術(shù)可以強(qiáng)化和控制網(wǎng)絡(luò)間訪問,這樣做的目的在于阻止本網(wǎng)絡(luò)之外的用戶通過非正常手段達(dá)到本網(wǎng)絡(luò)的內(nèi)部,對內(nèi)部資源(網(wǎng)絡(luò)資源)進(jìn)行各種活動。在內(nèi)部網(wǎng)絡(luò)操作環(huán)境中,網(wǎng)絡(luò)防火墻技術(shù)還可以確保部分特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備的安全性能。遵照既定的安全方式和策略,網(wǎng)絡(luò)防火墻技術(shù)檢測包括連接方式在內(nèi)的傳輸數(shù)據(jù),特別是在網(wǎng)絡(luò)之間。這樣就可以對網(wǎng)絡(luò)之間通信是否可行,對網(wǎng)絡(luò)在運(yùn)行時的狀態(tài)進(jìn)程檢測。
眼下,防火墻產(chǎn)品主要有以下若干種:堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等。眼下,盡管防火墻可以保證網(wǎng)絡(luò)不再受到黑客的襲擊,且效果比較明顯。但是,也存在著很多缺點(diǎn)。例如,對防火墻之外的以其它攻擊途徑卻無能為力,也防止不了來自內(nèi)部以及用戶們造成的危害,也未能完全阻止病毒文件,還有,也不能抗擊數(shù)據(jù)驅(qū)動型之類的攻擊。
1986年,美國一家電腦公司首次把商用防火墻系統(tǒng)應(yīng)用在互聯(lián)網(wǎng)上,并且給防火墻下了定義。防火墻技術(shù)發(fā)展得非??臁J嗉夜疽呀?jīng)在這方面做出了很多努力,并且開發(fā)出了很多類型的防火墻產(chǎn)品系列,但是它們的功能各不相同。
在五層網(wǎng)絡(luò)構(gòu)成的安全體系中,防火墻處于最底層,該技術(shù)屬于網(wǎng)絡(luò)層安全技術(shù)的范圍。在本層,企業(yè)在安全系統(tǒng)方面必須處理好以下問題:是不是全部IP地址都可以訪問內(nèi)部網(wǎng)絡(luò)系統(tǒng)?假如“是”,就表明,在內(nèi)部網(wǎng)的網(wǎng)絡(luò)層,企業(yè)還沒有采取對于安全的措施進(jìn)行防范。
防火墻技術(shù)受到人們重視的時間最早,也是內(nèi)部和外部公共網(wǎng)絡(luò)溝通和交流的首要保護(hù)傘。從理論層面講,盡管處在最底層,僅僅處理網(wǎng)絡(luò)間安全傳輸以及認(rèn)證,然而,從總體上來講,網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)應(yīng)用一直都在發(fā)生變化。如今,該技術(shù)正在慢慢步出網(wǎng)絡(luò)層之外,開始進(jìn)入別的安全層次。
三、防火墻產(chǎn)品的類型
防火墻產(chǎn)品的發(fā)展趨勢是用戶認(rèn)證、防止病毒、數(shù)據(jù)安全、與黑客侵入等。根據(jù)不同的技術(shù),可把防火墻大體上分成四類:包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理以及監(jiān)測型。
1、包過濾型。
防火墻的初級產(chǎn)品屬于包過濾的類型,技術(shù)來源是分包傳輸。在互聯(lián)網(wǎng)中,以“包”為單位傳輸數(shù)據(jù)又被劃分成固定大小的數(shù)據(jù)包,各數(shù)據(jù)包內(nèi),都包括了很多特殊類型的信息。通過讀取地址信息,防火墻對“數(shù)據(jù)包”的來源進(jìn)行可信任判斷,并采取相應(yīng)策略。
2、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT。經(jīng)過轉(zhuǎn)換后,IP地址屬于外部的、已經(jīng)注冊的,這個就是IP地址標(biāo)準(zhǔn)網(wǎng)絡(luò),也稱為地址轉(zhuǎn)換。在內(nèi)部的網(wǎng)絡(luò)中,經(jīng)由安全網(wǎng)卡,可以對外部的網(wǎng)絡(luò)進(jìn)行訪問,這樣新的映射記錄就產(chǎn)生了。系統(tǒng)則把源地址以及端口體現(xiàn)為非真實(shí)的地址和端I=l,通過非安全網(wǎng)卡,這個非真實(shí)的地址以及端口,可以連接到外部網(wǎng)絡(luò)上去。這樣,內(nèi)部網(wǎng)絡(luò)的真實(shí)地址就被隱藏起來了。通過外部網(wǎng)絡(luò),借助于非安全網(wǎng)卡,想要訪問內(nèi)部網(wǎng)絡(luò)時,對內(nèi)部的網(wǎng)絡(luò)連接狀況一無所知而,只能借助于IP地址以及端口進(jìn)行訪問。
3、代理型。代理型防火墻,也叫代理服務(wù)器,就安全性而言,此類防火墻比包過濾型防火墻要高得多,而且代理型防火墻開始在應(yīng)用層有所作為。該類代理型服務(wù)器在客戶機(jī)和服務(wù)器之間。數(shù)據(jù)交流在二者之間被完全阻止。從客戶機(jī)的情況來分析,代理服務(wù)器可以被視為電腦的服務(wù)器;但是,從服務(wù)器的角度來分析,代理服務(wù)器卻是真實(shí)的客戶機(jī)。客戶機(jī)要用到來自服務(wù)器上的數(shù)據(jù)時,第一步要做的就是請求把數(shù)據(jù)發(fā)給代理服務(wù)器。按照此請求,代理服務(wù)器再從服務(wù)器申請想要的數(shù)據(jù),之后,數(shù)據(jù)被經(jīng)由代理服務(wù)器傳輸給客戶機(jī)。因?yàn)橹苯拥臄?shù)據(jù)通道可以在外部系統(tǒng)與內(nèi)部服務(wù)器相互連接和溝通,來自外部的惡意侵害對內(nèi)部的網(wǎng)絡(luò)系統(tǒng)也就不會有什么危害。
4、監(jiān)測型。新一代的防火墻產(chǎn)品是監(jiān)測型防火墻。實(shí)際上,此類防火墻的技術(shù)已大大超出了對這個概念的界定。此類防火墻實(shí)施主動、實(shí)時監(jiān)測各層數(shù)據(jù)。在分析這些數(shù)據(jù)的前提下,此類防火墻可以高效地判斷和找出各層的非法侵入形象。
同與此同時,通常情況下,監(jiān)測性防火墻的產(chǎn)品都開發(fā)了分布式探測器。在林林總總的應(yīng)用服務(wù)器中和其他網(wǎng)絡(luò)節(jié)點(diǎn)中就有此類防火墻,這些防火墻可以監(jiān)測網(wǎng)絡(luò)外部對網(wǎng)絡(luò)內(nèi)部飛攻擊,同時,在很大程度上方法內(nèi)部范圍內(nèi)的惡意破壞。此類防火墻已經(jīng)超越了防火墻原先的定義,比前兩代產(chǎn)品的安全性也更高。
四、結(jié)束語。
眼下,在防火墻產(chǎn)品領(lǐng)域,主流趨勢是監(jiān)測型防火墻,但是絕大部分代理服務(wù)器(應(yīng)用網(wǎng)關(guān))對包過濾技術(shù)進(jìn)行了合成。顯而易見的是,二者的混用比單獨(dú)使用某一類型的防火墻產(chǎn)品的優(yōu)勢更大。因此,這種技術(shù)在未來發(fā)展前景也必將更加廣闊。
參考文獻(xiàn):
[1]陸樹芬;網(wǎng)絡(luò)安全中防火墻的作用[J];中國電子商務(wù);2009-11
[2]黃金波,殷誠;計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)與應(yīng)用[M];北京:北京交通大學(xué)出版社;2007
防火墻與網(wǎng)絡(luò)安全技術(shù)論文篇二
防火墻與網(wǎng)絡(luò)安全技術(shù)
摘 要: 隨著計(jì)算機(jī)的普及和互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)安全問題顯得愈來愈重要。為解決這一問題,產(chǎn)生了很多網(wǎng)絡(luò)安全產(chǎn)品,防火墻就是其中使用較廣的一個。針對不同的用戶和網(wǎng)絡(luò)特點(diǎn),防火墻所采用的技術(shù)也會有所不同。
關(guān)鍵詞: 信息安全 網(wǎng)絡(luò)安全 防火墻 技術(shù)特征
信息安全是國家發(fā)展所面臨的一個重要問題,對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品。我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。
1.網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,保證系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)等多種學(xué)科的綜合性學(xué)科。
網(wǎng)絡(luò)安全技術(shù)則指致力于解決諸如如何有效進(jìn)行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),以及其它的安全服務(wù)和安全機(jī)制策略。在眾多的網(wǎng)絡(luò)安全技術(shù)中,網(wǎng)絡(luò)防火墻是使用較廣的一個。
2.防火墻
防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅能完成傳統(tǒng)防火墻的過濾任務(wù),而且能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證,防止病毒與黑客侵入等方向發(fā)展。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT,代理型和監(jiān)測型。
2.1包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標(biāo)地址,TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。
包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源,目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序和電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.2網(wǎng)絡(luò)地址轉(zhuǎn)化-NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的,外部的,注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時,防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
2.3代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器,而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
2.4監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的,實(shí)時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,而且對來自內(nèi)部的惡意破壞有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上超越了前兩代產(chǎn)品。
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,因此目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理型防火墻也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。
參考文獻(xiàn):
[1]李俊民.網(wǎng)絡(luò)安全與黑客攻防寶典.北京電子工業(yè)出版社,2010.
[2]麥克盧爾,庫爾茨.黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案.清華大學(xué)出版社,2006.
[3]劉曉輝.網(wǎng)絡(luò)安全設(shè)計(jì)、配置與管理大全.電子工業(yè)出版社,2009.
[4]趙俐.防火墻策略與配置.中國水利水電出版社,2008.
[5][美]格雷格・霍爾登.防火墻與網(wǎng)絡(luò)安全.清華大學(xué)出版社,2009.
看了“防火墻與網(wǎng)絡(luò)安全技術(shù)論文”的人還看:
1.關(guān)于淺談網(wǎng)絡(luò)安全論文有哪些
2.網(wǎng)絡(luò)安全技術(shù)論文1000字