2ol5.3 浅谈防火墙在网络安全中应用 刘清毅 (陕西广播电视大学资源建设与现代教育技术中心,陕西西安,710068) 摘要:网络是一个复杂的环境系统,既要保证其访问的便捷性,又要考虑对其进行安全的控制,随着网络业务的迅速发展,必 须扩展其内网应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客 户接入、远程办公接入等。接入的网络环境也越来越复杂,接入的场景更是千变万化。如何在保证内网安全的前提下,确保处于 各种复杂的网络环境以及接入场景的合法用户,能够安全接入内网,对现代网络提出了新的挑战。为了提供所需级别的保护, 网络需要的是有安全策略的防火墙来防止非法用户访问内部网络上的资源和非法向外传递内部信息。 关键词:Internet;防火墙:网络安全 Application of the firewall in network security Liu Qingyi (Shaanxi radio and television university resources construction and modern educational technology center of Xi’an,710068) Abstract:The network iS a complex environmenta1 system,both to ensure their access to convenient, considering safety control for it,with the rapid development of the network business,must expand the application of Intranet resources and data access areas,to meet the needs of remote access to more and more,such as branch access,partners,clients access access,remote office access etc..Access network environment becomes more and more complex,the scene is the ever—changing access.How to guarantee the network safe,to ensure that in a variety of complex network environment and the legitimate user access to the scene,can safely access network,presents a new ehallenge to the modern network.In order to provide the required level of protection,the network needs is a gafe strategy of firewal1 to prevent illegal user access to the internal network resources and illegal transfer outward internal information. Keywords:Internet:network security firewal1 随着互联网的不断创新以及云计算和虚拟化技术的不断 上就是一种隔离技术,对两个网络通讯时执行的一种访问控制, 演进,传统单一的网络技术方案发生了变化,从技术的发展路线 它能允许你“同意”的人和数据进入你的网络,同时将你“不同意” 到市场应用逐渐分化为数据中心网络和传统基础网络。基于简 的人和数据拒之门外,最大限度地保护你的网络不受黑客的攻 单连接的内部网络的内部业务处理、办公自动化等发展到基于 击。 复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网 防病毒软件主要负责电脑内部的问题不同,防火墙的任务, (Internet)的企业级计算机处理系统和世界范围内的信息共享。 更多的是处理来自网络外面的威胁。防火墙就像边界卫士一样, 系统的连接能力也在不断的提高。但在连接能力信息、流通能力 每时刻要面对黑客的入侵。在内部网和外部网之间、专用网与公 提高的同时,基于网络连接的安全问题也日益突出,整体的网络 共网之间的界面上构造的保护屏障.是一种获取安全性方法的 安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构 形象说法,它是一种计算机硬件和软件的结合,使Internet与 安全、网络系统安全、应用系统安全问题,应该像每家每户的防火 Intranet之间建立起一个安全网关(Security Gateway),从而 防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为 保护内部网免受非法用户的侵入,防火墙主要由服务访问、 目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成 验证工具、包过滤和应用网关4个部分组成,防火墙分为软件防 极大的损失。而防火墙就是指将内部网和公众访问网分开,实际 火墙和硬件防火墙两种。 71 f 目 2015.3 软件防火墙是安装在个人计算机平台的软件产品,它通过在 位的防火墙设备进行统一集中管理,提供对防火墙设备的实时监 操作系统底层工作来实现网络管理和防御功能的优化。单独使用 控、安全事件分析、配置文件与系统文件的统一管理等,支持对防 软件系统来完成防火墙功能,将软件部署在系统主机上,其安全 火墙的系统日志、域间访问控制日志、攻击日志、NAT日志、流量 性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统 日志等的收集与报告分析。防火墙管理系统提供对整网安全事件 性能。其一般用于单机系统或是极少数的个人计算机,很少用于 的实时监控,集中采集并显示各种DDos攻击、用户访问控制等 计算机网络中,由于本身的工作原理造成了它不具备内网具体化 事件,实时显示近期安全事件状态,并提供基于攻击事件、源地 的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病 址和目的地址等的Top N列表,为用户提供当前网络安全事件 毒侵入、不能针对具体的IP和MAC做上网控制等,其主要的功能 的概览信息,帮助管理员直观的了解最新安全状况,易于实时监 在于对外。一般可以是包过滤机制。包过滤过滤规则简单,只能检 控正在发生的安全事件,对安全威胁做出快速排查,保障整网的 查到第三层网络层,只对源或目的IP做检查,防火墙的能力远不 及状态检测防火墙,连最基本的黑客攻击手法IP伪装都无法解 决,并且要对所经过的所有数据包做检查,所以速度比较慢,因此 很少用于计算机网络中。 硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行 这些功能,能减少CPU的负担,使路由更稳定,是保障内部网络安 全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络 的安全。硬件防火墙作为企业安全的屏障所起的作用是巨大的, 正是因为防火墙程序和过滤规则的硬件化芯片化,所以硬件防火 墙在处理并发数和连接数比较多的情况下优势更加明显,平时出 现问题的机率也比较低。一方面可以阻止来自因特网的、对受保 护网络的未授权访问,另一方面允许内部网络用户对因特网进行 Web访问或收发E-mail等。防火墙也可以作为一个访问因特网 的权限控制关口,如允许组织内的特定主机可以访问因特网。现 在,许多防火墙同时还具有一些其它特点,如进行身份鉴别、对信 息进行安全(加密)处理。防火墙不单用于控制因特网连接,也可 以用来在组织网络内部保护大型机和重要的资源(如数据)。对受 保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要 访问受保护的数据,也要经过防火墙。 美国国家网络安全联盟推荐,通过物理方式断开互联网连接 是保护计算机最安全的办法。硬件防火墙能够丝毫不影响网络服 务和使用,实现无缝自动断网和重连接,最有效地保护计算机的 安全。IP地址被保护和隐藏起来,不显示给外界,任何攻击、侦 查、广告或恶意软件更改都接触不到它。据统计,有超过30%的网 络流量是恶意攻击带来的,平均每台计算机每小时会被第三方扫 描7到10次。硬件防火墙可将计算机的65536个端口全部封锁 监控。对于活跃的网络连接,封锁所有的端口或切入点是保护计 算机至关重要的方式 硬件防火墙支持敏感文件类型过滤,能够对网络各关键部 安全性。提供安全区域划分、静态/动态黑名单功能、MAC和IP 绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于 状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP 欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、 DNS flood、地址扫描和端口扫描等多种恶意攻击。通过对安全事 件的深入分析和总结,利于管理员直接了解网络中的攻击行为与 活动,为未来网络非法攻击、非法访问进行严格界定,利于对网络 安全状况做出预测,提升安全管理员在整网安全管理的预见力, 以便有针对性地部署安全策略。防火墙管理系统可从异常流量日 志、黑名单日志、NTA日志、域问访问控制日志、MPLS日志、SSL VPN日志、系统操作日志等多方面来对网络安全事件进行跟踪与 分析,直观了解安全事件的来源、目的地等的行为状况,详细记录 攻击事件、异常流量、非法访问、非法系统操作等,帮助管理员了 解到网络攻击、异常流量状况,并对用户操作进行跟踪,便于事后 审计和追踪。 硬件防火墙还能实现全面的流量管理:支持多种种应用协 议的识别,能精确检测迅雷、QQ、MSN、股票软件等应用程序,提 供基于用户基于应用的限速、阻断等多种控制方式,保障网络核 心业务正常运行海量网站过滤:URL库高达6500万条,搜索引 擎关键字过滤、页面关键字过滤,强大的反垃圾邮件能力:保护 企业邮件服务器安全;根据邮件正文、标题、关键字、附件属性来 控制的邮件行为,避免邮件泄密和不安全因素的引入。细致的行 为审计:可对各种P2P/IM、网络游戏、邮件和数据传输等行为提 供细致的监控和记录,实现细粒度的网络行为审计管理。 参考文献 [1]刘浩:王超::浅析防火墙在网络安全中的应用[J]:硅 谷:2011年14期 [2]商庆伟::防火墙在网络安全中的应用研究[J]:电脑知识 2015.3 网络与信息I程 (I-接82页) 2)房间管理模块的设计。房建管理模块往往是要进行三级 析了两种模式的高校住房信息系统的设计,今后应该不断加强这 管理。所谓三级管理就是要按照区域、楼层号以及房间号来进行 方面的研究。 管理。通过这样的方式要能够查询到所有的方便,对于那些没有 分配或者是已经分配的住房能够按照区域、楼栋号以及房号来查 询到。在把未满的房建分配给指定教师的时候,系统要能够自动 参考文献 杨晓林.Delphi 6实用编程技术[M].北京: 计算租金,对于房建所容纳的最大人数、每栋楼的用户分布图等 [1]曹智威,卞志强,内容能够进行来进行科学分析。 中国水利水电出版社,2002. 2]李晓拮,张晓辉,李祥胜.SOL Server 2000管理及应用系统 3)历史查询及权限控制。历史查询是其中的重要功能。高校 【开发[M].北京:人民邮电出版社,2002. 住房管理中人员流动性较大。这就需要加强历史查询,要对房间 phi+SQL Server数据库应用系统开发与实 分配变动情况、教师异动历史数据、财务处房租变动历史记录数 [3]启明工作室.Del据等要保证完整。在查询的过程中能够及时有效地查询到。这才 例[M].北京:人民邮电出版社,2005. 4]仲秋雁,刘友德.管理信息系统[M].大连:大连理工大学出 能实现科学高效地管理。实际工作过程中还需要高度重视权限控 [版社,2000. 制。系统对于不同的用户要制定出不同的级别权限。这样有助于 保证数据的安全。 (3)实际运行。在工作过程中系统的实现主要是通过ASP技 作者简介 姓名:李佳(出生年月1981—09—30),性别:女,民族:汉,籍 术来实现的,系统通常是要运行在Win 2000以上操作系统、客户 端则要在Windows98以上及IE5.0以上浏览器。 贯:天津市,学历:硕士研究生,职称:研究实习员,研究方向:高 校资产、土地、住房管理,校园建筑、景观规划 住房管理信息系统设计是一项非常重要的工作,本文重点分 (上接84页) 综上所述,数字化门诊的建立可改善门诊环境和接种秩序, [5]王步还,廖学舟,刘松,等.鄂州市实施儿童预防接种信息化 管理系统建设效果分析[J].公共卫生与预防医学,2007, 18(4):38-40. 优化接种流程,提高工作效率及服务水平,节约家长及工作人员 的时间,有效避免拥挤及差错的发生,满足更高层次的服务需求。 参考文献 [1]刘晓丹,张立丰.数字化预防接种门诊建设实践[J].中国 公共卫生管理,2013,29(3):385—386. [6]杜国明.数字化预防接种门诊建设的探讨[J].实用预防医 学,2010,17,(12):2539—2540. [7]杨永宏.预防接种信息化系统在乡镇的实践体会[J].江苏 卫生保健,2009,11(6):19-20. [2]严瑾,李秋华,段洁,等.上海市某社区医院儿童预防接种信 [8]黄芳.深圳市2011年与2005年预防接种门诊设置情况比 息化管理效果分析[J].上海预防医学杂志,2011,23(9): 469-470. 较[J].中国公共卫生管理,2013,29(1):77—79. [9]陈天关,吴颖.沈阳市大东区儿童预防接种信息化建设[J]. 海峡预防医学杂志,2008,14(2):83—84. [3]吴殚,王凤双,肖雷.北京市顺义区儿童预防接种信息化管 理系统运行效果探讨[J].首都公共卫生,2011,5(1): 42-43. [10]魏雄杰陈俊杰刘莉红宜春市儿童预防接种门诊数字化 试点建设的效果分析[J].中国当代医药2013,21(8): 150—151、 】57. [4]曹雷.儿童预防接种信息化管理现状问题及发展[J].中国 计划免疫,2007;13(5):491—494. 73} 口
