淺析防火墻技術與網絡安全_百度文庫

1、 淺析防火墻技術與網絡安全大同煤礦集團公司四老溝礦譚尚瑞摘要 文中就信息網絡安全內涵發(fā)生的根本變化9闡述我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性O 論述了網絡防火墻安全技術的分類及其主要技術特征9和防火墻部署原則9并從防火墻部署的位置詳細闡述了防火墻的選擇標準O關鍵詞 網絡安全防火墻技術特征1. 引言21世紀全世界的計算機都將通過If tef f et 聯(lián)到一起9信息安全的內涵也就發(fā)生了根本的變化O 它不僅從一般性的防衛(wèi)變成了一種非常普通的防范9而且還從一種專門的領域變成了無處不在O 網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障9是最先受到人們重視的

2、網絡安全技術9那么我們究竟應該在哪些地方部署防火墻呢? 防火墻有哪些類型? 如何選擇還有如何部署防火墻呢? 這些都是本文要討論的問題O2. 防火墻網絡防火墻技術是一種用來加強網絡之間訪問控制9防止外部網絡用戶以非法手段通過外部網絡進入內部網絡9訪問內部網絡資源9保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備O 它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查9以決定網絡之間的通信是否被允許9并監(jiān)視網絡運行狀態(tài)O 防火墻處于5層網絡安全體系中的最底層9屬于網絡層安全技術范疇O 在這一層上9企業(yè)對安全系統(tǒng)提出的問題是, 所有的IP 是否都能訪問到企業(yè)的內部網絡系統(tǒng)? 如果答案是 是

3、9則說明企業(yè)內部網還沒有在網絡層采取相應的防范措施O根據(jù)防火墻所采用的技術不同9我們可以將它分為四種基本類型, 包過濾型, 網絡地址轉換-NAT , 代理型和監(jiān)測型O2. 1. 包過濾型包過濾型產品是防火墻的初級產品9其技術依據(jù)是網絡中的分包傳輸技術O 網絡上的數(shù)據(jù)都是以 包為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包9每一個數(shù)據(jù)包中都會包含一些特定信息9如數(shù)據(jù)的源地址, 目標地址, TCP /UDP 源端口和目標端口等O 防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 包是否來自可信任的安全站點9一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包9防火墻便會將這些數(shù)據(jù)拒之門外O 系統(tǒng)管理員也可以根據(jù)實際情況靈活制

4、訂判斷規(guī)則O包過濾技術的優(yōu)點是簡單實用9實現(xiàn)成本較低9在應用環(huán)境比較簡單的情況下9能夠以較小的代價在一定程度上保證系統(tǒng)的安全O但包過濾技術的缺陷也是明顯的O 包過濾技術是一種完全基于網絡層的安全技術9只能根據(jù)數(shù)據(jù)包的來源, 目標和端口等網絡信息進行判斷9無法識別基于應用層的惡意侵入9如惡意的Java 小程序以及電子郵件中附帶的病毒O 有經驗的黑客很容易偽造IP 地址9騙過包過濾型防火墻O2. 2. 網絡地址轉化-NAT網絡地址轉換是一種用于把IP 地址轉換成臨時的, 外部的, 注冊的IP 地址標準O 它允許具有私有IP 地址的內部網絡訪問因特網O 它還意味著用戶不許要為其網絡中每一臺機器取得注

5、冊的IP 地址ONAT 的工作過程如圖1所示,在內部網絡通過安全網訪問外部網絡時9將產生一個映射記錄O 系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口9讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接9這樣對外就隱藏了真實的內部網絡地址O 在外部網絡通過非安全網卡訪問內部網絡時9它并不知道內部網絡的連接情況9而只是通過一個開放的IP 地址和端口來請求訪問O OLM 防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全O 當符合規(guī)則時9防火墻認為訪問是安全的9可以接受訪問請求9也可以將連接請求映射到不同的內部計算機中O 當不符合規(guī)則時9防火墻認為該訪問是不安全的9不能被接受9防火墻將屏蔽

6、外部的連接請求O 網絡地址轉換的過程對于用戶來說是透明的9不需要用戶進行設置9用戶只要進行常規(guī)操作即可O2. 3. 代理型代理型防火墻也可以被稱為代理服務器9它的安全性要高于包過濾型產品9并已經開始向應用層發(fā)展O 代理服務器位于客戶機與服務器之間9完全阻擋了二者間的數(shù)據(jù)交流O 從客戶機來看9代理服務器相當于一臺真正的服務器; 而從服務器來看9代理服務器又是一臺真正的客戶機O 當客戶機需要使用服務器上的數(shù)據(jù)時9首先將數(shù)據(jù)請求發(fā)給代理服務器9代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)9然后再由代理服務器將數(shù)據(jù)傳輸給客戶機O 由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道9外部的惡意侵害也就很難傷害到

7、企業(yè)內部網絡系統(tǒng)O代理型防火墻的優(yōu)點是安全性較高9可以針對應用層進行偵測和掃描9對付基于應用層的侵入和病毒都十分有效O 其缺點是對系統(tǒng)的整體性能有較大的影響9而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置9大大增加了系統(tǒng)管理的復雜性O2. 4. 監(jiān)測型監(jiān)測型防火墻是新一代的產品9這一技術實際已經超越了最初的防火墻定義O 監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的, 實時的監(jiān)測9在對這些數(shù)據(jù)加以分析的基礎上9監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入O 同時9這種檢測型防火墻產品一般還帶有分布式探測器9這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中9不僅能夠檢測來自網絡外部的攻

8、擊9同時對來自內部的惡意破壞也有極強的防范作用O 據(jù)權威機構統(tǒng)計9在針對網絡系統(tǒng)的攻擊中9有相當比例的攻擊來自網絡內部O 因此9監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義9而且在安全性上也超越了前兩代產品O安裝防火墻的基本原則是, 只要有惡意侵入的可能9無論是內部網絡還是與外部公網的連接處9都應該安裝防火墻O3. 防火墻的選擇選擇防火墻的標準有很多9但最重要的是以下幾條,3. 1. 總擁有成本防火墻產品作為網絡系統(tǒng)的安全屏障9其總擁有成本(TCO 不應該超過受保護網絡系統(tǒng)(下轉第234頁332 科技信息專題論述淺議新課標下的新型師生觀商丘市第一中學李偉帆新課程標準的制訂Z 使學生的學習發(fā)生了根本性

9、的改變 原來以教師為中心的被動接受式學習轉為以學生為中心的主動合作Z 從多方面獲取信息的探究式學習 學習性質的改變也就需要教師觀學生觀隨之變化 以往的教學大綱注重的是知識的傳授Z 而新課程標準注重的是基本素質的培養(yǎng) 不僅包括最基本的知識的傳授Z 而且更注重的是有利于每一個學生將來的發(fā)展 由于這個本質的變化Z 將使學生的學習觀念發(fā)生變化Z 由此教師的教學觀念也應隨之而改變一樹立新標準下的教師新形象新課程標準的實施對于每一個教師而言Z 既是挑戰(zhàn)又是機遇 作為教師Z 不僅需要在觀念上全面更新Z 在教學上也需要不斷地加強自身各方面的修養(yǎng) 教師是課程實施過程的直接參與者Z 新的課程方案成功與否Z 教師的

10、素質態(tài)度是一個關鍵因素 因此 實施課程改革需要對教師進行培訓Z 使他們形成新思想新觀念新技能新方法新策略改革課堂教學策略的出發(fā)點就是要把國家新一輪基礎教育課程改革的構想有效地轉化為學生學習的實際過程Z 真正將個體生命發(fā)展的主動權還給學生 為此Z 要倡導教學民主Z 建立平等的師生關系Z 幫助學生在體驗探究發(fā)現(xiàn)等框架下自主學習Z 獨立思考_保護他們的探索精神創(chuàng)新精神Z 營造崇尚真知追求真理的氛圍Z 為學生個性的全面發(fā)展創(chuàng)造一個寬松愉快的環(huán)境學校的評價體系包括對教師的評價和對學生的評價 新課程標準下的評價體系首先應遵循以下幾點 評價功能由甄別選拔轉為注重學生發(fā)展評價由注重學生結果轉交為注重學生學習過

11、程要重視學生的自評和互評不僅注重評價的準確性和公正性 更注重對評價的反饋及被評價者對評價的認識和對先前狀態(tài)的改進在評價時注重學生各方面素質的結合等過去評價方式上普遍存在的問題是 僅以考試分數(shù)作為衡量學生成績好壞的惟一標準 教師動不動就給學生. 貼標簽 以考試成績來評價學生是好是壞Z 造成了很多學生對學習的失望 因為因考試成績好而得到鼓勵的往往是少數(shù)Z 大多數(shù)學生不能得到鼓勵_形成失敗的心理 從而喪失了對學習的興趣和動機 有的教師往往不善于發(fā)現(xiàn)學生身上的閃光點 只是揪住學生的弱點不放Z 這也影響了學生健康全面的成長 而新的課程標準則要求教師完全摒棄這種陳舊的評價觀念Z 建立新的評價認識體系Z 遵

12、循課程標準提出的評價總原則二培養(yǎng)新課程標準下的新學生與生產勞動的對象不同Z 教育的對象是人Z 是活的能動體 學生作為教育實踐的對象Z 他不是消極被動的接受改造和塑造Z 卻是能意識到自已是被人改造和塑造的 從而有可能自已參與到教育過程中去Z 與教師共同完成教育的過程 新課程標準更強調合作學習 探究學習 合作不僅是學生與學生的合作Z 也包括學生與教師的合作 在學生自己探究學習的過程中Z 盡管學生是主體Z 但教師的引導作用也是不容忽視的 因此Z 任何一個教育活動都需要教師和學生這兩個能動體的共同完成 這就需要教師重新認識我們的學生Z 根據(jù)他們的身心特點共同進行教學活動新課程標準的基本理念就是要發(fā)展每

13、一位學生 之所以提出這樣的理念Z 是因為認識到了每一個學生都是有潛力可挖掘的 很長一段時間內Z 人們將孩子看作是. 小大人 Z 忽視了他們身心發(fā)展的特點 但他們身上的確蘊藏著各方面發(fā)展的極大可能性Z 教育得當就可以使他們的身心獲得最佳的發(fā)展 傳統(tǒng)的應式教育Z 片面追求考試成績Z 因而抹殺了孩子具有的許多天性 正如有人將我們的教育比作機械化的Z 學生的成長是在同一個模子里_最后的成品也必然是一個模樣的 長期進行這種教育 磨平了學生的. 棱角 Z 學生失去了個性和創(chuàng)造性 正如大多數(shù)報道所盲Z 中國孩子的記憶計算能力遠遠超過外國孩子Z 但在動手操作及創(chuàng)造方面則遠遠不如他們 新課程標準推行正是為了克服

14、這一弊端Z 將學生個體的全面發(fā)展放到一個核心地位 因此教師應以一種平等的態(tài)度對待每一位學生Z 發(fā)掘他們身上的潛力Z 引導其朝著適合自身發(fā)展的方向前進 當然Z 尋找到學生的. 興趣點 后 還要通過各種形式的教育Z 實現(xiàn)學生德智體美勞的全面發(fā)展盡管一直以來都在強調減輕學生的負擔Z 我們的教師也的確這樣作了_但其實學生的負擔并未真正減輕 這是因為單從教師這一方來減少學生的作業(yè)并非是真正的減負 由于考試制度尚未改變Z 因此家長所給的學習任務使學生更喘不過氣來 其實我們的家長并非想讓孩子整天沉浸于作業(yè)之中Z 只是由于社會的壓力Z 升學壓力Z 而使他們做了自己并不想做又不得不做的事 不僅是學業(yè)的負擔Z 更

15、多的學生還要承受為了提高自身素質的壓力Z 諸如學鋼琴練書法等等 雖然促進學生全面發(fā)展Z 提高藝術修養(yǎng)無可厚非Z 但許多家長并不從孩子是否意愿出發(fā)Z 自作主張的讓孩子學這學那Z 許多學生的課余時間因此而喪失Z 根本談不上自由發(fā)展的時問總之Z 新課程標準的推行是關系到國家民族和我們每一個人切身利益的大事 如何有效地實施這一標準Z 需要我們全社會都樹立起一個教育的新理念Z 尤其是新的正確的教師觀與學生觀的樹立(上接第233頁 可能遭受最大損失的成本 以一個非關鍵部門的網絡系統(tǒng)為例Z 假如其系統(tǒng)中的所有信息及所支持應用的總價值為16萬元Z 則該部門所配備防火墻的總成本也不應該超過16萬元 當然Z 對于

16、關鍵部門來說Z 其所造成的負面影響和連帶損失也應考慮在內 如果僅做粗略估算Z 非關鍵部門的防火墻購置成本不應該超過網絡系統(tǒng)的建設總成本Z 關鍵部門則應另當別論3. 2. 防火墻本身是安全的作為信息系統(tǒng)安全產品Z 防火墻本身也應該保證安全Z 不給外部侵入者以可乘之機 如果像馬其頓防線一樣Z 正面雖然牢不可破Z 但進攻者能夠輕易地繞過防線進入系統(tǒng)內部Z 網絡系統(tǒng)也就沒有任何安全性可言了3. 3. 管理與培訓管理和培訓是評價一個防火墻好壞的重要方面 我們已經談到Z 在計算防火墻的成本時Z 不能只簡單地計算購置成本Z 還必須考慮其總擁有成本 人員的培訓和日常維護費用通常會在TCO 中占據(jù)較大的比例 一家優(yōu)秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務3. 4. 可擴充性在網絡系統(tǒng)建設的初期Z 由于內部信息系統(tǒng)的規(guī)模較小Z 遭受攻擊造成的損失也較小Z 因此沒有必要購置過于復雜和昂貴的防火墻產品 但隨著網絡的擴容和網絡應用的增加Z 網絡的風險成本也會急劇上升Z 此時便需要增加具有更高安全性的防火墻產品 好的產品應該留給用戶足夠的彈性空間4_結束語