【正文】 第一篇：網(wǎng)絡(luò)信息安全與防火墻技術(shù)網(wǎng)絡(luò)信息安全與防火墻技術(shù)鐘?。?012級(jí)軟件開(kāi)發(fā)（3）20150609）摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，特別是互聯(lián)網(wǎng)應(yīng)用得越來(lái)越廣泛，網(wǎng)絡(luò)安全成為了社會(huì)關(guān)注的焦點(diǎn)問(wèn)題。由于網(wǎng)絡(luò)開(kāi)放的、無(wú)控制機(jī)構(gòu)的特點(diǎn)，使其安全得不到保障。社會(huì)針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全，提出了許多保護(hù)措施，其中防火墻技術(shù)的應(yīng)用相對(duì)較為明顯，不僅顯示了高水平的安全保護(hù)，于此同時(shí)營(yíng)造了安全、可靠的運(yùn)行環(huán)境。大部分的黑客入侵事件都是因?yàn)闆](méi)有正確安裝防火墻而引起的，所以我們應(yīng)該高度重視和注意防火墻技術(shù)。因此，該文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行研究，并且分析防火墻技術(shù)的應(yīng)用。關(guān)鍵字：計(jì)算機(jī)；網(wǎng)絡(luò)技術(shù)；網(wǎng)絡(luò)安全；防火墻技術(shù)Abstract:With the rapid development of puter network technology, particularly the Internet, network security has bee focused by more and more the network open, uncontrolled body characteristics, its security cannot be people put forward a number of safeguards to protect puter network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall this article aimed to show some study of puter network security research, and analysis the application of firewall words: puter。network technology。network security。firework technology隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，人們的工作，學(xué)習(xí)和生活正在不斷地被計(jì)算機(jī)信息技術(shù)改變，人們的工作效率有了很大的提高，但由于計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、分布不均的終端、互聯(lián)性和開(kāi)放性的特點(diǎn)，這種形式在網(wǎng)絡(luò)和網(wǎng)絡(luò)中極容易受到黑客，病毒，惡意軟件和其他意圖不明的行為攻擊，因此網(wǎng)絡(luò)信息的安全性和保密性是一個(gè)關(guān)鍵的問(wèn)題。因此，網(wǎng)絡(luò)的安全措施應(yīng)該是一個(gè)能夠面對(duì)全方位不同的威脅，只有這樣網(wǎng)絡(luò)信息的保密性、完整性和可用性才能得到保障。分析計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)之間存在密不可分的關(guān)系，防火墻技術(shù)隨著計(jì)算機(jī)網(wǎng)絡(luò)的需求發(fā)展，網(wǎng)絡(luò)安全反映計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)之間的技術(shù)優(yōu)勢(shì)。計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)的分析如下： 安全是計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的主要原則，隨著現(xiàn)代社會(huì)的信息化發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)得到了推進(jìn)，但是其在操作過(guò)程中依然出現(xiàn)安全威脅，影響計(jì)算機(jī)網(wǎng)絡(luò)的安全級(jí)別，計(jì)算機(jī)網(wǎng)絡(luò)安全威脅包括： 數(shù)據(jù)威脅在計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)是主體，在運(yùn)行的過(guò)程中數(shù)據(jù)存在許多漏洞，從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題。例如：一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)，比較容易篡改，破壞數(shù)據(jù)的完整性，攻擊者利用數(shù)據(jù)內(nèi)容的一部分，窺探內(nèi)網(wǎng)數(shù)據(jù)、泄漏數(shù)據(jù)，利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)漏洞，植入木馬、病毒，導(dǎo)致系統(tǒng)數(shù)據(jù)癱瘓，無(wú)法支持計(jì)算機(jī)網(wǎng)絡(luò)安全的運(yùn)行。 外力破壞外力破壞是計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行不可忽視的危險(xiǎn)部分，最主要的是人為破壞，如：病毒、木馬的攻擊等。目前，這種類型對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響比較大，一些網(wǎng)站病毒、郵件病毒等方式的攻擊者，對(duì)用戶的計(jì)算機(jī)進(jìn)行攻擊、病毒植入時(shí)，大多是因?yàn)橛脩舨僮髁?xí)慣的不正確，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞。例如：用戶瀏覽外部網(wǎng)站很長(zhǎng)一段時(shí)間，但不能對(duì)病毒進(jìn)行定期處理，攻擊者可以很容易地找出用戶的瀏覽習(xí)慣，添加此類鏈接的特性攻擊網(wǎng)站，當(dāng)用戶點(diǎn)擊該網(wǎng)站時(shí)，病毒立即開(kāi)始攻擊客戶的計(jì)算機(jī)。 環(huán)境威脅在共享環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)，資源受到威脅。環(huán)境是計(jì)算機(jī)網(wǎng)絡(luò)操作的基礎(chǔ)，用戶在訪問(wèn)外部網(wǎng)絡(luò)時(shí)必須經(jīng)過(guò)網(wǎng)絡(luò)環(huán)境，所以是有顯著的環(huán)境威脅的，當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，該攻擊在網(wǎng)絡(luò)環(huán)境中非常強(qiáng)，攻擊者通過(guò)網(wǎng)絡(luò)環(huán)境設(shè)置主要攻擊范圍，特別是對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)交互的數(shù)據(jù)包進(jìn)行攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)受到損壞，對(duì)環(huán)境的威脅，必須發(fā)揮防火墻技術(shù)的全部功能。2防火墻的基本原理 防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它按照規(guī)定的安全策略對(duì)網(wǎng)絡(luò)之間進(jìn)行傳輸?shù)臄?shù)據(jù)包進(jìn)行檢查，然后決定是否允許該通信，將內(nèi)部網(wǎng)對(duì)外部網(wǎng)屏蔽信息、運(yùn)行狀況和結(jié)構(gòu)，從而使內(nèi)部網(wǎng)絡(luò)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問(wèn)和過(guò)濾不良信息目的。防火墻本質(zhì)上是一種隔離控制技術(shù)，其核心思想是在網(wǎng)絡(luò)中不安全的環(huán)境，構(gòu)建一個(gè)相對(duì)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。從邏輯上講它既是一個(gè)解析器又是一個(gè)限制器，它要求所有傳入和傳出的網(wǎng)絡(luò)數(shù)據(jù)流必須驗(yàn)證和授權(quán)并且將外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)在邏輯上分離出來(lái)。防火墻可以全部是硬件，也可以全部是軟件，它也可以是硬件和軟件兩者。防火墻與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間的關(guān)系如圖1。圖1 防火墻的作用 “木桶”理論在網(wǎng)絡(luò)安全的應(yīng)用網(wǎng)絡(luò)安全概念有一個(gè)“木桶”理論：一只水桶能裝水并不取決于桶有多高，而是取決于高度和最短的那塊木板的桶組成。防火墻理論的應(yīng)用是“木桶”。在一個(gè)環(huán)境中沒(méi)有防火墻，網(wǎng)絡(luò)安全只能體現(xiàn)在許多主機(jī)的功能，所有主機(jī)都必須共同努力，以實(shí)現(xiàn)更高程度的安全性。防火墻可以簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全是加強(qiáng)防火墻系統(tǒng)，而不是分布在內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)上。 內(nèi)部網(wǎng)絡(luò)安全性的強(qiáng)化防火墻可以限制未授權(quán)的用戶，如防止黑客或者破壞網(wǎng)絡(luò)的人進(jìn)入內(nèi)部網(wǎng)絡(luò)，不讓不安全的脆弱性的服務(wù)（如NFS）和沒(méi)有進(jìn)行授權(quán)的信息或通信進(jìn)出網(wǎng)絡(luò)，并抵抗從各個(gè)地方和路線來(lái)的攻擊。 將網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行記錄、監(jiān)控作為一個(gè)單一的網(wǎng)絡(luò)接入點(diǎn)，所有傳入和傳出的信息必須通過(guò)防火墻，防火墻是非常適合收集系統(tǒng)和網(wǎng)絡(luò)的使用和誤用，并且將記錄信息。在防火墻上可以很容易地監(jiān)控網(wǎng)絡(luò)安全，并且報(bào)警。 限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)防火墻來(lái)確定合法用戶的用戶認(rèn)證。通過(guò)事先確定的檢查策略，以決定哪些內(nèi)部用戶可以使用該服務(wù)，可以訪問(wèn)某些網(wǎng)站。 限制暴露用戶點(diǎn)，阻止內(nèi)部攻擊用防火墻將內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，它使網(wǎng)段隔離，以防止網(wǎng)絡(luò)問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)，這限制了本地焦點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題的全球網(wǎng)絡(luò)上傳播的影響，同時(shí)保護(hù)網(wǎng)絡(luò)從該網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻部署為一個(gè)NAT邏輯地址，因此防火墻可以使地址空間短缺的問(wèn)題得到緩解，并當(dāng)一個(gè)組織變革帶來(lái)的ISP重新編號(hào)時(shí)消除麻煩。作為一個(gè)單一的網(wǎng)絡(luò)接入點(diǎn)，所有傳入和傳出的信息必須經(jīng)過(guò)防火 虛擬私人網(wǎng)絡(luò)防火墻還支持互聯(lián)網(wǎng)服務(wù)功能的企業(yè)網(wǎng)絡(luò)技術(shù)體系VPN。VPN將企業(yè)在局域網(wǎng)還是在世界各地的專用子網(wǎng)的地理分布，有機(jī)地聯(lián)系起來(lái)，形成一個(gè)整體。不僅省去了專用通信線路，而且還提供技術(shù)支持，信息共享。3防火墻的類型在設(shè)計(jì)中的防火墻，除了安全策略，還要確定防火墻類型和拓?fù)浣Y(jié)構(gòu)。根據(jù)所用不同的防火墻技術(shù)，我們可以分為四個(gè)基本類型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，代理服務(wù)器型和監(jiān)視器類型。包過(guò)濾防火墻產(chǎn)品是基于其技術(shù)網(wǎng)絡(luò)中的子傳輸技術(shù)在初始產(chǎn)品。網(wǎng)絡(luò)上的數(shù)據(jù)傳輸是以“包”為單位的，數(shù)據(jù)被劃分成大小相當(dāng)?shù)陌?，每個(gè)包將包含特定信息，如地址數(shù)據(jù)源，目的地址，TCP / UDP源端口和目的端口等。防火墻通過(guò)讀取地址信息來(lái)確定“包”是否從受信任的安全站點(diǎn)，如果發(fā)現(xiàn)來(lái)自不安全站點(diǎn)的數(shù)據(jù)包，防火墻將這些數(shù)據(jù)阻擋在外部。 網(wǎng)絡(luò)地址轉(zhuǎn)換是把IP地址轉(zhuǎn)換成臨時(shí)的、外部的，注冊(cè)的D類地址的標(biāo)準(zhǔn)方法。它允許擁有私有IP地址的內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)。這也意味著，用戶不能獲得每個(gè)設(shè)備的IP地址注冊(cè)為網(wǎng)絡(luò)。當(dāng)內(nèi)網(wǎng)通過(guò)安全的網(wǎng)卡訪問(wèn)外網(wǎng)時(shí)，會(huì)有一個(gè)映射記錄產(chǎn)生。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，所以地址和端口通過(guò)不安全網(wǎng)絡(luò)卡和外部網(wǎng)絡(luò)連接的偽裝，所以它隱藏了真正的內(nèi)部網(wǎng)絡(luò)地址。(Proxy)型代理防火墻同樣也可以被稱為代理服務(wù)器，它比包過(guò)濾產(chǎn)品更加安全，并已開(kāi)始開(kāi)發(fā)應(yīng)用程序?qū)?。在客戶端和服?wù)器之間的代理服務(wù)器位于，完全阻斷兩者的數(shù)據(jù)交換。從客戶端的角度來(lái)看，代理服務(wù)器充當(dāng)真實(shí)服務(wù)器，從服務(wù)器運(yùn)行時(shí)，代理服務(wù)器是一個(gè)真正的客戶端。當(dāng)客戶端需要使用服務(wù)器上的數(shù)據(jù)，第一數(shù)據(jù)請(qǐng)求發(fā)送到代理服務(wù)器，然后代理服務(wù)器獲得數(shù)據(jù)到服務(wù)器響應(yīng)請(qǐng)求，然后由代理服務(wù)器將數(shù)據(jù)發(fā)送給客戶端。由于在外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)聯(lián)通，這對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，外部的惡意破壞不足以傷害到。監(jiān)控防火墻是新一代的產(chǎn)品，最初的防火墻定義實(shí)際上已經(jīng)被這一技術(shù)超越了。防火墻可以監(jiān)視每一層活性，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，在監(jiān)視器防火墻上的數(shù)據(jù)的分析的基礎(chǔ)上，可以有效地確定各層的非法侵入。與此同時(shí)，這種檢測(cè)防火墻產(chǎn)品一般還具有分布式探測(cè)器，這些探測(cè)器放置在節(jié)點(diǎn)、各種應(yīng)用服務(wù)器和其它網(wǎng)絡(luò)之間，不僅可以檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)從內(nèi)部惡意