您现在的位置是:首页 > 论文
防火墙技术论文(精选8篇)
以下是人见人爱的小编分享的防火墙技术论文(精选8篇),希望大家可以喜欢并分享出去。
防火墙技术论文 篇一
关键词:计算机;网络安全因素;防火墙技术
目前,随着计算机在各个领域的应用越来越普遍,计算机网络在提高人们生产生活以及工作效率的同时,常常会受到来自电脑黑客以及电脑病毒的侵袭,导致计算机中重要的数据与文件丢失。为了确保计算机网络信息的安全,防止计算机网络遭到侵犯或者破坏的状况发生,人们在进行计算机网络信息安全的保护中,常常应用防火墙技术进行计算机安全问题的解决。由此可见,在面临计算机网络安全的问题上,人们应该对计算机防火墙技术进行熟练的掌握,进而对计算机网络的安全问题进行有效的防范。
1、计算机网络安全与防火墙技术的概述
所谓计算机网络安全就是指对计算机工作使用者进行信息的输入与过程中,不会受到外界的篡改、复制以及窃听的等重要信息流失行为,同时也能够杜绝突发状况以及自然灾害造成的事故,进而保障计算机网络的通讯连接。通常来讲,计算机网络的安全就是在保障网络系统运行顺畅的前提下,保障计算机网络多方面数据的流动与存储不受到侵害、篡改、甚至泄露的问题;作为一种隔离技术,防火墙技术是计算机网络之间的一道安全屏障,并且也是保障网络信息安全的重要方式与手段。计算机网络的防火墙技术不但能对网络信息的传递进行有效的控制,提高计算机网络之间的安全性与控制性,而且还具有抵抗外来病毒或者黑客攻击,杜绝他人通过非法的手段获取自身的网络信息资源。与此同时,计算机网络的防火墙技术保护计算机的数据不被复制与窃取,并且保护计算机内部设备的安全。
2、计算机网络的安全因素分析
2.1计算机网络之间的资源共享
在计算机应用的过程中,资源共享是十分重要的应用。社会中各个领域都通过计算机网络进行彼此之间的信息资源共享,进过网络传递各种所需的信息资源,进而实现各个公司的顺畅运行。现阶段,随着计算机网络的运用越来越普遍,计算机网络的技术得到飞速的发展,但是,某些不良分子使用非法手段对网络信息进行篡改,对计算机网络信息共享的人员造成了极大的损失。此外,在计算机中的软件系统中,存在着诸多的不足与漏洞,使用户信息资源的安全性受到了严重的威胁。
2.2计算机网络操作系统的缺陷
由于计算机网络的运行是由其自身的网络系统进行操作运行的,在进行计算机网络的实际运行过程中,网络系统可以处理各种的服务与协议。经过笔者的相关调查,计算机网络中存在着许多的系统操作漏洞,因此,对于计算机网络系统硬件的管理与控制是一项十分重要的工作,能够对计算机的多种服务协议进行处理。所以,现阶段计算机网络的系统硬件面临着有待完善的问题,应该对计算机系统中的漏洞进行及时的优化升级,确保计算机系统的安全。如果,计算机系统漏洞面临着系统漏洞更新过快的问题,由于不同的协议之间兼容性不够,往往会影响计算系统的安全与运行的流畅程度。
2.3计算机网络外界的侵害与攻击
在社会中,存在一些不法分子采取非法的手段对先关的用户信息进行窃取,造成用户信息的流失与损坏,此外,还有一些人员处于自身的目的,对相应计算机的系统进行恶意的侵害与攻击,对其植入木马病毒与错误的网络访问,入侵到计算机网络系统的内部,进行信息的盗窃,以获得自身想要的信息,更甚者会导致计算机网络的瘫痪与崩溃,造成计算机网络资源的巨大损失。所以,计算机网络系统应该对外界的侵害手段进行详细的了解,通过开发新的保护系统杜绝外来威胁的入侵。
2.4计算机网络系统设计中的缺陷
网络的设计设计到诸多方面的内容,主要包含:甄选网络设备功能、网络的拓扑结构等,在网络系统的设计中假如存在网络服务协议、计算机操作以及网络设施的错误,往往会对计算机网络的安全造成严重的影响。现阶段,网络计算机技术日趋成熟,对于网络系统的设计应该充分运用网络资源,对系统中缺陷进行科学的考虑,进而设计出更加安全高效的计算机网络系统。
3、计算机网络安全问题中的防火墙技术应用
针对上文中所提到的计算机网络安全问题,人们应该对计算机网络安全问题进行详细的了解,充分采用科学技术,对计算机网络的安全问题进行科学合理的解决。使得计算机网络的安全性得到可靠的保障,从而促进人们工作效率的提高。在下文中,笔者根据自身多年的实践经验以及对计算机网络安全问题的调研,从防火墙中的加密技术、防火墙技术中的身份验证以及防火墙中的防病毒技术三个方面对计算机的网络安全中防火墙技术应用提出了几条合理化的建议,以供所需者进行参考:
3.1防火墙中的加密技术
对于防火墙中加密技术的应用,计算机的使用人员应该对信息的输送进行加密处理,信息的密码应该由信息交流双方自身掌握,接受信息人员应该先对加密后的信息进行解密,然后才能进行信息的解读。应该注意加密措施应该通过密匙对信息的安全性进行保障。
3.2防火墙技术中的身份验证
对于防火墙技术中的身份验证技术应用,首先,人们应该对网络用户进行授权通过信息的接收方与发送方进行身份验证,通过建立安全的信息传递通道,确保计算机网络信息传递的安全性,使得非法分子在没有正确身份验证的条件下,无法对计算机网络信息进行入侵,进而科学的防止没有授权的非法用户对信息进行窃取。
3.3防火墙中的防病毒技术
对于防火墙技术中防病毒技术的应用,主要分为:清除、预防以及检测三方面。有关防火墙技术的预防工作,在进行网络建设中,人们应该安装防火墙进行互联网之间信息与数据的严格控制,形成一道安全屏障对计算机的外网与内网的数据与信息进行保护,杜绝第三方对网络的入侵;一般而言,网络的连接都是由互联网或者路由器进行连接,对于网络的保护应该从主干网开始,并对主干网中心资源进行严格的控制,杜绝服务器意外的服务进行访问。之后,为杜绝外来的非法入侵盗用,应该在计算机的连接端口接入数据,对以太网与IP地址进行严格的检查,对被盗用的IP地址进行丢弃,并对重要的信息进行准确的记录,进而保障计算机信息网络的安全。
4、结论
综上所述,在科学技术发展迅速的今天,计算机网络的运用遍布在人们生活中的各个方面,给人们的生产生活带去了极大的便利。但是,现阶段计算机网络的运行面临着诸多的网络安全问题。计算机的网络安全关系着计算机的技术与管理以及计算机网路的维护与使用。因此,利用防火墙技术对计算机网络的安全进行保护至关重要,人们在利用防火墙技术来保障计算机网络信息安全的过程中,不仅仅要充分的运用防火墙中的加密技术、防火墙技术中的身份验证、防火墙中的防病毒技术,而且要紧跟时代进步的步伐,不断的对计算机网络的防火墙技术进行改革与创新,进而提高计算机网络信息的安全性,进而促进计算机网络的顺畅运行。
参考文献
[1]周学亮。防火墙技术在网络安全中的运用[J].城市建设理论研究,2013,2(2):99-101
[2]阳鹏宇, 王俊玲强化计算机安全管理的有益探索「J ]城市建设理论研究( 电子版), 2 012,( 2 1):76-77.
[3]陈关胜。防火墙技术现状与发展趋势研究[C]//信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集。2011
防火墙技术论文范文 篇二
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可 公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
防火墙技术论文 篇三
1 包过滤防火墙实验
包过滤防火墙[1]可以在网络层或数据链路层截获数据,使用一些规则来确定是否转发或丢弃各个数据包。该文中将以Linux OS下的IPtables软件为例来说明包过滤防火墙实验设计,其实验环境搭建如图1所示。
在该环境中只设置1台Linux主机用于运行IPtables防火墙,三台Windows主机分别连接到防火墙主机的三块网卡(NIC)上,用于模拟私有网络、Internet区域和DMZ。为了满足实验的要求,在这三台Windows主机上需要安装一些必要软件如各种服务器软件并加以配置使其正确运行。在该实验环境中,设计满足如下网络安全要求的防火墙实验。
1) 允许网络接口eth1、eth2相连接的LAN1和LAN2之间进行相互通信。
2) LAN1和LAN2的任何主机可以使用internet中的任何服务(Web,E-mail,Ftp等)。
3) 来自internet的主机不能访问1023以下的LAN1和LAN2中的内部端口。
4) 拒绝从网络接口eth0直接访问防火墙本机的ICMP数据包,但是允许相应防火墙TCP请求的数据包进入。
5) 允许internet中的主机访问LAN1中的DNS服务、WEB服务、FTP服务,其它服务如telnet等禁止。
通过该实验可以使学生掌握防火墙包过滤技术, IPtables的防火墙规则编写方法、IPtables中的表和链的概念、数据包控制方法,防火墙在网络系统中的部署、安装、配置和测试方法等,为以后真正利用防火墙解决网络安全工程中的实际问题奠定坚实的基础。
2 网络地址翻译NAT实验
网络地址翻译(NAT)[2]也是一种重要的防火墙技术,它隐藏了内部的网络结构,外部攻击者无法确定内部网络的连接状态。通过设置规则,在不同的时候,内部网络向外连接使用的地址都可以不同,给外部攻击者造成了困难。同样NAT通过定义各种映射规则,可以屏蔽外部的连接请求,并可以将外部连接请求映射到不同的主机上。NAT实验环境如图2所示,可以设计如下实验。
1) 利用NAT进行IP地址伪装
将向外部网络上提供服务的服务器在物理上放置于私用网络中,假如私用网络中的一台服务器的IP地址为192.168.1.3/24,如果要对外部网络提供Web服务,就可以利用IPtables进行IP地址伪装,当外部网络中的主机对210.45.144.254进行Web请求时,该防火墙就转向私用网络中的192.168.1.3的服务器进行Web请求。可以使用下面的IPtables规则加以实现。
#IPtables -t nat -A PREROUTING -p tcp -d 210.45.144.254 —dport 80 -j DNAT —to-destination 192.168.1.3
2) 使用NAT访问外部服务
使私有网络中的主机通过NAT访问外部网络中的服务,可以使用下面的IPtables规则加以实现。
3 应用层服务器防火墙实验
服务器防火墙[3] 通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。
服务器可以用于禁止防问特定的网络服务,而允许其他服务的使用,通过防火墙服务器的通信信息,可以提供源于部分传输层,全部应用层和部分会话层的信息。另外还有识别并实施高层的协议,如http和ftp等的优点。
本实验项目拟用Squid服务器[4]实现高速Web,并且实现认证以及流量计费系统。图3是实现该实验项目的平台。
在以上的实验环境中,设计满足如下要求的实验:
1) 限制内网某些IP使用服务器,例如要使用地址范围10.10.43.1到10.10.43.254的主机允许访问Squid服务器可使用下面的方法定义acl。
一旦定义地址范围以后就可以用带allow动作的http_access命令把allowed_hosts指定为aacl进行下面的定义。
2) 实现认证,指定认证程序,并且指定认证的身份认证口令文件为/usr/local/squid/etc/passwd。
3) 实现Squid服务器访问报告生成器。Squid服务器访问统计系统可以利用Sarg软件加以实现,该软件可以从下载sarg-2.3.1.tar.gz源代码软件包。该软件通过访问Squid的日志文件access.log实现用户访问情况统计、站点访问统计、拒绝访问统计、认证失败统计、访问流量统计、访问时间统计等各种信息统计。
4 结论
本文利用Linux OS下的IPtables、Squid以及其它开放源代码软件,灵活地使用Linux主机实现各种防火墙技术,包括使用IPtables实现包过滤防火墙、NAT、IP地址伪装、Squid服务器、认证、服务访问统计系统等,设置了若干防火墙技术实验项目,给出了实验环境的搭建。在节约实验设备硬件投资的情况下,使学生更深入地掌握防火墙原理、技术及实现,并提高学生的专业实践能力。
参考文献:
[1] 叶惠卿。 基于Linux iptables防火墙规则生成的研究与实现[D].广州:中山大学,2010.
[2] 崔建, 钱杰, 张蓓。 校园网中服务器和NAT设备的监控与防范[J]. 大连理工大学学报,2005,45(z1):s91-s94.
防火墙技术论文 篇四
关键词:Internet网路安全防火墙过滤地址转换
1.引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网? Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。
图1防火墙在Internet中的位置
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1基于〖www.baihuawen.cn〗路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统?
4.9用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。
5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,InternetScanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7.防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
防火墙技术论文 篇五
1.1黑客攻击的问题
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2防火墙技术在校园网络安全中的应用
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
2.3配置路由器防火墙
防火墙技术论文 篇六
【关键词】网络安全,防火墙,技术特征
随着21世纪的到来,全球的计算机用户都可以通过互联网进行联系。因此,对信息安全来讲,内在含义也发生了巨大的变换。网络安全从普通性防卫成为了非常普通的现象,还有,网络安全管理也变得无处不在。
一、网络安全的产品特点
从实践上来讲,国家有关的法律、法规、行政命令、政策、技术与市场的发展平台构成了国家信息安全体系。在建立信息防卫体系时,中国应注重开发中国特色的安全产品。如果中国想真正处理好网络安全事物,最有效的途径就是通过大力发展本国的安全产业,这样可以从整体上提高网络安全技术。
就网络安全来讲,其产品有以下若干特点:首先,网络安全的起因在于多样化的安全策略以及技术。假如都运用一样的技术和策略,这也就会造成极大的不安全。其次,在网络安全领域,安全技术与相关机制都一直都在发生改变。再者,在社会生活的诸多各方面,网络都延伸进来,也有着越来越多的手段可以连接到网络。所以,网络安全技术作为一个系统工程是十分复杂的。
二、防火墙技术
防火墙作为整个安全体系中最基本的保护环节,其重要性自然不言而喻。网络防火墙技术可以强化和控制网络间访问,这样做的目的在于阻止本网络之外的用户通过非正常手段达到本网络的内部,对内部资源(网络资源)进行各种活动。在内部网络操作环境中,网络防火墙技术还可以确保部分特殊的网络互联设备的安全性能。遵照既定的安全方式和策略,网络防火墙技术检测包括连接方式在内的传输数据,特别是在网络之间。这样就可以对网络之间通信是否可行,对网络在运行时的状态进程检测。
眼下,防火墙产品主要有以下若干种:堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。眼下,尽管防火墙可以保证网络不再受到黑客的袭击,且效果比较明显。但是,也存在着很多缺点。例如,对防火墙之外的以其它攻击途径却无能为力,也防止不了来自内部以及用户们造成的危害,也未能完全阻止病毒文件,还有,也不能抗击数据驱动型之类的攻击。
1986年,美国一家电脑公司首次把商用防火墙系统应用在互联网上,并且给防火墙下了定义。防火墙技术发展得非常快。十多家公司已经在这方面做出了很多努力,并且开发出了很多类型的防火墙产品系列,但是它们的功能各不相同。
在五层网络构成的安全体系中,防火墙处于最底层,该技术属于网络层安全技术的范围。在本层,企业在安全系统方面必须处理好以下问题:是不是全部IP地址都可以访问内部网络系统?假如“是”,就表明,在内部网的网络层,企业还没有采取对于安全的措施进行防范。
防火墙技术受到人们重视的时间最早,也是内部和外部公共网络沟通和交流的首要保护伞。从理论层面讲,尽管处在最底层,仅仅处理网络间安全传输以及认证,然而,从总体上来讲,网络安全技术和网络应用一直都在发生变化。如今,该技术正在慢慢步出网络层之外,开始进入别的安全层次。
三、防火墙产品的类型
防火墙产品的发展趋势是用户认证、防止病毒、数据安全、与黑客侵入等。根据不同的技术,可把防火墙大体上分成四类:包过滤、网络地址转换、以及监测型。
1、包过滤型。
防火墙的初级产品属于包过滤的类型,技术来源是分包传输。在互联网中,以“包”为单位传输数据又被划分成固定大小的数据包,各数据包内,都包括了很多特殊类型的信息。通过读取地址信息,防火墙对“数据包”的来源进行可信任判断,并采取相应策略。
2、网络地址转化—NAT。经过转换后,IP地址属于外部的、已经注册的,这个就是IP地址标准网络, 在内部的网络中,经由安全网卡,可以对外部的网络进行访问,这样新的映射记录就产生了。系统则把源地址以及端口体现为非真实的地址和端I=l,通过非安全网卡,这个非真实的地址以及端口,可以连接到外部网络上去。这样,内部网络的真实地址就被隐藏起来了。通过外部网络,借助于非安全网卡,想要访问内部网络时,对内部的网络连接状况一无所知而,只能借助于IP地址以及端口进行访问。
3、型。型防火墙,也叫服务器,就安全性而言,此类防火墙比包过滤型防火墙要高得多,而且型防火墙开始在应用层有所作为。该类型服务器在客户机和服务器之间。数据交流在二者之间被完全阻止。从客户机的情况来分析,服务器可以被视为电脑的服务器;但是,从服务器的角度来分析,服务器却是真实的客户机。客户机要用到来自服务器上的数据时,第一步要做的就是请求把数据发给服务器。按照此请求,服务器再从服务器申请想要的数据,之后,数据被经由服务器传输给客户机。因为直接的数据通道可以在外部系统与内部服务器相互连接和沟通,来自外部的恶意侵害对内部的网络系统也就不会有什么危害。
4、监测型。新一代的防火墙产品是监测型防火墙。实际上,此类防火墙的技术已大大超出了对这个概念的界定。此类防火墙实施主动、实时监测各层数据。在分析这些数据的前提下,此类防火墙可以高效地判断和找出各层的非法侵入形象。
同与此同时,通常情况下,监测性防火墙的产品都开发了分布式探测器。在林林总总的应用服务器中和其他网络节点中就有此类防火墙,这些防火墙可以监测网络外部对网络内部飞攻击,同时,在很大程度上方法内部范围内的恶意破坏。此类防火墙已经超越了防火墙原先的定义,比前两代产品的安全性也更高。
四、结束语。
眼下,在防火墙产品领域,主流趋势是监测型防火墙,但是绝大部分服务器(应用网关)对包过滤技术进行了合成。显而易见的是,二者的混用比单独使用某一类型的防火墙产品的优势更大。因此,这种技术在未来发展前景也必将更加广阔。
参考文献:
防火墙技术论文 篇七
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可 公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
防火墙技术论文 篇八
关键词:网络安全;防火墙技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
The Applied Research of Firewall Technology in the Network Security
Chen Jiaqian
(Guangxi Polytechnic of Construction,Nanning 530003,China)
Abstract:The Internet today has moved from basic information sharing to e-commerce,Web applications more complex aspects of development,with the increase in business applications,network security has become a potentially huge problem.Which also involves the question whether the act constitutes a crime.The introduction of firewall technology to give management and improve network security,provides a necessary and convenient way.The article discusses the firewall deployment principles,and the location of the deployment from the firewall firewall elaborated selection criteria constitutes its security system.
Keywords:Network security;Firewall technology
一、概述
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
二、防火墙技术原理
(一)数据包过滤技术。数据包过滤技术工作在OSI网络参考模型的网络层和传输层,它是个人防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口,根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
(二)应用网关技术。应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
(三)地址翻译技术。地址翻译技术是将一个IP地址用另一个IP地址代替。地址翻译技术主要模式有以下几种。
1.静态翻译。按照固定的翻译表,将主机的内部地址翻译成防火墙的外网接口地址。2.动态翻译。为隐藏内部主机或扩展的内部网络地址之间,一个大的用户群共享一个或一组小的Internet IP地址。3.负载平衡翻译。一个IP地址和端口被? 当请求到达时,防火墙按照一个算法平衡所有连接到内部的服务器。4.网络冗余翻译。多个连续被附结在一个NAT防火墙上,防火墙根据负载和可用性对连接进行选择和使用。
(四)状态检测技术。状态检测防火墙采用基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接因素加以识别。
三、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
(一)防火墙为网络系统的安全屏障。总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(二)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
(三)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(四)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。
四、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
上一篇:《长江七号》观后感(优秀5篇)
下一篇:小鲤鱼跳龙门读后感21篇
相关文章
-
无相关信息
