题目: 网络安全与防火墙技术探究 指导教师: 姓名: 学号: 班级:
目录
一、 引言 .................................................................................... 4
二、 网络安全概述 ................................................................... 4
1. 网络安全的定义 ............................................................ 4
2. 安全网络的特征 ............................................................ 4
3. 网络安全的威胁 ............................................................ 4
4. 保障网络安全的技术手段 ............................................ 5
三、 防火墙技术 ....................................................................... 6
1. 防火墙的定义 ................................................................ 6
2. 防火墙的工作原理 ........................................................ 6
3. 防火墙的体系结构 ........................................................ 7
四、 防火墙在网络安全中的应用和发展趋势 ....................... 7
1. 防火墙在网络安全中的作用 .......................................... 7
2. 防火墙的发展趋势 .......................................................... 8
五、 结束语 ................................................................................ 9
六、 参考文献.......................................................................... 10
网络安全与防火墙技术探究
【摘要】
随着互联网技术的普及,时代对网络安全的要求也越来越高。因此,作为保护网络安全的防火墙技术成为人们关注的焦点。该文通过简单介绍计算机网络安全及防火墙技术,对计算机网络安全及防火墙技术进行分析,并阐述了计算机网络安全中防火墙技术的运用及其发展规律。
【abstract】
With the popularization of Internet technology, the age requirement for network security is becoming more and more high. So as to protect the safety of network firewall technology in the spotlight. In this paper, through a simple introduction of computer network security and firewall technology, and analyzes computer network security and firewall technology, and expounds the application of firewall technology in computer network security and its law of development.
【关键词】
网络安全 防火墙 发展趋势
一、引言
网络在社会经济中的作用越来越大,网络安全事件带来的损失也越来越严重。据美国战略和国际问题研究中心报告,网络犯罪每年给全球带来高达4450亿美元的经济损失。2015年,随着网络威胁更为复杂、高级,网络安全事件将带来更大损失。一是针对关键信息基础设施的网络攻击一旦成功,将带来不可估量的影响,能够导致化工厂爆炸、火车碰撞、大面积停电等重大安全事故。二是黑客攻击手段和工具将更为强大,将可对更为复杂的信息系统实施网络攻击,从而造成更大影响和损失。三是随着智能互联设备成为网络攻击的新目标,网络安全事件将不仅造成经济损失,还可能危害设备使用者人身安全。
另外,在一系列利好政策的刺激下,2015年我国信息安全产业将高速增长。一方面,信息安全等IT企业加快并购整合,针对网络安全威胁加强技术研发,推出更加智能的信息安全设备和服务。另一方面,面对愈演愈烈的网络攻击和网络犯罪,政府、金融、能源等重要行业的信息安全需求大幅增长,带动市场的快速发展。预计,2015年信息安全产业增长率将达到30%。
那么,在这样的背景下,我们必须对网络安全提起重视,下面我们将对网络安全的相关概念和其中一项重要技术——防火墙技术进行讨论。
二、网络安全概述
1.网络安全的定义
网络安全的通常定义是指网络系统的硬件、软件及系统中数据信息能够受到保护,不会因为偶然或者恶意原因而遭破坏、更改、泄露,系统能够连续可靠运行,网络服务不中断。
2.安全网络的特征
保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。其中网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。 [1]
3.网络安全的威胁
对计算机网络安全造成的威胁。在计算机网络安全中,造成的威胁主要是自然和人为两种。前者主要是自然灾害和设备的老化、电磁辐射和干扰,以及恶劣环境等造成的威胁;后
者是病毒和黑客攻击、网络缺陷和管理的漏洞,以及恶意的操作等造成的威胁。除此之外,TCP/IP协议和网络结构的缺陷,以及网络安全意识的缺乏都将对计算机网络安全造成威胁。
① 计算机网络安全主要影响原因在于网络资源的共享和开放、网络系统的设计不够完善,以及人为的恶意攻击等。由于资源共享的目的是实现网络应用,任何用户都能够通过互联网进行信息资源的访问,因此,攻击者只要通过服务请求就能够轻松访问到网络数据包,为攻击者提供了破坏的机会。同时合理的网络系统在确保节约资源的条件下,保证其安全性,相反就会构成安全的威胁。随着网络的广泛,黑客和病毒的攻击是计算机网络最难防御的威胁。
② 利用数据加密和网络存取控制的方式确保对网络安全的保护。前者主要是通过链路和端端加密,以及节点和混合加密来阻止数据被恶意的篡改和破坏,以及泄漏等;后者主要是通过身份的识别和数字签名,以及存取权限的控制和备份恢复等来阻止非法访问造成数据的丢失和泄密,以及破坏等。 [2]
4.保障网络安全的技术手段
现在主要被采用的安全技术手段有加密技术、资料签名技术、访问控制技术、身份认证技术、系统脆弱性检测、防火墙技术、入侵检测技术、系统审计技术等。下面简单介绍加密技术、访问控制技术、身份认证技术、入侵检测和防火墙这五种主要的安全按术手段。
1) 加密技术
加密技术是网络信息安全主动的、开放型的防范手段,对于敏感数据应采用加密处理,并且在数据传输时采用加密传输,目前加密技术主要有两大类:一类是基于对称密钥加密的算法,也称私钥算法;另一类是基于非对称密钥的加密法,也称公钥算法。数据加密的基本过程就是对明文文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,该过程的逆过程为解密,即将该编码信息转化为原来数据的过程。
2) 访问控制技术
访问控制技术的主要任务是保证网络资源不被非法访问和使用。它是保证网络安全最重要的核心策略之一。访问控制主要有两种类型:网络访问控制和系统访问控制。网络访问控制限制外部用户对主机网络服务的访问和网络内部用户对外部的访问。系统访问控制为不同用户赋予不同的主机资源访问权限,操作系统提供一定的功能实现系统访问控制。
3) 身份认证
认证是确定某人或某事是否名副其实或有效的过程。身份认证是通过将证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应
的关系,双方通信过程中,一方实体向另一方提供这个证据证明自己的身份,另一方通过相应的机制来验证证据,以确定该实体是否与证据所宣称的身份一致。用户身份认证是保护主机系统的一道重要防线,它的失败很可能会导致整个系统的失败。
4) 入侵检测技术
入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏,可以造成系统拒绝对合法用户服务等危害。入侵者可以是一个手工发出命令的人,也可以是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者分为两类:外部入侵者和允许访问系统资源但又有所限制的内部入侵者。内部入侵者又可分成:假扮成其它有权访问敏感数据用户的入侵者和能够关闭系统审计制的入侵者。入侵检测系统非常类似于防盗报瞥器,用来检测通路点,恶意的活动以及己知的入侵者。
5) 防火墙技术
防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度,实施不同的安全策略和多级保护模式。加强对防火墙的使用,可以经济、有效地保证网络安全。目前己有许多不同功能的防火墙产品可选择,如病毒防火墙、电子邮件防火墙、FTP防火墙、Teinet防火墙等。但防火墙也不是万能的,需要配合其它安全措施来协同防范外部的攻击。[3]
三、防火墙技术
1.防火墙的定义
防火墙技术属于一种隔离技术,是网络与网络之间安全的一道屏障,同时也是保证网络信息安全的基本手段。防火墙不仅能够对网络信息流进行控制,增强网络间的访问控制和安全性,还能够抵抗攻击,阻止其他用户非法获取网络信息资源。防火墙除了能够保护数据不被窃取和复制等,还能够保护内在的设备不被破坏,同时还能够确定服务器是否被访问、被什么人访问、什么时候访问等。
2.防火墙的工作原理
防火墙可以用来控制Intemet和Intranet之间所有的数据流量。在具体应用中,防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用,只允许授权的通信通过。防火墙是两个网络之间的成分集合,有以下性质:
(l)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(2)只有符合安全策略的数据流才能通过防火墙
(3)防火墙自身应具有非常强的抗攻击免疫力。 [4]
3.防火墙的体系结构
1) 双重宿主主机体系结构
双重宿主主机体系结构提供来自与多个网络相连的主机的服务,它围绕双重宿主主机构筑。该双重宿主计算机位于因特网与内部网之间,至少有两个网络接口,且因特网和内部网都可以和它通信,但外部网络和内部网络之间不能直接通信。它相当于内部网络和外部网络的桥梁,能够提供较高级别的控制,可以完全禁止外部网络对内部网络的访问。
该体系结构比较简单,它可以允许用户登录到双重宿主主机,进而访问外部网络。
但这种网络体系并不安全,因为在这种体系结构中主机被用作机构的单一入口点,如果一些不怀好意的人利用双重宿主主机自身的安全漏洞、病毒感染或种植木马将主机攻破,那么该主机就成了一个路由器,甚至可以通过该主机对网络进行重新设置。并且该体系结构中用户访问因特网的速度会较慢。
2) 被屏蔽主机体系结构
被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开。该体系结构中安全主要由数据包过滤提供,其中包括堡垒主机。堡垒主机是外网主机能连接到的唯一内网主机系统,任何外网的系统要访问内网的主机或服务都必须先连接到这台堡垒主机上。在屏蔽路由器上设置数据包过滤策略,让所有的外部连接只能到达内部堡垒主机。该结构比双重堡垒主机更具有可用性和安全性,结构也相对较复杂。
该结构与双重宿主主机体系机构最大的差别是将路由器添加在主机和Internet之间用来进行IP数据包过滤,而该路由器将堡垒主机屏蔽。
3) 被屏蔽子网体系结构
被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,增加了安全层。它通过添加周边网络更进一步地把内网和外网隔离开。这个周边网络充当了内外网的缓冲区,被叫做“非军事区”(DMZ)。最简单的被屏蔽子网体系结构的形式是两个屏蔽路由器,一个连接到DMZ和内网之间,另一个连接到DMZ和外网之间。 [5]
四、防火墙在网络安全中的应用和发展趋势
1. 防火墙在网络安全中的作用
防火墙的作用是防止不希望的非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机
的数据是否有害,并尽可能的将有害数据丢弃,从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般的通过对内部网络安装防火墙和正确配置后都可以达到以下目的:
(1)限制他人进入内部网络,过滤掉不安全服务和非法用户。
(2)防止入侵者接近你的防御设施。
(3)限定用户访问特殊站点。
(4)为监视Intemet安全提供方便
2. 防火墙的发展趋势
随着网络技术和网络规模的不断发展,人们对于计算机网络的依赖也在不断增强。与此同时,针对网络的攻击方式也越来越多,攻击手法日趋复杂和智能化。防火墙技术也随着网络技术和相关学科的发展而日趋成熟,现在防火墙产品是信息安全领域相对比较成熟的产品之
一。随着计算机技术的革新,防火墙也体现出下列几种发展趋势。
1) 优良的性能
新一代的防火墙系统不仅能保护内部网络的安全,而且应该具有更优良的整体性能。未来的防火墙对数据包检查的内容应该更仔细和深入,但不是以牺牲时间为代价。它应该通过技术上的革新或硬、软件处理数据方式的变化来缓解检测和速度这对矛盾,设计出功能更强、时延越小的防火墙产品。由于现在的防火墙更新换代的速度太快,一个企业或公司购置一个或一系列的防火墙产品后,在以后的几年时间里都不会将购置的防火墙产品抛弃,即便是有功能更强大的产品出现。基于这点我认为如果能设计出类似插在计算机的主板上的板卡一样的防火墙硬件功能板卡,通过在防火墙中插入该板卡就可以得到一个与最新技术的防火墙整机媲美的性能效果。与此同时企业或公司不需要花费一大笔钱,尽量的为公司节约经费。
现在的防火墙都具有NAT功能,但是该功能会使得防火墙性能受到影响,如何妥善的解决两者之间的矛盾提高整体性能是防火墙的发展趋势之一。在防火墙中集成的VPN可以有效的解决内网间的很多问题,但VPN的运行速度会影响防火墙总体运行速度,如何提升VPN的运行速度也相当重要。防火墙在各种网络环境中实际应用时的稳定性、易用性以及整体网络安全解决方案将一直是防火墙技术的重要内容。
2) 可扩展的结构和功能
现在的各个领域的产品都能因地制宜,量身定做。同样对于防火墙来说它也应该走这样的发展道路。现在的防火墙已经从单一的包检测中拓展出来形成一个综合性的产品了,防火墙不再是简单的数据包分析了,它集成了多种网络安全技术,成了一个综合类产品。未来的防
火墙产品是一个功能更强更多的防火墙系统,这个系统还应该是可随意伸缩的模块化的系统,用户可以对自己的防火墙系统进行定义,形成最适合自己使用的防火墙系统。
在我们国家IPV6的出现和使用,使得现有的不少协议和产品需要革新换代,但是IPv4到IPv6的过渡需要一个漫长的时期,这对防火墙来说是一个挑战,防火墙不仅要及时适应IPv6网络的发展,解决IPv6引入后带来的新问题,同时由于IPv6与IPv4网络长期共存,也会造成新的安全问题。我们要考虑的不仅仅是更能适应于网络发展的防火墙模型,还包括网络安全防范与评估方法等等.在Intemet无所不在的理念下,防火墙等网络安全产品也必将在可信赖应用与计算环境的角度上设计并解决安全问题。
3) 简化的安装与管理和功能的全面性
不管是硬件防火墙还是软件防火墙,复杂的安装以及配置让很多企业级的用户和管理员感到是件很痛苦的事情,特别是在防火墙配置的时候繁多的规则,一旦配置错一个规则,则可能导致整个内网都暴露在不安全的外网中,如何简化配置和管理应该是防火墙系统未来发展的一个重要考虑因素。未来的防火墙在智能性方面发展成为了必然趋势,现在智能性防火墙已经有产品上市,但是还有很多技术并没有完全成熟,还需要进一步研究从而形成更好的产品,为网络安全保驾护航。
4) 主动过滤
绝大部分防火墙就像小区门口的门卫,是被动的例行检查,但是现在被动的守卫方式己经落后了,如何变被动为主动是防火墙技术发展的一个重要方面,是集成现有的其他技术还是在原有的防火墙系统结构的基础上进行添加,这是防火墙技术的发展方向之一。
5) 服务对象的转向
随着计算机技术和无线网络技术的革新,越来越多的无线产品成为了当今社会的主流产品。他们对安全的要求也在不断提高,防火墙的潜在用户将从传统的内部网络主机走向单机用户,如何更加人性化的为无线设备提供优质的技术服务是未来防火墙发展一个重要发展方向。总的来说防火墙技术正在朝着高速、多功能化、更安全等方向发展。 [6]
五、结束语
本文在课堂学习的基础上,通过对文献书籍的阅读,对信息安全中的网络安全和防火墙技术有了更深刻的理解和认识。对相关内容进行了归纳整理。
防火墙是网络安全中的重要一环,希望专家学者的力量能够促进网络安全的进步,使得信息化的发展能够没有后顾之忧。
六、参考文献
[1]刘洪. 网络安全与防火墙技术的研究[D].沈阳工业大学,2003.
[2]张瑞. 计算机网络安全及防火墙技术分析[J]. 电脑知识与技术,2012,24:5787-5788.
[3]李华飚、柳振良、王恒,防火墙核心技术精解[M].北京:中国水利水电出版社,2005.:87~112
[4]曹莉兰. 基于防火墙技术的网络安全机制研究[D].电子科技大学,2007.
[5]黄开枝,孙岩.网络防御与安全对策[M].北京:清华大学出版社,2004,122一124页:82
[6]郑伟. 基于防火墙的网络安全技术的研究[D].吉林大学,2012.