防火墙在网络中的应用精选(九篇)
第1篇:防火墙在网络中的应用范文
关键词: 网络安全 防火墙 技术特征
一、概述
进入21世纪,计算机网络技术飞速发展,当我们在享受网络带来的便捷的同时网络信息安全逐渐成为了一个重要问题。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术。我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵。其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
二、防火墙的分类
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但它无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
根据防火墙所采用的技术不同,我们可以将它分为以下四种基本类型:
1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
2.网络地址转化――NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器根据这一请求向服务器索取数据,然后由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,系统管理较复杂。
4.监测型
监测型防火墙是新一代的产品,能够对各层的数据进行主动的、实时的监测。在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
虽然监测型防火墙在安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主。
实际上,作为当前防火墙产品的主流趋势,大多数服务器也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用层的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
三、防火墙的选择
构建不同的网络,选择防火墙的标准也有很多,但最重要的是以下几条:
1.总拥有成本
防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。
2.防火墙本身的安全性
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理。对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
3.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
4.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
综上所述,防火墙在网络安全中的重要性是不言而喻的,选择合适的防火墙是我们在组建网络时应首先考虑的问题。总之,只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
参考文献:
[1][美]WES NOONAN.防火墙基础.人民邮电出版社,2007.6.
第2篇:防火墙在网络中的应用范文
湖南省肿瘤医院中南大学湘雅医学院附属肿瘤医院放疗物理室,湖南长沙 410013
[摘要] 构筑基于Linux的防火墙可以有效地解决放疗综合科网络与医院大网络之间医学影像数据的互传共享及计划录入问题。该研究主要从安全性、稳定性、高效性角度阐述Linux iptables规则的灵活运用。着重论叙了三网卡Linux防火墙系统的安装、配置以及测试。
[
关键词 ] Linux;放疗网络;iptables规则;安全性
[中图分类号]R734.2 [文献标识码] A [文章编号] 1672-5654(2015)03(a)-0139-02
The Application of Linux firewall in Radiotherapy network
ZHANG Li ZENG Degao
Radiotherapy department of physics Central South University Cancer Hospital of Xiangya Medical College Affiliated Tumor Hospital of Hunan Province,Changsha,Hunan Province,410013 China
[Abstract] To building a firewall based on Linux can effectively solve the problem of medical image data between the department of radiotherapy comprehensive network and hospital large network mutual sharing and planned entry problems. Flexibility in the use of this article focuses on Linux iptables rules from the security, stability, high efficiency angle. Mainly discusses the three card Linux firewall system installation, configuration and test.
[Key words] Linux;Radiotherapy network;Iptables;Safety
[作者简介] 张利(1984-),女,湖南株洲人,本科,肿瘤放射物理,湖南省肿瘤医院。
现代化放射治疗除了医疗技术现代化、设备现代化,信息和管理手段也要现代化[1]。放射治疗的信息化程度标志着一个医院放疗技术的发展水平。放射治疗信息化发展的主要目标之一就是整合全医院的各种资源,为医院的医疗、科研、教学提供一个共享平台。
放疗中心是肿瘤医院不可缺少的科室。该院放疗中心设有模拟定位室、型模室、后装治疗室、物理室、放疗技术组和热疗室,承担全院放射治疗方面的临床、科研、教学工作。放疗中心有Varian、Mosaiq、Precise等网络系统。经过前期的信息化建设,建成了基本适应放射治疗应用系统要求的网络基础平台[1]。
当前,该院医院大网络与放疗综合科网络各自处于不同的网络环境,两个网络之间存在物理隔离,不能有效的传输数据。影像数据刻盘、拷盘浪费大量人力物力,且必须满足医生能够在放疗病房(医院大网络)访问计划管理系统(放疗综合科网络)。短时间内通过改变网络结构将放疗网络融入医院大网络不现实。而Linux系统集合了硬件配置要求低,稳定、安全性能高,内核功能强大等优点。且Linux防火墙在应用中发展和完善,形成功能强大的netfilter/iptables架构,已经实现了商用防火墙的大部分功能,其低廉的价格和良好的安全性已经得到了越来越广泛的关注。对于中小局域网络而言,购买商用防火墙系统需要较大的资金投入[2]。构筑基于Linux的防火墙来解决上述问题可以达到成本小,见效快,安全可靠的效果,因此,Linux防火墙应运而生。
首先,根据实际情况定义防火墙的访问规则:①内部可以有选择访问外部;②外部可以有选择访问内部;③DMZ不能访问外部;④外部可以访问DMZ;⑤DMZ不能访问内部;⑥内部可以访问DMZ。
其次,选择一台三网卡工作站(可自行安装独立网卡),选择Ubuntu 12.04 Server 版(无图形界面)Linux操作系统。具体配置如下。
1分别配置好防火墙的三个网卡接口信息
2为了使FORWARDl链能够转发数据包,需要运行echo命令开启路由转发功能
3配置iptables 安全策略
#只允许放疗综合科内部用户访问防火墙
iptables-A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
#允许放疗大科病房主机(属于医院大网络)访问计划管理系统
iptables-A FORWARD -s 192.168.2.100 -j ACCEPT
iptables-A FORWARD-s 172.25.0.0/19 -d 192.168.2.100 -j ACCEPT
#允许内网用户访问计划管理系统
iptables-A FORWARD-s 192.168.2.100 -j ACCEPT
iptables-A FORWARD-s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
#允许放诊科CT传送图像至CMS_XIO服务器
iptables -A FORWARD -s 192.168.1.81 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.81 -j ACCEPT
允许放诊科CT传图像至MastetPlan服务器
iptables -A FORWARD -s 192.168.1.130 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.130 -j ACCEPT
允许放诊科CT传图像至Pinnacle服务器
iptables -A FORWARD -s 192.168.1.146 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.146 -j ACCEPT
#允许此主机上医院网络系统方便邮件传送资料
iptables -A FORWARD -s 192.168.1.151 -j ACCEPT
iptables -A FORWARD -d 192.168.1.151 -j ACCEPT
#此主机禁止上医院HIS系统
iptables -A FORWARD-s 192.168.1.200 -d 172.26.100.100/29 -j ACCEPT
#允许此主机上医院电子图书馆查阅资料
iptables-A FORWARD-s 192.168.1.200 -d 172.26.100.144/29 -j ACCEPT
#允许特定主机上院网络(结合上述FORWARD规则链)
iptables-t nat-A POSTROUTING-s 192.168.1.128-o eth0 -j SNAT --to 172.25.25.100
iptables-t nat -A POSTROUTING-s 192.168.1.151-o eth0 -j SNAT-to 172.25.25.100
iptables-t nat -A POSTROUTING-s 192.168.2.200-o eth0 -j SNAT -to 172.16.25.100
#开放放疗科计划管理系统80端口
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.128:80
#开放104端口传输DICOM影像图至CMS_XIO服务器
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 104 -j DNAT --to-destination 192.168.1.100:104
#开放104端口传输DICOM影像图至MastetPlan服务器
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 10400 -j DNAT --to-destination 192.168.1.130:104
#开放104端口传输DICOM影像图至Pinnacle服务器
iptables-t nat-A PREROUTING -d 172.25.25.100-p tcp-dport 20400 -j DNAT -to-destination 192.168.1.146:104
将以上规则连同echo命令一起保存至脚本iptables.sh ,执行命令chmod 744 iptables.sh使该脚本具有-rwxr--r--权限。
4测试规则是否生效
①内网主机Ping防火墙内网口ip地址,可以测试内部用户对防火墙是否具有主动访问的权限。(防火墙提供Samba文件服务、SSH远程访问服务)
②外网主机Ping防火墙外网口ip地址,可以测试外部用户对防火墙是否具有主动访问的权限。(拒绝一切外部对防火墙的直接访问)
③外网主机telnet 外网接口+80或者104、10400、20400可以测试外部用户主动对DMZ区计划管理系统的访问及CMS_XIO、MastetPlan、Pinnacle服务器影像图片的接收情况。
5结论
通过安全策略的分析和端口的设计证明,Linux防火墙可以很好地解决了内部、外部、DMZ三者之间网络的互通及安全问题,体现了iptables安全策略灵活的特性。通过实例证明该方案是高效、安全、可行的。组织机构可以根据实际情况,变更安全策略,自行加入新的规则与服务。
但是,防火墙仅仅还只是机构总统安全策略的一部分,而不是一个解决网络安全问题的万能药方。并不意味着有了防火墙,防火墙内的人就可以高枕无忧了,网络上的“黑客”无时无刻不在寻找着各种防火墙的安全漏洞。同时,防火墙也不能解决进入防火墙的数据导致的安全问题,例如病毒等。一个安全的网络体系结构,仅仅从软件上去实现是不够的,它需要所有与它有关的人的共同协作与保护。
[
参考文献]
[1] 吴智理,倪千禧,张九堂.堆叠技术在放疗网络中的应用[J].医疗数字化,2014,29(8):55-57.
[2] 郑超,等.基于Linux防火墙的局域网安全环境设计与实现[J].科学技术与工程,2008,8(11):2854-2857.
[3] 吴丹,徐玲,吴建军. 三层交换技术在大型医疗设备互联时的应用[J].中国医疗设备,2010,25(7):48-49.
[4] 纽罗涌,汪觉民.医院病理信息系统与全院PACS信息交换设计[J].医疗装备,2006(4):14-16.
[5] 郑坤,谢松城,管炜桥,等.ISO 80001国际标准-关于医疗设备与网络集成之风险管理.[J].中国医疗设备,2012,27(8):93-94,124.
Zheng Kun,Xie Song-cheng,Guan Wei-qiao et al.ISO 80001:Risk Management of Mediacal Equipment Integnating IT Network [J].China Medical Devices,2012,27(8):93-94,124.
[6] 彭明辰.临床工程学科建设之我见[J].中国医疗设备,2009,24(1):1-2.
Peng Ming-chen.My 0pinion of Construction in Clinical Engineering D iscoplines[J].China Medical Devices,2009,24(1):1-2.
[7] Ted Conhen .AAM I’s Bench marking Solution:Analysis of cosy of Service Ratio and Other Metric[J].Bio medical Instrumentation & Technology,2010.
第3篇:防火墙在网络中的应用范文
关键词:防火墙技术;计算机;网络安全
随着网络技术的发展,互联网的普及,网络安全问题已经被越来越多的人所重视。在网络安全中,最大的威胁是黑客恶意入侵或攻击,由于这种安全威胁的存在,使得电子商务、政府网上工程无法顺利的进行。就目前为止,解决网络安全问题的最有效的方法是采用防护墙技术。
1.网络安全问题
随着信息技术的快速发展,互联网技术已经渗透到多领域内。计算机网络技术的发展,改变人们生活方式和观念的同时,对社会的意识形态及面貌也有一定的影响。病毒的侵袭、黑客的攻击及电磁泄漏等严重的影响人们正常的工作、生活。网络安全问题出现的原因是人不经意的失误和有人故意对网络进行攻击。操作人员在操作过程中,由于缺乏安全意识、口令操作信息不准确或是无意中将自己的信息泄露给别人,都会导致网络安全威胁问题,此外,人为的恶意攻击也是威胁网络安全的重要因素,同时也是网络安全中所面临的最大难题。因此,不管是计算机惯犯的攻击,还是竞争方的恶意攻击,都会对计算机网络安全造成一定的威胁。
2.防火墙概况
2.1防火墙概念
所谓的防火墙就是在建筑大厦时,为了防止火灾通过传递的方式从一个地点传到另一个地点而设置的。计算机网络防火墙也是为了防止类似事件发生而设计的。网络安全防火墙是指两个网络之间为了加强访问控制而设置的一整套装置,是网络内部与外部之间的安全防范系统,正常情况下,安装在网络内部和网络外部的连接点上。当外部网有信息传递时,都需要经过防火墙检测,确定没有问题才能将安全信息转发至内部网络。计算机网络系统防火墙主要是由分离器、限制器、分析器等构成的。有特殊情况下,防火墙的实现方式是不同的,而在正常情况下是相同的,都是由一个路由器和路由器组合、一台主机和适当的软件组成的。
2.2防火墙特性
防火墙在网络信息传输过程中其起着网络安全把关作用,同时其可以将安全防范集中在内部网络和外部外网络连结的阻塞点上。防火墙的特性就是具有阻塞通信信息的功能,网络上所有进出的信息都必须经过防火墙这一阻塞点进行检查和传递;防火墙有阻止不合规范信息传递功能。随着网络的普及,给人们的生活、工作带来了方便。据统计,每天都有成百上千万人用互联网进行信息交换或是收集,在这一过程中,难免会有人为了达到某种目的,对网络发起攻击或是恶意侵犯。为了解决这一问题,研究人员研究出防火墙。防火墙可以充当安全卫士,对出入的信息进行安全检测,只有符合系统安全规定的的信息才可以通过防火墙;由于网络内部和网络外部进行信息交换,都需要经过防火墙,依据防火墙的特性,收集和记录相关的系统或是网络上使用的信息是最合适不过的。此外,防火墙还可以将内部网络分成不同的网段,限制不良网站的访问,对阻止恶意网站的侵袭有重要的作用。防火墙能够防止不良信息的恶意侵袭,但是随着科技的发展,新的问题还会出现,面对新的问题,现在的防火墙技术还不能有效的阻止不良网站的侵袭,再加上防火墙的局限性,不能防范不通过它的连接,同时也不能防范病毒入侵等网络安全问题,防火墙技术还有待于研究。
3.防火墙的种类
3.1防火墙的种类很多,目前网络上常用的防火墙主要有分组过滤型防火墙、应用型防火墙及复合型防火墙。每一种防火墙都有其独特的功能作用。分组过滤性防火墙是最基本的防火墙,实际上也是包过滤路由器。包过滤路由器是在网络合适的位置,一系统被设置的过滤原则为依据,对数据包进行有选择的通过,这里的数据包的工作原理及技术是各种网络防火墙最基础的构件,防火墙要想有效的工作,需要过滤包对过滤路由器与IP包过滤配合,才可以顺利实施。当过虑网关收到数据包后就会先对报文头进行扫面,随后对报文头源的IP 地址、目的IP和目的TCP/ UDP端口等域进行检查,确定之后,才可以决定其丢出与否,最后有管理人员按照相关规则对路由器进行配置。这里的数据包有着无法比拟优势的同时,也有不足之处。虽然数据包有不用其他自定义软件或是客户配置,一个数据包过滤路由器对整个网络有协助保护作用,大部分路由器可以做数据包进行过滤等优点,同时也有当前过滤工具存在缺陷,协议与数据包不符或是数据包不能正常执行某些策略等缺点。因此,要想有效的控制网络安全问题,还需要不断的研究新的防火墙技术;所谓的应用型防火墙实际上就是内部网和外部网的隔离点,对隔离点上的不良信息有监视和隔绝应用的作用。其中的服务就是在防火墙主机上运行的专门应用程序或是服务程序,这些程序服务的依据用户对网络服务的请求运行的安全策略,再加上是是提供链接并进行服务的网关,很多时候也将其叫做应用级网关。因此,服务对阻止外部网络信息进入内部网有重要作用;防火墙中的网络通信链路是由内、外部主机和服务器两部分构成的。服务器的主要作用是根据安全策略分析信息是否安全,此外,服务器可以检查来自客户的请求,并将其转送到主机上,还可以根据安全策略控制用户的请求。服务器既有优势又有劣势,其优势条件是服务可以为用户提供相关的网络服务并具有优化日志的作用;劣势是服务没有非服务有优势,服务正常情况下,要求同时对客户和过程之一服务或是分别对其进行服务。由于服务有一定限制性因素,对于一些服务是不适用的,不能保护所有协议的弱点。
3.2此外,复合型防火墙是将数据包过滤和服务结合在一起进行使用的,这种防火墙可以使络安全性、性能和透明度有效的互补。随着互联网技术的发展,新的问题还会不断的出现,研究人员还要根据新出现的问题研究出新的防火墙技术。只有不断的完善防火墙技术,才能使网络安全得到有效的保证。目前为止,状态技术、安全操作系统、实施侵入检测系统已经出现。在未来的防火墙技术中,还会出现符合时展潮流的新技术。
结束语:
防 火墙技术是解决网络安全的有效手段,但随着信息技术的迅速发展,新的网络安全问题还会不断的出现。要想使防火墙技术更好的满足网络安全的需要,还需要研究人员研究出安全性更高、透明性更好、网络化性能更加的防护墙技术。
参考文献:
[1]王琦.计算机网络安全防护管理探析[J].科技传播.2010.(17).
[2]刘璇.互联网通讯网络安全防护[J].煤炭技术.2011.(06).
[3]占科.计算机网络防火墙技术浅析[J].企业导报.2011.(11).
[4]吴晓东.计算机网络信息安全防护探析[J].现代商业.2010.(27).
第4篇:防火墙在网络中的应用范文
关键词:防火墙;网络安全;应用探析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)22-0024-02
当前,计算机技术和网络技术正逐渐深入到社会生活的方方面面,世界各国之间通过网络交流来加强相互联系,人们对于信息网络的依赖也正逐步加深。它在给人类社会发展带来机遇的同时,也带来了“黑客”、“病毒”等严峻的考验。由于人们的网络安全意识淡薄,一些不法分子利用网络漏洞,对国家财产、信息以及居民个人信息进行非法窃取,严重影响到社会的健康发展和长治久安。网络中存在的风险应当引起人们足够的重视,使我们了解风险并规避风险,以恰当的方式将风险转化为有利因素。做好防护措施,不断加强网络自身安全才是计算机网络安全的关键[1]。
1 网络防火墙及其分类
1.1 网络防火墙
计算机网络防火墙是一种能有效拦截不安全信息的防护网。它减少了不安全因素的入侵攻击,加强了两个网络之间的访问控制连接以及对网络内部与外部的防范。它是安装在网络内部和外部的连接点上的,外部网络在进行信息传递时,需要通过防火墙的检测,在确定所传递信息没有问题时,防火墙才会将安全的信息传递给内部网络共享。网络防火墙主要的组成部分有:限制器、分离器以及分析器等[2]。
1.2 网络防火墙特性及分类
防火墙在网络信息传输过程中起着屏障保护作用,它将安全防范集中于外部网络和内部网卡的连接阻塞点上。网络防火墙具有阻塞信息传递的功能,网络上进出的信息必须通过防火墙这一关键传输节点,对不合乎规范的信息将进行阻拦。大量信息的交流与传递给人们的生产、生活带来诸多便利的同时,一些人在利益的驱使下,为达到某种目的,对计算机网络发起恶意侵犯,为网络安全带来破坏。从其侧重点和防范方式上来讲,通常可将网络防火墙分为两种类型:包过滤防火墙和服务器。
包过滤防火墙是指对网络层中的数据进行筛选,使之有选择性地通过[3]。服务器通常被称为应用级防火墙,与包过滤防火墙不同,服务器型防火墙是利用服务器的主机将内部网络与外部网络分开,内部发出的数据包在通过服务器防火墙的处理后,可以有效地隐藏内部网络结构[4]。
2 网络安全与防火墙技术应用分析
2.1 防火墙技术应用的必要性分析
网络系统的控制会受到各方面的攻击,其系统在一些情况下是比较脆弱的。在windows系统中默认开放了较多不必要的服务和端口,在资源共享方面没有进行合理的配置及审核。管理员在通过安全部署并严格执行ntfs权限分配后,加强控制系统的映射和共享资源的访问。在完成这些操作后依然不能说Windows是足够安全的,它在一定程度上也会受到网络攻击,其服务系统在安全性、可用性以及功能性等方面无法进行权衡。防火墙技术的应用对整个网络安全起到了保障作用,有利于网络的发展和壮大。在对网络中所有主机进行维护时,维护问题将不断复杂升级化,因此启用安全防火墙显得尤为必要。
2.2 防火墙技术在网络安全中的应用分析
计算机网络中出现的安全问题,促进了防火墙在计算机网络安全中的应用。为了有效保护网络安全,体现出防火墙技术的实用性及安全性,可以充分利用从以下几种方式。
2.2.1 访问策略中的防火墙技术应用
访问策略是防护墙技术的应用核心,在计算机网络安全中占据着主体地位。访问策略的应用实施主要是以配置为主,在详细规划安排的基础上对整个计算机网络信息运行过程,形成科学的防护系统。防火墙技术针对计算机网络的运行实际,制定有效的规划访问策略,以此来营造安全的网络环境。
2.2.2 日志监控中的防火墙技术应用
部分用户在使用计算机网络的过程中,善于分析防火墙技术的保护日志,并从中获取相应有价值的信息。日志监控是计算机网络的一个重要保护方式,是防火墙技术中的重要保护对象。用户在对防火墙日志进行分析时,重点把握关键信息。用户在使用防火墙技术对网络安全进行保护所生成的日志时,仅需要对其中某一类别的信息进行全面采集,防止因数据量过大以及类别划分等原因造成采集难度增加。有效的信息采集方式能在一定程度上降低恶意屏蔽风险,发挥日志监控的有效作用。用户在防火墙信息中实时记录报警信息,在日志监控作用下,防火墙技术保护网络安全的能力得到了进一步的提升,在优化网络资源配置的同时,也提高了防火墙技术的筛选能力。
2.2.3 安全配置中的防火墙技术应用
安全配置是防火墙技术应用的重点内容。在安全配置中,可以将网络安全按照不同的性质划分为多个不同的模块,对于需要进行安全防护的模块进行重点保护。防火墙技术的隔离区属于单独的局域网,它是计算机内部网络的组成部分,对保护网络服务器内部的信息安全具有重要作用。计算机网络防火墙对安全配置的要求是相对较高的,主要原因是其应用效率较高。安全配置在隔离区域的设置中具有明显的特征,与其他的计算机网络安全防护技术的不同之处在于,其主要工作方式为:网络防火墙技术监控区域内的信息流通主要是利用地址的转换,将内网流入到外网的IP地址转化为公共IP地址,以此来避免外网攻击者获取分析IP地址,地址技术的转化对保护内网、防治外网入侵、保护隐藏IP地址均有重要作用。
防火墙技术与网络安全建设息息相关,防火墙要适应网络的发展,并以新的技术和方法来解决网络发展带来的问题。在未来的防火墙建设中,我们需要考虑的是建设更加适应网络信息化发展的防火墙模型,加强网络评估方法和网络安全防范技术的升级[5]。
3 结束语
防火墙技术对解决网络安全起着重要的作用,它是信息化不断发展的产物。为应对层出不穷的网络漏洞,网络防护墙技术也随之不断更新和完善。要使防火墙技术更能符合网络安全发展的需要,研发人员要在提高安全性,加强网络化性能等方面做好防火墙技术的研究。
参考文献:
[1] 戴锐. 探析防火墙技术在计算机网络安全中的应用[J]. 信息与电脑(理论版), 2011(11):45-46.
[2] 曹建文, 柴世红. 防火墙技术在计算机网络安全中的应用[J]. 甘肃科技纵横, 2005(6):41-42.
[3] 姜可. 浅谈防火墙技术在计算机网络信息安全中的应用及研究[J]. 计算机光盘软件与应用, 2013(4): 178-179.
第5篇:防火墙在网络中的应用范文
关键词:网络安全 防火墙
1 概论
当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在,网络安全已经成了专门的技术。保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术
防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类
3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低,CPU处理能力弱,通用CPU架构防火墙的数据吞吐量较低,和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。
ASIC(Application Specific Integrated Circuit专用集成电路)技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题,稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案,线速可达千兆。ASIC技术的优势体现在对网络层的数据转发,而对应用层的数据处理不占优势。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。
NP内含多个数据处理器,可以并发处理数据。数据处理能力较通用处理器强大很多,处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高,而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器,能够胜任高速数据处理。
3.3 从技术上分 目前有很多种防火墙技术,根据采用技术的不同,总体可以分为两大类:包过滤型和应用型。
3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙,作用在网络层和传输层,技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包,每个数据包都包含一些特定信息,如数据源地址,目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址,其余数据包则被丢弃。
在包过滤防火墙的发展过程中,出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。
静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包,与过滤规则匹配成功则丢弃,否则让其通过。过滤规则基于数据包中的特定信息,如数据源地址,目的地址、协议类型、端口号等。
动态包过滤型防火墙的包过滤规则采用动态设置的方法,解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态,不仅根据规则表检查每一个包,还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为,增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪,并且可根据需要在过滤规则中动态地增加或更新条目。
包过滤技术既简单实用,又能适用于所有的网络服务,基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术,只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵,如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址,骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。
3.3.2 应用型防火墙 应用型防火墙工作在应用层。它通过对各种应用服务编制专门的程序,实现监控应用层通信流的作用。
在型防火墙技术的发展过程中,出现了第一代应用网关型防火和第二代自适应防火墙。
应用网关型防火墙有时也被称为服务器,其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间,对于服务器来说,它相当于客户机;对于客户机来说,它相当于服务器。从客户机发出的数据包经过防火墙处理后,可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信,所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是服务器技术。
自适应型防火墙是一种新型防火墙,近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有类型防火墙的安全性的优点,能在不降低安全性的基础上将防火墙的性能提高数倍。自适应型防火墙的基本组成要素包括动态包过滤器和自适应服务器。
应用型防火墙是为防范应用层攻击设计的,它可以筛选保护OIS网络模型中的任意层数据通信。应用型防火墙有以下优点:隐藏内部IP;限制某些协议的传出请求;指定对连接的控制;能够记录连接日志,对追踪攻击和非法访问很有用。
应用防火墙的缺点:用户每次连接都要认证,带来不便;用户系统须定制;速度相对较慢,当网络通信速率较高时,就会影响内外部通信,但通常情况下不会很明显。
4 结束语
防火墙系统只是一种网络安全防护手段,并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击,某些恶意的访问可以通过客户机的软件绕过放过防火墙,传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。
单纯的防火墙技术逐渐不能满足人们对网络安全的需要,防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有:多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。
随着计算机技术的发展,防火墙技术会不断的向前发展,网络安全问题也会不断涌现。只有不断改进安全策略,才能保证网络安全稳定的发展。
参考文献:
[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008,(03).
第6篇:防火墙在网络中的应用范文
【 关键词 】 计算机;防火墙技术
0 引言
随着计算机网络技术不断的发展,网络已经成为人们生活、工作、学习必不可少的一部分。网络在给人们带来安全的同时,也给人们带来了一定安全隐患。就目前来看,网络犯罪和黑客网站在不断地增多,这就使得人们对网络安全越来越重视。计算机防火墙就技术的出现,在一定程度上维护了网络安全。如何将计算机防火墙技术更好地应用到实际中,已经成为相关部门值得思索的事情。
1 计算机防火墙概念及功能
所谓的防火墙就是不同网络或网络安全域信息之间的一系列部件组合。其作为不同网络和安全域之间信息唯一出入口,也能以企业的安全政策形式对出入的信息流进行控制;防火墙本身有较强的抗攻击能力,其能更好地为企业服务;防火墙作为基础设施,不仅能为企业提供信息安全服务,同时也能为实现网络和信息安全创造条件;也可以将防火墙看作一个逻辑上的分离器、限制器或分析器,能对内部网络和Internet之间的活动进行监控,以保证内部网络安全。综上所述,可以看出防火墙是沟通Internet和内部网络唯一的桥梁。
2 计算机防火墙分类及特点
2.1 计算机防火墙分类
就目前来看,防火墙主要有包过滤防火墙、服务型防火墙、复合型防火墙、其他类型的双宿主主机过滤及加密防火墙等。
包过滤防火墙一般会安置在路由器上,而且大部分商用路由器都有包过滤功能,包过滤防火墙则能以IP信息包为基础对IP源地址、目标地址、封装协议类型、端口等进行相应筛选。
服务型防火墙一般是由服务器端程序和客户端程序组成的,其中客户端程序和中间节点是相连的,而中间节点又与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接地连接,同时提供日志(Log)及审计(Audit)服务。
复合型防火墙,能更好地将包过滤和服务有效地结合在一起,使其形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供服务。
双宿主主机防火墙和主机过滤防火墙都是由堡垒主机提供相应服务的。双宿主主机防火墙一般是由堡垒主机来充当网关的,并在网关上运行防火墙软件,要想保证内网网络通信,就必须通过堡垒主机。而主机过滤防火墙则将过滤路由器和外部网连接起来,并在堡垒机上安装内部网,使堡垒机成为外部网唯一节点,以保证内部网络不受非授权用户攻击。
在此基础上,加密路由器也能通过路由器信息流进行相应加密和压缩,使外部网络传输将相关信息传输到目的端,可以更好地对信息进行解压缩和解密。
2.2 计算机防火墙特点
防火墙作为计算机安全框架一部分,其在设计过程中必须满足计算机安全需求,然而,其在实际应用过程中也有劣势。
2.2.1防火墙优势
在正常情况下,防火墙不仅能对计算机网络整体安全进行配置,同时也能完成安全策略,并将其控制在关键策略可以接受的范围内;也可以对某些特殊服务进行限制,防火墙是允许访问Web服务器的,而对于一些其他Telnet端口和其他域来说,则是禁止访问或是授权访问的。
在实际应用过程中,因防火墙功能强大,其不仅可以作为网络安全屏障,对网络安全策略进行强化,同时也可以通过网络地址转换功能以缓解地址源紧张问题,也可以为用户提供相应服务;防火墙可以对网络安全进行强化,就是以防火墙为中心的安全方案配置,其最大的优势是能将相应软件配置在防火墙上,并将相应网路安全问题分散到不同主机上进行对比分析,以实现防火墙对网络进行集中安全管理的经济性;同时其也具有网络地址转换功能,不仅能缓解IP地址址源紧张问题,也可以对ISP进行更换而需要重新编号的麻烦。
防火墙也可以对Internet使用状况进行登记查询并对Internet连入代价和潜在带宽瓶颈进行确认。防火墙还可以配置WWW和FTP服务,以方便相应用户对此类服务进行访问,也可以保护和禁止相关网络系统的访问;防火墙还具有审计功能,只要计算机中有足够的磁盘空间或是记录功能,其就能将经过防火墙的网络流记录在其中,一旦有危险信息出现的时候,防火墙也能将相关信息反映给防火墙管理人员,以便使管理人员能及时解决相应问题,以保证网络安全。从中可以看出,防火墙在实际应用过程中是不需要对其安全性和可用性进行权衡的,其功能也是比较专一的,应用范围也相对广泛。
2.2.2防火墙劣势
防火墙劣势是其在使用过程中,对已经授权的访问并不能采取相应保护,毕竟防火墙允许保护系统正常通信的信息是需要通过防火墙的。如果其应用程序本身就存在一定错误,防火墙不能发挥其作用以阻止其攻击,也就是说其是已经经过授权的。防火墙工作是按照配置规则进行的,一旦按照随意规则进行配置,就会使防火墙功能减弱。同时防火墙对于那些已经授权用户合法访问的攻击是不能更好发挥其作用的。此外,防火墙也不能对脆弱的管理措施进行修复,更不能阻止不经过防火墙的恶意攻击。
第7篇:防火墙在网络中的应用范文
关键词:安全系统;计算机防火墙;资料信息安全
目前计算机防火墙作为一种安全屏障能够又想降低网络的基本犯罪率,较好的维护计算机的基本网络信息安全。而想要加强计算机防火墙的安全屏障的建设,同时提升目前网络防范关键的技术手段,就需要从多个方面找寻其内在联系,并且在明确其重要内涵的基础之上,进行创新,从而提出保护目前计算及网络信息安全的新科技与新技术,这也是计算机防火墙安全屏障与网络防范技术在计算机安全网络保护上未来的发展方向。
一、计算机防火墙安全屏障及网络安全防范技术发展现状
在计算机的基础信息安全方面,大致可分为多种安全层面,其中不仅仅是计算机基础硬件设备的安全保障、网络信息安全保护系统等一系列软件安全同时还有计算机之间发挥信息共享等多种作用的信息交流安全。所以计算机防火墙安全屏障对目前网络系统而言是极为重要的[1],但是目前计算机网络在防火墙技术这一方面仍存在着很多的不足,使得目前计算机防火墙安全屏障以及网络安全防范技术不能够满足目前计算机信息网络的安全发展需求,并且急需要进行相应的转变。而通常防火墙崩溃或遭到攻击的相关技术手段大致也可以分为多个部分,最为常见的就是攻击技术中实际利用了防火墙中所允许的子网进行掩护与伪装从而对防火墙进行相应的攻击、多种恶意攻击同时还包括以附加信息以及服务器为载体的恶意攻击等。想要针对这些攻击技术进行攻克,我们就需要在明确计算机防火墙技术的重要意义的同时,进一步提升现有的网络安全防范技术,从而来阻挡对于防火墙的非法攻击、恶意攻击。
二、加强计算机安全屏障建设并且提升网络安全防范技术的具体措施
(一)将硬件防火墙与软件防火墙有机结合起来。加强计算机安全屏障建设并且提升安全防范技术的最好的办法就是硬件防火墙与软件防火墙有机结合起来,将软件防火墙合理进行内置,从综合提升目前防火墙运营水平。硬件防火墙的普遍成本较高,但是其安全系数较高,整个硬件防火墙以及内置的软件防火墙在某一程度而言都能够较好的提供相应的售后服务。实际防火墙用户可以针对自身的基本情况去选择如何合理配置防火墙资源保护。中小型企业应该在安全信息管理方面给予更多的重视,所以应该更加偏向于使用硬件防火墙,从而达到其提企业安全信息的目的。
(二)使用计算机防火墙安全保护新技术以适应目前的安
全防护需求。目前防火墙对于基本信息网络资料的保护能力越来越强,归根到底是日益发展的防火墙新技术的作用。我们可以更多倾向与针对原有的计算机防火墙技术进行相应的创新,并且使用新技术从而满足目前的安全防护需求,提升安全防护能力。通常在进行防火墙工作的过程之中都需要进行相应的IP地址的翻译工作,所以我们可以针对这个方向进行着手,从而更新地质翻译的实际设置方式。同时还有静态网络地址翻译以及端口地址翻译等多种翻译方式。除此之外也可以通过防火墙基本类型进行技术上的提升与使用,大致可以分为包过滤性防火墙、型防火墙以及监测型防火墙等多种防火墙形式,可以在掌握不同类型防火墙的基本特点的情况之下,针对不同的基本防火墙管理需求,使用不同的防火墙管理技术手段及方式。例如使用服务器的过程之中,就是利用服务器第三方交流的特质,而通过避免了内部系统与外部系统信息的直接接触与交流,从而提升安全能力,提升防火墙的基本安全性能,但是对于所使用的技术手段及管理水平要求较高,因为需要对于客户机之中可能存在的各种情况以及全部的应用类型进行全部设置,也会在某一层面上增加相应的管理成本。
结语:目前的计算机网络仍然有其弊端存在所以需要防火墙等安全防护技术对计算机信息网络安全进行相应的保护。虽然目前的计算机防火墙技术还不能够完全满足目前计算机信息安全网络的基本发展要求,但是我们通过将硬件防火墙与软件防火墙有机结合起来、使用计算机防火墙安全保护新技术等多种手段,以适应目前的安全防护需求并且提升相应防火墙安全保护技术手段。我们需要在认识到防火墙安全技术对于网络信息安全发展的重要意义的基础之上,具体明确目前防火墙安全技术的基本结构与发展现状,从而针对各个用户的实际网络安全需要进行相应的选择,在满足需求的同时,也能够对计算机网络的稳定与安全起到一定的促进作用。
第8篇:防火墙在网络中的应用范文
关键词:防火墙;网络;安全;技巧
1 网络安全现状
随着网络技术的发展,网民及入网单位或团体的数量与日俱增。可以说,从个人角度讲,人们的生活已离不开网络,从小的QQ、邮箱到大的网络银行、网络购物以及网络协作工作等,都已融入到人们的必须生活、工作当中。从单位、组织或团体来说,网络更是应用于各个领域中,并以极快的速度发展着。然而,根据中国互联网络信息中心和国家互联网应急中心联合的《2009年中国网民网络信息安全状况调查系列报告》显示,2009年,52%的网民曾遭遇过网络安全事件,遭遇网络安全问题后,网民处理安全事件过程中,所支出的相关服务费用共计153亿元人民币。而且目前仍有4.4%的网民的个人计算机并未安装任何防火墙等安全软件,网民安全意识仍有待进一步提升。
作为一种网络安全技术,防火墙是我们大家抵御网络不安全因素的首选。
2防火墙概述
防火墙本身实际是一种软件或硬件。是指设置在不同网络(如企业内部网)或者网络安全域之间的一系列部件的配套组合。防火墙其实是不同网络之间或者网络安全域相互之间的信息唯一出口和入口,防火墙可以根据企业的安全政策控制出入网络的信息流,并且本身具有很强大的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
3 防火墙分类及在网络安全上的应用
防火墙一般分为三类。分别为包过滤防火墙、应用程序防火墙以及状态/动态检测防火墙。目前,
3.1 包过滤防火墙
最初的防火墙主要是拦截和检查任何通过它的网络数据包,根据风险程度,为计算机用户提供可选项,包括放行、阻止、忽略等。而所依据的风险程度实际上就是防火墙中存储的基本信息的反馈,什么数据可以通过、什么数据需要警告、什么数据需要阻止都是据此而定的。每个计划穿过防火墙的数据包,都需要被防火墙过滤、检查。其中包括源地址、目标地址以及端口和协议等等。然后,将截获的这些信息与自身内容已输入的规则相对比,如果符合安全规则,则放行,否则,将出现提示,起到安全预警作用。
3.2 应用程序防火墙
应用程序防火墙一般支持的常见应用程序包括:HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC等。一般来说,应用程序防火墙是不允许在它连接的网络之间进行通信。而是接受来自内部网络中,早已确定好的用户应用程序的通信,之后,再建立于公共网络服务器单独的连接。网络内部计算机用户是不能直接与外部的服务器进行联系、对话和通信。
3.3 状态/动态检测防火墙
状态/动态检测防火墙可以对各层的数据包进行全方面的、主动地、实时的细致检测,然后,再对这些数据详细分析之后,防火墙就可以准确的判断出各层中的不合法数据的侵入。然后,及时的提醒计算机用户拒绝接受以及删除外来数据,以确保计算机的安全。
4 防火墙软件网络安全应用技巧
防火墙软件数量众多,应用方法也是各不一样,笔者介绍几个常用的防火墙的应用技巧,对正确、科学设置以确保计算机安全、提高计算机使用效率有一定的参考价值。
4.1 Outpost Firewall
(1)更改防火墙运行模式
“Outpost Firewall”默认的运行模式是“规则向导模式”。可以根据计算机应用要求及安全级别,调整其运行模式。打开软件的主菜单“选项运行模式”,然后,会弹出对话框,这时,就可以选择更改防火墙的运行模式了。
(2)添加信任程序。
使用计算机时,总有一些程序是我们信任的、放心的。这时候,我们就可以将其设置成为信任程序。可单击“添加”按钮,就可以选择该程序,并设置到信任程序中,就不会每次都弹出对话框,要求创建该程序的规则了。对提高计算机使用效率起到很重要的作用,同时,也减免了每个程序都需要验证的麻烦。
4.2 Vista防火墙
为预防非法的Ping命令攻击,可以通过巧妙的设置该计算机系统自带的Vista防火墙,避免Ping命令攻击。先通过特权账号进入系统,然后打开控制面板,选择“系统和维护”,再选择“管理工作”,进入 “高级安全Windows防火墙”选项,右键点选“入站规则”项目,选择“新规则”命令,将弹出的“自定义”选中,选中“ICMPv4”选项,单击“下一步”按钮,选择合适的连接条件时,将“阻止连接”选中,并设置应用该新规则的具体场合,最后命名,然后重启系统,这样就可以避免遭受到非法Ping命令攻击了。
4.3 瑞星防火墙
第9篇:防火墙在网络中的应用范文
关键词:防火墙技术;屏蔽路由器;双穴主机网关;屏蔽主机网关
中图分类号:TP319文献标识码:A文章编号:1672-7800(2013)001-0070-02
1主机防火墙软件系统组成
为了更好地对主机防火墙软件系统进行开发与设计,先对主机防火墙软件系统的组成进行分析。主机防火墙软件系统主要包括屏蔽路由器、双穴主机网关以及被屏蔽主机网关。这三个元器件组成了主机防火墙软件系统,在系统运行中具有独特的功能。
1.1屏蔽路由器
主机防火墙软件系统最基本的组成原件就是屏蔽路由器。网络用户一般都是购买厂家生产好的屏蔽路由器,然后安装到主机当中实现保护功能。硬件和软件是屏蔽路由器的两个重要组成部分。报文的过滤功能一般的路由器就能实现,但是一般路由器的这个功能非常简单,为了更好地对报文进行过滤,屏蔽路由器被引入到主机中。因此,屏蔽路由器在很大程度上确保了主机系统的安全性能。
1.2双穴主机网关
网络接口是双穴主机的一个重要特点,双穴主机网关的工作原理是将堡垒主机当做防火墙,主机防火墙软件系统的运行就是靠堡垒主机来实现的。网络用户的管理人员可以通过双穴主机网关的部分功能及时发现网络安全问题,并及时解决网络安全问题。因此,双穴主机网关在维护网络系统的安全上起到了非常重要的作用。
1.3被屏蔽主机网关
被屏蔽主机网关在主机系统中占据了非常重要的位置。被屏蔽主机网关的主要功能就是为了防止外部不安全信息对网络用户的入侵,被屏蔽主机网关在很大程度上保证了网络用户的安全。网络系统外部的用户如果没有得到网络系统管理者的进入许可,就不能进入网络系统。因此,被屏蔽主机网关在很大程度上确保了网络系统的安全性能。
2主机防火墙软件系统发展趋势
主机防火墙软件系统的3个重要组成部分在网络运行过程中的作用各不相同。3个组成部分的功能共同确保了网络运行环境的安全。近年来,防火墙技术发展飞速,在技术方面也不断成熟,但是随着科学技术的不断改革与创新,网络系统也在不断地更新换代。网络技术的不断发展给网络安全提出了巨大的挑战,随着网络技术的发展,几乎无时无刻都有网络用户的信息被窃取。因此,为了给广大的网络用户提供一个安全的网络运行环境,防火墙软件系统必须继续进行技术方面的创新。防火墙软件系统只有在技术方面获得突破之后,才能有效地保证网络用户的安全。主机防火墙软件系统相关技术的研究也因此变得更加重要。为了保证网络系统的安全,主机防火墙软件系统必须及时地加以更新。
近些年来,主机防火墙技术在模式上发生了巨大的转变,主机防火墙软件系统以前的位置经常被设置在网络比较边缘的位置上。防火墙软件系统在网络的边界上进行设置的目的是为了对进入网络系统的数据进行分析,如果防火墙软件系统在数据分析的过程中发现数据存在不安全因素,那么数据则不被允许进入网络系统。然而,这种防火墙软件系统由于被动的防御方式,在应用方面受到了很大的限制。为了使得防火墙软件系统更能适应网络用户的要求,并更好地对网络系统进行安全保护,外网之外则成为防火墙软件系统安装的位置。当防火墙软件系统安装位置定在了外网之外,网络系统的安全性能也得到了明显的提高。
目前,防火墙软件系统的主要功能是为了防止外部用户对网络系统的入侵。为了对防火墙软件系统的功能进行拓展以更大程度地满足网络用户的要求,防火墙软件系统在今后应该将杀毒功能也放到其中。杀毒技术在防火墙软件系统中的应用,将使得防火墙软件系统的防御功能变得更加强大。这将是今后防火墙软件系统的一个必然发展趋势。
3主机防火墙软件系统开发与设计
为了更好地对主机防火墙软件系统进行优化以最大限度地满足网络用户的需求,下面主要对主机防火墙软件系统中的关键技术进行分析研究。分布式防火墙的重要组成原件是主机防火墙,主机防火墙在整个网络系统中发挥了重要作用。主机防火墙软件系统是在主机上运行,以此来组织外界对网络系统的入侵。
3.1主机防火墙软件系统的包过滤功能
宿主机操作系统的内核是主机防火墙软件系统运行的具置。所以网络协议及主机操作系统与主机防火墙软件系统有着直接联系。主机防火墙软件系统的主要功能是为了对主机操作系统的网络协议进行分析,将拦截点设置在比较恰当的位置上。这些拦截点将会对所有进入网络系统的数据进行分析,进入网络系统的数据只有被拦截点审查通过之后才能进入网络系统。如果进入网络系统的数据存在安全方面的问题,则这些数据将被拦截点阻止在网络系统的外部。主机防火墙软件系统就是采取这种手段对进入网络系统的数据进行过滤,以此来保证网络系统运行环境的安全。
3.2主机防火墙软件系统的核心功能
包过滤是主机防火墙软件系统的一个核心技术。主机防火墙软件系统除了具有强大的包过滤功能外,还具有一些其它的功能。为了更好地了解主机防火墙软件系统,下面主要对主机防火墙软件系统的核心功能进行介绍。
主机防火墙软件系统的核心功能主要有以下几个方面:第一,主机防火墙软件系统可以对策略中心所配置的一些相关安全策略进行接收,以此来增强数据的过滤功能;第二,主机防火墙软件系统为了对应用程度的联网动作进行一定程度的过滤,使得应用程序的访问策略变得尤为重要;第三,主机防火墙软件系统可以对一些网络活动进行及时监控,如果发现一些网络活动对网络系统具有破坏作用,那么主机防火墙软件系统则可以对这些网络活动进行阻止以保证网络系统的安全;第四,主机防火墙软件系统可以对一些网络活动进行记录,以便网络系统出现问题后能及时地对这些网络活动进行分析;第五,主机防火墙软件系统为了让策略中心知道防火墙软件系统处于运行状态,还可以定时发送消息给策略中心。以上五个方面的功能就是主机防火墙软件系统的核心功能,它们在主机防火墙软件系统中起到了非常重要的作用,网络系统运行环境的安全性就是靠这五项功能来实现的。
3.3主机防火墙软件系统设计思路
主机防火墙软件系统设计思路的完善与否将直接影响到整个网络系统的安全。因此,为了确保整个网络系统拥有一个安全的运行环境,必须充分重视主机防火墙软件系统的设计。主控单元和网络处理单元是主机防火墙软件系统的主要设计内容。下面对主控单元和网络处理单元进行简单介绍。
3.3.1主控单元设计
通用的中央处理单元是主控单元硬件经常采用的。主控单元硬件的主要功能是为了对网络处理板进行管理及配置。主控单元在保证网络系统运行环境的安全方面起着非常重要的作用。因此,为了保证网络系统能够拥有一个更加安全的运行环境,主控单元的设计工作必须引起设计人员的重视。主控单元在进行设计的过程中,要注重采用一些比较强大的组成原件,以此来增加主控单元的功能。
3.3.2网络处理单元设计
网络处理单元设计的好坏直接影响到整个主机防火墙软件系统的功能,最终影响到整个网络系统的安全。因此,为了确保网络系统能够拥有一个安全的运行环境,网络处理单元的设计必须引起设计人员的重视。专用的网络处理器在网络处理单元中的应用是网络处理单元的一个显著特点,主控单元与专用网络处理器总线的连接是网络处理单元的外部设置内容。网络处理单元的主要功能是对来自主控单元的信息进行分析,这些信息只有被确认没有破坏性之后才能被传输到网络系统中,如果这些数据被发现具有破坏性,那么数据将会被阻止在网络系统的外面。网络处理单元是不被主机防火墙软件系统所控制的,其功能主要靠专用的网络处理器来决定。
4结语
为了更好地对主机防火墙软件系统进行开发与设计,本文主要对主机防火墙软件系统的组成部分、主机防火墙软件系统的发展趋势以及主机防火墙软件系统开发设计中的几个关键问题等方面进行了分析研究。主机防火墙技术是确保网络系统不被外来用户入侵的一项技术保证措施,为了给网络系统营造一个安全的运行环境,必须对主机防火墙技术进行不断地改进与完善。
参考文献:
[1]郝身刚.具有系统防御功能的新型主机防火墙系统设计[J].南阳师范学院学报,2011(12).
[2]李晓.基于透明网桥的垃圾信息防火墙软件系统设计与实现[D].成都:电子科技大学,2008.
[3]刘洁宇,任新华.分布式防火墙系统中主机防火墙的设计与实现[J].山西电子技术,2008(3).
[4]芦志朋.深度包检测主机防火墙的研究与实现[D].成都:电子科技大学,2010.
- 上一篇:安全生产监理实施细则范文
- 下一篇:监理质量安全工作计划范文
