ISSN lOO9—.3044 E—mail:info@cccc.net.en ComputerKnowledgeand Technology电脑知识与技术 http://www.dnzs.net.cn Vo1.7,No.1,January 201 1,PP.107—108 Te1:+86—55 1-5690963 5690964 计算机网络安全之防火墙 张洁 (呼伦贝尔学院科学与技术学院,内蒙古海拉尔021008) 摘要:随着计算机网络系统的迅速发展与广泛应用,网络安全的问题越来越受到人们的关注和高度重视。而网络的安全防范对网络 的正常运行来讲也显得十分重要。在各种的网络安全技术中防火墙是最简单,最有效果的方案。 关键词:网络安全;防火墙 中图分类号:TP393 文献标识码:A 文章编号:1009—3044(2011)01—0107—02 Computer Network Security Firewall ZHANGJie (Hulunbeier university,Hailar 021008,China) Abstract:With the computer network system and the rapid development and wide apphcafion,network security issues more and more people concem and a ̄enfion.The network security in terms of the normal operation of the network is also very important.In a variety of network securiyt technology in the firewa//is the simplest,most effective solution. 、 Key words:network security;firewall 21世纪的信息化社会,网络技术将日益成熟,网络的应用也将Et益广泛,从~种专门的领域变得无处不在.深入到社会诸多领域。 又加之互联网是对全世界都开放的网络,任何单位或个人都可以在网络上方便快捷地传输和获取各种信息,正是因为互联网具有这种 开放性、共享性、国际性的特点就对计算机网络安全提出了巨大挑战,所以保护网络安全也就成为迫在眉睫需要解决的重要问题。 网络安全的本质是网络中的信息安全。到目前为已经研制出多种网络安全关键技术,防火墙就是其中重要技术之一。 l防火墙的基本概念 防火墙是一个系统或一组系统,在内部网与因特网问执行一定的安全策略,它实际上是一种隔离技术。 一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检 查。通过防火墙可以定义一个关键点以防止外来人侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过 时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题.同时,可以避免当一个内部网更换 ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和兀IP服务等。 2防火墙的技术分类 现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。 包过滤(Packet Hiter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础, 对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。 代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点 再与提供服务的服务器实际连接。 复合型(Hybrid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。 各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网 关,并在其上运行防火墙软件,内之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时, 一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路 由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。 3防火墙的基本功能 典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。 1)包过滤路由器 包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与 规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。 与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有 进入特定服务的连接,路由器只需将所有包含特定TCP/UDP目标端口的包丢弃即可。 于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此 收稿日期:2010-11—16 作者简介:张洁(1964一),女,河北人,实验师,本科,主要研究方向为机房管理。 本栏目责任编辑:冯蕾 ,。 t 网络曩讯及安全 107 Computer Knowledge and Technology电脑知识与技术 第7卷第1期(2011年1,E1) 可jr ̄c,类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息 可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得 、 2)应用层网关 . 应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的 代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现 的,而不允许用户直接登录到应用层网关 应用层网关安全性的提高是以购买相关硬件半台的费用为代价.网关的配置将降低对崩户的服务水平,但增加了安全配置上 的灵活性。 3)链路层网关 链路层网关是可南应用层网关实现的特殊功能。它仪仪替代TCP连接而无需执行任何附加的包处理和过滤。 4防火墙的局限性 没有万能的网络安全技术,防火墙也 例外。尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全 性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如l、防火墙不能防范不经过防火墙的攻击。 例如,如果允许从受保护的网络内部向外拔号,・些用户就可能形成与Internet的直接连接。2、防火墙很难防范来自于网络内部的 攻击以及病毒的威胁。3、防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令或授 予其临时的网络访问权限 4、防火墙不能防止传送已感染病毒的软件或文件。所以不能期望防火墙去对每一个文件进行扫描,查出 潜在的病毒。5、防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到因特网主机上。但 一旦执行就形成攻击,可能导致主机修改与安全相关的文件 使得入侵者获得对系统的访问权。所以在一个实际的网络运行环境 中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。 5防火墙的发展趋势 未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA 和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升 级,甚至可以支持IPv6,而采用其他方法就不那么灵活。实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协 处理单元.因此比较容易实现高速。 1)构架的发展:未来防火墙可能会采用全硬什的产品,比如在处理器 采取专用的NP芯片(网络处理器,代表者如Intel公司 的IXP系列、IBM公司的NP4GS3以及SiByte公司的SB1250成熟产品),或者说采用ASIC硬件加速技术。国产的防火墙都是基于 PC构架的,说的直接点就是把带有防火墙功能的操作系统集成到硬件上去,再做适当的优化,处理速度与稳定性都是很大的问题, 基于硬件的防火墙是发展的必然趋势。 2)模块的发展:防火墙可能会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以以模块的形 式安装到防火墙的机箱之内。这样做的好处是节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可能实现网络安 全设备之问的联动。 3)行业分类的发展:由于现在的防火墙都是集大成于一身,可以适合国内各行业的安全需要。但对于一些特殊性、敏感性的行 业用户,显然大众化的防火墙是达不到最终要求的。这就要求防火墙厂商针对不同应用开发出相应的产品。 自从1986年美同D igital公司在In ternet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞 速的发展.已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作 系统的防火墙。但到目前为止,防火墙技术仍只是处于发展阶段,还有许多问题有待解决。怎样使防火墙兼有高度安全性、高透明 性、高网络性能 是摆在许多网络工作者面前的一个艰巨任务。 参考文献: f11潘登.浅析防火墙技术fJ1.株洲工学院学报,2004(3). f21顾巧论,贾春福.计算机网络安全【M].北京:清华大学出版社,2008. (上接第82页) 杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大 部分的杀毒软件还具有防火墙功能。杀毒软件的实时监控方式因软件而异。有的杀毒软件,是通过在内存里划分一部分空间,将电 脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些杀毒软件则在所 划分到的内存空问里面,虚拟执行系统或用户提交的程序,根据其行为或结果作}{_}判断。 参考文献: 『l1王世江,鸟哥.鸟哥的Linux私房菜.基础学习篇『M1.3版.北京:人民邮电出版社,2010. 『21高俊峰.循序渐进Linux基础知识、服务器搭建、系统管理、性能调优、集群应用[M].北京:人民邮电出版社,2009. 108 网络通讯及安全 本栏目责任编辑:冯蕾
