摘要:随着计算机网络的飞速发展,Internet为人们的工作、学习和生活带来了巨大的便利。与此同时,网络安全的重要性也是不容忽视的。而在当前形势下用来保证网络安全的一种非常关键的措施就是防火墙技术,通过防火墙的应用可以避免未经授权的用户对于网络的非法访问,从而避免网络中的重要信息被恶意篡改和泄露,并且,也能够保证合法用户能够不受妨碍地访问网络内部的资源。因此,进行关于Internet防火墙系统的设计的研究具有非常深远的意义,能够使网络安全性能得到极大程度的提高。 关键词:Internet 防火墙系统 设计 一、引言 随着Internet的不断发展和广泛普及,计算机网络的共享性、开放性和互联程度也正在得到不断的扩大,一系列的网络新业务也正在逐渐出现,主要包括数字货币、电子政务、电子商务、网上购物、网上银行等等,网络安全问题也变得愈加值得重视。处理网络安全问题的一个非常关键的途径就是在内部网和外部网之间进行防火墙的设置,所以,研究防火墙技术显得尤为重要。 二、Internet和网络安全问题概述 Internet在刚开始出现的时候是由大学和科研机构应用的,后来逐渐进入到社会的各个行业之中。在当今的信息化时代,Internet已经和人们的日常生活紧密的联系起来,同时,海量的机密信息也正在通过Internet进行传送,在这一大背景下,也出现了许多和Internet相关的网络安全问题。主要包括以下几个方面: 第一,企业不具备较强的网络安全意识。目前企业局域网内部利用的计算机操作系统仍然具备许多不安全的因素,许多高风险的网络服务对外开放,但是并未采取相对完善的网络安全防范方法,从而导致企业的大部分主机面临着潜在的网络安全威胁,为不法侵害人员提供了方便的入口。 第二,网络黑客越来越多。在Internet得到广泛使用的背景下,网络黑客也随之出现,网络黑客已经在国际范围内广泛分布,他们的入侵方式也正在变得更加高明。黑客能够使用在Internet上的众多攻击网络和系统安全漏洞的小程序实现对于网络的攻击,也能够通过众多的专门的黑客站点实现对于网络的攻击。 第三,内部攻击值得关注。在网络安全问题中,内部攻击问题占据着非常巨大的比例,内部攻击者对于网络系统的有用信息比外部攻击者更加掌握,能够更加方便地进行攻击,从而会带来更加严重的攻击后果。然而,网络管理人员通常会忽视这些内部攻击。 三、Internet防火墙系统的总体结构 Internet防火墙系统的总体结构包括两个包过滤路由器和一个堡垒主机,由于这种系统支持应用层和网络层的安全功能,因此,这是一种非常安全的防火墙系统。Internet防火墙系统的堡垒主机中包括WWW、Email、FTP代理服务器、日志系统、身份认证系统、加密系统。同时,堡垒主机位于外部网和内部网之间。具体来说,Internet防火墙系统的总体结构如下所述。 第一,Internet防火墙系统的第一道防线就是包过滤路由器,这一路由器预先检查进入内部网的通信。同时,包过滤路由器利用包过滤规则来实现数据包的转发或丢弃。包过滤路由器的包过滤规则为:内部网络上的主机对于外部网络可以实现直接访问,而外部网络上的主机只能够限制性的访问内部网络的主机,同时,必须对于源路由选项的数据包和假冒缓冲区内主机地址的数据包进行阻塞设置。 第二,缓冲区(DMZ),这是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。 第三,堡垒主机,这是在内部网和缓冲区之间所设置的网关,内部网和缓冲区之间的所有通信都一定要通过堡垒主机。保证堡垒主机的安全运转可以为Internet和内部网之间的信息交换打下坚实的基础。 第四,堡垒主机连接缓冲区的网卡,为这块网卡配置的IP地址必须和缓冲区内主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。 第五,堡垒主机连接内部网的网卡,为这块网卡配置的IP地址必须和内部网主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。 四、Internet防火墙系统的特点 Internet防火墙系统有利于解决网络安全问题,它的特点如下所述。 第一,非法入侵者为了能入侵内部网一定要突破三个不同的设备,也就是外部路由器、堡垒主机、内部路由器。 第二,因为外部路由器仅仅将堡垒主机的存在通告给外部网,所以,能够确保内部网对外是“不可见”的,与此同时,必须是缓冲区网络上选定的系统才可以向外部网开放。 第三,因为堡垒主机的存在,内部网用户为了实现和外界之间的通信,必须借助于堡垒主机上的代理系统。 五、结束语 综上所述,本文进行了关于Internet防火墙系统的设计的研究。但是,仅仅依靠防火墙技术来保障网络安全是远远不够的,还必须通过一些其它技术和非技术的因素来进行网络安全的保障,例如,还必须进一步应用信息加密技术、设定适当的网络安全法律法规、增强网络管理使用人员的安全意识等等。希望通过本文的研究,能够为Internet时代的网络安全问题的解决提供一定的借鉴。 参考文献: [1] 林晓东,杨义先,马严,王仲文. Internet防火墙系统的设计与实现[J]. 通信学报,1998,(01) . [2] 陈关胜. 防火墙技术现状与发展趋势研究[A]. 信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C],2011 [3] 贾志高,周以琳. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J]. 甘肃科技,2009,(18) [4] 余志高,周国祥. 入侵检测与防火墙协同应用模型的研究与设计[J]. 网络安全技术与应用,2010,(03) . [5] 李彦军,屠全良,郝梦岩. 基于中小企业网络安全的防火墙配置策略[J]. 太原大学学报,2006,(01) [6] 张鸣,高杨. 计算机网络安全与防火墙技术研究[J]. 黄河水利职业技术学院学报,2011,(02) .
摘要:随着计算机网络的飞速发展,Internet为人们的工作、学习和生活带来了巨大的便利。与此同时,网络安全的重要性也是不容忽视的。而在当前形势下用来保证网络安全的一种非常关键的措施就是防火墙技术,通过防火墙的应用可以避免未经授权的用户对于网络的非法访问,从而避免网络中的重要信息被恶意篡改和泄露,并且,也能够保证合法用户能够不受妨碍地访问网络内部的资源。因此,进行关于Internet防火墙系统的设计的研究具有非常深远的意义,能够使网络安全性能得到极大程度的提高。 关键词:Internet 防火墙系统 设计 一、引言 随着Internet的不断发展和广泛普及,计算机网络的共享性、开放性和互联程度也正在得到不断的扩大,一系列的网络新业务也正在逐渐出现,主要包括数字货币、电子政务、电子商务、网上购物、网上银行等等,网络安全问题也变得愈加值得重视。处理网络安全问题的一个非常关键的途径就是在内部网和外部网之间进行防火墙的设置,所以,研究防火墙技术显得尤为重要。 二、Internet和网络安全问题概述 Internet在刚开始出现的时候是由大学和科研机构应用的,后来逐渐进入到社会的各个行业之中。在当今的信息化时代,Internet已经和人们的日常生活紧密的联系起来,同时,海量的机密信息也正在通过Internet进行传送,在这一大背景下,也出现了许多和Internet相关的网络安全问题。主要包括以下几个方面: 第一,企业不具备较强的网络安全意识。目前企业局域网内部利用的计算机操作系统仍然具备许多不安全的因素,许多高风险的网络服务对外开放,但是并未采取相对完善的网络安全防范方法,从而导致企业的大部分主机面临着潜在的网络安全威胁,为不法侵害人员提供了方便的入口。 第二,网络黑客越来越多。在Internet得到广泛使用的背景下,网络黑客也随之出现,网络黑客已经在国际范围内广泛分布,他们的入侵方式也正在变得更加高明。黑客能够使用在Internet上的众多攻击网络和系统安全漏洞的小程序实现对于网络的攻击,也能够通过众多的专门的黑客站点实现对于网络的攻击。 第三,内部攻击值得关注。在网络安全问题中,内部攻击问题占据着非常巨大的比例,内部攻击者对于网络系统的有用信息比外部攻击者更加掌握,能够更加方便地进行攻击,从而会带来更加严重的攻击后果。然而,网络管理人员通常会忽视这些内部攻击。 三、Internet防火墙系统的总体结构 Internet防火墙系统的总体结构包括两个包过滤路由器和一个堡垒主机,由于这种系统支持应用层和网络层的安全功能,因此,这是一种非常安全的防火墙系统。Internet防火墙系统的堡垒主机中包括WWW、Email、FTP代理服务器、日志系统、身份认证系统、加密系统。同时,堡垒主机位于外部网和内部网之间。具体来说,Internet防火墙系统的总体结构如下所述。 第一,Internet防火墙系统的第一道防线就是包过滤路由器,这一路由器预先检查进入内部网的通信。同时,包过滤路由器利用包过滤规则来实现数据包的转发或丢弃。包过滤路由器的包过滤规则为:内部网络上的主机对于外部网络可以实现直接访问,而外部网络上的主机只能够限制性的访问内部网络的主机,同时,必须对于源路由选项的数据包和假冒缓冲区内主机地址的数据包进行阻塞设置。 第二,缓冲区(DMZ),这是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。 第三,堡垒主机,这是在内部网和缓冲区之间所设置的网关,内部网和缓冲区之间的所有通信都一定要通过堡垒主机。保证堡垒主机的安全运转可以为Internet和内部网之间的信息交换打下坚实的基础。 第四,堡垒主机连接缓冲区的网卡,为这块网卡配置的IP地址必须和缓冲区内主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。 第五,堡垒主机连接内部网的网卡,为这块网卡配置的IP地址必须和内部网主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。 四、Internet防火墙系统的特点 Internet防火墙系统有利于解决网络安全问题,它的特点如下所述。 第一,非法入侵者为了能入侵内部网一定要突破三个不同的设备,也就是外部路由器、堡垒主机、内部路由器。 第二,因为外部路由器仅仅将堡垒主机的存在通告给外部网,所以,能够确保内部网对外是“不可见”的,与此同时,必须是缓冲区网络上选定的系统才可以向外部网开放。 第三,因为堡垒主机的存在,内部网用户为了实现和外界之间的通信,必须借助于堡垒主机上的代理系统。 五、结束语 综上所述,本文进行了关于Internet防火墙系统的设计的研究。但是,仅仅依靠防火墙技术来保障网络安全是远远不够的,还必须通过一些其它技术和非技术的因素来进行网络安全的保障,例如,还必须进一步应用信息加密技术、设定适当的网络安全法律法规、增强网络管理使用人员的安全意识等等。希望通过本文的研究,能够为Internet时代的网络安全问题的解决提供一定的借鉴。 参考文献: [1] 林晓东,杨义先,马严,王仲文. Internet防火墙系统的设计与实现[J]. 通信学报,1998,(01) . [2] 陈关胜. 防火墙技术现状与发展趋势研究[A]. 信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C],2011 [3] 贾志高,周以琳. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J]. 甘肃科技,2009,(18) [4] 余志高,周国祥. 入侵检测与防火墙协同应用模型的研究与设计[J]. 网络安全技术与应用,2010,(03) . [5] 李彦军,屠全良,郝梦岩. 基于中小企业网络安全的防火墙配置策略[J]. 太原大学学报,2006,(01) [6] 张鸣,高杨. 计算机网络安全与防火墙技术研究[J]. 黄河水利职业技术学院学报,2011,(02) .