对计算机使用防火墙技术防止网络攻击

1、对计算机使用防火墙技术防止网络攻击防火墙网络安全在当今的计算机世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法之一：防火墙。防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防

2、止外来入侵；监控网络的安全并在异常情况下给出警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型防火墙。包过滤通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。代理服务器型防火墙通常由两部分构成，服务器端程序和客户端程序。

3、客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。复合型防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。在进行防火墙设计构建中，可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的

4、不足在于它将可用性置于比安全更为重要的地位，增加了保证网络安全性的难度。在一个网络中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。网络的安全策略应该在细致的安全分析、全面的风险假设基础上来制定。尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，假如答应从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由此可见，要想建立一个真正行之有效的安全的计算机网络

5、，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用。目前，防火墙的体系结构有以几种： （1）包过滤防火墙 也称作过滤过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现，也可以在基于主机的路由器上实现。配置图如下图所示：内部网络的所有出入都必须通过过滤路由器，路由器审查每个数据包，根据过滤规则决定允许或拒绝数据包。 优点：1）易实现;2）不要求运行的应用程序做任何改动或安装特定的软件，也无需对用户进行特定的培训。 缺点：1）依赖一个单一的设备来保护系统，一旦该设备（过滤路由器）发生故障，则网络门户开放。2）很少或没有日志记录能力，

6、当网络被入侵时，无法保留攻击者的踪迹。包防火墙适于小型简单的网络。（2）双宿主主机防火墙 这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双宿主主机防火墙。它不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关，隔断IP层之间的直接传输。两个网络中的主机不能直接通信，两个网络之间的通信通过应用层数据共享或应用层代理服务来实现。如下图所示：优点： 1）网关将被保护的网络与外界完全隔离开;2）提供日志，有助于发现入侵。3） 内部网络的名字和IP地址对外界来说是不可见的。 缺点：代理服务，代理服务

7、器必须为每种应用专门设计，所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。（3）屏蔽主机网关防火墙 它由一台过滤路由器和一台堡垒主机组成。在这种配置下，堡垒主机配置在内部网络上，过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其它主机。内部网络在向外通信时，必须先到堡垒主机，由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信的唯一通道。如下图所示。优点:1）配置更为灵活，它可以通过配置过滤路由器将某些通信直接传到内部网络的其它站点而不是堡垒主机。2）包过滤路由器的规则较简单。 缺点:一旦堡垒主机被攻破，内部网

8、络将完全暴露。（4）屏蔽子网防火墙 屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器，如下图所示。在屏蔽主机网关防火墙中，堡垒主机最易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。 优点:提供多层保护，一个入侵者必须通过两个路由器和一个应用网关，是目前最为安全的防火墙系统。 缺点:1）价格较贵;2）整个系统的配置较为困难。该防火墙适合大、中型企业，以及对安全性要求高的单位。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能