防火墻技術(shù)對網(wǎng)絡(luò)安全的影響

1、防火墻技術(shù)對網(wǎng)絡(luò)平安的影響摘要：本文通過防火墻的分類、工作原理、應(yīng)用等分析，同時對防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)平安中的作用及影響進(jìn)展闡述。關(guān)鍵詞：防火墻網(wǎng)絡(luò)平安技術(shù)0引言隨著科學(xué)技術(shù)的快速開展，網(wǎng)絡(luò)技術(shù)的不斷開展和完善，在當(dāng)今信息化的社會中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計算機(jī)系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的開展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計算機(jī)網(wǎng)絡(luò)在社會生活中的作用越來越大。為了維護(hù)計算機(jī)網(wǎng)絡(luò)的平安，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)平安政策的有機(jī)組成局部，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來施行對網(wǎng)絡(luò)平

2、安的有效管理。1防火墻的分類防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間施行平安防范的系統(tǒng)，它用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時，仍允許雙方通信，目前，許多防火墻都用于internet內(nèi)部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。按防火墻開展的先后順序可分為:包過濾型(pakfilter)防火墻(也叫第一代防火墻)。復(fù)合型(hybrid)防火墻(也叫第二代防火墻)；以及繼復(fù)合型防火墻之后的第三代防火墻，在第三代防火墻中最具代表性的有:iga(internetgateayappiane)防毒墻；sniall防火墻以及inktvustyberall等。按防火墻在網(wǎng)絡(luò)中的位置可分為:邊界防火墻、分布式

3、防火墻。分布式防火墻又包括主機(jī)防火墻、網(wǎng)絡(luò)防火墻。按實現(xiàn)手段可分為:硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，如鏈接方式，按照一定的平安策略來施行檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。2防火墻在網(wǎng)絡(luò)平安中的作用防火墻的作用是防止非法通信和未經(jīng)過受權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。防火墻的任務(wù)就是從各種端口中區(qū)分判斷從外部不平安網(wǎng)絡(luò)發(fā)送到內(nèi)部平安網(wǎng)絡(luò)中詳細(xì)的計算機(jī)的數(shù)據(jù)是否有害，并盡可能地將有

4、害數(shù)據(jù)丟棄，從而到達(dá)初步的網(wǎng)絡(luò)系統(tǒng)平安保障。它還要在計算機(jī)網(wǎng)絡(luò)和計算機(jī)系統(tǒng)受到危害之前進(jìn)展報警、攔截和響應(yīng)。一般通過對內(nèi)部網(wǎng)絡(luò)安裝防火墻和正確配置后都可以到達(dá)以下目的:限制別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不平安效勞和非法用戶。防止入侵者接近你的防御設(shè)施。限定用戶訪問特殊站點。為監(jiān)視inteet平安提供方便。3防火墻的工作原理防火墻可以用來控制internet和intranet之間所有的數(shù)據(jù)流量。在詳細(xì)應(yīng)用中，防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當(dāng)軟件的計算機(jī)網(wǎng)絡(luò)的多種組合。防火墻為網(wǎng)絡(luò)平安起到了把關(guān)作用，只允許受權(quán)的通信通過。防火墻是兩個網(wǎng)絡(luò)之間的成分集合，有以下性質(zhì):內(nèi)部網(wǎng)絡(luò)和外部

5、網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；只有符合平安策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。一個好的防火墻應(yīng)具有以下屬性:一是所有的信息都必須通過防火墻；二是只有在受保護(hù)網(wǎng)絡(luò)的平安策略中允許的通信才允許通過防火墻；三是記錄通過防火墻的信息內(nèi)容和活動；四是對網(wǎng)絡(luò)攻擊的檢測和告警；五是防火墻本身對各種攻擊免疫。4防火墻技術(shù)防火墻的種類多種多樣，在不同的開展階段，采用的技術(shù)也各不一樣，因此也就產(chǎn)生了不同類型的防火墻。防火墻所采用的技術(shù)主要有:4.1屏蔽路由技術(shù)最簡單和最流行的防火墻形式是“屏蔽路由器。屏蔽路由器在網(wǎng)絡(luò)層工作(有的還包括傳輸層)，采用包過濾或虛電路技術(shù)，包過

6、濾通過檢查每個ip網(wǎng)絡(luò)包，獲得其頭信息，一般包括:到達(dá)的物理網(wǎng)絡(luò)接口，源ip地址，目的ip地址，傳輸層類型(tpudpip)，源端口和目的端口。根據(jù)這些信息，判別是否規(guī)那么集中的某條目匹配，并對匹配包執(zhí)行規(guī)那么中指定的動作(制止或允許)。4.2基于代理的(也稱應(yīng)用網(wǎng)關(guān))防火墻技術(shù)它通常被配置為“雙宿主網(wǎng)關(guān)，具有兩個網(wǎng)絡(luò)接口卡，同時接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“代理，通常是為其所提供的效勞定制的。代理效勞不允許直接與真正的效勞通信，而是與代理效勞器通信(用戶的默認(rèn)網(wǎng)關(guān)指向代理效勞器)。各個應(yīng)用代理在用戶和效勞之間處理所有的通信?？梢?/p>

7、對通過它的數(shù)據(jù)進(jìn)展詳細(xì)的審計追蹤，許多專家也認(rèn)為它更加平安，因為代理軟件可以根據(jù)防火墻后面的主機(jī)的脆弱性來制定，以專門防范的攻擊。4.3包過濾技術(shù)系統(tǒng)按照一定的信息過濾規(guī)那么，對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)展限制，允許受權(quán)信息通過，而回絕非受權(quán)信息通過。包過濾防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的ip包，從其ip頭、傳輸層協(xié)議頭，甚至應(yīng)用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問控制規(guī)那么進(jìn)展一一匹配比擬，執(zhí)行其相關(guān)的動作。4.4動態(tài)防火墻技術(shù)動態(tài)防火墻技術(shù)是針對靜態(tài)包過濾技術(shù)而提出的一項新技術(shù)。靜態(tài)包過濾技術(shù)局限于過濾基于源及目的的端口，ip地址的輸入輸出業(yè)務(wù)，因

8、此限制了控制才能，并且由于網(wǎng)絡(luò)的所有高位(102465535)端要么開放，要么關(guān)閉，使網(wǎng)絡(luò)處于很不完全的境地。而動態(tài)防火墻技術(shù)可創(chuàng)立動態(tài)的規(guī)那么，使其適應(yīng)不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求，規(guī)那么能被修改并承受或回絕條件。動態(tài)防火墻為了跟蹤維護(hù)連接狀態(tài)，它必須對所有進(jìn)出的數(shù)據(jù)包進(jìn)展分析，從其傳輸層，應(yīng)用層中提取相關(guān)的通訊和應(yīng)用狀態(tài)信息，根據(jù)其源和目的ip地址，傳輸層協(xié)議和源及目的端口來區(qū)分每一連接，并建立動態(tài)連接表為所有連接存儲其狀態(tài)和上下文信息；同時為檢查后續(xù)通訊。應(yīng)及時更新這些信息，當(dāng)連接完畢時，也應(yīng)及時從連接表中刪除其相應(yīng)信息。4.5一種改良的防火墻技術(shù)(或稱復(fù)合型防火墻技術(shù))由于

9、過濾型防火墻平安性不高，代理效勞器型防火墻速度較慢，因此出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點的改良型防火墻技術(shù)，它保證了一定的平安性，又使通過它的信息傳輸速度不至于受到太大的影響。對于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的懇求，由于對內(nèi)部網(wǎng)的平安威脅不大，因此可直接下載外部網(wǎng)建立連接，對于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的懇求，先要通過包過濾型防火墻，在此經(jīng)過初步平安檢查，兩次檢查確定無疑后可承受其懇求，否那么，就需要丟棄或作其他處理。5防火墻的應(yīng)用5.1硬件防火墻的設(shè)置下面以思科pix501型防火墻為例，設(shè)置如下:要設(shè)置內(nèi)部接口的ip地址，使用如下命令:pix1(nfig)#ipaddressinside10.1.1

10、.1255.0.0.0pix1(nfig)#如今，設(shè)置外部接口的ip地址:pix1(nfig)#ipaddressutside1.1.1.1255.255.255.0pix1(nfig)#下一步，啟動內(nèi)部和外部接口。確認(rèn)每一個接口的以太網(wǎng)電纜線連接到一臺交換機(jī)。注意，ethernet0接口是外部接口，它在pix501防火墻中只是一個10base-t接口。ether-net1接口是內(nèi)部接口，是一個100base-t接口。下面是啟動這些接口的方法:pix1(nfig)#interfaeethernet010basetpix1(nfig)#interfaeethernet1100fullpix1(n

11、fig)#最后設(shè)置一個默認(rèn)的路由，這樣，發(fā)送到pix防火墻的所有的通訊都會流向下一個上行路由器(我們被分配的ip地址是10.76.12.254):pix1(nfig)#ruteutside0010.76.12.254pix1(nfig)#當(dāng)然，pix防火墻也支持動態(tài)路由協(xié)議(如rip和spf協(xié)議)。如今，我們接著介紹一些更高級的設(shè)置。網(wǎng)絡(luò)地址解析由于我們有ip地址連接，我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱作“pat或者“natverlad的網(wǎng)絡(luò)地址解析。這樣，所有內(nèi)部設(shè)備都可以共享一個公共的ip地址(pix防火墻的外部ip地址)。要做到這一點，請輸入這些命令:pi

12、x1(nfig)#nat(inside)110.0.0.0255.0.0.0pix1(nfig)#glbal(utside)110.1.1.2glbal10.1.1.2illbeprtaddresstranslatedpix1(nfig)#使用這些命令之后，全部內(nèi)部客戶機(jī)都可以連接到公共網(wǎng)絡(luò)的設(shè)備和共享ip地址10.1.1.2。然而，客戶機(jī)到目前為止還沒有任何規(guī)那么允許他們這樣做。5.2軟件防火墻的設(shè)置以天網(wǎng)、諾頓防火墻為例:5.2.1天網(wǎng)防火墻(2.60版)在天網(wǎng)防火墻的主面板上點擊“系統(tǒng)設(shè)置按鈕，在彈出的“系統(tǒng)設(shè)置窗口中，點擊“規(guī)那么設(shè)定中的“向?qū)?，就會彈出設(shè)置向?qū)АＴ凇捌桨布墑e設(shè)置對話框

13、中選擇好平安級別(局域網(wǎng)內(nèi)的用戶可以選擇“低)后再點擊“下一步按鈕，進(jìn)入“局域網(wǎng)信息設(shè)置窗口。勾尋我的電腦在局域網(wǎng)中使用，軟件便會自動探測本機(jī)的ip地址并顯示在下方。接下來，一路點擊“下一步按鈕即可完成設(shè)置了。5.2.2諾頓個人防火墻在軟件的主界面左側(cè)點擊“internet區(qū)域控制選項，在右側(cè)窗口進(jìn)入“信任區(qū)域選項卡，點擊“添加按鈕，翻開“指定計算機(jī)對話框。在該對話框中選擇“使用范圍，然后在下面輸入允許訪問的起始地址和完畢地址即可。6完畢語防火墻技術(shù)是目前應(yīng)對網(wǎng)絡(luò)平安問題的有效的技術(shù)手段之一，但是網(wǎng)絡(luò)平安是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個破綻，都會導(dǎo)致全網(wǎng)的平安問題，我們應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的平安及詳細(xì)措施。平安措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、