王潤澤
摘 要
防火墻是網(wǎng)絡(luò)安全的重要保護屏障。近幾年來,網(wǎng)絡(luò)安全與防隨著計算機網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,越來越受到人們的關(guān)注。本文主要從防火墻的技術(shù)特點出發(fā),進行分析防火墻易受到攻擊的幾種方法,以及相關(guān)的防護辦法和探討防火墻技術(shù)的未來發(fā)展方向。
【關(guān)鍵詞】網(wǎng)絡(luò)安全與防護 防火墻技術(shù) 代理服務(wù)
隨著近幾年計算機網(wǎng)絡(luò)信息技術(shù)的告訴發(fā)展,計算機網(wǎng)絡(luò)安全與防護成為了人們關(guān)注的重點,同時因為一些個人信息的不斷被泄露以及一些政府以及企業(yè)網(wǎng)站被攻擊等事件的不斷增加,致使關(guān)于網(wǎng)絡(luò)安全防護問題變得越來越突出。這些網(wǎng)絡(luò)的攻擊事件不但關(guān)系到個人的隱私問題,更嚴(yán)重的威脅到了國家的安全問題。據(jù)統(tǒng)計,網(wǎng)絡(luò)攻擊事件正在以每年30%的速度增長,單是我國的各大門戶網(wǎng)站以及政府企業(yè)的網(wǎng)站就有超過90%以上的網(wǎng)站都受到過網(wǎng)絡(luò)攻擊。而防火墻作為重要的網(wǎng)絡(luò)安全保護屏障,一般是設(shè)在外網(wǎng)和內(nèi)網(wǎng)之間、局域網(wǎng)和Internet網(wǎng)之間的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),長期的給人們一種安全感,導(dǎo)致了人們在平常的計算機使用中并沒有進行相關(guān)的網(wǎng)絡(luò)安全防護的其他措施,很容易給別人有機可乘。防火墻并不是萬能的,也永遠的不會存在絕對安全的防火墻。
1 防火墻安全技術(shù)分析
1.1 防火墻的組成及其主要技術(shù)
防火墻主要的包含了安全的操作系統(tǒng)、網(wǎng)絡(luò)過濾器、網(wǎng)關(guān)、郵件處理、域名處理這五個部分。
常見的防火墻技術(shù)主要是數(shù)據(jù)的過濾、網(wǎng)關(guān)以及使用代理服務(wù)器等。數(shù)據(jù)包過濾是依賴系統(tǒng)提前設(shè)定好的過濾規(guī)則對通過的數(shù)據(jù)包進行篩選過濾,檢查數(shù)據(jù)的來源、目的地址以及TCP端口的鏈接狀態(tài)信息,最后來確定其安全性是否讓其通過,通常作為第一道的屏障,但是也有個極其致命的缺點,在使用包過濾器時,內(nèi)部網(wǎng)和服務(wù)器是對外部打開來接收數(shù)據(jù)進行數(shù)據(jù)的過濾的,如果出現(xiàn)過濾器無法檢測出的攻擊和病毒,會對整個內(nèi)網(wǎng)及服務(wù)器造成攻擊。因此,這一技術(shù)通常使用在家庭的備用路由器當(dāng)中。而應(yīng)用網(wǎng)關(guān)是在應(yīng)用上建立的協(xié)議性的過濾,針對指定的應(yīng)用,進行特定的數(shù)據(jù)過濾,對通過數(shù)據(jù)進行登記和分析,同時形成日志進行反饋。代理服務(wù),作為最后的一段防線,通常是用來,當(dāng)數(shù)據(jù)通過了過濾器和應(yīng)用網(wǎng)關(guān)時需要通過代理服務(wù)器才能連接到應(yīng)用和內(nèi)部的服務(wù)器等,是一種軟件方式的過濾,防止外部的數(shù)據(jù)網(wǎng)絡(luò)直接的連接到內(nèi)部服務(wù)器,對進入的數(shù)據(jù)進行分段通過代理服務(wù)器在鏈接。
防火墻的主要技術(shù)對比如表1。
通過上表我們能更加清楚的看出各項防火墻技術(shù)的特點。
1.2 防火墻的基本功能
(1)過濾不安全的數(shù)據(jù)和服務(wù),指接受授權(quán)的和協(xié)議內(nèi)的數(shù)據(jù)與服務(wù)通過。
(2)防止非法的訪問,對訪問進行控制。
(3)對內(nèi)部網(wǎng)絡(luò)上的計算機進行集中的安全管理。
(4)有效的保護內(nèi)網(wǎng)的信息,增加保密性。
(5)對于網(wǎng)絡(luò)鏈接的日志進行記錄和反饋,進行網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計。
(6)防火墻可以提供策略制定和執(zhí)行。
(7)企業(yè)和機構(gòu)可以根據(jù)自己的需求進行其他的相關(guān)安全和控制。
2 非法攻擊防火墻的方法
雖然防火墻起到了對內(nèi)網(wǎng)的一定保護和安全防護作用,但是也有其一定的局限性。有些攻擊是可以繞開防火墻進行的,這樣防火墻是無法起作用的,同時對于攜帶病毒的軟件,防火墻也無法進行限制傳輸。常見的非法攻擊有以下3種方式;
(1)從子網(wǎng)進行攻擊,這些子網(wǎng)是受到防火墻認(rèn)可的。
(2)過分頻繁的攻擊和干擾,會致使防火墻一直處于高負荷狀態(tài)進行數(shù)據(jù)的分析和過濾,會出現(xiàn)癱瘓等。
(3)一些內(nèi)部的人為攻擊,如對防火墻運行的操作系統(tǒng)進行攻擊。
常見的惡意攻擊防火墻的手段如下:
(1)IP地址欺騙。IP地址的欺騙是最常見的攻擊方法,也是攻擊的最基礎(chǔ)方法,通過偽造來自內(nèi)部的虛假數(shù)據(jù)。
(2)計算機病毒攻擊。一般是在計算機的程序中插入可以破壞計算機功能和數(shù)據(jù)的代碼,并且可以進行自我的復(fù)制和執(zhí)行,有時會被放在郵箱的消息內(nèi)通過防火墻。
(3)木馬攻擊。木馬一般是指隱藏在合法的程序的惡意代碼,又叫特洛伊木馬(Trojan horse),它能受到外界的控制,來盜取用戶的信息等。
(4)TCP序號攻擊。是指繞過分組過濾法防火墻系統(tǒng);利用Internet網(wǎng)協(xié)議中的安全漏洞訪問依賴于靠分析IP地址的系統(tǒng)上,這種攻擊都是建立子啊TCP連接上的,利用偽造的通過的IP地址,傳送到內(nèi)部的計算機上,這也是對防護墻最致命的一種攻擊。
3 防火墻的未來發(fā)展方向
防火墻未來的發(fā)展趨勢包含了;
(1)由于當(dāng)前的防火墻對于網(wǎng)絡(luò)數(shù)據(jù)流量的依賴較大,會導(dǎo)致失效癱瘓等,而隨著語言以及算法的優(yōu)化,防火墻對于流量的依賴正在減少。
(2)現(xiàn)在的防火墻不但結(jié)合了包過濾技術(shù)以及應(yīng)用網(wǎng)關(guān)技術(shù)還正在加入數(shù)據(jù)加密技術(shù),強制身份驗證,嚴(yán)格的控制訪問,并且加強了對于日志的分析以及安全的管理。
(3)不斷的加強對于網(wǎng)絡(luò)攻擊的檢測和過濾功能,同時加強預(yù)警功能的建設(shè)。
(4)對于防火墻的監(jiān)測引擎可以考慮直接的加入到計算機的系統(tǒng)核上,進行直接的數(shù)據(jù)和網(wǎng)卡的控制和管理,對所有的數(shù)據(jù)進行檢測在提交。
因此、對于防火墻技術(shù)的未來發(fā)展方向來說,應(yīng)是全面對,對于各種技術(shù)進行整合包括了包過濾技術(shù)、代理服務(wù)技術(shù)、病毒檢測技術(shù)以及新型的數(shù)據(jù)加密技術(shù)等。
4 結(jié)語
對于網(wǎng)絡(luò)安全防護來說,應(yīng)全面的對網(wǎng)絡(luò)、系統(tǒng)、程序、用戶數(shù)據(jù)等等多方面的進行檢測和安全控制管理,對于防火墻技術(shù)進行全面的整合研究,同時加強對于加密技術(shù)的應(yīng)用,強制進行用戶身份驗證,提高防范等級。網(wǎng)絡(luò)安全的防護是未來一項重要的安全防護工作,現(xiàn)在的人們對于網(wǎng)絡(luò)的依賴程度之高以及未來對于網(wǎng)絡(luò)的依賴程度都是不可想象的,我們的各種信息都放到了網(wǎng)絡(luò)上,以及國家政府機構(gòu)的重要信息也都存儲在了網(wǎng)絡(luò)上,網(wǎng)絡(luò)安全已經(jīng)嚴(yán)重的危害到了個人和國家的安全。因此,對于網(wǎng)絡(luò)安全的防護工作不容得半點的疏忽。
參考文獻
[1]張鳴,高楊.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].黃河水利職業(yè)技術(shù)學(xué)院學(xué)報,2011(02):48-50.
[2]馬利,梁紅杰.計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識與技術(shù),2014(16):3743-3745.
[3]趙佳.略談計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].科技信息(科學(xué)教研),2008(23):55+33.
作者單位
安徽省懷遠第一中學(xué) 安徽省懷遠縣 233400