时间:2022-06-29 07:28:33
关键字:防火墙;网络安全;内部网络;外部网络。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
[关键词]外墙保温 防火现状 存在问题
[中图分类号] TE867 [文献码] B [文章编号] 1000-405X(2014)-8-317-1
1外墙外保温的优势
1.1外保温使主墙结构的耐久性提高
护墙体变形会导致内保温板缝的开裂,若采用外墙外保温,则建筑内部结构就会受到保护。外保温能够有效防止并减少墙体和屋面的温度变形,继而使主体结构的耐久性提高。
1.2外保温使人居环境的舒服度改善
外保温可以提高外墙内表的温度,就算屋内温度下降了,也能有舒适的热环境,因此,在加强外保温、保持屋内体感舒适的前提下,适当降低室温,可以减少采暖负荷,节约能源,有利于可持续发展。
1.3外保温可以防止墙体产生热桥
外墙既要承担承重作用,又要保温,外墙肯定很厚。外保温可以防止热桥,在采用同样厚度的保温材料情况下,外保温要比内保温的热损失降低20%左右,使热能得到节约。
1.4外保温优于内保温的其他功能
(1)当外墙必须进行装修或抗震加固时,加做外保温是最经济,最有利的方法。
(2)采用外保温可以与室内工程同时作业,减少工程时间。
(3)外保温可以使建筑更为美观。
(4)外保温有广泛的应用范围。
(5)外保温有很高的综合经济效益。
2目前外墙外保温防火技术现状件之一,然而我国外保温系统发展到现在,在防火技术领域的研究还是落后的,并且我国现行的标准和规范中也没有有关外保温防火技术的具体内容,在行业标准中也只是将保温材料的燃烧性能有所涉及。目前外保温系统中大约4/5的主体保温材料都为有机可燃材料,系统没有一点防火构造设施,并且大多用于高层建筑当中,这会导致火灾事故或加速火情蔓延的案例经常发生,给人们的生命和财产安全造成严重威胁,同时使筑存在的安全隐患。我国建筑的火灾,多为幕墙保温和高层建筑火灾,尤其是高层幕墙保温建筑,具有多发性、火势蔓延快、燃烧产生大量有毒烟尘、施救难度大等特点。
现今,我国已经开始重视外保温防火技术的发展,就防火安全性问题达成了共识,易燃的保温材料是外墙外保温易造成火灾事故的重要原因,因此,提高外墙外保温系统的防火技术已刻不容缓。
3目前外墙外保温防火技术所存在的问题
3.1目前所用外保温的有机绝热材料的防火性能弱
外墙外保温系统建在墙体结构的外部,它自身的燃烧能力和耐火极限对抵抗邻建筑火灾的侵害和遏制本身建筑火情的蔓延都是相当的重要。在我国现行的技术政策和节能指示的推动下,外墙外保温系统正在快速的发展,但不足的是,对防火技术重视不够。而在外国,普通规定都要求在做保温前,对保温系统和绝热材料做燃烧性能和耐火极限的试验(同时考虑燃烧产生的烟气及毒性等),并为其分出不同等级,再根据适用范围选用不同等级的保温系统和材料。
3.2高层住宅建筑比多层住宅建筑的防火等级要求更高
高层住宅建筑对保温墙的耐火性要求更高,并且在火灾事故发生时还要具备防止某些物品燃烧可能释放的有毒气体的能力,对材料的强度和体积要求破坏程度尽量低,否则会给百姓或消防人员造成伤害,而且还会给火灾施救带来许多障碍。高层幕墙保温建筑又具有火灾事故多发性、火情蔓延快、高层人多楼窄、施救难度大等问题。因此,在我国这种建筑火灾多因幕墙保温和高层建筑火灾的国家来说,对外保温的防火技术的研究、使用和发展迫在眉睫。
3.3建筑施工对外保温的防火安全存在侥幸心理
我国对建筑防火技术本来发展就比较缓慢,而又有许多施工方在外墙外保温的设计和施工过程中为了省钱和节约时间忽视建筑的防火问题或存在侥幸心理,能省的防火设施一律省去。使建筑危险度大大增加。在我国近几年有好多建筑因为施工时对防火设备和材料偷工减料,最终酿成大火。如2003年北京东直门当代万国城、2004年北京新源大厦、2005年上海汤臣一品、2006年江苏无锡某建筑的火灾均是由易燃的外墙外保温系统引起的,而且还通过窗口向上及周围蔓延。
4外墙外保温防火技术的未来发展
国家现在很推广外墙外保温方法,其确实也是一种顺应时代的保温方法,给人们生活带来便利,所以,我们应该将其定位在可持续发展的高度,借鉴国外先进并符合我国国情的防火技术,再进行自主创新的研究,推行使用更为节能、安全性更高的保温材料,逐步达到发达国家的防火技术级别。大力推行建筑节能政策,在外墙外保温施工技术与产品等方面,期望开发出符合我国建筑结构特点的保温系统,并将其防火技术更加完善,使保温系统能够让人们更放心的使用。
5总结
综上所述,外墙外保温是现在建筑中推行最为广泛的保温方法,但它在给人们生活带来方便的同时,也出现了一些潜在的危险问题――保温材料易燃、应火强度不够、阻火能力差和火灾施救困难等问题。这是说明在推行外墙外保温的同时,也要将外保温的防火技术进行改善提高和重视,杜绝施工方对防火设施偷工减料的行为。研究开发一些新型保温防火材料,减少火灾事故率,让外墙外保温真正成为适用广泛并顺应可持续发展的节能保温方法。
参考文献
[1]胡成德,朱艳芳,王培铭.外墙外保温系统对室内热环境的影响[A].中国硅酸盐学会2003年学术年会论文摘要集[C].2003年.
[2]王甲春,阎培渝.外墙外保温系统的应用效果分析[A].2004国际墙体屋面材料技术交流暨第七届生产装备博览会论文集[C].2004年.
关键词:防火墙 网络安全 发展趋势
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
1防火墙概述
1.1 防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2 防火墙与入侵检测技术
2.1 入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。
根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统
这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统
这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2 入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;(2)如何来提高检测系统的检测安全性和准确性;(3)如何来提高整个检测系统的互动性能。
这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合
从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。
一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。
第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。
无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3 防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2 高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。
所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
参考文献
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
关键词:防火墙;网络安全;包过滤;应用层网关;服务器
中图分类号:G712 文献标识码:A 文章编号:1002-7661(2012)10-039-01
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。
一、数据必经之地
内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙,只有符合安全策略的数据流才能通过防火墙。
二、抗攻击免疫力
防火墙自身应具有非常强的抗攻击免疫力:这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术,ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
三、透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
四、多级的过滤技术
为保证系统的安全性和防护水平,新一代防火墙采用了三级过滤措施,并辅以鉴别手段。在 分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
五、Internet网关技术
由于是直接串连在网络之中,新一代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、 Finger、mail、Ident、News、WWW等)来实现网关功能。在域名服务方面,新一代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主要处理内部网络的DNS信息,另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部份DNS信息。
六、安全服务器网络(SSN)
为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
七、用户定制服务
为满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的,便可利用这些支持,方便设置。
防火墙的构成上主要包括3个部分, 即限制器、分离器和分析器。防火墙是用于计算机防病毒的硬件, 安装在互联网与内部网之间, 对互联网信息进入到内部网可以起到门户的作用, 对于不良信息进行阻隔, 可以起到降低内部网遭到病毒侵袭的发生率[1]。
可见, 防火墙技术事实上是隔离技术。如果外网信息传递中, 经过防火墙检测属于安全信息, 就可以允许进入到内部网络。防火墙是保证计算机安全运行环境的重要屏障。防火墙技术所发挥的功能具体如下。
1.1 防火墙技术对网络安全可以起到强化作用
防火墙技术对网络安全可以起到强化作用, 体现在防火墙的设计方案、口令等都是根据计算机网络的运行需要量身定做的。
安装防火墙后, 计算机可以过滤不安全信息, 使得网络环境更为安全。防火墙可以禁止网络数据信息系统 (Network File System;缩写:NFS) , 对网络起到一定的保护作用, 不良企图的分子就不会利用网络数据信息系统攻击内部网。防火墙还可以拒绝各种类型的数据块, 即网络中交换与传输的数据单元, 即为报文 (message) , 可以进行一次性发送, 由此提高了内网的安全性。
如果发现有不良信息, 还可以及时通知管理员, 由此可以降低自身的损失率。
1.2 防火墙技术可以避免内网信息出现泄露问题
防火墙技术可以将重点网段起到保护作用, 发挥隔离作用, 使得内网之间的访问受到限制。内网的访问人员得到有效控制, 对于经过审查后存在隐患的用户就可以通过防火墙技术进行隔离, 使得内网的数据信息更为安全[2]。
在内网中, 即便是不被人注意的细节也会引起不良用户的兴趣而发起攻击, 使得内网的数据信息泄露, 这是由于内网产生漏洞所导致的。
比如, Finger作为UNIX系统中的实用程序, 是用于查询用户的具体情况的。如果Finger显示了用户的真实姓名、访问的时间, 不良用户一旦获得这些信息后, 就会对UNIX系统的使用程度充分了解。在网络运行状态下, 不良用户就会对UNIX系统进行在线攻击。
防火墙技术的应用, 就可以避免这种网络攻击事件发生。域名系统 (Domain Name System;缩写DNS) 会被隐藏起来, 主机用户真实姓名以及IP地址都不是真实的, 不良用户即便攻击, 防火墙技术发挥作用, 使得没有授权的信息不会进入到网络环境中, 保护了网络环境, 网络安全性能有所提高[3]。
1.3 防火墙技术可以对网络访问的现象起到一定的监督控制作用
计算机安装防火墙后, 所有对主机的访问都要接受防火墙的审查, 在防火墙技术的使用中, 完整的访问记录会被制作出来。
如果有可疑的现象存在, 防火墙就会启动报警系统, 不良用户的IP地址提供出来, 包括各种记录的信息、网络活动状态都会接受审计, 而且还可以做出安全分析, 对于各种威胁也可以进行详细分析。通过使用防火墙技术, 就可以使得不良用户被抵挡在门外, 由此起到了预防隐患的作用[4]。
2 防火墙技术在计算机网络安全中的应用
2.1 采用防火墙技术对网络数据信息进行加密
采用防火墙技术对计算机数据信息实施保护, 就是通过数据信息加密的方法对数据信息实施保护。
在数据信息进行传输或者对数据信息存储的过程中, 就可以采用加密的形式, 以保证数据信息在传输的过程容易被识辨, 而且真实的信息被加密之后, 就会被错误的信息所覆盖, 不会被病毒所攻击而导致信息缺失或者被篡改, 由此降低了被网络病毒攻击的几率。
对数据信息采用防火墙技术实施保护, 所使用的密码是通过密码算法计算出来的, 这些密码可以是对称的, 也可以是不对称的。
对称密码所加密的数据信息, 加密的密码与解密的密码是相同的, 密码的安全度不是很高, 所以密码与数据信息的保密程度密切相关;不对称密码对数据信息加密所采用的密码与解密的密码不同, 而解密密码的安全度直接决定了数据信息的安全度[5], 所以不对称密码所发挥的保密作用会更好一些。
2.2 防火墙技术对域网系统安全运行提供保护
应用防火墙技术保护计算机网络, 是为了防止不良访问者攻击网络。防火墙安装在网络系统的外部, 阻止来自外部网络的病毒攻击, 由此维护了内部网络环境的安全。
防火墙技术重在保证信息安全, 是基于网络通信技术建立起来的。对于两个网络之间有不同的信任程度, 就可以使用防火墙这种防护设备, 由此避免了外来病毒的攻击[6]。
防火墙技术发挥作用, 可以避免非法用户访问, 确保网络处于安全稳定的运行状态, 维护了网络信息以及网络数据库信息。
当浏览网络信息的过程中有不良信息被拦截的提示的时候, 就意味着在网络上已经安装了防火墙, 对网络起到了安全保护的作用, 对不良信息进行了成功拦截。
防火墙技术的应用, 不仅可以发挥拦截信息的功能, 还会阻拦垃圾信息并对垃圾信息自动删除, 避免产生信息被干扰而无法发挥其作用的现象。
防火墙安装在局域网和互联网之间, 当信息在网络之间传输的时候, 防火墙就会检验信息, 对局域网系统运行实施了安全保护。
比如, 采用防火墙技术对校园网数据中心所接收的信息实时检测。对于要通过防火墙的病毒, 防火墙技术就可以发挥病毒检测作用, 对数据库中心进行防护。当数据库中心被攻击, 防火墙技术就可以在线检测, 有效地阻断网络型病毒的不良影响[7]。
3 结论
综上所述, 计算机网络是开放的空间, 在虚拟的网络空间中实现信息共享, 这就为网络型病毒的入侵提供了可利用的空间。
计算机网络运行中, 做好安全维护工作是非常必要的, 以在充分发挥计算机网络的作用的同时, 还可以提高信息传播质量。
计算机网络运行中, 由于安全维护不到位而存在问题, 就会给病毒以可乘之机, 使得病毒会通过网络运行中所存在的系统漏洞而入侵到计算机系统中。为了避免由此导致的严重后果, 就需要对网络型病毒进行分析, 对防火墙技术充分利用, 做好计算机网络的安全维护工作, 以避免计算机网络遭到威胁。
参考文献
[1]胡菊.计算机网络安全方面问题的分析[J].中国电子商情 (科技创新) , 2014 (3) :15.
[2]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用, 2013 (4) :178-179.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑 (理论版) , 2016 (4) :54-55.
[4]张武帅, 王东飞.防火墙技术在计算机网络安全中的应用探究[J].电脑知识与技术, 2015 (31) :35-36.
[5]李国胜, 张静薇.计算机网络安全管理相关安全技术探析[J].科技创新导报, 2013 (8) :215.
1引言
随着我国各大高校数字校园的发展建设,网络信息安全问题已经成为了校园信息化建设中不可忽视的重点问题。为了解决校园网络信息安全问题,越来越多的现代信息安全技术被广泛应用于数字校园建设中,防火墙技术在网络安全防护建设中应用得最为普遍。但是,传统的边界防火墙技术存在性能较差和单点失效等明显弊端,更需要基于网络拓扑结构来实现防火墙安全策略。因此,分布式防火墙技术在这种背景下应运而生,分布式防火墙技术通过在某些受保护的主机上进行部署,以解决传统防火墙技术的瓶颈问题。本文主要对分布式防火墙在数字校园中的部署进行了方案设计。
2传统防火墙中存在的问题
(1)内部安全问题。传统的防火墙技术无法对内部数据进行安全监控,更无法实现出现在网络内部攻击的安全防护。(2)性能瓶颈问题。传统防火墙技术的性能较差,数据处理速度较慢,防护恶意攻击的安全功能不够完善。(3)单点失效问题。整个网络的安全防护全部依赖防火墙技术,一旦恶意攻击者翻越防火墙,或者防火墙配置出现问题,内部网络将完全暴露于攻击人员面前。(4)授权访问问题。由于网络环境非常复杂,很容易造成恶意攻击人员绕过防火墙设置直接与内部网络进行连接,给网络安全防护带来极大威胁。(5)端对端加密威胁。当基于新型网络协议进行数据加密时,传统防火墙技术经常会由于没有密钥而无法识别合计检查通过的数据包内容。(6)安全模式简单。传统防火墙技术的安全防护策略主要针对的是内部网络,内部网络中部署的主机全部采用相同的安全模式,很容易造成信息安全威胁。
3分布式防火墙的部署设计
3.1体系结构设计
本文主要基于Linux系统环境下,通过服务器部署防火墙策略,在防火墙基础上进行安全策略协商,以确保各个防火墙可以协同工作,对整个网络系统进行安全防护,构建分布式防火墙系统的原型。分布式防火墙系统结构如图1所示,采用对话控制方式的协调机制,具有典型分散型防火墙系统的部署结构。
3.2控制中心结构设计
控制中心主要负责实现资料收集、相互对话、日志管理和证书签发功能。控制中心的各个节点处都配置了防火墙的安全策略库、数字密钥库和数字证书等内容。控制中心的本质是CA认证中心,CA认证中心是分布式防火墙系统唯一授权和承认的数字证书签发机构。控制中心结构主要包括策略模块、日志模块、策略分析模块和策略协商模块。
3.3防火墙结构设计
防火墙的设计主要采用了分布式结构,以分担网络数据流量的方法减少每个网络节点承担的数据处理量。分布式防火墙的部署能够有效避免某个网络节点感染木马病毒而导致整个网络受到严重的安全威胁,每个网络节点必须针对需要经过的数据进行识别和检查。防火墙系统的体系结构包括通用层接口、IP过滤模块、服务程序、联动接口、冲突检测、网络解析、策略协商和日志管理等。接口层主要为用户使用管理进行支持,IP过滤模块负责对生成的日志信息进行保存,以记录网络访问地址。冲突检测模块负责检查各个数据输入接口与防火墙连接的位置是否存在异常情况。安全解析模块负责解析安全版图,将其转换成为系统可以识别和执行的形式。策略协商模块负责利用控制中心实现其他防火墙的安全防护策略的协同运行。
4结语
综上所述,由于各大高校校园网络建设规模非常庞大,网络结构也十分复杂,本文提出了防火墙的部署方案,主要利用控制中心对安全防护策略进行协商,但这也可能会造成系统性能降低等问题,在下一步的设计研究中应该增加多个控制中心,由每个控制中心负责承担部分防火墙安全策略的协商任务,再通过完善的数据通信机制使各个控制中心之间实现协商策略的交换。同时,还可以将控制中心的各项功能与防火墙功能结合,防止由于过于依赖策略中心给系统安全漏洞和威胁。
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Along with the fast computer development and the universal application of the network technology, along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....
第一章 绪论
§1.1概述
随着以 Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的 Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用 Internet提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理 、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章 防火墙的原理 、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章 防火墙的部署和使用配置
§ 3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§ 3.2 防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章 防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1 规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§ 4.2 防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§ 4.3 主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§ 4.4 自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§ 4.5 其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§ 4.6 资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§ 4.7 软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§ 4.8 软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章 防火墙的入侵检测
§ 5.1 什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§ 5.2 入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统
§ 5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§ 5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§ 5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§ 5.6什么是VPN ?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§ 5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§ 5.8 VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献 :
1..Marcus Goncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界 .
3.Ranum M J. Thinking About Firewalls.
【关键词】 信息安全 防火墙
一、前言
随着互联网的普及,网络信息安全已经成为了一个严肃性的问题。随着各类网络信息泄露事件不断出现,网络信息的安全问题亟待解决。防火墙作为一种可以有效保护网络信息安全的技术,逐渐被人们开发和利用。
二、防火墙技术分类
1、数据包过滤型。数据包过滤型防火墙通过读取数据包,分析其中的一些相关信息来对该数据的可信度与安全性进行判断,然后以判断结果为依据,进行数据处理。一旦数据包不能得到防火墙的信任,便进入不了网络。这种防火墙技术实用性很强,在一般的网络环境中都能够起到保护计算机网络安全的作用,而且操作起来比较便捷,成本也较低,因此,是计算机防火墙中最基本的类型,在实际应用中得到了推广。
2、型。型防火墙,即服务器,它会回应输入封包,对内部网和外部网之间的信息交流进行阻断。它加大网络的安全性,而且正在向应用层面发展,能够针对应用层的病毒入侵实施防护措施。该种型防火墙技术的缺点是增加了成本的投入,并且对管理员的专业技能水平和综合素质有比较高的要求,对网络管理带来了一定的压力。
3、监测型。监测型防火墙可以主动完成网络通信数据的监测,在很大程度上提高了计算机网络的安全性,但是,监测性防火墙成本投入高,管理难度大,不便于操作,因此,该种防火墙技术目前还没有得到普及。在实际组网过程中,可以依据具体的网络环境,来选择与之符合的监测技术,这样可以在提高计算机网络安全的基础上,降低成本的投入。
三、防火墙在网络信息安全中的应用方式
1、网络级防火墙。它一般是根据应用协议、目的地址、源地址以及每个IP包端口来判断是否能通过。以往我们称路由器为网络级防火墙。但大多数的路由器在检查完网络信息的安全性后,能判断是否转发所接收到的IP包,可它无法对IP包的来源和去向进行判断。而高级网络级防火墙却能做到这一点,它能利用所提供的内容信息来说明数据流和连接状态,而且将需要判断的内容与规则表做个对比。这些规则表定义了所有决定IP包是否能通过的规则,当接收到IP包时,防火墙会对比每条规则查看是否有与此IP包信息内容相符的规则。假如没有相符合的规则,那么防火墙则会选用默认规则,将此IP包丢弃。
2、应用级网关。作为最为可靠的防火墙技术,它对访问控制相对严格,实现起来也比较困难。应用级网关能检查数据包,利用网关来复制传递的数据,避免被信任的客户机和服务器直接连接不被信任的主机。它与网络级防火墙相比,有一定的优势,但也有不足。虽然一些常见的应用级防火墙目前已有了相对应的服务器,譬如:FTP,HTTP,Telnet,Rlogin,NNTP等。可是对于新研发的,还没有与之相对应的服务器,只能采用一般的服务和网络防火墙。
3、电路级网关。它通过对被信任的客户机或服务器与不被信任的主机之间的TCP交换信息的监督来判断此会话的合法性。它是在OSI的会话层对数据包进行过滤,要与网络级防火墙相比,高出两层。事实上,电路级防火墙并不是相对独立的产品,它必须结合应用级网关一起工作。此外,电路级网关还具有服务器这一安全功能,所谓服务器其实也是一个防火墙,由于它能运行“地址转移”进程,能把所有内部的IP地址映射到安全的IP地址上,而这个地址是供防火墙使用的。然而,电路级网关也有一定的缺陷,由于它是工作于会话层,无法对应用层的数据包进行检查。
四、网络信息安全技术的发展趋势
综合全球范围内信息技术的发展态势来看,标准化、集成化、网络化、抽象化、可信化是其发展的五大趋势,尤其是随着互联网和计算机应用与普及范围的扩大,必然会带动网络信息安全技术的创新与发展,会促进现有信息安全关键技术的新一轮创新,并诱发网络安全新技术和全新应用模式的出现。因此,世界范围内的信息安全技术,其发展呈现出了动态性、复杂性、智能性、可控性的发展趋势,这不仅会进一步提高计算机网络和系统的安全生存能力,还能够有效增强信息安全防护中的主动性、实时性、可控性和有效性。
五、结束语
综上所述,在提高网络信息安全水平的同时,我们必须要更加注重利用防火墙技术。因为防火墙技术在可以使得我们的互联网环境变得更加安全。所以,我们可以依靠不断提高防火墙技术水平来更好的保障网络信息安全。
参 考 文 献
关键词:计算机网络安全;防火墙技术;应用;研究
随着信息技术的快速发展,计算机网络安全问题越来越受到人们的关注,优化网络防火墙技术,可以有效阻止网络攻击,防止信息泄露和数据丢失,所以优化计算机网络安全防火墙技术是十分重要的。本文对现存的计算机网络安全问题及应用作出具体分析,不断提高网络防火墙技术。
一、防火墙技术的基本概念
防火墙技术在实际网络安全应用中为网络结构建立起屏障,为各个网络节点的访问设置权限,确保彼此沟通的有效性和安全性。防火墙技术在网络的内部和外部之间建立了一个保护机制,外部信息的传入需要通过网络防火墙的检测,通过分离器单元和分析器单元检测数据,分析数据的安全性,保持防火墙技术建立的统一性,才能优化网络安全,达到防火墙技术优化处理效果。
此外,随着人们接受数据方式的改变,防火墙技术能够最大限度的保障网络安全,防止人们在网络数据搜索时避免恶性事件的发生,有效避免黑客、病毒、钓鱼软件给网络安全带来的威胁,防火墙技术为计算机网络安全提供了一个屏障,抵御外部的恶意攻击。防火墙技术对出入计算机网络的内容进行集中监测、分析,确保信息安全之后再传入计算机内网,不安全信息将被直接屏蔽。
二、导致计算机网络安全的原因
随着如今网络技术的快速发展,在计算机网络给生活带来极大便利的同时计算机网络也存在着极大的安全隐患,一般的网络安全问题会导致计算机系统的损坏,严重的情况下将会给个人或企业带来重大的经济财产损失。
计算机网络安全产生的原因可分为两个层面,分别是人为原因和自然原因。人为因素所引发的网络安全问题大都是由于网络技术人员专业技术或是安全意识不高,操作人员实际操作不规范会导致严重的网络安全问题。另一方面就存在恶意的网络攻击事件,网络黑客和竞争对手的蓄意为之会导致计算机网络安全受损。自然因素所导致的是在计算机设备正常运行中由于设备老化或是设备之间的电磁辐射导致设备原件损壞,网络系统瘫痪网络安全问题随之而来。除此之外,计算机病毒也是诱发网络安全的重要原因之一,计算机病毒出现之后由于其隐蔽性较高且拥有较强的复制能力,往往不容易发现,当计算机网络安全问题发生之后就会给使用者造成非常大的影响,严重的更可能导致计算机瘫痪。
三、防火墙技术对于计算机网络安全的重要性
(一)规避网络危险站点的访问
在平常的网络数据传输中需要访问一定的站点,防火墙技术对于危险站点的控制可以有效的规避开一些网络安全问题。防火墙技术在用户获取外网数据时必须通过授权协议来通过防火墙,在其他主机请求数据交换时给计算机提供一定的保护,防火墙技术通过这种方式对危险的项目强行禁止访问,间接降低了计算机内网受到危险攻击的可能性,从而达到保护计算机网络安全的目的。
(二)防火墙技术的集中保护
防火墙技术对于网络安全的集中保护是十分重要的,在计算机的网络内部可以通过将计算机中一些特定软件和附属软件纳入网络防火墙系统中,可以采用集中化的管理模式,这给重要数据和信息提供了一定的保障,计算机网络防火墙技术把一些口令和密码设置到防火墙中,更能确保其计算机网络安全性。
(三)统计不安全的网络访问记录
防火墙可以经过对内外网络之间访问痕迹的记录,将访问数据和传输记录通过网络日志的形式记载,网络访问信息作为重要的数据情报通过对网络攻击的分析,由此做好日后的防范。例如企业的网络风险是由于外部单位所引发的财务和证券风险,这是企业就可以借助防火墙技术有效的规避和预防风险,企业在对网络安全问题有所了解之后就可以积极的采用防范措施阻止外部的恶意访问和进行内部的主动监控,从而将计算机网络安全问题带来的未知风险降到最低。
四、在计算机网络安全中优化防火墙技术的主要措施
(一)在计算机网络安全管理中优化防火墙加密技术
在计算机网络数据交换中可采用加密和处理技术,在信息发送之前可对数据进行集中加密,接收方需要经过验证密码之后才可以解密文件,实现最高安全化的传递信息,减少数据信息的泄漏。
(二)开发更先进的网络安全防火墙身份验证技术
优化网络用户在授权使用中信息发送和接收中的身份识别技术,确保信息在传送中安全有效的传递,减少使用用户可介入的阶段,进一步提升传递信息的稳定性,确保计算机网络安全最大化。
(三)防火墙复合技术的使用
网络安全技术需要多方面的保护,防火墙复合技术就是建立在防火墙与过滤基础上采用更稳定的保护方式,从而弥补现阶段的防火墙技术漏洞。在防火墙技复合术上体现出了防火墙技术的双向性,在计算机网络安全防火墙受到攻击时可以及时的作出防御,能够更有效地避免外网的攻击。
五、结语
综上所述,我们从计算机网络安全的概念、网络安全问题产生的原因、计算机网络安全的重要性以及优化计算机网络防火墙技术四个层面分析,进一步优化防火墙技术结构,确保计算机网络安全,充分发挥防火墙技术的实际价值和其优势,有效防范计算机网络安全问题,健全完善的计算机网络安全保护机制,为计算机网络安全持续发展打下坚实的基础。
参考文献
[1]肖玉梅[1],苏红艳[2].试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013(5):218-218.
[2]姜可[1].浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013(4):178-179.
关键词: 防火墙 种类 技术 实现方法
一、防火墙概述
防火墙,英文名为“Fire Wall”,是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,它对从网络发往计算机的所有数据都进行判断处理,并决定能否把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现对计算机的保护功能。
二、防火墙的种类
世界上没有一种事物是唯一的,防火墙也一样,为了更有效率地对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。
1.软件防火墙
软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序。它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口把网络上传来的各种报文都忠实地交给系统处理,尽管NDIS接收到的仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。
软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,需要占用一部分CPU资源维持工作,因此软件防火墙会使整个系统工作效率和数据吞吐速度有所下降。
2.硬件防火墙
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,其又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装软件防火墙,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。
总之,防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用型”和“状态监视”三类;从结构上可分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置可分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能可分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多,但这只是业界分类方法不同,因此这里主要介绍的是技术方面的分类,即包过滤、应用和状态监视防火墙技术。
三、防火墙技术及其实现方法
传统意义上的防火墙技术分为三大类,即包过滤、应用和状态监视,无论防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展。
1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”。使用包过滤技术的防火墙通常工作在OSI模型中的网络层上,后来发展更新的“动态包过滤”增加了传输层。简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。设置适当的过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就无效。
为了解决这种问题,人们对包过滤技术进行了改进,这种改进后的技术称为“动态包过滤”,与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输。但是动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,与静态包过滤相比运行效率较低。
2.应用技术
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害,因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用”技术的防火墙诞生了。我们都知道,一个完整的设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次工作过程。那么,如果在一台设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明服务器,但是它并不是单纯地在一个设备中嵌入包过滤技术,而是一种被称为“应用协议分析”的新技术。
“应用协议分析”技术工作在OSI模型的应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带有地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了防火墙转向的,当外界数据进入防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则查询这个数据是否带有危害。由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似的数据内容,因此防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。
由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于防火墙采取是机制进行工作,内外部网络之间的通信都需先经过服务器审核,通过后再由服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式渗透内部网络,可以说应用技术是比包过滤技术更完善的防火墙技术。
3.状态监视技术
这是继“包过滤”技术和“应用”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
“状态监视”技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行。这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
关键词:校园网络安全;防火墙;应用分析
中图分类号:TP393.08
广义来讲,网络是信息现代化社会中的基本物质基础,我国在进行教育改革的过程中会应用到网络多媒体技术,因为利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高。我国校园网络是为师生提供良好的教学管理平台和科研平台,为其供给相应宽带多媒体网络,校园网络是学校现代化网络信息教学环境的重要技术基础和物质基础,其是能够科学合理建立校园远程教育体系的有力保证,所以我们应该对校园网络安全防火墙技术有所认知且对相关难题加以解决,以至达到预期教学目的。
1 校园网络信息安全和安全防火墙技术概述
1.1 我国校园网络信息安全的具体含义是指校园网络系统硬件、校园网络系统软件和相关网络系统数据保护等并不会受到偶然外界因素和恶意原因等遭到破坏修改和泄密等且能使整体网络系统正常运行,保证基本网络服务不会被中断。而我们通常所说的防火墙则是指建立在计算机网络边界中对应计算机网络监控系统,使用此种方式来保证计算机网络安全。与此同时计算机网络防火墙是加强计算机内部网络和网络之间的计算机网络安全防御系统,防火墙主要由防火墙硬件设备和防火墙软件设备共同构成。
1.2 从整体计算网路安全防火墙角度而言,校园网络安全防火墙具体功能包括封堵相关计算机网络氛围禁止行为和管理进出计算机网络访问行为以及记录通过计算机网络安全防火墙信息内容等,需要注意的是计算机网络安全防火墙活动信息和计算机网络攻击进行检测以及计算机网络攻击进行告警提示等都属校园网络安全防火墙基本范畴。校园网络安全防火墙技术主要包括过滤计算机网络安全技术和计算机应用技术两种。从实际角度出发可以得出对应结论,实际校园网络安全防火墙产品通常都是上述二者共同结合创造而成的。
2 校园网络安全防火墙技术具体探讨与分析
2.1 校园网络安全防火墙技术之包过滤技术
我们通常所说的校园网络安全防火墙包过滤技术主要是指较为老旧的计算机网络防火墙应用技术,校园计算机网络防火墙包过滤技术发展至今,现已成功做到从计算机网络完全防火墙静态包过滤技术到计算机网络安全防火墙动态包过滤技术的转化。
2.2 校园计算机网络安全防火墙静态包过滤技术
静态包过滤技术相对简单且易于实现,校园计算机网络安全防火墙静态包过滤技术在网关主机TC协议栈和网关主机IP协议栈二者中所具有的的对应IP层增加流程进行具体技术过滤审查过程,之后在此基础上对IP包进栈和IP包转发以及IP包出栈三者进行对均包源地址和均包目的地以及均包端口等进行检测,对相关计算机网络用户可以可与上述内容作出安全问题解决策略。一般较为常见的问题就是对某些计算机网络源地址机制对外访问策略实施和禁止对外部计算机网络目标地址访问等,并在此过程中关闭计算机网络危险端口。图1为校园计算机网络安全防火墙静态包过滤技术系统示意:
图1 校园计算机网络安全防火墙静态包过滤技术系统示意图
2.3 校园计算机网络安全防火墙动态包过滤技术
校园计算机网络安全防火墙动态包过滤技术主要包括一定量的计算机网络安全防火墙静态包过滤技术和动态检查计算机网络系统有效连接状态审查技术,所以在计算机领域又称其为计算机网络安全防火墙状态包过滤技术。需要了解到,状态包过滤技术摒弃了较为传统老套的第一代计算机网络安全防火墙动态包过滤技术,传统计算机网络安全防火墙包过滤技术只是简单基于计算机网络头信息、过滤规则不足可能导致计算机网络安全系统出现安全漏洞,并在此基础上也不会对大型计算机网络管理能力添加动力。SPFs相对于计算机网络安全防火墙包处理规则是以对应动态形式出现的,SPFs技术为技术基础的计算机网络安全防火墙是一个动态计算机网络出入口,就算在同一个计算机网络信息服务端口中,SPFs技术也可根据计算机网络运行状态监测结果进行打开程序操作和关闭程序操作等。SPFs技术可以科学合理地对各个有效连接重要施以监督审查,之后以此为基础,将计算机网络前数据和计算机网络状态信息与在其之前时间多的计算机网络数据包和计算机网络状态信息进行详细比较,换个角度而言,也就是说SPFs技术可以经过严密计算机网络系统算法分析,按照结构实施对应解决策略和解决手段操作,此时可以允许出现数据包通过状态和数据包拒绝通过状态以及加密数据整体显示等多种状态出现。
3 校园计算机网络安全防火墙应用技术
我们通常所说的应用防火墙工作方式与上述基于包过滤校园计算机网络安全防火墙技术不同,因为校园计算机网络安全防火墙应用技术是基于相应软件系统得以运行的。当计算机网络远程用户有与相关计算机运行网关网络连接意向时,此时我们应该运用网关会导致远程联接阻塞的状况发生,之后要会对计算机网络连接请求域中的每一个环节进行详细检查和审核,其中计算机网络请求域主要包括应用协议和用户账号两种。如果此时计算机网络远联接请求符合计算机网络应用要求时,相关应用网关此时就可以向计算机网络外部发出连接请求,换个角度而言,就是说计算机网络应用网关此时为访问中介。较为典型的计算机网络应用网关不可将计算机网络IP数据进行计算机内部网络转发,此时应用自身计算机网络系统作为计算机网络转换器,之后在此基础上计算机网络解释器会完成整个计算机网络访问过程。
4 结束语
综上所述,防火墙技术已是当下我国校园网络安全建设中一项重要组成部分和实施环节,利用网络多媒体技术进行教学可以在提高学生兴趣的同时也使得学习效率有所提高,计算机网络完全防火墙静态包过滤技术和计算机网络安全防火墙应用技术是防火墙技术中两个重要方面。计算机网络技术的迅速普及使得计算机网络技术日渐融入我们工作和生活中以及相关学习方式中。
参考文献:
[1]方胜.防火墙技术在校园网中的应用[J].电脑知识与技术,2005(26).
[2]罗来俊.防火墙技术在校园网中的应用[J].科技广场,2008(10).
[3]张新刚,刘妍.浅析防火墙技术及其在高校校园网中的应用[J].教育信息化,2006(09).
