防火墙网络安全刍议.pdfVIP

防火墙网络安全刍议 BAIDU_CLB_singleFillSlot(10979); 　　[摘要] 网络 已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速 发展 ，给 我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。它不仅从 一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。随 着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天， 如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。 中国论 文联盟 www.LWLM.com 编辑。 　　[关键词]网络安全 防火墙技术 代理服务器 　　古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别 的寓所。 自然 ，这种墙因此而得名“防火墙”。现在，如果一个网络接到了 Internet 上面， 它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与 之交互。为安全起见，可以在该网络和 Internet 之间插入一个中介系统，竖起一道安全屏 障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的 安全和审计的唯一关卡。这种中介系统也叫做“防火墙” ，或“防火墙系统”。 　　简言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安 全和可信的外部网络(通常是 Internet)之间提供一个封锁工具。在使用防火墙的决定背后， 潜藏着这样的推理：假如没有防火墙，一个网络就暴露在不那么安全的 Internet 诸协议和 设施面前，面临来自 Internet 其他主机的探测和攻击的危险。在一个没有防火墙的环境里 ，网络的安全性只能体现为每一个主机的功能，在某种意义上，所有主机必须通力合作， 才能达到较高程度的安全性。网络越大，这种较高程度的安全性越难管理。随着安全性问 题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配 置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通 信进出被保护的网络，迫使单位强化自己的网络安全政策。 　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通 过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设 备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查， 以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒 主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿 主机等类型。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型 、网络地址转换—NAT、代理型和监测型。 　　包过滤型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术 。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一 个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP 源端口和目 标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站 点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可 以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本较低，在应 用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技 术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的 来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的 Java 小程序以及 电子 邮件中附带的病毒。有经验的黑客很容易伪造 IP 地址，骗过包过滤型防 火墙。 转贴于中国论文联盟 http://www.lwlm.co BAIDU_CLB_singleFillSlot(10979);中国论文联盟 www.LWLM.com 编辑。 　　 网络 地址转化—NAT。网络地址转换是一种用于把 IP 地址转换成临时的、外部的、 注册的 IP 地址标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不 许要为其网络中每一台机器取得注册的 IP 地址。在内部网络通过安全网卡访问外部网络 时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口， 让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部 网络地址。在外部网络通过非安全网卡访问内部网络时，它