防火墙技术论文精品(七篇)
时间:2023-03-16 16:00:57
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇防火墙技术论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
篇(2)
一、计算机网络的安全与攻击
计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。
二、网络安全中的防火墙技术
(一)防火墙技术的基本概念
防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。
(二)防火墙的常用功能构件
它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。
三、防火墙的应用价值
防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:
(一)技术的价值
技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。
(二)过滤技术的价值
过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。
(三)检测技术的价值
检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。
四、总结
随着计算机网络的使用愈加广泛,网络安全问题也需要重视。而防火墙技术是计算机网络安全的重要保障手段,科学的利用防火墙技术的原理,能够更加合理的阻止各种信息或数据的泄露问题,避免计算机遭到外部的攻击,确保网络环境的安全。将防火墙技术应用于计算机的网络安全方面能够更加有效的根据实际的情况对网络环境进行保护,发挥其自身的作用以实现保护计算机网络安全的目的。
计算机硕士论文参考文献
[1]马利.计算机网络安全中的防火墙技术应用研究[J].信息与电脑,2017,13(35):35.
篇(3)
关键词:入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
篇(4)
关键词:局域网网络安全
一、引言
信息科技的迅速发展,Internet已成为全球重要的信息传播工具。科技论文。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。
二、局域网的安全现状
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。科技论文。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
三、局域网安全技术
1、采用防火墙技术。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类:
包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。
应用级防火墙(也称为应用防火墙)在最高的应用层提供高级别的安全防护和控制。
2、网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
3、以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
4、VLAN的划分。运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
5、隐患扫描。一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。科技论文。
四、网络安全制度
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
2、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、实时监控网络用户的行为,保障网络设备自身和网上信息的安全。
4、对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。
五、结束语
网络的开放性决定了局域网安全的脆弱性,而网络技术的不断飞速发展,又给局域网的安全管理增加了技术上的不确定性,目前有效的安全技术可能很快就会过时,在黑客和病毒面前不堪一击。因此,局域网的安全管理不仅要有切实有效的技术手段,严格的管理制度,更要有知识面广,具有学习精神的管理人员。
参考文献
[1]石志国,薛为民,尹浩.《计算机网络安全教程》[M].北京:北方交通大学出版社,2007.
篇(5)
关键词:VPN,多出口,校园网,远程访问,ISP
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02
篇(6)
【关键词】计算机网络;信息安全;防火墙;安全技术
随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。
一、计算机网络安全存在的隐患
众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
1.每一种安全机制都有一定的应用范围和应用
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
2.安全工具的使用往往受到人为因素的影响
一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。
3.系统的后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
4.只要有程序,就可能存在BUG
任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。
二、计算机网络安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
1.防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.数据加密
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。
3.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。
4.入侵检测系统
入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献:
[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003
篇(7)
关键词:Internet 防火墙系统 设计
一、引言
随着Internet的不断发展和广泛普及,计算机网络的共享性、开放性和互联程度也正在得到不断的扩大,一系列的网络新业务也正在逐渐出现,主要包括数字货币、电子政务、电子商务、网上购物、网上银行等等,网络安全问题也变得愈加值得重视。处理网络安全问题的一个非常关键的途径就是在内部网和外部网之间进行防火墙的设置,所以,研究防火墙技术显得尤为重要。
二、Internet和网络安全问题概述
Internet在刚开始出现的时候是由大学和科研机构应用的,后来逐渐进入到社会的各个行业之中。在当今的信息化时代,Internet已经和人们的日常生活紧密的联系起来,同时,海量的机密信息也正在通过Internet进行传送,在这一大背景下,也出现了许多和Internet相关的网络安全问题。主要包括以下几个方面:
第一,企业不具备较强的网络安全意识。目前企业局域网内部利用的计算机操作系统仍然具备许多不安全的因素,许多高风险的网络服务对外开放,但是并未采取相对完善的网络安全防范方法,从而导致企业的大部分主机面临着潜在的网络安全威胁,为不法侵害人员提供了方便的入口。
第二,网络黑客越来越多。在Internet得到广泛使用的背景下,网络黑客也随之出现,网络黑客已经在国际范围内广泛分布,他们的入侵方式也正在变得更加高明。黑客能够使用在Internet上的众多攻击网络和系统安全漏洞的小程序实现对于网络的攻击,也能够通过众多的专门的黑客站点实现对于网络的攻击。
第三,内部攻击值得关注。在网络安全问题中,内部攻击问题占据着非常巨大的比例,内部攻击者对于网络系统的有用信息比外部攻击者更加掌握,能够更加方便地进行攻击,从而会带来更加严重的攻击后果。然而,网络管理人员通常会忽视这些内部攻击。
三、Internet防火墙系统的总体结构
Internet防火墙系统的总体结构包括两个包过滤路由器和一个堡垒主机,由于这种系统支持应用层和网络层的安全功能,因此,这是一种非常安全的防火墙系统。Internet防火墙系统的堡垒主机中包括WWW、Email、FTP服务器、日志系统、身份认证系统、加密系统。同时,堡垒主机位于外部网和内部网之间。具体来说,Internet防火墙系统的总体结构如下所述。
第一,Internet防火墙系统的第一道防线就是包过滤路由器,这一路由器预先检查进入内部网的通信。同时,包过滤路由器利用包过滤规则来实现数据包的转发或丢弃。包过滤路由器的包过滤规则为:内部网络上的主机对于外部网络可以实现直接访问,而外部网络上的主机只能够限制性的访问内部网络的主机,同时,必须对于源路由选项的数据包和假冒缓冲区内主机地址的数据包进行阻塞设置。
第二,缓冲区(DMZ),这是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。
第三,堡垒主机,这是在内部网和缓冲区之间所设置的网关,内部网和缓冲区之间的所有通信都一定要通过堡垒主机。保证堡垒主机的安全运转可以为Internet和内部网之间的信息交换打下坚实的基础。
第四,堡垒主机连接缓冲区的网卡,为这块网卡配置的IP地址必须和缓冲区内主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。
第五,堡垒主机连接内部网的网卡,为这块网卡配置的IP地址必须和内部网主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。
四、Internet防火墙系统的特点
Internet防火墙系统有利于解决网络安全问题,它的特点如下所述。
第一,非法入侵者为了能入侵内部网一定要突破三个不同的设备,也就是外部路由器、堡垒主机、内部路由器。
第二,因为外部路由器仅仅将堡垒主机的存在通告给外部网,所以,能够确保内部网对外是“不可见”的,与此同时,必须是缓冲区网络上选定的系统才可以向外部网开放。
第三,因为堡垒主机的存在,内部网用户为了实现和外界之间的通信,必须借助于堡垒主机上的系统。
五、结束语
综上所述,本文进行了关于Internet防火墙系统的设计的研究。但是,仅仅依靠防火墙技术来保障网络安全是远远不够的,还必须通过一些其它技术和非技术的因素来进行网络安全的保障,例如,还必须进一步应用信息加密技术、设定适当的网络安全法律法规、增强网络管理使用人员的安全意识等等。希望通过本文的研究,能够为Internet时代的网络安全问题的解决提供一定的借鉴。
参考文献:
[1] 林晓东,杨义先,马严,王仲文. Internet防火墙系统的设计与实现[J]. 通信学报,1998,(01) .
[2] 陈关胜. 防火墙技术现状与发展趋势研究[A]. 信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C],2011
[3] 贾志高,周以琳. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J]. 甘肃科技,2009,(18)
[4] 余志高,周国祥. 入侵检测与防火墙协同应用模型的研究与设计[J]. 网络安全技术与应用,2010,(03) .
