基于防火墙的网络安全技术分析
王立群
摘要:21世纪是信息时代,以计算机技术、互联网技术、多媒体技术为核心的信息技术在近20年中有了飞跃性的发展。计算机技术的应用与发展促进了信息技术的变革,并且计算机技术不断普及,成为人们日常生活中重要的一部分,不仅对社会中的个人有重要影响,还影响着世界经济和社会的发展。但是,随着信息技术的不断普及也逐渐产生了各种问题,互联网中存在着更多的威胁和攻击,互联网安全容易受到他人的破坏,容易造成个人信息的泄漏甚至导致系统平台和网络资源瘫痪无效。因此,文章对基于防火墙的网络安全技术进行了探讨。
关键词:防火墙;网络安全技术
如今互联网技术已经渗透到社会中的方方面面,成为人们社会生活的一部分。所以网络安全的重要性更加突出,只有安全的互联网才能够保障互联网的正常使用,否则当互联网遭受破坏、信息能够被窃取、互联网服务被非法中断问题出现时必然会影响人们的正常生活和社会生产。防火墙技术作为网络安全的一个重要保障起着不可替代的作用,通过加密防毒、NAT技术、多端口、安全审计等对网络安全的保障有更加重要的作用。
1防火墙技术和网络安全的概念
1.1防火墙技术的概念
防火墙是一个处于专用网与共用网之间的软硬件结合的系统,它为内部网构建了一个安全屏障,是建立在互联网之间的一个安全网关,可以保护内部网用户免受非法用户入侵的目的。它有2个重要功能:一是将不符合条件的人和数据隔离在网络外部;二是允许符合条件的人进入。它是内部网成员与外部通信的必要条件。防火墙具有4个功能:网络安全的屏障,强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息泄漏。网络安全屏障不仅可以提高内部网络的安全性,还可以通过过滤网络数据和安全服务,有效地降低内部网络的风险。因此,只有那些特殊的应用程序的选择能够通过防火墙。加强网络安全策略是对所有安全软件进行集中的安全管理。例如,认证和审核等,这些安全软件可以在防火墙上配置防火墙的安全程序,并且管理更加经济、方便。对网络存取和访问进行监控审计是指如果所有的访问都能够通过防火墙,那么防火墙就能够记录下这些访问记录并且进行存储与整理,同时能够提供网络使用情况的统计数据。当发现可以的访问数据时,防火墙会先拦截继而进行适当的报警并且提供网络是否收到检测和攻击的详细信息。防止内部信息的外泄,这是通过防火墙对内部网络的划分,实现内部网重点网段的隔离,限制局部重点或敏感网络安全问题对全局网络的影响。
1.2网络安全的概念
网络安全是保护网络系统的软硬件系统,并对数据进行分析。网络安全是一个综合性的学科,包括密码技术、计算机科学、信息安全技术、应用数学等知识,只要涉及网络信息的真实性、安全性、完整性、保密性和可控性等都是网络安全的研究领域。安全性是信息安全的特性,是未经授权的用户实体或过程。完整性是指对数据的修改必须由用户授权,如果未经授权就不能修改或者破坏信息。可用性是指数据可以得到授权的实体访问,并且根据安全需要进行访问的特性。可控性是指能够控制信息的传播和内容的性质。现阶段网络安全所受到的威胁众多,除了一些意外事故和自然灾害之外更多的是人为因素,例如入侵的黑客、病毒等。对于网络入侵有着众多的方式,例如:口令入侵、木马、万维网欺骗技术、电子邮件攻击、节点攻击、网络监听、黑客软件、安全漏洞攻击、端口扫描攻击等。
2各类防火墙的设计技术
2.1包过滤技术
网络中传送信息的单位是数据包,数据包包含IP源地址、IP目的地址、内部协议、TCP/ICMP消息类型、数据包的收发接口等。这些数据包在网络中传输时可以通过不同的途径到达目的地。包过滤技术就是在数据包传送技术基础上发生作用的,它利用路由器监视并过滤网络上流入流出的数据包,拒绝发送可疑的数据包。网络连接都需要借助路由器,路由器成为内外网络之间通信必须经过的途径,防火墙就是一个拥有过滤功能的简单路由器。防火墙进行网络安全防护时,对所有的数据包都逐一审查,查看是否安全,是否经过授权。针对过滤包技术进行防火墙设计时应该遵循以下规则:对所有进入内部网的数据包其源地址不能是网络内部地址,并且目的地地址必须是外部地址;对离开内部的网络数据其源地址必须是内部地址,并且目的地地址不能是内部地址;对任何通过防火墙的数据无论是目的地址还是源地址都不能是私有地址。包过滤技术能够实现配置客户开放外网对内网的服务器访问,实现外网对内网发起的数据端口连接,开放对内网的非连接请求,接受来自内网的数据包转发等等作用。
2.2地址翻译技术
该技术可以通过对传输数据包报头中的IP地址进行替换,允许私有地址访问公共网络,它会在内主机访问外网时生成一个访问记录,通过将私有的源地址进行伪装和隐藏就可以利用这个伪装地址进行内外网间的数据传输。当代网络生活中共有的IP地址越来越少,通过私有网络访问公网是普遍现象,地址翻译技术在对IP地址进行转换的过程中要注意内部接口和外部接口,明确地进行网络地址翻译。
2.3代理技术
代理技术的构建是在内网主机和服务器之间构建一个代理服务器,这个服务器作为内网的唯一标示,只有通过这个才能与外网进行数据信息的接收和转发。这项技术要以代理服务设备为基础对数据包进行封锁,这样能够让外网对内网的修改和破坏变得更加困难,还能够有效地隐蔽内网自身的漏洞,不被外网发现。
2.4屏蔽主机防火墙的设计
屏蔽主机防火墙由包滤路由器与外部网连接,用一个堡垒主机安装在内部网络上,替代服务器发生作用。屏蔽主机防火墙设计的主要配置参数包括:WWW服务器:192.168.0.10;外网主机:211.1.1.2;内部网:192.168.0.0/24;接内网:192.168.0.1;接外部路由器:61.1.1.2。
2.5屏蔽子网络防火墙的设计
屏蔽子网防火墙是在被屏蔽子网体系结构中再添加额外的安全层到屏蔽主机体系结构中。它的配置设计主要参数包括:外部网:10.0.0.0/8;DMZ区:172.16.0.0/16;内部网:192.168.4.0/24;接内部路由器:192.168.4.1。
2.6防火墙设计的主要原则
在网络设计中电路设备的安全和效率是首先需要保障的,对于关键的设备和电路要做好冗余和备份。另一方面就是要保证网络传输的可靠性和可用性,需要采用故障处理和容错技术。在网络设计中需要遵守的主要原则有:安全保密性原则、可扩充性原则、经济合理性原则、可实施性原则。安全保密性措施指的是在设计网络时需要制定一整套措施来保证传输信息的安全,人们在利用网络信息时保障数据传输的安全是至关重要的,当人们浏览网页时很容易留下个人资料、隐私信息等,而大部分的用户都没有关于保障信息安全的相关知识和技术,也很容易忽视这些信息的删除,所以建立一整套的安全保密措施是至关重要的,能够有效防止一些非法分子盗取用户的隐私信息,这一原则对于社会个人、企业、国家都有重要作用。可扩充性原则指的是在网络规模不断扩大和功能不断完善的今天对于网络扩容提出了新的要求。首先要不能影响用户的使用,其次就是要灵活方便,网络升速、配置调整,这些都是网络设计时需要考虑的内容,这主要是方便日后数据包容量的扩大和满足用户业务数量的激增以及业务流向的调整。经济合理性原则指的是在选择和优化网络结构和技术时要进行技术经济和性能价格之间的比较,对于现有的设备要做到充分的保护和利用。在进行网络设计时要先对性价比进行分析,例如:仅仅是用户个人上网不涉及非常重要的信息时,如果让个人进行网络设计肯定性价比较高,并且起到的作用也不大,但对于一些大型企业或者政府部门来说,就需要进行很完善的网络设计,因为它的网络信息更加重要,很可能涉及政务信息、商业机密,并且这类信息也容易被一些非法分子攻击,建立强大的防火墙能够有效保障信息安全,保障用户的切身利益。可实施原则是指在满足上面的那些原则的基础上还要充分考虑自身条件,网络设计还要考虑施工和维护的可能性。
3结语
本文对当今社会网络安全中的防火墙技术进行了分析和研究,介绍了多种防火墙的设计。网络是一个非常庞大和复杂的系统,网络的安全性也更为重要。威胁网络安全的因素越来越多,防火墙是保障网络通信安全的重要手段之_,在应用防火墙维护网络时要进行正确的配置和选择,还要对其进行定期的维护,这样才能够充分发挥防火墙的作用,保障网络通信安全。在设置防火墙时也要注意提高它在智能化、高速化和多功能化3个方面的作用。希望本文能够对防火墙的设计有所帮助,促进网络安全的发展。