網(wǎng)絡(luò)防火墻安全建設(shè)論文

導(dǎo)語：網(wǎng)絡(luò)防火墻安全建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、防火墻的主要技術(shù)手段

根據(jù)當(dāng)今世界防火墻技術(shù)的發(fā)展歷史，防火墻的主要技術(shù)手段主要有“包過濾技術(shù)”、“應(yīng)用技術(shù)”、“狀態(tài)監(jiān)測技術(shù)”三種，盡管由于安全防護(hù)的需要，產(chǎn)生出了其他安全防御技術(shù)，但其根本都由這三類技術(shù)進(jìn)行演變綜合而來。

1、包過濾技術(shù)。當(dāng)前我們網(wǎng)絡(luò)采用的是IPV4技術(shù)，因此網(wǎng)絡(luò)數(shù)據(jù)均是通過IP地址進(jìn)行尋址傳送的，所以包過濾技術(shù)也就是通過檢測IP數(shù)據(jù)包目的地址和源地址是否合法的來對數(shù)據(jù)進(jìn)行放行或者予以限制，那么這個“合法”通常是指管理員制定的一些網(wǎng)絡(luò)規(guī)則。其實(shí)思科和華為公司生產(chǎn)的交換機(jī)就提供了一些基本的包過濾功能，相當(dāng)也就能實(shí)現(xiàn)一些簡單的網(wǎng)絡(luò)防護(hù)功能。

2、應(yīng)用技術(shù)。此類技術(shù)也是針對當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)傳遞的一個特性發(fā)展而來的。我們都知道TCP/IP的第四層為運(yùn)輸層，數(shù)據(jù)要進(jìn)行可靠傳輸必須在該層建立可靠連接，所以應(yīng)用技術(shù)就是通過防火墻將這個可靠連接分割成兩個連接，分別為防火墻到服務(wù)器和防火墻到客戶端的連接，所有數(shù)據(jù)傳遞均需通過防火墻進(jìn)行檢測，然后再確定是否放行。這個連接的分割對數(shù)據(jù)而言是透明的，并不應(yīng)影響數(shù)據(jù)的傳送。這種技術(shù)打破了傳統(tǒng)的客戶端/服務(wù)器的這種傳輸模式。

3、狀態(tài)監(jiān)測技術(shù)。由于網(wǎng)絡(luò)的攻擊的復(fù)雜性，那么單一的監(jiān)測方式往往并不能有效的解決網(wǎng)絡(luò)威脅，所以狀態(tài)監(jiān)測技術(shù)是以連接狀態(tài)為基準(zhǔn)，將同一連接的所有數(shù)據(jù)包看成是一個完整的數(shù)據(jù)流，建立一個會話狀態(tài)表，對這個數(shù)據(jù)流的整個內(nèi)容進(jìn)行監(jiān)視和檢測，且以后同一類連接的數(shù)據(jù)傳送都必須以這個會話狀態(tài)表為參照標(biāo)準(zhǔn)，一旦發(fā)現(xiàn)不同于該狀態(tài)表的數(shù)據(jù)都將進(jìn)行截留。因此狀態(tài)監(jiān)測技術(shù)其實(shí)是包過濾技術(shù)和應(yīng)用技術(shù)的一種結(jié)合體，在防御強(qiáng)度上也遠(yuǎn)高于前述兩種。

二、企業(yè)安全網(wǎng)絡(luò)的建設(shè)

我們當(dāng)前常用的防火墻的種類和技術(shù)已經(jīng)如上所述，企業(yè)可以根據(jù)自己的防御需求就軟件防火墻和硬件防火墻進(jìn)行初步的選擇。對網(wǎng)絡(luò)安全要求不高，且企業(yè)計算機(jī)性能尚可的情況下，建議使用軟件防火墻，成本相對較低，且易于維護(hù)。如果公司網(wǎng)絡(luò)規(guī)模較大，安全要求較高，資金預(yù)算足夠且內(nèi)建了相關(guān)數(shù)據(jù)服務(wù)器的情況下，此時建議在內(nèi)外網(wǎng)的連接之間增加硬件防火墻，以加強(qiáng)網(wǎng)絡(luò)防護(hù)，避免網(wǎng)絡(luò)風(fēng)險。通常硬件防火墻工作所在的OSI協(xié)議層越高價格相應(yīng)的也就越貴，所以硬件防火墻采用的技術(shù)不同價格也就存在很大的差異，企業(yè)應(yīng)當(dāng)根據(jù)實(shí)際的防御需求采購合適的防火墻。

作者：楊文浩朱瑋單位：南昌大學(xué)軟件學(xué)院