防火墻技術(shù)論文實用13篇

引論：我們?yōu)槟砹?3篇防火墻技術(shù)論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運行于特定的計算機(jī)上，它需要客戶預(yù)先安裝好的計算機(jī)操作系統(tǒng)的支持，一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機(jī)上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

2從防火墻技術(shù)分

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packetfiltering）型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。

在整個防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。

包過濾方式的優(yōu)點是不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠(yuǎn)程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機(jī)制，它只能依據(jù)包頭信息，而不能對用戶身份進(jìn)行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

（2）應(yīng)用（ApplicationProxy）型。

應(yīng)用型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外型防火墻采取是一種機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個專門的，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過服務(wù)器審核，通過后再由服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機(jī)任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的服務(wù)，在自己的程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會很明顯。

3從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

這種防火墻其實與一臺計算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡，因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機(jī)一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價格甚遠(yuǎn)。

隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。

原來單一主機(jī)的防火墻由于價格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。

分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺主機(jī)，對整個內(nèi)部網(wǎng)絡(luò)的主機(jī)實施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。

4按防火墻的應(yīng)用部署位置分

按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

個人防火墻安裝于單臺主機(jī)中，防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用所產(chǎn)生的延時也越小，對整個網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

參考文獻(xiàn)

篇2

（二）數(shù)據(jù)倉庫技術(shù)

信息技術(shù)的發(fā)展使得信息網(wǎng)絡(luò)中傳輸和存儲的信息量越來越大、越來越復(fù)雜，如何對海量的數(shù)據(jù)信息進(jìn)行科學(xué)高效管理，降低有用信息的獲取難度是數(shù)據(jù)倉庫技術(shù)的出發(fā)點之一。應(yīng)用數(shù)據(jù)倉庫相關(guān)技術(shù)如關(guān)系數(shù)據(jù)庫、分布式數(shù)據(jù)處理、并行式數(shù)據(jù)處理等可以將海量的數(shù)據(jù)轉(zhuǎn)換和集成為條理清晰的、準(zhǔn)確可靠的信息資料，供用戶進(jìn)行信息查詢、數(shù)據(jù)統(tǒng)計等。此外，數(shù)據(jù)倉庫技術(shù)還可為數(shù)據(jù)管理人員在不了解數(shù)據(jù)庫結(jié)構(gòu)和不同數(shù)據(jù)間相互關(guān)系的情況下進(jìn)行數(shù)據(jù)挖掘提供了可能。

（三）數(shù)據(jù)挖掘技術(shù)

目前的數(shù)據(jù)庫系統(tǒng)雖可對信息進(jìn)行錄入、查詢或統(tǒng)計，但在處理和發(fā)掘不同數(shù)據(jù)之間的關(guān)系，分析未來發(fā)展趨勢等方面存在諸多不足。這就要求對龐大的數(shù)據(jù)信息進(jìn)行挖掘。

（四）人工智能網(wǎng)絡(luò)信息檢索技術(shù)

隨著信息網(wǎng)絡(luò)規(guī)模的擴(kuò)大和信息數(shù)據(jù)量的增長，如果僅僅依靠人工篩選很難達(dá)到預(yù)期效果，人工智能網(wǎng)絡(luò)信息技術(shù)可以對人工特性進(jìn)行模擬，但是又不失計算機(jī)技術(shù)的高效性和快速性，可以根據(jù)待解決的復(fù)雜問題進(jìn)行信息檢索和數(shù)據(jù)分析，進(jìn)而向用戶提供相應(yīng)的，較為準(zhǔn)確的檢索分析結(jié)果。

二計算機(jī)信息網(wǎng)絡(luò)中的安全防護(hù)類關(guān)鍵技術(shù)分析

完整的計算機(jī)信息網(wǎng)絡(luò)分為7個層次，對應(yīng)的網(wǎng)絡(luò)安全防護(hù)需要對每一層進(jìn)行部署，但是實際應(yīng)用中可根據(jù)TCP/IP協(xié)議，將安全防護(hù)簡化為四個主要的層次，分別為物理層、鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層。對信息網(wǎng)絡(luò)的安全防護(hù)應(yīng)該實現(xiàn)以下幾方面內(nèi)容。首先是對網(wǎng)絡(luò)訪問用戶和訪問數(shù)據(jù)的控制與審查。即根據(jù)用戶權(quán)限和數(shù)據(jù)權(quán)限確定對應(yīng)關(guān)系，建立訪問控制體系，只有符合要求的用戶才能夠?qū)W(wǎng)絡(luò)信息進(jìn)行訪問或修改，這樣可以增大惡意攻擊發(fā)生的難度。其次是建立多層防御體系。一方面要對通信數(shù)據(jù)進(jìn)行加密和認(rèn)證，防止數(shù)據(jù)信息傳輸過程中受到竊取或修改；另一方面做好信息監(jiān)控管理，設(shè)立一套完整的信息安全監(jiān)控體系，建立數(shù)據(jù)備份和恢復(fù)機(jī)制，確保網(wǎng)絡(luò)受到攻擊時還能夠最大程度保存數(shù)據(jù)的可恢復(fù)性。

（一）防火墻技術(shù)

防火墻技術(shù)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個信息安全策略，根據(jù)該策略確定內(nèi)外網(wǎng)絡(luò)之間的通信是否被允許。當(dāng)前安全級別最高的防火墻技術(shù)是隱蔽智能網(wǎng)關(guān)技術(shù)，該技術(shù)可以防止針對防火墻的惡意攻擊還能夠向用戶提供最大限度的網(wǎng)絡(luò)訪問，對未授權(quán)的訪問、未經(jīng)過認(rèn)證的用戶、以及不符合安全策略的信息數(shù)據(jù)進(jìn)行阻止或拒絕。

篇3

隨著計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時,由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

其實防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進(jìn)出城堡的人都要經(jīng)過一個吊橋,吊橋上的看門警衛(wèi)可以檢查每一個來往的行人。對于網(wǎng)絡(luò),也可以采用同樣的方法:一個擁有多個LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接,但進(jìn)出該公司的通信量必須經(jīng)過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術(shù),在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

防火墻不是一個單獨的計算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備,它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:

1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;

2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;

5、人機(jī)界面良好,用戶配置使用方便,易管理。

實現(xiàn)防火墻的主要技術(shù)有:分組篩選器,應(yīng)用網(wǎng)關(guān)和服務(wù)等。

(1)分組篩選器技術(shù)

分組篩選器是一個裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來檢查每個進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā),不能通過檢查的就被丟棄。

通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個UNIX設(shè)置的標(biāo)準(zhǔn)配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務(wù)。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進(jìn)而該公司可以獎勵其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因為雖然大多數(shù)節(jié)點使用標(biāo)準(zhǔn)端口號,但這也不一定是一成不變的,更何況有一些重要的服務(wù),像FTP(文件傳輸協(xié)議),其端口號是動態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。

有些應(yīng)用網(wǎng)關(guān)還存儲Internet上的那些被頻繁使用的頁面。當(dāng)用戶請求的頁面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時,服務(wù)器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務(wù)器上請求最新的頁面,然后再轉(zhuǎn)發(fā)給用戶(3)服務(wù)

服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它接點的直接請求。

具體地說,服務(wù)器是運行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個內(nèi)部網(wǎng)絡(luò)接口和一個外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對因特網(wǎng)服務(wù)的請求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。

在實際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問題的技術(shù)的有機(jī)組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級的風(fēng)險,采用何種技術(shù)來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網(wǎng)

三、防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會不斷加強(qiáng),從目前的地址、服務(wù)過濾,發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流,IP的加密需求越來越強(qiáng),安全協(xié)議的開發(fā)是一大熱點。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是,伴隨著防火墻技術(shù)的不斷發(fā)展,人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個方面。

參考文獻(xiàn):

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

篇4

當(dāng)內(nèi)網(wǎng)互聯(lián)主機(jī)與互聯(lián)網(wǎng)主機(jī)連接時，需要使用相應(yīng)的IP地址，反之當(dāng)互聯(lián)網(wǎng)主機(jī)與內(nèi)網(wǎng)互聯(lián)主機(jī)連接時，需要通過網(wǎng)關(guān)映射到內(nèi)網(wǎng)主機(jī)。這將使互聯(lián)網(wǎng)網(wǎng)絡(luò)無法看到內(nèi)部網(wǎng)的網(wǎng)絡(luò)，而且內(nèi)部網(wǎng)的網(wǎng)絡(luò)將自己躲了起來。此外，DMZ中堡壘主機(jī)過濾管理程序可以順利通過安全通道，并與內(nèi)部網(wǎng)中的智能認(rèn)證服務(wù)器進(jìn)行互相通信，而且通信的信息都是秘密進(jìn)行的。由于智能認(rèn)證服務(wù)器能夠進(jìn)行秘密通信，因此它可以修改內(nèi)外路由器表，也可以調(diào)整制定過濾規(guī)則。在智能防火墻中的智能認(rèn)證服務(wù)程序和應(yīng)用過濾管理程序可以互相協(xié)調(diào)，不僅可以在堡壘主機(jī)上運行，還可以在服務(wù)器上運行。

3、INTRANET條件下智能型防火墻的網(wǎng)絡(luò)安全技術(shù)實現(xiàn)方式

3.1智能型防火墻堡壘主機(jī)及其實現(xiàn)方法

堡壘主機(jī)起著連接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的作用，它的作用非常重要，但是它容易受到攻擊，因此我必須要對其做好安全性保護(hù)，首先我們對堡壘主機(jī)操作系統(tǒng)——Linux操作系統(tǒng)，做了非?？b密的安全化處理，其具體方法是：對于SMTP，F(xiàn)TP，HTTP等的基本網(wǎng)路服務(wù)進(jìn)行保留，對他們的源代碼進(jìn)行重新改寫，使它們中的過濾功能從中分離出來，建立一個新的模塊，這個模塊被稱為：應(yīng)用過濾管理器模塊，讓這個模塊運行在堡壘主機(jī)上，統(tǒng)一調(diào)度管理所有的應(yīng)用服務(wù)。應(yīng)用過濾管理器的主要功能是對所有經(jīng)過堡壘主機(jī)的信息進(jìn)行攔截，然后從下至上對其經(jīng)過協(xié)議的信息進(jìn)行逐層分析，并對相對安全的數(shù)據(jù)進(jìn)行存儲，最后秘密地傳達(dá)給智能認(rèn)證服務(wù)器，讓智能認(rèn)證服務(wù)器對這些信息進(jìn)行分析處理，分析完之后再秘密地傳回給應(yīng)用過濾管理器，然后應(yīng)用過濾管理器根據(jù)分析結(jié)果對應(yīng)用過濾功能進(jìn)行重新配置，同時激發(fā)相應(yīng)進(jìn)行工作。

3.2智能型防火墻的智能認(rèn)證服務(wù)器及實現(xiàn)方法

智能認(rèn)證服務(wù)程序和網(wǎng)絡(luò)數(shù)據(jù)庫是智能認(rèn)證服務(wù)器的核心，智能認(rèn)證服務(wù)器是通過信息驅(qū)動來進(jìn)行操作的，如果外部主機(jī)訪問內(nèi)部網(wǎng)絡(luò)，則需要外部路由器的數(shù)據(jù)審核，通過審核的信息才能順利達(dá)到DMZ網(wǎng)絡(luò)，對于內(nèi)部網(wǎng)的信息請求，不需要經(jīng)過內(nèi)部路由器審核，它可以直接進(jìn)入DMZ網(wǎng)絡(luò)，另外，還需要這些路由器是否制定過濾規(guī)則，如果制定了過濾規(guī)則，就不能進(jìn)行信息傳達(dá)，并且這些信息也將被丟棄掉，但是，如果過濾規(guī)則允許進(jìn)行傳輸，那么這些信息還需要通過防火墻。如果數(shù)據(jù)包和路由器制定的規(guī)則不一致，那么這個數(shù)據(jù)包將會被用過濾管理器攔截下來，然后從底層協(xié)議到上層協(xié)議對其進(jìn)行分析，如果分析結(jié)果是具有安全性的，那么這個數(shù)據(jù)包將會被傳輸給智能認(rèn)證服務(wù)器。智能認(rèn)證服務(wù)器上的數(shù)據(jù)接收器就會把這些信息存儲到網(wǎng)絡(luò)安全數(shù)據(jù)庫中，網(wǎng)絡(luò)安全數(shù)據(jù)庫發(fā)生變化后，推理機(jī)就會自動進(jìn)行工作，推理機(jī)就會使用安全專家知識庫里的信息對剛剛進(jìn)入網(wǎng)絡(luò)安全數(shù)據(jù)庫中的這些信息進(jìn)行分析、比較和推斷，看看是否能夠找出相關(guān)對應(yīng)的數(shù)據(jù)，從而得出過濾方案，使網(wǎng)絡(luò)管理員能夠直觀的看到，方便網(wǎng)絡(luò)管理員根據(jù)實際情況作出相應(yīng)的處理。這時原文發(fā)生器就會轉(zhuǎn)化其內(nèi)部的代碼或者通過修改路由器表和過濾規(guī)則來實現(xiàn)內(nèi)外主機(jī)通信；或者由過濾管理器通過修改過濾規(guī)則，將其傳輸?shù)紻MZ上的堡壘主機(jī)，堡壘主機(jī)中的應(yīng)用過濾管理器對其過濾功能進(jìn)行重新配置，激發(fā)其他應(yīng)用進(jìn)行工作。因此，智能型防火墻更能全面嚴(yán)格地進(jìn)行安全控制。

篇5

0 引言

一般來說，防火墻包括幾個不同的組成部分：過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網(wǎng)關(guān)是一臺或一組機(jī)器，它提供中繼服務(wù)，以補(bǔ)償過濾器的影響。駐有網(wǎng)關(guān)的網(wǎng)絡(luò)常被叫做非軍事區(qū)（DeMilitarized Zone，DMZ）。DMZ中的網(wǎng)關(guān)有時還由一個內(nèi)部網(wǎng)關(guān)（internal gateway）協(xié)助工作。一般情況下，兩個網(wǎng)關(guān)通過內(nèi)部過濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機(jī)的連接更為開放。就網(wǎng)絡(luò)通信而言，兩個過濾器或網(wǎng)關(guān)本身，都是可以省去的，詳細(xì)情況隨防火墻的變化而變化。一般說來，外部過濾器可用來保護(hù)網(wǎng)關(guān)免受攻擊，而內(nèi)部過濾器用來應(yīng)付一個網(wǎng)關(guān)遭到破壞后所帶來的后果，兩個過濾器均可保護(hù)內(nèi)部網(wǎng)絡(luò)，使之免受攻擊。一個暴露的網(wǎng)關(guān)機(jī)器通常被叫做堡壘機(jī)。

防火墻可分成兩種主要類別：數(shù)據(jù)包過濾（packet filtering）和應(yīng)用網(wǎng)關(guān)（application gateway）。

數(shù)據(jù)包過濾防火墻的工作方法是通過基于數(shù)據(jù)包的源地址、目的地址或端口來進(jìn)行過濾的。一般說來，不保持前后連接信息，過濾決定也是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來做的。管理員可以設(shè)計一個可接受機(jī)器和服務(wù)的列表，以及一個不可接受機(jī)器和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級，利用數(shù)據(jù)包過濾器很容易實現(xiàn)允許或禁止訪問。例如，允許主機(jī)A和B之間的任何IP訪問，或禁止除A以外的任何機(jī)器訪問B。

大多數(shù)安全策略需要更為精細(xì)的控制：對根本不被信任的主機(jī)，需要定義容許它們訪問的服務(wù)。例如，可以希望允許任何主機(jī)與機(jī)器A連接，但僅限于發(fā)送或接收郵件。其他服務(wù)可以或不可以被允許。數(shù)據(jù)包過濾器允許在這一級別上進(jìn)行某些控制，為了正確地做到這一點，要求精通許多操作系統(tǒng)上TCP和UDP端口的使用知識。包過濾防火墻的優(yōu)點是速度快，缺點是不能對數(shù)據(jù)內(nèi)容進(jìn)行控制。

應(yīng)用網(wǎng)關(guān)防火墻則是另一種方式，它不使用通用目標(biāo)機(jī)制來允許各種不同種類的通信，而是針對每個應(yīng)用使用專用目的代碼。雖然這樣做看來有些浪費，但卻比任何其他方法安全得多。一是不必?fù)?dān)心不同過濾規(guī)則集之間的交互影響，二是不必?fù)?dān)憂對外部提供安全服務(wù)的主機(jī)中的漏洞。只需仔細(xì)檢查選擇的數(shù)個程序。應(yīng)用網(wǎng)關(guān)還有另一個優(yōu)點：它易于記錄并控制所有的進(jìn)/出通信，并對Internet的訪問做到內(nèi)容級的過濾，所以是很安全的。應(yīng)用級網(wǎng)關(guān)的最大缺點就是速度慢。

1 網(wǎng)絡(luò)的系統(tǒng)規(guī)劃與設(shè)計

根據(jù)用戶具體情況，規(guī)劃內(nèi)網(wǎng)的環(huán)境，必要時使用多個網(wǎng)段。確定是否需要向外部Internet提供服務(wù)以及何種服務(wù)，由此確定是否需要DMZ網(wǎng)段以及DMZ網(wǎng)段的具體結(jié)構(gòu)。根據(jù)內(nèi)網(wǎng)、DMZ網(wǎng)的結(jié)構(gòu)確定NetST■防火墻的具體連接方式，防火墻位置一般放在路由器之后，內(nèi)網(wǎng)、DMZ網(wǎng)之前。設(shè)計系統(tǒng)的訪問控制規(guī)則，使防火墻起作用。

2 防火墻配置步驟建議

配置網(wǎng)絡(luò)結(jié)構(gòu)，安裝NetST■防火墻硬件，使防火墻各網(wǎng)卡正確連接內(nèi)網(wǎng)，外網(wǎng)和DMZ網(wǎng)。配置NetST■防火墻網(wǎng)絡(luò)參數(shù)使網(wǎng)絡(luò)連接正常，必要時需重啟NetST■防火墻。設(shè)計網(wǎng)絡(luò)安全策略，根據(jù)用戶具體情況設(shè)置安全選項、NAT規(guī)則、訪問控制的過濾規(guī)則、內(nèi)容過濾規(guī)則等。啟動防火墻引擎，使規(guī)則起作用。

3 防火墻規(guī)則定義的一般步驟

NetST防火墻一般按下列步驟定義規(guī)則：

一般情況下，我們建議用戶按上面步驟進(jìn)行規(guī)則配置，用戶也可以根據(jù)情況進(jìn)行一定的調(diào)整和修改。

4 狀態(tài)檢測防火墻引擎

NetST防火墻引擎采用國際先進(jìn)的狀態(tài)檢測包過濾技術(shù)，實時在線監(jiān)測當(dāng)前內(nèi)外網(wǎng)絡(luò)的TCP連接狀態(tài)，根據(jù)連接狀態(tài)動態(tài)配置規(guī)則，對異常的連接狀態(tài)進(jìn)行阻斷，實現(xiàn)入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網(wǎng)絡(luò)攻擊方法的判別，并且進(jìn)行有效阻斷。作為包過濾型防火墻， NetST防火墻為用戶提供強(qiáng)大的包過濾功能。NetST防火墻支持各種主流網(wǎng)絡(luò)協(xié)議，不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾，并且可以對多種網(wǎng)絡(luò)入侵進(jìn)行辨別和有效阻斷，同時實時進(jìn)行記錄和報警；另外，NetST■防火墻與內(nèi)置多種網(wǎng)絡(luò)對象的Java管理控制臺配合使用，可以更加充分發(fā)揮NetST■防火墻引擎的強(qiáng)大的包過濾功能。

4.1 全面安全防護(hù) NetST防火墻具備抵御多種外來惡意攻擊的能力：

4.1.1 DoS（Deny of Service，拒絕服務(wù)）攻擊：此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等，攻擊者對服務(wù)器不斷發(fā)各種類型的數(shù)據(jù)包使服務(wù)器的處理能力達(dá)到飽和，從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進(jìn)行防御；

4.1.2 IP欺騙：攻擊機(jī)器 C模擬被攻擊機(jī)器A信任的機(jī)器B與A通信，通常先通過DoS攻擊使B的網(wǎng)絡(luò)陷于癱瘓，然后再冒充B與A通信以執(zhí)行對A造成危害的操作。防止IP欺騙的方法一是服務(wù)器不開危險服務(wù)，二是服務(wù)器的TCP連接的起始序列號要隨機(jī)選取，防止被猜，三是加強(qiáng)對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網(wǎng)到內(nèi)網(wǎng)的連接請求，或只將允許的開放端口請求轉(zhuǎn)到DMZ區(qū)的服務(wù)器，同時DMZ區(qū)服務(wù)器盡量只開單一服務(wù)，并注意對系統(tǒng)軟件進(jìn)行升級或打補(bǔ)??；

4.1.3 端口掃描：通過端口掃描，攻擊者可知道被攻擊的服務(wù)器上運行那些服務(wù)，從而對服務(wù)進(jìn)行攻擊或利用某些服務(wù)的缺陷攻擊主機(jī)。NetST■防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能、TCP狀態(tài)檢測等方法進(jìn)行防御；

4.1.4 IP盜用：在內(nèi)網(wǎng)中的一臺機(jī)器通過修改IP地址模擬另一臺機(jī)器，從而NetST■防火墻使用基于用戶的認(rèn)證使IP地址與用戶動態(tài)綁定以及IP地址與MAC地址綁定來進(jìn)行預(yù)防。

4.2 全面內(nèi)容過濾 NetST防火墻支持對最常用的應(yīng)用層協(xié)議進(jìn)行內(nèi)容過濾，使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行管理和控制，從而使企業(yè)網(wǎng)絡(luò)運行更加快速有效。NetST防火墻支持HTTP協(xié)議的URL過濾和HTML內(nèi)容過濾。NetST■防火墻支持與WebCM■3000系列產(chǎn)品無縫集成，由NetST■防火墻提取出URL，然后與UFP服務(wù)器連接以確定是否允許此請求通過；同時，可過濾HTML頁面中的各種腳本和Java小程序；可拒絕各種媒體類型的數(shù)據(jù)，如圖像、聲頻、視頻等，以免浪費帶寬，降低工作效率；NetST防火墻支持FTP協(xié)議內(nèi)容過濾，用戶可自行設(shè)定拒絕上載和下載的文件類型表，對此文件類型范圍內(nèi)的文件傳送請求將被拒絕；

NetST防火墻支持主要郵件協(xié)議的內(nèi)容過濾。對于SMTP協(xié)議，用戶可自行設(shè)定拒絕發(fā)的附件文件類型表，對此文件類型范圍內(nèi)的附件發(fā)送請求將被拒絕；對于POP3協(xié)議，可自行設(shè)定危險的附件文件類型表，對此文件類型范圍內(nèi)的附件收取將修改文件的后綴名以使其暫時失效，從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。

在當(dāng)前信息技術(shù)高速發(fā)展的情況下，好的反火槍技術(shù)不斷發(fā)展更新，設(shè)計該系統(tǒng)的過程中，我們也是在不斷的發(fā)現(xiàn)問題，解決問題。也發(fā)現(xiàn)了不少沒有能解決的新問題，比如延時的控制以及系統(tǒng)運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力，不斷地去研究逐漸解決。

參考文獻(xiàn)：

[1]張迅.基于SIP的IP視頻電話的設(shè)計與實現(xiàn).華中科技大學(xué)碩士學(xué)位論文，2006：14-19.

[2]武海寧基于SIP/RTP的實用VOIP系統(tǒng)研究.北京郵電大學(xué)碩士學(xué)位論文，2007：17-23.

篇6

企業(yè)內(nèi)部辦公自動化網(wǎng)絡(luò)一般是基于TCP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果，給正常的企業(yè)經(jīng)營活動造成極大的負(fù)面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡(luò)系統(tǒng)。

目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。

針對企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文將就放火墻技術(shù)在企業(yè)辦公中的應(yīng)用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡(luò)安全建設(shè)帶來一定幫助。

二、防火墻技術(shù)概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災(zāi)蔓延的隔斷墻，在這里引申為保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻服務(wù)的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護(hù)網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是一組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合；而從本質(zhì)上來說防火墻是一種保護(hù)裝置，用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽；從技術(shù)上來說，網(wǎng)絡(luò)防火墻是一種訪問控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進(jìn)/出兩個方向的通信，防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵，如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)，當(dāng)然，防火墻不只是用于某個網(wǎng)絡(luò)與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡(luò)中的部門網(wǎng)絡(luò)之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻

的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的

通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能：

①能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

②可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警。

③可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部內(nèi)部信息的地點。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screeningrouter)或網(wǎng)絡(luò)層防火墻(Networklevelfirewall)，它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標(biāo)端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù)，與用戶預(yù)定的訪問控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實施過濾。

②服務(wù)器型防火墻

服務(wù)器型防火墻通過在主機(jī)上運行的服務(wù)程序，直接對特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱為應(yīng)用型防火墻。其核心是運行于防火墻主機(jī)上的服務(wù)器進(jìn)程，它代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個服務(wù)器實際上是一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。

③復(fù)合型防火墻

由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和服務(wù)系統(tǒng)的功能和特點綜合起來，構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術(shù):①動態(tài)包過濾；②內(nèi)核透明技術(shù)；③用戶認(rèn)證機(jī)制；④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網(wǎng)絡(luò)防火墻的設(shè)計

1.防火墻的系統(tǒng)總體設(shè)計思想

1.1設(shè)計防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

在確定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)時，首先必須確定被保護(hù)網(wǎng)絡(luò)的安全級別。從整個系統(tǒng)的成本、安全保護(hù)的實現(xiàn)、維護(hù)、升級、改造以及重要的資源的保護(hù)等方面進(jìn)行考慮，以決定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。

1.2制定網(wǎng)絡(luò)安全策略778論文在線

在實現(xiàn)過程中，沒有允許的服務(wù)是被禁止的，沒有被禁止的服務(wù)都是允許的，因此網(wǎng)絡(luò)安全的第一條策略是拒絕一切未許可的服務(wù)。防火墻封鎖所有信息流，逐一完成每一項許可的服務(wù)；第二條策略是允許一切沒有被禁止的服務(wù)，防火墻轉(zhuǎn)發(fā)所有的信息，逐項刪除被禁止的服務(wù)。

1.3確定包過濾規(guī)則

包過濾規(guī)則是以處理IP包頭信息為基礎(chǔ)，設(shè)計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進(jìn)行具體設(shè)置。

1.4設(shè)計服務(wù)

服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點提出的服務(wù)請求，如果此請求被接受，服務(wù)器再建立與實服務(wù)器的連接。由于它作用于應(yīng)用層，故可利用各種安全技術(shù)，如身份驗證、日志登錄、審計跟蹤、密碼技術(shù)等，來加強(qiáng)網(wǎng)絡(luò)安全性，解決包過濾所不能解決的問題。

1.5嚴(yán)格定義功能模塊，分散實現(xiàn)

防火墻由各種功能模塊組成，如包過濾器、服務(wù)器、認(rèn)證服務(wù)器、域名服務(wù)器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機(jī)實現(xiàn)，功能分散減少了實現(xiàn)的難度，增加了可靠程度。

1.6防火墻維護(hù)和管理方案的考慮

防火墻的日常維護(hù)是對訪問記錄進(jìn)行審計，發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進(jìn)行評價，需要時進(jìn)行適當(dāng)改進(jìn)，管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化，對防火墻進(jìn)行硬件和軟件的修改和升級。通過維護(hù)和管理進(jìn)一步優(yōu)化其性能，以保證網(wǎng)絡(luò)極其信息的安全性。

2.一種典型防火墻設(shè)計實例——數(shù)據(jù)包防火墻設(shè)計

數(shù)據(jù)包過濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡(luò)層，其技術(shù)核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進(jìn)行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統(tǒng)預(yù)先設(shè)定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，這一過程就稱為數(shù)據(jù)包過濾。

本例中網(wǎng)絡(luò)環(huán)境為：內(nèi)部網(wǎng)絡(luò)使用的網(wǎng)段為192.168.1.0，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡(luò)接口的網(wǎng)卡。

數(shù)據(jù)包過濾規(guī)則的設(shè)計如下：

2.1與服務(wù)有關(guān)的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務(wù)的需要來決定是否允許相關(guān)的數(shù)據(jù)包被傳輸.這類服務(wù)包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數(shù)據(jù)包過濾的實現(xiàn).

WWW數(shù)據(jù)包采用TCP或UDP協(xié)

議，其端口為80，設(shè)置安全規(guī)則為允許內(nèi)部網(wǎng)絡(luò)用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務(wù)器，(假定其IP地址為192.168.1.11)。

要實現(xiàn)上述WWW安全規(guī)則，設(shè)置WWW數(shù)據(jù)包過濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡(luò)WWW服務(wù)器地址數(shù)據(jù)包通過，而在防火墻eth1端允許所有來自內(nèi)部網(wǎng)絡(luò)WWW數(shù)據(jù)包通過。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問WWW服務(wù)器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務(wù)器回應(yīng)Internet客戶的WWW訪問請求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然，設(shè)置此類數(shù)據(jù)過濾的關(guān)鍵是限制與服務(wù)相應(yīng)的目地地址和服務(wù)端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務(wù)有關(guān)的數(shù)據(jù)包檢查規(guī)則；

2.2與服務(wù)無關(guān)的安全檢查規(guī)則778論文在線

這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內(nèi)容的檢查來實現(xiàn)的，主要有以下幾點：

①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進(jìn)人Ipchains本身并不具備碎片過濾功能，實現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內(nèi)核時設(shè)定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進(jìn)人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內(nèi)部網(wǎng)絡(luò)主機(jī)，以期能滲透到內(nèi)部網(wǎng)絡(luò)中.要實現(xiàn)這一安全規(guī)則，設(shè)置拒絕數(shù)據(jù)包過濾規(guī)則為，在防火墻eth0端拒絕1P源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過。

③源路由(SourceRouting)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息，實現(xiàn)的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數(shù)據(jù)包。

總之，放火墻優(yōu)點眾多，但也并非萬無一失。所以，安全人員在設(shè)定防火墻后千萬不可麻痹大意，而應(yīng)居安思危，將防火墻與其他安全防御技術(shù)配合使用，才能達(dá)到應(yīng)有的效果。

參考文獻(xiàn)：

張曄,劉玉莎.防火墻技術(shù)的研究與探討[J].計算機(jī)系統(tǒng)應(yīng)用,1999

王麗艷.淺談防火墻技術(shù)與防火墻系統(tǒng)設(shè)計.遼寧工學(xué)院學(xué)報.2001

郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計.江漢大學(xué)學(xué)報.2001

篇7

隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全問題是人們最為關(guān)注的問題，基于IPv4協(xié)議邊界式防火墻存在著日益突出的問題，主要體現(xiàn)在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問題。邊界式防火墻在保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的情況下，確實是一種有效的網(wǎng)絡(luò)安全技術(shù)，而隨著網(wǎng)絡(luò)應(yīng)用規(guī)模的日益擴(kuò)大，它的缺陷也不斷呈現(xiàn)出來，很難實現(xiàn)網(wǎng)絡(luò)的安全性和網(wǎng)絡(luò)性能的均衡性。為了彌補(bǔ)IPv4和傳統(tǒng)邊界式防火墻的缺陷性及網(wǎng)絡(luò)安全性等問題，此文提出了基于Linux的IPv6分布式防火墻網(wǎng)絡(luò)體系架構(gòu)的設(shè)計與實現(xiàn)。IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議存在很多優(yōu)勢。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問題，并且在安全性、移動性以及QoS等方面有著強(qiáng)有力的支持，IPv6協(xié)議由于包頭設(shè)計得更加合理，使得路由器在處理數(shù)據(jù)包時更加快捷。此外，IPv6將IPSec集成到了協(xié)議內(nèi)部，使得IPSec不再單獨存在等等。

1 分布式防火墻網(wǎng)絡(luò)體系結(jié)構(gòu)

1.1分布式防火墻技術(shù)

分布式防火墻分為安全策略管理服務(wù)器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務(wù)器主要負(fù)責(zé)安全策略、用戶、日志、審計等管理作用。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)?？蛻舳朔阑饓χ饕饔糜诟鱾€服務(wù)器、工作站、個人計算機(jī)上，按照安全策略文件的內(nèi)容，必須通過包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢測，保護(hù)計算機(jī)在正常情況下連接網(wǎng)絡(luò)時不會受到黑客惡意的入侵與攻擊，從而大大提高了網(wǎng)絡(luò)安全性能。多臺基于主機(jī)但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中，安全策略仍然被集中定義，但是在每一個單獨的網(wǎng)絡(luò)端點（如主機(jī)、路由器）上實施。

分布式防火墻包括安全策略語言、安全策略機(jī)制及應(yīng)用、實施安全策略機(jī)制。安全策略的法則嚴(yán)格地規(guī)定了允許通過的通訊文件和禁止通過的通訊的文件，它可以在多種類型的情況下應(yīng)用，還必須有權(quán)利委派和身份鑒別的功能。策略制定之后就可以至網(wǎng)絡(luò)端點上去了。在傳輸過程中，策略系統(tǒng)必須保證策略法則的完整性、真實性。策略有多種形式，可以直接“推”到終端系統(tǒng)上，可以由終端按照需求截取，也可以提供給用戶（以證書的形式）。策略實施機(jī)制系統(tǒng)在主機(jī)上，在處理進(jìn)出的通訊之前，它需要查詢本地策略才能做出允許或者禁止的決定。

1.2分布式防火墻體系架構(gòu)

圖1分布式防火墻體系架構(gòu)

針對邊界式防火墻的缺陷，提出了“分布式防火墻”（Distributed Firewalls）作為新的防火墻體系結(jié)構(gòu)，因為它主要負(fù)責(zé)網(wǎng)絡(luò)邊界、每個子網(wǎng)和網(wǎng)絡(luò)內(nèi)部每一個節(jié)點之間的安全防護(hù)，所以分布式防火墻為一個完整的體系，而不僅僅是單一的產(chǎn)品。依據(jù)它所需完成的功能，包括三部分：網(wǎng)絡(luò)防火墻（Network Firewall）、主機(jī)防火墻（Host Firewall）、中心管理（Central Managerment），如圖1所示。

（1）網(wǎng)絡(luò)防火墻（Network Firewall）

網(wǎng)絡(luò)防火墻一般是純軟件方式，有時候需要硬件的支持。它作用于外部網(wǎng)與內(nèi)部網(wǎng)之間，及內(nèi)部網(wǎng)下各個小子網(wǎng)之間的防護(hù)，這也是與傳統(tǒng)邊界式防火墻不同之處，這樣以來整個網(wǎng)絡(luò)的安全防護(hù)體系就會更加全面、可靠。

網(wǎng)絡(luò)防火墻包括入侵檢測模塊、防火墻模塊和管理模塊。入侵檢測模塊所用的是snort_inLine，防火墻模塊在Linux環(huán)境下所用的是基于Netfilter框架的Iptables，為了使網(wǎng)絡(luò)防火墻更好的安全防護(hù)整個網(wǎng)絡(luò)，防火墻模塊和入侵檢測模塊內(nèi)嵌式互動，防火墻實時截取網(wǎng)絡(luò)數(shù)據(jù)包，假如是信賴的網(wǎng)段或主機(jī)的數(shù)據(jù)包，就直接通過網(wǎng)絡(luò)防火墻，減少入侵檢測系統(tǒng)的匹配次數(shù)；如果不是，數(shù)據(jù)包通過內(nèi)核態(tài)至用戶態(tài)，入侵檢測系統(tǒng)接收到數(shù)據(jù)包再檢測，如果發(fā)現(xiàn)入侵，就通知防火墻截斷，如果沒有發(fā)現(xiàn)入侵，就依照防火墻配置的法則處理。管理模塊包含數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送防火墻和入侵檢測系統(tǒng)日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（2）主機(jī)防火墻（Host Firewall）

與網(wǎng)絡(luò)防火墻的設(shè)計一樣，主要對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這是在邊界式防火墻安全體系方面的改進(jìn)。它主要作用于同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，來確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，這樣就安全防護(hù)應(yīng)用層了，比起網(wǎng)絡(luò)層來更加全面。

主機(jī)防火墻由防火墻模塊、主機(jī)管理模塊組成，防火墻模塊在Linux環(huán)境下用的是基于Netfilter框架的Iptables，按照管理中心的安全策略過濾數(shù)據(jù)包；主機(jī)管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（3）管理中心（Managerment Central）

它作為服務(wù)器軟件，主要負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總，還有遠(yuǎn)程管理、系統(tǒng)設(shè)置、系統(tǒng)安全等其它輔助功能。它也是在邊界式防火墻功能的一個完善。它具有智能管理的功能，提高了防火墻的安全防護(hù)靈活性、管理性。網(wǎng)絡(luò)防火墻和主機(jī)防火墻把日志發(fā)送給日志分析系統(tǒng)之后保存到日志文件之中，網(wǎng)絡(luò)管理維護(hù)中心發(fā)放法則給網(wǎng)絡(luò)防火墻和主機(jī)防火墻，管理中心與主機(jī)防火墻和邊界防火墻之間的通信必須通過身份驗證之后運用openssH數(shù)據(jù)安全通道加密通訊，這樣管理中心與主機(jī)防火墻和網(wǎng)絡(luò)防火墻的通信才會更加安全。此外管理中心還有用戶圖形界面(GUI)功能，負(fù)責(zé)管理網(wǎng)絡(luò)中的所有端點、制定和分發(fā)安全策略，而且要分析從主機(jī)防火墻、網(wǎng)絡(luò)防火墻接收的日志，依據(jù)分析的結(jié)果再修改安全策略。

2主機(jī)防火墻的設(shè) 計與實現(xiàn)

Linux廣泛地應(yīng)用到世界各地服務(wù)器網(wǎng)絡(luò)當(dāng)中，由于它是開源的。Linux版本2.4內(nèi)核中已采用了Netfilter的防火墻框架，而且內(nèi)核中還支持IPv6協(xié)議棧。所以此文采用Linux作為目標(biāo)環(huán)境下的系統(tǒng)的開發(fā)和運行平臺。

2.1主機(jī)管理模塊

主機(jī)管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用：首先要跟自己機(jī)器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)再發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用：監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

2.2主機(jī)防火墻模塊

Linux版本2.4內(nèi)核中集成了Netfilter框架，基于Linux平臺下，該框架具有新的網(wǎng)絡(luò)安全功能：網(wǎng)絡(luò)數(shù)據(jù)包過濾、狀態(tài)保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務(wù)：負(fù)責(zé)從用戶命令行界面接收命令之后轉(zhuǎn)化成內(nèi)核認(rèn)識的結(jié)構(gòu)體，調(diào)用相應(yīng)的內(nèi)核操作函數(shù)，將法則插入到內(nèi)核中去。運用Iptables，一定在編譯Linux內(nèi)核時(版本一定比2.4大)選擇跟Netfilter相關(guān)的內(nèi)核模塊。Netfilter作為內(nèi)核空間的實現(xiàn)模塊，Iptables作為用戶空間的控制命令解析器，只有它們合起來才能完成整體的工作。因此首先必須對內(nèi)核進(jìn)行裁剪和編譯，選擇與Netfilter相關(guān)的項目，（位于“Networking options”子項下）。

Netfilter是由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對應(yīng)某一具體的協(xié)議。Netfilter支持IPv4、IPv6與IPx等協(xié)議，具有協(xié)議對應(yīng)的鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包通過協(xié)議棧的幾個關(guān)鍵點時被調(diào)用，協(xié)議棧把數(shù)據(jù)包與鉤子標(biāo)號作為參數(shù)傳遞給Netfilter鉤子；可以編寫內(nèi)核模塊來注冊一個或多個鉤子，以掛鉤自己的處理函數(shù)，這樣當(dāng)數(shù)據(jù)包被傳遞給某個鉤子時，內(nèi)核就會依次調(diào)用掛鉤在這個鉤子上的每一個處理函數(shù)，這些處理函數(shù)就能對數(shù)據(jù)包進(jìn)行各種處理（修改、丟棄或傳遞給用戶進(jìn)程等）；接收到的數(shù)據(jù)包，用戶進(jìn)程也可以對它進(jìn)行各種處理。一個IPV6數(shù)據(jù)包在通過Netfilter防火墻框架時，它將經(jīng)過如圖2所示的流程。

圖2 IPv6網(wǎng)絡(luò)數(shù)據(jù)包處理流程

每一個IPv6數(shù)據(jù)包經(jīng)過Netfilter框架時，必須通過5個鉤子函數(shù)處理：

（1）HOOK1（NF_IP6_PRE_ROUTING），數(shù)據(jù)包在抵達(dá)路由之前經(jīng)過這個鉤子。目前，在這個鉤子上只對數(shù)據(jù)包作包頭檢測處理，一般應(yīng)用于防止拒絕服務(wù)攻擊和NAT；（2）HOOK2（NF_IP6_LOCAL_IN），目的地為本地主機(jī)的數(shù)據(jù)包經(jīng)過這個鉤子。防火墻一般建立在這個鉤子上；（3）HOOK3（NF_IP6_FORWARD），目的地非本地主機(jī)的數(shù)據(jù)包經(jīng)過這個鉤子；（4）HOOK4（NF_IP6_POST_ROUTING），數(shù)據(jù)包在離開本地主機(jī)之前經(jīng)過這個鉤子，包括源地址為本地主機(jī)和非本地主機(jī)的；（5）HOOK5（NF_IP6_LOCAL_OUT），本地主機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過這個鉤子。

IP網(wǎng)絡(luò)數(shù)據(jù)包處理流程：數(shù)據(jù)報從左邊進(jìn)入系統(tǒng)，進(jìn)行IPv6校驗以后，數(shù)據(jù)報經(jīng)過第一個鉤子NF_IP_PRE_ROUTING注冊函數(shù)進(jìn)行處理；然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的；若該數(shù)據(jù)包是發(fā)被本機(jī)的，則該數(shù)據(jù)經(jīng)過鉤子NF_IP6_LOCAL_IN注冊函數(shù)處理以后然后傳遞給上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP6_FORWARD注冊函數(shù)處理；經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)報經(jīng)過最后一個鉤子NF_IP6_POST_ROUTING注冊函數(shù)處理以后，再傳輸?shù)骄W(wǎng)絡(luò)上。

本地產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP6_LOCAL_OUT注冊函數(shù)處理以后，進(jìn)行路由選擇處理，然后經(jīng)過NF_IP6_POST_ROUTI NG注冊函數(shù)處理以后發(fā)送到網(wǎng)絡(luò)上。

3 結(jié)論

針對本文設(shè)計的Linux環(huán)境下IPv6分布式防火墻的測試中，用兩臺IPv6主機(jī)對防火墻保護(hù)下的內(nèi)網(wǎng)主機(jī)進(jìn)行訪問，來測試防火墻。外網(wǎng)主機(jī)的環(huán)境一臺為WINXP,另一臺是Linux。通過對外網(wǎng)主機(jī)訪問記錄的驗證來檢測防火墻的性能。測試的實驗結(jié)果表明：系統(tǒng)都能按照規(guī)則對數(shù)據(jù)包進(jìn)行處理，實現(xiàn)了IPv6分布式防火墻的功能。隨著網(wǎng)絡(luò)的不斷發(fā)展，傳統(tǒng)的邊界式防火墻的弊端越來越暴露出來了，Linux作為一種開放源代碼的操作系統(tǒng)，在世界各地有著廣泛的應(yīng)用。Linux內(nèi)核版本2.4中已經(jīng)采用了Netfilter的防火墻框架，而且內(nèi)核中已支持IPv6協(xié)議棧，而下一代通信協(xié)議IPv6是未來網(wǎng)絡(luò)發(fā)展的趨勢。本文在Linux環(huán)境下設(shè)計并實現(xiàn)了一個分布式防火墻具有重大意義。

參考文獻(xiàn)：

[1]范振岐.基于Linux的IPv6復(fù)合防火墻的設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與使用,2006,2:35-37.

[2]蔣雄偉.Linux下的分布式防火墻設(shè)計與實現(xiàn):[碩士學(xué)位論文].南京:南京理工大學(xué).2006.

[3]張科.IPv6防火墻狀態(tài)檢測技術(shù)的研究與實現(xiàn):[碩士學(xué)位論文].重慶:重慶大學(xué).2007.

[4]楊剛，陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計算機(jī)工程與設(shè)計，2007，(28):4124-4132.

篇8

一．引言

隨著社會經(jīng)濟(jì)的發(fā)展，建筑工程建設(shè)得到了前所未有的發(fā)展，建筑工程項目的數(shù)量日益增多，同時出現(xiàn)的各種建筑工程事故也在增加。建筑工程的結(jié)構(gòu)設(shè)計是保證工程質(zhì)量的關(guān)鍵，防火防爆設(shè)計直接影響著工程項目的實用性，甚至關(guān)系著人民的生命財產(chǎn)安全。因此，為了提高建筑工程的質(zhì)量，保障人民的生命財產(chǎn)安全，降低國家的經(jīng)濟(jì)損失，我們必須要加強(qiáng)對建筑工程防火防爆設(shè)計的研究，提高設(shè)計的安全性。

二.對工業(yè)建筑進(jìn)行防火防爆設(shè)計需考慮的問題。

建筑消防設(shè)計是建筑設(shè)計中一個重要組成部分，關(guān)系到人民生命財產(chǎn)安全，應(yīng)該引起大家的足夠重視。文章從防火分區(qū)、安全疏散以及防爆泄壓三方面來討論：

（1）. 建筑的防火分區(qū)問題。

《建規(guī)》中規(guī)定了廠房及倉庫的的防火分區(qū)，其中有一點需要注意，廠房及倉庫的防火分區(qū)首先受該建筑物生產(chǎn)類別影響，其次還和建筑物的耐火等級有關(guān)。雖然《建規(guī)》中規(guī)定封閉樓梯間的門為雙向彈簧門就可以了，但做為劃分防火分區(qū)用的封閉樓梯間門至少應(yīng)設(shè)乙級防火門。否則樓梯間也是火災(zāi)縱向蔓延的途徑之一，也應(yīng)按上下連通層作為一個防火分區(qū)計算面積。

（2）. 安全疏散設(shè)計問題。

很多大型工業(yè)建筑在消防安全疏散設(shè)計中存在的問題，諸如首層疏散樓梯無法直通室外，設(shè)備及管道布置錯綜復(fù)雜致使人員逃生路線迂回曲折，疏散距離超過規(guī)范要求等。在設(shè)計中應(yīng)合理設(shè)置安全疏散通道，并使疏散通道兩側(cè)的隔墻耐火極限≥lh(非燃材料)，房間內(nèi)最遠(yuǎn)工作點的疏散距離應(yīng)考慮設(shè)備及管道布置的影響等等。

（3）防爆泄壓應(yīng)注意的問題

首先，不同用途的廠房有不同的廠房爆炸危險等級，進(jìn)而根據(jù)規(guī)范采取相應(yīng)級別的泄壓比。第二，要避免建筑物內(nèi)有爆炸危險的部位形成長細(xì)比過大的空間，以防止爆炸時產(chǎn)生較大超壓，保證所設(shè)計的泄壓面積能有效。第三，泄壓方向要避開人員疏散通道及重要設(shè)施。

三．工業(yè)廠房防火防爆設(shè)計要點。

有爆炸危險的廠房，一旦發(fā)生爆炸，不但會造成房倒人亡，設(shè)備摧毀，生產(chǎn)停頓，甚至引起相鄰廠房或設(shè)施連鎖爆炸、次生火災(zāi)。因此，從廠房設(shè)計起，就應(yīng)考慮防爆抗爆措施。消防部門也應(yīng)加強(qiáng)對此類廠房的審核，嚴(yán)格把關(guān)，將隱患消滅在源頭。因此在設(shè)計爆炸危險廠房時應(yīng)注意把握以下幾個方面：

1.平面布局設(shè)計。

規(guī)模較大的工廠和倉庫，應(yīng)根據(jù)實際需要，合理劃分生產(chǎn)區(qū)、儲存區(qū)、生產(chǎn)輔助設(shè)施區(qū)和行政辦公、生活福利區(qū)等。同一生產(chǎn)企業(yè)內(nèi)，宜盡量將火災(zāi)危險性相同或相近的建筑集中布置，以便分別采取防火防爆設(shè)施，便于安全管理。在選址時，應(yīng)注意周圍環(huán)境，充分考慮建廠地區(qū)的企業(yè)和居民安全。注意地勢條件，應(yīng)根據(jù)產(chǎn)品的性質(zhì)，優(yōu)先選取有利地形，減少危險性，減少對周圍環(huán)境的火災(zāi)威脅。注意風(fēng)向，散發(fā)可燃?xì)怏w、可燃蒸汽和可燃粉塵的車間、裝置，應(yīng)布置在廠區(qū)的全年主導(dǎo)風(fēng)向的下風(fēng)向。

2.建筑耐火等級。

建筑物耐火等級。劃分建筑物耐火等級是建筑設(shè)計防火規(guī)范中規(guī)定的防火技術(shù)措施中最基本的措施。它要求建筑物在火災(zāi)高溫的持續(xù)作用下,墻、柱、梁、樓板、屋蓋、吊頂?shù)然窘ㄖ?gòu)件,能在一定的時間內(nèi)不破壞,不傳播火災(zāi),從而起到延緩和阻止火災(zāi)蔓延的作用,并為人員疏散、搶救物資和撲滅火災(zāi)以及為火災(zāi)后結(jié)構(gòu)修復(fù)創(chuàng)造條件。

3.防火墻和防火門及防火間距。

根據(jù)在建筑物中的位置和構(gòu)造形式，有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內(nèi)墻防火墻、外墻防火墻和獨立防火墻等。內(nèi)防火墻是把廠房或庫房劃分成防火單元，可以阻止火勢在建筑物內(nèi)的蔓延擴(kuò)展；外防火墻是鄰近兩幢建筑物的防火間距不足而設(shè)置的無門窗洞的外墻，或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區(qū)域如需要互相通行時，可在中間設(shè)置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門；按開啟方式不同有平開門和卷簾門等。

火災(zāi)發(fā)生時，由于強(qiáng)烈的熱輻射、熱對流以及燃燒物質(zhì)的爆炸飛濺、拋向空中形成飛火，能使鄰近甚至遠(yuǎn)處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴(kuò)散，應(yīng)保證建筑物之間的防火間距。

4.工業(yè)建筑防爆。

在一些工業(yè)建筑中,使用和產(chǎn)生的可燃?xì)怏w、可燃蒸氣、可燃粉塵等物質(zhì)能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機(jī)械功的形式釋放出巨大的能量,使建筑物、生產(chǎn)設(shè)備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業(yè)建筑,為了防止爆炸事故的發(fā)生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構(gòu)造和建筑設(shè)施方面采取防火防爆措施。首先，此類建筑以獨立設(shè)置，并宜采用敞開或半敞開式，承重結(jié)構(gòu)多采用鋼筋混凝土或鋼框架、排架結(jié)構(gòu)。第二，要加強(qiáng)與其貼臨建造建筑物的保護(hù)，根據(jù)需要將兩者之間的隔墻設(shè)置為防火墻或防爆墻。第三，有爆炸危險的甲、乙類廠房（倉庫）應(yīng)設(shè)置足夠有效的泄壓設(shè)施,以減少爆炸帶來的損失。當(dāng)建筑物長細(xì)比大于3時，宜將該建筑劃分為長細(xì)比小于等于3的多個計算段來計算所需泄壓面積，且各計算段中的公共截面不得作為泄壓面積。另外，位于寒冷及嚴(yán)寒地區(qū)的有爆炸危險的建筑物屋頂上所設(shè)的泄壓設(shè)施還應(yīng)考慮采取有效防止冰雪積聚的措施。

5. 設(shè)置防爆門斗

設(shè)置防爆門斗是解決交通和防爆的有力措施，第一道門宜采用防爆門，才能達(dá)到防爆的效果。但防爆門均采用特殊鋼材制作，其連接轉(zhuǎn)動部件和防止門與門框碰撞產(chǎn)生火花，門鉸鏈應(yīng)采用青銅軸和墊圈或其他摩擦碰撞不發(fā)火材料制作，門扇周邊貼橡膠板，防止碰撞產(chǎn)生火花。防爆門斗內(nèi)要有一定的容積，保證當(dāng)門打開時瞬時進(jìn)入門斗的可燃?xì)怏w濃度降低，兩門布置應(yīng)在不同方位上，間距200以上。防爆門斗也是爆炸危險部位的安全出口，其位置應(yīng)滿足安全疏散距離的要求。

四．結(jié)束語

隨著人們生活水平的提高，對生命財產(chǎn)的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高，經(jīng)濟(jì)性建立在安全性的基礎(chǔ)之上，只有保證了建筑結(jié)構(gòu)的安全性，才能夠考慮建筑工程施工的經(jīng)濟(jì)性和適用性。在正常的情況下，建筑工程首先要具備良好的工作性能，進(jìn)而為社會創(chuàng)造出良好的經(jīng)濟(jì)效益。進(jìn)而有效提高建筑結(jié)構(gòu)的安全性能，促進(jìn)建筑工程建設(shè)的發(fā)展，促進(jìn)建筑業(yè)的發(fā)展。

參考文獻(xiàn)：

[1] 李海 防爆防火設(shè)計在工業(yè)建筑中的應(yīng)用 [期刊論文] 《黑龍江科技信息》 -2012年2期

篇9

0 引言

近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站，通過網(wǎng)站實施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出，并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求，田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實體安全、運行安全和信息安全三方面的要求。

1) 系統(tǒng)實體安全

系統(tǒng)實體安全是指保護(hù)計算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過程。

2) 系統(tǒng)運行安全系統(tǒng)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急）來保護(hù)信息處理過程的安全[1]。項目組在實施項目前已對系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險分析，防止計算機(jī)受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點的多臺機(jī)器進(jìn)行數(shù)據(jù)的實時備份）。為防止意外停電，系統(tǒng)需要配備多臺備用電源，作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識、控制。系統(tǒng)的核心服務(wù)是交易服務(wù)，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護(hù)客戶的私人信息，不被非法竊取。同時系統(tǒng)要具有認(rèn)證性和完整性，即確?？蛻羯矸莸暮戏ㄐ?，保證預(yù)約信息的真實性和完整性，系統(tǒng)要實現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問防火墻，即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實現(xiàn)系統(tǒng)的不可否認(rèn)性，要有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障，并在此進(jìn)行檢查和連接，只有被授權(quán)的信息才能通過此保護(hù)屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機(jī)制，記錄可疑事件等。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2) VPN 技術(shù)

VPN 技術(shù)也是一項保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問、便于管理和實現(xiàn)全面控制，是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時代，隨著電子商務(wù)活動的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級應(yīng)用的性能防火墻，又不會“餓死”，低優(yōu)先級的應(yīng)用。

管理問題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負(fù)擔(dān)。管理平臺要有一個定義安全政策的簡單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備論文的格式。

2.2基于角色訪問的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象，與這些對象有關(guān)的用戶數(shù)量也非常多，所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多，我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中，包含用戶、角色、目標(biāo)、操作、許可權(quán)五個基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù)，并結(jié)合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實際功能結(jié)構(gòu)對系統(tǒng)功能進(jìn)行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發(fā)生沖突，對該角色的權(quán)限不能輕易進(jìn)行修改，以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實現(xiàn)。用戶登陸系統(tǒng)時，系統(tǒng)會根據(jù)用戶的角色的并集，從而得到用戶的權(quán)限，由權(quán)限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)作為計算機(jī)信息系統(tǒng)核心部件，數(shù)據(jù)庫文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級安全控制

這種控制可以采用多種方式，包括設(shè)置數(shù)據(jù)庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對于服務(wù)器來說防火墻，可以采用軟指紋技術(shù)防止非法復(fù)制，當(dāng)然，權(quán)限控制、備份/復(fù)制和審計控制也是實行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結(jié)束語

隨著信息化技術(shù)的快速發(fā)展，農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化，必須充分考慮信息安全因素與利用信息安全技術(shù)，這樣才能實現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長，本文所述的安全策略，對當(dāng)前實施電子商務(wù)有一定效果的，是值得推介應(yīng)用的。

參考文獻(xiàn)：

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報（自然科學(xué)版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

篇10

從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機(jī)器，聰明的黑客們總會想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)Packet的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意入侵。

包過濾防火墻是在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)Packet，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。根據(jù)Packet的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。

（一）ip欺騙

如果修改Packet的源，目的地址和端口，模仿一些合法的Packet就可以騙過防火墻的檢測。如：我將Packet中的源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就會放行。

這種攻擊應(yīng)該怎么防范呢？

如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。

eth1連接外部網(wǎng)絡(luò),eth2連接內(nèi)部網(wǎng)絡(luò)，所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達(dá)eth2，我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet，那么這種直接到達(dá)eth1的偽造包就會被丟棄。

（二）分片偽造

分片是在網(wǎng)絡(luò)上傳輸IP報文時采用的一種技術(shù)手段，但是其中存在一些安全隱患。PingofDeath,teardrop等攻擊可能導(dǎo)致某些系統(tǒng)在重組分片的過程中宕機(jī)或者重新啟動。這里我們只談?wù)勅绾卫@過防火墻的檢測。

在IP的分片包中，所有的分片包用一個分片偏移字段標(biāo)志分片包的順序，但是，只有第一個分片包含有TCP端口號的信息。當(dāng)IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。

工作原理弄清楚了，我們來分析：從上面可以看出，我們?nèi)绻氪┻^防火墻只需要第一個分片，也就是端口號的信息符合就可以了。

那我們先發(fā)送第一個合法的IP分片，將真正的端口號封裝在第二個分片中，那樣后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，通過我的實驗，觀察攻擊過程中交換的數(shù)據(jù)報片斷，發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個字節(jié)數(shù)據(jù)的報文，而且發(fā)送的次序已經(jīng)亂得不可辨別，但對于服務(wù)器TCP/IP堆棧來說，它還是能夠正確重組的。

二、NAT防火墻的攻擊

這里其實談不上什么攻擊，只能說是穿過這種防火墻的技術(shù)，而且需要新的協(xié)議支持，因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進(jìn)行連接，我們稱為UDP打洞技術(shù)。

UDP打洞技術(shù)允許在有限的范圍內(nèi)建立連接。STUN（TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators）協(xié)議實現(xiàn)了一種打洞技術(shù)可以在有限的情況下允許對NAT行為進(jìn)行自動檢測然后建立UDP連接。在UDP打洞技術(shù)中，NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個UDP包，這樣就在NAT上面創(chuàng)建了端口映射，雙方就此可以建立連接。一旦連接建立，就可以進(jìn)行直接的UDP通信了。

但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地，NAT見了的端口映射，如果一段時間不活動后就是過期。為了保持UDP端口映射，必須每隔一段時間就發(fā)送UDP包，就算沒有數(shù)據(jù)的時候，只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。

由于各方面原因，這次沒有對建立TCP的連接做研究，估計是能連接的。

三、防火墻的攻擊

防火墻運行在應(yīng)用層,攻擊的方法很多。這里就以WinGate為例。WinGate是以前應(yīng)用非常廣泛的一種Windows95/NT防火墻軟件，內(nèi)部用戶可以通過一臺安裝有WinGate的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。

黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成WinGate主機(jī)的身份對下一個攻擊目標(biāo)發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。

導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對WinGate防火墻軟件進(jìn)行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就讓攻擊者可從以下幾個方面攻擊：

（一）非授權(quán)Web訪問

某些WinGate版本（如運行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來對Web服務(wù)器發(fā)動各種Web攻擊（如CGI的漏洞攻擊等），同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。

檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

（1）以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網(wǎng)上。

（2）把瀏覽器的服務(wù)器地址指向待測試的WinGate主機(jī)。

如果瀏覽器能訪問到因特網(wǎng)，則WinGate主機(jī)存在著非授權(quán)Web訪問漏洞。

（二）非授權(quán)Socks訪問

在WinGate的缺省配置中，Socks（1080號Tcp端口）同樣是存在安全漏洞。與打開的Web（80號Tcp端口）一樣，外部攻擊者可以利用Socks訪問因特網(wǎng)。

（三）非授權(quán)Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動攻擊。

檢測WinGate主機(jī)是否有這種安全漏洞的方法如下：

1)使用telnet嘗試連接到一臺WinGate服務(wù)器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris''''^]''''.

Wingate>10.50.21.5

2)如果接受到如上的響應(yīng)文本，那就輸入待連接到的網(wǎng)站。

3)如果看到了該新系統(tǒng)的登錄提示符，那么該服務(wù)器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

其實只要我們在WinGate中簡單地限制特定服務(wù)的捆綁就可以解決這個問題。

四、監(jiān)測型防火墻的攻擊

一般來說，完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻，智能性都比較高，普通的掃描攻擊還能自動的反應(yīng)。但是這樣智能的防火墻也會受到攻擊！

（一）協(xié)議隧道攻擊

協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。

比如說，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid（攻擊的客戶端和服務(wù)端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端，而后攻擊者就可以通過loki客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。

由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)。

（二）利用FTP-pasv繞過防火墻認(rèn)證的攻擊

FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包中尋找“227”這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對目標(biāo)地址加以驗證，通過后，將允許建立到該地址的TCP連接。

攻擊者通過這個特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù)器和服務(wù)。

五、通用的攻擊方法

（一）木馬攻擊

反彈木馬是對付防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認(rèn)為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。

說一個典型的反彈木馬，目前變種最多有“毒王”之稱的“灰鴿子”，該木馬由客戶端主動連接服務(wù)器，服務(wù)器直接操控。非常方便。

(二)d.o.s拒絕服務(wù)攻擊

簡單的防火墻不能跟蹤tcp的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到d.o.s攻擊，它可能會忙于處理，而忘記了自己的過濾功能。簡單的說明兩個例子。

Land（LandAttack）攻擊：在Land攻擊中，黑客利用一個特別打造的SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢。

IP欺騙DOS攻擊：這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn)，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個合法用戶(a.a.a.a)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為a.a.a.a，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從a.a.a.a發(fā)送的連接有錯誤，就會清空緩沖區(qū)中已建立好的連接。這時，合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。

六、結(jié)論

我們必須承認(rèn)以現(xiàn)在的防火墻技術(shù)，無法給我們一個相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)中是沒有百分之百安全的，由于我們面對的黑客都屬于聰明的高技術(shù)性計算機(jī)專家，攻擊時的變數(shù)太大，所以網(wǎng)絡(luò)安全不可能單靠防火墻來實現(xiàn)，只可能通過不斷完善策略、協(xié)議等根本因素才行。

在防火墻目前還不算長的生命周期中，雖然問題不斷，但是，它也在科學(xué)家的苦心經(jīng)營下不斷自我完善，從單純地攔截一次來自黑客的惡意進(jìn)攻，逐步走向安全事件管理及安全信息管理的大路，并將最終匯入網(wǎng)絡(luò)安全管理系統(tǒng)的大海，這應(yīng)該是一種歷史的必然。一旦防火墻把網(wǎng)絡(luò)安全管理當(dāng)作自我完善的終極目的，就等同于將發(fā)展的方向定位在了網(wǎng)絡(luò)安全技術(shù)的制高點，如果成功，防火墻將成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

參考文獻(xiàn)：

[1]W．RichardAs.TCP/IP詳解卷一：協(xié)議[M].機(jī)械工業(yè)出版社，2000.

[2]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)，2004.

篇11

2．防火墻技術(shù)。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實施訪問控制的安全應(yīng)用措施。防火墻如果從實現(xiàn)方式上來分，又分為硬件防火墻和軟件防火墻兩類，我們通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現(xiàn)；軟件防火墻它是通過純軟件的方式來達(dá)到，價格很便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如：對數(shù)據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力，要保證企業(yè)內(nèi)部網(wǎng)的安全，還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和來實現(xiàn)。 3．?dāng)?shù)據(jù)加密技術(shù)。與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部竊取，偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同，文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種；數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法；數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，達(dá)到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機(jī)密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。 4．入侵檢測技術(shù)。網(wǎng)絡(luò)入侵檢測技術(shù)也叫網(wǎng)絡(luò)實時監(jiān)控技術(shù)，它通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。因此入侵檢測是對防火墻有益的補(bǔ)充。可在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。 5．網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)，通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。利用安全掃描技術(shù)，可以對局域網(wǎng)絡(luò)、Web站點、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進(jìn)行服務(wù)，檢測在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢測主機(jī)系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)，關(guān)系著IN-TERNET的進(jìn)一步發(fā)展和普及。網(wǎng)絡(luò)安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設(shè)備的防護(hù)，還應(yīng)注重樹立人的計算機(jī)安全意識，才可能更好地進(jìn)行防護(hù)，才能真正享受到網(wǎng)絡(luò)帶來的巨大便利。

[參考文獻(xiàn)] [1]顧巧論．計算機(jī)網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2008．

篇12

計算機(jī)網(wǎng)絡(luò)是信息社會的基礎(chǔ)，己經(jīng)進(jìn)入社會的各個角落。經(jīng)濟(jì)、文化、軍事、教育和社會日常生活越來越多地依賴計算機(jī)網(wǎng)絡(luò)。但是不容忽略的是網(wǎng)絡(luò)本身的開放性、不設(shè)防和無法律約束等特點，在給人們帶來巨大便利的同時，也帶來了一些問題，網(wǎng)絡(luò)安全就是其中最為顯著的問題之一。計算機(jī)系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護(hù)技術(shù)。計算機(jī)系統(tǒng)安全主要涉及計算機(jī)硬件、軟件和數(shù)據(jù)不被破壞、泄漏等。由此，網(wǎng)絡(luò)安全主要涉及硬件、軟件和系統(tǒng)數(shù)據(jù)的安全。

近幾年，隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，全國各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學(xué)校重要的基礎(chǔ)設(shè)施。同時，校園網(wǎng)也同樣面臨著越來越多的網(wǎng)絡(luò)安全問題。但在高校網(wǎng)絡(luò)建設(shè)的過程中，普遍存在著“重技術(shù)、輕安全”的傾向，隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展，網(wǎng)絡(luò)用戶的快速增長，校園網(wǎng)從早先的教育試驗網(wǎng)的轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò)。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題逐漸引起了各方面的重視。

從根本上說，校園計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴(yán)重性。威脅校園網(wǎng)安全的因素主要包括：網(wǎng)絡(luò)協(xié)議漏洞造成的威脅，操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅，攻擊工具獲取容易、使用簡單，校園網(wǎng)用戶的安全意識不強(qiáng)，計算機(jī)及網(wǎng)絡(luò)應(yīng)用水平有限等方面。

關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺，學(xué)校網(wǎng)絡(luò)中心也制定了各自的管理制度，但是還存在著各種現(xiàn)實問題，宣傳教育的力度不夠，許多師生法律意識淡薄。網(wǎng)上活躍的黑客交流活動，也為網(wǎng)絡(luò)破壞活動奠定了技術(shù)基礎(chǔ)。這是本論文討論的背景和亟待解決的問題。

二、校園網(wǎng)的安全防范技術(shù)

校園網(wǎng)絡(luò)的安全是整體的、動態(tài)的，主要有網(wǎng)絡(luò)物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多方面的內(nèi)容，通過采用防火墻、授權(quán)認(rèn)證、數(shù)據(jù)加密、入侵檢測等安全技術(shù)為手段，才有利于更有效地實現(xiàn)校園網(wǎng)絡(luò)安全、穩(wěn)定運行。論文將對常用的校園網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究。

首先是認(rèn)證技術(shù)，認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中建立安全通信信道的重要步驟，是安全信息系統(tǒng)的“門禁”模塊，是保證網(wǎng)絡(luò)信息安全的重要技術(shù)。認(rèn)證的主要目的是驗證信息的完整性，確認(rèn)被驗證的信息在傳遞或存儲過程中沒有被篡改或重組，并驗證信息發(fā)送者的真實性，確認(rèn)他沒有被冒充。認(rèn)證技術(shù)是防止黑客對系統(tǒng)進(jìn)行主動攻擊的一種重要技術(shù)手段，主要通過數(shù)字信封、數(shù)字摘要、數(shù)字簽名、智能卡和生物特征識別等技術(shù)來實現(xiàn)。

第二是密碼技術(shù)，目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、雙向身份認(rèn)證。數(shù)據(jù)完整性等，由此密碼技術(shù)是保證信息的安全性的關(guān)鍵技術(shù)。密碼技術(shù)在古代就己經(jīng)得到相當(dāng)?shù)膽?yīng)用，但僅限于外交和軍事等重要領(lǐng)域。隨著計算機(jī)技術(shù)的迅速發(fā)展，密碼技術(shù)發(fā)展成為集數(shù)學(xué)、電子與通信、計算機(jī)科學(xué)等學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密，而且完成了數(shù)字簽名、系統(tǒng)安全等功能。所以，使用密碼技術(shù)不僅可以保證信息的機(jī)密性，而且可以防止信息被篡改、假冒和偽造。現(xiàn)在密碼技術(shù)主要是密碼學(xué)。密碼學(xué)也是密碼技術(shù)的理論基礎(chǔ)，主要包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)主要研究如何對信息進(jìn)行編碼，以此來隱藏、偽裝信息，通過對給定的有意義的數(shù)據(jù)進(jìn)行可逆的數(shù)學(xué)變換，將其變?yōu)楸砻嫔想s亂無章的數(shù)據(jù)，而只有合法的接收者才能恢復(fù)原來的數(shù)據(jù)，由此保證了數(shù)據(jù)安全。密碼分析學(xué)是研究如何破譯經(jīng)過加密的消息并識別偽造消息?？傊?，密碼編碼技術(shù)和密碼分析技術(shù)相互支持、密不可分。

第三是防火墻技術(shù)，防火墻是指放置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合。防火墻在不同網(wǎng)絡(luò)區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道，通過允許或拒絕等手段實現(xiàn)對進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的控制。防火墻本身也具有較強(qiáng)的抗攻擊能力，能有效加強(qiáng)不同網(wǎng)絡(luò)區(qū)域之間的訪問控制，是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)安全的重要的基礎(chǔ)設(shè)施。

第四是入侵檢測系統(tǒng)。網(wǎng)絡(luò)安全風(fēng)險系數(shù)越來越高，防火墻技術(shù)己經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。入侵檢測系統(tǒng)作為對防火墻及其有益的補(bǔ)充，不僅能幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，也擴(kuò)展了系統(tǒng)管理員的安全管理能力，有效提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

三、結(jié)語

網(wǎng)絡(luò)技術(shù)迅速發(fā)展的同時，也帶來了越來越多的網(wǎng)絡(luò)安全問題，校園網(wǎng)安全防范的建設(shè)更是一項復(fù)雜的系統(tǒng)工程，需要相關(guān)工作人員予以更多的重視。論文在辨清網(wǎng)絡(luò)安全和校園網(wǎng)絡(luò)安全的定義的基礎(chǔ)上，從認(rèn)證技術(shù)、密碼技術(shù)、防火墻、入侵檢測系統(tǒng)、訪問控制技術(shù)、虛擬專用網(wǎng)六個方面分析了校園網(wǎng)安全防范技術(shù)，這不僅是理論上的分析，也為網(wǎng)絡(luò)安全實踐提供了一定的借鑒。

參考文獻(xiàn)：

[1]蔡新春.校園安全防范技術(shù)的研究與實現(xiàn)[J].合肥工業(yè)大學(xué)，2009（04）.

[2]謝慧琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦，2009（09）.

[3]卜銀俠.校園網(wǎng)安全防范技術(shù)體系[J].硅谷，2011（24）.

[4]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].電腦知識與技術(shù)，2007（01）.

[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州：西北師范大學(xué)，2005.

篇13

型和監(jiān)測型防火墻技術(shù)是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。防火墻可以是獨立的系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互連的路由器上實現(xiàn)防火墻。

用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：屏蔽路由器，又稱包過濾防火墻；雙穴主機(jī)，雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代；主機(jī)過濾結(jié)構(gòu)，這種結(jié)構(gòu)實際上是包過濾和的結(jié)合；屏蔽子網(wǎng)結(jié)構(gòu)，這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。根據(jù)防火墻所采用的技術(shù)不同，可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、型和監(jiān)測型。

1包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

3型

型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。