浅析防火墙技术在网络安全中的应用.docVIP

浅析防火墙技术在网络安全中的应用 　　【摘 要】随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。本文主要对防火墙体系结构以及技术进行分析，浅谈防火墙技术在网络安全中的应用以及其他保障网络安全的策略。 　　【关键词】网络安全；防火墙技术 　　网络安全从本质上来讲就是网络上的信息安全。它涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。同样网络安全的技术措施也包括很多，包括有身份验证、访问授权、加解密技术、防火墙技术等等。虽然，近几年来涌现出了很多的网络安全技术，但防火墙技术仍然是最常用的一种网络安全技术。 　　防火墙是位于两个网络之间执行控制策略的系统，它使内部网络与Internet之间，或与其他外部网络互相隔离，从而保护内部网络的安全。 　　可以将防火墙的主要功能概括为：过滤不安全服务及非法用户、控制对站点的访问、监视Internet安全和预警。 　　一、防火墙的种类 　　防火墙的实现技术大体可以划分为两种：报文过滤和应用层网关。 　　（一）报文过滤 　　报文过滤是在网络协议的IP层实现的，路由器可以完成。它根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报文信息来判断是否允许报文通过。 　　报文过滤的主要弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用，如果攻击者把自己主机的IP地址设成一个合法主机IP地址，就可以很轻易地通过报文过滤器 　　（二）应用层网关 　　应用层网关（Application Layer Gateway Service），简称“ALG”（也叫应用层防火墙或应用层代理防火墙），其进程名是alg.exe[1]（所在位置C：＼Windows＼System32），应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络（如Internet）上的服务时，该应用被引导至防火墙中的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估，并根据一套单个网络服务的规则决定允许或拒绝该请求。WinXP Home/PRO默认安装的启动类型为手动。 　　对于防火墙技术来说，报文过滤的弱点可以通过应用层网关来克服，在网络协议的应用层实现防火墙，其实现方式也有多种：包括应用代理服务器、回路级代理服务器、代理服务器、IP通道、网络地址转换、隔离域名服务器、邮件技术。 　　1.应用代理服务器：在网络应用层提供授权检查及代理服务；当外部某台主机试图网络访问受保护的网络时，必须先在防火墙上进行身份的认证，然后防火墙把外部主机与内部主机连接。防火墙可以限制用户访问主机、访问时间及访问方式。同样受保护的主机访问外部网络主机也需要防火墙的认证后才能访问。 　　2.回路级代理服务器：它是一种网络应用层的国际标准，当受保护网络主机需要与外部网络交换信息时，在防火墙上可以查到该主机的报文信息，如UserID、IP源地址、IP目的地址等，经过确认后方可与外界网络互联。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，因为网络用户不需要登陆到防火墙上，受保护的网络主机登陆到外网主机的IP地址也是防火墙的IP地址。 　　3.IP通道：如果一个大公司的两个子网相隔较远，需要通过Internet进行通信，则可以通过IP通道来防止Internet上的黑客截取信息，从而在Internet上形成一个虚拟的企业网。 　　二、防火墙技术的构建 　　（一）屏蔽路由器 　　屏蔽路由器是最常用的基本构建，可以由厂家专门生产路由器来实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有报文都必须在此通过检查，同时路由器上必须安装基于IP层的报文过滤软件，实现报文过滤功能，许多路由器本省均带有报文过滤配置选项，一般比较简单。 　　（二）屏蔽主机网关 　　屏蔽主机网关技术易于实现也很安全，应用也较为广泛；如，一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。 　　如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影