本站原创摘 要:随着网络的普及,各种网络的新兴业务的兴起,网络安全问题被越来越多的人所关注.而目前,防火墙技术则是解决网络安全问题最有效、可行的方法.本文首先分析了计算机网络所面临的安全威胁以及常用的网络安全技术,着重提出防火墙技术的概念、作用以及它在网络中的应用方式.
关 键 词 :计算机网络;网络安全;防火墙
中图分类号:TP393
1.网络安全的概念以及所面临的安全威胁
随着计算机信息技术的迅猛发展,计算机网络技术已被很多领域所普及.所谓计算机网络安全是指通过网络技术和管理控制措施,确保数据在同一网络环境下的保密性、可用性以及完整性.计算机网络安全主要由逻辑安全性与物理安全性两方面内容构成.逻辑安全性包含保密性、可用性和完整性三个方面内容.物理安全性是指保护系统设备和相关设施的物理安全,以防遭到损坏与破坏等.如今,多种网络安全技术的应用,很大程度地确保网络信息的安全,其中防火墙技术便是网络安全最基础、最常用的一项技术.
通常情况下,计算机网络主要存在计算机病毒、拒绝服务攻击以及攻击三大安全威胁.(1)计算机病毒:目前已有超过14000种的计算机病毒,当网络被计算机病毒侵袭后,会破坏网络资源,导致网络无法正常进行工作,严重的话会致使整个网络瘫痪.(2)拒绝服务攻击:譬如“点在邮件炸弹”,即是用户在非常短的时间内接收到很多垃圾邮件,使业务的正常工作受到影响,甚至会导致网络瘫痪或是系统关机.(3)攻击:即是指一些用户采用非法手段进入网络非法享用网络资源.譬如利用隐蔽途径进行非法活动;利用网络监听其他用户的与;通过匿名用户访问攻击网络;非法截取网络传输的数据;突破网络防火墙.具体来说,网络所面临的安全威胁通常有以下几个方面:非授权访问、身份窃取、拒绝服务、数据窃取、冒充合法用户、病毒和恶意攻击等方面.
2.网络安全的几大技术
目前相对成熟且被广泛应用的网络安全技术主要有以下几种:(1)防病毒技术:计算机病毒的防范技术不单单是一个制度、一个策略或是一个产品,而是一个汇集了网络、硬件、软件、接口等的一个综合系统.(2)认证:即对合法用户使用认证机制,既能避免非法用户访问公司信息系统,又能避免合法用户对无权查看的信息进行访问.(3)数据加密:即是将明文改成密文,让未授权的人无法看懂.通常有公钥加密和私钥加密两种加密类型.(4)检测系统:既能实时保护误操作、外部入侵以及内部入侵等方面,还能拦截入侵以免网络系统遭受侵害.(5)防火墙技术:主要用来避免外部用户非法访问.防火墙主要采用应用网关、滤以及子网屏蔽等技术.(6)文件系统安全:对文件与文件夹设置权限访问控制.
3.防火墙的概念与作用
由计算机硬件设备与软件系统构成的防火墙,主要用于保护网络数据以免被篡改和窃取.防火墙是设立于计算机上的一种机制,主要用于防止内外部网之间、公共专用网之间直接进行访问.担任防火墙的计算机不仅对受保护的网络直接进行访问,还能对因特网直接进行访问.但受保护的网络不可直接访问因特网,因特网也不可直接访问受保护的网络.
防火墙主要有以下几种作用:(1)将不用的端口关掉,不允许某些端口流出通信;(2)过滤攻击与不安全服务;(3)将非法入侵用户与木马封锁;(4)提供监视因特网预警与安全的方便端点;(5)控制访问某些特定站点,禁止来意不明用户的所有通信.
由于互联网具有开放性的特点,防火墙在有很多防范功能的同时还有一些不足的地方:(1)对于已经被病毒感染的文件或软件的传输,防火墙无法进行防范,只能通过给所有主机安装杀毒软件来防范.(2)对于不经过防火墙而产生的攻击,防火墙无法进行防范.譬如,假如同意被保护的网络内部能无条件地向外拨号的话,某些用户能直接对因特网进行访问,这样便绕过了防火墙,留下攻击隐患.(3)对于数据驱动式的攻击,防火墙无法防范.当某些表面上无害的数据被复制或邮寄到因特网的主机上且被执行从而发动攻击时,会形成数据驱动攻击.因此,防火墙只能作为整体安全防范政策的组成部分.
4.防火墙在网络安全中的应用方式
防火墙主要有应用级网关、电路级网关、网络级防火墙以及规则检查防火墙四种实现方式.它们各有特色,因此必须根据实际情况来决定具体要采用哪种.
4.1 网络级防火墙
它一般是根据应用协议、目的地址、源地址以及每个IP包端口来判断是否能通过.以往我们称路由器为网络级防火墙.但大多数的路由器在检查完网络信息的安全性后,能判断是否转发所接收到的IP包,可它无法对IP包的来源和去向进行判断.而高级网络级防火墙却能做到这一点,它能利用所提供的内容信息来说明数据流和连接状态,而且将需要判断的内容与规则表做个对比.这些规则表定义了所有决定IP包是否能通过的规则,当接收到IP包时,防火墙会对比每条规则查看是否有与此IP包信息内容相符的规则.假如没有相符合的规则,那么防火墙则会选用默认规则,将此IP包丢弃.
4.2 应用级网关
作为最为安全的防火墙技术,它对访问控制相对严格些,实现起来也比较困难.应用级网关能检查数据包,利用网关来复制传递的数据,避免被信任的客户机和服务器直接连接不被信任的主机.它与网络级防火墙相比,有一定的优势,但也有不足.它的优势在于能对应用层的协议进行理解,从而进行复杂的访问控制,还能进行精细的审核和注册工作.它的不足在于每条协议都必须采用相应的软件,不但操作起来工作量非常大,而且效率也比网络级防火墙低很多.虽然一些常见的应用级防火墙目前已有了相对应的服务器,譬如:FTP、HTTP、Tel、Rlogin、NNTP等.可是对于新研发的,还没有与之相对应的服务器,只能采用一般的服务和网络防火墙.
4.3 电路级网关
它通过对被信任的客户机或服务器与不被信任的主机之间的TCP交换信息的监控来判断此会话的合法性.它是在OSI的会话层对数据包进行过滤,要与网络级防火墙相比,高出两层.事实上,电路级防火墙并不是相对独立的产品,它必须结合应用级网关一起工作.此外,电路级网关还具有服务器这一安全功能,所谓服务器其实也是一个防火墙,由于它能运行“地址转移”进程,能把所有内部的IP地址映射到安全的IP地址上,而这个地址是供防火墙使用的.然而,电路级网关也有一定的缺陷,由于它是工作于会话层的,以至于无法对应用层的数据包进行检查.
4.4 规则检查防火墙
它综合了应用级网关、电路级网关以及网络级防火墙的特点.它跟应用级网关也一样,都能在OSI模型的应用层对数据包的内容进行检查,检查这些数据包内容是否与网络定义的安全规则相符;它也跟网络级防火墙一样,都能在OSI模型的网络层利用端口号和IP地址对进出的数据包进行过滤.但唯一不同的是,它在对应用层数据进行分析时并不破坏客户机/服务器的模式,它允许被信任的客户机直接连接不被信任的主机.规则检查防火墙不需要采用与应用层相关的,而只是利用某种算法对应用层数据进行识别,这些算法则是利用已知且合法的数据包的模式对进出数据包进行比较,因此,从理论山将,它在数据滤方面要比应用级更加有效.相比于电路级网关,它能对SYN与ACK标记和序列数字的逻辑性进行检查.