2023年11月28日发(作者:)

计算机网络防火墙防御措施

1计算机安全中防火墙技术的主要类型

防火墙在我国古时候指的是建筑与建筑之间防止火灾蔓延的

墙,而计算机网络中的防火墙则是指为了确保安全而设置的一

系列部件组合,起屏障作用。防火墙所要保护的计算机网络是

属于我们自己的网络安全,它所要防范的一般都是来自于外网

可能发生的威胁。目前,较为常用的防火墙主要有以下几种类

型:

1.1包过滤型防火墙

这类防火墙又被称之为代理服务器,其安全性要远远高于包过

滤型防火墙产品,并且这一类型的防火墙现已开始向计算机网

络应用层发展。代理服务器实质上就是一个数据信息中转站,

它介于用户机遇服务器之间,并对两者之间的数据信息交流进

行阻挡。站在用户的角度看,代理服务器实质上就相当于真正

的服务器,如果是站在服务器的角度上看,代理服务器则是一

套用户机。由于所有的数据信息都需要通过代理服务器进行中

转,从而使得外部信息很难直接侵入到用户机中,一些恶意攻

击也都被代理服务器过滤,有效地保证了用户端计算机的安

全。该防火墙的优点是具有较高的安全性,并且能够针对应用

层进行扫描和侦测。

1.3监测型防火墙

全。当符合规则时,防火墙认为访问是安全的,可以接受访问

请求,也可以将连接请求映射到不同的内部计算机中。当不符

合规则时,防火墙认为该访问是不安全的,不能被接受,防火

墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说

是透明的,不需要用户进行设置,用户只要进行常规操作即

可。

2防火墙技术在计算机安全中的具体应用

2.1安全服务配置

安全服务隔离区((DMZ)把服务器机群和系统管理机群单独划分

出来,设置为安全服务隔离区,它既是内部网络的一部分,又

是一个独立的局域网,单独划分出来是为了更好的保护服务器

上数据和系统管理的正常运行。建议通过NAT(网络地址转换)

技术将受保护的内部网络的全部主机地址映射成防火墙上设置

的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络

结构和IP地址,保护内部网络的安全,也可以大大节省公网

IP地址的使用,节省了投资成本。如果单位原来已有边界路

由器,则可充分利用原有设备,利用边界路由器的包过滤功能,

添加相应的防火墙配置,这样原来的路由器也就具有防火墙功

能了。然后再利用防火墙与需要保护的内部网络连接。对于

DMZ区中的公用服务器,则可直接与边界路由器相连,不用经

过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,

边界路由器与防火墙就一起组成了两道安全防线,并且在这两

者之间可以设置一个DMZ区,用来放置那些允许外部用户访问

的公用服务器设施。

根据不同应用的执行频繁程度对策略在规则表中的位置进行排

序,然后才能实施配置。原因是防火墙进行规则查找时是顺序

执行的,如果将常用的规则放在首位就可以提高防火墙的工作

效率。

2.3日志监控

日志监控是十分有效的安全管理手段。往往许多管理员认为只

要可以做日志的信息就去采集。如:所有的告警或所有与策略

匹配或不匹配的流量等等,这样的做法看似日志信息十分完

善,但每天进出防火墙的数据有上百万甚至更多,所以,只有