當前位置:山西快乐十分前三走势 > 論文寶庫 > 信息科技類 > 應用電子技術 > 正文

山西快乐十分奖金规则:防火墻技術及其應用研究

山西快乐十分前三走势 www.fyiul.com 來源:UC論文網2019-04-08 09:49

摘要:

  摘要:防火墻技術是網絡安全的重要技術之一,是防御非法入侵和非法訪問的有效手段之一。簡述了防火墻技術的基本原理、分類、功能和設計及其選型,并探討了在實際中如何管理防火墻?! 」丶剩和綈踩?;防火墻技術;防火墻應用  作者:林玉梅  中圖分類號:TP309文獻標識碼:A文章編號:16727800(2012)009016003  0引言  隨著網絡的迅速普及,網絡安全問題也日益突出。雖然網絡安全技...

  摘要:防火墻技術是網絡安全的重要技術之一,是防御非法入侵和非法訪問的有效手段之一。簡述了防火墻技術的基本原理、分類、功能和設計及其選型,并探討了在實際中如何管理防火墻。


  關鍵詞:網絡安全;防火墻技術;防火墻應用


  作者:林玉梅


  中圖分類號:TP309文獻標識碼:A文章編號:16727800(2012)009016003


  0引言


  隨著網絡的迅速普及,網絡安全問題也日益突出。雖然網絡安全技術得到了迅速發展,但網絡安全問題也增加了新的內容,主要是由網絡的開放性、無邊界性、自由性造成的,包括以下一些因素:①計算機操作系統本身的一些缺陷;②各種服務,如TELNETNFS,DNS,ActiveX等存在bug和漏洞;③TCPIP協議本身的安全因素;④黑客攻擊,追查比較困難,因為攻擊可以來自Internet的任何地方。


  目前,?;つ誆客庠饌獠咳肭值撓行Х椒ㄊ遣捎梅闌鵯?。防火墻技術已成為網絡安全領域中最為重要、最為活躍的領域之一,成為?;ね綈踩?、網絡數據的重要手段和必選的網絡安全設備之一。防火墻主要涉及軟件技術、密碼技術、安全技術、計算機網絡技術、網絡標準化組織的安全規范、安全操作系統和安全協議等多方面。近年來,防火墻產品多,更新快,且不斷有新的信息安全技術應用到防火墻的開發上,如代理服務器、包過濾、狀態檢測、用戶身份鑒別、加密技術、虛擬專用網等技術。


  那么,什么是防火墻呢?在古代,人們在構筑木制結構房屋時,常在住所之間砌一道磚墻,防止火災蔓延。在網絡中,防火墻就是防止Internet上的不安全因素蔓延到企業或組織的內部網,猶如一道護欄,置于不安全的非信任的網絡與被?;ね韁?,阻斷外部對內網的威脅和入侵,?;つ諭陌踩?。


  一般來說,防火墻是一種置于不同網絡安全域之間的一系列部件的組合,是不同網絡安全域間的唯一通道。它能根據有關的安全訪問策略來控制(包括允許、拒絕、記錄和監視)通過網絡的訪問行為,是一種高級的訪問控制設備。狹義上,防火墻是指裝了防火墻軟件的路由器系統或者主機;廣義上,防火墻是指整個網絡的安全行為和安全策略。


  1防火墻的發展


  1986年,在Internet上,美國Digital公司安裝了全球第一個防火墻系統。這之后,防火墻產品成為安全領域發展最快的安全技術產品之一,它先后經歷了如下發展階段:


  第一代防火墻,又稱為包過濾路由器或屏蔽路由器,是基于路由器的防火墻,通過檢查經由路由器的數據包的地址(源地址、目的地址)、端口號(源端口號、目的端口號)、協議等參數,來決定是否讓數據包通過,如Cisco路由器提供的接入控制表。這種防火墻的缺點是很難抵御地址欺騙等攻擊,而且審計功能差。


  第二代防火墻,是用戶化的防火墻工具套,它用來提供應用服務級的控制,起到外部網絡向被?;さ哪誆客昵敕袷鋇鬧屑渥幼饔?。它的缺點是對于每一種網絡應用服務都必須為其設計一個代理軟件??槔唇邪踩刂?,而每一種網絡應用服務的安全問題各不相同,分析困難,因此實現也困難,且代理的時間延遲也較大。


  第三代防火墻,是建立在通用操作系統上的商用防火墻產品,有以硬件方式實現的,也有以純軟件方式實現的。采用這種防火墻,用戶必須依賴防火墻廠商和操作系統廠商這兩方面的安全支持。


  第四代防火墻,是建立在安全操作系統上的防火墻。各種新的信息安全技術被廣泛應用在防火墻系統中,同時也采用了一些主動的網絡安全技術,比如網絡安全性分析、網絡信息安全監測等。總之,它將網關和安全系統合二為一。


  2防火墻的基本類型


  按使用技術,防火墻主要分為包過濾型防火墻(又可分為靜態包過濾、狀態動態檢測包過濾)、應用代理、復合型和核檢測這幾大類;按照實現方式可分為硬件防火墻、軟件防火墻。


  2.1按使用技術分類


  2.1.1包過濾型防火墻


  靜態包過濾防火墻是最簡單的防火墻。靜態包過濾被應用于路由器的訪問控制列表,在網絡層對數據包實施有選擇的通過。根據系統內的過濾邏輯,在收到網絡數據包后,檢查數據流中的每個數據包,根據這數據包的源IP地址、目的IP地址和目的TCP/UDP端口及數據包頭的各種標志位等因素,以確定是轉發還是丟棄,它的核心是安全策略即過濾算法的設計。靜態包過濾的優點是邏輯簡單、對網絡性能影響小、有較強的透明性、與應用層無關,所以無須改應用程序。它也存在一些不足:不檢查數據區、不建立連接狀態、前后報文無關、對應用層的控制弱。


  狀態動態檢測包過濾防火墻直接對數據分組進行處理,而且結合前后的數據分組進行綜合判斷,來確定是否讓數據包通過。如思科的pix系列防火墻和checkpoint公司的防火墻都采用了這種技術。它的優點在于支持幾乎所有的服務,并能動態地打開服務端口,且能減少端口的開放時間。所以狀態動態檢測防火墻安全性高,能夠檢測所有進入防火墻網關的數據包,并能根據通信和應用程序狀態確定是否允許包的通行。它性能高,在數據包進入防火墻時就進行識別和判斷;伸縮性好,可以識別不同的數據包;已經支持160多種應用,包括Internet應用、數據庫應用、多媒體應用等,用戶可方便添加新應用,而且對用戶、應用程序透明。


  2.1.2應用代理型防火墻


  代理型防火墻,又可分為電路級代理和應用級代理。


  應用代理技術是在網絡的應用層提供網絡數據流?;すδ?,用來過濾應用層的服務,是內部網與外部網的隔離點,起著內外網之間申請服務時的中間轉接作用,監視并隔絕應用層的通信流。應用代理服務是運行在防火墻主機上的特殊的應用程序或者服務器程序,不同服務的代理功能需要開發不同的代理服務程序,而對大多數代理服務來說,要求要有合適的代理服務器軟件。由于代理提供替代連接并充當服務的網關,所以,應用代理有時也被稱為應用級網關。它的優點在于:不允許內外主機直接連接、能提供詳細的日志和安全審計功能、隱藏內部IP地址、支持用戶認證。但是,它的代理速度比包過濾慢,且對用戶不透明,對于一些服務不適用,而且不能?;に行?。電路級代理適用于多個協議,能接收客戶端的各種服務請求,建立一個回路,對數據包只起轉發的作用,工作在OSI模型的會話層或TCP/IP模型的TCP層。它的優點是可滿足多種協議設置,并能隱藏內網的信息,但它不能識別同一個協議棧上運行的不同應用程序。


  2.1.3復合型防火墻


  所謂復合型防火墻,就是將包過濾和代理服務整合在一起使用,以實現如網絡安全性、性能和透明度的優勢互補。復合型防火墻,可以檢查整個數據包的內容,并根據需要建立狀態連接表,網絡層和應用層的?;で?,會話層的控制較弱。目前出現的新技術類型主要有以下幾種:智能IP識別技術、零拷貝流分析、快速搜索算法、實時侵入檢測系統等,突破了復合型防火墻效率較低的瓶頸?;旌鮮褂謎廡┘際鹺桶思際跫按矸竇際跏俏蠢捶闌鵯降那魘?。


  2.1.4核檢測防火墻


  核檢測防火墻,檢查整個數據包,當數據包到達防火墻時,建立連接狀態,重寫會話,檢查多個報文組成的會話。核檢測防火墻對網絡層、會話層和應用層的控制強,而且前后報文有聯系,上下文相關。


  2.2按實現方式分類


  硬件防火墻,是指采用ASIC芯片設計實現的復雜指令專用系統,它的指令、操作系統、過濾軟件都采用定制的方式,一般采取純硬件設計即嵌入式或者固化計算機的方式,而固化計算機的方式是當前硬件防火墻的主流技術,通常將專用的Linux操作系統和特殊設計的計算機硬件相結合,從而達到內外網數據過濾的目的。


  軟件防火墻,一般安裝在隔離內外網的主機或服務器上,一般來說,這臺主機或服務器就是整個網絡的網關。國內外有許多網絡安全軟件廠商開發的面向家庭用戶的純軟件防火墻,俗話叫“個人防火墻”,因為它是裝在個人主機上的,只對個人主機進行?;?。而防火墻廠商中做網絡版軟件防火墻最出名的莫過于CheckPoint及微軟的ISA軟件防火墻。


  3防火墻的主要功能


  防火墻能提高網絡、主機(主機群)以及應用系統的安全性,它主要有以下功能:


 ?。?)網絡安全的屏障。對網絡存取和訪問進行監控和審計,提供內部網絡的安全性,過濾不安全的服務,對網絡攻擊進行檢測和報警,比如說,它可以禁止NFS(網絡文件系統)服務。把防火墻作為網絡通信的阻塞點,為網絡安全起到了把關的作用,所以,我們就可以把網絡安全防范集中在這個阻塞點上。


 ?。?)強化網絡安全策略。通過集中的安全管理,在防火墻上可以實現安全技術應用(加密、身份鑒別與認證、口令密碼等),過濾掉不安全的服務和非法用戶。


 ?。?)防止內部信息外泄。對于內部網絡,可以根據不同的服務設置不同的安全級別,從而實現內部重點網段的隔離與?;?,限制敏感的安全問題影響整個網絡。


 ?。?)限制暴露用戶。封堵禁止的訪問行為,有效記錄Internet上的活動,管理進出網絡的訪問行為。


 ?。?)實現虛擬專用網的連接。防火墻支持因特網服務特性的內部網絡技術系統——虛擬專用網。


  雖然,防火墻能對網絡威脅起到極好的防范作用,但它不能解決所有的網絡安全問題。某些威脅如惡意的知情者、不通過它的連接、一些病毒等,防火墻也是無能為力的。


  4防火墻的設計策略


  防火墻的設計策略是基于特定的防火墻,通常有兩種基本的設計策略:限制策略,拒絕任何服務除非被明確允許;寬松策略,接受任何服務除非被明確禁止。第一種相對保守,也相對安全;第二種可能造成安全隱患。一般建議采用限制型包過濾策略。


  在配置防火墻時,必須要遵循一定的原則,首要的原則是安全且實用。從這個角度,在防火墻的配置過程需要堅持3個原則:①簡單實用,越簡單,越容易理解和使用,越不容易出錯,管理也越可靠、簡便;②全面深入,只有采用全面的、多層次的防御戰略體系才能實現真正的系統安全,系統地對待整個網絡的安全防護體系,使各方面的配置相互加強,進而從深層次上?;ふ魷低?;③內外兼顧,每種產品都有它的主要功能定位,在配置時要針對具體的網絡環境進行配置,不必對每一種功能都進行配置。


  在站點上配置安全策略,防火墻可提供服務控制、方向控制、用戶控制和行為控制。服務控制是指確定防火墻內外可以防火的網絡服務類型,可以提供代理軟件,也可直接運行服務器軟件;方向控制主要是啟動特定的有方向性的服務請求并允許它通過防火墻;用戶控制是指根據訪問請求的用戶來確定是否為該用戶提供他要的服務;行為控制是控制用戶如何使用某種特定的服務,如過濾垃圾郵件、限制外部訪問,只允許他們訪問本地web服務器的一些信息等。


  在大型網絡系統中,可在如下位置部署防火墻:局域網內的VLAN之間、內聯網與外網之間、總部的局域網與各分支機構之間構成虛擬專用網VPN、遠程用戶撥號訪問時加入VPN等。


  防火墻主要包括5個部分:安全操作系統、過濾器、網關、域名服務、函件處理。


  5防火墻的選型和實施


  5.1選型原則


  防火墻產品眾多,如國內的天融信網絡衛士、聯想的網御防火墻、東軟的網眼防火墻、國外Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墻等。而每一種防火墻都有它的獨特功能和技術,都有自己的定位,讓用戶眼花繚亂,難以選擇。一般來說,防火墻選型時的基本原則有以下幾點:


  安全和功能需求分析:選擇合適產品的一個前提條件就是明確用戶的具體需求。因此,選擇產品的第一個步驟就是針對用戶的網絡結構、業務應用系統、用戶及通信流量規模、防攻擊能力、可靠性、可用性、易用性等具體需求進行分析。


  明確投資范圍和標準,以此來衡量防火墻的性價比。


  在相同條件下,比較不同防火墻的各項指標和參數。


  綜合考慮安全管理人員的經驗、能力和技術素質,考查防火墻產品的管理和維護的手段與方法。


  根據實際應用的需求,了解防火墻附加功能的定義和日常系統的維護手段與策略。


  5.2防火墻的測試與管理


  為更好地了解防火墻產品的特點,選擇適合自己應用需求的產品,必須先對防火墻產品進行測試,測試的主要內容包括管理測試、功能測試、性能測試和抗攻擊能力的測試。其中,管理是網絡安全的關鍵,功能是防火墻應用的基礎,性能保證了網絡的傳輸效率,而抗攻擊能力是網絡安全的保證。


  選擇安裝適合的防火墻后,還要對防火墻進行管理與維護,目的是為了讓防火墻正常發揮作用,并延長使用壽命。這要求管理維護人員必須接受一定的專業培訓,且對本單位的網絡有一個清晰的認識和了解;定期地對防火墻進行掃描與檢測,及時發現問題,堵上漏洞;保證通信線路暢通,當發生網絡安全問題時能及時報警,并及時處理;與廠家保持聯系,及時獲得防火墻有關的升級與維護信息。


  6結語


  防火墻雖是一項比較成熟的產品,但也在不斷地完善與發展。怎樣讓防火墻具有高安全性、高透明性和高網絡性三高為一體的性能,是網絡安全人員面臨的一個艱巨課題。

核心期刊推薦


發表類型: 論文發表 論文投稿
標題: *
姓名: *
手機: * (填寫數值)
Email:
QQ: * (填寫數值)
文章:
要求: