网络通信安全及防火墙技术浅析.docVIP

网络通信安全及防火墙技术浅析 　　[摘 要]互联网到今天已经从基本信息共享向电子商务、网络应用等更为复杂的方面发展，随着商业应用的增加，网络安全逐渐成为一个潜在的巨大问题。其中也会涉及到是否构成犯罪行为的问题。防火墙技术的引入给予管理和提高网络的安全性，提供了一个必要而便捷的方式。文中论述了防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准其安全体系的构成。 　　[关键词]网络安全；防火墙技术 　　中图分类号：TN915.08 文献标识码：A 文章编号：1009-914X（2017）04-0374-01 　　一、概述 　　网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢？首先，应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网（VPN）。 　　安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。 　　二、防火墙技术原理 　　（一）数据包过滤技术 　　数据包过滤技术工作在OSI网络参考模型的网络层和传输层，它是个人防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口，根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 　　（二）应用网关技术 　　应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。 　　（三）地址翻译技术 　　地址翻译技术是将一个IP地址用另一个IP地址代替。地址翻译技术主要模式有以下几种。 　　1.静态翻译。按照固定的翻译表，将主机的内部地址翻译成防火墙的外网接口地址。 　　2.动态翻译。为隐藏内部主机或扩展的内部网络地址之间，一个大的用户群共享一个或一组小的InternetIP地址。 　　3.负载平衡翻译。一个IP地址和端口被翻译为同等配置的多个服务器。当请求到达时，防火墙按照一个算法平衡所有连接到内部的服务器。 　　4.网络冗余翻译。多个连续被附结在一个NAT防火墙上，防火墙根据负载和可用性对连接进行选择和使用。 　　（四）状态检测技术 　　状态检测防火墙采用基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接因素加以识别。 　　三、防火墙的选择 　　选择防火墙的标准有很多，但最重要的是以下几条： 　　（一）防火墙为网络系统的安全屏障 　　总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。 　　（二）防火墙本身是安全的 　　作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。 　　（三）管理?c培训 　　管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到，在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 　　（四）防火墙的安全性 　　防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量