相关热词搜索:
计算机网络安全及防火墙技术分析论文
计算机网络安全及防火墙技术分析论文 计算机网络安全及防火墙技术分析论文篇一 《计算机网络安全及防火墙技术分析》 摘要:随着我国计算机技术的普及,网络的开放性虽然给人们带来方 便,但是也给网络安全方面的问题带来了困惑。例如:计算机网络时常遭受病毒 或黑客的袭击,使重要的文件和数据丢失等。为了能够更好的确保网络信息的安 全,避免遭受破坏和侵犯,因此,作为保护网络安全的防火墙技术成为人们关注 的焦点。该文通过简单介绍计算机网络安全及防火墙技术,对计算机网络安全及 防火墙技术进行分析,并阐述了计算机网络安全中防火墙技术的运用。关键词:计算机;网络安全;防火墙技术;分析 中图分类号:TP393文献标识码:A文章编号:
1009-3044(2012)24-5787-02 Computer Network Security and Firewall Technology ZHANG Rui (Hinggan League Frontier Defense Detachment, Inner Mongolia Frontier Corps, Ulanhot 137400, China) Abstract: With the popularization of computer technology in our country, the openness of the network to bring convenience, but also brought confusion to the network security issues. For example: the computer network are often victims of a virus or hacker attacks, so that important files and data loss. In order to be able to better ensure the security of network information, to avoid destruction and violation of, therefore, become the focus of attention as a firewall to protect network security technology. In this paper, a brief introduction of the com puter network security and firewall technology, computer network security and firewall technology to analyze, and described the use of fire wall technology in computer network security. Key words: computer;
network security;
firewall technology;
analysis 计算机网络安全问题主要有:信息在传输的过程中,数据被篡改和复 制,以及拦截和查看,甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计 算机网络的正常运行,出现系统瘫痪或重要数据的泄漏,造成不可挽回的严重后 果。为了构建安全可靠的网络安全环境,我国除了从法律和政策方面建立网络安 全体系,还从技术方面进行完善。由于网络内部和外部环境的特殊性,因此防火墙技术是目前保护网络安全最为有效地技术。不仅能够对网络传输的数据进行检 查,还能对整个网络进行监控。
1计算机网络安全及防火墙技术的含义 计算机网络安全主要是保护使用者在进行信息传输时,不被外界所窃 听和篡改,及复制,同时还要避免自然灾害所造成的损害,以确保网络通信的连 续。总的来说,计算机网络安全就是在确保网络系统正常运行的同时,还要确保 各方面流动或存储的数据不被更改和破坏,及泄漏。
防火墙技术属于一种隔离技术,是网络与网络之间安全的一道屏障, 同时也是保证网络信息安全的基本手段。防火墙不仅能够对网络信息流进行控制, 增强网络间的访问控制和安全性,还能够抵抗攻击,阻止其他用户非法获取网络 信息资源。防火墙除了能够保护数据不被窃取和复制等,还能够保护内在的设备 不被破坏,同时还能够确定服务器是否被访问、被什么人访问、什么时候访问等。
2计算机网络安全及防火墙技术分析 2.1计算机网络安全分析 其一,对计算机网络安全造成的威胁。在计算机网络安全中,造成的 威胁主要是自然和人为两种。前者主要是自然灾害和设备的老化、电磁辐射和干 扰,以及恶劣环境等造成的威胁;后者是病毒和黑客攻击、网络缺陷和管理的漏 洞,以及恶意的操作等造成的威胁。除此之外,TCP/IP协议和网络结构的缺陷, 以及网络安全意识的缺乏都将对计算机网络安全造成威胁。
其二,计算机网络安全主要影响原因在于网络资源的共享和开放、网 络系统的设计不够完善,以及人为的恶意攻击等。由于资源共享的目的是实现网 络应用,任何用户都能够通过互联网进行信息资源的访问,因此,攻击者只要通 过服务请求就能够轻松访问到网络数据包,为攻击者提供了破坏的机会。同时合 理的网络系统在确保节约资源的条件下,保证其安全性,相反就会构成安全的威 胁。随着网络的广泛,黑客和病毒的攻击是计算机网络最难防御的威胁。
其三,利用数据加密和网络存取控制的方式确保对网络安全的保护。
前者主要是通过链路和端端加密,以及节点和混合加密来阻止数据被恶意的篡改 和破坏,以及泄漏等;后者主要是通过身份的识别和数字签名,以及存取权限的 控制和备份恢复等来阻止非法访问造成数据的丢失和泄密,以及破坏等。2.2防火墙技术分析 其一,包过滤性的防火墙。该防火墙主要是在OSI参考模型中的网络 和传输层通过一个过滤路由器实现对整个网络的保护,只要与源头和目的地址、 协议类型,以及端口号等过滤条件相符,就能够进行数据包的转发,相反就会丢 失数据包。并且该防火墙工作透明,不仅效率高,而且速度也很快。但是该防火 墙无法支持应用层协议,不能防御黑客的攻击和处理新型安全威胁。
其二,NAT和应用型的防火墙。前者是将IP地址转换成临时注册的IP 地址,当内部网络对外部网络进行访问时,如果是通过安全网卡,防火墙就会自 动将源地址与端口伪装,然后与外部相连。相反,如果是通过非安全网卡,那么 访问是经过一个开放的IP与端口。防火墙对访问安全的判断是依照已经预设好的 映射规则进行;而后者是运行在OSI的应用层。它不仅阻止网络的通信流,还能够 实时监控,其安全性非常高。但是该防火墙影响系统的性能,使管理更加复杂。
其三,状态检测型的防火墙。该防火墙与其他防火墙相比较的话,不 仅高安全和高效性,还具有很好的可扩展和伸缩性。该防火墙将相同连接的包看 成整体数据流,并对连接状态表中的状态因素进行辨别和区分。虽然这种防火墙 性能很好,但是容易造成网络连接的延缓滞留。
3在计算机网络安全中防火墙技术的运用 从整体上来说,计算机网络安全是通过网络的管理控制,以及技术的 解决办法,确保在网络的环境中,保护数据进行使用和保密,及完整性。计算机 网络安全主要有物理和逻辑安全。但是根据使用者的不一样,对网络安全的理解 也就会不一样。如:一般的使用者认为,计算机网络安全就是在网络上传自己的 隐私或者是重要的信息时,能够保护信息不能被窃听和篡改,以及伪造。而网络 的供应商们则认为,除了保证网络信息的安全,还要考虑各种对网络硬件破坏因 素的保护,以及在出现异常时恢复网络通信的保护。
1)加密技术。即信息的发送方先对信息做加密处理,密码由和接收方 掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而 完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
2)身份验证。通过对网络用户的使用授权,在信息的发送方和接收方 之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。
3)防病毒技术,主要涉及对病毒的预防、检测以及清除三方面。
其一,在网络建设中,安装防火墙对互联网之间的交换信息按照某种 规则进行控制,构成一道安全屏障来保护内网与外网间的信息和数据传输,确保 网络不被其他未经授权的第三方侵入。
其二,网络的连接如果是由路由器和互联网相连,服务器有WWW和 DNS、FIP和Email等,且IP地址确定,同时该网络拥有一个C类IP地址。那么该 网络首先要进入主干网,对主干网的中心资源采取访问控制,禁止服务器以外的 服务访问。然后,为了防御外来非法访问盗用,在连接端口接收数据的同时,就 要检查IP和以太网的地址,丢弃盗用IP地址数据包,并将有关的信息进行记录。
实际的操作过程是:预设控制位102,当防火墙与IP、以太网地址访问到某个地 址属于非法访问,那么防火墙就会自动将路由器中的存取控制表进行更改,过滤 非法的IP地址包,以阻止外来的非法访问。
4结束语 总而言之,随着计算机网络的快速发展和运用,网络为人们带来便捷 的同时,也带来了一定的安全问题。由于网络安全不仅与技术和管理有联系,对 网络的使用和维护等也有联系。虽然目前防火墙技术是防止网络威胁的主要手段, 但是由于网络安全存在多方面,仅依靠防火墙技术是无法满足人们对网络安全的 需求,因此,只有将网络安全与防火墙技术结合进行研究,才能提供更好的安全 服务。
计算机网络安全及防火墙技术分析论文篇二 《计算机网络安全和防火墙技术》 摘 要:本文主要阐述了网络安全技术所要受到的各方面威胁以及自 身存在的一些缺陷,然后主要阐述防火墙在网络安全中起到的巨大的作用,防火 墙的优缺点及各种类型防火墙的使用和效果。
关键词:计算机网络;网络安全;防范措施;防火墙技术一、前言 计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同, 对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希 望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而 网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、 军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持 网络通信的连续性。
二、网络信息安全的主要威胁 2.1、网络安全威胁 网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。
这些威胁可以宏观地分为自然威胁和人为威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电 磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安 全,影响信息的存储媒体。
人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统 的弱点[1],以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估 量的损失。网络安全的人为威胁主要分为以下几种:网络缺陷,黑客攻击各种病 毒,管理的欠缺及资源滥用,网络内部用户的误操作和恶意行为,网络资源滥用, 信息泄漏。
2.2、影响计算机网络安全的因素 ①网络资源的共享性。资源共享是计算机网络应用的主要目的,但这 为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日 益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易 获取网络数据包。
②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资 源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信 所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作 系统必然存在各种实现过程所带来的缺陷和漏洞。
④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设 备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合 理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设 计则会成为网络的安全威胁。
⑤恶意攻击。就是人们常见的黑客攻击及网络病毒,这是最难防范的 网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
三、防火墙技术 3.1 防火墙的定义 防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能 根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的 抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
3.2 防火墙的功能 1、防火墙的种类 防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大 类:分组过滤,应用代理。
分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源 地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过 滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢 弃。
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway),它作 用在应用层,其特点是完全“阻隔”了网络通信流通过对每种应用服务编制专门的 代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工 作站实现。
2、防火墙的技术原理目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术 包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则, 通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防 火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下 列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包 过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑 简单便于安装和使用。
缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层 的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议, 如UDP和RPC难以有效的过滤。
(2)代理技术 代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想 就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查 站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服 务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务 器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的 服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工 作在应用层。
(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层 实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记, 过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不 依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算 法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代 理在过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用 和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目 前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需 修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是 不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术 等综合应用,才起到防御的最大化的效果。
四、结束语 防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等, 因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网 络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障, 如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平, 这将是一个随着网络技术的发展而不断研究的课题。(作者单位:湖北工业大学)
