安防之家讯:摘 要: 介绍了计算机网络和网络安全的概念,对于互联网的安全问题提出了解决方案,认为实现网络安全措施的一种重要手段就是防火墙技术,因而重点介绍了防火墙种类和防火墙技术的实现。
关键词: 计算机网络; 安全; 防火墙; 攻击
1 引言
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,计算机信息和资源也很容易受到黑客的攻击,甚至是后果十分严重的攻击,诸如数据被人窃取,服务器不能提供服务等等。因此,网络和信息安全技术也越来越受到人们的重视,由此推动了防火墙、入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。防火墙技术作为网络安全的重要组成部分,格外受到关注。本文就网络安全、防火墙的种类以及防火墙技术在现实中的应用等进行简要的介绍。
2 计算机网络和计算机网络安全的概念
计算机网络是计算机科学发展到一定阶段的产物,是由计算机系统和终端设备,通过线路连接形成的,实现了用户远程通信和资源的共享,而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。
互联网是通过TCP/IP协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流,但正如引言中所指出的,网络的发展也带来安全方面的问题,例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题,需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。
计算机的安全是指计算机信息系统和信息资源不受自然和人为有害因素的威胁和危害。计算机安全的范围包括实体安全、运行安全、数据安全、软件安全和通信安全等。实体安全主要是指计算机硬件设备和通信线路的安全,其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全,其威胁主要来自信息被破坏和信息被泄漏。当前信息安全方面存在的主要问题是计算机病毒、计算机黑客、传输线路和设备的电辐射等。
3 计算机网络的安全漏洞
网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,而且受到攻击后的伤害是严重的,诸如数据被人窃取,服务器不能正常提供服务等等。其所以会受到攻击,是因为存在着如下漏洞。
3.1 口令
计算机网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
3.2 协议
互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,例如只能对主机地址进行认证,而不能对用户进行认证就是一个漏洞。通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击者就可利用被授权的主机与服务器通信,对系统进行攻击。其在通信前先设置好一台被信任的主机,与某主机有相同的名字和IP地址,然后建立联系,使服务器认为它是真正的用户,而从容地进行信息窃取活动。因此,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。
再如,由于IP技术过多考虑的是性能,而对安全性就消弱了许多,使得黑客捕获目标IP地址不是一件复杂的事情,其实这是很危险的。黑客可利用IP和客户软件的漏洞使远程用户瞬间死机。为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
3.3 操作系统和应用软件
网络操作系统和应用软件也存在着安全漏洞,特别是在传统的UNIX操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。另外,许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
3.4 互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击。此外,网关还需根据IP地址和端口数据对每一包进行滤波,使互联网的网关成为防火墙的一部分。
4 防火墙技术简介
由于计算机网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DoS攻击、DdoS攻击和碎片攻击等等。为了防止计算机网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙是实现网络安全策略的重要组成部分。
4.1 防火墙要解决的安全问题
防火墙要解决的安全问题分为两大类:
(1)被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。
在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。
在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
4.2 防火墙的关键技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。
(1)包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
(2)代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
5 结束语
网络安全的问题已成为计算机网络操作者十分重视的一项工作,在进行网络计算机操作之前必须随时做好网络安全方面的准备工作,尤其要对重要的文件或机密信息采取安全防护措施。同时,要引入国际先进的计算机病毒防治的方法及标准,使用防火墙及杀毒软件等,防止网络黑客及网络计算机病毒的入侵。另外,各相关单位还要对相关人员进行安全意识及安全措施方面的培训,并在法律规范等诸多方面加强管理。
安防之家专注于各种家居的安防,监控,防盗,安防监控,安防器材,安防设备的新闻资讯和O2O电商导购服务,敬请登陆安防之家:http://anfang.jc68.com/