1、防火墙技术在局域网中的应用研究孙曙光 班级:计科 0904 学号: 090202078摘 要: 在局域网的安全防护系统中,防火墙技术是一项重要的防护措施 文章在简要论述防火墙技术应用在局域网的类型优点等基础上,对防火墙在局域网的局限性进行了说明,并对其发展趋势作了简单展望。关键词: 网络安全; 防火墙; 局域网当今世界信息化建设飞速发展,尤其以通信、计算机、网络为代表的互联网技术更是日新月异,令人眼花燎乱,目不睱接。由于互联网络的发展,计算机网络在政治、经济和生活的各个领域正在迅速普及。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到 Internet 上,利用网络的信息和资
2、源充分共享。网络已经成为社会和经济发展的强大动力,其地位越来越重要。但每一新兴事物都有他的两面性,自冲击波病毒开始,病毒在互联网疯狂传播所造成的强大杀伤力开始让用户心惊胆战,之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击,用户对此十分忧虑,尤其是局域网用户对此更是苦恼不已。防火墙作为一种安全措施,便显得尤为重要。1 防火墙的概念及功能防火墙,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间
3、,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。2 防火墙应用在局域网中的种类21 系统防火墙现在很多的防火墙都有禁止 ICMP 的设置,而 WindowsXPSP2 自带的防火墙也包括该功能。启用这项功能的设置非常简单:执行“控制面板”“Windows 防火墙” ,点击“高级”选项卡,选择系统中已经建立的 Internet 连接方式(宽带连接) ,点击旁边的“设置”按钮打开“高级设置”窗口,点击“IC-
4、MP”选项卡,确认没有勾选“允许传入的回显请求”,最后点击“确定”即可。22 第三方防火墙在企业局域网中部署第三方的防火墙,这些防火墙都自带了一些默认的“规则” ,可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则,这样可以比较有效地阻止攻击者的恶意扫描。比如以天网防火墙为例:首先运行天网防火墙,点击操作界面中的“IP 规则管理”按钮,弹出“自定义 IP 规则”窗口,去掉“允许局域网的机器用 ping 命令探测 ”选项,最后点击“保存规则 ”按钮进行保存即可。例如创建一条防止 In-eternet 中的主机 ping 的规则,可以点击“增加规则”按钮,输入相关参
5、数就创建成功,然后勾选并保存该规则就可以防止网络中的主机恶意扫描局域网了。23 代理型防火墙它可分为:第一代应用网关(ApplicationGateway)型防火墙。这类防火墙是通过一种代理(Proxy )技术参与到一个 TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。第二代自适应代理(A-daptiveproxy)型防火墙。它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度
6、等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高 10 倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(AdaptiveProxyServer )与动态包过滤器(DynamicPacketfilter) 。3 防火墙应用在局域网的局限性随着防火墙技术的发展,其在信息安全体系中的地位越来越不可替代,网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下,我们也应该清醒地认识到:防火墙并不是“包治百病”的,它对于在局域网中一些特殊的攻击有时也无能为力。所以,我们也应该了解其技术方面的一些局限性,毕竟没有任何一种技术能绝对保证安全。1)
7、不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。假如入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部治理。2) 不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,假如站点答应对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3) 不能防御全部的威胁。防火墙被用来防御已知的威胁,假如是一个很好的防火墙设计方案,就可以防御新的威
8、胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙应用在局域网中的发展趋势尽管在局域网中,防火墙技术有它的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从过滤技术,集防火墙、VPN 为一体,产品的多样化及分布式防火墙四方面来体现。通过数据包检测(对于 IP 包的源地址和目的地址或源端口或目的端口的过滤)保护内部网络不被破坏,并且保护网络服务和重要的私人数据。使防火墙具有病毒防护功能。现在通常被称之为“病毒防火墙” ,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病
9、毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少局域网的损失。42 集防火墙、VPN 为一体它集成了防火墙和 VPN 等安全功能,由于 VPN 集中器可以防置在网络不同的位置中。如可以跟防火墙并行防置,也可以防在防火墙的外围,还可以放在内部等等。位置一:把 VPN 集中器放置在防火墙外面,可以提供额外的安全保障。因为通过 VPN集中器连接企业的内外网,可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说,VPN 集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN 集中器时,这是一种非常行之有效的解决方案。因为若如此配置的话,本地站点
10、并不需要外部因特网接入。如果采用这种配置方式的话,网络管理员需要注意两点:一是对于网络安全不是特别苛刻的企业,有时候甚至可以利用 VPN 集中器来代替防火墙;二是需要注意流量的问题。位置二:把 VPN 集中器放置在防火墙的内部。网络管理员也可以把防火墙放置在防火墙的内部,即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部的话,那么防火墙将是直接接触企业外网设备。也就是说,防火墙是保障企业内网安全的第一道防线。不过话说回来,虽然防火墙已经起到了保护企业内部网络的目的,但是,VPN 集中器仍然需要进行一些接入规则的配置,来提高 VPN 网络的安全性。如要在接入规则上,对接入用户的访问权限进行
11、控制。普通用户不能够修改 VPN 集中器的配置等等。也就是说,关于VPN 接入的相关安全控制,仍然需要 VPN 集中器来实现。这有利于 VPN 接入的管理,有利于提高 VPN 的安全性,为企业提供一个比较安全的远程网络访问环境。位置三:VPN 集中器与防火墙并行。上面两种方案中,我们看到都有一些难以克服的缺点。如以上两种方法 VPN 集中器都处在企业内外网数据传输的唯一线路上,这会额外增加 VPN 集中器的数据处理负担。另外,第二种方案需要更改防火墙配置,如需要允许所有源地址的 IKE 数据流量,是以牺牲防火墙的安全保护功能为代价的。所以,以上两种处理方式笔者认为不是最优的处理方式。当然,企业
12、如果不部署防火墙的话,可以采用第一种方式来提高内网的安全性,只是需要牺牲 VPN 集中器的硬件资源。如果企业有了防火墙,又需要部署 VPN 应用的话,那么笔者建议各位网络管理员采用第三种部署方式,即让 VPN集中器与防火墙并行。43 产品的多样化随着信息网络的不断演进升级,网络和系统安全正在面临攻击多样化,风险分布化的趋势。原来单纯的网络安全概念也正逐渐向网络信息安全保障演化。信息安全保障更强调全面性、普及性、健壮性、及时性。可以应用 ASIC 硬件加速技术、 FPGA 和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持 IPv6;并且
13、网络处理器中集成了很多硬件处理单元,通过算法也比较容易实现高速。44 分布式防火墙将得到进一步发展传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是“分布式防火墙” ,英文名为“DistributedFirewalls” 。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙 PCI 卡或 PCMCIA 卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上
14、,所以通常称之为“嵌入式防火墙” ,其实其核心技术就是“分布式防火墙”技术。分布式的系统构架能够满足不同形态和规模的网络,能够适应网络结构和规模的变化,系统的灵活性得到充分的体现。分布式的安全思路是在保证每个节点安全的前提下,达到整个网络的安全,某个节点的脆弱环节不会导致整个网络的安全遭到破坏。因此,创新的分布式的体系架构对于内网和移动办公的防黑和防木马、防病毒都起到很好的防护作用。综上所述,任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。参考文献:1姜文红网络安全与管理M
15、北京:清华大学出版社,20072荣海迅防火墙技术及其发展趋势剖析J 淮北职业技术学院学报,2008(3 ):31 32.3高传善,钱松荣.专注. 数据通信与计算机网络 M.高等教育出版社,2001-8-9.4邓亚平.计算机网络安全M.人民邮电出版社,2004-1-10.5李成大,张京.计算机信息安全M. 人民邮电出版社,2004-7-2-11-7.6徐晨.局域网安全策略探析J/OL.科技创业家 2011(4).7马江涛.局域网安全及防范策略J/OL 同煤科技.2010(2).8宋莹莹.构建安全的局域网策略J/OL 电脑知识与技术.2009, 5(16).9王立军,鲁雪梅.浅论局域网安全J/OL 图书馆工作与研究.2004(1).
