公務(wù)員期刊網(wǎng) 精選范文 防火墻技術(shù)的基本原理范文

防火墻技術(shù)的基本原理精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻技術(shù)的基本原理主題范文,僅供參考,歡迎閱讀并收藏。

防火墻技術(shù)的基本原理

第1篇:防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】HTTP協(xié)議;隧道技術(shù);數(shù)據(jù)封裝

1.概述

隨著科學(xué)技術(shù)的不斷提升,互聯(lián)網(wǎng)技術(shù)快速發(fā)展,計(jì)算機(jī)已經(jīng)從成為最基本的基礎(chǔ)設(shè)施,成為各個(gè)行業(yè)不可或缺的必需品,也推動(dòng)我國社會(huì)不斷地向信息化、數(shù)字化、網(wǎng)絡(luò)化的方向發(fā)展。根據(jù)相關(guān)調(diào)查資料的顯示,我國在2016年初,網(wǎng)民高達(dá)6.88億,這些說明了互聯(lián)網(wǎng)在我國社會(huì)中得到了廣泛的應(yīng)用和發(fā)展。互聯(lián)網(wǎng)技術(shù)的應(yīng)用,使得人們大大提升了對(duì)于信息的傳播速度和效率,推動(dòng)了人們?cè)谏鐣?huì)經(jīng)濟(jì)、日常生產(chǎn)生活不斷地向前發(fā)展,而目前很多企業(yè)的決策依據(jù)、趨勢判斷,也都逐漸向互聯(lián)網(wǎng)的各個(gè)信息數(shù)據(jù)的獲取、收集、整理、分析的方向靠攏。然而互聯(lián)網(wǎng)也存在很多安全威脅,尤其是在信息傳輸過程中,很容易被截取、破譯、入侵等,從而擾亂了人們的日常生活,為企業(yè)生產(chǎn)和財(cái)產(chǎn)經(jīng)濟(jì)帶來了很大的威脅。HTTP協(xié)議是互聯(lián)網(wǎng)通信中應(yīng)用最為廣泛的應(yīng)用層協(xié)議,為信息通信和共享帶來了極大的便利,基于HTTP協(xié)議的隧道技術(shù),為數(shù)據(jù)通信提供了專門的傳輸通道,避免了網(wǎng)絡(luò)攻擊帶來的危害,對(duì)于人們的信息傳輸中的數(shù)據(jù)安全保護(hù)來說,具有非常重要的現(xiàn)實(shí)意義。

2.HTTP協(xié)議

HTTP協(xié)議是實(shí)現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)通信和資源共享的應(yīng)用層協(xié)議,是針對(duì)網(wǎng)絡(luò)中各種媒體資源進(jìn)行傳輸和通信的超文本協(xié)議,為互聯(lián)網(wǎng)的終端與服務(wù)器之間的通信格式、方法以及數(shù)據(jù)格式等進(jìn)行了定義。

HTTP協(xié)議中規(guī)定了互聯(lián)網(wǎng)傳輸信息的類型主要包括請(qǐng)求與響應(yīng),而兩種類型的則是互聯(lián)網(wǎng)絡(luò)中心中的數(shù)據(jù)報(bào)文來實(shí)現(xiàn)的,即客戶端向服務(wù)器發(fā)送的請(qǐng)求報(bào)文以及服務(wù)器向客戶端發(fā)送的相應(yīng)報(bào)文。如題1所示,為HTTP協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的格式圖。

圖1 HTTP協(xié)議的請(qǐng)求報(bào)文與響應(yīng)報(bào)文格式

如圖1所示,當(dāng)使用HTTP協(xié)議通過互聯(lián)網(wǎng)進(jìn)行信息傳輸時(shí),需要根據(jù)HTTP請(qǐng)求報(bào)文和HTTP響應(yīng)報(bào)文的格式進(jìn)行信息傳輸。一般的,通信報(bào)文主要分兩部分,協(xié)議頭和協(xié)議主體。協(xié)議頭部內(nèi)容表明了協(xié)議的控制、內(nèi)容、版本等信息,而協(xié)議主體部分則是包含了主要的傳輸信息內(nèi)容。在HTTP協(xié)議的請(qǐng)求報(bào)文頭部,主要包含了HTTP請(qǐng)求的方法,URL地址版本等信息,其中HTTP請(qǐng)求方法是請(qǐng)求的主要功能,常見的HTTP方法有POST、GET,此外還HEAD、PUT、DELETE、TRACE等方法,其中GET方法是方法是針對(duì)網(wǎng)頁的固定內(nèi)容,請(qǐng)求服務(wù)器中的對(duì)應(yīng)數(shù)據(jù),請(qǐng)求標(biāo)示會(huì)顯示在URL中,而POST方法則是在網(wǎng)頁固定內(nèi)容,添加網(wǎng)頁中獲取的新數(shù)據(jù)的方法,PUT方法則是請(qǐng)求服務(wù)器存儲(chǔ)網(wǎng)頁內(nèi)的數(shù)據(jù),存儲(chǔ)標(biāo)識(shí)會(huì)顯示在URL中。HTTP請(qǐng)求報(bào)文的URL內(nèi)容則是顯示了請(qǐng)求內(nèi)容在服務(wù)器中存儲(chǔ)的相對(duì)路徑,從而讓服務(wù)器按照請(qǐng)求的URL地址去查找相應(yīng)的數(shù)據(jù)信息。HTTP響應(yīng)報(bào)文的頭部則是包含了HTTP協(xié)議版本、狀態(tài)碼等,響應(yīng)報(bào)文主體則是包含了主要數(shù)據(jù)信息以及其他信息。在HTTP響應(yīng)報(bào)文中,狀態(tài)碼是針對(duì)請(qǐng)求報(bào)文的響應(yīng)分類,常見的狀態(tài)碼有200,404等,其中以1開頭的表示服務(wù)器已經(jīng)接受請(qǐng)求,并開始后續(xù)處理,以2開頭的狀態(tài)碼表示請(qǐng)求成功,主體內(nèi)包含響應(yīng)數(shù)據(jù),以3開頭表示請(qǐng)求內(nèi)容與URL路徑不匹配,需要重定向到其他路徑來獲取內(nèi)容,以4開頭表示客戶端錯(cuò)誤導(dǎo)致請(qǐng)求失敗,以5開頭表示服務(wù)器端錯(cuò)誤導(dǎo)致請(qǐng)求失敗。

3.HTTP協(xié)議下的隧道技術(shù)的基本原理

隧道技術(shù)是構(gòu)建專門數(shù)據(jù)通道的一門技術(shù),基于HTTP協(xié)議的隧道技術(shù),則是未使用傳統(tǒng)的隧道協(xié)議的前提下,基于HTTP實(shí)現(xiàn)專門的數(shù)據(jù)傳輸通道的一門技術(shù)。在默認(rèn)情況下,HTTP協(xié)議是占用了系統(tǒng)的80端口作為在互聯(lián)網(wǎng)中進(jìn)行數(shù)據(jù)傳輸?shù)耐ㄐ哦丝冢覟榱藢?shí)現(xiàn)HTTP協(xié)議的高安全性,一般會(huì)在80端口構(gòu)建防火墻來過濾通信數(shù)據(jù)包,對(duì)非HTTP協(xié)議的傳輸報(bào)文,進(jìn)行攔截,進(jìn)而防止了其他非法程序使用80端口進(jìn)行通信。

HTTP協(xié)議下的隧道技術(shù),就是實(shí)現(xiàn)通過HTTP協(xié)議構(gòu)建專門的傳輸通道,來實(shí)現(xiàn)數(shù)據(jù)傳輸。假設(shè)互聯(lián)網(wǎng)內(nèi)的兩臺(tái)計(jì)算機(jī)A和B分別處在不同的局域網(wǎng)中,彼此的防火墻只允許HTTP數(shù)據(jù)包通過80端口發(fā)送數(shù)據(jù),其他協(xié)議、其他端口的數(shù)據(jù)全部被攔截。HTTP協(xié)議下的隧道的實(shí)現(xiàn),首先要在兩臺(tái)機(jī)器上安裝HTTP隧道程序或者相關(guān)服務(wù),能夠完成相應(yīng)的通信數(shù)據(jù)封裝功能,而后兩臺(tái)機(jī)器之間的80端口以及在HTTP協(xié)議下進(jìn)行通信。假如A機(jī)器中的某個(gè)程序想通過21端口,使用FTP協(xié)議向B機(jī)器21端口進(jìn)行直接的文件傳輸請(qǐng)求,防火墻將會(huì)將請(qǐng)求攔截。在HTTP協(xié)議隧道技術(shù)下,計(jì)算機(jī)A上面的隧道程序會(huì)將該請(qǐng)求進(jìn)行處理和封裝,將其轉(zhuǎn)變成一個(gè)正常的HTTP請(qǐng)求,通過80端口將其經(jīng)互聯(lián)網(wǎng)絡(luò)發(fā)送到B機(jī)器,兩端局域網(wǎng)的防火墻對(duì)該HTTP報(bào)文進(jìn)行分析時(shí),會(huì)認(rèn)為該報(bào)文為HTTP請(qǐng)求而允許通過,B機(jī)器接收到報(bào)文后,運(yùn)行的隧道程序或服務(wù)會(huì)將其解析,轉(zhuǎn)變成FTP的文件請(qǐng)求,轉(zhuǎn)發(fā)到21端口,使用FTP協(xié)議進(jìn)行相應(yīng)處理。同樣的,B機(jī)器的相應(yīng)報(bào)文仍需要經(jīng)過相同的處理和封裝,將其發(fā)送到A機(jī)器,A機(jī)器接收到報(bào)文后,會(huì)按照相同的解析和處理,而后轉(zhuǎn)發(fā)到21端口,F(xiàn)TP協(xié)議再次進(jìn)行解析卸載,從而得到正常的請(qǐng)求數(shù)據(jù)。

所以,HTTP協(xié)議下的隧道技術(shù),不需要專門的隧道傳輸協(xié)議構(gòu)建復(fù)雜的傳輸結(jié)構(gòu),只需要使用HTTP協(xié)議構(gòu)建專門的數(shù)據(jù)傳輸通道,繞過防火墻實(shí)現(xiàn)兩個(gè)局域網(wǎng)內(nèi)的計(jì)算機(jī)之間的數(shù)據(jù)傳輸。

4.總結(jié)

基于HTTP協(xié)議下的隧道技術(shù)的實(shí)現(xiàn),就是基于HTTP協(xié)議的公開通道,使用隧道服務(wù)將非法報(bào)文進(jìn)行處理和封裝,轉(zhuǎn)變成正常的HTTP傳輸報(bào)文來實(shí)現(xiàn)隧道的建立,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)傳輸。

參考文獻(xiàn):

第2篇:防火墻技術(shù)的基本原理范文

摘要:隨著Internet在全球的飛速發(fā)展,防火墻成為目前最重要的信息安全產(chǎn)品,然而,以邊界防御為中心的傳統(tǒng)防火墻如今卻很難實(shí)現(xiàn)安全性能和網(wǎng)絡(luò)性能之間的平衡。分布式防火墻的提出很大程度的改善了這種困境,實(shí)現(xiàn)了網(wǎng)絡(luò)的安全。

關(guān)鍵詞:邊界式;分布式;防火墻

防火墻能根據(jù)受保護(hù)的網(wǎng)絡(luò)的安全策略控制允許、拒絕、監(jiān)測出入網(wǎng)絡(luò)的信息流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù),以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。

一、分布式防火墻的概念

傳統(tǒng)邊界式防火墻因存在許多不完善的地方,因此分布式防火墻應(yīng)運(yùn)而生。

1.邊界式防火墻存在的問題

傳統(tǒng)防火墻設(shè)置在內(nèi)部企業(yè)網(wǎng)和外部網(wǎng)絡(luò)之間,構(gòu)成一個(gè)屏障,進(jìn)行網(wǎng)絡(luò)訪問控制,所以通常稱為邊界防火墻。邊界防火墻可以限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行的信息傳遞和訪問等操作,它處于內(nèi)、外部網(wǎng)絡(luò)的邊界,所有進(jìn)、出的數(shù)據(jù)流量都必須通過防火墻來傳輸?shù)?。這就有效地保證了外部網(wǎng)絡(luò)的所有通信請(qǐng)求都能在防火墻中進(jìn)行過濾。然而,傳統(tǒng)的邊界防火墻要求網(wǎng)絡(luò)對(duì)外的所有流量都經(jīng)過防火墻,而且它基于一個(gè)基本假設(shè):防火墻把一端的用戶看成是可信任的,而另一端的用戶則被作為潛在的攻擊者對(duì)待。這樣邊界防火墻會(huì)在流量從外部的互聯(lián)網(wǎng)進(jìn)入內(nèi)部局域網(wǎng)時(shí)進(jìn)行過濾和審查。但是這并不能確保局域網(wǎng)內(nèi)部的安全訪問。不僅在結(jié)構(gòu)性上受限制,其內(nèi)部也不夠安全,而且效率不高、故障點(diǎn)多。最后,邊界防火墻本身也存在著單點(diǎn)故障危險(xiǎn),一旦出現(xiàn)問題或被攻克,整個(gè)內(nèi)部網(wǎng)絡(luò)將會(huì)完全暴露在外部攻擊者面前。

2.分布式防火墻的提出

由于傳統(tǒng)防火墻的缺陷不斷顯露,于是有人認(rèn)為防火墻是與現(xiàn)代網(wǎng)絡(luò)的發(fā)展不相容的,并認(rèn)為加密的廣泛使用可以廢除防火墻,也有人提出了對(duì)傳統(tǒng)防火墻進(jìn)行改進(jìn)的方案,如多重邊界防火墻,內(nèi)部防火墻等,但這些方案都沒有從根本上擺脫拓?fù)湟蕾?,因而也就不能消除傳統(tǒng)防火墻的固有缺陷,反而增加了網(wǎng)絡(luò)安全管理的難度。為了克服以上缺陷而又保留防火墻的優(yōu)點(diǎn),美國AT&T實(shí)驗(yàn)室研究員Steven MBellovin在他的論文“分布式防火墻”中首次提出了分布式防火墻DistributedFirewall,DFW)的概念,給出了分布式防火墻的原型框架,奠定了分布式防火墻研究的基礎(chǔ)。

二、分布式防火墻的工作原理認(rèn)知分布式防火墻的工作原理是進(jìn)行一切研究的前提

1.分布式防火墻的基本原理

分布式防火墻打破了邊界防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾囮P(guān)系,將內(nèi)部網(wǎng)的概念由物理意義轉(zhuǎn)變成邏輯意義。在分布式防火墻系統(tǒng)中,每個(gè)主機(jī)節(jié)點(diǎn)都有一個(gè)標(biāo)識(shí)該主機(jī)身份的證書,通常是一個(gè)與該節(jié)點(diǎn)所持有的公鑰相對(duì)應(yīng)的數(shù)字證書,內(nèi)部網(wǎng)絡(luò)服務(wù)器的存取控制授權(quán)根據(jù)請(qǐng)求客戶的數(shù)字證書來確定,而不再是由節(jié)點(diǎn)所處網(wǎng)絡(luò)的位置來決定。一般情況下由于證書不易偽造,并獨(dú)立于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 所以只要擁有合法的證書,不管它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被分布式防火墻系統(tǒng)認(rèn)為是“內(nèi)部”用戶,這樣就徹底打破了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾嚒S捎谠诜植际椒呕饓ο到y(tǒng)中安全策略的執(zhí)行被推向了網(wǎng)絡(luò)的邊緣――終端節(jié)點(diǎn),這樣不僅保留了傳統(tǒng)防火墻的優(yōu)點(diǎn),同時(shí)又解決了傳統(tǒng)防火墻的問題。

2.分布式防火墻的功能

其一,Internet訪問控制。依據(jù)工作站名稱、設(shè)備指紋等屬性,使用“Internet訪問規(guī)則”,控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許、禁止訪問模板或Internet服務(wù)器。其二,應(yīng)用訪問控制。通過對(duì)網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測,控制來自局域網(wǎng)、Internet的應(yīng)用服務(wù)請(qǐng)求。其三,網(wǎng)絡(luò)狀態(tài)監(jiān)控。實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。其四,黑客攻擊的防御。抵御包括surf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。其五,日志管理。對(duì)工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗(yàn)證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。

3.分布式防火墻的運(yùn)作機(jī)制

分布式防火墻的運(yùn)作公有四個(gè)步驟:第一,策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中,策略是針對(duì)主機(jī)制定的。在制定策略之后通過策略管理中心“推送”和主機(jī)“索取”兩種機(jī)制分發(fā)到主機(jī)。第二,日志的收集。在分布式防火墻中,日志可以通過管理中心“定期采集”、主機(jī)“定期傳送”、主機(jī)“定量傳送”由主機(jī)傳送到管理中心。第三,策略實(shí)施。策略在管理中心統(tǒng)一制定,通過分發(fā)機(jī)制傳送到終端的主機(jī)防火墻,主機(jī)防火墻根據(jù)策略的配置在受保護(hù)主機(jī)上進(jìn)行策略的實(shí)施。主機(jī)防火墻策略實(shí)施的有效性是分布式防火墻系統(tǒng)運(yùn)行的基礎(chǔ)。第四,認(rèn)證。在分布式防火墻系統(tǒng)中通常采用基于主機(jī)的認(rèn)證方式,即根據(jù)IP地址進(jìn)行認(rèn)證。為了避免IP地址欺騙,可以采用一些強(qiáng)認(rèn)證方法,例如Kerberos,X.509,IP Sec等。

三、分布式防火墻的運(yùn)用

分布式防火墻在現(xiàn)實(shí)生活中的運(yùn)用很廣泛,主要有以下幾點(diǎn):

1.殺毒與防黑

分布式防火墻技術(shù)的出現(xiàn),有效地解決了漏洞和病毒檢測這一問題。它不僅提供了個(gè)人防火墻、入侵檢測、腳本過濾和應(yīng)用程序訪問控制等功能,最重要的是提供了中央管理功能。利用分布式防火墻中央管理器,可以對(duì)網(wǎng)絡(luò)內(nèi)每臺(tái)計(jì)算機(jī)上的防火墻進(jìn)行配置、管理和更新,從宏觀上對(duì)整個(gè)網(wǎng)絡(luò)的防火墻進(jìn)行控制和管理。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進(jìn)行,也可以通過Internet實(shí)現(xiàn)遠(yuǎn)程管理。另外,對(duì)于應(yīng)用較簡單的局域網(wǎng),網(wǎng)絡(luò)殺毒和分布式防火墻的組合是比較易于部署且維護(hù)方便的安全解決方案??梢灶A(yù)見,分布式和網(wǎng)絡(luò)化是未來企業(yè)殺毒軟件和防火墻產(chǎn)品的特點(diǎn),未來的病毒防護(hù)和防火墻技術(shù)將會(huì)更緊密地結(jié)合并覆蓋到網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn),給網(wǎng)絡(luò)提供更“貼身”的保護(hù)。

2.保護(hù)內(nèi)網(wǎng)

在傳統(tǒng)邊界式防火墻應(yīng)用中,內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊,一旦已經(jīng)接入了局域網(wǎng)的某臺(tái)計(jì)算機(jī),并獲得這臺(tái)計(jì)算機(jī)的控制權(quán),便可以利用這臺(tái)機(jī)器作為入侵其他系統(tǒng)的跳板。而最新的分布式防火墻將防火墻功能分布到各個(gè)子網(wǎng)、桌面系統(tǒng)、筆記本計(jì)算機(jī)以及服務(wù)器PC上,分布于整個(gè)網(wǎng)絡(luò)的分布式防火墻使用戶可以方便地訪問信息,而不會(huì)將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能,內(nèi)各用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)遠(yuǎn)程訪問實(shí)現(xiàn)與互聯(lián)。分布式防火墻使用了IP安全協(xié)議,能夠很好地識(shí)別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信,使各主機(jī)之間的通信得到很好的保護(hù)。所以分布式防火墻有能力防止各種類型的被動(dòng)和主動(dòng)攻擊。

3.構(gòu)建網(wǎng)絡(luò)安全解決方案

分布式防火墻的網(wǎng)絡(luò)安全解決方案是在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù),設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機(jī)工作站,并配置相應(yīng)安全策略。將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機(jī)工作站上,客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道,避免下載安全策略和日志通信的不安全性。同時(shí)客戶端防火墻的機(jī)器采用多層過濾、入侵檢測、日志記錄等手段,給主機(jī)的安全運(yùn)行提供強(qiáng)有力的保證。作為業(yè)務(wù)延伸部分的遠(yuǎn)程主機(jī)系統(tǒng)物理上不屬于內(nèi)網(wǎng),但是,在系統(tǒng)中邏輯上仍是內(nèi)網(wǎng)主機(jī),與內(nèi)網(wǎng)主機(jī)的通信依然通過VPN技術(shù)和防火墻隔離來控制接入。

4.托管服務(wù)

互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促使互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的迅速崛起,數(shù)據(jù)中心的主要業(yè)務(wù)之一就是提供服務(wù)器托管服務(wù)。對(duì)服務(wù)器托管用戶而言,該服務(wù)器在邏輯上是企業(yè)網(wǎng)的一部分,不過在物理上并不在企業(yè)網(wǎng)內(nèi)部。對(duì)于這種應(yīng)用,分布式防火墻就十分得心應(yīng)手。用戶只需在托管服務(wù)器上安裝上防火墻軟件,并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略,利用中心管理軟件對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控即可。

參考文獻(xiàn):

[1]王達(dá).網(wǎng)絡(luò)基礎(chǔ)[M].北京:電子工業(yè)出版社.2004

[2]高永強(qiáng)等編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社.2003

[3]楊毅堅(jiān)、肖德寶.基于Agent的分布式防火墻[J].數(shù)據(jù)通訊.2001.2

第3篇:防火墻技術(shù)的基本原理范文

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,特別是政府部門、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等等。受攻擊系統(tǒng)問題主要表現(xiàn)在操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP/IP協(xié)議、應(yīng)用程序(如數(shù)據(jù)庫、瀏覽器等)、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。

入侵檢測系統(tǒng)(Intrusion Detection System,IDS)作為對(duì)防火墻極其有益的補(bǔ)充,IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

從宏觀方面看,入侵檢測的基本原理很簡單。從收集到的一組數(shù)據(jù)中,檢測出符合某一特點(diǎn)的數(shù)據(jù)。入侵者在攻擊時(shí)會(huì)留下一些痕跡,用這些痕跡與系統(tǒng)正常運(yùn)行時(shí)產(chǎn)生的數(shù)據(jù)混合在一起。入侵檢測的任務(wù)就是要從這樣的混合數(shù)據(jù)中找出具有特征的數(shù)據(jù),判斷是否有入侵。

2 入侵檢測的過程分析

IDS進(jìn)行入侵檢測有兩個(gè)過程:信息收集和信息分析。

2.1信息收集

信息收集的對(duì)象包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息。除了盡可能擴(kuò)大檢測范圍外,還有一個(gè)重要的因素就是僅從一個(gè)源點(diǎn)來的信息可能找不出疑點(diǎn),但從幾個(gè)源點(diǎn)來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。當(dāng)然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性。

2.2 信息分析

信息分析通常有三種手段:模式匹配、統(tǒng)計(jì)分析和完整性分析。這三種分析手段對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析。

模式匹配:是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫比較,從而發(fā)現(xiàn)違反安全策略的行為。

統(tǒng)計(jì)分析:是首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)造一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,如果觀察值在正常值范圍之外,就認(rèn)為有入侵發(fā)生。

完整性分析:利用加密機(jī)制能識(shí)別很微小的變化。

2.3入侵檢測系統(tǒng)的結(jié)構(gòu)

從系統(tǒng)結(jié)構(gòu)上看,IDS包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理等。如圖1所示。

3IDS的應(yīng)用部署

3.1 IDS的部署方式分析

從IDS技術(shù)原理來看,IDS的部署主要有共享模式,交換模式,隱蔽模式,Tap模式和In-line模式。

共享模式和交換模式: 從HUB上的任意一個(gè)接口,或者在交換機(jī)上設(shè)置成監(jiān)聽模式的監(jiān)聽端口上收集信息。如果設(shè)備是交換機(jī)則屬于交換模式,惟一不同的是需要在交換機(jī)上做端口鏡像。

隱蔽模式: 這種模式是在其他模式的基礎(chǔ)上將探測器的探測口IP地址去除,使得IDS在對(duì)外界不可見的情況下正常工作。這種IDS大多數(shù)用在DMZ(周邊網(wǎng)絡(luò))外,在防火墻的保護(hù)之外。它有自動(dòng)響應(yīng)的優(yōu)點(diǎn)。例如采用雙網(wǎng)卡的技術(shù),一個(gè)網(wǎng)卡綁定IP,用來與Console(控制臺(tái))通信;另外一個(gè)網(wǎng)卡無IP,用來收集網(wǎng)絡(luò)數(shù)據(jù)包。

Tap模式: 以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息,這樣能捕捉到網(wǎng)絡(luò)中的所有流量,能更好地了解網(wǎng)絡(luò)攻擊的發(fā)生源和攻擊的性質(zhì),為阻止網(wǎng)絡(luò)攻擊提供豐富的信息,并能記錄完整的狀態(tài)信息,使得與防火墻聯(lián)動(dòng)或發(fā)送Reset包更加容易。

In-line模式: 直接將IDS串接在通信線路中。網(wǎng)絡(luò)上所有數(shù)據(jù)都通過IDS。這樣做的目的主要是考慮到阻斷攻擊時(shí)的方便。

3.2應(yīng)用部署分析

部署在防火墻之外

入侵檢測探測器通常被放置在防火墻外的DMZ中。DMZ是介于ISP和最外端防火墻界面之間的區(qū)域,這樣部署使探測器可以看到所有來自Internet的攻擊。然而如果攻擊類型是TCP攻擊,而防火墻或過濾路由器能封鎖這種攻擊,那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。因?yàn)樵S多攻擊類型只能通過檢測是否與字符串特征一致才能被發(fā)現(xiàn),而字符串的傳送只有在TCP三次握手完成后才能進(jìn)行。雖然放在防火墻外的檢測器無法檢測到某些攻擊,但這種位置的好處是:可以看到自己在DMZ區(qū)的服務(wù)(如站點(diǎn))和防火墻暴露在多少種攻擊之下。

部署在防火墻之內(nèi)

部署在防火墻之內(nèi)的目的是,如果攻擊者能夠發(fā)現(xiàn)檢測器,就可能會(huì)對(duì)檢測器進(jìn)行攻擊,從而減少攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)。防火墻內(nèi)的系統(tǒng)會(huì)比外面的系統(tǒng)的脆弱性少一些,如果檢測器在防火墻內(nèi)就會(huì)少一些干擾,從而有可能減少誤報(bào)警。如果本應(yīng)該被防火墻封鎖的攻擊滲透進(jìn)來,檢測器在防火墻內(nèi)檢測到后就能發(fā)現(xiàn)防火墻的設(shè)置失誤。

防火墻的內(nèi)外兼有

如果有足夠的經(jīng)費(fèi),可在防火墻內(nèi)外都部署檢測器,這樣無需猜測是否有攻擊滲透過防火墻。同時(shí)可以檢測來自內(nèi)部和外部的攻擊,可以檢測到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng),這可以幫助系統(tǒng)管理員。

3.3IDS的性能指標(biāo)分析

漏警率: 入侵檢測系統(tǒng)在檢測時(shí)出現(xiàn)“沒有正確地識(shí)別某些入侵行為而未報(bào)警”的概率稱為系統(tǒng)的漏警率。入侵檢測漏警率如果很高,那就會(huì)有很多入侵行為檢測不到,因此也起不到作用。

虛警率: 檢測系統(tǒng)在檢測時(shí)出現(xiàn)“把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤”的概率稱為系統(tǒng)的虛警率。

丟包率: 丟包率是指在滿負(fù)荷的情況下,IDS所能處理的帶寬,即IDS能夠處理的網(wǎng)絡(luò)流量。目前的網(wǎng)絡(luò)IDS系統(tǒng)一般能夠處理50~60Mb/s的網(wǎng)絡(luò)流量,經(jīng)過專門定制的系統(tǒng)可能會(huì)處理更高的流量。

3.4IDS的功能指標(biāo)分析

系統(tǒng)結(jié)構(gòu)

IDS的體系結(jié)構(gòu)按照引擎和控制中心的分布情況,主要分為單機(jī)和分布式的兩種。

單機(jī)結(jié)構(gòu)是引擎和控制中心在一個(gè)系統(tǒng)之上,不能遠(yuǎn)距離操作,只能在現(xiàn)場進(jìn)行操作。分布式結(jié)構(gòu)就是引擎和控制中心在兩個(gè)系統(tǒng)之上,通過網(wǎng)絡(luò)通信,可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。

分布式的優(yōu)點(diǎn)是明顯的:不是必須在現(xiàn)場操作,可以用一個(gè)控制中心控制多個(gè)引擎,可以統(tǒng)一進(jìn)行策略編輯和下發(fā),可以統(tǒng)一查看申報(bào)的事件,可以通過分開事件顯示和查看的功能提高處理速度等。單機(jī)的優(yōu)點(diǎn)是結(jié)構(gòu)簡單,不會(huì)因?yàn)橥ㄐ哦绊懢W(wǎng)絡(luò)帶寬和泄密。

根據(jù)一個(gè)控制中心帶動(dòng)引擎的多少,即控制比例,可以分為高、中、低3類結(jié)構(gòu)。高比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)沒有限制的引擎數(shù)量,事實(shí)上超過50個(gè)引擎即可以算是該比例體系結(jié)構(gòu)。中比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)10~50個(gè)探測引擎。低比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)10個(gè)以下的探測引擎。影響比例高低的主要因素除了控制中心的程序結(jié)構(gòu)外,還有就是系統(tǒng)的處理速度,特別是數(shù)據(jù)庫處理速度。由于多個(gè)引擎就多一份處理時(shí)間和數(shù)據(jù)空間,引擎過多將引起控制中心因處理時(shí)間過慢和數(shù)據(jù)庫數(shù)據(jù)溢出而死機(jī)。

事件數(shù)量

考察IDS系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言,事件越多,表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。目前的IDS系統(tǒng)都具有1000個(gè)左右的事件分析產(chǎn)生能力。但隨著事件的推移,并非事件越多越好,因?yàn)檫^于陳舊的非法事件,在現(xiàn)實(shí)的網(wǎng)絡(luò)和系統(tǒng)環(huán)境中已經(jīng)不存在了,其攻擊非法等自然就沒有任何意義,而且還會(huì)占用系統(tǒng)的處理時(shí)間和空間。因此,應(yīng)該說當(dāng)前能夠使用的非法事件越多越好。一般而言,這個(gè)數(shù)量在500~1000之間,應(yīng)該與流行系統(tǒng)的漏洞數(shù)目相關(guān)。

通信安全

作為分布式結(jié)構(gòu)的IDS系統(tǒng),通信是其自身安全的關(guān)鍵因素。這包含兩個(gè)部分:一是身份認(rèn)證,一是數(shù)據(jù)加密。身份認(rèn)證是要保證一個(gè)引擎,或者子控制中心只能由固定的上級(jí)進(jìn)行控制,任何分支的控制行為將予以阻止,如圖2所示。

其中,實(shí)連線為合法連接,被系統(tǒng)接受并進(jìn)行控制;虛連線為非法連接,被系統(tǒng)拒絕。

一般而言,身份認(rèn)證采用非對(duì)稱加密算法,通過擁有對(duì)方的公鑰,進(jìn)行加密、解密完成身份認(rèn)證的,經(jīng)過雙方兩個(gè)回合的相互認(rèn)證,完成了相互的惟一身份認(rèn)證。

數(shù)據(jù)的加密傳輸一般使用對(duì)稱加密算法,在完成身份認(rèn)證后,利用相對(duì)簡單的加密算法進(jìn)行大量的數(shù)據(jù)交換。這里的關(guān)鍵在于密鑰的保密性。一般系統(tǒng)都是使用動(dòng)態(tài)密鑰,并且在一段時(shí)間內(nèi)自動(dòng)進(jìn)行密鑰更換。對(duì)目前的IDS系統(tǒng),數(shù)據(jù)加密已經(jīng)是系統(tǒng)必備的功能。

4入侵檢測系統(tǒng)的發(fā)展趨勢分析

入侵檢測技術(shù)要體現(xiàn)在入侵的綜合化和復(fù)雜化、入侵主體對(duì)象的隱蔽化、入侵規(guī)模的擴(kuò)大化、入侵技術(shù)的分布化等方面,因此入侵技術(shù)可向以下幾個(gè)方面發(fā)展。

分布式入侵檢測:首先是針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測方法;其次是使用分布式的方法來檢測分布式的攻擊,其中關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

智能化入侵檢測:目前常用的智能化檢測方法有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等。除了上述兩種方法外,還有全面的安全防御方案、對(duì)分析技術(shù)的改進(jìn)和向高度可集成性發(fā)展。

由于防火墻技術(shù)已比較成熟,將入侵檢測技術(shù)和防火墻技術(shù)相結(jié)合,利用入侵檢測結(jié)果實(shí)時(shí)改變防火墻配置,使其斷開惡意連接或數(shù)據(jù)傳送,應(yīng)該是一個(gè)可行的網(wǎng)絡(luò)安全解決方案。

參考文獻(xiàn)

【1】Matt Bishop.王立彬,等譯. 計(jì)算機(jī)安全學(xué).電子工業(yè)出版社.

第4篇:防火墻技術(shù)的基本原理范文

關(guān)鍵詞:云計(jì)算;電力企業(yè)信息;安全技術(shù)

伴隨著我國電力行業(yè)的迅速發(fā)展,特別是南網(wǎng)、國網(wǎng)、華電等大型的電力企業(yè),它們的發(fā)展速度更是非常迅速的,目前,電力行業(yè)在我國經(jīng)濟(jì)的發(fā)展當(dāng)中發(fā)揮著中流砥柱的作用,并且是確保整個(gè)社會(huì)穩(wěn)定劑經(jīng)濟(jì)健康迅速發(fā)展的根本性要素,可是,最近幾年隨著先進(jìn)科學(xué)技術(shù)的不斷研發(fā),電力企業(yè)信息開始面臨著泄漏、不可掌控等一系列的安全性威脅,并且,自云計(jì)算出現(xiàn),其依賴于自身優(yōu)質(zhì)的性能與全新的有效計(jì)算、存儲(chǔ)模式受到了各行各業(yè)的喜愛,云計(jì)算電力與以往的電力企業(yè)信息儲(chǔ)存系統(tǒng)及運(yùn)行性能相比具備非常明顯的優(yōu)勢。為此,云計(jì)算環(huán)境下電力企業(yè)信息安全是目前整個(gè)電力行業(yè)急需探究的重要問題。

1云計(jì)算的概念與基本原理

在分布式處理、并行式處理及先進(jìn)網(wǎng)絡(luò)計(jì)算科學(xué)技術(shù)不斷發(fā)展的基本前提下形成的一種新型計(jì)算模式即云計(jì)算,其面對(duì)的是超大規(guī)模的分布式氛圍,主要發(fā)揮著將供應(yīng)數(shù)據(jù)儲(chǔ)存及網(wǎng)絡(luò)服務(wù)的作用,并且具體的實(shí)現(xiàn)平臺(tái)、服務(wù)于應(yīng)用程序都是在整個(gè)云計(jì)算環(huán)境下得以實(shí)現(xiàn)的。云計(jì)算能夠把全部的計(jì)算資源融合在一起,通過具體軟件促使自動(dòng)化管理、無人為參與,并且能夠提供各種各樣的認(rèn)為服務(wù)。云計(jì)算的基本原理是把相關(guān)的計(jì)算逐一分布在多個(gè)分布式計(jì)算機(jī)當(dāng)中,在遠(yuǎn)程服務(wù)器的具體計(jì)算當(dāng)中可以促使電力企業(yè)信息處于正常的運(yùn)行狀態(tài),有利于企業(yè)將資源更改為具體的需求得以運(yùn)用,并且能夠按照實(shí)際需求對(duì)計(jì)算機(jī)進(jìn)行訪問。云計(jì)算基本原理為一場歷史性的轉(zhuǎn)變創(chuàng)舉。

2目前我國電力企業(yè)信息安全結(jié)構(gòu)狀況

2.1電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)

隨著電力企業(yè)逐漸進(jìn)入網(wǎng)絡(luò)自動(dòng)化及智能化階段,為此,目前電力企業(yè)信息安全結(jié)構(gòu)一般是以公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)有效綜合的一種網(wǎng)絡(luò)結(jié)構(gòu)形式,其中,專用電力信息網(wǎng)絡(luò)指的是在因特網(wǎng)進(jìn)行連接的基礎(chǔ)上形成的一種電力企業(yè)信息網(wǎng)絡(luò)及調(diào)度信息網(wǎng)絡(luò)相互綜合的形式。

2.2電力信息安全系統(tǒng)結(jié)構(gòu)

以信息中的信息性能及信息業(yè)務(wù)為出發(fā)點(diǎn)將電力企業(yè)信息劃分為三種層面:自動(dòng)化、生產(chǎn)管理、辦公室自動(dòng)化及電力企業(yè)信息管理。其中,辦公室自動(dòng)化及電力企業(yè)信息管理是與電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)緊密聯(lián)系在一起的,形成的是一個(gè)安全工作區(qū)域,在這個(gè)安全區(qū)域當(dāng)中SPDnet支撐的一種自動(dòng)化,可具備監(jiān)控性能的實(shí)時(shí)監(jiān)控,譬如,配電自動(dòng)化、調(diào)度自動(dòng)化、變電站自動(dòng)化等,同時(shí),安全生產(chǎn)管理區(qū)域同樣也是SPDnet來作為基本支撐的。

3云計(jì)算環(huán)境下電力企業(yè)信息安全技術(shù)的運(yùn)用

3.1數(shù)據(jù)傳輸-存儲(chǔ)安全技術(shù)

在整個(gè)電力企業(yè)信息當(dāng)中,涵蓋了大量的有關(guān)電力企業(yè)發(fā)展的資料及所有數(shù)據(jù)信息,譬如:電力企業(yè)的財(cái)務(wù)信息、用戶信息、經(jīng)營管理信息等等,所以,對(duì)于整個(gè)電力企業(yè)而言,數(shù)據(jù)的傳輸-存儲(chǔ)安全技術(shù)在其中發(fā)揮著極為重要的作用。一般情況下,云計(jì)算環(huán)境下,嚴(yán)格加密技術(shù)可促使電力企業(yè)信息數(shù)據(jù)在具體的傳輸過程中將會(huì)處于非常安全的一種狀態(tài)下,主要是由于云計(jì)算能夠利用加密技術(shù)將那些潛存的非法訪客完全的拒之門外,預(yù)防數(shù)據(jù)傳輸過程中發(fā)生竊取的事件。從電力企業(yè)信息數(shù)據(jù)存儲(chǔ)技術(shù)的角度進(jìn)行分析,其涵蓋了數(shù)據(jù)恢復(fù)、數(shù)據(jù)分離、數(shù)據(jù)備份、數(shù)據(jù)存貯位置的選擇等幾方面內(nèi)容,而云計(jì)算環(huán)境下,電力企業(yè)便能夠利用私有云這一高度集中的存儲(chǔ)技術(shù)把相關(guān)的數(shù)據(jù)信息以基本性能、重要系數(shù)為依據(jù)來選擇不同的存貯方位,這樣可以促使不同種類數(shù)據(jù)間隔離的實(shí)現(xiàn),并且可起到預(yù)防數(shù)據(jù)信息泄露的作用。云計(jì)算的運(yùn)用可促使電力企業(yè)信息能夠?qū)崿F(xiàn)實(shí)時(shí)備份,使得電力企業(yè)信息在有突況出現(xiàn)的時(shí)候能夠在第一時(shí)間達(dá)到相關(guān)數(shù)據(jù)的及時(shí)恢復(fù)。

3.2權(quán)限認(rèn)證及身份管理安全技術(shù)

云計(jì)算能夠成功的預(yù)防非工作人員使用非法用戶對(duì)電力企業(yè)信息系統(tǒng)進(jìn)行訪問,這主要是由于在私有云的內(nèi)部全部的企業(yè)信息都能夠?qū)崿F(xiàn)禁止訪問技術(shù),電力企業(yè)信息管理工作者能夠通過私有云進(jìn)行身份管理、權(quán)限認(rèn)證技術(shù)的相關(guān)設(shè)置,按照企業(yè)工作人員的級(jí)別及具體的規(guī)定對(duì)于相關(guān)數(shù)據(jù)及應(yīng)用業(yè)務(wù)作出明確的規(guī)定及權(quán)限的劃分,這樣可成功的預(yù)防了非法訪問的事件發(fā)生,同時(shí)實(shí)現(xiàn)合法用戶根據(jù)個(gè)人權(quán)限來進(jìn)行企業(yè)信息的具體操作。

3.3網(wǎng)絡(luò)安全隔離技術(shù)

對(duì)于整個(gè)電力企業(yè)信息來講,云計(jì)算實(shí)則是互聯(lián)網(wǎng)當(dāng)中的一種內(nèi)部性系統(tǒng),通常情況下,電力企業(yè)信息網(wǎng)絡(luò)能夠從網(wǎng)絡(luò)安全的被動(dòng)保護(hù)層面來促使入侵檢驗(yàn)技術(shù)、防火墻設(shè)置等安全防火技術(shù)得以實(shí)現(xiàn),可是,云計(jì)算環(huán)境下,電力企業(yè)信息安全采用的是防火墻技術(shù)、物理隔離技術(shù)、協(xié)議隔離技術(shù)等先進(jìn)的科學(xué)技術(shù),其中,防火墻技術(shù)是對(duì)于企業(yè)外部網(wǎng)絡(luò)及電力企業(yè)信息網(wǎng)絡(luò)而創(chuàng)建的一道安全性保護(hù)屏障,通過對(duì)個(gè)人信息的嚴(yán)格檢測、審核,將具有破壞性入侵的訪客實(shí)施的一種有效防護(hù),能夠最大限度上將那些越過防火墻對(duì)電力企業(yè)信息安全網(wǎng)絡(luò)及正常運(yùn)行造成破壞的數(shù)據(jù)流進(jìn)行完全性的屏蔽;物理隔離技術(shù)指的是在云計(jì)算環(huán)境下對(duì)于電力企業(yè)內(nèi)外部網(wǎng)絡(luò)實(shí)施的一種分割,這樣能夠有效的將內(nèi)外部網(wǎng)絡(luò)系統(tǒng)的連接狀態(tài)完全阻斷;協(xié)議隔離技術(shù)指的是在云計(jì)算環(huán)境下利用網(wǎng)絡(luò)配置隔離器對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行的一種隔離,在協(xié)議隔離技術(shù)的支撐下,內(nèi)外部網(wǎng)絡(luò)是完全分離的一種狀態(tài),而唯有云計(jì)算環(huán)境下的電力企業(yè)信息進(jìn)行相互交換的過程當(dāng)中,內(nèi)外部網(wǎng)絡(luò)才能夠通過協(xié)議由隔離的狀態(tài)轉(zhuǎn)變?yōu)檎_B接狀態(tài)。

4結(jié)語

通過上文針對(duì)云計(jì)算環(huán)境下電力企業(yè)信息安全的淺析,我們從當(dāng)前電力企業(yè)信息安全的狀況進(jìn)行分析,云計(jì)算環(huán)境下用戶信息安全依然是一個(gè)較為嚴(yán)峻的問題,一部分問題并未得到根本性的解決,在今后的工作當(dāng)中,需要針對(duì)云計(jì)算環(huán)境下用戶信息安全供應(yīng)相應(yīng)的幫助,這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅(jiān)信,在未來的工作當(dāng)中,云計(jì)算環(huán)境下的電力企業(yè)信息將會(huì)更加安全,用戶信息的安全性能將會(huì)得到最大程度上的保障。

參考文獻(xiàn)

[1]曹勇,王口品,牒亮等.試析電力企業(yè)信息安全保障體系建設(shè)原則及思路[J].信息通信,2013(04).

[2]陳宇丹.電力企業(yè)信息信息安全關(guān)鍵技術(shù)研究[J].中國科技信息,2013(23).

第5篇:防火墻技術(shù)的基本原理范文

關(guān)鍵詞 網(wǎng)絡(luò)安全實(shí)驗(yàn) 課程教學(xué) 實(shí)驗(yàn)設(shè)計(jì)

中圖分類號(hào):G424 文獻(xiàn)標(biāo)識(shí)碼:A

0 引言

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的快速發(fā)展,網(wǎng)絡(luò)安全成為亟需解決的問題,我院為了培養(yǎng)應(yīng)用型本科人才,在網(wǎng)絡(luò)通信專業(yè)培養(yǎng)計(jì)劃中設(shè)置了網(wǎng)絡(luò)安全實(shí)驗(yàn)這門選修課,因?yàn)殚_設(shè)時(shí)間較短,教學(xué)過程還處于探索階段。網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)這門課無論在掌握計(jì)算機(jī)學(xué)科理論,還是鍛煉學(xué)生在實(shí)際工作生活中解決應(yīng)用問題的能力方面,都起到了十分重要的作用。因?yàn)槭菍?shí)驗(yàn)課程,所以在教學(xué)過程中,比較重視實(shí)踐操作過程。網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的內(nèi)容比較集中在P2DR模型中說涉及的網(wǎng)絡(luò)安全防御、檢測、響應(yīng)三大領(lǐng)域,以滿足在現(xiàn)實(shí)工作中所遇到的不同網(wǎng)絡(luò)安全問題。因此,本文從實(shí)驗(yàn)項(xiàng)目的選擇,實(shí)驗(yàn)平臺(tái)的建立,以及實(shí)驗(yàn)教學(xué)方法等上對(duì)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)進(jìn)行探索。

1 實(shí)驗(yàn)平臺(tái)搭建

首先是虛擬機(jī)技術(shù)在實(shí)驗(yàn)中的使用,網(wǎng)絡(luò)安全實(shí)驗(yàn)中的實(shí)驗(yàn)具有一定的破壞性,所以我們采用了虛擬機(jī)來進(jìn)行實(shí)驗(yàn),在網(wǎng)絡(luò)安全實(shí)驗(yàn)中,需要模擬網(wǎng)絡(luò)攻擊,使學(xué)生掌握怎樣防御的同時(shí),也了解攻擊技術(shù)。所以在實(shí)驗(yàn)中我們首先安排了Vmware虛擬機(jī)的安裝與配置。在虛擬機(jī)中我們安裝windowsserver2003服務(wù)器版操作系統(tǒng),并且配置開啟相關(guān)服務(wù)。

因?yàn)橛布l件有限,所以我們的大量實(shí)驗(yàn)還只能在虛擬機(jī)上進(jìn)行,但為了使學(xué)生身臨其境的感受網(wǎng)絡(luò)安全技術(shù),我們?cè)诰C合實(shí)訓(xùn)中還是建立了基礎(chǔ)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。

2 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

在我國,高校是培養(yǎng)網(wǎng)絡(luò)安全人才的核心力量。網(wǎng)絡(luò)攻擊與防護(hù)是網(wǎng)絡(luò)安全的核心內(nèi)容,也是國內(nèi)外各個(gè)高校信息安全相關(guān)專業(yè)的重點(diǎn)教學(xué)內(nèi)容。所以在實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)上我們體現(xiàn)了實(shí)用性為主的觀念,要在實(shí)驗(yàn)中更多的體現(xiàn)未來學(xué)生畢業(yè)后,會(huì)遇到的網(wǎng)絡(luò)安全問題。所以設(shè)置了以下實(shí)驗(yàn):

(1)安裝Vmware虛擬機(jī),并配置完整的網(wǎng)絡(luò)環(huán)境。配置完善win2003server虛擬環(huán)境,為以后的實(shí)驗(yàn)搭建平臺(tái),習(xí)和掌握Vmware虛擬機(jī)的安裝與配置,以建立網(wǎng)絡(luò)攻防平臺(tái)。

(2)加密原理與技術(shù),利用不同技術(shù)進(jìn)行加密。了解和掌握各種加密方法,以實(shí)現(xiàn)信息加密。學(xué)習(xí)和掌握密碼技術(shù),利用密碼技術(shù)對(duì)計(jì)算機(jī)系統(tǒng)的各種數(shù)據(jù)信息進(jìn)行加密保護(hù)實(shí)驗(yàn),實(shí)現(xiàn)網(wǎng)絡(luò)安全中的數(shù)據(jù)信息保密。

(3)PPPoE的網(wǎng)絡(luò)通信原理及應(yīng)用。學(xué)習(xí)和掌握基于PAP/CHAP的PPPOE的身份認(rèn)證方法。學(xué)習(xí)和掌握利用身份認(rèn)證技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的各種資源進(jìn)行身份認(rèn)證保護(hù)實(shí)驗(yàn),實(shí)現(xiàn)網(wǎng)絡(luò)安全中的信息鑒別。

(4)掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學(xué)習(xí)和掌握如何利用防火墻技術(shù)對(duì)網(wǎng)絡(luò)通信中的傳輸數(shù)據(jù)進(jìn)行鑒別和控制實(shí)驗(yàn)。

(5)學(xué)習(xí)掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學(xué)習(xí)和掌握網(wǎng)絡(luò)通信中的合法用戶數(shù)據(jù)信息的傳輸,以實(shí)現(xiàn)網(wǎng)絡(luò)安全中的保密性、鑒別性和完整。

(6)學(xué)習(xí)和掌握Superscan掃描工具對(duì)計(jì)算機(jī)進(jìn)行端口掃描的方法,操作應(yīng)用。學(xué)習(xí)和掌握各種網(wǎng)絡(luò)安全掃描技術(shù)和操作,并能有效運(yùn)用網(wǎng)絡(luò)掃描工具進(jìn)行網(wǎng)絡(luò)安全分析、有效避免網(wǎng)絡(luò)攻擊行為。

(7)學(xué)習(xí)和掌握如何利用Wireshark進(jìn)行網(wǎng)絡(luò)安全監(jiān)測與分析。學(xué)習(xí)各種網(wǎng)絡(luò)監(jiān)聽技術(shù)的操作實(shí)驗(yàn),能利用網(wǎng)絡(luò)監(jiān)聽工具進(jìn)行分析、診斷、測試網(wǎng)絡(luò)安全性的能力。

(8)學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學(xué)習(xí)和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應(yīng)用實(shí)驗(yàn)。

3 綜合實(shí)訓(xùn)

為了讓學(xué)生能適應(yīng)真實(shí)的網(wǎng)絡(luò)環(huán)境,使之更貼近應(yīng)用型人才的培養(yǎng)方案,最后我們?cè)O(shè)計(jì)了綜合實(shí)訓(xùn)這個(gè)環(huán)節(jié),讓學(xué)生在網(wǎng)絡(luò)通信系統(tǒng)中綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù),設(shè)計(jì)一個(gè)整體的網(wǎng)絡(luò)安全系統(tǒng)。分析公司網(wǎng)絡(luò)需求,綜合運(yùn)用網(wǎng)絡(luò)安全技術(shù)構(gòu)建公司網(wǎng)絡(luò)的安全系統(tǒng)。通過一個(gè)實(shí)際網(wǎng)絡(luò)通信系統(tǒng)中的綜合運(yùn)用,實(shí)現(xiàn)整體系統(tǒng)的有效設(shè)計(jì)和部署。

學(xué)生分組進(jìn)行實(shí)訓(xùn),分為防御組與攻擊組,為了充分利用實(shí)驗(yàn)資源讓防御組的同學(xué)在局域網(wǎng)環(huán)境下搭建服務(wù)器靶機(jī),并讓防御組的同學(xué)配置VPN、NAT防火墻的技術(shù)并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學(xué)操作學(xué)生終端嘗試攻擊服務(wù)器靶機(jī),使用ARP欺騙等技術(shù)。防御組的學(xué)生使用Wireshark網(wǎng)絡(luò)監(jiān)聽查看ARP欺騙源地址,并解決該威脅。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成為重中之重,為了培養(yǎng)本科應(yīng)用型人才,實(shí)踐證明實(shí)驗(yàn)必須貼近真實(shí)存在的案例才能提高學(xué)生的實(shí)際網(wǎng)絡(luò)攻防水平,使學(xué)生掌握網(wǎng)絡(luò)安全的新技術(shù),而使用綜合實(shí)訓(xùn)這種方式,更是提高了學(xué)生的參與積極性,使教學(xué)質(zhì)量進(jìn)一步提升。

參考文獻(xiàn)

[1] 常晉義.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程. 南京大學(xué)出版社,2010.12.

第6篇:防火墻技術(shù)的基本原理范文

關(guān)鍵詞:智能負(fù)載平衡BGP路由

1.引言

隨著學(xué)校信息化的進(jìn)一步加強(qiáng),局域網(wǎng)與Internet的聯(lián)系也越來越密切。從現(xiàn)有的網(wǎng)絡(luò)狀況看,局域網(wǎng)現(xiàn)在已擁有了2條連接Internet的鏈路,分別為:100MBps鏈路連接到中國網(wǎng)通;100MBps鏈路連接到大慶油田通信。這兩條鏈路不但提供整個(gè)局域網(wǎng)用戶訪問Internet的通道,同時(shí)也確保局域網(wǎng)的Web站點(diǎn)和Email系統(tǒng)的Internet通路。由于我校非ISP運(yùn)營商,無法提供BGP路由,故無法充分利用現(xiàn)有兩條鏈路的帶寬;同時(shí)對(duì)外服務(wù)的Web和Email無法在某條Internet鏈路發(fā)生故障的時(shí)候自動(dòng)切換到其余的鏈路上,必須手工設(shè)置切換。然而,由于無法及時(shí)發(fā)現(xiàn)故障,常常導(dǎo)致故障持續(xù)較長時(shí)間才得到修復(fù),作為我校對(duì)外宣傳服務(wù)的窗口,Web站點(diǎn)和Email服務(wù)的穩(wěn)定性將直接影響到我校的形象。針對(duì)以上問題,同時(shí)基于目前7層網(wǎng)絡(luò)交換技術(shù)的成熟應(yīng)用,提出了一個(gè)從系統(tǒng)架構(gòu)高度出發(fā)的解決方案,不但能夠解決以上問題,而且能夠進(jìn)一步加強(qiáng)我校網(wǎng)絡(luò)的穩(wěn)定性,并提供系統(tǒng)充分的擴(kuò)展手段。

2.負(fù)載平衡

負(fù)載均衡通過實(shí)時(shí)地分析數(shù)據(jù)包,將大量的并發(fā)訪問或數(shù)據(jù)流動(dòng)態(tài)地分發(fā)到多臺(tái)節(jié)點(diǎn)設(shè)備上分別處理,以提高響應(yīng)速度,也可以把單個(gè)重負(fù)載的運(yùn)算分發(fā)到多臺(tái)節(jié)點(diǎn)設(shè)備上并行處理。處理結(jié)束后,將結(jié)果匯總返回給用戶,從而提高系統(tǒng)的處理能力。

2.1基本原理

負(fù)載均衡的實(shí)現(xiàn)通常有軟件和硬件設(shè)備兩種。軟件負(fù)載均衡的實(shí)現(xiàn)方式是指在一臺(tái)或多臺(tái)服務(wù)器相應(yīng)的操作系統(tǒng)上安裝附加軟件來實(shí)現(xiàn)負(fù)載均衡,如DNSLoadBalance等。雖然軟成本低,操作簡便,但是系統(tǒng)開銷大,可擴(kuò)展性差,又受制于操作系統(tǒng),不適于大型網(wǎng)絡(luò)。

硬件負(fù)載均衡的實(shí)現(xiàn)是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備,由于它獨(dú)立于操作系統(tǒng),使得整體性能得到大幅度提高,再加上多元化的策略,智能化的管理,可達(dá)到最佳的負(fù)載均衡需求。

負(fù)載均衡技術(shù)通常操作于網(wǎng)絡(luò)的第四層或第七層。第四層為傳輸層,它負(fù)責(zé)在數(shù)據(jù)源和目的系統(tǒng)之間協(xié)調(diào)通信。該協(xié)議層包括傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP);第七層為應(yīng)用層,它控制應(yīng)用層服務(wù)的內(nèi)容,提供了一種對(duì)訪問流量的高層控制方式,適合對(duì)HTTP服務(wù)器群的應(yīng)用。

第四層的負(fù)載均衡是將一個(gè)外部IP地址映射為多個(gè)內(nèi)部服務(wù)器的IP地址,對(duì)每次TCP鏈接請(qǐng)求動(dòng)態(tài)使用其中一個(gè)內(nèi)部IP地址(內(nèi)部IP地址采用虛擬IP-VirtualIP)來達(dá)到負(fù)載均衡的目的。負(fù)載均衡交換機(jī)根據(jù)源端口和目的端口的IP地址、TCP或UDP端口和一定的策率,在服務(wù)器IP和虛擬IP間進(jìn)行映射,選取服務(wù)器群中最好的服務(wù)器來處理鏈接請(qǐng)求。

第七號(hào)層負(fù)載均衡技術(shù)則是通過對(duì)訪問流量的高層控制來實(shí)現(xiàn)負(fù)載均衡的,它檢查流經(jīng)負(fù)載均衡交換機(jī)的HTTP報(bào)頭,根據(jù)報(bào)頭內(nèi)的信息來執(zhí)行負(fù)載均衡的策略。這就是我們所說的七層交換技術(shù)或Web內(nèi)容交換技術(shù)。

負(fù)載均衡使用哈希(HASH)算法來將鏈接的用戶映射到基于IP地址、端口和其他信息服務(wù)器群主機(jī)上。在檢查收到的數(shù)據(jù)包時(shí),所有主機(jī)均同步執(zhí)行這種映射以迅速?zèng)Q定哪個(gè)主機(jī)應(yīng)處理該數(shù)據(jù)包。除非服務(wù)器群主機(jī)數(shù)量發(fā)生變化,否則該映射會(huì)保持不變。

在負(fù)載均衡的設(shè)計(jì)方案上,首先要滿足當(dāng)前和將來的應(yīng)用需要,同時(shí)必須對(duì)現(xiàn)有投資進(jìn)行保護(hù);第一性能要高;第二要有高可靠性;第三擴(kuò)展性要好,第四要有充分的靈活性;第五要易于管理。

3.局域網(wǎng)智能負(fù)載平衡系統(tǒng)的實(shí)現(xiàn)

3.1局域網(wǎng)負(fù)載均衡需求分析及目的

根據(jù)局域網(wǎng)建設(shè)的總體設(shè)計(jì)方案要求,我們總結(jié)出網(wǎng)絡(luò)流量管理的具體需求如下:

國際網(wǎng)絡(luò)連接的負(fù)載均衡,其中包括內(nèi)部用戶對(duì)外的訪問流量和外部用戶對(duì)內(nèi)部服務(wù)器的訪問,要求在正常情況下兩條鏈路上的流量是均衡的,在某鏈路故障時(shí)自動(dòng)將其流量切換到另外的鏈路,自動(dòng)的透明容錯(cuò),當(dāng)鏈路恢復(fù)時(shí)自動(dòng)將其加入到負(fù)載均衡中來。

學(xué)校內(nèi)部用戶通過服務(wù)器的負(fù)載均衡機(jī)制來實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的的訪問,多臺(tái)服務(wù)器同時(shí)并行工作,某臺(tái)服務(wù)器發(fā)生故障時(shí)由負(fù)載均衡產(chǎn)品自動(dòng)檢查到,并且將其從服務(wù)器群組中排除,透明的容錯(cuò),避免單臺(tái)服務(wù)器的性能瓶頸問題。

對(duì)兩臺(tái)NS500防火墻的負(fù)載均衡,包括External,Internal,DMZ的端口的負(fù)載均衡;要求在正常情況下兩臺(tái)防火墻上的流量是均衡的,在某臺(tái)防火墻故障時(shí)自動(dòng)將其流量切換到另外的防火墻,自動(dòng)的透明容錯(cuò),當(dāng)故障的防火墻恢復(fù)時(shí)自動(dòng)將其加入到負(fù)載均衡中來。

均衡系統(tǒng)具備靈活的擴(kuò)展空間,根據(jù)實(shí)際應(yīng)用的需求靈活投資,提高整體服務(wù)能力。

3.2學(xué)校Internet鏈路負(fù)載均衡方案

針對(duì)以上提出的需求分析,我們充分分析目前局域網(wǎng)的實(shí)際狀況,結(jié)合4~7層網(wǎng)絡(luò)交換機(jī)在國際上網(wǎng)絡(luò)優(yōu)化案例的經(jīng)驗(yàn),總結(jié)出以下流量管理和均衡解決方案。

方案采用兩臺(tái)7層IP應(yīng)用交換機(jī)LCCatalyst2400分別提供防火墻和服務(wù)器的負(fù)載均衡服務(wù)。7層IP應(yīng)用交換機(jī)之間的容錯(cuò)可以通過FailOverCable實(shí)現(xiàn),同時(shí)7層IP應(yīng)用交換機(jī)可以通過FailOverCable檢查對(duì)方的運(yùn)行狀態(tài),復(fù)制對(duì)方的所有的Session和狀態(tài)信息。LCCatalyst2400對(duì)ISP國際網(wǎng)絡(luò)接入流量的負(fù)載均衡實(shí)現(xiàn)方法如下:

在雙ISP接入時(shí),每個(gè)ISP接入都單獨(dú)采用一臺(tái)接入路由器,緊跟路由器的后面連接兩臺(tái)LCCatalyst2400,兩臺(tái)LCCatalyst2400做冗余備份,兩臺(tái)LinkController之間有專用的心跳線檢測檢測備份的激活設(shè)備的狀態(tài),其后連接兩臺(tái)防火墻,對(duì)兩臺(tái)防火墻采用冗余連接方式。防火墻外網(wǎng)的默認(rèn)路由指向LCCatalyst2400;接入路由器的默認(rèn)路由指向ISP端的路由器。這樣確保在一臺(tái)防火墻出現(xiàn)故障時(shí)可以通過另外一個(gè)訪問Internet。

3.3系統(tǒng)說明

從內(nèi)網(wǎng)至Internet流量的負(fù)載均衡

(1)LinkControl上為兩個(gè)默認(rèn)路由端建立路由組VIP=0.0.0.0;

(2)LinkControl依據(jù)預(yù)先設(shè)定的策略以及當(dāng)時(shí)線路狀況動(dòng)態(tài)智能選擇外出流量通過的路由;

(3)若有必要LinkControl可以作相應(yīng)的地址轉(zhuǎn)換工作,將用戶的地址依其將通過的ISP轉(zhuǎn)換成相應(yīng)網(wǎng)段的地址,以確保返回的數(shù)據(jù)包從同一鏈路返回。

從Internet進(jìn)入的訪問流量負(fù)載均衡

(1)相應(yīng)二條路由建立2個(gè)對(duì)應(yīng)的虛擬服務(wù)器,各自的地址分別屬于2個(gè)ISP的網(wǎng)段;

(2)LinkControl內(nèi)置了3DNS功能完全替代了傳統(tǒng)的DNS功能,同時(shí)又增加了對(duì)各個(gè)虛擬服務(wù)器的狀態(tài)和可達(dá)鏈路的狀態(tài)的監(jiān)控,確保提供給用戶真正能夠提供服務(wù)的服務(wù)器;

(3)用戶請(qǐng)求petrodaqing.com均由LinkControl進(jìn)行解析,LinkControl可依據(jù)用戶在27種策略中選定的方案分配用戶通過哪條鏈路訪問,或者完全由LinkControl實(shí)現(xiàn)動(dòng)態(tài)分配;

(4)LinkControl可同時(shí)監(jiān)控服務(wù)器的狀態(tài)和鏈路狀態(tài),并且監(jiān)控鏈路狀態(tài)時(shí)可以看該鏈路上的多個(gè)HOP。

3.4方案特點(diǎn)

提供多臺(tái)防火墻的負(fù)載均衡能力;

提供在線維護(hù)防火墻的方法;

解決了單臺(tái)防火墻的處理能力瓶頸問題;

提供了系統(tǒng)的擴(kuò)展能力。

4.局域網(wǎng)服務(wù)器機(jī)群負(fù)載均衡

我校局域網(wǎng)通過服務(wù)方式訪問Internet的結(jié)點(diǎn)有1萬臺(tái),由于受到單臺(tái)服務(wù)器的性能瓶頸和系統(tǒng)故障等問題,影響了訪問Internet的穩(wěn)定性。為此我們采用服務(wù)器的負(fù)載均衡機(jī)制解決這一問題。

我們?cè)谄邔咏粨Q機(jī)設(shè)置虛擬IP地址(VIP由IP地址和TCP/UDP應(yīng)用的端口組成,它是一個(gè)地址)來為用戶的一個(gè)或多個(gè)目標(biāo)服務(wù)器。因此,它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。七層交換機(jī)連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查,當(dāng)用戶通過VIP請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí),BIG/IP根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,選擇性能最佳的服務(wù)器響應(yīng)用戶的請(qǐng)求。如果能夠充分利用所有的服務(wù)器資源,將所有流量均衡的分配到各個(gè)服務(wù)器,這樣就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。七層交換機(jī)是一臺(tái)對(duì)流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對(duì)用戶,只是一臺(tái)虛擬服務(wù)器。用戶此時(shí)只須記住一臺(tái)服務(wù)器,即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被L7靈活地均衡到所有的服務(wù)器。這12種算法主要包括:

·輪詢(RoundRobin):順序循環(huán)將請(qǐng)求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障,BIG/IP就把其從順序循環(huán)隊(duì)列中拿出,不參加下一次的輪詢,直到其恢復(fù)正常。

·比率(Ratio):給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例,根椐這個(gè)比例,把用戶的請(qǐng)求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障,BIG/IP就把其從服務(wù)器隊(duì)列中拿出,不參加下一次的用戶請(qǐng)求的分配,直到其恢復(fù)正常。

·優(yōu)先權(quán)(Priority):給所有服務(wù)器分組,給每個(gè)組定義優(yōu)先權(quán),BIG/IP用戶的請(qǐng)求,分配給優(yōu)先級(jí)最高的服務(wù)器組(在同一組內(nèi),采用輪詢或比率算法,分配用戶的請(qǐng)求);當(dāng)最高優(yōu)先級(jí)中所有服務(wù)器出現(xiàn)故障,BIG/IP才將請(qǐng)求送給次優(yōu)先級(jí)的服務(wù)器組。這種方式,實(shí)際為用戶提供一種熱備份的方式。

·最少的連接方式(LeastConnection);

·最快模式(Fastest);

·觀察模式(Observed);

·預(yù)測模式(Predictive);

·動(dòng)態(tài)性能分配(DynamicRatio-APM);

·動(dòng)態(tài)服務(wù)器補(bǔ)充(DynamicServerAct.);

·服務(wù)質(zhì)量(QoS);

·服務(wù)類型(ToS);

·規(guī)則模式。

4.1方案特點(diǎn)

實(shí)時(shí)監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài),并智能屏蔽故障應(yīng)用系統(tǒng);

實(shí)現(xiàn)多臺(tái)服務(wù)器的負(fù)載均衡,提升系統(tǒng)的可靠性;

可以監(jiān)控和同步服務(wù)器提供的內(nèi)容,確??蛻臬@取到準(zhǔn)確可靠的內(nèi)容;

提供服務(wù)器在線維護(hù)和調(diào)試的手段;

5.結(jié)束語

本文介紹了我校局域網(wǎng)Internet出口智能負(fù)載平衡系統(tǒng)的實(shí)現(xiàn)方法,它成功的提高了整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性,保證了用戶的高速可靠訪問,避免了防火墻等關(guān)鍵網(wǎng)絡(luò)設(shè)備出現(xiàn)單點(diǎn)故障;同時(shí)它提出了利用負(fù)載均衡器來實(shí)現(xiàn)對(duì)防火墻作負(fù)載均衡的解決方案,這將有力的保護(hù)了用戶投資。在未來的企業(yè)信息化的建設(shè)中,負(fù)載均衡技術(shù)將會(huì)發(fā)揮更大的作用。

第7篇:防火墻技術(shù)的基本原理范文

[關(guān)鍵詞]UDP信息傳輸;系統(tǒng)分析與設(shè)計(jì)

中圖分類號(hào):TP311.52 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)05-0325-01

隨著社會(huì)發(fā)展及網(wǎng)絡(luò)普及,網(wǎng)絡(luò)聊天已成為人們?nèi)粘贤ǖ闹匾d體。市場上已經(jīng)出現(xiàn)很多網(wǎng)絡(luò)聊天工具,如騰訊QQ、MSN、阿里旺旺、Skype等等,給人們帶來了樂趣和便捷。本文作為整個(gè)Hollo即時(shí)通訊系統(tǒng)的一部分,重點(diǎn)關(guān)注在NAT網(wǎng)絡(luò)環(huán)境下的UDP信息傳輸,通過研究該課題,可以對(duì)UDP信息傳輸有更進(jìn)一步的了解,從中接觸到關(guān)于防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換、P2P應(yīng)用、NAT的幾種類型知識(shí),同時(shí)實(shí)現(xiàn)“心跳”技術(shù),即每隔幾分鐘即時(shí)通訊端往服務(wù)器發(fā)送UDP信息進(jìn)行端口保持。

一、系統(tǒng)分析與設(shè)計(jì)

系統(tǒng)采用C/S(客戶機(jī)/服務(wù)器)模式,本Hollo即時(shí)通信協(xié)議采用UDP協(xié)議。服務(wù)器具有中心服務(wù)器的功能??蛻舳艘鹊顷懛?wù)器才能接受各種服務(wù)。通信時(shí),由客戶端發(fā)送連接請(qǐng)求,服務(wù)器擔(dān)任中轉(zhuǎn)者角色,將網(wǎng)絡(luò)包從發(fā)送方轉(zhuǎn)交給接收方。其功能包括:記錄客戶機(jī)各種活動(dòng)、負(fù)責(zé)對(duì)客戶機(jī)消息的轉(zhuǎn)發(fā)。服務(wù)器通常采用高性能的PC、工作站或小型機(jī),并采用大型數(shù)據(jù)庫系統(tǒng)。

二、基本原理及分類

NAT網(wǎng)絡(luò)環(huán)境介紹

NAT(Network Address Translators),網(wǎng)絡(luò)地址轉(zhuǎn)換,是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù),從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。主要包括基礎(chǔ)NAT、錐形NAT、對(duì)稱NAT等三類。常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后,可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu),在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能,還可以實(shí)現(xiàn)負(fù)載均衡等功能。

網(wǎng)絡(luò)地址轉(zhuǎn)換是在IP地址日益缺乏的情況下產(chǎn)生的,它的主要目的就是為了能夠地址重用。NAT分為兩大類,基本的NAT和NAPT(Network Address/Port Translator)。

因此,基本的NAT實(shí)現(xiàn)的功能很簡單,在子網(wǎng)內(nèi)使用一個(gè)保留的IP子網(wǎng)段,這些IP對(duì)外是不可見的。子網(wǎng)內(nèi)只有少數(shù)一些IP地址可以對(duì)應(yīng)到真正全球唯一的IP地址。如果這些節(jié)點(diǎn)需要訪問外部網(wǎng)絡(luò),那么基本NAT就負(fù)責(zé)將這個(gè)節(jié)點(diǎn)的子網(wǎng)內(nèi)IP轉(zhuǎn)化為一個(gè)全球唯一的IP然后發(fā)送出去。(基本的NAT會(huì)改變IP包中的原IP地址,但是不會(huì)改變IP包中的端口)。

NAT技術(shù)的出現(xiàn)從某種意義上解決了IPv4的32位地址不足的問題,它同時(shí)也對(duì)外隱藏了其內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。NAT設(shè)備(NAT,一般也被稱為中間件)把內(nèi)部網(wǎng)絡(luò)跟外部網(wǎng)絡(luò)隔離開來,并且可以讓內(nèi)部的主機(jī)可以使用一個(gè)獨(dú)立的IP地址,并且可以為每個(gè)連接動(dòng)態(tài)地翻譯這些地址。

網(wǎng)絡(luò)地址轉(zhuǎn)換器不僅檢查,而且修改了跨境流動(dòng)的數(shù)據(jù)包的頭信息,讓后面的NAT的許多主機(jī)使用數(shù)量較少地址,即共享一個(gè)公共IP地址(通常是一個(gè))。

――采用UDP網(wǎng)絡(luò)傳輸協(xié)議

UDP協(xié)議是英文User Datagram Protocol的縮寫,即用戶數(shù)據(jù)報(bào)協(xié)議,主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。與TCP不同,UDP協(xié)議并不提供數(shù)據(jù)傳送的保證機(jī)制,具有“不可靠性”,但它是分發(fā)信息的一個(gè)理想?yún)f(xié)議。UDP廣泛用在多媒體應(yīng)用中,例如,Progressive Networks公司開發(fā)的RealAudio軟件,它是在因特網(wǎng)上把預(yù)先錄制的或者現(xiàn)場音樂實(shí)時(shí)傳送給客戶機(jī)的一種軟件,該軟件使用的RealAudio audio-on-demand protocol協(xié)議就是運(yùn)行在UDP之上的協(xié)議,大多數(shù)因特網(wǎng)電話軟件產(chǎn)品也都運(yùn)行在UDP之上。

――UDP下的信息傳輸設(shè)計(jì)

1、數(shù)據(jù)傳輸

UDP協(xié)議的主要作用是將網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)報(bào)的形式。一個(gè)典型的數(shù)據(jù)報(bào)就是一個(gè)二進(jìn)制數(shù)據(jù)的傳輸單位。

使用端口號(hào)為不同的應(yīng)用保留其各自的數(shù)據(jù)傳輸通道。

2、UDP報(bào)頭校驗(yàn)值

UDP協(xié)議使用報(bào)頭中的校驗(yàn)值來保證數(shù)據(jù)的安全。校驗(yàn)值首先在數(shù)據(jù)發(fā)送方通過特殊的算法計(jì)算得出,在傳遞到接收方之后,還需要再重新計(jì)算。

3、UDP消息確認(rèn)機(jī)制

對(duì)于聊天軟件有大量連接的程序來說,消息準(zhǔn)確可靠是很重要的,TCP連接雖然可靠,但是在網(wǎng)絡(luò)不穩(wěn)定的時(shí)候也是不可靠的,主要表現(xiàn)在TCP連接中斷之后雙方?jīng)]檢測到中斷之前的發(fā)包對(duì)方是收不到的,而KTCP的并發(fā)連接數(shù)量是有限的,不可能無限制增長,而如果UDP增加了消息確認(rèn)機(jī)制后就沒有TCP的這些缺點(diǎn)。

4、消息確認(rèn)機(jī)制的實(shí)現(xiàn)

初步分析采用消息處理和消息確認(rèn)分為兩個(gè)程序的方式進(jìn)行,它們采用兩個(gè)命名管道進(jìn)行通訊,相當(dāng)于電話中兩條線,一條收一條發(fā).每條管道也都采用消息確認(rèn)的方式,當(dāng)收到一條消息的時(shí)候再回復(fù)一條消息,對(duì)方收到回復(fù)消息后才發(fā)下一條消息,最后再把消息確認(rèn)程序改成系統(tǒng)服務(wù)。

5、UDP穿透

一般情況下,TCP發(fā)送消息更安全,更可靠,而UDP傳送數(shù)據(jù)容易丟包,但速度快,能穿越防火墻。目前比較流行的QQ聊天工具底層傳輸協(xié)議用戶的就是UDP協(xié)議。

6、UDP發(fā)送心跳包

所謂的心跳包就是在客戶端和服務(wù)器端間定時(shí)通知對(duì)方自己狀態(tài)的一個(gè)自己定義的命令字,按照一定的時(shí)間間隔發(fā)送,類似于心跳,所以叫做心跳包。

發(fā)包方:可以是客戶也可以是服務(wù)端,看哪邊實(shí)現(xiàn)方便合理。一般是客戶端。服務(wù)器也可以定時(shí)輪詢發(fā)心跳下去。

三、總結(jié)與展望

第8篇:防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】 電子商務(wù) 網(wǎng)絡(luò)安全 要素

互聯(lián)網(wǎng)具有一網(wǎng)通天下的特點(diǎn),不僅改變了人們的生活方式,還為商務(wù)活動(dòng)的發(fā)展開辟了新的方向,網(wǎng)絡(luò)經(jīng)濟(jì)已與人們的生活密不可分。電子商務(wù)與網(wǎng)絡(luò)相互依存,網(wǎng)絡(luò)安全問題同時(shí)也困擾著電子商務(wù)的發(fā)展。為了推進(jìn)電子商務(wù)快速發(fā)展,加強(qiáng)對(duì)網(wǎng)絡(luò)安全的研究和應(yīng)用意義十分重大。

一、網(wǎng)絡(luò)安全對(duì)于電子商務(wù)的重要性

當(dāng)前,電子商務(wù)已逐步覆蓋全球,而網(wǎng)絡(luò)安全問題也得到了業(yè)內(nèi)廣泛關(guān)注。電子商務(wù)的交易方式有別于傳統(tǒng)的面對(duì)面交易,在電力商務(wù)中,交易雙方均通過網(wǎng)絡(luò)進(jìn)行信息交流,以網(wǎng)絡(luò)為媒介無疑加大了交易的風(fēng)險(xiǎn)性,因此安全的網(wǎng)絡(luò)環(huán)境能夠給交易雙方均帶來良好的體驗(yàn)。電子商務(wù)的網(wǎng)絡(luò)安全管理較為復(fù)雜,不僅需要高新的技術(shù)做支持,如電子簽名、電子識(shí)別等,還需要用戶的配合,通常來說,用戶的個(gè)人信息越全面,網(wǎng)絡(luò)交易平臺(tái)對(duì)用戶的保護(hù)便會(huì)越全方位??梢姡陔娮由虅?wù)交易平臺(tái)中,網(wǎng)絡(luò)安全具有十分重要的作用。

二、電子商務(wù)中網(wǎng)絡(luò)安全的技術(shù)要素

1、防火墻技術(shù)。防火墻技術(shù)主要是通過數(shù)據(jù)包過濾以及服務(wù)的方式來實(shí)現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內(nèi)部信息[1]。防火墻好比一個(gè)可以設(shè)定濾網(wǎng)大小的過濾裝置,可以根據(jù)用戶的需求,對(duì)信息進(jìn)行過濾、管理。在服務(wù)器中,防火墻的技術(shù)便演化為一種連接各個(gè)網(wǎng)關(guān)的技術(shù),對(duì)網(wǎng)關(guān)之間的信息聯(lián)通進(jìn)行過濾。雖然上述兩種過濾管理技術(shù)形式略有區(qū)別,但本質(zhì)相同,在電子商務(wù)中,可以將兩者結(jié)合使用,使各自的優(yōu)勢得到充分發(fā)揮。實(shí)現(xiàn)在防火墻內(nèi)部設(shè)計(jì)好一個(gè)過濾裝置,以便對(duì)信息進(jìn)行過濾與確定是否可以通過。

2、數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是對(duì)于指定接收方設(shè)定一個(gè)解密的密碼,由數(shù)學(xué)的方式,轉(zhuǎn)換成安全性高的加密技術(shù),以確保信息的安全。這里面會(huì)涉及到一個(gè)認(rèn)證中心,也就是第三方來進(jìn)行服務(wù)的一個(gè)專門機(jī)構(gòu),必須嚴(yán)格按照認(rèn)證操作規(guī)定進(jìn)行服務(wù)[2]。認(rèn)證系統(tǒng)的基本原理是利用可靠性高的第三方認(rèn)證系統(tǒng)CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報(bào)文進(jìn)行交易,不過也要通過RSA進(jìn)行加密,必須有解密密鑰才可以對(duì)稱,并通過認(rèn)證,如果明文與密文的不對(duì)稱,就不會(huì)認(rèn)證通過,保證了信息的安全[3]。

3、數(shù)字認(rèn)證技術(shù)。為了使電子商務(wù)交易平臺(tái)更為安全、可靠,數(shù)字認(rèn)證技術(shù)便應(yīng)運(yùn)而生,其以第三方信任機(jī)制為主要載體,在進(jìn)行網(wǎng)絡(luò)交易時(shí),用戶需通過這一機(jī)制進(jìn)行身份認(rèn)證,以避免不法分子盜用他人信息。PKI對(duì)用戶信息的保護(hù)通過密鑰來實(shí)現(xiàn),密鑰保存了用戶的個(gè)人信息,在用戶下次登陸時(shí),唯有信息對(duì)稱相符,才能享受到電子商務(wù)平臺(tái)提供的相應(yīng)服務(wù),在密鑰的管理下,數(shù)據(jù)的信息得到充分保護(hù),電子商務(wù)交易的安全性能得到了大幅提升。

三、電子商務(wù)中網(wǎng)絡(luò)安全提升的策略

1、提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)。隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)在人們工作、生活中已無處不在,我們?cè)谙硎芫W(wǎng)絡(luò)帶來的便利時(shí),還應(yīng)了加強(qiáng)對(duì)網(wǎng)絡(luò)安全重要性的了解,樹立網(wǎng)絡(luò)安全防范意識(shí),為加強(qiáng)網(wǎng)絡(luò)安全奠定思想基礎(chǔ)。應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全知識(shí)的宣傳和普及,使公民對(duì)網(wǎng)絡(luò)安全有一個(gè)全面的了解;同時(shí),還應(yīng)使公民掌握一些維護(hù)網(wǎng)絡(luò)安全的技能,以便發(fā)生網(wǎng)絡(luò)安全問題時(shí),能夠得到及時(shí)控制,避免問題擴(kuò)大化。

2、加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。網(wǎng)絡(luò)安全的提升離不開素質(zhì)過硬的專業(yè)人才,由于網(wǎng)絡(luò)技術(shù)具有一定的門檻,如果對(duì)專業(yè)了解不深,技術(shù)上不夠?qū)9?,專業(yè)問題便難以得到有效解決,應(yīng)著力提升電子商務(wù)網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)素養(yǎng),為加強(qiáng)網(wǎng)絡(luò)安全奠定人力基礎(chǔ)。在培養(yǎng)專業(yè)人才時(shí),應(yīng)勤于和國內(nèi)外的專業(yè)人員進(jìn)行技術(shù)交流,加強(qiáng)對(duì)網(wǎng)絡(luò)安全領(lǐng)域前沿技術(shù)的了解和掌握,避免在技術(shù)更新上落后于人。

3、開展網(wǎng)絡(luò)安全立法和執(zhí)法。網(wǎng)絡(luò)安全的有效提升需要從法律層面進(jìn)行約束,應(yīng)著力于完善網(wǎng)絡(luò)安全立法和執(zhí)法的相關(guān)工作,加快立法工作的步伐,構(gòu)建科學(xué)、合理的網(wǎng)絡(luò)安全法律體系。自從計(jì)算機(jī)產(chǎn)生以來,世界各國均設(shè)立了維護(hù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)。在新時(shí)期,我國應(yīng)集結(jié)安全部、公安部等職能部門的力量,加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理,力求構(gòu)建一個(gè)安全、健康的網(wǎng)絡(luò)環(huán)境。

四、結(jié)論

綜上所述,在信息時(shí)代背景下,電子商務(wù)假以時(shí)日便會(huì)成為信息交流的重要平臺(tái),成為全球競爭發(fā)展的熱門領(lǐng)域。我國電子商務(wù)起步較晚,但發(fā)展后勁十足,在一體化趨勢的引導(dǎo)下,電子商務(wù)應(yīng)著力提升網(wǎng)絡(luò)的安全性,形成具有我國特色的電子商務(wù),在全球經(jīng)濟(jì)中力爭贏得一席之地。

參 考 文 獻(xiàn)

[1]梁文陶.計(jì)算機(jī)技術(shù)應(yīng)用與電子商務(wù)發(fā)展研究[J].太原城市職業(yè)技術(shù)學(xué)院學(xué)報(bào),2013(08):125-126.

第9篇:防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】云計(jì)算 安全架構(gòu) 安全策略 保障體系

1 云計(jì)算的概念與基本原理

云計(jì)算是隨著互聯(lián)網(wǎng)及互聯(lián)網(wǎng)相關(guān)服務(wù)的增加、使用所發(fā)展的一種計(jì)算模式,目前關(guān)于云計(jì)算沒有一個(gè)正式的定義,但是目前所開發(fā)的云計(jì)算主要是基于計(jì)算機(jī)基礎(chǔ)設(shè)施的租用和網(wǎng)絡(luò)資源的共享模式;未來真正意義上的云計(jì)算主要指基于網(wǎng)絡(luò)的IT服務(wù)的交付和使用模式。指可以通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。這種服務(wù)可以是硬件或是軟件、也可是與計(jì)算機(jī)相關(guān)的其他服務(wù)。它意味著計(jì)算和信息處理能力也可作為一種商品通過互聯(lián)網(wǎng)進(jìn)行流通。

云計(jì)算的基本原理是:用戶所需的應(yīng)用程序或者硬件設(shè)施并不需要用戶自行購買或者安裝于用戶的終端設(shè)備上,而是由專業(yè)的云計(jì)算公司提供,用戶的數(shù)據(jù)也不是存儲(chǔ)于用戶本地,而是存儲(chǔ)于硬件和軟件的云計(jì)算服務(wù)提供商;并由他們來維護(hù)和管理這些數(shù)據(jù)中心正常運(yùn)轉(zhuǎn)并保證足夠強(qiáng)的計(jì)算能力和足夠大的存儲(chǔ)空間來供用戶使用。用戶只需要支付相應(yīng)的租金或使用費(fèi)就可以在任何時(shí)間和任何地點(diǎn),連接至互聯(lián)網(wǎng)的終端設(shè)備,實(shí)現(xiàn)隨需隨用。

2 目前云計(jì)算的主要安全問題

云計(jì)算從概念推出開始就引發(fā)了IT業(yè)的巨大變革,并被看成是IT業(yè)重新洗牌的機(jī)會(huì),但是云計(jì)算的發(fā)展也有其局限性,最主要的就是安全性方面。其中2009年2月,谷歌公司位于歐洲的數(shù)據(jù)中心例行維護(hù)導(dǎo)致另一個(gè)位于歐洲的數(shù)據(jù)中心過載,進(jìn)而影響到其他的數(shù)據(jù)中心,導(dǎo)致該公司的郵箱業(yè)務(wù)Gmail經(jīng)歷了長達(dá)4小時(shí)的服務(wù)中斷。同年3月中旬,微軟的Azure停止運(yùn)行約22個(gè)小時(shí)。而在之前的2008年,亞馬遜公司S3服務(wù)曾斷網(wǎng)6小時(shí)。這些問題折射出云計(jì)算的安全缺陷,這些缺陷主要表現(xiàn)在以下兩個(gè)方面:一、是云端本身的問題,二是提供服務(wù)時(shí)的安全隱患。前者主要是指服務(wù)器、網(wǎng)絡(luò)等硬件問題,后者則涉及到數(shù)據(jù)位置、隔離、審計(jì)、恢復(fù)、法律等等各方各面。

3 云計(jì)算安全架構(gòu)的建設(shè)

云計(jì)算主要以提供多種形式的網(wǎng)絡(luò)化服務(wù)為主,大致分為以下幾個(gè)方面:如軟件即服務(wù)(SaaS)、數(shù)據(jù)即服務(wù)(Daas)、平臺(tái)即服務(wù)(Paas)、基礎(chǔ)架構(gòu)即服務(wù)(Iaas)、通訊即服務(wù)(Cass)等。云計(jì)算的安全保障體系架構(gòu)主要分為,終端用戶安全保障、用戶數(shù)據(jù)安全保障、虛擬化技術(shù)安全保障三個(gè)部分。

3.1 終端用戶安全

用戶作為云計(jì)算的終端,首先應(yīng)當(dāng)保證自身計(jì)算機(jī)或移動(dòng)設(shè)備的的安全。由于大多數(shù)用戶并非計(jì)算機(jī)專業(yè)人員,因此應(yīng)該在用戶的終端上部署安全軟件,包括反惡意軟件、防病毒、個(gè)人防火墻以及IPS 類型的軟件。同時(shí)注重自身賬號(hào)密碼的安全保護(hù),盡量不在陌生的計(jì)算機(jī)終端上使用云服務(wù)。并且基于瀏覽器普遍成為云服務(wù)應(yīng)用的主要應(yīng)用程序,針對(duì)瀏覽器的攻擊風(fēng)險(xiǎn)也逐漸加大,具體表現(xiàn)在各類插件和應(yīng)用的強(qiáng)制或隱蔽安裝上,從而影響云計(jì)算應(yīng)用的安全。因此云用戶應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊,從而在云環(huán)境中實(shí)現(xiàn)端到端的安全保障。

3.2 用戶數(shù)據(jù)與信息安全

數(shù)據(jù)和信息是云計(jì)算的一個(gè)主要組成部分,無論是何種云計(jì)算服務(wù),用戶最終的計(jì)算和信息存儲(chǔ)依然在云端,也就是云計(jì)算服務(wù)提供商的服務(wù)器中,目前主流的數(shù)據(jù)和信息保障主要基于數(shù)據(jù)加密、用戶訪問控制等方面。

3.2.1 數(shù)據(jù)加密

數(shù)據(jù)加密是保障數(shù)據(jù)安全的一個(gè)重要方式,目前對(duì)大規(guī)模云計(jì)算來說主要采用同態(tài)加密技術(shù),同態(tài)加密是現(xiàn)代較流行的一種加密技術(shù),主要對(duì)經(jīng)過同態(tài)加密的數(shù)據(jù)進(jìn)行處理得到一個(gè)輸出,將這一輸出進(jìn)行解密,進(jìn)而驗(yàn)證其結(jié)果與用同一方法處理未加密的原始數(shù)據(jù)得到的輸出結(jié)果是否一樣。

3.2.2 用戶訪問控制

對(duì)于用戶來說,云端服務(wù)器是用戶數(shù)據(jù)和信息的提取地和最終存放地,但是相比銀行的身份驗(yàn)證程序,云計(jì)算的身份認(rèn)證和訪問控制技術(shù)仍不成熟,目前主要采用IBACC 協(xié)議(用于云服務(wù)和云計(jì)算的加密和簽名的基于身份的認(rèn)證協(xié)議)該協(xié)議將有助于保護(hù)存儲(chǔ)于云計(jì)算中信息的保密性、完整性及管理規(guī)范性。然而該技術(shù)的發(fā)展仍停留在數(shù)據(jù)加密和密鑰開發(fā)技術(shù)的基礎(chǔ)上,下一步將加強(qiáng)與個(gè)人信息庫與IP地址的分析和互聯(lián)查詢上方面。

3.3 虛擬化技術(shù)的安全保障

虛擬化和虛擬機(jī)技術(shù)是云計(jì)算概念的一個(gè)基礎(chǔ)組成部分,目前虛擬化技術(shù)在云計(jì)算當(dāng)中普遍采用,這也帶來了虛擬化技術(shù)的安全問題,主要體現(xiàn)在兩個(gè)方面:虛擬化軟件安全和虛擬化硬件安全。目前虛擬化技術(shù)安全主要由云計(jì)算服務(wù)提供商負(fù)責(zé)。

在虛擬化軟件方面,虛擬化軟件主要提供虛擬服務(wù)器的構(gòu)建功能,包括服務(wù)器的創(chuàng)建、運(yùn)行和銷毀操作,所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層。云服務(wù)提供商應(yīng)建立必要的安全控制措施,限制對(duì)虛擬化軟件的物理和邏輯訪問控制。

在虛擬化硬件方面,必須建立基于主機(jī)的專業(yè)的防火墻系統(tǒng)、殺毒軟件、日志系統(tǒng)和恢復(fù)系統(tǒng),并雇用專業(yè)人員進(jìn)行日常的更新和維護(hù),同時(shí)并且對(duì)于每臺(tái)虛擬化服務(wù)器設(shè)置獨(dú)立的硬盤分區(qū),用以系統(tǒng)和日常數(shù)據(jù)的備份。

4 結(jié)束語

云計(jì)算技術(shù)從概念的提出到目前只有短短幾年,然而卻迅速成為未來計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展方向。云計(jì)算的安全保障是目前阻礙廣大用戶接受云計(jì)算的最大障礙,如何建立讓用戶接受的可信云,是云計(jì)算安全保障技術(shù)的最終目標(biāo)。隨著網(wǎng)絡(luò)互聯(lián)技術(shù)的發(fā)展,云計(jì)算的安全保障架構(gòu)仍會(huì)受到巨大的挑戰(zhàn),需要我們繼續(xù)深入研究。

參考文獻(xiàn)

[1]張敏.AB-ACCS:一種云存儲(chǔ)密文訪問控制方法[J].計(jì)算機(jī)研究與發(fā)展,2010.

[2]張健.云計(jì)算概念和影響力解析[J].電信網(wǎng)技術(shù),2009.

[3]張慧,刑培振.云計(jì)算環(huán)境下信息安全分析[J].計(jì)算機(jī)研究與發(fā)展.2011.

[4]Tim Mather.Subra Kumaraswamy.Shahed Latif.cloud securityand parivacy[M].O'Reilly Media.Inc.2009.

[5]石屹嶸,段勇.云計(jì)算在電信IT 領(lǐng)域的應(yīng)用探討[J].電信科學(xué),2009.