公務(wù)員期刊網(wǎng) 精選范文 防火墻技術(shù)的研究范文

防火墻技術(shù)的研究精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻技術(shù)的研究主題范文,僅供參考,歡迎閱讀并收藏。

防火墻技術(shù)的研究

第1篇:防火墻技術(shù)的研究范文

關(guān)鍵詞:網(wǎng)絡(luò)隔離;防火墻技術(shù);比較

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 09-0000-01

Comparative Study of Network Isolation and Firewall Technology

Wang Lei

(Hunan Women's University,Changsha410004,China)

Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.

Keywords:Network isolation;Firewall technology;Comparison

一、前言

隨著Internet的飛速發(fā)展以及我國(guó)政府信息化為代表的電子政務(wù)的蓬勃發(fā)展,寬帶網(wǎng)已經(jīng)得到普及。業(yè)界電子商務(wù)的開展,海量的網(wǎng)絡(luò)信息,日趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。辦公信息化帶來了辦公效率質(zhì)的飛躍,但辦公信息化的安全,也極大地引起人們的關(guān)注和思考,相應(yīng)的網(wǎng)絡(luò)隔離技術(shù)與防火墻技術(shù)的應(yīng)用研究引起了人們的高度重視。

二、網(wǎng)絡(luò)隔離技術(shù)簡(jiǎn)介

(一)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程

網(wǎng)絡(luò)隔離,英文名為Network Isolation,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)。

(二)網(wǎng)絡(luò)隔離技術(shù)原理

網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù),是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以,網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實(shí)現(xiàn)了真正的安全。

(三)網(wǎng)絡(luò)隔離設(shè)備的實(shí)現(xiàn)機(jī)制

網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件組成。網(wǎng)絡(luò)隔離硬件包括一個(gè)獨(dú)立的固態(tài)存儲(chǔ)單元和一個(gè)獨(dú)立的調(diào)度和控制單元,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時(shí)刻最多只有一個(gè)同固態(tài)存儲(chǔ)單元建立非TCP/IP協(xié)議的數(shù)據(jù)連接,并通過私有協(xié)議進(jìn)行數(shù)據(jù)的交換。

三、防火墻的體系架構(gòu)介紹

目前的防火墻大都依靠于對(duì)數(shù)據(jù)包的信息進(jìn)行檢查,檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭,要了解防火墻的具體架構(gòu),就需要分析檢查它是哪一層協(xié)議的信息。根據(jù)OSI模型,防火墻架構(gòu)包含以下幾種:包過濾防火墻,電路網(wǎng)關(guān)防火墻,應(yīng)用網(wǎng)關(guān)防火墻,狀態(tài)檢測(cè)包過濾防火墻和切換防火墻。防火墻是建立在內(nèi)外網(wǎng)邊界上的過濾封鎖機(jī)制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻對(duì)網(wǎng)絡(luò)安全的保護(hù)程度,很大程度上取決于防火墻的體系架構(gòu)。隨著網(wǎng)絡(luò)應(yīng)用的增加,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

四、防火墻存在的安全漏洞

防火墻設(shè)備側(cè)重于網(wǎng)絡(luò)層到應(yīng)用層的策略隔離,操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞、通用協(xié)議的缺陷等都成為不安全的潛在因素。首先由防火墻的體系架構(gòu)可知,防火墻可能會(huì)產(chǎn)生網(wǎng)絡(luò)層短路,從而導(dǎo)致偽造合法數(shù)據(jù)包帶來的危害;防火墻還難以抵御數(shù)據(jù)驅(qū)動(dòng)式攻擊,即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使正常通信癱瘓。其次,防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵。第三,防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素,當(dāng)防火墻主機(jī)被控制后,內(nèi)部受保護(hù)網(wǎng)絡(luò)就會(huì)暴露無疑。第四,要使防火墻發(fā)揮有效的安全性,需要正確、合理地配置防火墻相關(guān)的安全策略,而配置的復(fù)雜程度不僅帶來繁瑣的工作量,同時(shí)也增加了配置不當(dāng)帶來的安全隱患。

五、安全性分析比較

(一)指導(dǎo)思想不同

1.防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全;

2.網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下,盡可能互聯(lián)互通。

(二)體系架構(gòu)不同

網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機(jī)或三機(jī)系統(tǒng),而防火墻由一臺(tái)處理機(jī)組成,為單機(jī)系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實(shí)現(xiàn)了OSI模型七層的斷開和應(yīng)用層內(nèi)容的檢查機(jī)制,因而不會(huì)產(chǎn)生網(wǎng)絡(luò)層短路,消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。

(三)安全規(guī)則配置的復(fù)雜程度不同

防火墻主要依據(jù)網(wǎng)絡(luò)治理工程師配置的規(guī)則進(jìn)行安全檢查,其安全性的高低與規(guī)則配置情況密切相關(guān)。規(guī)則配置十分復(fù)雜,規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān),而且與每條規(guī)則的先后順序、規(guī)則之間的相關(guān)性都有很大關(guān)系。網(wǎng)絡(luò)治理工程師必須仔細(xì)檢查每條規(guī)則,以保證其結(jié)果是其預(yù)期的結(jié)果。從另一個(gè)方面講,防火墻的配置要求網(wǎng)絡(luò)治理工程師有較高的網(wǎng)絡(luò)知識(shí)和技術(shù)水平。防火墻只是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備,防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅,規(guī)則配置錯(cuò)誤將造成不安全通道打開。而網(wǎng)絡(luò)隔離設(shè)備無需進(jìn)行復(fù)雜的規(guī)則配置,只需設(shè)定一些內(nèi)外網(wǎng)訪問政策。網(wǎng)絡(luò)隔離設(shè)備僅答應(yīng)定制的信息進(jìn)行交換,即使出現(xiàn)錯(cuò)誤,也至多是數(shù)據(jù)不再答應(yīng)傳輸,而不會(huì)造成重大安全事故。

參考文獻(xiàn):

第2篇:防火墻技術(shù)的研究范文

【關(guān)鍵詞】防火墻技術(shù);防火墻體系結(jié)構(gòu)

1.引言

網(wǎng)絡(luò)安全是一個(gè)不容忽視的問題,當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來的方便與快捷的同時(shí),也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全,當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí),可以在中間加入一個(gè)或多個(gè)中介系統(tǒng),防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊,非法訪問,并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。

2.防火墻的定義

Internet防火墻是一個(gè)或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。

防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備,常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)連接的點(diǎn)上。Internet防火墻是由路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。安全策略應(yīng)告訴用戶應(yīng)有對(duì)的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。

防火墻系統(tǒng)可以是路由器,也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)或網(wǎng)點(diǎn)與Internet的連接處,但是防火墻系統(tǒng)也可以位于等級(jí)較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。

防火墻的局限性:

1)不能防范惡意的知情者;

2)不能防范不通過它的連接;

3)不能防范全部的威脅;

4)不能防范病毒。

由此可見,要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用。

3.防火墻的技術(shù)原理

3.1 包過濾技術(shù)

包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價(jià)格便宜,實(shí)現(xiàn)邏輯簡(jiǎn)單便于安裝和使用。

缺點(diǎn):

1)過濾規(guī)則難以配置和測(cè)試;

2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力;

3)對(duì)一些協(xié)議,如UDP和RPC難以有效的過濾。

3.2 技術(shù)

技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信,但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是服務(wù)器,它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)服務(wù)器接收到用戶請(qǐng)求后,會(huì)檢查用戶請(qǐng)求合法性。若合法,則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。

優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,技術(shù)是一種更安全的技術(shù)。

缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。

3.3 狀態(tài)監(jiān)視技術(shù)

這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過濾技術(shù)一樣,它能夠檢測(cè)通過IP地址、端口號(hào)以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)在過濾數(shù)據(jù)包上更有效。

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測(cè)RPC和UDP端口信息,而包過濾和都不支持此類端口。這樣,通過對(duì)各層進(jìn)行監(jiān)測(cè),狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測(cè)防火墻,它對(duì)用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)。

4.防火墻的體系結(jié)構(gòu)

4.1 包過濾防火墻

包過濾防火墻也稱作過濾過濾路由器,它是最基本、最簡(jiǎn)單的一種防火墻,可以在一般的路由器上實(shí)現(xiàn),也可以在基于主機(jī)的路由器上實(shí)現(xiàn)。配置圖如圖1所示。

內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器,路由器審查每個(gè)數(shù)據(jù)包,根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。

優(yōu)點(diǎn):

1)易實(shí)現(xiàn);

2)不要求運(yùn)行的應(yīng)用程序做任何改動(dòng)或安裝特定的軟件,也無需對(duì)用戶進(jìn)行特定的培訓(xùn)。

缺點(diǎn):

1)依賴一個(gè)單一的設(shè)備來保護(hù)系統(tǒng),一旦該設(shè)備(過濾路由器)發(fā)生故障,則網(wǎng)絡(luò)門戶開放;

2)很少或沒有日志記錄能力,當(dāng)網(wǎng)絡(luò)被入侵時(shí),無法保留攻擊者的蹤跡。包防火墻適于小型簡(jiǎn)單的網(wǎng)絡(luò)。

4.2 雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一種特殊的主機(jī)來實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口,一端接外部網(wǎng)絡(luò),一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò),并運(yùn)行服務(wù)器,故被稱為雙宿主主機(jī)防火墻。它不使用包過濾規(guī)則,而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān),隔斷IP層之間的直接傳輸。兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信,兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來實(shí)現(xiàn)。如圖2所示。

優(yōu)點(diǎn):

1)網(wǎng)關(guān)將被保護(hù)的網(wǎng)絡(luò)與外界完全隔離開;

2)提供日志,有助于發(fā)現(xiàn)入侵;

3)內(nèi)部網(wǎng)絡(luò)的名字和IP地址對(duì)外界來說是不可見的。

缺點(diǎn):服務(wù),服務(wù)器必須為每種應(yīng)用專門設(shè)計(jì),所有的服務(wù)依賴于網(wǎng)關(guān)提供的在某些要求靈活的場(chǎng)合不太適用。

4.3 屏蔽主機(jī)網(wǎng)關(guān)防火墻

它由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置下,堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī),而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí),必須先到堡壘主機(jī),由該堡壘主機(jī)決定是否允許訪問外部網(wǎng)絡(luò)。這樣堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。如圖3所示。

優(yōu)點(diǎn):

1)配置更為靈活,它可以通過配置過濾路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的其它站點(diǎn)而不是堡壘主機(jī);

2)包過濾路由器的規(guī)則較簡(jiǎn)單。

缺點(diǎn):一旦堡壘主機(jī)被攻破,內(nèi)部網(wǎng)絡(luò)將完全暴露。

4.4 屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器,如圖4所示。

在屏蔽主機(jī)網(wǎng)關(guān)防火墻中,堡壘主機(jī)最易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的,入侵者只要破壞了這一層的保護(hù),那么入侵也就成功了。屏蔽子網(wǎng)防火墻被憑就是在被屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器的安全機(jī)制,這臺(tái)路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng),從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。用子網(wǎng)來隔離堡壘主機(jī)與內(nèi)部網(wǎng),就能減輕入侵者沖開堡壘主機(jī)后而給內(nèi)部網(wǎng)帶來的沖擊力。

優(yōu)點(diǎn):提供多層保護(hù),一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān),是目前最為安全的防火墻系統(tǒng)。

缺點(diǎn):

1)價(jià)格較貴;

2)整個(gè)系統(tǒng)的配置較為困難。

該防火墻適合大、中型企業(yè),以及對(duì)安全性要求高的單位。

參考文獻(xiàn)

[1]陳莉.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國(guó)科技信息,2005(23):25.

[2]張景田.計(jì)算機(jī)網(wǎng)絡(luò)安全技淺析[J].統(tǒng)計(jì)與查詢,2005(4):31.

[3]史忠植.高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.

[4]張漢文.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范問題初探[J].信息安全與通信保密,2005(10):40.

[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

第3篇:防火墻技術(shù)的研究范文

關(guān)鍵詞:防火墻;IDS;聯(lián)動(dòng);網(wǎng)絡(luò)安全

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)13-3050-02

Firewall and IDS linkage of Network Security Technology Application Research

ZHANG Yan

(Modern Educational Technology Center, Hunan Communication Polytechnic, Changsha 410004,China)

Abstract: Today the Internet technology rapid development, The problem of network security is more and more attention by people, base on the previous network security technology, put forward the Network security technology on Firewall and intrusion detection combination, The way that can effectively control network management cost, .And can effectively improve the network system of safety level.

Key words: firewall; IDS; linkage; network security

在互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天,Internet網(wǎng)絡(luò)的應(yīng)用也隨之得到了廣泛的應(yīng)用。網(wǎng)絡(luò)已經(jīng)成為了人們工作、學(xué)習(xí)以及生活等方面必不可少的一部分,在各個(gè)行業(yè)都發(fā)揮著非常重要的作用。計(jì)算機(jī)網(wǎng)絡(luò)通過信息的傳輸,從而為數(shù)據(jù)資源共享、信息交流與服務(wù)等提供了一個(gè)良好的平臺(tái),從而使得遠(yuǎn)在世界不同地區(qū)的人們足不出戶就能了解到最新信息。雖然互聯(lián)網(wǎng)技術(shù)給人們帶來了很多好處,但網(wǎng)絡(luò)信息的安全問題變得相當(dāng)嚴(yán)重。網(wǎng)絡(luò)安全事件不斷發(fā)生,給網(wǎng)絡(luò)用戶帶來了巨大的損失,因此,建立一套有效的網(wǎng)絡(luò)安全防范措施已經(jīng)成為了當(dāng)前網(wǎng)絡(luò)管理者們的重要課題。

1防火墻與IDS

網(wǎng)絡(luò)安全技術(shù)從總體來看,可以分為動(dòng)態(tài)安全技術(shù)和靜態(tài)安全技術(shù)。目前主要采用靜態(tài)網(wǎng)絡(luò)安全技術(shù),主要實(shí)現(xiàn)的方法有:防火墻技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、數(shù)據(jù)加密技術(shù)、防病毒軟件等。而動(dòng)態(tài)安全技術(shù)主要有入侵檢測(cè)技術(shù)以及陷阱網(wǎng)絡(luò)(蜜罐技術(shù))等,其中入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)中一種比較成熟的技術(shù),下面來簡(jiǎn)要分析防火墻與入侵檢測(cè)技術(shù)。

1)防火墻技術(shù)

防火墻(Firewall)是一種有效的安全技術(shù),通過部署一個(gè)或一組網(wǎng)絡(luò)安全設(shè)備,將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離開來,用來限制非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源,它主要用來運(yùn)行訪問控制軟件,而很少有其他的服務(wù),系統(tǒng)安全漏洞也相對(duì)較少。因此,都整個(gè)內(nèi)部網(wǎng)絡(luò)的管理主要就是針對(duì)防火墻的安全管理,這樣就使得網(wǎng)絡(luò)安全管理更加便于控制,內(nèi)部網(wǎng)絡(luò)也相對(duì)安全,但防火墻技術(shù)不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊,這是其存在的最大弊端。防火墻的功能主要有:訪問控制功能、內(nèi)容控制功能、集中管理功能、自身的安全和可用性、全面的日志功能以及其他的附屬功能。防火墻的種類主要有:包過濾防火墻、應(yīng)用層網(wǎng)關(guān)防火墻、內(nèi)容過濾防火墻等。

2)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)(IDS)是一種比較新型的網(wǎng)絡(luò)安全技術(shù),它是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)。它是一種主動(dòng)的防御手段,能夠主動(dòng)檢測(cè)到網(wǎng)絡(luò)中被攻擊的安全漏洞,并能及時(shí)的探測(cè)到網(wǎng)絡(luò)危險(xiǎn)行為,實(shí)時(shí)分析網(wǎng)絡(luò)內(nèi)部的交互信息,檢測(cè)入侵者的攻擊行為和攻擊目的,隨后發(fā)出報(bào)警信息,在網(wǎng)絡(luò)遭受侵犯之前進(jìn)行有效的處理措施。入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)如圖1。

圖1入侵檢測(cè)系統(tǒng)結(jié)構(gòu)圖

入侵檢測(cè)系統(tǒng)的作用可以通過圖2來體現(xiàn)。

圖2入侵檢測(cè)系統(tǒng)的作用

2網(wǎng)絡(luò)安全問題分析

在某些單位的局域網(wǎng)中,都存在著一些網(wǎng)絡(luò)安全問題,其中主要面臨的網(wǎng)絡(luò)安全威脅是網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和網(wǎng)絡(luò)設(shè)備的危害。主要體現(xiàn)在以下幾個(gè)方面:操作系統(tǒng)的安全問題;病毒的破壞,病毒的形式主要有蠕蟲、木馬程序以及惡意腳本等;遭受非法入侵及惡意破壞;不良信息的傳播;技術(shù)之外的問題。針對(duì)這些問題,應(yīng)當(dāng)從以下幾個(gè)方面來應(yīng)對(duì):首先是對(duì)網(wǎng)絡(luò)病毒的防范;其次是網(wǎng)路安全的隔離;還有要采取相應(yīng)的網(wǎng)絡(luò)安全監(jiān)控措施;修補(bǔ)網(wǎng)絡(luò)安全漏洞;數(shù)據(jù)備份和恢復(fù);對(duì)有害信息的過濾;網(wǎng)絡(luò)安全方面的服務(wù)等。

3防火墻與IDS的聯(lián)動(dòng)實(shí)現(xiàn)

防火墻是在兩個(gè)不同信任程度的網(wǎng)絡(luò)之間部署的硬件或軟件設(shè)備的組合,它最大的缺點(diǎn)是不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊,所以單靠防火墻很難實(shí)現(xiàn)良好的安全防護(hù)性能。IDS是一種基于主動(dòng)的防御手段,它可以通過對(duì)數(shù)據(jù)通信信息的分析,檢測(cè)出入侵行為和企圖,并發(fā)出報(bào)警,及時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防御措施,能夠有效的避免網(wǎng)絡(luò)攻擊。所以,如果能將防火墻與IDS相互結(jié)合起來運(yùn)行,入侵檢測(cè)能夠及時(shí)發(fā)現(xiàn)防火墻之外的入侵行為,這樣就能有效的提高網(wǎng)絡(luò)系統(tǒng)的防御性能。防火墻與IDS聯(lián)動(dòng)實(shí)現(xiàn)原理圖如圖3。

圖3防火墻與IDS聯(lián)動(dòng)原理圖

防火墻與IDS聯(lián)動(dòng)實(shí)現(xiàn)主要有以下幾個(gè)模塊:IDS控制信息生成模塊,IDS和防火墻通訊模塊,防火墻動(dòng)態(tài)規(guī)則處理模塊,防火墻規(guī)則的審計(jì)分析模塊。IDS控制信息生成模塊主要是整理探測(cè)器發(fā)來的危險(xiǎn)報(bào)警信號(hào),從中提取相關(guān)信息,生成相應(yīng)的控制信息,并對(duì)其進(jìn)行加密處理后進(jìn)行發(fā)送。IDS和防火墻通訊模塊通過對(duì)網(wǎng)絡(luò)安全策略的配置,并指定防火墻的地址及認(rèn)證密碼,并向防火墻發(fā)起連接,進(jìn)行信息的傳遞。防火墻動(dòng)態(tài)規(guī)則處理模塊用來制定一些安全策略,對(duì)信息進(jìn)行身份驗(yàn)證,確認(rèn)后再進(jìn)行處理,否則丟棄。防火墻規(guī)則的審計(jì)分析模塊用來記錄防火墻中的動(dòng)態(tài)規(guī)則,便于管理員以后的日志分析。

防火墻技術(shù)并不能防范來自內(nèi)部的黑客攻擊,入侵檢測(cè)可以有效的彌補(bǔ)這一不足,IDS作為一種積極主動(dòng)的網(wǎng)絡(luò)安全防范技術(shù),可以對(duì)內(nèi)部操作和外部操作以及誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)受到入侵之前進(jìn)行有效的攔截,可以說,防火墻是網(wǎng)絡(luò)安全的第一道屏障,而IDS則是網(wǎng)絡(luò)安全的第二道屏障,在對(duì)網(wǎng)絡(luò)監(jiān)測(cè)的同時(shí)并不影響網(wǎng)絡(luò)性能。如果說防火墻是房屋的一道安全鎖,則IDS則是在房屋內(nèi)的一個(gè)監(jiān)控裝置。

4小結(jié)

隨著人們對(duì)網(wǎng)絡(luò)安全問題的認(rèn)識(shí)不斷加深,網(wǎng)絡(luò)安全技術(shù)并不只是簡(jiǎn)單的防火墻就能完成的,動(dòng)態(tài)防范的網(wǎng)絡(luò)安全技術(shù)應(yīng)用已經(jīng)變得越來越廣泛,目前防火墻被認(rèn)為是一種靜態(tài)的網(wǎng)絡(luò)安全防范產(chǎn)品,IDS則是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全防范產(chǎn)品。將其有效的結(jié)合起來,通過兩者的聯(lián)動(dòng)能夠更好的確保網(wǎng)絡(luò)的安全性。當(dāng)然,我們也必須看到,防火墻與IDS的互動(dòng)技術(shù)只是初步實(shí)現(xiàn)了防護(hù)、檢測(cè)與響應(yīng)三者之間的一種簡(jiǎn)單協(xié)作,并不能說有此兩種技術(shù)的結(jié)合就能確保網(wǎng)絡(luò)安全性能的萬無一失,因?yàn)镮DS正如防火墻一樣,自身也不具備百分之百的可靠性,但可信的是,在這樣一種互助互補(bǔ)的網(wǎng)絡(luò)安全性能之下,網(wǎng)絡(luò)的安全性將一定會(huì)有很大程度的提升。

參考文獻(xiàn):

第4篇:防火墻技術(shù)的研究范文

關(guān)鍵詞:下一代防火墻;網(wǎng)上技術(shù)交易市場(chǎng);網(wǎng)絡(luò)安全

1 網(wǎng)上技術(shù)交易市場(chǎng)簡(jiǎn)介

網(wǎng)上技術(shù)交易市場(chǎng)是傳統(tǒng)技術(shù)市場(chǎng)在現(xiàn)代網(wǎng)絡(luò)經(jīng)濟(jì)和網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下出現(xiàn)的一種新的發(fā)展趨勢(shì),有著傳統(tǒng)技術(shù)市場(chǎng)不可比擬的優(yōu)勢(shì)。它不僅能加快、改善技術(shù)交易的流程,縮短技術(shù)轉(zhuǎn)移周期,而且能為技術(shù)交易提供更為便利的增值服務(wù),從而大大提高技術(shù)交易的效率。

徐州市也開展了網(wǎng)上技術(shù)交易市場(chǎng)的建設(shè),以提供科技成果轉(zhuǎn)化過程中的各類信息為主要服務(wù)內(nèi)容,為高等院校、科研院所、企業(yè)、各類中介服務(wù)機(jī)構(gòu)以及相關(guān)管理部門等創(chuàng)新主體提供全方位、全公益性的信息服務(wù)。網(wǎng)上技術(shù)交易市場(chǎng)的基本運(yùn)行機(jī)制為會(huì)員制,包括2類會(huì)員:一類是供給類會(huì)員,是擁有技術(shù)研發(fā)能力和技術(shù)成果并愿意在網(wǎng)上技術(shù)交易市場(chǎng)和交易的單位,主要包括高等院校、科研院所等。另一類是需求類會(huì)員,是指對(duì)技術(shù)成果有需求的從事生產(chǎn)活動(dòng)的單位,主要是企業(yè)。

網(wǎng)上技術(shù)交易市場(chǎng)定位為“科技成果轉(zhuǎn)化一站式信息服務(wù)平臺(tái)”,是建立在互聯(lián)網(wǎng)上的在線服務(wù)平臺(tái)。平臺(tái)主要包括技術(shù)成果信息模塊、技術(shù)需求信息模塊、技術(shù)合同管理模塊、技術(shù)合作洽談模塊和技術(shù)與金融對(duì)接模塊等。

在線服務(wù)平臺(tái)的信息功能與門戶網(wǎng)站類似,但系統(tǒng)結(jié)構(gòu)與業(yè)務(wù)流程卻不盡相同。一般網(wǎng)站的信息由網(wǎng)站工作人員來操作,業(yè)務(wù)流程簡(jiǎn)單,工作人員通常從內(nèi)網(wǎng)登錄系統(tǒng)信息,對(duì)網(wǎng)絡(luò)安全性要求不高。而網(wǎng)上技術(shù)交易市場(chǎng)需要會(huì)員的參與,無論是供給類會(huì)員還是需求類會(huì)員,都須從外網(wǎng)訪問在線服務(wù)平臺(tái)并信息,這就對(duì)系統(tǒng)的安全性提出了更高的要求。平臺(tái)系統(tǒng)本身從安全方面考慮,采用了基于角色的權(quán)限管理,針對(duì)供給方會(huì)員用戶、需求方會(huì)員用戶、工作人員用戶以及管理員用戶不同的業(yè)務(wù)需求,將用戶定義為不同的角色,通過為不同的角色賦予不同的權(quán)限,使用戶只能訪問自己被授權(quán)的資源,從而保障平臺(tái)系統(tǒng)的安全。

隨著互聯(lián)網(wǎng)的發(fā)展,來自網(wǎng)絡(luò)的安全威脅越來越嚴(yán)重,特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí),網(wǎng)絡(luò)安全是首先要解決的問題。網(wǎng)上技術(shù)交易市場(chǎng)在線服務(wù)平臺(tái)在互聯(lián)網(wǎng)上對(duì)公眾開放,因此除了平臺(tái)系統(tǒng)本身的安全外,還需要考慮到網(wǎng)絡(luò)安全問題。

2 網(wǎng)上技術(shù)交易市場(chǎng)面臨的主要網(wǎng)絡(luò)威脅

以往的網(wǎng)絡(luò)攻擊方式有ARP欺騙、路由欺騙、拒絕服務(wù)式攻擊、洪水攻擊、會(huì)話劫持、DNS欺騙等,這些攻擊大多位于網(wǎng)絡(luò)底層,而現(xiàn)在越來越多的攻擊發(fā)生在應(yīng)用層,針對(duì)應(yīng)用層的攻擊已經(jīng)成為現(xiàn)階段網(wǎng)絡(luò)安全最大的威脅。其中,Web應(yīng)用安全問題、APT攻擊以及敏感信息的泄漏是業(yè)務(wù)系統(tǒng)面臨的主要威脅。

2.1 Web應(yīng)用安全問題

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,大量Web應(yīng)用快速上線,包括網(wǎng)上技術(shù)交易市場(chǎng)在內(nèi)的大多數(shù)在線業(yè)務(wù)系統(tǒng)都是基于Web的應(yīng)用,web業(yè)務(wù)成為當(dāng)前互聯(lián)網(wǎng)應(yīng)用最為廣泛的業(yè)務(wù)。大多數(shù)Web系統(tǒng)都十分脆弱,易受攻擊。根據(jù)著名咨詢機(jī)構(gòu)Gartner的調(diào)查,安全攻擊有75%都是發(fā)生在Web應(yīng)用層。而且針對(duì)Web的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。

Web業(yè)務(wù)系統(tǒng)面臨的安全問題主要有幾個(gè)方面:一是系統(tǒng)開發(fā)時(shí)遺留的問題,由于Web應(yīng)用程序的編寫人員在編程的過程中沒有考慮到安全的因素,使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊,比如SQL注入、跨站腳本攻擊等;二是系統(tǒng)底層漏洞問題,Web系統(tǒng)包括底層的操作系統(tǒng)和Web業(yè)務(wù)常用的系統(tǒng)(如IIS,Apache),這些系統(tǒng)本身存在諸多的安全漏洞,這些漏洞可以給入侵者可乘之機(jī);三是網(wǎng)絡(luò)運(yùn)維管理中的問題,業(yè)務(wù)系統(tǒng)中在管理方面存在許多安全隱患,如弱口令、內(nèi)網(wǎng)安全缺陷等,導(dǎo)致被黑客利用對(duì)網(wǎng)站進(jìn)行攻擊。

2.2 APT攻擊

APT攻擊,即高級(jí)持續(xù)性威脅(Advanced PersistentThreat,APT)攻擊,是近幾年來出現(xiàn)的一種利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊,具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特點(diǎn)。APT在發(fā)動(dòng)攻擊之前對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集,這種行為往往經(jīng)過長(zhǎng)期的策劃,具備高度的隱蔽性。在收集的過程中,會(huì)主動(dòng)挖掘信息系統(tǒng)和應(yīng)用程序的漏洞,并針對(duì)特定對(duì)象有計(jì)劃性和組織性地竊取數(shù)據(jù)。

APT攻擊的過程通常包括的步驟是:首先,攻擊者通過各種途徑收集用戶相關(guān)信息,包括從外部掃描了解信息以及從內(nèi)部利用社會(huì)工程學(xué)了解相關(guān)用戶信息;其次,攻擊者通過包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標(biāo)系統(tǒng),采用低烈度的攻擊模式避免目標(biāo)發(fā)現(xiàn)以及防御;再次,攻擊者通過突破內(nèi)部某一臺(tái)服務(wù)器或終端電腦滲透進(jìn)內(nèi)部網(wǎng)絡(luò),進(jìn)而對(duì)目標(biāo)全網(wǎng)造成危害;最后,攻擊者逐步了解全網(wǎng)結(jié)構(gòu)及獲取更高權(quán)限后鎖定目標(biāo)資產(chǎn),進(jìn)而開始對(duì)數(shù)據(jù)進(jìn)行竊取或者造成其他重大侵害。

2.3 數(shù)據(jù)泄漏問題

近幾年,數(shù)據(jù)泄漏事件愈來愈頻繁的發(fā)生,公民信息數(shù)據(jù)在網(wǎng)上大規(guī)模泄露事件時(shí)有發(fā)生,給網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重危害,產(chǎn)生了重大的社會(huì)影響。2013年,2000萬開房信息數(shù)據(jù)被泄露下載,通過被泄露的數(shù)據(jù)庫(kù)文件,可以輕易查到個(gè)人姓名、身份證號(hào)、地址、手機(jī)、住宿時(shí)間等隱私信息。2014年,12306的用戶數(shù)據(jù)泄漏,導(dǎo)致大量用戶數(shù)據(jù)在網(wǎng)絡(luò)上傳播,涉及用戶賬號(hào)、明文密碼、身份證件、郵箱等信息。2015年,30多個(gè)省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬用戶的社保信息因此被泄露。10月,網(wǎng)易郵箱過億用戶敏感信息遭泄露,泄露信息包括用戶名、密碼、密碼密保信息等,部分郵箱所關(guān)聯(lián)的其他服務(wù)賬號(hào)也受到影響。

網(wǎng)上技術(shù)交易市場(chǎng)的后臺(tái)數(shù)據(jù)庫(kù)中,保存有會(huì)員的數(shù)據(jù)信息,包括企業(yè)用戶信息和個(gè)人用戶信息,如果涉及交易信息、價(jià)格信息等敏感的數(shù)據(jù)遭到泄露,可能使用戶遭受經(jīng)濟(jì)損失,甚至對(duì)社會(huì)秩序、公眾利益造成危害。

3 基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)方案設(shè)計(jì)

針對(duì)網(wǎng)上技術(shù)交易市場(chǎng)的安全防護(hù),必須有效應(yīng)對(duì)這些網(wǎng)絡(luò)威脅。而且,由于網(wǎng)上技術(shù)交易市場(chǎng)規(guī)模不大,還需要考慮到控制成本并易于管理。

典型的網(wǎng)絡(luò)安全方案通常配置防火墻、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備以及Web應(yīng)用層防火墻。這些設(shè)備功能專一,能夠防護(hù)不同類別的網(wǎng)絡(luò)攻擊,但如果不全部部署,則會(huì)在相應(yīng)的保護(hù)功能上出現(xiàn)安全短板。但全部部署又存在成本高、管理難、效率低的問題。首先是成本問題,對(duì)于中小規(guī)模的網(wǎng)絡(luò)系統(tǒng)來說,將這些設(shè)備全部配齊,價(jià)格昂貴;其次,安全設(shè)備種類繁多也增加了管理上的成本,網(wǎng)管人員需要在每臺(tái)設(shè)備上逐一部署安全策略、安全防護(hù)規(guī)則等,讓不同類型的設(shè)備能夠協(xié)同工作,勢(shì)必會(huì)在日常運(yùn)維中耗費(fèi)大量的時(shí)間和精力;在防護(hù)效果方面,各種設(shè)備之間無法對(duì)安全信息進(jìn)行統(tǒng)一分杯不能達(dá)到良好的整體防護(hù)效果。

因此,針對(duì)網(wǎng)上技術(shù)交易市場(chǎng)的實(shí)際應(yīng)用需求,設(shè)計(jì)了一種基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)的方案。

下一代防火墻是一種可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻,通過分析網(wǎng)絡(luò)流量中的使用者、應(yīng)用和內(nèi)容,能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù),幫助用戶安全地開展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。下一代防火墻具有應(yīng)用層洞察與控制、威脅防護(hù)、應(yīng)用層數(shù)據(jù)防泄漏、全網(wǎng)設(shè)備集中管理等功能特性,這些功能能夠有效地、有針對(duì)性地應(yīng)對(duì)網(wǎng)上技術(shù)交易市場(chǎng)業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅。

在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方面,將下一代防火墻部署在網(wǎng)絡(luò)邊界、服務(wù)器交換機(jī)的前端,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)所在服務(wù)器與互聯(lián)網(wǎng)的邏輯隔離,從攻擊源頭上防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面對(duì)網(wǎng)上技術(shù)市場(chǎng)業(yè)務(wù)系統(tǒng)的安全威脅(見圖1)。

在解決Web應(yīng)用安全的問題上,下一代防火墻能夠提供全方位、高性能、深層次的應(yīng)用安全防護(hù)。下一代防火墻采用高度集成的一體化智能過濾引擎技術(shù),能夠在一次數(shù)據(jù)拆包過程中,對(duì)數(shù)據(jù)進(jìn)行并行深度檢測(cè),完成2~7層的安全處理。同時(shí),下一代防火墻內(nèi)置有高精度應(yīng)用識(shí)別引擎,可以采用多種識(shí)別方式進(jìn)行細(xì)粒度、深層次的應(yīng)用和協(xié)議識(shí)別,具有極高的應(yīng)用協(xié)議識(shí)別率與精確度,對(duì)于主流應(yīng)用、加密業(yè)務(wù)應(yīng)用、移動(dòng)應(yīng)用、企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用都可以實(shí)現(xiàn)全方位識(shí)別。

在應(yīng)對(duì)APT攻擊方面,下一代防火墻的安全監(jiān)測(cè)引擎和威脅檢測(cè)特征庫(kù),對(duì)基于已知漏洞、惡意代碼發(fā)起的APT攻擊能進(jìn)行有效的防護(hù)。在針對(duì)零日漏洞和未知惡意代碼的威脅時(shí),下一代防火墻通過沙箱技術(shù)構(gòu)建虛擬運(yùn)行環(huán)境,隔離運(yùn)行未知或可疑代碼,分析威脅相關(guān)信息,識(shí)別各種未知的惡意代碼,并自動(dòng)生成阻斷規(guī)則,實(shí)時(shí)、主動(dòng)地防范APT攻擊。

下一代防火墻實(shí)現(xiàn)數(shù)據(jù)防泄漏主要是利用應(yīng)用識(shí)別技術(shù)和文件過濾技術(shù)。高精度應(yīng)用識(shí)別引擎能夠?qū)哂袛?shù)據(jù)傳輸能力的應(yīng)用進(jìn)行數(shù)據(jù)掃描,文件過濾技術(shù)可以基于文件特征進(jìn)行掃描,敏感信息檢測(cè)功能可以自定義“身份證號(hào)碼”“銀行卡號(hào)”“密碼”等多種內(nèi)容并進(jìn)行監(jiān)測(cè),通過這些技術(shù)的綜合運(yùn)用,可以有效地識(shí)別、報(bào)警并阻斷敏感信息被非法泄漏。

第5篇:防火墻技術(shù)的研究范文

1.1 網(wǎng)絡(luò)環(huán)境以及硬件系統(tǒng)故障

計(jì)算機(jī)硬件系統(tǒng)一旦出現(xiàn)故障, 例如電源斷電、報(bào)警故障等, 都會(huì)對(duì)計(jì)算歸網(wǎng)絡(luò)安全造成影響。目前, 計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)置大多屬于資源共享型, 所以開放性的網(wǎng)絡(luò)運(yùn)行環(huán)境給黑客、病毒等可趁之機(jī), 同時(shí), 計(jì)算機(jī)網(wǎng)絡(luò)自身的隱秘性使用戶驗(yàn)證變得模糊, 同樣給黑客入侵的機(jī)會(huì)。

1.2 通信協(xié)議缺陷

網(wǎng)絡(luò)通信協(xié)議主要是使不同的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)以及操作系統(tǒng)連接在一起, 通信協(xié)議為網(wǎng)絡(luò)通信提供一定的系統(tǒng)支持。但是通信協(xié)議大多為開放式的協(xié)議, 所以許多不法分子會(huì)以通信的名義進(jìn)入到系統(tǒng)中, 盜取系統(tǒng)內(nèi)部重要信息及數(shù)據(jù), 對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性造成嚴(yán)重破壞, 致使計(jì)算機(jī)網(wǎng)絡(luò)無法正常運(yùn)行。

1.3 IP源路徑不穩(wěn)

如果出現(xiàn)IP源路徑不穩(wěn)定的現(xiàn)象, 用戶在發(fā)送信息及重要數(shù)據(jù)時(shí), 黑客可以進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中對(duì)IP源路徑進(jìn)行更改, 用戶所發(fā)送的信息會(huì)被不法分子截收, 從中獲取非法利益。

2 防火墻技術(shù)概述

防火墻主要由硬件設(shè)備與軟件系統(tǒng)共同組成, 在內(nèi)部網(wǎng)與外部網(wǎng)之間所構(gòu)造起來的保護(hù)屏障, 從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。在互聯(lián)網(wǎng)中, 防火墻主要是指一種隔離技術(shù), 在兩個(gè)網(wǎng)絡(luò)進(jìn)行通訊時(shí)對(duì)訪問尺度進(jìn)行控制, 最大限度的阻止網(wǎng)絡(luò)黑客對(duì)網(wǎng)絡(luò)進(jìn)行訪問。

3 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)面臨著許多安全方面的威脅, 在網(wǎng)絡(luò)安全防護(hù)技術(shù)中包括防火墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)等。防火墻技術(shù)在現(xiàn)實(shí)中應(yīng)用比較多, 防火墻就好比古代的城門, 在內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)建一道屏障, 通過此屏障必須有合法的身份。防火墻是在不同區(qū)域之所設(shè)置的一個(gè)軟件或一臺(tái)設(shè)備, 是網(wǎng)絡(luò)的唯一出入口。下面簡(jiǎn)單對(duì)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的具體應(yīng)用進(jìn)行簡(jiǎn)單概述。

3.1 在網(wǎng)絡(luò)安全配置中的應(yīng)用

在防火墻技術(shù)中, 網(wǎng)絡(luò)安全配置屬于重點(diǎn)內(nèi)容, 安全配置主要是將計(jì)算機(jī)網(wǎng)絡(luò)劃分為多個(gè)模塊, 將需要進(jìn)行安全防護(hù)的重要模塊轉(zhuǎn)化為隔離區(qū), 對(duì)該模塊實(shí)施重點(diǎn)保護(hù)。在防火墻技術(shù)下的隔離區(qū)是單獨(dú)的局域網(wǎng), 是計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)構(gòu)成的重要組成部分, 有效的保護(hù)網(wǎng)絡(luò)內(nèi)部服務(wù)器的信息安全, 確保計(jì)算機(jī)在穩(wěn)定的網(wǎng)絡(luò)環(huán)境中運(yùn)行。防火墻對(duì)安全防護(hù)的要求非常高, 防火墻安全防護(hù)技術(shù)的主要工作方式為:自動(dòng)監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)隔離區(qū)的信息, 通過地址轉(zhuǎn)換, 將由內(nèi)向外流向的信息IP轉(zhuǎn)化為公共IP, 防止攻擊者對(duì)IP進(jìn)行解析。防火墻的安全配置主要是對(duì)IP進(jìn)行隱藏, 通過隱藏IP的流通來體現(xiàn)地址轉(zhuǎn)化的價(jià)值。在入侵用戶對(duì)IP進(jìn)行解析時(shí), 無法追蹤真實(shí)信息, 只能獲取到虛假的IP地址, 所以無法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問, 從而提升網(wǎng)絡(luò)運(yùn)行的安全。

3.2 在訪問策略中的應(yīng)用

在防火墻技術(shù)中, 訪問策略是該應(yīng)用的核心, 在網(wǎng)絡(luò)安全控制中占主要地位。訪問策略主要是通過對(duì)網(wǎng)絡(luò)配置的縝密安排, 對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息的統(tǒng)計(jì)過程進(jìn)行優(yōu)化, 構(gòu)建成科學(xué)的防護(hù)系統(tǒng)。防火墻技術(shù)能夠針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況, 對(duì)訪問策略進(jìn)行規(guī)劃, 從而為計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行提供安全環(huán)境。主要保護(hù)流程為:防火墻技術(shù)會(huì)將計(jì)算機(jī)的相關(guān)運(yùn)行信息劃分為不同的單位, 針對(duì)各個(gè)單位進(jìn)行訪問保護(hù)。然后對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的各項(xiàng)地址進(jìn)行了解, 包括目的地址、端口地址等。掌握計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的特點(diǎn), 對(duì)安全保護(hù)方式進(jìn)行規(guī)劃。最后, 訪問策略在計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)中會(huì)對(duì)應(yīng)不同的保護(hù)方式, 根據(jù)實(shí)際需求, 對(duì)訪問策略進(jìn)行調(diào)整, 在進(jìn)行安全技術(shù)訪問時(shí)會(huì)形成策略表, 對(duì)策略表信息進(jìn)行主動(dòng)調(diào)節(jié), 通過策略表來約束防火墻技術(shù)的保護(hù)行為, 在一定程度上提高網(wǎng)絡(luò)運(yùn)行安全的保護(hù)效率。

3.3 日志監(jiān)控中的應(yīng)用

許多計(jì)算機(jī)用戶都會(huì)對(duì)防火墻技術(shù)的保護(hù)日志進(jìn)行分析, 獲得有價(jià)值信息。日志監(jiān)控在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中同樣比重較大, 是防火墻技術(shù)的重點(diǎn)保護(hù)對(duì)象。用戶對(duì)防火墻日志進(jìn)行分析過程為:打開防火墻技術(shù)在網(wǎng)絡(luò)安全保護(hù)過程中所生成的日志, 由于防火墻技術(shù)的工作量非常大, 所以需要對(duì)某一類別的信息進(jìn)行采集, 從而實(shí)現(xiàn)監(jiān)控。用戶在類別信息中對(duì)關(guān)鍵信息進(jìn)行提取, 作為日志監(jiān)控的有力依據(jù)。另外, 用戶可以實(shí)時(shí)對(duì)防火墻技術(shù)中的報(bào)警信息進(jìn)行記錄, 在這類信息中提取優(yōu)化價(jià)值, 在日志監(jiān)控的作用下, 防火墻技術(shù)的安全保護(hù)能力會(huì)逐漸加強(qiáng), 從而優(yōu)化網(wǎng)絡(luò)流量。

4 新型防火墻技術(shù)的應(yīng)用

4.1 深層檢測(cè)防火墻

深層防火墻檢測(cè)技術(shù)是防火墻技術(shù)的未來發(fā)展趨勢(shì), 深層檢測(cè)能夠?qū)W(wǎng)絡(luò)信息檢測(cè)之后, 對(duì)內(nèi)部的流量進(jìn)行定向, 按照基本的檢測(cè)方式進(jìn)行檢測(cè)。對(duì)傳統(tǒng)的防火墻技術(shù)是一種補(bǔ)充與完善, 充實(shí)了惡意信息監(jiān)測(cè)功能。這種防火墻技術(shù)不僅局限在網(wǎng)絡(luò)層上的數(shù)據(jù), 而且更加側(cè)重于對(duì)應(yīng)用層的網(wǎng)絡(luò)攻擊進(jìn)行研究, 進(jìn)一步擴(kuò)大檢測(cè)范圍。

4.2 流量過濾防火墻技術(shù)

傳統(tǒng)的防火墻技術(shù)對(duì)流量的過濾僅僅是對(duì)數(shù)據(jù)包進(jìn)行過濾, 通過事先設(shè)定的邏輯語(yǔ)句對(duì)流經(jīng)防火墻的數(shù)據(jù)流量進(jìn)行截獲, 對(duì)目的地址以及源地址進(jìn)行匹配。新型的流量過濾技術(shù)是對(duì)傳統(tǒng)技術(shù)的更新, 通過內(nèi)部嵌入專有協(xié)議, 來對(duì)應(yīng)用層數(shù)據(jù)包進(jìn)行過濾, 該項(xiàng)技術(shù)能夠?qū)?shù)據(jù)進(jìn)行滯留重組, 將重組的流量交到應(yīng)用層進(jìn)行認(rèn)證, 實(shí)現(xiàn)對(duì)數(shù)據(jù)的完整性檢測(cè)。

4.3 嵌入式防火墻

嵌入式防火墻主要是將防火墻軟件嵌入到硬件設(shè)施或者相關(guān)的網(wǎng)關(guān)上, 主要針對(duì)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行防護(hù), 不能夠?qū)?yīng)用層數(shù)據(jù)防護(hù)。但是無論內(nèi)部網(wǎng)絡(luò)如何變化, 嵌入式防火墻始終是網(wǎng)絡(luò)邊緣的忠實(shí)衛(wèi)士。

5 結(jié)束語(yǔ)

在現(xiàn)代社會(huì)的發(fā)展過程中, 計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)遍布到人們生產(chǎn)生活的多個(gè)領(lǐng)域, 人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)產(chǎn)生了一定的依賴性, 計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)綜合問題, 涉及到防火墻架設(shè)、防火墻管理等。人們?cè)谌粘S?jì)算機(jī)網(wǎng)絡(luò)使用過程中, 要加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí), 為計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行營(yíng)造良好的網(wǎng)絡(luò)環(huán)境。通過防火墻技術(shù)來進(jìn)一步維護(hù)網(wǎng)絡(luò)運(yùn)行的安全, 體現(xiàn)出防火墻技術(shù)的高效安全價(jià)值。

參考文獻(xiàn)

[1]董毅.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的運(yùn)用探析[J].福建質(zhì)量管理, 2016-01-15.

[2]曾袁虎.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用分析[J].信息與電腦 (理論版) , 2016-05-23.

第6篇:防火墻技術(shù)的研究范文

網(wǎng)絡(luò)科技的迅猛發(fā)展,給人們的生產(chǎn)、生活帶來了一定的便捷。但同時(shí)隨著網(wǎng)絡(luò)技術(shù)的不斷成熟,網(wǎng)絡(luò)安全問題日益凸顯,部分網(wǎng)絡(luò)黑客將計(jì)算機(jī)系統(tǒng)漏洞作為侵襲條件,對(duì)相關(guān)計(jì)算機(jī)用戶的網(wǎng)絡(luò)資源進(jìn)行惡意攻擊,篡改數(shù)據(jù),引發(fā)了不同程度的網(wǎng)絡(luò)安全問題。目前已成為了人們?nèi)找骊P(guān)注的話題?;诖耍疚囊栽谟?jì)算機(jī)防護(hù)中起到了顯著的作用的防火墻技術(shù)作為切入點(diǎn),首先扼要分析了計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究進(jìn)展,然后介紹了防火墻的不同功能及其分類,最后提出了防火墻的構(gòu)建步驟及其防護(hù)措施。

【關(guān)鍵詞】計(jì)算機(jī) 防火墻 網(wǎng)絡(luò)安全 入侵 技術(shù)

網(wǎng)絡(luò)技術(shù)的發(fā)展,促進(jìn)了計(jì)算機(jī)的普及,在一定程度上改變了人們的生產(chǎn)、生活與工作方式,將網(wǎng)絡(luò)作為途徑,人們能夠?qū)崿F(xiàn)足不出戶而知曉天下事的功能,同時(shí)通過網(wǎng)絡(luò)亦能夠?qū)崿F(xiàn)資源共享、信息分享及人與人之間的溝通與交流。網(wǎng)絡(luò)在給人們帶來便利的同時(shí)也凸顯了一些問題。部分黑客將計(jì)算機(jī)作為主要侵襲對(duì)象,竊取商業(yè)機(jī)密、進(jìn)行惡意攻擊、盜取相關(guān)資源,無一不給網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅,甚至少部分黑客程序,無需用戶操作,便可自動(dòng)化地破壞整個(gè)系統(tǒng)網(wǎng)絡(luò),嚴(yán)重阻礙了網(wǎng)絡(luò)環(huán)境的正常運(yùn)作。目前,計(jì)算機(jī)網(wǎng)絡(luò)安全問題已成為了全球范圍內(nèi)人們所關(guān)注的重點(diǎn)話題。以下則主要從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展的軌跡出發(fā),研究了防火墻網(wǎng)絡(luò)安全體系的構(gòu)建。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展概述

計(jì)算機(jī)網(wǎng)路技術(shù)主要是基于網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)與傳輸?shù)陌踩钥紤]而衍生的安全防護(hù)技術(shù)。由于在開發(fā)初期,研究人員僅將開發(fā)重點(diǎn)放置于推廣與操作的方便性方面,進(jìn)而導(dǎo)致了安全防護(hù)體系相對(duì)來說比較脆弱,并不具備較優(yōu)的防護(hù)處理水平。因此,為解決計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的問題,國(guó)內(nèi)外諸多相關(guān)的研究機(jī)構(gòu)展開了大量的探索與分析,在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)資源加密、網(wǎng)絡(luò)防火墻及安全管理等方面展開了深入的研究,推動(dòng)了入侵檢測(cè)技術(shù)的誕生。入侵技術(shù)推廣早期,檢測(cè)方法相對(duì)來說比較簡(jiǎn)單,功能并不完善,同時(shí)并不具備較強(qiáng)的適用性。并隨著開發(fā)研究的不斷深入與普及,入侵檢測(cè)方法也處于不斷完善的過程中,許多新型的攻擊特征已被總結(jié)與歸納,入侵反應(yīng)措施也趨向完善。

在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中占據(jù)核心地位的安全防護(hù)技術(shù)便為密碼技術(shù),研發(fā)至今發(fā)展已有20余年,部分高強(qiáng)度的網(wǎng)絡(luò)密鑰管理技術(shù)與密碼算法也在迅速涌現(xiàn)。開發(fā)重點(diǎn)同樣也由傳統(tǒng)的保密性轉(zhuǎn)移至兼顧保密、可控與真實(shí)等方面。并配合用戶的身份認(rèn)證形成了數(shù)字化的網(wǎng)絡(luò)簽名技術(shù)。當(dāng)前在保障計(jì)算機(jī)網(wǎng)絡(luò)信息傳遞的安全性方面,密碼技術(shù)有其重要的影響作用,而加密算法則是密碼技術(shù)中的關(guān)鍵與核心。不同性質(zhì)的網(wǎng)絡(luò)密鑰同樣有其不同的密鑰體制。其主要決定因素在于網(wǎng)絡(luò)協(xié)議的安全性。此外,網(wǎng)絡(luò)漏洞掃描同樣也是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展的產(chǎn)物,由于任何計(jì)算機(jī)均有其不同的安全漏洞,而選取人工測(cè)試的方法耗時(shí)較長(zhǎng),且效率較低、準(zhǔn)確度不高,而網(wǎng)絡(luò)漏洞掃描技術(shù)則能夠?qū)崿F(xiàn)漏洞掃描的全自動(dòng)操作,同時(shí)預(yù)控安全危險(xiǎn),保護(hù)整個(gè)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò),是安全防護(hù)系統(tǒng)中不可或缺的重要部分。

2 防火墻技術(shù)與其系統(tǒng)構(gòu)建措施分析

2.1 防火墻技術(shù)的功能及其分類

防火墻主要是計(jì)算機(jī)防范措施的總括,它能夠隔離內(nèi)外部網(wǎng)絡(luò),采取限制網(wǎng)絡(luò)互訪的方式達(dá)到保護(hù)內(nèi)部網(wǎng)路的目的,是十分高效的網(wǎng)絡(luò)安全防護(hù)措施。它能夠隔絕計(jì)算機(jī)安全與風(fēng)險(xiǎn)區(qū)域的網(wǎng)絡(luò)連接,同時(shí)能夠?qū)m時(shí)網(wǎng)絡(luò)通信量進(jìn)行監(jiān)測(cè),有效制止惡意網(wǎng)絡(luò)資源的入侵與進(jìn)攻,能夠自動(dòng)過濾非法用戶與不安全的網(wǎng)絡(luò)信息,隔離入侵者與防御設(shè)施,限制訪問點(diǎn)權(quán)限,防止資源濫用。防火墻同樣有其不同的類別,按照軟件形式可將其劃分為硬件防火墻與軟件防火墻,而按照技術(shù)類型則可將其分為包過濾型防火墻與應(yīng)用型防火墻。此外,按照結(jié)構(gòu)類型、部署部位、使用性能同樣也將其分為不同類型的防火墻。

2.2 防火墻的構(gòu)建及其防護(hù)措施的制定

網(wǎng)絡(luò)防火墻的構(gòu)建僅需遵守簡(jiǎn)單的六個(gè)步驟,即規(guī)劃與制定安全計(jì)劃與協(xié)議、建立網(wǎng)絡(luò)安全體系、制作網(wǎng)絡(luò)規(guī)則程序、落實(shí)網(wǎng)絡(luò)規(guī)則集、調(diào)整控制準(zhǔn)備、完善審計(jì)處理。當(dāng)前較為成熟的防火墻體系架構(gòu)為X86架構(gòu),將PCI與CPU總線作為通用接口,具備較優(yōu)的可拓展性與靈活性,是大型企業(yè)防火墻開發(fā)的主要體系架構(gòu)之一。而對(duì)于中小型企業(yè)來說,NP型架構(gòu)的防火墻則為防護(hù)網(wǎng)絡(luò)侵襲的最優(yōu)選擇。采取與之相匹配的軟件開發(fā)系統(tǒng),有其強(qiáng)大的網(wǎng)絡(luò)編程能力。而對(duì)于對(duì)網(wǎng)絡(luò)防護(hù)要求十分高的企業(yè)、單位或個(gè)人,則可采用ASIC架構(gòu)的防火墻手段,它不僅具備強(qiáng)大的數(shù)據(jù)處理能力,同時(shí)有其獨(dú)具優(yōu)勢(shì)的防火墻性能。

網(wǎng)絡(luò)防火墻安全措施則主要是由檢測(cè)、防護(hù)及響應(yīng)三個(gè)部分構(gòu)成。在整個(gè)防火墻系統(tǒng)中,防御屬于一級(jí)防護(hù)措施,而檢測(cè)則是確立入侵的主要手段,響應(yīng)則是做出系統(tǒng)反饋的控制要素。當(dāng)前實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)與防火墻系統(tǒng)之間的互動(dòng)一般有兩種方案。第一,將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)嵌入防火墻中。第二,則是通過開發(fā)網(wǎng)絡(luò)接口的方式實(shí)現(xiàn)兩者之間的互動(dòng)。同樣按照原始固定網(wǎng)絡(luò)協(xié)議來進(jìn)行信息互通,并實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的傳輸處理。一般第二種方式應(yīng)用較為廣泛,它具備較強(qiáng)的靈活性,同時(shí)不會(huì)影響兩者的防護(hù)性能。在網(wǎng)絡(luò)安全防護(hù)體系中,通過將入侵檢測(cè)與防火墻技術(shù)相結(jié)合,能夠有效提高檢測(cè)速度,提高系統(tǒng)的適應(yīng)能力與靈活性,為網(wǎng)絡(luò)的有效防護(hù)奠定了良好的基礎(chǔ),大大提升了計(jì)算機(jī)系統(tǒng)的防御能力,保障了系統(tǒng)的安全性。

3 結(jié)束語(yǔ)

綜上所述,在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的背景下,要保障信息數(shù)據(jù)的安全性,保障網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性,充分發(fā)揮其正面作用,必須以構(gòu)建網(wǎng)絡(luò)防火墻為重點(diǎn),并配合數(shù)據(jù)加密、身份認(rèn)證等安全措施,提高網(wǎng)絡(luò)系統(tǒng)的抵御能力,防止惡意入侵,并提升網(wǎng)絡(luò)系統(tǒng)的安全性,全面保障信息數(shù)據(jù)存儲(chǔ)的穩(wěn)定性。

參考文獻(xiàn)

[1]蘇孝青,盛志華.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展與防火墻技術(shù)探討[J].科技創(chuàng)新導(dǎo)報(bào),2009,25:24.

[2]張鳴,高楊.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào),2011,02:48-50.

[3]程博.我國(guó)目前計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)探討[J].改革與開放,2011,20:192.

第7篇:防火墻技術(shù)的研究范文

關(guān)鍵詞:計(jì)算機(jī) 網(wǎng)絡(luò)安全 防火墻 應(yīng)用

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)04-0000-00

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全已經(jīng)越來越受到人們的重視。在網(wǎng)絡(luò)安全當(dāng)中黑客的侵入是影響安全的最大因素,這種安全威脅的存在不僅使使用者不能正常的進(jìn)行辦公,更重要的是直接的影響到計(jì)算機(jī)當(dāng)中的信息安全性。防火墻技術(shù)作為當(dāng)前應(yīng)用最為廣泛,同時(shí)最有效的方式當(dāng)前受到了人們的重視。下面將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用進(jìn)行詳細(xì)的討論。

1防火墻種類

防火墻是現(xiàn)代網(wǎng)絡(luò)安全技術(shù)保障中的重要組成部分,不僅能夠?qū)ν獠康那謹(jǐn)_進(jìn)行防護(hù),同時(shí)在科學(xué)技術(shù)的發(fā)展下還形成了其他的防護(hù)功能,能對(duì)信息進(jìn)行過濾,保證安全的信息進(jìn)入。因此,可以說防火墻是網(wǎng)絡(luò)內(nèi)部和外部之間的一道有效防御系統(tǒng)。為了達(dá)到安全防護(hù)的作用,需要讓內(nèi)部和外部的所有資源都從防火墻進(jìn)行流通,這樣才能保證數(shù)據(jù)資料的安全性[1]。同時(shí),防火墻本身具有一定的抗攻擊能力,面對(duì)外部的攻擊能產(chǎn)生自我保護(hù)作用。下面將對(duì)常見的兩種防火墻進(jìn)行介紹:

1.1過濾型防火墻

過濾型防火墻主要工作的層面在于網(wǎng)絡(luò)層和傳輸層當(dāng)中,能根據(jù)數(shù)據(jù)的源頭地質(zhì)和協(xié)議類型等標(biāo)志確定是否允許通過。只有達(dá)到了防火墻的規(guī)定標(biāo)準(zhǔn),在類型上和安全性上全部滿足要求才能將數(shù)據(jù)信息傳遞到相應(yīng)的目的地,其余的一些不安全因素則會(huì)被防火墻阻擋或者丟棄。

1.2應(yīng)用型

這種防火墻主要的工作范圍在OIS最高層,也就是應(yīng)用層面上。應(yīng)用型的主要特點(diǎn)在體育完全的阻隔了網(wǎng)絡(luò)通信流,通過相應(yīng)的程序來實(shí)現(xiàn)對(duì)應(yīng)用層進(jìn)行控制和監(jiān)視的作用。

除了以上兩種防火墻之外,還有幾種不同的類型,例如邊界防火墻和混合防火墻等等,在實(shí)際應(yīng)用的過程中需要根據(jù)應(yīng)用者的個(gè)人需求來進(jìn)行選擇,以便于避免外部侵?jǐn)_。

2防火墻的作用

2.1控制不安全服務(wù)

防火墻具有控制不安全服務(wù)的功能,在內(nèi)外網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)之間的交換過程種,或者其他的信息傳遞過程中,由于防火墻本身的存在,就可以保證只有在授權(quán)以內(nèi)的信息和服務(wù)才能進(jìn)入到內(nèi)部網(wǎng)絡(luò)當(dāng)中,而一些不被授權(quán)的內(nèi)容則會(huì)被阻擋在外。這種對(duì)不安全服務(wù)的控制,有效降低了網(wǎng)絡(luò)內(nèi)部受到危害的可能性,同時(shí)也提升了網(wǎng)絡(luò)使用安全性。

2.2集中安全保護(hù)

防火墻的最重要功能就體現(xiàn)在集中安全保護(hù)方面。對(duì)于規(guī)模比較大的內(nèi)部網(wǎng)絡(luò)來說,如果需要其需要對(duì)某一些軟件進(jìn)行改動(dòng),并放置在防火墻當(dāng)中,就能實(shí)現(xiàn)全面化的集中式保護(hù)管理。這種方式的優(yōu)勢(shì)在于不用對(duì)主機(jī)當(dāng)中的各個(gè)部分進(jìn)行分別防護(hù),而是從整體的角度上來進(jìn)行數(shù)據(jù)安全保護(hù)。尤其是內(nèi)部網(wǎng)絡(luò)當(dāng)中的一些涉及到重要內(nèi)容的部分,當(dāng)中都需要通過密鑰或者口令等方式來進(jìn)行確認(rèn),進(jìn)一步的提升了系統(tǒng)的安全性[2]。

2.3對(duì)特殊站點(diǎn)進(jìn)行控制

防火墻具備對(duì)特殊的網(wǎng)站站點(diǎn)進(jìn)行控制訪問的租用。例如一些需要進(jìn)行保護(hù)的主機(jī),在進(jìn)行數(shù)據(jù)傳輸或者訪問的過程中,就一定要采取必要的措施進(jìn)行保護(hù),而其他的主機(jī)則能夠進(jìn)行訪問或者數(shù)據(jù)的交換。這種方式能夠有效地避免主機(jī)進(jìn)行不必要訪問,減少資源受到損害的情況,同時(shí)也對(duì)一些不良的網(wǎng)站進(jìn)行主動(dòng)的屏蔽。防火墻就像是一道安全防護(hù)門,對(duì)于一些不經(jīng)常使用的或者帶有干擾因素的信息能主動(dòng)進(jìn)行防御,是一種較為直接同時(shí)有效的網(wǎng)絡(luò)安全防護(hù)方式。

3計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用

3.1應(yīng)用復(fù)合技術(shù)

復(fù)合技術(shù)的應(yīng)用主要在于提升計(jì)算機(jī)網(wǎng)絡(luò)而對(duì)綜合性防護(hù),防護(hù)方式較為穩(wěn)定化,能避免防火墻當(dāng)中一些漏洞問題出現(xiàn)[3]。復(fù)合技術(shù)的應(yīng)用是一種較為系統(tǒng)化的保護(hù)方式,在應(yīng)用上也更加的靈活方便,同時(shí)也具備了過濾式防護(hù)和技術(shù)的整體優(yōu)勢(shì)。通過復(fù)合技術(shù)的應(yīng)用能快速的了解到網(wǎng)絡(luò)應(yīng)用中的安全情況,并能及時(shí)的對(duì)一些不安全問題進(jìn)行阻止,使非法侵入難以實(shí)現(xiàn)。此外,在復(fù)合技術(shù)應(yīng)用下防火墻能實(shí)現(xiàn)自動(dòng)報(bào)警,一旦遭受到攻擊便立刻發(fā)出警報(bào),最大限度上提升保護(hù)的可能性。

3.2應(yīng)用包過濾技術(shù)

包過濾技術(shù)主要是在信息傳遞中對(duì)信息進(jìn)行快速的判斷,并組織不良信息的傳遞。同時(shí),包過濾技術(shù)將計(jì)算機(jī)內(nèi)網(wǎng)和外網(wǎng)劃分成為兩個(gè)不同的部分,從內(nèi)部到外部進(jìn)行全面性的信息傳遞控制,這不僅能充分地發(fā)揮出包過濾技術(shù)的優(yōu)勢(shì),同時(shí)也能對(duì)一些帶有攻擊性的內(nèi)容進(jìn)行過濾。

3.3應(yīng)用的服務(wù)器

的服務(wù)器是防火墻技術(shù)當(dāng)中重要的技術(shù)之一,服務(wù)器給忘了提供必要的服務(wù)保障,并代替網(wǎng)絡(luò)來進(jìn)行信息流動(dòng)[4]。這樣一來一旦所傳遞的信息中帶有不安全因素,那么服務(wù)器就能將真實(shí)的IP進(jìn)行隱藏,并創(chuàng)造一個(gè)虛擬的IP,這樣以來干擾因素就只能對(duì)虛擬的IP進(jìn)行攻擊而不至于攻擊真實(shí)IP,起到保證信息安全的作用。此外,的服務(wù)器具有中轉(zhuǎn)的作用,能夠有效進(jìn)行安全信息之間的交互。但由于這種方式應(yīng)用起來比較復(fù)雜,在使用過程中對(duì)網(wǎng)絡(luò)的穩(wěn)定性要求也比較高,需要?jiǎng)?chuàng)造良好的環(huán)境,當(dāng)前應(yīng)用中只有少部分人選擇。

4結(jié)語(yǔ)

隨著我國(guó)的經(jīng)濟(jì)發(fā)展和網(wǎng)絡(luò)技術(shù)的進(jìn)步,計(jì)算機(jī)網(wǎng)絡(luò)在人們的生活中所扮演的角色也越來越重要。計(jì)算機(jī)防火墻技術(shù)的發(fā)展一方面為計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行提供了保障,另一方面也有效的阻止了不法分子的不良企圖,對(duì)網(wǎng)絡(luò)發(fā)展具有重要的意義。我國(guó)的防火墻技術(shù)發(fā)展比較晚,當(dāng)前仍然存在著一定不足,因此仍然需要不斷進(jìn)行完善,以便于能更好的為人們進(jìn)行服務(wù)。

參考文獻(xiàn)

[1]豐丹.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及對(duì)策分析[J].才智,2016,(02):55-60.

[2]吳尚.我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展與趨勢(shì)分析[J].電子技術(shù)與軟件工程,2015,(24):81-86.

[3]初征.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范對(duì)策[J].數(shù)字技術(shù)與應(yīng)用,2015,(12):44-45.

[4]楊曉偉.計(jì)算機(jī)網(wǎng)絡(luò)安全的主要隱患及應(yīng)對(duì)措施[J].數(shù)字技術(shù)與應(yīng)用,2015,(12):62-66.

第8篇:防火墻技術(shù)的研究范文

關(guān)鍵詞:網(wǎng)絡(luò);防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網(wǎng)址對(duì)于網(wǎng)絡(luò)安全來說防火墻是主要的一個(gè)防御機(jī)制,在整個(gè)網(wǎng)絡(luò)系統(tǒng)中起到至關(guān)重要的作用。防火墻的技術(shù)、自身的功能、保護(hù)能力、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等因素,是網(wǎng)絡(luò)安全性的決定性因素,而在網(wǎng)絡(luò)迅猛發(fā)展的今天,對(duì)網(wǎng)絡(luò)安全和防護(hù)的要求就越來越迫切,網(wǎng)絡(luò)防火墻被用作為加強(qiáng)控制網(wǎng)絡(luò)之間的互訪,嚴(yán)防外部網(wǎng)絡(luò)用戶惡意通過外網(wǎng)入侵內(nèi)部網(wǎng)絡(luò),并對(duì)網(wǎng)絡(luò)之間的數(shù)據(jù)包的傳輸進(jìn)行實(shí)時(shí)監(jiān)控,判斷網(wǎng)絡(luò)之間通信的合法性,以及網(wǎng)絡(luò)運(yùn)行的狀態(tài)。

一、防火墻的類型

網(wǎng)絡(luò)在人們的平常生活中越來越普及化,網(wǎng)絡(luò)的安全就越來越受到了人們的重視,防火墻成為網(wǎng)絡(luò)安全的一個(gè)重要保障。防火墻的種類多樣化,根據(jù)應(yīng)用技術(shù)的不同,可分為一下幾類:

(一)防火墻的初級(jí)產(chǎn)品:包過濾型防火墻它的核心為傳輸技術(shù),通過讀取數(shù)據(jù)包中的地址信息來辨別數(shù)據(jù)包的合法性,辨別其來自的網(wǎng)站是否安全,如果是危險(xiǎn)的數(shù)據(jù)包,防火墻最自動(dòng)將其抑制,包過濾技術(shù)具有簡(jiǎn)單實(shí)用的優(yōu)點(diǎn),而且成本低,經(jīng)常是以較小的代價(jià)實(shí)現(xiàn)對(duì)系統(tǒng)的保障,但是其常常無法識(shí)別應(yīng)用層的惡意攻擊。

(二)網(wǎng)絡(luò)地址轉(zhuǎn)化(network address translation)NATNAT的主要技術(shù)是將IP地址轉(zhuǎn)化為臨時(shí)的、注冊(cè)的外部IP地址,同時(shí)允許私有IP地址用戶訪問因特網(wǎng),系統(tǒng)將源端口和源地址映射為一個(gè)偽裝的地址和端口,用偽裝的地址與端口與外網(wǎng)建立連接,從而以達(dá)到隱藏真實(shí)的IP地址。

(三)型防火墻型防火墻亦可稱作為服務(wù)器,它是一種安全性相對(duì)較高的產(chǎn)品,其位于服務(wù)器與用戶級(jí)之間,對(duì)于兩者之間的數(shù)據(jù)交流可以起到很好的監(jiān)控和阻攔危險(xiǎn)數(shù)據(jù)的作用,避免了外部的一些惡意攻擊,為網(wǎng)絡(luò)與用戶之間建立了一條有效安全的綠色通道,其優(yōu)點(diǎn)是安全性較高,對(duì)應(yīng)用層可以做到有效的掃描和偵測(cè),對(duì)于抑制應(yīng)用層的病毒侵入和感染十分有效,劣勢(shì)就是管理起來相對(duì)復(fù)雜。

(四)監(jiān)測(cè)型防火墻監(jiān)測(cè)型防火墻是一種新的產(chǎn)品,它對(duì)網(wǎng)絡(luò)各層的數(shù)據(jù)予以主動(dòng)的、實(shí)時(shí)的監(jiān)控,對(duì)于各層中的惡意入侵和非法操作的監(jiān)控、判斷更為行之有效,而且防范能力也得到了大幅度的提升,其優(yōu)點(diǎn)它的防御能力已完全超越了前幾種類型防火墻,但劣勢(shì)也比較明顯,成本高,管理困難。

二、在網(wǎng)絡(luò)安全的五個(gè)體系中防火墻處于五層中的最低層,負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸與認(rèn)證

由于網(wǎng)絡(luò)的全球化和重要性,網(wǎng)絡(luò)安全的重要性也隨之深入人心。從發(fā)展的角度看,防火墻技術(shù)正在向其它各層的網(wǎng)絡(luò)安全延伸。由于網(wǎng)絡(luò)病毒的不斷升級(jí),隨之其防火墻的技術(shù)與職能也在迅速的拓展。

(一)向著多級(jí)過濾技術(shù)發(fā)展網(wǎng)絡(luò)會(huì)向著多級(jí)過濾技術(shù)發(fā)展,多級(jí)過濾技術(shù)的定義是:采用多級(jí)過濾措施,在分組過濾(網(wǎng)絡(luò)層)一級(jí),對(duì)所有的源路由分組和假冒的IP源地址進(jìn)行過濾;應(yīng)遵循過濾規(guī)則,過濾掉所有(傳輸層)一級(jí),違反規(guī)則的的協(xié)議和有害數(shù)據(jù)包;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí),能利用不同的網(wǎng)關(guān),操控和監(jiān)測(cè)到Internet提供的所有服務(wù)。我們可以通過這個(gè)技術(shù)的理解上開發(fā)出更多的擴(kuò)展技術(shù)。

(二)動(dòng)態(tài)封包過濾技術(shù)動(dòng)態(tài)封包過濾技術(shù)與傳統(tǒng)的數(shù)據(jù)包過濾技術(shù)相比較:傳統(tǒng)的數(shù)據(jù)包技術(shù)職能檢測(cè)到單個(gè)的數(shù)據(jù)包的包頭和單一的判斷信息是否轉(zhuǎn)發(fā)或丟棄,動(dòng)態(tài)數(shù)據(jù)包過濾技術(shù)則是著重于連續(xù)封閉包包間的關(guān)聯(lián)性以及其出入的檢測(cè);過濾;加密解密或者傳輸,并作進(jìn)一步的用戶身份認(rèn)證,他能夠深入檢查出數(shù)據(jù)包,查出內(nèi)部存在的惡意行為,識(shí)別惡意數(shù)據(jù)流量,阻斷惡意攻擊的出現(xiàn),并且具備識(shí)別黑客的非法掃描,有效阻斷非法的欺騙信息。

三、網(wǎng)絡(luò)防火墻產(chǎn)品發(fā)展趨勢(shì)

網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,硬件設(shè)施的不斷更新,隨之帶來防火墻產(chǎn)品的不斷換代以及產(chǎn)品技術(shù)的迅速進(jìn)展,數(shù)據(jù)的安全、身份的認(rèn)證以及病毒阻控和入侵檢測(cè)等成為了防火墻的發(fā)展方向,其發(fā)展趨勢(shì)主要有:

(一)模式轉(zhuǎn)變。傳統(tǒng)的防火墻主要是用來把數(shù)據(jù)流,形成分隔開來,從而劃分出安全的管理區(qū)。普遍位于網(wǎng)絡(luò)的邊緣。而傳統(tǒng)的防火墻設(shè)計(jì)缺乏對(duì)內(nèi)網(wǎng)惡意攻擊者的防范,而新的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對(duì)象,最大限度的保護(hù)對(duì)象,提高網(wǎng)絡(luò)安全級(jí)別,增強(qiáng)保護(hù)作用。

(二)技術(shù)整合。通過對(duì)防火墻技術(shù)的了解??梢愿忧宄恼J(rèn)識(shí)各類技術(shù)的優(yōu)缺點(diǎn)。這對(duì)于今后防火墻的技術(shù)整起到了促進(jìn)的作用。

(三)性能提高。隨著網(wǎng)絡(luò)的飛速發(fā)展,千兆網(wǎng)絡(luò)也逐漸在普及,在未來防火墻產(chǎn)品的發(fā)展上將會(huì)有更強(qiáng)處理功能的防火墻問市。在硬件上,千兆防火墻的主要選擇將會(huì)為網(wǎng)絡(luò)處理器(Network Processor)和專用集成電路(ASIC)技術(shù)??梢酝ㄟ^優(yōu)化存儲(chǔ)器等資源,使防火墻達(dá)到線速千兆。在軟件上為了能夠達(dá)到防火墻在性能上的要求,未來將會(huì)融入更多的先進(jìn)技術(shù)理念并應(yīng)用到實(shí)踐中去,從而做到與性能相匹配。

四、結(jié)束語(yǔ)

在網(wǎng)絡(luò)已成為人們普遍使用工具的當(dāng)下,網(wǎng)絡(luò)安全性已成為人們探討的焦點(diǎn)。而作為保護(hù)網(wǎng)絡(luò)安全性手段之一的防火墻技術(shù)已成為人們普遍使用的手段。不僅針對(duì)于個(gè)人,也保護(hù)著企業(yè)內(nèi)部的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)的安全性不斷的受到侵害,安全性也在不斷的更新。未來多級(jí)過濾技術(shù)、動(dòng)態(tài)封包過濾技術(shù)將會(huì)運(yùn)用到實(shí)戰(zhàn)中來。防火墻技術(shù)也將更加多元化,更加方便、快捷、安全。能夠使防火墻技術(shù)的不斷完善這不僅關(guān)系到某個(gè)領(lǐng)域,更會(huì)涉及到信息安全的未來。

參考文獻(xiàn):

[1]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2001:104

第9篇:防火墻技術(shù)的研究范文

【關(guān)鍵詞】防火墻;網(wǎng)絡(luò);安全技術(shù)

如何更好地促進(jìn)網(wǎng)絡(luò)的有效運(yùn)行,保障網(wǎng)絡(luò)的安全環(huán)境,在很大程度上取決于防火墻的設(shè)置。網(wǎng)絡(luò)安全問題成為了人們關(guān)注的焦點(diǎn),防火墻可以說是解決網(wǎng)絡(luò)安全問題最有效方式。

1.防火墻的概念

防火墻指的是在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道隔離防御系統(tǒng)。應(yīng)用防火墻最重要的目的就是通過對(duì)網(wǎng)絡(luò)入、出環(huán)節(jié)的控制,促使各項(xiàng)環(huán)節(jié)都需要經(jīng)過防火墻檢查,進(jìn)而有效預(yù)防網(wǎng)絡(luò)遭到外來因素的破壞與干擾,進(jìn)一步達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)不受非法訪問的目的。在本質(zhì)上來講,防火墻就是一種控制、隔離技術(shù),在不安全的網(wǎng)絡(luò)環(huán)境中積極構(gòu)建相對(duì)安全的網(wǎng)絡(luò)內(nèi)部環(huán)境。站在邏輯層面來分析,防火墻不僅是一個(gè)限制器,還是一個(gè)分析器,防火墻要求所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過安全計(jì)劃或策略確定,與此同時(shí),在邏輯上對(duì)內(nèi)外網(wǎng)絡(luò)進(jìn)行分離。目前來說,有的防火墻通過軟件的方式在計(jì)算機(jī)上運(yùn)行,有的防火墻以硬件形式固定在路由器中。從整體上來說,常用的防火墻分為三種:①包過濾防火墻。②服務(wù)器。③狀態(tài)監(jiān)視技術(shù)。

防火墻功能具有如下功能:①提高網(wǎng)絡(luò)安全性能,防火墻的應(yīng)用,能大幅度提升內(nèi)部網(wǎng)絡(luò)的安全性能,降低安全風(fēng)險(xiǎn)。防火墻還能夠保護(hù)網(wǎng)絡(luò)避免來自路由的攻擊。防火墻能夠拒絕各種不安全因素,并通知管理員。②強(qiáng)化網(wǎng)絡(luò)安全,相對(duì)于傳統(tǒng)的將安全問題分散到不同主機(jī)上的方式相比較,這種集中安全管理的防火墻更加經(jīng)濟(jì)、安全。③監(jiān)控網(wǎng)絡(luò)訪問與存取,防火墻的應(yīng)用,能夠有效記錄各種網(wǎng)絡(luò)活動(dòng)的開展,并且,對(duì)于可疑性的網(wǎng)絡(luò)活動(dòng)進(jìn)行報(bào)警。能夠?yàn)榫W(wǎng)絡(luò)管理員提供全面的信息。一旦防火墻監(jiān)控到可疑動(dòng)作,就會(huì)自動(dòng)報(bào)警,并提供攻擊與監(jiān)測(cè)的具體信息。④保護(hù)內(nèi)部信息不被泄露。通過防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)與劃分,能夠?qū)崿F(xiàn)對(duì)內(nèi)部重點(diǎn)網(wǎng)絡(luò)的保護(hù)與隔離,進(jìn)一步降低重點(diǎn)局部網(wǎng)絡(luò)安全問題對(duì)于整個(gè)局域網(wǎng)內(nèi)部的影響,有效保護(hù)內(nèi)部信息不被泄露。

2.基于防火墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)

2.1選擇防火墻

作為一種網(wǎng)絡(luò)完全的有效防護(hù)方式,防火墻有多種類型的實(shí)現(xiàn)方式。在合理選擇防火墻之前,需要全面的進(jìn)行風(fēng)險(xiǎn)分析、需求分析,并進(jìn)一步制定安全防范策略,針對(duì)性的選擇防護(hù)方式,盡可能保持安全政策與防護(hù)方式的統(tǒng)一性。

2.2全面考慮防火墻失效并進(jìn)行動(dòng)態(tài)維護(hù)

在評(píng)價(jià)防火墻安全性以及性能過程中,一方面需要看防火墻工作是否正常,一方面需要看起能否阻擋非法訪問或惡意攻擊。如果防火墻被攻破,其狀態(tài)是怎樣的。按照一定的級(jí)別來劃分,失效有四種情況:①在沒有受到攻破時(shí)能進(jìn)行正常工作。②在受到傷害時(shí)可以重新啟動(dòng),并恢復(fù)到之前的工作界面。③禁止與關(guān)閉所有通行的數(shù)據(jù)。④關(guān)閉且允許數(shù)據(jù)繼續(xù)通行。第一種與第二種狀態(tài)比較理想化,第四種狀態(tài)最不安全。在選擇防火墻過程中,需要驗(yàn)證其失效狀態(tài),并進(jìn)行準(zhǔn)確評(píng)估。在安裝防火墻以及防火墻投入以后,需要對(duì)其運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)性維護(hù),對(duì)其發(fā)展動(dòng)態(tài)進(jìn)行維護(hù)與跟蹤,時(shí)刻保持商家動(dòng)態(tài)并與之保持聯(lián)系。一旦商家發(fā)現(xiàn)安全漏洞,就會(huì)積極推出補(bǔ)救措施,及時(shí)更新防火墻。

2.3全面指定防火墻可靠規(guī)則集

可靠規(guī)則集的制定是實(shí)現(xiàn)安全、成功防火墻的關(guān)鍵性步驟。如果防火墻的歸集不正確,再?gòu)?qiáng)大的防火墻也起不到任何作用。第一,制定安全性策略,上級(jí)管理人員制定安全防范策略,防火墻是實(shí)施這一安全防范策略的工具。在制定規(guī)則集之前,必須全面掌握安全策略。建設(shè)其包含以下內(nèi)容:①內(nèi)部員工訪問網(wǎng)絡(luò)不受限制。②外部用戶能夠使用email服務(wù)器與web服務(wù)器。③管理員能遠(yuǎn)程訪問其系統(tǒng)。在實(shí)際上來說,大部分部門的安全策略要遠(yuǎn)遠(yuǎn)超過上述內(nèi)容。第二,積極構(gòu)建安全體系,要想將一項(xiàng)安全策略積極轉(zhuǎn)化成技術(shù)。第一個(gè)內(nèi)容比較容易實(shí)現(xiàn),內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)信息都允許在網(wǎng)絡(luò)上傳輸。對(duì)于第二項(xiàng)的安全策略來說比較麻煩,需要建立email服務(wù)器與web服務(wù)器,因?yàn)樗械娜硕寄茉L問email服務(wù)器與web服務(wù)器,因此,不能信任他們。鑒于此,可以將email服務(wù)器與web服務(wù)器放到DMZ中去實(shí)現(xiàn)。DMZ作為一個(gè)孤立的網(wǎng)絡(luò),經(jīng)常存放不被信任的系統(tǒng),該網(wǎng)絡(luò)中的系統(tǒng)無法連接、啟動(dòng)內(nèi)部網(wǎng)絡(luò)。第三項(xiàng)是必須讓管理員遠(yuǎn)程控制他人的訪問系統(tǒng),要想實(shí)現(xiàn)這一功能,可以通過加密服務(wù)的方式進(jìn)行。筆者建議在這一過程中需要加入DNS。在上述安全策略中雖然未陳述此項(xiàng)內(nèi)容,但是,在實(shí)際運(yùn)營(yíng)過程中需要積極提供該服務(wù)。第三,規(guī)則次序的制定,規(guī)則次序的制定非常重要。不同的規(guī)則次序排列相同的規(guī)則,可能會(huì)深刻改變防火墻的運(yùn)行情況。比如說,大部分防火墻按照順序?qū)?shù)據(jù)包進(jìn)行檢查,收到第一個(gè)數(shù)據(jù)包與第一條規(guī)則相對(duì)應(yīng),收到第二個(gè)數(shù)據(jù)包與第二條規(guī)則相對(duì)應(yīng),一直進(jìn)行對(duì)應(yīng)。如果檢查到匹配選項(xiàng),就會(huì)停止檢查。如果沒有找到相匹配的規(guī)則,就會(huì)拒絕這個(gè)數(shù)據(jù)包。一般來說,比較特殊的規(guī)則應(yīng)該放在前面,比較普通的放在后面。通過這樣的方式,能有效避免防火墻的錯(cuò)誤配置。第四,落實(shí)規(guī)則集,一旦確認(rèn)了規(guī)則次數(shù)與安全防范策略,就要對(duì)規(guī)則集中的每條規(guī)則進(jìn)行落實(shí)。在實(shí)際落實(shí)過程中,需要注意以下幾個(gè)關(guān)鍵點(diǎn)。①將不必要的防火墻默認(rèn)服務(wù)切斷。②內(nèi)部網(wǎng)絡(luò)的所有人都能出網(wǎng),任何服務(wù)都被允許,與安全策略規(guī)定相吻合。③增添鎖定規(guī)則,除了管理員之外,其他人員都不能訪問防火墻。④將不匹配的數(shù)據(jù)包丟棄,且不記錄。⑤可以允許網(wǎng)絡(luò)用戶訪問DNS。允許內(nèi)部用戶以及網(wǎng)絡(luò)用戶通過郵件傳遞協(xié)議訪問郵件服務(wù)器。不允許內(nèi)部用戶對(duì)DMZ進(jìn)行公開訪問。允許內(nèi)部進(jìn)行POP訪問。⑥拒絕、警告同時(shí)記錄DMZ到內(nèi)部用戶之間的通話。⑦管理員能夠通過加密方式進(jìn)行內(nèi)部網(wǎng)絡(luò)的訪問。⑧將最常用規(guī)則盡可能放到規(guī)則集上部,進(jìn)一步提升防火墻安全性能。

3.結(jié)語(yǔ)

新形勢(shì)下,加強(qiáng)給予防火墻墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)探析,對(duì)于提高網(wǎng)絡(luò)安全具有重要意義,為此,還需要對(duì)防火墻技術(shù)進(jìn)行深入探究,提高防火墻關(guān)鍵技術(shù),保障網(wǎng)絡(luò)環(huán)境安全。[科]

【參考文獻(xiàn)】

[1]黃登璽,卿斯?jié)h,蒙楊.防火墻核心技術(shù)的研究和高安全等級(jí)防火墻的設(shè)計(jì)[J].計(jì)算機(jī)科學(xué),2011(02).