浅谈办公网络中防火墙技术应用.docVIP

浅谈办公网络中防火墙技术应用 　　摘 要：计算机技术的发展给人们生活带来了极大的便利，但同时由于计算机黑客和计算机病毒的入侵，也给人们信息安全带来了很大的威胁，本文针对目前计算机网络安全现状，重点从网络防火墙的角度进行分析，旨在提高防火墙在计算机网络安全中的作用。 　　关键词：办公网络；防火墙技术；网络安全 　　中图分类号：TP393.082 　　办公自动化网络以其便利性和开放性普遍的应用于人们的日常办公中，但是正是由于开放性导致了其遭遇黑客入侵、病毒感染的风险。一旦处理不好，可能导致企业机密泄露、数据丢失等风险。而防火墙技术却能为办公网络提供一个良好的屏障，本文重点从数据过滤、服务器代理设计、防火墙系统拓扑结构设计等角度探讨和分析防火墙技术。 　　1 关于防火墙技术 　　1.1 基本概念 　　防火墙主要是防范网络外部的危险传到受保护的内部网络。防火墙逻辑上既为分离器和分析器，又可作限制器；但立足于物理视角，一般防火墙主要由路由器及主机等一些硬件类设备及各种不同的软件组合构成的，防火墙不同、其实现的方式也可以不同；就其实质而言，通常防火墙就是用来对网络的数据、资源及其用户的信誉进行保护的一种保护性的设施；就其技术层面而言，通常防火墙就是控制对网络进行访问的控制技术，也是一个保护的门槛，能够管控输入和输出两方面的信息传输，切实防范内部某个网络和不安全的外部网络进行沟通和交流。 　　1.2 基本原理分析 　　通常防火墙按先前明确的原则和规范对防火墙经过的数据流进行控制和监测。那些有授权的才能够让数据许可经过，同时要随时对服务器中的相应数据的源起、通信的总量以及任何希望进入网络的人员的目的与动机进行记录，以便于管理员完成好跟踪与检测等相关工作。除此以外，通常防火墙还应当具有阻止渗透的特定性功能。 　　1.3 功能简介 　　通常防火墙需要具有的主要功能有如下四类，一是阻止网络的非正常用户入侵入到网络内部；二是可以方便快捷地网络具有的安全性进行监测，同时随时地发出警报；三是能够具有对地质网络的变换进行调整的功能，能够把数量限定的IP类地址和内部网络IP类地址进行静动态联系，用来缓解网络地址的有限性矛盾；四是防火墙能够隔开内部的网络，和某一网段独立地连接起来，利用此网段对FTP与WWW两种服务器进行部署，将其当作向外部公布信息资源的地方。这就是通常在技术视角下会提到停火区，即DMZ区。 　　1.4 关于防火墙类型 　　通常防火墙主要可以分成过滤数据包类、服务代理类及复合类等三种类型。通常过滤数据包类防火墙工作于网络层与传输层，所以还被称作筛选型路由器或者网络类防火墙，主要是针对网络中单个的传输数据包实施相应的控制，依照接收数据包IP类的目的地址和源地址情况、UDP/TCP的目标与源起端口号情况、网络ICMP类消息情况以及数据包当中的协议的种类与标志等各类参数，将其与事先用户设置的控制管理访问内容做对比，来对数据内容是不是符合事前设定安全要求和标准做出判断，在此基础上进行过滤操作，研究相关数据包是进行转发还是进行丢弃。而服务代理类的防火墙还被称作应用类的防火墙，就是在主机上通过运行服务代理类程序，围绕特定性应用程序或用户直接提供相应的服务功能。服务代理类防火墙最为核心的是其主机上设置防火墙的代理类服务器部分，主要是帮助用户实现TCP、IP协议相应的功能。代理类服务器从实质上说是将两个不同网络相连接，用来达到网络特定性的应用目标的网关。对于复合类防火墙因为在网络的安全方面的要求较高，一般情况下需要将服务代理和过滤数据包的服务体系的功能与特点相结合，在此基础上建立复合类防火墙体系，其主机通常被称作是堡垒型主机。各种不同类别的防火墙均具有各自不同技术优点和不足，目前防火墙方面的单一产品完全无法适应网络应用要求的更高的安全水平，因此把现有各类防火墙应用技术相互结合，以便建立多层级、混合型防火墙体系，能够增强网络防火墙在灵活性与安全性方面的性能。 　　2 内部办公网防火墙体系设计 　　2.1 内部办公网防火墙体系的设计总体思路 　　2.1.1 建立内网的安全性对策 　　首先，在内部网络的安全要求上最重要是对任何没能经过允许的各类服务进行禁止。其次，在内部网的另一条安全原则是让未明令禁止的各项服务运行，于是防火墙在发送此类信息的过程当中逐项对未经许可的服务进行滤除。 　　2.1.2 明确过滤数据的原则要求 　　一方面，要处理IP类数据包的头部信息；另一方面，设计出过滤数据包的原则和要求，一般情况下，应当确定并实施过滤数据包原则的基本内容，进而作出具体性的要求设定。 　　2.1.3 加强对服务代理进行设计 　　代理类服务器当接收到网络外部节点提交的请求服务的时候，若接受到这一请求，则代理类服务器马上和实际的服务