防火墻計算機安全中論文
1防火墻的功能和工作原理
從邏輯上講,防火墻是分離器、限制器和分析器。防火墻就是位于內(nèi)部網(wǎng)或WEB站點與因特網(wǎng)之間的一個路由器或一臺計算機。所有進入或流出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,都要經(jīng)由防火墻。而所有經(jīng)由防火墻的數(shù)據(jù)都必須經(jīng)過防火墻設(shè)置中的安全策略和安全計劃的確認和授權(quán)才可通過,未經(jīng)授權(quán)的數(shù)據(jù)包將被丟棄。防火墻使用這一工作原理,將可有效防范木馬程序及網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)安全帶來的危害,盡最大可能保護內(nèi)部網(wǎng)絡(luò)的信息安全。防火墻按照不同的工作機制又可分為三類:包過濾技術(shù)、堡壘主機、代理服務(wù)。現(xiàn)簡要敘述這三類技術(shù)的工作原理。
1)包過濾技術(shù)
在網(wǎng)絡(luò)中傳輸?shù)男畔⒅饕且詳?shù)據(jù)包的形式發(fā)送,數(shù)據(jù)包又分為包頭和數(shù)據(jù)兩個部分,數(shù)據(jù)包的包頭中,包含了數(shù)據(jù)包的源IP地址和目標IP地址。數(shù)據(jù)包正是根據(jù)這樣的信息,被在網(wǎng)絡(luò)中的不同路由器根據(jù)路由表進行轉(zhuǎn)發(fā),從源地址發(fā)送往目標地址的。在包過濾路由器中,由管理員設(shè)置安全規(guī)則,并根據(jù)安全規(guī)則對將轉(zhuǎn)發(fā)的數(shù)據(jù)包進行檢查,當發(fā)現(xiàn)不符合安全規(guī)則的數(shù)據(jù)包時,數(shù)據(jù)包將被丟棄。由于包過濾只檢查數(shù)據(jù)包的包頭中信息來決定是否對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或丟棄,所以原理相對簡單和有效,易于擴展。但它也有一些缺點和局限性。在系統(tǒng)中配置包過濾規(guī)則較為困難,管理員很難在包過濾規(guī)則中考慮全面,而且對于安全規(guī)則的測試也較為麻煩。由于不支持應(yīng)用層面的安全過濾,有些安全規(guī)則是難于用包過濾系統(tǒng)來實施也難以實現(xiàn)。所以實際應(yīng)用中,包過濾安全往往要與其它防火墻技術(shù)結(jié)合使用。
2)代理服務(wù)
運行在防火墻主機上的一些特定的應(yīng)用程序或者服務(wù)程序。防火墻主機是由一臺安裝有代理服務(wù)協(xié)議的雙重宿主主機構(gòu)成,主機可連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。所謂代理就是一個提供替代連接并且充當服務(wù)的網(wǎng)關(guān)。代理也被稱為應(yīng)用網(wǎng)關(guān)。外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問請求,通過代理服務(wù)器的安全規(guī)則的檢測,對于合法的連接請求,代理服務(wù)主機以自身的身份與內(nèi)部網(wǎng)絡(luò)相聯(lián),并轉(zhuǎn)發(fā)數(shù)據(jù),內(nèi)部網(wǎng)絡(luò)的連接請求,也是通過代理服務(wù)主機與外部網(wǎng)絡(luò)相聯(lián)的。代理服務(wù)主機是在應(yīng)用層提供服務(wù),在管理員控制下,允許或拒絕特定的應(yīng)用程序或特定服務(wù),所以在代理服務(wù)主機中,可對轉(zhuǎn)發(fā)和拒絕的數(shù)據(jù)流實施監(jiān)控、記錄、過濾、報告。由于代理服務(wù)機制中,對數(shù)據(jù)包進行轉(zhuǎn)發(fā),對外部的訪問可屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址,服務(wù)應(yīng)用層也是制定更為嚴格的安全策略。
3)保壘主機
人們把處于防火墻關(guān)鍵部位,運行應(yīng)用級網(wǎng)關(guān)軟件的計算機系統(tǒng)稱為堡壘主機。保壘主機在防火墻的建立過程中起著至關(guān)重要的作用。堡壘主機是一種被強化的可以防御進攻的計算機,作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點,以達到把整個網(wǎng)絡(luò)的安全問題集中到某個主機上解決。堡壘主機是網(wǎng)絡(luò)中最容易受到侵害的主機,所以堡壘訂機也必須是自身保護最完善的主機。由于堡壘主機是最易受到攻擊,所以在堡壘主機中設(shè)置服務(wù)必須最少,堡壘主機中的服務(wù)軟件也盡可能低的權(quán)限。建立堡壘主機的目的是阻止入侵者到達內(nèi)部網(wǎng)絡(luò)。堡壘主機目前一般有3種類型:無路由雙宿主主機、犧牲主機和內(nèi)部堡壘主機。無路由雙宿主主機,有多個網(wǎng)絡(luò)接口,但接口之間無路由的連接。犧牲主機是一種沒有任何需要保護信息的主機,入侵者可隨意登錄,但又不能與任何主機相聯(lián)。
2防火墻對于網(wǎng)絡(luò)安全的不足之處
雖然,現(xiàn)有的防火墻技術(shù)對經(jīng)由防火墻數(shù)據(jù)流進行了過濾,一定程度上保護了內(nèi)部網(wǎng)絡(luò)的主機的安全,但不足之處也非常明顯。包過濾防火墻,在過濾數(shù)據(jù)包時對用戶完全透明,只根據(jù)數(shù)據(jù)包中的IP信息將數(shù)據(jù)包進行轉(zhuǎn)發(fā)或丟棄,效率高。但只作用于數(shù)據(jù)鏈層,無法防御具有地址欺騙的網(wǎng)絡(luò)攻擊方式,對于應(yīng)用程序中的安全保護作用有限。代理服務(wù)類防火墻,將內(nèi)部與外部隔離,內(nèi)部與外網(wǎng)的信息經(jīng)由防火墻進行轉(zhuǎn)換,對外網(wǎng)屏蔽內(nèi)部的結(jié)構(gòu),以達到保護內(nèi)部的目的。代理服務(wù)于應(yīng)用層,可制定轉(zhuǎn)為嚴格的保護策略,但代理工作的速度對于路由器工作速度慢,且代理過程對于用戶是隱蔽的,不同的代理服務(wù),使用不同的代理服務(wù)器,所以代理服務(wù)防火墻工作效率較低。傳統(tǒng)的防火墻也有明顯不足之處:
1)對于不經(jīng)由防火墻網(wǎng)絡(luò)攻擊不能防范。
2)不能防范受病毒感染的文件、軟件和文檔的傳輸。
3)不能防范內(nèi)部網(wǎng)絡(luò)的攻擊。
4)防火墻的工作方式是被動的,無法根據(jù)網(wǎng)絡(luò)攻擊作出適應(yīng)調(diào)整。
5)對于具有欺騙性的網(wǎng)絡(luò)攻擊,缺少應(yīng)對手段。
3防火墻的新技術(shù)及安全防護策略
近年來,針對傳統(tǒng)防火墻的不足,對防火墻技術(shù)進行改進及安全防護策略。
1)在設(shè)計防火墻安全策略時,禁止不經(jīng)由防火墻的訪問,確保內(nèi)部網(wǎng)絡(luò)與外部所有信息流都經(jīng)過防火墻。
2)與防病毒軟件相結(jié)合的防火墻技術(shù),在應(yīng)用網(wǎng)關(guān)的防火墻中,與第三方殺病軟件相結(jié)合,對經(jīng)由防火墻的數(shù)據(jù)進行檢測,將病毒防御在防火墻之外。
3)智能防火墻技術(shù),針對傳統(tǒng)防火墻被動防御的缺點,新型智能防火墻內(nèi)外路由器、智能認證服務(wù)器、智能主機和堡壘主機組合構(gòu)成,實現(xiàn)過濾規(guī)則自動產(chǎn)生和自動配置,對新發(fā)現(xiàn)的安全威脅進行自主防御。
4)分布式防火墻,分布式防火墻由安全策略管理服務(wù)器和客戶端防火墻構(gòu)成。安全策略服務(wù)器負責安全策略、用戶、日志、審計等管理。客戶端防火墻負責對安全策略的實施。分布式防火墻可防御各種類型的被動攻擊與主動攻擊。
5)集中防火墻,集中防火墻是在入侵檢測技術(shù)的支持下,建立一個網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成模型。入侵檢測系統(tǒng)可有效彌補防火墻無法識別網(wǎng)絡(luò)攻擊的缺陷。入侵檢測系統(tǒng)將有效識別網(wǎng)絡(luò)攻擊并動態(tài)調(diào)整防火墻的安全規(guī)則,使防火墻具有一定的智能化。
4結(jié)束語
在網(wǎng)絡(luò)安全越來越受到重視的今天,防火墻在抵御網(wǎng)絡(luò)攻擊、保護網(wǎng)絡(luò)的信息安全起到重要作用。隨著網(wǎng)絡(luò)技術(shù)的進步,網(wǎng)絡(luò)攻擊呈現(xiàn)手段越來越多樣化,攻擊形式也更加復(fù)雜。為更好的防御網(wǎng)絡(luò)攻擊,在網(wǎng)絡(luò)環(huán)境中配置防火墻,并正確使用防火墻安全策略和新技術(shù)原理防火墻,是可能在一定程度上有效的保護網(wǎng)絡(luò)安全的。
【防火墻計算機安全中論文】相關(guān)文章:
防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用探析論文04-10
計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的探討03-23
論文防火墻致謝11-14
網(wǎng)絡(luò)計算機安全論文02-26
計算機信息安全論文02-11
計算機基礎(chǔ)中Office軟件的應(yīng)用論文05-30
計算機安全論文范文03-14
教學中的計算機科學技術(shù)論文02-23
石化企業(yè)計算機安全論文12-14
- 相關(guān)推薦