防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

　　小編準(zhǔn)備的文論文中論述了防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)其安全體系的構(gòu)成。

　　摘要：互聯(lián)網(wǎng)到今天已經(jīng)從基本信息共享向電子商務(wù)、網(wǎng)絡(luò)應(yīng)用等更為復(fù)雜的方面發(fā)展，隨著商業(yè)應(yīng)用的增加，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。其中也會涉及到是否構(gòu)成犯罪行為的問題。防火墻技術(shù)的引入給予管理和提高網(wǎng)絡(luò)的安全性，提供了一個必要而便捷的方式。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻技術(shù)

　　一、概述

　　網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵;其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個VLAN之間設(shè)置防火墻;第三，通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

　　二、防火墻技術(shù)原理

　　(一)數(shù)據(jù)包過濾技術(shù)。數(shù)據(jù)包過濾技術(shù)工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它是個人防火墻技術(shù)的第二道防護(hù)屏障。數(shù)據(jù)包過濾技術(shù)在網(wǎng)絡(luò)的入口，根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

　　(二)應(yīng)用網(wǎng)關(guān)技術(shù)。應(yīng)用級網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊。通常是在特殊的服務(wù)器上安裝軟件來實現(xiàn)的。

　　(三)地址翻譯技術(shù)。地址翻譯技術(shù)是將一個IP地址用另一個IP地址代替。地址翻譯技術(shù)主要模式有以下幾種。

　　1.靜態(tài)翻譯。按照固定的翻譯表，將主機的內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址。2.動態(tài)翻譯。為隱藏內(nèi)部主機或擴展的內(nèi)部網(wǎng)絡(luò)地址之間，一個大的用戶群共享一個或一組小的Internet IP地址。3.負(fù)載平衡翻譯。一個IP地址和端口被翻譯為同等配置的多個服務(wù)器。當(dāng)請求到達(dá)時，防火墻按照一個算法平衡所有連接到內(nèi)部的服務(wù)器。4.網(wǎng)絡(luò)冗余翻譯。多個連續(xù)被附結(jié)在一個NAT防火墻上，防火墻根據(jù)負(fù)載和可用性對連接進(jìn)行選擇和使用。

　　(四)狀態(tài)檢測技術(shù)。狀態(tài)檢測防火墻采用基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接因素加以識別。

　　三、防火墻的選擇

　　選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：

　　(一)防火墻為網(wǎng)絡(luò)系統(tǒng)的安全屏障。總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

　　(二)防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

　　(三)管理與培訓(xùn)。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

　　(四)防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。

　　四、安全技術(shù)的研究現(xiàn)狀和動向

　　我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。

　　因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯�、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟的高速發(fā)展。

　　參考文獻(xiàn)：

　　[1]黃健.對計算機網(wǎng)絡(luò)安全與防護(hù)的幾點思考[J].魅力中國,2008,2

　　[2]王應(yīng)強.淺談計算機網(wǎng)絡(luò)安全[J].中共鄭州市委黨校學(xué)報,2009,4

【防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用】相關(guān)文章：

計算機網(wǎng)絡(luò)安全中防火墻技術(shù)探討論文10-09

計算機網(wǎng)絡(luò)安全與防火墻技術(shù)10-05

防火墻技術(shù)10-07

芻議網(wǎng)絡(luò)安全與防火墻10-05

信息安全中防火墻技術(shù)的有效運用論文10-10

防火墻技術(shù)的計算機網(wǎng)絡(luò)應(yīng)用論文10-09

試論虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用10-06

網(wǎng)絡(luò)安全評價中神經(jīng)網(wǎng)絡(luò)的實踐應(yīng)用10-26

計算機網(wǎng)絡(luò)安全教學(xué)中虛擬機技術(shù)應(yīng)用論文10-08

紅外技術(shù)在電路故障檢測中的應(yīng)用10-05