计算机网络防火墙防御措施
1计算机安全中防火墙技术的主要类型
防火墙在我国古时候指的是建筑与建筑之间防止火灾蔓延的墙,而计算机网络中的防火墙则是指为了确保安全而设置的一系列部件组合,起屏障作用。防火墙所要保护的计算机网络是属于我们自己的网络安全,它所要防范的一般都是来自于外网可能发生的威胁。目前,较为常用的防火墙主要有以下几种类型:
1.1包过滤型防火墙
这种类型的防火墙是比较早期的产品,它的关键技术是网络分包传输。我们都知道,在网络中互相传输的数据都是以“包”作为单位的,各类数据被分割成为了不同的数据包,这些数据大小不同,并且每个数据包中都含有一些特定的信息,如数据的源地址、目标地址、目标端口等。防火墙通过读取数据包中相应的地址信息后,判断其是否来自于可信任的站点,如果是可信任的数据会通过防火墙进行传输,若是不可信任的数据则会被防火墙拒之门外。包过滤型防火墙主要采用的是包过滤技术,这种技术具有如下优点:成本低、简单方便、实用性强、在简单的应用环境中能够有效地确保计算机网络安全。该技术的缺点是只能按照数据包的来源、目标以及端口等信息来判断其是否属于安全数据,对于一些恶意侵入的程序无法准确识别,如Java程序、邮件中的病毒等。一些经验丰富的网络黑客经常会利用该类型防火墙的这些特点伪造IP地址来骗过防火墙的过滤,然后进行用户计算机进行破坏。
1.2代理型防火墙
这类防火墙又被称之为代理服务器,其安全性要远远高于包过滤型防火墙产品,并且这一类型的防火墙现已开始向计算机网络应用层发展。代理服务器实质上就是一个数据信息中转站,它介于用户机遇服务器之间,并对两者之间的数据信息交流进行阻挡。站在用户的角度看,代理服务器实质上就相当于真正的服务器,如果是站在服务器的角度上看,代理服务器则是一套用户机。由于所有的数据信息都需要通过代理服务器进行中转,从而使得外部信息很难直接侵入到用户机中,一些恶意攻击也都被代理服务器过滤,有效地保证了用户端计算机的安全。该防火墙的优点是具有较高的安全性,并且能够针对应用层进行扫描和侦测。
1.3监测型防火墙
原本的防火墙都是针对恶意侵入进行防范,而监测型防火墙却可以对数据信息进行自动、实时监测,从而极大程度地提高了计算机网络的安全性。这类产品的优点是显而易见,但缺点是成本较高,不便于管理。因此,目前仍旧未大范围推广使用。若是从成本和安全这两方面进行综合考虑的话,可以选择性地应用某些监测型技术,这样一来既能够有效地提高计算机网络的安全性,而且成本又不会太高。
1.4网址转化
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的D地址标准。它允许具有私有IP地址的内部网络访问因特网,它还意味着用户不许要为其网络中每一台机器取得注册的IP地址,在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2防火墙技术在计算机安全中的具体应用
2.1安全服务配置
安全服务隔离区((DMZ)把服务器机群和系统管理机群单独划分出来,设置为安全服务隔离区,它既是内部网络的一部分,又是一个独立的局域网,单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址,保护内部网络的安全,也可以大大节省公网IP地址的使用,节省了投资成本。如果单位原来已有边界路由器,则可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。
2.2配置访问策略
访问策略是防火墙的核心安全策略,所以要经过详尽的信息统计才可以进行设置。在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。
2.3日志监控
日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息就去采集。如:所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但每天进出防火墙的数据有上百万甚至更多,所以,只有采集到最关键的日志才是真正有用的日志。一般而言,系统的告警信息是有必要记录的,对于流量信息进行选择,把影响网络安全有关的流量信息保存下来。
3结论
总而言之,随着计算机网络技术的不断发展,网络安全问题也会始终存在,为了使计算机的安全得到有效保障,防火墙技术也必须不断更新。当然计算机安全仅仅凭借防火墙技术来保障是远远不够的,防火墙只是整个安全防范中的一个重要环节。只有从全方面入手,才能真正确保计算机运行的安全性。
本文html链接: http://www.istpei.com/qkh/24480.html