防火墻技術(shù)論文二篇
防火墻技術(shù)是一種和互聯(lián)網(wǎng)用戶的安全息息相關(guān)的一種網(wǎng)絡(luò)安全技術(shù),學習啦小編整理的防火墻技術(shù)論文二篇,希望你能從中得到感悟!
防火墻技術(shù)論文篇一
淺談Internet防火墻技術(shù)
摘要:防火墻技術(shù)是一種和互聯(lián)網(wǎng)用戶的安全息息相關(guān)的一種網(wǎng)絡(luò)安全技術(shù),本文主要是通過分析防火墻日志文件,建立了相應(yīng)的分析模型,然后通過分析互聯(lián)網(wǎng)防火墻的工作原理以及和傳統(tǒng)防火墻的優(yōu)劣對比,在充分結(jié)合并分析現(xiàn)有計算機領(lǐng)域最新技術(shù)的基礎(chǔ)上,提出了新的防火墻技術(shù)。
關(guān)鍵詞:防火墻;互聯(lián)網(wǎng);日志
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 04-0000-02
一、引言
隨著計算機的普及和互聯(lián)網(wǎng)技術(shù)的發(fā)展,計算機的應(yīng)用越來越廣泛,但是網(wǎng)絡(luò)安全問題也日益嚴重。據(jù)最新統(tǒng)計顯示,在美國,每年因互聯(lián)網(wǎng)安全問題所帶來的經(jīng)濟損失高達100億美元,而在我國,計算機黑客入侵和病毒破壞每年也給我國帶來巨大經(jīng)濟損失。如何建立確保網(wǎng)絡(luò)體系的安全是值得我們?nèi)リP(guān)注的一個問題。本文從防火墻技術(shù)的角度對互聯(lián)網(wǎng)安全問題防火措施提出了自己的見解和意見。
二、防火墻技術(shù)淺析
隨著Internet的迅速發(fā)展,網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域,網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題,使得網(wǎng)絡(luò)安全問題越來越突出。因此,保護網(wǎng)絡(luò)資源不被非授權(quán)訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網(wǎng)絡(luò)的保護,防火墻仍然不失為一種有效的手段,防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù),其應(yīng)用非常廣泛。
(一)防火墻的概念。防火墻是指設(shè)置在不同網(wǎng)絡(luò)安全域或者不同網(wǎng)絡(luò)安全之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù),是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
(二)防火墻的主要功能。1.包過濾:包過濾屬于一種互聯(lián)網(wǎng)數(shù)據(jù)安全的保護機制,通過包過濾,可以有效的控制網(wǎng)絡(luò)數(shù)據(jù)的流入和流出。包過濾由不同的安全規(guī)則組成;2.地址轉(zhuǎn)換:地址轉(zhuǎn)換分為目的地質(zhì)轉(zhuǎn)換和源地址轉(zhuǎn)換兩種。源地址轉(zhuǎn)換可以通過隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和轉(zhuǎn)換外部網(wǎng)絡(luò)結(jié)構(gòu)實現(xiàn)了避免外部網(wǎng)絡(luò)的惡意攻擊。3.認證和應(yīng)用代理:所謂認證就是指對訪問防火墻的來訪者身份的確認。所謂代理是指防火墻內(nèi)置的認證數(shù)據(jù)庫;4.透明和路由:主要是指把防火墻網(wǎng)管隱蔽起來以免遭到外來的攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問,同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式,提供靜態(tài)路由功能,支持內(nèi)部多個子網(wǎng)之間的安全訪問。
(三)防火墻的原理及分類。根據(jù)國際計算機安全委員會的分類,防火墻分為三類,分別是包檢測防火墻、包過濾防火墻和應(yīng)用及代理服務(wù)器。包過濾技術(shù)的防范手段。包過濾防火墻是指通過把收到的數(shù)據(jù)包和預(yù)先設(shè)定的包過濾規(guī)則進行比較判斷,決定是否允許通過。它主要工作在計算機的網(wǎng)絡(luò)層,過濾的規(guī)則就是通過和網(wǎng)絡(luò)層的IP包包頭進行信息比較。IP包包頭的主要信息有:封裝協(xié)議、IP地址、和ICMP信息類型等。通過比較,如果信息不匹配,則拒絕轉(zhuǎn)發(fā)。從速度來看,由于包括鋁處于網(wǎng)絡(luò)層,對連接的檢查也比較粗略,因此,它的速度是最快的。而且實現(xiàn)的要求比較低。從安全性角度來看,由于其過濾規(guī)則的不完善性,所以存在一系列的漏洞,安全性卻比較低。
(四)防火墻包過濾技術(shù)。隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全問題變得越來越重要。而且,隨著黑客入侵技術(shù)的進一步提高,計算機網(wǎng)路安全問題也變得更加嚴峻。如何保護計算機網(wǎng)絡(luò)不受到攻擊和病毒感染已經(jīng)成為人們普遍關(guān)心的問題,在對局域網(wǎng)進行保護的技術(shù)中,防火墻技術(shù)是一種非常有效的手段。而防火墻技術(shù)中的包過濾技術(shù)是發(fā)展比較早、比較廣泛的技術(shù)。包過濾就是指為確保網(wǎng)絡(luò)的安全,對每一個流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進行檢查并根據(jù)相應(yīng)的檢查規(guī)則確認是否允許通過。包過濾技術(shù)具有速度與透明性兩重優(yōu)點。
(五)防火墻的配置。從硬件的角度看,防火墻和路由交換設(shè)備之間通常有多個借口哦,數(shù)據(jù)傳輸速度主要是由檔次與價格決定的。比如,一般的中小企業(yè)使用的出口帶寬都是100M以內(nèi)的。防火墻在網(wǎng)絡(luò)拓撲圖中的位置非常關(guān)鍵,在網(wǎng)絡(luò)拓撲圖中,防火墻一般處于外網(wǎng)和內(nèi)網(wǎng)之間互聯(lián)的區(qū)域。如果防火墻上有WAN接口,就可以把它直接與外網(wǎng)相連。防火墻和傳統(tǒng)的路由器在外觀上差別不大,和路由器交換機不同之處在于,在對防火墻進行配置時,需要把他們劃分成不同的權(quán)限和優(yōu)先級。而且還要相關(guān)接口的隸屬區(qū)域進行相應(yīng)的配置。在進行實際設(shè)置的時候,需要把各自端口劃分到某些區(qū)域時才可以進行訪問。在默認情況下對數(shù)據(jù)接口的通信是組織的。除了這些差別,防火墻的其他配置和路由器交換設(shè)備的配置差不多。
軟件的配置與實施,這里以H3C的F100防火墻為例,當企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。先當企業(yè)外網(wǎng)出口指定IP時配置防火墻參數(shù)。選擇接口四連接外網(wǎng),接口一連接內(nèi)網(wǎng)。這里假設(shè)電信提供的外網(wǎng)IP地址為202.10.1.194 255.255.255.0。
第一步:通過CONSOLE接口以及本機的超級終端連接F100防火墻,執(zhí)行system命令進入配置模式。
第二步:通過firewall packet default permit設(shè)置默認的防火墻策略為“容許通過”。
第三步:進入接口四設(shè)置其IP地址為202.10.1.194,命令為
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:進入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址,例如192.168.1.1 255.255.255.0,命令為
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:將兩個接口加入到不同的區(qū)域,外網(wǎng)接口配置到非信任區(qū)untrust,內(nèi)網(wǎng)接口加入到信任區(qū)trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墻運行基本是通過NAT來實現(xiàn),各個保護工作也是基于此功能實現(xiàn)的,所以還需要針對防火墻的NAT信息進行設(shè)置,首先添加一個訪問控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下圖)
執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能了。
三、防火墻發(fā)展趨勢
隨著計算機病毒的發(fā)展和黑客技術(shù)的提升,傳統(tǒng)的防火墻技術(shù)已經(jīng)不能解決這些問題。從目前來看,防火墻技術(shù)正在向新的方向發(fā)展。
從防火墻的體系結(jié)構(gòu)發(fā)展來看。為應(yīng)對未來發(fā)展需要,人們相繼開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。這類防火墻對軟件的依賴度有所增加,但是卻可以大大的減輕CPU的壓力。在性能上比傳統(tǒng)防火墻有新的提升。然而從編程的角度來看,這種防火墻缺乏靈活性,要實現(xiàn)和軟件的配合使用,必須添加新的硬件。
從防火墻的包過濾技術(shù)發(fā)展來看,一些防火墻廠商在防火墻中添加了新的認證體系和方法。從而大大的提高了用戶的安全級別,但是在一定程度上也給網(wǎng)絡(luò)通信帶來了一定的負面影響。多包過濾技術(shù)的發(fā)展彌補了單獨過濾技術(shù)的不足和缺陷,而且這種技術(shù)具有分層清楚、擴展性強等特點。是將來防火墻技術(shù)發(fā)展的基礎(chǔ)。
四、結(jié)束語
互聯(lián)網(wǎng)技術(shù)的發(fā)展使得計算機應(yīng)用越來越普及,但是隨之而來的是網(wǎng)絡(luò)安全問題也日益突出,網(wǎng)絡(luò)病毒對經(jīng)濟社會生活帶來了極大的危害。通過采用新的防火墻技術(shù),可以有效的確?;ヂ?lián)網(wǎng)的安全。本文正是基于這個背景進行探討和研究的。相信不久的將來,隨著防火墻技術(shù)的進一步發(fā)展,互聯(lián)網(wǎng)安全問題會逐步得到有效的控制和解決。
參考文獻:
[1]王艷.淺析計算機安全[J].電腦知識與技術(shù),2010,(s):1054
[2]艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004,(s):79
[2]孟濤,楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17
[4]鄭林.防火墻原理入門[Z].E企業(yè).2000.
[作者簡介]于婷婷(1989.08-),女,就讀于哈爾濱師范大學計算機科學與信息工程學院,本科生,研究方向為計算機科學與技術(shù)。
防火墻技術(shù)論文篇二
防火墻安全技術(shù)探討
摘 要:隨著當前互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為人們目前最為關(guān)心的問題。因為網(wǎng)絡(luò)傳遞信息非常迅速,并且擁有非常強的隱蔽性,互聯(lián)網(wǎng)上很難知道用戶的真實姓名,網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)犯罪、以及各種不良的信息在網(wǎng)上的散布已經(jīng)越來越嚴重?;ヂ?lián)網(wǎng)的安全與生產(chǎn),意味著曾經(jīng)的通信安全年代已經(jīng)轉(zhuǎn)變?yōu)楫斍暗男畔踩甏?。保障網(wǎng)絡(luò)信息的安全是當前需要迫切解決的問題,我們不僅要應(yīng)用法律武器,還需要采用技術(shù)手段來保障互聯(lián)網(wǎng)的安全,而采用防火墻技術(shù)是目前保證網(wǎng)絡(luò)安全的重要手段之一。
【關(guān)鍵詞】IP地址 網(wǎng)關(guān) 網(wǎng)絡(luò)防火墻 地址
互聯(lián)網(wǎng)的安全技術(shù)是目前非常熱門的一項安全技術(shù),也是國際社會非常關(guān)心的重要話題。
互聯(lián)網(wǎng)的發(fā)展勢頭非常迅速,致使各類信息在互聯(lián)網(wǎng)中迅速蔓延,但是信息技術(shù)的發(fā)展還不夠健全,需要不斷的創(chuàng)新?;ヂ?lián)網(wǎng)的普及在給社會大眾帶來許多便捷和效率的同時,也給人們造成了許多困擾。目前計算機網(wǎng)絡(luò)已經(jīng)普及到了各行各業(yè),而行業(yè)中的各類商業(yè)機密都會保存在計算機中,倘若網(wǎng)絡(luò)不能夠保證安全,這些商業(yè)機密就很有可能會被竊取。這就需要應(yīng)用防火墻技術(shù)來保障計算機網(wǎng)絡(luò)的安全。
1 防火墻安全技術(shù)概述
1.1 防火墻安全技術(shù)的定義
通常防火墻所指的是由電腦硬件與軟件結(jié)合構(gòu)成的一種保護措施,其是存在于公用網(wǎng)與專用網(wǎng)以及外網(wǎng)與內(nèi)網(wǎng)之間的一種保護屏障。所謂的防火墻技術(shù)采用的是通過加強網(wǎng)絡(luò)控制訪問,以此來預(yù)防外網(wǎng)用戶采用非法手段入侵內(nèi)網(wǎng),從而竊取內(nèi)容的重要機密,從而達到保障網(wǎng)絡(luò)安全操作環(huán)境目的的安全技術(shù)。防火墻技術(shù)是采用一定的技術(shù)來安全檢查互聯(lián)網(wǎng)中傳輸?shù)母黝悢?shù)據(jù),從而實現(xiàn)保障網(wǎng)絡(luò)的安全,防火墻在檢查傳輸數(shù)據(jù)的同時還時刻監(jiān)視著互聯(lián)網(wǎng)運行的狀況。
1.2 防火墻安全技術(shù)的作用
一是防火墻可以過濾不良的信息,從而保障互聯(lián)網(wǎng)的安全運行,相關(guān)的網(wǎng)絡(luò)協(xié)議必須通過仔細的選擇才可以通過防火墻的安全過濾。因此,防火墻在一定程度上保障了互聯(lián)網(wǎng)的安全。
二是防火墻安全技術(shù)可以行之有效的保障內(nèi)部信息的安全。防火墻可以有效的對內(nèi)網(wǎng)進行區(qū)分,以此來照顧關(guān)鍵網(wǎng)段,采取針對性的隔離措施,就可以控制一些較為敏感或關(guān)鍵性的安全問題對網(wǎng)絡(luò)造成的威脅。與此同時,內(nèi)部網(wǎng)絡(luò)的機密問題一直都是互聯(lián)網(wǎng)中非常關(guān)鍵的問題,而我們在預(yù)防非法信息入侵的同時,還必須要注意內(nèi)網(wǎng)中的潛在問題,在內(nèi)網(wǎng)中極有可能隱藏了一些隱患,而防火墻技術(shù)可以很好的過濾這些潛在的隱患,并且隔離這些隱患。
三是防火墻安全技術(shù)可以實現(xiàn)網(wǎng)絡(luò)訪問的控制。防火墻還具備一個非常重要的作用,即有訪問在通過防火墻的時候,其可以自動記錄訪問者的具體信息,并省城對應(yīng)的日志,從而提供對應(yīng)的查詢數(shù)據(jù)。只要出現(xiàn)非法操作,防火墻就可以及時發(fā)現(xiàn),并發(fā)出警報,同時還可以提供攻擊方的具體資料,從而有效的控制網(wǎng)絡(luò)訪問者。
2 計算機防火墻安全技術(shù)的幾種類型
2.1 防火墻技術(shù)之包過濾型
防火墻技術(shù)中最為基本的模式就是包過濾型,其是網(wǎng)絡(luò)防
火墻當中最為簡單的方式,這種技術(shù)是根據(jù)“網(wǎng)絡(luò)分包傳輸技術(shù)”完成的。“包”是互聯(lián)網(wǎng)中信息傳輸?shù)幕緜鬏攩挝?,互?lián)網(wǎng)中的數(shù)據(jù)在傳輸?shù)臅r候,通常都會被分成若干個數(shù)據(jù)包,其中不同的數(shù)據(jù)包所包括的信息也不盡相同。而防火墻就是采取安全過濾這些數(shù)據(jù)包,從而判斷其中是否有不安全因素,只要發(fā)現(xiàn)數(shù)據(jù)包中包含隱患又或者是來自于不安全網(wǎng)站的數(shù)據(jù)包,包過濾型防火墻就會采取隔離的方式來針對這些數(shù)據(jù)包,管理員在隔離區(qū)根據(jù)情況進行對應(yīng)的處理措施。
包過濾型防火墻技術(shù)具備一定的安全保護能力,然而作為較為初級的保護措施,其也存在著不足。其優(yōu)勢在于技術(shù)簡單,成本不高,可以應(yīng)付較為簡單的網(wǎng)絡(luò)環(huán)境。包過濾型防火墻可以對數(shù)據(jù)包實施簡單的過濾監(jiān)督,針對數(shù)據(jù)包的協(xié)議、源地址及目標地址進行對應(yīng)的檢查,其也是互聯(lián)網(wǎng)之間進行訪問的唯一途徑,其可以對數(shù)據(jù)包進行有效的控制。其缺點是不支持應(yīng)用方面協(xié)議的監(jiān)控,針對高端的黑客入侵無可賴何,并且不能過濾新增的安全隱患。
2.2 防火墻技術(shù)之代理型
代理型防火墻就是我們俗稱的代理服務(wù)器,其安全性要遠遠高于包過濾型防火墻。所以,其正在向包過濾型防火墻不能涉及到的方向發(fā)展。存在于服務(wù)器與客戶機器當中的代理型防火墻,可以針對內(nèi)外網(wǎng)當中的通信信息,特別是直接通信方面能夠徹底的隔絕,組織外部網(wǎng)及內(nèi)部網(wǎng)之間的信息流通,其對于客戶機器來說,代理型防火墻就充當了服務(wù)器的角色。而針對服務(wù)器方面來說,代理型防火墻又充當了客戶機器的角色。代理型防火墻的優(yōu)勢在于安全性得以提升,缺點則是其讓網(wǎng)絡(luò)管理變得較為繁雜,對網(wǎng)絡(luò)管理員的專業(yè)知識要求過高。
2.3 防火墻技術(shù)之監(jiān)測型
監(jiān)測型防火墻技術(shù)己經(jīng)超越了原始防火墻的定義,監(jiān)測型防火墻主要是對各個層面都能實現(xiàn)實時的檢測,同時,對檢測到的數(shù)據(jù)進行分析,從而判斷出來自不同層面的不安全因素。一般情況下監(jiān)測型防火墻的產(chǎn)品還帶有探測器,這種探測器是一種分布式的探測器,它能夠?qū)?nèi)網(wǎng)和外網(wǎng)進行雙重的監(jiān)測,防御外部網(wǎng)絡(luò)攻擊的同時還能夠防范內(nèi)部網(wǎng)絡(luò)的破壞。因此,監(jiān)測型防火墻在安安全性上遠遠超越了傳統(tǒng)防火墻,但是當前市面上的價格比較高,應(yīng)用的資金投入較大。
3 小結(jié)
而當前主流的防火墻技術(shù),大部分都是采用代理服務(wù)器結(jié)合了包過濾的技術(shù),將這兩種技術(shù)有機的結(jié)合起來顯然要比單獨使用其中之一的技術(shù)更為全面。因為這種技術(shù)是以應(yīng)用為本的,應(yīng)用型網(wǎng)關(guān)都可以提升協(xié)議的過濾作用,并且采用代理應(yīng)用,應(yīng)用網(wǎng)關(guān)可以有效的防止內(nèi)部機密的泄露。
參考文獻
[1] 王淑琴,海麗軍.對計算機網(wǎng)絡(luò)安全技術(shù)的探討[J].內(nèi)蒙古科技與經(jīng)濟,2007(20).
[2] 譚建輝.電子商務(wù)時代的網(wǎng)絡(luò)安全技術(shù)問題探究[J].大眾科技,2005(10).
[3] 阿迪亞・扎曼別克,木合布力・謝力甫汗. 淺談計算機網(wǎng)絡(luò)安全技術(shù)[J].中國教師, 2008(S1).
作者單位
西安交通大學城市學院 陜西省西安市 710041
看了“防火墻技術(shù)論文二篇”的人還看:
防火墻技術(shù)論文二篇
上一篇:防火墻技術(shù)論文
下一篇:防火墻技術(shù)論文