时间:2023-03-17 17:58:39
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇防火墙技术论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
任何软件都有一定的生命周期,防火墙也有一定的生命周期,我们要正确的评估防火墙的使用效能,一旦防火墙失效,对网络安全造成的后果无法想象。防火墙使用具有一定的级别,在被外界病毒等侵入时候具有一定的防御,我们在设置防火墙的功能时候要具有一定的科学性,当防火墙受到攻击时候,能自动启动防御功能,因此,我们在设置防火墙功能时候,要正确检测防火墙是否失效功能要开启,达到防火墙失效状态正常评估。
1.2正确选择、科学配置防火墙
防火墙功能的科学配置,是对网络安全防御的重要保障,防火墙技术是网络安全技术基于防火墙网络安全技术的探究文/罗鹏 周哲韫进入新世纪以后,计算机网络技术发展迅速,尤其Internet的发展应用,计算机网络安全越来越重要,尤其一些政府部门网络,科研等机构网络如被黑客或病毒侵入,后果是非常严重的,在许多网络安全技术应用中,防火墙技术室比较成熟的,本论文是从不同层面阐述防火墙网络安全技术的应用。摘要中关键技术之一,在配置防火墙时候,要正确选择,科学配置。防火墙技术是计算机网络技术人才需要专门的培训与学习,才能进行科学的配置,在配置防火时候具有一定的技巧,在不同环境,不同时期具有一定的应用,因此正确科学的配置防火墙没有通式,必须在根据环境状态下进行科学合理的配置,这样才能使防火墙技术成为网络安全技术中最后一道保障。
1.3有赖于动态维护
防火墙技术在网络中应用,不是把防火墙软件在计算机中安装以后,进行一些配置以后就完事,管理员要对防火墙实时进行监控,看防火墙是否出现一些异常状况,管理员还要与厂商经常保持密切联系,是否有更新,任何在完美事物都有两面性,要及时更新,弥补防火墙漏洞,防止计算机网络被更新,因此防火墙技术是一种动态实时更新技术。
1.4搞好规则集的检测审计工作
网络安全技术最大的危险是自己,网络管理员不能出现一点大意,在防火墙技术的应用过程中,要适时进行更新,弥补漏洞,还要定期进行一定的检测和审计工作,用来评估网络现在的安全性,以及在未来一段时间网络的安全性,做好正确的评审工作,是网络能长时间保持稳定的重要条件,实时检测,实时维护是网络安全的基本法则。
2防火墙网络安全技术的实现方案
2.1设置内部防火墙,编制可靠的安全方案
在网络安全防范的过程中,内部局域网一定要重视,当局域网中一台机器出现病毒状况,可能瞬间整个网络出现瘫痪状态,因此利用防火墙技术作为网络安全的检测,内部局域网防火墙要进行科学合理的设置,制定一个可行的安全方案,对整个局域网的网络进行一定的保障。内部防火墙进行一定的分段,每个主机要有标准,但有一个统一的标准,标准时同样的,这样对网络的检测等有一定的依据,增强了网络的安全性。
2.2合理设定外部防火墙,防范外网攻击
经外部防火墙的设定,把内网同外网相分开,可防范外网攻击行为。外部防火墙通过编制访问策略,仅已被授权的主机方能访问内网IP,使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址,使外网无法掌握内网结构,阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间,防火墙对获取的数据包加以剖析,把其中合法请求传导到对应服务主机,拒绝非法访问。
3防火墙技术的未来发展趋势及前景
防火墙技术是网络安全技术发展的必然产物,为不安全的网络搭建一个安全的网络平台,网络安全是不可预测的,防火墙技术也在日新月异的进行发展,防火墙技术的未来发展是广泛的,能为网络安全作出一定的贡献,下面阐述一下防火墙技术的未来发展趋势,引领网络安全技术的发展。
3.1智能化
现在计算机的未来发展是网络化、智能化,网络安全问题的发展也比较快,对网络安全的软件要求也是越来越高,网络上的病毒具有不可预见性,对防御病毒的软件提出一个崭新的要求,必须具有一定的智能化,就是防火墙自身具有很强的防御功能,不是人为的进行控制,智能化是网络安全专家对防火墙技术的期盼,也是防火墙技术自身发展的需要,但防火墙技术实现智能化需要一定的时间,需要网络安全专家不停努力的结果。
3.2扩展性能更佳
1.1网络安全
网络安全不是目的,只是一种保障。就网络安全来说,其造成威胁的因素又可分为内因和外因。内因主要是计算机本身的问题所致,例如自身的系统缺陷、访问控制中的安全隐患和漏洞、www等域名的服务漏洞、网络操作系统的安全缺陷等。外因主要是指来自外界的威胁和干扰。包括计算机病毒、非授权的冒充使用、物理环境的安全性差等因素。
1.2校园网安全
校园网相对来说是一个比较特殊的环境,由于面向的群体主要是学生,因此除了要保证网络的正常运行外,还必须做好对内容不健康信息的过滤功能以及应对个别同学喜欢尝试各种试图攻击和入侵服务器的行为。通过分析目前校园网中存在的问题,应该从以下几方面进行着手维护:制定和实施访问安全,身份认证,禁止未授权的访问者非法进入;对于电子阅览室、网络实验室等学校人员经常使用的计算机,安装上防火墙,过滤掉、暴力等不健康的网站;对重要或敏感的信息和数据进行加密,保证信息的内容的安全性,防止例如学生成绩信息等重要数据被非法篡改;确保网络运行设施的可靠性和安全监测手段的有效性,防范非法入侵而使系统功能受到影响情况的出现;学校可设立网络安全管理机制,负责网络安全管理和规划等工作,加强学校安全管理教育工作的开展。
2防火墙技术
防火墙是一种为了保护内部网安全,在计算机的硬件和软件相互搭配组合下,在互联网和内部网之间形成安全屏障的技术,是确保网络安全的重要手段。作为现代网络时代不可或缺的安全产品,防火墙已经成为了校园网络必要的存在。就目前来说,防火墙主要通过对未经证实的主机的TCP/IP进行分组过滤、利用IP地址进行伪装、通过功能,断绝内外部之间的连接等三个主要手段对内部网进行安全保护。
2.1防火墙的功能
(1)管理进出网络的访问行为作为双向沟通间的控制点,防火墙可以利用自身的阻塞点,对访问的信息进行管理和控制,并过滤掉不安全的服务和信息,只允许经过选择的应用选择通过防火墙,这在很大程度上降低了访问的风险,提高了内部网络的安全性。(2)记录通过防火墙的信息内容和活动防火墙的建立使得所有信息的访问在经过防火墙的时候都会留下记录,防火墙内部会根据这些数据统计网络的使用情况,并作出日志记录。(3)监测和反馈网络攻击行为在信息监测的过程中,当有可疑的情况发生时,防火墙会适当的报警,并把详细信息自动生成电子邮件发送给网络维护者,提供网络是否受到监测和攻击的信息。(4)防止内部信息的泄漏在实施保护的过程中,可以通过防火墙的内部网络划分,将重点网段进行隔离,防止了局部重点或敏感段落出现问题对全局造成影响。
2.2防火墙特性
(1)是双向网络载体通信之间的中间存在点;(2)具有透明性,其存在不影响信息之间的交流和沟通;(3)它只对符合本地开放安全的信息进行授权,而只有经过授权的信息才可以自由出入网络。
3防火墙技术在大学校园网中的应用
在目前,各种维护网络的软硬件层出不穷,但大多数只能解决学校网络安全中的一部分,例如金山、瑞星等软件解决病毒防范,天网、天融信等软件解决网络攻击问题,这些软件的存在都是以解决单一或部分问题为目标,并不能对学校的网络安全形成整体的解决方案。由于学校的特殊性,学校对网络的需求也有所不同,因此校园网络应该根据学校的需求特点出发,以第一评价为标准,完善网络体系,具体来说,有以下几个步骤:
3.1入侵监测系统
入侵检测是一种能够及时监测和发现网络系统中异常现象的实时监测技术。在监测过程中除了利用审计记录,监测出任何不希望有的活动以外,它还可以实时防护来自IPSpoofing、PingofDeath以及其它外界的攻击,以保护系统的安全。而在监测到攻击行为时它还可以自动生成电子邮件通知系统管理员,使其可以在第一时间处理危机。
3.2建立用户认证
建立和完善网络的用户认证机制,对于不可信网站的访问,防火墙可以经过内建用户数据库或IP/MAC绑定资料等进行认证,并决定是否给予访问的权限。而防火墙也可以限定授权用户通过防火墙进行一些有限制的活动。
3.3防火墙系统的检测和维护
在合理配置了防火墙后,必须要对防火墙进行经常性的检测和监督,并对监测到的网络流量进行分析,时刻关注异常流量的情况,做好日志备份等处理工作,以便日后信息的查阅。最后,防火墙的配置也要根据网络结构的变化而变化,从而保证其能在保护校园网中发挥更好的作用。
3.4漏洞扫描系统
要想解决网络中的安全问题,首先要清楚存在了哪些安全隐患。面对强大的网络覆盖面和不断变化的网络复杂性,如果仅仅只依靠网络技术管理人员的技术去查找漏洞是存在着巨大困难的,也是不现实的。因此唯一的方法就是找出一种可以替代人工查询漏洞,并做出及时评估、提出修改意见的安全扫描工具,它可以在系统优化的过程中弥补安全漏洞,消除安全隐患。
3.5利用网络监听维护子网安全
威胁校园网络安全有内因和外因两个部分,对于外因,我们可以通过安装防火墙来解决,但是对于校园内部的入侵我们则无能为力,在这种情况下,学校可以在网络监控部门中设立一个专门管理和分析网络运作状态的子网监听程序,该监听程序可以包含一定的审计功能,方便在长期监听子网的情况中,为系统中各个服务器的审计文件提供备份,并在监听的程序之间建立联系,保证相互联系的计算机,在其它服务器收不到联系的情况下,会自动发出警报提示。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
本文主要研究计算机网络安全与防火墙技术。随着计算机网络的普及,网络安全问题越来越得到人们的重视。在确保网络安全和数据安全方面,有数据加密技术、智能卡技术、防火墙技术等,我们在这里主要研究的是防火墙技术。在这里,我们了解了防火墙的概念及它的分类,知道了什么是防火墙以及它在网络中起到了的作用。从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,本文根据防火墙对内外数据的处理方法上,大致将防火墙分为包过滤防火墙和防火墙两大体系,并对这两种防火墙进行了对比。了解了防火墙的作用及它的优缺点,对防火墙的认识进一步的加深。然后介绍了防火墙三种基本实现技术:分组过滤、应用和监测模型。最后,了解了防火墙的基本元素及防火墙的三个典型结构。总之,我国目前使用较多的,是在路由器上采用分组过滤技术来提供网络安全的保证,对其它方面的技术还缺乏深入了解. 防火墙技术还处在一个发展阶段,仍有许多问题有待解决.
目录
一、防火墙的概念及其分类 3
(一)防火墙的概念 3
(二)防火墙的分类 3
1.静态包过滤防火墙: 3
2.动态包过滤防火墙: 4
二、 防火墙的作用及其优缺点 5
(一)防火墙的作用 5
(二)防火墙优缺点 5
三、防火墙基本技术 6
…… 6
…… 7
…… 7
…… 8
…… 8
…… 8
…… 8
…… 8
…… 9
五、结束语 9
致谢 10
参考文献 11
:7000多字
有摘要及关键词
150元
随着计算机网络技术的不断发展,全球信息化己成为人类发展的大趋势,计算机网络已经在同防军事领域、金融、电信、证券、商业、教育以及日常生活巾得到了大量的应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此,网络必须有足够强的安全措施,否则网络将是尤用的,相反会给使用者带来各方面危害,严重的甚至会危及周家安全。
一、信息加密技术
网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保证,来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证忡,防止信息被一些怀有不良用心的人看到、破坏,甚至出现虚假信息。
信息加密技术是保证网络、信息安全的核心技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成不可直接读取的秘文,阻止非法用户扶取和理解原始数据,从而确保数据的保密忭。ⅱ月文变成秘文的过程称为加密,南秘文还原成明文的过程称为解密,加密、解密使用的町变参数叫做密钥。
传统上,几种方法町以用来加密数据流,所有这些方法都町以用软件很容易的实现,当只知道密文的时候,是不容易破译这些加密算法的。最好的加密算法埘系统性能几乎没有影响,并且还可以带来其他内在的优点。例如,大家郜知道的pkzip,它既压缩数据义加密数据。义如,dbms的一些软件包包含一些加密方法使复制文件这一功能对一些敏感数据是尢效的,或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。
二、防火墙技术
“防火墙”是一个通用术i五,是指在两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬什产品中。防火墙通常是巾软什系统和硬什设备组合而成,在内部网和外部网之间构建起安全的保护屏障。
从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强intranet(内部网)之间安全防御的一个或一组系统,它南一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自intemet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件传输、远程登录、布特定的系统问进行信息交换等安全的作用。
防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接郝必须经过该阻塞点,在此进行检查和连接,只有被授权的通信才能通过该阻塞点。防火墙使内部网络与外部网络在一定条件下隔离,从而防止非法入侵及非法使用系统资源。同时,防火墙还日,以执行安全管制措施,记录所以可疑的事件,其基本准则有以下两点:
(1)一切未被允许的就是禁止的。基于该准则,防火墒应封锁所有信息流,然后对希单提供的服务逐项丌放。这是一种非常灾用的方法,可以造成一种十分安全的环境,为只有经过仔细挑选的服务才被允许使用。其弊端是,安全件高于片j户使片j的方便件,用户所能使用的服务范同受到限制。
(2)一切未被禁止的就是允许的。基于该准则,防火埔转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊端是,在口益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范嗣增大时,很难提供町靠的安全防护。
较传统的防火墙来说,新一代防火墙具有先进的过滤和体系,能从数据链路层到应用层进行全方位安全处理,协议和的直接相互配合,提供透明模式,使本系统的防欺骗能力和运行的健壮件都大大提高;除了访问控制功能外,新一代的防火墙还集成了其它许多安全技术,如nat和vpn、病毒防护等、使防火墙的安全性提升到义一高度。
三、网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之问提供安全的网络保护,降低了网络安全风险。但是,仪仪使用防火墙、网络安全还远远不够。因为日前许多入侵手段如icmp重定向、盯p反射扫描、隧道技术等能够穿透防火墒进入网络内部;防火墙无法防护不通过它的链接(如入侵者通过拨号入侵);不能防范恶意的知情者、不能防范来自于网络内部的攻击;无法有效地防范病毒;无法防范新的安全威胁;南于性能的限制,防火墙通常不能提供实时动态的保护等。
因此,需要更为完善的安全防护系统来解决以上这些问题。网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墒等其他系统的不足,进一步完善整个网络的安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络巾建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
在计算机网络信息安全综合防御体系巾,审计系统采用多agent的结构的网络入侵检测与安全审计系统来构建。整个审计系统包括审计agent,审计管理中心,审计管理控制台。审计agent有软什和硬什的形式直接和受保护网络的设备和系统连接,对网络的各个层次(网络,操作系统,应用软件)进行审计,受审计巾心的统一管理,并将信息上报到各个巾心。审计巾心实现对各种审计agent的数据收集和管理。审计控制会是一套管理软件,主要实现管理员对于审计系统的数据浏览,数据管理,规则没置功能。管理员即使不在审计中心现场也能够使用审计控制台通过远程连接审计中心进行管理,而且多个管理员可以同时进行管理,根据权限的不同完成不同的职责和任务。
一、前言
企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。
针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。
二、防火墙技术概述
1.防火墙的基本概念
防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
2.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙
的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的
通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
3.防火墙的功能
一般来说,防火墙具有以下几种功能:
①能够防止非法用户进入内部网络。
②可以很方便地监视网络的安全性,并报警。
③可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
4.防火墙的分类
①包过滤型防火墙,又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。
②服务器型防火墙
服务器型防火墙通过在主机上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的服务器进程,它代替网络用户完成特定的TCP/IP功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。
③复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
三、办公网络防火墙的设计
1.防火墙的系统总体设计思想
1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
1.2制定网络安全策略778论文在线
在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
1.4设计服务
服务器接受外部网络节点提出的服务请求,如果此请求被接受,服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。
1.5严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于DOD(DepartmentofDefense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。
本例中网络环境为:内部网络使用的网段为192.168.1.0,eth0为防火墙与Internet接口的网卡,eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下:
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW,FTP,Telnet,SMTP等.我们以WWW包过滤为例,来分析这类数据包过滤的实现.
WWW数据包采用TCP或UDP协
议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器,(假定其IP地址为192.168.1.11)。
要实现上述WWW安全规则,设置WWW数据包过滤为,在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙eth1端允许所有来自内部网络WWW数据包通过。
#DefineHTTPpackets
#允许Internet客户的WWW包访问WWW服务器
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT
#允许WWW服务器回应Internet客户的WWW访问请求
/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT
/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT
显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。
与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则;
2.2与服务无关的安全检查规则778论文在线
这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点:
①数据包完整性检查(TinyFragment):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP;alwaysdefraymentssetto‘y’。REDHAT检查进人的数据包的完整性,合并片段而抛弃碎片。
②源地址IP(SourceIPAddressSpoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。
③源路由(SourceRouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包。
总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。
参考文献:
张晔,刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,1999
王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001
郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
Distributed Firewall Network Security System Study
Zhou Guohui
(Guangxi Vocational&Technical Institute of Industry,Nanning 530001,China)
Abstract:With the rapid development of network technology,network security,received more attention,it is also widely used firewall technology,this paper describes a distributed firewall network security system,the composition and use of the principle.It also describes how to use a distributed firewall system to protect network security.
Keywords:Distributed firewall;Network security
一、引言
很多人都听说过防火墙这个名词,但防火墙的功能到底是什么,估计没有几个非专业认识能够做出明确的解释,其实防火墙的基本功能就是防止网络上的非法用户来访问我们的内部网络以及限制一些用户的使用权限,通过这个功能来保护我们的网络的安全。有了防火墙并不一定就很安全。普通的边界防火墙只是依赖网络的拓扑结构并且形成网络的流量瓶颈,这样只能大略的提供一下网络安全保护,根本就无法阻止来自网络内部的攻击;一台普通电脑的防火墙的自身防御能力很有限,它的保护配置全部由电脑使用者来设置,如此以来一个企业和组织就不能对防火墙进行集中有效的配置,来保护企业和组织的网络安全。
二、分布式防火墙
为了解决上面说的防火墙的缺陷,一个新的概念“分布式防火墙”出现了,最早提出这个概念的人是:stevenM.Bellovin,他在1999年自己写的论文里提出了这个概念。他在论文中主要说明的中心是:策略可以集中顶制,可以在各个主机上执行。而且还在文中说明了分布式防火墙的基本框架的模型。
一个普通的分布式放火墙系统的组成由三个部分,他们分别是:网络防火墙,主机防火墙和中心策略服务器,网络拓扑结构图如图1所示。
我们通过拓扑结构图对分布式防火墙有了初步的了解了,而且发现他们有以下的特征:(1)分布式防火墙与普通防火墙的最基本的区别就是分布式防火墙的完全配置不是由主机的用户来配置的,而且由安全中心的服务器来同意配置管理。(2)安全策略的执行是在各个客户端的电脑上执行的。(3)客户端的日志的管理必须统一归结到安全中心的服务器上,由服务器来统一集中管理。(4)驻留方式采用的是主机驻留方式。(5)防火墙的嵌入是在各个主机的操作系统的内核或者网络硬件接口中。
三、基于分布式防火墙的网络安全系统
(一)建立协同工作的网络安全系统
其实作为分布式防火墙来讲,他依然是一个静态的一个网络安全的防御系统,它的主要功能就是限制外界的非法访问和控制,但是我们知道网络的安全可不是静态的,它却是一个动态的过程。分布式防火墙在动态的获得网络安全状况这个方面的能力不是很强,所以就很难动态的来配置它的安全防御能力以及让它有针对的进行防御。所以说单一的分布式防火墙系统的网络防御能力是薄弱的,最好是结合一下其他的相关网络技术一起使用。
(二)基于分布式防火墙的安全系统
分布式防火墙的安全系统一共由四个组成部分,他们分别是:分布式防火墙部件,入侵检测部件,信息综合部件,管理决策部件。分布式防火墙的部件采用的就是分布式防火墙的结构。入侵检测部件的入侵检测模块是由分布式防火墙部件的主机防火墙模块在一个受保护的电脑所共同构成的一个防御系统,入侵检测模块和分布式防火墙部件在受保护主机的边界,从而形成了边界的防御系统。服务器中存放的就是信息综合部件和惯技决策部件,因为服务器要集中配置和管理分布式放火墙的网络防御系统。
管理决策部件的功能主要由两个:(1)作为网络系统安全的管理员,你必须要配置号分布式防火墙和入侵检测部件的安全策略和规则。这个功能主要是管理员通过组织或者企业内部自己指定的一个安全的政策,实现方面是由一个管理员的界面来实现的。(2)这个不见发送入侵的警告信息主要是通过入侵检测部件以及信息综合部件共同来完成的。从而来响应安全防御的决策。所谓的响应安全决策主要包括:确定以下具体的响应执行模块以及他应该执行什么样的响应动作;然后再把这个响应动作给传唤成安全策略和规则的形式,然后统一发给响应的执行模块来执行。所以说,如何能让系统的安全策略针对网络安全状况能够进行实时、智能的调整是对这个部件的一个最其本的要求。因此,作为管理决策部件,应该用比较权威的专家的系统来做实施方案。
四、结束语
本文主要根据笔者的工作经历简单讲述了一下分布式放火墙的构成已经运行原理,而且主要指出了要想更好的保护好组织和企业的网络安全,需要以分布式防火墙作为基础,然后结合分布式的入侵检测技术还要加上权威的专家系统,能够实时、智能的调整和响应网络安全事件。把这几个结合起来,就能达到一个满意理想的最佳效果。
参考文献:
[1]Beuovin s M.Distributed Firewalls[EB/0L].
researeh.att.coIn/~smb/papers/distfk.pdf,2004,6:25
[2]彭晴岚,李之棠.分布式防火墙系统的安全机制设计[J].计算机工程与科学,2003
中图分类号:TP393.08
对于高校而言,校园网在教学、科研、管理以及对外交流等过程中起到了不可替代的作用。近年来,随着校园网建设规模的不断壮大,校园网存在安全问题也逐渐突显。我们在享受网络信息资源的便捷性的同时,也面临着网络安全带来的困扰。
当前网络安全技术包括两种,一种是以防火墙技术为例的静态安全技术,另一种是以入侵检测系统技术为例的动态安全技术。两种网络安全技术各有优势和不足之处,为实现有效的保障校园网的网络安全,最好的方式就是实现防火墙与入侵检测系统的结合应用。
1 防火墙与入侵检测系统的区别和联系
防火墙技术是网络静态安全技术的代表,是一种被动的防御技术。防火墙技术建立在现代通信网络技术与信息安全技术基础上。防火墙技术作为不同网络与网络安全域之间信息唯一的出入口,主要用于控制出入网络的数据,不过防火墙技术不能防范内部的非法访问行为。另外防火墙技术还有一个缺陷,不能够主动跟踪入侵者,只能依赖人工实施与维护。
与防火墙技术相对的入侵检测系统则是动态安全技术的代表,在网络安全中是一种主动的防御手段,可以对网络中容易受到威胁和攻击的点击存在安全漏洞的地方主动检测,通常对于危险行为的检测要比人工快,并且实现对网络内部通信信息的实时分析,对入侵行为、企图即使检测,并提前发出警报,一边及早采取措施应对,最大限度的保障网络安全。
总之,防火墙技术与入侵检测系统作为两种不同的网络安全防范手段,两者各具优势也各有不足。防火墙技术对新协议和新服务的支持,不能进行动态扩展,从而无法提供个性化服务。而入侵检测系统虽然能够收集、分析信息,对网络中的安全问题进行检测,对而已攻击提供主动、实时的保护,有效做到网络安全防范。因而,入侵检测系统能够弥补防火墙技术的不足之处,对防火墙技术起到补充作用,最终提高了校园网网络信息的安全性,两者有区别的同时,又在功能上起到了互补关系。
2 防火墙与入侵检测系统结合应用的优势
校园网中,防火墙技术不能直接控制内部网络行为,无法对通信过程中的内容数据进行监控。防火墙技术对于一些安全威胁依然难以防范。入侵检测系统则以绝对的主动权对防火墙技术的不足之处进行弥补。
在校园网中,防火墙与入侵检测系统结合应用优点多,入侵检测系统能够提前发现威胁网络安全的攻击行为,并提供入侵信息给防火墙,由防火墙技术针对威胁调整安全策略,对不合法的信息进行阻断和处理。两者的结合应用大大提高了网络系统的防御性能。
3 校园网络所面临的威胁
当前校园网络的安全问题,主要面临三个方面的威胁:
3.1 物理安全
校园网络安全的前提,就是保证计算机网络系统各种设备的物理安全。其所表现的数据传输、数据存储以及数据访问安全都是在物理介质层次之上。网络运行的环境,诸如温度、湿度、电源等也威胁到计算机网络安全。
物理安全,保护的就是计算机的网络设备、网络设施,以及避免其他媒体在自然灾害或者认为事故中所遭到破坏。是对计算机系统、服务器、打印机等硬件的保护。
3.2 自然因素的威胁
校园网面临的自然威胁,是指自然原因带来的安全问题,如雷击、火灾、水灾、地震等自然灾害;正行情况下使用过程中的设备损坏;设备运行环境等方面,损坏网络设备硬件,影响网络的正常运行,对校园网网络安全带来威胁。
3.3 人为因素的威胁
校园网中,网络系统安全面临的人为因素的威胁,分为故意人为威胁、无意人为威胁两种形式,都严重威胁着计算机网络的安全。人为故意威胁涵盖搭线连接获取网络数据信息、窃取口令密钥来获取信息资源、盗割网络通信线缆,以及破坏网络设备等类型。无意人为威胁是指操作人员虽然拥有合法和技术,但操作过程中因为失误或者疏忽,对网络安全运行带来的不良影响或者重大损失。
4 校园网中防火墙与入侵检测系统的结合应用
首先,选择入侵检测系统的位置。入侵检测系统可放在防火墙之内,也可以放在防火墙之外。但依据两者不同的功能优势,入侵检测可及时检测异常、攻击行为,而由防火墙对非法入侵进行控制。将入侵检测系统放置在防火墙的后面,不合法信息在经过防火墙的技术过滤,对计算机网络起到一定的保护。将入侵检测系统放在防火墙的内部,在最大限度阻止“幼稚脚本”的攻击同时,让入侵检测系统去发现网络中的攻击行为。
其次,校园网中防火墙与入侵检测系统的结合模型设计,两者并非只是简单的叠加,而是具体的分析两者的功能、优势以及缺点,经过研究后建立的一种由简单的入侵检测系统辅助防火墙技术的安全系统。
最后,防火墙与入侵检测系统的接口。两者通过两种方式实现互动。一种是将入侵检测系统嵌入到防火墙技术中,实现两者的紧密结合。这种情况下,入侵检测系统的数据来源于流经防火墙的数据流。防火墙不仅要验证这些数据,还要对其是否具有攻击性进行判断,从而对攻击行为进行阻断。但入侵检测系统作为一个庞大的系统,为实施带来了一定的难度。另一种个互动方式就是通过开发借口来实现。防火墙技术、入侵检测系统,它们各自开放一个接口,提供给对方使用,双方按事先协商的方式进行信息的传输。这种互动方式灵活,对防火墙技术、入侵检测系统的性能都不会造成影响。
一般系统越复杂,其自身的安全问题也就愈加难解决,通过比较,将防火墙技术与入侵检测系统通过开放接口实现互通,比将两者紧密结合的效果好。防火墙与入侵检测系统的原理、方法、手段等各不相同,但是他们都是为了保护计算机网络信息的安全,两者有着共同的目的,而且面临的威胁也相同,因此,两者的结合应用为校园网的安全防范带来切实可行的方法和手段。
5 结束语
本篇论文将以防火墙技术为代表的静态技术与以入侵检测系统为代表的动态技术结合应用,并非单纯的将两个系统通过设定标准接口简单物理结合,而是将两种技术手段各自独有的功能在新的系统中展现,有力的保障校园网网络系统的安全性,有效提高了网络的防御能力。未来,防火墙与入侵检测系统的结合应用,为计算机网络安全技术提供了广阔的发展空间。在计算机网络安全防范过程里,防火墙技术与入侵检测系统的结合应用,将取长补短为保护计算机网络安全增加一重保障。
参考文献:
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
1 农产品电子商务的安全需求
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
1) 系统实体安全
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全[1]。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
3) 信息安全
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问防火墙,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认论文的格式。
2 农产品电子商和安全策略
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能防火墙,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备论文的格式。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限[2]。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说防火墙,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用DBMS提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用DBMS提供的卸出、装入工具完成[3]。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
中图分类号: TP391;TN911.73文献标识码:A文章编号:2095-2163(2011)03-0035-05
Design and Implementation of the Embedded Linux Firewall
RAO Ming, DU Zhonghui, HAN Qi, LI Qiong
Abstract: In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system.
Key words:
0引言
互联网已经发展成为当今世界上最大的信息库,但是Internet从建立开始就缺乏安全的总体构想和设计,所以互联网的安全性就存在众多缺陷和隐患,由此防火墙的概念应运而生。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,从而保护内部网免受非法用户的侵入。但是,传统意义上的防火墙存在网络应用受到结构性限制、内部安全隐患、效率较低和故障率高等缺点,所以人们又提出了分布式防火墙的概念。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。分布式防火墙的具体实现方式可以归结为基于软件和基于硬件两种,一般将基于硬件实现的分布式防火墙称为嵌入式防火墙[1]。嵌入式防火墙是一种基于嵌入式技术的新型防火墙,同时将安全策略延伸到了网络末端,安全措施由硬件系统实施,从而有效地克服了传统边界防火墙的局限,并结合了硬件解决方案的强健性和集中管理式软件解决方案的灵活性,从而创建了一种更为完善的安全防护架构。
1999年,Bellovin[2]提出了一种分布式的解决方案,将策略的执行分布到各端结点,同时保持集中式的策略管理。2000年,Loannids等人[3]按照Bellovin 1999年提出的观点实现了一个分布式防火墙的原型系统。2001年,Payne和 Markham[4]实现了一种基于硬件的分布式防火墙,并指出基于硬件的分布式防火墙具有更高的可靠性。国内学者也先后实现了基于嵌入式Linux以及Netfilter/Iptables架构的防火墙系统[5,6],并对嵌入式防火墙中Linux内核裁剪进行了研究[7,8]。在商业产品方面,华为3Com公司也研发出PCI卡和PC卡形式的嵌入式防火墙,这类防火墙不受网络拓扑控制,完全独立于主机操作系统,强化整个网络台式机、服务器和笔记本,配合适当的安全策略,控制每个端点的网络访问,并能快速响应检测到的攻击。但是这些研究和产品大多都基于Iptables工具,当规则数量达到一定程度时,Iptables进行规则过滤的速度大大下降,从而严重影响防火墙的整体性能。
本文基于ARM9嵌入式平台, 提出并实现了一种Iptables结合NF-hipac、Ipset的嵌入式防火墙方案,首先使用交叉编译技术将运行于x86体系Linux上的Netfilter/Iptables防火墙系统移植到基于ARM体系处理器的平台上,同时对Linux操作系统的内核进行裁剪。通过测试发现Iptables在某些条件下的性能局限,所以结合NF-hipac、Ipset实现三者优势的互补,进一步提高防火墙的性能。
1基于Netfilter/Iptables的防火墙分析
1.1Netfilter架构与Iptables
本小节将对Linux下的Netfilter/Iptables防火墙体系做整体的分析以及介绍,并指出Iptables的不足及其改进方案。
Netfilter是Linux内核实现数据包过滤、网络地址转换(NAT)、数据包处理等的功能框架。之所以说Netfilter是一种架构,是因为Netfilter可以被多种协议族所用。利用Netfilter架构,各种协议都可以在Linux内核级实现自己的防火墙。Netfilter的设计为内核中其它模块动态参与IP层中的数据包处理提供了途径。
Netfilter在内核中建立了一个函数指针链表,称为钩子函数链表,加入到链表中的函数指针所指的函数称为钩子函数(Hook Function)。一个数据包按照如图1所示的过程通过Netfilter系统,图中的5个钩子函数分别为:(1)NF_ IP_PRE_ROUTING;(2)NF_IP_LOCAL_IN;(3)NF_IP_FO-WARD;(4)NF_IP_POST_ROUTING;(5)NF_IP_LOCAL_OUT。
Iptables是基于Netfilter框架的数据报处理子系统[1],有很强的扩展性。内核模块可以在原有基础上注册一个新的规则表(table),并要求数据报流经指定的规则表,可以选择用于实现数据报过滤的filter表、网络地址转换的NAT表及数据报处理的mangle表。Linux2.6内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和Iptables;而且还是互相之间独立的模块,完美集成到由Netfilter提供的框架中。Iptables实现对规则的管理和访问,ipt_entry,ipt_match,ipt_target,ipt_table等数据结构用于构造规则表, ipt_do_table函数用于遍历规则表并处理规则表上的结构。
1.2Iptables的不足及衍生工具Ipset、NF-hipac
在利用Iptables向系统添加防火墙规则时,如果没有特殊指定,Iptables会将新规则添加至规则链(线性表)的尾部;而当协议栈中有新数据包达到时,内核会调用ipt _do_table()逐条将规则与数据包的属性相对比,如果匹配成功则转入相应的处理行为。也就是说,几乎所有未命中规则的数据包的匹配复杂度为O(n)(n为规则的数目),这样在小规则集的情况下,性能削减不会很大,但是如果在庞大规则集的情况下,性能就会因规则条目的增长而大幅削减。
Ipset工具在这个方面做了很大的改善,最主要的是在结构和规则的查找上面做了很大的改善。Ipset的思想就是将相同处理规则的匹配条件放到一个集合中,一般采用hash方法。一个报文查询规则的时候,只需要判断IP地址是否在这个集合中就可以了;如果满足对应的匹配条件,就执行相应的处理操作。由于将查找从线性表遍历改为了hash查找,时间复杂度从O(n)降到了O(1)。根据提供的测试结果表明,当规则数目在300-1 500之间的时候,其对性能的影响基本是水平线。
NF-hipac是Netfilter项目中的一个子项目,NF-hipac提供了一个新颖包分类的架构,将规则集呈现树状分布以代替原有Iptables的线性分布,从而将时间复杂度从O(n)降到了O(logn)。但是相比于Ipset,NF-hipac具有更大的灵活性。当查找每一个包的时候,使用一个高级算法来减少内存占用。在一个有特别多的规则和高带宽的网络中,NF-hipac表现出色。NF-hipac的特点就是其语法完全兼容iptables -t filter选项,并且NF-hipac可以调用Iptables的匹配行为以及连接跟踪机制,这些特点使NF-hipac可以完全取代Iptables的过滤子功能。
2嵌入式防火墙方案设计及实现
2.1基于Iptables-Ipset-NF-hipac的防火墙方案
Iptables的优势在于具有足够的灵活度,并且功能强大,面面俱到;劣势是在数量巨大的规则集时性能低下。而Ipset虽具有很好的性能,将Iptables的时间复杂度从O(n)降到了O(1),但是却缺乏灵活性,集合里所有的IP对应到同一个处理操作,在面对并非一次性更新的规则集合时,显得用处不大。NF-hipac的灵活性和性能处于前二者之间,但是只能代替Iptables-t filter选项。因此,综合三个工具的优势,设计出一个更加优秀的防火墙方案:
(1)Ipset负责一次性大规模更新同一处理操作的IP集合;
(2)NF-hipac负责独立零散的过滤规则的更新;
(3)Iptables用来进行其他子功能(数据包转发、数据包地址伪装等)操作。
这样既保证了系统运行的高性能,又能覆盖所需的全部功能。
本文设计的嵌入式Linux防火墙的整体体系架构如图2所示。硬件层为ARM9的处理器,操作系统内核为经过移植的Linux(版本2.6.13)内核,并且支持NetFilter。用户态则移植了三款防火墙工具,并且都是在Netfilter架构的基础上进行开发的,包括Iptables、Ipset以及NF-hipac。
2.2开发平台及编译环境
本文设计的嵌入式Linux防火墙方案是在HIT-ESDK01平台上实现的,HIT-ESDK01是哈工大自主研制的嵌入式实践教学平台。该平台采用ATMEL公司AT91RM9200(ARM920T)嵌入式处理器,这是一款ARM920T内核的工业级产品,主频180MHz,带有MMU存储器管理单元,内嵌10M/100M自适应以太网。开发板上还包括64MB SDRAM、 256MB/1GBNand Flash和16MB Nor Flash,板上集成4线电阻式触摸屏接口、TFT液晶屏接口,最大支持16BPP模式800?}600分辨率,板载RS232、RS485、RJ45、USB等接口以及CAN总线接口及多种存储卡接口。实验平台的接口布局如图3所示。
所谓交叉编译就是在一个平台上生成可以在另一个平台上执行的代码,本文使用基于gcc 3.4.1的工具链,在x86架构的Linux主机上使用ARM架构的编译工具链对系统内核和工具进行编译,生成可以在目标板上运行的内核,烧写到Flash中,便可在嵌入式平台上运行经过裁剪的系统和相关工具。交叉编译内核的详细步骤本文不再赘述,只是简要介绍三个防火墙工具编译与移植的关键环节。
Iptables是Linux内核的一部分,因此与交叉编译内核一起考虑Iptables的编译,需要注意的是,Iptables最好编译为built-in模式,而不要选择模块模式,这主要是考虑到嵌入式系统单内核方便管理、使用及大规模的工业复制。NF-hipac是通过内核补丁的方式编译的,下载到其源码后为内核打补丁,然后与内核一起编译。另外,还需要对源码进行一定的修改,为编译移植用户层NF-hipac工具做准备,修改的文件包括Makefile、nf-hipac-core.c等。Ipset也是通过内核补丁的方式编译的,操作方法类似。
3功能与性能测试
本文测试部分包括防火墙的功能测试和性能测试,使用到的测试工具Netperf。Netperf是一款网络性能的测量工具,主要针对基于TCP或UDP的传输。Netperf根据应用的不同,可以进行不同模式的网络性能测试,即批量数据传输(bulk data transfer)模式和请求/应答(request/reponse)模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据,以及另外一个系统能够以多快的速度接收数据。
本文测试用例包括两种网络拓扑,如图4、图5所示。测试网络拓扑1主要模拟了从外网的客户端访问被防火墙保护的内网服务器(Web服务器、测试软件netserver服务器等),外网IP用192.168.5.0/24模拟,内网IP用10.50.10.0/24模拟。由于嵌入式Linux防火墙本身也为一台计算机,所以将其内部假设服务器,测试网络拓扑2(下文简称拓扑2)如图5所示,完成拓扑1所不能完成的一些性能上的测试,将测试结果进行进一步分析对比。
3.1功能验证与测试
功能验证与测试包括Iptables功能测试、NF-hipac功能测试和Ipset功能测试,在各种单项测试通过后,进行了ftp、telnet、NAT、针对SYNFlood攻击的防御等应用场景测试,图6、图7是NAT测试的数据流示意图和测试结果,表1给出了针对SYNFlood攻击的防御的测试结果,测试结果表明了该防火墙功能的有效性。
3.2性能测试
本文对防火墙进行的性能测试包括:内核精简前后性能对比测试、MTU值对性能影响测试、Iptables/NF-hipac/Ipset大规则集下的压力测试以及网络套接字缓冲区大小对系统性能的影响测试。
内核精简前后性能对比测试主要是为了验证本文所做内核裁剪的有效性,本文对精简前后的内核做众多性能方面的测试,对比了批量数据传输速率、请求/应答模式(即TCP_RR模式)交易率、连接/请求/应答模式(即TCP_CRR模式)交易率三方面给出测试结果,如图8-图10所示。
从测试结果可以得出,TCP_CRR模式下的交易率的数值变化较为明显。由于TCP_CRR模式为每次交易建立一个新的TCP连接,对系统消耗最为严重,从图10可以看出,未精简的内核的交易率变得十分不稳定。但无论是三项测试数据当中的哪一项,内核精简后对比精简前均有不同程度的性能上的提升,证明对内核进行精简可以对系统性能的提升起到作用。
MTU值(Maximum Transmission Unit最大传输单元)[1]是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位),在大流量的网络当中,增大MTU的值可以很好地改善网络性能。本文测试拓扑2,从批量数据传输速率、请求/应答模式交易率两方面进行测试,结果如表2、表3所示,其中,嵌入式防火墙eth0接口连接至服务器的网络接口,eth1接口连接至客户端的网络接口。
通过测试结果可以观察到,在较大MTU值的情况下,无论是数据传输速率还是交易率均得到了提升,但是也取决于整个网络中的瓶颈MTU值。
接下来进行了Iptables、NF-hipac、Ipset三个工具在大规则集下的压力测试,测试结果如图11、图12所示。由测试结果可以看出,Iptables在300条规则之内的性能对比NF-hipac与Ipset并没有明显的劣势,但是当规则的数量超过这一数值的时候,其性能表现就会大打折扣。而NF-hipac与Ipset的性能表现则几乎与规则的数目无关,NF-hipac的表现要稍好于Ipset。
4结束语
本文在HIT-ESDK01嵌入式教学平台之上设计并实现了嵌入式Linux防火墙系统。首先,根据嵌入式及防火墙的基本知识,设计了系统的总体结构,针对嵌入式系统的特点,给出了一种Linux内核的裁剪理由及方案,并针对该方案给出了测试结果,证明对其实施裁剪的必要性;其次,指出了Netfilter/Iptables架构在大数量规则集下性能低下的缺陷,提出了Iptables结合NF-hipac、Ipset使用的解决方案,并针对方案给出了详细的移植方法及步骤;最后,对实现的系统进行了详细的功能及性能测试。功能测试完成了整个系统各项功能的测试,证明了系统的可用性;性能测试主要给出了影响系统性能的参数,包括内核精简程度、MTU值、套接口缓冲区大小、防火墙规则的数量等等,通过改变参数并加以测试,对得到的测试结果加以分析,给出优化系统的途径。
参考文献:
[ 1 ] PAYNE C,MARKHAM T. Architecture and Applications for a
Distributed Embedded Firewall[C]// Proceedings of the Comp-
uter Security Applications Conference,2001:329-336.
[ 2 ] BELLOVIN S M. Distributed Firewalls[J]. Journal of Login,19-
99:39-47.
[ 3 ] LOANNIDS S,SMITH J,KEROMYTIS A D,et al. Implementing
a distributed firewall[C]// Proceedings of the 7th ACM Conferen-
ce on Computer and Communications Security, Athens, Greece,
2000-11.
[ 4 ] PAYNE C,MARKHAM T. Architectures and applications for a
distributed embedded firewall[C]// Proceedings of the Computer
Security Applications Conference,2001:329-336.
[ 5 ] 刘正海. 基于嵌入式Linux防火墙的研究与实现[D]. 重庆:重庆
大学硕士学位论文,2007.
[ 6 ] 郑培群. 嵌入式防火墙过滤规则的设计与算法优化[D]. 武汉:
武汉理工大学硕士学位论文,2010.
[ 7 ] 罗奕. 嵌入式Linux裁剪及其系统构建的研究与实现[D]. 长沙: