计算机网络安全中的防火墙技术研究

详细内容

计算机网络安全的方法主要包括主动防御和被动防御两个方面:主动防御是指通过信息加密等技术,防止网络上传输的私有信息被非法窃取、篡改和伪造等;被动防御是基于网络防火墙(Firewal1)技术,限制网络用户(或程序)的访问权限,从而防止非法用户(或程序)的侵入。当内部网络与外部网络互联时,为防止外部用户非法使用窃取内部网络资源、保护内部网络的设备不被破坏,最有效的防范措施之一就是在内部网络和外部网络之间设置一个防火墙。

防火墙的定义防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Inter)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出,以达到保护系统和信息安全的目的。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。其定义为:在信任网络与非信任网络之间,通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙也有弱点,不能控制不经防火墙的通信和访问,不能防范来自内部和用户带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击,但这并不妨碍防火墙在大多数情况下有效地保障用户的网络安全,因此,防火墙不但是最先受到人们重视的网络安全产品,也成为了当今最流行的网络安全产品。自从1986年美国Digital公司在Inter上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术及产品得到了飞速的发展,形成了许多不同的类型。

包过滤型包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。包过滤的优点是:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。缺点在于只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。

网络地址转换(NAT)NAT是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[2]。在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。NAT过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。