計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文

　　計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文篇二

　　《計算機網(wǎng)絡(luò)安全和防火墻技術(shù)》

　　摘 要：本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。

　　關(guān)鍵詞：計算機網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范措施;防火墻技術(shù)

　　一、前言

　　計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

　　二、網(wǎng)絡(luò)信息安全的主要威脅

　　2.1、網(wǎng)絡(luò)安全威脅

　　網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。

　　自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。

　　人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點[1],以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：網(wǎng)絡(luò)缺陷，黑客攻擊各種病毒，管理的欠缺及資源濫用，網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為，網(wǎng)絡(luò)資源濫用，信息泄漏。

　　2.2、影響計算機網(wǎng)絡(luò)安全的因素

　?、倬W(wǎng)絡(luò)資源的共享性。資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

　　②網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。

　　③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負責網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。

　?、芫W(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。

　　⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。

　　三、防火墻技術(shù)

　　3.1 防火墻的定義

　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

　　3.2 防火墻的功能

　　1、防火墻的種類

　　防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。

　　分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

　　應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway),它作用在應(yīng)用層,其特點是完全“阻隔”了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

　　2、防火墻的技術(shù)原理

　　目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：

　　(1)包過濾技術(shù)

　　包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。

　　缺點：1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3)對一些協(xié)議，如UDP和RPC難以有效的過濾。

　　(2)代理技術(shù)

　　代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進行檢查。當代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。

　　(3)狀態(tài)監(jiān)視技術(shù)

　　這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。能對網(wǎng)絡(luò)通信的各層實行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。

　　狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實現(xiàn)應(yīng)用和服務(wù)的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務(wù)額外增加一個代理。

　　要想建立一個真正行之有效的安全的計算機網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。

　　四、結(jié)束語

　　防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。(作者單位：湖北工業(yè)大學)

　　參考文獻

　　[1] 石淑華,池瑞楠,計算機網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283

　　[2] 張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75

看過“計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析論文”的人還看了：

1.計算機網(wǎng)絡(luò)安全及防火墻技術(shù)論文

2.計算機網(wǎng)絡(luò)安全方面研究論文

3.計算機專業(yè)畢業(yè)論文:淺析網(wǎng)絡(luò)安全技術(shù)

4.計算機網(wǎng)絡(luò)系統(tǒng)安全論文

5.計算機網(wǎng)絡(luò)安全防范的論文

6.計算機網(wǎng)絡(luò)信息安全的論文