计算机网络安全与防火墙技术研究.docxVIP

计算机网络安全和防火墙技术研究 摘要：近年来,网络犯罪的递增、大量黑客网站的诞生，网络系统的安全问题越来越受到重视。网络系统的安全对于国家机关、银行、企业是至关重要的，即使是对于学校、甚至个人也是如此。因此，安全保密工作越来越成为网络建设中的关键技术，防火墙技术就是其中重要的一环。防火墙相当于一个控流器，可用来监视或拒绝使用层的通信业务，它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流，允许合法数据包通过，组织非法数据包通过，从而达到有效保护内部网络安全的目的。本文讨论了防火墙的安全功能、体系结构和实现防火墙的主要技术手段及配置等。 关键字：计算机网络；防火墙；网络安全；防范措施 引言 反恐是现今世界的重要课题，计算机网络安全是其中一个重要方面，尤其是银行、航空等关系到国计民生的行业。研究网络安全具有重要的现实意义。影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为：计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。而防火墙技术又是网络安全最基本的技术之一。人们应当了解一些防火墙技术，更好地设置防火墙，使它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。 防火墙的概念 网络防火墙技术是—种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内互联设备。它对两个或的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。设立防火墙的主要目的是保护—个网络不受来自另一个网络的攻击。防火墙相当于—个控流器，可用来监视或拒绝使用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进人和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。 防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 防火墙的分类 按防火墙的软硬件形式来分 软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。 芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 按防火墙的处理机制来分 包过滤型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 使用代理型 使用代理型防火墙是工作在OSI的最高层，即使用层。其特点是完全阻隔了网络通信流，通过对每种使用服务编制专门的代理程序，实现监视和控制使用层通信流的作用。 状态检测型 状态检测型直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 按防火墙的结构来分 单一主机防火墙 单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。 路由器集成式防火墙 分布式防火墙 按防火墙的使用部署位置来分 边界防火墙 边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 个人防火墙 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙使用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。 混合式防火墙 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。 防火墙的功能 限制他人进入内部网络，过滤掉不安全服务和非法用户； 防止入侵者接近防御设施； 限制访问特殊站点