引論:我們為您整理了13篇防火墻技術論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術分
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
(2)應用(ApplicationProxy)型。
應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型防火和第二代自適應防火墻。
類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務,在自己的程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3從防火墻結構分
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。
分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
4按防火墻的應用部署位置分
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
參考文獻
篇2
(二)數據倉庫技術
信息技術的發展使得信息網絡中傳輸和存儲的信息量越來越大、越來越復雜,如何對海量的數據信息進行科學高效管理,降低有用信息的獲取難度是數據倉庫技術的出發點之一。應用數據倉庫相關技術如關系數據庫、分布式數據處理、并行式數據處理等可以將海量的數據轉換和集成為條理清晰的、準確可靠的信息資料,供用戶進行信息查詢、數據統計等。此外,數據倉庫技術還可為數據管理人員在不了解數據庫結構和不同數據間相互關系的情況下進行數據挖掘提供了可能。
(三)數據挖掘技術
目前的數據庫系統雖可對信息進行錄入、查詢或統計,但在處理和發掘不同數據之間的關系,分析未來發展趨勢等方面存在諸多不足。這就要求對龐大的數據信息進行挖掘。
(四)人工智能網絡信息檢索技術
隨著信息網絡規模的擴大和信息數據量的增長,如果僅僅依靠人工篩選很難達到預期效果,人工智能網絡信息技術可以對人工特性進行模擬,但是又不失計算機技術的高效性和快速性,可以根據待解決的復雜問題進行信息檢索和數據分析,進而向用戶提供相應的,較為準確的檢索分析結果。
二計算機信息網絡中的安全防護類關鍵技術分析
完整的計算機信息網絡分為7個層次,對應的網絡安全防護需要對每一層進行部署,但是實際應用中可根據TCP/IP協議,將安全防護簡化為四個主要的層次,分別為物理層、鏈路層、網絡層以及應用層。對信息網絡的安全防護應該實現以下幾方面內容。首先是對網絡訪問用戶和訪問數據的控制與審查。即根據用戶權限和數據權限確定對應關系,建立訪問控制體系,只有符合要求的用戶才能夠對網絡信息進行訪問或修改,這樣可以增大惡意攻擊發生的難度。其次是建立多層防御體系。一方面要對通信數據進行加密和認證,防止數據信息傳輸過程中受到竊取或修改;另一方面做好信息監控管理,設立一套完整的信息安全監控體系,建立數據備份和恢復機制,確保網絡受到攻擊時還能夠最大程度保存數據的可恢復性。
(一)防火墻技術
防火墻技術是在內部網絡與外部網絡之間建立一個信息安全策略,根據該策略確定內外網絡之間的通信是否被允許。當前安全級別最高的防火墻技術是隱蔽智能網關技術,該技術可以防止針對防火墻的惡意攻擊還能夠向用戶提供最大限度的網絡訪問,對未授權的訪問、未經過認證的用戶、以及不符合安全策略的信息數據進行阻止或拒絕。
篇3
隨著計算機網絡的廣泛應用,全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。
其實防火墻就好像在古老的中世紀安全防務的一個現代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛可以檢查每一個來往的行人。對于網絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。
防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網絡間不受歡迎的信息交換,而允許那些可接受的通信。
二、防火墻技術
網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性:
1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;
2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術,比如現代密碼技術等;
5、人機界面良好,用戶配置使用方便,易管理。
實現防火墻的主要技術有:分組篩選器,應用網關和服務等。
(1)分組篩選器技術
分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發,不能通過檢查的就被丟棄。
通常,分組篩選器由系統管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。
擁塞外出分組更有技巧性,因為雖然大多數節點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協議),其端口號是動態分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。
(2)應用網關技術
應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。
有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶(3)服務
服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。
具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。
在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網
三、防火墻技術展望
伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。
4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。
5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。
另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。
參考文獻:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
篇4
當內網互聯主機與互聯網主機連接時,需要使用相應的IP地址,反之當互聯網主機與內網互聯主機連接時,需要通過網關映射到內網主機。這將使互聯網網絡無法看到內部網的網絡,而且內部網的網絡將自己躲了起來。此外,DMZ中堡壘主機過濾管理程序可以順利通過安全通道,并與內部網中的智能認證服務器進行互相通信,而且通信的信息都是秘密進行的。由于智能認證服務器能夠進行秘密通信,因此它可以修改內外路由器表,也可以調整制定過濾規則。在智能防火墻中的智能認證服務程序和應用過濾管理程序可以互相協調,不僅可以在堡壘主機上運行,還可以在服務器上運行。
3、INTRANET條件下智能型防火墻的網絡安全技術實現方式
3.1智能型防火墻堡壘主機及其實現方法
堡壘主機起著連接內部網和互聯網的作用,它的作用非常重要,但是它容易受到攻擊,因此我必須要對其做好安全性保護,首先我們對堡壘主機操作系統——Linux操作系統,做了非常縝密的安全化處理,其具體方法是:對于SMTP,FTP,HTTP等的基本網路服務進行保留,對他們的源代碼進行重新改寫,使它們中的過濾功能從中分離出來,建立一個新的模塊,這個模塊被稱為:應用過濾管理器模塊,讓這個模塊運行在堡壘主機上,統一調度管理所有的應用服務。應用過濾管理器的主要功能是對所有經過堡壘主機的信息進行攔截,然后從下至上對其經過協議的信息進行逐層分析,并對相對安全的數據進行存儲,最后秘密地傳達給智能認證服務器,讓智能認證服務器對這些信息進行分析處理,分析完之后再秘密地傳回給應用過濾管理器,然后應用過濾管理器根據分析結果對應用過濾功能進行重新配置,同時激發相應進行工作。
3.2智能型防火墻的智能認證服務器及實現方法
智能認證服務程序和網絡數據庫是智能認證服務器的核心,智能認證服務器是通過信息驅動來進行操作的,如果外部主機訪問內部網絡,則需要外部路由器的數據審核,通過審核的信息才能順利達到DMZ網絡,對于內部網的信息請求,不需要經過內部路由器審核,它可以直接進入DMZ網絡,另外,還需要這些路由器是否制定過濾規則,如果制定了過濾規則,就不能進行信息傳達,并且這些信息也將被丟棄掉,但是,如果過濾規則允許進行傳輸,那么這些信息還需要通過防火墻。如果數據包和路由器制定的規則不一致,那么這個數據包將會被用過濾管理器攔截下來,然后從底層協議到上層協議對其進行分析,如果分析結果是具有安全性的,那么這個數據包將會被傳輸給智能認證服務器。智能認證服務器上的數據接收器就會把這些信息存儲到網絡安全數據庫中,網絡安全數據庫發生變化后,推理機就會自動進行工作,推理機就會使用安全專家知識庫里的信息對剛剛進入網絡安全數據庫中的這些信息進行分析、比較和推斷,看看是否能夠找出相關對應的數據,從而得出過濾方案,使網絡管理員能夠直觀的看到,方便網絡管理員根據實際情況作出相應的處理。這時原文發生器就會轉化其內部的代碼或者通過修改路由器表和過濾規則來實現內外主機通信;或者由過濾管理器通過修改過濾規則,將其傳輸到DMZ上的堡壘主機,堡壘主機中的應用過濾管理器對其過濾功能進行重新配置,激發其他應用進行工作。因此,智能型防火墻更能全面嚴格地進行安全控制。
篇5
0 引言
一般來說,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響。駐有網關的網絡常被叫做非軍事區(DeMilitarized Zone,DMZ)。DMZ中的網關有時還由一個內部網關(internal gateway)協助工作。一般情況下,兩個網關通過內部過濾器到內部的連接比外部網關到其他內部主機的連接更為開放。就網絡通信而言,兩個過濾器或網關本身,都是可以省去的,詳細情況隨防火墻的變化而變化。一般說來,外部過濾器可用來保護網關免受攻擊,而內部過濾器用來應付一個網關遭到破壞后所帶來的后果,兩個過濾器均可保護內部網絡,使之免受攻擊。一個暴露的網關機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數據包過濾(packet filtering)和應用網關(application gateway)。
數據包過濾防火墻的工作方法是通過基于數據包的源地址、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息,過濾決定也是根據當前數據包的內容來做的。管理員可以設計一個可接受機器和服務的列表,以及一個不可接受機器和服務的列表。在主機和網絡一級,利用數據包過濾器很容易實現允許或禁止訪問。例如,允許主機A和B之間的任何IP訪問,或禁止除A以外的任何機器訪問B。
大多數安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務。例如,可以希望允許任何主機與機器A連接,但僅限于發送或接收郵件。其他服務可以或不可以被允許。數據包過濾器允許在這一級別上進行某些控制,為了正確地做到這一點,要求精通許多操作系統上TCP和UDP端口的使用知識。包過濾防火墻的優點是速度快,缺點是不能對數據內容進行控制。
應用網關防火墻則是另一種方式,它不使用通用目標機制來允許各種不同種類的通信,而是針對每個應用使用專用目的代碼。雖然這樣做看來有些浪費,但卻比任何其他方法安全得多。一是不必擔心不同過濾規則集之間的交互影響,二是不必擔憂對外部提供安全服務的主機中的漏洞。只需仔細檢查選擇的數個程序。應用網關還有另一個優點:它易于記錄并控制所有的進/出通信,并對Internet的訪問做到內容級的過濾,所以是很安全的。應用級網關的最大缺點就是速度慢。
1 網絡的系統規劃與設計
根據用戶具體情況,規劃內網的環境,必要時使用多個網段。確定是否需要向外部Internet提供服務以及何種服務,由此確定是否需要DMZ網段以及DMZ網段的具體結構。根據內網、DMZ網的結構確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內網、DMZ網之前。設計系統的訪問控制規則,使防火墻起作用。
2 防火墻配置步驟建議
配置網絡結構,安裝NetST■防火墻硬件,使防火墻各網卡正確連接內網,外網和DMZ網。配置NetST■防火墻網絡參數使網絡連接正常,必要時需重啟NetST■防火墻。設計網絡安全策略,根據用戶具體情況設置安全選項、NAT規則、訪問控制的過濾規則、內容過濾規則等。啟動防火墻引擎,使規則起作用。
3 防火墻規則定義的一般步驟
NetST防火墻一般按下列步驟定義規則:
一般情況下,我們建議用戶按上面步驟進行規則配置,用戶也可以根據情況進行一定的調整和修改。
4 狀態檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態檢測包過濾技術,實時在線監測當前內外網絡的TCP連接狀態,根據連接狀態動態配置規則,對異常的連接狀態進行阻斷,實現入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網絡攻擊方法的判別,并且進行有效阻斷。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能。NetST防火墻支持各種主流網絡協議,不僅可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾,并且可以對多種網絡入侵進行辨別和有效阻斷,同時實時進行記錄和報警;另外,NetST■防火墻與內置多種網絡對象的Java管理控制臺配合使用,可以更加充分發揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務)攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對服務器不斷發各種類型的數據包使服務器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網絡陷于癱瘓,然后再冒充B與A通信以執行對A造成危害的操作。防止IP欺騙的方法一是服務器不開危險服務,二是服務器的TCP連接的起始序列號要隨機選取,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網到內網的連接請求,或只將允許的開放端口請求轉到DMZ區的服務器,同時DMZ區服務器盡量只開單一服務,并注意對系統軟件進行升級或打補丁;
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務器上運行那些服務,從而對服務進行攻擊或利用某些服務的缺陷攻擊主機。NetST■防火墻利用網絡地址轉換(NAT)功能、TCP狀態檢測等方法進行防御;
4.1.4 IP盜用:在內網中的一臺機器通過修改IP地址模擬另一臺機器,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態綁定以及IP地址與MAC地址綁定來進行預防。
4.2 全面內容過濾 NetST防火墻支持對最常用的應用層協議進行內容過濾,使用戶可以根據網絡傳輸的內容進行管理和控制,從而使企業網絡運行更加快速有效。NetST防火墻支持HTTP協議的URL過濾和HTML內容過濾。NetST■防火墻支持與WebCM■3000系列產品無縫集成,由NetST■防火墻提取出URL,然后與UFP服務器連接以確定是否允許此請求通過;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數據,如圖像、聲頻、視頻等,以免浪費帶寬,降低工作效率;NetST防火墻支持FTP協議內容過濾,用戶可自行設定拒絕上載和下載的文件類型表,對此文件類型范圍內的文件傳送請求將被拒絕;
NetST防火墻支持主要郵件協議的內容過濾。對于SMTP協議,用戶可自行設定拒絕發的附件文件類型表,對此文件類型范圍內的附件發送請求將被拒絕;對于POP3協議,可自行設定危險的附件文件類型表,對此文件類型范圍內的附件收取將修改文件的后綴名以使其暫時失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當前信息技術高速發展的情況下,好的反火槍技術不斷發展更新,設計該系統的過程中,我們也是在不斷的發現問題,解決問題。也發現了不少沒有能解決的新問題,比如延時的控制以及系統運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設計與實現.華中科技大學碩士學位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統研究.北京郵電大學碩士學位論文,2007:17-23.
篇6
企業內部辦公自動化網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet,它具有開放性,因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果,給正常的企業經營活動造成極大的負面影響。因此企業需要一個更安全的辦公自動化網絡系統。
目前企業內部辦公網絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數據監聽等,在這眾多的安全隱患中要數黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業網絡中應該以防范黑客和病毒為首。
針對企業辦公網絡存在的眾多隱患,各個企業也實施了安全防御措施,其中包括防火墻技術、數據加密技術、認證技術、PKI技術等,但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業辦公中的應用給予探討,希望能給廣大企業辦公網絡安全建設帶來一定幫助。
二、防火墻技術概述
1.防火墻的基本概念
防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻,在這里引申為保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻服務的原理與其類似,它用來防止外部網上的各類危險傳播到某個受保護網內。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是一組硬件設備(路由器、主機)和軟件的多種組合;而從本質上來說防火墻是一種保護裝置,用來保護網絡數據、資源和用戶的聲譽;從技術上來說,網絡防火墻是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,換句話說,防火墻是一道門檻,控制進/出兩個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵,如安全網絡可能是企業的內部網絡,不安全網絡是因特網,當然,防火墻不只是用于某個網絡與因特網的隔離,也可用于企業內部網絡中的部門網絡之間的隔離。
2.防火墻的工作原理
防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻
的數據流,只允許授權的數據通過,同時記錄有關的聯接來源、服務器提供的
通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤,并且防火墻本身也必須能夠免于滲透。
3.防火墻的功能
一般來說,防火墻具有以下幾種功能:
①能夠防止非法用戶進入內部網絡。
②可以很方便地監視網絡的安全性,并報警。
③可以作為部署NAT(NetworkAddressTranslation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
④可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部內部信息的地點。從技術角度來講,就是所謂的停火區(DMZ)。
4.防火墻的分類
①包過濾型防火墻,又稱篩選路由器(Screeningrouter)或網絡層防火墻(Networklevelfirewall),它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制,根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協議類型和數據包中的各種標志等為參數,與用戶預定的訪問控制表進行比較,決定數據是否符合預先制定的安全策略,決定數據包的轉發或丟棄,即實施過濾。
②服務器型防火墻
服務器型防火墻通過在主機上運行的服務程序,直接對特定的應用層進行服務,因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程,它代替網絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。
③復合型防火墻
由于對更高安全性的要求,通常把數據包過濾和服務系統的功能和特點綜合起來,構成復合型防火墻系統。所用主機稱為堡壘主機,負責服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或服務器型防火墻,而是將各種安全技術結合起來,形成一個混合的多級防火墻,以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態包過濾;②內核透明技術;③用戶認證機制;④內容和策略感知能力:⑤內部信息隱藏;⑥智能日志、審計和實時報警;⑦防火墻的交互操作性等。
三、辦公網絡防火墻的設計
1.防火墻的系統總體設計思想
1.1設計防火墻系統的拓撲結構
在確定防火墻系統的拓撲結構時,首先必須確定被保護網絡的安全級別。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統的拓撲結構。
1.2制定網絡安全策略778論文在線
在實現過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流,逐一完成每一項許可的服務;第二條策略是允許一切沒有被禁止的服務,防火墻轉發所有的信息,逐項刪除被禁止的服務。
1.3確定包過濾規則
包過濾規則是以處理IP包頭信息為基礎,設計在包過濾規則時,一般先組織好包過濾規則,然后再進行具體設置。
1.4設計服務
服務器接受外部網絡節點提出的服務請求,如果此請求被接受,服務器再建立與實服務器的連接。由于它作用于應用層,故可利用各種安全技術,如身份驗證、日志登錄、審計跟蹤、密碼技術等,來加強網絡安全性,解決包過濾所不能解決的問題。
1.5嚴格定義功能模塊,分散實現
防火墻由各種功能模塊組成,如包過濾器、服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現,功能分散減少了實現的難度,增加了可靠程度。
1.6防火墻維護和管理方案的考慮
防火墻的日常維護是對訪問記錄進行審計,發現入侵和非法訪問情況。據此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據網絡拓撲結構的改變或安全策略的變化,對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能,以保證網絡極其信息的安全性。
2.一種典型防火墻設計實例——數據包防火墻設計
數據包過濾防火墻工作于DOD(DepartmentofDefense)模型的網絡層,其技術核心是對是流經防火墻每個數據包進行行審查,分析其包頭中所包含的源地址、目的地址、封裝協議(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統預先設定的安全策略相匹配,以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用,這一過程就稱為數據包過濾。
本例中網絡環境為:內部網絡使用的網段為192.168.1.0,eth0為防火墻與Internet接口的網卡,eth1為防火墻與內部網絡接口的網卡。
數據包過濾規則的設計如下:
2.1與服務有關的安全檢查規則
這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸.這類服務包括WWW,FTP,Telnet,SMTP等.我們以WWW包過濾為例,來分析這類數據包過濾的實現.
WWW數據包采用TCP或UDP協
議,其端口為80,設置安全規則為允許內部網絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內部網部的WWW服務器,(假定其IP地址為192.168.1.11)。
要實現上述WWW安全規則,設置WWW數據包過濾為,在防火eth0端僅允許目的地址為內部網絡WWW服務器地址數據包通過,而在防火墻eth1端允許所有來自內部網絡WWW數據包通過。
#DefineHTTPpackets
#允許Internet客戶的WWW包訪問WWW服務器
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT
#允許WWW服務器回應Internet客戶的WWW訪問請求
/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT
/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT
顯然,設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。
與此相似,我們可以建立起與FTP,Telnet,SMTP等服務有關的數據包檢查規則;
2.2與服務無關的安全檢查規則778論文在線
這類安全規則是通過對路由表、數據包的特定IP選項和特定段等內容的檢查來實現的,主要有以下幾點:
①數據包完整性檢查(TinyFragment):安全規則為拒絕不完整數據包進人Ipchains本身并不具備碎片過濾功能,實現完整性檢查的方法是利用REDHAT,在編譯其內核時設定IP;alwaysdefraymentssetto‘y’。REDHAT檢查進人的數據包的完整性,合并片段而拋棄碎片。
②源地址IP(SourceIPAddressSpoofing)欺騙:安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機,以期能滲透到內部網絡中.要實現這一安全規則,設置拒絕數據包過濾規則為,在防火墻eth0端拒絕1P源地址為內部網絡地址的數據包通過。
③源路由(SourceRouting)欺騙:安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息,實現的方法也是借助REDHAT的路由功能,拒絕來自外部的包含源路由選項的數據包。
總之,放火墻優點眾多,但也并非萬無一失。所以,安全人員在設定防火墻后千萬不可麻痹大意,而應居安思危,將防火墻與其他安全防御技術配合使用,才能達到應有的效果。
參考文獻:
張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統應用,1999
王麗艷.淺談防火墻技術與防火墻系統設計.遼寧工學院學報.2001
郭偉.數據包過濾技術與防火墻的設計.江漢大學學報.2001
篇7
隨著Internet的快速發展,網絡安全問題是人們最為關注的問題,基于IPv4協議邊界式防火墻存在著日益突出的問題,主要體現在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問題。邊界式防火墻在保護企業內部網絡的情況下,確實是一種有效的網絡安全技術,而隨著網絡應用規模的日益擴大,它的缺陷也不斷呈現出來,很難實現網絡的安全性和網絡性能的均衡性。為了彌補IPv4和傳統邊界式防火墻的缺陷性及網絡安全性等問題,此文提出了基于Linux的IPv6分布式防火墻網絡體系架構的設計與實現。IPv6作為下一代互聯網的基礎協議存在很多優勢。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問題,并且在安全性、移動性以及QoS等方面有著強有力的支持,IPv6協議由于包頭設計得更加合理,使得路由器在處理數據包時更加快捷。此外,IPv6將IPSec集成到了協議內部,使得IPSec不再單獨存在等等。
1 分布式防火墻網絡體系結構
1.1分布式防火墻技術
分布式防火墻分為安全策略管理服務器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務器主要負責安全策略、用戶、日志、審計等管理作用。該服務器是集中管理控制中心,統一制定和分發安全策略,負責管理系統日志、多主機的統一管理,使終端用戶“零”負擔。客戶端防火墻主要作用于各個服務器、工作站、個人計算機上,按照安全策略文件的內容,必須通過包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢測,保護計算機在正常情況下連接網絡時不會受到黑客惡意的入侵與攻擊,從而大大提高了網絡安全性能。多臺基于主機但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中,安全策略仍然被集中定義,但是在每一個單獨的網絡端點(如主機、路由器)上實施。
分布式防火墻包括安全策略語言、安全策略機制及應用、實施安全策略機制。安全策略的法則嚴格地規定了允許通過的通訊文件和禁止通過的通訊的文件,它可以在多種類型的情況下應用,還必須有權利委派和身份鑒別的功能。策略制定之后就可以至網絡端點上去了。在傳輸過程中,策略系統必須保證策略法則的完整性、真實性。策略有多種形式,可以直接“推”到終端系統上,可以由終端按照需求截取,也可以提供給用戶(以證書的形式)。策略實施機制系統在主機上,在處理進出的通訊之前,它需要查詢本地策略才能做出允許或者禁止的決定。
1.2分布式防火墻體系架構
圖1分布式防火墻體系架構
針對邊界式防火墻的缺陷,提出了“分布式防火墻”(Distributed Firewalls)作為新的防火墻體系結構,因為它主要負責網絡邊界、每個子網和網絡內部每一個節點之間的安全防護,所以分布式防火墻為一個完整的體系,而不僅僅是單一的產品。依據它所需完成的功能,包括三部分:網絡防火墻(Network Firewall)、主機防火墻(Host Firewall)、中心管理(Central Managerment),如圖1所示。
(1)網絡防火墻(Network Firewall)
網絡防火墻一般是純軟件方式,有時候需要硬件的支持。它作用于外部網與內部網之間,及內部網下各個小子網之間的防護,這也是與傳統邊界式防火墻不同之處,這樣以來整個網絡的安全防護體系就會更加全面、可靠。
網絡防火墻包括入侵檢測模塊、防火墻模塊和管理模塊。入侵檢測模塊所用的是snort_inLine,防火墻模塊在Linux環境下所用的是基于Netfilter框架的Iptables,為了使網絡防火墻更好的安全防護整個網絡,防火墻模塊和入侵檢測模塊內嵌式互動,防火墻實時截取網絡數據包,假如是信賴的網段或主機的數據包,就直接通過網絡防火墻,減少入侵檢測系統的匹配次數;如果不是,數據包通過內核態至用戶態,入侵檢測系統接收到數據包再檢測,如果發現入侵,就通知防火墻截斷,如果沒有發現入侵,就依照防火墻配置的法則處理。管理模塊包含數據發送程序(向管理中心發送防火墻和入侵檢測系統日志)、數據接受程序(接受管理中心發放的法則)兩部分,數據發送程序的作用是:先與自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數據發送,直到文件完成。數據接受程序的作用是: 監聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
(2)主機防火墻(Host Firewall)
與網絡防火墻的設計一樣,主要對網絡中的服務器和桌面機進行防護,這是在邊界式防火墻安全體系方面的改進。它主要作用于同一內部子網之間的工作站與服務器之間,來確保內部網絡服務器的安全,這樣就安全防護應用層了,比起網絡層來更加全面。
主機防火墻由防火墻模塊、主機管理模塊組成,防火墻模塊在Linux環境下用的是基于Netfilter框架的Iptables,按照管理中心的安全策略過濾數據包;主機管理模塊包括數據發送程序(向管理中心發送日志)、數據接受程序(接受管理中心發放的法則)兩部分,數據發送程序的作用是:先與自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數據發送,直到文件完成。數據接受程序的作用是: 監聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
(3)管理中心(Managerment Central)
它作為服務器軟件,主要負責總體安全策略的策劃、管理、分發及日志的匯總,還有遠程管理、系統設置、系統安全等其它輔助功能。它也是在邊界式防火墻功能的一個完善。它具有智能管理的功能,提高了防火墻的安全防護靈活性、管理性。網絡防火墻和主機防火墻把日志發送給日志分析系統之后保存到日志文件之中,網絡管理維護中心發放法則給網絡防火墻和主機防火墻,管理中心與主機防火墻和邊界防火墻之間的通信必須通過身份驗證之后運用openssH數據安全通道加密通訊,這樣管理中心與主機防火墻和網絡防火墻的通信才會更加安全。此外管理中心還有用戶圖形界面(GUI)功能,負責管理網絡中的所有端點、制定和分發安全策略,而且要分析從主機防火墻、網絡防火墻接收的日志,依據分析的結果再修改安全策略。
2主機防火墻的設 計與實現
Linux廣泛地應用到世界各地服務器網絡當中,由于它是開源的。Linux版本2.4內核中已采用了Netfilter的防火墻框架,而且內核中還支持IPv6協議棧。所以此文采用Linux作為目標環境下的系統的開發和運行平臺。
2.1主機管理模塊
主機管理模塊包括數據發送程序(向管理中心發送日志)、數據接受程序(接受管理中心發放的法則)兩部分,數據發送程序的作用:首先要跟自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數據再發送,直到文件完成。數據接受程序的作用:監聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
2.2主機防火墻模塊
Linux版本2.4內核中集成了Netfilter框架,基于Linux平臺下,該框架具有新的網絡安全功能:網絡數據包過濾、狀態保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務:負責從用戶命令行界面接收命令之后轉化成內核認識的結構體,調用相應的內核操作函數,將法則插入到內核中去。運用Iptables,一定在編譯Linux內核時(版本一定比2.4大)選擇跟Netfilter相關的內核模塊。Netfilter作為內核空間的實現模塊,Iptables作為用戶空間的控制命令解析器,只有它們合起來才能完成整體的工作。因此首先必須對內核進行裁剪和編譯,選擇與Netfilter相關的項目,(位于“Networking options”子項下)。
Netfilter是由一系列基于協議棧的鉤子組成,這些鉤子都對應某一具體的協議。Netfilter支持IPv4、IPv6與IPx等協議,具有協議對應的鉤子函數。這些鉤子函數在數據包通過協議棧的幾個關鍵點時被調用,協議棧把數據包與鉤子標號作為參數傳遞給Netfilter鉤子;可以編寫內核模塊來注冊一個或多個鉤子,以掛鉤自己的處理函數,這樣當數據包被傳遞給某個鉤子時,內核就會依次調用掛鉤在這個鉤子上的每一個處理函數,這些處理函數就能對數據包進行各種處理(修改、丟棄或傳遞給用戶進程等);接收到的數據包,用戶進程也可以對它進行各種處理。一個IPV6數據包在通過Netfilter防火墻框架時,它將經過如圖2所示的流程。
圖2 IPv6網絡數據包處理流程
每一個IPv6數據包經過Netfilter框架時,必須通過5個鉤子函數處理:
(1)HOOK1(NF_IP6_PRE_ROUTING),數據包在抵達路由之前經過這個鉤子。目前,在這個鉤子上只對數據包作包頭檢測處理,一般應用于防止拒絕服務攻擊和NAT;(2)HOOK2(NF_IP6_LOCAL_IN),目的地為本地主機的數據包經過這個鉤子。防火墻一般建立在這個鉤子上;(3)HOOK3(NF_IP6_FORWARD),目的地非本地主機的數據包經過這個鉤子;(4)HOOK4(NF_IP6_POST_ROUTING),數據包在離開本地主機之前經過這個鉤子,包括源地址為本地主機和非本地主機的;(5)HOOK5(NF_IP6_LOCAL_OUT),本地主機發出的數據包經過這個鉤子。
IP網絡數據包處理流程:數據報從左邊進入系統,進行IPv6校驗以后,數據報經過第一個鉤子NF_IP_PRE_ROUTING注冊函數進行處理;然后就進入路由代碼,其決定該數據包是需要轉發還是發給本機的;若該數據包是發被本機的,則該數據經過鉤子NF_IP6_LOCAL_IN注冊函數處理以后然后傳遞給上層協議;若該數據包應該被轉發則它被NF_IP6_FORWARD注冊函數處理;經過轉發的數據報經過最后一個鉤子NF_IP6_POST_ROUTING注冊函數處理以后,再傳輸到網絡上。
本地產生的數據經過鉤子函數NF_IP6_LOCAL_OUT注冊函數處理以后,進行路由選擇處理,然后經過NF_IP6_POST_ROUTI NG注冊函數處理以后發送到網絡上。
3 結論
針對本文設計的Linux環境下IPv6分布式防火墻的測試中,用兩臺IPv6主機對防火墻保護下的內網主機進行訪問,來測試防火墻。外網主機的環境一臺為WINXP,另一臺是Linux。通過對外網主機訪問記錄的驗證來檢測防火墻的性能。測試的實驗結果表明:系統都能按照規則對數據包進行處理,實現了IPv6分布式防火墻的功能。隨著網絡的不斷發展,傳統的邊界式防火墻的弊端越來越暴露出來了,Linux作為一種開放源代碼的操作系統,在世界各地有著廣泛的應用。Linux內核版本2.4中已經采用了Netfilter的防火墻框架,而且內核中已支持IPv6協議棧,而下一代通信協議IPv6是未來網絡發展的趨勢。本文在Linux環境下設計并實現了一個分布式防火墻具有重大意義。
參考文獻:
[1]范振岐.基于Linux的IPv6復合防火墻的設計[J].網絡安全技術與使用,2006,2:35-37.
[2]蔣雄偉.Linux下的分布式防火墻設計與實現:[碩士學位論文].南京:南京理工大學.2006.
[3]張科.IPv6防火墻狀態檢測技術的研究與實現:[碩士學位論文].重慶:重慶大學.2007.
[4]楊剛,陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計算機工程與設計,2007,(28):4124-4132.
篇8
一.引言
隨著社會經濟的發展,建筑工程建設得到了前所未有的發展,建筑工程項目的數量日益增多,同時出現的各種建筑工程事故也在增加。建筑工程的結構設計是保證工程質量的關鍵,防火防爆設計直接影響著工程項目的實用性,甚至關系著人民的生命財產安全。因此,為了提高建筑工程的質量,保障人民的生命財產安全,降低國家的經濟損失,我們必須要加強對建筑工程防火防爆設計的研究,提高設計的安全性。
二.對工業建筑進行防火防爆設計需考慮的問題。
建筑消防設計是建筑設計中一個重要組成部分,關系到人民生命財產安全,應該引起大家的足夠重視。文章從防火分區、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區問題。
《建規》中規定了廠房及倉庫的的防火分區,其中有一點需要注意,廠房及倉庫的防火分區首先受該建筑物生產類別影響,其次還和建筑物的耐火等級有關。雖然《建規》中規定封閉樓梯間的門為雙向彈簧門就可以了,但做為劃分防火分區用的封閉樓梯間門至少應設乙級防火門。否則樓梯間也是火災縱向蔓延的途徑之一,也應按上下連通層作為一個防火分區計算面積。
(2). 安全疏散設計問題。
很多大型工業建筑在消防安全疏散設計中存在的問題,諸如首層疏散樓梯無法直通室外,設備及管道布置錯綜復雜致使人員逃生路線迂回曲折,疏散距離超過規范要求等。在設計中應合理設置安全疏散通道,并使疏散通道兩側的隔墻耐火極限≥lh(非燃材料),房間內最遠工作點的疏散距離應考慮設備及管道布置的影響等等。
(3)防爆泄壓應注意的問題
首先,不同用途的廠房有不同的廠房爆炸危險等級,進而根據規范采取相應級別的泄壓比。第二,要避免建筑物內有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產生較大超壓,保證所設計的泄壓面積能有效。第三,泄壓方向要避開人員疏散通道及重要設施。
三.工業廠房防火防爆設計要點。
有爆炸危險的廠房,一旦發生爆炸,不但會造成房倒人亡,設備摧毀,生產停頓,甚至引起相鄰廠房或設施連鎖爆炸、次生火災。因此,從廠房設計起,就應考慮防爆抗爆措施。消防部門也應加強對此類廠房的審核,嚴格把關,將隱患消滅在源頭。因此在設計爆炸危險廠房時應注意把握以下幾個方面:
1.平面布局設計。
規模較大的工廠和倉庫,應根據實際需要,合理劃分生產區、儲存區、生產輔助設施區和行政辦公、生活福利區等。同一生產企業內,宜盡量將火災危險性相同或相近的建筑集中布置,以便分別采取防火防爆設施,便于安全管理。在選址時,應注意周圍環境,充分考慮建廠地區的企業和居民安全。注意地勢條件,應根據產品的性質,優先選取有利地形,減少危險性,減少對周圍環境的火災威脅。注意風向,散發可燃氣體、可燃蒸汽和可燃粉塵的車間、裝置,應布置在廠區的全年主導風向的下風向。
2.建筑耐火等級。
建筑物耐火等級。劃分建筑物耐火等級是建筑設計防火規范中規定的防火技術措施中最基本的措施。它要求建筑物在火災高溫的持續作用下,墻、柱、梁、樓板、屋蓋、吊頂等基本建筑構件,能在一定的時間內不破壞,不傳播火災,從而起到延緩和阻止火災蔓延的作用,并為人員疏散、搶救物資和撲滅火災以及為火災后結構修復創造條件。
3.防火墻和防火門及防火間距。
根據在建筑物中的位置和構造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內墻防火墻、外墻防火墻和獨立防火墻等。內防火墻是把廠房或庫房劃分成防火單元,可以阻止火勢在建筑物內的蔓延擴展;外防火墻是鄰近兩幢建筑物的防火間距不足而設置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區域如需要互相通行時,可在中間設置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災發生時,由于強烈的熱輻射、熱對流以及燃燒物質的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴散,應保證建筑物之間的防火間距。
4.工業建筑防爆。
在一些工業建筑中,使用和產生的可燃氣體、可燃蒸氣、可燃粉塵等物質能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物、生產設備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業建筑,為了防止爆炸事故的發生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構造和建筑設施方面采取防火防爆措施。首先,此類建筑以獨立設置,并宜采用敞開或半敞開式,承重結構多采用鋼筋混凝土或鋼框架、排架結構。第二,要加強與其貼臨建造建筑物的保護,根據需要將兩者之間的隔墻設置為防火墻或防爆墻。第三,有爆炸危險的甲、乙類廠房(倉庫)應設置足夠有效的泄壓設施,以減少爆炸帶來的損失。當建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積,且各計算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴寒地區的有爆炸危險的建筑物屋頂上所設的泄壓設施還應考慮采取有效防止冰雪積聚的措施。
5. 設置防爆門斗
設置防爆門斗是解決交通和防爆的有力措施,第一道門宜采用防爆門,才能達到防爆的效果。但防爆門均采用特殊鋼材制作,其連接轉動部件和防止門與門框碰撞產生火花,門鉸鏈應采用青銅軸和墊圈或其他摩擦碰撞不發火材料制作,門扇周邊貼橡膠板,防止碰撞產生火花。防爆門斗內要有一定的容積,保證當門打開時瞬時進入門斗的可燃氣體濃度降低,兩門布置應在不同方位上,間距200以上。防爆門斗也是爆炸危險部位的安全出口,其位置應滿足安全疏散距離的要求。
四.結束語
隨著人們生活水平的提高,對生命財產的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高,經濟性建立在安全性的基礎之上,只有保證了建筑結構的安全性,才能夠考慮建筑工程施工的經濟性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進而為社會創造出良好的經濟效益。進而有效提高建筑結構的安全性能,促進建筑工程建設的發展,促進建筑業的發展。
參考文獻:
[1] 李海 防爆防火設計在工業建筑中的應用 [期刊論文] 《黑龍江科技信息》 -2012年2期
篇9
0 引言
近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站,通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發展。
1 農產品電子商務的安全需求
根據電子商務系統的安全性要求,田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。
1) 系統實體安全
系統實體安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施和過程。
2) 系統運行安全系統運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全[1]。項目組在實施項目前已對系統進行了靜態的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統獲取非法信息,因此系統備份是必不可少的(如采用放置在不同地區站點的多臺機器進行數據的實時備份)。為防止意外停電,系統需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務,因此保證此類安全最為迫切。系統需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問防火墻,即保證系統的可控性。在這基礎上要實現系統的不可否認性,要有效防止通信或交易雙方對已進行的業務的否認論文的格式。
2 農產品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網絡安全策略
1) 防火墻技術
防火墻是由軟件系統和硬件系統組成的,在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網與外部網形成一定的隔離,防止非法入侵、非法盜用系統資源,執行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2) VPN 技術
VPN 技術也是一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其分支機構就可以相互之間安全的傳遞信息。同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制,是當前和今后企業網絡發展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能防火墻,又不會“餓死”,低優先級的應用。
管理問題
由于網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備論文的格式。
2.2基于角色訪問的權限控制策略
農產品電子商務系統信息系統含有大量的數據對象,與這些對象有關的用戶數量也非常多,所以用戶權限管理工作非常重要。
目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數據元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據系統作業流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。
(2)分配權限策略
根據系統的實際功能結構對系統功能進行編碼,系統管理員可以創建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時,系統會根據用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數據加密的數據安全策略
在農產品商務系統中,數據庫系統作為計算機信息系統核心部件,數據庫文件作為信息的聚集體,其安全性將是重中之重。
1)數據庫加密系統措施
(1)在用戶進入系統進行兩級安全控制
這種控制可以采用多種方式,包括設置數據庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說防火墻,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數據抽取方式
提供兩種卸出和裝入數據庫中的加密數據的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數據還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數據明文,在這種模式下,可利用系統專用工具先進行數據轉換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結束語
隨著信息化技術的快速發展,農產品電子商務創新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現農產品電子商務業務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35
篇10
從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。盡管如此,事情沒有我們想象的完美,攻擊我們的是人,不是機器,聰明的黑客們總會想到一些辦法來突破防火墻。
一、包過濾型防火墻的攻擊
包過濾技術是一種完全基于網絡層的安全技術,只能根據Packet的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意入侵。
包過濾防火墻是在網絡層截獲網絡Packet,根據防火墻的規則表,來檢測攻擊行為。根據Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。
(一)ip欺騙
如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以騙過防火墻的檢測。如:我將Packet中的源地址改為內部網絡地址,防火墻看到是合法地址就會放行。
這種攻擊應該怎么防范呢?
如果防火墻能結合接口,地址來匹配,這種攻擊就不能成功了。
eth1連接外部網絡,eth2連接內部網絡,所有源地址為內網地址的Packet一定是先到達eth2,我們配置eth1只接受來自eth2的源地址為內網地址的Packet,那么這種直接到達eth1的偽造包就會被丟棄。
(二)分片偽造
分片是在網絡上傳輸IP報文時采用的一種技術手段,但是其中存在一些安全隱患。PingofDeath,teardrop等攻擊可能導致某些系統在重組分片的過程中宕機或者重新啟動。這里我們只談談如何繞過防火墻的檢測。
在IP的分片包中,所有的分片包用一個分片偏移字段標志分片包的順序,但是,只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時,防火墻只根據第一個分片包的Tcp信息判斷是否允許通過,而其他后續的分片不作防火墻檢測,直接讓它們通過。
工作原理弄清楚了,我們來分析:從上面可以看出,我們如果想穿過防火墻只需要第一個分片,也就是端口號的信息符合就可以了。
那我們先發送第一個合法的IP分片,將真正的端口號封裝在第二個分片中,那樣后續分片包就可以直接穿透防火墻,直接到達內部網絡主機,通過我的實驗,觀察攻擊過程中交換的數據報片斷,發現攻擊數據包都是只含一個字節數據的報文,而且發送的次序已經亂得不可辨別,但對于服務器TCP/IP堆棧來說,它還是能夠正確重組的。
二、NAT防火墻的攻擊
這里其實談不上什么攻擊,只能說是穿過這種防火墻的技術,而且需要新的協議支持,因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接,我們稱為UDP打洞技術。
UDP打洞技術允許在有限的范圍內建立連接。STUN(TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators)協議實現了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中,NAT分配的外部端口被發送給協助直接連接的第三方。在NAT后面的雙方都向對方的外部端口發送一個UDP包,這樣就在NAT上面創建了端口映射,雙方就此可以建立連接。一旦連接建立,就可以進行直接的UDP通信了。
但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地,NAT見了的端口映射,如果一段時間不活動后就是過期。為了保持UDP端口映射,必須每隔一段時間就發送UDP包,就算沒有數據的時候,只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。
由于各方面原因,這次沒有對建立TCP的連接做研究,估計是能連接的。
三、防火墻的攻擊
防火墻運行在應用層,攻擊的方法很多。這里就以WinGate為例。WinGate是以前應用非常廣泛的一種Windows95/NT防火墻軟件,內部用戶可以通過一臺安裝有WinGate的主機訪問外部網絡,但是它也存在著幾個安全脆弱點。
黑客經常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問,從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊。因此,這種攻擊非常難于被跟蹤和記錄。
導致WinGate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對WinGate防火墻軟件進行合理的設置,只是簡單地從缺省設置安裝完畢后就讓軟件運行,這就讓攻擊者可從以下幾個方面攻擊:
(一)非授權Web訪問
某些WinGate版本(如運行在NT系統下的2.1d版本)在誤配置情況下,允許外部主機完全匿名地訪問因特網。因此,外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊(如CGI的漏洞攻擊等),同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的,因此,很難追蹤到攻擊者的來源。
檢測WinGate主機是否有這種安全漏洞的方法如下:
(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網上。
(2)把瀏覽器的服務器地址指向待測試的WinGate主機。
如果瀏覽器能訪問到因特網,則WinGate主機存在著非授權Web訪問漏洞。
(二)非授權Socks訪問
在WinGate的缺省配置中,Socks(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web(80號Tcp端口)一樣,外部攻擊者可以利用Socks訪問因特網。
(三)非授權Telnet訪問
它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務器的Telnet服務,攻擊者可以使用別人的主機隱藏自己的蹤跡,隨意地發動攻擊。
檢測WinGate主機是否有這種安全漏洞的方法如下:
1)使用telnet嘗試連接到一臺WinGate服務器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris''''^]''''.
Wingate>10.50.21.5
2)如果接受到如上的響應文本,那就輸入待連接到的網站。
3)如果看到了該新系統的登錄提示符,那么該服務器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其實只要我們在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。
四、監測型防火墻的攻擊
一般來說,完全實現了狀態檢測技術防火墻,智能性都比較高,普通的掃描攻擊還能自動的反應。但是這樣智能的防火墻也會受到攻擊!
(一)協議隧道攻擊
協議隧道的攻擊思想類似與VPN的實現原理,攻擊者將一些惡意的攻擊Packet隱藏在一些協議分組的頭部,從而穿透防火墻系統對內部網絡進行攻擊。
比如說,許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務端)是實施這種攻擊的有效的工具。在實際攻擊中,攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端,而后攻擊者就可以通過loki客戶端將希望遠程執行的攻擊命令(對應IP分組)嵌入在ICMP或UDP包頭部,再發送給內部網絡服務端lokid,由它執行其中的命令,并以同樣的方式返回結果。
由于許多防火墻允許ICMP和UDP分組自由出入,因此攻擊者的惡意數據就能附帶在正常的分組,繞過防火墻的認證,順利地到達攻擊目標主機。
(二)利用FTP-pasv繞過防火墻認證的攻擊
FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1,在監視FTP服務器發送給客戶端的包的過程中,它在每個包中尋找“227”這個字符串。如果發現這種包,將從中提取目標地址和端口,并對目標地址加以驗證,通過后,將允許建立到該地址的TCP連接。
攻擊者通過這個特性,可以設法連接受防火墻保護的服務器和服務。
五、通用的攻擊方法
(一)木馬攻擊
反彈木馬是對付防火墻的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機,由于連接是從內部發起的,防火墻(任何的防火墻)都認為是一個合法的連接,因此基本上防火墻的盲區就是這里了。防火墻不能區分木馬的連接和合法的連接。
說一個典型的反彈木馬,目前變種最多有“毒王”之稱的“灰鴿子”,該木馬由客戶端主動連接服務器,服務器直接操控。非常方便。
(二)d.o.s拒絕服務攻擊
簡單的防火墻不能跟蹤tcp的狀態,很容易受到拒絕服務攻擊,一旦防火墻受到d.o.s攻擊,它可能會忙于處理,而忘記了自己的過濾功能。簡單的說明兩個例子。
Land(LandAttack)攻擊:在Land攻擊中,黑客利用一個特別打造的SYN包,它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢。
IP欺騙DOS攻擊:這種攻擊利用TCP協議棧的RST位來實現,使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。假設現在有一個合法用戶(a.a.a.a)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為a.a.a.a,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后,認為從a.a.a.a發送的連接有錯誤,就會清空緩沖區中已建立好的連接。這時,合法用戶a.a.a.a再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而只能重新開始建立新的連接。
六、結論
我們必須承認以現在的防火墻技術,無法給我們一個相當安全的網絡。網絡中是沒有百分之百安全的,由于我們面對的黑客都屬于聰明的高技術性計算機專家,攻擊時的變數太大,所以網絡安全不可能單靠防火墻來實現,只可能通過不斷完善策略、協議等根本因素才行。
在防火墻目前還不算長的生命周期中,雖然問題不斷,但是,它也在科學家的苦心經營下不斷自我完善,從單純地攔截一次來自黑客的惡意進攻,逐步走向安全事件管理及安全信息管理的大路,并將最終匯入網絡安全管理系統的大海,這應該是一種歷史的必然。一旦防火墻把網絡安全管理當作自我完善的終極目的,就等同于將發展的方向定位在了網絡安全技術的制高點,如果成功,防火墻將成為未來網絡安全技術中不可缺少的一部分。
參考文獻:
[1]W.RichardAs.TCP/IP詳解卷一:協議[M].機械工業出版社,2000.
[2]黎連業,張維.防火墻及其應用技術[M].北京:清華大學,2004.
篇11
2.防火墻技術。防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網絡的目的,價格較貴,但效果較好,一般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如:對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力,要保證企業內部網的安全,還需通過對內部網絡的有效控制和來實現。 3.數據加密技術。與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。 數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止欺騙,這對信息處理系統的安全起到極其重要的作用。 4.入侵檢測技術。網絡入侵檢測技術也叫網絡實時監控技術,它通過硬件或軟件對網絡上的數據流進行實時檢查,并與系統中的入侵特征數據庫等比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。因此入侵檢測是對防火墻有益的補充。可在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。 5.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。 網絡安全與網絡的發展戚戚相關,關系著IN-TERNET的進一步發展和普及。網絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應注重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網絡帶來的巨大便利。
[參考文獻] [1]顧巧論.計算機網絡安全[M].北京:清華大學出版社,2008.
篇12
計算機網絡是信息社會的基礎,己經進入社會的各個角落。經濟、文化、軍事、教育和社會日常生活越來越多地依賴計算機網絡。但是不容忽略的是網絡本身的開放性、不設防和無法律約束等特點,在給人們帶來巨大便利的同時,也帶來了一些問題,網絡安全就是其中最為顯著的問題之一。計算機系統安全的定義主要指為數據處理系統建立和采用的安全保護技術。計算機系統安全主要涉及計算機硬件、軟件和數據不被破壞、泄漏等。由此,網絡安全主要涉及硬件、軟件和系統數據的安全。
近幾年,隨著計算機網絡的迅速發展,全國各高校都普遍建立了校園網。校園網成為學校重要的基礎設施。同時,校園網也同樣面臨著越來越多的網絡安全問題。但在高校網絡建設的過程中,普遍存在著“重技術、輕安全”的傾向,隨著網絡規模的迅速發展,網絡用戶的快速增長,校園網從早先的教育試驗網的轉變成教育、科研和服務并重的帶有運營性質的網絡。校園網作為數字化信息的最重要傳輸載體,如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網絡安全問題逐漸引起了各方面的重視。
從根本上說,校園計算機網絡系統的安全隱患都是利用了網絡系統本身存在的安全弱點,而系統在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅校園網安全的因素主要包括:網絡協議漏洞造成的威脅,操作系統及應用系統的漏洞造成的威脅,攻擊工具獲取容易、使用簡單,校園網用戶的安全意識不強,計算機及網絡應用水平有限等方面。
關于網絡安全的法律法規都已出臺,學校網絡中心也制定了各自的管理制度,但是還存在著各種現實問題,宣傳教育的力度不夠,許多師生法律意識淡薄。網上活躍的黑客交流活動,也為網絡破壞活動奠定了技術基礎。這是本論文討論的背景和亟待解決的問題。
二、校園網的安全防范技術
校園網絡的安全是整體的、動態的,主要有網絡物理安全、系統安全、網絡安全、應用安全等多方面的內容,通過采用防火墻、授權認證、數據加密、入侵檢測等安全技術為手段,才有利于更有效地實現校園網絡安全、穩定運行。論文將對常用的校園網絡安全技術進行研究。
首先是認證技術,認證技術是網絡通信中建立安全通信信道的重要步驟,是安全信息系統的“門禁”模塊,是保證網絡信息安全的重要技術。認證的主要目的是驗證信息的完整性,確認被驗證的信息在傳遞或存儲過程中沒有被篡改或重組,并驗證信息發送者的真實性,確認他沒有被冒充。認證技術是防止黑客對系統進行主動攻擊的一種重要技術手段,主要通過數字信封、數字摘要、數字簽名、智能卡和生物特征識別等技術來實現。
第二是密碼技術,目前保障數據的安全主要采用現代密碼技術對數據進行主動保護,如數據保密、雙向身份認證。數據完整性等,由此密碼技術是保證信息的安全性的關鍵技術。密碼技術在古代就己經得到相當的應用,但僅限于外交和軍事等重要領域。隨著計算機技術的迅速發展,密碼技術發展成為集數學、電子與通信、計算機科學等學科于一身的交叉學科。密碼技術不僅能夠保證機密性信息的加密,而且完成了數字簽名、系統安全等功能。所以,使用密碼技術不僅可以保證信息的機密性,而且可以防止信息被篡改、假冒和偽造。現在密碼技術主要是密碼學。密碼學也是密碼技術的理論基礎,主要包括密碼編碼學和密碼分析學。密碼編碼學主要研究如何對信息進行編碼,以此來隱藏、偽裝信息,通過對給定的有意義的數據進行可逆的數學變換,將其變為表面上雜亂無章的數據,而只有合法的接收者才能恢復原來的數據,由此保證了數據安全。密碼分析學是研究如何破譯經過加密的消息并識別偽造消息。總之,密碼編碼技術和密碼分析技術相互支持、密不可分。
第三是防火墻技術,防火墻是指放置在不同網絡或網絡安全域之間的系列部件的組合。防火墻在不同網絡區域之間建立起控制數據交換的唯一通道,通過允許或拒絕等手段實現對進出內部網絡的服務和訪問的控制。防火墻本身也具有較強的抗攻擊能力,能有效加強不同網絡區域之間的訪問控制,是提供信息安全服務,實現網絡安全的重要的基礎設施。
第四是入侵檢測系統。網絡安全風險系數越來越高,防火墻技術己經不能滿足人們對網絡安全的需求。入侵檢測系統作為對防火墻及其有益的補充,不僅能幫助網絡系統快速發現攻擊的發生,也擴展了系統管理員的安全管理能力,有效提高了信息安全基礎結構的完整性。
三、結語
網絡技術迅速發展的同時,也帶來了越來越多的網絡安全問題,校園網安全防范的建設更是一項復雜的系統工程,需要相關工作人員予以更多的重視。論文在辨清網絡安全和校園網絡安全的定義的基礎上,從認證技術、密碼技術、防火墻、入侵檢測系統、訪問控制技術、虛擬專用網六個方面分析了校園網安全防范技術,這不僅是理論上的分析,也為網絡安全實踐提供了一定的借鑒。
參考文獻:
[1]蔡新春.校園安全防范技術的研究與實現[J].合肥工業大學,2009(04).
[2]謝慧琴.校園網安全防范技術研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網安全防范技術體系[J].硅谷,2011(24).
[4]陶甲寅.校園網安全與防范技術[J].電腦知識與技術,2007(01).
[5]袁修春.校園網安全防范體系[D].蘭州:西北師范大學,2005.
篇13
型和監測型防火墻技術是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。防火墻可以是獨立的系統,也可以在一個進行網絡互連的路由器上實現防火墻。
用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構:屏蔽路由器,又稱包過濾防火墻;雙穴主機,雙穴主機是包過濾網關的一種替代;主機過濾結構,這種結構實際上是包過濾和的結合;屏蔽子網結構,這種防火墻是雙穴主機和被屏蔽主機的變形。根據防火墻所采用的技術不同,可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型。
1包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
3型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
