计算机网络安全中防火墙技术分析.docVIP

计算机网络安全中防火墙技术分析 　　【摘 要】随着网络技术的迅猛发展， 安全性已成为网络互联技术中的关键问题。本文介绍了防火墙的定义， 较全面论述了防火墙的分类及防火墙在计算机网络安全中的应用价值， 简要分析了防火墙在计算机网络安全中的优势。 　　【关键词】网络安全；防火墙；包过滤 　　引言 　　计算机网络安全问题主要有：信息在传输的过程中，数据被篡改和复制，以及拦截和查看，甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行，出现系统瘫痪或重要数据的泄漏，造成不可挽回的严重后果。为了构建安全可靠的网络安全环境，我国除了从法律和政策方面建立网络安全体系，还从技术方面进行完善。由于网络内部和外部环境的特殊性，因此防火墙技术是目前保护网络安全最为有效的技术。不仅能够对网络传输的数据进行检查，还能对整个网络进行监控。 　　1.防火墙概述 　　防火墙是一个软硬件结合的系统，处于专用网和公用网之间，为内部网构造一个安全屏障。其主要原理即在Intranet和Internet间建立一个安全网关，以达到保护内部网用户免受非法用户侵入的目的。 　　对一台联网计算机来说，所有进出的数据都必须经过一个特定的软硬件设备，这个设备就是防火墙。 　　对一个网络而言，所谓“防火墙”，是一套特定的方法和技术，能将内部网和外部网隔离开来。防火墙能在两个相互通信的网络之间建立一个访问控制，它能实现两个功能，一将不符合条件的用户或数据隔离在网络外部，二允许符合条件的用户或数据进入内部网。换句话说，数据通过防火墙，是内部网成员与外部通信的必要条件。 　　2.防火墙分类 　　按过滤和检测方式的不同，防火墙可分为包过滤型防火墙、状态检测型防火墙、网络地址转换型防火墙以及应用代理型防火墙。 　　2.1 包过滤型防火墙 　　包过滤型防火墙工作在 OSI 参考模型的网络层和传输层，它根据数据包头源地址， 目的地址， 端口号和协议类型等标志确定是否允许通过， 只有满足过滤条件的数据包才被转发到相应目的地， 其余数据包则被阻挡丢弃。包过滤的优点是：一个过滤路由器能协助保护整个网络； 数据包过滤对用?敉该鳎还?滤路由器速度快、效率高。缺点在于只能根据数据包的来源、目标和端口等网络信息进行判断， 不能彻底防止地址欺骗； 一些应用协议不适合数据包过滤； 正常的数据包过滤路由器无法执行某些安全策略； 不能防范黑客攻击， 不支持应用层协议， 不能处理新的安全威胁。 　　2.2 状态检测型防火墙 　　状态检测型防火墙基于连接的状态检测机制， 将属于同一连接的所有包作为一个整体的数据流看待， 构成连接状态表， 通过规则表与状态表的配合， 对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息， 也可以是其他相关应用程序的信息， 因此， 与传统包过滤防火墙的静态过滤规则表相比， 它具有更好的灵活性、安全性、可伸缩性和扩展性以及应用范围广等优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞， 特别是在同时有许多种连接激活的时候， 或者是有大量的过滤网络通信的规则存在时。 　　2.3 网络地址转换（NAT）型防火墙 　　NAT 是一种用于把 IP 地址转换成临时的外部的、注册的 IP的地址标准， 用户必须要为网络中每一台机器取得注册的 IP 地址。在内部网络通过安全网卡访问外部网络时， 系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接， 这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时， 它并不知道内部网络的连接情况， 而只是通过一个开放的 IP 地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。NAT 过程对于用户来说是透明的， 不需要用户进行设置， 用户只要进行常规操作即可。 　　2.4 应用代理型防火墙 　　应用代理型防火墙是工作在 OSI 的最高层即应用层。其特点是完全阻隔了网络通信流， 通过对每种应用服务编制专门的代理程序， 实现监视和控制应用层通信流的作用。其优点是安全性较高， 可以针对应用层进行侦测和扫描， 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响， 代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置， 因而增加了系统管理的复杂性。 　　3.防火墙在计算机网络安全中的优势 　　防火墙技术与其他计算机网络安全技术相比，具有明显的优势，在安全防护中占据主要地位，提升计算机网络的防护水平。 　　3.1 准确识别网络攻击 　　计算机网络面临的安全攻击来自于不同层次，攻击种类呈现多样化的发展趋势，防火墙技术在不断变化的攻击行为中，主动识别攻击路径和方式，判断攻击行为的属性，提出有