简析网络安全和防火墙.docVIP

简析网络安全和防火墙 　　内容摘要：文中就信息网络安全内涵发生的根本变化，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。 　　主题词：网络安全；防火墙；特征 　　 　　1.概述 　　自从把全世界的计算机都通过Internet联系到一起以来，信息安全就成为计算机领域的一个重要课题，它的内容也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。在人类进入21世纪这一信息网络社会的时期，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。社会的各个方方面面，都将面临着网络安全问题。 　　网络安全产品涉及以下三个特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。 　　信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。 　　2.防火墙 　　防火墙是在内部网与外部网之间实施安全防范的系统， 可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 　　 防火墙的基本模式有： 　　（1）线路级网关（Circuit－LevelGateway）：它适合于网络内部对外的访问限制，不能实施强验证和协议的过滤。这是防火墙的初级形式。 　　（2）包过滤路由器（PackedFiltersRouter）：由于过滤是在七层协议的下三层实现的，它的类型可以进行拦截和登录，比技术文摘类型的防火墙易于实现。 　　（3）应用网关（ApplicationGateway）：应用网关防火墙的物理位置与包过滤路由器一样，但是它的逻辑位置是在OSI七层协议的应用层上。它采用应用协议代理服务（ProxyServices）的工作方式实施安全策略。 　　根据防火墙的特点选择包过滤路由器为宜，同时可考虑增设仲堡垒主机或入侵检测传感器NETRANGER，可以方便实现网络层（包过滤）和应用层（代理服务）安全。 　　虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 　　防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。在这一层上，企业对安全系统提出的问题是：所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”，则说明企业内部网还没有在网络层采取相应的防范措施。 　　根据防火墙所采用的技术不同，我们又可以将它分为四种类型：包过滤型、网络地址转换-NAT、代理型和监测型。 　　2.1.包过滤型 　　包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 　　2.2.网络地址转化-NAT 　　网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 　　2.3.代理型 　　代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部