关于计算机防火墙安全技术探析.docVIP

关于计算机防火墙安全技术探析1 防火墙基础概念 “防火墙”非常形象的说明了其在网络安全方面的作用。它能在互联网和内部网之间建立安全网关，以此来达到屏蔽非法用户侵入的目的。它的具体作用是对网络间的数据信息传输实施控制与监管，并将通信量、数据来源等所有相关信息进行记录，从而保证计算机网络安全。 2 网络防火墙的主要技术类型分析 2.1 包过滤型 这种类型防火墙的工作机制较为简单，它通过对数据包进行读取，并从其中的相关信息来判断该数据是否具有可信度与安全性，然后根据判断结果来进行数据处理，要是数据包不能得到防火墙的信任，便进入不了计算机操作系统。这种防火墙技术使用较为方便，实用性也较强，而且成本较低，在一般的网络环境中能够起到保护计算机网络安全的作用。但是，由于这种技术只是根据一些基本的信息，如数据来源及端口信息等，来判定数据的安全性，对于很多不坏好意的应用程序及邮件病毒等却不能有效的起到作用。这就在一定程度上造成了计算机网络安全威胁，有的数据通过对IP地址进行伪造，骗过防火墙的包过滤，然后实施攻击、破坏。 2.2 代理型 这种类型防火墙的本质就相当于一个网络数据信息的中转站，它存在于服务器与客户端中间，它会同时对双方的过往数据信息进行安全判定，从而保证双方的网络安全。从客户端的角度来说，代理型防火墙就是正在访问的服务器，而对于真正的服务器来说，代理型防火墙又属于一个访问量巨大的客户端。由于所有上行、下行的数据都必须要通过代理型防火墙进行一次中转、过滤，外部的数据便很难直接入侵到客户端，从而有效的保护计算机网络安全。代理型防火墙的优点在于安全性较高，同时可以对应用层进行侦测。 2.3 监测型 防火墙的原本设计概念是对恶意的网络攻击、破坏进行被动的防范、过滤，而监测性防火墙是主动对网络通信数据进行监测，这样一来就使得计算机网络安全性得到了很大程度的提高。监测型防火墙的优势非常突出，但与此同时存在着成本、价格方面的缺点，管理与维护也较为复杂，所以在当前监测型防火墙还没有得到大范围的普及。但是可以从安全性与成本开销两方面同时进行考虑，针对性的选用符合所属网络环境的监测技术，使计算机网络的安全性与成本都可以得到控制。 2.4 网址转化 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的D地址标准。它允许具有私有IP地址的内部网络访问因特网，它还意味着用户不许要为其网络中每一台机器取得注册的IP地址，在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 3 防火墙的体系结构 3.1 屏蔽路由器 屏蔽路由器（Screening Router）作为内外连接的惟一通道，保护内部网络免受来自外部网与参数网络的侵扰。由于可以安装基于IP层的报文过滤软件，本身带有报文过滤设置选项，所以，路由器可以实现简单的报文过滤功能。不过它一旦被攻陷就会导致用户识别的问题。 3.2 双穴主机网关 即用一台装有两块网卡的堡垒主机做防火墙，与屏蔽路由器相比，双穴主机网关（Dual Homed Gateway）的优势在于，堡垒主机的系统软件可实现维护系统日志、硬件拷贝日志或远程日志的功能，并方便日后的网络检查。但其弱点在于、当受攻击时，网管员难以从中确认受攻击的主机对象；当堡垒主机一旦被侵入，双宿主机网关将退化成简单的路由器。 3.3 被屏蔽主机网关 被屏蔽主机网关（Screened Gateway）的设置是堡垒主机只有一个网卡，以此与内部网络连接，因此具有易于实现、安全性好、应用广泛的特点。通常的做法是，在路由器上设立过滤规则，并将单宿堡垒主机成为从Internet惟一可访问主机，确保内部网络免受未授权外部用户的攻击。 3.4 被屏蔽子网 被屏蔽子网（Screened Subnet）具有相当高的安全性，即使防火墙失效也只会造成内外通信中断，清算网段仍是安全的。该模式包括两个包过滤路由器和一个堡垒主机，在内部网络语外部网络之间建立了被隔离的子网（周边网）。它将堡垒主机、WEB服务器、E—MAIL服务器放在被屏蔽的子网内，外网络、内部网络都可以访问，即使堡垒主机被控制，内部网络仍然受内部包过滤路由器保护。 参考文献 [