第一篇:全面解析Web应用防火墙的价值和优越性
全面解析Web应用防火墙的价值和优越性
WEB应用的重要性随着互联网技术的发展,WEB应用越来越受到业务系统的重视,WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。WAF的价值WEB价值重点体现在门户网站的时代时,我们所面临的安全威胁主要源自网站被黑或者网站被篡改,因此网页防篡改技术得到成长并大量使用。应用推运系统架构革新,而系统架构的和革新推动安全技术的发展。Web应用防火墙也不例外,也是在现有WEB防护技术力日益无法满足业务的新需求时诞生的。如果说防篡改软件是一种基于文件管理的被动办法,那么WAF则是从安全的本质出发,对威胁进行主动防御,并对WEB应用进行性能优化的最佳方案。简单将防篡改软件理解为是文件恢复管理,而WAF则是分析处理不安全的访问行为,这些不安全的行为包括网页篡改事件、信息泄漏事件、信息窃取事件、信息失效事件等。在中国WEB应用环境下的WAF通常也会具有网页防篡改的客户端,功能和市面的网页防篡改软件几乎相同。WAF以独立的硬件网关存在,其部署和使用过程中不需要对原有的WEB服务器作任何的调整,并且WAF本身支持多种部署方式,例如透明网桥模式的部署不需对网络进行任何调整。与IPS相比Web应用防火墙可谓是专注于WEB应用的IPS,与传统的IPS不同,Web应用防火墙在特征匹配方面的粒度更细,至少可以精确到如下几个节点:对协议的全面理解以及协议规范性检查请求头关键字段的识别和特征匹配,从而降低误判响应头敏感信息的处理防止服务器指纹泄露响应体特征匹配,屏蔽敏感信息泄露针对单个请求,基于单个URL的匹配最大程度确认业务系统的可用性WAF的优越性Web应用防火墙技术架构上最佳方案是采用代理技术实现,然而标准的代理技术应用到Web应用防火墙时却存在一个先天的不足。代理技术会中断业务请求,因此部署Web应用防火墙需要调整现有业务架构或网络数据走向。另一方面代理技术存在性能瓶颈,难在胜任大型的业务系统。安恒信息采用内核级代理技术解决了部署全透明和性能两个技术瓶颈,是国内首创的全透明Web应用防火墙,并成功应用于诸多网上银行、运营商BOSS系统、电子政务等核心业务系统。Web应用防火墙采用基于特征库的防御技术进行防护,而特征库技术只能解决通用的,已知的攻击行为。而WEB应用系统千差万别,仅采用通用特征库不仅防护效果不佳,而且可能会因为代码的原因导致误判,从而影响业务系统的可用性。因此安恒Web应用防火墙中加入了异常检测引擎用于提高防护能力,降低误判率。异常检测技术可以用一个下面这个例子进行说明:安全检测好比闭路电视监控系统,基于特征的检测技术即通过行人的身高、体重、外貌进行检测,然后通过X光机检测身上是否带了已知的不安全装备。而异常检测则是通过对人的行为特征进行分析,例如一个人进门时身带了一个手拧包,而走到大厅后将手拧包放下,人离开。针对这种特为将为触发报警动作。异常检测到WEB安全检测中主要用于补偿特征库的短板,可以有效的防御未知攻击、盗链行为、应用DDOS攻击等。
第二篇:普通防火墙与Web应用防火墙的对比
普通防火墙与Web应用防火墙的对比
(Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。网络防火墙是防御网络周边环境的,虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力,但是,传统防火墙没有Web应用防火墙提供的那样精细和具体。例如,Web应用防火墙能够检测一个应用程序是否按照它设计的方式工作,它能够让你编写具体的规则防止再次发生这种工具。,Web应用防火墙与入侵防御系统不同。它是一个完全不同的技术,不是以特征为基础的,而是以行为为基础的,防止你自己意外制造的安全漏洞。
金融危机促使Web应用防火墙走强
2010-06-11 17:50出处:比特网作者:佚名【我要评论】 [导读]此前笔者一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。
此前笔者一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。对此记者专门走访了众多厂商,结果看到的是井喷的订单与密集的出差行程,这无不凸显出眼下Web应用防火墙市场的炙热。
细心的读者也许还记得,此前记者曾担心国内企业用户对于Web应用防火墙的理解程度。毕竟去年曾经出现过很多用户无法分辨Web应用防火墙与普通防火墙的差异。特别是今年年初,随着山寨气氛越炒越热,在Web应用防火墙上也出现了名不副实的山寨产品,并一度令记者十分紧张。
不过令人吃惊的是,广大企业用户对此的反应真的是处变不惊。此前梭子鱼中国区总经理何平先生在接受本报独家专访时表示,当前越来越多的企业用户开始主动联系安全厂商,请求厂商为其搭建符合自身应用特点的Web保护方案。而且不少用户已经把这部分预算列入了2009年的固定开支中去。要知道,在金融危机阴影尚未散尽的今天,用户的反映着实令记者吃惊。
对此何平的看法是,与硬件盒子一样的传统防火墙不同,Web应用防火墙不是单一产品,本身是基于策略的产品,需要结合企业的Web应用进行具体的安全咨询。安全厂商需要对企业的各种内部应用非常了解,比如对OA、MIS、ERP等应用的支持。因此当初Gartner就曾提出更加综合的应用交付网络的概念,将安全、加速、管理等集成在一起,实现完整的Web保护。
记者发现,很多企业在购买普通防火墙的时候,往往是从同行业企业中打听经验,寻找价格差异,有些时候依靠流行度去购买。但是在选择Web应用防火墙的时候,则是企业的IT经理带着问题去找方案进行解决,采购的认真与周密令人肃然起敬。
之前有专家介绍说,当前Web应用防火墙从全球范围内已经进入部署的高峰期,准确地说是第二波浪潮的开始。以美国为例,早先是在美国能源部使用,确保能源安全,之后过渡到一些普通政府部门使用,最后到纽约市的卫生局都开始采购。特别是2008年PCI法案通过之后,要求提供信用卡网上支付超过一定营业额的企业,都需要配置Web应用防火墙。可以说,国外Web应用防火墙进入了成熟化与普及化时代。
从国内来看,Web应用防火墙市场拉升同样明显。一方面金融危机导致传统的Web攻击更加疯狂,趋利性更加明显,企业的数据资产亟需保护;另一方面从2008年底至今,大量企业、政府的网站遭遇Web攻击潮,如三鹿网站事件等,用户认识到传统的防火墙、IPS、网页防篡改设备都无法彻底阻止网络攻击,使得国内的行业用户对Web应用的防护意识与意愿更加迫切
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/172/11374172.shtml
普通防火墙加Web应用防火墙
前面的普通防火墙主要是做下包过滤,后面的那个web应用防火墙是主要过滤攻击的设备。
只要有网络的地方就会有防火墙,但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WAF则深入到应用层,对所有应用信息进行过滤,这是二者的本质区别。
WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容,包括HTTP协议报文内容,由于WAF对HTTP协议完全认知,通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描,而WAF会做完全、深层次的扫描。Web防火墙的主要技术的对入侵的检测能力,尤其是对Web服务入侵的检测,不同的厂家技术差别很大,不能以厂家特征库大小来衡量,主要的还是看测试效果,从厂家技术特点来说,有下面几种方式:
◆代理服务:代理方式本身就是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入,对DDOS攻击可以抑制,对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。
◆特征识别:识别出入侵者是防护他的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode,SQL注入中常见的“真表达(1=1)”„应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。
◆算法识别:特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。
◆模式匹配:是IDS中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为,当然模式的定义有很深的学问,各厂家都隐秘为“专利”。协议模式是其中简单的,是按标准协议的规程来定义模式;行为模式就复杂一些,Web防火墙最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,你很难察觉进来的是那一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。
Web应用防火墙的定义已经不能用传统的防火墙定义加以衡量了。为此,Gartner提出了应用交付的概念。其核心就是对整个企业安全的衡量,已经无法适用单一的标准了,需要将加速、平衡性、安全等各种要素融合在一起。此后还要进行细分,比如Web应用交付网络、邮件应用交付网络,这些都是针对企业的具体应用提供的硬件或解决方案平台。
换言之,用户在面对Web应用防火墙的时候,需要考虑自身的应用特点,结合企业的实际情况获取安全价值。
第三篇:Web和移动应用对企业的价值
Web和移动应用对企业的价值
作者王玥
摘 要:随着市场竞争的日趋激烈,企业利用信息技术手段加强内部管理的要求十分迫切,企业信息化建设伴随着信息技术的高速发展而不断升级换代,新技术新应用不断涌现。近年来,移动互联技术和智能通讯终端的迅速推广普及,为高效快捷的信息处理提供了全新的途径和手段,是当今企业信息化建设热点。因此,企业的移动信息化应用就成了一个人们普遍关注的话题。
关键词:信息技术1;内部管理2;移动3;…
引言
随着5G时代的到来,移动智能设备正在成为提升企业业务价值的生产力工具.将传统桌面信息系统功能搬到移动端,可以实现随时随地业务处理,有效突破时间和空间限制,整合时间碎片,提高工作效率,提高企业生产经营管理水平.论文主要介绍了移动应用平台的设计与实现,以“平台+应用”的集成整合方式满足企业的移动信息化需求[1],推动企业的移动信息化发展,为企业管理创新及办公智能化提供更强力的技术支持.一、企业信息化的介绍
1.2企业信息化的概念
企业信息化是指企业利用计算机技术、网络技术等一系列现代信息技术,引进现代管理理念,通过对信息资源的深度开发和广泛利用,不断提高生严、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力的过程。企业信息化是一个很广的概念,具体可以分为3个层次:
第一层是企业在生产当中广泛运用电子信息技术,实现生产自动化。如生产设计自动化(CAD)、自动化控制、智能仪表、单板机的运用等。凡是用到电子信息技术的都是企业信息化的一部分。
第二层是企业数据的自动化、信息化。用电子信息技术对生严、销售、财务等数据进行处理,这是最基础的、大量的数据信息化过程。
第三层是更高层次的辅助管理、辅助决策系统, Int ranet以及 Ext ranet、制造资源规划MRPD)、计算机集成制造系统(CMS)、办公自动化(OA)等都是用来辅助管理、辅助决策的,这是更高层次的信息化[2]。
2.2企业信息化的必然趋势
当今企业间的竞争是多方面的,竞争手段也日趋复杂。为了生存,企业间优势资源相技术领导力决完企发展方向相互整合,劣势资源被淘汰出局。面对不断变化的外部环境,面对不断岀现的关乎企业生存的挑战[3],几乎所有的企业都选择了企业信息化作为提高自己的竞争能力、保持竞争优势的基础性支撑。
信息时代,随着信息技术集成化和信息网络化的不断发展,企业信息化程度不断提高信息技术、信息系统和信息作为一种资源已不再仅仅支撑企业战略,而且还有助于决定企业战略,并且信息战略已经成为企业战略不可分割的一部分。企业间的竟争优势也不再仅限于成本、差异性和目标集聚3种形式,企业信息化形成的独特竞争优势一一知识优势逐渐成为企业竞争的优先级竟争优势[4],企业信息化成为不可阻挡的必然趋势。信息化可以提高企业的“智商”,使之变得灵活聪明、反应敏捷只有在信息化的基础上,才能有目的地优化管理,改进流程、团队;只有在信息化的基础上,才能够快速协调內外部资源,为客户提供及时的服务,赢得客户的信任;只有在信息化的基础上,才能够真正固化企业的管理制度,实现由人治到法治的转变。企业信息化在加快反应速度的同时,还能够帮助我们明确企业的改进目标。任何改进都是基于可以被度量的目标进行的,信息化能将企业运作的诸多关键环节的数据量化,给我们提供明确的目标,足够快速的反馈,帮助我们明确、高效地不断改进自身的工作[5]。此外,信息化对企业外部形象的塑造也是大有好处的:一是企业形缘象效应。
通过企业信息系统的建立和完善,管理人员可以通过企业绩效不仅可以迅速地传递给社会成员或企业股东,而且对外界可以更全面地体现企业的经营状况。二是企业营销效应。企业营销不仅是企业信息化最重要的推动力,也是企业信息化的主要外部效应。电子商务既是信息化的外部效应,同时属于建立现代企业形象的重要领域。三是企业管理效应。信息技术渗透到企业管理的各个领域中,特别是对企业管理人员的培训和职业教育,以此提高企业人力资本质量,构成企业信息化最为重要的外部效应。企业借助信息系统获得外部专家支持的效果与企业雇佣专家的效果一样好,甚至可以节省相当的雇佣成本[6]。四是团队向心效应。通过信息化,企业员工会及时了解并执行公司的各项规章制度,在节省了培训成本的同时,能够让员工快速接触企业的各个方面,便于其尽快融入企业文化;另外,信息化本身也会促使企业文化向高效率、规范化转变,对干部、对员工都是一种透明的激励体系。
二、移动互联网的介绍
2.1移动互联网的发展现状
移动互联网业务和应用包括移动环境下的网页浏览、文件下载、位直服务、在线游戏、视频浏览和下载等业务[7]。随着宽带无线移动通信技术的进一步发展和Web应用技术的不断创新,移动互联网业务的发展将成为继宽带技术后互联网发展的又一个推动力,为互联网的发展提供一个新的平台,使得互联网更加普及,并以移动应用固有的随身性、可鉴权、可身份识别等独特优势,为传统的互联网类业务提供了新的发展空间和可持续发展的新商业模式;同时,移动互联网业务的发展为移动网带来了无尽的应用空间,促进了移动网络宽带化的深入发展。从最初简单的文本浏览、图铃下载等业务形式发展到当前的与互联网业务深度融合的业务形式,移动互联网业务正在成长为移动运营商业务发展的战略重点世界各国都在建立自己的移动互联网,各个国家由于国情、文化的不同,在移动互联网业务的发展上各有千秋,呈现出不同的特点。一些移动运营商采取了较好的商业模式,成功的整合了价值链环节,取得一定的用户市场规模。特别是在日本和韩国,移动互联网已经凭借出色的业务吸引力和资费吸引力,称为人们生活中不可或缺的一部分。
2.2移动互联网的发展趋势
2.2.1实用技术多用化
作为管理者我们需要知道移动互联网是电信、互联网、媒体、娱乐等产业融合的汇鬟点,各种宽带无线通信、移动通信和互联网技术都在移动互联网业务上得到了很好的应用。从长远来看,移动互联网的实现技术多样化是一个重要趋势。网络接入技术多元化目前能够支撑移动互联网的无线接入技术大致分成三类:无线局域网接入技术wF1,无线城域网接入技术WMAx和传统3G加强版的技术,如HSDA等。不同的接入技术适用于不同的场所,使用户在不同的场合和环境下接入相应的网络,这势必要求终端具有多种接入能力,也就是多模终端。移动终端解决方案多样化终端的支持是业务推广的生命线,随着移动互联网业务逐渐升温,移动终端解决方案也不断增多。移动互联网设备中最为大家熟悉的就是手机,也是目前使用移动互联网最常用的设备[8]。Intel推出的MD,则利用蜂窝网络、WIMAX、WFi等接入技术。
2.2.2商业模式多样化
成功的业务,需要成功的商业模式来支持。移动互联网业务的新特点为商业模式创新提供了空间。目前,流量、图铃、广告这些传统的盈利模式仍然是移动互联网的盈利模式的主体,而新型广告、多样化的内容和增值服务则成为移动互联网企业在盈利模式方面主要的探索方向。广告类商业模式是指免费向用户提供各种信息和服务,而盈利则是通过收取广告费来实现,典型的例子如门户网站和移动搜索。内容类商业模式是指通过对用户收取信息和音视频等内容费用盈利,典型例子如:付费信息类、手机流媒体、移动网游、UGC类应用。服务类商业模式是指基本信息和内容免费,用户为相关增值服务付费的盈利方式,例如即时通信、移动导航和移动电子商务均属于此类。
2.2.3参与主体的多样性
移动互联网时代是融合的时代,是设备与服务融合的时代,是产业间互相进入的时代在这个时代,移动互联网业务参与主体的多样性是一个显著的特征。技术的发展降低了产业间、以及产业链各个环节之间的技术和资金门槛,推动了传统电信业向电信、互联网、媒体、娱乐等产业融合的大ICT产业的演进,原有的产业运作模式和竞争结构在新的形势下已经显得不合时宜。在产业融合和演进的过程中,不同产业原有的运作机制和资源配置方式都在改变,产生了更多新的市场空间和发展机遇。为了把握住机遇,相关领域的企业都在积极转型。
三、发展趋势
企业信息化未来发展的关键词将是移动、云计算和大数据,在这一背景下,移动应用将会简化传统的企业级应用方式。同时,移动应用将是企业信息化必不可免的潮流。架构一套企业移动办公系统之后,可以极大地拓展员工的办公空间,使以往无法办公或者办公效率低下的情况大大减少:使员工的工作效率提升,从而增加企业产值[9]。此外,移动应用还允许员工以无缝的方式随时随地访问自己的信息,除了提高工作效率之外,跨区域的信息流动方式还可以提高客户的满意度,同时降低企业的经营成本。试问,面对如此大的好处,企业有什么理由拒绝呢?
信息系统建设的核心就是使信息及时、准确在企业内外部传播,为企业与客户、企业和合作伙伴、企业与员工之间建立一个无缝的信息流通渠道。但如今企业进行信息化建设时却遇到了一个严重的瓶颈,一边是功能强大的信息系统,一边是脱节的终端信息。一个典型的现象就是无法及时、快速地收集市场信息。如今,一种利用各种移动设备和移动通讯技术随时随地传输和交流各种商业信息,进行商务活动的新型应用模式即移动应用已岀现在企业面前。通过移动应用,企业可以突破时空限制,弥补传统的业务应用模式的不足,重新塑造企业经营模式,整合企业原有的信息系统,将企业信息化扩展到与市场距离近似无缝的境地对于企业而言,谁先掌握和应用新的科技,就意味着在竞争力上保有优势。4G时代已将成为过去,5G时代已经揭开了帷幕。如何将在个人移动应用上发展成熟的新技术改造成适合企业应用的技术,这将是企业面临的最大问题,也许将会是每个企业的决策层最头疼的问题之一[10]。眼下,企业移动应用市场正在迎来爆发期。自2010年开始,越来越多的企业认识到移动信息化所带来的价值,并开始将移动应用引入到企业的管理、销售等各个工作环节之中。“5G网络的正式开通为企业移动信息化应用打开了黄金之门。”
四、结语
我们很清楚的看到移动应用的演进给企业信息化带来了天翻地覆的改变。如今,随着企业信息化外延的扩大,企业应用建设处于向移动迁移的过程中,产品能在手机上使用,是许多企业对软件供应商提出的新要求。移动应用产品的成本非常低廉,而且企业也不需要增加额外的移动设备及PC硬件设备的投入。以ERP系统为例,传统ERP的实施成本较高,从产品购买、员工培训、项目上线,至少需要两三个月时间,而移动应用,无论是企业管理层还是普通员工,只要会用智能手机,就可以无师自通地操作移动应用,这能给企业节省大量的培训时间和费用。可以说,提高效率、节省成本、让企业实现更轻松的管理,是移动应用带给企业的最显著效果。
参考文献
[1]马帆.基于J2ME和Web服务技术的企业移动应用研究与实现[D].长安大学.[2]孔晓霞, 魏志强, 王晓,等.基于Web服务的移动电子商务系统的设计与应用[J].中国海洋大学学报:自然科学版, 2005, 35(6):5.[3]张一光, 卢志刚.基于安卓系统的企业级移动应用平台设计与实现[J].信息系统工程, 2021(4):2.[4]于萧榕, 郭昌言, 陈刚.移动ERP系统的实现与优化[J].科学技术与工程, 2010(21):6.[5]PAUL GOLDING.大数据时代移动WEB服务与运营技术指南(十二五国家重点图书出版规[M].人民邮电出版社, 2014.[6]于萧榕, 郭昌言, 陈刚.移动办公系统的分析与实现[J].电脑编程技巧与维护, 2010(16):3.[7]Tony Efremenko, Gordan Greenlee, Frederick Meredith.通过IBM WebSphere DataPower SOA Appliances 确保对企业应用程序的安全移动访问.2013.[8]崔健.基于WebRTC的P2P视频会议系统设计与实现[D].北京工业大学, 2016.[9]王毅.基于Web Services的企业移动应用模型及其在CRM系统中的实现[D].合肥工业大学, 2006.[10]肖士婧.基于Web服务的移动销售管理系统的设计与实现[D].南京大学, 2012.
第四篇:防火墙技术的应用
防火墙技术的应用
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14页(共14页)
第五篇:基于水彩插画的应用及优越性的教学研究
基于水彩插画的应用及优越性的教学研究
水彩插画是现如今比较流行以及很多插画师都比较热爱的表现插画方式之一。水彩画和插画这两种艺术形式,对我们来说已经不陌生。两个画种从起源上来看,可以说是同根同源,只是从不同的角度上,我们将这个起源分别看待成了这两种艺术形式的根。水彩插画也是一门新兴的学科,也是目前很多高校动画专业必修的课程。它是以美术常识为指导的一门学科,因此,要对色彩有一定的感知能力,丰富色彩的感觉。水彩画是现代绘画中一项重要的表现媒介。
水彩插画是一门的课程,但是在传统的教学中,教师往往会花费大量的精力去介绍工具的使用方法,而忽视了在整个知识体系中艺术和审美的培养,从而导致许多学生只能机械地去了解,因此无法进行具有艺术表现力的高品质的设计制作,这显然无法满足企业对于专业人才的需求,同时也违背了教学宗旨。针对这个问题,我个人希望通过让学生充分了解色彩的艺术特征,水彩画以其独有透明清澈的特质,不以厚涂而却能追求空闲、质、量和绘画上幻化的语言和节奏,使其能问鼎、深入现代画的领域中。现代水彩画早已打破了西洋画史上固有的插图草稿,附属性表现的观念。中国人正以其深厚的传统文化,哲学观念、生活体验,揉和科学精神与自然,内在的观照,作逐步的探寻.认清白我,酝酿著水彩画的新方向。
近些年来,由于数码技术在插画中的应用,对传统的以手绘水彩画的形式所做的插画产生了一定的冲击,但是作为手绘艺术,有着数码插画所无法比拟的艺术魅力,因此本人相信在广阔的商业插画市场中,水彩插画始终会以自身的这种感染力而占有一席之地。
首先要来了解下水彩插画的优越性。
1.绘画材料的便捷性,水彩画的设备比较简单,购买起来比较便宜,易于普及,工具轻便,易于户外写生携带,是各种插画设计等手绘工作者的必备利器。例如水彩纸为了便于携带,市面上有各种开数大小的水彩簿出售,能够方便随身携带绘画了。而且水彩颜料多为套装都比较小巧,易于携带。水彩对画笔的要求没有太大限定,画水粉的尼龙笔、羊毛笔、狼毫笔,画国画的毛笔,画油画的刷子都能用。虽然最好的水彩画笔是貂毛笔,但替代品也有很多,比如人造毛做的画笔就十分便宜耐用。并且为了外出作画不至于带水和水桶等用具,市面上还有可以蓄水和随身携带的自来水笔,这使水彩绘画工具轻便。同时水彩的有许多拓展材料,例如水溶性彩铅和马克笔,它们都是变异的水彩,都是将水彩更加简便后的产物。从广义的角度来说都属于水彩。而它们对于设计来说是不可或缺的用品,它们携带方便,使用简单,价格最是便宜,一般文具店都有的买。2.色彩语言的独特性,色彩是万物之貌,是构成一切视觉形象的最基本的要素。在造型艺术中,色彩也是最活跃、最富有表现力的语言。由于用水做媒介,水彩的色彩语言相比其他画种尤为独特和鲜明,水赋予色彩以生命,使颜色透明、富有流动性。水与色的碰撞,交织而形成的通透、流畅、舒缓、轻快的的水色语言,有一种色彩之间交错融合的和谐之美。它干净、透明、雅致的色彩总能瞬间激发情感的表达,给人带来俏丽明快、清新怡人的诗情画意。这种诗情画意的画面往往和一些宁静诗意的文字相得益彰,能够充分的表达文字的内在情感。同时由于是用水调和颜料作画,水彩颜色多为透明颜色,水彩的颜色一般都较为鲜艳亮丽,这种鲜艳亮丽的画面无疑是十分抢人眼球的,而插画作为一个视觉设计,它的首要任务无疑也是要吸引住人们的眼球的。所以说水彩独特的色彩于插画设计也是天造地设般的搭配。并且水彩用水来调和颜料,水的多少使得色彩的浓淡变化十分丰富,再加上各种色在水中的融合,使得色彩更是千变万化。这对于对色彩要求很高的视觉设计,它无疑也是最符合条件的。3.绘画技法的丰富性,水彩作为绘画领域的一个重要画种,自产生以来就不断的自我完善和拓展技术手段,其绘画技法的丰富性是其他画种难以比拟的。现在我们常用的技法主要可以归结两大类:干画法和湿画法。这两种画法主要是根据纸面的干湿情况来分的,通常所说的干画法既是在干的纸面或底色上着色的方法,反之,所谓的湿画法既是在浸湿或将干未干的纸面上着色的画法。像层涂、罩色、接色、枯笔等具体方法都属于干画法,而湿的重叠和湿的接色这两种常用画法是属于湿画法,通常进行水彩绘画时是干湿结合的。通过这些基本技法的运用大体上就可以表现出丰富的画面效果,但水彩的技法远不只如此。通常为了营造一些特殊画面效果,做各种不同的肌理效果,我们还常用到一些特殊的技法,如在湿的画面上喷水可以产生水雾的感觉,洒盐可以制造雪景:在纸面做底子用细沙可以很容易画出沙滩和画出物体生锈的感觉,这些做肌理的方法多如牛毛。如果再加上像丙烯、透明水彩液、水溶性彩铅等这些用广义的水彩材料的用法或它们之间的综合使用,我想水彩绘画技法的丰富性更画种难以比拟的
以上是我个人对水彩插画在教学中的初浅的探索,相信随着教学的深入,这些内容也会进一步的完善。课程的教学是一个长期又复杂的工作。教师需要结合学科的特点,不断创新意识,吸取最新的学科成果,不断的更新教学方法和教学内容,才能提高学生的综合素质和创新能力。
(作者单位:辽宁科技大学建筑与艺术设计学院)
作者简介:郑月,女,(1984-)鞍山人,学历:硕士,职称:讲师。
赵思雨,女,(1991.6.1-)黑龙江人,学历:本科。
点击咨询 