前言:我们精心挑选了数篇优质防火墙技术论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
1.1需精确地评估防火墙的失效状况
任何软件都有一定的生命周期,防火墙也有一定的生命周期,我们要正确的评估防火墙的使用效能,一旦防火墙失效,对网络安全造成的后果无法想象。防火墙使用具有一定的级别,在被外界病毒等侵入时候具有一定的防御,我们在设置防火墙的功能时候要具有一定的科学性,当防火墙受到攻击时候,能自动启动防御功能,因此,我们在设置防火墙功能时候,要正确检测防火墙是否失效功能要开启,达到防火墙失效状态正常评估。
1.2正确选择、科学配置防火墙
防火墙功能的科学配置,是对网络安全防御的重要保障,防火墙技术是网络安全技术基于防火墙网络安全技术的探究文/罗鹏 周哲韫进入新世纪以后,计算机网络技术发展迅速,尤其Internet的发展应用,计算机网络安全越来越重要,尤其一些政府部门网络,科研等机构网络如被黑客或病毒侵入,后果是非常严重的,在许多网络安全技术应用中,防火墙技术室比较成熟的,本论文是从不同层面阐述防火墙网络安全技术的应用。摘要中关键技术之一,在配置防火墙时候,要正确选择,科学配置。防火墙技术是计算机网络技术人才需要专门的培训与学习,才能进行科学的配置,在配置防火时候具有一定的技巧,在不同环境,不同时期具有一定的应用,因此正确科学的配置防火墙没有通式,必须在根据环境状态下进行科学合理的配置,这样才能使防火墙技术成为网络安全技术中最后一道保障。
1.3有赖于动态维护
防火墙技术在网络中应用,不是把防火墙软件在计算机中安装以后,进行一些配置以后就完事,管理员要对防火墙实时进行监控,看防火墙是否出现一些异常状况,管理员还要与厂商经常保持密切联系,是否有更新,任何在完美事物都有两面性,要及时更新,弥补防火墙漏洞,防止计算机网络被更新,因此防火墙技术是一种动态实时更新技术。
1.4搞好规则集的检测审计工作
网络安全技术最大的危险是自己,网络管理员不能出现一点大意,在防火墙技术的应用过程中,要适时进行更新,弥补漏洞,还要定期进行一定的检测和审计工作,用来评估网络现在的安全性,以及在未来一段时间网络的安全性,做好正确的评审工作,是网络能长时间保持稳定的重要条件,实时检测,实时维护是网络安全的基本法则。
2防火墙网络安全技术的实现方案
2.1设置内部防火墙,编制可靠的安全方案
在网络安全防范的过程中,内部局域网一定要重视,当局域网中一台机器出现病毒状况,可能瞬间整个网络出现瘫痪状态,因此利用防火墙技术作为网络安全的检测,内部局域网防火墙要进行科学合理的设置,制定一个可行的安全方案,对整个局域网的网络进行一定的保障。内部防火墙进行一定的分段,每个主机要有标准,但有一个统一的标准,标准时同样的,这样对网络的检测等有一定的依据,增强了网络的安全性。
2.2合理设定外部防火墙,防范外网攻击
经外部防火墙的设定,把内网同外网相分开,可防范外网攻击行为。外部防火墙通过编制访问策略,仅已被授权的主机方能访问内网IP,使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址,使外网无法掌握内网结构,阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间,防火墙对获取的数据包加以剖析,把其中合法请求传导到对应服务主机,拒绝非法访问。
3防火墙技术的未来发展趋势及前景
防火墙技术是网络安全技术发展的必然产物,为不安全的网络搭建一个安全的网络平台,网络安全是不可预测的,防火墙技术也在日新月异的进行发展,防火墙技术的未来发展是广泛的,能为网络安全作出一定的贡献,下面阐述一下防火墙技术的未来发展趋势,引领网络安全技术的发展。
3.1智能化
现在计算机的未来发展是网络化、智能化,网络安全问题的发展也比较快,对网络安全的软件要求也是越来越高,网络上的病毒具有不可预见性,对防御病毒的软件提出一个崭新的要求,必须具有一定的智能化,就是防火墙自身具有很强的防御功能,不是人为的进行控制,智能化是网络安全专家对防火墙技术的期盼,也是防火墙技术自身发展的需要,但防火墙技术实现智能化需要一定的时间,需要网络安全专家不停努力的结果。
3.2扩展性能更佳
计算机网络的快速发展,点到点客户的快速发展,现在3G网络已经向4G网络发展,对防火墙的扩展型提出更好的要求,软件技术的发展必须为未来的发展提出更好的要求,其扩展性具有一定发展,使防火墙技术能更好的为网络安全服务,提高网络安全服务的本领,减少病毒的入侵,提高网络安全。
关键词:Internet网路安全防火墙过滤地址转换
1.引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。
图1防火墙在Internet中的位置
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。
5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,InternetScanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7.防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
关键词:外墙保温;安全措施;现场管理
中图分类号:TU97文献标识码: A 文章编号:
1.外墙保温材料的应用
目前广泛应用的外墙外保温技术体系主要有膨胀聚苯乙烯泡沫(EPS)板薄抹灰外保温系统、挤塑聚苯乙烯泡沫(XPS)板薄抹灰外保温系统、聚氨酯泡沫(PU)薄抹灰外保温系统、胶粉 EPS颗粒保温浆料外保温系统、现浇混凝土复合无网EPS板外保温系统等,其中,EPS板薄抹灰外墙外保温系统为全国普遍推广使用的技术,几乎占节能建筑的90%以上。
PU是目前世界上公认的最佳保温绝热材料,导热系数仅为0.018~0.023W/m。k,25mm厚的PU的保温效果相当于40mm厚的 EPS、45mm厚的岩棉、380mm厚的混凝土或860mm厚的普通砖。主要指标对比如下。
保温效果:PU最好,EPS次之,岩棉最差。
耐冷热性能:岩棉最好,PU次之,EPS最差。
吸水率(性):PU最低,EPS次之,岩棉最易吸水。
使用寿命:岩棉最长,PU次之,苯板最差。
价格:PU最高,岩棉次之,EPS最低。
事实上,EPS、XPS、PU都属于有机保温材料,最大优点是质量轻保温和隔热性好,最大缺陷是防火安全性差,易老化易燃烧,在燃烧时产生大量烟雾,毒性很大,这些产品的承重性使用年限 防火性都不如无机保温材料。
2.聚苯板外墙保温材料的火灾危险性
聚苯板薄抹灰系统在国内的外墙外保温中应用相当普遍,其危险性在于:(1)一旦火灾发生,有机保温板燃烧产生的有毒气体和火焰会给逃生者带来巨大危险;(2)因聚苯板受热产生的热熔缩变形以及网格布过热折断而导致瓷砖坠落,对逃生人员和救助人员造成的伤害也是致命的;(3)当墙体保温材料表面砂浆龟裂脱落后,也很快会引燃保温材料,火灾迅速向大范围蔓延;(4)外墙着火之后,由于室内的自动消防设施不能覆盖外墙,特别是当高层建筑外墙外保温材料着火后,更是无计可施。
3.国内外外墙保温系统防火技术现状
a)国外外墙保温防火技术现状:欧美等发达国家对外墙保温系统均有严格的防火安全等级要求,不同的外墙保温系统和保温材料设有防火测试方法和分级标准(考虑燃烧时烟气及毒性释放),并对不同防火等级的外墙保温系统的使用范围有严格规定如欧洲标准 E-TAG004《有抹面层的外墙外保温复合系统欧洲技术标准认证》中规定,对保温防火性的测试方法要按照 CEN分级文件EN13501-1《建筑产品或组件的燃烧性能分级》进行阻燃等级A1—E的测试防火等级的测定和相关的测试需进行两次:一次为整个体系,另一次仅为保温材料同时,对外墙外保温的防火要求将依据法律法规和适用于建筑物最终使用的管理条例而定,德国有因聚苯板薄抹灰系统防火安全性达不到要求而不能在22m以上建筑物使用的相关规定;英国有18m以上建筑物不允许使用聚苯板薄抹灰外墙外保温系统的规定;美国纽约州建筑指令中明确规定耐火极限低于2h的聚苯板薄抹灰外墙外保温系统不允许用在高于22.86m的住宅建筑中,而由岩棉等不燃材料组成的外墙保温系统则可广泛应用在各种类型的建筑中,该系统已经成为目前世界上应用范围最广的外墙保温做法之一。
b)国内外墙保温防火技术现状:聚苯板薄抹灰系统因其防火性能较差,发达国家对其使用范围有严格的限制,而国内高层超高层建筑采用聚苯板薄抹灰网格布粘贴面砖的外墙外保温做法相当普遍,主要原因是国内没有标准对此作出限制规定,如我国现有的 GB50016- 2006《建筑设计防火规范》和 GB50045-95《高层民用建筑设计防火规范》(2005年版)只规定了建筑构件的燃烧性能和耐火极限,附录 A(各类建筑构件燃烧性能和耐火极限)对外墙的规定均为不燃烧体,但是其中却没规定外墙保温材料的燃烧性能在JGJ144-2004《外墙保温工程技术规程》的表 4.0.11外墙外保温系统组成材料性能要求中,对胶粉EPS颗粒保温浆料的燃烧性能级别标注为B1(难燃性),但对EPS 板的燃烧性能级别标注却为“—”即没有规定。
外墙保温材料的防火已引起国家的重视,公安部消防局会同住房和城乡建设部标准定额司正在共同组织起草《建筑外保温材料防火措施》,在征求意见稿中提出了外墙保温材料燃烧性能要求:“(1)建筑体积大于10万立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑应采用岩棉矿棉玻璃棉等无机材料制作的保温材料;(2)建筑体积大于10万立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外,其他建筑可采用可燃材料做外墙保温,但应采取相应的防火构造;(3)建筑外装修材料应采用不燃材料。”。
4.外墙保温材料防火安全措施
4.1提高外墙保温材料的防火性能,设置相应的防火构造物
a)对于新建建筑:(1)建议在修订的标准中, 对外墙保温材料燃烧性能等级的规定,应能满足外保温系统具有阻止火焰传播的能力;(2)建议在法律法规中明确规定推广使用不燃材料组成的外墙保温系统;(3)消防部门应加强对外墙保温材料防火性能等级的监管和测试;(4)对于使用聚苯板薄抹灰外保温系统,应增设防火隔离带、挡火梁等防火构造物。
b)对于已采用可燃材料做保温层的建筑:(1)保温层应采用不燃烧材料做水平和竖向分隔;(2)建筑外墙转角两侧和门洞窗口等开口周围应采用不燃烧材料进行分隔;(3)建筑外表层应采用不燃材料将保温层完全覆盖,可采用水泥砂浆涂抹;(4)当建筑外墙采用幕墙时,幕墙与每层楼板隔墙处的缝隙应采用防火材料封堵。
4.2单位加强消防安全管理,消防部门加强监管
单位要加强消防安全管理,认真开展消防安全自查自纠,针对自查中发现的用火用电不规范 胡乱堆放杂物等问题,必须立即排除;单位要认真落实安全生产的相关制度,落实防火制度和责任人,制定应急机制,规范用火用电,正确设置安全出口指向标志等;单位要加强对员工的消防安全培训,特别是特殊工种,必须保证员工持证上岗,确保用火用电安全,预防火灾事故的发生。
消防部门应加强监管,定期深入各单位进行监督检查,对存在的问题及时指出,要求单位落实整改对拒绝整改或整改不到位的单位,消防部门将依法给予处罚。监管的内容包括施工现场、施工工人的生活区、明火作业区和外墙保温材料、木料等易燃物品堆放区的消防设施的配备及监管情况,临时用电设施的防火、防水、防触电装置,外脚手架搭设和安全网的防火情况等。
4.3严格建设工程施工现场管理
强化施工现场管理应根据现有的消防条例和保温工程施工消防安全管理规定并结合实际情况制定出消防安全管理制度, 并认真贯彻执行:(1)保温板材进场后,不宜露天存放,应远离火源露天存放时,保温板材应采取可靠的防护措施。
(2)保温板材应在电焊等工序结束后进行铺设确需在保温板材铺设后进行电焊等工序的,将电焊部位周围应采用防火毯进行防火保护,或在可燃保温材料上涂刷水泥砂浆等不燃保护层进行保护;(3)不得直接在保温板材上进行防水材料的热熔热粘结法施工;(4)配足灭火器消防水泵消防水池等消防设施。
5.结束语
近年来由于外墙保温引起或加速火势蔓延的事故频发,国家有关部门对此类事故的重视上升到了一个新的高度。目前,作为施工单位要做的就是在现场施工阶段的防控工作。通过大量的工程实践,笔者认为对于外墙保温工程的施工阶段只要用科学严谨的态度进行管理,火灾事故是可以避免的。随着外墙保温安全和技术规程标准的完善,建筑节能事业必将健康有序地发展。
【参考文献】
论文提要
本文主要研究计算机网络安全与防火墙技术。随着计算机网络的普及,网络安全问题越来越得到人们的重视。在确保网络安全和数据安全方面,有数据加密技术、智能卡技术、防火墙技术等,我们在这里主要研究的是防火墙技术。在这里,我们了解了防火墙的概念及它的分类,知道了什么是防火墙以及它在网络中起到了的作用。从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,本文根据防火墙对内外数据的处理方法上,大致将防火墙分为包过滤防火墙和防火墙两大体系,并对这两种防火墙进行了对比。了解了防火墙的作用及它的优缺点,对防火墙的认识进一步的加深。然后介绍了防火墙三种基本实现技术:分组过滤、应用和监测模型。最后,了解了防火墙的基本元素及防火墙的三个典型结构。总之,我国目前使用较多的,是在路由器上采用分组过滤技术来提供网络安全的保证,对其它方面的技术还缺乏深入了解. 防火墙技术还处在一个发展阶段,仍有许多问题有待解决.
目录
一、防火墙的概念及其分类 3
(一)防火墙的概念 3
(二)防火墙的分类 3
1.静态包过滤防火墙: 3
2.动态包过滤防火墙: 4
二、 防火墙的作用及其优缺点 5
(一)防火墙的作用 5
(二)防火墙优缺点 5
三、防火墙基本技术 6
…… 6
…… 7
…… 7
…… 8
…… 8
…… 8
…… 8
…… 8
…… 9
五、结束语 9
致谢 10
参考文献 11
:7000多字
有摘要及关键词
150元
备注:此文版权归本站所有;。
一、计算机网络的安全与攻击
计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。
二、网络安全中的防火墙技术
(一)防火墙技术的基本概念
防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。
(二)防火墙的常用功能构件
它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。
三、防火墙的应用价值
防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:
(一)技术的价值
技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。
(二)过滤技术的价值
过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。
(三)检测技术的价值
检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。
四、总结
随着计算机网络的使用愈加广泛,网络安全问题也需要重视。而防火墙技术是计算机网络安全的重要保障手段,科学的利用防火墙技术的原理,能够更加合理的阻止各种信息或数据的泄露问题,避免计算机遭到外部的攻击,确保网络环境的安全。将防火墙技术应用于计算机的网络安全方面能够更加有效的根据实际的情况对网络环境进行保护,发挥其自身的作用以实现保护计算机网络安全的目的。
计算机硕士论文参考文献
[1]马利.计算机网络安全中的防火墙技术应用研究[J].信息与电脑,2017,13(35):35.
关键词:电子商务,信息安全,防火墙,权限控制
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
1 农产品电子商务的安全需求
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
1) 系统实体安全
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
3) 信息安全
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认。
2 农产品电子商和安全策略
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.
关键词:分布式防火墙;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
Distributed Firewall Network Security System Study
Zhou Guohui
(Guangxi Vocational&Technical Institute of Industry,Nanning 530001,China)
Abstract:With the rapid development of network technology,network security,received more attention,it is also widely used firewall technology,this paper describes a distributed firewall network security system,the composition and use of the principle.It also describes how to use a distributed firewall system to protect network security.
Keywords:Distributed firewall;Network security
一、引言
很多人都听说过防火墙这个名词,但防火墙的功能到底是什么,估计没有几个非专业认识能够做出明确的解释,其实防火墙的基本功能就是防止网络上的非法用户来访问我们的内部网络以及限制一些用户的使用权限,通过这个功能来保护我们的网络的安全。有了防火墙并不一定就很安全。普通的边界防火墙只是依赖网络的拓扑结构并且形成网络的流量瓶颈,这样只能大略的提供一下网络安全保护,根本就无法阻止来自网络内部的攻击;一台普通电脑的防火墙的自身防御能力很有限,它的保护配置全部由电脑使用者来设置,如此以来一个企业和组织就不能对防火墙进行集中有效的配置,来保护企业和组织的网络安全。
二、分布式防火墙
为了解决上面说的防火墙的缺陷,一个新的概念“分布式防火墙”出现了,最早提出这个概念的人是:stevenM.Bellovin,他在1999年自己写的论文里提出了这个概念。他在论文中主要说明的中心是:策略可以集中顶制,可以在各个主机上执行。而且还在文中说明了分布式防火墙的基本框架的模型。
一个普通的分布式放火墙系统的组成由三个部分,他们分别是:网络防火墙,主机防火墙和中心策略服务器,网络拓扑结构图如图1所示。
我们通过拓扑结构图对分布式防火墙有了初步的了解了,而且发现他们有以下的特征:(1)分布式防火墙与普通防火墙的最基本的区别就是分布式防火墙的完全配置不是由主机的用户来配置的,而且由安全中心的服务器来同意配置管理。(2)安全策略的执行是在各个客户端的电脑上执行的。(3)客户端的日志的管理必须统一归结到安全中心的服务器上,由服务器来统一集中管理。(4)驻留方式采用的是主机驻留方式。(5)防火墙的嵌入是在各个主机的操作系统的内核或者网络硬件接口中。
三、基于分布式防火墙的网络安全系统
(一)建立协同工作的网络安全系统
其实作为分布式防火墙来讲,他依然是一个静态的一个网络安全的防御系统,它的主要功能就是限制外界的非法访问和控制,但是我们知道网络的安全可不是静态的,它却是一个动态的过程。分布式防火墙在动态的获得网络安全状况这个方面的能力不是很强,所以就很难动态的来配置它的安全防御能力以及让它有针对的进行防御。所以说单一的分布式防火墙系统的网络防御能力是薄弱的,最好是结合一下其他的相关网络技术一起使用。
(二)基于分布式防火墙的安全系统
分布式防火墙的安全系统一共由四个组成部分,他们分别是:分布式防火墙部件,入侵检测部件,信息综合部件,管理决策部件。分布式防火墙的部件采用的就是分布式防火墙的结构。入侵检测部件的入侵检测模块是由分布式防火墙部件的主机防火墙模块在一个受保护的电脑所共同构成的一个防御系统,入侵检测模块和分布式防火墙部件在受保护主机的边界,从而形成了边界的防御系统。服务器中存放的就是信息综合部件和惯技决策部件,因为服务器要集中配置和管理分布式放火墙的网络防御系统。
管理决策部件的功能主要由两个:(1)作为网络系统安全的管理员,你必须要配置号分布式防火墙和入侵检测部件的安全策略和规则。这个功能主要是管理员通过组织或者企业内部自己指定的一个安全的政策,实现方面是由一个管理员的界面来实现的。(2)这个不见发送入侵的警告信息主要是通过入侵检测部件以及信息综合部件共同来完成的。从而来响应安全防御的决策。所谓的响应安全决策主要包括:确定以下具体的响应执行模块以及他应该执行什么样的响应动作;然后再把这个响应动作给传唤成安全策略和规则的形式,然后统一发给响应的执行模块来执行。所以说,如何能让系统的安全策略针对网络安全状况能够进行实时、智能的调整是对这个部件的一个最其本的要求。因此,作为管理决策部件,应该用比较权威的专家的系统来做实施方案。
四、结束语
本文主要根据笔者的工作经历简单讲述了一下分布式放火墙的构成已经运行原理,而且主要指出了要想更好的保护好组织和企业的网络安全,需要以分布式防火墙作为基础,然后结合分布式的入侵检测技术还要加上权威的专家系统,能够实时、智能的调整和响应网络安全事件。把这几个结合起来,就能达到一个满意理想的最佳效果。
参考文献:
[1]Beuovin s M.Distributed Firewalls[EB/0L].
researeh.att.coIn/~smb/papers/distfk.pdf,2004,6:25
[2]彭晴岚,李之棠.分布式防火墙系统的安全机制设计[J].计算机工程与科学,2003
[3]蒋建春,马恒太,任党恩等.网络安全入侵检测:研究综述[J].软件学报,2000,ll(11):1460-1466
关键词:入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
1 传统防火墙的不足
传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:
(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用Internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。
(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。
(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。
(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。
2 分布式防火墙的概念
为了解决传统防火墙面临的问题,美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:
(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。
(2) 主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。
(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。
3 分布式防火墙的工作模式
分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。
分布式防火墙工作模式结构
从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。
4 分布式防火墙的构建
分布式防火墙的构建主要有如下四个步骤:
(1) 策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。
(2) 日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。
(3) 策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。
(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据IP地址进行认证。为了避免IP地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、IP Sec等。
5 分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1) 分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。
(2) 分布式防火墙消除了结构性瓶颈问题,提高了系统性能。
(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
6 结论
总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。
参考文献
[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).
关键词:
中图分类号: TP391;TN911.73文献标识码:A文章编号:2095-2163(2011)03-0035-05
Design and Implementation of the Embedded Linux Firewall
RAO Ming, DU Zhonghui, HAN Qi, LI Qiong
Abstract: In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system.
Key words:
0引言
互联网已经发展成为当今世界上最大的信息库,但是Internet从建立开始就缺乏安全的总体构想和设计,所以互联网的安全性就存在众多缺陷和隐患,由此防火墙的概念应运而生。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,从而保护内部网免受非法用户的侵入。但是,传统意义上的防火墙存在网络应用受到结构性限制、内部安全隐患、效率较低和故障率高等缺点,所以人们又提出了分布式防火墙的概念。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。分布式防火墙的具体实现方式可以归结为基于软件和基于硬件两种,一般将基于硬件实现的分布式防火墙称为嵌入式防火墙[1]。嵌入式防火墙是一种基于嵌入式技术的新型防火墙,同时将安全策略延伸到了网络末端,安全措施由硬件系统实施,从而有效地克服了传统边界防火墙的局限,并结合了硬件解决方案的强健性和集中管理式软件解决方案的灵活性,从而创建了一种更为完善的安全防护架构。
1999年,Bellovin[2]提出了一种分布式的解决方案,将策略的执行分布到各端结点,同时保持集中式的策略管理。2000年,Loannids等人[3]按照Bellovin 1999年提出的观点实现了一个分布式防火墙的原型系统。2001年,Payne和 Markham[4]实现了一种基于硬件的分布式防火墙,并指出基于硬件的分布式防火墙具有更高的可靠性。国内学者也先后实现了基于嵌入式Linux以及Netfilter/Iptables架构的防火墙系统[5,6],并对嵌入式防火墙中Linux内核裁剪进行了研究[7,8]。在商业产品方面,华为3Com公司也研发出PCI卡和PC卡形式的嵌入式防火墙,这类防火墙不受网络拓扑控制,完全独立于主机操作系统,强化整个网络台式机、服务器和笔记本,配合适当的安全策略,控制每个端点的网络访问,并能快速响应检测到的攻击。但是这些研究和产品大多都基于Iptables工具,当规则数量达到一定程度时,Iptables进行规则过滤的速度大大下降,从而严重影响防火墙的整体性能。
本文基于ARM9嵌入式平台, 提出并实现了一种Iptables结合NF-hipac、Ipset的嵌入式防火墙方案,首先使用交叉编译技术将运行于x86体系Linux上的Netfilter/Iptables防火墙系统移植到基于ARM体系处理器的平台上,同时对Linux操作系统的内核进行裁剪。通过测试发现Iptables在某些条件下的性能局限,所以结合NF-hipac、Ipset实现三者优势的互补,进一步提高防火墙的性能。
1基于Netfilter/Iptables的防火墙分析
1.1Netfilter架构与Iptables
本小节将对Linux下的Netfilter/Iptables防火墙体系做整体的分析以及介绍,并指出Iptables的不足及其改进方案。
Netfilter是Linux内核实现数据包过滤、网络地址转换(NAT)、数据包处理等的功能框架。之所以说Netfilter是一种架构,是因为Netfilter可以被多种协议族所用。利用Netfilter架构,各种协议都可以在Linux内核级实现自己的防火墙。Netfilter的设计为内核中其它模块动态参与IP层中的数据包处理提供了途径。
Netfilter在内核中建立了一个函数指针链表,称为钩子函数链表,加入到链表中的函数指针所指的函数称为钩子函数(Hook Function)。一个数据包按照如图1所示的过程通过Netfilter系统,图中的5个钩子函数分别为:(1)NF_ IP_PRE_ROUTING;(2)NF_IP_LOCAL_IN;(3)NF_IP_FO-WARD;(4)NF_IP_POST_ROUTING;(5)NF_IP_LOCAL_OUT。
Iptables是基于Netfilter框架的数据报处理子系统[1],有很强的扩展性。内核模块可以在原有基础上注册一个新的规则表(table),并要求数据报流经指定的规则表,可以选择用于实现数据报过滤的filter表、网络地址转换的NAT表及数据报处理的mangle表。Linux2.6内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和Iptables;而且还是互相之间独立的模块,完美集成到由Netfilter提供的框架中。Iptables实现对规则的管理和访问,ipt_entry,ipt_match,ipt_target,ipt_table等数据结构用于构造规则表, ipt_do_table函数用于遍历规则表并处理规则表上的结构。
1.2Iptables的不足及衍生工具Ipset、NF-hipac
在利用Iptables向系统添加防火墙规则时,如果没有特殊指定,Iptables会将新规则添加至规则链(线性表)的尾部;而当协议栈中有新数据包达到时,内核会调用ipt _do_table()逐条将规则与数据包的属性相对比,如果匹配成功则转入相应的处理行为。也就是说,几乎所有未命中规则的数据包的匹配复杂度为O(n)(n为规则的数目),这样在小规则集的情况下,性能削减不会很大,但是如果在庞大规则集的情况下,性能就会因规则条目的增长而大幅削减。
Ipset工具在这个方面做了很大的改善,最主要的是在结构和规则的查找上面做了很大的改善。Ipset的思想就是将相同处理规则的匹配条件放到一个集合中,一般采用hash方法。一个报文查询规则的时候,只需要判断IP地址是否在这个集合中就可以了;如果满足对应的匹配条件,就执行相应的处理操作。由于将查找从线性表遍历改为了hash查找,时间复杂度从O(n)降到了O(1)。根据提供的测试结果表明,当规则数目在300-1 500之间的时候,其对性能的影响基本是水平线。
NF-hipac是Netfilter项目中的一个子项目,NF-hipac提供了一个新颖包分类的架构,将规则集呈现树状分布以代替原有Iptables的线性分布,从而将时间复杂度从O(n)降到了O(logn)。但是相比于Ipset,NF-hipac具有更大的灵活性。当查找每一个包的时候,使用一个高级算法来减少内存占用。在一个有特别多的规则和高带宽的网络中,NF-hipac表现出色。NF-hipac的特点就是其语法完全兼容iptables -t filter选项,并且NF-hipac可以调用Iptables的匹配行为以及连接跟踪机制,这些特点使NF-hipac可以完全取代Iptables的过滤子功能。
2嵌入式防火墙方案设计及实现
2.1基于Iptables-Ipset-NF-hipac的防火墙方案
Iptables的优势在于具有足够的灵活度,并且功能强大,面面俱到;劣势是在数量巨大的规则集时性能低下。而Ipset虽具有很好的性能,将Iptables的时间复杂度从O(n)降到了O(1),但是却缺乏灵活性,集合里所有的IP对应到同一个处理操作,在面对并非一次性更新的规则集合时,显得用处不大。NF-hipac的灵活性和性能处于前二者之间,但是只能代替Iptables-t filter选项。因此,综合三个工具的优势,设计出一个更加优秀的防火墙方案:
(1)Ipset负责一次性大规模更新同一处理操作的IP集合;
(2)NF-hipac负责独立零散的过滤规则的更新;
(3)Iptables用来进行其他子功能(数据包转发、数据包地址伪装等)操作。
这样既保证了系统运行的高性能,又能覆盖所需的全部功能。
本文设计的嵌入式Linux防火墙的整体体系架构如图2所示。硬件层为ARM9的处理器,操作系统内核为经过移植的Linux(版本2.6.13)内核,并且支持NetFilter。用户态则移植了三款防火墙工具,并且都是在Netfilter架构的基础上进行开发的,包括Iptables、Ipset以及NF-hipac。
2.2开发平台及编译环境
本文设计的嵌入式Linux防火墙方案是在HIT-ESDK01平台上实现的,HIT-ESDK01是哈工大自主研制的嵌入式实践教学平台。该平台采用ATMEL公司AT91RM9200(ARM920T)嵌入式处理器,这是一款ARM920T内核的工业级产品,主频180MHz,带有MMU存储器管理单元,内嵌10M/100M自适应以太网。开发板上还包括64MB SDRAM、 256MB/1GBNand Flash和16MB Nor Flash,板上集成4线电阻式触摸屏接口、TFT液晶屏接口,最大支持16BPP模式800?}600分辨率,板载RS232、RS485、RJ45、USB等接口以及CAN总线接口及多种存储卡接口。实验平台的接口布局如图3所示。
所谓交叉编译就是在一个平台上生成可以在另一个平台上执行的代码,本文使用基于gcc 3.4.1的工具链,在x86架构的Linux主机上使用ARM架构的编译工具链对系统内核和工具进行编译,生成可以在目标板上运行的内核,烧写到Flash中,便可在嵌入式平台上运行经过裁剪的系统和相关工具。交叉编译内核的详细步骤本文不再赘述,只是简要介绍三个防火墙工具编译与移植的关键环节。
Iptables是Linux内核的一部分,因此与交叉编译内核一起考虑Iptables的编译,需要注意的是,Iptables最好编译为built-in模式,而不要选择模块模式,这主要是考虑到嵌入式系统单内核方便管理、使用及大规模的工业复制。NF-hipac是通过内核补丁的方式编译的,下载到其源码后为内核打补丁,然后与内核一起编译。另外,还需要对源码进行一定的修改,为编译移植用户层NF-hipac工具做准备,修改的文件包括Makefile、nf-hipac-core.c等。Ipset也是通过内核补丁的方式编译的,操作方法类似。
3功能与性能测试
本文测试部分包括防火墙的功能测试和性能测试,使用到的测试工具Netperf。Netperf是一款网络性能的测量工具,主要针对基于TCP或UDP的传输。Netperf根据应用的不同,可以进行不同模式的网络性能测试,即批量数据传输(bulk data transfer)模式和请求/应答(request/reponse)模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据,以及另外一个系统能够以多快的速度接收数据。
本文测试用例包括两种网络拓扑,如图4、图5所示。测试网络拓扑1主要模拟了从外网的客户端访问被防火墙保护的内网服务器(Web服务器、测试软件netserver服务器等),外网IP用192.168.5.0/24模拟,内网IP用10.50.10.0/24模拟。由于嵌入式Linux防火墙本身也为一台计算机,所以将其内部假设服务器,测试网络拓扑2(下文简称拓扑2)如图5所示,完成拓扑1所不能完成的一些性能上的测试,将测试结果进行进一步分析对比。
3.1功能验证与测试
功能验证与测试包括Iptables功能测试、NF-hipac功能测试和Ipset功能测试,在各种单项测试通过后,进行了ftp、telnet、NAT、针对SYNFlood攻击的防御等应用场景测试,图6、图7是NAT测试的数据流示意图和测试结果,表1给出了针对SYNFlood攻击的防御的测试结果,测试结果表明了该防火墙功能的有效性。
3.2性能测试
本文对防火墙进行的性能测试包括:内核精简前后性能对比测试、MTU值对性能影响测试、Iptables/NF-hipac/Ipset大规则集下的压力测试以及网络套接字缓冲区大小对系统性能的影响测试。
内核精简前后性能对比测试主要是为了验证本文所做内核裁剪的有效性,本文对精简前后的内核做众多性能方面的测试,对比了批量数据传输速率、请求/应答模式(即TCP_RR模式)交易率、连接/请求/应答模式(即TCP_CRR模式)交易率三方面给出测试结果,如图8-图10所示。
从测试结果可以得出,TCP_CRR模式下的交易率的数值变化较为明显。由于TCP_CRR模式为每次交易建立一个新的TCP连接,对系统消耗最为严重,从图10可以看出,未精简的内核的交易率变得十分不稳定。但无论是三项测试数据当中的哪一项,内核精简后对比精简前均有不同程度的性能上的提升,证明对内核进行精简可以对系统性能的提升起到作用。
MTU值(Maximum Transmission Unit最大传输单元)[1]是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位),在大流量的网络当中,增大MTU的值可以很好地改善网络性能。本文测试拓扑2,从批量数据传输速率、请求/应答模式交易率两方面进行测试,结果如表2、表3所示,其中,嵌入式防火墙eth0接口连接至服务器的网络接口,eth1接口连接至客户端的网络接口。
通过测试结果可以观察到,在较大MTU值的情况下,无论是数据传输速率还是交易率均得到了提升,但是也取决于整个网络中的瓶颈MTU值。
接下来进行了Iptables、NF-hipac、Ipset三个工具在大规则集下的压力测试,测试结果如图11、图12所示。由测试结果可以看出,Iptables在300条规则之内的性能对比NF-hipac与Ipset并没有明显的劣势,但是当规则的数量超过这一数值的时候,其性能表现就会大打折扣。而NF-hipac与Ipset的性能表现则几乎与规则的数目无关,NF-hipac的表现要稍好于Ipset。
4结束语
本文在HIT-ESDK01嵌入式教学平台之上设计并实现了嵌入式Linux防火墙系统。首先,根据嵌入式及防火墙的基本知识,设计了系统的总体结构,针对嵌入式系统的特点,给出了一种Linux内核的裁剪理由及方案,并针对该方案给出了测试结果,证明对其实施裁剪的必要性;其次,指出了Netfilter/Iptables架构在大数量规则集下性能低下的缺陷,提出了Iptables结合NF-hipac、Ipset使用的解决方案,并针对方案给出了详细的移植方法及步骤;最后,对实现的系统进行了详细的功能及性能测试。功能测试完成了整个系统各项功能的测试,证明了系统的可用性;性能测试主要给出了影响系统性能的参数,包括内核精简程度、MTU值、套接口缓冲区大小、防火墙规则的数量等等,通过改变参数并加以测试,对得到的测试结果加以分析,给出优化系统的途径。
参考文献:
[ 1 ] PAYNE C,MARKHAM T. Architecture and Applications for a
Distributed Embedded Firewall[C]// Proceedings of the Comp-
uter Security Applications Conference,2001:329-336.
[ 2 ] BELLOVIN S M. Distributed Firewalls[J]. Journal of Login,19-
99:39-47.
[ 3 ] LOANNIDS S,SMITH J,KEROMYTIS A D,et al. Implementing
a distributed firewall[C]// Proceedings of the 7th ACM Conferen-
ce on Computer and Communications Security, Athens, Greece,
2000-11.
[ 4 ] PAYNE C,MARKHAM T. Architectures and applications for a
distributed embedded firewall[C]// Proceedings of the Computer
Security Applications Conference,2001:329-336.
[ 5 ] 刘正海. 基于嵌入式Linux防火墙的研究与实现[D]. 重庆:重庆
大学硕士学位论文,2007.
[ 6 ] 郑培群. 嵌入式防火墙过滤规则的设计与算法优化[D]. 武汉:
武汉理工大学硕士学位论文,2010.
[ 7 ] 罗奕. 嵌入式Linux裁剪及其系统构建的研究与实现[D]. 长沙:
中南大学硕士学位论文,2005.
关键词:局域网网络安全
一、引言
信息科技的迅速发展,Internet已成为全球重要的信息传播工具。科技论文。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。
二、局域网的安全现状
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。科技论文。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
三、局域网安全技术
1、采用防火墙技术。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类:
包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。
应用级防火墙(也称为应用防火墙)在最高的应用层提供高级别的安全防护和控制。
2、网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
3、以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
4、VLAN的划分。运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
5、隐患扫描。一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。科技论文。
四、网络安全制度
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
2、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、实时监控网络用户的行为,保障网络设备自身和网上信息的安全。
4、对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。
五、结束语
网络的开放性决定了局域网安全的脆弱性,而网络技术的不断飞速发展,又给局域网的安全管理增加了技术上的不确定性,目前有效的安全技术可能很快就会过时,在黑客和病毒面前不堪一击。因此,局域网的安全管理不仅要有切实有效的技术手段,严格的管理制度,更要有知识面广,具有学习精神的管理人员。
参考文献
[1]石志国,薛为民,尹浩.《计算机网络安全教程》[M].北京:北方交通大学出版社,2007.
关键词:计算机,网络安全,防火墙
随着计算机网络的广泛应用,网络安全问题日渐突出。网络具有跨国界、无主管、不设防、开放、自由、缺少法律约束力等特性,网络的这些特性显示了它的许多优点,但同时也使它容易受到来自各方面的入侵和攻击。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。
1 网络安全概述
网络安全从本质上来讲就是网络上的信息安全,指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统能连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
2 网络安全的威胁因素
归纳起来,网络安全的威胁主要有:
(1)网络协议的局限性。 Internet的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。并且,由于TCP/IP协议是公布于众的,若人们对TCP/IP协议很熟悉,就可以利用它的安全缺陷来实施网络攻击。
(2) 人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。虽然网络中设置了不少保护屏障,但由于人们的安全意识淡薄,从而使保护措施形同虚设。例如防火墙,它是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目的就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。如有人为了避开防火墙服务器的额外认证,进行直接的PPP连接,就会使防火墙失去保护作用。
(3)计算机病毒的危害。 计算机病毒是一个能够通过修改程序,把自身复制进去进而去传染其它程序的程序。它并不独立存在,而是寄生在其他程序之中,它具有能自我“复制”并能“传播”这一基本特征,并在计算机网络内部反复地自我繁殖和扩散,危及网络系统正常工作,最终使计算机及网络系统发生故障和瘫痪。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。随着计算机应用的发展,人们深刻地认识到病毒对计算机信息系统造成严重的破坏。
(4) 黑客的威胁和攻击。 这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。黑客入侵的例子枚不胜举,从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
3计算机网络安全防范措施
针对网络系统现实情况,处理好网络的安全问题是当务之急。为了保证网络安全采用如下方法:
(1)配置防火墙。防火墙将内部网和公开网分开,实质上是一种隔离技术。它是网络安全的屏障,是保护网络安全最主要的手段之一。免费论文。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进人自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客随意访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。免费论文。
(2)安装防病毒网关软件。防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
(3)应用入侵检测系统。入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。它能够检测那些来自网络的攻击,检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务的性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理。免费论文。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(4)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
(5)采用漏洞扫描技术。漏洞扫描是针对特定信息网络中存在的漏洞而进行的。信息网络中无论是主机还是网络设备都可能存在安全隐患,有些是系统设计时考虑不周而留下的,有些是系统建设时出现的。这些漏洞很容易被攻击,从而危及信息网络的安全。漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。它的具体实现是安全扫描程序,扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法,把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。
(6)应用数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
(7)常做数据备份。由于数据备份所占有的重要地位,它已经成为计算机领域里相对独立的分支机构。时至今日,各种操作系统都附带有功能较强的备份程序,但同时也还存在这样或那样的缺陷;各类数据库管理系统也都有一定的数据复制的机理和功能,但对整个系统的数据备份来说仍有不够完备之处。所以,若想根本解决整个系统数据的可靠备份问题,选择专门的备份软、硬件,建立专用的数据备份系统是不可缺少的。
结语
随着网络的迅速发展,网络技术的日渐更新,网络时代的计算机信息安全越来越重要,网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。
f参考 文 献 ]
[1卢开澄:《计算机密码学一计算机网络中的数据预安全》(清华大学出版社1998).
[2余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社1998).
[3〕蔡立军:《计算机网络安全技术》(中国水利水电出版社2002).
[41邓文渊、陈惠贞、陈俊荣:(ASP与网络数据库技术》(中国铁道出版社2003.4).
论文摘要:随着网络在社会生活中不断普及,网络安全问题越来越显得重要。当因特网以变革的方式提供信息检索与能力的同时,也以变革的方式带来信息污染与破坏的危险。对计算机网络安全保护模式与安全保护策略进行探讨。
计算机网络最重要的资源是它所提供的服务及所拥有的信息,计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性。为了有效保护网络安全,应选择合适的保护模式。
1 安全保护模式
为尽量减少和避免各种外来侵袭的安全模式有以下几种类型:
1.1 无安全保护。最简单的安全保护模式是完全不实施任何安全机制,按销售商所提供的最小限度安全运行。这是最消极的一种安全保护模式。
1.2 模糊安全保护。另一种安全保护模式通常称之为“模糊安全保护”,采用这种模式的系统总认为没有人会知道它的存在、目录、安全措施等,因而它的站点是安全的。但是实际上对这样的一个站点,可以有很多方法查找到它的存在。站点的防卫信息是很容易被人知道的。在主机登录信息中了解到系统的硬件和软件以及使用的操作系统等信息后,一个入侵者就能由此试一试安全漏洞的重要线索。入侵者一般有足够多的时间和方法来收集各种信息,因此这种模式也是不可取的。
1.3 主机安全保护。主机安全模式可能是最普通的种安全模式而被普遍采用,主机安全的目的是加强对每一台主机的安全保护,在最大程度上避免或者减少已经存在的可能影响特定主机安全的问题。
在现代的计算机环境中,主机安全的主要障碍就是环境复杂多变性。不同品牌的计算机有不同的商,同一版本操作系统的机器,也会有不同的配置、不同的服务以及不同的子系统。这就得要作大量的前期工作和后期保障上作,以维护所有机器的安全保护,而且机器越多安全问题也就越复杂。即使所有工作都正确地执行了,主机保护还会由于软件缺陷或缺乏合适功能和安全的软件而受到影响。
1.4 网络安全保护。由于环境变得大而复杂,主机安全模式的实施也变得愈来愈困难。有更多的站点开始采用网络安全保护模式。用这种安全保护模式解决如何控制主机的网络通道和它们所提供的服务比对逐个主机进行保护更有效。现在一般采用的网络安全手段包括:构建防火墙保护内部系统与网络,运用可靠的认证方法(如一次性口令),使用加密来保护敏感数据在网络上运行等。
在用防火墙解决网络安全保护的同时,也决不应忽视主机自身的安全保护。应该采用尽可能强的主机安全措施保护大部分重要的机器,尤其是互联网直接连接的机器,防止不是来自因特网侵袭的安全问题在内部机器上发生。上面讨论了各种安全保护模式,但没有一种模式可以解决所有的问题,也不存在一种安全模式可以解决好网络的管理问题。安全保护不能防止每一个单个事故的出现,它却可以减少或避免事故的严重损失,甚至工作的停顿或终止。
2 安全保护策略
所谓网络安全保护策略是指一个网络中关于安全问题采取的原则、对安全使用的要求以及如何保护网络的安全运行。以下是加强因特网安全保护措施所采取的几种基本策略。
2.1 最小特权。这是最基本的安全原则。最小特权原则意味着系统的任一对象(无论是用户、管理员还是程序、系统等),应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。 在因特网环境下,最小特权原则被大量运用。在保护站点而采取的一些解决方法中也使用了最小将权原理,如数据包过滤被设计成只允许需要的服务进入。在试图执行最小特权时要注意两个问题:一是要确认已经成功地装备了最小特权,二是不能因为最小特权影响了用户的正常工作。
2.2 纵深防御。纵深防御是指应该建立多种机制而不要只依靠一种安全机制进行有效保护,这也是一种基本的安全原则。防火墙是维护网络系统安全的有效机制,但防火墙并不是因特网安全问题的完全解决办法。任何安全的防火墙,都存在会遇到攻击破坏的风险。但可以采用多种机制互相支持,提供有效冗余的办法,这包括安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强安全教育和系统安全管理等。防火墙也可以采用多层结构。如使用有多个数据包过滤器的结构,各层的数据包过滤系统可以做不同的事情,过滤不同的数据包等。在开销不大的情况下,要尽可能采用多种防御手段。
2.3 阻塞点。所谓阻塞点就是可以对攻击者进行监视和控制的一个窄小通道。在网络中,个站点与因特网之间的防火墙(假定它是站点与因特网之间的唯一连接)就是一个这样的阻塞点。任何想从因特网上攻击这个站点的侵袭者必须经过这个通道。用户就可以在阻塞点上仔细观察各种侵袭并及时做出反应。但是如果攻击者采用其他合法的方法通过阻塞点,这时阻塞点则失去了作用。在网络上,防火墙并不能阻止攻击者通过很多线路的攻击。
2.4 防御多样化。在使用相同安全保护系统的网络中,知道如何侵入一个系统也就知道了如何侵入整个系统。防御多样化是指使用大量不同类型的安全系统,可以减少因一个普通小错误或配置错误而危及整个系统的可能,从而得到额外的安全保护。但这也会由于不同系统的复杂性不同而花费额外的时间与精力。
3 防火墙
防火墙原是建筑物大厦设计中用来防止火势从建筑物的一部分蔓延到另一部分的设施。与之类似,作为一种有效的网络安全机制,网络防火墙的作用是防止互联网的危险波及到内部网络,它是在内部网与外部网之间实施安全防范,控制外部网络与内部网络之间服务访问的系统。但必须指出的是防火墙并不能防止站点内部发生的问题。防火墙的作用是:限制人们从一个严格控制的点进入;防止进攻者接近其他的防御设备;限制人们从一个严格控制的点离开。防火墙的优点:1)强化安全策略:在众多的因特网服务中,防火墙可以根据其安全策略仅仅容许“认可的”和符合规则的服务通过,并可以控制用户及其权力。2)记录网络活动:作为访问的唯一站点,防火墙能收集记录在被保护网络和外部网络之间传输的关于系统和网络使用或误用的信息。3)限制用户暴露:防火墙能够用来隔开网络中的一个网段与另一个网段,防止影响局部网络安全的问题可能会对全局网络造成影响。4)集中安全策略:作为信息进出网络的检查点,防火墙将网络安全防范策略集中于一身,为网络安全起了把关作用。
参考文献
[1]靳攀,互联网的网络安全管理与防护策略分析[J].北京工业职业技术学院学报,2008,(03).
[2]赵薇娜,网络安全技术与管理措施的探讨[J].才智,2008,(10).
关键词:VPN,多出口,校园网,远程访问,ISP
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02