公務員期刊網 論文中心 正文

計算機網絡防火墻防御措施

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機網絡防火墻防御措施范文,希望能給你帶來靈感和參考,敬請閱讀。

計算機網絡防火墻防御措施

1計算機安全中防火墻技術的主要類型

防火墻在我國古時候指的是建筑與建筑之間防止火災蔓延的墻,而計算機網絡中的防火墻則是指為了確保安全而設置的一系列部件組合,起屏障作用。防火墻所要保護的計算機網絡是屬于我們自己的網絡安全,它所要防范的一般都是來自于外網可能發(fā)生的威脅。目前,較為常用的防火墻主要有以下幾種類型:

1.1包過濾型防火墻

這種類型的防火墻是比較早期的產品,它的關鍵技術是網絡分包傳輸。我們都知道,在網絡中互相傳輸的數據都是以“包”作為單位的,各類數據被分割成為了不同的數據包,這些數據大小不同,并且每個數據包中都含有一些特定的信息,如數據的源地址、目標地址、目標端口等。防火墻通過讀取數據包中相應的地址信息后,判斷其是否來自于可信任的站點,如果是可信任的數據會通過防火墻進行傳輸,若是不可信任的數據則會被防火墻拒之門外。包過濾型防火墻主要采用的是包過濾技術,這種技術具有如下優(yōu)點:成本低、簡單方便、實用性強、在簡單的應用環(huán)境中能夠有效地確保計算機網絡安全。該技術的缺點是只能按照數據包的來源、目標以及端口等信息來判斷其是否屬于安全數據,對于一些惡意侵入的程序無法準確識別,如Java程序、郵件中的病毒等。一些經驗豐富的網絡黑客經常會利用該類型防火墻的這些特點偽造IP地址來騙過防火墻的過濾,然后進行用戶計算機進行破壞。

1.2型防火墻

這類防火墻又被稱之為服務器,其安全性要遠遠高于包過濾型防火墻產品,并且這一類型的防火墻現已開始向計算機網絡應用層發(fā)展。服務器實質上就是一個數據信息中轉站,它介于用戶機遇服務器之間,并對兩者之間的數據信息交流進行阻擋。站在用戶的角度看,服務器實質上就相當于真正的服務器,如果是站在服務器的角度上看,服務器則是一套用戶機。由于所有的數據信息都需要通過服務器進行中轉,從而使得外部信息很難直接侵入到用戶機中,一些惡意攻擊也都被服務器過濾,有效地保證了用戶端計算機的安全。該防火墻的優(yōu)點是具有較高的安全性,并且能夠針對應用層進行掃描和偵測。

1.3監(jiān)測型防火墻

原本的防火墻都是針對惡意侵入進行防范,而監(jiān)測型防火墻卻可以對數據信息進行自動、實時監(jiān)測,從而極大程度地提高了計算機網絡的安全性。這類產品的優(yōu)點是顯而易見,但缺點是成本較高,不便于管理。因此,目前仍舊未大范圍推廣使用。若是從成本和安全這兩方面進行綜合考慮的話,可以選擇性地應用某些監(jiān)測型技術,這樣一來既能夠有效地提高計算機網絡的安全性,而且成本又不會太高。

1.4網址轉化

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的D地址標準。它允許具有私有IP地址的內部網絡訪問因特網,它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址,在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。OLM防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。

2防火墻技術在計算機安全中的具體應用

2.1安全服務配置

安全服務隔離區(qū)((DMZ)把服務器機群和系統(tǒng)管理機群單獨劃分出來,設置為安全服務隔離區(qū),它既是內部網絡的一部分,又是一個獨立的局域網,單獨劃分出來是為了更好的保護服務器上數據和系統(tǒng)管理的正常運行。建議通過NAT(網絡地址轉換)技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這不僅可以對外屏蔽內部網絡結構和IP地址,保護內部網絡的安全,也可以大大節(jié)省公網IP地址的使用,節(jié)省了投資成本。如果單位原來已有邊界路由器,則可充分利用原有設備,利用邊界路由器的包過濾功能,添加相應的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區(qū)中的公用服務器,則可直接與邊界路由器相連,不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設置一個DMZ區(qū),用來放置那些允許外部用戶訪問的公用服務器設施。

2.2配置訪問策略

訪問策略是防火墻的核心安全策略,所以要經過詳盡的信息統(tǒng)計才可以進行設置。在過程中我們需要了解本單位對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口,并根據不同應用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序,然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。

2.3日志監(jiān)控

日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但每天進出防火墻的數據有上百萬甚至更多,所以,只有采集到最關鍵的日志才是真正有用的日志。一般而言,系統(tǒng)的告警信息是有必要記錄的,對于流量信息進行選擇,把影響網絡安全有關的流量信息保存下來。

3結論

總而言之,隨著計算機網絡技術的不斷發(fā)展,網絡安全問題也會始終存在,為了使計算機的安全得到有效保障,防火墻技術也必須不斷更新。當然計算機安全僅僅憑借防火墻技術來保障是遠遠不夠的,防火墻只是整個安全防范中的一個重要環(huán)節(jié)。只有從全方面入手,才能真正確保計算機運行的安全性。