防火墻計算機安全中論文

　　1防火墻的功能和工作原理

　　從邏輯上講，防火墻是分離器、限制器和分析器。防火墻就是位于內部網(wǎng)或WEB站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺計算機。所有進(jìn)入或流出內部網(wǎng)絡(luò )的數據包，都要經(jīng)由防火墻。而所有經(jīng)由防火墻的數據都必須經(jīng)過(guò)防火墻設置中的安全策略和安全計劃的確認和授權才可通過(guò)，未經(jīng)授權的數據包將被丟棄。防火墻使用這一工作原理，將可有效防范木馬程序及網(wǎng)絡(luò )病毒對網(wǎng)絡(luò )安全帶來(lái)的危害，盡最大可能保護內部網(wǎng)絡(luò )的信息安全。防火墻按照不同的工作機制又可分為三類(lèi)：包過(guò)濾技術(shù)、堡壘主機、代理服務(wù)�，F簡(jiǎn)要敘述這三類(lèi)技術(shù)的工作原理。

　　1）包過(guò)濾技術(shù)

　　在網(wǎng)絡(luò )中傳輸的信息主要是以數據包的形式發(fā)送，數據包又分為包頭和數據兩個(gè)部分，數據包的包頭中，包含了數據包的源IP地址和目標IP地址。數據包正是根據這樣的信息，被在網(wǎng)絡(luò )中的不同路由器根據路由表進(jìn)行轉發(fā)，從源地址發(fā)送往目標地址的。在包過(guò)濾路由器中，由管理員設置安全規則，并根據安全規則對將轉發(fā)的數據包進(jìn)行檢查，當發(fā)現不符合安全規則的數據包時(shí)，數據包將被丟棄。由于包過(guò)濾只檢查數據包的包頭中信息來(lái)決定是否對數據包進(jìn)行轉發(fā)或丟棄，所以原理相對簡(jiǎn)單和有效，易于擴展。但它也有一些缺點(diǎn)和局限性。在系統中配置包過(guò)濾規則較為困難，管理員很難在包過(guò)濾規則中考慮全面，而且對于安全規則的測試也較為麻煩。由于不支持應用層面的安全過(guò)濾，有些安全規則是難于用包過(guò)濾系統來(lái)實(shí)施也難以實(shí)現。所以實(shí)際應用中，包過(guò)濾安全往往要與其它防火墻技術(shù)結合使用。

　　2）代理服務(wù)

　　運行在防火墻主機上的一些特定的應用程序或者服務(wù)程序。防火墻主機是由一臺安裝有代理服務(wù)協(xié)議的雙重宿主主機構成，主機可連接內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )。所謂代理就是一個(gè)提供替代連接并且充當服務(wù)的網(wǎng)關(guān)。代理也被稱(chēng)為應用網(wǎng)關(guān)。外部網(wǎng)絡(luò )對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn)請求，通過(guò)代理服務(wù)器的安全規則的檢測，對于合法的連接請求，代理服務(wù)主機以自身的身份與內部網(wǎng)絡(luò )相聯(lián)，并轉發(fā)數據，內部網(wǎng)絡(luò )的連接請求，也是通過(guò)代理服務(wù)主機與外部網(wǎng)絡(luò )相聯(lián)的。代理服務(wù)主機是在應用層提供服務(wù)，在管理員控制下，允許或拒絕特定的應用程序或特定服務(wù)，所以在代理服務(wù)主機中，可對轉發(fā)和拒絕的數據流實(shí)施監控、記錄、過(guò)濾、報告。由于代理服務(wù)機制中，對數據包進(jìn)行轉發(fā)，對外部的訪(fǎng)問(wèn)可屏蔽內部網(wǎng)絡(luò )的IP地址，服務(wù)應用層也是制定更為嚴格的安全策略。

　　3）保壘主機

　　人們把處于防火墻關(guān)鍵部位，運行應用級網(wǎng)關(guān)軟件的計算機系統稱(chēng)為堡壘主機。保壘主機在防火墻的建立過(guò)程中起著(zhù)至關(guān)重要的作用。堡壘主機是一種被強化的可以防御進(jìn)攻的計算機，作為進(jìn)入內部網(wǎng)絡(luò )的一個(gè)檢查點(diǎn)，以達到把整個(gè)網(wǎng)絡(luò )的安全問(wèn)題集中到某個(gè)主機上解決。堡壘主機是網(wǎng)絡(luò )中最容易受到侵害的主機，所以堡壘訂機也必須是自身保護最完善的主機。由于堡壘主機是最易受到攻擊，所以在堡壘主機中設置服務(wù)必須最少，堡壘主機中的服務(wù)軟件也盡可能低的權限。建立堡壘主機的目的是阻止入侵者到達內部網(wǎng)絡(luò )。堡壘主機目前一般有3種類(lèi)型：無(wú)路由雙宿主主機、犧牲主機和內部堡壘主機。無(wú)路由雙宿主主機，有多個(gè)網(wǎng)絡(luò )接口，但接口之間無(wú)路由的連接。犧牲主機是一種沒(méi)有任何需要保護信息的主機，入侵者可隨意登錄，但又不能與任何主機相聯(lián)。

　　2防火墻對于網(wǎng)絡(luò )安全的不足之處

　　雖然，現有的防火墻技術(shù)對經(jīng)由防火墻數據流進(jìn)行了過(guò)濾，一定程度上保護了內部網(wǎng)絡(luò )的主機的安全，但不足之處也非常明顯。包過(guò)濾防火墻，在過(guò)濾數據包時(shí)對用戶(hù)完全透明，只根據數據包中的IP信息將數據包進(jìn)行轉發(fā)或丟棄，效率高。但只作用于數據鏈層，無(wú)法防御具有地址欺騙的網(wǎng)絡(luò )攻擊方式，對于應用程序中的安全保護作用有限。代理服務(wù)類(lèi)防火墻，將內部與外部隔離，內部與外網(wǎng)的信息經(jīng)由防火墻進(jìn)行轉換，對外網(wǎng)屏蔽內部的結構，以達到保護內部的目的。代理服務(wù)于應用層，可制定轉為嚴格的保護策略，但代理工作的速度對于路由器工作速度慢，且代理過(guò)程對于用戶(hù)是隱蔽的，不同的代理服務(wù)，使用不同的代理服務(wù)器，所以代理服務(wù)防火墻工作效率較低。傳統的防火墻也有明顯不足之處：

　　1）對于不經(jīng)由防火墻網(wǎng)絡(luò )攻擊不能防范。

　　2）不能防范受病毒感染的文件、軟件和文檔的傳輸。

　　3）不能防范內部網(wǎng)絡(luò )的攻擊。

　　4）防火墻的工作方式是被動(dòng)的，無(wú)法根據網(wǎng)絡(luò )攻擊作出適應調整。

　　5）對于具有欺騙性的網(wǎng)絡(luò )攻擊，缺少應對手段。

　　3防火墻的新技術(shù)及安全防護策略

　　近年來(lái)，針對傳統防火墻的不足，對防火墻技術(shù)進(jìn)行改進(jìn)及安全防護策略。

　　1）在設計防火墻安全策略時(shí)，禁止不經(jīng)由防火墻的訪(fǎng)問(wèn)，確保內部網(wǎng)絡(luò )與外部所有信息流都經(jīng)過(guò)防火墻。

　　2）與防病毒軟件相結合的防火墻技術(shù)，在應用網(wǎng)關(guān)的防火墻中，與第三方殺病軟件相結合，對經(jīng)由防火墻的數據進(jìn)行檢測，將病毒防御在防火墻之外。

　　3）智能防火墻技術(shù)，針對傳統防火墻被動(dòng)防御的缺點(diǎn)，新型智能防火墻內外路由器、智能認證服務(wù)器、智能主機和堡壘主機組合構成，實(shí)現過(guò)濾規則自動(dòng)產(chǎn)生和自動(dòng)配置，對新發(fā)現的安全威脅進(jìn)行自主防御。

　　4）分布式防火墻，分布式防火墻由安全策略管理服務(wù)器和客戶(hù)端防火墻構成。安全策略服務(wù)器負責安全策略、用戶(hù)、日志、審計等管理�？蛻�(hù)端防火墻負責對安全策略的實(shí)施。分布式防火墻可防御各種類(lèi)型的被動(dòng)攻擊與主動(dòng)攻擊。

　　5）集中防火墻，集中防火墻是在入侵檢測技術(shù)的支持下，建立一個(gè)網(wǎng)絡(luò )入侵檢測系統和防火墻集成模型。入侵檢測系統可有效彌補防火墻無(wú)法識別網(wǎng)絡(luò )攻擊的缺陷。入侵檢測系統將有效識別網(wǎng)絡(luò )攻擊并動(dòng)態(tài)調整防火墻的安全規則，使防火墻具有一定的智能化。

　　4結束語(yǔ)

　　在網(wǎng)絡(luò )安全越來(lái)越受到重視的今天，防火墻在抵御網(wǎng)絡(luò )攻擊、保護網(wǎng)絡(luò )的信息安全起到重要作用。隨著(zhù)網(wǎng)絡(luò )技術(shù)的進(jìn)步，網(wǎng)絡(luò )攻擊呈現手段越來(lái)越多樣化，攻擊形式也更加復雜。為更好的防御網(wǎng)絡(luò )攻擊，在網(wǎng)絡(luò )環(huán)境中配置防火墻，并正確使用防火墻安全策略和新技術(shù)原理防火墻，是可能在一定程度上有效的保護網(wǎng)絡(luò )安全的。

【防火墻計算機安全中論文】相關(guān)文章：

防火墻技術(shù)在網(wǎng)絡(luò )安全中的應用探析論文04-10

計算機網(wǎng)絡(luò )安全中防火墻技術(shù)的探討03-23

論文防火墻致謝11-14

網(wǎng)絡(luò )計算機安全論文02-26

計算機信息安全論文02-11

畢業(yè)論文管理中的計算機應用04-03

計算機基礎中Office軟件的應用論文05-30

計算機安全論文范文03-14

教學(xué)中的計算機科學(xué)技術(shù)論文02-23

石化企業(yè)計算機安全論文12-14