初探计算机网络安全防火墙技术.docVIP

初探计算机网络安全的防火墙技术 　　摘 要：目前计算机网络已经在社会上广泛流行，这是计算机发展过程中可喜的一大步。但是随着计算机网络的出现，病毒也应运而生。尤其是因特网的迅猛发展，病毒的传播、黑客的攻击和系统漏洞给计算机网络带来很大的威胁，人们越来越意识到计算机网络的重要性。本文就计算机网络安全的防火墙技术进入探讨，提出了自己的见解与看法。 　　关键词：计算机网络安全 防火墙技术 　　首先在这里介绍计算机网络安全的相关概念：从狭义的保护的角度来看，计算机网络安全是指计算机及其网络系统资源和信息不受自然和人为有害因素的威胁和危害，从广义来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 　　所谓计算机网络安全的保密性、完整性、可用性、真实性和可控性，是指计算机网络安全所具有的特征。 　　一、影响计算机网络安全的主要因素 　　1.来自操作系统或应用系统方面的因素 　　目前所使用的操作系统都存在不同程度的安全问题和系统漏洞，应用系统方面也是如此。 　　2.黑客攻击的因素 　　由于技术本身的局限或防火墙错误配置等原因，仍然很难保证这一网络不遭受黑客攻击。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。 　　3.病毒的因素 　　计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、是网络效率急剧下降，甚至造成计算机和网络系统的瘫痪，是影响计算机网络安全的主要因素。 　　4.设备受损的因素 　　设备损坏主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站和电源等。 　　5.管理方面的因素 　　计算机网络安全涉及的技术很多也很复杂，但除此之外，与之相关的管理也显得相当重要，管理的科学与否直接关系到网络的安全性强弱。 　　综上所述，计算机网络安全问题确实不容小视，因而制定相应的计算机网络安全策略显得相当重要，安全策略的类型有很多，包括物理安全策略、访问控制策略、数据加密策略、防火墙控制策略等。在这里我主要介绍防火墙控制策略。 　　二、防火墙的主要技术 　　防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统，用来限制外部非法用户访问内部网络资源，通过建立起来的相应网络通信控制系统来隔离内部和外部网络，以阻挡网络的侵入，防止偷窃或起破坏作用的恶意攻击。 　　狭义的防火墙是指安装了防火墙软件的主机或路由器系统，广义的防火墙还包括整个网络的安全策略和安全行为。防火墙技术是任何企业昀基本的安全技术，主要包括以下几个方面： 　　1.包过滤技术 　　包过滤技术是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则有称为访问控制表（ACLs）。该技术通过检查数据流量中的数据中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上。 　　2.网络地址翻译 　　网络地址翻译昀初的设计目的的是增加在专用网络中可使用的 IP地址数，但现在则用于屏蔽内部主机。 NAT通过将专业网络中的专业 IP地址转换成在 Internet上使用的全球唯一的公共 IP地址，实现对黑客有效的隐藏所有 TCP＼IP级的有关内部主机信息的功能，使外部主机无法探测到它们。 　　NAT实质上是一个基本的代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。 　　3.应用级代理 　　开发代理的昀初目的是对 Web进行缓存，减少冗余访问，但现在主要用于防火墙。应用级代理中的请求重新生成的过程和代理和位于内部网和外部网之间的事实提供了许多的安全优点，同时也存在不少隐患。 　　（1）代理隐藏了私有客户，不让他们暴露给外界。如同 NAT，代理服务器防止外部主机对内部机器上服务的连接。但不便的是，客户必须使用代理才能工作。 　　（2）代理能阻断危险的 URL。但因为 WEB站点可被轻易地根据它的 IP地址或整个地址号来进行简单的寻址，所以阻断 URL也容易被消除。 　　（3）代理能在危险的内容如病毒和特洛伊木马等传送给客户之前过滤掉它们，但是代理无法保护操作系统。 　　（4）代理能检查返回内容的一致性。但大多数一致性检查都是在发现有被利用的弱点后有效。 　　（5）代理能消除在网络之间的传输层路由。使用代理可使 TCP＼IP包不能真正在内部网和外部网之间传输，并且可以防止大多数的服务拒绝和利用软件弱点的攻击。但协议存在是因为没有好的代理服务，阻断路由功能通常使用得不充分。 　　（6）代