计算机网络安全中防火墙技术研究.docVIP

计算机网络安全中防火墙技术研究 　　摘 要：防火墙是指建立在内外网络之间的过滤封锁机制，用户的的数据会遭到了不同程度的破坏、复制，数据的安全性和自身的利益受到了严重的威胁，防火墙技术在网络安全中是不可缺少的一项技术。本文着重论述了网络防火墙的基本概念、安全技术、主要技术特征及防火墙在网络安全中的应用。 　　关键词：防火墙；网络安全；策略 　　 　　随着计算机网络的发展，网络的开放性、共享性、互联程度也随着扩大，Intemet已成为全球重要的信息传播工具。网络丰富的信息资源给用户带来了极大的方便，为人们提供了发布信息和检索信息的场所，但网络作为一种新的通讯技术，由于Internet的开放性和超越组织与国界等特点，使它在安全性上存在一些隐患，迫切要求我们不断提高网络的安全含量，人们为了保护其数据和资源的安全，创建了防火墙。 　　 　　一、防火墙与网络安全 　　 　　1、网络防火墙技术是一种隔离控制技术，用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其他途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。从理论上讲因特网防火墙服务属于类似的用来防止外来入侵的，它可以防止因特网上的各类危险传播到自己网络内部；防火墙常常被安装在保护的内部网络连接到因特网的站点上，所有来自外部的传输信息或内部网络发出的信息都必须穿过防火墙，因此，防火墙能够确保如电子信件、文件传输、远程登陆或在特定的系统间信息交换的安全。自从1986年美国Digital公司在Intemet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术及产品得到了飞速的发展。 　　2、网络安全从狭义的保护角度来讲，是指计算机及其网络系统资源和信息资源不被未授权的用户访问，即计算机、网络系统的硬件、软件及其系统中的数据受到保护。不因偶然或者恶意的原因而遭破坏、更改或泄露，系统能连续、可靠、正常地运行。从广义来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保证网络信息的安全性十分重要。目前没有一种技术可以完全解决网络上的所有问题，所以我们还需要其他技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。网络安全工作大致有以下几个方面的特征：①需求量日益增加，市场潜力巨大；②国内厂商日益成熟，竞争日趋于激烈；③专业安全服务以逐渐引起重视；④网络安全整理方案需求更趋实用；⑤国家重点工程成为网络安全市场的巨大推动力等。 　　 　　二、防火墙的基本准则 　　 　　1、防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则：其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网安全性的难度。2、企业网的安全策略在一个企业网中。防火墙应该是全局安全策略的一部分。构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。3、防火墙的费用简单的包过滤防火墙所需费用最少。实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附