防火墙策略定义在网络安全中的应用(推荐5篇)

时间:2019-05-14 01:27:30下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《防火墙策略定义在网络安全中的应用》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《防火墙策略定义在网络安全中的应用》。

第一篇:防火墙策略定义在网络安全中的应用

防火墙策略定义在网络安全中的应用

舒晓1(1.中国石油大学(华东)地球科学与技术学院,山东青岛 266580)

摘 要

本文主要研究了通过配置linux系统主机ipchains防火墙来保护校园网络的方法。这种方法可以将多台教学计算机组成的局域网隐藏于私有网络之中,并通过防火墙提供的网络地址转换功能与互联网连接。同时通过指定的链规则,防止各种危险报文的进入进出,最大化保护网络安全。

关键词

防火墙 包过滤 校园网络 网络安全

随着越来越多的校园网络接入互联网,对其安全进行保护尤其是防止其受到来自黑客的入侵越来越重要。这些攻击具有多种形式,包括信息泄露、木马植入和病毒入侵,其中最危险的一种是入侵并接管主机,并通过被入侵的主机进攻其它目标,通常这种做法可以掩盖黑客的行踪。因此,有效地保护网络安全,防止计算机遭受就变得十分需要。但当这一要求是面对校园网络和校园网络的主体使用者学生时,这一任务就变得极具困难性。众所周知,校内网络教室中计算机所安装的操作系统往往具有很多安全漏洞,这是因为为了教授学生的基本计算机及网络知识,且为了不受限制地访问互联网中大量的资源,往往提供了一个保护性很弱的操作系统环境,这样的机器在教育系统是极为常见的,对于一个缺少足够网络安全知识的尚处于学习阶段的但使用网络教室中电脑连接互联网的学生,其很难应付当前日益严峻的来自互联网的安全挑战,而置于不同安全域之间的访问控制工具——防火墙则被用以解决这一问题。由于防火墙本质上是对互联网安全策略的实现,其自身就是一个策略的执行系统。因此应用防火墙进行网络安全保护最重要的就是配置防火墙并制定有效的安全策略。这一点不仅对于网络管理人员适用,对于使用计算机的学生而言也是适用的。据此,本文首先讨论了当前校园网络遇到的安全问题,随后给出了基本的适用于校园网络的防火墙保护策略。网络安全问题

当前,互联网遭受攻击已经达到了一个相当高的比例,但攻击频率常常难以预测的。但最近一份研究指出这一攻击速率大概是1.5次每秒[1]。这一统计数字进一步证明了主动安全防御计划推进的必要性,即迫切需要构建稳健而可靠的系统对外界的侵扰进行屏蔽或检查。但尽管网络遭受的攻击量难以估计,这些攻击的复杂性是可以预测的。大部分攻击来自现成的可以很容易从互联网上下载得到的探测器。而许多黑客事实上只是未成年学生,出于对黑客的兴趣,它们通过简单的操作使用黑客软件攻击那些网络中十分脆弱的系统。许多攻击是十分明显的,其很容易被追踪到攻击源头。这意味着当前的黑客很少害怕被控告并被法律制裁。但尽管许多攻击都是来自业余计算机水平的爱好者,专业级别的黑客对网络安全仍然构成了巨大的危机,其往往是处于某些商业性的目地而有意地有计划地实施攻击行为。因此,构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。

对易遭受攻击目标的调研指出教育和政府系统是最常被攻击的对象。针对这一问题,美国联邦政府已考虑将其活动独立于当前互联网中,而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说,由于其需要使学生学会应用互联网并从互联网中取得新知识,其不能将自身完全脱离互联网。但另一方面,当前校园网络对安全问题的重视性相比许多大型商业公司十分不够,这一方面是由于网络安全本身的复杂性,许多中小学没有足够的技术能力解决这一问题,另一方面是由于购买专业的防火墙产品所需要的经费不足。因此有必要探索更为合适的防火墙解决策略。防火墙实现及策略定义

2.1 防火墙配置环境

校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的。学生使用的计算机往往存在许多安全漏洞,但学生在上网时往往采用最直接和简单的方式连结到互联网。这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。由于学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境。因此,减少遭受攻击的最简单的方式就是设置私有网络,通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构,同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时,除了校园本身要设置中央防火墙外,内网也应架设独立的防火墙,这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外,因为这种内网的防火墙级别较低,针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标,我们将通过通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的,因此完全无需额外的购买费用,只需要单独使用一台电脑安装linux系统和双网卡。

2.2 防火墙的构建

首先,校内的某个计算机教室组成的局域网要连接到互联网中,那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0(具有公共网络地址202.101.1.2)和card1用于与局域网(c类私有地址192.168.1.0)相连。Linux系统自带有ipchains封包过滤软件,可以通过链(规则列表)实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链[2-3]。对于从互联网进入局域校园网的报文来说,其首先进入输入链经过输入链包含的规则检查,被允许通过或拒绝通过,随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。

2.3 防火墙配置策略

由于我们采用的是linux系统内置的ipchains包过滤软件,对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过,再规定可以通过的报文。第二种是先允许所有报文通过,再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的,其常用的软件和所需的功能对于教师而言十分熟悉,因此我们选择第一种策略。如此,链中包含的规则可以比较少,因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。

首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则,这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则,我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文,其设置如下:

/sbin/ipchains-A input-j DENYi card0-s 192.168.1.1/24 /sbin/ip chains-A output-j DENY-i card0-d 192.168.1.1/24 /sbin/ipchinas-A input-j DENYi card0-d 202.101.1.25/32 随后我们禁止广播包: /sbin/ipchains-A input-j DENYi card1-d 0.0.0.0 /sbin/ipchains-A output-j DENYi card0-s 192.168.1.1/24 /sbin/ipchains-A forward-j ACCEPT-i card0-d 192.168.1.1/24 /sbin/ipchains-A forward-j MASQ-i card1-s 192.168.1.1/24 这一功能可以隐藏局域网的IP地址,即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤,便实现了基本的封包过滤防火墙设置。结论

1.校园局域网络通过基于linux系统的ipchains防火墙连接互联网,通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址,同时还节省了学校宝贵的IP地址资源。

2.构建双宿主机型linux防火墙仅需一台独立的电脑,而无需额外购买昂贵的硬件防火墙,即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的中小学校园来说十分合适。

3.合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统,无论从互联网进入校园局域网的报文会被检查,从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能,有效地保护了网络的安全,实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。

参考文献

[1]赵海全, 曾祥萍.基于linux系统的校园网安全设计方案[J].电脑与信息技术, 2: 41-44.[2]沈伟峰, 陈维钧.基于linux的防火墙的构建[J].微型电脑应用, 2001, 17(1): 11-14.[3]何海宾.基于linux包过滤的防火墙技术及应用[J].电子科技大学学报, 2004, 33(1): 75-78.

第二篇:防火墙在网络安全中作用

防火墙在网络安全中作用

随着信息技术的不断发展和防火墙技术的不断完善,目前先进的防火墙已经能从应用层监测数据,对数据的安全性进行判别。我们称这种防火墙为检测性防火墙,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,能够检测大量来自网络外部的攻击。因此安装了此种防火墙以后如果对于单纯的外部网络攻击是无法导致内部数据泄露的。

据权威机构统计,在针对网络系统的攻击中导致数据泄露,有相当比例是因为来自网络内部攻击,或者内部系统软件、应用软件存在能够入侵的漏洞导致。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。再说,网络本省就是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。另外在对网络管理上也会存在很大的问题,例如网络的使用者对自己账号密码等私人数据管理不严格呆滞泄露,让黑客有机可乘,窃取大量机密数据。这些情况才是网络泄密真正应该注意和避免的问题。

综上所述,如果我们需要避免网络泄密,防火墙只是硬件上一个保障措施,但并不能完完全全的去依赖防火墙。我们还应该做好对整个系统软件,尤其是应用软件的安全策略。例如引入访问控制技术。

访问控制技术也就是通常讲的认证技术。对合法用户进行认证可以防止非法用户获得对信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。

1、身份认证。当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。

2、报文认证。主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没有被修改过。

3、访问授权。主要是确认用户对某资源的访问权限。

4、数字签名与文件加密技术

加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。数字签名是一种使用加密认证电子信息的方法其安全性和有用性主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性,防止秘密数据被

外部窃取、侦听或破坏所采用的主要技术手段之一。按作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

数据传输加密技术。目的是对传输中的数据流加密,常用的方针有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进人TCPAP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。目前最常用的加密技术有对称加密技术和非对称加密技术,对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密方式就是加密和解密所用的密钥不一样,它有一对密钥,称为“公钥”和“私钥”两个,这两上密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。用非对称加密方式进行加密的软件目前最流行的是PGP。

总之,在防火墙配置达到一定水平以后,网络安全上不能再去深究和依赖防火墙,真正需要我们去关注的应该是本身系统与应用程序的安全策略是否达到要求。从这方面出发与防火墙结合才能构建安全的网络环境。

第三篇:警专防火墙技术在网络安全中的应用

山西警官高等专科学校2011届毕业设计

防火墙技术在计算机网络安全中的应用

摘要

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。正是因为安全威胁无处不在,为了解决这个问题,防火墙出现了。防火墙是网络安全的关键技术,是隔离本地网络与外界网络之间的一道防御系统,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境,防火墙是实施网络安全控制的一种必要技术。

本文从防火墙的工作原理,在网络安全中的应用、发展趋势等方面展开论述,表明了防火墙技术在网络安全中的重要作用。对目前计算机网络存在的安全隐患进行了分析,阐述了我国网络安全的现状以及网络安全问题产生的原因,对我国网络安全现状进行了系统分析,并探讨了针对计算机安全隐患的防范策略。

关键词 信息 网络安全 防火墙技术 威胁

山西警官高等专科学校2011届毕业设计

目录

1引言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„3 2我国网络安全的现状„„„„„„„„„„„„„„„„„„„„„„„„„3 2.1研究背景„„„„„„„„„„„„„„„„„„„„„„„„„„3 2.2研究意义„„„„„„„„„„„„„„„„„„„„„„„„„„4 2.3计算机网络面临的威胁„„„„„„„„„„„„„„„„„„„4 3防火墙的概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.1防火墙的概念„„„„„„„„„„„„„„„„„„„„„„„„„„5 3.2防火墙的原理„„„„„„„„„„„„„„„„„„„„„„„„„„„6 3.3防火墙的架构„„„„„„„„„„„„„„„„„„„„„„„„„„6 4 防火墙技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.1包过滤技术„„„„„„„„„„„„„„„„„„„„„„„„„„„„6 4.2代理服务技术„„„„„„„„„„„„„„„„„„„„„„„„„„„7 4.3电路层网关技术„„„„„„„„„„„„„„„„„„„„„„„„„„8 4.4状态检测技术„„„„„„„„„„„„„„„„„„„„„„„„„„„8 5 防火墙各个阶段的特点„„„„„„„„„„„„„„„„„„„„„„„9 5.1静态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„„„9 5.2动态包过滤防火墙„„„„„„„„„„„„„„„„„„„„„„„10 5.3代理应用层网关防火墙(应用层网关、代理应用层网关)„„„„„„„10 5.4自适应代理防火墙„„„„„„„„„„„„„„„„„„„„„„„„10 6防火墙在网络安全防范中技术的缺陷及改进„„„„„„„„„„„„„„„10 6.1防火墙的缺陷„„„„„„„„„„„„„„„„„„„„„„„„„„10 6.2防火墙技术的改进„„„„„„„„„„„„„„„„„„„„„„„„11 7防火墙的发展趋势„„„„„„„„„„„„„„„„„„„„„„„„„„„„13 全文结论„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„16

山西警官高等专科学校2011届毕业设计

1引言

随着Internet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。

网络的飞速发展和普及为人们提供了发布信息、检索信息和相互交流的场所,但同时也带来了信息破坏、信息盗窃和信息泄漏的危险,这就是网络的安全威胁。目前对网络安全的危害主要是两个方面:病毒入侵和黑客攻击,这些危害轻则可能使计算机系统运行不正常,重则可能会给个人、企业,甚至国家带来不可挽回的损失。因此建立网络安全的防范机制对于网络的安全有效运 行是十分必要的,而防火墙技术是我们应用最广、最成熟、最重要的网络安全设备。

2我国网络安全的现状

2.1研究背景

据美国联邦调查局统计,美国每年因网络安全早场的损失达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙呗突破。美国联邦调查局计算机组负责人吉姆·塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张的说:给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。

据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国的大量网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在的风险认识不足,缺乏必要的技术设施和相关的处理经验,面对形势严峻的现状很

山西警官高等专科学校2011届毕业设计

多时候都显得力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。

随着网络的逐步普及,网络安全的问题已日益突出,如同其他社会一样互联网也受到某些无聊之人的困扰。它关系到互联网的进一步发展和普及,甚至关系到互联网的生存。近年来,无论在发达国家还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重危害,目前在互联网上有近80%的用户曾受到过黑客的困扰。而与此同时,更让人不安的是互联网上黑客和病毒的联姻、不断增多的黑客网站,使学习黑客技术、获得黑客攻击工具变得轻而易举。这样,就使原本十分脆弱的互联网越发显得不安全。

2.2研究意义

现在网络的观念已深入人心,越来越多的人们通过网络来了解世界,同时他们也可以通过网络来发布信息,与朋友进行交流和沟通展示自己以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈,时刻威胁着用户上网安全,网络与信息安全已成为当今社会关注的重要问题之一。正是因为安全威胁时刻存在,为了解决这个问题,防火墙出现了。

防火墙是指隔离在本地网络与外界网络的一道防御系统,是这一类防御措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模式,通过它可以隔离风险区域与安全区域的链接,同时不会妨碍人们对风险区域的访问,从而有效的控制用户的上网安全。防火墙是实施网络安全控制的一种必要技术,它是一个或一组系统组成,它在网络之间执行访问控制策略。实现它的实际方式各不相同,但原则上防火墙可以被认为是这样同一种机制:阻拦不安全传输流,允许安全的传输流通过。随着时代的发展和科技的进步,防火墙功能日益完善和强大,但面对日益增多的网络安全威胁,防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

2.3计算机网络面临的威胁

对于网络安全性,可以通过甲、乙两个用户在计算机网络上的通信来考虑计算机网络面临的威胁,主要有以下几种情况:

(1)信息泄露 当甲通过网络与乙进行通信时,如果不采取任何保密措施,那

山西警官高等专科学校2011届毕业设计

么其他人就与可能偷看 到他们的通信内容。

(2)识别 对于进入计算机网络系统的用户,系统必须检验其合法性。如果不是系统的合法用户,系统将不给予服务。因此系统要有“身份识别的功能”。

(3)假冒 甲和乙是系统的合法用户,网络为他们提供应有的服务。丙也想获得这些服务,于是 丙系统发出:“我是乙”系统怎么才能识别这一服务请求不是由乙发出的。而是假冒的呢?

(4)篡改乙给甲发了如下一份文报:“请给丁汇100元钱。乙”。文报在转发过程中经过了丙的手。丙就把“丁”改成了“丙”。

(5)恶意程序的攻击 除了上述用户之间通信中的信息安全问题外,网络本身也容易遭受一些恶意程序(rogue program)的攻击。恶意程序种类繁多,对网络安全威胁较大主要有以下几种:计算机病毒、计算机蠕虫特洛伊木马逻辑炸弹。这里所说的计算机病毒是侠义的也有人把所有的恶意程序指为计算机病毒。目前,计算机病毒被分为3大类型,即分区病毒、文件病毒和宏病毒。

人为威胁源有两种,一种是指计算机黑客闯入用户的网络计算机系统,我们把他称为外部危险;一种来自系统的内部,我们把它称为内部危险。

(1)网络内部危险包括一下几个方面:设计安全过程中,没有考虑员工和公司之间的关系。网络安全需要花费管理人员的精力来维护和实施,造成经费的增加。网络安全主要来自企业内部松懈的、甚至完全不存在的安全措施。用户对限制访问的安全策略有抵触情绪、不遵守安全标准。

(2)外部危险,网络外部危险包括一下几个方面,窃取机密信息,向外部透露敏感信息,非法访问网络服务程序和资源,干扰网络正常服务,故意损坏、修改和删除数据,窃取或损坏硬件和软件。防火墙的概述

3.1防火墙的概念

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,山西警官高等专科学校2011届毕业设计

且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

3.2防火墙的原理

随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏DMZ外网和内部局域网的防火墙系统。

3.3防火墙的架构

防火墙产品的三代体系架构主要为:

山西警官高等专科学校2011届毕业设计 的 IP 包,它只允许与指定的 IP 地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。信息过滤规则是以其所收到的数据包头信息为基础,包头信息中包括 IP源地址,IP目标端地址、封装协议类型等。当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,起到了保护内部网络的作用。4.1.1过滤规则

过滤规则一般包过滤规则如下:(1)过滤规则序号 FRNO(Filter rule Number),它决定过滤算法执行时过滤规则排列的 顺序。(2)过滤方式(Action)包括允许(Allow)和阻止(Block)。(3)源IP地址SIP(Source IP address)。18(4)源端口SP(Source Port)。(5)目的IP地址 DIP(Destination IP address)。(6)目的端口 DP(Destination Port)。(7)协议标志 PF(Protocol Flags)。(8)最后一项是注释(Comment)。4.1.2包过滤规则的制定过程包过滤规则的制定过程

(1)确定自己的安全需求及包过滤规则要达到的安全目标,明确什么是应该和不应该被允许的,然后制定合适的安全策略。

(2)必须正式规定允许的包类型、包字段的逻辑表达。(3)必须用防火墙支持的语法重写表达式。4.1.3包过滤策略

包过滤路由器根据过滤规则来过滤基于标准的数据包,完成包过滤功能。这里主要从以下几个方面来考虑包过滤策略:

(1)包过滤控制点(2)包过滤操作过程(3)包过滤规则

(4)防止不安全设计的措施(5)对特定协议包的过滤。

4.2代理服务技术

代理服务是运行在防火墙主机上的专门的应用程序,它位于内部网络上的用户和外部网上的服务之间,内部用户和外部网服务彼此不能直接通信,只能分别

山西警官高等专科学校2011届毕业设计

与代理打交道。代理负责接收外部网服务请求,再把它们转发到具体的服务中。代理服务防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接,为安全性提供了额外的保证,使得从内部发动攻击的可能性大大减少。例如,一个公司决定将一个Telnet服务器作为主机,以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下:

(1)有一个用户通过 23端口 Telnet 到这个代理服务器上。屏蔽设备检测这个连接的源 IP地址是否在允许的源地址列表中。如果在的话,就对该连接进行下一步的处理;如果不在的话,则拒绝该次连接。

(2)提示用户进行身份验证。

(3)在通过了身份验证后,系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。

(4)用户选择要连接的系统。

(5)如果有要求,系统会提示用户再输入另外的身份验证信息。

4.3电路层网关技术

电路层网关的运行方式与代理服务器相似,它把数据包提交给应用层过滤,并只依赖19于TCP的连接。它遵循 SOCKS协议,即电路层网关的标准。它是在网络的传输层实施访问策略,是在内部网和外部网之间建立一个虚拟电路进行通信。电路层网关的工作过程如下:

(1)假设有一个用户正在试图和一个目的URL进行连接。

(2)该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部上。

(3)如果需要身份验证的话,网关就会提示用户进行身份验证。

(4)如果用户通过了身份验证的话,代理服务器就会执行一些另外的任务,然后代理服务器为目的 URL发出一个 DNS请求,接着它再用自己的源 IP 地址和目的 IP地址建立一个连接。

(5)代理服务器将 Web服务器上的应答转发给客户。

4.4状态检测技术

状态检测技术是包过滤技术的延伸,使用各种状态表(state tables)来追踪

山西警官高等专科学校2011届毕业设计

活跃的 TCP会话。由用户定义的访问控制列表(ACL)决定允许建立哪些会话(session),只有与活跃会话相关联的数据才能穿过防火墙。状态检测技术防火墙的工作过程如下:

(1)防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。

(2)根据所使用的协议,决定对数据包的检查程度。

(3)如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包是否与它所配置的规则集相匹配。

(4)在数据包检测后,防火墙就会将该数据包转发到它的目的地址,并且防火墙会在其连接表中为此次对话创建或者更新一个连接项,防火墙将使用这个连接项对返回的数据包进行校验。

(5)防火墙通常对 TCP包中被设置的 FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项。状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中,它的速度和灵活性没有包过滤机制好,但比代理服务技术好。它的应用级安全不如代理服务技术强,但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。防火墙各个阶段的特点

防火墙技术经历了以下几个阶段:

5.1静态包过滤防火墙

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的 IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透

山西警官高等专科学校2011届毕业设计

明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序 IP 地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。

5.2动态包过滤防火墙

静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

5.3代理应用层网关防火墙(应用层网关、代理应用层网关)这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包 经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的 作用。由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻 击方式入侵内部网。

5.4自适应代理防火墙

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。防火墙在网络安全防范中技术的缺陷及改进

6.1防火墙的缺陷

山西警官高等专科学校2011届毕业设计

防火墙在网络安全防护中起着举足轻重的作用,但是它不是万能的,它仍然存在有它的局限性和不足。

(1)防火墙不能防范不经过它的攻击。

(2)防火墙不能防范来自内部网络的攻击。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,例如外来入侵者一旦进入了内部网络,它将成为内部人员,在内部网络中实施攻击,而此时防火墙是无能为力的。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址,传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。

(3)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。

(4)网络提供的服务应是便捷、灵活、可用的,但是为了较高的网络安全性,防火墙限制和关闭了一些存在有安全隐患的网络服务;此外,从网络安全的角度出发,必须对网络活动加以监控和管理,而这些是以开销一部分的网络资源来完成的。因此,高效的网络服务与完全的网络安全是矛盾的,如何找到一个合适的平衡点,防火墙的部署与设置仍是一个难题。

(5)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。

(6)防火墙不能防范受到病毒感染的文件、软件。

(7)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件 就目前而言,要完成这种深度检测仍是十分困难的。

6.2防火墙技术的改进

防火墙是不同网络或网络安全区域之间信息的唯一出入口,能根据既已设定的安全策略来控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。单纯的

山西警官高等专科学校2011届毕业设计

防火墙技术,就是对网络数 据流的控制处理过程,但是这种简单的处理方式已经远远不能满足日益增长的信息安全要求。在论文中,将防火墙的概念、发展、分类与功能做一详尽地阐述,并给出了各阶段关键技术的研究与实现,所做主要工作、技术难点与创新处如下:

(1)防火墙的体系结构,应该是全面面向资源的结构模块化设计,对不同对象的具体的组成资源,直接进行控制,这样极大的提高了安全性,并保证了配置的方便性。系统按纵向结构进行层次化设计,包括表示层、执行层、中心数据库、数据库操纵层、数据及意外处理控制层和应用程序层;同时,系统按横向进行了高度的功能模块化设计,这种高智能、高度模块化的设计,使得软件结构极为清晰合理,极易维护和升级,并且提供了高质量,极易获得升级服务的软件系统。

(2)防火墙的数据流控制技术采用最先进的状态包过滤技术。根据状态包过滤的思路,在核心中维护一个连接链表,记录着相应连接的状态,对请求建立连接的数据包进行更细粒度的检查,检查通过后记录到状态链表中,从而对后续的或是关联的数据包只需检查其是否属于已建立的连接,不需全部进行规则匹配,经过这样的状态处理机制后不仅使安全性得到加强,同时也大大提高了包转发效率。

(3)搭建高效日志处理平台,使之能够处理海量的日志。大多数防火墙使用的日志框架对于处理海量日志和高效分析日志来说是空白的,因此一般都设置另外一台单独的日志服务器,但是优化的日志处理平台可以处理2G以上的日志文件。

(4)网络安全体系,应该提供可靠的检测性和防御性的工具,以使当攻击者试图攻击受防火墙设备保护的网络时,能查明和阻挡其达到上述目的的企图。

(5)对数据包头分析过滤,采用正则表达式的模式匹配算法,对一些高层应用进行限制。

(6)防火墙高可用性(HighAvailable)的实现。在同一个网络节点使用两个配置相同的防火墙,使用直连线互通。正常情况下一个处于工作状态,为主机(Primary),另一个处于备份状态(Second)为从机。当主机发生意外死机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从机代替主机正常工

山西警官高等专科学校2011届毕业设计

作,从而保证了网络的正常使用。切换过程不需要人为操作和其它系统的参与,并且主防火墙恢复使用功能后,从防火墙自动将控制权交回主防火墙,保证网络更安全,更高效。

7防火墙的发展趋势

随着计算机技术的发展,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体的应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙开发商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度来看,基于网络处理器的防火墙也是基于软件的解决方案。它需要很大程度上依赖于软件的性能,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙性能好上许多。

山西警官高等专科学校2011届毕业设计

全 文 结 论

经过两个月的努力,终于完成了本论文,从当初领到论文题目到最后一个模块的完成,经历了无数次的修改总结,感觉到平时学的知识是多么的浅薄,给自己敲响了警钟,有了努力工作的方向。

通过这次写论文,真真切切地了解到网络是多么的方便,遇到什么问题上网一查基本都能查到,然后经过自己的修改学习变成自己的东西,互相学习才能共同提高共同进步。

本次毕业论文是工作前一次很好的自我锻炼和实践的机会,是培养独立思考问题和自学能力的锻炼,使我意识到必须努力学习才能在工作中体现价值适应社会的需要。所以一定要好好学习。

山西警官高等专科学校2011届毕业设计

参 考 文 献

[1] 朱雁辉《WLNDOWS 防火墙与网络技术》电子工业出版社 2002年4月; [2] 袁家政《计算机网络安全与应用技术》清华大学出版社 2002年5月; [3] 胡道元《计算机网络》清华大学出版社 1999年1月;

[4] 谢希仁《计算机网络工程基础》电子工业出版社 2002年5月; [5] 刑钧《网络安全与防火墙技术》电子科技大学出版社 2004年3月; [6] 石彦杰《计算机网络系统集成技术》高等教育出版社 2006年2月; [7] 马程《防火墙在网络安全中的应用》甘肃科技 2007年4月。

山西警官高等专科学校2011届毕业设计

致 谢

经过了两个月的努力我完成了题目为:防火墙技术在计算机网络安全中的应用。本次论文能够顺利完成,首先要感谢李丽蓉指导老师,她自始至终都给予我很大的帮助,对我设计的每一个计划都提出了至关重要的建议,使我少走弯路,节省了大量时间,可以说这篇论文汇聚了指导老师大量的心血。

另外,还要感谢出版书籍的老师们,他们把这么多有用的知识编辑成书,使我能从书本中轻易地找到自己所需要的内容来完成本论文。

再一次,我向所有帮助我完成这篇论文的人表示由衷感谢。

山西警官高等专科学校2011届毕业设计

指 导 老 师 评 语

第四篇:防火墙技术在电子商务中的应用

防火墙技术在电子商务中的应用

目 录

目录............................................................................(1)内容摘要.........................................................................(2)关键词..........................................................................(2)正文............................................................................(2)

一、电子商务的概念及交易问题.....................................................(2)

(一)、什么是电子商务............................................................(2)(二)、电子商务的交易过程.................................................(2)

二、电子商务中的信息安全问题、特性及威胁...............................(3)(一)、电子交易的安全概念、安全特性.........................................(3)

(二)、电子商务中的信息安全问题及威胁.....................................(4)

三、防火墙的技术与体系结构.............................................(6)

四、防火墙的简介与使用的益处.........................................(6)

五、防火墙常用技术和性能......................................................(11)

六、结论........................................................................(14)参考文献........................................................................(14)

浅谈防火墙技术在电子商务中的应用

内容摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术,讨论了建立网上安全信任机制的基础。

关键词:防火墙

电子商务

应用 正文:

一、电子商务的概念及交易问题(一)什么是电子商务

电子商务源于英文Electronic Commerce,简写为EC。是指一个机构利用信息和技术手段,改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系,从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务;本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下,电子商务的含义已不仅仅是单纯的电子购物,电子商务以数据(包括文本、声音和图像)的电子处理和传输为基础,包含了许多不同的活动(如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务)。它涉及产品(消费品和工业品)和服务(信息服务、财务与法律服务);它包含了使用Internet和Web技术进行的所有的商务活动。

(二)、电子商务的交易过程

企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。

(1)交易前的准备

买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品,准备购货款,制订购货计划,进行货源的市场调查和分析,反复进行市场查询,通过交换信息来比较价格和条件,了解各个卖方国家的贸易政策,反复修改购货计划和进货计划,确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划,再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品,进行全面的市场调查和分析,了解各个买方国家的贸易政策,制订各种销售策略和销售方式,制作广告进行宣传,召开商品新闻发布会,利用Internet和各种电子商务网络发布商品广告等手段扩大影响,寻找贸易伙伴和交易机会,扩大贸易范围和商品所占市场的份额。

参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等,买卖双方都少不了要为电子商务交易做好准备。

(2)交易谈判和签订贸易合同

买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判,将双方磋商的结果做成文件,即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法,经过认真谈判和磋商后,将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定,合同双方可以利用电子数据交换(EDI)进行签约,也可以通过数字签名等方式签约。

(3)办理交易进行前的手续

买卖双方从签订合同到开始履行合同要办理各种手续,这也是双方在交易前的准备过程。交易中要涉及到有关各方,即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换,直到办理完一切手续、商品开始发货为止。

(4)交易合同的履行和索赔

这一阶段是从买卖双方办完所有各种手续之后开始,卖方要备货、组货,进行报关、保险、取证、信用卡等手续,然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物,金融机构和银行也按照合同,处理双方收付款、并进行结算,出具相应的银行单据等,当买方收到所购的商品,整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时,需要进行违约处理的工作,受损方按贸易合同有关条款向违约方进行索赔。

二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性

电子商务安全是一个系统概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面:(1)有效性,因为交易对于交易双方都是一件十分严肃的事情,双方都对交易的信息认可。(2)保密性,即要求交易的信息只有交易双方知道,第三方不能通过网络获得。(3)完整性,包括过程的完整和数据资料的完整。(4)交易者身份的确定性,这是信用的前提。(5)交易的不可否认性,要求在交易信息的传输过程中为参与交易的个人,企业和国家提供可靠的标识。数据的安全主要包括数据的完整,不受损坏,不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换,保证交易不得中断。

虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?

防火墙可以保证对主机和应用安全访问,保证多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。

与传统商务相比,电子商务具有许多特点:

其一,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。

其二,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。

其三,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。

(二)、电子商务中的信息安全问题及威胁

1、电子商务的安全问题。总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安 全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕 传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。

在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:

(1)窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

(2).恶意代码。它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet 的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大。

(3)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

(4)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

(5)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。

(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。

(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。

(3)攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DOS)攻击。a.探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。c.DOS 攻击可以防止用户对于部分或者全部计算机系统的访问。

(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。

(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。

因此,随着电子商务日益发展和普及,安全问题显得异常突出,解决安全问题已成为我国电子商务发展的当务之急。

三、防火墙的技术与体系结构

(一)、什么是防火墙

防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰,防止内部受到外部的非法攻击。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。

(二)、使用防火墙的益处

(1)保护脆弱的服务

通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。

(2)集中的安全管理

防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

(3)控制对系统的访问

防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。

(4)策略执行

防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。

(5)增强的保密性

使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。防火墙可以提供统计数据,来判断可能的攻击和探测。并且,防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据。

四、防火墙的简介与使用的益处

(一)、防火墙的简介

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。

防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。

一般来说,配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量,但允许内网用户更自由的与外部交流。

防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能;它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”,因为阻止点在网络中的作用相当于警卫保卫财产。

从理论上说,有两种类型的防火墙:应用层防火墙和网络层防火墙

它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织(ISO)开放系统互联(OSI)模型把网络分成七层,每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低,防火墙的检查就越少。

(1)应用层防火墙

应用层防火墙通常是代理服务器运行的主机,它不允许网络之间直接的流量,并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件,所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换,是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入,另一边出去。

在某些情况下,有一个应用程序的方式可能会影响防火墙的性能,并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明,并且还可能需要进行一些培训。然而,许多现代应用层防火墙是完全透明的。与网络层防火墙相比,应用层防火墙趋于提供更细化的审计报告,实行更保守的安全模型。

(2)网络层防火墙

这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙,因为它不能做出复杂的判断,如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多,并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过,因此在使用时,你需要一个有效分配的IP地址块,或者是专用网络地址块。网络层防火墙的发展很迅速,对于用户来说几乎是透明的。

未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息,应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测,也可以是软件类型,软件在电脑上运行并监控,其实硬件型也就是芯片里固化了的软件,但是它不占用计算机CPU处理时间,可以功能作的非常强大处理速度很快,对于个人用户来说软件型更加方便实在。

(二)、防火墙的体系结构

防火墙对于企业网络的防御系统来说,是一个不可缺少的基础设施。在选择防火墙防火墙时,我们首先考虑的就是需要一个什么结构的产品,防火墙发展到今天,很多产品已经越来越象是一个网络安全的工具箱,工具的多少固然很重要,但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。

防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术,从实现上分,又可以分为简单包过滤和状态检测的包过滤两种。

简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果你已经有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,在99年以前国外的防火墙市场上就已经不存在了,但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术,从这点上可以说,国内产品的平均技术水准至少比国外落后2到3年。

状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。

顺便提一下免费软件中的包过滤技术,比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析,虽然它们提供了对TCP状态位的检查,但是由于没有跟踪TCP的状态,所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table,从其名称就可以看出,它在进行过滤时建立了一个用来记录状态信息的Table,已经具备了状态检测技术的基本特征。

包过滤结构的最大的优点是部署容易,对应用透明。一个产品如果保护功能十分强大,但是不能加到你的网络中去,那么这个产品所提供的保护就毫无意义,而包过滤产品则很容易安装到用户所需要控制的网络节点上,对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙,由于采用了网桥技术,几乎可以部署在任何的以太网线路上,而完全不需要改动原来的拓扑结构。

包过滤的另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。

但是对于防火墙产品来说,毕竟安全是首要的因素,包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护,而大量的网络攻击是利用应用系统的漏洞实现的。

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,最初的代表是TIS工具包,现在这个工具包也可以在网络上免费得到,它是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能直接与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。

对于使用代理防火墙的用户来说,在得到安全性的同时,用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性,这个缺陷几乎可以说是天生的,因为它只有位于应用会话的中间环节,才会对会话进行控制,而几乎所有的应用协议在设计时都不

认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合,需要为每一个支持的应用协议实现专门的功能,所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议,要么放弃防火墙,要么放弃应用。特别是在一个复杂的分布计算的网络环境下,几乎无法成功的部署一个代理结构的防火墙,而这种情况在企业内部网进行安全区域分割是尤其明显。

代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上,其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说,这是很难接受的性能。

代理防火墙的技术发展远没有包过滤技术活跃,比较一下几年以前的TIS和现在的代理类型的商用产品,在核心技术上几乎没有什么变化,变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性,很多代理防火墙同时也提供了状态检测包过滤的能力,当用户遇到防火墙不能支持的应用协议时,就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起,所以混合型的产品通常更难于配置,也很难真正的结合两者的长处。

状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势,演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构,其基本的原理是在防火墙外部仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能。

“流过滤”的另一个优势在于性能,完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说,消耗资源更少而且更加高效,如果你需要一个能够支持几千个,甚至数万个并发访问,同时又有相当于代理技术的应用层防护能力的系统,“流过滤”结构几乎是唯一的选择。

防火墙技术发展这么多年,已经成为了网络安全中最为成熟的技术,是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过,事实上,任何一个

安全产品或技术都不能提供永远的安全,因为网络在变化,应用在变化,入侵的手段在变化。对于防火墙来说,技术的不断进步才是真实的保障。

五、防火墙常用技术和性能

(一)、防火墙的四种基本类型

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。

(1)、包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

(2)、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。

网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

(3)、代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

(4)、监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

(二)、防火墙的选择

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:(1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

(2)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

(3)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

(4)可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

(5)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

六、结论

随着电子商务的不断发展,安全是保证电子商务健康有序发展的关键因素,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。

七、参考文献

1、《电子商务》 翟才喜 杨敬杰主编 东北财经大学出版社 2002.2

2、《中国电子商务年鉴》2003 卷

第五篇:计算机防火墙与应用——网络安全技术.论文

防火墙原理与应用—网络安全技术论文

摘要

计算机网络安全已经成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒,计算机黑客攻击等问题。网络安全问题有其先天的脆弱性,黑客攻击的严重性,网络杀手集团性和破坏手段的多无性,解决网络安全问题重要手段就是防火墙技术。走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径之一。防火墙技术的核心思想是在不安全的网际网络环境中构造一个相对安全的子网环境。本文重点介绍防火墙技术的基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packet filtering),它是代表是在应用层网关上实现的防火墙功能。

关键词:网络安全;防火墙;技术;功能 前言

随着网络技术的普遍推广,电子商务的展开,实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足,日益庞大的网络用户群同样需要掌握网络安全知识。由于在早起网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐是Internet自身安全受到严重威胁,与它有关的安全事故屡次发生,一些黑客把先进的计算机网络技术,当成一种犯罪的工具,不仅影响到了网络稳定运行和用户正常使用,造成许多经济损失,而且还会威胁到国家的安全,一些国家的机密被黑客破坏造成网络瘫痪。如何更有效的保护重要的信息数据,极高计算机网络安全性已经成为世界各国共同关注的话题,防火墙可以提供增强网络的安全性,是当今网络系统最基础设施,侧重干网络层安全,对于从事网络建设与管理工作而言,充分发挥防火墙的安全防护功能和网络管理功能只管重要。

1防火墙概述

1.1在计算机法网络中,防火墙是指一种将内部网和公众访问网分开的方法,它实际是一种隔离技术,它允许“可以访问”的人和数据进入网络,同时将“不允许访问”的人和数据拒之门外,最大限度的阻止网络中的和尅来访问网络,如果不能通过防火墙,人们就无法访问Internet,夜无法和其他人进行通讯,它具有较强的抗攻击能力,提供信息安全服务,实现网络和信息安全的基础建设。

1.2防火墙的功能 防火墙的访问控制功能;访问控制功能是防火墙设备的最基本功能,其作用就对经过防火墙的所有通信进行连通或阻断的安全控制,以实现连接到防火墙的各个网段的边界安全性,为实施访问控制功能过滤,如电子邮件附件的文件类型可以等可以将IP与MAC地址绑定以防止盗用IP的现象发生,可以对上网时间段进行控制,不同时段执行不同的安全策略,防火墙的访问控制采用两种基本策略,即“黑名单”策略和“白名单”策略,指除了规则允许的访问,其他的都是禁止的,至此一定的安全策略,过滤掉不安全服务和非法用户,利用网络地址转换技术将有限的IP地址动态或静态地址与内部IP地址对应起来,用来环节地址空间短缺的问题。可以连接到一个单独的网络上,在物理上与美不网络隔离开并部署WWW服务器和FTP服务器,作为向外部外发内部信息的地点。防火墙支持用户基于用户身份的网络访问控制,不仅具有内置的用户管理及认证接口,同时夜支持用户进行外部身份证认证。防火墙可以根据用户认证的情况动态地址调整安全策略实现用户对网络的授权访问。1.3 防火墙技术

按照实现技术分类防火墙的基本类型有:包过滤型,代理服务器和状态包过滤型。包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制,它在控制哪些数据包可以进出网络哪些数据包应被网络拒绝。包过滤是一种有效的安全手段。它在网络层和传输层其作用,它根据分组数据包的源宿地址断及协议类型,来确定是否允许分组包通过,包过滤的有点是它对用户是透明的,处理速度快且易维护,通常作为第一道防线。

代理服务技术:代理服务系统一般安装运行在双宿主机上,使外部网络无法了解内部网络的拓展,比包过滤防火墙安全,由于安全性能较高,所以是使用较多的防火墙技术代理服务软件运行在一台主机上构成代理服务器,负责客户的请求,根据安全规则判断这个请求是否允许,如果允许才能传给真正的防火墙。代理系统是客户机和真实服务器之间的中介,完全控制客户机和真实服务器之间的流量并对流量情况加以记录,它具有灵活性和安全性,但可能影响网络的性对多用户的透明,且对每一个服务器都要设计一个代理模块,建立应对的网关层实现起来比较复杂。

代理技术的优点:1提供的安全级高于包过滤型防火墙。2.代理服务型防火墙可以配置成唯一的可被外部看见的主机,以保护内部主机免收外部攻击。3.可能强制执行用户认证。4.代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志。1.4 防火墙系统的优点

可以对网络安全进行集中控制和管理;防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担分险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上在机构上形成了一个控制中心,大大加强了网络安全性,并简化了网络管理。由于防火墙在结构上的特殊位置,使其方便的提供了监视管理与审计网络的使用及预警卫解决IP的地址危机提供了可行方案,防火墙系统则正处于设置网络地址转换MAT的最佳位置,MAT有助于缓和IP地址空间不足,并使得一个结构改变Internet服务提供商时而不必重新编址。防火墙系统可以作为Internet信息服务器的安装地点,对外发布信息。新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边,但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。

1.5.防火墙系统的局限性

防火墙系统存在着如下局限性:常常需要有特殊的较为封闭的网络拓展结构来支持,对网络安全功能的加强往往以网络服务的灵活性,多样性和开放性卫代价。防火墙系统的防范对象来自外部对内部的网络攻击,而不能防范不经有防火墙的攻击。比如通过SLIP和PPP的拨号攻击,绕过了防火墙系统而直接拨号进入内部网络,防火墙多这样的攻击很难防范。防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。

结束语 网络的迅速发展,给我们的工作和生活带来了巨大的改变。在网络日益复杂化,多样化的今天,安全受到人们越来越多的关注。如何保护各类网络和信息的安全,成为人们研究的焦点,其中防火墙是运用非常广泛和效果做好的选择。但是,防火墙技术也有它的不足之处,为了更好的维护网络安全,还需要其他的技术相结合,以及更先进的技术发现。

参考文献

[1]邓亚平.计算机网络安全[M].北京:北京人民邮电出版社.2004.50—75.[2]冯 元.计算机网络安全基础[M].北京:科学出版社.2004.120—150.[3]穆红涛.Internet实用技术[M].北京:大连理工大学出版社.2005.150—198.[4]张仕斌.网络安全技术[M].北京:清华大学出版社.2001.17—38.[5]梁亚声.计算机网络安全教程[M].北京:机械工业出版社.2004.110—187.致谢

大学生活一晃而过,回首走过的岁月,心中倍感充实,首先诚挚的感谢我的论文指导老师王红卫老师。他在忙碌的教学工作中抽出时间来审查、修改我的论文。还有教过我的所有老师们,你们严谨细致、一丝不苟的作风一直是我工作、学习中的榜样;他们循循循善诱的教导和不拘一格的思路给予我无尽的启迪。

感谢大学中中陪伴在我身拜年的同学、朋友、感谢他们为我提出的有意的建议和意见,有了他们的支持、鼓励和帮助,我才能充实的度过大学的学习生活。

下载防火墙策略定义在网络安全中的应用(推荐5篇)word格式文档
下载防火墙策略定义在网络安全中的应用(推荐5篇).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    防火墙技术在网络安全的应用研究

    防火墙技术在网络安全的应用研究 摘要:随着互联网信息技术的高速发展,网络技术已经被广泛运用到各个领域。但是,目前随着个人网络技术水平的提高,有许多非法的组织或者个人,通过......

    防火墙技术在计算机网络安全中的运用分析

    防火墙技术在计算机网络安全中的运用分析 【摘 要】随着现代化科学技术的快速发展,计算机网络被广泛的应用在各个领域,逐渐人们生活、工作和学习中不可或缺的重要工具。但是计......

    现代网络安全及防火墙毕业论文

    摘要 随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性......

    计算机网络安全中的防火墙技术应用研究

    参考文献: 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,:25. 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,:28-30. 戴......

    Linux防火墙下的应用策略路由

    Linux防火墙下的应用策略路由假设,网络中有两个外部接口,IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略,将......

    浅谈办公网络中防火墙的应用

    浅谈办公网络中防火墙的应用 作者:未知 文章来源:网络 点击数:80 更新时间:2008-6-23 发表文章 全站搜索 收藏本文 QQ书签 百度收藏摘要: 随着时代的发展,Internet日益普及,网络已......

    防火墙技术在企业财务管理系统中的应用

    防火墙技术在企业财务管理系统中的应用 2010-06-10 09:02:02 作者:韩晓 来源:万方数据 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成......

    浅析计算机网络安全和防火墙技术 论文

    JIU JIANG UNIVERSITY 毕 业 论 文 题 目: 浅析计算机网络安全和防火墙技术 院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名:年 级: 指导老师 : 二零一一年十一月二......