圆 EcHNOL 信息技术 防火墙在信息安全中的应用研究① 李剑’ 金科 (1.重庆工程职业技术学院 重庆400037;2.中国惠普 重庆摘一401147) 要:现在,互联网平台已经深入到人们生活的方方面面,人们在享受网络所带来的便利的同时,信息安全问题也成为困扰冈络技术进 步发展的主要问题。本文就是在此环境下,对目前主要的网络防火墙技术的优缺点进行分析,并对新一代的防火墙技术进行着重阐述, 探讨网络安全管理的可行方法。 关键词:防火墙 信息安全 网络环境 中图分类号;TP3 文献标识码:A 文章编号:1672—3791(2012)01(a)一0034—01 洞也是公开的,容易受到网络黑客的攻击。 2.3状态检测防火墙 在实际的网络通信中,即使网络数据 包地址或者用户认证完全正确,还不能保 证网络的安全。所以,出现了一种被称之为 在现代信息社会中,网络平台及其相 关技术的应用已经深入到现代社会的各个 角落。但是,随着网络的发展而出现的各种 新兴业务,如电子商务、网络交易平台、数 字货币和网络银行等,特别是网络安全事 件的不断发生,使得网络安全问题逐渐成 为人们关注的热点。所以,针对网络技术和 平台的安全问题研究就成了计算机和通讯 领域研究的重要方向,逐渐成为信息科学 领域的一个重要研究领域,受到人们的广 泛关注。 现在,针对计算机网络安全的防御技 术主要可以分为主动防御和被动防御两个 方面。其中,主动方式的含义是利用各种信 息加密技术,防止网络上传输的数据和信 息被非法侵入和修改;被动防御则是通过 各种网络防火墙技术,来不同网络用 户的访问权限,从而有效防止非法用户的 登录和访问。一般来说,内部局域网要连接 到外部网络时,就应该在内网和之间 设置一个安全可靠的防火墙,以此来阻止 外部非法用户对内部网络的访问和侵入, 进而保护内部资料不外泄和内部网络设备 的稳定运行。 略和一组对各种特定异常进行处理和响应 的动作集。任何准备经过防火墙的数据包 都应该在放行之前对表中的每条规则进行 检查,直到找到一个合适的匹配。如果没有 合适的匹配规则,就对该数据包执行默认 的管理策略。 2常用防火墙的分类 现在,已知存在的防火墙种类繁多,且 1防火墙原理 所谓的防火墙,其实就是利用一个或 者一组网络设备,如计算机系统或者路由 器等,通过执行严格的安全策略,在相互连 通的网络间进行访问的控制技术,这样,就 可以起到对网络进行保护的目的。通常,防 火墙可以处于内网和之间的一个合适 的关键点上,这样,就可以有效掌控外部非 法用户访问内网资源和内网非法向外传送 信息。在对往来的数据信息进行检查过程 中,防火墙只允许已经授权的数据流通过, 而非法的数据流则不允许通过,这样就在 和内网之间筑起一道无形的屏障。 简单来说,防火墙的组成可以理解为 网络过滤器和安全策略的组合。能够这样 理解的原因就在于防火墙不仅仅是由路由 器、网络主机等网络安全设备所构成的,还 应该完善的安全策略部分。通过完善的安 全策略,才能够构建完整的全方位的安全 防御体系。在安全策略中,主要包括网络访 问、服务访问、用户认证、数据加密、病毒防 根据根据不同的应用环境都有其各自不同 的技术特点。但是,概括起来,常用的防火 墙主要可以分为三个大类,分别是包过滤 防火墙、应用代理服务器和状态检测防火 墙。下面对这三种进行简单介绍。 2.1包过滤防火墙 该类防火墙的技术原理是对数据包进 行过滤。该类防火墙驻澳在网络层对各种 数据包进行分析、选择,所依据的标准就是 事先在系统内部所设置的过滤逻辑,也可 以称之为访问控制列表。 该类防火墙主要采用两种不同的过滤 方式实现,分别是:与服务相关的过滤和与 服务无关的过滤。其中,与服务相关的过滤 主要是指根据特定的服务来对流动的数据 包进行判断,进而确定是否允许通过。与服 务无关的过滤主要针对几种跟服务无关的 攻击类型,不可能通过基本的数据包头信 息来进行识别,需要利用路由表审查,以及 检查特定段地内容,才能有所发现。 2.2应用代理服务器 该类型的防火墙,主要工作在网络的 应用层,能够把经过防火墙的各种通信链 路划分为两段,即,从客户到代理,以及从 代理到目标。这样,位于网络内部的客户就 不需要直接跟外部的服务器进行通信。而 位于防火墙内外的计算机网络间应用层的 连接就可以通过两个代理服务器的连接来 实现。外部计算机网络只能通过代理服务 器来连接,这样,就可以把防火墙内外的计 算机系统和网络进行有效的隔离。由于给 类型的防火墙需要对网络连接中的多个节 点进行检查,所以,代理服务器类的防火墙 功能比较强大。 代理服务器的优点就在于它能够把路 由器中的一些不足和缺点有效的屏蔽。但 是,该类防火墙也存在缺点,就是当网络通 讯请求很多或者任务繁忙时,它的工作效 率就会变得比较低下,进而影响网络带宽 和有效载荷;此外,该类防火墙一般建立在 通用操作系统之上,而通用操作系统的漏 状态监测模式的防火墙技术。该类防火墙 技术又可以称之为动态包过滤防火墙。该 类防火墙的完成方式是在网络层通过一个 检查引擎来截获数据包并把跟应用层状态 相关的信息提取出来,并把该信息作为对 该数据包进行接收处理或者拒绝处理的依 据。该类型的防火墙需要检查维护一个动 态的状态信息表,并对后续的数据包进行 检查。 3现代防火墙技术和系统 从根本上说,传统意义上的防火墙还 只是基于数据包或者服务的过滤技术,对 实际中安全问题的解决和使用能力不高。 所以,随着网络技术和信息安全技术的不 断发展,已经出现了功能更强大、安全性更 高的新一代防火墙技术。新出现的防火墙 技术已经完全超出了传统意义上的防火墙 概念,逐渐发展成为一个全方位、智能化的 安全系统,也可以称之为防火墙。 4结语 概括起来,可以通过是三个技术手段 来实现网络的安全,即:硬件、软件和人员。 就硬件系统来说,防火墙技术的发展水平 已经比较安全可靠,能够给网络系统提供 可靠的防护能力。 但是,网络上的信息安全事件还是层 出不穷,这一方面是由于防火墙在设计和 实现的过程中存在没有考虑到的漏洞,或 者是网络管理人员对防火墙的管理和配置 不当所致。另一方面,就是在防火墙进行安 装和投入使用以后,还应该对其运行状况 进行监控,才能获得有关系统安全运行的 有用信息,进而便于网络的管理和监控。 参考文献 【l】楚狂.网络安全与防火墙技术[M】.北 京:人民邮电出版社,2000. 【2]谢希仁.计算机网络【M】.北京:电子工 业出版社,2000. [3】胡浩.防火墙攻击技术研究[J】. 电子工程学院硕士论文,2004(5). 御,以及每个用户的安全责任等。仅仅利用 防火墙设备,而不设计合理的安全策略,就 会使得防火墙丧失作用。任何完整的防火 墙规则链中多应该包含一个合理的安全策 ①作者简介:李剑(1971,2一),男(汉),重庆市人,计算机讲师,研究方向:计算机网络安全。 34 科技资讯SCIENCE&TECHNOLOGY tNFORMATION
