防火墙技术在网络安全中的运用
开篇:润墨网以专业的文秘视角,为您筛选了一篇防火墙技术在网络安全中的运用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要 随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、服务技术和其它一些新技术的防火墙正向我们走来。本文介绍防火墙技术的相关知识及在网络安全防范中的运用。
关键词 防火墙;作用;分类;发展趋势
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)77-0211-02
1防火墙技术的概念
防火墙(Firewall)原指修建于房屋之间可以防止火灾发生时火势蔓延到其他房屋的墙壁。网络上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,通过分析进出网络的通信流量来防止非授权访问,保护本地网络安全。防火墙本身具有较强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的基础设施。见下图。
在物理上,防火墙可以是一组软硬件设备,也可以是软件实现的防火墙。在逻辑上,防火墙是一个隔离器,也是一个分析器,管理进出于网络间的数据,保证网络的安全。
2防火墙的作用
1)过滤信息,保护网络上的服务。防火墙能防止非法用户进入内部网络,禁止安全性低的服务进出网络,并抗击来自各方面的攻击;
2)方便监视网络的安全性。所有经过防火墙的流量都可以被记录下来,可以方便地监视网络的安全性,并产生日志和报警。防火墙还可以在受到攻击时通过E-mail、短信等方式及时通知网络管理员作出响应和处理;
3)增强网络的保密性。能够利用NAT(网络地址变换)技术,既实现私有地址与共有地址的转换,又可以隐藏内部网络的细节,提高了内部网络的保密性,保证信息不会被泄露与扩散。
3 防火墙的分类
3.1防火墙按照实现方式可以分为硬件防火墙和软件防火墙
软件防火墙以软件方式提供给客户,要求安装于特定的计算机和操作系统之上。安装完成后的计算机就成为防火墙。软件防火墙不在产品中提供计算机硬件,一般价格低廉,软件防火墙相对于硬件防火墙有很多优点:软件防火墙安装配置灵活,易于使用;软件和硬件系统升级容易,升级成本低廉;功能配置灵活,提供二次开发接口,还可以根据需求开发特殊功能。
硬件防火墙以硬件形式提供给客户,硬件防火墙基于专门的硬件平台,不使用普通操作系统,将防火墙功能集成于特殊的芯片之中,硬件防火墙与软件防火墙并无本质区别,只是提高了设备的稳定性、简化了系统的安装过程。
3.2防火墙按现代技术分类,包括包滤型防火墙、应用层型防火墙和状态监测防火墙
包过滤型防火墙是利用数据包过滤技术在网络层对数据包进行分析、选择,检查数据流中每一个数据包的数据地址、目的地址、所用端口号、协议状态,或它们的组合来确定是否允许该数据包通过。其特点是:有选择地允许数据分组穿过防火墙,实现内部主机和外部主机之间的数据交换,工作于OSI模型的网络层与传输层。
应用层网关是在网络的应用层实现协议过滤和转发功能。它专注于防火墙的服务器。主要针对类似浏览器,或者浏览器产生的数据流等进行数据分析,过滤,并在过滤的同时,并且对检测的数据进行记录,生成记录日记等等。应用层防火墙打破了传统的客户机/服务器模式,每个客户机/服务器的通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。应用层防火墙的不足之处在于所有跨网络访问都要通过来实现,牺牲了性能。如果在访问吞吐量大、连接数量多的情况下,将成为网络的瓶颈。
状态监测技术结合了包过滤与技术的优点,安全性能十分有效。它在线网上执行检测的软件引擎,在不影响网络正常运行的状态下,采用数据抽取检测的方法对网络通信的各层实施监控,另外,还会保留或者记录相关数据信息进行决策参考。该防火墙适用于给类网络环境,缺点是配置复杂,对系统性能要求较高,设备价格高,对网络访问速度造成一定影响。
4 防火墙的不足与缺陷
4.1防火墙无法抵抗最新的病毒或者是系统漏洞
就像杀毒软件一样,软件即使在先进,病毒库的更新还是要在新型病毒出现之后才会有。一样的,防火墙的部分防护功能也是在该攻击方式出现,并且被专业人员进行人为定义和分析并且设置才能够发挥功效的。因此,如果发现某个新的主机漏洞把您的网络选中为攻击对象,防火墙也是无力抵抗的。
4.2防火墙的并发连接数限制容易导致堵塞,拥挤或者溢出
由于防火墙要分析,判断流经防火墙的每一个数据包,因此防火墙就存在数据内容过于庞大的问题,这样就可能会形成拥堵,影响网络的正常使用。而当防火墙溢出的时候,防火墙的防线就会崩溃,形同虚设,原本被禁止的在这时也能够顺利通过。
5防火墙的发展趋势
防火墙包过滤技术要向着多功能,柔性化设计方向发展。动态包过滤技术,可通过路由器设备来设置。而一个输出的UDP数据包则能够引起对应的允许应答UDP,来创建一个临时的包过滤规则,允许其对应的UDP包进入内部网。
当前专业人士正在着手拟定新的IP协议。新的IP协议将对防火墙的建立与运行产生很大的影响。另外,现在网络信息流公开化,很多网络上的机器信息流都面临被偷看到的风险,但最新的网络信息技术比如,异步传输模式则可通过将数据包源代码地址直接发送给目的地址,进而切断中途信息泄露这个渠道。
实现功能多样化也是防火墙的发展方向之一,路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSEC VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。