本站原创摘 要 :本文对计算机防火墙的概念、功能以及分类和原理进行了归纳总结,并分析了常见的网络攻击方式及应对策略.
关 键 词 :因特网;网络安全;计算机防火墙技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
计算机防火墙是一种获取安全性方法的形象说法,它由硬件设备和软件组合而成、在专用网络和公共网络之间、内部网络和外部网络之间的界面上构造一个保护屏障,使得不同的网络之间建立一个安全网关,以保护内部专门网络,使其免受非法用户的入侵[1].
计算机防火墙的主要功能有:过滤掉不安全怎么写作和非法用户[2];控制对特殊站点的访问;提供监视Inter安全和预警的方便端点.其功能主要体现在访问控制,内容控制,全面的日志;集中管理,自身的安全和可用性;流量控制,NAT,VPN等方面.
目前防火墙技术正在朝着智能化和分布化的方向发展,其中智能防火墙技术对数据的识别是通过利用记忆、概率、统计和决策的智能方法来进行的,以实现访问控制.智能防火墙采用新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制,可以很好的解决目前存在的网络安全问题.智能防火墙技术是计算机防火墙技术发展的必然趋势[3,4].
1.计算机防火墙的分类及其原理
计算机防火墙根据工作机制的不同可分为包过滤防火墙、应用写作技巧型防火墙、网络地址翻译及复合型防火墙.
1.1 包过滤防火墙
包过滤防火墙技术中预先设定有包过滤规则,包过滤防火墙工作在网络层,接收到的每个数据包都要同包过滤规则进行比较,然后决定该数据包是通过还是阻塞.
包过滤防火墙又分为无状态包过滤和有状态检查包过滤.无状态包过滤防火墙是最原始的防火墙,它是根据每个包头部的信息来决定是否要将包继续传输,从而增强安全性.其安全程度相对较低,它的内部网络很容易暴露,进而容易遭受攻击.在通信中,无法维持足够的信息来决定是否应该放弃这个包,因为任何一条不完善的过滤规则都会给网络可乘之机.但是有状态检查包过滤其可以记住经过防火墙的所有通信状态,并依据其记录下来的状态信息数据包的允许与否.动态包过滤防火墙是目前最流行的防火墙技术.
1.2 应用写作技巧型防火墙
写作技巧是指写作技巧怎么写作器利用网络内部客户的怎么写作请求,然后将这些请求发到外部的网络中;当写作技巧怎么写作器从公共怎么写作器处接收到响应后,其再将响应返回给原始的客户,其与原始的公共怎么写作器所起的作用是一样的[3].
应用级写作技巧技术采用在OSI的最高层检查每一个IP包,进而获得安全策略.应用写作技巧技术虽然在一定程度上保证了网络的安全,但是它对每一种怎么写作都需要写作技巧,且它工作在协议栈高层,执行效率明显降低,有时会成为网络的瓶颈.
1.3 网络地址翻译
网络地址翻译将专用网络中的ip地址转换成在因特网上使用的全球唯一的公共ip地址.尽管最初设计nat的目的是为了增加在专用网络中可使用的ip地址数,但是它有一个隐蔽的安全特性,如内部主机隐蔽等.这在一定程度上保证了网络安全.nat实际上是一个基本的写作技巧,一个主机代表内部所有主机发出请求,并代表外部怎么写作器对内部主机进行响应等.但nat工作在传输层,因此它还需要使用低层和高层怎么写作来保证网络的安全.
1.4 复合型防火墙
出于更高安全性的要求,有些开发商常把包过滤的方法与应用写作技巧的方法结合起来,开发出复合型的防火墙产品,这种复合型的防火墙用以下两种方式实现网络安全维护功能:(1)通过屏蔽主机防火墙体系结构,使分组过滤路由器或防火墙与互联网相连,同时在内部网络安装一个堡垒机,利用对过滤规则的设置,使堡垒机成为互联网上其他网络访问所能到达的唯一节点,确保内部网络不受未授权的外部用户的攻击.(2)通过屏蔽子网防火墙体系结构,将堡垒机安装在一个内部子网内,同时在这一子网的两端安装两个分组过滤路由器,使这一子网与互联网及内部网络分离,进而确保这一子网不受未授权的外部用户的攻击.在结构中,堡垒机和分组过滤路由器共同构成了整个屏蔽子网防火墙体系的安全基础.
2.常见网络攻击方式及网络安全策略
2.1 网络攻击方式
2.1.1 病毒
尽管某些防火墙产品提供了在数据时进行病毒扫描的功能,但仍然很难将所有的病毒阻止于网络之外,欺骗用户下载某个程序,从而使恶意代码进入到计算机内网.应对策略:设置网络安全等级,对于未经安全检测的下载程序,严格阻止其任务执行[5].
2.1.2 口令字
穷举与嗅探是口令字的两种攻击方式.穷举是通过外部网络的攻击对防火墙的口令字进行猜测.嗅探通过监测内部网络来获取主机给防火墙的口令字.应对策略:通过设计使主机和防火墙通过单独接口进行通信或是采用一次性口令等.
2.1.3 邮件
借助邮件进行的网络攻击方式日益明显,垃圾邮件的制造者通过复制方式,把一条消息变成几百几万份消息,并将其发送到很多人,当邮件被收到并打开时,恶意代码便进入到计算机系统.应对策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施.
2.1.4 IP地址
通过利用与内部网络相似的IP地址,能够避开怎么写作器的检测,从而进入到内部网进行攻击.应对策略:打开内核的rp_filter功能,把具有内部地址但是是来自网络外部的数据包全部丢弃;同时把IP地址和计算机的MAC绑定,拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问[5].
2.2 网络安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保护计算机、怎么写作器、打印机等硬件设备与通信链路不受到人为破坏与搭线攻击等.(2)验证用户身份与使用权限,防止越权操作.(3)为计算机系统提供良好的工作环境.(4)建立安全管理制度,防止发生非法进入计算机控制室以及偷窃破坏活动等[6].
目前,物理安全的防护措施主要有:(1)传导发射进行防护.如:在信号线与电源线上加装滤波器,使导线与传输阻抗间的交叉耦合减到最小.(2)对辐射进行防护.主要采取电磁屏蔽措施与干扰措施,在计算机系统工作时,通过利用屏蔽装置或者干扰装置来产生一种噪声,该噪声辐射到空中,能够掩盖计算机系统的信息特征与工作频率.
2.2.2 访问控制策略
作为最重要的网络安全策略之一,访问控制是确保网络安全运行的技术策略,其主要任务是指保护网络资源不被非常访问和非法使用.防火墙技术就是网络安全访问控制策略在实践中主要的应用.
2.2.3 网络安全管理策略
为了保证网络安全,除了采用物理安全策略和访问控制策略之外,加强网络的安全管理,制订有关规章制度,对于确保网络安全、可靠地运行,能起到十分有效的作用.
3.结论
随着互联网网络技术的快速发展,网络安全方面的问题必将引起人们越来越多的重视.计算机防火墙技术是用来维护网络安全的一种重要措施和手段,它主要作用是:拒绝未经授权的用户访问相关数据,阻止未经授权的用户存储或下载敏感数据,同时也要确保合法用户访问网络资源不受影响.防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的怎么写作,数据以及系统免受侵扰和破坏.相信,随着新的计算机安全问题的出现和科学技术的进一步发展,计算机防火墙也将获得进一步的改进.