论文导读:随着计算机网络的发展,各行各业的网络新技术也不断涌现并得到广泛应用。防火墙是防御网络信息遭受攻击的有效技术之一。防火墙是指设置在不同网络之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,是提供信息安全服务,实现网络和信息安全的基础设施。防火墙通常采用的技术有分组过滤技术、应用层网关技术和代理服务技术等。
关键词:计算机网络,防火墙,信息,技术
随着计算机网络的发展,各行各业的网络新技术也不断涌现并得到广泛应用。然而病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙是防御网络信息遭受攻击的有效技术之一。
一、防火墙的概念
防火墙是指设置在不同网络之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,是提供信息安全服务,实现网络和信息安全的基础设施。
当今的防火墙所采用的安全策略有很多种,不同的防火墙侧重点不同。在设置防火墙之前必须明确该防火墙所要保护的网络系统的数据需求,确定允许那些类型的信息通过防火墙,那些信息必须阻止,然后由防火墙对外部网络与内部网络之间交换的信息进行检查,符合设置条件的予以放行通过,不符合设置条件的则拒之门外。
二、常用构建防火墙技术的分析与研究
防火墙通常采用的技术有分组过滤技术、应用层网关技术和代理服务技术等。
1、分组过滤技术的基础是网络中的分包传输技术。网络上的数据是分组以“包”的形式传输的,每个数据包都包含数据的源地址、目标地址、TCP/UDP源端口和目标端口等等信息。分组过滤技术就是依据系统内预设的过滤逻辑条件,检查数据流中的每组数据,根据数据包的源地址、目标地址、TCP/UDP源端口号和目的端口号以及数据包头中的标志位来确定是否允许通过,拒绝来源于非安全站点的数据。采用这种技术的防火墙其核心在于过滤算法的设计。例如:在以太网中,得到的数据包大致是如下结构:以太帧头14个字节,放在PUCHAR 结构数组的第0个元素到第13个元素中,其中前六个字节是目的MAC地址,之后是六个字节源MAC地址,最后两个字节是协议类型,通常的协议类型有0x08 0x00->IP,0x08 0x06->ARP,0x08 0x35->RARP,所以,可以通过数组的第12个元素和第13个元素来判断协议类型,过滤规则就是在这个基础之上建立。如果要过滤特定协议,只要在相应的字节读取数据,判断是否符合要过滤的规则即可。
分组过滤技术的优点是逻辑简单、速度快、易于安装和使用, 网络性能和透明性好且价格便宜,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙不需要很多额外的费用。
分组过滤技术的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
2、应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制的输入输出通信环境进行严格控制,以防止内部数据被窃取。另外,应用层网关还负责对网络交流的信息进行记录,比如:用户登录的时间,登录的网址,用户频繁使用的网络界面等。数据包过滤和应用网关防火墙有一个共同的特点,它们都是依靠特定的逻辑判定来决定是否允许数据包通过。免费论文网。如果满足逻辑条件,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。免费论文网。
应用网关技术的优点是可以在LAN 机器上被透明配置、保护在一个或多个外部 IP 地址之后的许多机器,简化管理任务、用户到LAN 的出入可以通过打开和关闭 NAT 防火墙/网关上的端口来限制。
应用网关技术的缺点是一旦用户从防火墙外连接了服务,则无法防止其蓄意活动。
3、代理服务技术
代理服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的'链接', 由两个终止代理服务器上的'链接'来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
代理服务技术的优点是使管理员拥有对LAN 之外的应用程序和协议功能的控制权、某些代理服务器可以缓存数据,因此当客户存取频繁请求的数据时,这些数据就可以从本地缓存调出而不必使用互联网连接,这有助于减少不必要的带宽用量、代理服务可以被密切地监视和记录,从而允许在网络资源用量方面进行更严格的控制。
代理服务技术的缺点是代理通常是应用程序特有的(HTTP、telnet 等)或在协议方面有限制的(多数代理只能用于 TCP 连接的服务)、应用程序服务无法在代理后面运行,因此用户的应用程序服务器必须使用另一种网络保安措施、代理可能会成为网络的瓶颈,因为所有的请求和传输都要经过一个中介而不是让客户直接连接远程服务。
三、防火墙技术的发展趋势
未来防火墙系统将从高效和高速两个角度去发展。
防火墙的几种基本类型各有优点和不足之处,所以将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足就是防火墙技术发展的一个重要的方向,例如,我们在对传输层面的数据包特性进行过滤的同时,也对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力提高防火墙的工作效率。
另外无论采用怎样的技术手段设计的防火墙,都必须设置日志系统,这样才能方便地追踪过去网络中发生的事件。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,较多的防火墙系统的日志都采用文本方式记录网络事件。而文本方式的每一个字符都需要占用一个字节,对带宽消耗很大。如果直接采用二进制数据记录日志可以大大减小数据传送量。所以,支持二进制格式的日志数据库,是未来防火墙日志和日志服务器软件的发展方向。
新型的防火墙系统还需要与移动设备有机地结合,当网络防火墙所保护的网络系统遭到攻击时,可以通过移动设备及时得到通知,在第一时间作出应急处理,以保护数据安全,将损失降到最低。
四、结束语
防火墙技术已经广泛地应用到政府机关、医疗卫生、金融业、零售、远程通讯等行业,但是选择哪一种防火墙技术来保障网络安全,是用户需要深入研究的问题。免费论文网。期望通过本文的探讨和研究,能够帮助各行业用户根据各自的网络应用特性正确选择应用防火墙。
参考文献:
防火墙原理与技术阎慧
Internet 安全与防火墙[美]普端萨姆
The Defence Strategy In Network Security
|
