数据库防火墙技术研究(精选8篇)
一、概述
运营商作为网络的承建者和服务提供者,不仅为用户提供各种业务,还要对数据中心的网络和信息安全进行完全的监控和管理维护等。
数据中心作为网络数据的核心,经常会受到来自外界的攻击入侵,安全问题是极其重要的一环。互联网每年都有大量数据中心服务器遭受攻击的事件发生,对用户造成巨大的损失,数据中心安全在其建设发展中越来越受到重视。为数据中心内部网络与服务器提供网络安全功能,通常会部署防火墙产品作为攻击防范和安全过滤的设备,同时为内网服务器间互访提供安全控制。
防火墙是数据中心必不可少的安全防御组件,可为后端服务器提供攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能。随着数据中心虚拟化技术的不断发展,防火墙虚拟化做为其中关键技术之一日益兴起。
二、虚拟防火墙技术的产生
早期的互联网时代,当企业需要为用户提供互联网服务时,为了节省管理成本与加快互联网用户访问速度,很多企业将其服务器放置到运营商数据中心(IDC,Internet Data Center)内,由运营商代维代管,并直接提供互联网接入,这种形式也被称为运营商的主机托管业务。随着互联网的飞速发展,运营商数据中心业务已经成为其盈利的重点核心业务。
同时,安全要求日趋严格,需要在大规模部署的多企业用户服务器间的进行访问控制,如存在相关业务企业间的受控访问,无关企业间的绝对隔离等。因此,对运营商数据中心管理人员来说,如何灵活方便的实现各企业安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对提供安全区域隔离功能的防火墙设备提出了更高的要求。
针对以上要求,传统防火墙的部署模式存在着以下缺陷:
较多的企业用户使得运营商要部署管理多台独立防火墙,导致拥有和维护成本增高;
集中放置的多个独立防火墙会占用较多的物理空间,并加大布线的复杂度;
物理防火墙的增加将增加网络管理的复杂度;
当企业用户发生新的变化后,需要在物理组网上对传统防火墙做改动,对整个网络造成影响较大。为了适应新的业务模式需求,虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务部门的独立安全策略部署,利用其部署的灵活性可实现企业网络的对新业务的适应性。
三、虚拟防火墙技术
虚拟防火墙是一个逻辑概念,该技术可以在一个单一的硬件平台上提供多个防火墙实体,即把一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性,并且虚拟防火墙之间相互独立,一般情况下不允许相互通信。虚拟防火墙具有如下技术特点:
每个虚拟防火墙独立维护一组安全区域;
每个虚拟防火墙独立维护一组资源对象(地址/地址组,服务/服务组等);
每个虚拟防火墙独立维护自己的包过滤策略;
每个虚拟防火墙独立维护自己的ASPF策略、NAT策略、ALG策略;
可限制每个虚拟防火墙占用资源数,如防火墙Session以及ASPF Session数目。
每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、三层VLAN子接口和二层Trunk接口+VLAN。
VPN实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN路由,与虚拟防火墙相关的信息主要包括:VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。
安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。
虚拟防火墙一方面解决了业务多实例的问题,更主要的是,通过它可将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以单独配置不同的安全策略,同时默认情况下,不同的虚拟防火墙之间是默认隔离的。
对于防火墙系统接收到的数据流,系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中,数据流将根据各自系统的路由完成转发。
四、虚拟防火墙技术在数据中心应用
1、虚拟防火墙与数据中心虚拟化
数据中心虚拟化分为网络、计算和存储三个虚拟化资源,与虚拟防火墙紧密相关的是网络虚拟化。数据中心网络虚拟化功能之一是在网络设备上对多业务之间进行隔离访问控制,每组业务使用独立的VPN、VLAN、接口、路由表及转发表,将一台物理网络设备逻辑上分割成多台虚拟设备。网络虚拟化的主要目的是为了提高网络设备资源的利用率,并增强对计算资源的安全访问隔离控制能力。网络设备虚拟化的同时,数据中心对安全组件提出了同样的虚拟化需求。虚拟防火墙实现了网络与安全虚拟一体化的功能,先对防火墙的路由转发进行VPN隔离划分,再设置攻击防御与安全过滤规则与划分的VPN相对应,将一台物理的防火墙设备虚拟为多台独立运行的逻辑防火墙,简化网络,便于管理并提升了设备的利用率。
图1 虚拟防火墙在数据中心的应用
2、虚拟防火墙应对数据中心高可靠需求
在数据中心环境中,高可靠性往往是重要的部署需求,虚拟防火墙部署时需要考虑双机环境下的流量路径冗余切换问题。如图2所示。
图2 虚拟防火墙双机的应用
数据中心双机组网模型下,虚拟防火墙可以应用路由模式或透明模式两种方式转发流量报文。透明模式下,防火墙采用INLINE转发方式,对进出防火墙的Vlan接口进行两个一组的一一对应,需要注意的是透明模式下网络中不能出现二层环路;而路由模式则是在不同VPN下部署不同的三层路由转发,VLAN三层接口同样做到每组一一对应,要注意的是路由模式下VRRP等路由冗余协议的应用,要在汇聚层交换机上建立两台防火墙设备可以通信的二层通道。
五、结束语
信息化时代, 们越来越注重放置于网络之上的资料或者是在网络上进行的交易等信息安全。计算机犯罪的危害性已经超过了传统犯罪, 犯罪人员通过网络漏洞或缺陷, 应用计算机技术, 对网络及各种电子数据、资料等信息发动进攻, 进行破坏。网络系统每天都在遭受着各种攻击, 网络信息安全现状不容乐观。
1 防火墙基本概念
所谓“防火墙”, 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它是一种计算机硬件和软件的结合。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。常见的网络攻击有三种:拒绝服务攻击、侵入攻击、信息盗窃攻击。拒绝服务攻击通常都是针对某个特定的系统或网络而故意实施的恶意攻击行为。侵入攻击是最经常遭受到的攻击方式, 它会使攻击者窃取到你系统的访问权并盗用你的计算机资源。信息盗窃攻击是指攻击者从目标系统里偷走数据的情形。
2 防火墙防范措施
基本的防火墙防御。我们可以通过包过滤型和应用代理型等防火墙技术防御SYNFlood攻击。应用代理防火墙位于客户端与服务器端中间, 所以充当代理角色。这样客户端要与服务器端建立一个TCP连接, 就必须先与防火墙进行三次TCP握手, 当客户端和防火墙的三次握手成功之后, 再由防火墙与服务器端进行TCP三次握手, 完成后即可成功建立一个TCP连接。所有的报文都通过防火墙转发, 而且如果客户端未同防火墙建立起TCP连接就无法同服务器端建立连接。
特殊的防火墙防御。针对SYN Flood攻击, 防火墙通常有三种防护方式。 (1) SYN网关。防火墙在收到客户端的SYN包时, 直接转发给服务器, 防火墙在收到服务器的SYN+ACK包后, 一方面将SYN+ACK包转发给客户端, 另一方面以客户端的名义给服务器回送一个ACK包, 完成一个完整的TCP三次握手, 让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时, 如果ACK包里有数据则转发给服务器, 否则丢弃该包。 (2) 被动式SYN网关。防火墙负责转发客户端发往服务器的SYN包, 以及服务器发往客户端的SYN+ACK包和客户端发往服务器的ACK包.如果客户端在防火墙计时器到期时还没发送ACK包, 防火墙即往服务器发送RST包, 以使服务器从队列中删去该半连接。 (3) SYN中继。防火墙在收到客户端的SYN包后, 并不向服务器转发信息而是记录该状态信息, 然后主动给客户端回送SYN+ACK包。如果收到客户端的ACK包, 表明是正常访问, 由防火墙向服务器发送SYN包并完成在三次握手。
3 防火墙实现的关键技术
3.1 包过滤 (Paket Filter) 技术。
通过检查数据流中的每个数据包, 根据数据包的源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的地出口端。其余数据包则被从数据流中删除。包过滤技术的实现方式相当简单, 但包过滤防火墙是在网络层上工作的一种技术, 因而对位于网络更高协议层的信息无理解能力, 使得它对通过网络应用层协议实现的安全威胁无防范能力。
3.2 应用网关 (Application Gateway) 。
应用网关针对特别的网络应用服务协议指定数据过滤逻辑, 并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时对数据包分析的结果及采取的措施进行登录和统计, 形成报告。
3.3 代理服务 (Proxy Service) 。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段, 防火墙内外计算机系统间的应用层联系由两个终止于代理服务器上的链接来实现。外部计算机的网络链路只能到达代理服务器, 由此实现了防火墙内外计算机系统的隔离, 代理服务器在此等效于一个网络传输层上的数据转发器的功能。它可以将被保护网络的内部结构屏蔽起来, 显著增强了网络的安全性能, 同时代理服务器也对过往的数据包进行分析、记录, 并可形成报告。当发现被攻击迹象时会向网络管理员发出警报, 并保留攻击痕迹。
参考文献
[1]荣海讯.防火墙技术极其发挥咱趋势剖析.淮北职业技术学院报, 2008 (03) .
[2]孙建华等.网络系统管理——Linux实训篇.人民邮电出版社, 2003.10, 第17-25页.
[3]邓亚平.计算机网络安全.人民邮电出版社, 2004.09, 第113-117页.
[4]王睿等.网络安全与防火墙技术.清华大学出版社, 2000, 第37-42页.
[5]王建章.浅析计算机网络的安全性[J].科技信息, 2011 (16) .
[6]李博.基于A S P网站的安全问题及其对策[J].德州学院学报, 2011 (S1) .
关键词:网络安全;防火墙技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Computer Network Security and Firewall Technology Research
Wang Long
(Information Engineering Institute,Dalian University,Dalian116622,China)
Abstract:With the spread of information technology more widely,people's information technology needs more and more of the Department ah,computer network security has become an important issue of information technology.Play for the network to maximize the benefits to ensure that basic network security,network operators have introduced a firewall system.Firewall is an effective means of protecting computer information one.Firewall to a certain extent,ease the network risk.This article discusses the main content is the firewall and network security,analysis of the significance of the firewall,classification,characteristics and other aspects,technical aspects of the firewall.
Keywords:Network security;Firewall technology
一、防火墙的意义
防火墙是保护计算机信息安全的,计算机内部网与外界网络之间的保护程序。防火墙可以组织危险信息侵入计算机,防止计算机内部信息外泄,阻挡外界网络的病毒流入计算机,同时不断地监测网络安全性,可为计算机使用者提供一个安全的计算机环境。防火墙可以对计算机中的重要信息进行监测,并做好日记记录,加强网络安全性能,为客户提供更好的安全管理服务。
二、防火墙的分类
(一)按软硬件形式分类。根据软硬件形式分类,防火墙可分为软件防火墙与硬件防火墙。最先研发出来的防火墙系统属于硬件系统,如同我们日常见到的交换机。随着信息技术的不断发展,为满足人们日益增长的要求,软件防火墙应运而生。软件防火墙是可以安装在个人主机里的,随时可以保护主机信息安全。如360的防火墙,实时监控网络有无异情。(二)按技术分类。按照目前防火墙技术分类基本可以分为三大类:包过滤型、应用代理型和状态检测型。包过滤型防火墙的工作范围是OSI(开放系统互连)网络参考模型的网络层和传输层。只有达到过滤要求的数据包才被允许通过防火墙,传至计算机目的地,达不到要求的数据包则会被丢弃或毁灭。包过滤型防火墙监管比较全面,可以保证数据传输的安全。应用代理型防火墙位于OSI的顶层。属于高端防护。通过编制的服务程序对通过计算机的信息流、数据包进行实时监测和控制。可完全阻隔不安全信息,达到保护计算机信息的目的。状态检测型防火墙主要是对计算机网络连接进行安全监督。它会把连在一起的数据包当作一个整体来看,若数据连接有危险情况,包含不安全数据,状态检测型防火墙就会阻止该数据通过。它拥有较高的稳定性能、延伸性能、安全性能。但是该类型防火墙在检测数据包同时会记录相关信息,这个步骤大大降低了防火墙的运行速度,影响到网络信息传递速度。(三)按结构分类。防火墙根据结构分类,可分为单一主机防、路由器集成式和分布式防火墙。(四)根据位置分类。防火墙的部署位置分类一般有三种,边界防火墙,个人防火墙和混合防火墙。
三、目前常用网络安全策略
网络安全最常用的安全策略是数据加密,安全性能较好,可以较好地保护计算机信息安全,预防计算机信息被篡改或泄漏。数据加密有链路加密、端端加密、节点加密和混合加密之分。
链路加密是将两个网络连接点进行加密,主要通过设定密码的方式进行数据保护。避免不良危险数据的侵入。链路加密最大的优点是可以防止外界窃听,其缺点是中间节点缺乏加密措施,会暴露网络信息数据,不能实现通信安全。端端加密方式是对信息源头进行加密保护,可运用文件传输节点数据的方式保护目标节点用户的信息安全。可靠性比较高,是比较容易实现安装的防火墙技术。节点加密是保护源头点与目标节点之间的信息传递,也是运用加设密码的方式。但是其密码设定方法与链路加密不一样。混合加密,顾名思义就是将链路加密与端端加密两种方式结合在一起,起到更好的安全保护性能,提高了安全可靠性。
四、防火墙技术分析
(一)防火墙的安全措施。防火墙的安全体系可以分为三个部分:防护、检测、响应。防火墙的检测系统应该在危险数据侵入之前发现危险数据的企图,然后响应相关系统采取处理措施。整个安全系统是一个整体,可有效地实现防御机制。(二)防火墙的弱点。防火墙是一种防御系统,在外网与内网,专用网与公共网之间的界面上形成阻隔,从而达到安全网络的目标。我们需要明白的是,防火墙的本质只是维护网络安全,单一的防御系统无法达到百分百网络安全的目的。防火墙只是保护计算机信息安全的一道防线,它不能解决所有病毒入侵,黑客攻击等问题。随着信息技术的不断发展,防火墙也应该克服自身弱点,不断发展,取得更高的安全可靠性。(三)防火墙技术发展方向。防火墙的防护作用不能仅仅局限在“墙”上,而是进一步发展。增强防火墙检测危险数据的灵敏力,缩短发现不良数据的时间,为处理不良数据保护计算机信息争取更多的时间。提高混合型防火墙的应用范围,从根本上提高网络安全性能。
五、小结
网络运营商为计算机用户提供越来越多的安全技术,防火墙在人们生活工作中应用范围越来越广。防火墙为保护计算机信息安全起到一定的作用。但是单一的防火墙不能完全保证网络的安全性能,同时需要用户学习更多的信息技术。
参考文献:
[1]张汉文,杨春山,徐君超等.计算机网络安全与防范问题初探[J].信息安全与通信保密,2005,10
[2]徐雷鸣,庞博,赵耀.NS与网络模拟[M].北京:人民邮电出版社,2008
[3]王竹林,张胜.网络安全实践[M].西安:电子科技大学出版社,2004
时空预测技术在森林防火中的应用研究
构建了一个随机的时间序列模型获得每一个空间上相互独立部分的时间预测,然后建立动态回归神经网络(DRNN)发现隐藏的空间关系,最后用统计回归方法把单个时间和空间预测整合起来产生最终预测.实验结果表明,提出的`方法能对森林火灾面积进行准确有效的预测.通过对时空预测结果的准确性和训练精度进行讨论,分析了时空预测方法在林火预测中的可行性,证明时空变化预测方法在林火预测中的应用价值.
作 者:王佳G 程涛 WANG Jia-qiu CHENG Tao 作者单位:中山大学地理科学与规划学院,广东,广州,510275刊 名:中山大学学报(自然科学版) ISTIC PKU英文刊名:ACTA SCIENTIARUM NATURALIUM UNIVERSITATIS SUNYATSENI年,卷(期):46(2)分类号:P208关键词:时空预测 森林火灾 动态回归神经网络
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
网络技术的迅速发展,给人们生活带来便利的同时一些网络犯罪也逐渐出现,因此信息安全的保密工作成为网络建设中的关键点,而防火墙技术就是其中重要的一个技术。防火墙相当一个屏障,竖立在内部网络与外部网络之间,保护内部网络安全。本文阐述了防火墙的功能,实现防火墙的主要技术手段,并对防火墙技术的未来进行了展望。
关键词:防火墙网络安全发展趋势
1防火墙概述
1.1防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2防火墙与入侵检测技术
2.1入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:
(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;
(2)如何来提高检测系统的检测安全性和准确性;
(3)如何来提高整个检测系统的互动性能。这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合
从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
参考文献
[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安徽教育学院学报,20xx.
1保护脆弱的服务。
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS(网络信息服务,也称YP—Yellow Page协议)、NFS(网络文件系统,即network file system)服务通过,其中,NIS是一个提供目录服务的RPC(远程过程调用)应用服务,通过它,就可以在网络上共享一个集中式的口令文件,从而大大简化客户端对账户和口令的维护工作,而NFS是在Unix系统间实现磁盘文件共享的一种方法,它支持应用程序在客户端通过网络存取位于服务器磁盘中数据的一种文件系统协议。防火墙同时可以拒绝源路由和ICMP(互联网控制消息,即internet controlmessage protoc01)重定向封包,这里,ICMP的目的是用于在TCP/IP网络中发送控制消息,提供可能发生在通信环境中的各种问题反馈,通过这些信息,令管理者可以对所发生的问题作出诊断,然后采取适当的措施去解决它。
2控制对系统的访问。
防火墙可以提供对系统的访问控制,如允许从外部访问这些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
3集中的安全管理。
防火墙对企业内部网实现集中的安全管理,防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部网用户也只需要经过一次认证即可访问内部网。
4增强保密性。
使用防火墙可以阻止攻击者获取网络系统的有用信息,如Figer和DNS。
5记录和统计网络利用数据以及非法使用数据。
防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据。并且,防火墙可以通过提供的统计数据,来判断可能的被攻击和探测。
6策略执行。
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。
防火墙技术
实现防火墙的技术主要有四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们各有所长,具体使用哪一种或是否混合使用,要看具体需要。
1网络级防火墙
网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方、去向何处;而网络级防火墙可以判断这一点。它可以动态地检查流过的TCP/IP报文头,检查报文头中的报文类型、源IP地址、目的IP地址、源端口号、协议端口等,把信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤型防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的链接,如Telnet、FTP链接等。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限。
2应用级网关
代理服务器隔离在外部网络与内部网络之间,内外之间不能直接交换数据,数据交换由代理服务器“代理”完成,内部用户对外发出的请求经由代理服务器审核,如果符合网络管理员设定的条件,代理服务器就会像一个客户机一样去那个站点取回所需信息转发给用户,比如代理合法的内部主机访问外部非安全网络的站点,并对代理链接的URL进行检查,禁止内部主机访问非法站点;代理内部邮件服务器与外部邮件服务器进行链接,并对邮件的大小、数量、发送者、接收者甚至内部进行检查;认证用户身份、代理合法用户Telnet或FTP,而所有的这些服务都会有一个详细的记录。代理服务器像一堵真正的墙一样阻挡在内部用户和外界之间,从外面只能看到代理服务器而看不到内部资源,从而有效地保护内部网不受侵害。代理服务器比单一的包过滤型防火墙更为可靠,内部客户感觉不到它的存在,可以自由访问外部站点,对外部客户可开放单独的内部链接,可以提供极好的访问控制、登录能力及地址转换功能。代理服务器对提供的服务会有一个详细的记录,如果发现非法入侵会及时报警,这一点非常重要。
但代理服务器也有不尽如人意之处,其一就是每增加一种新的媒体应用,就必须对代理服务器进行设置,而且只要应用程序一升级,原来的代理服务就不再适用了;其二就是处理通信量方面存在“瓶颈”,比简单的包过滤型防火墙要慢得多。处理通信量方面存在“瓶颈”,比简单的包过滤型防火墙要慢得多。
3电路级网关
电路级网关又称线路级网关,它工作在会话层。它在两个主机首次建立TCP链接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机链接时则担当客户机角色。起代理服务的作用。电路级网关防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。
4规则检查防火墙
该防火墙结合了包过滤型防火墙、电路级网关和应用级网关的特点。它同包过滤型防火墙一样,能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包;也像电路级网关一样,能够检查SYN和ACK标记及序列数字是否逻辑有序;也像应用级网关一样,可以在应用层上检查数据包的内容,查看这些内容是否符合内部网络的安全规则。
规则检查防火墙虽然具有前三者的特点,但是不同于一个应用级网关的是:它并不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接链接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
目前,在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在应用层上加密数据,不需要去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。当然除了基于以上几种技术的防火墙以外,又出现了许多新技术。
小结
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393.08
由于计算机的应用,推进网络信息的进步,社会加强对计算机网络的应用力度,增加网络安全维护的压力。根据计算机网络的应用环境,充分发挥防火墙技术的优势,保障计算机网络资源的安全价值。防火墙技术的更新速度比较快,完全适应于现代计算机网络的发展,表现出可靠优势,为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。
1 分析防火墙技术
防火墙技术的原理:按照预设条件监控计算机网络内的流通信息,对流通信息执行授权和限制服务,主动记录关联信息,分析信息的具体来源,明确发生在网络系统内的每一项交互信息,预防外部攻击。
防火墙技术的属性:(1)筛选安全防护策略,确保安全策略能够通过防火墙的防护体系;(2)完整记录信息活动,检测攻击行为,及时提供报警和限制服务;(3)容纳全部信息,维护整体计算机网络。
2 计算机网络系统的安全攻击
计算机网络系统位于信息环境中,网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此,分析计算机网络系统的安全攻击,如下:
2.1 IP攻击
攻击者选择攻击目标群,设置IP攻击路径。首先攻击者向目标主机发送安全信息,获取主机信任,锁定攻击目标,通过信息模式发送虚假IP,当IP欺骗计算机网络安全的保护措施后,虚假IP转化为多项攻击行为,读取用户信息,篡改服务项目,同时安置在用户难以发现的位置,准备随时进行非法攻击。
2.2 拒绝服务
拒绝服务的攻击利用系统漏洞,攻击者向计算机发送攻击数据包,导致主机瘫痪,不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点,攻击者不定时、不定向的发送攻击数据包,计算机无法承担高负荷的数据存储,快速进入停滞或休眠状态,即使用户发送服务请求,计算机因失去服务能力,不能处理用户请求,完全陷入拒绝服务的状态,此时服务器处于正常接收状态,用户只能觉察到服务器不工作,实质已经呈现被攻击状态,丧失服务能力。
2.3 端口攻击
计算机包含多项端口,如:远程、协议、共享等端口,为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响,针对比较常用的端口实行防火墙处理,其余均未实行防护措施。计算机在投入运行时,大部分端口处于开放状态,为攻击者提供硬性攻击路径,攻击木马在端口处的攻击处于零防御状态,所以用户需要关闭不常用端口,切断攻击路径,同时利用防火墙技术检测,防止遗漏端口保护。
2.4 程序攻击
计算机网络运行程序起初设计时,为满足功能需求,采用辅助程序,被称为“后门”,辅助程序具有通道特性,在程序设计完成后需要关闭,但是编程人员并没有关闭辅助程序,攻击者攻击某项运行程序时,首先检测是否留有后门,一旦检测到很容易攻入程序内部,强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患,必须采用恰当的防火墙技术,才可避免程序攻击。
3 防火墙技术在计算机网络安全中的应用
防火墙技术主要隔离计算机网络的内网与外网,形成稳定的保护途径,有效识别外部攻击,具体分析如下:
3.1 代理服务器的应用
代理服务器是防火墙技术的一类,服务器为网络系统提供代理服务,代替真实网络完成信息交互[2]。例如:计算机网络信息由内网传输到外网时,自身携带IP信息,如果IP被外网攻击者解析并跟踪,很容易将病毒或木马带入内网,病毒攻击内网后窃取数据,利用代理服务器,为交互信息提供虚拟的IP,以此隐藏真实IP,外部攻击者只能解析虚拟IP,不会获取任何真实信息,保护内网信息。代理服务器起到中转作用,控制两网信息的交互过程。代理服务器在账号管理、信息验证等方面具有明显的应用优势,在安全性能方面要求较高,满足计算机网络的安全需求。代理服务器的构建比较严谨,必须在应用网关的条件下,才能实现信息保护,所以此类防火墙技术虽然防护能力高,但是运用复杂,用户使用时,最主要的是通过网关提供稳定的网络性能,营造优质的网络保护环境。
3.2 包过滤技术的应用
包过滤技术具有信息选择的特点,此类技术获取传输信息后比对原有的安全注册表,判斷传输信息是否安全。以网络传输的目的IP为例,分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP,解析目的IP的数据包,数据包内包含目的IP的源信息,能够作为标志信息,包过滤技术将数据包与用户安全注册表进行对比,识别数据内是否含有攻击信息,确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径,控制由内到外的信息传输,在由外到内的传输过程内,不仅发挥控制作用,还会提供限制功能,包过滤技术既可以应用在计算机主机上,又可以应用在路由器上,所以包过滤技术又分为开放、封闭两种应用方式,主要根据计算机网络安全的实际情况选择,提供对应服务。包过滤技术受到端口限制并不能实现全网保护,所以兼容能力偏低。
3.3 复合技术的应用
复合技术体现综合防护的优势,防火墙融合代理和包过滤两类技术,体现更稳定的防护方式,弥补防火墙技术的不足之处。基于代理与包过滤的参与下,防火墙技术逐步形成系统性的保护类型,保障防火墙技术的灵活性[4]。目前,防火墙技术表现出混合特性,复合体现代理与包过滤的双向优势,最主要的是以此两类技术为主,融入多项安全技术,结合分析计算机网络安全的运行实际,确保防火墙技术在计算机网络受到攻击危险时,可以快速提供防御服务,体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御,防止外网攻击,主动监测内网信息。复合防护方式有:(1)提供认证机制,确保网络交互的所有信息处于安全约束的状态,形成动态过滤的防护方式;(2)主动隐藏内部信息,形成智能化的感应方式,一旦出现网络攻击,立即采取报警提示;(3)加强交互保护的能力,发挥复合技术的优点,有利于提升防护价值,确保实时维护。
4 结束语
计算机网络应用规模逐步扩大,促使网络运行面临严重的安全问题,科学利用防火墙技术,解决计算机网络中的安全问题,有效保护网络安全。防火墙技术在计算机网络安全发展的过程中,体现出变革与更新特性,实时保护计算机网络系统,避免计算机遭遇外网攻击,确保内网环境的安全。由此可见:防火墙技术在计算机网络安全中占据重要地位。
参考文献:
[1]防火墙技术在网络安全中的应用[J].科技资讯,2012(09):23.
[2]网络安全与防火墙技术的研究[J].网友世界,2011(25):13-15.
[3]浅析防火墙技术在网络安全中的应用[J].云教育,2013(14):112.
[4]防火墙技术与现代网络安全防范体系的关系[J].现代计算机,2012(05):108.
【数据库防火墙技术研究】推荐阅读:
航空雷达数据总线技术研究07-11
数据库技术试题及答案06-11
数据库技术与应用课程设计06-25
《电子商务数据库技术课程设计》报告格式06-29
专业技术人员大数据10-14
城市地理信息多源数据处理研究06-26
数据资源管理下科技情报服务研究论文10-19
数据库与数据库营销06-15
数据库试题06-10
