网络防火墙安全建设论文

时间:2022-02-13 04:36:53

网络防火墙安全建设论文

一、防火墙的主要技术手段

根据当今世界防火墙技术的发展历史,防火墙的主要技术手段主要有“包过滤技术”、“应用技术”、“状态监测技术”三种,尽管由于安全防护的需要,产生出了其他安全防御技术,但其根本都由这三类技术进行演变综合而来。

1、包过滤技术。当前我们网络采用的是IPV4技术,因此网络数据均是通过IP地址进行寻址传送的,所以包过滤技术也就是通过检测IP数据包目的地址和源地址是否合法的来对数据进行放行或者予以限制,那么这个“合法”通常是指管理员制定的一些网络规则。其实思科和华为公司生产的交换机就提供了一些基本的包过滤功能,相当也就能实现一些简单的网络防护功能。

2、应用技术。此类技术也是针对当前网络数据传递的一个特性发展而来的。我们都知道TCP/IP的第四层为运输层,数据要进行可靠传输必须在该层建立可靠连接,所以应用技术就是通过防火墙将这个可靠连接分割成两个连接,分别为防火墙到服务器和防火墙到客户端的连接,所有数据传递均需通过防火墙进行检测,然后再确定是否放行。这个连接的分割对数据而言是透明的,并不应影响数据的传送。这种技术打破了传统的客户端/服务器的这种传输模式。

3、状态监测技术。由于网络的攻击的复杂性,那么单一的监测方式往往并不能有效的解决网络威胁,所以状态监测技术是以连接状态为基准,将同一连接的所有数据包看成是一个完整的数据流,建立一个会话状态表,对这个数据流的整个内容进行监视和检测,且以后同一类连接的数据传送都必须以这个会话状态表为参照标准,一旦发现不同于该状态表的数据都将进行截留。因此状态监测技术其实是包过滤技术和应用技术的一种结合体,在防御强度上也远高于前述两种。

二、企业安全网络的建设

我们当前常用的防火墙的种类和技术已经如上所述,企业可以根据自己的防御需求就软件防火墙和硬件防火墙进行初步的选择。对网络安全要求不高,且企业计算机性能尚可的情况下,建议使用软件防火墙,成本相对较低,且易于维护。如果公司网络规模较大,安全要求较高,资金预算足够且内建了相关数据服务器的情况下,此时建议在内外网的连接之间增加硬件防火墙,以加强网络防护,避免网络风险。通常硬件防火墙工作所在的OSI协议层越高价格相应的也就越贵,所以硬件防火墙采用的技术不同价格也就存在很大的差异,企业应当根据实际的防御需求采购合适的防火墙。

作者:杨文浩朱玮单位:南昌大学软件学院