3个回答
展开全部
浅论网络安全技术—-防火墙
[摘 要] 防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势 一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联网(Intranet)接入Internet,从而可以更大的收益。
过去,许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet,这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中,因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、 防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略:
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求,防火墙必须具有以下功能:
(一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。
以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
(二)监视网络的安全性,并报警。
(三)利用网络地址转换(NAT)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录。它是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:
1、数据包过滤技术
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术——代理技术。
[摘 要] 防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势 一、引言
当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们会无一例外的考虑将自己的内联网(Intranet)接入Internet,从而可以更大的收益。
过去,许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet,这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中,因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问,从而在安全上带来极大的危险。并且,入侵者的行动通常都是很难被察觉的,因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前,以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。
二、防火墙及安全功能
1、 防火墙的概念
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略:
⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱。
⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝。
2、防火墙的安全功能
为了保证网络安全性要求,防火墙必须具有以下功能:
(一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为。
以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。
(二)监视网络的安全性,并报警。
(三)利用网络地址转换(NAT)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行记录。它是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
三、防火墙的关键技术
安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:
1、数据包过滤技术
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。
包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性,于是发展了安全性更高的防火墙技术——代理技术。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
2、代理技术
代理服务技术是防火墙技术中使用得较多的技术,也是安全性能较高的技术。代理服务软件运行在一台主机上构成代理服务器,负责截获客户的请求,并且根据它的安全规则来决定这个请求是否允许。如果允许的话,这个请求才传给真正的防火墙。代理服务器是外部可以见到的唯一实体,它对内部的用户是透明的。并且它可以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制。
这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性。但可能影响网络的性能,对用户不透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。
3、状态监测技术
状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
4、VPN技术
VPN技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等。VPN功能中认证和加密是最重要的。基于防火墙的VPN为了保证安全性,在VPN协议中通常采用IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性。
5、地址翻译(NAT)技术
NAT技术就是将一个IP地址用另一个IP地址代。地址翻译主要用在:① 网络管理员希望隐藏内部网络的IP地址;② 内部网络的IP地址是无效的IP地址。在这种内部网对外面是不可见的情况下,Internt可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对Internet可见的IP地址。地址翻译可以实现一种“单向路由”,这样不存在从Internet到内部网的或主机的路由。
6、SOCKS技术
SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。SOCKS是一个电路层网关的标准,遵循SOCKS协议,对应用层也不需要做任何改变,它需要给出客户端的程序。如果一个基于TCP的应用要通过SOCKS代理进行中继,必须首先将客户程序SOCKS化。这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。
四、防火墙技术优点、缺点
1.使用防火墙系统的优点如下:
①可以对网络安全进行集中控制和管理
防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成了一个控制中心,大大加强了网络安全,并简化了网络管理;
②由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警;
③为解决IP的地址危机提供了可行方案
由于Internet的日益发展及其IP地址空间的有限,使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址;
代理服务技术是防火墙技术中使用得较多的技术,也是安全性能较高的技术。代理服务软件运行在一台主机上构成代理服务器,负责截获客户的请求,并且根据它的安全规则来决定这个请求是否允许。如果允许的话,这个请求才传给真正的防火墙。代理服务器是外部可以见到的唯一实体,它对内部的用户是透明的。并且它可以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制。
这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性。但可能影响网络的性能,对用户不透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。
3、状态监测技术
状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
4、VPN技术
VPN技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等。VPN功能中认证和加密是最重要的。基于防火墙的VPN为了保证安全性,在VPN协议中通常采用IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性。
5、地址翻译(NAT)技术
NAT技术就是将一个IP地址用另一个IP地址代。地址翻译主要用在:① 网络管理员希望隐藏内部网络的IP地址;② 内部网络的IP地址是无效的IP地址。在这种内部网对外面是不可见的情况下,Internt可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对Internet可见的IP地址。地址翻译可以实现一种“单向路由”,这样不存在从Internet到内部网的或主机的路由。
6、SOCKS技术
SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。SOCKS是一个电路层网关的标准,遵循SOCKS协议,对应用层也不需要做任何改变,它需要给出客户端的程序。如果一个基于TCP的应用要通过SOCKS代理进行中继,必须首先将客户程序SOCKS化。这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。
四、防火墙技术优点、缺点
1.使用防火墙系统的优点如下:
①可以对网络安全进行集中控制和管理
防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成了一个控制中心,大大加强了网络安全,并简化了网络管理;
②由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警;
③为解决IP的地址危机提供了可行方案
由于Internet的日益发展及其IP地址空间的有限,使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址;
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
参考文献:
⑴Mandy Andress. 计算机安全原理[M]. 机械工业出版社,2002
⑵陈爱民,等. 计算机安全与保密[M]. 北京:电子工业出版社,1992
⑶时炳艳,杨建军. 计算机网络安全技术——防火墙. 郑州工业高等专科学校学报 2002.3
⑷魏利华. 网络安全:防火墙技术研究 淮阴工业学院学报 2003.10
⑸郝玉洁,常征. 网络安全与防火墙技术 电子科技大学学报社科版 2002.1
⑹叶丹 网络安全实用技术 清华大学出版社 2002.10
⑺陆楠 现代网络技术 西安电子科技大学出版社 2003.2
⑴Mandy Andress. 计算机安全原理[M]. 机械工业出版社,2002
⑵陈爱民,等. 计算机安全与保密[M]. 北京:电子工业出版社,1992
⑶时炳艳,杨建军. 计算机网络安全技术——防火墙. 郑州工业高等专科学校学报 2002.3
⑷魏利华. 网络安全:防火墙技术研究 淮阴工业学院学报 2003.10
⑸郝玉洁,常征. 网络安全与防火墙技术 电子科技大学学报社科版 2002.1
⑹叶丹 网络安全实用技术 清华大学出版社 2002.10
⑺陆楠 现代网络技术 西安电子科技大学出版社 2003.2
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
