SCIENCE & TECHNOLOGY INFORMATION
学 术 论 坛
防火墙技术在网络安全中的应用
张连银
(辽宁信息职业技术学院教务处 111000)
摘 要:随着Internet的应用越来越广泛,网络安全收到人们的日益重视,而防火墙技术是抵御非法入侵和非法访问的有效手段之一。文章在对防火墙技术的基本原理介绍的基础上对防防火墙技术在网络安全的应用做了深入的分析。关键词:网络安全 防火墙技术 DMZ
1 引言
计算机网络的信息共享与信息安全是一对矛盾,随着Internet应用的普及,网络安全问题日益突出。据调查,有超过63%的用户在2006年内计算机曾被攻击和入侵。受到的攻击与入侵主要有以下几个方面:外部人员恶意攻击并窃取秘密信息;网络攻击者对网络可用性的攻击及对信息的破坏;内部人员有意或无意的越权访问、泄漏信息;计算机病毒的破坏。为了保护高校、企事业单位的网络安全,使他们免受外来的非法访问和入侵,同时也阻止内部人员访问外部网络的非法站点,大多单位都采用了最成熟、最早产品化的网络安全机制——防火墙技术。本文拟就防火墙技术在网络安全中的应用作出分析,为进一步加强网络安全提供建议。2 防火墙概述
2.1 防火墙工作原理
防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问,过滤不良信息目的。
防火墙实质上是一种隔离控制技术,其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软、硬件兼而有之。
2.2 防火墙的功能
(1)防火墙可以作为网络安全策略的焦点。把防火墙作为网络通信的阻塞点所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。
(2)防火墙能强化安全策略。因为Internet每天都有上百万人在那里收集、交换信息,不可避免会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的(交通警察),它执行站点的安全策略,仅仅容许(认可的)和符合规则的请求通过。防火墙能有效的记录网络活动, 因为所有的传输信息都会穿过防火墙,所以,防火墙很适合收集和记录关于系统和网络使用的多种信息。
(3)强化站点资源的私有属性。防火墙通过封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。
3 防火墙在网络安全中的应用
一般情况下防火墙网络可划分为三个不同级别的安全区域:内部网络、外部网络、DMZ(非军事区)。在以上三个区域中,用户需要对不同的安全区域采用不同的安全策略。虽然内部网络和DMZ区都属于单位内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由单位内部网络划分出去的DMZ区,188
科技资讯 SCIENCE & TECHNOLOGY INFORMATION
因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格。因为在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址,保护内部网络的安全;也可以大大节省公网IP地址的使用,节省了投资成本。
如果单位原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。
这种类型的防火墙控制网络安全的工作机制是:对于进来的信息,外面这个路由器用于防范通常的外部攻击,比如源地址欺骗和源路由器的攻击。并且,外面这个路由器还负责管理Internet到DMZ的访问。它只允许外部系统访问防御主机(还可能是信息服务器)。里面的路由器提供第二层防御,只接受源于防御主机的数据包,负责管理DMZ到内部网络的访问;对于去往Internet的数据包,里面的路由器管理内部网络到DMZ的访问,它允许内部系统只访问防御主机(还可能是信息服务器)。外面的路由器的过滤规则要求使用代理服务,即只接受来自防御主机去往Internet数据包。这样就从一定程度上保证了网络处于一个安全的环境之中。
参考文献[1] 费宗莲.病毒防火墙应用于石化企业网[J].计算机全,2005(6).[2] 王代潮,曾德超.防火墙技术的演变及其发展趋势析[J].信息安
全与通信保密,2005(7).
[3] 王莉等.基于Linux的具有DMZ防火墙的实现[J].微机发展,
2006(2).
[4] 孙思良.防火墙技术及其在网络安全中的应用[J].电知识与技
术,2005(12).
[5] 刘彦保.防火墙技术及其在网络安全中的应用[J].安教育学院
学报,2006(2).[6] 张新刚,刘妍.防火墙技术及其在校园网络安全中的应用[J]2006
(5).
[7] 刘朝霞,王相林.新型防火墙设计及选购[J].计算机安全,2005
(5).[8] 王永彪,徐凯声.用包过滤技术实现个人防火墙[J]计算机安全,
2005(5).
[9] 张建中,王立新.基于内网DMZ的IPTABLES 防火墙[J].软
件导刊,2006(9).
因篇幅问题不能全部显示,请点此查看更多更全内容