防火墻計(jì)算機(jī)安全中論文

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了防火墻計(jì)算機(jī)安全中論文范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

1防火墻的功能和工作原理

從邏輯上講，防火墻是分離器、限制器和分析器。防火墻就是位于內(nèi)部網(wǎng)或WEB站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺(tái)計(jì)算機(jī)。所有進(jìn)入或流出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，都要經(jīng)由防火墻。而所有經(jīng)由防火墻的數(shù)據(jù)都必須經(jīng)過(guò)防火墻設(shè)置中的安全策略和安全計(jì)劃的確認(rèn)和授權(quán)才可通過(guò)，未經(jīng)授權(quán)的數(shù)據(jù)包將被丟棄。防火墻使用這一工作原理，將可有效防范黑客、木馬程序及網(wǎng)絡(luò)病毒對(duì)網(wǎng)絡(luò)安全帶來(lái)的危害，盡最大可能保護(hù)內(nèi)部網(wǎng)絡(luò)的信息安全。防火墻按照不同的工作機(jī)制又可分為三類：包過(guò)濾技術(shù)、堡壘主機(jī)、服務(wù)?，F(xiàn)簡(jiǎn)要敘述這三類技術(shù)的工作原理。

1）包過(guò)濾技術(shù)

在網(wǎng)絡(luò)中傳輸?shù)男畔⒅饕且詳?shù)據(jù)包的形式發(fā)送，數(shù)據(jù)包又分為包頭和數(shù)據(jù)兩個(gè)部分，數(shù)據(jù)包的包頭中，包含了數(shù)據(jù)包的源IP地址和目標(biāo)IP地址。數(shù)據(jù)包正是根據(jù)這樣的信息，被在網(wǎng)絡(luò)中的不同路由器根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)，從源地址發(fā)送往目標(biāo)地址的。在包過(guò)濾路由器中，由管理員設(shè)置安全規(guī)則，并根據(jù)安全規(guī)則對(duì)將轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行檢查，當(dāng)發(fā)現(xiàn)不符合安全規(guī)則的數(shù)據(jù)包時(shí)，數(shù)據(jù)包將被丟棄。由于包過(guò)濾只檢查數(shù)據(jù)包的包頭中信息來(lái)決定是否對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄，所以原理相對(duì)簡(jiǎn)單和有效，易于擴(kuò)展。但它也有一些缺點(diǎn)和局限性。在系統(tǒng)中配置包過(guò)濾規(guī)則較為困難，管理員很難在包過(guò)濾規(guī)則中考慮全面，而且對(duì)于安全規(guī)則的測(cè)試也較為麻煩。由于不支持應(yīng)用層面的安全過(guò)濾，有些安全規(guī)則是難于用包過(guò)濾系統(tǒng)來(lái)實(shí)施也難以實(shí)現(xiàn)。所以實(shí)際應(yīng)用中，包過(guò)濾安全往往要與其它防火墻技術(shù)結(jié)合使用。

2）服務(wù)

運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序。防火墻主機(jī)是由一臺(tái)安裝有服務(wù)協(xié)議的雙重宿主主機(jī)構(gòu)成，主機(jī)可連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。所謂就是一個(gè)提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。也被稱為應(yīng)用網(wǎng)關(guān)。外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求，通過(guò)服務(wù)器的安全規(guī)則的檢測(cè)，對(duì)于合法的連接請(qǐng)求，服務(wù)主機(jī)以自身的身份與內(nèi)部網(wǎng)絡(luò)相聯(lián)，并轉(zhuǎn)發(fā)數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)的連接請(qǐng)求，也是通過(guò)服務(wù)主機(jī)與外部網(wǎng)絡(luò)相聯(lián)的。服務(wù)主機(jī)是在應(yīng)用層提供服務(wù)，在管理員控制下，允許或拒絕特定的應(yīng)用程序或特定服務(wù)，所以在服務(wù)主機(jī)中，可對(duì)轉(zhuǎn)發(fā)和拒絕的數(shù)據(jù)流實(shí)施監(jiān)控、記錄、過(guò)濾、報(bào)告。由于服務(wù)機(jī)制中，對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，對(duì)外部的訪問(wèn)可屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，服務(wù)應(yīng)用層也是制定更為嚴(yán)格的安全策略。

3）保壘主機(jī)

人們把處于防火墻關(guān)鍵部位，運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)稱為堡壘主機(jī)。保壘主機(jī)在防火墻的建立過(guò)程中起著至關(guān)重要的作用。堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中到某個(gè)主機(jī)上解決。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘訂機(jī)也必須是自身保護(hù)最完善的主機(jī)。由于堡壘主機(jī)是最易受到攻擊，所以在堡壘主機(jī)中設(shè)置服務(wù)必須最少，堡壘主機(jī)中的服務(wù)軟件也盡可能低的權(quán)限。建立堡壘主機(jī)的目的是阻止入侵者到達(dá)內(nèi)部網(wǎng)絡(luò)。堡壘主機(jī)目前一般有3種類型：無(wú)路由雙宿主主機(jī)、犧牲主機(jī)和內(nèi)部堡壘主機(jī)。無(wú)路由雙宿主主機(jī)，有多個(gè)網(wǎng)絡(luò)接口，但接口之間無(wú)路由的連接。犧牲主機(jī)是一種沒(méi)有任何需要保護(hù)信息的主機(jī)，入侵者可隨意登錄，但又不能與任何主機(jī)相聯(lián)。

2防火墻對(duì)于網(wǎng)絡(luò)安全的不足之處

雖然，現(xiàn)有的防火墻技術(shù)對(duì)經(jīng)由防火墻數(shù)據(jù)流進(jìn)行了過(guò)濾，一定程度上保護(hù)了內(nèi)部網(wǎng)絡(luò)的主機(jī)的安全，但不足之處也非常明顯。包過(guò)濾防火墻，在過(guò)濾數(shù)據(jù)包時(shí)對(duì)用戶完全透明，只根據(jù)數(shù)據(jù)包中的IP信息將數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄，效率高。但只作用于數(shù)據(jù)鏈層，無(wú)法防御具有地址欺騙的網(wǎng)絡(luò)攻擊方式，對(duì)于應(yīng)用程序中的安全保護(hù)作用有限。服務(wù)類防火墻，將內(nèi)部與外部隔離，內(nèi)部與外網(wǎng)的信息經(jīng)由防火墻進(jìn)行轉(zhuǎn)換，對(duì)外網(wǎng)屏蔽內(nèi)部的結(jié)構(gòu)，以達(dá)到保護(hù)內(nèi)部的目的。服務(wù)于應(yīng)用層，可制定轉(zhuǎn)為嚴(yán)格的保護(hù)策略，但工作的速度對(duì)于路由器工作速度慢，且過(guò)程對(duì)于用戶是隱蔽的，不同的服務(wù)，使用不同的服務(wù)器，所以服務(wù)防火墻工作效率較低。傳統(tǒng)的防火墻也有明顯不足之處：

1）對(duì)于不經(jīng)由防火墻網(wǎng)絡(luò)攻擊不能防范。

2）不能防范受病毒感染的文件、軟件和文檔的傳輸。

3）不能防范內(nèi)部網(wǎng)絡(luò)的攻擊。

4）防火墻的工作方式是被動(dòng)的，無(wú)法根據(jù)網(wǎng)絡(luò)攻擊作出適應(yīng)調(diào)整。

5）對(duì)于具有欺騙性的網(wǎng)絡(luò)攻擊，缺少應(yīng)對(duì)手段。

3防火墻的新技術(shù)及安全防護(hù)策略

近年來(lái)，針對(duì)傳統(tǒng)防火墻的不足，對(duì)防火墻技術(shù)進(jìn)行改進(jìn)及安全防護(hù)策略。

1）在設(shè)計(jì)防火墻安全策略時(shí)，禁止不經(jīng)由防火墻的訪問(wèn)，確保內(nèi)部網(wǎng)絡(luò)與外部所有信息流都經(jīng)過(guò)防火墻。

2）與防病毒軟件相結(jié)合的防火墻技術(shù)，在應(yīng)用網(wǎng)關(guān)的防火墻中，與第三方殺病軟件相結(jié)合，對(duì)經(jīng)由防火墻的數(shù)據(jù)進(jìn)行檢測(cè)，將病毒防御在防火墻之外。

3）智能防火墻技術(shù)，針對(duì)傳統(tǒng)防火墻被動(dòng)防御的缺點(diǎn)，新型智能防火墻內(nèi)外路由器、智能認(rèn)證服務(wù)器、智能主機(jī)和堡壘主機(jī)組合構(gòu)成，實(shí)現(xiàn)過(guò)濾規(guī)則自動(dòng)產(chǎn)生和自動(dòng)配置，對(duì)新發(fā)現(xiàn)的安全威脅進(jìn)行自主防御。

4）分布式防火墻，分布式防火墻由安全策略管理服務(wù)器和客戶端防火墻構(gòu)成。安全策略服務(wù)器負(fù)責(zé)安全策略、用戶、日志、審計(jì)等管理?？蛻舳朔阑饓ω?fù)責(zé)對(duì)安全策略的實(shí)施。分布式防火墻可防御各種類型的被動(dòng)攻擊與主動(dòng)攻擊。

5）集中防火墻，集中防火墻是在入侵檢測(cè)技術(shù)的支持下，建立一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和防火墻集成模型。入侵檢測(cè)系統(tǒng)可有效彌補(bǔ)防火墻無(wú)法識(shí)別網(wǎng)絡(luò)攻擊的缺陷。入侵檢測(cè)系統(tǒng)將有效識(shí)別網(wǎng)絡(luò)攻擊并動(dòng)態(tài)調(diào)整防火墻的安全規(guī)則，使防火墻具有一定的智能化。

4結(jié)束語(yǔ)

在網(wǎng)絡(luò)安全越來(lái)越受到重視的今天，防火墻在抵御網(wǎng)絡(luò)攻擊、保護(hù)網(wǎng)絡(luò)的信息安全起到重要作用。隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步，網(wǎng)絡(luò)攻擊呈現(xiàn)手段越來(lái)越多樣化，攻擊形式也更加復(fù)雜。為更好的防御網(wǎng)絡(luò)攻擊，在網(wǎng)絡(luò)環(huán)境中配置防火墻，并正確使用防火墻安全策略和新技術(shù)原理防火墻，是可能在一定程度上有效的保護(hù)網(wǎng)絡(luò)安全的。

作者：徐振宇 單位：太原理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 山西工程技術(shù)學(xué)院