李广明 宁鸿翔
摘要:访文从计算机网络安全问题出发,分析了网络安全面临的主要威胁及保护网络安全常用技术,提出了防火墙是计算机网络安全体系核心的观点,并就供电分公司网络布署中的应用着重介绍了防火墙的相关功能。同时基于防火墙技术的现状,提出对未来防火墙技术的发展设想。
关键词:网络安全;防范措施;防火墙技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1067-03
1绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,二者正从整体上影响着世界经济和社会发展的进程。但是,伴随而来的是计算机屡遭破坏,轻者丢失数据,重者系统平台和计算机资源被攻击,其损失是不可估量的,因此计算机网络安全是一个日益严峻的问题。为了保护计算机、服务器和局域网资源免受攻击破坏,利用防火墙技术是既流行且可行的一种网络安全防护技术。
2计算机网络面临的主要安全问题
2.1网络安全的定义
网络安全是指网络系统中的硬件、软件及其数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常运行,网络不中断。
2.2网络安全面临的主要威胁
一般来说,计算机网络安全威胁因素主要来自计算机病毒、软件漏洞、黑客非法入侵和用户安全意识不强等几个方面。
2.2.1计算机病毒
计算机病毒是目前数据安全的头号大敌,它是编译者在计算机程序中插入的一组影响计算机软、硬件的正常运行并且能自我复制的计算机代码。
2.2.2软件漏洞
软件漏洞是无法避免的,一般是软件开发者的疏忽或基于编程语言的局限性,而在软件中留下的缺陷。
2.2.3黑客非法入侵
黑客非法入侵从某种意义上讲比一般电脑病毒对计算机安全的危害更为严重,主要是利用操作系统的安全漏洞非法进入他人计算机系统获取信息。
2.2.4用户安全意识不强
用户安全意识不强主要体现在密码长度不够,由单一数字或字母组合;访问有安全隐患的网站;计算机存在共享文件;对下载文件没有及时进行查杀病毒而直接运行等。
2.3网络安全常用技术
2.3.1数据加密技术
数据加密是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息。
2.3.2身份认证系统
身份认证是通过对主客体进行鉴别,并经过确认主客体身份后,赋予恰当的标志、标签、证书等。
2.3.3入侵检测技术
入侵检测技术是指通过收集和分析网络行为、安全日志等数据对入侵行为的检测。
2.3.4防病毒技术
防病毒技术是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
2.3.5文件系统安全
在操作系统中可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限来限制用户访问。
2.3.6防火墙技术
防火墙技术是一种隔离技术,用来阻挡外部不安全因素,其目的就是防止外部网络用户未经授权的访问,它是计算机网络安全的第一道关卡。
3防火墙的概述
随着Internet的迅速发展,网络应用涉及到各个领域,网络中各类重要的、敏感的数据逐渐增多,同时由于黑客入侵以及网络病毒的原因,使得保护网络资源不被非法访问,阻止病毒的感染传播显得尤为重要。就目前而言,对于局域网络的保护,防火墙仍不失为一种有效的手段。
3.1防火墙的主要功能
3.1.1强化网络安全策略
通过以防火墙能将所有安全措施(如口令、加密、身份认证等)配置在防火墙上,这与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济实用。
3.1.2对数据包过滤
数据包过滤是指数据包从一个网络向另一个网络传送过程中通过事先设定的规则对其进行检查以确定是否允许通过。
3.1.3防止内部信息外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,保障了网络内部敏感数据的安全。同时防火墙还可以阻塞有关内部网络中的DNS信息,从而避免内部信息外泄。
3.1.4虚拟专用网络
虚拟专用网络功能可以在防火墙与计算机之间对所有网络传输内容进行加密,建立一条虚拟通道。
3.1.5网络地址转换
网络地址转换优点是:一隐藏内部网络真实IP,可以使黑客无法直接攻击内部网络;二可以让内部使用保留IP,即私有网段IP,可以解决IP不足的情况。
3.1.6提供详细日志记录
由于对网络存取和访问都必须经过防火墙,因此防火墙就不仅保存完整的日志记录,还能够提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
3.2防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙、应用级代理服务器及状态包检测防火墙。
3.2.1包过滤防火墙
包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定阻止或通过。
3.2.2应用代理防火墙
应用代理防火墙是针对数据包过滤和应用网关技术将所有跨越防火墙的网络通信链路分离。
3.2.3状态包检测防火墙
状态包检测防火墙在建立连接时,检查预先设定的安全规则,符合规则的连接允许通过,并记录相关信息,动态生成状态表。
3.3防火墙应用实例
在供电分公司骨干链路出入口处部署一台普天网安PT-WA2000防火墙,主要技术参数为:6个10M/100M以太网接口,400Mb? ps吞吐量,80万并发连接数,1200条VPN通道;防火墙将分公司、内网和外网隔离。(网络拓朴图如下)
3.3.1普天防火墙的功能
1)对外网进入内网的所有数据流可以毫无遗漏地进行控制,消除了网络安全的死角。
2)内网用户只能单向主动地访问互联网,而互联网上的机器不能主动访问内网用户。
3) VPN远程用户可以登陆防火墙,通过对防火墙所做的通信规则实现对防火墙连接的所有网络进行不同程度的访问。
4)充分利用防火墙的路由功能,拆除多余的路由器,简化网络,提高内网的通信效率,降低维护成本。
5)充分利用防火墙的带宽保证功能,确保主要业务和特殊用户的带宽使用,针对P2P技术的下载流量也可进行限制与管理。
6)通过防火墙的实时日志管理功能及日志服务器对防火墙的日志实时接收,方便了网络管理员对用户网络运行的监控与管理及对网络中异常的访问的排查。
7)通过防火墙的用户认证管理机制,对互连网访问的用户实现监控与管理。
3.4防火墙的主要技术优缺点分析
3.4.1包过滤技术
优点:包过滤防火墙工作在网络层,因此处理数据包的速度快,此外它还提供透明服务,即不需要用户名和密码来登录。缺点:网络层在OSI体系中处于较低的层次,因此安全防护也是较低级,不能彻底防止地址欺骗。
3.4.2应用代理技术
优点:应用代理型防火墙工作在应用层,对内部网络用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击。
缺点:代理速度较路由器慢,对于每项服务代理可能要求不同的服务器,不能改进底层协议的安全性。
3.4.3状态检测技术
优点:配置了“专用检测模块”,更容易地实现应用与服务的扩充。缺点:配置复杂,因而降低了网络速度。
4防火墙的未来发展趋势
4.1防火墙未来发展设想
1)形成以防火墙为核心的计算机网络安全体系。迄今为止,防火墙技术仍是应用最广泛的计算机网络安全防护技术,其重要性不可替代,但是要想最大程度地保护网络安全,仅凭防火墙单方面的作用是不行的,还必须借助其他手段构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步向基于网络处理器ASIC芯片架构上发展。网络处理器由于内含多个数据处理引擎,能够直接完成网络数据处理工作从而减轻CPU的负担。
3)智能技术的进一步发展。目前的防火墙只能识别一些已知的攻击行为,对于未知的攻击则显得力不从心,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
4)分布式技术的进一步发展。分布式技术将是未来的趋势,多台物理防火墙协同工作,组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理,大大降低了资金、人力及管理成本。
5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要的矛盾,经济高效的防火墙将是未来研究的方向。
随着网络技术的不断发展,网络安全正面临着越来越大的威胁,局域网络中部署防火墙已是至关重要的。虽然目前的防火墙还存在一定的缺陷,但是在科研人员的研发下已在不断完善,从单纯地拦截黑客的恶意攻击,逐步走向安全事件管理及安全信息管理,并将最终成为未来网络安全技术中不可缺少的一部分。
参考文献:
[1]王卫平.陈文惠.朱卫未.防火墙技术分析[J].信息安全与通信保密,2006.
[2]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.
[3]王达.网管员必读网络安全[M].2版.北京:电子工业出版社,2007.