贺兵
摘要:自从计算机面世以来,给人们的生活和生产发展带来了诸多的便利,但计算机网络安全问题也随之而来。面对网络的威胁,人们需要在计算机网络安全中心应用防火墙技术。防火墙技术在实际运用中,可以保护计算机运行的安全、保护人们财产等信息的保密安全等。因此,充分发挥其作用,已逐渐成为一项重要的探索内容。本文通过对防火墙的定义、原理、分类等内容的概述,然后用实际案列来分析网络安全问题的重要性,为解决计算机网络安全问题提供了参考资料。
关键词:防火墙计算机网络安全应用分析
Abstract: Since the advent of computers, it has brought more convenience to people's life and production development. However, computer network security problems also follow. In face of network threats, we need to apply firewall technology in the computer network security center. In practical application, firewall technology can protect the security of computer operation and the confidentiality of people's property and other information. Therefore, giving full play to its role has gradually become an important exploration content. This article summarizes the definition, principle and classification of firewalls, and then uses actual cases to analyze the importance of network security issues, and provides reference materials for solving computer network security issues.
Key Words: Firewall; Computer; Network security; Application analysis
1 防火墙的概念
防火墙的功能主要是对数据包进行过滤,它可以监控和过滤网络上的数据包,从而拒绝发送可疑数据包,但它不能有效区分同意抵制IP的用户,安全性相对较低[1]。
2 防火墙的基本原理
对应图1、图2的字节传输流程,可以分为以下几层。
包过滤(Packet filtering):在网络层次结构中,仅根据IP地址、端口号和包头的协议类型决定是否允许数据包通过。
应用代理(Application Proxy):在应用层工作,编写各种应用代理,实现应用层数据的检测和分析。
状态检测(Stateful Inspection):在2~4层工作,2~4的访问控制模式与1相同,在整个处理过程中,针对的是整个连接,而不是单个数据包。因此,规则表、连接状态表可以判断数据包的通过与否。
完全内容检测(Compelete Content Inspection):在2~7层工作,数据分析主要包括包头信息和状态信息,还包括恢复和分析应用层协议,有效防止混合安全威胁。
3 防火墙的分类
根据实现原理,防火墙技术分为4类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。
3.1 网络级防火墙
通过或失败通常根据每个IP数据包的源地址和目标地址、应用程序、协议和端口来判断。防火墙检查每个规则,直到数据包信息与特定规则一致。当没有需要满足的规则时,防火墙使用基本规则。通常,基本规则是防火墙要求丢弃数据包。通过基于TCP或UDP数据包定义端口号,防火墙可以决定是否允许特定连接,如Telnet和FTP[2-3]。
3.2 應用级网关
应用级网关可以检查传入和传出的数据包,并通过网关复制和传输数据,因此可以防止可靠的服务器和客户端以及不可靠的主机之间的直接连接。应用层网关可以理解应用层中的协议,执行更复杂的访问控制,以及准确的注册和审核[4]。
对于一种特殊的网络应用服务协议,即数据过滤协议,可以分析数据包并编写相关报告。应用程序网关提供对特定环境的严格控制,以方便登录、控制所有输入和输出通信,并防止有价值的程序和数据被盗[5]。
3.3 电路级网关
在受信任的客户端或服务器和不受信任的主机之间使用TCP握手信息确定会话是否合法。电路级网关过滤OSI模型会话层中的数据包。过滤防火墙必须有两层以上。线路级网关代理服务器功能代理服务器是防火墙网关中设置的一种特殊的应用级代码。通过此代理服务,网络管理员可以允许或拒绝特定应用程序或应用程序的特定功能。数据包过滤技术和应用网关使用特定逻辑来决定是否允许特定数据包通过,从而成功隔离防火墙内外的计算机系统[6-7]。
4 XX企业网络安全防火墙技术应用分析
XX企业是一家化学公司。经过多年的努力发展,在信息化建设方面,已经取得了一定的规模。企业的信息化子系统主要有OA办公自动化系统、人事系统、网站服务系统、DNS服务器等,这些内部信息网络系统的构建,覆盖了整个企业所有的生产、管理及经营部门。目前企业网络系统工连接458台电脑、12台服务器、1台路由器和多台交换器,局域网络包括各种办公大楼和各种生产和管理部门,通过网通的200米非专用线路连接到外部网络[8-9]。
4.1 网络拓扑结构
通过现场调查,可知企业的网络拓扑是星星形状的,通过综合调查,绘制了目前网络的网络拓扑,如图3所示。
在整个企业网络运行中,各网络设备的使用和连接方法表述如下。
(1)外部网络通过路由器,主要是企业LAN通过CISCO PIX 525安全硬件防火墙进行连接。
(2)通过配置CISCO 4506系列交换机与主交换机进行连接,主要打开了防火墙和内部网络之间的连接从而实现生产子网的分割。
(3)办公区和服务区的子网,通过配置CISCO 2950型号的思科交换机6系列与主交换机进行连接,主要通过访问防火墙,用于执行生产业务的生产执行系统服务器网络运用于整个内部网络。
(4)管理安全区的网络,也是通过配置子交换机与主交换机进行连接,从而管理和控制企业内部整个网络。
(5)企业的网络连接,主要是通过局域网和网通的200米非专用线路进行连接传输网络。
4.2 网络系统风险评估结果
网络系统的安全包括网络病毒防御、入侵检测系统和入侵防御系统、网络警告和隔离、DMZ 区防护、安全审计等技术。XX企业只使用互联网上常见的防火墙技术来隔离。杀毒服务器部署在服务网络单元中,没有采用防病毒网关技术,所以网络防御功能只限于下载检测防御和计算机的升级中。虽然VLAN在主交换机上有所区别,但网络部分的划分非常混乱,整个网络的拓扑结构非常复杂,结构不是很清楚[10-11]。通过评估,网络层面的风险主要有如下问题。
(1) XX 企业有许多主服务器、数据和核心子网,需要高安全性,但它们没有受到特别保护,或者只是被防火墙隔离,有些顽强的病毒系统的侵入会绕过防火墙的抵御攻击,还有内部局域网的遗漏也会造成网络安全问题。
(2)在防火墙的访问控制规则设置方面,过于谨慎,无法反映计划的安全策略,并为攻击者提供执行攻击的机会。
(3)服务器组与内外网之间的连接没有考虑到不同的安全水平,使用不同的访问控制策略,划分不同的安全水平,并建立DMZ 区域进行保护敏感信息的安全。
(4)子网境内LAN可以互访,若没有对网络安全访问进行防御,同样也会造成严重的安全风险问题。
(5)安全审计系统是企业的网络系统的重要组成部分,一旦缺乏,网络攻击和入侵后,无法记录相关信息并编写系统安全日志报告。因此,快速、全面地了解当前的网络安全形势是无益的。
(6)普通手动数据备份方式的采用,比较落后。没有可感知的数据恢复功能,重要数据无法实时自动备份恢复。
4.3 防火墙部署策略
在XX企业中,企业运行的458台电脑,都是通过网通的公共网络线连接到网络,从而获取网络信息。其中,企业内部邮件服务器,通过企业内的WWW服务器,可以发送和接收邮件向外部世界提供服务。基于企业网络安全的必要性,考虑到XX企业与外部网络信息交换的规模,以及通过各种性价比和实际比较,选择Cisco PIX525硬件防火墙作为网络边界的安全设备[12]。因此,必须设计两个防火墙来保护企业网络。
4.3.1 网络边界的防火墙
边界防火墙是最传统的防火墙,在内部网和外部网的边界上隔离内部网和外部网,保护警戒线的内部网。所有外部服务请求只能在边界防火墙的外部网络卡上处理。收到数据包后,防火墙会对此进行分析。如果请求遵守规则,将通过内部网络卡发送到目标服务主机,而不遵守规则的请求将被拒绝。
4.3.2 生产子网边界的防火墙
从逻辑上讲,防火墙作为分离器、限制器和分析器,可以有效地监控内部网和网络之间的所有活动,并保证内部网络的安全。防火墙用于保护内部生产网络的安全,并有效地控制和监控对生产子网的访问。通过过滤不安全的服务,防火墙可以大幅提高网络安全,减少子网主机的风险。
5 结语
防火墙是保护网络信息安全的重要技术。它正在变得越来越完善,但它不能满足于维持现状。目前,大多数防火墙设置在边界位置上,内网和外网之间还有子网,可以形成防火墙。然而,这种防火墙的缺点是,不仅外部网络,还有内部网络都是一个很大的风险因素。病毒和其他不安全因素将攻击该网络。之前已讨论过防火墙技术是不能完全保证网络的安全性的,因此,为了提高它们的技术水平,需要更多的開发者去关注更严格的保护。
参考文献
[1]刘恩军.计算机网络安全中防火墙技术应用分析[J].网络安全技术与应用,2020(10):56-57.
[2]杨婷.计算机网络安全中的防火墙技术应用分析[J].数字技术与应用,2020(5):25.
[3]王明明,岳文雷,杨振乾.网络安全中的防火墙技术应用分析[J].网络安全技术与应用,2019(9):96-97.
[4]李洁帆.计算机网络安全中的防火墙技术应用分析[J].科技视界,2019(3):23-24.
[5]曾强.基于计算机网络安全中防火墙技术应用分析J].电脑知识与技术,2020(1):54.
[6]姜可.基于网络安全维护的计算机网络安全技术应用分析[J].计算机产品与流通,2020(4):102.
[7]庞新煜.局域网下的计算机网络安全技术应用分析[J].电子元器件与信息技术,2020(1):20.
[8]石明.江西高速集团数据资源集成方案设计与应用[D].南昌:华东交通大学,2018.
[9]曲范.信息系统冗余功效测试和可靠性研究[D].西安:西安工业大学,2017.
[10]郭琬琦.计算机网络安全中的防火墙技术应用探析[J].现代信息科技,2019(9):63-64.
[11]武宁.计算机网络安全中的防火墙技术应用[J].现代商贸工业,2021(3):90.
[12]朱莉.网络信息安全技术在计算机管理中的应用[J].电子世界,2021(5):123-124.
