第一篇:企业内部网中防火墙技术的应用于发展
企业内部网中防火墙技术的应用于发展
摘要:
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信心和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络之间的一道防御系统。在IT安全领域,防火墙是一个重要的角色,通常被部署在企业网络和外部互联网中间,来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。本文对防火墙的概念、保护对象、保护功能的实现、分类、如何选购和使用防火墙以及防火墙的发展做了简单的概述。关键字:防火墙 企业内部网 应用 发展
一.防火墙的概念
防火墙(Firewall)在网络中是一个逻辑装置,用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙,就是一个或一组系统,用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外,但又不影响正常工作。其核心思想就是在不安全的网络环境中构造一个相对安全的子网环境。
二.防火墙的保护对象以及如何实现保护功能
从广义上讲,防火墙保护的是企业内部网络信息的安全,比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行物理隔离来实现的,然后根据预先定制的安全策略控制通过防火墙的访问行为,从而达到对企业内部网络访问的有效控制。防火墙通常有两种工作模式:网桥模式和路由模式。
如果防火墙安装在企业内网与因特网之间作为安全屏障,最好选择路由模式,在该模式下可以使用防火墙的网络地址转换功能和代理功能,充分保护企业网络免受来自互联网的攻击。如果需要保护同一子网上不同区域(部门)的主机,可选择网桥模式,这时,原来的网络拓扑结构无须做任何改变。比如,企业的财务部是企业重要部门,即使内部员工也不允许随便访问,因此,需要特别的保护。但企业网络已经建成,相应改造会带来许多工作。此时,就可以选择防火墙的网桥工作模式,既不用改造企业网络结构,也可以在没有经过防火墙授权的情况下,禁止非法人员访问财务部的主机。如此一来,起到了局部信息保密和保护的效果。
其实,对内外网之间通过防火墙的的不当访问行为,防火墙都是非常敏感的。即使是内部员工,如果违反企业的安全策略,一样会被防火墙及时的阻止并通告网络管理员。比如具有MAC地址绑定功能的瑞星企业级防火墙RFW-100,它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定,能够有效阻止用户通过修改IP地址所进行的非授权访问。此外,防火墙还支持双向网络地址变换:源地址变换(SNAT)和目的地址变换(DNAT)。通过源地址变换,使外部网络无法了解内部网络的结构,从而提高了内网的安全性;同时,通过源地址变换,可以节省IP地址资源(内网主机可全部使用私有地址)。瑞星企业级防火墙RFW-100允许管理员定义一个时间范围,使该条规则只在这一时间范围内起作用。通过这种控制机制,可以为企业提供更加灵活的配置策略,例如,可以定义规则只允许公司市场部员工和经理在任何时间访问因特网,而其他部门员工只允许在午休时间访问互联网。具有这项功能不仅为企业节省了一大笔的网络接入费,而且也提高了内网的安全防范能力 三.防火墙的分类
防火墙有很多种分类方法:依据采用的技术的不同,防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙;按照应用对象的不同,防火墙产品可分为企业级防火墙与个人防火墙;根据防御方式的不同,防火墙产品又可分为包过滤型(Packet Filtering)防火墙、应用级网关型(Application Level Gateway)防火墙和代理服务型(Proxy Service)防火墙。
四.如何选购和使用防火墙产品 为了提高防火墙的安全性,用户可以将防火墙和其他安全工具相结合,例如和漏洞扫描器与IDS搭配使用。购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持哪些品牌和型号,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。保护网络安全不仅仅需要防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。
安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,只有保持不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,要与厂商保持密切的联系,时刻注视厂商的动态,时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁,对它进行升级和维护,及时对防火墙进行更新。
五.防火墙的发展
没有人怀疑防火墙在企业所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。原因有三,首先是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。其次是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法应对复杂的攻击。最后是传统的防火墙无法区分识别善意和恶意的行为,该特征决定了传统的防火墙无法解决恶意的攻击行为。
新一代防火墙是应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。新一代防火墙既有包过滤的功能,又能在应用层进行代理。较传统的防火墙来说,具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理,TCP/IP协议和代理的直接相互配合,使本系统的防欺骗能力和运行的健壮性都大大提高;除了访问控制功能外,新一代的防火墙应当还集成了其它许多安全技术,如NAT和VPN、病毒防护等。
结束语:一个计算机网络,从应用层到网络层直至物理层都存在安全问题。防火墙只是整个网络安全防护体系的一部分,其他的防护措施和技术,如密码技术、访问技术、权限管理、病毒防治等,对网络安全都相当重要,也只有运用先进认证技术,并在网络层上实施统一的端对端的数据流加密技术,同时结合防火墙技术进行必要的内容检测、攻击检测,以及再结合其他一些手段,才能真正解决内部网络的安全问题,并最终提供一套一体化的解决方案。
虽然防火墙在保护网络的安全上起着重要的作用,但并非有了防火墙就可以高枕无忧。防火墙需要经常性的动态维护,并随时关注网络安全的新问题、新动向,及时采取相应的预防措施,最大限度地保障网络的安全。
防火墙安全测试技术、测试工具和软件都在不断发展,并越来越受到人们的重视。但是,日前由于测试水平及测试手段的限制,很难证明防火墙的安全保护能力是否满足安全政策的需要。
未来防火墙技术会在全面考虑“网络的安全”、“操作系统的安全”、“应用程序的安全”、“用户的安全”和“数据的安全”的基础上,将它们结合起来,成为一种更新的信息安全产品。企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保企业的顺利成长。
第二篇:企业内部网中防火墙的应用与发展
防火墙从原理上主要有三种技术:包过滤(Packet Filtering)技术、代理服务(Proxy Service)技术不和状态检测(State Inspection)技术。
3.1.1 包过滤(packet Filtering)技术
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则,对通过设备的数据包进行检查,限制数据包在内部网络的进出。由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机,才能进行过滤,因而,包过滤技术必须用在路由器上。它通常由包过滤路由器对IP包进行选择,允许或拒绝特定的包通过。包过滤技术具有数据包过滤对用户透明、一个过滤路由器能协助保护整个网络、过滤路由器速度快、效率高等优点。
包过滤技术的缺点:配置访问控制列表比较复杂,要求网络管理员对Interne服务有深入了解,其性能随访问控制列表的长度的增加而呈指数下降,没有跟踪记录能力,不能从日志记录中发现黑客的攻击记录,不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用,只检查地址和端口,对通过网络应用链路层协议实现的威胁无防范能力,无法抵御数据驱动型攻击不能理解特定服务的上下文环境和数据包过滤防火墙技术虽然能实现定的安全保护,但有许多优点,但是包过滤毕竟是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。在实际应用中,很少把包过滤技术当作单独的安全解决力案,而是把它与其他防火墙技术结合在一起使用。
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如(如图3-4),telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢? 由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
还有一种情况,你可以命令防火墙拒绝那台PC机的信息,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。3.2.2.2 服务器TCP/UDP 端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用 telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
图3-3 服务器的TCP/ UDP端口过滤
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
图3-4 客户端的TCP/ UDP端口过滤 3.2.2.4 双向过滤
现在换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果我们知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:(如图3-5)比如,(如图3-3),默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。但这样,我们还是不能把IP地址和目标服务器TCP/UDP端口结合起来作为过滤标准来实现相当可靠的防火墙。3.2.2.3 客户机TCP/UDP端口
第三篇:防火墙的技术与发展
信息技术应用与管理专业毕业论文
摘 要
防火墙作为一种网络或系统之间强制实行的访问控制机制,是确保网络安全的重要手段,有基于通用操作系统设计的防火墙,也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性,所以,Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些基本技术:包过滤。Linux下常用的防火墙规则配置软件Iptables;从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能;并给出了Linux下简单防火墙的搭建。
关键字:防火墙,Netfilter,Iptables
I 信息技术应用与管理专业毕业论文
ABSTRACT
The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables
II 信息技术应用与管理专业毕业论文
目录
摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 绪 论…………………………………………………1
1.1 前言1 1.2开发背景1
第二章 防火墙技术 2
2.1防火墙概述2 2.2包过滤技术 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4
3.1.1 Netfilter框架的介绍4 3.1.2数据包流经网络协议栈的分析4 3.2 管理工具:Iptables5
3.2.1 Iptables 防火墙规则配置管理工具5 3.2.1 Iptables工具的应用方法5 第四章 Linux下简单防火墙的搭建6 4.1防火墙搭建的战略规划6 4.2 Iptables规则脚本7 第五章 总结与展望8 5.1 应用前景8 5.2 总体体会8 参考文献9 致 谢10
III 信息技术应用与管理专业毕业论文
第一章 绪 论
1.1 前言
Linux 可以追溯到UC Berkeley分校的Unix,因此从某种意义上讲,Linux本身就是一种网络操作系统,Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux 1.1内核中,到Linux 2.0内核时,其部件IPFwadm对防火墙部分已进行了很大改进和增强;Linux 2.2.x内核发布时,IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能,从Linux的2.4内核开始的Netfilter最终废除了Ipchains,其主要原因有:IPchain是以内核级运行的C及C++代码,没有很好地提供从用户空间访问IPchains的接口,限制了IPchains的可扩展性。
1.2 开发背景
在网络安全问题日趋严峻的今天,防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。信息技术应用与管理专业毕业论文
第二章 防火墙技术
2.1防火墙概述
防火墙是一个或一组实施访问控制策略的系统。它在内部网络(专用网络)与外部网络(功用网络)之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。防火墙的主要功能包括:
1.防火墙本身支持一定的安全策略。2.提供一定的访问或接入控制机制。3.容易扩充、更改新的服务和安全策略。4.具有代理服务功能,包含先进的鉴别技术。5.采用过滤技术,根据需求来允许或拒绝某些服务。
6.防火墙的编程语言应较灵活,具有友好的编程界面。并用具有较多的过滤属性,包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。
2.2 包过滤技术
包过滤技术是防火墙的一种最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出,包过滤技术中的数据包大部分是基于TCP/IP协议平台的,其中包括网络层的IP数据包,运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三部分内容。信息技术应用与管理专业毕业论文
过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙:
1.包的目的地址及目的端口; 2.包的源地址及源端口; 3.包的传输协议。信息技术应用与管理专业毕业论文
第三章 Netfilter/Iptables
3.1 Netfilter框架
3.1.1 Netfilter框架的介绍
Netfilter是Linux 2.4实现的防火墙框架,Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。每一个协议对应的钩子函数都定义在协议具体的头文件中,如对应于IPv4的钩子函数就定义在内核头文件:/Linux/netfilter_ipv4.h中。
3.1.2 数据包流经网络协议栈的分析
1、收到数据,中断发生
通常的,当一块网卡接收到属于其自己MAC地址或者广播的以太网络数据帧时,就会引发一个中断,网卡驱动的中断处理程序获得机会,通过I/O,DMA复制网络帧数据到内存中。然后网络驱动程序将创建一个skb结构,将网络帧数据填充,设置时间戳,区分类型后,将skb送入对应的包接收队列(其实就是添加到系统中的一个双向链表中)。
2、数据接收软中断
内核调用kernel/softirq.c:do_softirq()执行数据包接收软中断(NET_RX_SOFTIRQ),将skb从CPU的接收队列中取出来,交给对应IPv4协议处理程序。协议处理程序将对传入的数据包进行一些完整性监测,如果监测失败,则将数据包丢弃。通过完整性监测以后,将进行一些必要的清理操作,去掉可能多余的填充数据,并且重新计算数据包的长度。信息技术应用与管理专业毕业论文
3.2 管理工具:Iptables
3.2.1 Iptables 防火墙规则配置管理工具
Netfilter框架在内核中主要负责PACKET的获得和重新注入,而对PACKET的匹配预处理主要由规则表来完成。
当我们用Iptables命令配置工具配置一条规则后,Iptables应用程序会运用iptables-standalone.c::main()::do_command(),然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。该函数根据请求会设置一个struct ipt_replace结构,用来描述规则所涉及的表和HOOK点等信息,并在其后附接当前这条规则(一个struct ipt_entry结构)。从而将命令行输入转换为程序可读的格式。组织好这些数据后,iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求:
setsockopt(sockfd, //通过socket创建的原始套接字,TC_IPPROTO,//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl,//struct ipt_replace结构
sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的应用方法
一个Iptables命令基本上包含如下五部分(1)希望工作在哪个表上(2)希望使用该表的哪个链
(3)进行操作(插入、添加、删除、修改)(4)对特定规则的目标动作(5)匹配数据报条件 信息技术应用与管理专业毕业论文
第四章
Linux下简单防火墙的搭建
4.1防火墙搭建的战略规划
包过滤防火墙的规则是由一组接收和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。防火墙规则通过数据包头的字段是否允许一个数据包通过。当默认策略设置为禁止一切时,若数据包头的字段与规则匹配,则路由器将该数据包转发至指定的目的地,否则将该数据包丢弃或被阻止并反馈一个错误状态信息给发出端的计算机。
一、输入包过滤
1、远程源地地址过滤
在包过滤的层次上,数据包头中的源地址是识别IP数据包发送者的唯一方法。
(1)假冒本地IP地址
从外部输入的数据包声称是来自本地计算机的数据包,因为源地址是唯一可获得的信息,而它可以被修改,所以这是用户在包过滤的层次上唯一检测到的欺骗形式。
(2)回环接口地址
回环地址是TCP/IP协议在本地网络服务使用的内部专用地址,目的是将网络通信请求或处理通过回环地址发给本机的网络服务,而不许发送到网络上。通常,回环网络的网络地址是127.0.0.0,回环地址是127.0.0.1,主机名使用localhost,回环网络标识lo。
2、本地目的地址过滤
网卡只接收发给本机的数据包和广播数据包。也就是说,网卡将滤掉除广播数据包以外的,目的地址不是本机地址的普通数据包。例如,地址信息技术应用与管理专业毕业论文
255.255.255.255是对网络上的所有主机进行广播。
二、输出包过滤
输出消息过滤的重要应用层运行局域网服务时,不把本地数据包和本地系统信息泄漏到因特网上。
1、本地源地址过滤
通过本地源地址过滤,可以防止本地用户仿造IP地址,欺骗其他的网站。
2、远程目的地址过滤
对于输出数据包,需要限定特定类型的数据包,这个目的地址只能是特定的远程网络或单机。此时,防火墙规则将定义这些数据包允许到达的目的地必须是有明确的IP地址或限定的IP地址范围内的目的地。
4.2 Iptables规则脚本
1.删除任何已存在的规则。记住在定义任何一个防火墙规则前,都要删除存在于所有链的规则。命令如下[3][4][6]: iptables-F 2.配置默认的拒绝规则。实际应用中配置的基本原则是:先拒绝所有的服务,然后再根据用户的需要设置相应的服务。参考配置程序如下: iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技术应用与管理专业毕业论文
第五章 总结与展望
5.1 应用前景
Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经验和全世界用户反馈的分析,重新设计,改造而形成的相对成熟的Linux内核包过滤框架。
本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析,目的是使一般小型企业针对自己实际情况,设计专门的防火墙成为可能。
5.2 总体体会
经过几个月的磨炼和努力,总结出只有在强压与竞争中才会有意想不到的收获和进步。
毕业设计培养了作者本人综合运用所学的基础理论,基本知识和基本技能,分析解决实际问题的能力,它在某种程度上是前面各个学习环节的继续,深化和检验。认为自身在这次毕业设计中培养了以下四方面的能力:
综合运用所学专业基本理论,提高查阅文献、论文和资料的能力。提高自身进行技术总结和撰写论文的能力。
编程的过程是不断学习的过程,当有更好、更简洁的程序时,要注意扬弃的结合。
设计既要重视分工,重视设计作品的完整性,重视风格的统一性。要注重编程过程中的细节,有时细小的失误也会形成极大的麻烦。
毕业设计让作者本人体会到科学的精神。面对随时而来的挫折,自己不断的给自己鼓劲,克服困难,勇往直前。信息技术应用与管理专业毕业论文
参考文献
[1] 博嘉科技主编.Linux防火墙技术探秘.国防工业出版社,2002 [2] James F.Kurose,,Keith W.Ross 著.计算机网络------用自顶向下方法描述因特网特色.人发邮电出版社,2004 [3] 张斌等编.Linux网络编程.清华大学出版社,2000 [4] 刘伟,龚汉明,朱青编著.UNIX基础教程.清华大学出版社,2003 [5] 张琳等编著.网络管理与应用.人民邮电出版社,2000 [6] 孙建华等编著. 网络系统管理------Linux实训篇.人民邮电出版社,2003 [7] W.Richard Stevens著.TCP/IP详解卷1:协议.机械工业出版社,2006 [8] 鸟哥编著.LINUX私房菜服务器架设篇.科学出版社,2005 信息技术应用与管理专业毕业论文
致 谢
首先衷心地感谢指导老师王则林,每星期的指导与教学,以及平时对我的不懈支持和帮助,他对我的谆谆教诲和诚挚关怀, 严谨治学的态度、睿智的学者风度和敏锐的洞察力令我敬佩,并将会使我终生受益。才使我的毕业设计顺利完成。
感谢与我同组毕业设计的同学们,他们良好的合作精神以及认真严谨的科学态度深深地感染了我,这也是我们毕业设计能够顺利完成的保证。
最后感谢同窗四年的兄弟姐妹们,他们的关心和帮助陪伴我度过了人生中最值得回忆,最难以忘怀的大学四年。
第四篇:防火墙技术在企业财务管理系统中的应用
防火墙技术在企业财务管理系统中的应用
2010-06-10 09:02:02 作者:韩晓 来源:万方数据 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据 关键词: 防火墙企业防火墙防火墙功能信息安全代理服务器
目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。
1、防火墙技术
1.1防火墙的基本概念
防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。
1.2防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
1.3防火墙的功能
防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署www.xiexiebang.com)原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
第五篇:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一
通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制; ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,用户可以定期改变种子来达到更高的安全目标.■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
(3)从防火墙结构上分类
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
0
信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
(5)按防火墙性能分类
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
1.4 各类防火墙的优缺点
(1)包过滤防火墙
使用包过滤防火墙的优点包括:
■ 防火墙对每条传入和传出网络的包实行低水平控制。
■ 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
■ 防火墙可以识别和丢弃带欺骗性源IP地址的包。
■ 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
■ 包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
■ 配臵困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配臵了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配臵和更直接的规则定义。
■ 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
■ 可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是
213
也不要忘记了防火墙内的安全保障。
其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这个缺点给网络带来很大的隐患。
另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设臵的。如果出现新的未知攻击行为,防火墙也将束手无策。
最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。
1.6 防火墙的未来发展趋势
尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。
实现高速防火墙,可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元,通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能,入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间,又能为企业节约一部分安全支出,更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。
任何一种防火墙只是为内部网络提供安全保障,但网络安全不能完全依赖于防火墙,还需要加强内部的安全管理,完善安全管理制度,提高用户的安全意识,从而形成全方位的安全防御体系。防火墙技术在校园网中的应用
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息
51617
点击咨询 