陈晓杰 王骁
【 摘 要 】 在计算机信息技术和互联网飞速发展的今天,互联网在人类的生活、工作、学习中占据着重要地位。然而计算机网络安全是其与之俱来不可避免的问题。本文将基于多级防火墙技术,分析当前计算机网络中存在的安全隐患,针对这些实际问题探讨如何有效应用多级防火墙技术,实现对计算机网络安全的维护。
【 关键词 】 计算机;多级防火墙技术;网络安全
中图分类号:C35文献标识码: A
0 引言
计算机的快速发展是社会经济发展的产物,知识经济的到来,使人类对计算机的需求越来越大。信息资源的共享时代下互联网蓬勃发展,它与社会生活的各方面密切相关。但与之俱来的威胁也是不可避免的,一旦网络系统遭受袭击,整个系统将面临瘫痪的危险,造成文化、经济各方面的损失。
网络安全的维护显得尤为重要,而多级防火墙的设置便是一种有效的计算机网络安全维护措施。现实中的防火墙坚实牢固,可以阻挡一切可能引起火灾的苗头,而网络上的防火墙亦是如此。防火墙是设置在网络之间的一些列阻隔措施,它可以选择性的阻隔不良信息以及对外界站点设置访问权限,在有访问时,系统自动进行访问权限审核,识别不良网站和病毒,最大程度限制黑客侵入网络,从而限制某些网络活动,最终达到保护系统安全的目的。
1 潜在计算机网络安全隐患
1.1 恶性的蓄意攻击
恶性的蓄意攻击主要是指一种人为的有意破坏计算机网络的恶性行为,它分为主动和被动两种情况。主动的恶性蓄意攻击通过植入病毒或者黑客侵袭的方式进入对方计算机网络系统,常用删改系统文件、植入非法软件程序等破坏系统的正常运行,严重的可能导致对方计算机系统完全瘫痪。
另一种被动的恶性蓄意攻击,主要是指不以破坏对方网络系统为目的,却在窃取对方计算机机密文件、隐私资料等的时候在对方不知情的情况下破坏网络系统。在这种情况下,计算机网络系统能够正常运行,但是却在运行的过程中泄露个人隐私,导致个人或大或小的损失。
1.2 计算机网络安全软件使用不当
目前计算机市场上有许多安全产品,但大多数用户使用的还是一些网络上的免费软件,但是这些产品本身或多或少都存在一些系统漏洞,有的网络安全设备在面临病毒入侵或者黑客攻击时本身不具有抵抗能力,没有起到保护作用。在安装安全维护软件时对使用者本身也有一定的要求,对配置人员的技术要求也较为严苛,因此,在计算机网络安全软件的使用中存在威胁网络安全的因素,极易引发计算机网络安全问题。
1.3 计算机软件和程序开发漏洞
软件程序开发漏洞是指计算你软件工程师在设计一款新软件时有意或者无意造成的系统漏洞。有意者为谋取暴力,在开发软件时在软件后台植入盗窃计算机信息的漏洞,或者在后台植入病毒扰乱计算机正常使用。无意者主要指在研发新软件的过程中,因为个人疏忽或是技术水平不够造成软件后台运作系统的漏洞。这些有意或者无意的漏洞在计算机网络运行时便极易遭到恶性攻击,从而破坏整个计算机网络安全系统。
1.4 计算机病毒
计算机病毒是一种基于计算机软件、程序破坏的代码,它通过对计算机本身的软件进行修改,将病毒植入这些程序,影响其正常使用,严重的可能破坏电脑系统,使电脑无法正常使用。随着信息技术的不断发展,计算机病毒也在不断更新,它们正以更加凶猛的态势冲击整个计算机网络系统。在市场上甚至还形成了商业化的病毒链,通过出售病毒赚取利润。这些对计算机网络安全的维护来说都是极大的威胁。
2 多级防火墙概述
伴随Internet在全球的迅速发展和普及,上述计算机网络安全隐患在现实中真实存在并且逐渐成为计算机用户的担忧。为解决上述问题,防火墙技术便是当前环节网络安全袭击和破坏的有效途径之一。防火墙作为一种设置在被保护网络与网络系统中的访问控制系统,经历了长期的发展阶段,并且在长期的发展中逐渐完善,但就目前的情况来看,传统的防火墙技术不足以应对日渐猖獗的计算机网络病毒、黑酷侵袭、信息破坏等网络安全隐患。
目前的防火墙还具有几点不足之处:
(1)无法有效的组织内部网络用户无意或者有意向外泄露关键和敏感信息,造成内部网络的不安全和不稳定;
(2)无法有效拒绝网络上的恶意服务信息;
(3)无法及时和快速做出反应应对内部网络用户发起的网络攻击行为;
(4)无法有效地阻止系统网络对内部网络发起的攻击。由此,多级防火墙技术便应运而生,通过防火墙技术的进一步完善,尽量减少网络不安全因素对计算机的袭击,造成不必要的损失。
3 多级防火墙技术应用
3.1 防火墙多级安全访问控制
限制未授权的用户访问内部网络的空间和信息资源是访问控制的首要环节,访问者必须要适应现行所有服务和应用,才能通过控制进入内部网络实现资源共享。多级安全访问控制包括多方面内容的组合,包括服务协议、浏览器、电子邮件等。在多级访问控制中还提供了基于状态检测技术的IP地址、端口、用户的管理和控制,从而达到访问受限的目的。高效的控制策略可以实现访问目标的访问权限设置、目标确立等,通过应用层策略实现URL和文件级的访问控制。另外多级防火墙控制还可阻止ActiveX、Java等的侵入,是对http的过滤和审核,检测出其代码危险同时过滤用户上载的cgi、asp等程序,从而达到对计算机的保护。多级防火墙安全访问控制还对计算机进行了实时监控,以及审计和报警功能,当发现攻击和危险时会立即发出警报,提醒用户采取安全防措施,保护计算机网络的安全。
3.2 多级防火墙用户认证
由于网络的开放性,为了保护区域内网的安全性,必须加强对用户信息的识别和准入限制,对访问链接的用户采用有效的权限控制和身份识别,从而系统的安全运行。具体说来可以通过提供具有高安全强度的口令用户认证,口令用户认证能够极大提高访问控制的安全性,有效阻止非授权用户进入内部网络,造成网络系统的破坏,从而保证网络系统的合法使用。口令认证首先需要用户向防火墙发送其身份认证请求,并且设置其个人用户名和密码,从而形成个人网络的口令。防火墙通过识别用户发来的口令鉴别用户的合法与否,是否具有准入的权利。
3.3按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3.4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
[2][美]Terry William Ogletree.防火墙原理与实施[M].北京:电子工业出版社,2001,(2).
[3]邓亚平.计算机网络安全[M].北京:人民邮电出版社,2004,(9).