计算机安全与防火墙技术

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机安全与防火墙技术

【摘要】计算机网络技术不断发展必然会给网络的安全带来一些问题,为了保障计算机网络的安全,计算机网络安全技术要随着计算机网络的发展而不断改革和创新,不断增加新技术,以抵御各种有害计算机安全的信息入侵电脑,防止内部机密信息泄露。本文在对防火墙功能和计算机安全中防火墙技术主要类型进行概述的基础上,分析了防火墙技术在计算机安全中的具体应用。

【关键词】计算机安全;防火墙技术;功能;主要类型;具体应用

0 引言

网络的普及极大地改变了人类的生活方式好生产方式,因此也给人类生活带来了极大的便利。但是,网络是一把双刃剑,它带来的弊端也不可小觑。目前,网络技术几乎是所有的行业进行管理的首选方式,因此大量的保密信息就不可避免地出现在了网络中,所以一旦网络安全不能保障,这些私密的信息就很有可能外泄,其后果不堪设想。而防火墙技术的出现在一定程度上保证了网络的安全。它是介于内网和外网之间的,并对外部信息和内部信息进行准确的区分,从而对之进行严格的监控,一方面来防止外部信息的入侵,另一方面也能防止信息的泄露。

1 防火墙的功能

1.1 保护网络免受攻击

当前,路由的攻击是网络攻击的主要形式,比如ICMP重定向路径的攻击和IP选项里的源路由攻击,而防火墙技术的出现则能够最大程度的减少此类攻击,并且及时通知管理员。此外,防火墙还能对进出信息进行“把关”——扫描,防止身份不明以及带有攻击性的信息进入。

1.2 监控网络访问和存取

防火墙对于进出入的信息都会做出详细的记录,对于网络的使用也能做出统计。一旦出现可疑信息或者通信行为,防火墙会立即做出判断,并进行报警。仔细分析、解读这些信息,能够加强我们对防火墙性能的认识和理解。

1.3 防止内部敏感信息泄露

将内部网络进行划分,加强对信息的保护,一定程度上保证了网络内部信息的安全,进一步防止信息的外泄。内网中有大量的私密信息,这些信息可能引起攻击者的巨大的兴趣,所以只有正确、科学地使用防火墙,才能有效地预防这些问题的发生,保护机主信息的安全性。

1.4 可集中安全管理

传统的网络安全措施主要保护的是主机,而防火墙的出现则使得普通计算机的安全有所保障,同时其成本也相对较低。所以,在TCP/IP协议中,在防火墙的保护下,135-139这个端口才能被共享而不用担心安全问题。然而,一旦失去防火墙的保护,信息泄露的可能性就会大大增加。

2 计算机安全中防火墙技术的主要类型

2.1 包过滤型防火墙

包过滤型防火墙属于防火墙前期的产品,网络分包传输是最大的作用。众所周知,“包”是网络数据传输的基本单位,不同的数据会形成不同的数据包,这些数据包各不相同,它们有着各异的目标地址、各异的源地址。而防火墙就是通过这些数据包所包含的信息来进行判断的,对于可以信任的站点的可信任的数据,防火墙才会“开门”,并对其进行运输。如果这些数据不值得信任,就会遭到防火墙的“拒绝”。包过滤技术是包过滤型防火墙最大的特点和优势,具体地表现在以下几点:简单方便、操作性强,而且成本低廉,在相对简单的环境下保障计算机网络的安全。但是该技术也有着巨大的缺点,尤其是仅仅依靠数据包的目标、端口以及来源来判断该数据的可靠性和安全性,但却无法识别某些恶意程序,比如邮件里潜在的病毒。正因为该技术有着这样的缺点,所以许多高明的黑客就会通过伪造IP地址来入侵我们的计算机。

2.2 代理型防火墙

代理防火墙也叫做代理服务器,相比于包过滤型防火墙,它的安全性就高很多了,更难得的是代理防火墙已经进军计算机网络应用层,而且发展异常迅猛。简单来说,代理防火墙其实就是个信息中转站,它是对服务器和用户机之间的信息进行阻碍。在用户看来,代理防火墙就是一个真正意义上的服务器;而从服务器的角度讲,代理防火墙却是一套用户机。正式因为代理服务器是所有信息的中转站,所有所有外部信息企图入侵用户机实际上是极其困难的,大量的恶意攻击也因此被过滤掉了,因此计算机安全才得以保证。代理服务器的优点非常明显,即较高的安全性。除此之外,它还能够扫描应用层。

2.3 监测型防火墙

普通的防火墙往往只能够防范恶意侵入,而监测型防火墙除了这些功能,还能够对信息进行实时监控,这无疑加强了对计算机的保护,安全性大大提高。但是在巨大的优点背后,它却隐藏着许多缺点,最大的缺点就是昂贵的成本。也正是由于这个缺点,监测型防火墙还只是被一小部分群体使用,未能被普及。如果既要考虑成本,又要考虑安全因素的话,可以有所选择的使用其中一些技术,这样就可以在低成本的条件下进一步提高计算机的安全。

2.4 网址转化

网络地址转换,简而言之,就是将IP地址转化成注册的、外部的、临时的地址标准。在这里,具有私有IP地址的内网是可以对因特网进行访问的。系统会把外出的源端口和源地址映射成一个崭新的地址和端口,以此来经过非安全网卡和外部网络连接,这样一来,真是的内网地址就被隐藏了。OLM防火墙则是根据预设的映射规则对访问进行判断,如果该访问和规则相吻合,那么防火墙就是认为这是一个安全的访问,其访问请求也就会被允许,其连接请求也能够被映射到各种计算机中。一旦与规则发生相悖的情况,防火墙就会认为这是一个不安全的访问,其访问请求就不会被接受。对用户来讲,网络地址转换的整个过程是可见的、透明的,而用户是不需进行设置的,只需正常操作即可。

3 防火墙技术在计算机安全中的具体应用

3.1 安全服务配置

安全服务隔离区(DMZ)将系统管理机群和服务器机群独立出来,并设置了一个安全服务隔离区,它既属于内网重要组成部分,同时又是一个相对独立的局域网。将其划分出来的目的是为了进一步加强对服务器上数据的保护和运行。专家建议依靠网络地址转换技术,对内网的主机地址进行映射,使之成为公网中几个有效的IP地址。此举可以隐藏内网IP地址和结构,提高内部网络的安全性,同时还极大地减少了对公网IP地址的占用,使得投资成本不断降低。如果早已就拥有边界路由器,那么就应该最大程度地利用这些设备,并加上合适的防火墙配置。如此一来,原先的路由器就会拥有防火墙的功能了。之后再将防火墙和内部网络进行连接。DMZ区中的公用服务器是不用经过防火墙的,因为它可以直接和边界路由器连接。防火墙和边界路由器“携手”,形成了双保险,也就是两重安全防线;还可以在防火墙和边界路由器之间设置DMZ区,以存放那些公用服务器设施。

3.2 配置访问策略

作为防火墙最重要的安全策略,访问策略的设置不是随意的,而是建立在复杂、精确的统计基础之上。在这个过程中,(下转第191页)(上接第85页)我们应该加强对于本单位对外、对内的应用及其相关信息的了解和认识,并对之进行排序,其后才能进行访问策略的设置。这是因为防火墙的规则查找是按照顺序进行的,也就是说如果对经常使用的规则进行前置的话就会大大提高防火墙的运作效率。

3.3 日志监控

日志监控是一种行之有效的提高计算机安全性的手段。但是许多普通管理员对日志的信息不加选择,所以其日志内容无疑会显得十分驳杂又凌乱,效率自然也就非常低下。实际上,日志监控需要的是那些最有价值、最为关键的信息。一般来说,系统的告警信息是值得记录的,对这些流量信息加以筛选,然后保存下那些影响计算机安全性的流量信息。

相关文档
最新文档