计算机网络初步课程论文

计算机网络初步 课程论文 专业 电气工程及其自动化 姓名 黄小明 班级 091 学号 1609090110 浅谈计算机网络安全的防火墙技术浅谈计算机网络安全的防火墙技术 专业 电气工程及其自动化 班级 091 姓名 黄小明 1609090110 摘要 目前计算机网络已经在社会上广泛流行 这是计算机发展过程中可喜的一大步 但 是随着计算机网络的出现 病毒也应运而生 尤其是因特网的迅猛发展 病毒的传播 黑 客的攻击和系统漏洞给计算机网络带来很大的威胁 人们越来越意识到计算机网络的重要 性 本文就计算机网络安全的防火墙技术进入探讨 提出了自己的见解与看法 关键字 计算机网络安全 防火墙技术 引言 首先在这里介绍计算机网络安全的相关概念 从狭义的保护的角度来看 计算机网络安全 是指计算机及其网络系统资源和信息不受自然和人为有害因素的威胁和危害 从广义来说 凡是涉及到计算机网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和 理论都是计算机网络安全的研究领域 所谓计算机网络安全的保密性 完整性 可用性 真实性和可控性 是指计算机网络安 全所具有的特征 1 保密性 信息不泄露给非授权的用户 实体或过程 或供其利用的特性 2 完整性 数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修 改 不被破坏和丢失的特性 3 可用性 可被授权实体访问并按需求使用的特性 即当需要时应能存储所需要的信息 4 真实性 信息不被恶意修改的特性 破坏信息的真实性是影响网络安全的常用手段 5 可控性 对信息的传播及内容具有控制能力 一 影响计算机网络安全的主要因素 1 来自操作系统或应用系统方面的因素 目前所使用的操作系统都存在不同程度的安全问题和系统漏洞 应用系统方面也是如此 2 黑客攻击的因素 由于技术本身的局限或防火墙错误配置等原因 仍然很难保证这一网络不遭受黑客攻击 典型的黑客攻击有入侵系统攻击 欺骗攻击 拒绝服务攻击 对防火墙的攻击 木马程序 攻击 后门攻击等 3 病毒的因素 计算机病毒影响计算机系统的正常运行 破坏系统软件和文件系统 破坏网络资源 是 网络效率急剧下降 甚至造成计算机和网络系统的瘫痪 是影响计算机网络安全的主要因 素 4设备受损的因素 设备损坏主要是指对网络硬件设备的破坏 网络设备包括服务器 交换机 集线器 路 由器 工作站和电源等 5 管理方面的因素 计算机网络安全涉及的技术很多也很复杂 但除此之外 与之相关的管理也显得相当重 要 管理的科学与否直接关系到网络的安全性强弱 综上所述 计算机网络安全问题确实不容小视 因而制定相应的计算机网络安全策略 显得相当重要 安全策略的类型有很多 包括物理安全策略 访问控制策略 数据加密策 略 防火墙控制策略等 在这里我主要介绍防火墙控制策略 二 防火墙的主要技术 防火墙是一种保护计算机网络安全的技术性措施 它是一个用以阻止网络中的黑客访 问某个机构网络的屏障 它是位于两个网络之间执行控制策略的系统 用来限制外部非法 用户访问内部网络资源 通过建立起来的相应网络通信控制系统来隔离内部和外部网络 以阻挡网络的侵入 防止偷窃或起破坏作用的恶意攻击 狭义的防火墙是指安装了防火墙软件的主机或路由器系统 广义的防火墙还包括整个 网络的安全策略和安全行为 防火墙技术是任何企业最基本的安全技术 主要包括以下几 个方面 1 包过滤技术 包过滤技术是在网络层依据系统的过滤规则 对数据包进行选择和过滤 这种规则有称 为访问控制表 ACLs 该技术通过检查数据流量中的数据中的每个数据包的源地址 目 标地址 源端口 目的端口及协议状态或它们的组合来确定是否允许该数据包通过 这种 防火墙通常安装在路由器上 2 网络地址翻译 网络地址翻译最初的设计目的的是增加在专用网络中可使用的IP地址数 但现在则用 于屏蔽内部主机 NAT通过将专业网络中的专业IP地址转换成在Internet上使用的全球唯一 的公共IP地址 实现对黑客有效的隐藏所有TCP IP级的有关内部主机信息的功能 使外部主 机无法探测到它们 NAT实质上是一个基本的代理 一个主机充当代理 代表内部所有主机发出请求 从 而将内部主机的身份从公用网上隐藏起来了 许多防火墙都支持不同类型的网络地址翻译 按普及程度和可用性顺序 NAT防火墙 最基本的翻译模式包括一下几种 1 静态翻译 也称为端口转发 在这种模式中 一个指定的内部网络源有一个从不改变 的固定翻译表 为使内部主机建立与外部主机的连接 需要使用静态NAT 2 动态翻译 也称为自动模式 隐藏模式或IP伪装 在这种模式中 为了隐藏内部主机 的身份或扩展内部网的地址空间 一个大的internet客户群共享单一一个或一组小的英特网 IP地址 3 负载平衡翻译 在这种模式中 一个IP地址和端口被翻译为同等配置的多个服务器的 野葛集中处 这样一个公共地址可以为许多服务器服务 4 网络冗余翻译 在这种模式中 多个英特网连接被附加在一个 并且可以用来寻找在 高层通信中的缺点或NAT防火墙上 防火墙根据负载和可用性对这些连接进行选择和使用 3 应用级代理 开发代理的最初目的是对Web进行缓存 减少冗余访问 但现在主要用于防火墙 应 用级代理中的请求重新生成的过程和代理和位于内部网和外部网之间的事实提供了许多的 安全优点 同时也存在不少隐患 1 代理隐藏了私有客户 不让他们暴露给外界 如同NAT 代理服务器防止外部主 机对内部机器上服务的连接 但不便的是 客户必须使用代理才能工作 2 代理能阻断危险的URL 但因为WEB站点可被轻易地根据它的IP地址或整个地址号 来进行简单的寻址 所以阻断URL也容易被消除 3 代理能在危险的内容如病毒和特洛伊木马等传送给客户之前过滤掉它们 但是代 理无法保护操作系统 4 代理能检查返回内容的一致性 但大多数一致性检查都是在发现有被利用的弱点 后有效 5 代理能消除在网络之间的传输层路由 使用代理可使TCP IP包不能真正在内部网 和外部网之间传输 并且可以防止大多数的服务拒绝和利用软件弱点的攻击 但协议存在 是因为没有好的代理服务 阻断路由功能通常使用得不充分 6 代理提供了单点的访问 控制和日志记录功能 代理保证所有内容都通过单一点 此点称为检查网络数据的检查点 三 防火墙的分类 1 按技术分类 根据采用的技术 防火墙分为三种基本类型 即包过滤型 代理型和监测型 1 包过滤型 包过滤型产品是防火墙的初级产品 其技术依据是网络中的包传输技术 网络上的数 据都是以 包 为单位进行传输的 防火墙通过读取数据包中的地址信息来判断这些 包 是 否来自可信任的安全站点 一旦发现来自危险站点的数据包 防火墙便会将这些数据趋之 门外 2 代理型 代理型防火墙也称为代理服务器 其安全性要高于包过滤型产品 并已经开始向应用 层发展 代理服务器位于客户器与服务器之间 完全阻挡了二者间的数据交流 从结构上 看 代理服务器由代理的服务器部分和代理的客户机部分组成 从客户器来看 代理服务 器相当于一台真正的服务器 而从服务器来看代理服务器又是一台真正的客户机 3 监测型 监测型防火墙是一新一代的产品 它实际已经超越了最初的防火墙定义 监测型防火 墙能够对各层的数据进行主动的 实时的监测 并在对这些数据分析的基础上 能够有效 地判断出各层中的非法入侵 2 按结构分类 目前 按结构可分为简单型和复合型 简单型包括只使用屏蔽路由器或者作为代理服 务器的双目主机结构 复合结构一般包括屏蔽主机和屏蔽子网 1 双目主机结构 双目主机结构防火墙系统主要由一台双目主机构成 具有两个网络接口 分别连接到 内部网和外部网 充当转发器 2 屏蔽主机结构 双目主机结构提供来自于多个网络连接的主机服务 但是路由关闭 否则从一块网卡 到另一块网卡的通信会绕过代理服务软件 3 屏蔽子网结构 屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安 全层 这个边界网络有时