本站小編為你精心準備了防火墻網絡安全參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
古時候,人們常在寓所之間砌起一道磚墻,一旦火災發(fā)生,它能夠防止火勢蔓延到別的寓所。自然,這種墻因此而得名“防火墻”。現(xiàn)在,如果一個網絡接到了Internet上面,它的用戶就可以訪問外部世界并與之通信。但同時,外部世界也同樣可以訪問該網絡并與之交互。為安全起見,可以在該網絡和Internet之間插入一個中介系統(tǒng),豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵,提供扼守本網絡的安全和審計的唯一關卡。這種中介系統(tǒng)也叫做“防火墻”,或“防火墻系統(tǒng)”。
簡言之,一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。在使用防火墻的決定背后,潛藏著這樣的推理:假如沒有防火墻,一個網絡就暴露在不那么安全的Internet諸協(xié)議和設施面前,面臨來自Internet其他主機的探測和攻擊的危險。在一個沒有防火墻的環(huán)境里,網絡的安全性只能體現(xiàn)為每一個主機的功能,在某種意義上,所有主機必須通力合作,才能達到較高程度的安全性。網絡越大,這種較高程度的安全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍,對網絡的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡,迫使單位強化自己的網絡安全政策。
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監(jiān)測型。
包過濾型。包過濾型產品是防火墻的初級產品,其技術依據(jù)是網絡中的分包傳輸技術。網絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
網絡地址轉化—NAT。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。
型。型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
監(jiān)測型。監(jiān)測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網絡內部。
防火墻產品不能替代墻內的謹慎的安全措施。防火墻在當今Internet世界中的存在是有生命力的。它是一些對高級別的安全性有迫切要求的機構出于實用的原因建造起來的,因此,它不是解決所有網絡安全問題的萬能藥方,而只是網絡安全政策和策略中的一個組成部分。