計算機網絡安全及防火墻技術分析論文(2)
計算機網絡安全及防火墻技術分析論文
計算機網絡安全及防火墻技術分析論文篇二
《計算機網絡安全和防火墻技術》
摘 要:本文主要闡述了網絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,然后主要闡述防火墻在網絡安全中起到的巨大的作用,防火墻的優缺點及各種類型防火墻的使用和效果。
關鍵詞:計算機網絡;網絡安全;防范措施;防火墻技術
一、前言
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
二、網絡信息安全的主要威脅
2.1、網絡安全威脅
網絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些無目的的事件,有時會直接威脅網絡的安全,影響信息的存儲媒體。
人為威脅就是說對網絡的人為攻擊。這些攻擊手段都是通過尋找系統的弱點[1],以便達到破壞、欺騙、竊取數據等目的,造成經濟上和政治上不可估量的損失。網絡安全的人為威脅主要分為以下幾種:網絡缺陷,黑客攻擊各種病毒,管理的欠缺及資源濫用,網絡內部用戶的誤操作和惡意行為,網絡資源濫用,信息泄漏。
2.2、影響計算機網絡安全的因素
①網絡資源的共享性。資源共享是計算機網絡應用的主要目的,但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯網需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網絡數據包。
②網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的敏感性信息。
③網絡操作系統的漏洞。網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一,它不僅負責網絡硬件設備的接口封裝,同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性,決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。
④網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下,還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。
⑤惡意攻擊。就是人們常見的黑客攻擊及網絡病毒,這是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
三、防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網絡或網絡安全域之間信息的唯一出入口,能根據網絡的安全政策控制(允許拒絕監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
3.2 防火墻的功能
1、防火墻的種類
防火墻技術可根據防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號,協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。
應用代理(ApplicationProxy):也叫應用網關(ApplicationGateway),它作用在應用層,其特點是完全“阻隔”了網絡通信流通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用,實際中的應用網關通常由專用工作站實現。
2、防火墻的技術原理
目前,防火墻系統的工作原理因實現技術不同,大致可分為三種:
(1)包過濾技術
包過濾技術是一種基于網絡層的防火墻技術。根據設置好的過濾規則,通過檢查IP數據包來確定是否該數據包通過。而那些不符合規定的IP地址會被防火墻過濾掉,由此保證網絡系統的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優點就是價格便宜,實現邏輯簡單便于安裝和使用。
缺點:1)過濾規則難以配置和測試。2)包過濾只訪問網絡層和傳輸層的信息,訪問信息有限,對網絡更高協議層的信息無理解能力。3)對一些協議,如UDP和RPC難以有效的過濾。
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”,兩邊的網絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網絡之間,對網絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發到真實的服務器上,并將答復再轉發給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
(3)狀態監視技術
這是第三代防火墻技術,集成了前兩者的優點。能對網絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
狀態監視器的監視模塊支持多種協議和應用程序,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監測,狀態監視器實現網絡安全的目的。目前,多使用狀態監測防火墻,它對用戶透明,在OSI最高層上加密數據,而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。
四、結束語
防火墻不能完全解決網絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網絡管理人員的安全意識等,總之,防火墻是網絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統的高速高效運行,不斷提高網絡安全水平,這將是一個隨著網絡技術的發展而不斷研究的課題。(作者單位:湖北工業大學)
參考文獻
[1] 石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag267-283
[2] 張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75
看過“計算機網絡安全及防火墻技術分析論文”的人還看了: