计算机防火墙论文 第2页
近年来,随着网络的迅速发展,网络安全已经成为人们日益关心的问题。当前,网络面临的安全威胁大体上分为两种:一种是对网络数据的威胁;另一种是对网络设备的威胁。其中,来自外部或内部人员的恶意攻击和入侵是当前因特网所面临的最大威胁,是电子商务、政府上网工程等顺利发展的最大障碍,也是企业网络安全策略最需要解决的问题。目前解决网络安全问题的最有效办法是采用防火墙。因特网的迅速发展为人们提供了发布信息和检索信息的场所,但也带来了信息被污染或被破坏的危险,人们为了保护其数据和资源安全,发明了防火墙。防火墙从本质上说是一种保护装置,它主要用于保护数据、资源和用户的声誉。从部署位置来看,防火墙往往又位于网络出口,是内部网和外部网之间的唯一通道,因此提高防火墙的性能、避免其成为瓶颈,就成为防火墙产品能否成功的一个关键问题。
防火墙原是用于建筑物大厦防止火灾从大厦的一部分传播到另一部分。从理论上讲Internet 防火墙也类似于此目的。防火墙用于在内部网和外部网之间构造一个保护层。网络安全上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统,通常安装在内部网络与外部网络的连接点上。所有来自Internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。从逻辑上讲,防火墙是分离器、限制器、分析器。防火墙的物理实现方式又有所不同,通常一个防火墙由一套硬件(一个路由器或路由器的组合,一台主机)和适当的软件组成。
第一代防火墙:该防火墙技术几乎与路由器同时出现,采用了包过滤技术。
第二、三代防火墙:1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为状态检测(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙:1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点,做为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来,面对未来高端防火墙的发展趋势,无论是从用户还是产品供应商,都不可避免的推向了一种对新型防火墙技术需求的角度。
由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与Internet的连接,网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。
具体分析,对网络安全构成威胁的主要有以下几个因素:
(1) 黑客的攻击、入侵内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
(2)病毒的侵害通过网络传送的病毒和Internet的电子邮件夹带的病毒。来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。病毒、木马发送大量数据包,造成系统资源的消耗,以至系统停止服务,造成数据丢失,机器、网络系统瘫痪,必须断开网络逐一进行杀毒,增加网络工作量,影响正常工作。
(3)内部的无限制访问内部用户的恶意攻击、误操作;访问不健康的站点,获取有害信息;工作学习时间无限制上网,游戏、聊天等。
(4)系统存在的漏洞缺乏一套完整的安全策略、政策,缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC等。
1.防火墙是网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>