防火墙在网络安全访问控制中应用选择.PDFVIP

防火墙在网络安全访问控制中的应用选择 吴子勤 刘笑军 滕建明 （蚌埠坦克学院训练部 邮编 233050） 摘要：随着 Internet 的应用日益普及，针对网络的攻击频率和密度也在显著增长，这给网络安全带来 了越来越多的隐患。我们可以通过很多网络工具、设备和策略来保护不可信任的网络。其中防火墙是运用非 常广泛和效果最好的选择。它设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用 户网络；在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行；外部 对内部网络的访问受到的限制。 关键词：防火墙；网络安全；访问控制；应用选择 1 引言 过去，许多内联网访问 Internet 的基本方法是将本系统的内部网直接接入 Internet， 这样内部网的每台计算机都可以获得完全的 Internet 服务。这样的连接在给用户带来方便的 同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在 Internet 中，因此,分布 在世界各地的任何一台 Internet 主机都可以直接对其进行访问，从而在安全上带来极大的危 险。并且，入侵者的行动通常都是很难被察觉的，因此安全问题已经成为各内部网接入 Internet 之前必须要考虑的问题之一。目前，以防火墙为代表的被动防卫型安全保障技术已 经被证明是一种较有效的防止外部入侵的措施。 从本质上，Internet 的安全性可以通过提供以下两方面的安全服务来达到：一是访问控 制服务，用来保护计算机和联网资源不被非授权使用；二是通信安全服务，用来提供认证、 数据机要性、完整性和各通信端的不可否认性服务。这两种服务的实现，主要依赖于防火墙 技术和加密技术。 防火墙的概念实际上是借用了建筑学上的一个术语。建筑学中的防火墙是用来防止大火 从建筑的一部分蔓延到另一部分而设置的阻挡机构。计算机网络上的防火墙是用来防止来自 互联网的破坏，如黑客攻击、资源被盗用或文件被篡改等波及内部网络的危害。 防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略： ⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象，不属于拒绝范围 以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小，所以安全性相对较弱。 ⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反，其拒绝能力强，它只 接收被允许了的数据包，凡是在允许情况以外的数据包都将被拒绝。 总之，防火墙能增强机构内部网络的安全性。防火墙系统决定了外界的哪些人可以访问 内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问；要使一个防火墙有效， 所有来自和通向外界的信息都必须经过防火墙，接受防火墙的检查；防火墙必须只允许授权 的数据通过，并且防火墙本身也必须能够免于渗透。 2 防火墙的技术 防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同。采用的不同技术， 因而也就产生了不同类型的防火墙。 (1)从防火墙产品形态分类，防火墙可以分为如下 3 种： 软件防火墙 运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持， 一般来说，这台计算机就是整个网络的网关，俗称“个人防火墙”。 硬件防火墙 是指所谓的“硬件防火墙”。之“所谓”二字是针对芯片级防火墙说的。它 们最大的差别在于是否基于专用的硬件平台。传统硬件防火墙一般至少应具备三个端口，分 别接内网、外网和 DMZ（非军事化区），现在一些新的防火墙往往扩展了端口，常见的四端口 防火墙一般将第 4 端口作为配置口、管理端口。 芯片级防火墙 基于专门的硬件平台及专用的操作系统。 (2)从防火墙所采用的技术不同，可以将防火墙分为如下 3种类型： “包过滤型”防火墙 是防火墙的初级产品，其技术依据是网络是的分包传输技术。网 络上的数据都是以“包”为单位传输的，数据波被分割成一定大小的数据包，每一个数据包 中都有一些特定信息，如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。 包过滤型防火墙的优点是逻辑简单，实施费用低廉，对网络的影响较小，有较强的透明 性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使 用。其弱点是：配置基于包过滤方式的防火墙，需要对 IP、TCP、UDP