计算机网络与防火墙技术论文
2020-03-02 16:00:38 来源:范文大全收藏下载本文
计算机网络安全与防火墙技术
张帅
计算机学院计算机科学与技术(师范)专业06级 指导教师:蒲静
摘要:本文由计算机网络安全问题出发,分析了网络安全面临的主要威胁,及保护网络安全的关键技术,提出了防火墙是计算机网络安全体系的核心的观点,并着重介绍了防火墙的相关技术。同时,说明了防火墙并不是万能的,指出了防火墙技术的缺陷,并就现今防火墙技术的现状,提出未来防火墙技术的发展设想。 关键词:计算机网络;安全;关键技术;缺陷;防火墙
Computer-network Security and Firewall Technology
Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security iues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology\'s development.Key words: computer-network;security;key-technology; deficiencies ;firewall 1
目录
中文摘要····························································1 英文摘要····························································1 目录································································2 1 绪论······························································3 2 计算机网络安全的主要问题··········································3 2.1 网络安全的定义················································3 2.2 网络安全面临的主要威胁········································3 2.2.1 计算机病毒的侵袭···········································3 2.2.2 黑客侵袭···················································3 2.2.3 拒绝服务攻击···············································3 2 2.3 实现计算机安全的关键技术···································4 2.3.1 数据加密···················································4 2.3.2 认证·······················································4 2.3.3 入侵检测技术···············································4 2.3.4 防病毒技术·················································4 2.3.5 文件系统安全···············································4 2.3.6 防火墙技术·················································4 3 防火墙概述························································4 3.1 防火墙概念····················································4 3.2 防火墙的主要功能··············································5 3.2.1 强化网络安全策略···········································5 3.2.2 对输入进行筛选·············································5 3.2.3 防止内部信息的外泄·········································5 3.2.4 限制内部用户活动···········································5 3.2.5 网络地址转换···············································5 3.2.6 对网络使用情况进行记录监控·································6 3.3 防火墙的原理及分类············································6
3.3.1 包过滤防火墙···············································6 3.3.2 应用代理防火墙·············································6
3.3.3 状态检测防火墙·············································6
3.4 防火墙的主要技术优缺点分析····································6
2 3.4.1 包过滤技术·················································6 3.4.2 应用代理技术··············································7 3.4.3 状态检测技术···············································7 4 防火墙的缺陷及未来发展趋势·······································7 4.1 防火墙的十大缺陷··············································7 4.2 关于防火墙未来发展的几点设想··································8 结束语······························································8 参考文献····························································8 致谢································································9
1 绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,计算机与信息技术以其广泛的渗透力和罕见的亲和力,正从整体上影响着世界经济和社会发展的进程,引发了计算机应用技术一场空前的技术革命。但是,伴随而来的是计算机屡屡遭到破坏,轻者丢掉数据,重者系统平台和计算机资源被攻击,其损失常常是不可估量的,这是一个日益严峻的问题即计算机网络安全。
为了保护自己的计算机、服务器和局域网资源免受攻击破坏而丢掉数据、系统重新安装等,利用防火墙技术是当前比较流行且比较可行的一种网络安全防护技术。其既是计算机高新技术的产物,又具有低廉实惠的特点,故简要探究防火墙技术的特点和以及其在计算机网络安全中的作用。
2 计算机网络的主要安全问题
2.1 网络安全的定义
我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 2.2 网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。 2.2.1 计算机病毒的侵袭
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。 2.2.2 黑客侵袭
即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取 3 网上传输的数据;突破防火墙等。 2.2.3 拒绝服务攻击
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。 2.3.实现计算机安全的关键技术 2.3.1 数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的加密类型:私匙加密和公匙加密。 2.3.2 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。 2.3.3 入侵检测技术
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。 2.3.4 防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。 2.3.5 文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:本地和远程。建立文件权限的时候,必须在Windows 2000中首先实行新技术文件系统(New Technology File System,NTFS)。一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。 2.3.6 防火墙技术
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是计算机网络安全的第一道关卡。
3 防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染 4 显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤、应用代理、状态检测三类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。 3.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的[1]。 3.2 防火墙的主要功能 3.2.1 强化网络安全策略
在没有防火墙的环境里,网络安全管理是分散到每一个主机上的,所有主机必须同心协力才能维持网络的安全性。而防火墙能够实现集中安全管理,可以将所有安全软件配置在防火墙上,而不是分布在内部网络的所有主机上。 3.2.2 对输入进行筛选
防火墙可以通过对传入数据包的源地址、目标地址及其他信息的检查,确定是否允许通过。只有满足防火墙配置规则的数据包才能通过防火墙,否则阻止数据包的传人。
3.2.3 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全 。 3.2.4 限制内部用户活动
防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站。 3.2.5 网络地址转换(NAT,Network Addre Translation)
内部网主机经常要访问Internet,而NAT可以将内部网的专用地址转换成Internet地址。这样可以掩藏服务器的真正IP地址,起到一定的隔离作用,使内部网络用户不被暴露在外部网络中。此外防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
3.2.6 对网络使用情况进行记录监控
防火墙能够记录所有经过防火墙的访问并形成完整的日志,提供有关网络使 5 用情况的统计数据。当网络受到扫描或攻击等可疑活动时,防火墙能进行报警,并提供详细信息。
3.3 防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙,应用级代理服务器[3]以及状态包检测防火墙。 3.3.1 包过滤防火墙
包过滤防火墙[4]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址、传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。 3.3.2 应用代理防火墙
它是针对数据包过滤[5]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。应用代理型防火墙设置在内部网络与外部网络之间,当用户访问目的站点时,对于符合安全规则的连接,首先用户与代理服务器建立连接,应用代理型防火墙将会代替目的站点进行响应,并重新向目的站点发出一个同样的请求。代理系统实际上是用户和真实服务器之间的中介。 3.3.3 状态包检测防火墙
状态检测又称动态包过滤,是为了解决包过滤模式安全性不足的问题,在包过滤技术的基础上,采用了一个执行网络安全策略的软件引擎——检测模块。当建立连接时,状态检测检查预选设定的安全规则,符合规则的连接允许通过,并记录下该连接的相关信息,动态保存生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。 3.4 防火墙的主要技术优缺点分析
如上文所述,防火墙技术主要有:包过滤技术、应用代理技术、状态检测技术。
3.4.1 包过滤技术
优点:包过滤防火墙因为工作在网络层,因此处理包的速度快;此外它提供透明服务,即不需要用户名和密码来登录,用户不用改变客户端程序。
缺点:网络层在OSI体系中处于较低的层次,因而安全防护也是较低级;不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略,不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。 3.4.2 应用代理技术
6 优点:应用代理型防火墙工作在0SI体系的最高层——应用层,安全级别高于包过滤型防火墙;应用代理型防火墙对用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击;代理系统可以控制户机和服务器之间的流量,并对此加以记录,提供详细的日志。
缺点:代理速度较路由器慢,代理对用户不透明,对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制,代理不能改进底层协议的安全性。 3.4.3 状态检测技术
优点:配置了“专用检测模块”,它可以支持多种协议和应用程序,可以很容易地实现应用和服务的扩充;安全性更佳。
缺点:配置复杂,因而降低了网络的速度。
4 防火墙的缺陷及未来发展趋势
4.1 防火墙的十大缺陷
防火墙在网络安全防护中起着举足轻重的作用,但它并不是万能的,它仍然存在一定的局限性和不足。总体说来,存在十大方面的缺陷:
(1)防火墙不能防范不经过它的攻击。没有经过防火墙的数据,不能防范。 (2)防火墙不能解决来自内部网络的攻击和安全问题。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,防火墙是无能为力的。
(3)防火墙不能防止TCP/IP协议、服务器系统的缺陷进行的攻击。TCP/IP的缺陷和服务器系统漏洞是天然存在的,防火墙不能防止。
(4)防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据或邮件拷贝到内部的主机上进行执行时,可能引发数据驱动式的攻击。
(5)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。
(6)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件,就目前而言,要完成这种深度检测仍是十分困难的。
(7)防火墙不能防范受到病毒感染的文件、软件。防火墙本身并不具有病毒的查杀功能,即使有,也不能查杀所有的病毒。
(8)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。
7 (9)防火墙的安全性和实用性成反比。防火墙越安全,则功能也就越少,速度也就越慢,防火墙的安全性和实用性将在一定的时间内是一对主要矛盾。
(10)防火墙不能防止自身的安全漏洞的威胁。目前还没有厂商能够保证防火墙绝对不存在安全漏洞,防火墙能保护别人却不能保护自己,因此对防火墙也必须进行安全防护。
4.2 关于防火墙未来发展的五点设想
既然防火墙存在缺陷在所难免,那么网络安全又该如何保证呢?对防火墙技术研究的道路究竟该何去何从呢?在此,提出以下设想:
(1)形成以防火墙为核心的计算机网络安全体系。到目前为止,防火墙技术仍然是应用最广泛的计算机网络安全防护技术,防火墙的重要性不能替代,所以在相当长的一段时间内,防火墙是计算机网络安全的核心。但是,要想最大程度地保护网络安全,仅凭防火墙技术单方面的作用是不可行的,还必须借助其他手段,构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
(2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步地向基于网络处理器和ASIC芯片的技术架构方向发展。网络处理器由于内含有多个数据处理引擎,能够直接完成网络数据处理工作,减轻了CPU的负担,在性能上有很大的提升;ASIC芯片有专门的数据包处理流水线,可以获得很高的处理能力。
(3)智能技术的进一步发展。目前的防火墙只是识别一些已知的攻击行为,对于未知的攻击或未列出的攻击防火墙显得有些无能为力,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
(4)分布式技术的进一步发展。分布式技术将是未来的趋势。多台物理防火墙协同工作,共同组织成一个强大的、具备并行处理能力、负载均衡能力的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理大大降低了经济、人力及管理成本。
(5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要矛盾,要找到网络安全性与实用性之间的平衡点是防火墙未来发展面临的问题。经济高效的防火墙将是未来研究的方向。
结束语
随着网络技术的发展,网络安全正面临着越来越大的威胁。防火墙至关重要,但它并不是万能的,在专业黑客和一些非法入侵者面前,防火墙也很无奈。我们除了设好防火墙这第一道关卡外,还应当借助其他安全防御手段一起来保护网络的安全。
8 参考文献:
[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 郑林.防火墙原理入门[Z].E企业.2000.
[3] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClaifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004,34(4):400一409.
致 谢
本文是在蒲老师的悉心指导下完成的,从文献的查阅、论文的选题、撰写、修改、定稿,蒲老师给子了我很大的帮助。在此一并向所有帮助和关心过我的老师和朋友,表示真挚的感谢!
人人范文网 m.inrrp.com.cn 手机版