返回
对计算机使用防火墙技术防止网络攻击

对计算机使用防火墙技术防止网络攻击

ID:10400095

大小:60.00 KB

页数:3页

时间:2018-07-06

对计算机使用防火墙技术防止网络攻击_第1页
对计算机使用防火墙技术防止网络攻击_第2页
对计算机使用防火墙技术防止网络攻击_第3页
资源描述:

《对计算机使用防火墙技术防止网络攻击》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、对计算机使用防火墙技术防止网络攻击防火墙网络安全在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防

2、火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型防火墙。包过滤通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。代理服

3、务器型防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。复合型防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。在进行防火墙设计构建中,可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是

4、传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证网络安全性的难度。在一个网络中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。网络的安全策略应该在细致的安全分析、全面的风险假设基础上来制定。尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,假如答应从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直

5、接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由此可见,要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用。目前,防火墙的体系结构有以几种:(1)包过滤防火墙也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对

6、用户进行特定的培训。缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。(2)双宿主主机防火墙这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双宿主主机防火墙。它不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关,隔断IP层之间的直接传输。两个网络中的主机不能直接通信,两个网络之间的通信通过应用层数据共享或应用层代理服务来实现。如

7、下图所示:优点:1)网关将被保护的网络与外界完全隔离开;2)提供日志,有助于发现入侵。3)内部网络的名字和IP地址对外界来说是不可见的。缺点:代理服务,代理服务器必须为每种应用专门设计,所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。(3)屏蔽主机网关防火墙它由一台过滤路由器和一台堡垒主机组成。在这种配置下,堡垒主机配置在内部网络上,过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其它主机。内部网络在向外通信时,必须先到堡垒主机,由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信

8、的唯一通道

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。