欢迎来到天天文库
浏览记录
ID:7328950
大小:32.32 KB
页数:6页
时间:2018-02-11
《论网络安全与防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、论网络安全与防火墙技术 (内蒙古电子信息职业技术学院,内蒙古呼和浩特010010) 摘要:文章针对信息网络安全内涵发生的根本变化,论述了网络防火墙安全技术的分类及其主要技术特征。 关键词:网络安全;防火墙 中图分类号:TP393.08文献标识码:A文章编号:1007—6921(XX)03—0323—01 1防火墙在网络安全中的重要性 网络中以通过很多网络工具,设备和策略来保护不可信任的网络,其中防火墙是运用非常广泛和效果最好的选择。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进
2、入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙成为了与不可信任网络进行联络的惟一纽带,我们通过部署防火墙,就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存,对于网络安全犯罪的调查取证提供了依据。总之,防火墙减轻了网络和系统被用于非法和恶意目的的风险。 1.1防火墙安全技术的功能 可以把防火墙看成是在可信任网络和不可信任网络之间的一个缓冲,
3、防火墙可以是一台有访问控制策略的路由器,一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。 1.1.1本文讨论的防火墙主要是部署在网络的边界(NetworkPerimeter),这个概念主要是指一个本地网络的整个边界,表面看起来,似乎边界的定义很简单,但是随着虚拟专用网络(VPN)的出现,边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下,我们需要考虑的不仅仅是来自
4、外部网络和内部网络的威胁,也包含了远程VPN客户端的安全,因为远程VPN客户端的安全将直接影响到整个防御体系的安全。 1.1.2防火墙还可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。 1.1.3防火墙可以有效记录网络活动。由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种
5、信息,提供监视、管理与审计网络的使用和预警功能。 1.1.4为解决IP地址危机提供了可行方案。由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。 1.2防火墙安全技术的弊端 尽管防火墙有如此多功能,但防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙对绕过它的攻击行为无能为力。防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。 2防火墙安全技术的特征 网络的核心区域
6、包括核心交换机、核心路由器等重要设备,它们负担整个网络的核心数据的转发,并且连接着DMZ区的各个关键应用,如OA系统、ERP系统、CRM系统、对内或对外的Web服务器、数据库服务器等。从安全的角度来说,这个区域是最关键的,也是风险最集中的区域。 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证
7、网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 3防火墙安全技术的发展趋势 随着技术的发展,防火墙产品还在
8、不断完善、发展。目前出现的新技术类型主要有:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理
此文档下载收益归作者所有