欢迎来到天天文库
浏览记录
ID:23576258
大小:104.50 KB
页数:5页
时间:2018-11-09
《浅谈防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、浅谈防火墙技术 摘要:防火墙就像是一道门户,将局域网和Intemet分开,它能限制被保护的内网和外网之问的信息交流,它是不同的网络或者网络安全区域之问的唯一的信息出入口,并按照设定的安全策略控制流经的信息,其本身也具有很强的抗攻击能力。如何有效地使用防火墙技术,能够有利保证内网的安全使用。 关键字:计算机网络防火墙安全技术 一、防火墙定义 防火墙是近年来新兴的保护计算机网络安全的技术性措施,是组建安全网络的重要组成部分。它是局域网和国际互连网(Intemet)之间的一道安全屏障,能够阻止对信息资源的非法访问。它是用一个或者一组网络设备将两个网络连接在一起,用于检测和控制两个
2、网络之间的通信流,根据对流经的信息包的合法性判断,实现对重要信息资源的访问控制,达到保护信息系统安全的目标。防火墙是一种被动防御技术,它假设了网络的边界和服务,对来自于 内部的非法访问难以实现有效的控制。防火墙在网络中的逻辑位置如图1所示。 二、防火墙的基本功能5 设立防火墙的目的就是要保护一个网络不被另一个网络攻击,对网络的保护通常包括几个工作:拒绝未经授权的用户访问、阻止未经授权的用户存取敏感数据、允许合法的用户无障碍访问想要的资源。防火墙的主要功能体现在以下几个方面: 1、防火墙作为网络安全的屏障 防火墙可以很好的增强内部网络的安全性能,能够过滤不安全的服务,从而降
3、低了系统风险。只有经过防火墙许可的流量才能通过防火墙,防火墙同时具有保护网络免受某些基于路由攻击的能力,如源路由攻击和基于ICMP重定向中的重定向攻击。 2、对网络存取和访问进行监控审计 防火墙能够记录下所有流经防火墙的访问,同时可以得出日志记录,还能够对网络的使用情况进行统计,对可疑的操作,防护墙能及时的报警并提供相应的信息,如是否受到监测和攻击。 3、防止内部信息的对外泄漏 内部网络的划分可依据防火墙进行,以实现隔离内部重点网段,以便减少局部重点或敏感网络安全对全局的影响。内部网络中的一个忽略的小细节可能被外部攻击者发现并加以利用,也会给内部网络的带来极大的安全风险,增
4、加全局网络的安全负担。使用防火墙就可以隐蔽那些容易透露内部细节的服务,如Finger和DNS等服务。 4、可以作为部署NAT的地点 网络地址转换(NAT)是一种将私有地址转化为合法IP地址的技术,它被广泛应用于各种类型的Interne接入。NAT技术能够很好的解决IP地址的不足的问题,还能够隐藏内部主机的IP地址,避免受到来自网络外部的攻击。5 三、防火墙分类 防火墙的实现方式多种多样,从实现技术力一式划分防火墙主要分为数据包过滤、应用代理、状态检测等几种。 1、包过滤技术 包过滤作用在网络层和传输层,对流经防火墙的数据包依据系统设置的过滤规则进行检查和选择。TCP/I
5、P协议通信的数据包可分为数据和包头两部分,根据包头源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤规则的数据包才能被转发到相应的目的地出口端,其余数据包则被丢弃,数据包过滤时按顺序进行检查,直到有规则匹配为止。实际实现了内部主机允许直接访问外网,而外网主机访问内网则要受到限制。 包过滤技术具有速度快、效率高的优点,并且对用户透明,对网络的性能影响不大,适合于应用环境简单的网络环境。但由于其工作在网络层和传输层,它过滤的信息是有限的,很多安全要求不能得到满足,随着规则数目的增加,会降低网络的性能。 2、应用代理型防火墙 应用代理型防火墙作用在应用层,
6、它完全隔离了网络的通信流,对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的功能。客户机和服务器之间的数据交流被代理服务器完全阻挡,当终端需要数据时,先将请求发给代理,由代理向服务器发送请求,同样由代理向终端返回数据,这种情况下,内外主机之间没有直接的数据通道,阻断了外部网络对内网的侵入。5 该种类型的防火墙具有较好的安全性能,工作在051的最高层,起着监视和隔绝应用层通信流的作用。这种类型往往会增加系统管理的复杂性,降低系统的整体性能。 3、状态检测技术 状态检测防火墙采用了状态检测包过滤技术,在网络层有一个检查引擎截获数据包并抽取与应用层状态有关的信息,并以此
7、为依据决定该连接是接受还是拒绝,该种技术提供了高度安全的解决方案,具有较好的适应性和扩展性。该种防火墙摒弃了包过滤防火墙仅检查输入网络的数据包,而不关心数据包连接状态的缺点,在防火墙的核心建立状态连接表,在对数据包进行检查时,除了依据规则表,也会将数据包能否符合会话所处的状态考虑进来,因此提供了完整的对传输层的控制能力。状态检测防火墙工作在数据链路层和网络层之问,确保了截取和检查所有通过网络的原始数据包。它工作在较低层,但是它能够检测所有应用层的数据包,从中提取有用信
此文档下载收益归作者所有