對計算機防火墻安全應用的探討
1、簡介防火強防火墻
1.1防火墻概念解析
防火墻就是一種將軟件和硬件相結合,作用在各種網絡認界面上的一種網絡屏障,這個網絡屏障能夠屏蔽掉網絡上不安全的信息和程序,只對已知的安全的信息大開方便之門。防火墻利用自己的網關技術避免了非法用戶的侵入,確保和合法用戶的權限。防火墻是由訪問規(guī)則、驗證工具、包過濾以及應用網關四部分構成。這四部分相互協作將網絡防火墻安全技術了搭建起來。小到我們個人用的私人電腦大多國家安全局應用的大型計算機都離不開防火墻技術的保護,計算機的流入和流出的所有網絡信號都需要經過防火墻的篩選。
防火墻顧名思義就是保護計算機安全的系統(tǒng)。有些用戶會將防火墻技術誤當做成殺毒軟件,其實兩者是完全不同的概念。殺毒軟件需要用戶自己購買安裝,而防火墻是在計算機系統(tǒng)運行時就帶有的一套安全程序,不需要用戶自己安裝,但是用戶可以調節(jié)防火墻的強度,自己設定防火墻安全保護的程度,更加方便用戶的操作。
安裝了防火墻之后,電腦會監(jiān)控各個端口的使用情況,只要你一打開某個需要連接網絡的軟件比IE瀏覽器,防火墻就會提示你允不允許該軟件連接網絡。如果你看到提示里的軟件名不認識,你又沒有打開什么軟件,那就不通過連接就可以了。這就需要你有一定的辯別能力。當然,你可以使用防火墻關閉某些不常用的端口使電腦更安全。
打一個現實的比方,防火墻就像是防盜門一樣,當有小偷進入的時候,防盜門能夠講小偷成功的擋在門外,而擁有門鑰匙的正常住戶就可以沒有阻攔的進出,沒有任何限制。網絡應用中的防火墻技術,就是一個尺度,他限制了訪問以及受訪機制的權限,超出權限的指令無法在系統(tǒng)中運行而被遣返或者留滯。防火墻有效的阻止了黑客的襲擊。如果不通過防火墻,“墻”內外的用戶就不能進行信息的互動交流。
1.2防火墻的動能介紹
防火墻,正如字面上的意思就是保證網絡的安全。防火墻內部存儲了許多數據,這些數據能夠反饋給系統(tǒng)哪些程序允許通過,哪些程序則需要返回。防火墻只允許那些默認被允許的程序被訪問,而且防火墻自身也必須避免黑客系統(tǒng)的破壞。下面,我們簡單介紹一下防火墻的極大功能:
(1)防火墻允許網絡系統(tǒng)管理員自定義一套系統(tǒng)來限定網絡的訪問機制。系統(tǒng)自身攜帶的防火墻中有固定的阻擋危險訪問的程序編制,但是這些編制因為創(chuàng)造的時間較早,而網絡發(fā)展非常迅速黑客程序的反偵查能力越來越強,有很多高級的黑客程序還是可以穿透防火墻進入計算機系統(tǒng),這也是殺毒軟件盛行的原因。當時防火墻屏蔽比殺毒軟件來的更加徹底,因此防火墻允許網絡系統(tǒng)管理員在防火墻內部開辟一個空間來自我定義一套限定網絡的訪問機制。這些被阻止的網絡機制是那些被防火墻漏掉的疑似威脅程序,管理員通過自己的設定將這些系統(tǒng)人為的分離出去。這樣做的好處是,增強網絡防火墻的安全性能,使受到防火墻保護的計算機可以安全的在系統(tǒng)中運行。
(2)防火墻規(guī)范了網絡的訪問,杜絕了危險程序的訪問,便于管理。在辦公室工作的你是否在進入某個網站或者安裝某種程序時,會彈出輸入管理員密碼的對話框。只有在獲得權限之后才能夠進行下一步操作。這是管理員根據公司的規(guī)定,將一些操作屏蔽掉,防止員工在工作中做一些與工作無關的事情。管理員的這些操作就是在防火墻上設置的,管理員在防火墻中進行了進一步的篩選,這樣做可以智能的管理員工的工作,是一個非常便捷的方法。防火墻對網絡訪問的規(guī)范,方便了管理人員對員工的管理,這是一個既省錢又方便的好方法。
(3)可以作為部署NAT(NetworkAddressTranslation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
共享內存這一話題,是防火墻技術比較深層次的利用。網絡管理員可以通過部署作為NAT(NetworkAddressTranslation,網絡地址變換)的地點,利用NAT技術,將本機上的IP地址動態(tài)或者靜態(tài)的與網絡.NET中的IP地址相對應,這樣做,可以緩解自己本機上IP地址緊缺的壓力,解決地址空間不足的問題。
(4)防火墻位置可以用來記錄計算機訪問網絡所產生的費用。上面已經提過,計算機內部與外界網絡的相互溝通都需要經過計算機防火墻的過濾,同樣的,在這些信息進入通過防火墻時,防火墻都會對這些信息加以記錄。根據這一特點,我們就可以在防火墻位置上記錄計算機訪問網絡時所產生的費用,這種費用的統(tǒng)計方式是最為科學而且可靠的。
這是我們根據防火墻的自身特點善加利用的很好的例子。防火墻如同一個阻隔內、外界的屏障,無論是允許通行或者是被阻擋,這些信息都會記錄在防火墻中,通過對這些信息的采集,我們可以分析出許多問題,獲得出許多我們需要掌握的信息。除了上面所說到的防火墻可以用來記錄訪問網絡產生的費用之外,防火墻內存儲的信息還可以用來分析黑客程序的類型,從而開發(fā)出更加權威的殺毒、防毒系統(tǒng)。
2、防火墻分類
防火墻的發(fā)展不是一蹴而就的,它也是經過了一個漫長而復雜的發(fā)展過程的。盡管防火墻發(fā)展到今天已經經歷了上述幾代的變更,但是從防火墻處理信息的方式上說,可以將防火墻劃分為兩大體系:一個是以以色列的Checkpoint防火墻為代表的包過濾式的防火墻,另一個以美國NAI公司開發(fā)的Gauntlet防火墻為代表的代理防火墻。但不論是哪種防火墻,運用什么的信息處理方式,兩種防火墻都各自有自己的優(yōu)勢,并存在自己的缺點,需要進一步的發(fā)展、改善。
2.1包過濾防火墻
第一代防火墻就是采用了采用了包過濾(Packetfilter)技術。所謂的包過濾技術就是對所有防火墻需要檢查的網絡訪問程序進行解包檢查,并且將檢查獲得的數據信息與防火墻系統(tǒng)內部原有的信息進行比對,這種將包打開每個都檢查并且再逐一比對的過程非常的浪費時間,采用包過濾防火墻技術的計算機運行等待的時間會相對較長,給需要快速操作的人員帶來了不便。但是包過濾防火墻到目前為止并沒有被淘汰,這是為什么呢?這主要是因為包過濾機制檢查處理信息的時候操作更加簡單、透明性也相對較高,所以,一些計算機仍然采用這種包過濾防火墻技術。
2.2代理防火墻
代理防火墻是在包過濾防火墻基礎上發(fā)展起來的。代理防火墻又被稱為應用層網關(ApplicationGateway)防火墻,顧名思義也就是說代理防火墻是作用在應用網關層的。這種防火墻通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發(fā)出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種代理服務器能夠在接收到用戶發(fā)出的鏈接信息請求的時候,采用特定的安全系數比較高的Proxy應用程序進行處理,從而反饋答復給用戶,并采取相應的措施進行進一步操作。
3、新型防火墻技術的發(fā)展趨勢
很多人都在揣測下一代防火墻會是什么樣子,下一代防火墻是會沿襲包過濾和代處理防火墻技術,還是會重新開辟一條新的道路來呢?據初步了解,下一代防火墻擁有的技術包括了阻止與針對細粒度網絡安全策略違規(guī)情況發(fā)出警報的功能。例如當我們在web郵件中看見一個陌生未知的郵件的時候,這個未知郵件如果有病毒等,防火墻就會通過這個警報系統(tǒng)通知給用戶,這樣用戶就可以避免打開這個包含病毒的郵件,防止病毒被打開后釋放到電腦里,造成電腦中毒或者損失電腦中的私人信息。這就意味著,即使有些應用程序設計可避開檢測或采用SSL加密,下一代防火墻依然可識別并阻止此類程序。而業(yè)務識別的另外一項優(yōu)點還包括帶寬控制,例:因為拒絕了無用或不允許進入的端到端流量,從而大幅降低了帶寬的耗用。
國內首先開發(fā)出下一代防火墻技術的是NGAF防火墻廠商。NGAF是面向應用層設計,能夠精確識別用戶、應用和內容,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻,并具有強勁應用層處理能力的全新網絡安全設備。NGAF解決了傳統(tǒng)安全設備在應用管控、應用可視化、應用內容防護等等方面的巨大不足,同時也開啟了所有功能后性能不會有大幅度的下降。對系統(tǒng)的正常操作不會有太大的影響。
欄目分類
- 2025年中科院分區(qū)表已公布!Scientific Reports降至三區(qū)
- 2023JCR影響因子正式公布!
- 國內核心期刊分級情況概覽及說明!本篇適用人群:需要發(fā)南核、北核、CSCD、科核、AMI、SCD、RCCSE期刊的學者
- 我用了一個很復雜的圖,幫你們解釋下“23版最新北大核心目錄有效期問題”。
- CSSCI官方早就公布了最新南核目錄,有心的人已經拿到并且投入使用!附南核目錄新增期刊!
- 北大核心期刊目錄換屆,我們應該熟知的10個知識點。
- 注意,最新期刊論文格式標準已發(fā)布,論文寫作規(guī)則發(fā)生重大變化!文字版GB/T 7713.2—2022 學術論文編寫規(guī)則
- 盤點那些評職稱超管用的資源,1,3和5已經“絕種”了
- 職稱話題| 為什么黨校更認可省市級黨報?是否有什么說據?還有哪些機構認可黨報?
- 《農業(yè)經濟》論文投稿解析,難度指數四顆星,附好發(fā)選題!