基于防火墙的网络安全

基于防火墙的网络安全（精选12篇）

基于防火墙的网络安全 第1篇

防火墙 (Firewall) 最开始用于建筑行业, 它是指在构建房间时, 为了防止火势从一个房间蔓延到另一个房间所设计的一堵墙。伴随着网络的发展, 这一名称被借用过来并应用到计算机网络 (主要指Internet) 安全中, 这样防火墙有了自己新的定义, 指在两个网络之间强制实施访问控制策略的一个系统或一组系统。当然这个系统可以由硬件组成, 可以由软件组成, 也可以是由它们共同来完成。它主要有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。能防止内部信息的泄露。通过利用防火墙对内部网络的划分, 可实现内部重点网段的隔离。

1 防火墙的体系结构

防火墙的体系结构主要有三种:双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。

1.1 双重宿主主机体系结构

围绕具有双重功能的主机设计的, 它能提供高级别的控制能力。它通过在主机中插入两块网卡实现硬件连接, 这就好比是在两个网络中间加上两个路由器, 但是这两个路由器的数据交换是单向通信的。

1.2 屏蔽主机体系结构

屏蔽主机体系结构是使用一个单独的路由器来提供内部网络主机之间的服务, 利用包过滤和代理功能实现。在进行通信时, 内部网络不直接参与同外部网络的通信, 而是先和另外一个网络或者设备通信, 这个设备再和外部网络通信。

1.3 屏蔽子网体系结构

屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层, 通过添加周边网络把内部网络更进一步地与外部网络隔开。比较简单的形式是设置两个屏蔽路由器, 一个位于周边网络和内部网之间, 另一个位于周边网络和外部网之间。在这两个连接层上设置不同的安全定义, 使得侵袭者必须要攻破两个路由器构建的防火墙, 因此提高了网络的安全性。

2 防火墙的类型

防火墙的实现方式多种多样, 根据防火墙所采用的技术, 防火墙主要分为数据包过滤、应用代理、复合型三种。

2.1 包过滤型防火墙

这种类型的防火墙主要针对的是前面提到的双宿主主机体系结构。包过滤型防火墙处于TCP/IP协议的IP层, 它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配, 从而决定数据包的转发或丢弃。过滤规则是按顺序进行检查的, 直到有规则匹配为止。如果没有规则匹配, 则按缺省的规则执行。防火墙的缺省规则应该是禁止。包过滤型防火墙只能实现基于IP地址和端口号的过滤功能, 它实际上是控制内部网络上的主机直接访问外部网络, 而外部网络上的主机对内部网络的访问则要受到限制。

2.2 应用代理型防火墙

应用代理型防火墙是内部网与外部网的隔离点, 起着监视和隔绝应用层通信流的作用。代理服务是运行在防火墙主机上的专门的应用程序或服务器程序, 这些程序根据安全策略接受用户对网络服务的请求并将它们转发到实际的服务。代理服务不允许通信直接经过外部网和内部网。代理服务器不仅仅能够转送用户的请求到真正的网络主机, 代理服务器还能够控制用户能做什么, 根据安全策略, 请求可以被允许或拒绝。

2.3 混合型防火墙

混合型防火墙是把过滤和代理服务等功能结合起来形成新的防火墙, 所用主机称为堡垒主机, 负责代理服务。当前的防火墙产品已不是单一的包过滤或代理服务器型防火墙, 而是将各种安全技术结合起来, 形成一个混合的多级防火墙, 以提高防火墙的灵活性和安全性。这样系统的安全性能又能得到进一步的提升。

3 防火墙的关键技术

防火墙的几种关键技术:包过滤技术、代理技术、地址翻译 (NAT) 技术、SOCKS技术、状态检查技术 (State Specification) 、VPN技术、内容检查技术。

3.1 包过滤技术

包过滤技术是防火墙中的一项主要安全技术, 通过对进出网络的数据流进行控制与操作。系统管理员可以制定一系列规则, 允许指定哪些类型的数据包可以流入或流出内部网络, 哪些类型的数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制, 同时还对任何网络连接和当前的会话状态进行分析和监控。

与传统防火墙对比, 现在的一些包过滤防火墙采用了基于连接状态检查的包过滤, 将属于同一连接的所有包作为一个整体的数据流看待, 通过规则表与连接状态表的共同配合, 同时还考虑与它与前面包的关联性, 极大地提高了系统的性能和安全性。

对基于UDP、ICMP协议的应用来说, 很难用简单的包过滤技术进行处理的。因为UDP协议本身对于顺序错误或丢失的包, 是不做纠错或重传的。而ICMP与IP位于同一层, 它被用来传送IP的差错和控制信息。现在的一些包过滤防火墙在对基于UDP协议的连接处理时, 会为UDP建立虚拟的连接, 同样能够对连接过程状态进行监控, 通过规则与连接状态的共同配合, 达到包过滤的高效与安全。

现在包过滤技术逐渐由“傻瓜型”向“智能型”发展, 从一种被动的规则检查方式变为多级并行或串行或串并行混合的复杂检查方式。采用包过滤技术的优缺点:一般采用包过滤技术所用的时间很少或几乎不需要什么。另外, 应用包过滤技术对终端用户和应用程序是看不见的, 不需要专门的用户培训或在每台主机上设置特别的软件。然而包过滤器规则可能是一项复杂的工作, 因为网管员需要详细地了解Internet各种服务、包头格式和希望在每个域查找的特定的值。如果必须支持复杂的过滤要求的, 则过滤规则集会变得很长和很复杂, 从而很难管理。同时, 吞吐量会随过滤器数量的增加而减少。如果包过滤程序对每个包都执行所有过滤规则的话, 这可能消耗CPU的资源, 并影响一个完全饱和的系统性能。

3.2 代理技术

代理技术指的是应用代理或代理服务器技术, 具体为一个代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器, 同时将外部服务器的响应状态再返回给用户。

代理服务:现在的一些包过滤防火墙中对FTP, TELNET, HTTP, SMTP, POP3和DNS等应用实现了代理服务。这些代理服务对用户是透明的 (Transparent) , 即用户意识不到防火墙的存在, 便可完成内外网络的通讯。

代理服务器可以屏蔽内部网的细节, 使非法分子无法探知内部结构。能够屏蔽某些特殊的命令, 禁止用户使用容易造成攻击的不安全的命令, 从根本上抵御攻击。同时, 还能够过滤不安全脚本, 如ActiveX, Java Applet, JavaScript以及进行邮件过滤。

连接流量:现在的一些包过滤防火墙的代理服务器提供了对连接流量的控制功能, 系统管理员可以根据内部网络的需要增大或减少某一代理 (FTP, HTTP, TELNET, SMTP, POP3, DNS等) 的流量, 更有效地利用资源, 减轻防火墙的负荷。而且, 现在的一些包过滤防火墙采用了多线程多连接技术, 使系统可以对出入防火墙的所有应用层连接进行统一的管理, 处理速度快, 处理进程多, 保证了系统的高效性。

3.3 地址翻译 (NAT) 技术

网络地址翻译可以对外隐藏内部的网络结构, 外部攻击者无法确定内部计算机的连接状态。并且不同的时候, 内部计算机向外连接使用的地址都是不同的, 给外部攻击造成了困难。同样NAT能通过定义各种映像规则, 屏蔽外部的链接请求, 将链接请求映射到不同的计算机中。网络地址翻译都和IP数据包过滤一起使用, 构成了一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器, 其防火墙能力还是比较弱, 抵抗外部入侵的能力也较差, 而和网络地址翻译技术相结合, 就能起到更好的安全保证。

3.4 其它防火墙技术

除了以上的三个技术还有加密技术、安全审计、安全内核、身份认证、负载平衡等等。

4 防火墙的优缺点

4.1 防火墙的优点:

强化安全策略, 保护易受攻击的服务。防火墙执行网络的安全策略, 能过滤那些不安全的服务, 拒绝可疑的访问大大降低非法攻击的风险, 提高网络安全系数。

监视Internet的使用。防火墙也是审查和记录内部对Internet使用的一个最佳地方, 可以在此对内部访问Internet的进行记录。

控制对特殊站点的访问。在内部网络中, 只有邮件服务器、WWW服务器和FTP服务器能被外部网络进行访问而其它主机则要被保护起来, 防止不必要的访问。

实现网段控制, 防火墙能够用来隔离网络中的网段, 以避免一个网段中的问题在整个网络中传播。

4.2 防火墙的缺点

防火墙不能防范内部攻击。防火墙可以很好地防止外部用户获得敏感数据。但是它没法防止内部用户偷窃数据、拷贝数据、破坏硬件和软件等。

访问限制, 很可能屏蔽掉一些需要的服务。

防火墙不能防范所有的威胁。不能防范已感染病毒的文件, 不能有效地防范网络中和计算机中的所有病毒。没有一个防火墙能够自动有效地防御所有的威胁。防火墙不是解决所有网络安全问题的“万灵丹”, 而只是网络安全政策和策略中的一个组成部分。它的应用只是为网络通信提供了更可靠的安全保障。

防火墙降低了整个网络的流量, 减慢了整个系统的运行。大多数的防火墙技术都是增加相应的层来实现, 所以会增加相应的响应时间。

5 防火墙将来的发展趋势

现在网络防火墙技术在不断地发展, 现在的防火墙已经不仅仅是以前传统的防火墙的含义, 己经成为一个网络安全技术集成的代名词。从目前来看, 防火墙正向以下方向发展:

5.1 对网络上数据传输信息的安全, 对IP的加密需求越来越强。安全协议的开发成了一个新的热点。用防火墙在在Internet上建立VPN成了现在组建企业内部网络的一种发展趋势。

5.2 防火墙的过滤深度和广度不断加强。从主要的网络层的单层过滤, 以及目前的源和目的地址、网络服务类型、路由过滤, 发展到内容过滤、URL页面审查、防病毒和对存在严重安全缺陷的ActiveX、恶意Java Applet等的过滤。

5.3 防火墙将从目前只对被保护的内部网络的管理方式向远程上网集中管理方式发展;

5.4 现在的防火墙虽然能对外部网络的攻击进行有效的防护, 但对来自内部网络的攻击却无能为力。因此增加对内部网络用户的防护, 加强对网络攻击的检测和告警将成为防火墙今后的一项重要任务。

5.5 安全管理和审计将不断完善, 特别是可疑活动的审计文件分析工具等开发将成为防火墙产品中的一个重要部分。没有百分之百的网络安全解决方案, 所以必须加强网络安全管理和安全审计的强度。

5.6 防火墙将从目前被动防护状态转变成为一种智能的、能够动态防护内部网络的、井集成日前各种信息安全技术的网络安全产品, 它将不再是传统意义上的防火墙。

摘要：信息时代, 计算机网络世界的发展和应用对人类生活方式的影响越来越大, 越来越多的涉密信息都从传统的媒介转移到网络上存储和传输。本文以防火墙基础知识为背景, 论述了基于网络安全的防火墙的类型结构, 介绍了防火墙主要的安全技术, 在此基础上讨论了它们之间的关系以及主要策略, 并研究了基于网络安全的防火墙的优缺点, 在最后, 介绍了网络安全的发展趋势。

关键词：网络安全,策略,安全技术,防火墙

参考文献

[1]高永强, 郭世泽等.网络安全技术与应用大典.北京:人民邮电出版社, 2003年, 23-37.

[2]徐荣生, 吴海燕.网络信息安全的关键技术.计算机世界, 2000 (18) :C7-C9.

[3]魏亮.网络安全策略研究.电信网技术.2004 (12) :18-22.

[4]杨建红.计算机网络安全与对策.长江铁道学院学报 (社会科学版) , 2005 (1) :236-237.

[5]张桂香.网络信息安全与对策.内蒙古科技与经济, 2001 (5) :78-79.

[6]王国伟, 贾宗璞.基于防火墙的网络入侵检测研究与设计.计算机与数字工程, 2005 (5) :127-128.

[7]李涛.网络安全概论.北京:电子工业出版社, 2004:3-250.

防火墙技术在网络安全的应用研究 第2篇

摘要：随着互联网信息技术的高速发展，网络技术已经被广泛运用到各个领域。但是，目前随着个人网络技术水平的提高，有许多非法的组织或者个人，通过破解密码偷窃学校、企业，甚至是国家的隐私性机密文件或者是资金，严重威胁到这些单位的财产和隐私安全。因此，网络在给社会带来巨大便捷性的同时，也隐藏着较大的安全隐患。防火墙技术是抵御“黑客”非法入侵和非法访问的有效手段之一。本文在此基础上重点探讨了如何在网络安全中合理应用防火墙技术，以达到保护网络安全的目的。

关键词：网络安全问题；防火墙技术；应用

引言：网络技术凭借着自身快捷性和准确性等优势，已经被广泛应用到社会各个领域。我国正处在由工业化社会向信息化社会过渡的阶段，人们对网络的依赖性较强，但企业、个人频繁出现信息资源被盗，机密性文件被窃取，网络被黑客制造的病毒攻击导致整个网络系统瘫痪等恶性事件，这些风险极大影响了企业的正常运行以及个人信息的保障。网络安全问题还不仅仅出现在企业运营上以及个人生活中，甚至还出现在国家安全部门或者机关部门中。所以，如何在信息化高速发展的今天，实现防火墙技术在网络安全的有效运用是有关部门需要长期探讨和研究的问题。我们要借鉴防火墙技术在网络安全成功应用的经验，提出创新性的方案和手段，来克服网络安全问题给社会带来的风险。

一、运用防火墙技术强化网络安全策略

相关单位在运用防火墙技术时，要重视配置以防火墙为中心的安全策略方案，将口令、身份认证、审查、加密等安全信息全部配置到防火墙上，这样相比将网络安全问题分散与各个主机或者是其它部位来讲，都集中在防火墙上更便于管理，安全性强，投入成本少，经济效益高。笔者根据自己长期的研究，总结了一套运用防火墙强化网络安全策略的相关配置方案，其基本步骤如下:第一，在控制面板上实现对防火墙基础信息的设置，这是实现防火墙强化网络安全策略的首要前提和根本保证；第二，实现对静态网络地址转换和动态网络地址转换为主的网络地址转换的设置，动态地址转化和静态地址转换的功能作用各不相同，动态地址转换主要用于内部网络的对外访问用户的出口，而静态地址转换则用来帮

助实现停火区的服务区地址的映射的效果，两者要紧密相连，缺一不可，否则防火墙也达不到其应有的功效；第三，为了最大程度的实现防火墙的防护功能，需要将应用于整个网络系统的安全策略应用添加到防火墙的安全策略列表当中，实现各个安全策略之间良性的运作效果。

二、发挥防火墙网络安全屏障的作用

防火墙是一种位于内部网络与外部网络之间的网络安全系统。实质上是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过，从而保护内部网络免受非法用户的侵入，从而实现网络安全。各个企业或者是单位要积极发挥防火墙网络安全屏障的作用，提高内部网络的安全性，通过过滤外来网络的不安全服务，降低网络安全风险的系数，防火墙只接收外来信息在系统可以准确识别的情况下的相关应用协议。同时，也极大的保护了网路免遭受基于路由的攻击和破坏，防火墙在受到不明信息的攻击和骚扰时，能够自觉运用并且同时将该情况通知防火墙的管理人员。从以上角度分析，说防火墙是网络安全的屏障。为了使防火墙更好的发挥在网络安全的屏障作用，企业等相关部门要采取一定的措施：第一，增强职员防火墙在网络安全中应用的意识；第二，建立其防火墙配置和管理部门，包括对防火墙管理人员的培训和管理；第三，加大对防火墙技术的资金投入，不断升级防火墙技术等。通过以上策略，完善防火墙技术在网络安全中的硬软件基础设施，在防火墙技术的屏障保护下，实现网络系统的健康稳定安全和可持续运行。

三、运用防火墙技术监控网络存取和访问

防火墙能有效地记录Internet上的任何活动，当其它网络用户等访问经过防火墙时，防火墙就会发挥自身技术监控审计的功能，不仅能详细记录这些访问的时间和来源，而且还可以自动生成日志，可供防火墙管理人员的日后参考和追究。当发生不明来源的信息和访问攻击内部网络时，防火墙能根据风险程度自动报警，并能提供网络是否受到外部网络的攻击和监测的详细信息，为有关单位指证不法犯罪团伙利用网络实施违法行为提供了证据。除此之外，时时记录网络的使用情况为日后调整防火墙对内部网络的控制力度也是具有一定的参考价值，分析网络安全风险存在的系数，从而加紧防范，遏制网络风险的生根发芽。有关部门要注重运用防火墙技术监控网络存取和访问这一功能，首先就要确保防火墙技

术的正常运行，保证24小时不分时间和部门进行监测和存取记录，做到防患于未然。

四、发挥防火墙对信息数据库安全维护的补充作用

信息数据库是各个企业必备的存储区域，信息，数据库的建立，不仅为了实现资源的有效整理，还兼顾保证信息，数据的安全。防止内部信息的外泄是防火墙的主要优点之一，我们之所以在某种程度上将防火墙视为一种隔离技术，是因为防火墙技术是一种将内部网和公众访问网（如Internet）分开的方法。利用防火墙我们可以实现对内部网重点网段的隔离，限制和拒绝了一些非法信息的侵入，确保了整个网络系统不受局部敏感的网络安全问题的影响。我们要加大在防墙技术和数据信息库这两者之间实现有效结合的技术研究和开发，使防火墙技术能够确保单位的信息和安全，维护单位和个人的利益。

结语：

网络安全问题的频繁出现，提高了人们对于维护网络安全的意识。通过防火墙技术在网络中的运用，网络安全已经得到了极大的改善。但是，我们不能否认一个防护墙并不能百分之百的保障网络安全，相关部门需要长期不断的探索，在摸索中开发出更先进的防火墙技术，提高网络的安全性。

参考文献：

基于防火墙的网络安全 第3篇

关键词：防火墙技术；智慧校园网络安全；研究

中图分类号：TP393.18

二十一世纪是信息网络技术的世纪，网络在给人们带来诸多便利的同时，其自身存在着的安全隐患与风险会对一些用户带来信息威胁。当下，各个高校校园网的建立在为师生提供各种服务的同时，其网络安全漏洞也给师生带来一些信息安全的忧虑，因此将防火墙技术引进校园网络安全体制极有必要。笔者结合自己多年校园网络建设与维护经验，针对当下校园网存在的一些安全问题，探讨防火墙技术的科学运用方式，以期为高校校园网安全建设提供一些有效经验。

1 校园网建设与运行中存在的主要安全问题

1.1 校园网硬件方面的安全隐患

硬件设备系统是校园网运行的物质基础，硬件系统的主要组成部分包括网络数据的存储系统、传输系统以及网络运行系统等，如果校园网硬件系统出了问题会使校园网的整体运行出现故障。在硬件系统基本设施以外，还有其他一些环境因素也会影响到校园网安全，比如网络设备的物理隔离状况、网络设备所处环境的温湿度条件、电流与电压的稳定性，另外还有一些防盗、防火、防震以及防雷电等基本设施建设的科学性等。

1.2 校园网软件方面的安全隐患

校园网软件方面的安全隐患主要来自于网络以及软件本身的缺陷以及各种网络系统与软件的错误操作等。由于研发技术的限制以及研发人员的个人技术因素，种种开发性的软件容易存在一些安全漏洞。在软件使用过程中，各种不规范不科学的操作会对软件性能造成一定的影响，从而降低了其安全防护性能[1]。网络黑客技术与网络技术本身的发展基本同步，一些网络黑客专门对网络系统以及软件的安全漏洞进行研究，通过非程序化的手段更改或是盗用服务器上的资料，从而实现对个人或者群体网络信息资料的破坏

1.3 网络监管力度不够，致使网络黑客猖獗

由于黑客技术隐蔽性好，破坏性强，目前又缺乏强有力的跟踪和监管手段，黑客已经成为校园网络安全的主要威胁之一。然而各种网络监督管理以及网络警察制度建立不够完善，反黑客系统缺乏追杀技术，致使网络黑客频繁活动，为校园网网络安全与师生重要信息资源带来较大的冲击。

2 防火墙的基本作用

防火墙主要设置在不同网络的连接处用来分割不同网络安全的一组部件，对于一些经过防火墙的数据流进行监测、限制以及更改。在整个网络大环境中，防火墙的主要功能是屏蔽网络内部的相关信息，使内部网络与外部网络环境形成一定程度上的隔绝，以此来保证内部网络的信息安全[2]。在没有防火墙限制的情况下，网络环境中的非法用户可以直接达到网络内部的网络服务器或者任意一台计算机，进行各种破坏活动。因此，简单来说，在网络环境设置防火墙就是在内网外网之间设置一道屏障，为外部网络环境中的用户进入内部网络增加难度，从而保证内部网络的信息安全性。

3 基于防火墙技术的智慧校园网络安全设计

3.1 防火墙的主要技术类型

防火墙技术的主要类型包括数据包过滤型防火墙技术、应用级网关防火墙技术和代理服务防火墙技术。数据包过滤型防火墙技术主要运用于网络层的数据包选择。在网络系统内部设置过滤逻辑，也就是访问控制表，当网络中接收到传输来的数据包之后，便开始对数据包进行源地址、目的地址、所用的端口号以及协议状态等进行逻辑过滤，将符合逻辑的数据包进行放行处理。这种防火墙设计方式逻辑相对简单，价格比较便宜，同时具有易于安装和使用的优点。应用级网关防护墙技术主要应用在网络体系结构的应用层，在具体应用过程中需要在应用层建立协议，对数据包进行过滤与转发。这种技术可以有效防止防火墙外部的的用户直接了解防火墙内部的运行状态与网络结构，以利用帮助网络内环境应对各种非法访问和攻击[3]。代理服务防火墙技术主要运用于数据包过滤型防火墙技术与应用级网关防火墙技术不够有效解决的一些网络防护问题。

3.2 校园网拓扑结构

校园网拓扑结构主要覆盖学校的一些用网单位，因此整体结构中通常具有一个与多个的出口与外网进行连接。学校的主要用网单位包括教学楼、实验楼、报告厅、图书馆、培训楼、行政楼和学生宿舍等，各种用网单位的物理位置分布没有特定的规律，而且每一个用网单位都会在本区域内形成小型局域网。因此需要在各个用网单位之间设置校园网的骨干线，使楼之间的网络线路形成一条光纤连接的形式[4]。校园网的拓扑结构需要充分考虑学校的设计方式，还要充分满足各个用网部门的基本网络需求。在逻辑结构上，可以将校园网划分为核心层、汇聚层与接入层三个层次。核心层通过稳定高效的数据交换与转发能力统摄整个校园网的网络数据传输。汇聚层主要负责校园网骨干设备以及网络接入层的连接。接入层是用户访问网络的直接途径，接入层的基本设施要与网络终端进行连接。

3.3 校园网防火墙安全策略

校园网网络安全的原则是允许访问明确许可的任何一种服务，并且明确许可以外的其他服务拒绝在外面，因此其主要服务功能是针对校园内的。校园网的防火墙主要划分为内网、外网和DMZ三个主要的构成区域。防火墙的外网是防火墙的不可信区域，在本区域内，无论是区域内的主机还是其他设备的访问经过防火墙时都必须进行审核，通过后才可进入内网资源。内网主要保护不被外网用户非法访问的区域，内网主要由校园网中的全部终端主机和一部分的服务器组成，属于防火墙可信区域[5]。DMZ区域是介于内网与外网之间的一个特殊的网络区域，DMZ处在内网之中，但与内网中其他区域存在较大差异，主要体现在安全级别不一样。校园网设计中，可以内网中存放机密数据的服务器置于防火墙之后，提高内网保护的安全级别，拒绝外网直接访问内网中的资源。

4 结束语

校园网运行过程中会涉及到大量的教师与学生的各种重要信息资料，如不对校园网的运行安全性进行科学维护，就会加大信息资料遭到窃取破坏的可能。将防火墙技术运用于校园网的建设与运行，能够在很大程度上保证校园网中各种信息资源的安全。但是，防火墙技術也存在着一些不尽完善之处，在防火墙技术与网络黑客技术的程序发展中，它并不能够完全避免一些网络安全问题。因此通过各种网络监管法规的建立、网络攻击处罚制度的实施和不断提高防火墙技术的安全防护性能，建立安全稳定、高效率的校园网络安全防护体系，才可保障校园网的良好运行。

参考文献：

[1]杨秋叶，杜慧，刘清毅.基于防火墙的智慧校园网络安全技术的研究[J].中小企业管理与科技（中旬刊）：信息技术，2014（09）：311-312.

[2]张立峰.基于防火墙和三层交换机的校园网络安全策略研究[D].电子科技大学，2011.

[3]董钰.基于校园网的网络安全体系结构研究与设计[D].山东大学，2010.

[4]刘自方.基于防火墙的网络安全技术探讨[J].网友世界：互联网研究，2014（09）：22-23.

[5]杨旭.乌兰察布市中等职业技术学校校园网络安全解决方案的设计[D].内蒙古大学，2012.

作者简介：胡春（1982-），男，高校讲师，研究生，研究方向：计算机网络；张桃林（1982-），男，高校讲师，本科，研究方向：计算机网络。

基于防火墙的网络安全技术分析 第4篇

网络运行处于时刻更新的状态, 为社会生产和人们生活提供诸多便利, 改善社会现状。虽然网络技术具备明显的优势, 但是其在运行过程中, 仍旧表现诸多缺陷, 特别是运行方面的安全隐患。利用防火墙, 加强网络运行环境的安全建设, 目前, 基于防火墙的网络安全技术, 成为社会关注的焦点, 不仅提高网络运行环境的安全度, 而且确保网络系统的运行质量, 维持网络运行能力。

1 基于防火墙网络安全技术的要点分析

安全能力是现代网络运行主要考虑的对象, 面临越来越多的安全问题, 增加安全技术的防护负担, 针对防火墙防护, 提出以下几项技术要点。

1.1 规划防火墙的失效模块

评价防火墙的失效特性, 着重提高安全防护能力, 确保防火墙在遭遇安全攻击后, 及时给出应对措施, 保障反应能力[1]。防火墙失效时的表现为: (1) 防火墙没有受到攻击伤害, 维持正常状态; (2) 防火墙在遭遇攻击时, 表现出明显伤害, 但是防火墙可以自行处理, 利用重启方式, 迅速恢复到原始状态; (3) 防火墙自主防护数据流通, 保持通道处于关闭状态; (4) 防火墙已经表现出关闭状态, 但是数据流通正常。防火墙的失效表现, 较容易引发安全威胁, 干扰网络系统的安全运行。

1.2 维护防火墙的实际运行

防火墙的维护始终处于动态状态, 维护人员需定期检测防火墙性能, 实行测评、监控, 提出有效的维护措施, 及时更新防火墙版本, 保障安全维护的能力。

1.3 科学设置防火墙配置

根据网络运行实质, 设置防火墙的参数配置, 为防火墙防护营造良好的环境。高性能防火墙, 有利于系统安全, 有效防止网络出现安全漏洞, 同时还可构建风险分析环境, 分析被保护的网络系统, 以运行安全为出发角度, 提高安全防护能力。

2 网络安全技术中防火墙的应用类型

以防火墙为中心, 构建网络安全防护体系, 提高网络运行能力, 提出基于防火墙网络安全技术的应用类型, 如下:

2.1 地址转换的防护类型

地址转换的防护类型, 实现私有IP访问, 不需要使用者为访问主机注册单独IP, 当内部网络出现访问外网行为时, 防火墙会主动形成映射记录, 以地址伪装的形式, 保护内网源头, 对内保持正常网络活动, 对外隐藏访问身份, 防止外网利用内网访问的IP或端口, 实行反跟踪, 了解内网构造[2]。外网访问内网时, 因为接收的内网信息属于伪装类型, 所以并没有完全掌握内网情况, 只能通过开放端口发出访问请求, 防火墙根据映射记录, 读取外网访问, 判断是否属于安全访问。两次访问规则重合一致时, 判断访问属于安全行为, 反之, 判断为危险行为, 采取屏蔽措施。防火墙的地址转换防护方式, 不需要用户进行特殊设置, 执行操作即可。

2.2 代理防护类型

代理防护需要借助代理类的服务器, 安全性能比较高。代理服务器有效阻碍两层之间的数据交流, 具备一定的真实特性。不论是在客户机的角度, 还是在代理服务器的角度, 对方都是真实的, 不存在虚拟物体。安全防护的原理为:客户机向代理服务器发送读取请求, 代理服务器分析请求后, 传送到真实服务器, 然后获取对应的网络数据, 传输到客户机, 基于中间的代理环节, 有效隔开外网服务器与客户机系统, 双方不存在直接交流的关系, 促使外网无法恶意访问客户机。目前, 代理防护类型, 已经应用于应用层, 明显提高对恶意攻击的防范能力, 但是代理服务器需要与应用层保持统一, 所以增加代理服务器的运行流程, 显示复杂特性。

2.3 包过滤防护类型

包过滤防护类型是防火墙安全保护的基础内容, 利用分包技术, 实现安全保护。网络运行数据的传输类型为“包”, 数据传输时, 分割为不规则的包, 不同包中含有数据的分布信息, 例如:IP、端口等, 防火墙主要读取数据包内的信息, 判断是否属于安全、可信任内容, 确保其来源于安全站点, 如果防火墙在识别数据包时, 发现风险因素, 则会主动拒绝数据进入。由于包过滤防护类型功能有限, 所以只能应用在防护级别比较低的网络安全技术内, 无法识别来源于应用层的攻击, 例如: 利用Java编写, 携带隐蔽病毒, 可以很容易的避开防火墙分包识别, 引发网络风险。

2.4 监测防护类型

监测防护类型的安全级别明显较高, 属于现代网络安全技术的新产品。监测防护没有层面限制, 可以实现不同层次的高效防护, 既可以主动保护网络环境, 又可以实施监控网络运行, 着重分析网络数据, 判断各层网络访问行为, 分析行为是否安全。此类防火墙, 具备全面的防护特性, 在不同防护模块中, 设置探测器, 专门用于探测网络节点, 识别内网、外网的恶意行为[3]。

3 基于防火墙网络安全技术的发展趋向

基于防火墙的网络安全技术, 在实际应用中, 表现明显优势。防火墙安全技术处于积极完善的状态, 深入分析防火墙的发展实际, 提出防火墙主要的发展趋势。

①防火墙安全技术的自动化发展。防火墙面临多样化的网络攻击, 如:病毒、木马、黑客等, 时刻攻击网络系统, 为网络安全埋下极大隐患, 各项网络攻击均具备代表性, 必须构建防火墙自动化的发展体系, 提高防火墙技术的安全能力, 合理应对网络攻击。所以, 自动化成为防火墙安全技术的发展方向, 促使其利用自身自动化的特点, 应对多变的攻击类型, 快速识别威胁攻击, 给予相应的防护, 避免网络在运行过程中, 表现为低度安全状态。

②防火墙安全技术高效的运行能力。运行与运转能力, 对防火墙安全防护具备实质意义, 利用电子芯片, 大规模写入程序保护, 快速处理安全问题, 由此确保防火墙实现软件与硬件共同运行的方式, 形成高强度的防护体系[4]。例如:黑客攻击网络系统时, 防火墙实行全面检测, 快速发现黑客的攻击方式, 通过芯片分析行为路径, 然后提出精确的防护措施, 相比单纯的软件防护, 防范效率得到极大的提升, 加强安全防护的能力。

③防火墙安全技术的可扩展性。随着网络环境的改善和提升, 防火墙安全技术同样得到发展空间, 重点在防护能力和运行规模上得到很大改善, 而且处于不断改善的过程中, 因此, 防火墙必须具备可扩展的特性, 才可满足改善需求。可扩展发展主要是将防火墙设计为可伸缩类型, 根据网络需要, 提供合理、到位的服务。

4 结束语

防火墙是网络安全技术的主要理念, 可以提高网络运行安全, 但是不能完全解决网络安全隐患, 因此, 必须合理利用防火墙, 做好科学预防的工作。以防火墙为研究对象, 深入分析网络安全的需求, 提高防火墙的更新能力, 确保其与网络安全发展的融合性, 一方面推进网络运行发展, 另一方面有效保护网络安全, 保障系统运行的安全与稳定。

摘要：近几年, 网络安全技术呈现多样化发展, 为网络安全提供多个发展空间, 其中防火墙属于建设安全技术的重点, 因此, 本文通过对防火墙进行研究, 分析其在网络安全技术中价值。

关键词：防火墙,网络运行,安全技术

参考文献

[1]何小虎.网络安全与防火墙技术[J].黑龙江科技信息, 2012, (23) :67-69.

[2]马吉丽.防火墙的设立与计算机网络安全[J].黑龙江科技信息, 2012, (08) :35-37.

[3]薛毅飞.探讨计算机网络安全与防火墙技术[J].信息系统工程, 2011, (04) :28-30.

基于防火墙的网络安全 第5篇

包过滤防火墙技术主要是通过IP协议实现，通过路由器就能满足网络安全需求，对系统网络、端口的访问控制有众多应用，可以检查所有通过防火墙的数据信息源头IP地址和目的IP地址，目的端口和源端口。在实际应用中，能够有效防止IP地址诈骗，防止不安全的网络服务侵入，并通过端口和服务的合理设置，来调节系统功能。包过滤防火墙技术是当前应用最为广泛的技术之一，主要是通过计算机处理器来处理报文，处理时间可以忽略不计，这种安全保护措施对用户处于透明状态，保证用户合法进出网络，甚至无法感觉到它的存在，使用起来更加方便，满足用户的各项需求。同样的，包过滤防火墙技术存在一定的缺陷和漏洞，无法对用户级别进行包过滤，无法识别用户的IP地址是否被盗用，如果有入侵者将主机的IP地址更改成合法的IP地址，这样就可以规避该技术的安全检查，轻松入侵内部网络。

3。2检测防火墙

检测防火墙能够根据网络系统运行状态智能拦截数据信息包，并且从各个应用层中提出安全策略需要的数据信息，将其统一放在动态状态表中，由检测防火墙对状态表以及网络后续请求2。3用户操作的不规范网络面临的安全问题除了有来自互联网网站之外的安全威胁之外，还有网站内部自身存在的安全漏洞，例如内部网站员工的非授权访问、用户的不合理操作、网络内部员工相互勾结对外泄漏信息以及网站内部工作人员安全意识不够等。网站内部系统根据工作员工的工作内容的不同，需要对工作人员限制一定的访问权限，避免因为内部人员而造成的不必要的系统内部机密的泄漏。与此同时，由于计算机用户的操作水平的不同，对于不同应用的操作方式也不同，所以极其容易因为用户不规范的计算操作而对网站内部的服务器与系统造成一定的安全威胁。另外，由于工作人员安全意识的薄弱，对于账号以及密码的设置与登陆没有一定的防范意识，随意随处记录网站账号以及密码，极其容易被不法之徒盗取了密码，从而造成网站内部机密的泄漏。

4互联网网络安全的防御措施

就目前来说，互联网在为用户提供方便的同时，也存在着很多漏洞，进而严重影响着用户的信息安全，因此，必须加强对互联网网络安全的重视，及时做好漏洞处理措施，从而确保互联网网络能够安全、稳定运行。

4。1配置防火墙

防火墙是对于计算机内部软件与硬件相关特点中和的一套产品，其安装在互联网网络与网站内部的安全区域中间，为外部网站信息进入内部网站建立一个安全屏障，可以有效防止非法用户和不安全信息的进入，保护内部网站信息的安全，同时，建立网络防火墙可以实现非法用户的网络访问限制，防止特定的网络协议包进入系统内部以影响系统的正常运行。

4。2入侵检测

防火墙的入侵检测功能是其附加功能，能够协助网络系统对付来自外来的入侵，强化了网络管理员的权利，例如监测、记录、防范等，入侵检测功能在很大程度上提升了互联网网络的安全系数。入侵检测是系统对于入侵系统内部的威胁进行检测以及对企图入侵的威胁进行预警，并对系统所以的入侵行为进行监测和记录，并及时采取相应的措施通知用户，用户能够及时地对其入侵进行禁止。目前大部分用户都在网络端口处采用入侵检测，记录所有的入侵行为，因此，用户能够及时对非法入侵进行预防和解决，在很大程度上避免了不必要的经济损失和伤害的发生。

4。3对重要数据进行备份

为了避免系统安全问题而造成的不必要的数据丢失与泄漏，以及移动设备的丢失而造成的信息丢失，对重要数据进行备份是最简单也是最直接的解决办法，数据备份不仅能够避免因为操作不当或者网络故障而造成的信息丢失，还能预防因为骇客入侵或是非法访问而造成的信息丢失。在一般情况下，数据备份主要分为全盘备份、差分备份以及增量备份三大备份类型，用户可以通过电脑系统的非工作区对数据进行备份储存，或者将数据拷贝至例如U盘这类与计算机系统没有直接关系的存储器中进行保存。

对重要数据进行备份是针对互联网网络安全问题最基础的预防措施。

4。4对访问者进行安全认证

目前我国现有的加密技术已经无法确保网站信息的安全，因此，对访问者进行安全认证是确保网络安全必不可少的重要措施，目前我国安全认证的手段主要有：数字签名、智能卡以及证书认证。数字签名是通过其特殊性从而保证文件的真实和区分，由于文件在传输过程中可能被转发，因此，在收到文件时，通过其数据签名可以保证发送者身份的真实性以及文件发送的时间，并能保证文件的可靠性。智能卡是利用集成电路技术制成的卡片，其中不仅可以记录数据，并且能够在机密条件下处理数据，将私密信息储存于该卡中，可以保证信息的安全，不被泄漏。证书认证技术是利用第三方机构对协议或者证书的实施进行监督和保管。

5结束语

综上所述，互联网网络的安全漏洞及防御体系的研究是一个不断完善的过程，随着移动互联网用户的大量增加以及网络技术的高速发展，互联网网络的安全漏洞及防御体系的发展也只能随之不断进步，因此，就必须对其提出更高的要求，力图解决一些实际的网络安全问题，只有较好地保证网络的安全，互联网在未来才具有更好的发展前景，发挥其巨大的市场经济潜力。

引用：

[1]吴昕。物流信息网络安全防御体系的研究[J]。管理科学与工程，。

[2]李艺。复杂信息网络的安全防御体系构建原则研究[J]。装备学院学报，。

防火墙技术对网络安全的影响 第6篇

关键词：防火墙网络安全技术

0引言

随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。

1防火墙的分类

防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于Internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为：包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有：IGA(InternetGatewayAppciance)防毒墙；SonicWall防火墙以及Cink TvustCyberwall等。

按防火墙在网络中的位置可分为：边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为：硬件防火墙、软件防火墙以及软硬兼施的防火墙。

网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

2防火墙在网络安全中的作用

防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的：①限制他人进入内部网络，过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视Intemet安全提供方便。

3防火墙的工作原理

防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性：一是所有的信息都必须通过防火墙：二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙：三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。

4防火墙技术

防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有：

4.1屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过滤通过检查每个lP网络包，取得其头信息，一般包括：到达的物理网络接口，源lP地址，目标IP地址，传输层类型(TCPUDP ICMP)，源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作(禁止或允许)。

4.2基于代理的(也称应用网关)防火墙技术它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。

4.3包过滤技术系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。

4.4动态防火墙技术动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(1024--65535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。

4.5一种改进的防火墙技术(或称复合型防火墙技术)由于过滤型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其他处理o

5防火墙的应用

5.1硬件防火墙的设置

下面以思科PIX 501型防火墙为例，设置如下：要设置内部接口的lP地址，使用如下命令：

PIXl(config)# ip address inside 10.1.1.1 255.O.0.0

PIXl(config)#

现在，设置外部接口的IP地址：

PIXI(config)#ip address outside 1 1.1.1 255.255.255.0

PIXl(config)#

下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，ethernetO接口是外部接口，它在PIX 501防火墙中只是一个10base-T接口。ether-netl接口是内部接口，是一个100Base-T接口。下面是启动这些接口的方法：

PIXl(config)#interface ethernetO 10baset

PIXl fconfig)#interface ethemetl 100full

PIXl(config)#

最后设置一个默认的路由，这样，发送到Plx防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10.76.12.254)：

Pl×1(cOnfiq)#route outside 0 0 10.76.12.254

PIXl(config)#

当然，PI×防火墙也支持动态路由协议(如R1P和oSPF协议)。

现在，我们接着介绍一些更高级的设置。网络地址解析

由于我们有IP地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用～种称作“PAT”或者“NATOver-load”的网络地址解析。这样，所有内部设备都可以共享一个公共的1P地址(Pl×防火墙的外部IP地址)。要做到这一点，请输入这些命令：

PlXl(config)#nat(insjde)1 10.0.0 0 255.0.0.0

PIXl(config)#globaI(outside)1 1 0.1.1.2

G10ball 0.1.1.2 will be PortAddressTranslated

PI×1(config)#

使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享IP地址10.1.1.2。然而，客户机到目前为止还没有任何规则允许他们这样做。

5.2软件防火墙的设置以天网、诺顿防火墙为例：

5.2.1天网防火墙(2.60版)在天网防火墙的主面板上点击“系统设置”按钮，在弹出的“系统设置”窗口中，点击“规则设定”中的“向导”，就会弹出设置向导。

在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮，进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”，软件便会自动探测本机的lP地址并显示在下方。接下来，一路点击“下一步”按钮即可完成设置了。

5.2.2诺顿个人防火墙在软件的主界面左侧点击“Internet区域控制”选项，在右侧窗口进入“信任区域”选项卡，点击“添加”按钮，打开“指定计算机”对话框。在该对话框中选择“使用范围”，然后在下面输入允许访问的起始地址和结束地址即可。

6结束语

基于防火墙的网络安全技术分析 第7篇

1 防火墙技术和网络安全的概念

1.1 防火墙技术的概念

防火墙是一个处于专用网与共用网之间的软硬件结合的系统, 它为内部网构建了一个安全屏障, 是建立在互联网之间的一个安全网关, 可以保护内部网用户免受非法用户入侵的目的。它有2个重要功能:一是将不符合条件的人和数据隔离在网络外部;二是允许符合条件的人进入。它是内部网成员与外部通信的必要条件。防火墙具有4个功能:网络安全的屏障, 强化网络安全策略, 对网络存取和访问进行监控审计, 防止内部信息泄漏。网络安全屏障不仅可以提高内部网络的安全性, 还可以通过过滤网络数据和安全服务, 有效地降低内部网络的风险。因此, 只有那些特殊的应用程序的选择能够通过防火墙。加强网络安全策略是对所有安全软件进行集中的安全管理。例如, 认证和审核等, 这些安全软件可以在防火墙上配置防火墙的安全程序, 并且管理更加经济、方便。对网络存取和访问进行监控审计是指如果所有的访问都能够通过防火墙, 那么防火墙就能够记录下这些访问记录并且进行存储与整理, 同时能够提供网络使用情况的统计数据。当发现可以的访问数据时, 防火墙会先拦截继而进行适当的报警并且提供网络是否收到检测和攻击的详细信息。防止内部信息的外泄, 这是通过防火墙对内部网络的划分, 实现内部网重点网段的隔离, 限制局部重点或敏感网络安全问题对全局网络的影响。

1.2 网络安全的概念

网络安全是保护网络系统的软硬件系统, 并对数据进行分析。网络安全是一个综合性的学科, 包括密码技术、计算机科学、信息安全技术、应用数学等知识, 只要涉及网络信息的真实性、安全性、完整性、保密性和可控性等都是网络安全的研究领域。安全性是信息安全的特性, 是未经授权的用户实体或过程。完整性是指对数据的修改必须由用户授权, 如果未经授权就不能修改或者破坏信息。可用性是指数据可以得到授权的实体访问, 并且根据安全需要进行访问的特性。可控性是指能够控制信息的传播和内容的性质。现阶段网络安全所受到的威胁众多, 除了一些意外事故和自然灾害之外更多的是人为因素, 例如入侵的黑客、病毒等。对于网络入侵有着众多的方式, 例如:口令入侵、木马、万维网欺骗技术、电子邮件攻击、节点攻击、网络监听、黑客软件、安全漏洞攻击、端口扫描攻击等。

2 各类防火墙的设计技术

2.1 包过滤技术

网络中传送信息的单位是数据包, 数据包包含IP源地址、IP目的地址、内部协议、TCP/ICMP消息类型、数据包的收发接口等。这些数据包在网络中传输时可以通过不同的途径到达目的地。包过滤技术就是在数据包传送技术基础上发生作用的, 它利用路由器监视并过滤网络上流入流出的数据包, 拒绝发送可疑的数据包。网络连接都需要借助路由器, 路由器成为内外网络之间通信必须经过的途径, 防火墙就是一个拥有过滤功能的简单路由器。防火墙进行网络安全防护时, 对所有的数据包都逐一审查, 查看是否安全, 是否经过授权。针对过滤包技术进行防火墙设计时应该遵循以下规则:对所有进入内部网的数据包其源地址不能是网络内部地址, 并且目的地地址必须是外部地址;对离开内部的网络数据其源地址必须是内部地址, 并且目的地地址不能是内部地址;对任何通过防火墙的数据无论是目的地址还是源地址都不能是私有地址。包过滤技术能够实现配置客户开放外网对内网的服务器访问, 实现外网对内网发起的数据端口连接, 开放对内网的非连接请求, 接受来自内网的数据包转发等等作用。

2.2 地址翻译技术

该技术可以通过对传输数据包报头中的IP地址进行替换, 允许私有地址访问公共网络, 它会在内主机访问外网时生成一个访问记录, 通过将私有的源地址进行伪装和隐藏就可以利用这个伪装地址进行内外网间的数据传输。当代网络生活中共有的IP地址越来越少, 通过私有网络访问公网是普遍现象, 地址翻译技术在对IP地址进行转换的过程中要注意内部接口和外部接口, 明确地进行网络地址翻译。

2.3 代理技术

代理技术的构建是在内网主机和服务器之间构建一个代理服务器, 这个服务器作为内网的唯一标示, 只有通过这个才能与外网进行数据信息的接收和转发。这项技术要以代理服务设备为基础对数据包进行封锁, 这样能够让外网对内网的修改和破坏变得更加困难, 还能够有效地隐蔽内网自身的漏洞, 不被外网发现。

2.4 屏蔽主机防火墙的设计

屏蔽主机防火墙由包滤路由器与外部网连接, 用一个堡垒主机安装在内部网络上, 替代服务器发生作用。屏蔽主机防火墙设计的主要配置参数包括:W W W服务器:192.168.0.10;外网主机:211.1.1.2;内部网:192.168.0.0/24;接内网:192.168.0.1;接外部路由器:61.1.1.2。

2.5 屏蔽子网络防火墙的设计

屏蔽子网防火墙是在被屏蔽子网体系结构中再添加额外的安全层到屏蔽主机体系结构中。它的配置设计主要参数包括:外部网:10.0.0.0/8;DMZ区:172.16.0.0/16;内部网:192.168.4.0/24;接内部路由器:192.168.4.1。

2.6 防火墙设计的主要原则

在网络设计中电路设备的安全和效率是首先需要保障的, 对于关键的设备和电路要做好冗余和备份。另一方面就是要保证网络传输的可靠性和可用性, 需要采用故障处理和容错技术。在网络设计中需要遵守的主要原则有:安全保密性原则、可扩充性原则、经济合理性原则、可实施性原则。安全保密性措施指的是在设计网络时需要制定一整套措施来保证传输信息的安全, 人们在利用网络信息时保障数据传输的安全是至关重要的, 当人们浏览网页时很容易留下个人资料、隐私信息等, 而大部分的用户都没有关于保障信息安全的相关知识和技术, 也很容易忽视这些信息的删除, 所以建立一整套的安全保密措施是至关重要的, 能够有效防止一些非法分子盗取用户的隐私信息, 这一原则对于社会个人、企业、国家都有重要作用。可扩充性原则指的是在网络规模不断扩大和功能不断完善的今天对于网络扩容提出了新的要求。首先要不能影响用户的使用, 其次就是要灵活方便, 网络升速、配置调整, 这些都是网络设计时需要考虑的内容, 这主要是方便日后数据包容量的扩大和满足用户业务数量的激增以及业务流向的调整。经济合理性原则指的是在选择和优化网络结构和技术时要进行技术经济和性能价格之间的比较, 对于现有的设备要做到充分的保护和利用。在进行网络设计时要先对性价比进行分析, 例如:仅仅是用户个人上网不涉及非常重要的信息时, 如果让个人进行网络设计肯定性价比较高, 并且起到的作用也不大, 但对于一些大型企业或者政府部门来说, 就需要进行很完善的网络设计, 因为它的网络信息更加重要, 很可能涉及政务信息、商业机密, 并且这类信息也容易被一些非法分子攻击, 建立强大的防火墙能够有效保障信息安全, 保障用户的切身利益。可实施原则是指在满足上面的那些原则的基础上还要充分考虑自身条件, 网络设计还要考虑施工和维护的可能性。

3 结语

本文对当今社会网络安全中的防火墙技术进行了分析和研究, 介绍了多种防火墙的设计。网络是一个非常庞大和复杂的系统, 网络的安全性也更为重要。威胁网络安全的因素越来越多, 防火墙是保障网络通信安全的重要手段之一, 在应用防火墙维护网络时要进行正确的配置和选择, 还要对其进行定期的维护, 这样才能够充分发挥防火墙的作用, 保障网络通信安全。在设置防火墙时也要注意提高它在智能化、高速化和多功能化3个方面的作用。希望本文能够对防火墙的设计有所帮助, 促进网络安全的发展。

参考文献

[1]许若权.基于防火墙技术的网络系统安全设计[J].网络安全技术与应用, 2014 (5) :66.

[2]王学慧.基于防火墙的网络安全技术的研究[J].电子制作, 2013 (21) :138.

基于防火墙的网络安全技术分析 第8篇

关键词：防火墙,网络安全,技术关键点,发展趋势

0 引言

毋庸置疑, 当今社会是科技的时代。随着科技的发展, 计算机网络技术的不断更新和发展, 信息网络技术正在对人们的生活和工作产生着巨大的影响, 改变着人们的工作环境和生活环境。但是, 网络技术也存在着安全隐患, 部分计算机存在着病毒、黑客等的危险。维护计算机的网络安全, 成为人们热切关注的焦点。随着防火墙技术的不断完善, 防火墙正发展成为维护网络安全最有效、最核心、最主要的手段。

1 防火墙以及计算机的网络安全的相关概念

防火墙的主要作用是保护安全的网络避免来自不安全网络的破坏。从本质上来说, 防火墙也就是计算机的一种保护装置;从物理上来说, 防火墙是由主机、路由器等硬件设备同软件设备的组合;从逻辑上来说, 防火墙就是分析器、分离器、限制器;从技术上来说, 防火墙就是一种通过在安全网络同不安全网络进行设置障碍, 分离的控制访问的技术。

计算机的网络安全指的是保护网络系统中的硬件系统与数据、软件系统与数据, 使其避免受到恶意或偶然等因素的破坏, 确保整个系统网络的可靠、稳定、连续的运行。从某种意义上来说, 网络安全的实质就是确保信息的安全。广义意义上的网络安全包括网络信息的可用性、完整性、保密性、真实性以及可控性的技术等。从教育学上来说, 网络安全属于一门综合性的学科, 一般涉及应用数学、计算机技术、密码技术以及信息安全技术等学科。

随着计算机技术的迅速发展, 人们对于计算机的需求, 不单单局限于局域网的企业内部业务以及简单的数学运算、文件处理等单机的业务。目前, 计算机的应用已经发展到复杂的Intranet、Extranet、Internet等网络业务。随着计算机应用范围的扩大, 连接能力的提升, 关于网络安全的问题也逐渐的浮出水面, 成为人们研究的重点。目前, 网络安全的问题主要体现在拓扑结构的安全、物理安全、网络系统的安全以及应用系统的安全等方面。对于计算机的网络安全问题, 应当防患于未然, 因此, 防火墙技术成为防范网络安全问题的主要技术。

2 防火墙安全技术的关键点

针对网络安全问题层出不穷, 愈演愈烈的趋势, 防火墙在防范网络安全问题的时候, 应当从以下几个防火墙安全技术的关键点进行认真的把握。

首先, 正确、合理的选用和配置防火墙。作为一种网络安全的防护手段, 防火墙有着许多的实现方式。正确合理的防火墙能够有效的保护系统的安全, 防范网络安全问题。具体来说, 正确合理的建立和配置行而有效的防火墙应当进行有效的风险分析、需求分析、制定安全政策、选择合理的防护手段。

其次, 正确的评估防火墙出现的失效问题。评价防火墙的性能的时候, 不但要看防火墙所达到的安全防护能力, 更重要的在于防火墙被伤害后的应对能力。防火墙出现失效问题时主要有四种状态, 即防火墙未受伤害的时侯才能正常的工作;防火墙在受到伤害的时候能够实现重新启动, 而且恢复到受到伤害前的工作状态;防火墙禁止或关闭了数据通行;防火墙关闭, 运行一切数据通行。此四种状态中, 最为稳定的是前两种, 后两种则带有一定的危险性。

再次, 必须对防火墙技术进行动态的维护。防火墙投入运行使用后, 作为系统的管理人员, 应当实时的对防火墙的防范能力进行监督和测评, 必要时, 同商家进行沟通和交流, 及时的关注防火墙技术的更新。

第四, 必须对防火墙技术建立一个稳定的规则集。规则集对于防火墙技术来说是非常重要的, 一个安全稳定的规则集能够有效的保障安全、成功的防火墙。一旦防火墙的规则集配置发生错误, 那么防火墙的功能也会失效。

3 防火墙安全技术的发展方向

随着科技的发展, 防火墙技术的不断完善, 针对网络安全的问题, 防火墙正在以其独特的性能发挥着其防范安全问题的作用。通过对防火墙现状的研究, 笔者认为防火墙的发展将会朝着高速化、智能化、多功能化的方向发展

首先, 防火墙安全技术的高速化。随着科技发展, 电子芯片技术的进步, 防火墙将更多的加入到芯片计算问题的加速, 应用层的分析以及软件的过滤精确问题。防火墙最终将会实现软硬兼施的方案, 为计算机用户提供更高速的防范体系。因此, 未来防火火墙的发展将向着以芯片技术为核心的高速化发展。

其次, 防火墙安全技术的智能化。根据统计, 网络安全面临的难题主要有以垃圾电子邮件为典型的内容的控制, 以蠕虫为典型的病毒传播, 以拒绝访问为主的网络攻击。针对网络安全的难点, 传统的防火墙是不能满足网络安全的需要的。因此, 防火墙安全技术的智能化必能成为防火墙的发展趋势。

再次, 防火墙安全技术朝着良好的可扩展性的方向发展。计算机网络技术的发展推动着防火墙技术的进步。随着P2P应用、IPv6网络以及3G网络等计算机网络技术的进步, 防火墙的性能和规模应建立在网络技术以及安全策略发展的基础上进行完善。下一代的防火墙应当是可伸可缩的一种模块化的解决方案。因此, 防火墙的安全技术正在向着可扩展的方向发展。

4 结语

综上所述, 近年来, 随着计算机技术网络安全技术的发展, 防火墙安全技术正得到人们的重视和青睐。防火墙已经发展成为重要的保护网络安全的重要手段。通过本文对网络安全和防火墙的相关概念、防火墙的技术关键点以及防火墙发展趋势的研究, 让我们真正的了解了防火墙在防范网络安全问题上的优势。只有认真的把握了防火墙的技术要点, 将防火墙技术同其他网络安全技术紧密的结合起来, 才能真正的做到杜绝网络安全问题。

参考文献

[1]孟晓景, 井艳芳, 张瑜.Linux内核Netfilter防火墙原理与设计[J].山东科技大学学报 (自然科学版) , 2012 (02)

[2]韩秋锋.基于SOCKS V5代理的防火墙中强认证机制的研究与实现[D].华侨大学, 2012 (10)

[3]朱革媚, 周传华, 赵保华.网络安全与新型防火墙技术[J].计算机工程与设计, 2011 (01)

[4]宿宝臣.透明代理机制分析及其Limax实现[J].山东理工大学学报 (自然科学版) , 2013 (04)

[5]吉璨琛.基于包过滤技术的个人安全防御系统研究与实现[D].北京邮电大学, 2010 (07)

基于防火墙屏蔽技术的网络安全初探 第9篇

关键词：互联网技术,网络安全,防火墙屏蔽技术,技术要点

随着我国互联网技术的高速发展, 网络在给人们生活带来极大便利的同时, 网络的安全问题也给人们带来了很大的困扰, 网络的安全问题已经成为我国互联网技术在未来发展的道路中最需要解决的关键问题, 目前防火墙屏蔽技术已经成为维护网络安全最常用的技术。要想保证网络上的信息安全, 就必须进行网络安全的维护工作, 以此来彻底实现安全通信, 互联网一旦实现彻底的安全通信, 那么网络上的一些资源以及重要信息就得到了安全保障。

网络安全包括了两个方面, 网络的系统安全以及网络信息安全, 网络系统的硬件设施以及软件设施都属于网络安全的范畴, 另外, 网络安全一旦受到保障, 系统中的任何资料数据都得到了保护, 减少了由于外界恶意的破坏或者偶然操作导致系统运行出现中断瘫痪的现象, 也避免了网络中数据资料等重要信息遭受篡改、泄露、破坏的风险。但是网络安全技术的建设是一项庞大而又艰巨的任务, 随着我国互联网技术水平的逐渐发展, 我国的网络安全维护方面取得了很大的进步, 防火墙屏蔽技术是我国发展较早也是网络安全方面发展较为成熟的一种网络安全维护技术, 防火墙屏蔽技术也被众多网络用户所接收采纳, 本文基于防火墙屏蔽技术的网络安全初探进行了详细的分析与论述, 不仅对造成网络安全隐患的因素进行了列举还介绍了一些有关防火墙屏蔽技术的相关知识, 为我国互联网技术的安全维护工作奠定了良好的保障基础。

1 防火墙屏蔽技术的意义以及重要性

我国的网络的安全问题现在已经上升为我国网络技术发展过程中的一个焦点问题, 恶意对网络进行攻击的现象频繁发生, 给国家政府、企业等各个机构部门带来了灾难性的毁灭, 越来越多的黑客侵袭给计算机网络带来了很大的麻烦, 黑客的随意攻击使得我国的网络安全存在隐患, 肆意妄为的对网络信息的篡改给国家政府、企业等各个部门带来巨大的经济损失, 因此在研制出来的众多网络安全维护当中, 防火墙屏蔽技术占有主导地位, 防火墙屏蔽技术的发展较为成熟, 可以有效地阻挡部分非法授权的访问以及网络病毒的传播, 防火墙屏蔽技术已被大部分单位普遍接纳并采用到网络工程当中, 由此可见在我国网络安全维护技术发展过程中防火墙屏蔽技术的未来趋势以及带来的到位的安全技术保障。防火墙屏蔽技术在计算机网络的应用领域当中已经成为抵御非法访问意思抵挡各种恶意侵入的先锋, 给存在安全隐患的网络加上了一层保护系统, 相当于在大体的网络当中搭建了一个子网安全平台。

2 防火墙屏蔽技术的组织架构以及安全技术要点

防火墙屏蔽技术的组织架构十分复杂, 代理服务器和屏蔽路由器是防火墙屏蔽系统中不能缺少的两个组织架构, 代理服务器和屏蔽路由器起到了十分重要的作用。代理服务器和屏蔽路由器的分工作用不同, 代理服务器可以分辨出网络的合法还是非法, 可以掌控网络申请的过滤权, 可以为用户计算机当中的各种缓存记录以及账号密码等重要信息起到保护作用, 但是代理服务器也存在很大的漏洞, 代理服务器的应用过程中必须建立应用层网关, 才能起到防护作用, 这也是代理服务器的难以落实的原因。屏蔽路由器可以避免各种欺诈性网址的访问, 可以提前识别具有欺诈攻击性的IP, 另外, 屏蔽路由器的组织架构比较简单, 不用耗费太多的资金, 但是, 屏蔽路由器的设置较为复杂, 相比之代理服务器屏蔽路由器不能及时对用户身份进行识别。防火墙屏蔽技术的组织构架十分严密, 各项安全体系的结构构建也十分复杂, 又谨慎仔细地执行每一条规则, 在构建的过程中要记得取消默认防火墙以外的其他服务, 任务执行时要确认服务是否已经认可, 允许内部网络的访问;另外, 还要对一些域名进行锁定, 禁止一切网络对防火墙的访问, 这就增加了防火墙屏蔽技术的安全性。服务器管理员访问计算机内网的时候要记得进行加密, 借此可以提升防火墙的屏蔽效果, 提高防火墙屏蔽技术对于网络安全的安全维护性能。

有关防火墙屏蔽技术的管理研究人员要精确地对防火墙的屏蔽效果进行评估, 安全性能的良好检测可以保证防火墙的良好的工作状态, 可以提前观测防火墙是否失效, 是否可以迅速敏捷的辨别一些非法软件和恶意攻击的存在, 另外还要及时检测防火墙的自我修复能力。良好的自我修复能力包括:经过调试可以顺利运行、遭受攻击防御之后还能再次开启并且继续运行、防火墙关闭后经过许可数据仍然被允许通过、防火墙关闭并且严禁任何数据通过。防火墙屏蔽技术的运用时要谨记定时对防火墙运行状态进行评估和检测。防火墙的配置是有科学依据的, 因此计算机用户对于防火墙要用选择性的眼光去安装, 防火墙屏蔽技术不仅具有多系统的防护构建也具有一定的科学性, 继而要想使防火墙起到真正的屏蔽维护效果必须在配置的过程中依据严格的程序:首先要对计算机网络风险进行详细和系统的分析, 其次要对计算机用户的不同需求进行深层的探究, 设计出一套有针对性的方案;然后还要根据设计出的方案制定一套符合标准的安全政策并且下发给用户使用户了解用户准则;最后在选取防护措施时要谨慎, 不能功亏一篑。

防火墙屏蔽技术的动态维护也十分重要, 当防火墙正式安装在计算机上并且正式应用之后, 要对网络安全的运行进行动态维护, 在防火墙发挥安全保护工作的同时对防火墙的运行状态进行追踪, 及时发现问题并且及时解决问题, 要想对防火墙的运行状况进行彻底的追踪就要与供货的厂商时刻保持联系, 关注厂商发表的每一个动态, 及时为防火墙出现的漏洞进行后续的补救工作并且及时更新防火墙。计算机配置一旦出现错误, 网络就随时面临着瘫痪的危险, 因此建立一个可靠的规则集是十分必要的, 规则集的精简度关系着计算机配置的错误率, 只有网络准则达到小于等于三十条的时候才为最标准的规则集, 因此规则集的构建十分重要, 当一切从规则集进入的时候, 被检测的不单单是计算机安装的防火墙, 面对的是整个安全体系构架, 只有大力缩短了防火墙的处理器周期, 才会使防火墙的安全维护效率大大提升。

3 防火墙屏蔽技术的安全方案

防火墙屏蔽技术的安全方案的编制也是所需要完成任务当中的重中之重, 因此在服务器的入口处设置一个内部防火墙的措施已经成为了一个普遍被采用的手段, 这样内部防火墙的设置可以使防火墙的安全策略更加完善, 可以对计算机网络的内网的控制更加严格准确。网络用户的访问设定权限的设置都凭借着内部防火墙的功劳, 内部防火墙可以保障用户访问自己所需要的网站获取可靠的信息, 内部防火墙强大的识别功能不仅对资源很好的辨别还能对用户进行远程的操控, 记下用户在具体的某个网络区段间进行过的每一笔数据的访问痕迹, 及时中断恶意的攻击操作行为, 内部防火墙的集中管理化模式使每个网络区段的安全维护一体化, 不用单独的进行安全设置, 这些措施都有效的避免了防火墙发挥屏蔽功能使所出现的安全技术型问题。

内网防火墙的设置有效的抵挡了内网的攻击, 因此要想防范好外网的攻击那么外网防火墙的设定便也是不容忽略的, 外网防火墙有效地抵御了外网的恶意攻击行为。外部防火墙可以灵活的变换地址, 使对内网结构的掌握超出了掌控范围, 灵活的变动可以有效阻挡外界对网络的恶意攻击, 使之失去目标。计算机网络的内网和外网之间这个区域就是外部防火墙所要精确设定的范围, 可以对获取的数据进行详细的分析, 对各种网络请求进行筛选允许合法的通过, 有效地避免了一些恶意软件非法的访问。

4 防火墙屏蔽技术的发展趋势与未来发展前景

防火墙屏蔽技术有着很大的发展前景, 日益向智能化、更优异的扩展性以及高效的性能发展, 如今我国的互联网安全面临了很多很难解决的问题, 蠕虫是最典型的病毒传播表现形式, 另外对一些涉密的网站进行的恶意攻击以及垃圾软件、邮件等的控制也属于网络安全问题, 但是防火墙屏蔽技术的能力是有限的, 不能解决所有的网络安全问题, 因此防火墙屏蔽技术的智能化趋势是有一定的发展前景的。我国互联网技术的发展愈发成熟, 从2G网络到3G网络的跨越, 以及发展到今天的4G网络, 防火墙的功能和规模也应该随着时代的发展而逐渐扩展起来, 要及时顺应网络技术的改变。最后, 防火墙的性能也应该随着时代的发展而日益高效起来, 防火墙屏蔽技术的应用要渗透到任何领域当中, 为更多的用户提供可靠的方案和更加安全高效的性能。

5 结语

防火墙屏蔽技术在维护网络安全方面起到了很大的作用, 因此, 人们要对防火墙屏蔽技术有一个十分清晰的了解与认识, 防火墙屏蔽技术为网络安全作出巨大的贡献, 防火墙屏蔽技术在功能、类型以及原理上要逐渐的完善和优化, 最终要使防火墙屏蔽技术的安全性能达到完美才是我国对于互联网安全技术的终极目标。

参考文献

[1]张晓芳.基于防火墙屏蔽技术的网络安全初探[J].无线互联科技, 2012 (07) .

[2]曾繁荣.防火墙技术在网络安全中的应用探究[J].青春岁月, 2012 (08) .

基于防火墙技术的网络安全防护 第10篇

随着互联网技术的快速发展,网络得到了很大的发展,互联网在大众生活、工作中发挥着越来越大的作用,同时也改变了人们传统的交流形式,让资源实现共享。在这期间,互联网安全就成了大众关心的重点。鉴于此,为了保障网络安全与信息通畅,网络维护相继被提上日程,防火墙作为最主要、最有效、最直接的方式,防火墙技术覆盖范围广、防御能力好。作为网络安全防护的重要内容,防火墙利用监测与控制网交换信息,最后实现网络安全管理。

1 防火墙的技术概述

(1)防火墙类型

根据防火墙在计算机的位置进行划分,有分布式与边墙式防火墙之分。分布式防火墙又有:主机与网络防火墙。根据防火墙的实施途径有:硬件、软件与软硬结合式防火墙。根据事先原理有:网络、应用、规则检查与电路级防火墙之分。根据结构有:单一主机、路由器集成式与分布式防火墙。

(2)防火墙原理

防火墙主要用于监控外网的数据信息,它对保障计算机安全具有很大作用,在数据交流中,拥有授权的数据才能流通。防火墙由外网与内网部件构成。对于有防火墙的网络,外网与内网间的数据必须流经防火墙,最后完成计算机通信。一般防火墙拥有很好的抗入侵与防御能力,安全性良好的防火墙一般会具备以下性质:首先,外网与内网间的所有数据都要经过防火墙;其次,满足受保护的防护策略,同时得到授权的通信再经过防火墙;最后,防火墙对流经的所有活动、数据信息与入侵行为实施报警、记录与监控,以提高防火墙抵御攻击。

(3)防火墙作用

发展到现在,防火墙已经成为计算机网络防护最有力的工具,同时被广泛使用在因特网中。

首先,保护内部网络。防护墙不仅能改善网络安全系数,在过滤不安全因素的同时,还能减小内部风险。所以,在工作中,内部环境必须经受住外部环境风险影响,以严格控制防火墙为基准,这样才能确保网络体系不被外部攻击,在安全的条件下提供服务。针对内部局域网不能缺少的NFS与NIS,使用公式,降低内部管理负担。

其次,控制内部系统。防火墙有能力限制内在网点访问。如:主系统由外部网络访问,主系统必须始终处在封闭状态,以避免有害侵扰。除邮件与信息服务器特殊情况,防火墙还能及时避免内部访问。即:防火墙始终处在重要位置,以过滤非必要的访问,确保网络内部安全。

最后,避免内部信息泄露。在划分内部网络的同时,对内部网络进行重点隔离,并且限制不同部门的内部网络访问,以保障网络数据的安全性。隐私作为内部网的关键,同时也是最容易忽略的部分,由于涉及安全线索,所以攻击者对此很有兴趣,同时也暴露了网络漏洞。将防火墙应用到计算机网络中,能及时规避内部细节,具体如:DNS、Finger等。Finger能显示主机上的真名、用户名与登录时间等,同时显示的信息也很容易被获取,掌握系统的使用程度,以及该系统是否连线上网。另外,防火墙还能隐蔽DNS信息,如此主机域名与IP就很难被外界获取。

2 防火墙技术方法

防火墙根据不同的侧重点与防范方式分成多种方式,从整体来看:有数据包过滤、代理服务器与应用级网关等几种情况。

(1)数据包过滤

数据包过滤是利用网络层对相关数据进行选择,它选择的依据是逻辑过滤,该过滤逻辑又被称作访问控制表,利用数据流中的目的、源地址、端口、协议状态或者组合,判定该数据包是否会被放行。数据包过滤的逻辑相对简单,方便安装与应用、价格低廉,其透明性与网络性较好,一般安装于路由器上。在这期间,路由器一直是因特网与内部网络连接的重要设施,所以在原网络上利用该设施的费用消耗相对较少。但是我们也应该看到:非法访问依然会打破防火墙,攻击主机配置与软件。数据包的目的地址、源地址、端口都在数据包顶端,经常存在假冒与窃听问题。

(2)应用级网关

应用级网关是在网络应用的背景上设置转发与过滤功能,对于特定网络服务器,使用对应的数据进行过滤。在过滤期间,对相关数据包实施登记、分析与统计,最终生成报告。事实上,应用网关一般建立在工作站上。在过滤数据包时,结合应用网关防火墙相关特点与特定逻辑判别数据包。如果满足逻辑要求,防火墙内外就能建立联系,外部用户也可以直接掌握防火墙运行特征与网络系统,此举也为非法攻击与访问提供了渠道。

(3)代理服务

代理服务又称链路级网关、TCP通道。它是针对应用网关与数据包过滤中存在的缺陷引入的技术,它的特征是将跨越防火墙的链路变成两段。而防火墙内外的系统被称作链接,最后由两终端链接,而外部链路一般只能得到代理服务器,最后隔离防火墙系统。

3 防火墙技术抵御SYNFlood攻击

(1)防火墙的防御原理

受多种类型的防火墙影响,不同的防火墙会使用对应的防火墙技术。应用代理防火墙是在服务器与客户端建成TCP链接,由于它主要用于服务器与客户端间,所以通常充当代理的角色。此时服务端器与客户端就必须建成TCP进行连接,事先与防火墙TCP握手,在防火墙与客户端握手之后,再让服务器与防火墙进行TCP握手,当一切就绪后建立TCP连接。通常,一成功的TCP必须经过两个三次握手。从该流程来看:因为报文必须由防火墙转发,一旦客户端没有建立TCP连接,将难以与服务器进行连接,因此该防火墙会起到保护与隔离的作用,具有很高的安全性。当外界遭到SYNFlood攻击后,此时防火墙遭到攻击。当然,我们也应该看到防火墙本身就有很好的抵御能力,利用已有设置,就能避免外界报文发送。

(2)防御攻击设置

除了直接利用各种防火墙进行抵御,还可以通过特殊防火墙达到抵御要求。针对攻击,防火墙有SNY网关、SNY中继、SYN网关三种防护形式。在SNY网关中,防火墙自收到客户端发来的SYN包后,就直接将其发送给服务器,当服务器得到SYN+ACK包后,再转发给客户端。当然也可以用客户端的名义回送ACK包,以完成TCP握手,这样才能促进半连接网连接状态转变。

在被动式SYN网关中,先设置超时参数,并且低于服务器超时限制。如果防火墙计时器到点还未收到ACK包,此时防火墙就会发送RST包,让服务器删除半连接。因为防火墙超时参数低于服务器时限,所以能很好的抵御攻击。

在SYN中继之中,防火墙收到SYN包之后,并不需要直接向服务器发送状态,而是主动向客户端发送SYN+ACK包,客户端得到ACK包,说明访问属于正常状态,再由防火墙完成SYN包握手。

4 结语

在因特网大力发展的当下,防火墙已经成为产业得到了很好的发展。从防火墙发展历程来看:安全系统正在逐步升级与进化。在IP协议发展的同时,其操作界面与构造也将迎来新的改革。因此,在现实工作中,必须结合数据加密、入侵检测与病毒预防,优化安全防护过程。

参考文献

[1]刘吉龙.基于防火墙的企业网络安全系统的设计与实现[D].吉林大学,2015.

[2]杨润秋,张庆敏,张恺翊.基于防火墙技术对网络安全防护的认识[J].计算机光盘软件与应用,2013.

[3]汪楠,张浩.一种防火墙技术的网络安全体系构建研究[J].石家庄学院学报,2015.

防火墙技术在网络安全中的应用 第11篇

关键词：计算机；网络安全；防范；防火墙

中图分类号：TP311 文献标识码：A文章编号：1007-9599 (2011) 15-0000-01

Firewall Technology Application in the Network Security

Liu Weitao1,2

(1.71192 troops,Wendeng264400,China;2.China University of Petroleum(East China),Wendeng264400,China)

Abstract:Network security is a systematic project,not just rely on a single firewall system,need to carefully consider the system's security needs,and a variety of security technologies together in order to more effectively protect their computer networks and information security,to generate an efficient,universal,secure network systems.This paper discusses the network security of firewall technology in the application.

Keywords:Computer;Network security;Prevention;Firewall

一、防火墻的概念

网络安全上所说的防火墙，是指在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。，所有来自Internet（外部网）的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲，防火墙是分离器、限制器、分析器，而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件（一个路由器或路由器的组合，一台主机）和适当的软件组成。

二、防火墙的基本类型

实现防火墙的技术包括四大类网络级防火墙，包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙。

（一）网络级防火墙。一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

（二）应用级网关。应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

（三）电路级网关。电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话（Session）是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火就要高两层。

（四）规则检查防火墙。该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样，可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。

规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是，它并不打破客户机服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有优势。

三、防火墙的配置

防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就攀尽了。Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即Demilitarized Zone），Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但成本也很高。

四、防火墙的选择方案

防火墙是一类防范措施的总称，简单的防火墙，可以只用路由器实现，复杂的要用一台主机甚至一个子网来实现，它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击，所以我们要根据实际需要，对防火墙进行选择，应用技术人员的任务是权衡利弊，在网络服务高效灵活、安全保障和应用成本之间找到一个“最佳平衡点”，通过对防火墙的安全性分析和成本估算来决定防火墙的实施策略。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火堵在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。作为防火墙的作用机制，防火墙将是计算机网络安全的重点。

参考文献：

[1]卢文斌.网络环境下计算机病毒的防治策略[J].湖北电力,武汉:2002

[2]段海波.网络安全从网络开始[J].科技情报开发与经济,2005,1

[3]李红,崔丽霜.防火墙技术在网络安全中的运用[J].应用技术,2006,5

业务量类统计元素：标识、业务名称、业务完成量、业务期限、添加日期；

服务质量类统计元素：标识、服务标题、服务内容、服务质量、添加日期。

2.事实表的设计来源是包含4个主题的数据仓库中的业务数据：

系统用户类统计元素：用户登录次数；用户密码的修改；用户建议；

客户类统计元素：客户产品分类数量；不同时段的不同种类产品的用户增长量；提供对业务受理；业务咨询和建议；业务查询；用户投诉；

業务量类统计元素：统计营业员工作量；工作质量；工作逾限情况；

服务质量类统计元素：服务质量内容查询；服务质量的添加；服务质量信息的删除；客户对服务质量的反馈。

四、数据包设计

数据包的设计包括帧的组织方式，各种功能码和校验码设计，以及数据填充问题。数据包格式为：起始位|1~8位数据位|地址帧/数据帧识别位|停止位[6]。

功能码由网络通信系统的上、下位机根据所需监测的参数类型、个数以及系统对下位机功能设置情况而进行约定，由特殊字符代表特定的功能码。如表1所示。

表1：特定功能码示例

代码语义操作

03读寄存器数据读当前特定寄存器内一个或多个二进制数据

06写寄存器数据往特定寄存器内写一个或多个二进制数据

………

至于功能码与数据的语义重叠问题，通过规定其长度与在数据包中的场位置，使之与数据场中重复出现的数据字符相区别，使系统能自动识别。校验码的生成取决于系统所采用的通信协议，在具体的现场中通过现场设置来选择，系统默认采用CRC校验码，生成多项式采用CRC216，该多项式能全部检查出16位及其以下的错误，对16位以上的漏检概率为0.003%，完全满足系统要求。

五、通信业务数据分析

（一）数据处理界面

网络通信业务数据分析系统的主要特点，就是要处理好系统所获得的数据，在基于B/S模式的系统中，应用了第三方的Dialog控件，设置自定义的变量类型，以满足进行业务数据分析的需求，如图3所示，系统管理员可以设置变量名、变量说明以及变量类型，进行变量的增加、删除操作。

图3：系统的数据变量定义界面

系统中，在进行数据分析操作之前，需要对于涉及和直接使用的参数进行设置，实现界面如下图4所示，包括了返回行模板、网络设置、更改口令、运行环境、数据库连接串等项。图中显示的运行环境的参数设置，在这个界面上可以设置项目执行通道数、迭代运算级数，可以选择编辑器初始状态、启动自动填表以及变量录入提示等。

图4：系统的参数设置界面

（二）业务数据分析

数据分析模块是整个系统的核心所在，如市场竞争的数据分析的数据表格如下表2所示，数据表格中将所知的通信企业的相关信息列出对比。以上数据分析的过程则是通过HOLAP分析实现的，HOLAP立方体的设计和使用是数据仓库支持分析功能的重点，针对特定问题，HOLAP在建立数据混合视图的基础上，提供给用户强大的统计、分析、报表处理功能及进行趋势预测能力。

表2：通信业务市场信息的数据分析

厂商系列型号市场定位

天融信NGFW4000-UF1）TG-5736安全平台

2）TG-564 TG-528 ASIC平台高端

中高端

NGFW40001）TG-420网络处理平台

2）TG-46 ASIC中端

NGFWARESNGFWARES低端

联想网络King GuardKing Guard万兆高端

SuperV（NP/ASIC架构千兆）高端

PowerVPower V 4000千兆高端

Power V 3000千兆中高端

Power V 400百兆高端

SmartV（机架和桌面两中设备百兆）低端

（三）实际业务分析

下面是针对某通信企业的业务的话务评估分析，得到的部分结果，包括了新签约的固话、手机用户的话务分析，以及对手机用户来电显示渗透率、活跃情况分析。

目前用户的资产情况如下：如表3所示，9月份，资产状态现行的用户占比95.40%，账户状态正常的用户占比75.20%，也就是说有近25%的用户已经欠费。特别是这些用户关联的手机用户，肯定已经不能呼出。

表3：业务用户资产情况分析

账户状态数量占比资产状态数量占比

正常96475.20%现行122395.40%

欠费一个月30824.02%已暂停594.60%

欠费两个月100.78%

总计1282100%总计1282100%

通信系统的固网语音通话时长分布情况：下面是按照语音通话时长不同区间的用户数分布情况。可以看出在套餐生效以后月累计通话时长在30分钟以内的用户明显增加，而在31～50分钟之内的用户数减少，50分钟以上用户9月同7月差不多。

图5：通信固话语音用户数据分布

通过上面通信系统的固话业务的使用情况，可以得到以下的分析决策：通信系统中，固网用户的区内话务9月比7月多的用户约45.6%，说明该部分用户享受了固网的畅打业务，但是还有约55%的用户没有享受到此优惠，在业务发展的时候应该对这一块多做宣传，让用户享受更多优惠，这样用户才不会轻易离网。

六、结束语

本论文中，分析并建立通信业务数据分析系统，以此来说明如何利用数据仓库技术来实现分析系统的运行。针对网络通信企业的客户管理数据、客户发展数据、业务量数据、营销管理数据、市场竞争数据进行了分析模块的设计，采用了HOLAP混合型的数据仓库结构设计，大大地节省了存储空间，提高了分析效率。可以说，对于数据仓库技术下的网络通信业务数据分析系统的研究将有效促进我国通信企业的竞争能力，并形成系统化的市场竞争模式。

参考文献：

[1]陈京民等.数据仓库与数据挖掘技术[M].北京:电子工业出版社,2006

[2]陈京民.数据仓库开发的规划研究[J].计算机与网络,2005

[3]胡侃,夏绍伟.基于大型数据仓库的数据采掘[J].软件学报,2003

[4]单莹.基于数据仓库的CRM在电信业中的应用[J].计算机系统应用,2002

[5]李宽.使用ERWin设计数据库[J].计算机世界周报,2005

基于防火墙的网络安全 第12篇

关键词：网络边界安全,防火墙技术,网络流量控制

通常情况下, 网络是以广播为技术基础的系统, 任何两个节点之间的通信数据包, 不仅为这两个节点的网卡所接收, 也同时为处在同一以太网上的任何一个节点的网卡所截取。因此, 入侵者只要接入网络上的任一节点进行侦听, 就可以捕获发生在这个以太网上的所有数据包, 对其进行解包分析, 从而窃取关键信息。而网络边界安全系统的建立能有效缓解上述安全隐患。

1 防火墙技术的剖析

防火墙 (Firewall) 技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一。从狭义上来讲, 防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备, 是安装了防火墙软件的主机、路由器或多机系统。在实现防火墙的众多技术中, 如下技术是其实现的关键技术:

(1) 包过滤技术:包过滤技是在网络中适当的位置上对数据包实施有选择的过滤。包过滤防火墙一般含有一个包检查模块, 它可以安装在网关或路由器上, 处于系统的TCP层和IP层之间, 以便抢在操作系统或路由器的TCP层之前对IP包进行处理。

(2) 状态检查技术:状态检查技术是一种在网络层实现防火墙功能的技术。它采用了一个在网关。执行网络安全策略的软件引擎, 即检测模块。模块在不影响网络正常工作的前提下, 在网络通信的各层抽取状态信息, 实施监测。

(3) 地址转换技术:地址转换技术是将一个IP地址用另一个IP地址代替[1]。

2 网络边界安全系统的设计与实现

2.1 并联防火墙的边界体系结构

本文研究的并联防火墙边界体系并联模式, 以不同的安全需求对网络的资源进行分段保护。多重防火墙的使用可以让网络安全系统有条理地控制资源的访问。由于几个防火墙串联工作, 到达数据服务器的流量要经过几个防火墙才能到达, 这会增加网络的延迟时间, 降低网络的速度, 在同样满足对不同资源进行分级保护的条件下, 因此本文将防火墙的串联模式改成了并联模式, 在并联模式下, 各防火墙联接的子网在不同的安全策略下可以实现分级保护的目的, 也避免了不同子网的延时不一致的问题, 如图1所示。

在本文的研究中, 我们使用了一个应用网关和一个有状态防火墙, 每个设备都保护一套不同的系统, 应用网关健壮的代理功能可以保护在Internet上访问的系统, 如Web、SMTP和DNS服务器。本文采用有状态防火墙来保护网络中心子网 (中心服务器和桌面计算机) , 利用并行的不同防火墙, 充分发挥他们的提供的最佳功能, 如表1和表2所示:

2.2 网络边界流量的控制

网络边界安全系统中的流量控制是保证网络安全的重要措施之一, 因为网络中的各个服务都是通过TCP或者UDP进行数据通信, 通过防火墙对单个用户IP进行连接数的限制, 从而限制诸如迅雷、P2P等极大占用通道的工具, 以保证网络线路的通畅[2]。下例为利用防火墙对内网的用户带宽、连接数进行管理。

定义带宽和连接数

Firewall statistic system enable

Firewall car-class 1 300000

Firewall car-class 2 500000

在用户入口应用定义带宽及连接数

Trust

Priority is 85

Interface of the zone is (1) :

GigabitEthernet1/0/0

Statistic enable ip inzone

Statistic enable ip outzone

Statistic ip-stat inbound acl-number3061

Statistic ip-stat outbound acl-number3061

Statistic connect-number ip tcp outbound 3 acl 2000

Static car ip outbound 1 acl 2002

对于网络主干网上流量的监视、记录是网络性能管理中的一个重要方面。通过这些信息的收集, 管理人员可以实时地观察网络的运行情况, 发现超载的部件, 找出潜在的问题。通过对不同时期、不同时间网络流量的分析, 可以预测网络的发展趋势, 对网络性能进行长久的规划, 及时完成网络设备的更新, 从而避免网络饱和所引起的低性能。

3 结语

网络边界安全系统能为网络用户的信息交换提供一个安全的环境和完整的平台, 可以从根本上解决来自网络外部对网络安全造成的各种威胁, 以最优秀的网络安全整体解决方案为基础形成一个更加完善的教学与管理自动化系统。利用高性能的网络安全环境, 有效地保证秘密、机密文件的安全传输。因此, 本文的研究将有相当大的现实与社会效益。

参考文献

[1]周国勇.基于多重访问控制的网络边界防御技术研究[J].信息网络安全, 2009 (10) .