防火墻網絡安全影響因素分析
前言:本站為你精心整理了防火墻網絡安全影響因素分析范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
編者按:本論文主要從包過濾型;網絡地址轉化—NAT;型;監測型等進行講述,包括了包過濾型產品是防火墻的初級產品、網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準、型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品、監測型防火墻是新一代產品,這一技術實際已經超越了最初的防火墻定義等,具體資料請見:
【摘要】隨著互聯網應用的日益普及,網絡已成為主要的數據傳輸和信息交換平臺,許多部門和企業在網上構建了關鍵的業務流程,電子政務和電子商務將成為未來主流的運作模式。網絡安全和信息安全是保障網上業務正常進行的關鍵,并已日益成為網絡用戶普遍關注的焦點問題。因此,網絡安全成為這兩年IT業內的熱點話題,而防火墻更是熱點中的一個焦點。因為,防火墻是企業網絡安全的最重要的守護者。
【關鍵詞】防火墻包過濾地址轉換—NAT
型和監測型防火墻技術是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。防火墻可以是獨立的系統,也可以在一個進行網絡互連的路由器上實現防火墻。
用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構:屏蔽路由器,又稱包過濾防火墻;雙穴主機,雙穴主機是包過濾網關的一種替代;主機過濾結構,這種結構實際上是包過濾和的結合;屏蔽子網結構,這種防火墻是雙穴主機和被屏蔽主機的變形。根據防火墻所采用的技術不同,可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型。
1包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
3型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
4監測型
監測型防火墻是新一代產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數服務器也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。防火墻是一個具有主動性的網絡安全模型,是以一個良好的安全策略為起點的。由于移動辦公用戶的存在,企業和網絡經常處在變化中,需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步,應該具有主動性眼光,并在第一時刻更新安全策略,同時要確保系統已經安裝了足夠的防護產品,來阻止黑客的各種進攻嘗試。
