关于计算机防火墙安全应用思考.docVIP

关于计算机防火墙安全应用思考 　　【摘要】随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。防火墙在维护网络和计算机安全中的作用也日益明显。本文从计算机防火墙的分类和防火墙的应用为重点进行简要分析。 　　【关键词】网络；防火墙 　　一、防火墙的概念 　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据用户的安全政策管制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它是提供信息安全服务，实现网络和信息安全的基础设施。 　　二、计算机防火墙的分类 　　1．包过滤防火墙。顾名思义，包过滤防火墙是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型（TCP，LDP，ICMP或IP Tunnel），TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理；如果与拒绝转发的规则相匹配，则防火墙丢弃数据包；如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是80端口。如果用户的安全策略允许其它人员访问网站，包过滤防火墙可能设置让所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络破坏者造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。 　　2．应用级代理防火墙。应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理在应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的入侵者在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。但这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E-Mail的SMTP/POP3等等。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发；同时升级一种应用时，相应的代理程序也必须同时升级。 　　3．代理服务型防火墙。代理服务器也称链路级网关和TCP通道，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用安全决策的全部信息。 　　4．复合型防火墙。由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方式案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。 　　三、运用Linux防火墙 　　Linux防火墙作为一个功能模块被操作系统所自带，其通过安装特定的防火墙内核，Linux操作系统会对接收到的