学术刊物 生活杂志 SCI期刊 文秘服务 出版社 登录/注册 购物车(0) 400-838-9662

首页 > 精品范文 > 防火墙技术论文

防火墙技术论文精品(七篇)

时间:2023-03-16 16:00:57

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇防火墙技术论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

篇(1)

关键词:Internet网路安全防火墙过滤地址转换

1.引言

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。

为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

2.Internet防火墙技术简介

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

1)限定人们从一个特定的控制点进入;

2)限定人们从一个特定的点离开;

3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。

图1防火墙在Internet中的位置

从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:

过滤进、出网络的数据;

管理进、出网络的访问行为;

封堵某些禁止行为;

记录通过防火墙的信息内容和活动;

对网络攻击进行检测和告警。

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。

3.1基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:

1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;

2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

第一代防火墙产品的不足之处十分明显,具体表现为:

路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。

路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。

路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

3.2用户化的防火墙工具套

为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:

1)将过滤功能从路由器中独立出来,并加上审计和告警功能;

2)针对用户需求,提供模块化的软件包;

3)软件可以通过网络发送,用户可以自己动手构造防火墙;

4)与第一代防火墙相比,安全性提高了,价格也降低了。

由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:

配置和维护过程复杂、费时;

对用户的技术要求高;

全软件实现,使用中出现差错的情况很多。

3.3建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操

作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些

特点:

1)是批量上市的专用防火墙产品;

2)包括分组过滤或者借用路由器的分组过滤功能;

3)装有专用的系统,监控所有协议的数据和指令;

4)保护用户编程空间和用户可配置内核参数的设置;

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同

。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:

1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性

无从保证;

2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的

安全性负责;

3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商

的攻击;

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;

5)透明性好,易于使用。

4.第四代防火墙的主要技术及功能

第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。

4.1双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。

4.2透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。

4.3灵活的系统

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。

4.4多级过滤技术

为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。

4.5网络地址转换技术

第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

4.6Internet网关技术

由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。

在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

4.7安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。

SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密

为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

4.9用户定制服务

为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。

4.10审计和告警

第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。

此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。

5.第四代防火墙技术的实现方法

在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。

5.1安全内核的实现

第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:

1)取消危险的系统调用;

2)限制命令的执行权限;

3)取消IP的转发功能;

4)检查每个分组的接口;

5)采用随机连接序号;

6)驻留分组过滤模块;

7)取消动态路由功能;

8)采用多个安全内核。

5.2系统的建立

防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。

在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:

1)源地址;

2)目的地址;

3)时间;

4)同类服务器的最大数量。

所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。

所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。

5.3分组过滤器的设计

作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。

1)进站接口;

2)出站接口;

3)允许的连接;

4)源端口范围;

5)源地址;

6)目的端口的范围等。

对每一种参数的处理都充分体现设计原则和安全政策。

5.4安全服务器的设计

安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。

SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:

1)解决分组过滤器与SSN的连接;

2)支持通过防火墙对SSN的访问;

3)支持服务。

5.5鉴别与加密的考虑

鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。

对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。

6.第四代防火墙的抗攻击能力

作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

6.1抗IP假冒攻击

IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。

6.2抗特洛伊木马攻击

特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。

6.3抗口令字探寻攻击

在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。

第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。

6.4抗网络安全性分析

网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,InternetScanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。

6.5抗邮件诈骗攻击

邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。

7.防火墙技术展望

伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

篇(2)

一、计算机网络的安全与攻击

计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。

二、网络安全中的防火墙技术

(一)防火墙技术的基本概念

防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。

(二)防火墙的常用功能构件

它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。

三、防火墙的应用价值

防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:

(一)技术的价值

技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。

(二)过滤技术的价值

过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。

(三)检测技术的价值

检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。

四、总结

随着计算机网络的使用愈加广泛,网络安全问题也需要重视。而防火墙技术是计算机网络安全的重要保障手段,科学的利用防火墙技术的原理,能够更加合理的阻止各种信息或数据的泄露问题,避免计算机遭到外部的攻击,确保网络环境的安全。将防火墙技术应用于计算机的网络安全方面能够更加有效的根据实际的情况对网络环境进行保护,发挥其自身的作用以实现保护计算机网络安全的目的。

计算机硕士论文参考文献

[1]马利.计算机网络安全中的防火墙技术应用研究[J].信息与电脑,2017,13(35):35.

篇(3)

 

关键词:入侵检测异常检测误用检测

 

在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1 防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。

(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。

因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。

2 入侵检测

2.1 入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2 检测技术

入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3 分类及存在的问题

入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。

3.1 异常检测

又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。

常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面:

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。

阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。

篇(4)

关键词:局域网网络安全

 

一、引言

信息科技的迅速发展,Internet已成为全球重要的信息传播工具。科技论文。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。

二、局域网的安全现状

目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。科技论文。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。

三、局域网安全技术

1、采用防火墙技术。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类:

包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。

应用级防火墙(也称为应用防火墙)在最高的应用层提供高级别的安全防护和控制。

2、网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。

目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。

3、以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。

4、VLAN的划分。运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。

5、隐患扫描。一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。科技论文。

四、网络安全制度

1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。

2、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。

3、实时监控网络用户的行为,保障网络设备自身和网上信息的安全。

4、对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。

五、结束语

网络的开放性决定了局域网安全的脆弱性,而网络技术的不断飞速发展,又给局域网的安全管理增加了技术上的不确定性,目前有效的安全技术可能很快就会过时,在黑客和病毒面前不堪一击。因此,局域网的安全管理不仅要有切实有效的技术手段,严格的管理制度,更要有知识面广,具有学习精神的管理人员。

参考文献

[1]石志国,薛为民,尹浩.《计算机网络安全教程》[M].北京:北方交通大学出版社,2007.

篇(5)

关键词:VPN,多出口,校园网,远程访问,ISP

 

1.校园网问题分析及其解决方案的提出

虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。

近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。

为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。

2.VPN关键技术研究

⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。

⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。

3.基于VPN技术的多出口校园网的设计

3.1 网络结构规划

为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。

图1 网络拓扑图

3.2 网络工作原理

在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。

3.3 技术要点

⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。

⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。

⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。

⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。

4.结束语

多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。

参考文献

[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07

[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11

[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01

[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02

篇(6)

【关键词】计算机网络;信息安全;防火墙;安全技术

随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。

一、计算机网络安全存在的隐患

众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:

1.每一种安全机制都有一定的应用范围和应用

防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。

2.安全工具的使用往往受到人为因素的影响

一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。

3.系统的后门和木马程序

从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

4.只要有程序,就可能存在BUG

任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。

二、计算机网络安全的防护策略

尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:

1.防火墙技术

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

2.数据加密

采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。

3.虚拟专用网(VPN)技术

虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。

4.入侵检测系统

入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。

参考文献:

[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003

篇(7)

关键词:Internet 防火墙系统 设计

一、引言

随着Internet的不断发展和广泛普及,计算机网络的共享性、开放性和互联程度也正在得到不断的扩大,一系列的网络新业务也正在逐渐出现,主要包括数字货币、电子政务、电子商务、网上购物、网上银行等等,网络安全问题也变得愈加值得重视。处理网络安全问题的一个非常关键的途径就是在内部网和外部网之间进行防火墙的设置,所以,研究防火墙技术显得尤为重要。

二、Internet和网络安全问题概述

Internet在刚开始出现的时候是由大学和科研机构应用的,后来逐渐进入到社会的各个行业之中。在当今的信息化时代,Internet已经和人们的日常生活紧密的联系起来,同时,海量的机密信息也正在通过Internet进行传送,在这一大背景下,也出现了许多和Internet相关的网络安全问题。主要包括以下几个方面:

第一,企业不具备较强的网络安全意识。目前企业局域网内部利用的计算机操作系统仍然具备许多不安全的因素,许多高风险的网络服务对外开放,但是并未采取相对完善的网络安全防范方法,从而导致企业的大部分主机面临着潜在的网络安全威胁,为不法侵害人员提供了方便的入口。

第二,网络黑客越来越多。在Internet得到广泛使用的背景下,网络黑客也随之出现,网络黑客已经在国际范围内广泛分布,他们的入侵方式也正在变得更加高明。黑客能够使用在Internet上的众多攻击网络和系统安全漏洞的小程序实现对于网络的攻击,也能够通过众多的专门的黑客站点实现对于网络的攻击。

第三,内部攻击值得关注。在网络安全问题中,内部攻击问题占据着非常巨大的比例,内部攻击者对于网络系统的有用信息比外部攻击者更加掌握,能够更加方便地进行攻击,从而会带来更加严重的攻击后果。然而,网络管理人员通常会忽视这些内部攻击。

三、Internet防火墙系统的总体结构

Internet防火墙系统的总体结构包括两个包过滤路由器和一个堡垒主机,由于这种系统支持应用层和网络层的安全功能,因此,这是一种非常安全的防火墙系统。Internet防火墙系统的堡垒主机中包括WWW、Email、FTP服务器、日志系统、身份认证系统、加密系统。同时,堡垒主机位于外部网和内部网之间。具体来说,Internet防火墙系统的总体结构如下所述。

第一,Internet防火墙系统的第一道防线就是包过滤路由器,这一路由器预先检查进入内部网的通信。同时,包过滤路由器利用包过滤规则来实现数据包的转发或丢弃。包过滤路由器的包过滤规则为:内部网络上的主机对于外部网络可以实现直接访问,而外部网络上的主机只能够限制性的访问内部网络的主机,同时,必须对于源路由选项的数据包和假冒缓冲区内主机地址的数据包进行阻塞设置。

第二,缓冲区(DMZ),这是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。

第三,堡垒主机,这是在内部网和缓冲区之间所设置的网关,内部网和缓冲区之间的所有通信都一定要通过堡垒主机。保证堡垒主机的安全运转可以为Internet和内部网之间的信息交换打下坚实的基础。

第四,堡垒主机连接缓冲区的网卡,为这块网卡配置的IP地址必须和缓冲区内主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。

第五,堡垒主机连接内部网的网卡,为这块网卡配置的IP地址必须和内部网主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。

四、Internet防火墙系统的特点

Internet防火墙系统有利于解决网络安全问题,它的特点如下所述。

第一,非法入侵者为了能入侵内部网一定要突破三个不同的设备,也就是外部路由器、堡垒主机、内部路由器。

第二,因为外部路由器仅仅将堡垒主机的存在通告给外部网,所以,能够确保内部网对外是“不可见”的,与此同时,必须是缓冲区网络上选定的系统才可以向外部网开放。

第三,因为堡垒主机的存在,内部网用户为了实现和外界之间的通信,必须借助于堡垒主机上的系统。

五、结束语

综上所述,本文进行了关于Internet防火墙系统的设计的研究。但是,仅仅依靠防火墙技术来保障网络安全是远远不够的,还必须通过一些其它技术和非技术的因素来进行网络安全的保障,例如,还必须进一步应用信息加密技术、设定适当的网络安全法律法规、增强网络管理使用人员的安全意识等等。希望通过本文的研究,能够为Internet时代的网络安全问题的解决提供一定的借鉴。

参考文献:

[1] 林晓东,杨义先,马严,王仲文. Internet防火墙系统的设计与实现[J]. 通信学报,1998,(01) .

[2] 陈关胜. 防火墙技术现状与发展趋势研究[A]. 信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C],2011

[3] 贾志高,周以琳. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J]. 甘肃科技,2009,(18)

[4] 余志高,周国祥. 入侵检测与防火墙协同应用模型的研究与设计[J]. 网络安全技术与应用,2010,(03) .