前言：本站為你精心整理了防火墻網(wǎng)絡(luò)安全影響因素分析范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

編者按：本論文主要從包過(guò)濾型；網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT；型；監(jiān)測(cè)型等進(jìn)行講述，包括了包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品、網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)、型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品、監(jiān)測(cè)型防火墻是新一代產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義等，具體資料請(qǐng)見(jiàn)：

【摘要】隨著互聯(lián)網(wǎng)應(yīng)用的日益普及，網(wǎng)絡(luò)已成為主要的數(shù)據(jù)傳輸和信息交換平臺(tái)，許多部門和企業(yè)在網(wǎng)上構(gòu)建了關(guān)鍵的業(yè)務(wù)流程，電子政務(wù)和電子商務(wù)將成為未來(lái)主流的運(yùn)作模式。網(wǎng)絡(luò)安全和信息安全是保障網(wǎng)上業(yè)務(wù)正常進(jìn)行的關(guān)鍵，并已日益成為網(wǎng)絡(luò)用戶普遍關(guān)注的焦點(diǎn)問(wèn)題。因此，網(wǎng)絡(luò)安全成為這兩年IT業(yè)內(nèi)的熱點(diǎn)話題，而防火墻更是熱點(diǎn)中的一個(gè)焦點(diǎn)。因?yàn)?，防火墻是企業(yè)網(wǎng)絡(luò)安全的最重要的守護(hù)者。

【關(guān)鍵詞】防火墻包過(guò)濾地址轉(zhuǎn)換—NAT

型和監(jiān)測(cè)型防火墻技術(shù)是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度，其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過(guò)這樣的檢查，防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。防火墻可以是獨(dú)立的系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連的路由器上實(shí)現(xiàn)防火墻。

用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：屏蔽路由器，又稱包過(guò)濾防火墻；雙穴主機(jī)，雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代；主機(jī)過(guò)濾結(jié)構(gòu)，這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和的結(jié)合；屏蔽子網(wǎng)結(jié)構(gòu)，這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。根據(jù)防火墻所采用的技術(shù)不同，可以將它分為四種基本類型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、型和監(jiān)測(cè)型。

1包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過(guò)包過(guò)濾型防火墻。

2網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

3型

型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

4監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品，雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。防火墻是一個(gè)具有主動(dòng)性的網(wǎng)絡(luò)安全模型，是以一個(gè)良好的安全策略為起點(diǎn)的。由于移動(dòng)辦公用戶的存在，企業(yè)和網(wǎng)絡(luò)經(jīng)常處在變化中，需要時(shí)刻比那些黑客、蠕蟲(chóng)、惡意員工以及各種互聯(lián)網(wǎng)罪犯提前行動(dòng)。要做到先行一步，應(yīng)該具有主動(dòng)性眼光，并在第一時(shí)刻更新安全策略，同時(shí)要確保系統(tǒng)已經(jīng)安裝了足夠的防護(hù)產(chǎn)品，來(lái)阻止黑客的各種進(jìn)攻嘗試。