本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。
【关键词】网络防火墙服务器
绪论
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
一、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
二、网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
三、型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
四、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
1.1网络环境以及硬件系统故障
计算机硬件系统一旦出现故障,例如电源断电、报警故障等,都会对计算归网络安全造成影响。目前,计算机网络的设置大多属于资源共享型,所以开放性的网络运行环境给黑客、病毒等可趁之机,同时,计算机网络自身的隐秘性使用户验证变得模糊,同样给黑客入侵的机会。
1.2通信协议缺陷
网络通信协议主要是使不同的计算机网络系统以及操作系统连接在一起,通信协议为网络通信提供一定的系统支持。但是通信协议大多为开放式的协议,所以许多不法分子会以通信的名义进入到系统中,盗取系统内部重要信息及数据,对计算机网络的安全性造成严重破坏,致使计算机网络无法正常运行。
1.3IP源路径不稳
如果出现IP源路径不稳定的现象,用户在发送信息及重要数据时,黑客可以进入到网络系统中对IP源路径进行更改,用户所发送的信息会被不法分子截收,从中获取非法利益。
2防火墙技术概述
防火墙主要由硬件设备与软件系统共同组成,在内部网与外部网之间所构造起来的保护屏障,从而保护内部网络免受非法用户的入侵。在互联网中,防火墙主要是指一种隔离技术,在两个网络进行通讯时对访问尺度进行控制,最大限度的阻止网络黑客对网络进行访问。
3防火墙技术在计算机网络安全中的应用
当前的计算机网络面临着许多安全方面的威胁,在网络安全防护技术中包括防火墙技术、防病毒技术、漏洞扫描技术等。防火墙技术在现实中应用比较多,防火墙就好比古代的城门,在内网与外网之间构建一道屏障,通过此屏障必须有合法的身份。防火墙是在不同区域之所设置的一个软件或一台设备,是网络的唯一出入口。下面简单对防火墙技术在计算机网络安全中的具体应用进行简单概述。
3.1在网络安全配置中的应用
在防火墙技术中,网络安全配置属于重点内容,安全配置主要是将计算机网络划分为多个模块,将需要进行安全防护的重要模块转化为隔离区,对该模块实施重点保护。在防火墙技术下的隔离区是单独的局域网,是计算机内部网络构成的重要组成部分,有效的保护网络内部服务器的信息安全,确保计算机在稳定的网络环境中运行。防火墙对安全防护的要求非常高,防火墙安全防护技术的主要工作方式为:自动监控计算机网络隔离区的信息,通过地址转换,将由内向外流向的信息IP转化为公共IP,防止攻击者对IP进行解析。防火墙的安全配置主要是对IP进行隐藏,通过隐藏IP的流通来体现地址转化的价值。在入侵用户对IP进行解析时,无法追踪真实信息,只能获取到虚假的IP地址,所以无法对内部网络进行访问,从而提升网络运行的安全。
3.2在访问策略中的应用
在防火墙技术中,访问策略是该应用的核心,在网络安全控制中占主要地位。访问策略主要是通过对网络配置的缜密安排,对计算机网络信息的统计过程进行优化,构建成科学的防护系统。防火墙技术能够针对计算机网络的实际运行状况,对访问策略进行规划,从而为计算机网络的运行提供安全环境。主要保护流程为:防火墙技术会将计算机的相关运行信息划分为不同的单位,针对各个单位进行访问保护。然后对计算机网络运行的各项地址进行了解,包括目的地址、端口地址等。掌握计算机网络运行的特点,对安全保护方式进行规划。最后,访问策略在计算机网络安全保护中会对应不同的保护方式,根据实际需求,对访问策略进行调整,在进行安全技术访问时会形成策略表,对策略表信息进行主动调节,通过策略表来约束防火墙技术的保护行为,在一定程度上提高网络运行安全的保护效率。
3.3日志监控中的应用
许多计算机用户都会对防火墙技术的保护日志进行分析,获得有价值信息。日志监控在计算机网络安全维护中同样比重较大,是防火墙技术的重点保护对象。用户对防火墙日志进行分析过程为:打开防火墙技术在网络安全保护过程中所生成的日志,由于防火墙技术的工作量非常大,所以需要对某一类别的信息进行采集,从而实现监控。用户在类别信息中对关键信息进行提取,作为日志监控的有力依据。另外,用户可以实时对防火墙技术中的报警信息进行记录,在这类信息中提取优化价值,在日志监控的作用下,防火墙技术的安全保护能力会逐渐加强,从而优化网络流量。
4新型防火墙技术的应用
4.1深层检测防火墙
深层防火墙检测技术是防火墙技术的未来发展趋势,深层检测能够对网络信息检测之后,对内部的流量进行定向,按照基本的检测方式进行检测。对传统的防火墙技术是一种补充与完善,充实了恶意信息监测功能。这种防火墙技术不仅局限在网络层上的数据,而且更加侧重于对应用层的网络攻击进行研究,进一步扩大检测范围。
4.2流量过滤防火墙技术
传统的防火墙技术对流量的过滤仅仅是对数据包进行过滤,通过事先设定的逻辑语句对流经防火墙的数据流量进行截获,对目的地址以及源地址进行匹配。新型的流量过滤技术是对传统技术的更新,通过内部嵌入专有协议,来对应用层数据包进行过滤,该项技术能够对数据进行滞留重组,将重组的流量交到应用层进行认证,实现对数据的完整性检测。
4.3嵌入式防火墙
嵌入式防火墙主要是将防火墙软件嵌入到硬件设施或者相关的网关上,主要针对网络层数据进行防护,不能够对应用层数据防护。但是无论内部网络如何变化,嵌入式防火墙始终是网络边缘的忠实卫士。
5结束语
在现代社会的发展过程中,计算机网络已经遍布到人们生产生活的多个领域,人们对计算机网络已经产生了一定的依赖性,计算机网络安全是一项综合问题,涉及到防火墙架设、防火墙管理等。人们在日常计算机网络使用过程中,要加强网络安全防范意识,为计算机网络的运行营造良好的网络环境。通过防火墙技术来进一步维护网络运行的安全,体现出防火墙技术的高效安全价值。
参考文献
[1]董毅.计算机网络安全中防火墙技术的运用探析[J].福建质量管理,2016-01-15.
[2]曾袁虎.计算机网络安全中的防火墙技术应用分析[J].信息与电脑(理论版),2016-05-23.