公務(wù)員期刊網(wǎng) 精選范文 防火墻技術(shù)論文范文

防火墻技術(shù)論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。

防火墻技術(shù)論文

第1篇:防火墻技術(shù)論文范文

1.1黑客攻擊的問題

因為校園網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來越高明,破壞程度同樣越來越嚴(yán)重,黑客攻擊校園網(wǎng)絡(luò),有著時間長、范圍廣、損失大以及處理難的特點,校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8],黑客很多時候使用專業(yè)工具攻擊校園挽留過,導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò),同時篡改校園網(wǎng)絡(luò)的主頁、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。

1.2內(nèi)部用戶的問題

現(xiàn)在學(xué)生對于網(wǎng)絡(luò)了解程度比較深,這就導(dǎo)致部分學(xué)生會在好奇心趨勢下,攻擊校園網(wǎng)絡(luò)系統(tǒng),從而給校園網(wǎng)絡(luò)的正常運行帶來不利影響,提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30%左右,大部分情況由學(xué)生好奇心而引起,同時學(xué)校對于學(xué)生的管理以及教育不夠重視,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。

2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用

2.1選擇合適的防火墻產(chǎn)品

最簡單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過濾路由器。為更好實現(xiàn)校園網(wǎng)絡(luò)的安全,很多時候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案,然后選擇合適的防火墻產(chǎn)品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設(shè)備,并且集成生產(chǎn)廠商防火墻軟件,功能上通過內(nèi)置安全軟件,并且使用強化甚至專屬的操作系統(tǒng),有著管理方便以及更換容易的特點,并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關(guān)系,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來加以選擇。

2.2使用服務(wù)器

服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān),這一網(wǎng)關(guān)運行服務(wù)軟件,可以實現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實現(xiàn)協(xié)同工作,所以提供應(yīng)用級的網(wǎng)關(guān)??蛻舳送?wù)器發(fā)送請求,請求到達(dá)服務(wù)器,然后服務(wù)器在接收連接請求之后,進(jìn)行身份認(rèn)證以及訪問控制,要是客戶端確認(rèn)服務(wù)器身份認(rèn)證以及訪問控制,那么就代替客戶端發(fā)送請求。服務(wù)器在響應(yīng)之后,服務(wù)器則將數(shù)據(jù)反饋到客戶端。

2.3配置路由器防火墻

第2篇:防火墻技術(shù)論文范文

關(guān)鍵詞:網(wǎng)絡(luò);安全;防火墻

1 緒論

隨著國家的快速發(fā)展,社會的需求等諸多問題都體現(xiàn)了互聯(lián)網(wǎng)的重要性,各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡(luò)。致使學(xué)校網(wǎng)絡(luò)安全問題是我們急需要解決的問題。小到別人的電腦系統(tǒng)癱瘓、帳號被盜,大到學(xué)校重要的機密資料,財政資料,教務(wù)處的數(shù)據(jù)被非法查看修改等等。學(xué)校機房網(wǎng)絡(luò)安全也是一個很重要的地方。由于是公共型機房。對于公共機房的網(wǎng)絡(luò)安全問題,提出以下幾個方法去解決這類的一部分問題。

2 PC機

2.1 PC終端機。對于終端機來說,我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補丁。像360安全衛(wèi)士(省略/)是一款不錯的實用、功能強大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項,我們只要點擊掃描,把掃描到的系統(tǒng)漏洞,點擊下載安裝,并且都是自動安裝,安裝完就可以了。

2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件,從瑞星官方網(wǎng)站(省略/)下載,下載完,安裝簡體版就可以了。安裝完之后,就進(jìn)行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環(huán)境中。也可以在【開始-運行】中輸入【sigverif】命令,檢查系統(tǒng)的文件有沒有簽名,沒有簽名的文件就有可能是被病毒感染了??梢陨暇W(wǎng)查詢之后,進(jìn)行刪除。

2.3 防火墻。打好系統(tǒng)漏洞補丁,安裝好殺毒軟件之后,就是安裝防火墻像瑞星防火墻,天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強大的防火墻軟件,它不僅僅能防病毒,還能防現(xiàn)在很是厲害的ARP病毒。

2.4 用戶設(shè)置。把Administrator超級用戶設(shè)置密碼,對不同的用戶進(jìn)行用戶權(quán)限設(shè)置。

3 解決方案

3.1 防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動,保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計算機或其他特制地硬件設(shè)備。防火墻可以是獨立地系統(tǒng),也可以在一個進(jìn)行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):

①屏蔽路由器:又稱包過濾防火墻。

②雙穴主機:雙穴主機是包過濾網(wǎng)關(guān)的一種替代。

③主機過濾結(jié)構(gòu):這種結(jié)構(gòu)實際上是包過濾和的結(jié)合。

④屏蔽子網(wǎng)結(jié)構(gòu):這種防火墻是雙穴主機和被屏蔽主機的變形。

3.2 VPN技術(shù)。VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn),可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

3.3 網(wǎng)絡(luò)加密技術(shù)(Ipsec)。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機制可對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此,IP安全是整個TCP/IP安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括:

①訪問控制;②無連接完整性;③數(shù)據(jù)起源認(rèn)證;④抗重放攻擊;⑤機密性;⑥有限的數(shù)據(jù)流機密性。

3.4 身份認(rèn)證。在一個更為開放的環(huán)境中,支持通過網(wǎng)絡(luò)與其他系統(tǒng)相連,就需要“調(diào)用每項服務(wù)時需要用戶證明身份,也需要這些服務(wù)器向客戶證明他們自己的身份?!钡牟呗詠肀Wo(hù)位于服務(wù)器中的用戶信息和資源。像數(shù)字簽名。

4會話控制與帶寬管理策略

4.1 會話數(shù)控制。 使用校園網(wǎng)出口防火墻,通過單用戶會話和流量控制功能進(jìn)行相關(guān)管理。通過應(yīng)用防火墻設(shè)置新建連接閥值,可以對網(wǎng)絡(luò)中每個用戶會話連接數(shù)進(jìn)行控制,當(dāng)閥值被觸動后,動態(tài)地將非法用戶添加到黑名單,直接將非法用戶連接阻斷,并且可以靈活的設(shè)置控制黑名單的有效時間。通過單用戶會話數(shù)限制,可以做到:當(dāng)校園網(wǎng)內(nèi)機器病毒爆發(fā)時,阻止大量數(shù)據(jù)包對外建立連接,耗費網(wǎng)絡(luò)資源;阻止黑客對網(wǎng)絡(luò)的掃描;阻止黑客進(jìn)行DDOS攻擊。

5 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中,它主要關(guān)心的是確保無關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關(guān)心的對象是那些無權(quán)使用,但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題,以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案,目的在于為用戶提供信息的保密,認(rèn)證和完整性保護(hù)機制,使網(wǎng)絡(luò)中的服務(wù),數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻,認(rèn)證,加密技術(shù)等都是當(dāng)今常用的方法,本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決,可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻(xiàn)

[1] 雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社,2004.

第3篇:防火墻技術(shù)論文范文

關(guān)鍵詞:指紋系統(tǒng),安全防范,防御機制

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng),有其特定含義和應(yīng)用范疇,它積累信息為偵察破案提供線索,概括起來有四個方面的典型應(yīng)用:第一,指紋系統(tǒng)是為公安工作服務(wù)的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統(tǒng)是為偵察破案提供線索,為案件進(jìn)展提供便利服務(wù)的。第三,指紋系統(tǒng)積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據(jù)。第四,指紋系統(tǒng)是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關(guān)信息。

二、指紋信息系統(tǒng)安全的主要問題

隨著網(wǎng)絡(luò)在公安工作各個方面的延伸,進(jìn)入指紋系統(tǒng)的手段也越來越多,因此,指紋信息安全是目前指紋工作中面臨的一個重要問題。

1、物理安全問題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護(hù)。目前常見的不安全因素(安全威脅或安全風(fēng)險)包括兩大類:第一類是自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統(tǒng)掉電、“死機”等)。

2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問題

現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng),該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統(tǒng)的安全問題。非法用戶攻擊的主要方法有:口令攻擊、網(wǎng)絡(luò)監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計算機病毒威脅

計算機病毒將導(dǎo)致指紋系統(tǒng)癱瘓,系統(tǒng)程序和指紋數(shù)據(jù)嚴(yán)重破壞,使系統(tǒng)的效率和作用大大降低,系統(tǒng)的許多功能無法使用或不敢使用。雖然,至今還沒過出現(xiàn)災(zāi)難性的后果,但層出不窮的各種各樣的計算機病毒活躍在公安網(wǎng)的各個角落,令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數(shù)據(jù)進(jìn)行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現(xiàn),但會對計算機數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠嬎銠C的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒,它們根據(jù) Windows漏洞進(jìn)行攻擊,電腦中毒后1分鐘重起。在重新啟動之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預(yù)防和清除計算機病毒是非常重要的,我們應(yīng)提高對計算機病毒的防范意識,不給病毒以可乘之機。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個人機系統(tǒng),需要多人參與工作,而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體,因此,要重視對各級系統(tǒng)操作人員進(jìn)行系統(tǒng)安全的教育,做到專機專用,嚴(yán)禁操作人員進(jìn)行工作以外的操作;下面就本人在實際工作中總結(jié)的一些經(jīng)驗,談一 談對指紋信息系統(tǒng)的維護(hù)與病毒的預(yù)防。

1、 對指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進(jìn)行安全防護(hù)

(1)系統(tǒng)服務(wù)器安全:服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞,一旦服務(wù)器或硬盤有故障,輕者將導(dǎo)致系統(tǒng)的中斷,重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失,因此在服務(wù)器端,可以采用雙機熱備份+異機備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下,備份服務(wù)器自動在 30 秒 內(nèi)將所有服務(wù)接管過來,從而保證整個指紋系統(tǒng)不會因為服務(wù)器發(fā)生故障而影響到系統(tǒng)的正常運行,確保系統(tǒng) 24小時不間斷運行。在磁盤陣列柜,我們可安裝多塊服務(wù)器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發(fā)生故障時,直接用備份硬盤進(jìn)行替換。

(2)異機數(shù)據(jù)備份:為防止單點故障(如磁盤陣列柜故障)的出現(xiàn),可以另設(shè)一個備份服務(wù)器為,并給它的服務(wù)設(shè)置一個定時任務(wù),在定置任務(wù)時,設(shè)定保存兩天的備份數(shù)據(jù),這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過程中出現(xiàn)故障時也能進(jìn)行指紋數(shù)據(jù)的安全恢復(fù)。通過異機備份,即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時,也不會導(dǎo)致指紋信息的丟失,并可保證在1小時內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下,使損失降到最低。

(3)電路供應(yīng):中心機房電源盡量做到專線專供,同時采用UPS(不間斷電源),部分非窗口計算機采用300 W 延時20分鐘的 UPS進(jìn)行備用,這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

(4)避雷系統(tǒng):由于通信設(shè)備尤其是裸露于墻體外的線路,易受雷擊等強電磁波影響而導(dǎo)致接口燒壞,為對整個系統(tǒng)進(jìn)行防雷保護(hù),分別對中心機房、主交換機、各分交換機和各工作站進(jìn)行了分層次的防護(hù)。

(5)主機房的防盜、防火、防塵:主機房是系統(tǒng)中心,一旦遭到破壞將帶來不可估量的損失,可以安裝防盜門,或安排工作人員24小時值班。同時,由于服務(wù)器、交換機均屬于高精密儀器,對防塵要求很高,所以對主機房進(jìn)行裝修時應(yīng)鋪上防靜電地板,準(zhǔn)備好(電火)滅火器,安裝上空調(diào), 以保證機房的恒溫,并派專人對主機房的衛(wèi)生、防塵等具體負(fù)責(zé)。論文大全。

(6)對移動存儲器,借出時要寫保護(hù),借入時要先殺毒;

(7)不使用盜版或來歷不明的軟件,做到專機專用,在公安內(nèi)網(wǎng)的機器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用;

2 、 全方位的系統(tǒng)防御機制

我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預(yù)防措施如下:

(1)利用防病毒技術(shù)來阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失,采用多層的病毒防衛(wèi)體系。在每臺PC機上安裝單機版反病毒軟件,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件,并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責(zé)任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個指紋系統(tǒng)不受病毒的感染。

(2)應(yīng)用防火墻技術(shù)來控制訪問權(quán)限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后,系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離,所有來自外部的訪問請求都要通過防火墻的檢查,這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾,拒絕非法IP 地址,有效避免公安網(wǎng)上與指紋工作無關(guān)的主機的越權(quán)訪問;防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使非法用戶無機可乘;防火墻可以制定訪問策略,只有被授權(quán)的外部主機才可以訪問系統(tǒng)的有限IP地址,保證其它用戶只能訪問系統(tǒng)的必要資源,與指紋工作無關(guān)的操作將被拒絕;由于所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視對系統(tǒng)的訪問活動,并進(jìn)行詳細(xì)的記錄,通過分析可以發(fā)現(xiàn)可疑的攻擊行為;防火墻可以進(jìn)行地址轉(zhuǎn)換工作,使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu),使攻擊失去目標(biāo)。

(3)應(yīng)用入侵檢測技術(shù)及時發(fā)現(xiàn)攻擊苗頭。

入侵檢測系統(tǒng)是提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜韵到y(tǒng)內(nèi)外的攻擊,縮短入侵的時間。

(4)應(yīng)用安全掃描技術(shù)主動探測系統(tǒng)安全漏洞,進(jìn)行系統(tǒng)安全評估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高指紋系統(tǒng)的安全性。通過對系統(tǒng)的掃描,系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估系統(tǒng)風(fēng)險等級。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯誤配置,在非法用戶攻擊前進(jìn)行防范。

(5)應(yīng)用系統(tǒng)安全緊急響應(yīng)體系,防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天,即使昔日固若金湯的系統(tǒng)安全策略,也難免會隨著時間和環(huán)境的變化,變得不堪一擊。因此,我們需要隨時間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建系統(tǒng)安全緊急響應(yīng)體系,專人負(fù)責(zé),防范安全突發(fā)事件。

參考文獻(xiàn):

[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3] 張 敏,徐 震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學(xué)報(已投稿),2006

[4] 何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(甲):中國科學(xué)院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平.計算機犯罪問題研究[M].北京:電子工業(yè)出版社,2002.

[7]高銘喧.新編中國刑法學(xué)[M].北京:中國科學(xué)技術(shù)出版社,2000.

[8]朱廣艷. 信息技術(shù)與課程整合的發(fā)展與實踐[J]. 中國電化教育,2003(194):8- 10.

[9]黃叔武 劉建新 計算機網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月

[10]戴紅 王海泉 黃堅 計算機網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.

[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.

[13]周筱連. 計算機網(wǎng)絡(luò)安全防護(hù)[J].電腦知識與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).

[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購周刊, 2002,(32).

[15]網(wǎng)絡(luò)安全新概念[J].計算機與網(wǎng)絡(luò), 2004,(7).

[16]王銳. 影響網(wǎng)絡(luò)安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).

第4篇:防火墻技術(shù)論文范文

【關(guān)鍵詞】防火墻 網(wǎng)絡(luò)安全 控制程序 測試方案

隨著網(wǎng)絡(luò)安全市場的打開,越來越多的公司加入到網(wǎng)絡(luò)安全軟件、硬件開發(fā)行列中,市場上就開始出現(xiàn)各類防火墻,其基本原理也就是通過源地址、目標(biāo)地址互聯(lián)安全控制來達(dá)到目的主機的安全。是否到達(dá)這個終極目標(biāo)、以及防火墻在強力攻擊之下能否還能穩(wěn)定運行,規(guī)則判斷能否準(zhǔn)確而無誤執(zhí)行等,這些是需要經(jīng)過嚴(yán)密的測試與檢驗才可以得出結(jié)論。只用通過嚴(yán)格檢驗,才能保證核心系統(tǒng)與主機的安全,所以測試對于產(chǎn)品檢驗來說是致關(guān)重要。

1 防火墻功簡介

1.1 防火墻信息安全與屬性

防火墻作為企業(yè)內(nèi)外網(wǎng)中間安全監(jiān)測點,為了實現(xiàn)數(shù)據(jù)通信安全審查與訪問的隔離,防火墻就必須具備如下幾個功能:

(1)通過地址訪問控制,執(zhí)行本地網(wǎng)絡(luò)安全策略。

(2)防火墻自身的安全性保障,該功能是防火墻本身需要具備的重要一個原則。

(3)對網(wǎng)絡(luò)中的各種行為提供日志和統(tǒng)計功能。

(4)防火墻的效率和可用性,其執(zhí)行效率直接影響內(nèi)外網(wǎng)的通信效率和。

(5)能提供統(tǒng)一、集中的網(wǎng)絡(luò)安全和管理。

1.2 防火墻核心參數(shù)與測試方法

吞吐量:吞吐量主要體現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)能力,測試防火墻吞吐量主要通過試儀端口數(shù)量進(jìn)行體現(xiàn),測試中涉及的配置情況包括:透明模式,路由模式,配置NAT,配置policy,配置AV掃描,配置QoS等。一般情況下設(shè)備在配置大量policy的情況下的吞吐量不會有太大變化。在配置雙向或者單向NAT后吞吐量大約是路由模式的98%左右。透明模式的吞吐量大約是路由模式吞吐量的80%左右。

時延:時延所測試的是系統(tǒng)處理數(shù)據(jù)包所需要的時間。防火墻的時延測試的是其存儲轉(zhuǎn)發(fā)(Store and Forward)的性能(另一種是Cut and Through)。時延的測試通常會選用測試儀所對應(yīng)的RFC測試套件進(jìn)行測試。

丟包率:丟包率是測試系統(tǒng)在一定負(fù)載的情況下丟包數(shù)量多少的測試。測試的意義在于通過過載的流量來考查對設(shè)備正常轉(zhuǎn)發(fā)性能的影響。包率的測試通常會選用測試儀所對應(yīng)的RFC測試套件進(jìn)行測試。

系統(tǒng)恢復(fù)時間:系統(tǒng)恢復(fù)時間的測試包括:系統(tǒng)重起的時間測試,系統(tǒng)斷電重起的時間測試,HA倒換時間測試,HA恢復(fù)時間測試,系統(tǒng)過載恢復(fù)測試(這個一般很少見),在HA倒換時間測試中測試包括主->備切換時間測試,備->主恢復(fù)時間測試。通用的測試方法為:使用測試儀發(fā)送恒定速率的流量穿過DUT,DUT進(jìn)行reset,或者斷電操作,直到流量恢復(fù)正常。恢復(fù)時間=丟包數(shù)量/發(fā)包速率。另外一種測試方法是通過ping包丟棄的數(shù)量來衡量倒換的時間

2 防火墻強測試方案設(shè)計

2.1 防火墻性能測試架構(gòu)

性能測試部分主要利用SmartBits6000B專業(yè)測試儀,依照RFC2544定義的規(guī)范,對防火墻的吞吐量、延遲和丟包率三項重要指標(biāo)進(jìn)行驗證。在性能測試中,需要綜合驗證防火墻橋接模式的性能表現(xiàn),其拓?fù)鋱D采用圖1所示方案。

吞吐量測試是測試防火墻在正常工作時的數(shù)據(jù)傳輸處理能力的重要指標(biāo),更高的吞吐量使得防火墻更能適用于網(wǎng)絡(luò)核心層對流量要求很高的網(wǎng)絡(luò)環(huán)境,使防火墻不會成為網(wǎng)絡(luò)的性能瓶頸,不會影響正常的業(yè)務(wù)通訊。單條規(guī)則,2GE,1G雙向流量測試 無小包加速結(jié)果。(吞吐量測試結(jié)果)幀長(字節(jié))分別為64,128,256,512,1024,1280,1518。分別得到橋接模式雙向零丟包率吞吐率(%) 為14.48,25.87,45.10,87.50,100,100,100。

2.2 防火墻壓力仿真測試

考慮到防火墻在實際應(yīng)用中的復(fù)雜性,在本次的測試方案中,我們需要進(jìn)行壓力仿真測試,模擬實際應(yīng)用的復(fù)雜度??紤]到測試時間及測試環(huán)境的限制,壓力測試選取以下最為重要的幾點進(jìn)行,本次測試進(jìn)行防火墻橋接模式的驗證,拓?fù)鋱D采取以下方案。本次測試以100條控制規(guī)則壓力為前提進(jìn)行,性能考慮吞吐量和延遲和丟包率。單機吞吐率(100條規(guī)則,2個GE口,1Gbps雙向流量測試 無小包加速結(jié)果)。(單機吞吐量)幀長(字節(jié))為64,128,256,512,1024,1280,1518;分別得到橋接模式雙向零丟包率,壓力吞吐率(%)為14.48,25.87,45.10,79.17,100,100,100。

3 結(jié)束語

防火墻是實現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備,其目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制,系統(tǒng)測試從穩(wěn)定性、可靠性、安全性及性能表現(xiàn)等多方面綜合驗證防火墻的技術(shù)指標(biāo)。

參考文獻(xiàn)

[1]沈偉峰,陳維均.基于防火墻的構(gòu)建[J].微型電腦應(yīng)用,2012,17(1):23-25.

[2]黃力,謝翠蘭.多線程防火墻過濾模塊的設(shè)計與實現(xiàn)[J].廣西民族大學(xué)學(xué)報:自然科學(xué)版,2011(1):70-74.

[3]王永強,劉世棟,戴浩.入侵檢測系統(tǒng)測試方法的缺陷與建議[J].信息網(wǎng)絡(luò)安全,2013(12):24-26.

作者簡介

朱軍紅,男,甘肅省平?jīng)鍪腥恕,F(xiàn)為中國石油東方公司研究院長慶分院工程師,從事計算機系統(tǒng)維護(hù)工作。

第5篇:防火墻技術(shù)論文范文

論文摘要:隨著網(wǎng)絡(luò)在社會生活中不斷普及,網(wǎng)絡(luò)安全問題越來越顯得重要。當(dāng)因特網(wǎng)以變革的方式提供信息檢索與能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網(wǎng)絡(luò)安全保護(hù)模式與安全保護(hù)策略進(jìn)行探討。

計算機網(wǎng)絡(luò)最重要的資源是它所提供的服務(wù)及所擁有的信息,計算機網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。為了有效保護(hù)網(wǎng)絡(luò)安全,應(yīng)選擇合適的保護(hù)模式。

1 安全保護(hù)模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護(hù)。最簡單的安全保護(hù)模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護(hù)模式。

1.2 模糊安全保護(hù)。另一種安全保護(hù)模式通常稱之為“模糊安全保護(hù)”,采用這種模式的系統(tǒng)總認(rèn)為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛(wèi)信息是很容易被人知道的。在主機登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機安全保護(hù)。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護(hù),在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機安全的問題。

在現(xiàn)代的計算機環(huán)境中,主機安全的主要障礙就是環(huán)境復(fù)雜多變性。不同品牌的計算機有不同的商,同一版本操作系統(tǒng)的機器,也會有不同的配置、不同的服務(wù)以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護(hù)所有機器的安全保護(hù),而且機器越多安全問題也就越復(fù)雜。即使所有工作都正確地執(zhí)行了,主機保護(hù)還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網(wǎng)絡(luò)安全保護(hù)。由于環(huán)境變得大而復(fù)雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網(wǎng)絡(luò)安全保護(hù)模式。用這種安全保護(hù)模式解決如何控制主機的網(wǎng)絡(luò)通道和它們所提供的服務(wù)比對逐個主機進(jìn)行保護(hù)更有效。現(xiàn)在一般采用的網(wǎng)絡(luò)安全手段包括:構(gòu)建防火墻保護(hù)內(nèi)部系統(tǒng)與網(wǎng)絡(luò),運用可靠的認(rèn)證方法(如一次性口令),使用加密來保護(hù)敏感數(shù)據(jù)在網(wǎng)絡(luò)上運行等。

在用防火墻解決網(wǎng)絡(luò)安全保護(hù)的同時,也決不應(yīng)忽視主機自身的安全保護(hù)。應(yīng)該采用盡可能強的主機安全措施保護(hù)大部分重要的機器,尤其是互聯(lián)網(wǎng)直接連接的機器,防止不是來自因特網(wǎng)侵襲的安全問題在內(nèi)部機器上發(fā)生。上面討論了各種安全保護(hù)模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡(luò)的管理問題。安全保護(hù)不能防止每一個單個事故的出現(xiàn),它卻可以減少或避免事故的嚴(yán)重?fù)p失,甚至工作的停頓或終止。

2 安全保護(hù)策略

所謂網(wǎng)絡(luò)安全保護(hù)策略是指一個網(wǎng)絡(luò)中關(guān)于安全問題采取的原則、對安全使用的要求以及如何保護(hù)網(wǎng)絡(luò)的安全運行。以下是加強因特網(wǎng)安全保護(hù)措施所采取的幾種基本策略。

2.1 最小特權(quán)。這是最基本的安全原則。最小特權(quán)原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應(yīng)該僅具有它需要履行某些特定任務(wù)的那些特權(quán)。最小特權(quán)原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網(wǎng)環(huán)境下,最小特權(quán)原則被大量運用。在保護(hù)站點而采取的一些解決方法中也使用了最小將權(quán)原理,如數(shù)據(jù)包過濾被設(shè)計成只允許需要的服務(wù)進(jìn)入。在試圖執(zhí)行最小特權(quán)時要注意兩個問題:一是要確認(rèn)已經(jīng)成功地裝備了最小特權(quán),二是不能因為最小特權(quán)影響了用戶的正常工作。

2.2 縱深防御??v深防御是指應(yīng)該建立多種機制而不要只依靠一種安全機制進(jìn)行有效保護(hù),這也是一種基本的安全原則。防火墻是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的有效機制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風(fēng)險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結(jié)構(gòu)。如使用有多個數(shù)據(jù)包過濾器的結(jié)構(gòu),各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點。所謂阻塞點就是可以對攻擊者進(jìn)行監(jiān)視和控制的一個窄小通道。在網(wǎng)絡(luò)中,個站點與因特網(wǎng)之間的防火墻(假定它是站點與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網(wǎng)上攻擊這個站點的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點上仔細(xì)觀察各種侵襲并及時做出反應(yīng)。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網(wǎng)絡(luò)上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護(hù)系統(tǒng)的網(wǎng)絡(luò)中,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護(hù)。但這也會由于不同系統(tǒng)的復(fù)雜性不同而花費額外的時間與精力。

3 防火墻

防火墻原是建筑物大廈設(shè)計中用來防止火勢從建筑物的一部分蔓延到另一部分的設(shè)施。與之類似,作為一種有效的網(wǎng)絡(luò)安全機制,網(wǎng)絡(luò)防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內(nèi)部網(wǎng)絡(luò),它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范,控制外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間服務(wù)訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點內(nèi)部發(fā)生的問題。防火墻的作用是:限制人們從一個嚴(yán)格控制的點進(jìn)入;防止進(jìn)攻者接近其他的防御設(shè)備;限制人們從一個嚴(yán)格控制的點離開。防火墻的優(yōu)點:1)強化安全策略:在眾多的因特網(wǎng)服務(wù)中,防火墻可以根據(jù)其安全策略僅僅容許“認(rèn)可的”和符合規(guī)則的服務(wù)通過,并可以控制用戶及其權(quán)力。2)記錄網(wǎng)絡(luò)活動:作為訪問的唯一站點,防火墻能收集記錄在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)年P(guān)于系統(tǒng)和網(wǎng)絡(luò)使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段,防止影響局部網(wǎng)絡(luò)安全的問題可能會對全局網(wǎng)絡(luò)造成影響。4)集中安全策略:作為信息進(jìn)出網(wǎng)絡(luò)的檢查點,防火墻將網(wǎng)絡(luò)安全防范策略集中于一身,為網(wǎng)絡(luò)安全起了把關(guān)作用。

參考文獻(xiàn):

[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理與防護(hù)策略分析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報,2008,(03).

[2]趙薇娜,網(wǎng)絡(luò)安全技術(shù)與管理措施的探討[J].才智,2008,(10).

第6篇:防火墻技術(shù)論文范文

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用,利用計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化,已成為各國商務(wù)發(fā)展的一大趨勢。電子商務(wù)正是為了適應(yīng)這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的,它是當(dāng)今社會發(fā)展最快的領(lǐng)域之一,同時也為全球的經(jīng)濟發(fā)展帶來新的增長點。電子商務(wù)正在改變著人們的生活以及整個社會的發(fā)展進(jìn)程,貿(mào)易網(wǎng)絡(luò)將引起人們對管理模式、工作和生活方式,乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領(lǐng)域來說,電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式,縮減交易程序,提高辦事效率?,F(xiàn)在,許多網(wǎng)站都提供有“商城”,供網(wǎng)民在網(wǎng)上購物??梢哉f,電子商務(wù)應(yīng)用將越來越普及。然而,隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體,互聯(lián)網(wǎng)具有充分開放,不設(shè)防護(hù)的特點使加強電子商務(wù)的安全問題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務(wù)。否則,電子商務(wù)的發(fā)展將失去其支撐點。

要加強電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。

在電子商務(wù)的交易中,經(jīng)濟信息、資金都要通過網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認(rèn)證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息的安全。而網(wǎng)絡(luò)平臺的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密,和交易雙方身份的確認(rèn)??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護(hù)。

在這里我想重點談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

新一代的防火墻產(chǎn)品一般運用了以下技術(shù):

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

(3)多級過濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透膽連接,并對服務(wù)的通行實行嚴(yán)格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實施保護(hù),它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理,對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。

(8)用戶定制服務(wù)。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數(shù)據(jù)庫的,便可以利用這些支持,方便設(shè)置。

(9)審計和告警。

新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn),故也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號、ICMP消息類型,并按照信息過濾規(guī)則進(jìn)行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng),否則進(jìn)行報警或通知管理員,并且丟棄該包。這樣一來,路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號端口監(jiān)聽遠(yuǎn)程連接,若管理員想阻塞所有進(jìn)入的Telnet連接,過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實現(xiàn)方便,但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過,沒有基于用戶的認(rèn)證,而IP地址可以偽造成可信任的外部主機地址,另外它不能提供日志,這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級防火墻。大多數(shù)的應(yīng)用級防火墻產(chǎn)品使用的是應(yīng)用機制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng),它只能到達(dá)服務(wù)器,若符合條件,服務(wù)器會到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問Internet,也要通過服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄,但它不允許內(nèi)部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件,用戶無法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用,以彌補各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護(hù),但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識等。就防火墻本身來看,包過濾技術(shù)和訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中,信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ),加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復(fù)雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數(shù)據(jù)庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制,1977年美國標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn),這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。具體加密傳輸過程如下:

(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。

(3)接收方乙用自己的私鑰解密,得到甲的私鑰。

(4)接收方乙用甲的公鑰解密,得到明文。

這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發(fā)送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認(rèn)定信息是甲發(fā)出的,而且沒有甲的私鑰不能修改數(shù)據(jù)??梢员WC信息的不可抵賴性。

第7篇:防火墻技術(shù)論文范文

[論文摘 要]電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題,實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。

隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加,一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會的高度關(guān)注。

一、電子商務(wù)中的信息安全技術(shù)

電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測及清除、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)。

1.防火墻技術(shù)。防火墻主要是加強網(wǎng)絡(luò)之間的訪問控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。

3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。

4.數(shù)字時間戳技術(shù)。時間戳是一個經(jīng)加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數(shù)字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發(fā)送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。

二、電子商務(wù)安全防范措施

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善。

1.防火墻技術(shù)

用過internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時又要面對 internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險:即客戶、推銷商、移動用戶、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身必須能夠免于滲透。

2. vpn技術(shù)

虛擬專用網(wǎng)簡稱vpn,指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)。目前vpn 主要采用四項技術(shù)來保證安全, 這四項技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。

3.數(shù)字簽名技術(shù)

為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實的。數(shù)字簽名就是通過一個單向哈希函數(shù)對要傳送的報文進(jìn)行處理而得到的用以認(rèn)證報文是否發(fā)生改變的一個字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明,發(fā)送者對所發(fā)信息不可抵賴,從而實現(xiàn)信息的有效性和不可否認(rèn)性。

三、電子商務(wù)的安全認(rèn)證體系

隨著計算機的發(fā)展和社會的進(jìn)步,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動當(dāng)今社會越來越頻繁,身份認(rèn)證是一個不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進(jìn)行。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?,F(xiàn)代密碼的兩個最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機密信息。認(rèn)證則是為了防止敵方的主動攻擊,包括驗證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除、插入、偽造及重放等。認(rèn)證主要包括三個方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。

身份認(rèn)證一般是通過對被認(rèn)證對象(人或事)的一個或多個參數(shù)進(jìn)行驗證。從而確定被認(rèn)證對象是否名實相符或有效。這要求要驗證的參數(shù)與被認(rèn)證對象之間應(yīng)存在嚴(yán)格的對應(yīng)關(guān)系,最好是惟一對應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。

數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執(zhí)照或身份證。它是由一個權(quán)威機構(gòu)ca機構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識別彼此的身份。

四、結(jié)束語

安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對更安全。電子商務(wù)的安全運行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國水利水電出版社,2005.

[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[m].北京:清華大學(xué)出版社,2005.

第8篇:防火墻技術(shù)論文范文

【論文摘要】國民經(jīng)濟和社會信息化的發(fā)展,進(jìn)一步帶動了工業(yè)化發(fā)展.在電子信息系統(tǒng)建設(shè)的過程中,如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求,針對需求提出了相應(yīng)的解決辦法。

1.企業(yè)電子辦公系統(tǒng)中的安全需求

電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠,具體表現(xiàn)在以下幾個方面:信息的安全保密性,滿足信息在存儲、傳輸過程中的安全保密性需求;系統(tǒng)的安全可靠性,確保整個電子政務(wù)系統(tǒng)的安全可靠;行為的不可抵賴性,保證在所有業(yè)務(wù)處理過程中,辦公人員行為和系統(tǒng)行為的不可抵賴,以便審計和監(jiān)督;實體的可鑒別性,是實現(xiàn)監(jiān)管及其他方面需求的必要條件;對象的可授權(quán)性,針對政務(wù)工作的特點,要求具有對對象靈活授權(quán)的功能,包括用戶對用戶的授權(quán)、系統(tǒng)對用戶的授權(quán)、系統(tǒng)對系統(tǒng)的授權(quán)等;信息的完整性,保證信息存儲和傳輸過程中不被篡改和破壞。

2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)

針對安全需求,在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù),包括安全技術(shù)和密碼技術(shù),對涉及到核心業(yè)務(wù)的涉密網(wǎng),還要采用物理隔離技術(shù)進(jìn)行保護(hù)。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,對信息系統(tǒng)起著不同的安全保護(hù)作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測;系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議;應(yīng)用層安全技術(shù)主要涉及認(rèn)證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。

從網(wǎng)絡(luò)安全角度上講,它們屬于不同的網(wǎng)絡(luò)安全域,因此,在各級網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻,并實施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時將安全策略不允許的用戶和數(shù)據(jù)包隔斷,達(dá)到保護(hù)高安全等級的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點主要是無法防止來自防火墻內(nèi)部的攻擊。

3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)

企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(涉密網(wǎng))。隨著各類機構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展,許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移,使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢。互聯(lián)網(wǎng)潛在的不安全因素,造成人們對內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂,所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性,如采用內(nèi)外網(wǎng)的物理隔離方法,將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開,將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。

3.1隔離技術(shù),雙網(wǎng)機系統(tǒng)。

3.2隔離技術(shù),基于雙網(wǎng)線的安全隔離卡技術(shù)。

3.3隔離技術(shù),數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。

3.4隔離技術(shù),隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān),使內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題,往往成為網(wǎng)絡(luò)的瓶頸。

3.5隔離技術(shù),安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機制,來實現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問題,并且在網(wǎng)絡(luò)隔離的同時實現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。

4.密碼技術(shù)

密碼技術(shù)是信息交換安全的基礎(chǔ),通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實現(xiàn)了數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認(rèn)性和用戶身份真實性等安全機制,從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。

加密技術(shù)的原理可用下面的公式表示。

轉(zhuǎn)貼于

加密:E k1(M)一C

解密:D k2(C)一M

其中E為加密函數(shù);M為明文;K為密鑰;D為解密函數(shù);C為密文。按照密鑰的不同形式,密碼技術(shù)可以分為三類:對稱密碼算法、非對稱密碼算法和單向散列函數(shù)。

在對稱密碼算法中,使用單一密鑰來加密和解密數(shù)據(jù)。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點是計算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密,為保障較高的安全性,需要經(jīng)常更換密鑰。因此,密鑰的分發(fā)與管理是其最薄弱且風(fēng)險最大的環(huán)節(jié)。

在非對稱密碼算法中,使用兩個密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當(dāng)兩個用戶進(jìn)行加密通信時,發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù);接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送,比較容易解決密鑰管理問題,消除了在網(wǎng)上交換密鑰所帶來的安全隱患,所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點是計算量大、速度慢,不適合加密長數(shù)據(jù)。

非對稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時的不可抵賴性,公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。

單向散列函數(shù)的特點是加密數(shù)據(jù)時不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法解密還原,只有使用同樣的單向加密算法對同樣的數(shù)據(jù)進(jìn)行加密,才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時的完整性,以驗證數(shù)據(jù)在傳輸過程中是否被篡改。

5.公共密鑰基礎(chǔ)設(shè)施(PK 1)

PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理,為上層應(yīng)用提供了完善的密鑰和證書管理機制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機制在系統(tǒng)中的實現(xiàn)。

PKI提供的證書服務(wù)主要有兩個功能,即證實用戶身份的功能及保證信息機密性和完整性的功能。它最主要的組件就是認(rèn)證中心(CA)。CA頒發(fā)的證書可以作為驗證用戶身份的標(biāo)識,可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。

在CA頒發(fā)的證書基礎(chǔ)上,可以實現(xiàn)數(shù)字信封,數(shù)字簽名、抗否認(rèn)等功能,提供數(shù)據(jù)機密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。

6.入侵檢測技術(shù)

入侵檢測系統(tǒng)(IDS)可以做到對網(wǎng)絡(luò)邊界點雕數(shù)據(jù)進(jìn)行檢測,對服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測,入侵著的蓄意破壞和篡改,監(jiān)視內(nèi)部吊戶和系統(tǒng)管運行狀況,查找非法用戶和合法用戶的越權(quán)操作,又用戶的非正常活動進(jìn)行統(tǒng)計分析,發(fā)現(xiàn)人侵行為自規(guī)律,實時對檢測到的人侵行為進(jìn)行報警、阻斷,關(guān)鍵正常事件及異常行為記錄日志,進(jìn)行審計跟焉管理。

IDS是對防火墻的非常有必要的附加,而不僅是簡單的補充。網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與防一墻進(jìn)行聯(lián)動,一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將一防火墻發(fā)送通知報文,由防火墻來阻斷連接,實現(xiàn)秀態(tài)的安全防護(hù)體系。

企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提,各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實施,同時要加強各種安全管理制度,增強系統(tǒng)使用和系統(tǒng)管理者的安全意識,才能從根本上保證系安全可靠的運行。

【參考文獻(xiàn)】

[1]朱少民.現(xiàn)代辦公自動化系統(tǒng)的架框研究,辦公自動化技術(shù).

第9篇:防火墻技術(shù)論文范文

英國方面, 5月12日英國國家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊,多家公立醫(yī)院的電腦系統(tǒng)幾乎同時癱瘓,電話線路也被切斷,導(dǎo)致很多急診病人被迫轉(zhuǎn)移?!睹咳锗]報》稱,至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機構(gòu)遭到網(wǎng)絡(luò)攻擊,這些機構(gòu)包括醫(yī)院和全科醫(yī)生診所。

黑客武器搭載的勒索病毒感染界面,需要支付等額的300美金比特幣才能解鎖。具體從硅谷著名的移動安全廠商 Trustlook 提供的數(shù)據(jù)看,本次病毒爆發(fā)涉及到全球,幾乎沒有任何的遺漏,下面是檢測到的爆發(fā)點:

由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的"蠕蟲病毒",部分運營商對個人用戶封掉了445端口。但是教育網(wǎng)并無此限制,存在大量暴露著445端口的機器,因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改,直接影響到畢業(yè)答辯。

病毒發(fā)行者利用了去年被盜的美國國家安全局(NSA)自主設(shè)計的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”,將2017年2月的一款病毒升級。被感染的Windows用戶必須在7天內(nèi)交納比特幣作為贖金,否則電腦數(shù)據(jù)將被全部刪除且無法修復(fù)。病毒要求用戶在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣,三天后“贖金”將翻倍。

“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒有安裝今年3月的微軟補丁(MS17-010),無需用戶任何操作,只要開機上網(wǎng),就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。這是一個利用永恒之藍(lán)漏洞的勒索蠕蟲,挺會PR的,外媒取了個名字叫 wannacry(想哭蠕蟲),估計很多中病毒的人都想哭吧。

windows用戶請務(wù)必安裝微軟MS17-010安全補丁信息:

technet.microsoft.com/zh-cn/library/security/MS17-010

針對NSA黑客武器利用的Windows系統(tǒng)漏洞,微軟在今年3月已補丁修復(fù)。此前360安全中心也已推出“NSA武器庫免疫工具”( dl.360safe.com/nsa/nsatool.exe ),能夠一鍵檢測修復(fù)NSA黑客武器攻擊的漏洞;對XP、2003等已經(jīng)停止更新的系統(tǒng),免疫工具可以關(guān)閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

如何防范病毒?

如您使用的是服務(wù)器,可用這段代碼進(jìn)行技術(shù)檢測:

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

如您使用的是Windows,請使用下面步驟進(jìn)行檢測:

1. 查看445端口是否開放并決定是否關(guān)停server服務(wù)

點擊“開始”->“運行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態(tài)

如果處于“listening”->暫時關(guān)停server服務(wù):

點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運營”->執(zhí)行“net stop server”命令

2. 個人用戶臨時解決方案

開啟系統(tǒng)防火墻->利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接->安裝相應(yīng)系統(tǒng)安全更新

win7/win8/win10:

控制面板->系統(tǒng)與安全->啟用Windows防火墻->點擊"高級設(shè)置"->點擊“入站規(guī)則”->選擇"新建規(guī)則"->規(guī)則類型選擇“端口”->應(yīng)用于“TCP”協(xié)議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規(guī)則應(yīng)用”全部勾選->罪責(zé)名稱任意輸入并點擊完成

winxp:

控制面板->安全中心->啟用“Windows防火墻”->點擊“開始”->“運行”->輸入“cmd”->依次執(zhí)行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級操作系統(tǒng)版本并進(jìn)行安全更新

三、騰訊云用戶修復(fù)建議:

當(dāng)前已受影響的用戶,建議對未被加密的重要數(shù)據(jù)進(jìn)行備份,并開展重裝工作;

四、對于采用非騰訊云官方 Windows 鏡像的用戶,建議采取如下措施進(jìn)行緩解:

1>在安全組策略中,檢查您名下所有 Windows 云主機是否已關(guān)閉 137、 139、 445 服務(wù)端口的對外訪問,建議禁止外部訪問此類高危端口,詳細(xì)修復(fù)可參考如下鏈接:

【安全預(yù)警】關(guān)于方程式組織黑客工具包再曝光通知-騰訊云官方論壇;

2>目前微軟官網(wǎng)的補丁已經(jīng)修復(fù)了可導(dǎo)致該蠕蟲病毒被傳染的漏洞,建議用戶及時安裝 Windows 最新版本補?。ò舜问苡绊懙?MS07-010 補丁),避免成為勒索蠕蟲的受害者;

3> 目前騰訊云官網(wǎng)提供的 Windows 鏡像已經(jīng)在4月20日全網(wǎng)更新完成,默認(rèn)已安裝最新補丁,并不受此次“比特幣勒索蠕蟲病毒”影響,請您放心使用。

五、普通電腦用戶修復(fù)建議: