孙月娇
摘 要:伴随着经济的迅速发展,信息时代已经悄然来临,计算机网络技术得到广泛应用,网络资源的共享程度也越来越高,而其带来的网络信息安全问题也日益突出,严重影响到个人信息安全以及个人隐私,甚至影响到一个单位甚至国家层面的信息安全,因此,本文针对网络安全技术中的防火墙技术进行了相关理论分析,并提出相关应用建议。
关键词:计算机网络;防火墙技术;应用分析
随着社会经济发展,网络技术迅速普及开来,计算机网络技术深入到个人、单位、社会、国家各个层面的各个领域,包括政治、经济、文化、军事、生活等维度,与之而来的是网络安全问题也日益突出,就拿军事这一层面来说,曾经有某国的炮兵诸元系统被对方黑客入侵而导致其火力全部打击自身部队,而在与人们息息相关的生活层面,譬如腾讯QQ、微信以及支付宝等现代信息软件的应用,也涉及到计算机网络技术的应用,同时也给不发分子提供了盗取个人信息的可乘之机,因此加强防火墙技术的应用刻不容缓。
1 计算机网络防火墙技术的概念分析
1.1 防火墙概念
防火墙原指古代人们修建于房屋中间来防止火灾蔓延的墙壁,而在现代计算机网络技术中,防火墙指的是设置在不同网络以及网络安全域之间的一系列部件组合,是对内部网络的一种安全屏障。假设存在两个不同级别的网络或者安全域,它们在进行信息访问之时,中间加入一个设备,这就是防火墙,而在添加防火墙之后,防火墙就成为两个安全域之间信息流通的唯一通道,同时可以在防火墙上设立相应的安全限制来有效控制数据的流动。
1.2 防火墙的功能
1.2.1 入侵检测功能
计算机网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
1.2.2 网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
1.2.3 网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
1.2.4 强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
2 防火墙技术的分类
在信息技术高度发达的今天,加强防火墙技术的建设,提高防火墙技术的防御能力需要防火墙自身具有良好的信息数据过滤能力,本文针对常见的两种网络防火墙技术及其复合型防火墙技术进行讨论。
2.1 应用代理型防火墙技术
应用代理型防火墙技术主要通过应用级代理技术在OSI最高层检查每一个IP包,从而实现信息安全,代理技术深入到信息应用层,在应用层实现防火墙功能,主要就是在防火墙处终止客户连接并初始化新連接来与受保护连接进行接触。应用代理型防火墙技术主要有以下几处优点:其一,可以通过一定程序,使得用户借助代理实现整套的安全策略;其二,可以通过代理可过滤的数据信息,灵活完全地控制信息进出以及信息内容;其三,可以有效地实现与其他安全手段的集成,提高安全防护效率。
2.2 包过滤防火墙技术
包过滤防火墙技术可以根据系统已设定的逻辑结构,对进出网络或者网络安全域的数据信息进行有效、有选择的操作与控制,而在包过滤防火墙技术中,其应用途径主要有三种:其一是通过路由器在完成路由选择和数据转换的同时进行包过滤操作;其二是在信息转换工作站上使用相应的包过滤软件进行包过滤操作;其三是通过屏蔽路由器设备启动包过滤功能。
目前的包过滤防火墙技术主要应用于网络层和传输层,以IP包信息为依据,通过对防火墙IP包的源地址、目的地址、TCP/UDP的端口标识符、ICMP进行检查来选择信息数据。包过滤技术可以在不改动客户机以及主机应用程序的前提下,对相关数据信息进行包过滤操作,并且可以广泛应用于大多数网络和网络安全域。
2.3 复合型防火墙技术
目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制;如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
3 防火墙技术联合入侵检测系统的联动应用
防火墙技术在网络信息安全方面提供了有力保障,但是如果仅仅依靠防火墙技术进行被动的防御是远远不够的,因此在现代信息技术高度发达的今天,为了应对越来越严峻的信息安全形势,入侵检测系统应运而生,或称IDS。
入侵检测系统是对网络传输过程中的即时监控,与防火墙技术同属于事中控制,但是不同于防火墙技术的被动防御,入侵检测系统是在信息传播过程中便对访问的数据信息进行实时监控,规避了防火墙被动受到攻击而产生安全漏洞的安全风险。入侵检测系统可以在木马以及蠕虫病毒入侵之前将其检测出来,并接着让防火墙将策略写进系统,因而对于普通的未知病毒具有主动防御作用,将防火墙技术的被动防御变为主动监控。将防火墙技术和入侵检测系统联动,可以在黑客绕过防火墙对网络安全域发动攻击之时,主动识别攻击行为,进而通知防火墙将策略写进系统,命令防火墙对相关链接进行阻断,从而达到保护安全域的目的。
在计算机网络技术不断发展的同时,也应该主动采取新型防火墙技术,例如在数据量路层可以实现对上层数据信息进行密封操作和拆封操作,并且可以对硬件信息进行管理,加强对网络数据信息的检查,而在IP层可以利用新型防火墙技术对IP地址报头进行改动,虽然一定程度上会影响系统的兼容性,但是可以在极端情况下有效增加安全机制。
4 小结
防火墙技术是计算机网络进行安全保护的主要手段之一,但是防火墙本身的被动攻击也成了其最大的缺陷,并且不能解决内部之间的兼容性问题,因此在防火墙技术的应用中,最重要的还是根据实际情况采取合适的防火墙技术,并且结合其他防御技术形成联动,有效预防病毒入侵。
参考文献
[1]武强.关于计算机网络安全中防火墙技术的研究[J].电子世界,2016,(8):100-100,105.
[2]曾霄龙.探讨计算机网络安全中的防火墙技术[J].商品与质量,2017,(23):94.
[3]桑烽燕,夏世民.计算机网络安全和防火墙技术[J].通讯世界,2015,(20):43-43.