2002年第7期福建电脑浅谈脚瓣晌寥垒喻妒华南理工大学计算机科学与技术系余珊珊华南理工大学自动控制工程系劳卫伦510641510641摘要针对上的安全问题,就网络和信患安全所存在的问题进行了分析,介绍了防火墙技术的原理、安全策略及其局限性。关键词;安全技术;防火墙一、引育随着计算机网络技术的大规模应用。计算机网络的安全性及其实现方法受刭了越来越多的关注。建立在之上的既方便了信息交流,又提高了工作效率。
去玩传奇 然而,与这样一个世界范围的开放网络联接,在获得利益的同时,也要付出安全性代价。存放着大量有关财务、技术的商业机密的或企业网一旦祓侵入,对企业造成的损失是无法估量的。目前,威胁主要来自协议在安全方面存在漏洞,这就使攻击者有机可乘。的基础协议是协议,因此。的安全性与的安全性是紧密相关的。网络的最初设计目标是为学术界的信息自由交换提供一种快捷的途径,因此,网络中不存在安全性问题并且其设计者也未考虑安全措施。
但是。随着规模和应用范围的不断扩大及其固有的无政府性,的安全性受到了严重的威胁,可能受到路由攻击、地址欺骗和假胃身份等攻击。作为全球最大的计算机网络,存在几乎所有有关网络安全的同题。一旦你的企业网连人.-。就意味着上的每个用户都有可能访问你的企业网。如果没有一个安全性保护方案,攻击者可本网络游戏这一点真不错能会在企业或你毫不觉察的情况下,进入企业网。非法访问你1.85的资源。为了避免孤的安全事故,应当采取有效的安全措施,而解决恤安全性问题的最有效方法就是使用合适的防火墙。
二、网络及信息安全的主耍问囊造成计算机网络系统不安全的因素很多。有系统本身的不可靠性,环境干扰及自然灾害等因素,也有无意的工作失误,操作不当造成的;而人为故意破坏性活动版本传奇的危害最大。其大致有以下几个方面:(1)计算机病毒。有些人利用网络来传播病毒,然而专门攻击网络的病毒并不多,大多数只是通过网络来传播。因此重要的在于不拷贝、不运行带病毒的或非法获取的软件。(2)计算机黑客。计算机黑客指,这时可进入查看-1.85版本传奇优秀好用网站的是采用不正当的手段窃取他人计算机信息系统的令和密码而非法进入计算机系统的人。对于一般用户而言,要注意保护自己帐号的令;作为一个系统,不应建立。
公用帐号。,以免让黑客有机可乘。
(3)知识产权与个人隐私权的保护。计算机网络的发展给知识产权及个人隐私权1.85的保护提出了严重的挑战。
联网计算机的个人数据有可能遭到黑客的攻击。对数据的侵犯还包括对在线数据及非在线数据库中数据的滥用。(4)信息垃圾。
利用计算机网络传播违反社会道德及所在国法律和意识形态的内容称为信息垃圾,如淫秽不堪的、种族主义的、有明显意识形态倾向的信息等。在高速发展的今天,信息安全技术及保护法律都有了很大进展。
然而鉴于通常的网络安全控制是基于令倒的。一旦黑客获得了超级用户的令和通讯加密的密钥,那他就拥有了该系统的所有特权。因此。对于网络用户来讲,重要的是保护好自己的令,信息卡号码及通讯密钥,养成不用非法拷贝软件及用前查好游戏毒的习惯,对于已进入或即将进入的商业网或企业网来说,加装“防火墙”将是防止非法入侵和保护商业机密及信息安全的有效措施。因此。对于网络用户而育。安全性的确是很关键的问题。防火墙就是这样一种保护措施。
它可以使用户安全使用网络。更好地利用网络上的资源。
三、防火墙技术防火墙是一种访问控制技术,它用于加强两个或多个网络问的边界防卫能力。在内部网和外部网之问的界面上构造一个保护层。所有的内部网和外部网之间的连接都必须经过此保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而使内部网与外部网在一定意义下隔离,防止非法的入侵和破坏行为。防火墙一般具有以下属性:①所有内部和外部的通信都必须通过防火墙;⑦只有在受保护网络的安全策略中允许的信息才能通过;③防火墙本身是抗侵入的。
其示意图如图所示:图1带有防火墙的网络示意图现在内部专用网络越来越多,迫切需要连入公用性的网络中,如、-以及耽等。如何保护内部专用网不受外界的破坏,防火墙技术是首选方案。建立防火墙时要求网络具有明确的边界和服务类型,这样才能隔离内外网络,达到防护目的。由于防火墙只能够对跨越网络边界的信息进行监测、控制,而对网络内部人员的攻击不具备防范能力,因此单纯依靠防火墙来保护网络的安全性是不够的,还必须与其他安全措施(如加密技术)综合使用,才能达到目的。防火墙的安全控崩措施有如下几种:(1)包过滤包过滤型防火墙是一种具有特殊功能的路由器。它使用报文动态过滤技术,动态检查流过的报文头,根据用户定义的规则,决定哪些报文允许流过,哪些报文禁止流过。
一般按照源地址、目标地址、协议、源端、目标端的信息作为判断标24福建电脑2002年第7期准,而做出对此包需要采取的某种行为,如接收、阻塞等。安全过滤的基本流程如图2所示。
包过滤技术实现比较简单,效率较高。但由于这一功能在网络层实现,它对更高层的信息无理解能力,因此,对来自更高层的安全威胁无防范能力。目前多数路由器产品均具备包过滤能力。路由器实现包过滤功能时,它只是简单地将不合条件的数据包删除掉,而不具备对过滤包的登录及报告功能,因此不利予系统的审核管理。防火墙软件产品则可弥补这一缺陷,且设置更加灵活。(2)应用网关应用网关建立在网络的应用层,通常由一台专用计算机来实现。它针对特别的网络应用服务协议指定数据过滤逻辑,并依据该逻辑对出入内部网络的数据包进行过滤。应用网关技术可以对数据包的分析结果和采取的措施进行登记,供统计、分析使用。应用网关的过滤机制需要为每个网络用户提供专用的控制码,因此这种方法效率较低,但它更为安全。图2包过滤防火墙程序流程图(3)代理服务包过滤技术和应用网关技术存在一个共同的缺点:当通过防火墙的数据流满足过滤条件时,防火墙内外的计算机系统将直接建立起连接,这时外部用户可以通过防火墙了解内部网络状况,从而威胁内部网络安全。代理服务技术就是针对这一问题而引入的防火墙技术。代理服务器代替原来www.comxk.com的客户程序与服务器建立连接。其功能类似一个数据转发器。代理服务的优点是它把内外计算机系统隔离开来,对外屏蔽起保护网络内部结构的作用,从而增强了网络的安全性。以上防火墙技术分别位于网络的不同层次,它们各有优劣。在实际应用中应将这些方法结合起来,充分发挥各自的优势。但应注意的是:防火墙的使用要影响网络的性能,降低系统的开放性和透明度,所以在应用中应权衡利弊,综合考虑。
四、防火墙的安全策略及局限性防火墙的安全策略有两种可供选择:(1)没有被列为允许访问的服务都是被禁止的。
(2)没有被列为禁止访问的服务都是被允许的。如果防火墙采用第一种安全策略,那么,需要确定所有被提供的服务以及它们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外,禁止访问。
如果防火墙采用第二种安全策略,则正好相反,需要确定哪些被认为是不安全的服务,禁止其访问,而其它服务则被认为是安全的,允许访问。
从安全性角度考虑.第一种安全策略更可取一些;但从灵活性和使用方便性角度考虑,则第二种安全策略更好些。防火墙是保护免受外部攻击的极有效方式,防火墙应是整体网络安全计划中的重要组成部分,但同时必须注意到防火墙并非是万能的,防火墙具有以下局限性:(1)防火墙不能阻止来自内部的破坏。只要简单地断开网络连接,防火墙便可以阻止来自外部的破坏。但如果攻击者已在防火墙内,那么防火墙实际上不起任何作用。(2)防火墙不能保护绕过它的连接。防火墙可以有效地控制通过它的通信,但对不通过它的通信毫无办法。例如某处允许通过拨号方式访问内部系统。(3)防火墙无法完全防止新出现的网络威胁。防火墙是为防止已知威胁而设计的。虽然精心设计的防火墙也可以防止新的威胁。传奇散人但没有一种防火墙会自动抵抗所出现的任何一种新威胁。(4)防火墙不能防止病毒。尽管许多防火墙检查所有外来通信以确定其是否可以进入内部网络,但这种检查大多数是对源目的地址及端号进行的,而不是对其中所含数据进行的,即使可以对通信内容进行检查,由于病毒的种类太多且病毒在数据中的隐藏方式也太多,所有防火墙中的病毒防护也是不实用的。五、结束语防火墙的出现,有效地限制了数据在网络内外版本传奇的自由流动,是保护网络安全的一种有效手段。但它并不等同于一套绝对安全的方案,由于防火墙的局限性,某些网络威胁在防火墙的控制之外,所以仅靠防火墙是不够的,还需要有多层安全设备,以确保整套网络的安全可靠。因此。需在网络整体安全计划中加入其它防止威胁的措施,如防病毒、数据完整性及保密性、身份验证及访问控制、密钥管理等。的广泛流行,既是信息时代的前奏,也是信息高速公路的基础设施。计算机网络的安全问题是每个网络用户所直接面对和必须解决的问题。防火墙为网络的安全提供了有效的保障。
尽管如此.防火墙仍然是一个比较复杂的系统,其本身也存在着许多问题需要解决,如防火墙的效率,非对称寻位问题等等。
同时我们还要依照国家法律和有关规定加强管理,防患于未然。保证信息安全,加快我国国民经济信息化的进程。参考文献1靠,[]:,19952詹浩,防火墙技术在金融网络中的应用[,缀电脑世界。1997;(1)3袜晓东。防火墙系统的设计与实[],通信学报,1998;(1)一一—........。..。.....。..。......。浅谈的安全防护作者:余珊珊,劳卫伦作者单位:余珊珊(华南理工大学计算机科学与技术系,510641),劳卫伦(华南理工大学自动控制工程系,510641)刊名:福建电脑英文刊名:年,卷(期):2002(7)参考文献(3条)1.林晓东防火墙系统的设计与实现[期刊论文]-通信学报1998(01)2.詹浩防火墙技术在金融网络中的应用1997(01)3.;1995。