計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文(2)
計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文
計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文篇二
《計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)》
摘 要:本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷,然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用,防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范措施;防火墻技術(shù)
一、前言
計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化,使用者不同,對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù),避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。
二、網(wǎng)絡(luò)信息安全的主要威脅
2.1、網(wǎng)絡(luò)安全威脅
網(wǎng)絡(luò)安全所面臨的威脅來自很多方面,并且隨著時(shí)問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件,有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全,影響信息的存儲(chǔ)媒體。
人為威脅就是說對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)[1],以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種:網(wǎng)絡(luò)缺陷,黑客攻擊各種病毒,管理的欠缺及資源濫用,網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為,網(wǎng)絡(luò)資源濫用,信息泄漏。
2.2、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素
①網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請(qǐng)求不可能做到完全隔離,攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
②網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。
?、劬W(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。
?、芫W(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。
?、輴阂夤?。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
三、防火墻技術(shù)
3.1 防火墻的定義
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
3.2 防火墻的功能
1、防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway),它作用在應(yīng)用層,其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。
2、防火墻的技術(shù)原理
目前,防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同,大致可分為三種:
(1)包過濾技術(shù)
包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通??梢赃^濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價(jià)格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。
缺點(diǎn):1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3)對(duì)一些協(xié)議,如UDP和RPC難以有效的過濾。
(2)代理技術(shù)
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信,但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后,會(huì)檢查用戶請(qǐng)求合法性。若合法,則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。
(3)狀態(tài)監(jiān)視技術(shù)
這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號(hào)以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對(duì)各層進(jìn)行監(jiān)測,狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對(duì)用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。
要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用,才起到防御的最大化的效果。
四、結(jié)束語
防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題,如不能防范內(nèi)部攻擊等,因此還需要考慮其他技術(shù)的和非技術(shù)的因素,如身份鑒別,信息加密術(shù),提高網(wǎng)絡(luò)管理人員的安全意識(shí)等,總之,防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行,不斷提高網(wǎng)絡(luò)安全水平,這將是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。(作者單位:湖北工業(yè)大學(xué))
參考文獻(xiàn)
[1] 石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283
[2] 張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75
看過“計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文”的人還看了:
1.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)論文
2.計(jì)算機(jī)網(wǎng)絡(luò)安全方面研究論文
3.計(jì)算機(jī)專業(yè)畢業(yè)論文:淺析網(wǎng)絡(luò)安全技術(shù)
4.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全論文