浅论网络安全技术--防火墙
侯洪凤
【摘 要】@@ 一、引言rn当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后,他们都会考虑将自己的内联网接入Internet,从而可获更大的收益. 【期刊名称】《合作经济与科技》 【年(卷),期】2005(000)001 【总页数】2页(P40-41) 【作 者】侯洪凤 【作者单位】无 【正文语种】中 文 【中图分类】经济财政
C0-1侃 'JU:贸回那倒配圆白口文/侯洪凤
一、吉l 言许了的数据包,凡是在允许情况以外的数 2、代理技术。代理技术是防火墙技术当越来越多的用户认识到 Internet 能 据包都将被拒绝。中使用得较多的技术,也是安全性能较离提供十分丰富的信息、多种有效的服务并 2、防火培的安全功能。为了保证网络 的技术。代理服务软件运行在一台主机上 且具有很大的发展潜力后,他们都会考虑 安全性要求,防火墙必须具有以下功能: 构成代理服务器.负责截获客户的请求, 将自己的内联网接人 Internet ,从而可获 ①支持一定的安全策略,过滤掉不安全服 并且根据它的安全规则来决定这个请求 更大的收益。
务和非法用户,即过滤进、出网络的数据, 是否允许。如果允许的话,这个请求才传过去,许多内联网访问 Internet 的基 管理进、出网络的访问行为。②监视网络 给真正的防火墙。代理服务器是外部可以 本方法是将本系统的内部网直接接入 In- 的安全性,并报警。③利用网络地址转换 见到的唯一实体,它对内部的用户是透明 temet 获得完全的 Ir出met 服务。这样的连 (NAT)技术,将有限的 E 地址动态或静 的。并且它可以应用协议特定的访问规 接在给用户带来方便的同时也使网络入 态地与内部的 IP 地址对应起来,用来缓 则,执行基于用户身份和报文分组内容的 佼者有机可乘。内部网的主机将完全暴 解地址空间短缺的问题。④防火墙是迸出 访问控制。这种防火宿俄完全控制网络信 露在 Internet 中,因此任何一台 Internet 主 信息都必须通过的关口,适合收集关于系 息的交换,控制会话过程,具有灵活性和 机都可以直接对其进行访问,从而在安全 统和网络使用和误用的信息。利用此关 安全性。但可能影响网络的性施,对用户 上带来极大的危险。 并且,入侵者的行动 口,防火墙能在网络之间进行记录。 它是 不透明,且对每一个服务者阳F要设计一个 通常都是很隐蔽的,因此安全问题已经成 审计和记录 Internet 使用费用的一个最佳 代理模块,建立对应的网关层,实现起来 为各内部网接入 Internet 之前必须要考虑 地点。⑤可以连接到一个单独的网络上, 比较复杂。的问题之一。目前,以防火墙为代表的被 在物理上与内部网络隔开,并部署- WWW 3、状态监测技术。状态监测技术是一 动防卫型安全保障技术己经被证明是一 服务器和凹?服务器,作为向外部发布 种在网络层实现防火墙功能的技术,它使 种较有效的防止外部入侵的措施。内部信息的地点。用了一个在网关上执行网络安全策略的 二、防火罐及安全功能
三、防火捕的关键技术软件模块,称之为监测引擎。监测引擎在1、防火椅的概念。防火墙是一个或一安全、管理、速度是防火墙的三大要 不影响网络正常运行的前提下,采用抽取组在两个网络之间执行访问控制策略的 素,数据包过滤利代理服务是其主要功 有关数据的方法对网络通信的各层实施 系统,包括硬件和软件,目的是保护网络 能,防火墙要真正实现防病毒、防黑客、防 检测,抽取状态信息,并动态地保存起来 不被可疑入侵扰。本质上,它遵从的是一 入侵,必须做好一下关键技术: 作为以后执行安全策略的参考。与前面两 种允许或阻止业务来往的网络通信安全 1、数据包过滤技术。分组过滤或包过 种技术不同,当用户访问请求到达网关的 机制,也就是提供可控的过滤网络通信, 滤,是一种通用、廉价、有效的安全手段。 操作系统前,状态监视器要抽取有关数据 只允许授权的通讯。它在网络层和传输层起作用。它根据分组 进行分析,结合网络配置和安全规定做出防火墙的实质就是限制数据流通和 包的源、宿地址、端口号及协议类型、标志 接纳、拒绝、身份认证、报警等处理动作。 允许数据流通。因此防火墙有两种对立 确定是否允许分组包通过。所根据的信息 4 、飞「PN 技术。 VPN 技术 np 虚拟专用 的安全策略:来源于 IP、TCP 或 UDP 包头。网,是通过公共网络实现的具有授权检查(1)允许没有特别拒绝的事情。这种情包过滤的优点是它对于用户来说是 和加密技术的通信方式。 VPN 可以帮助况下防火墙只拒绝了规定的对象,不属于 透明的,处理速度快且易于维护,通常作 远程用户、公司分支机梅、商业伙伴及供 拒绝范围以内的任何情况都被允许。这 为第一道防线。但包过滤通常没有用户的 应商同公司的内部网建立可信的安全连 种策略对数据包的阻挡能力相对较小,所 使用记录,这样我们不能得到入侵者的攻 接,并保证数据的安全传输。基于 Internet 以安全性相对较弱。击记录。而攻破一个单纯的包过滤式防火 建立的 VPN ,可以保护网络免受病毒感(2)拒绝没有特别允许的事’降。这种情 墙对黑客来说还是有办法的。“IP 地址欺 染,防止欺骗,增强访问控制,增强系统管 况
浅论网络安全技术--防火墙
