浅述计算机防火墙网络安全技术.docVIP

浅述计算机防火墙网络安全技术 　　【摘要】笔者首先指出了计算机网络发展过程中的安全问题，然后给出了网络安全可行的解决方案――防火墙技术，同时分析了实现防火墙的几种主要技术，以及防火墙的发展趋势。 　　【关键词】计算机;防火墙;网络安全;技术;趋势 　　一、概述 　　 为了保护我们的网络安全、可靠性，所以我们要用防火墙，防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。 　　 其实防火墙就好像在古老的中世纪安全防务的一个现代变种：在你的城堡周围挖一道深深的壕沟。这样一来，使所有进出城堡的人都要经过一个吊桥，吊桥上的看门警卫可以检查每一个来往的行人。对于网络，也可以采用同样的方法：一个拥有多个LAN的公司的内部网络可以任意连接，但进出该公司的通信量必须经过一个电子吊桥（防火墙）。也就是说防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上被非法输出。 　　二、防火墙技术 　　 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性： 　　 1、所有的内部网络和外部网络之间传输的数据必须通过防火墙; 　　 2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙; 　　 3、防火墙本身不受各种攻击的影响; 　　 4、使用目前新的信息安全技术，比如现代密码技术等; 　　 5、人机界面良好，用户配置使用方便，易管理。 　　 实现防火墙的主要技术有：分组筛选器，应用网关和代理服务等。 　　 （1）分组筛选器技术 　　 分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发，不能通过检查的就被丢弃。 　　 通常，分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端，拥塞的源端和目的端，以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中，一个源端或目的端由一个IP地址和一个端口组成，端口表明希望得到什么样的服务。例如，端口23是用于Telnet的，端口79是用于Finger分组，端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样，公司外部的人就不能通过Telnet登陆，或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。 　　 拥塞外出分组更有技巧性，因为虽然大多数节点使用标准端口号，但这也不一定是一成不变的，更何况有一些重要的服务，像FTP（文件传输协议），其端口号是动态分配的。此外，虽然拥塞TCP连接很困难，但拥塞UDP分组甚至更难，因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。 　　 （2）应用网关技术 　　 应用网关（ApplicationGateway）技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中，应用网关一般由专用工作站系统来完成。 　　 有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时，服务器将检查所缓存的页面是否是最新的版本（即该页面是否已更新），如果是最新版本，则直接提交给用户，否则，到真正的服务器上请求最新的页面，然后再转发给用户（3）代理服务 　　 代理服务器（ProxyServer）作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它接点的直接请求。 　　 在实际应用当中，构筑防火墙的“真正的解决方案”很少采用单一的技术，通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险，采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。 　　三、防火墙技术展望 　　 伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是