论文提要
本文主要研究计算机网络安全与防火墙技术。随着计算机网络的普及,网络安全问题越来越得到人们的重视。在确保网络安全和数据安全方面,有数据加密技术、智能卡技术、防火墙技术等,我们在这里主要研究的是防火墙技术。在这里,我们了解了防火墙的概念及它的分类,知道了什么是防火墙以及它在网络中起到了的作用。从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,本文根据防火墙对内外数据的处理方法上,大致将防火墙分为包过滤防火墙和防火墙两大体系,并对这两种防火墙进行了对比。了解了防火墙的作用及它的优缺点,对防火墙的认识进一步的加深。然后介绍了防火墙三种基本实现技术:分组过滤、应用和监测模型。最后,了解了防火墙的基本元素及防火墙的三个典型结构。总之,我国目前使用较多的,是在路由器上采用分组过滤技术来提供网络安全的保证,对其它方面的技术还缺乏深入了解.防火墙技术还处在一个发展阶段,仍有许多问题有待解决.
目录
一、防火墙的概念及其分类3
(一)防火墙的概念3
(二)防火墙的分类3
1.静态包过滤防火墙:3
2.动态包过滤防火墙:4
二、防火墙的作用及其优缺点5
(一)防火墙的作用5
(二)防火墙优缺点5
三、防火墙基本技术6
……6
……7
……7
……8
……8
……8
……8
……8
……9
五、结束语9
致谢10
参考文献11
:7000多字
有摘要及关键词
150元
备注:此文版权归本站所有;。
【关键词】IP地址网关网络防火墙地址
互联网的安全技术是目前非常热门的一项安全技术,也是国际社会非常关心的重要话题。
互联网的发展势头非常迅速,致使各类信息在互联网中迅速蔓延,但是信息技术的发展还不够健全,需要不断的创新。互联网的普及在给社会大众带来许多便捷和效率的同时,也给人们造成了许多困扰。目前计算机网络已经普及到了各行各业,而行业中的各类商业机密都会保存在计算机中,倘若网络不能够保证安全,这些商业机密就很有可能会被窃取。这就需要应用防火墙技术来保障计算机网络的安全。
1防火墙安全技术概述
1.1防火墙安全技术的定义
通常防火墙所指的是由电脑硬件与软件结合构成的一种保护措施,其是存在于公用网与专用网以及外网与内网之间的一种保护屏障。所谓的防火墙技术采用的是通过加强网络控制访问,以此来预防外网用户采用非法手段入侵内网,从而窃取内容的重要机密,从而达到保障网络安全操作环境目的的安全技术。防火墙技术是采用一定的技术来安全检查互联网中传输的各类数据,从而实现保障网络的安全,防火墙在检查传输数据的同时还时刻监视着互联网运行的状况。
1.2防火墙安全技术的作用
一是防火墙可以过滤不良的信息,从而保障互联网的安全运行,相关的网络协议必须通过仔细的选择才可以通过防火墙的安全过滤。因此,防火墙在一定程度上保障了互联网的安全。
二是防火墙安全技术可以行之有效的保障内部信息的安全。防火墙可以有效的对内网进行区分,以此来照顾关键网段,采取针对性的隔离措施,就可以控制一些较为敏感或关键性的安全问题对网络造成的威胁。与此同时,内部网络的机密问题一直都是互联网中非常关键的问题,而我们在预防非法信息入侵的同时,还必须要注意内网中的潜在问题,在内网中极有可能隐藏了一些隐患,而防火墙技术可以很好的过滤这些潜在的隐患,并且隔离这些隐患。
三是防火墙安全技术可以实现网络访问的控制。防火墙还具备一个非常重要的作用,即有访问在通过防火墙的时候,其可以自动记录访问者的具体信息,并省城对应的日志,从而提供对应的查询数据。只要出现非法操作,防火墙就可以及时发现,并发出警报,同时还可以提供攻击方的具体资料,从而有效的控制网络访问者。
2计算机防火墙安全技术的几种类型
2.1防火墙技术之包过滤型
防火墙技术中最为基本的模式就是包过滤型,其是网络防
火墙当中最为简单的方式,这种技术是根据“网络分包传输技术”完成的。“包”是互联网中信息传输的基本传输单位,互联网中的数据在传输的时候,通常都会被分成若干个数据包,其中不同的数据包所包括的信息也不尽相同。而防火墙就是采取安全过滤这些数据包,从而判断其中是否有不安全因素,只要发现数据包中包含隐患又或者是来自于不安全网站的数据包,包过滤型防火墙就会采取隔离的方式来针对这些数据包,管理员在隔离区根据情况进行对应的处理措施。
包过滤型防火墙技术具备一定的安全保护能力,然而作为较为初级的保护措施,其也存在着不足。其优势在于技术简单,成本不高,可以应付较为简单的网络环境。包过滤型防火墙可以对数据包实施简单的过滤监督,针对数据包的协议、源地址及目标地址进行对应的检查,其也是互联网之间进行访问的唯一途径,其可以对数据包进行有效的控制。其缺点是不支持应用方面协议的监控,针对高端的黑客入侵无可赖何,并且不能过滤新增的安全隐患。
2.2防火墙技术之型
型防火墙就是我们俗称的服务器,其安全性要远远高于包过滤型防火墙。所以,其正在向包过滤型防火墙不能涉及到的方向发展。存在于服务器与客户机器当中的型防火墙,可以针对内外网当中的通信信息,特别是直接通信方面能够彻底的隔绝,组织外部网及内部网之间的信息流通,其对于客户机器来说,型防火墙就充当了服务器的角色。而针对服务器方面来说,型防火墙又充当了客户机器的角色。型防火墙的优势在于安全性得以提升,缺点则是其让网络管理变得较为繁杂,对网络管理员的专业知识要求过高。
2.3防火墙技术之监测型
监测型防火墙技术己经超越了原始防火墙的定义,监测型防火墙主要是对各个层面都能实现实时的检测,同时,对检测到的数据进行分析,从而判断出来自不同层面的不安全因素。一般情况下监测型防火墙的产品还带有探测器,这种探测器是一种分布式的探测器,它能够对内网和外网进行双重的监测,防御外部网络攻击的同时还能够防范内部网络的破坏。因此,监测型防火墙在安安全性上远远超越了传统防火墙,但是当前市面上的价格比较高,应用的资金投入较大。
3小结
而当前主流的防火墙技术,大部分都是采用服务器结合了包过滤的技术,将这两种技术有机的结合起来显然要比单独使用其中之一的技术更为全面。因为这种技术是以应用为本的,应用型网关都可以提升协议的过滤作用,并且采用应用,应用网关可以有效的防止内部机密的泄露。
参考文献
[1]王淑琴,海丽军.对计算机网络安全技术的探讨[J].内蒙古科技与经济,2007(20).
[2]谭建辉.电子商务时代的网络安全技术问题探究[J].大众科技,2005(10).
[3]阿迪亚・扎曼别克,木合布力・谢力甫汗.浅谈计算机网络安全技术[J].中国教师,2008(S1).
关键词:防火墙深度检测研究分析
中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2016)04-0000-00
传统的防火墙主要在访问控制列表为基础进行过滤的,它有专门的内部网络入口,也被人称作“边界防火墙”。在近几年来防火墙技术的地位越来越重要,其最新改进的技术――深度包检测技术,是可以看到传统防火墙的入侵检测与阻止的整合,也是解决传统防火墙所遇到问题的新技术,在防火墙发展过程中具有重要的作用。
1防火墙技术发展历程
1.1包过滤防火墙
第一代防护墙包过滤是没有相关状态的概念,管理工作人员只需要通过过滤就可以允许或是禁止访问控制列表中的选项。包过滤防火墙在发展中其安全属性具有一定的缺陷,应用层的信息是系统没有办法获取的,防火墙没有办法理解通信的内容是非常容易被黑客攻击的。正是因为这个原因,人们更多的人们包过滤防火墙技术不够安全,在发展中慢慢被状态检测防火墙技术取代了。
2.2状态检测防火墙
相对于包过滤防火墙技术来说,状态防火墙技术在性能、扩展等方面的表现出来的优势使其很快就成为防火墙技术的佼佼者。在上个世纪九十年代推出第一台商用的状态检测防火墙产品,随后得到快速的发展。状态检测防火墙主要是在网络层工作,对包过滤防火墙比较看,它所做出的决策是在会话信息基础上而不是包的信息。状态检测防火墙在验证数据包时候会先判定这个数据是否符合当前的会话,同时还可以在状态中保存这些信息。状态检测防火墙技术对异常的TCP网络层的攻击有着一定的阻止作用。有些网络设备是可以将数据包分解成更小的数据帧。该种防火墙技术在一定的时间内是人们使用最广泛的技术,用来保护计算机网络不受到黑客的攻击,但是专门对应用层网络攻击的现象越来越多时候,状态检测防火墙技术的有效性也在不断的下降。由于状态防火墙在设计的时候并没有专门的根据Web应用程序的攻击进行设计,这样深度包检测防火墙技术应用而生。
2.3深度包检测防火墙
深度包检测防火墙技术可以更好的处理应用程序上的流量问题,可以很好的防范目标系统受到各种复杂的攻击,将状态检测的优势很好的结合起来。它可以对数据流量进行分析同时还可以做出访问的控制判决,根据允许的数据流量对负载做出相关的决策。
3深度包检测技术特点
随着科技的发展,深度包检测技术在不断的更新换代中进而实现深度包检测的功能。深度包检测防火墙技术在一定的程度上融合了包过滤与状态检测防火墙技术的功能,主要具有以下4个功能特征。
3.1应用层加密与解密
SSL通常被运用在Web浏览器与服务器之间认证身份的加密数据传输,进而确保数据的安全性。该种技术在运用的时候对防火墙也就提出了更高的要求――要对数据的加密与解密进行处理。若是不能够对SSL加密的数据进行解密的话吗,那么防火墙就没有办法对负载的信息进行相关的分析,更没有办法判断出数据中是否具有相关应用层的攻击信息,同时没有办法体现出深度包检测的优势。SSL的加密性能非常高,当前很多企业使用来保证应用程序数据的安全,若是深度包检测技术没有办法对企业中的关键应用程序提高安全性能的化,那么也就是说整个深度包检测失去它的意义。
3.2正常化技术
为了可以很好的防范应用层的攻击通常情况下主要是依赖字符串的匹配,但是不正常的匹配在很大的程度上会造成安全漏洞。例如,为了能知道某种请求是否可以启用,防火墙的请求就会与安全策略来匹配,只有匹配成功了,防火墙才会采用安全策略。在解决字符匹配的时候是需要利用正常化技术的,只有深度包检测才具备这样的功能,可以识别与阻止大量的危险攻击。
3.3协议一致性
应用层协议一致性通常在应用程序中会用到,协议都是由RFC进行规范建设的。因为深度包检测是在应用层中进行状态检测的,因而就必须要明确应用层中的数据是否与这些协议一致,这样才会防止隐藏的攻击。
3.4双向负载检测
与包过滤检测、状态检测来说,深度包检测具有很强大的功能,它是可以允许与拒绝数据包的通过,通常主要是检查与修改四到七层的数据包,主要有包头、负载。深度检测防火墙是可以自动的进行匹配,这样能正确检测出服务质量如何。若是请求不匹配那么深度包检测就会自动将其丢掉,同时将其写入到日志中,也会向管理员发出警告。另外,深度包检测技术是可以进行修改URL,这一点是与应用层的NAT相似。在复杂的网络环境中,为了可以提供全面的防护,进行深度包检测是一定的。深度包检测技术还在不断的发展中,但其基本具有以上的特点。最近几年里,随着编程ASIC技术发展与有效的规则算法出现使得深度包检测引擎的执行能力加强,应用深度检测技术越来越受到好评,很多防火墙的供应商都在不断的增加对防火墙产品中应用数据进行分析。
4结语
虽然深度包检测技术受到越来越多好评,但是其也具有相当多的缺点。当前的深度包检测产品通常都是一体化的安全设备,这样就会由于单个安全组件的瘫痪而引起整个网络处于安全漏洞的状态下。同时将更多的功能集中在一起,也就越可能的限制单个产品供应商,这样在一定的程度上就会使我们丧失了灵活性。网络安全问题正在处于复杂的境地,有着各种各样的传统防火墙与入侵技术,因而当深度包检测的融合能否降低复杂性,还是需要不断的发展观察。
参考文献
[1]刘坤灿.防火墙深度包检测技术的研究与实现[D].北京邮电大学,2013(01).
[2]芦志朋.深度包检测主机防火墙的研究与实现[D].电子科技大学,2010(03).
[3]艾鑫.众核环境下深度包检测系统的设计与优化[D].哈尔滨工业大学,2013(06).
关键词:计算机;网络安全;防火墙技术
DOI:10.16640/ki.37-1222/t.2017.06.124
防火墙技术的种类比较多,需要结合计算机网络安全问题的特点来选择防火墙技术,充分发挥出防火墙技术的作用。如今,防火墙技术已经进入到计算机网络的安全层次,为计算机网络提供全方位的安全服务。
1影响计算机网络安全的因素
如今,影响计算机网络安全的因素有以下几个:一是信息泄密。信息泄密实际上就是信息在传输的过程中被恶意窃听或者窃取。二是信息被更改。信息被更改也就是信息彻底的被破坏,信息会被人为误导,破坏性非常大。三是网络资源的不合理使用,严重的会导致网络资源被破坏。四是非法登陆网络系统,导致网络资源被大量消耗,侵犯了用户的合法权益。五是环境因素的影响。在恶劣的天气下,计算机网络的稳定性会受到较大影响,甚至会损坏计算机网络。六是人为因素。如果计算机网络管理人员不按照相关规定操作,也会导致网络信息的泄露。
2加强计算机网络安全策略
2.1数据加密
数据加密是一种比较可靠的网络信息保护手段,可以避免信息丢失。数据加密方法有以下几个:一是链路加密,二是端端加密,三是节点加密,四是混合加密。其中,链路加密实际上就是在相邻的网络节点上加密进行网络信息数据保护。计算机网络平台上所传输的信息都会以加密的形式显示,任何一个节点上的加密都是独立的,互不干扰,而且密码可以设置成不同形式。链路加密一般是序列密码,链路加密就可以避免网络信息被窃听,但是事实上链路加密并不能百分之百保证网络信息安全。
2.2网络存取控制
计算机网络存取控制实际上就是对用户的身份进行识别,避免非法用户进入网络系统。目前,网络存取控制方法有以下几个:一是身份识别,二是数字签名,三是存取权限控制。其中,身份识别需要验证信息传输方和接收方的身份,用户只有通过身份证明才能进入网络系统。
3防火墙技术
目前,防火墙技术分为以下类型:一是包过滤型,二是网络地址转换,三是应用型,四是状态检测型。其中,包过滤型防火墙技术的优点有以下几个:一是数据包可以对用户实现透明化,二是过滤器的运转速度快。但是,包过滤型防火墙技术也存在一定的缺陷,包过滤型防火墙技术只能针对过滤包内的信息采取保护对策,无法彻底的避免网络信息被破坏,而且部分协议无法应用包过滤型防火墙技术,也无法抵挡黑客的入侵。网络地址转换实际上就是更换用户的Ip,用户在使用内部网络访问外部网络平台时,系统就会伪装出一个新的Ip地址,进而隐藏了用户真实的Ip地址。但是,网络地址对于用户并不是完全透明的,用户也不可以自行设置。应用型防火墙技术属于防火墙技术的最高层次,可以完全逐段网络信息的传输,属于一种特制的计算机网络程序,可以实现对网络信息的全程监控和管理。应用型防火墙技术的安全性非常高,可以针对计算机网络每个层面的信息进行侦测,第一时间扫描到入侵的病毒。但是,应用型防火墙技术对于网络系统的性能影响比较大,在一定程度上增加了网络系统的管理难度。状态检测型防火墙技术需要计算机网络状态因素进行识别,状态检测型防火墙技术的灵活性比较强,但是,应用型防火墙技术的应用会导致网络出现迟滞的情况,影响网络信息的传输速度。不同的防火墙技术具有不同的特点,用户需要结合实际情况来选择防火墙技术。
4结语
随着计算机网络的快速发展,人们的工作效率不断提高,生活质量也得到了提高。但是,计算C网络问题也随之而来,计算机网络安全问题已经成为人们高度关注的问题之一。对此,为了保证计算机网络安全就必须合理应用防火墙技术。目前,安全性最高的防火墙技术是应用型防火墙技术,可以实现对网络信息的全程监控和管理。用户可以把数据加密和防火墙技术结合在一起,计算机网络平台上所传输的信息都会以加密的形式显示,用户身份验证通过才能进入网络系统。目前,防火墙技术的种类比较多,不同的防火墙技术具有不同的特点和功能,用户需要结合自身实际情况来选择防火墙技术。但是,无论哪种防火墙技术都存在一定的缺陷,相关部门还必须加大防火墙技术的研究力度,不断完善防火墙技术。计算机网络管理人员也要严格规范自己的行为,避免违规现象的出现,更好的保护计算机网络安全。
参考文献:
[1]郑刚.浅析计算机网络安全与防火墙技术[J].信息与电脑(理论版),2016(01):184+187.
关键词:防火墙技术;网络安全技术;网络技术
1防火墙的基本概念
说起防火墙,我们不得不提这个名词的来源。“防火墙”起源于古代建筑学。那时候人们为了保护房屋,防止发生火灾时火势蔓延,在建造房子时在房子的用石块筑起一道墙,并把它命名为防火墙。如今,随着计算机网络的发展,网络攻击手段的相继出现,防火墙一词被引用到计算机网络安全领域,代表一种保护计算机或者网络免受攻击的技术。
防火墙技术是建立在现代网络通信技术和网络安全技术基础上的应用性安全技术,越来越多的应用于专用网络和公用网络的互联环境中。
2防火墙的分类
为了对不同的网络攻击手段进行防御,防火墙也相应的划分出不同的类别。根据物理特性不同,防火墙可以分为软件防火墙和硬件防火墙。其中软件防火墙是一种运行在PC上的软件,价格相对便宜,比较适合个人用户或者对安全要求较低的小型机构;硬件防火墙可以是一个芯片,也可以是一立的硬件设备。价格昂贵,适合对安全要求高的企业或者机构组织。
根据技术的不同,防火墙可分为包过滤防火墙、应用防火墙和状态检测防火墙。其中,包过滤防火墙采用数据包过滤技术,应用于OSI的网络层和传输层,根据系统内置的过滤规则对数据包进行选择。尽管其缺点显著,比如,一旦过滤规则不能正确实施,包过滤防火墙就不能正常工作,但是由于其价格便宜,容易实现,所以它一直工作在各个领域。应用防火墙采用应用协议分析技术,应用于OSI的应用层。它不但能够根据内置的过滤规则对信息来源进行过滤,还能够根据信息内容进行过滤,进一步增强了信息的安全性。它以牺牲速度换取比包过滤防火墙更高的安全性,不过在网络吞吐量不大的时候用户察觉不到它的存在,但是它支撑不住高强度的数据流量,一旦数据交换频繁,整个网络就有瘫痪的可能。相比较包过滤防火墙,它很难有立足之地。状态监视防火墙采用状态监视技术,工作在OSI的网络层、传输层和应用层。该技术是CheckPoint公司基于包过滤防火墙的动态过滤技术发展而来的。该防火墙在不影响网络正常工作的前提下,通过“状态监视”模块,采用抽取相关数据的方法对网络通信的各个层次实行检测,并根据预置的安全规则做出决策。它是包过滤技术和应用协议分析技术的综合。但是由于实现技术复杂,很难部署和实现,所以目前还没有普及。
3防火墙模型
常见的防火墙系统模型有四种,它们分别是筛选路由器模型,单宿主堡垒主机模型,双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。其中筛选路由器模型是网络的第一道防线。其功能是实施对网络数据包的过滤,其通过执行由工作人员创建的相应的过滤策略实现其过滤功能。与此同时,对工作人员的TCP/IP的知识有相当高的要求,因为如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏内部网络的信息,同事也不具备监视和日志记录功能。单宿主堡垒主机又叫屏蔽主机防火墙,由包过滤路由器和堡垒主机组成。其提供的安全等级比筛选路由器模型的防火墙系统要高,因为它实现了内部网络的网络层安全(包过滤)和应用层安全(服务)。所以入侵者必须首先渗透两种不同的安全系统,才能破坏内部网络的安全性。双宿主堡垒主机模型又叫屏蔽防火墙系统,可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口,但是主机不能够在两个端口之间直接转发信息。在物理结构上,所有去往内部网络的网络信息包都必须经过堡垒主机。屏蔽子网模型,其由两个包过滤路由器和一个堡垒主机构成。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,DemilitarizedZone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组、以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。
4防火墙功能
防火墙最基本的功能就是控制数据流在计算机网络不同信任域间的传送。除此以外,他还有其他重要功能。包括策略制定和执行:防火墙通过执行其内置的规则实现对内部计算机或者网络的保护;强化网络安全策略:将口令、加密、身份认证、审计等所有安全软件配置在防火墙上,与分散的安全策略相比,方便管理且更经济;防止内部信息外泄:防火墙把内部网络与外部网络隔离开,把内部网络的重要的、敏感的信息隐藏起来。防止外部网络用户对内网隐私信息的窃取,以增强保密性,同时隐藏内部IP地址及网络结构的细节;记录和统计网络数据流量:对经过防火墙的数据进行记录和分析,从而探测和判断可能的攻击;提供VPN功能:通过防火墙可以实现虚拟专用网络的功能。
5防火墙的发展趋势
与其他安全设备或者安全模块进行互动是新一代防火墙的发展趋势。下一代防火墙将朝着高速、多功能化和更安全的方向发展。多功能化与高速是现有防火墙中的一对矛盾体,采用何种技术使其平衡是有待解决的问题。
人们普遍认为,实现高速防火墙的关键是算法。多功能化的目的是为了满足不同用户组网需求,降低组网的成本。更安全的趋势是与网络信息安全大趋势相一致的。
参考文献