浅析计算机网络安全和防火墙技术论文

娄底职业技术学院计算机网络专业 摘摘 要要 随着时代的发展 Internet 日益普及 网络已经成为 信息资源的海洋 给人们带来了极大的方便 但由于 Internet 是一个开放的 无控制机构的网络 经常会受到 计算机病毒 黑客的侵袭 它可使计算机和计算机网络数 据和文件丢失 系统瘫痪 因此 计算机网络系统安全问 题必须放在首位 作为保护局域子网的一种有效手段 防 火墙技术备受睐 本文主要阐述了网络安全技术所要受到的各方面威 胁以及自身存在的一些缺陷 所谓知己知彼 百战不殆 只有了解了网络安全存在的内忧外患 才能更好的改善网 络安全技术 发展网络安全技术 然后主要阐述防火墙在 网络安全中起到的巨大的作用 防火墙的优缺点及各种类 型防火墙的使用和效果 计算机网络技术的在飞速发展中 尤其是互联网的应 用变得越来越广泛 在带来了前所未有的海量信息的同 时 网络的开放性和自由性也产生了私有信息和数据被破 坏或侵犯的可能性 网络信息的安全性变得日益重要 只 有熟悉了各种对网络安全的威胁 熟悉各种保护网路安全 的技术 我们才能更好的保护计算机和信息的安全 关键字 计算机网络 网络安全 防范措施 防火墙技术 娄底职业技术学院计算机网络专业 II Abstract With the development of The Times the Internet has become increasingly popular and network information resources of the sea and bring great convenience But because of the Internet is an open without control network computer virus often by hackers It can make the computer and the computer network the system files and data loss Therefore the computer network system security problems must be given priority As the protection of local subnet an effective means firewall technology Thisarticlemainlyelaboratedbynetworksecurity technology to every aspect of the threat and its existence some defects so called awareness The existence of the 1930 s and network security can improve network security technology thedevelopmentofnetworksecurity technology And then expounds mainly firewall in network security of huge role plays advantages and disadvantages of various types of firewall use and effect of the firewall The computer network technology especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information network of openness and freedom in the private information and data were damaged or infringed the possibility of network information security is becoming increasingly important only familiar to all kinds of network security threats familiar with various protection network security technology we can better protect the computer and information security Key words Computer network Network security The prevention measures Firewall technology 浅析计算机网络安全和防火墙技术 III 目录目录 摘摘 要要 I I AbstractAbstract IIII 引言引言 1 1 第 一 章第 一 章网络安全概述网络安全概述 2 2 1 1计算机网络安全的含义 2 1 2网络信息安全的主要威胁 2 1 2 1自然威胁 2 1 2 2人为威胁 黑客攻击与计算机病毒 3 1 3计算机网络中的安全缺陷及产生原因 4 1 4影响计算机网络安全的因素 5 第 二 章第 二 章计算机网络安全防范策略计算机网络安全防范策略 6 6 2 1防火墙技术 6 2 2数据加密与用户授权访问控制技术 9 2 3入侵检测技术 10 2 4防病毒技术 11 2 5安全管理队伍的建设 11 第 三 章第 三 章防火墙技术防火墙技术 1212 3 1防火墙的定义 12 3 2防火墙的功能 12 3 2 1防火墙是网络安全的屏障 12 3 2 2防火墙的种类 13 3 3防火墙的技术原理 13 3 4防火墙的应用 15 3 4 1个人防火墙的应用 15 3 4 2防火墙技术在校园网中应用 20 结论结论 2222 娄底职业技术学院计算机网络专业 IV 致谢致谢 2323 参考文献参考文献 2424 浅析计算机网络安全和防火墙技术 1 引言引言 近年来 随着计算机网络技术的飞速发展 尤其是互 联网的应用变得越来越广泛 在带来了前所未有的海量信 息的同时 计算机网络的安全性变得日益重要起来 由于 计算机网络联接形式的多样性 终端分布的不均匀性 网 络的开放性和网络资源的共享性等因素 致使计算机网络 容易遭受病毒 黑客 恶意软件和其它不轨行为的攻击 1 为确保信息的安全与网络畅通 研究计算机网络的安 全与防护措施已迫在眉捷 但网络安全问题至今仍没有能 够引起足够的重视 更多的用户认为网络安全问题离自己 尚远 这一点从大约有 40 以上的用户特别是企业级用户 没有安装防火墙 Firewall 便可以窥见一斑 而所有的问 题都在向大家证明一个事实 大多数的黑客入侵事件都是 由于未能正确安装防火墙而引发 所以防火墙技术应当引 起我们的注意和重视 本文主要研究网络安全的缺陷原由及网络安全技术 的原理和其他技术 如防火墙技术对网络安全起到的不可 忽视的影响 娄底职业技术学院计算机网络专业 2 第 一 章网络安全概述 1 1计算机网络安全的含义 计算机网络安全的具体含义会随着使用者的变化而 变化 使用者不同 对网络安全的认识和要求也就不同 例如从普通使用者的角度来说 可能仅仅希望个人隐私或 机密信息在网络上传输时受到保护 避免被窃听 篡改和 伪造 而网络提供商除了关心这些网络信息安全外 还要 考虑如何应付突发的自然灾害 军事打击等对网络硬件的 破坏 以及在网络出现异常时如何恢复网络通信 保持网 络通信的连续性 从本质上来讲 网络安全包括组成网络系统的硬件 软件及其在网络上传输信息的安全性 使其不致因偶然的 或者恶意的攻击遭到破坏 网络安全既有技术方面的问 题 也有管理方面的问题 两方面相互补充 缺一不可 人为的网络入侵和攻击行为使得网络安全面临新的挑战 1 2网络信息安全的主要威胁 网络安全所面临的威胁来自很多方面 并且随着时问 的变化而变化 这些威胁可以宏观地分为自然威胁和人为 威胁 1 2 1 自然威胁自然威胁 自然威胁可能来自于各种自然灾害 恶劣的场地环 境 电磁辐射和电磁干扰 网络设备的自然老化等 这些 无目的的事件 有时会直接威胁网络的安全 影响信息的 存储媒体 浅析计算机网络安全和防火墙技术 3 1 2 2 人为威胁 黑客攻击与计算机病毒 人为威胁就是说对网络的人为攻击 这些攻击手段都是通 过寻找系统的弱点 2 以便达到破坏 欺骗 窃取数据等 目的 造成经济上和政治上不可估量的损失 网络安全的 人为威胁主要分为以下几种 网络缺陷 Intemet 由于它的开放性迅速在全球范围内普及 但 也正是因为开放性使其保护信息安全存在先天不足 Internet 最初的设计考虑主要是考虑资源共享 基本没 有考虑安全问题 缺乏相应的安全监督机制 黑客攻击 自 1998 年后 网上的黑客越来越多 也越来越猖獗 与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏 针对网络犯罪卓有成效的反击和跟踪手段 使得黑客攻击 的隐蔽性好 杀伤力 强 这是网络安全的主要威胁之 一 各种病毒 病毒时时刻刻威胁着整个互联网 像 Nimda 和 CodeRed 的爆发更 是具有深远的影响 促使人们不得不在网络的各个环节考虑对于 各种病毒的检测防治 对病毒彻底防御的重要性毋庸置疑 管理的欠缺及资源滥用 很多上了互联网的企业缺乏对于网络安全的认识 管 理上存在很多漏洞 特别是国内的企业 只是提供了接入 Internet 的通道 对于网络上黑客的攻击缺乏基本的应 对措施 同时企业内部普遍存在资源滥用现象 这是造成 网络安全问题的根本原因 软件的漏洞和后门 随着 CPU 的频率越来越高 软件的规模越来越大 软件系统中的漏 洞也不可避免的存在 强大如微软所开发的 Windows 也存 在 各种各样的安全漏洞和 后门 这是网络安全的主 要威胁之一 网络内部用户的误操作和恶意行为 对于来自网络内部的攻击 主流的网络安全产品防火 墙基本无能为力 这类攻击及其误操作行为需要网络信息 娄底职业技术学院计算机网络专业 4 审计 IDS 等主要针对内部网络安全的安全产品来抵御 网络资源滥用 网络有了安全保证和带宽管理 依然不能防止员工对 网络资源的滥用 等行为极大地降低了员工的工作效率 管理层希望员工更加有效地使用互联网 尽量避免网络对 工作带来负面影响 信息泄漏 恶意 过失的不合理信息上传和发布 可能会造成敏 感信息泄漏 有害信息扩散 危及社会 国家 体和个人 利益 更有基于竞争需要 利用技术手段对目标机信息资 源进行窃取 在众多人为威胁中来自用户和恶意软件即计 算机病毒的非法侵入严重 计算机病毒是利用程序干扰破 坏系统正常工作的一种手段 它的产生和蔓延给信息系统 的可靠性和安全性带来严重的威胁和巨大的损失 1 3计算机网络中的安全缺陷及产生原因 网络安全缺陷产生的原因主要有 第一 TCP IP 的脆弱性 因特网的基石是 TCP IP 协 议 3 不幸的是该协议对于网络的安全性考虑得并不多 并且 由于TCP IP协议是公布于众的 如果人们对TCP IP 很熟悉 就可以利用它的安全缺陷来实施网络攻击 第二 网络结构的不安全性 因特网是一种网间网技 术 它是由无数个局域网所连成的一个巨大网络 当人们 用一台主机和另一局域网的主机进行通信时 通常情况下 它们之间互相传送的数据流要经过很多机器重重转发 如 果攻击者利用一台处于用户的数据流传输路径上的主机 他就可以劫持用户的数据包 第三 易被窃听 由于因特网上大多数数据流都没有 加密 因此人们利用网上免费提供的工具就很容易对网上 的电子邮件 口令和传输的文件进行窃听 第四 缺乏安全意识 虽然网络中设置了许多安全保 护屏障 但人们普遍缺乏安全意识 从而使这些保护措施 形同虚设 如人们为了避开防火墙代理服务器的额外认 证 进行直接的 PPP 连接从而避开了防火墙的保护 浅析计算机网络安全和防火墙技术 5 1 4影响计算机网络安全的因素 网络资源的共享性 资源共享是计算机网络应用的 主要目的 但这为系统安全的攻击者利用共享的资源进行 破坏提供了机会 随着互联网需求的日益增长 外部服务 请求不可能做到完全隔离 攻击者利用服务请求的机会很 容易获取网络数据包 网络的开放性 网上的任何一个用户很方便访问互 联网上的信息资源 从而很容易获取到一个企业 单位以 及个人的敏感性信息 网络操作系统的漏洞 网络操作系统是网络协议和 网络服务得以实现的最终载体之一 它不仅负责网络硬件 设备的接口封装 同时还提供网络通信所需要的各种协议 和服务的程序实现 由于网络协议实现的复杂性 决定了 操作系统必然存在各种实现过程所带来的缺陷和漏洞 网络系统设计的缺陷 网络设计是指拓扑结构的设 计和各种网络设备的选择等 网络设备 网络协议 网络 操作系统等都会直接带来安全隐患 合理的网络设计在节 约资源的情况下 还可以提供较好的安全性 不合理的网 络设计则会成为网络的安全威胁 恶意攻击 就是人们常见的黑客攻击及网络病毒 这是最难防范的网络安全威胁 随着电脑教育的大众化 这类攻击也是越来越多 影响越来越大 娄底职业技术学院计算机网络专业 6 第二章 计算机网络安全防范策略 计算机网络安全从技术上来说 主要由防病毒 防火 墙 入侵检测等多个安全组件组成 任何一个单独的组件 都无法确保网络信息的安全性 目前广泛运用和比较成熟 的网络安全技术主要有 防火墙技术 数据加密技术 入 侵检测技术 防病毒技术等 以下就此几项技术分别进行 分析 2 1防火墙技术 防火墙网络安全的屏障 配置防火墙是实现网络安全 最基本 最经济 最有效的安全措施之一 防火墙是指一 个由软件或和硬件设备组合而成 处于企业或网络群体计 算机与外界通道之间 限制外界用户对内部网络访问及管 理内部用户访问外界网络的权限 当一个网络接上 Internet 之后 系统的安全除了考虑计算机病毒 系统 的健壮性之外 更主要的是防止非法用户的入侵 而目前 防止的措施主要是靠防火墙技术完成 防火墙能极大地提 高一个内部网络的安全性 并通过过滤不安全的服务而降 低风险 防火墙可以强化网络安全策略 通过以防火墙为中心 的安全方案配置 能将所有安全软件 如口令 加密 身 份认证 配置在防火墙上 其次对网络存取和访问进行监 控审计 如果所有的访问都经过防火墙 那么 防火墙就 能记录下这些访问并做出日志记录 同时也能提供网络使 用情况的统计数据 当发生可疑动作时 防火墙能进行适 当的报警 并提供网络是否受到监测和攻击的详细信息 再次防止内部信息的外泄 利用防火墙对内部网络的划 分 可实现内部网重点网段的隔离 4 从而降低了局部重 点或敏感网络安全问题对全局网络造成的影响 为了让大家更好地使用防火墙 我们从反面列举 4 个有代表性的失败案例 例 1 未制定完整的企业安全策略 浅析计算机网络安全和防火墙技术 7 网络环境 某中型企业购买了适合自己网络特点的防 火墙 刚投入使用后 发现以前局域网中肆虐横行的蠕虫 病毒不见了 企业网站遭受拒绝服务攻击的次数也大大减 少了 为此 公司领导特意表扬了负责防火墙安装实施的 信息部 该企业网络环境如图 2 1 所示 图 2 1 该企业内部网络的核心交换机是带路由模块的三层 交换机 出口通过路由器和 ISP 连接 内部网划分为 5 个 VLAN VLAN 1 VLAN 2 和 VLAN 3 分配给不同的部门使 用 不同的 VLAN 之间根据部门级别设置访问权限 VLAN 4 分配给交换机出口地址和路由器使用 VLAN 5 分配给公 共服务器使用 在没有加入防火墙之前 各个 VLAN 中的 PC 机 能 够 通 过 交 换 机 和 路 由 器 不 受 限 制 地 访 问 Internet 加入防火墙后 给防火墙分配一个 VLAN 4 中 的空闲 IP 地址 并把网关指向路由器 将 VLAN 5 接入到 防火墙的一个网口上 这样 防火墙就把整个网络分为 3 个区域 内部网 公共服务器区和外部网 三者之间的通 信受到防火墙安全规则的限制 问题描述 防火墙投入运行后 实施了一套较为严格 的安全规则 导致公司员工无法使用 QQ 聊天软件 于是 没过多久就有员工自己拨号上网 导致感染了特洛依木马 娄底职业技术学院计算机网络专业 8 和蠕虫等病毒 并立刻在公司内部局域网中传播开来 造 成内部网大面积瘫痪 问题分析 我们知道 防火墙作为一种保护网络安全 的设备 必须部署在受保护网络的边界处 只有这样防火 墙才能控制所有出入网络的数据通信 达到将入侵者拒之 门外的目的 如果被保护网络的边界不惟一 有很多出入 口 那么只部署一台防火墙是不够的 在本案例中 防火 墙投入使用后 没有禁止私自拨号上网行为 使得许多 PC机通过电话线和Internet相连 导致网络边界不惟一 入侵者可以通过攻击这些 PC 机然后进一步攻击内部网 络 从而成功地避开了防火墙 解决办法 根据自己企业网的特点 制定一整套安全 策略 并彻底地贯彻实施 比如说 制定一套安全管理规 章制度 严禁员工私自拨号上网 同时封掉拨号上网的电 话号码 并购买检测拨号上网的软件 这样从管理和技术 上杜绝出现网络边界不惟一的情况发生 另外 考虑到企 业员工的需求 可以在防火墙上添加按照时间段生效的安 全规则 在非工作时间打开 QQ 使用的 TCP UDP 端口 使 得企业员工可以在工余时间使用 QQ 聊天软件 例 2 未考虑与其他安全产品的配合使用 问题描述 某公司购买了防火墙后 紧接着又购买了 漏洞扫描和 IDS 入侵检测系统 产品 当系统管理员利 用 IDS 发现入侵行为后 必须每次都要手工调整防火墙安 全策略 使管理员工作量剧增 而且经常调整安全策略 也给整个网络带来不良影响 问题分析 选购防火墙时未充分考虑到与其他安全产 品如 IDS 的联动功能 导致不能最大程度地发挥安全系统 的作用 解决办法 购买防火墙前应查看企业网是否安装了漏 洞扫描或 IDS 等其他安全产品 以及具体产品名称和型 号 然后确定所要购买的防火墙是否有联动功能 即是否 支持其他安全产品 尤其是 IDS 产品 支持的是哪些品 牌和型号的产品 是否与已有的安全产品名称相符 如果 不符 最好不要选用 而选择能同已有安全产品联动的防 火墙 这样 当 IDS 发现入侵行为后 在通知管理员的同 浅析计算机网络安全和防火墙技术 9 时发送消息给防火墙 由防火墙自动添加相关规则 把入 侵者拒之门外 例 3 未经常维护升级防火墙 问题描述 某政府机构购置防火墙后已安全运行一年 多 由于该机构网络结构一直很稳定 没有什么变化 各 种应用也运行稳定 因此管理员逐渐放松了对防火墙的管 理 只要网络一直保持畅通即可 不再关心防火墙的规则 是否需要调整 软件是否需要升级 而且由于该机构处于 政府专网内 与 Internet 物理隔离 防火墙无法实现在 线升级 因此该机构的防火墙软件版本一直还是购买时的 旧版本 虽然管理员一直都收到防火墙厂家通过电子邮件 发来的软件升级包 但从未手工升级过 在一次全球范围 的蠕虫病毒迅速蔓延事件中 政府专网也受到蠕虫病毒的 感染 该机构防火墙因为没有及时升级 无法抵御这种蠕 虫病毒的攻击 造成整个机构的内部网大面积受感染 网 络陷于瘫痪之中 问题分析 安全与入侵永远是一对矛盾 防火墙软件 作为一种安全工具 必须不断地升级与更新才能应付不断 发展的入侵手段 过时的防护盾牌是无法抵挡最先进的长 矛的 作为安全管理员来说 应当时刻留心厂家发布的升 级包 及时给防火墙打上最新的补丁 解决办法 及时维护防火墙 当本机构发生人员变动 网络调整和应用变化时 要及时调整防火墙的安全规则 及时升级防火墙 从以上三个案例我们可以得出一些结论 防火墙只是 保证安全的一种技术手段 要想真正实现安全 安全策略 是核心问题 保护网络安全不仅仅是防火墙一种产品 只 有将多种安全产品无缝地结合起来 充分利用它们各自的 优点 才能最大限度地保证网络安全 而保护网络安全是 动态的过程 防火墙需要积极地维护和升级 2 2数据加密与用户授权访问控制技术 与防火墙相比 数据加密与用户授权访问控制技术比 娄底职业技术学院计算机网络专业 10 较灵活 更加适用于开放的网络 用户授权访问控制主要 用于对静态信息的保护 需要系统级别的支持 一般在操 作系统中实现 数据加密主要用于对动态信息的保护 对 动态数据的攻击分为主动攻击和被动攻击 对于主动攻 击 虽无法避免 但却可以有效地检测 而对于被动攻击 虽无法检测 但却可以避免 实现这一切的基础就是数据 加密 数据加密实质上是对以符号为基础的数据进行移位 和置换的变换算法 这种变换是对称密钥算法 这样的 密钥必须秘密保管 只能为授权用户所知 授权用户既可 以用该密钥加密信急 也可以用该密钥解密信息 DES 是 对称加密算法中最具代表性的算法 在公钥加密算法中 公钥是公开的 任何人可以用公钥加密信息 再将密文发 送给私钥拥有者 私钥是保密的 用于解密其接收的公钥 加密过的信息 5 典型的公钥加密算法 nRSA 是目前使用 比较广泛的加密算法 2 3入侵检测技术 入侵检测系统 IntrusionDetectionSystem IDS 是 从多种计算机系统及网络系统中收集信息 再通过此信息 分析入侵特征的网络安全系统 IDS 被认为是防火墙之后 的第二道安全闸门 它能使在入侵攻击对系统发生危害 前 检测到入侵攻击 并利用报警与防护系统驱逐入侵攻 击 在入侵攻击过程中 能减少入侵攻击所造成的损失 在被入侵攻击后 收集入侵攻击的相关信息 作为防范系 统的知识 添加入策略集中 增强系统的防范能力 避免 系统再次受到同类型的入侵 6 入侵检测的作用包括威慑 检测 响应 损失情况评 估 攻击预测和起诉支持 入侵检测技术是为保证计算机 系统的安全而设计与配置的一种能够及时发现并报告系 统中未授权或异常现象的技术 是一种用于检测计算机网 络中违反安全策略行为的技术 入侵检测技术的功能主要 体现在以下方面 1 分析用户及系统活动 查找非法用户和合法用户的越 权操作 2 检测系统配置的正确性和安全漏洞 并提示管理员修 浅析计算机网络安全和防火墙技术 11 补漏洞 3 识别反映已知进攻的活动模式并向相关人上报警 4 对异常行为模式的统计分析 5 能够实时地对检测到的入侵行为进行反应 6 评估重要系统和数据文件的完整性 7 可以发现新的攻击模式 2 4防病毒技术 随着计算机技术的不断发展 计算机病毒变得越来越 复杂和高级 对计算机信息系统构成极大的威胁 在病毒 防范中普遍使用的防病毒软件 从功能上可以分为网络防 病毒软件和单机防病毒软件两大类 单机防病毒软件一般 安装在单台 Pc 上 即对本地和本地工作站连接的远程资 源采用分析扫描的方式检测 清除病毒 网络防病毒软件 则主要注重网络防病毒 一旦病毒入侵网络或者从网络向 其它资源传染 网络防病毒软件会立刻检测到并加以删除 7 2 5安全管理队伍的建设 在计算机网络系统中 绝对的安全是不存在的 制定 健全的安全管理体制是计算机网络安全的重要保证 只有 通过网络管理人员与使用人员的共同努力 运用一切可以 使用的工具和技术 尽一切可能去控制 减小一切非法的 行为 尽可能地把不安全的因素降到最低 同时 要不断 地加强计算机信息网络的安全规范化管理力度 大力加强 安全技术建设 强化使用人员和管理人员的安全防范意 识 网络内使用的 IP 地址作为一种资源以前一直为某些 管理人员所忽略 为了更好地进行安全管理工作 应该对 本网内的 IP 地址资源统一管理 统一分配 对于盗用 IP 资源的用户必须依据管理制度严肃处理 只有共同努力 才能使计算机网络的安全可靠得到保障 从而使广大网络 用户的利益得到保障 娄底职业技术学院计算机网络专业 12 第 三 章防火墙技术 3 1防火墙的定义 防火墙是指设置在不同网络或网络安全域之间信息 的唯一出入口 能根据网络的安全政策控制 允许拒绝监 测 出入网络的信息流 且本身具有较强的抗攻击能力 它 是提供信息安全服务 实现网络和信息安全的基础设施 Internet 防火墙是一个或一组系统 它能增强机构 内部网络的安全性 用于加强网络间的访问控制 防止外 部用户非法使用内部网的资源 保护内部网络的设备不被 破坏 防止内部网络的敏感数据被窃取 防火墙系统还决 定了哪些内部服务可以被外界访问 外界的哪些人可以访 问内部的服务 以及哪些外部服务何时可以被内部人员访 问 要使一个防火墙有效 所有来自和去往 Internet 的 信息都必须经过防火墙并接受检查 防火墙必须只允许授 权的数据通过 并且防火墙本身也必须能够免于渗透 但 是 防火墙系统一旦被攻击突破或迂回绕过 就不能提供 任何保护了 3 2防火墙的功能 3 2 1防火墙是网络安全的屏障 防火墙 作为阻塞点 控制点 能极大地提高一个内部 网络的安全性 并通过过滤不安全的服务而降低风险 由 于只有经过精心选择的应用协议才能通过防火墙 所以网 络环境变得更安全 防火墙可以强化网络安全策略 通过以防火墙为中心 的安全方案配置 能将所有安全软件 如口令加密身份认 证审计等 配置在防火墙上 对网络存取和访问进行监控 审计 所有的访问都经过防火墙 那么 防火墙就能记录 下这些访问并作出日志记录 同时也能提供网络使用情况 的统计数据 当发生可疑动作时 防火墙能进行适当的报 警 并提供网络是否受到监测和攻击的详细信息 防止内 浅析计算机网络安全和防火墙技术 13 部信息的外泄 通过利用防火墙对内部网络的划分 可实 现内部网重点网段的隔离 而限制了局部重点或敏感网络 安全问题对全局网络造成的影响 3 2 2 防火墙的种类 防火墙技术可根据防范的方式和侧重点的不同 总体 来讲可分为二大类 分组过滤 应用代理 分组过滤 Packetfiltering 作用在网络层和传输 层 它根据分组包头源地址 目的地址和端口号 协议类型 等标志确定是否允许数据包通过 只有满足过滤逻辑的数 据包才被转发到相应的目的地出口端 其余数据包则被从 数据流中丢弃 应 用 代 理 ApplicationProxy 也 叫 应 用 网 关 ApplicationGateway 它作用在应用层 其特点是完全 阻隔 了网络通信流通过对每种应用服务编制专门的 代理程序 实现监视和控制应用层通信流的作用 实际中 的应用网关通常由专用工作站实现 8 3 3防火墙的技术原理 目前 防火墙系统的工作原理因实现技术不同 大致 可分为三种 1 包过滤技术 包过滤技术是一种基于网络层的防火墙技术 根据设 置好的过滤规则 通过检查 IP 数据包来确定是否该数据 包通过 而那些不符合规定的 IP 地址会被防火墙过滤掉 由此保证网络系统的安全 该技术通常可以过滤基于某些 或所有下列信息组的 IP 包 源 IP 地址 目的 IP 地 址 TCP UDP 源端口 TCP UDP 目的端口 包过滤技术实际 上是一种基于路由器的技术 其最大优点就是价格便宜 实现逻辑简单便于安装和使用 缺点 1 过滤规则难以配置和测试 2 包过滤只访 问网络层和传输层的信息 访问信息有限 对网络更高协 议层的信息无理解能力 3 对一些协议 如 UDP 和 RPC 难以有效的过滤 娄底职业技术学院计算机网络专业 14 2 代理技术 代理技术是与包过滤技术完全不同的另一种防火墙 技术 其主要思想就是在两个网络之间设置一个 中间检 查站 两边的网络应用可以通过这个检查站相互通信 但是它们之间不能越过它直接通信 这个 中间检查站 就是代理服务器 它运行在两个网络之间 对网络之间的 每一个请求进行检查 当代理服务器接收到用户请求后 会检查用户请求合法性 若合法 则把请求转发到真实的 服务器上 并将答复再转发给用户 代理服务器是针对某 种应用服务而写的 工作在应用层 优点 它将内部用户和外界隔离开来 使得从外面只 能看到代理服务器而看不到任何内部资源 与包过滤技术 相比 代理技术是一种更安全的技术 9 缺点 在应用支持方面存在不足 执行速度较慢 3 状态监视技术 这是第三代防火墙技术 集成了前两者的优点 能对 网络通信的各层实行检测 同包过滤技术一样 它能够检 测通过 IP 地址 端口号以及 TCP 标记 过滤进出的数据 包 它允许受信任的客户机和不受信任的主机建立直接连 接 不依靠与应用层有关的代理 而是依靠某种算法来识 别进出的应用层数据 这些算法通过己知合法数据包的模 式来比较进出数据包 这样从理论上就能比应用级代理在 过滤数据包上更有效 状态监视器的监视模块支持多种协议和应用程序 可 方便地实现应用和服务的扩充 此外 它还可监测 RPC 和 UDP 端口信息 而包过滤和代理都不支持此类端口 这 样 通过对各层进行监测 状态监视器实现网络安全的目 的 目前 多使用状态监测防火墙 它对用户透明 在 OSI 最高层上加密数据 而无需修改客户端程序 也无需 对每个需在防火墙上运行的服务额外增加一个代理 要想建立一个真正行之有效的安全的计算机网络 仅 使用防火墙还是不够 在实际的应用中 防火墙常与其它 安全措施 比如加密技术 防病毒技术等综合应用 才起 到防御的最大化的效果 浅析计算机网络安全和防火墙技术 15 3 4防火墙的应用 3 4 1 个人防火墙的应用 瑞星个人防火墙的应用 1 安装 第一步启动安装程序 当把瑞星个人防火墙下载版安装程序保存到您电脑 中的指定目录后 找到该目录 双击运行安装程序 就可 以进行瑞星个人防火墙下载版的安装了 第二步完成安装后 如图 3 1 图 3 1 第三步输入产品序列号和用户 ID 启动个人防火墙 当出现如图 3 2 下所示的窗口后 在相应位置输入您购买获得的产品序列号和用户 ID 点 击 确定 通过验证后则会提示 您的瑞星个人防火墙 现在可以正常使用 娄底职业技术学院计算机网络专业 16 图 3 2 常见问题 不输入产品序列号和用户 ID 产品将无 法升级 防火墙保护功能将全部失效 您的计算机将无法 抵御黑客攻击 2 升级 第一步网络配置 打开防火墙主程序 在菜单中依次选择 设置 设置网络 打开 网 络设置 窗口 如图 3 3 图 3 3 1 设定网络连接方式 如果设定 通过代理服务器 访问网络 还需要输入代理服务器 IP 端口 身份验证 信息 2 您可以选中 使用安全升级模式 确保升级期间 阻止新的网络连接 浅析计算机网络安全和防火墙技术 17 3 点击 确定 按钮完成设置 小提示 1 如果您已经可以浏览网页 说明网络设置已经配 置好了 这里直接使用默认设置即可 2 如果您不使用拨号方式上网 将不会看到界面中 使用拨号网络连接 的选项以及相关设置 3 请确保此步设置正确 否则可能无法完成智能升 级 第二步 智能升级 完成网络配置后 进行智能升级的操作方法 方法一 点击主界面右侧的 智能升级 按钮 图 3 4 示 图 3 4 方法二 在菜单中依次选择 操作 智能升级 方法三 右键点击防火墙托盘图标 在弹出菜单中选 择 启动智能升级 3 启动瑞星个人防火墙下载版程序 启动瑞星个人防火墙软件主程序有三种方法 方法一 进入 开始 所有程序 瑞星个人防 火墙 选择 瑞星个人防火墙 即可启动 方法二 用鼠标双击桌面上的 瑞星个人防火墙 快 捷图标即可启动 方法三 用鼠标单击任务栏 快速启动 上的 瑞星 娄底职业技术学院计算机网络专业 18 个人防火墙 快捷图标即可启动 成功启动程序后的界面如下图 3 5 所示 图 3 5 主要界面元素 1 菜单栏 用于进行菜单操作的窗口 包括 操作 设置 帮助 三个菜单 如图 3 6 示 图 3 6 2 操作按钮 位于主界面右侧 包括 启动 停止保护 连接 断开网络 智能升级 查看日志 如图 3 7 示 图 3 7 功能 停止防火墙的保护功能 执行此功能后 您计 浅析计算机网络安全和防火墙技术 19 算机将不再受瑞星防火墙的保护已处于停止保护状态时 此按钮将变为 启用保护 点击将重新启用防火墙的保 护功能 您也可以通过菜单项 操作 停止保护 来 执行此功能 将您的计算机完全与网络断开 就如同拔掉 网线或是关掉 Modem 一样 其他人都不能访问您的计算 机 但是您也不能再访问网络 这是在遇到频繁攻击时最 为有效的应对方法 已经断开网络后 此项将变为 连接 网络 点击将恢复网络连接 您也可以通过菜单项 操 作 断开网络 来执行此功能 启动智能升级程序对 防火墙进行升级更新 您也可以通过菜单项 操作 智 能升级 来执行此功能 启动日志显示程序 您也可能通 过 操作 显示日志 来执行此功能 3 标签页 位于主界面上部 分 工作状态 系统状态 游 戏保护 安全资讯 漏洞扫描 启动选项 六个标 签 如图 3 8 示 图 3 8 4 安全级别 位于主界面右下角 拖动滑块到对应的安全级别 修 改立即生效 5 当前版本及更新日期 位于主界面右上角 显示防火墙当前版本及更新日 期 6 规则设置 配置防火墙的过滤规则 如图 3 9 包括 黑名单 在黑名单中的计算机禁止与本机通讯 白名单 在白名单中的计算机对本地具有完全的访问 权限 端口开关 允许或禁止端口中的通讯 可简单开关本 机与远程的端口 娄底职业技术学院计算机网络专业 20 可信区 通过可信区的设置 可以把局域网和互联网 区分对待 IP 规则 在 IP 层过滤的规则 访问规则 本机中访问网络的程序的过滤规则 图 3 9 3 4 2 防火墙技术在校园网中应用 一 安装防火墙 防火墙技术在校园网安全建设中得到广泛的应用 由于防 火墙是一种按某种规则对专网和互联网 或对互联网的一 部分和其余部分之间的信息交换进行有条件的控制 包括 隔离 从而阻断不希望发生的网络间通信的系统部署防 火墙技术 10 构筑内外网之间的安全屏障 可以有效地将 内部网与外部网隔离开来 保护校园网络不受未经授权的 第三方侵入 二 校园网防火墙系统的配置 假定校园网通过 Cisco 路由器与 INTERNET 相连 校 园内的 IP 地址范围是确定的 且有明确的闭和边界 它有 一个 C 类的 IP 地址 有 DNS Email WWW FTP 等服务器 可采用以下存取控制策略 1 对进入 CERNET 主干网的存取控制 2 对网络中心资源主机的访问控制 网络中心的 DNS Email FTP WWW 等服务器是重要的资源 要特别的 保护 可对网络中心所在子网禁止 D