計(jì)算機(jī)網(wǎng)絡(luò)防火墻防御措施

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)網(wǎng)絡(luò)防火墻防御措施范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

1計(jì)算機(jī)安全中防火墻技術(shù)的主要類型

防火墻在我國(guó)古時(shí)候指的是建筑與建筑之間防止火災(zāi)蔓延的墻，而計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻則是指為了確保安全而設(shè)置的一系列部件組合，起屏障作用。防火墻所要保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)是屬于我們自己的網(wǎng)絡(luò)安全，它所要防范的一般都是來(lái)自于外網(wǎng)可能發(fā)生的威脅。目前，較為常用的防火墻主要有以下幾種類型：

1.1包過(guò)濾型防火墻

這種類型的防火墻是比較早期的產(chǎn)品，它的關(guān)鍵技術(shù)是網(wǎng)絡(luò)分包傳輸。我們都知道，在網(wǎng)絡(luò)中互相傳輸?shù)臄?shù)據(jù)都是以“包”作為單位的，各類數(shù)據(jù)被分割成為了不同的數(shù)據(jù)包，這些數(shù)據(jù)大小不同，并且每個(gè)數(shù)據(jù)包中都含有一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中相應(yīng)的地址信息后，判斷其是否來(lái)自于可信任的站點(diǎn)，如果是可信任的數(shù)據(jù)會(huì)通過(guò)防火墻進(jìn)行傳輸，若是不可信任的數(shù)據(jù)則會(huì)被防火墻拒之門外。包過(guò)濾型防火墻主要采用的是包過(guò)濾技術(shù)，這種技術(shù)具有如下優(yōu)點(diǎn)：成本低、簡(jiǎn)單方便、實(shí)用性強(qiáng)、在簡(jiǎn)單的應(yīng)用環(huán)境中能夠有效地確保計(jì)算機(jī)網(wǎng)絡(luò)安全。該技術(shù)的缺點(diǎn)是只能按照數(shù)據(jù)包的來(lái)源、目標(biāo)以及端口等信息來(lái)判斷其是否屬于安全數(shù)據(jù)，對(duì)于一些惡意侵入的程序無(wú)法準(zhǔn)確識(shí)別，如Java程序、郵件中的病毒等。一些經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)黑客經(jīng)常會(huì)利用該類型防火墻的這些特點(diǎn)偽造IP地址來(lái)騙過(guò)防火墻的過(guò)濾，然后進(jìn)行用戶計(jì)算機(jī)進(jìn)行破壞。

1.2型防火墻

這類防火墻又被稱之為服務(wù)器，其安全性要遠(yuǎn)遠(yuǎn)高于包過(guò)濾型防火墻產(chǎn)品，并且這一類型的防火墻現(xiàn)已開始向計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層發(fā)展。服務(wù)器實(shí)質(zhì)上就是一個(gè)數(shù)據(jù)信息中轉(zhuǎn)站，它介于用戶機(jī)遇服務(wù)器之間，并對(duì)兩者之間的數(shù)據(jù)信息交流進(jìn)行阻擋。站在用戶的角度看，服務(wù)器實(shí)質(zhì)上就相當(dāng)于真正的服務(wù)器，如果是站在服務(wù)器的角度上看，服務(wù)器則是一套用戶機(jī)。由于所有的數(shù)據(jù)信息都需要通過(guò)服務(wù)器進(jìn)行中轉(zhuǎn)，從而使得外部信息很難直接侵入到用戶機(jī)中，一些惡意攻擊也都被服務(wù)器過(guò)濾，有效地保證了用戶端計(jì)算機(jī)的安全。該防火墻的優(yōu)點(diǎn)是具有較高的安全性，并且能夠針對(duì)應(yīng)用層進(jìn)行掃描和偵測(cè)。

1.3監(jiān)測(cè)型防火墻

原本的防火墻都是針對(duì)惡意侵入進(jìn)行防范，而監(jiān)測(cè)型防火墻卻可以對(duì)數(shù)據(jù)信息進(jìn)行自動(dòng)、實(shí)時(shí)監(jiān)測(cè)，從而極大程度地提高了計(jì)算機(jī)網(wǎng)絡(luò)的安全性。這類產(chǎn)品的優(yōu)點(diǎn)是顯而易見，但缺點(diǎn)是成本較高，不便于管理。因此，目前仍舊未大范圍推廣使用。若是從成本和安全這兩方面進(jìn)行綜合考慮的話，可以選擇性地應(yīng)用某些監(jiān)測(cè)型技術(shù)，這樣一來(lái)既能夠有效地提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性，而且成本又不會(huì)太高。

1.4網(wǎng)址轉(zhuǎn)化

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的D地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)，它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址，在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

2防火墻技術(shù)在計(jì)算機(jī)安全中的具體應(yīng)用

2.1安全服務(wù)配置

安全服務(wù)隔離區(qū)((DMZ)把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群?jiǎn)为?dú)劃分出來(lái)，設(shè)置為安全服務(wù)隔離區(qū)，它既是內(nèi)部網(wǎng)絡(luò)的一部分，又是一個(gè)獨(dú)立的局域網(wǎng)，單獨(dú)劃分出來(lái)是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行。建議通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這不僅可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，也可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了投資成本。如果單位原來(lái)已有邊界路由器，則可充分利用原有設(shè)備，利用邊界路由器的包過(guò)濾功能,添加相應(yīng)的防火墻配置，這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。

2.2配置訪問(wèn)策略

訪問(wèn)策略是防火墻的核心安全策略，所以要經(jīng)過(guò)詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過(guò)程中我們需要了解本單位對(duì)內(nèi)對(duì)外的應(yīng)用以及所對(duì)應(yīng)的源地址、目的地址、TCP或UDP的端口，并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策略在規(guī)則表中的位置進(jìn)行排序，然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的，如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。

2.3日志監(jiān)控

日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬(wàn)甚至更多，所以,只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言，系統(tǒng)的告警信息是有必要記錄的，對(duì)于流量信息進(jìn)行選擇，把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來(lái)。

3結(jié)論

總而言之，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也會(huì)始終存在，為了使計(jì)算機(jī)的安全得到有效保障，防火墻技術(shù)也必須不斷更新。當(dāng)然計(jì)算機(jī)安全僅僅憑借防火墻技術(shù)來(lái)保障是遠(yuǎn)遠(yuǎn)不夠的，防火墻只是整個(gè)安全防范中的一個(gè)重要環(huán)節(jié)。只有從全方面入手，才能真正確保計(jì)算機(jī)運(yùn)行的安全性。