当前位置:论文网 > 论文宝库 > 信息科技类 > 应用电子技术论文 > 正文

浅谈现阶段防火墙技术

来源:UC论文网2019-04-08 09:48

摘要:

  在古代,我们聪明的祖先常在寓所之间建起一道砖墙,如果有火灾发生,这道砖墙可以防止火势蔓延到别的寓所。这就是“防火墙”的由来。Internet防火墙是这样的系统(或一组系统),它能够使机构内部网络的安全性大大增强。要使一个防火墙有效,所有的Internet信息都必须经过这一道防火墙,接受防火墙的安全检查。只有授权的数据才能够通过防火墙,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦发生被...

  在古代,我们聪明的祖先常在寓所之间建起一道砖墙,如果有火灾发生,这道砖墙可以防止火势蔓延到别的寓所。这就是“防火墙”的由来。Internet防火墙是这样的系统(或一组系统),它能够使机构内部网络的安全性大大增强。要使一个防火墙有效,所有的Internet信息都必须经过这一道防火墙,接受防火墙的安全检查。只有授权的数据才能够通过防火墙,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦发生被攻击者现象时,就不能为我们提供任何的保护了。――我们应当特别注意的是,Internet不只是由堡垒主机和路由器以及其他设备共同形成的防火墙,它本身还是一个重要的安全方式。


  一、防火墙功能


  总结来说,有这样几个功能:


  (一)将不可靠的服务与不合法的用户清除。


  (二)访问特殊的网站会有限制。


  (三)可以进行互联网的安全和预警的检测。


  二、防火墙的技术


  根据层次可以将防火墙分成两类,一个是报文过滤,另一个是应用层网关。前者是于IP层进行的,在是因特网时,完全不能感受到它,操作十分简单。它有一个特别明显的弱点就是不可以在用户的级别中进行过滤处理,也就是无法辨别不一样的用户,也不能阻止恶意盗取IP地址的行为。若是有人将自己的IP地址改成一个合法的地址,完全能够轻松地躲过过滤的危机。


  这种过滤形式也可以用应用层网关将弱点改善。可以利用多种方式对应用层进行防火墙的设置,以下就是几种常见的设计。


  (一)应用代理服务器(ApplicationGatewayProxy)


  此类防火墙是在应用层进行保护的,主要就是检查授权以及一些代理业务。如果外面的主机想要访问这个网站,就一定要先在这里验证一下身份。只有验证合格之后,才会专门为用户专门一个程序,将外面的主机连接进来。整个过程中,防火墙完全可以拦截外部主机的访问,也可以控制访问的方式与时间。另外,受到了防火墙保护的内部用户如果需要连接到外部的主机,也要经过验证,才能执行各项指令。


  这种防火墙有一个显著的优势,就是将内部的IP地址掩藏起来,也能够给个别的用户访问的权利。即使有人真的运用了一个正常的IP地址,也无法经过严格的认证程序。这种方式在安全性上比报文过滤更出色。然而,这种方式也因此让应用网关无法保持透明度,用户往往需要不断认证,有许多不方面的地方。另外,这种技术还要在每个网关都设置专门的访问程序。


  (二)回路级代理服务器


  这就是人们常用的一般的服务器,可以进行多项协议,却无法解释应用协议,一定要以其它的方式来获取信息。因此,这种服务器往往需要用户程序进行修改。


  这种服务器也被称为套接字服务器,意味着这是一个以国际标准为准神的一种技术。如果受到了保护的客户机要跟外面的网络进行信息的交流,只有防火墙上面的服务器对用户进行各项的认证之后,没有问题,才能让套接字服务器跟外面的服务器进行连接。站在用户的位置上,看到的保护网与外面的网络进行信息交流的时候完全是透明的,根本感受不到有一层防火墙,就因为所有的用户都不必登录进入防火墙。然而,在客户端使用的用户所用的软件一定要适应“SocketsifiedAPI”,受到保护的用户在进入公共网的时候所用的IP地址全都是属于防火墙的。


  (三)IP通道(IPTunnels)


  有时会有这样的情况出现,一个公司有多个分公司,利用互联网互相传递信息。这时候,就能够利用IPTunnels来阻碍网上的黑客对信息的拦截,这样就形成了一个互联网上的虚拟企业系统。


  假如分公司的网络中的一台主机要传递报文给另一个分公司,这个报文在通过本网的防火墙的时候,会先判断一下报文是不是发到同一个系统中的分公司的。如果是,就再添上一个爆头,这样就形成了到另一个分公司防火墙的报文。原先发出报文的IP地址也会加入数据系统一起加密传送到另一个分公司的防火墙。;另一个分公司的防火墙在接收到这则报文以后,会再判断其IP地址是不是同一个公司系统之内的。如果是,就将报头去除,再进行解密,传输到网络中。从网络上看,就是两方的防火墙在进行信息交流。如果有黑客进行伪装的报文传送,就会因为不能进行解密而被传送失败。


  (四)网络地址转换器(NATNetworkAddressTranslate)


  如果受到保护的网络连接到了互联网上,用户访问互联网的时候,就必须用合法的IP地址。然而,合法的互联网地址数量是有限的,并且受到保护的网络一般也都有独到的网络地址方案。网络地址转换器是将一个合法的网络地址集团安装到防火墙上面。如果内网的用户想要访问互联网,防火墙就会自动从准备好的地址集团中给用户挑选一个还没有分配的地址,这个用户可以利用这一地址传递信息。另外,一些内网的服务器,如Web,转换器可以给它分配一个固定的地址来使用。外网的用户也可以在经过了防火墙验证之后访问到内网的信息。此类技术可以让主机多、IP地址少的问题得到缓解,在外网也无法获取内网的IP地址,更加安全可靠。


  (五)隔离域名服务器(SplitDomainNameSever)


  此类技术是利用防火墙来分离受到了保护的网络所拥有的域名服务器与外网的域名服务器的,这样外网的域名服务器只可以见到防火墙上的IP地址,不能看到受到了保护的网络的信息,如此就能够让受到了保护的网络拥有的IP地址得到保护。


  (六)邮件转发技术(Mailforwarding)


  如果防火墙运用了以上说的几类技术形式而让外网只能够了解到防火墙上的IP地址和域名的时候,那些外网传递过来的邮件也只能发送到防火墙。防火墙会对邮件进行来源检测,如果其来源的地址是合法的,也是符合传递要求的,防火墙才会转换邮件,传送到内网的邮件服务器,再转发到目标主机上。作者: 翟伟


核心期刊推荐