您好, 访客   登录/注册

浅析网络安全技术

来源:用户上传      作者: 匡小飞 常 江

  摘要:随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,安全性已经成为网络安全技术中最关键的问题。本文主要介绍常见防火墙技术的分类及其主要特征。
  关键词: 防火墙技术特征网络安全
  1 引言
  计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。
  2 防火墙
  防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置的组合。防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。
  2.1 防火墙的种类
  从技术上看,防火墙有包过滤型、代理服务器型等几种基本类型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。
  2.1.1 包过滤型
  包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本相对较低,能够以较小的代价在一定程度上保证系统的安全。包过滤技术的缺陷也是明显的。包过滤在网络层上拦截所有的信息流,不保存与传输和应用相关的状态信息。体现出一种无状态性。在包过滤技术里只要符合过滤规则的数据包就可以穿过防火墙,在内网和外网间建立连接,这样使得外部网可以访问内部网,无形中增加了内部网的危险性。
  2.1.2 代理服务器型
  代理服务器型防火墙是在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务防火墙在内部网中设置了一个代理服务器,并将外部网和内部网之间的连接分为两段,一段是从外部网上的客户端主机请求引到代理服务器,另一段由代理服务器连到内部网的某个主机服务器上。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。
  2.1.3 网络地址转化―NAT
  网络地址转换是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
  2.1.4 监测型
  监测型防火墙技术超越了最初的防火墙的网络层定义以及只位于内部网络与外部网络间接口的位置定义。监测型防火墙产品带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。
   3 结束语
  随着网络的飞速发展,网络中的恶意软件越来越猖狂。为了尽最大可能地防范它们对网络和系统的破坏,需要采用防火墙等网络安全工具,在网络边界保护内部网络的安全。从以上分析来看各种网络安全技术都有各自的侧重点和优缺点,只有在网络系统中将各种安全防护技术结合起来使用,才能使网络安全得到最大限度的保护。
  参考文献
  [1]李华飚等,防火墙核心技术精解[M],中国水利水电出版社,2005
  [2].林晓东,杨义先.网络防火技术[J].电信科学出版社,1997.
  [3].黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.


转载注明来源:https://www.xzbu.com/2/view-424217.htm