計算機防火墻技術論文
計算機防火墻技術論文
防火墻可以對進出信息進行“把關”——掃描,防止身份不明以及帶有攻擊性的信息進入。下面是學習啦小編整理了計算機防火墻技術論文,有興趣的親可以來閱讀一下!
計算機防火墻技術論文篇一
計算機安全與防火墻技術
【摘 要】計算機網絡技術不斷發展必然會給網絡的安全帶來一些問題,為了保障計算機網絡的安全, 計算機網絡安全技術要隨著計算機網絡的發展而不斷改革和創新,不斷增加新技術,以抵御各種有害計算機安全的信息入侵電腦,防止內部機密信息泄露。本文在對防火墻功能和計算機安全中防火墻技術主要類型進行概述的基礎上,分析了防火墻技術在計算機安全中的具體應用。
【關鍵詞】計算機安全;防火墻技術;功能;主要類型;具體應用
0 引言
網絡的普及極大地改變了人類的生活方式好生產方式,因此也給人類生活帶來了極大的便利。但是,網絡是一把雙刃劍,它帶來的弊端也不可小覷。目前,網絡技術幾乎是所有的行業進行管理的首選方式,因此大量的保密信息就不可避免地出現在了網絡中,所以一旦網絡安全不能保障,這些私密的信息就很有可能外泄,其后果不堪設想。而防火墻技術的出現在一定程度上保證了網絡的安全。它是介于內網和外網之間的,并對外部信息和內部信息進行準確的區分,從而對之進行嚴格的監控,一方面來防止外部信息的入侵,另一方面也能防止信息的泄露。
1 防火墻的功能
1.1 保護網絡免受攻擊
當前,路由的攻擊是網絡攻擊的主要形式,比如ICMP重定向路徑的攻擊和IP選項里的源路由攻擊,而防火墻技術的出現則能夠最大程度的減少此類攻擊,并且及時通知管理員。此外,防火墻還能對進出信息進行“把關”——掃描,防止身份不明以及帶有攻擊性的信息進入。
1.2 監控網絡訪問和存取
防火墻對于進出入的信息都會做出詳細的記錄,對于網絡的使用也能做出統計。一旦出現可疑信息或者通信行為,防火墻會立即做出判斷,并進行報警。仔細分析、解讀這些信息,能夠加強我們對防火墻性能的認識和理解。
1.3 防止內部敏感信息泄露
將內部網絡進行劃分,加強對信息的保護,一定程度上保證了網絡內部信息的安全,進一步防止信息的外泄。內網中有大量的私密信息,這些信息可能引起攻擊者的巨大的興趣,所以只有正確、科學地使用防火墻,才能有效地預防這些問題的發生,保護機主信息的安全性。
1.4 可集中安全管理
傳統的網絡安全措施主要保護的是主機,而防火墻的出現則使得普通計算機的安全有所保障,同時其成本也相對較低。所以,在TCP/IP協議中,在防火墻的保護下,135-139這個端口才能被共享而不用擔心安全問題。然而,一旦失去防火墻的保護,信息泄露的可能性就會大大增加。
2 計算機安全中防火墻技術的主要類型
2.1 包過濾型防火墻
包過濾型防火墻屬于防火墻前期的產品,網絡分包傳輸是最大的作用。眾所周知,“包”是網絡數據傳輸的基本單位,不同的數據會形成不同的數據包,這些數據包各不相同,它們有著各異的目標地址、各異的源地址。而防火墻就是通過這些數據包所包含的信息來進行判斷的,對于可以信任的站點的可信任的數據,防火墻才會“開門”,并對其進行運輸。如果這些數據不值得信任,就會遭到防火墻的“拒絕”。 包過濾技術是包過濾型防火墻最大的特點和優勢,具體地表現在以下幾點:簡單方便、操作性強,而且成本低廉,在相對簡單的環境下保障計算機網絡的安全。但是該技術也有著巨大的缺點,尤其是僅僅依靠數據包的目標、端口以及來源來判斷該數據的可靠性和安全性,但卻無法識別某些惡意程序,比如郵件里潛在的病毒。正因為該技術有著這樣的缺點,所以許多高明的黑客就會通過偽造IP地址來入侵我們的計算機。
2.2 代理型防火墻
代理防火墻也叫做代理服務器,相比于包過濾型防火墻,它的安全性就高很多了,更難得的是代理防火墻已經進軍計算機網絡應用層,而且發展異常迅猛。簡單來說,代理防火墻其實就是個信息中轉站,它是對服務器和用戶機之間的信息進行阻礙。在用戶看來,代理防火墻就是一個真正意義上的服務器;而從服務器的角度講,代理防火墻卻是一套用戶機。正式因為代理服務器是所有信息的中轉站,所有所有外部信息企圖入侵用戶機實際上是極其困難的,大量的惡意攻擊也因此被過濾掉了,因此計算機安全才得以保證。代理服務器的優點非常明顯,即較高的安全性。除此之外,它還能夠掃描應用層。
2.3 監測型防火墻
普通的防火墻往往只能夠防范惡意侵入,而監測型防火墻除了這些功能,還能夠對信息進行實時監控,這無疑加強了對計算機的保護,安全性大大提高。但是在巨大的優點背后,它卻隱藏著許多缺點,最大的缺點就是昂貴的成本。也正是由于這個缺點,監測型防火墻還只是被一小部分群體使用,未能被普及。如果既要考慮成本,又要考慮安全因素的話,可以有所選擇的使用其中一些技術,這樣就可以在低成本的條件下進一步提高計算機的安全。
2.4 網址轉化
網絡地址轉換,簡而言之,就是將IP地址轉化成注冊的、外部的、臨時的地址標準。在這里,具有私有IP地址的內網是可以對因特網進行訪問的。系統會把外出的源端口和源地址映射成一個嶄新的地址和端口,以此來經過非安全網卡和外部網絡連接,這樣一來,真是的內網地址就被隱藏了。OLM防火墻則是根據預設的映射規則對訪問進行判斷,如果該訪問和規則相吻合,那么防火墻就是認為這是一個安全的訪問,其訪問請求也就會被允許,其連接請求也能夠被映射到各種計算機中。一旦與規則發生相悖的情況,防火墻就會認為這是一個不安全的訪問,其訪問請求就不會被接受。對用戶來講,網絡地址轉換的整個過程是可見的、透明的,而用戶是不需進行設置的,只需正常操作即可。
3 防火墻技術在計算機安全中的具體應用
3.1 安全服務配置
安全服務隔離區(DMZ)將系統管理機群和服務器機群獨立出來,并設置了一個安全服務隔離區,它既屬于內網重要組成部分,同時又是一個相對獨立的局域網。將其劃分出來的目的是為了進一步加強對服務器上數據的保護和運行。專家建議依靠網絡地址轉換技術,對內網的主機地址進行映射,使之成為公網中幾個有效的IP地址。此舉可以隱藏內網IP地址和結構,提高內部網絡的安全性,同時還極大地減少了對公網IP地址的占用,使得投資成本不斷降低。如果早已就擁有邊界路由器,那么就應該最大程度地利用這些設備,并加上合適的防火墻配置。如此一來,原先的路由器就會擁有防火墻的功能了。之后再將防火墻和內部網絡進行連接。DMZ區中的公用服務器是不用經過防火墻的,因為它可以直接和邊界路由器連接。防火墻和邊界路由器“攜手”,形成了雙保險,也就是兩重安全防線;還可以在防火墻和邊界路由器之間設置DMZ區,以存放那些公用服務器設施。
3.2 配置訪問策略
作為防火墻最重要的安全策略,訪問策略的設置不是隨意的,而是建立在復雜、精確的統計基礎之上。在這個過程中,(下轉第191頁)(上接第85頁)我們應該加強對于本單位對外、對內的應用及其相關信息的了解和認識,并對之進行排序,其后才能進行訪問策略的設置。這是因為防火墻的規則查找是按照順序進行的,也就是說如果對經常使用的規則進行前置的話就會大大提高防火墻的運作效率。
3.3 日志監控
日志監控是一種行之有效的提高計算機安全性的手段。但是許多普通管理員對日志的信息不加選擇,所以其日志內容無疑會顯得十分駁雜又凌亂,效率自然也就非常低下。實際上,日志監控需要的是那些最有價值、最為關鍵的信息。一般來說,系統的告警信息是值得記錄的,對這些流量信息加以篩選,然后保存下那些影響計算機安全性的流量信息。
4 結語
防火墻技術只是保障網絡安全的技術之一,由于存在諸多不確定危險因素,所以根本不能全面保障計算機網絡的安全。因此,要從科學、整體和全面的方面入手,才能真正為保障計算機網絡安全作出貢獻。
【參考文獻】
[1]張瀚文.有關計算機安全與防火墻技術的分析[J].黑龍江科技信息,2013,17:142.
[2]吳小雷.試論計算機網絡安全與防火墻技術[J].電子技術與軟件工程,2013,14:120.
[3]張亞平.淺談計算機網絡安全和防火墻技術[J].中國科技信息,2013,11:96.
[4]肖玉梅,蘇紅艷.試析當前計算機網絡安全中的防火墻技術[J].數字技術與應用,2013,05:218.
[5]溫愛華,石建國.計算機網絡安全與防火墻技術[J].產業與科技論壇,2011,19:102-103.
點擊下頁還有更多>>>計算機防火墻技術論文