防火墙技术在网络安全的应用研究.docVIP

学 院： 计算机工程学院 专 业： 计算机科学与技术 班 级： 学 号： 姓 名： 指导老师： 防火墙技术在网络安全中的应用研究 张赛 （江苏技术师范学院计算机工程，09计3W 摘要：随着计算机网络技术的飞速发展，计算机网络的应用变得非常广泛，因此，计算机网路的安全问题也就成为了当前网络管理者们最为关注的问题。该文主要分析了目前运用比较广泛的一种计算机网络安全技术—防火墙技术，并将其与入侵检测技术的有效结合，大大提高了网络安全的防御能力。其中提到防火墙技术的概念，策略即包过滤技术，应用代理技术，防火墙的主要功能，以及防火墙与入侵检测技术的有效结合，最后根据网络的发展对防火墙提出一定的展望。 关键词：防火墙；网络安全；入侵检测；包过滤；计算机 一、引言 随着计算机网络技术的不断发展，其应用领域也变得越来越广泛，几乎渗透到了人们的工作和日常生活当中，给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时，也带来了很大的网络安全隐患。网络安全问题也变得日益严重，每年因网络安全问题带来的损失巨大，网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此，网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙术、数据加密技术以及如入侵检测技术等，这些网络安全技术是一种基于被动的网络安全技术，主要阻止一些来自外部的网络攻击。防火墙技术是阻止黑客攻击的一道闸门，它能有效的确保网络系统的安全。 二、防火墙的概念 防火墙的英文翻译是Firewall，就像一道墙一样将黑客阻隔在网络系统之外。具体的说，它就是通过部署一些硬件设备和配套的软件系统共同组建一套安全防御系统，将可靠性较高的内部网络与存在安全隐患的外部网络隔离开来，所有的网络入口都必须从这里经过，部署的防火墙系统根据企业的安全策略有效的为信息提供安全服务，因此，防火墙是用来实现网络和信息安全的基础设施。它是计算机网络安全的第一道关卡。 三、防火墙技术的策略 （一）包过滤技术 包过滤技术通常由路由器完成，是针对每一个数据的包头，按照包过滤规则进行判断，如果与规则想匹配时数据包则继续转发，反之则将数据包丢弃。信息的过滤规则是以所接收到的包头信息为基础，接收到的包头信息中包括IP源地址、IP目标地址、封装协议类型等。因为处于网络层，仅是对连接的粗略检查，对用户来说是透明的，因此包过滤防火墙是速度最快的防火墙。 （二）应用代理 应用代理防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层的通信流的作用。代理服务型防火墙的功能是在ISO的最高层应用层检查每一个IP包从而实现安全策略的，掌握着应用层系统中可用安全决策的全部信息。应用代理技术与过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而应用代理技术一直在应用层处理，在应用层实现防火墙功能。代理服务防火墙可以配置成允许来自内部网络的任何连接，也可以配置成要求用户认证后才建立连接，为网络的安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。从理论上说，应用代理防火墙可以完全杜绝外部的信息进入接受保护的机器中。此外，应用代理业可以对之前得数据包进行分析、注册登记，形成报告，如果发现被攻击迹象时会向网络管理员发出警报，并保留发现的攻击痕迹。 从上述分析可知，应用代理防火墙比包过滤防火墙更能实现严格的安全策略，保证网络的安全。 四、防火墙的主要功能 1、强化网络安全策略 通过以防火墙能将所有安全措施(如口令、加密、身份认证等)配置在防火墙上,这与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济实用 2、对数据包过滤 数据包过滤是指数据包从一个网络向另一个网络传送过程中通过事先设定的规则对其进行检查以确定是否允许通过。 3、防止内部信息外泄 通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，限制内部网络中不同部门之间互相访问，保障了网络内部敏感数据的安全。同时防火墙还可以阻塞有关内部网络中的DNS信息，从而避免内部信息外泄。 4、虚拟专用网络 虚拟专用网络功能可以在防火墙与计算机之间对所有网络传输内容进行加密，建立一条虚拟通道。 5、网络地址转换 网络地址转换优点是：一隐藏内部网络真实IP，可以使黑客无法直接攻击内部网络；二可以让内部使用保留IP，即私有网段IP，可以解决IP不足的情况。 6、提供详细日志记录 由于对网络存取和访问都必须经过防火墙，因此