在线客服

防火墙技术论文实用13篇

引论:我们为您整理了13篇防火墙技术论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。

防火墙技术论文

篇1

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙。

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

(2)硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙。

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2从防火墙技术

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1)包过滤(Packetfiltering)型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。

(2)应用(ApplicationProxy)型。

应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。

3从防火墙结构分

从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。

这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。

随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。

个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

参考文献

篇2

(二)数据仓库技术

信息技术的发展使得信息网络中传输和存储的信息量越来越大、越来越复杂,如何对海量的数据信息进行科学高效管理,降低有用信息的获取难度是数据仓库技术的出发点之一。应用数据仓库相关技术如关系数据库、分布式数据处理、并行式数据处理等可以将海量的数据转换和集成为条理清晰的、准确可靠的信息资料,供用户进行信息查询、数据统计等。此外,数据仓库技术还可为数据管理人员在不了解数据库结构和不同数据间相互关系的情况下进行数据挖掘提供了可能。

(三)数据挖掘技术

目前的数据库系统虽可对信息进行录入、查询或统计,但在处理和发掘不同数据之间的关系,分析未来发展趋势等方面存在诸多不足。这就要求对庞大的数据信息进行挖掘。

(四)人工智能网络信息检索技术

随着信息网络规模的扩大和信息数据量的增长,如果仅仅依靠人工筛选很难达到预期效果,人工智能网络信息技术可以对人工特性进行模拟,但是又不失计算机技术的高效性和快速性,可以根据待解决的复杂问题进行信息检索和数据分析,进而向用户提供相应的,较为准确的检索分析结果。

二计算机信息网络中的安全防护类关键技术分析

完整的计算机信息网络分为7个层次,对应的网络安全防护需要对每一层进行部署,但是实际应用中可根据TCP/IP协议,将安全防护简化为四个主要的层次,分别为物理层、链路层、网络层以及应用层。对信息网络的安全防护应该实现以下几方面内容。首先是对网络访问用户和访问数据的控制与审查。即根据用户权限和数据权限确定对应关系,建立访问控制体系,只有符合要求的用户才能够对网络信息进行访问或修改,这样可以增大恶意攻击发生的难度。其次是建立多层防御体系。一方面要对通信数据进行加密和认证,防止数据信息传输过程中受到窃取或修改;另一方面做好信息监控管理,设立一套完整的信息安全监控体系,建立数据备份和恢复机制,确保网络受到攻击时还能够最大程度保存数据的可恢复性。

(一)防火墙技术

防火墙技术是在内部网络与外部网络之间建立一个信息安全策略,根据该策略确定内外网络之间的通信是否被允许。当前安全级别最高的防火墙技术是隐蔽智能网关技术,该技术可以防止针对防火墙的恶意攻击还能够向用户提供最大限度的网络访问,对未授权的访问、未经过认证的用户、以及不符合安全策略的信息数据进行阻止或拒绝。

篇3

随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。

其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。

防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。

二、防火墙技术

网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:

1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;

2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;

3、防火墙本身不受各种攻击的影响;

4、使用目前新的信息安全技术,比如现代密码技术等;

5、人机界面良好,用户配置使用方便,易管理。

实现防火墙的主要技术有:分组筛选器,应用网关和服务等。

(1)分组筛选器技术

分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。

通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。

拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。

(2)应用网关技术

应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。

有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务

服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。

具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。

在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网

三、防火墙技术展望

伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。

另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。

参考文献:

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

篇4

当内网互联主机与互联网主机连接时,需要使用相应的IP地址,反之当互联网主机与内网互联主机连接时,需要通过网关映射到内网主机。这将使互联网网络无法看到内部网的网络,而且内部网的网络将自己躲了起来。此外,DMZ中堡垒主机过滤管理程序可以顺利通过安全通道,并与内部网中的智能认证服务器进行互相通信,而且通信的信息都是秘密进行的。由于智能认证服务器能够进行秘密通信,因此它可以修改内外路由器表,也可以调整制定过滤规则。在智能防火墙中的智能认证服务程序和应用过滤管理程序可以互相协调,不仅可以在堡垒主机上运行,还可以在服务器上运行。

3、INTRANET条件下智能型防火墙的网络安全技术实现方式

3.1智能型防火墙堡垒主机及其实现方法

堡垒主机起着连接内部网和互联网的作用,它的作用非常重要,但是它容易受到攻击,因此我必须要对其做好安全性保护,首先我们对堡垒主机操作系统——Linux操作系统,做了非常缜密的安全化处理,其具体方法是:对于SMTP,FTP,HTTP等的基本网路服务进行保留,对他们的源代码进行重新改写,使它们中的过滤功能从中分离出来,建立一个新的模块,这个模块被称为:应用过滤管理器模块,让这个模块运行在堡垒主机上,统一调度管理所有的应用服务。应用过滤管理器的主要功能是对所有经过堡垒主机的信息进行拦截,然后从下至上对其经过协议的信息进行逐层分析,并对相对安全的数据进行存储,最后秘密地传达给智能认证服务器,让智能认证服务器对这些信息进行分析处理,分析完之后再秘密地传回给应用过滤管理器,然后应用过滤管理器根据分析结果对应用过滤功能进行重新配置,同时激发相应进行工作。

3.2智能型防火墙的智能认证服务器及实现方法

智能认证服务程序和网络数据库是智能认证服务器的核心,智能认证服务器是通过信息驱动来进行操作的,如果外部主机访问内部网络,则需要外部路由器的数据审核,通过审核的信息才能顺利达到DMZ网络,对于内部网的信息请求,不需要经过内部路由器审核,它可以直接进入DMZ网络,另外,还需要这些路由器是否制定过滤规则,如果制定了过滤规则,就不能进行信息传达,并且这些信息也将被丢弃掉,但是,如果过滤规则允许进行传输,那么这些信息还需要通过防火墙。如果数据包和路由器制定的规则不一致,那么这个数据包将会被用过滤管理器拦截下来,然后从底层协议到上层协议对其进行分析,如果分析结果是具有安全性的,那么这个数据包将会被传输给智能认证服务器。智能认证服务器上的数据接收器就会把这些信息存储到网络安全数据库中,网络安全数据库发生变化后,推理机就会自动进行工作,推理机就会使用安全专家知识库里的信息对刚刚进入网络安全数据库中的这些信息进行分析、比较和推断,看看是否能够找出相关对应的数据,从而得出过滤方案,使网络管理员能够直观的看到,方便网络管理员根据实际情况作出相应的处理。这时原文发生器就会转化其内部的代码或者通过修改路由器表和过滤规则来实现内外主机通信;或者由过滤管理器通过修改过滤规则,将其传输到DMZ上的堡垒主机,堡垒主机中的应用过滤管理器对其过滤功能进行重新配置,激发其他应用进行工作。因此,智能型防火墙更能全面严格地进行安全控制。

篇5

0 引言

一般来说,防火墙包括几个不同的组成部分:过滤器(有时也称屏蔽)用于阻断一定类型的通信传输。网关是一台或一组机器,它提供中继服务,以补偿过滤器的影响。驻有网关的网络常被叫做非军事区(DeMilitarized Zone,DMZ)。DMZ中的网关有时还由一个内部网关(internal gateway)协助工作。一般情况下,两个网关通过内部过滤器到内部的连接比外部网关到其他内部主机的连接更为开放。就网络通信而言,两个过滤器或网关本身,都是可以省去的,详细情况随防火墙的变化而变化。一般说来,外部过滤器可用来保护网关免受攻击,而内部过滤器用来应付一个网关遭到破坏后所带来的后果,两个过滤器均可保护内部网络,使之免受攻击。一个暴露的网关机器通常被叫做堡垒机。

防火墙可分成两种主要类别:数据包过滤(packet filtering)和应用网关(application gateway)。

数据包过滤防火墙的工作方法是通过基于数据包的源地址、目的地址或端口来进行过滤的。一般说来,不保持前后连接信息,过滤决定也是根据当前数据包的内容来做的。管理员可以设计一个可接受机器和服务的列表,以及一个不可接受机器和服务的列表。在主机和网络一级,利用数据包过滤器很容易实现允许或禁止访问。例如,允许主机A和B之间的任何IP访问,或禁止除A以外的任何机器访问B。

大多数安全策略需要更为精细的控制:对根本不被信任的主机,需要定义容许它们访问的服务。例如,可以希望允许任何主机与机器A连接,但仅限于发送或接收邮件。其他服务可以或不可以被允许。数据包过滤器允许在这一级别上进行某些控制,为了正确地做到这一点,要求精通许多操作系统上TCP和UDP端口的使用知识。包过滤防火墙的优点是速度快,缺点是不能对数据内容进行控制。

应用网关防火墙则是另一种方式,它不使用通用目标机制来允许各种不同种类的通信,而是针对每个应用使用专用目的代码。虽然这样做看来有些浪费,但却比任何其他方法安全得多。一是不必担心不同过滤规则集之间的交互影响,二是不必担忧对外部提供安全服务的主机中的漏洞。只需仔细检查选择的数个程序。应用网关还有另一个优点:它易于记录并控制所有的进/出通信,并对Internet的访问做到内容级的过滤,所以是很安全的。应用级网关的最大缺点就是速度慢。

1 网络的系统规划与设计

根据用户具体情况,规划内网的环境,必要时使用多个网段。确定是否需要向外部Internet提供服务以及何种服务,由此确定是否需要DMZ网段以及DMZ网段的具体结构。根据内网、DMZ网的结构确定NetST■防火墙的具体连接方式,防火墙位置一般放在路由器之后,内网、DMZ网之前。设计系统的访问控制规则,使防火墙起作用。

2 防火墙配置步骤建议

配置网络结构,安装NetST■防火墙硬件,使防火墙各网卡正确连接内网,外网和DMZ网。配置NetST■防火墙网络参数使网络连接正常,必要时需重启NetST■防火墙。设计网络安全策略,根据用户具体情况设置安全选项、NAT规则、访问控制的过滤规则、内容过滤规则等。启动防火墙引擎,使规则起作用。

3 防火墙规则定义的一般步骤

NetST防火墙一般按下列步骤定义规则:

一般情况下,我们建议用户按上面步骤进行规则配置,用户也可以根据情况进行一定的调整和修改。

4 状态检测防火墙引擎

NetST防火墙引擎采用国际先进的状态检测包过滤技术,实时在线监测当前内外网络的TCP连接状态,根据连接状态动态配置规则,对异常的连接状态进行阻断,实现入侵检测并及时报警。NetST■防火墙支持对目前国际上主要的网络攻击方法的判别,并且进行有效阻断。作为包过滤型防火墙, NetST防火墙为用户提供强大的包过滤功能。NetST防火墙支持各种主流网络协议,不仅可以根据网络流量的类型、网络地址、应用服务等条件进行过滤,并且可以对多种网络入侵进行辨别和有效阻断,同时实时进行记录和报警;另外,NetST■防火墙与内置多种网络对象的Java管理控制台配合使用,可以更加充分发挥NetST■防火墙引擎的强大的包过滤功能。

4.1 全面安全防护 NetST防火墙具备抵御多种外来恶意攻击的能力:

4.1.1 DoS(Deny of Service,拒绝服务)攻击:此类型的攻击方式包括SYN Flooding、LAND攻击、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻击等,攻击者对服务器不断发各种类型的数据包使服务器的处理能力达到饱和,从而不能再接受正常的访问。NetST■防火墙利用地址检测、流量限制、碎片重组等方法进行防御;

4.1.2 IP欺骗:攻击机器 C模拟被攻击机器A信任的机器B与A通信,通常先通过DoS攻击使B的网络陷于瘫痪,然后再冒充B与A通信以执行对A造成危害的操作。防止IP欺骗的方法一是服务器不开危险服务,二是服务器的TCP连接的起始序列号要随机选取,防止被猜,三是加强对DoS攻击的防御。NetST■防火墙的防御方法是一是禁止外网到内网的连接请求,或只将允许的开放端口请求转到DMZ区的服务器,同时DMZ区服务器尽量只开单一服务,并注意对系统软件进行升级或打补丁;

4.1.3 端口扫描:通过端口扫描,攻击者可知道被攻击的服务器上运行那些服务,从而对服务进行攻击或利用某些服务的缺陷攻击主机。NetST■防火墙利用网络地址转换(NAT)功能、TCP状态检测等方法进行防御;

4.1.4 IP盗用:在内网中的一台机器通过修改IP地址模拟另一台机器,从而NetST■防火墙使用基于用户的认证使IP地址与用户动态绑定以及IP地址与MAC地址绑定来进行预防。

4.2 全面内容过滤 NetST防火墙支持对最常用的应用层协议进行内容过滤,使用户可以根据网络传输的内容进行管理和控制,从而使企业网络运行更加快速有效。NetST防火墙支持HTTP协议的URL过滤和HTML内容过滤。NetST■防火墙支持与WebCM■3000系列产品无缝集成,由NetST■防火墙提取出URL,然后与UFP服务器连接以确定是否允许此请求通过;同时,可过滤HTML页面中的各种脚本和Java小程序;可拒绝各种媒体类型的数据,如图像、声频、视频等,以免浪费带宽,降低工作效率;NetST防火墙支持FTP协议内容过滤,用户可自行设定拒绝上载和下载的文件类型表,对此文件类型范围内的文件传送请求将被拒绝;

NetST防火墙支持主要邮件协议的内容过滤。对于SMTP协议,用户可自行设定拒绝发的附件文件类型表,对此文件类型范围内的附件发送请求将被拒绝;对于POP3协议,可自行设定危险的附件文件类型表,对此文件类型范围内的附件收取将修改文件的后缀名以使其暂时失效,从而防止诸如“ILOVEYOU”等邮件病毒的攻击。

在当前信息技术高速发展的情况下,好的反火枪技术不断发展更新,设计该系统的过程中,我们也是在不断的发现问题,解决问题。也发现了不少没有能解决的新问题,比如延时的控制以及系统运行时的安全保障等新的问题。这需要在今后的工作中不断的去努力,不断地去研究逐渐解决。

参考文献:

[1]张迅.基于SIP的IP视频电话的设计与实现.华中科技大学硕士学位论文,2006:14-19.

[2]武海宁基于SIP/RTP的实用VOIP系统研究.北京邮电大学硕士学位论文,2007:17-23.

篇6

企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。

目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。

针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。

二、防火墙技术概述

1.防火墙的基本概念

防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。

2.防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙

的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的

通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。

3.防火墙的功能

一般来说,防火墙具有以下几种功能:

①能够防止非法用户进入内部网络。

②可以很方便地监视网络的安全性,并报警。

③可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。

④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。

4.防火墙的分类

①包过滤型防火墙,又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。

②服务器型防火墙

服务器型防火墙通过在主机上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的服务器进程,它代替网络用户完成特定的TCP/IP功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。

③复合型防火墙

由于对更高安全性的要求,通常把数据包过滤和服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。

三、办公网络防火墙的设计

1.防火墙的系统总体设计思想

1.1设计防火墙系统的拓扑结构

在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。

1.2制定网络安全策略778论文在线

在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。

1.3确定包过滤规则

包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。

1.4设计服务

服务器接受外部网络节点提出的服务请求,如果此请求被接受,服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。

1.5严格定义功能模块,分散实现

防火墙由各种功能模块组成,如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。

1.6防火墙维护和管理方案的考虑

防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。

2.一种典型防火墙设计实例——数据包防火墙设计

数据包过滤防火墙工作于DOD(DepartmentofDefense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。

本例中网络环境为:内部网络使用的网段为192.168.1.0,eth0为防火墙与Internet接口的网卡,eth1为防火墙与内部网络接口的网卡。

数据包过滤规则的设计如下:

2.1与服务有关的安全检查规则

这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW,FTP,Telnet,SMTP等.我们以WWW包过滤为例,来分析这类数据包过滤的实现.

WWW数据包采用TCP或UDP协

议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器,(假定其IP地址为192.168.1.11)。

要实现上述WWW安全规则,设置WWW数据包过滤为,在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙eth1端允许所有来自内部网络WWW数据包通过。

#DefineHTTPpackets

#允许Internet客户的WWW包访问WWW服务器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允许WWW服务器回应Internet客户的WWW访问请求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。

与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则;

2.2与服务无关的安全检查规则778论文在线

这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点:

①数据包完整性检查(TinyFragment):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP;alwaysdefraymentssetto‘y’。REDHAT检查进人的数据包的完整性,合并片段而抛弃碎片。

②源地址IP(SourceIPAddressSpoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。

③源路由(SourceRouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包。

总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。

参考文献:

张晔,刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999

王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001

郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001

篇7

随着Internet的快速发展,网络安全问题是人们最为关注的问题,基于IPv4协议边界式防火墙存在着日益突出的问题,主要体现在IP地址空间缺乏和骨干路由器中路由表“爆炸”的等突出问题。边界式防火墙在保护企业内部网络的情况下,确实是一种有效的网络安全技术,而随着网络应用规模的日益扩大,它的缺陷也不断呈现出来,很难实现网络的安全性和网络性能的均衡性。为了弥补IPv4和传统边界式防火墙的缺陷性及网络安全性等问题,此文提出了基于Linux的IPv6分布式防火墙网络体系架构的设计与实现。IPv6作为下一代互联网的基础协议存在很多优势。IPv6解决了IPv4存在的地址空间缺乏和路由表“爆炸”等问题,并且在安全性、移动性以及QoS等方面有着强有力的支持,IPv6协议由于包头设计得更加合理,使得路由器在处理数据包时更加快捷。此外,IPv6将IPSec集成到了协议内部,使得IPSec不再单独存在等等。

1 分布式防火墙网络体系结构

1.1分布式防火墙技术

分布式防火墙分为安全策略管理服务器[Server]、客户端防火墙[Client]两部分. 安全策略管理服务器主要负责安全策略、用户、日志、审计等管理作用。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。客户端防火墙主要作用于各个服务器、工作站、个人计算机上,按照安全策略文件的内容,必须通过包过滤、特洛伊木马过滤和脚本过滤的三层过滤检测,保护计算机在正常情况下连接网络时不会受到黑客恶意的入侵与攻击,从而大大提高了网络安全性能。多台基于主机但集中管理与配置的防火墙组成了分布式防火墙。在分布式防火墙中,安全策略仍然被集中定义,但是在每一个单独的网络端点(如主机、路由器)上实施。

分布式防火墙包括安全策略语言、安全策略机制及应用、实施安全策略机制。安全策略的法则严格地规定了允许通过的通讯文件和禁止通过的通讯的文件,它可以在多种类型的情况下应用,还必须有权利委派和身份鉴别的功能。策略制定之后就可以至网络端点上去了。在传输过程中,策略系统必须保证策略法则的完整性、真实性。策略有多种形式,可以直接“推”到终端系统上,可以由终端按照需求截取,也可以提供给用户(以证书的形式)。策略实施机制系统在主机上,在处理进出的通讯之前,它需要查询本地策略才能做出允许或者禁止的决定。

1.2分布式防火墙体系架构

图1分布式防火墙体系架构

针对边界式防火墙的缺陷,提出了“分布式防火墙”(Distributed Firewalls)作为新的防火墙体系结构,因为它主要负责网络边界、每个子网和网络内部每一个节点之间的安全防护,所以分布式防火墙为一个完整的体系,而不仅仅是单一的产品。依据它所需完成的功能,包括三部分:网络防火墙(Network Firewall)、主机防火墙(Host Firewall)、中心管理(Central Managerment),如图1所示。

(1)网络防火墙(Network Firewall)

网络防火墙一般是纯软件方式,有时候需要硬件的支持。它作用于外部网与内部网之间,及内部网下各个小子网之间的防护,这也是与传统边界式防火墙不同之处,这样以来整个网络的安全防护体系就会更加全面、可靠。

网络防火墙包括入侵检测模块、防火墙模块和管理模块。入侵检测模块所用的是snort_inLine,防火墙模块在Linux环境下所用的是基于Netfilter框架的Iptables,为了使网络防火墙更好的安全防护整个网络,防火墙模块和入侵检测模块内嵌式互动,防火墙实时截取网络数据包,假如是信赖的网段或主机的数据包,就直接通过网络防火墙,减少入侵检测系统的匹配次数;如果不是,数据包通过内核态至用户态,入侵检测系统接收到数据包再检测,如果发现入侵,就通知防火墙截断,如果没有发现入侵,就依照防火墙配置的法则处理。管理模块包含数据发送程序(向管理中心发送防火墙和入侵检测系统日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。

(2)主机防火墙(Host Firewall)

与网络防火墙的设计一样,主要对网络中的服务器和桌面机进行防护,这是在边界式防火墙安全体系方面的改进。它主要作用于同一内部子网之间的工作站与服务器之间,来确保内部网络服务器的安全,这样就安全防护应用层了,比起网络层来更加全面。

主机防火墙由防火墙模块、主机管理模块组成,防火墙模块在Linux环境下用的是基于Netfilter框架的Iptables,按照管理中心的安全策略过滤数据包;主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。

(3)管理中心(Managerment Central)

它作为服务器软件,主要负责总体安全策略的策划、管理、分发及日志的汇总,还有远程管理、系统设置、系统安全等其它辅助功能。它也是在边界式防火墙功能的一个完善。它具有智能管理的功能,提高了防火墙的安全防护灵活性、管理性。网络防火墙和主机防火墙把日志发送给日志分析系统之后保存到日志文件之中,网络管理维护中心发放法则给网络防火墙和主机防火墙,管理中心与主机防火墙和边界防火墙之间的通信必须通过身份验证之后运用openssH数据安全通道加密通讯,这样管理中心与主机防火墙和网络防火墙的通信才会更加安全。此外管理中心还有用户图形界面(GUI)功能,负责管理网络中的所有端点、制定和分发安全策略,而且要分析从主机防火墙、网络防火墙接收的日志,依据分析的结果再修改安全策略。

2主机防火墙的设 计与实现

Linux广泛地应用到世界各地服务器网络当中,由于它是开源的。Linux版本2.4内核中已采用了Netfilter的防火墙框架,而且内核中还支持IPv6协议栈。所以此文采用Linux作为目标环境下的系统的开发和运行平台。

2.1主机管理模块

主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用:首先要跟自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据再发送,直到文件完成。数据接受程序的作用:监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。

2.2主机防火墙模块

Linux版本2.4内核中集成了Netfilter框架,基于Linux平台下,该框架具有新的网络安全功能:网络数据包过滤、状态保持、NAT及抗攻击等。Iptables作为Netfilter框架在用户空间的配置工具的任务:负责从用户命令行界面接收命令之后转化成内核认识的结构体,调用相应的内核操作函数,将法则插入到内核中去。运用Iptables,一定在编译Linux内核时(版本一定比2.4大)选择跟Netfilter相关的内核模块。Netfilter作为内核空间的实现模块,Iptables作为用户空间的控制命令解析器,只有它们合起来才能完成整体的工作。因此首先必须对内核进行裁剪和编译,选择与Netfilter相关的项目,(位于“Networking options”子项下)。

Netfilter是由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。Netfilter支持IPv4、IPv6与IPx等协议,具有协议对应的钩子函数。这些钩子函数在数据包通过协议栈的几个关键点时被调用,协议栈把数据包与钩子标号作为参数传递给Netfilter钩子;可以编写内核模块来注册一个或多个钩子,以挂钩自己的处理函数,这样当数据包被传递给某个钩子时,内核就会依次调用挂钩在这个钩子上的每一个处理函数,这些处理函数就能对数据包进行各种处理(修改、丢弃或传递给用户进程等);接收到的数据包,用户进程也可以对它进行各种处理。一个IPV6数据包在通过Netfilter防火墙框架时,它将经过如图2所示的流程。

图2 IPv6网络数据包处理流程

每一个IPv6数据包经过Netfilter框架时,必须通过5个钩子函数处理:

(1)HOOK1(NF_IP6_PRE_ROUTING),数据包在抵达路由之前经过这个钩子。目前,在这个钩子上只对数据包作包头检测处理,一般应用于防止拒绝服务攻击和NAT;(2)HOOK2(NF_IP6_LOCAL_IN),目的地为本地主机的数据包经过这个钩子。防火墙一般建立在这个钩子上;(3)HOOK3(NF_IP6_FORWARD),目的地非本地主机的数据包经过这个钩子;(4)HOOK4(NF_IP6_POST_ROUTING),数据包在离开本地主机之前经过这个钩子,包括源地址为本地主机和非本地主机的;(5)HOOK5(NF_IP6_LOCAL_OUT),本地主机发出的数据包经过这个钩子。

IP网络数据包处理流程:数据报从左边进入系统,进行IPv6校验以后,数据报经过第一个钩子NF_IP_PRE_ROUTING注册函数进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子NF_IP6_LOCAL_IN注册函数处理以后然后传递给上层协议;若该数据包应该被转发则它被NF_IP6_FORWARD注册函数处理;经过转发的数据报经过最后一个钩子NF_IP6_POST_ROUTING注册函数处理以后,再传输到网络上。

本地产生的数据经过钩子函数NF_IP6_LOCAL_OUT注册函数处理以后,进行路由选择处理,然后经过NF_IP6_POST_ROUTI NG注册函数处理以后发送到网络上。

3 结论

针对本文设计的Linux环境下IPv6分布式防火墙的测试中,用两台IPv6主机对防火墙保护下的内网主机进行访问,来测试防火墙。外网主机的环境一台为WINXP,另一台是Linux。通过对外网主机访问记录的验证来检测防火墙的性能。测试的实验结果表明:系统都能按照规则对数据包进行处理,实现了IPv6分布式防火墙的功能。随着网络的不断发展,传统的边界式防火墙的弊端越来越暴露出来了,Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.4中已经采用了Netfilter的防火墙框架,而且内核中已支持IPv6协议栈,而下一代通信协议IPv6是未来网络发展的趋势。本文在Linux环境下设计并实现了一个分布式防火墙具有重大意义。

参考文献:

[1]范振岐.基于Linux的IPv6复合防火墙的设计[J].网络安全技术与使用,2006,2:35-37.

[2]蒋雄伟.Linux下的分布式防火墙设计与实现:[硕士学位论文].南京:南京理工大学.2006.

[3]张科.IPv6防火墙状态检测技术的研究与实现:[硕士学位论文].重庆:重庆大学.2007.

[4]杨刚,陈蜀宇.Linux中基于Nctfilter/IPtables的防火墙研究[J].计算机工程与设计,2007,(28):4124-4132.

篇8

一.引言

随着社会经济的发展,建筑工程建设得到了前所未有的发展,建筑工程项目的数量日益增多,同时出现的各种建筑工程事故也在增加。建筑工程的结构设计是保证工程质量的关键,防火防爆设计直接影响着工程项目的实用性,甚至关系着人民的生命财产安全。因此,为了提高建筑工程的质量,保障人民的生命财产安全,降低国家的经济损失,我们必须要加强对建筑工程防火防爆设计的研究,提高设计的安全性。

二.对工业建筑进行防火防爆设计需考虑的问题。

建筑消防设计是建筑设计中一个重要组成部分,关系到人民生命财产安全,应该引起大家的足够重视。文章从防火分区、安全疏散以及防爆泄压三方面来讨论:

(1). 建筑的防火分区问题。

《建规》中规定了厂房及仓库的的防火分区,其中有一点需要注意,厂房及仓库的防火分区首先受该建筑物生产类别影响,其次还和建筑物的耐火等级有关。虽然《建规》中规定封闭楼梯间的门为双向弹簧门就可以了,但做为划分防火分区用的封闭楼梯间门至少应设乙级防火门。否则楼梯间也是火灾纵向蔓延的途径之一,也应按上下连通层作为一个防火分区计算面积。

(2). 安全疏散设计问题。

很多大型工业建筑在消防安全疏散设计中存在的问题,诸如首层疏散楼梯无法直通室外,设备及管道布置错综复杂致使人员逃生路线迂回曲折,疏散距离超过规范要求等。在设计中应合理设置安全疏散通道,并使疏散通道两侧的隔墙耐火极限≥lh(非燃材料),房间内最远工作点的疏散距离应考虑设备及管道布置的影响等等。

(3)防爆泄压应注意的问题

首先,不同用途的厂房有不同的厂房爆炸危险等级,进而根据规范采取相应级别的泄压比。第二,要避免建筑物内有爆炸危险的部位形成长细比过大的空间,以防止爆炸时产生较大超压,保证所设计的泄压面积能有效。第三,泄压方向要避开人员疏散通道及重要设施。

三.工业厂房防火防爆设计要点。

有爆炸危险的厂房,一旦发生爆炸,不但会造成房倒人亡,设备摧毁,生产停顿,甚至引起相邻厂房或设施连锁爆炸、次生火灾。因此,从厂房设计起,就应考虑防爆抗爆措施。消防部门也应加强对此类厂房的审核,严格把关,将隐患消灭在源头。因此在设计爆炸危险厂房时应注意把握以下几个方面:

1.平面布局设计。

规模较大的工厂和仓库,应根据实际需要,合理划分生产区、储存区、生产辅助设施区和行政办公、生活福利区等。同一生产企业内,宜尽量将火灾危险性相同或相近的建筑集中布置,以便分别采取防火防爆设施,便于安全管理。在选址时,应注意周围环境,充分考虑建厂地区的企业和居民安全。注意地势条件,应根据产品的性质,优先选取有利地形,减少危险性,减少对周围环境的火灾威胁。注意风向,散发可燃气体、可燃蒸汽和可燃粉尘的车间、装置,应布置在厂区的全年主导风向的下风向。

2.建筑耐火等级。

建筑物耐火等级。划分建筑物耐火等级是建筑设计防火规范中规定的防火技术措施中最基本的措施。它要求建筑物在火灾高温的持续作用下,墙、柱、梁、楼板、屋盖、吊顶等基本建筑构件,能在一定的时间内不破坏,不传播火灾,从而起到延缓和阻止火灾蔓延的作用,并为人员疏散、抢救物资和扑灭火灾以及为火灾后结构修复创造条件。

3.防火墙和防火门及防火间距。

根据在建筑物中的位置和构造形式,有与屋脊方向垂直的横向防火墙、与屋脊方向平行的纵向防火墙、内墙防火墙、外墙防火墙和独立防火墙等。内防火墙是把厂房或库房划分成防火单元,可以阻止火势在建筑物内的蔓延扩展;外防火墙是邻近两幢建筑物的防火间距不足而设置的无门窗洞的外墙,或两幢建筑物之间的室外独立防火墙。已采取防火分割的相邻区域如需要互相通行时,可在中间设置防火门。按燃烧性能不同有非燃烧体防火门和难燃烧体防火门;按开启方式不同有平开门和卷帘门等。

火灾发生时,由于强烈的热辐射、热对流以及燃烧物质的爆炸飞溅、抛向空中形成飞火,能使邻近甚至远处建筑物形成新的起火点。为阻止火势向相邻建筑物蔓延扩散,应保证建筑物之间的防火间距。

4.工业建筑防爆。

在一些工业建筑中,使用和产生的可燃气体、可燃蒸气、可燃粉尘等物质能够与空气形成爆炸危险性的混合物,遇到火源就能引起爆炸。这种爆炸能够在瞬间以机械功的形式释放出巨大的能量,使建筑物、生产设备遭到毁坏,造成人员伤亡。对于上述有爆炸危险的工业建筑,为了防止爆炸事故的发生,减少爆炸事故造成的损失,要从建筑平面与空间布置、建筑构造和建筑设施方面采取防火防爆措施。首先,此类建筑以独立设置,并宜采用敞开或半敞开式,承重结构多采用钢筋混凝土或钢框架、排架结构。第二,要加强与其贴临建造建筑物的保护,根据需要将两者之间的隔墙设置为防火墙或防爆墙。第三,有爆炸危险的甲、乙类厂房(仓库)应设置足够有效的泄压设施,以减少爆炸带来的损失。当建筑物长细比大于3时,宜将该建筑划分为长细比小于等于3的多个计算段来计算所需泄压面积,且各计算段中的公共截面不得作为泄压面积。另外,位于寒冷及严寒地区的有爆炸危险的建筑物屋顶上所设的泄压设施还应考虑采取有效防止冰雪积聚的措施。

5. 设置防爆门斗

设置防爆门斗是解决交通和防爆的有力措施,第一道门宜采用防爆门,才能达到防爆的效果。但防爆门均采用特殊钢材制作,其连接转动部件和防止门与门框碰撞产生火花,门铰链应采用青铜轴和垫圈或其他摩擦碰撞不发火材料制作,门扇周边贴橡胶板,防止碰撞产生火花。防爆门斗内要有一定的容积,保证当门打开时瞬时进入门斗的可燃气体浓度降低,两门布置应在不同方位上,间距200以上。防爆门斗也是爆炸危险部位的安全出口,其位置应满足安全疏散距离的要求。

四.结束语

随着人们生活水平的提高,对生命财产的安全性要求也在不断提高。建筑安全保障问题在人们心中的地位越来越高,经济性建立在安全性的基础之上,只有保证了建筑结构的安全性,才能够考虑建筑工程施工的经济性和适用性。在正常的情况下,建筑工程首先要具备良好的工作性能,进而为社会创造出良好的经济效益。进而有效提高建筑结构的安全性能,促进建筑工程建设的发展,促进建筑业的发展。

参考文献:

[1] 李海 防爆防火设计在工业建筑中的应用 [期刊论文] 《黑龙江科技信息》 -2012年2期

篇9

0 引言

近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。

1 农产品电子商务的安全需求

根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。

1) 系统实体安全

系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。

2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全[1]。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。

3) 信息安全

系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问防火墙,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认论文的格式。

2 农产品电子商和安全策略

为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:

2.1基于多重防范的网络安全策略

1) 防火墙技术

防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2) VPN 技术

VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。

VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。

性能

VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能防火墙,又不会“饿死”,低优先级的应用。

管理问题

由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备论文的格式。

2.2基于角色访问的权限控制策略

农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。

目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限[2]。角色访问控制策略主要是两方面的工作:

(1)确定角色

根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。

(2)分配权限策略

根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。

2.3基于数据加密的数据安全策略

在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。

1)数据库加密系统措施

(1)在用户进入系统进行两级安全控制

这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。

2)防止非法复制

对于服务器来说防火墙,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。

3)安全的数据抽取方式

提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用DBMS提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用DBMS提供的卸出、装入工具完成[3]。

3结束语

随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。

参考文献:

[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.

[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35

篇10

从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。

一、包过滤型防火墙的攻击

包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。

包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。

(一)ip欺骗

如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以骗过防火墙的检测。如:我将Packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。

这种攻击应该怎么防范呢?

如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。

eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的Packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的Packet,那么这种直接到达eth1的伪造包就会被丢弃。

(二)分片伪造

分片是在网络上传输IP报文时采用的一种技术手段,但是其中存在一些安全隐患。PingofDeath,teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。

在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。

那我们先发送第一个合法的IP分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器TCP/IP堆栈来说,它还是能够正确重组的。

二、NAT防火墙的攻击

这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为UDP打洞技术。

UDP打洞技术允许在有限的范围内建立连接。STUN(TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators)协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中,NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包,这样就在NAT上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的UDP通信了。

但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地,NAT见了的端口映射,如果一段时间不活动后就是过期。为了保持UDP端口映射,必须每隔一段时间就发送UDP包,就算没有数据的时候,只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。

由于各方面原因,这次没有对建立TCP的连接做研究,估计是能连接的。

三、防火墙的攻击

防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。WinGate是以前应用非常广泛的一种Windows95/NT防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:

(一)非授权Web访问

某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击(如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

检测WinGate主机是否有这种安全漏洞的方法如下:

(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

(2)把浏览器的服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。

(二)非授权Socks访问

在WinGate的缺省配置中,Socks(1080号Tcp端口)同样是存在安全漏洞。与打开的Web(80号Tcp端口)一样,外部攻击者可以利用Socks访问因特网。

(三)非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

检测WinGate主机是否有这种安全漏洞的方法如下:

1)使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris''''^]''''.

Wingate>10.50.21.5

2)如果接受到如上的响应文本,那就输入待连接到的网站。

3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。

四、监测型防火墙的攻击

一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!

(一)协议隧道攻击

协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

比如说,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。

由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。

(二)利用FTP-pasv绕过防火墙认证的攻击

FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。

五、通用的攻击方法

(一)木马攻击

反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。

(二)d.o.s拒绝服务攻击

简单的防火墙不能跟踪tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。

Land(LandAttack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。

IP欺骗DOS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为a.a.a.a,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。

六、结论

我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。

在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。

参考文献:

[1]W.RichardAs.TCP/IP详解卷一:协议[M].机械工业出版社,2000.

[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.

篇11

2.防火墙技术。防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。防火墙如果从实现方式上来分,又分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙它是通过纯软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。然而,防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如:对数据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰,而对企业内部网络的安全却无能为力,要保证企业内部网的安全,还需通过对内部网络的有效控制和来实现。 3.数据加密技术。与防火墙配合使用的安全技术还有文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取,侦听或破坏所采用的主要技术手段之一。按作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。 数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止欺骗,这对信息处理系统的安全起到极其重要的作用。 4.入侵检测技术。网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙有益的补充。可在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 5.网络安全扫描技术。网络安全扫描技术是检测远程或本地系统安全脆弱性的一种安全技术,通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。 网络安全与网络的发展戚戚相关,关系着IN-TERNET的进一步发展和普及。网络安全不能仅依靠杀毒软件、防火墙和漏洞检测等硬件设备的防护,还应注重树立人的计算机安全意识,才可能更好地进行防护,才能真正享受到网络带来的巨大便利。

[参考文献] [1]顾巧论.计算机网络安全[M].北京:清华大学出版社,2008.

篇12

计算机网络是信息社会的基础,己经进入社会的各个角落。经济、文化、军事、教育和社会日常生活越来越多地依赖计算机网络。但是不容忽略的是网络本身的开放性、不设防和无法律约束等特点,在给人们带来巨大便利的同时,也带来了一些问题,网络安全就是其中最为显著的问题之一。计算机系统安全的定义主要指为数据处理系统建立和采用的安全保护技术。计算机系统安全主要涉及计算机硬件、软件和数据不被破坏、泄漏等。由此,网络安全主要涉及硬件、软件和系统数据的安全。

近几年,随着计算机网络的迅速发展,全国各高校都普遍建立了校园网。校园网成为学校重要的基础设施。同时,校园网也同样面临着越来越多的网络安全问题。但在高校网络建设的过程中,普遍存在着“重技术、轻安全”的倾向,随着网络规模的迅速发展,网络用户的快速增长,校园网从早先的教育试验网的转变成教育、科研和服务并重的带有运营性质的网络。校园网作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题逐渐引起了各方面的重视。

从根本上说,校园计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点,而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁校园网安全的因素主要包括:网络协议漏洞造成的威胁,操作系统及应用系统的漏洞造成的威胁,攻击工具获取容易、使用简单,校园网用户的安全意识不强,计算机及网络应用水平有限等方面。

关于网络安全的法律法规都已出台,学校网络中心也制定了各自的管理制度,但是还存在着各种现实问题,宣传教育的力度不够,许多师生法律意识淡薄。网上活跃的黑客交流活动,也为网络破坏活动奠定了技术基础。这是本论文讨论的背景和亟待解决的问题。

二、校园网的安全防范技术

校园网络的安全是整体的、动态的,主要有网络物理安全、系统安全、网络安全、应用安全等多方面的内容,通过采用防火墙、授权认证、数据加密、入侵检测等安全技术为手段,才有利于更有效地实现校园网络安全、稳定运行。论文将对常用的校园网络安全技术进行研究。

首先是认证技术,认证技术是网络通信中建立安全通信信道的重要步骤,是安全信息系统的“门禁”模块,是保证网络信息安全的重要技术。认证的主要目的是验证信息的完整性,确认被验证的信息在传递或存储过程中没有被篡改或重组,并验证信息发送者的真实性,确认他没有被冒充。认证技术是防止黑客对系统进行主动攻击的一种重要技术手段,主要通过数字信封、数字摘要、数字签名、智能卡和生物特征识别等技术来实现。

第二是密码技术,目前保障数据的安全主要采用现代密码技术对数据进行主动保护,如数据保密、双向身份认证。数据完整性等,由此密码技术是保证信息的安全性的关键技术。密码技术在古代就己经得到相当的应用,但仅限于外交和军事等重要领域。随着计算机技术的迅速发展,密码技术发展成为集数学、电子与通信、计算机科学等学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密,而且完成了数字签名、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以防止信息被篡改、假冒和伪造。现在密码技术主要是密码学。密码学也是密码技术的理论基础,主要包括密码编码学和密码分析学。密码编码学主要研究如何对信息进行编码,以此来隐藏、伪装信息,通过对给定的有意义的数据进行可逆的数学变换,将其变为表面上杂乱无章的数据,而只有合法的接收者才能恢复原来的数据,由此保证了数据安全。密码分析学是研究如何破译经过加密的消息并识别伪造消息。总之,密码编码技术和密码分析技术相互支持、密不可分。

第三是防火墙技术,防火墙是指放置在不同网络或网络安全域之间的系列部件的组合。防火墙在不同网络区域之间建立起控制数据交换的唯一通道,通过允许或拒绝等手段实现对进出内部网络的服务和访问的控制。防火墙本身也具有较强的抗攻击能力,能有效加强不同网络区域之间的访问控制,是提供信息安全服务,实现网络安全的重要的基础设施。

第四是入侵检测系统。网络安全风险系数越来越高,防火墙技术己经不能满足人们对网络安全的需求。入侵检测系统作为对防火墙及其有益的补充,不仅能帮助网络系统快速发现攻击的发生,也扩展了系统管理员的安全管理能力,有效提高了信息安全基础结构的完整性。

三、结语

网络技术迅速发展的同时,也带来了越来越多的网络安全问题,校园网安全防范的建设更是一项复杂的系统工程,需要相关工作人员予以更多的重视。论文在辨清网络安全和校园网络安全的定义的基础上,从认证技术、密码技术、防火墙、入侵检测系统、访问控制技术、虚拟专用网六个方面分析了校园网安全防范技术,这不仅是理论上的分析,也为网络安全实践提供了一定的借鉴。

参考文献:

[1]蔡新春.校园安全防范技术的研究与实现[J].合肥工业大学,2009(04).

[2]谢慧琴.校园网安全防范技术研究[J].福建电脑,2009(09).

[3]卜银侠.校园网安全防范技术体系[J].硅谷,2011(24).

[4]陶甲寅.校园网安全与防范技术[J].电脑知识与技术,2007(01).

[5]袁修春.校园网安全防范体系[D].兰州:西北师范大学,2005.

篇13

型和监测型防火墙技术是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。防火墙可以是独立的系统,也可以在一个进行网络互连的路由器上实现防火墙。

用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:屏蔽路由器,又称包过滤防火墙;双穴主机,双穴主机是包过滤网关的一种替代;主机过滤结构,这种结构实际上是包过滤和的结合;屏蔽子网结构,这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。

1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

3型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。