防火墻技術在網(wǎng)絡安全中的應用

　　小編準備的文論文中論述了防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準其安全體系的構成。

　　摘要：互聯(lián)網(wǎng)到今天已經(jīng)從基本信息共享向電子商務、網(wǎng)絡應用等更為復雜的方面發(fā)展，隨著商業(yè)應用的增加，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。其中也會涉及到是否構成犯罪行為的問題。防火墻技術的引入給予管理和提高網(wǎng)絡的安全性，提供了一個必要而便捷的方式。

　　關鍵詞：網(wǎng)絡安全;防火墻技術

　　一、概述

　　網(wǎng)絡防火墻技術作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡安全技術，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務器(也稱應用網(wǎng)關)也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應該在哪些地方部署防火墻呢?首先，應該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡與外部Internet的接口處，以阻擋來自外部網(wǎng)絡的入侵;其次，如果公司內(nèi)部網(wǎng)絡規(guī)模較大，并且設置有虛擬局域網(wǎng)(VLAN)，則應該在各個VLAN之間設置防火墻;第三，通過公網(wǎng)連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(wǎng)(VPN)。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡還是與外部公網(wǎng)的連接處，都應該安裝防火墻。

　　二、防火墻技術原理

　　(一)數(shù)據(jù)包過濾技術。數(shù)據(jù)包過濾技術工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層，它是個人防火墻技術的第二道防護屏障。數(shù)據(jù)包過濾技術在網(wǎng)絡的入口，根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

　　(二)應用網(wǎng)關技術。應用級網(wǎng)關可以工作在OSI七層模型的任一層上，能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現(xiàn)的。

　　(三)地址翻譯技術。地址翻譯技術是將一個IP地址用另一個IP地址代替。地址翻譯技術主要模式有以下幾種。

　　1.靜態(tài)翻譯。按照固定的翻譯表，將主機的內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址。2.動態(tài)翻譯。為隱藏內(nèi)部主機或擴展的內(nèi)部網(wǎng)絡地址之間，一個大的用戶群共享一個或一組小的Internet IP地址。3.負載平衡翻譯。一個IP地址和端口被翻譯為同等配置的多個服務器。當請求到達時，防火墻按照一個算法平衡所有連接到內(nèi)部的服務器。4.網(wǎng)絡冗余翻譯。多個連續(xù)被附結在一個NAT防火墻上，防火墻根據(jù)負載和可用性對連接進行選擇和使用。

　　(四)狀態(tài)檢測技術。狀態(tài)檢測防火墻采用基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接因素加以識別。

　　三、防火墻的選擇

　　選擇防火墻的標準有很多，但最重要的是以下幾條：

　　(一)防火墻為網(wǎng)絡系統(tǒng)的安全屏障�？倱碛谐杀痉阑饓Ξa(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障，其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內(nèi)。如果僅做粗略估算，非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本，關鍵部門則應另當別論。

　　(二)防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像馬其頓防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部，網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。

　　(三)管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經(jīng)談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應商必須為其用戶提供良好的培訓和售后服務。

　　(四)防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。

　　四、安全技術的研究現(xiàn)狀和動向

　　我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。

　　因此網(wǎng)絡安全技術在21世紀將成為信息網(wǎng)絡發(fā)展的關鍵技術，21世紀人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡安全技術的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯�、開發(fā)和探索，以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網(wǎng)絡的安全，推動我國國民經(jīng)濟的高速發(fā)展。

　　參考文獻：

　　[1]黃健.對計算機網(wǎng)絡安全與防護的幾點思考[J].魅力中國,2008,2

　　[2]王應強.淺談計算機網(wǎng)絡安全[J].中共鄭州市委黨校學報,2009,4

【防火墻技術在網(wǎng)絡安全中的應用】相關文章：

計算機網(wǎng)絡安全中防火墻技術探討論文10-09

計算機網(wǎng)絡安全與防火墻技術10-05

防火墻技術10-07

芻議網(wǎng)絡安全與防火墻10-05

信息安全中防火墻技術的有效運用論文10-10

防火墻技術的計算機網(wǎng)絡應用論文10-09

試論虛擬網(wǎng)絡技術在計算機網(wǎng)絡安全中的應用10-06

網(wǎng)絡安全評價中神經(jīng)網(wǎng)絡的實踐應用10-26

計算機網(wǎng)絡安全教學中虛擬機技術應用論文10-08

紅外技術在電路故障檢測中的應用10-05