計算機防火牆技術論文
防火牆可以對進出資訊進行“把關”——掃描,防止身份不明以及帶有攻擊性的資訊進入。下面是小編整理了,有興趣的親可以來閱讀一下!
篇一
電腦保安與防火牆技術
【摘 要】計算機網路技術不斷髮展必然會給網路的安全帶來一些問題,為了保障計算機網路的安全, 計算機網路安全技術要隨著計算機網路的發展而不斷改革和創新,不斷增加新技術,以抵禦各種有害電腦保安的資訊入侵電腦,防止內部機密資訊洩露。本文在對防火牆功能和電腦保安中防火牆技術主要型別進行概述的基礎上,分析了防火牆技術在電腦保安中的具體應用。
【關鍵詞】電腦保安;防火牆技術;功能;主要型別;具體應用
0 引言
網路的普及極大地改變了人類的生活方式好生產方式,因此也給人類生活帶來了極大的便利。但是,網路是一把雙刃劍,它帶來的弊端也不可小覷。目前,網路技術幾乎是所有的行業進行管理的首選方式,因此大量的保密資訊就不可避免地出現在了網路中,所以一旦網路安全不能保障,這些私密的資訊就很有可能外洩,其後果不堪設想。而防火牆技術的出現在一定程度上保證了網路的安全。它是介於內網和外網之間的,並對外部資訊和內部資訊進行準確的區分,從而對之進行嚴格的監控,一方面來防止外部資訊的入侵,另一方面也能防止資訊的洩露。
1 防火牆的功能
1.1 保護網路免受攻擊
當前,路由的攻擊是網路攻擊的主要形式,比如ICMP重定向路徑的攻擊和IP選項裡的源路由攻擊,而防火牆技術的出現則能夠最大程度的減少此類攻擊,並且及時通知管理員。此外,防火牆還能對進出資訊進行“把關”——掃描,防止身份不明以及帶有攻擊性的資訊進入。
1.2 監控網路訪問和存取
防火牆對於進出入的資訊都會做出詳細的記錄,對於網路的使用也能做出統計。一旦出現可疑資訊或者通訊行為,防火牆會立即做出判斷,並進行報警。仔細分析、解讀這些資訊,能夠加強我們對防火牆效能的認識和理解。
1.3 防止內部敏感資訊洩露
將內部網路進行劃分,加強對資訊的保護,一定程度上保證了網路內部資訊的安全,進一步防止資訊的外洩。內網中有大量的私密資訊,這些資訊可能引起攻擊者的巨大的興趣,所以只有正確、科學地使用防火牆,才能有效地預防這些問題的發生,保護機主資訊的安全性。
1.4 可集中安全管理
傳統的網路安全措施主要保護的是主機,而防火牆的出現則使得普通計算機的安全有所保障,同時其成本也相對較低。所以,在TCP/IP協議中,在防火牆的保護下,135-139這個端口才能被共享而不用擔心安全問題。然而,一旦失去防火牆的保護,資訊洩露的可能性就會大大增加。
2 電腦保安中防火牆技術的主要型別
2.1 包過濾型防火牆
包過濾型防火牆屬於防火牆前期的產品,網路分包傳輸是最大的作用。眾所周知,“包”是網路資料傳輸的基本單位,不同的資料會形成不同的資料包,這些資料包各不相同,它們有著各異的目標地址、各異的源地址。而防火牆就是通過這些資料包所包含的資訊來進行判斷的,對於可以信任的站點的可信任的資料,防火牆才會“開門”,並對其進行運輸。如果這些資料不值得信任,就會遭到防火牆的“拒絕”。 包過濾技術是包過濾型防火牆最大的特點和優勢,具體地表現在以下幾點:簡單方便、操作性強,而且成本低廉,在相對簡單的環境下保障計算機網路的安全。但是該技術也有著巨大的缺點,尤其是僅僅依靠資料包的目標、埠以及來源來判斷該資料的可靠性和安全性,但卻無法識別某些惡意程式,比如郵件裡潛在的病毒。正因為該技術有著這樣的缺點,所以許多高明的黑客就會通過偽造IP地址來入侵我們的計算機。
2.2 代理型防火牆
代理防火牆也叫做代理伺服器,相比於包過濾型防火牆,它的安全性就高很多了,更難得的是代理防火牆已經進軍計算機網路應用層,而且發展異常迅猛。簡單來說,代理防火牆其實就是個資訊中轉站,它是對伺服器和使用者機之間的資訊進行阻礙。在使用者看來,代理防火牆就是一個真正意義上的伺服器;而從伺服器的角度講,代理防火牆卻是一套使用者機。正式因為代理伺服器是所有資訊的中轉站,所有所有外部資訊企圖入侵使用者機實際上是極其困難的,大量的惡意攻擊也因此被過濾掉了,因此計算機安全才得以保證。代理伺服器的優點非常明顯,即較高的安全性。除此之外,它還能夠掃描應用層。
2.3 監測型防火牆
普通的防火牆往往只能夠防範惡意侵入,而監測型防火牆除了這些功能,還能夠對資訊進行實時監控,這無疑加強了對計算機的保護,安全性大大提高。但是在巨大的優點背後,它卻隱藏著許多缺點,最大的缺點就是昂貴的成本。也正是由於這個缺點,監測型防火牆還只是被一小部分群體使用,未能被普及。如果既要考慮成本,又要考慮安全因素的話,可以有所選擇的使用其中一些技術,這樣就可以在低成本的條件下進一步提高計算機的安全。
2.4 網址轉化
網路地址轉換,簡而言之,就是將IP地址轉化成註冊的、外部的、臨時的地址標準。在這裡,具有私有IP地址的內網是可以對因特網進行訪問的。系統會把外出的源埠和源地址對映成一個嶄***和埠,以此來經過非安全網絡卡和外部網路連線,這樣一來,真是的內網地址就被隱藏了。OLM防火牆則是根據預設的對映規則對訪問進行判斷,如果該訪問和規則相吻合,那麼防火牆就是認為這是一個安全的訪問,其訪問請求也就會被允許,其連線請求也能夠被對映到各種計算機中。一旦與規則發生相悖的情況,防火牆就會認為這是一個不安全的訪問,其訪問請求就不會被接受。對使用者來講,網路地址轉換的整個過程是可見的、透明的,而使用者是不需進行設定的,只需正常操作即可。
3 防火牆技術在電腦保安中的具體應用
3.1 安全服務配置
安全服務隔離區***DMZ***將系統管理機群和伺服器機群獨立出來,並設定了一個安全服務隔離區,它既屬於內網重要組成部分,同時又是一個相對獨立的區域網。將其劃分出來的目的是為了進一步加強對伺服器上資料的保護和執行。專家建議依靠網路地址轉換技術,對內網的主機地址進行對映,使之成為公網中幾個有效的IP地址。此舉可以隱藏內網IP地址和結構,提高內部網路的安全性,同時還極大地減少了對公網IP地址的佔用,使得投資成本不斷降低。如果早已就擁有邊界路由器,那麼就應該最大程度地利用這些裝置,並加上合適的防火牆配置。如此一來,原先的路由器就會擁有防火牆的功能了。之後再將防火牆和內部網路進行連線。DMZ區中的公用伺服器是不用經過防火牆的,因為它可以直接和邊界路由器連線。防火牆和邊界路由器“攜手”,形成了雙保險,也就是兩重安全防線;還可以在防火牆和邊界路由器之間設定DMZ區,以存放那些公用伺服器設施。
3.2 配置訪問策略
作為防火牆最重要的安全策略,訪問策略的設定不是隨意的,而是建立在複雜、精確的統計基礎之上。在這個過程中,***下轉第191頁******上接第85頁***我們應該加強對於本單位對外、對內的應用及其相關資訊的瞭解和認識,並對之進行排序,其後才能進行訪問策略的設定。這是因為防火牆的規則查詢是按照順序進行的,也就是說如果對經常使用的規則進行前置的話就會大大提高防火牆的運作效率。
3.3 日誌監控
日誌監控是一種行之有效的提高電腦保安性的手段。但是許多普通管理員對日誌的資訊不加選擇,所以其日誌內容無疑會顯得十分駁雜又凌亂,效率自然也就非常低下。實際上,日誌監控需要的是那些最有價值、最為關鍵的資訊。一般來說,系統的告警資訊是值得記錄的,對這些流量資訊加以篩選,然後儲存下那些影響電腦保安性的流量資訊。
4 結語
防火牆技術只是保障網路安全的技術之一,由於存在諸多不確定危險因素,所以根本不能全面保障計算機網路的安全。因此,要從科學、整體和全面的方面入手,才能真正為保障計算機網路安全作出貢獻。
【參考文獻】
[1]張瀚文.有關電腦保安與防火牆技術的分析[J].黑龍江科技資訊,2013,17:142.
[2]吳小雷.試論計算機網路安全與防火牆技術[J].電子技術與軟體工程,2013,14:120.
[3]張亞平.淺談計算機網路安全和防火牆技術[J].中國科技資訊,2013,11:96.
[4]肖玉梅,蘇紅豔.試析當前計算機網路安全中的防火牆技術[J].數字技術與應用,2013,05:218.
[5]溫愛華,石建國.計算機網路安全與防火牆技術[J].產業與科技論壇,2011,19:102-103.
點選下頁還有更多>>>
計算機防火牆技術論文