防火墻技術(shù)論文匯總十篇
時(shí)間:2023-03-17 17:58:39
序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程,我們?yōu)槟扑]十篇防火墻技術(shù)論文范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
篇(1)
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評(píng)估防火墻的使用效能,一旦防火墻失效,對(duì)網(wǎng)絡(luò)安全造成的后果無法想象。防火墻使用具有一定的級(jí)別,在被外界病毒等侵入時(shí)候具有一定的防御,我們?cè)谠O(shè)置防火墻的功能時(shí)候要具有一定的科學(xué)性,當(dāng)防火墻受到攻擊時(shí)候,能自動(dòng)啟動(dòng)防御功能,因此,我們?cè)谠O(shè)置防火墻功能時(shí)候,要正確檢測(cè)防火墻是否失效功能要開啟,達(dá)到防火墻失效狀態(tài)正常評(píng)估。
1.2正確選擇、科學(xué)配置防火墻
防火墻功能的科學(xué)配置,是對(duì)網(wǎng)絡(luò)安全防御的重要保障,防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬 周哲韞進(jìn)入新世紀(jì)以后,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速,尤其Internet的發(fā)展應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)安全越來越重要,尤其一些政府部門網(wǎng)絡(luò),科研等機(jī)構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入,后果是非常嚴(yán)重的,在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中,防火墻技術(shù)室比較成熟的,本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。摘要中關(guān)鍵技術(shù)之一,在配置防火墻時(shí)候,要正確選擇,科學(xué)配置。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人才需要專門的培訓(xùn)與學(xué)習(xí),才能進(jìn)行科學(xué)的配置,在配置防火時(shí)候具有一定的技巧,在不同環(huán)境,不同時(shí)期具有一定的應(yīng)用,因此正確科學(xué)的配置防火墻沒有通式,必須在根據(jù)環(huán)境狀態(tài)下進(jìn)行科學(xué)合理的配置,這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。
1.3有賴于動(dòng)態(tài)維護(hù)
防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用,不是把防火墻軟件在計(jì)算機(jī)中安裝以后,進(jìn)行一些配置以后就完事,管理員要對(duì)防火墻實(shí)時(shí)進(jìn)行監(jiān)控,看防火墻是否出現(xiàn)一些異常狀況,管理員還要與廠商經(jīng)常保持密切聯(lián)系,是否有更新,任何在完美事物都有兩面性,要及時(shí)更新,彌補(bǔ)防火墻漏洞,防止計(jì)算機(jī)網(wǎng)絡(luò)被更新,因此防火墻技術(shù)是一種動(dòng)態(tài)實(shí)時(shí)更新技術(shù)。
1.4搞好規(guī)則集的檢測(cè)審計(jì)工作
網(wǎng)絡(luò)安全技術(shù)最大的危險(xiǎn)是自己,網(wǎng)絡(luò)管理員不能出現(xiàn)一點(diǎn)大意,在防火墻技術(shù)的應(yīng)用過程中,要適時(shí)進(jìn)行更新,彌補(bǔ)漏洞,還要定期進(jìn)行一定的檢測(cè)和審計(jì)工作,用來評(píng)估網(wǎng)絡(luò)現(xiàn)在的安全性,以及在未來一段時(shí)間網(wǎng)絡(luò)的安全性,做好正確的評(píng)審工作,是網(wǎng)絡(luò)能長時(shí)間保持穩(wěn)定的重要條件,實(shí)時(shí)檢測(cè),實(shí)時(shí)維護(hù)是網(wǎng)絡(luò)安全的基本法則。
2防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案
2.1設(shè)置內(nèi)部防火墻,編制可靠的安全方案
在網(wǎng)絡(luò)安全防范的過程中,內(nèi)部局域網(wǎng)一定要重視,當(dāng)局域網(wǎng)中一臺(tái)機(jī)器出現(xiàn)病毒狀況,可能瞬間整個(gè)網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài),因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測(cè),內(nèi)部局域網(wǎng)防火墻要進(jìn)行科學(xué)合理的設(shè)置,制定一個(gè)可行的安全方案,對(duì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)進(jìn)行一定的保障。內(nèi)部防火墻進(jìn)行一定的分段,每個(gè)主機(jī)要有標(biāo)準(zhǔn),但有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),標(biāo)準(zhǔn)時(shí)同樣的,這樣對(duì)網(wǎng)絡(luò)的檢測(cè)等有一定的依據(jù),增強(qiáng)了網(wǎng)絡(luò)的安全性。
2.2合理設(shè)定外部防火墻,防范外網(wǎng)攻擊
經(jīng)外部防火墻的設(shè)定,把內(nèi)網(wǎng)同外網(wǎng)相分開,可防范外網(wǎng)攻擊行為。外部防火墻通過編制訪問策略,僅已被授權(quán)的主機(jī)方能訪問內(nèi)網(wǎng)IP,使外網(wǎng)僅能訪問內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會(huì)變換地址,使外網(wǎng)無法掌握內(nèi)網(wǎng)結(jié)構(gòu),阻斷了黑客攻擊的目標(biāo)。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間,防火墻對(duì)獲取的數(shù)據(jù)包加以剖析,把其中合法請(qǐng)求傳導(dǎo)到對(duì)應(yīng)服務(wù)主機(jī),拒絕非法訪問。
3防火墻技術(shù)的未來發(fā)展趨勢(shì)及前景
防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物,為不安全的網(wǎng)絡(luò)搭建一個(gè)安全的網(wǎng)絡(luò)平臺(tái),網(wǎng)絡(luò)安全是不可預(yù)測(cè)的,防火墻技術(shù)也在日新月異的進(jìn)行發(fā)展,防火墻技術(shù)的未來發(fā)展是廣泛的,能為網(wǎng)絡(luò)安全作出一定的貢獻(xiàn),下面闡述一下防火墻技術(shù)的未來發(fā)展趨勢(shì),引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。
3.1智能化
現(xiàn)在計(jì)算機(jī)的未來發(fā)展是網(wǎng)絡(luò)化、智能化,網(wǎng)絡(luò)安全問題的發(fā)展也比較快,對(duì)網(wǎng)絡(luò)安全的軟件要求也是越來越高,網(wǎng)絡(luò)上的病毒具有不可預(yù)見性,對(duì)防御病毒的軟件提出一個(gè)嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強(qiáng)的防御功能,不是人為的進(jìn)行控制,智能化是網(wǎng)絡(luò)安全專家對(duì)防火墻技術(shù)的期盼,也是防火墻技術(shù)自身發(fā)展的需要,但防火墻技術(shù)實(shí)現(xiàn)智能化需要一定的時(shí)間,需要網(wǎng)絡(luò)安全專家不停努力的結(jié)果。
3.2擴(kuò)展性能更佳
篇(2)
1.1網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全不是目的,只是一種保障。就網(wǎng)絡(luò)安全來說,其造成威脅的因素又可分為內(nèi)因和外因。內(nèi)因主要是計(jì)算機(jī)本身的問題所致,例如自身的系統(tǒng)缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務(wù)漏洞、網(wǎng)絡(luò)操作系統(tǒng)的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計(jì)算機(jī)病毒、非授權(quán)的冒充使用、物理環(huán)境的安全性差等因素。
1.2校園網(wǎng)安全
校園網(wǎng)相對(duì)來說是一個(gè)比較特殊的環(huán)境,由于面向的群體主要是學(xué)生,因此除了要保證網(wǎng)絡(luò)的正常運(yùn)行外,還必須做好對(duì)內(nèi)容不健康信息的過濾功能以及應(yīng)對(duì)個(gè)別同學(xué)喜歡嘗試各種試圖攻擊和入侵服務(wù)器的行為。通過分析目前校園網(wǎng)中存在的問題,應(yīng)該從以下幾方面進(jìn)行著手維護(hù):制定和實(shí)施訪問安全,身份認(rèn)證,禁止未授權(quán)的訪問者非法進(jìn)入;對(duì)于電子閱覽室、網(wǎng)絡(luò)實(shí)驗(yàn)室等學(xué)校人員經(jīng)常使用的計(jì)算機(jī),安裝上防火墻,過濾掉、暴力等不健康的網(wǎng)站;對(duì)重要或敏感的信息和數(shù)據(jù)進(jìn)行加密,保證信息的內(nèi)容的安全性,防止例如學(xué)生成績(jī)信息等重要數(shù)據(jù)被非法篡改;確保網(wǎng)絡(luò)運(yùn)行設(shè)施的可靠性和安全監(jiān)測(cè)手段的有效性,防范非法入侵而使系統(tǒng)功能受到影響情況的出現(xiàn);學(xué)校可設(shè)立網(wǎng)絡(luò)安全管理機(jī)制,負(fù)責(zé)網(wǎng)絡(luò)安全管理和規(guī)劃等工作,加強(qiáng)學(xué)校安全管理教育工作的開展。
2防火墻技術(shù)
防火墻是一種為了保護(hù)內(nèi)部網(wǎng)安全,在計(jì)算機(jī)的硬件和軟件相互搭配組合下,在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間形成安全屏障的技術(shù),是確保網(wǎng)絡(luò)安全的重要手段。作為現(xiàn)代網(wǎng)絡(luò)時(shí)代不可或缺的安全產(chǎn)品,防火墻已經(jīng)成為了校園網(wǎng)絡(luò)必要的存在。就目前來說,防火墻主要通過對(duì)未經(jīng)證實(shí)的主機(jī)的TCP/IP進(jìn)行分組過濾、利用IP地址進(jìn)行偽裝、通過功能,斷絕內(nèi)外部之間的連接等三個(gè)主要手段對(duì)內(nèi)部網(wǎng)進(jìn)行安全保護(hù)。
2.1防火墻的功能
(1)管理進(jìn)出網(wǎng)絡(luò)的訪問行為作為雙向溝通間的控制點(diǎn),防火墻可以利用自身的阻塞點(diǎn),對(duì)訪問的信息進(jìn)行管理和控制,并過濾掉不安全的服務(wù)和信息,只允許經(jīng)過選擇的應(yīng)用選擇通過防火墻,這在很大程度上降低了訪問的風(fēng)險(xiǎn),提高了內(nèi)部網(wǎng)絡(luò)的安全性。(2)記錄通過防火墻的信息內(nèi)容和活動(dòng)防火墻的建立使得所有信息的訪問在經(jīng)過防火墻的時(shí)候都會(huì)留下記錄,防火墻內(nèi)部會(huì)根據(jù)這些數(shù)據(jù)統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況,并作出日志記錄。(3)監(jiān)測(cè)和反饋網(wǎng)絡(luò)攻擊行為在信息監(jiān)測(cè)的過程中,當(dāng)有可疑的情況發(fā)生時(shí),防火墻會(huì)適當(dāng)?shù)膱?bào)警,并把詳細(xì)信息自動(dòng)生成電子郵件發(fā)送給網(wǎng)絡(luò)維護(hù)者,提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的信息。(4)防止內(nèi)部信息的泄漏在實(shí)施保護(hù)的過程中,可以通過防火墻的內(nèi)部網(wǎng)絡(luò)劃分,將重點(diǎn)網(wǎng)段進(jìn)行隔離,防止了局部重點(diǎn)或敏感段落出現(xiàn)問題對(duì)全局造成影響。
2.2防火墻特性
(1)是雙向網(wǎng)絡(luò)載體通信之間的中間存在點(diǎn);(2)具有透明性,其存在不影響信息之間的交流和溝通;(3)它只對(duì)符合本地開放安全的信息進(jìn)行授權(quán),而只有經(jīng)過授權(quán)的信息才可以自由出入網(wǎng)絡(luò)。
3防火墻技術(shù)在大學(xué)校園網(wǎng)中的應(yīng)用
在目前,各種維護(hù)網(wǎng)絡(luò)的軟硬件層出不窮,但大多數(shù)只能解決學(xué)校網(wǎng)絡(luò)安全中的一部分,例如金山、瑞星等軟件解決病毒防范,天網(wǎng)、天融信等軟件解決網(wǎng)絡(luò)攻擊問題,這些軟件的存在都是以解決單一或部分問題為目標(biāo),并不能對(duì)學(xué)校的網(wǎng)絡(luò)安全形成整體的解決方案。由于學(xué)校的特殊性,學(xué)校對(duì)網(wǎng)絡(luò)的需求也有所不同,因此校園網(wǎng)絡(luò)應(yīng)該根據(jù)學(xué)校的需求特點(diǎn)出發(fā),以第一評(píng)價(jià)為標(biāo)準(zhǔn),完善網(wǎng)絡(luò)體系,具體來說,有以下幾個(gè)步驟:
3.1入侵監(jiān)測(cè)系統(tǒng)
入侵檢測(cè)是一種能夠及時(shí)監(jiān)測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中異常現(xiàn)象的實(shí)時(shí)監(jiān)測(cè)技術(shù)。在監(jiān)測(cè)過程中除了利用審計(jì)記錄,監(jiān)測(cè)出任何不希望有的活動(dòng)以外,它還可以實(shí)時(shí)防護(hù)來自IPSpoofing、PingofDeath以及其它外界的攻擊,以保護(hù)系統(tǒng)的安全。而在監(jiān)測(cè)到攻擊行為時(shí)它還可以自動(dòng)生成電子郵件通知系統(tǒng)管理員,使其可以在第一時(shí)間處理危機(jī)。
3.2建立用戶認(rèn)證
建立和完善網(wǎng)絡(luò)的用戶認(rèn)證機(jī)制,對(duì)于不可信網(wǎng)站的訪問,防火墻可以經(jīng)過內(nèi)建用戶數(shù)據(jù)庫或IP/MAC綁定資料等進(jìn)行認(rèn)證,并決定是否給予訪問的權(quán)限。而防火墻也可以限定授權(quán)用戶通過防火墻進(jìn)行一些有限制的活動(dòng)。
3.3防火墻系統(tǒng)的檢測(cè)和維護(hù)
在合理配置了防火墻后,必須要對(duì)防火墻進(jìn)行經(jīng)常性的檢測(cè)和監(jiān)督,并對(duì)監(jiān)測(cè)到的網(wǎng)絡(luò)流量進(jìn)行分析,時(shí)刻關(guān)注異常流量的情況,做好日志備份等處理工作,以便日后信息的查閱。最后,防火墻的配置也要根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的變化而變化,從而保證其能在保護(hù)校園網(wǎng)中發(fā)揮更好的作用。
3.4漏洞掃描系統(tǒng)
要想解決網(wǎng)絡(luò)中的安全問題,首先要清楚存在了哪些安全隱患。面對(duì)強(qiáng)大的網(wǎng)絡(luò)覆蓋面和不斷變化的網(wǎng)絡(luò)復(fù)雜性,如果僅僅只依靠網(wǎng)絡(luò)技術(shù)管理人員的技術(shù)去查找漏洞是存在著巨大困難的,也是不現(xiàn)實(shí)的。因此唯一的方法就是找出一種可以替代人工查詢漏洞,并做出及時(shí)評(píng)估、提出修改意見的安全掃描工具,它可以在系統(tǒng)優(yōu)化的過程中彌補(bǔ)安全漏洞,消除安全隱患。
3.5利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)安全
威脅校園網(wǎng)絡(luò)安全有內(nèi)因和外因兩個(gè)部分,對(duì)于外因,我們可以通過安裝防火墻來解決,但是對(duì)于校園內(nèi)部的入侵我們則無能為力,在這種情況下,學(xué)校可以在網(wǎng)絡(luò)監(jiān)控部門中設(shè)立一個(gè)專門管理和分析網(wǎng)絡(luò)運(yùn)作狀態(tài)的子網(wǎng)監(jiān)聽程序,該監(jiān)聽程序可以包含一定的審計(jì)功能,方便在長期監(jiān)聽子網(wǎng)的情況中,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份,并在監(jiān)聽的程序之間建立聯(lián)系,保證相互聯(lián)系的計(jì)算機(jī),在其它服務(wù)器收不到聯(lián)系的情況下,會(huì)自動(dòng)發(fā)出警報(bào)提示。
篇(3)
一、概述
隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢(shì)。互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。
其實(shí)防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個(gè)現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進(jìn)出城堡的人都要經(jīng)過一個(gè)吊橋,吊橋上的看門警衛(wèi)可以檢查每一個(gè)來往的行人。對(duì)于網(wǎng)絡(luò),也可以采用同樣的方法:一個(gè)擁有多個(gè)LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接,但進(jìn)出該公司的通信量必須經(jīng)過一個(gè)電子吊橋(防火墻)。也就是說防火墻實(shí)際上是一種訪問控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。
防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。
二、防火墻技術(shù)
網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:
1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;
2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;
5、人機(jī)界面良好,用戶配置使用方便,易管理。
實(shí)現(xiàn)防火墻的主要技術(shù)有:分組篩選器,應(yīng)用網(wǎng)關(guān)和服務(wù)等。
(1)分組篩選器技術(shù)
分組篩選器是一個(gè)裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來檢查每個(gè)進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā),不能通過檢查的就被丟棄。
通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動(dòng)。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個(gè)UNIX設(shè)置的標(biāo)準(zhǔn)配置中,一個(gè)源端或目的端由一個(gè)IP地址和一個(gè)端口組成,端口表明希望得到什么樣的服務(wù)。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個(gè)公司可以擁塞到所有IP地址及一個(gè)端口號(hào)的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進(jìn)而該公司可以獎(jiǎng)勵(lì)其雇員看一整天的USENET新聞。
擁塞外出分組更有技巧性,因?yàn)殡m然大多數(shù)節(jié)點(diǎn)使用標(biāo)準(zhǔn)端口號(hào),但這也不一定是一成不變的,更何況有一些重要的服務(wù),像FTP(文件傳輸協(xié)議),其端口號(hào)是動(dòng)態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因?yàn)楹茈y事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。
(2)應(yīng)用網(wǎng)關(guān)技術(shù)
應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過的信息進(jìn)行記錄,如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。
有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁面。當(dāng)用戶請(qǐng)求的頁面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務(wù)器上請(qǐng)求最新的頁面,然后再轉(zhuǎn)發(fā)給用戶(3)服務(wù)
服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。
具體地說,服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。
在實(shí)際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問題的技術(shù)的有機(jī)組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn),采用何種技術(shù)來解決那些問題依賴于你的時(shí)間、金錢、專長等因素。超級(jí)秘書網(wǎng)
三、防火墻技術(shù)展望
伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇:
1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。
2)過濾深度會(huì)不斷加強(qiáng),從目前的地址、服務(wù)過濾,發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對(duì)ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網(wǎng)是較長一段時(shí)間用戶使用的主流,IP的加密需求越來越強(qiáng),安全協(xié)議的開發(fā)是一大熱點(diǎn)。
4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。
5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。
另外值得一提的是,伴隨著防火墻技術(shù)的不斷發(fā)展,人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。
參考文獻(xiàn):
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
篇(4)
本文主要研究計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全問題越來越得到人們的重視。在確保網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面,有數(shù)據(jù)加密技術(shù)、智能卡技術(shù)、防火墻技術(shù)等,我們?cè)谶@里主要研究的是防火墻技術(shù)。在這里,我們了解了防火墻的概念及它的分類,知道了什么是防火墻以及它在網(wǎng)絡(luò)中起到了的作用。從防火墻的防范方式和側(cè)重點(diǎn)的不同來看,防火墻可以分為很多類型,本文根據(jù)防火墻對(duì)內(nèi)外數(shù)據(jù)的處理方法上,大致將防火墻分為包過濾防火墻和防火墻兩大體系,并對(duì)這兩種防火墻進(jìn)行了對(duì)比。了解了防火墻的作用及它的優(yōu)缺點(diǎn),對(duì)防火墻的認(rèn)識(shí)進(jìn)一步的加深。然后介紹了防火墻三種基本實(shí)現(xiàn)技術(shù):分組過濾、應(yīng)用和監(jiān)測(cè)模型。最后,了解了防火墻的基本元素及防火墻的三個(gè)典型結(jié)構(gòu)。總之,我國目前使用較多的,是在路由器上采用分組過濾技術(shù)來提供網(wǎng)絡(luò)安全的保證,對(duì)其它方面的技術(shù)還缺乏深入了解. 防火墻技術(shù)還處在一個(gè)發(fā)展階段,仍有許多問題有待解決.
目錄
一、防火墻的概念及其分類 3
(一)防火墻的概念 3
(二)防火墻的分類 3
1.靜態(tài)包過濾防火墻: 3
2.動(dòng)態(tài)包過濾防火墻: 4
二、 防火墻的作用及其優(yōu)缺點(diǎn) 5
(一)防火墻的作用 5
(二)防火墻優(yōu)缺點(diǎn) 5
三、防火墻基本技術(shù) 6
…… 6
…… 7
…… 7
…… 8
…… 8
…… 8
…… 8
…… 8
…… 9
五、結(jié)束語 9
致謝 10
參考文獻(xiàn) 11
:7000多字
有摘要及關(guān)鍵詞
150元
篇(5)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,全球信息化己成為人類發(fā)展的大趨勢(shì),計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在同防軍事領(lǐng)域、金融、電信、證券、商業(yè)、教育以及日常生活巾得到了大量的應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。因此,網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施,否則網(wǎng)絡(luò)將是尤用的,相反會(huì)給使用者帶來各方面危害,嚴(yán)重的甚至?xí)<爸芗野踩?nbsp;
一、信息加密技術(shù)
網(wǎng)絡(luò)信息發(fā)展的關(guān)鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術(shù)、安全認(rèn)證技術(shù)、安全交易議等內(nèi)容的信息安全機(jī)制作為保證,來實(shí)現(xiàn)電子信息數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和交易者身份認(rèn)證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現(xiàn)虛假信息。
信息加密技術(shù)是保證網(wǎng)絡(luò)、信息安全的核心技術(shù),是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數(shù)叫做密鑰。
傳統(tǒng)上,幾種方法町以用來加密數(shù)據(jù)流,所有這些方法都町以用軟件很容易的實(shí)現(xiàn),當(dāng)只知道密文的時(shí)候,是不容易破譯這些加密算法的。最好的加密算法塒系統(tǒng)性能幾乎沒有影響,并且還可以帶來其他內(nèi)在的優(yōu)點(diǎn)。例如,大家郜知道的pkzip,它既壓縮數(shù)據(jù)義加密數(shù)據(jù)。義如,dbms的一些軟件包包含一些加密方法使復(fù)制文件這一功能對(duì)一些敏感數(shù)據(jù)是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術(shù)
“防火墻”是一個(gè)通用術(shù)i五,是指在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬什產(chǎn)品中。防火墻通常是巾軟什系統(tǒng)和硬什設(shè)備組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建起安全的保護(hù)屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它南一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自intemet的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件傳輸、遠(yuǎn)程登錄、布特定的系統(tǒng)問進(jìn)行信息交換等安全的作用。
防火墻可以被看成是阻塞點(diǎn)。所有內(nèi)部網(wǎng)和外部網(wǎng)之間的連接郝必須經(jīng)過該阻塞點(diǎn),在此進(jìn)行檢查和連接,只有被授權(quán)的通信才能通過該阻塞點(diǎn)。防火墻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定條件下隔離,從而防止非法入侵及非法使用系統(tǒng)資源。同時(shí),防火墻還日,以執(zhí)行安全管制措施,記錄所以可疑的事件,其基本準(zhǔn)則有以下兩點(diǎn):
(1)一切未被允許的就是禁止的。基于該準(zhǔn)則,防火墑應(yīng)封鎖所有信息流,然后對(duì)希單提供的服務(wù)逐項(xiàng)丌放。這是一種非常災(zāi)用的方法,可以造成一種十分安全的環(huán)境,為只有經(jīng)過仔細(xì)挑選的服務(wù)才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務(wù)范同受到限制。
(2)一切未被禁止的就是允許的。基于該準(zhǔn)則,防火埔轉(zhuǎn)發(fā)所有信息流,然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境,可為用戶提供更多的服務(wù)。其弊端是,在口益增多的網(wǎng)絡(luò)服務(wù)面前,網(wǎng)管人員疲于奔命,特別是受保護(hù)的網(wǎng)絡(luò)范嗣增大時(shí),很難提供町靠的安全防護(hù)。
較傳統(tǒng)的防火墻來說,新一代防火墻具有先進(jìn)的過濾和體系,能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理,協(xié)議和的直接相互配合,提供透明模式,使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術(shù),如nat和vpn、病毒防護(hù)等、使防火墻的安全性提升到義一高度。
三、網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)設(shè)計(jì)
在網(wǎng)絡(luò)層使用了防火墻技術(shù),經(jīng)過嚴(yán)格的策略配置,通常能夠在內(nèi)外網(wǎng)之問提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是,儀儀使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。因?yàn)槿涨霸S多入侵手段如icmp重定向、盯p反射掃描、隧道技術(shù)等能夠穿透防火墑進(jìn)入網(wǎng)絡(luò)內(nèi)部;防火墻無法防護(hù)不通過它的鏈接(如入侵者通過撥號(hào)入侵);不能防范惡意的知情者、不能防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實(shí)時(shí)動(dòng)態(tài)的保護(hù)等。
因此,需要更為完善的安全防護(hù)系統(tǒng)來解決以上這些問題。網(wǎng)絡(luò)入侵監(jiān)測(cè)與安全審計(jì)系統(tǒng)是一種實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)包括系統(tǒng),能夠彌補(bǔ)防火墑等其他系統(tǒng)的不足,進(jìn)一步完善整個(gè)網(wǎng)絡(luò)的安全防御能力。網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng),可以在網(wǎng)絡(luò)巾建立完善的安全預(yù)警和安全應(yīng)急反應(yīng)體系,為信息系統(tǒng)的安全運(yùn)行提供保障。
在計(jì)算機(jī)網(wǎng)絡(luò)信息安全綜合防御體系巾,審計(jì)系統(tǒng)采用多agent的結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)來構(gòu)建。整個(gè)審計(jì)系統(tǒng)包括審計(jì)agent,審計(jì)管理中心,審計(jì)管理控制臺(tái)。審計(jì)agent有軟什和硬什的形式直接和受保護(hù)網(wǎng)絡(luò)的設(shè)備和系統(tǒng)連接,對(duì)網(wǎng)絡(luò)的各個(gè)層次(網(wǎng)絡(luò),操作系統(tǒng),應(yīng)用軟件)進(jìn)行審計(jì),受審計(jì)巾心的統(tǒng)一管理,并將信息上報(bào)到各個(gè)巾心。審計(jì)巾心實(shí)現(xiàn)對(duì)各種審計(jì)agent的數(shù)據(jù)收集和管理。審計(jì)控制會(huì)是一套管理軟件,主要實(shí)現(xiàn)管理員對(duì)于審計(jì)系統(tǒng)的數(shù)據(jù)瀏覽,數(shù)據(jù)管理,規(guī)則沒置功能。管理員即使不在審計(jì)中心現(xiàn)場(chǎng)也能夠使用審計(jì)控制臺(tái)通過遠(yuǎn)程連接審計(jì)中心進(jìn)行管理,而且多個(gè)管理員可以同時(shí)進(jìn)行管理,根據(jù)權(quán)限的不同完成不同的職責(zé)和任務(wù)。
篇(6)
一、前言
企業(yè)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)一般是基于TCP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intranet,它具有開放性,因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果,給正常的企業(yè)經(jīng)營活動(dòng)造成極大的負(fù)面影響。因此企業(yè)需要一個(gè)更安全的辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)。
目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等,在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。
針對(duì)企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患,各個(gè)企業(yè)也實(shí)施了安全防御措施,其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等,但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文將就放火墻技術(shù)在企業(yè)辦公中的應(yīng)用給予探討,希望能給廣大企業(yè)辦公網(wǎng)絡(luò)安全建設(shè)帶來一定幫助。
二、防火墻技術(shù)概述
1.防火墻的基本概念
防火墻原是建筑物大廈里用來防止火災(zāi)蔓延的隔斷墻,在這里引申為保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講,網(wǎng)絡(luò)防火墻服務(wù)的原理與其類似,它用來防止外部網(wǎng)上的各類危險(xiǎn)傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個(gè)防火墻的物理實(shí)現(xiàn)方式可以有所不同,但它通常是一組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合;而從本質(zhì)上來說防火墻是一種保護(hù)裝置,用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù);從技術(shù)上來說,網(wǎng)絡(luò)防火墻是一種訪問控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問,換句話說,防火墻是一道門檻,控制進(jìn)/出兩個(gè)方向的通信,防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵,如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò),不安全網(wǎng)絡(luò)是因特網(wǎng),當(dāng)然,防火墻不只是用于某個(gè)網(wǎng)絡(luò)與因特網(wǎng)的隔離,也可用于企業(yè)內(nèi)部網(wǎng)絡(luò)中的部門網(wǎng)絡(luò)之間的隔離。
2.防火墻的工作原理
防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則,監(jiān)控所有通過防火墻
的數(shù)據(jù)流,只允許授權(quán)的數(shù)據(jù)通過,同時(shí)記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的
通信量以及試圖闖入者的任何企圖,以方便管理員的監(jiān)測(cè)和跟蹤,并且防火墻本身也必須能夠免于滲透。
3.防火墻的功能
一般來說,防火墻具有以下幾種功能:
①能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。
②可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警。
③可以作為部署NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來,用來緩解地址空間短缺的問題。
④可以連接到一個(gè)單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部?jī)?nèi)部信息的地點(diǎn)。從技術(shù)角度來講,就是所謂的停火區(qū)(DMZ)。
4.防火墻的分類
①包過濾型防火墻,又稱篩選路由器(Screeningrouter)或網(wǎng)絡(luò)層防火墻(Networklevelfirewall),它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個(gè)數(shù)據(jù)包實(shí)施網(wǎng)絡(luò)控制,根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號(hào)及目標(biāo)端口號(hào)、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù),與用戶預(yù)定的訪問控制表進(jìn)行比較,決定數(shù)據(jù)是否符合預(yù)先制定的安全策略,決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄,即實(shí)施過濾。
②服務(wù)器型防火墻
服務(wù)器型防火墻通過在主機(jī)上運(yùn)行的服務(wù)程序,直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù),因此也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的服務(wù)器進(jìn)程,它代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)服務(wù)器實(shí)際上是一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。
③復(fù)合型防火墻
由于對(duì)更高安全性的要求,通常把數(shù)據(jù)包過濾和服務(wù)系統(tǒng)的功能和特點(diǎn)綜合起來,構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī),負(fù)責(zé)服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或服務(wù)器型防火墻,而是將各種安全技術(shù)結(jié)合起來,形成一個(gè)混合的多級(jí)防火墻,以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術(shù):①動(dòng)態(tài)包過濾;②內(nèi)核透明技術(shù);③用戶認(rèn)證機(jī)制;④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏;⑥智能日志、審計(jì)和實(shí)時(shí)報(bào)警;⑦防火墻的交互操作性等。
三、辦公網(wǎng)絡(luò)防火墻的設(shè)計(jì)
1.防火墻的系統(tǒng)總體設(shè)計(jì)思想
1.1設(shè)計(jì)防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)
在確定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)時(shí),首先必須確定被保護(hù)網(wǎng)絡(luò)的安全級(jí)別。從整個(gè)系統(tǒng)的成本、安全保護(hù)的實(shí)現(xiàn)、維護(hù)、升級(jí)、改造以及重要的資源的保護(hù)等方面進(jìn)行考慮,以決定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。
1.2制定網(wǎng)絡(luò)安全策略778論文在線
在實(shí)現(xiàn)過程中,沒有允許的服務(wù)是被禁止的,沒有被禁止的服務(wù)都是允許的,因此網(wǎng)絡(luò)安全的第一條策略是拒絕一切未許可的服務(wù)。防火墻封鎖所有信息流,逐一完成每一項(xiàng)許可的服務(wù);第二條策略是允許一切沒有被禁止的服務(wù),防火墻轉(zhuǎn)發(fā)所有的信息,逐項(xiàng)刪除被禁止的服務(wù)。
1.3確定包過濾規(guī)則
包過濾規(guī)則是以處理IP包頭信息為基礎(chǔ),設(shè)計(jì)在包過濾規(guī)則時(shí),一般先組織好包過濾規(guī)則,然后再進(jìn)行具體設(shè)置。
1.4設(shè)計(jì)服務(wù)
服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點(diǎn)提出的服務(wù)請(qǐng)求,如果此請(qǐng)求被接受,服務(wù)器再建立與實(shí)服務(wù)器的連接。由于它作用于應(yīng)用層,故可利用各種安全技術(shù),如身份驗(yàn)證、日志登錄、審計(jì)跟蹤、密碼技術(shù)等,來加強(qiáng)網(wǎng)絡(luò)安全性,解決包過濾所不能解決的問題。
1.5嚴(yán)格定義功能模塊,分散實(shí)現(xiàn)
防火墻由各種功能模塊組成,如包過濾器、服務(wù)器、認(rèn)證服務(wù)器、域名服務(wù)器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨(dú)的主機(jī)實(shí)現(xiàn),功能分散減少了實(shí)現(xiàn)的難度,增加了可靠程度。
1.6防火墻維護(hù)和管理方案的考慮
防火墻的日常維護(hù)是對(duì)訪問記錄進(jìn)行審計(jì),發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對(duì)防火墻的安全性進(jìn)行評(píng)價(jià),需要時(shí)進(jìn)行適當(dāng)改進(jìn),管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化,對(duì)防火墻進(jìn)行硬件和軟件的修改和升級(jí)。通過維護(hù)和管理進(jìn)一步優(yōu)化其性能,以保證網(wǎng)絡(luò)極其信息的安全性。
2.一種典型防火墻設(shè)計(jì)實(shí)例——數(shù)據(jù)包防火墻設(shè)計(jì)
數(shù)據(jù)包過濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡(luò)層,其技術(shù)核心是對(duì)是流經(jīng)防火墻每個(gè)數(shù)據(jù)包進(jìn)行行審查,分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口號(hào)和目的端口號(hào)、輸人輸出接口等信息,確定其是否與系統(tǒng)預(yù)先設(shè)定的安全策略相匹配,以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用,這一過程就稱為數(shù)據(jù)包過濾。
本例中網(wǎng)絡(luò)環(huán)境為:內(nèi)部網(wǎng)絡(luò)使用的網(wǎng)段為192.168.1.0,eth0為防火墻與Internet接口的網(wǎng)卡,eth1為防火墻與內(nèi)部網(wǎng)絡(luò)接口的網(wǎng)卡。
數(shù)據(jù)包過濾規(guī)則的設(shè)計(jì)如下:
2.1與服務(wù)有關(guān)的安全檢查規(guī)則
這類安全檢查是根據(jù)特定服務(wù)的需要來決定是否允許相關(guān)的數(shù)據(jù)包被傳輸.這類服務(wù)包括WWW,F(xiàn)TP,Telnet,SMTP等.我們以WWW包過濾為例,來分析這類數(shù)據(jù)包過濾的實(shí)現(xiàn).
WWW數(shù)據(jù)包采用TCP或UDP協(xié)
議,其端口為80,設(shè)置安全規(guī)則為允許內(nèi)部網(wǎng)絡(luò)用戶對(duì)Internet的WWW訪問,而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務(wù)器,(假定其IP地址為192.168.1.11)。
要實(shí)現(xiàn)上述WWW安全規(guī)則,設(shè)置WWW數(shù)據(jù)包過濾為,在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡(luò)WWW服務(wù)器地址數(shù)據(jù)包通過,而在防火墻eth1端允許所有來自內(nèi)部網(wǎng)絡(luò)WWW數(shù)據(jù)包通過。
#DefineHTTPpackets
#允許Internet客戶的WWW包訪問WWW服務(wù)器
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT
#允許WWW服務(wù)器回應(yīng)Internet客戶的WWW訪問請(qǐng)求
/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT
/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT
顯然,設(shè)置此類數(shù)據(jù)過濾的關(guān)鍵是限制與服務(wù)相應(yīng)的目地地址和服務(wù)端口。
與此相似,我們可以建立起與FTP,Telnet,SMTP等服務(wù)有關(guān)的數(shù)據(jù)包檢查規(guī)則;
2.2與服務(wù)無關(guān)的安全檢查規(guī)則778論文在線
這類安全規(guī)則是通過對(duì)路由表、數(shù)據(jù)包的特定IP選項(xiàng)和特定段等內(nèi)容的檢查來實(shí)現(xiàn)的,主要有以下幾點(diǎn):
①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進(jìn)人Ipchains本身并不具備碎片過濾功能,實(shí)現(xiàn)完整性檢查的方法是利用REDHAT,在編譯其內(nèi)核時(shí)設(shè)定IP;alwaysdefraymentssetto‘y’。REDHAT檢查進(jìn)人的數(shù)據(jù)包的完整性,合并片段而拋棄碎片。
②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內(nèi)部網(wǎng)絡(luò)主機(jī),以期能滲透到內(nèi)部網(wǎng)絡(luò)中.要實(shí)現(xiàn)這一安全規(guī)則,設(shè)置拒絕數(shù)據(jù)包過濾規(guī)則為,在防火墻eth0端拒絕1P源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過。
③源路由(SourceRouting)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息,實(shí)現(xiàn)的方法也是借助REDHAT的路由功能,拒絕來自外部的包含源路由選項(xiàng)的數(shù)據(jù)包。
總之,放火墻優(yōu)點(diǎn)眾多,但也并非萬無一失。所以,安全人員在設(shè)定防火墻后千萬不可麻痹大意,而應(yīng)居安思危,將防火墻與其他安全防御技術(shù)配合使用,才能達(dá)到應(yīng)有的效果。
參考文獻(xiàn):
張曄,劉玉莎.防火墻技術(shù)的研究與探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,1999
王麗艷.淺談防火墻技術(shù)與防火墻系統(tǒng)設(shè)計(jì).遼寧工學(xué)院學(xué)報(bào).2001
郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計(jì).江漢大學(xué)學(xué)報(bào).2001
篇(7)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2011) 21-0000-01
Distributed Firewall Network Security System Study
Zhou Guohui
(Guangxi Vocational&Technical Institute of Industry,Nanning 530001,China)
Abstract:With the rapid development of network technology,network security,received more attention,it is also widely used firewall technology,this paper describes a distributed firewall network security system,the composition and use of the principle.It also describes how to use a distributed firewall system to protect network security.
Keywords:Distributed firewall;Network security
一、引言
很多人都聽說過防火墻這個(gè)名詞,但防火墻的功能到底是什么,估計(jì)沒有幾個(gè)非專業(yè)認(rèn)識(shí)能夠做出明確的解釋,其實(shí)防火墻的基本功能就是防止網(wǎng)絡(luò)上的非法用戶來訪問我們的內(nèi)部網(wǎng)絡(luò)以及限制一些用戶的使用權(quán)限,通過這個(gè)功能來保護(hù)我們的網(wǎng)絡(luò)的安全。有了防火墻并不一定就很安全。普通的邊界防火墻只是依賴網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并且形成網(wǎng)絡(luò)的流量瓶頸,這樣只能大略的提供一下網(wǎng)絡(luò)安全保護(hù),根本就無法阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊;一臺(tái)普通電腦的防火墻的自身防御能力很有限,它的保護(hù)配置全部由電腦使用者來設(shè)置,如此以來一個(gè)企業(yè)和組織就不能對(duì)防火墻進(jìn)行集中有效的配置,來保護(hù)企業(yè)和組織的網(wǎng)絡(luò)安全。
二、分布式防火墻
為了解決上面說的防火墻的缺陷,一個(gè)新的概念“分布式防火墻”出現(xiàn)了,最早提出這個(gè)概念的人是:stevenM.Bellovin,他在1999年自己寫的論文里提出了這個(gè)概念。他在論文中主要說明的中心是:策略可以集中頂制,可以在各個(gè)主機(jī)上執(zhí)行。而且還在文中說明了分布式防火墻的基本框架的模型。
一個(gè)普通的分布式放火墻系統(tǒng)的組成由三個(gè)部分,他們分別是:網(wǎng)絡(luò)防火墻,主機(jī)防火墻和中心策略服務(wù)器,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖1所示。
我們通過拓?fù)浣Y(jié)構(gòu)圖對(duì)分布式防火墻有了初步的了解了,而且發(fā)現(xiàn)他們有以下的特征:(1)分布式防火墻與普通防火墻的最基本的區(qū)別就是分布式防火墻的完全配置不是由主機(jī)的用戶來配置的,而且由安全中心的服務(wù)器來同意配置管理。(2)安全策略的執(zhí)行是在各個(gè)客戶端的電腦上執(zhí)行的。(3)客戶端的日志的管理必須統(tǒng)一歸結(jié)到安全中心的服務(wù)器上,由服務(wù)器來統(tǒng)一集中管理。(4)駐留方式采用的是主機(jī)駐留方式。(5)防火墻的嵌入是在各個(gè)主機(jī)的操作系統(tǒng)的內(nèi)核或者網(wǎng)絡(luò)硬件接口中。
三、基于分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)
(一)建立協(xié)同工作的網(wǎng)絡(luò)安全系統(tǒng)
其實(shí)作為分布式防火墻來講,他依然是一個(gè)靜態(tài)的一個(gè)網(wǎng)絡(luò)安全的防御系統(tǒng),它的主要功能就是限制外界的非法訪問和控制,但是我們知道網(wǎng)絡(luò)的安全可不是靜態(tài)的,它卻是一個(gè)動(dòng)態(tài)的過程。分布式防火墻在動(dòng)態(tài)的獲得網(wǎng)絡(luò)安全狀況這個(gè)方面的能力不是很強(qiáng),所以就很難動(dòng)態(tài)的來配置它的安全防御能力以及讓它有針對(duì)的進(jìn)行防御。所以說單一的分布式防火墻系統(tǒng)的網(wǎng)絡(luò)防御能力是薄弱的,最好是結(jié)合一下其他的相關(guān)網(wǎng)絡(luò)技術(shù)一起使用。
(二)基于分布式防火墻的安全系統(tǒng)
分布式防火墻的安全系統(tǒng)一共由四個(gè)組成部分,他們分別是:分布式防火墻部件,入侵檢測(cè)部件,信息綜合部件,管理決策部件。分布式防火墻的部件采用的就是分布式防火墻的結(jié)構(gòu)。入侵檢測(cè)部件的入侵檢測(cè)模塊是由分布式防火墻部件的主機(jī)防火墻模塊在一個(gè)受保護(hù)的電腦所共同構(gòu)成的一個(gè)防御系統(tǒng),入侵檢測(cè)模塊和分布式防火墻部件在受保護(hù)主機(jī)的邊界,從而形成了邊界的防御系統(tǒng)。服務(wù)器中存放的就是信息綜合部件和慣技決策部件,因?yàn)榉?wù)器要集中配置和管理分布式放火墻的網(wǎng)絡(luò)防御系統(tǒng)。
管理決策部件的功能主要由兩個(gè):(1)作為網(wǎng)絡(luò)系統(tǒng)安全的管理員,你必須要配置號(hào)分布式防火墻和入侵檢測(cè)部件的安全策略和規(guī)則。這個(gè)功能主要是管理員通過組織或者企業(yè)內(nèi)部自己指定的一個(gè)安全的政策,實(shí)現(xiàn)方面是由一個(gè)管理員的界面來實(shí)現(xiàn)的。(2)這個(gè)不見發(fā)送入侵的警告信息主要是通過入侵檢測(cè)部件以及信息綜合部件共同來完成的。從而來響應(yīng)安全防御的決策。所謂的響應(yīng)安全決策主要包括:確定以下具體的響應(yīng)執(zhí)行模塊以及他應(yīng)該執(zhí)行什么樣的響應(yīng)動(dòng)作;然后再把這個(gè)響應(yīng)動(dòng)作給傳喚成安全策略和規(guī)則的形式,然后統(tǒng)一發(fā)給響應(yīng)的執(zhí)行模塊來執(zhí)行。所以說,如何能讓系統(tǒng)的安全策略針對(duì)網(wǎng)絡(luò)安全狀況能夠進(jìn)行實(shí)時(shí)、智能的調(diào)整是對(duì)這個(gè)部件的一個(gè)最其本的要求。因此,作為管理決策部件,應(yīng)該用比較權(quán)威的專家的系統(tǒng)來做實(shí)施方案。
四、結(jié)束語
本文主要根據(jù)筆者的工作經(jīng)歷簡(jiǎn)單講述了一下分布式放火墻的構(gòu)成已經(jīng)運(yùn)行原理,而且主要指出了要想更好的保護(hù)好組織和企業(yè)的網(wǎng)絡(luò)安全,需要以分布式防火墻作為基礎(chǔ),然后結(jié)合分布式的入侵檢測(cè)技術(shù)還要加上權(quán)威的專家系統(tǒng),能夠?qū)崟r(shí)、智能的調(diào)整和響應(yīng)網(wǎng)絡(luò)安全事件。把這幾個(gè)結(jié)合起來,就能達(dá)到一個(gè)滿意理想的最佳效果。
參考文獻(xiàn):
[1]Beuovin s M.Distributed Firewalls[EB/0L].
researeh.att.coIn/~smb/papers/distfk.pdf,2004,6:25
[2]彭晴嵐,李之棠.分布式防火墻系統(tǒng)的安全機(jī)制設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué),2003
篇(8)
中圖分類號(hào):TP393.08
對(duì)于高校而言,校園網(wǎng)在教學(xué)、科研、管理以及對(duì)外交流等過程中起到了不可替代的作用。近年來,隨著校園網(wǎng)建設(shè)規(guī)模的不斷壯大,校園網(wǎng)存在安全問題也逐漸突顯。我們?cè)谙硎芫W(wǎng)絡(luò)信息資源的便捷性的同時(shí),也面臨著網(wǎng)絡(luò)安全帶來的困擾。
當(dāng)前網(wǎng)絡(luò)安全技術(shù)包括兩種,一種是以防火墻技術(shù)為例的靜態(tài)安全技術(shù),另一種是以入侵檢測(cè)系統(tǒng)技術(shù)為例的動(dòng)態(tài)安全技術(shù)。兩種網(wǎng)絡(luò)安全技術(shù)各有優(yōu)勢(shì)和不足之處,為實(shí)現(xiàn)有效的保障校園網(wǎng)的網(wǎng)絡(luò)安全,最好的方式就是實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)的結(jié)合應(yīng)用。
1 防火墻與入侵檢測(cè)系統(tǒng)的區(qū)別和聯(lián)系
防火墻技術(shù)是網(wǎng)絡(luò)靜態(tài)安全技術(shù)的代表,是一種被動(dòng)的防御技術(shù)。防火墻技術(shù)建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)與信息安全技術(shù)基礎(chǔ)上。防火墻技術(shù)作為不同網(wǎng)絡(luò)與網(wǎng)絡(luò)安全域之間信息唯一的出入口,主要用于控制出入網(wǎng)絡(luò)的數(shù)據(jù),不過防火墻技術(shù)不能防范內(nèi)部的非法訪問行為。另外防火墻技術(shù)還有一個(gè)缺陷,不能夠主動(dòng)跟蹤入侵者,只能依賴人工實(shí)施與維護(hù)。
與防火墻技術(shù)相對(duì)的入侵檢測(cè)系統(tǒng)則是動(dòng)態(tài)安全技術(shù)的代表,在網(wǎng)絡(luò)安全中是一種主動(dòng)的防御手段,可以對(duì)網(wǎng)絡(luò)中容易受到威脅和攻擊的點(diǎn)擊存在安全漏洞的地方主動(dòng)檢測(cè),通常對(duì)于危險(xiǎn)行為的檢測(cè)要比人工快,并且實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部通信信息的實(shí)時(shí)分析,對(duì)入侵行為、企圖即使檢測(cè),并提前發(fā)出警報(bào),一邊及早采取措施應(yīng)對(duì),最大限度的保障網(wǎng)絡(luò)安全。
總之,防火墻技術(shù)與入侵檢測(cè)系統(tǒng)作為兩種不同的網(wǎng)絡(luò)安全防范手段,兩者各具優(yōu)勢(shì)也各有不足。防火墻技術(shù)對(duì)新協(xié)議和新服務(wù)的支持,不能進(jìn)行動(dòng)態(tài)擴(kuò)展,從而無法提供個(gè)性化服務(wù)。而入侵檢測(cè)系統(tǒng)雖然能夠收集、分析信息,對(duì)網(wǎng)絡(luò)中的安全問題進(jìn)行檢測(cè),對(duì)而已攻擊提供主動(dòng)、實(shí)時(shí)的保護(hù),有效做到網(wǎng)絡(luò)安全防范。因而,入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)防火墻技術(shù)的不足之處,對(duì)防火墻技術(shù)起到補(bǔ)充作用,最終提高了校園網(wǎng)網(wǎng)絡(luò)信息的安全性,兩者有區(qū)別的同時(shí),又在功能上起到了互補(bǔ)關(guān)系。
2 防火墻與入侵檢測(cè)系統(tǒng)結(jié)合應(yīng)用的優(yōu)勢(shì)
校園網(wǎng)中,防火墻技術(shù)不能直接控制內(nèi)部網(wǎng)絡(luò)行為,無法對(duì)通信過程中的內(nèi)容數(shù)據(jù)進(jìn)行監(jiān)控。防火墻技術(shù)對(duì)于一些安全威脅依然難以防范。入侵檢測(cè)系統(tǒng)則以絕對(duì)的主動(dòng)權(quán)對(duì)防火墻技術(shù)的不足之處進(jìn)行彌補(bǔ)。
在校園網(wǎng)中,防火墻與入侵檢測(cè)系統(tǒng)結(jié)合應(yīng)用優(yōu)點(diǎn)多,入侵檢測(cè)系統(tǒng)能夠提前發(fā)現(xiàn)威脅網(wǎng)絡(luò)安全的攻擊行為,并提供入侵信息給防火墻,由防火墻技術(shù)針對(duì)威脅調(diào)整安全策略,對(duì)不合法的信息進(jìn)行阻斷和處理。兩者的結(jié)合應(yīng)用大大提高了網(wǎng)絡(luò)系統(tǒng)的防御性能。
3 校園網(wǎng)絡(luò)所面臨的威脅
當(dāng)前校園網(wǎng)絡(luò)的安全問題,主要面臨三個(gè)方面的威脅:
3.1 物理安全
校園網(wǎng)絡(luò)安全的前提,就是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全。其所表現(xiàn)的數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)以及數(shù)據(jù)訪問安全都是在物理介質(zhì)層次之上。網(wǎng)絡(luò)運(yùn)行的環(huán)境,諸如溫度、濕度、電源等也威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全。
物理安全,保護(hù)的就是計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)施,以及避免其他媒體在自然災(zāi)害或者認(rèn)為事故中所遭到破壞。是對(duì)計(jì)算機(jī)系統(tǒng)、服務(wù)器、打印機(jī)等硬件的保護(hù)。
3.2 自然因素的威脅
校園網(wǎng)面臨的自然威脅,是指自然原因帶來的安全問題,如雷擊、火災(zāi)、水災(zāi)、地震等自然災(zāi)害;正行情況下使用過程中的設(shè)備損壞;設(shè)備運(yùn)行環(huán)境等方面,損壞網(wǎng)絡(luò)設(shè)備硬件,影響網(wǎng)絡(luò)的正常運(yùn)行,對(duì)校園網(wǎng)網(wǎng)絡(luò)安全帶來威脅。
3.3 人為因素的威脅
校園網(wǎng)中,網(wǎng)絡(luò)系統(tǒng)安全面臨的人為因素的威脅,分為故意人為威脅、無意人為威脅兩種形式,都嚴(yán)重威脅著計(jì)算機(jī)網(wǎng)絡(luò)的安全。人為故意威脅涵蓋搭線連接獲取網(wǎng)絡(luò)數(shù)據(jù)信息、竊取口令密鑰來獲取信息資源、盜割網(wǎng)絡(luò)通信線纜,以及破壞網(wǎng)絡(luò)設(shè)備等類型。無意人為威脅是指操作人員雖然擁有合法和技術(shù),但操作過程中因?yàn)槭д`或者疏忽,對(duì)網(wǎng)絡(luò)安全運(yùn)行帶來的不良影響或者重大損失。
4 校園網(wǎng)中防火墻與入侵檢測(cè)系統(tǒng)的結(jié)合應(yīng)用
首先,選擇入侵檢測(cè)系統(tǒng)的位置。入侵檢測(cè)系統(tǒng)可放在防火墻之內(nèi),也可以放在防火墻之外。但依據(jù)兩者不同的功能優(yōu)勢(shì),入侵檢測(cè)可及時(shí)檢測(cè)異常、攻擊行為,而由防火墻對(duì)非法入侵進(jìn)行控制。將入侵檢測(cè)系統(tǒng)放置在防火墻的后面,不合法信息在經(jīng)過防火墻的技術(shù)過濾,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)起到一定的保護(hù)。將入侵檢測(cè)系統(tǒng)放在防火墻的內(nèi)部,在最大限度阻止“幼稚腳本”的攻擊同時(shí),讓入侵檢測(cè)系統(tǒng)去發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。
其次,校園網(wǎng)中防火墻與入侵檢測(cè)系統(tǒng)的結(jié)合模型設(shè)計(jì),兩者并非只是簡(jiǎn)單的疊加,而是具體的分析兩者的功能、優(yōu)勢(shì)以及缺點(diǎn),經(jīng)過研究后建立的一種由簡(jiǎn)單的入侵檢測(cè)系統(tǒng)輔助防火墻技術(shù)的安全系統(tǒng)。
最后,防火墻與入侵檢測(cè)系統(tǒng)的接口。兩者通過兩種方式實(shí)現(xiàn)互動(dòng)。一種是將入侵檢測(cè)系統(tǒng)嵌入到防火墻技術(shù)中,實(shí)現(xiàn)兩者的緊密結(jié)合。這種情況下,入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來源于流經(jīng)防火墻的數(shù)據(jù)流。防火墻不僅要驗(yàn)證這些數(shù)據(jù),還要對(duì)其是否具有攻擊性進(jìn)行判斷,從而對(duì)攻擊行為進(jìn)行阻斷。但入侵檢測(cè)系統(tǒng)作為一個(gè)龐大的系統(tǒng),為實(shí)施帶來了一定的難度。另一種個(gè)互動(dòng)方式就是通過開發(fā)借口來實(shí)現(xiàn)。防火墻技術(shù)、入侵檢測(cè)系統(tǒng),它們各自開放一個(gè)接口,提供給對(duì)方使用,雙方按事先協(xié)商的方式進(jìn)行信息的傳輸。這種互動(dòng)方式靈活,對(duì)防火墻技術(shù)、入侵檢測(cè)系統(tǒng)的性能都不會(huì)造成影響。
一般系統(tǒng)越復(fù)雜,其自身的安全問題也就愈加難解決,通過比較,將防火墻技術(shù)與入侵檢測(cè)系統(tǒng)通過開放接口實(shí)現(xiàn)互通,比將兩者緊密結(jié)合的效果好。防火墻與入侵檢測(cè)系統(tǒng)的原理、方法、手段等各不相同,但是他們都是為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全,兩者有著共同的目的,而且面臨的威脅也相同,因此,兩者的結(jié)合應(yīng)用為校園網(wǎng)的安全防范帶來切實(shí)可行的方法和手段。
5 結(jié)束語
本篇論文將以防火墻技術(shù)為代表的靜態(tài)技術(shù)與以入侵檢測(cè)系統(tǒng)為代表的動(dòng)態(tài)技術(shù)結(jié)合應(yīng)用,并非單純的將兩個(gè)系統(tǒng)通過設(shè)定標(biāo)準(zhǔn)接口簡(jiǎn)單物理結(jié)合,而是將兩種技術(shù)手段各自獨(dú)有的功能在新的系統(tǒng)中展現(xiàn),有力的保障校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全性,有效提高了網(wǎng)絡(luò)的防御能力。未來,防火墻與入侵檢測(cè)系統(tǒng)的結(jié)合應(yīng)用,為計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)提供了廣闊的發(fā)展空間。在計(jì)算機(jī)網(wǎng)絡(luò)安全防范過程里,防火墻技術(shù)與入侵檢測(cè)系統(tǒng)的結(jié)合應(yīng)用,將取長補(bǔ)短為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全增加一重保障。
參考文獻(xiàn):
篇(9)
0 引言
近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站,通過網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出,并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。
1 農(nóng)產(chǎn)品電子商務(wù)的安全需求
根據(jù)電子商務(wù)系統(tǒng)的安全性要求,田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。
1) 系統(tǒng)實(shí)體安全
系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過程。
2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急)來保護(hù)信息處理過程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析,防止計(jì)算機(jī)受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份)。為防止意外停電,系統(tǒng)需要配備多臺(tái)備用電源,作為應(yīng)急設(shè)施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù),因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護(hù)客戶的私人信息,不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性,即確保客戶身份的合法性,保證預(yù)約信息的真實(shí)性和完整性,系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問防火墻,即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性,要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù),具體可采用的技術(shù)如下:
2.1基于多重防范的網(wǎng)絡(luò)安全策略
1) 防火墻技術(shù)
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過此保護(hù)屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機(jī)制,記錄可疑事件等。
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
邊界防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2) VPN 技術(shù)
VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一,它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò),數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí),企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上,就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問、便于管理和實(shí)現(xiàn)全面控制,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中,要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息;在遠(yuǎn)程訪問VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。
性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代,隨著電子商務(wù)活動(dòng)的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺(tái),管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能防火墻,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用。
管理問題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長,對(duì)越來越復(fù)雜的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸,因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法,將安全政策進(jìn)行分布,并管理大量設(shè)備論文的格式。
2.2基于角色訪問的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象,與這些對(duì)象有關(guān)的用戶數(shù)量也非常多,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多,我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中,包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務(wù),并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色,低級(jí)別角色可以為高級(jí)別角色的子角色,高級(jí)別角色完全繼承其子角色的權(quán)限。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時(shí)角色不發(fā)生沖突,對(duì)該角色的權(quán)限不能輕易進(jìn)行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對(duì)用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí),系統(tǒng)會(huì)根據(jù)用戶的角色的并集,從而得到用戶的權(quán)限,由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫文件作為信息的聚集體,其安全性將是重中之重。
1)數(shù)據(jù)庫加密系統(tǒng)措施
(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制
這種控制可以采用多種方式,包括設(shè)置數(shù)據(jù)庫用戶名和口令,或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。
2)防止非法復(fù)制
對(duì)于服務(wù)器來說防火墻,可以采用軟指紋技術(shù)防止非法復(fù)制,當(dāng)然,權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結(jié)束語
隨著信息化技術(shù)的快速發(fā)展,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化,必須充分考慮信息安全因素與利用信息安全技術(shù),這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長,本文所述的安全策略,對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的,是值得推介應(yīng)用的。
參考文獻(xiàn):
[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35
篇(10)
中圖分類號(hào): TP391;TN911.73文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2163(2011)03-0035-05
Design and Implementation of the Embedded Linux Firewall
RAO Ming, DU Zhonghui, HAN Qi, LI Qiong
Abstract: In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system.
Key words:
0引言
互聯(lián)網(wǎng)已經(jīng)發(fā)展成為當(dāng)今世界上最大的信息庫,但是Internet從建立開始就缺乏安全的總體構(gòu)想和設(shè)計(jì),所以互聯(lián)網(wǎng)的安全性就存在眾多缺陷和隱患,由此防火墻的概念應(yīng)運(yùn)而生。所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。但是,傳統(tǒng)意義上的防火墻存在網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制、內(nèi)部安全隱患、效率較低和故障率高等缺點(diǎn),所以人們又提出了分布式防火墻的概念。分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)。分布式防火墻的具體實(shí)現(xiàn)方式可以歸結(jié)為基于軟件和基于硬件兩種,一般將基于硬件實(shí)現(xiàn)的分布式防火墻稱為嵌入式防火墻[1]。嵌入式防火墻是一種基于嵌入式技術(shù)的新型防火墻,同時(shí)將安全策略延伸到了網(wǎng)絡(luò)末端,安全措施由硬件系統(tǒng)實(shí)施,從而有效地克服了傳統(tǒng)邊界防火墻的局限,并結(jié)合了硬件解決方案的強(qiáng)健性和集中管理式軟件解決方案的靈活性,從而創(chuàng)建了一種更為完善的安全防護(hù)架構(gòu)。
1999年,Bellovin[2]提出了一種分布式的解決方案,將策略的執(zhí)行分布到各端結(jié)點(diǎn),同時(shí)保持集中式的策略管理。2000年,Loannids等人[3]按照Bellovin 1999年提出的觀點(diǎn)實(shí)現(xiàn)了一個(gè)分布式防火墻的原型系統(tǒng)。2001年,Payne和 Markham[4]實(shí)現(xiàn)了一種基于硬件的分布式防火墻,并指出基于硬件的分布式防火墻具有更高的可靠性。國內(nèi)學(xué)者也先后實(shí)現(xiàn)了基于嵌入式Linux以及Netfilter/Iptables架構(gòu)的防火墻系統(tǒng)[5,6],并對(duì)嵌入式防火墻中Linux內(nèi)核裁剪進(jìn)行了研究[7,8]。在商業(yè)產(chǎn)品方面,華為3Com公司也研發(fā)出PCI卡和PC卡形式的嵌入式防火墻,這類防火墻不受網(wǎng)絡(luò)拓?fù)淇刂疲耆?dú)立于主機(jī)操作系統(tǒng),強(qiáng)化整個(gè)網(wǎng)絡(luò)臺(tái)式機(jī)、服務(wù)器和筆記本,配合適當(dāng)?shù)陌踩呗裕刂泼總€(gè)端點(diǎn)的網(wǎng)絡(luò)訪問,并能快速響應(yīng)檢測(cè)到的攻擊。但是這些研究和產(chǎn)品大多都基于Iptables工具,當(dāng)規(guī)則數(shù)量達(dá)到一定程度時(shí),Iptables進(jìn)行規(guī)則過濾的速度大大下降,從而嚴(yán)重影響防火墻的整體性能。
本文基于ARM9嵌入式平臺(tái), 提出并實(shí)現(xiàn)了一種Iptables結(jié)合NF-h(huán)ipac、Ipset的嵌入式防火墻方案,首先使用交叉編譯技術(shù)將運(yùn)行于x86體系Linux上的Netfilter/Iptables防火墻系統(tǒng)移植到基于ARM體系處理器的平臺(tái)上,同時(shí)對(duì)Linux操作系統(tǒng)的內(nèi)核進(jìn)行裁剪。通過測(cè)試發(fā)現(xiàn)Iptables在某些條件下的性能局限,所以結(jié)合NF-h(huán)ipac、Ipset實(shí)現(xiàn)三者優(yōu)勢(shì)的互補(bǔ),進(jìn)一步提高防火墻的性能。
1基于Netfilter/Iptables的防火墻分析
1.1Netfilter架構(gòu)與Iptables
本小節(jié)將對(duì)Linux下的Netfilter/Iptables防火墻體系做整體的分析以及介紹,并指出Iptables的不足及其改進(jìn)方案。
Netfilter是Linux內(nèi)核實(shí)現(xiàn)數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、數(shù)據(jù)包處理等的功能框架。之所以說Netfilter是一種架構(gòu),是因?yàn)镹etfilter可以被多種協(xié)議族所用。利用Netfilter架構(gòu),各種協(xié)議都可以在Linux內(nèi)核級(jí)實(shí)現(xiàn)自己的防火墻。Netfilter的設(shè)計(jì)為內(nèi)核中其它模塊動(dòng)態(tài)參與IP層中的數(shù)據(jù)包處理提供了途徑。
Netfilter在內(nèi)核中建立了一個(gè)函數(shù)指針鏈表,稱為鉤子函數(shù)鏈表,加入到鏈表中的函數(shù)指針?biāo)傅暮瘮?shù)稱為鉤子函數(shù)(Hook Function)。一個(gè)數(shù)據(jù)包按照如圖1所示的過程通過Netfilter系統(tǒng),圖中的5個(gè)鉤子函數(shù)分別為:(1)NF_ IP_PRE_ROUTING;(2)NF_IP_LOCAL_IN;(3)NF_IP_FO-WARD;(4)NF_IP_POST_ROUTING;(5)NF_IP_LOCAL_OUT。
Iptables是基于Netfilter框架的數(shù)據(jù)報(bào)處理子系統(tǒng)[1],有很強(qiáng)的擴(kuò)展性。內(nèi)核模塊可以在原有基礎(chǔ)上注冊(cè)一個(gè)新的規(guī)則表(table),并要求數(shù)據(jù)報(bào)流經(jīng)指定的規(guī)則表,可以選擇用于實(shí)現(xiàn)數(shù)據(jù)報(bào)過濾的filter表、網(wǎng)絡(luò)地址轉(zhuǎn)換的NAT表及數(shù)據(jù)報(bào)處理的mangle表。Linux2.6內(nèi)核提供的這三種數(shù)據(jù)報(bào)處理功能都基于Netfilter的鉤子函數(shù)和Iptables;而且還是互相之間獨(dú)立的模塊,完美集成到由Netfilter提供的框架中。Iptables實(shí)現(xiàn)對(duì)規(guī)則的管理和訪問,ipt_entry,ipt_match,ipt_target,ipt_table等數(shù)據(jù)結(jié)構(gòu)用于構(gòu)造規(guī)則表, ipt_do_table函數(shù)用于遍歷規(guī)則表并處理規(guī)則表上的結(jié)構(gòu)。
1.2Iptables的不足及衍生工具Ipset、NF-h(huán)ipac
在利用Iptables向系統(tǒng)添加防火墻規(guī)則時(shí),如果沒有特殊指定,Iptables會(huì)將新規(guī)則添加至規(guī)則鏈(線性表)的尾部;而當(dāng)協(xié)議棧中有新數(shù)據(jù)包達(dá)到時(shí),內(nèi)核會(huì)調(diào)用ipt _do_table()逐條將規(guī)則與數(shù)據(jù)包的屬性相對(duì)比,如果匹配成功則轉(zhuǎn)入相應(yīng)的處理行為。也就是說,幾乎所有未命中規(guī)則的數(shù)據(jù)包的匹配復(fù)雜度為O(n)(n為規(guī)則的數(shù)目),這樣在小規(guī)則集的情況下,性能削減不會(huì)很大,但是如果在龐大規(guī)則集的情況下,性能就會(huì)因規(guī)則條目的增長而大幅削減。
Ipset工具在這個(gè)方面做了很大的改善,最主要的是在結(jié)構(gòu)和規(guī)則的查找上面做了很大的改善。Ipset的思想就是將相同處理規(guī)則的匹配條件放到一個(gè)集合中,一般采用hash方法。一個(gè)報(bào)文查詢規(guī)則的時(shí)候,只需要判斷IP地址是否在這個(gè)集合中就可以了;如果滿足對(duì)應(yīng)的匹配條件,就執(zhí)行相應(yīng)的處理操作。由于將查找從線性表遍歷改為了hash查找,時(shí)間復(fù)雜度從O(n)降到了O(1)。根據(jù)提供的測(cè)試結(jié)果表明,當(dāng)規(guī)則數(shù)目在300-1 500之間的時(shí)候,其對(duì)性能的影響基本是水平線。
NF-h(huán)ipac是Netfilter項(xiàng)目中的一個(gè)子項(xiàng)目,NF-h(huán)ipac提供了一個(gè)新穎包分類的架構(gòu),將規(guī)則集呈現(xiàn)樹狀分布以代替原有Iptables的線性分布,從而將時(shí)間復(fù)雜度從O(n)降到了O(logn)。但是相比于Ipset,NF-h(huán)ipac具有更大的靈活性。當(dāng)查找每一個(gè)包的時(shí)候,使用一個(gè)高級(jí)算法來減少內(nèi)存占用。在一個(gè)有特別多的規(guī)則和高帶寬的網(wǎng)絡(luò)中,NF-h(huán)ipac表現(xiàn)出色。NF-h(huán)ipac的特點(diǎn)就是其語法完全兼容iptables -t filter選項(xiàng),并且NF-h(huán)ipac可以調(diào)用Iptables的匹配行為以及連接跟蹤機(jī)制,這些特點(diǎn)使NF-h(huán)ipac可以完全取代Iptables的過濾子功能。
2嵌入式防火墻方案設(shè)計(jì)及實(shí)現(xiàn)
2.1基于Iptables-Ipset-NF-h(huán)ipac的防火墻方案
Iptables的優(yōu)勢(shì)在于具有足夠的靈活度,并且功能強(qiáng)大,面面俱到;劣勢(shì)是在數(shù)量巨大的規(guī)則集時(shí)性能低下。而Ipset雖具有很好的性能,將Iptables的時(shí)間復(fù)雜度從O(n)降到了O(1),但是卻缺乏靈活性,集合里所有的IP對(duì)應(yīng)到同一個(gè)處理操作,在面對(duì)并非一次性更新的規(guī)則集合時(shí),顯得用處不大。NF-h(huán)ipac的靈活性和性能處于前二者之間,但是只能代替Iptables-t filter選項(xiàng)。因此,綜合三個(gè)工具的優(yōu)勢(shì),設(shè)計(jì)出一個(gè)更加優(yōu)秀的防火墻方案:
(1)Ipset負(fù)責(zé)一次性大規(guī)模更新同一處理操作的IP集合;
(2)NF-h(huán)ipac負(fù)責(zé)獨(dú)立零散的過濾規(guī)則的更新;
(3)Iptables用來進(jìn)行其他子功能(數(shù)據(jù)包轉(zhuǎn)發(fā)、數(shù)據(jù)包地址偽裝等)操作。
這樣既保證了系統(tǒng)運(yùn)行的高性能,又能覆蓋所需的全部功能。
本文設(shè)計(jì)的嵌入式Linux防火墻的整體體系架構(gòu)如圖2所示。硬件層為ARM9的處理器,操作系統(tǒng)內(nèi)核為經(jīng)過移植的Linux(版本2.6.13)內(nèi)核,并且支持NetFilter。用戶態(tài)則移植了三款防火墻工具,并且都是在Netfilter架構(gòu)的基礎(chǔ)上進(jìn)行開發(fā)的,包括Iptables、Ipset以及NF-h(huán)ipac。
2.2開發(fā)平臺(tái)及編譯環(huán)境
本文設(shè)計(jì)的嵌入式Linux防火墻方案是在HIT-ESDK01平臺(tái)上實(shí)現(xiàn)的,HIT-ESDK01是哈工大自主研制的嵌入式實(shí)踐教學(xué)平臺(tái)。該平臺(tái)采用ATMEL公司AT91RM9200(ARM920T)嵌入式處理器,這是一款A(yù)RM920T內(nèi)核的工業(yè)級(jí)產(chǎn)品,主頻180MHz,帶有MMU存儲(chǔ)器管理單元,內(nèi)嵌10M/100M自適應(yīng)以太網(wǎng)。開發(fā)板上還包括64MB SDRAM、 256MB/1GBNand Flash和16MB Nor Flash,板上集成4線電阻式觸摸屏接口、TFT液晶屏接口,最大支持16BPP模式800?}600分辨率,板載RS232、RS485、RJ45、USB等接口以及CAN總線接口及多種存儲(chǔ)卡接口。實(shí)驗(yàn)平臺(tái)的接口布局如圖3所示。
所謂交叉編譯就是在一個(gè)平臺(tái)上生成可以在另一個(gè)平臺(tái)上執(zhí)行的代碼,本文使用基于gcc 3.4.1的工具鏈,在x86架構(gòu)的Linux主機(jī)上使用ARM架構(gòu)的編譯工具鏈對(duì)系統(tǒng)內(nèi)核和工具進(jìn)行編譯,生成可以在目標(biāo)板上運(yùn)行的內(nèi)核,燒寫到Flash中,便可在嵌入式平臺(tái)上運(yùn)行經(jīng)過裁剪的系統(tǒng)和相關(guān)工具。交叉編譯內(nèi)核的詳細(xì)步驟本文不再贅述,只是簡(jiǎn)要介紹三個(gè)防火墻工具編譯與移植的關(guān)鍵環(huán)節(jié)。
Iptables是Linux內(nèi)核的一部分,因此與交叉編譯內(nèi)核一起考慮Iptables的編譯,需要注意的是,Iptables最好編譯為built-in模式,而不要選擇模塊模式,這主要是考慮到嵌入式系統(tǒng)單內(nèi)核方便管理、使用及大規(guī)模的工業(yè)復(fù)制。NF-h(huán)ipac是通過內(nèi)核補(bǔ)丁的方式編譯的,下載到其源碼后為內(nèi)核打補(bǔ)丁,然后與內(nèi)核一起編譯。另外,還需要對(duì)源碼進(jìn)行一定的修改,為編譯移植用戶層NF-h(huán)ipac工具做準(zhǔn)備,修改的文件包括Makefile、nf-h(huán)ipac-core.c等。Ipset也是通過內(nèi)核補(bǔ)丁的方式編譯的,操作方法類似。
3功能與性能測(cè)試
本文測(cè)試部分包括防火墻的功能測(cè)試和性能測(cè)試,使用到的測(cè)試工具Netperf。Netperf是一款網(wǎng)絡(luò)性能的測(cè)量工具,主要針對(duì)基于TCP或UDP的傳輸。Netperf根據(jù)應(yīng)用的不同,可以進(jìn)行不同模式的網(wǎng)絡(luò)性能測(cè)試,即批量數(shù)據(jù)傳輸(bulk data transfer)模式和請(qǐng)求/應(yīng)答(request/reponse)模式。Netperf測(cè)試結(jié)果所反映的是一個(gè)系統(tǒng)能夠以多快的速度向另外一個(gè)系統(tǒng)發(fā)送數(shù)據(jù),以及另外一個(gè)系統(tǒng)能夠以多快的速度接收數(shù)據(jù)。
本文測(cè)試用例包括兩種網(wǎng)絡(luò)拓?fù)洌鐖D4、圖5所示。測(cè)試網(wǎng)絡(luò)拓?fù)?主要模擬了從外網(wǎng)的客戶端訪問被防火墻保護(hù)的內(nèi)網(wǎng)服務(wù)器(Web服務(wù)器、測(cè)試軟件netserver服務(wù)器等),外網(wǎng)IP用192.168.5.0/24模擬,內(nèi)網(wǎng)IP用10.50.10.0/24模擬。由于嵌入式Linux防火墻本身也為一臺(tái)計(jì)算機(jī),所以將其內(nèi)部假設(shè)服務(wù)器,測(cè)試網(wǎng)絡(luò)拓?fù)?(下文簡(jiǎn)稱拓?fù)?)如圖5所示,完成拓?fù)?所不能完成的一些性能上的測(cè)試,將測(cè)試結(jié)果進(jìn)行進(jìn)一步分析對(duì)比。
3.1功能驗(yàn)證與測(cè)試
功能驗(yàn)證與測(cè)試包括Iptables功能測(cè)試、NF-h(huán)ipac功能測(cè)試和Ipset功能測(cè)試,在各種單項(xiàng)測(cè)試通過后,進(jìn)行了ftp、telnet、NAT、針對(duì)SYNFlood攻擊的防御等應(yīng)用場(chǎng)景測(cè)試,圖6、圖7是NAT測(cè)試的數(shù)據(jù)流示意圖和測(cè)試結(jié)果,表1給出了針對(duì)SYNFlood攻擊的防御的測(cè)試結(jié)果,測(cè)試結(jié)果表明了該防火墻功能的有效性。
3.2性能測(cè)試
本文對(duì)防火墻進(jìn)行的性能測(cè)試包括:內(nèi)核精簡(jiǎn)前后性能對(duì)比測(cè)試、MTU值對(duì)性能影響測(cè)試、Iptables/NF-h(huán)ipac/Ipset大規(guī)則集下的壓力測(cè)試以及網(wǎng)絡(luò)套接字緩沖區(qū)大小對(duì)系統(tǒng)性能的影響測(cè)試。
內(nèi)核精簡(jiǎn)前后性能對(duì)比測(cè)試主要是為了驗(yàn)證本文所做內(nèi)核裁剪的有效性,本文對(duì)精簡(jiǎn)前后的內(nèi)核做眾多性能方面的測(cè)試,對(duì)比了批量數(shù)據(jù)傳輸速率、請(qǐng)求/應(yīng)答模式(即TCP_RR模式)交易率、連接/請(qǐng)求/應(yīng)答模式(即TCP_CRR模式)交易率三方面給出測(cè)試結(jié)果,如圖8-圖10所示。
從測(cè)試結(jié)果可以得出,TCP_CRR模式下的交易率的數(shù)值變化較為明顯。由于TCP_CRR模式為每次交易建立一個(gè)新的TCP連接,對(duì)系統(tǒng)消耗最為嚴(yán)重,從圖10可以看出,未精簡(jiǎn)的內(nèi)核的交易率變得十分不穩(wěn)定。但無論是三項(xiàng)測(cè)試數(shù)據(jù)當(dāng)中的哪一項(xiàng),內(nèi)核精簡(jiǎn)后對(duì)比精簡(jiǎn)前均有不同程度的性能上的提升,證明對(duì)內(nèi)核進(jìn)行精簡(jiǎn)可以對(duì)系統(tǒng)性能的提升起到作用。
MTU值(Maximum Transmission Unit最大傳輸單元)[1]是指一種通信協(xié)議的某一層上面所能通過的最大數(shù)據(jù)包大小(以字節(jié)為單位),在大流量的網(wǎng)絡(luò)當(dāng)中,增大MTU的值可以很好地改善網(wǎng)絡(luò)性能。本文測(cè)試拓?fù)?,從批量數(shù)據(jù)傳輸速率、請(qǐng)求/應(yīng)答模式交易率兩方面進(jìn)行測(cè)試,結(jié)果如表2、表3所示,其中,嵌入式防火墻eth0接口連接至服務(wù)器的網(wǎng)絡(luò)接口,eth1接口連接至客戶端的網(wǎng)絡(luò)接口。
通過測(cè)試結(jié)果可以觀察到,在較大MTU值的情況下,無論是數(shù)據(jù)傳輸速率還是交易率均得到了提升,但是也取決于整個(gè)網(wǎng)絡(luò)中的瓶頸MTU值。
接下來進(jìn)行了Iptables、NF-h(huán)ipac、Ipset三個(gè)工具在大規(guī)則集下的壓力測(cè)試,測(cè)試結(jié)果如圖11、圖12所示。由測(cè)試結(jié)果可以看出,Iptables在300條規(guī)則之內(nèi)的性能對(duì)比NF-h(huán)ipac與Ipset并沒有明顯的劣勢(shì),但是當(dāng)規(guī)則的數(shù)量超過這一數(shù)值的時(shí)候,其性能表現(xiàn)就會(huì)大打折扣。而NF-h(huán)ipac與Ipset的性能表現(xiàn)則幾乎與規(guī)則的數(shù)目無關(guān),NF-h(huán)ipac的表現(xiàn)要稍好于Ipset。
4結(jié)束語
本文在HIT-ESDK01嵌入式教學(xué)平臺(tái)之上設(shè)計(jì)并實(shí)現(xiàn)了嵌入式Linux防火墻系統(tǒng)。首先,根據(jù)嵌入式及防火墻的基本知識(shí),設(shè)計(jì)了系統(tǒng)的總體結(jié)構(gòu),針對(duì)嵌入式系統(tǒng)的特點(diǎn),給出了一種Linux內(nèi)核的裁剪理由及方案,并針對(duì)該方案給出了測(cè)試結(jié)果,證明對(duì)其實(shí)施裁剪的必要性;其次,指出了Netfilter/Iptables架構(gòu)在大數(shù)量規(guī)則集下性能低下的缺陷,提出了Iptables結(jié)合NF-h(huán)ipac、Ipset使用的解決方案,并針對(duì)方案給出了詳細(xì)的移植方法及步驟;最后,對(duì)實(shí)現(xiàn)的系統(tǒng)進(jìn)行了詳細(xì)的功能及性能測(cè)試。功能測(cè)試完成了整個(gè)系統(tǒng)各項(xiàng)功能的測(cè)試,證明了系統(tǒng)的可用性;性能測(cè)試主要給出了影響系統(tǒng)性能的參數(shù),包括內(nèi)核精簡(jiǎn)程度、MTU值、套接口緩沖區(qū)大小、防火墻規(guī)則的數(shù)量等等,通過改變參數(shù)并加以測(cè)試,對(duì)得到的測(cè)試結(jié)果加以分析,給出優(yōu)化系統(tǒng)的途徑。
參考文獻(xiàn):
[ 1 ] PAYNE C,MARKHAM T. Architecture and Applications for a
Distributed Embedded Firewall[C]// Proceedings of the Comp-
uter Security Applications Conference,2001:329-336.
[ 2 ] BELLOVIN S M. Distributed Firewalls[J]. Journal of Login,19-
99:39-47.
[ 3 ] LOANNIDS S,SMITH J,KEROMYTIS A D,et al. Implementing
a distributed firewall[C]// Proceedings of the 7th ACM Conferen-
ce on Computer and Communications Security, Athens, Greece,
2000-11.
[ 4 ] PAYNE C,MARKHAM T. Architectures and applications for a
distributed embedded firewall[C]// Proceedings of the Computer
Security Applications Conference,2001:329-336.
[ 5 ] 劉正海. 基于嵌入式Linux防火墻的研究與實(shí)現(xiàn)[D]. 重慶:重慶
大學(xué)碩士學(xué)位論文,2007.
[ 6 ] 鄭培群. 嵌入式防火墻過濾規(guī)則的設(shè)計(jì)與算法優(yōu)化[D]. 武漢:
武漢理工大學(xué)碩士學(xué)位論文,2010.
[ 7 ] 羅奕. 嵌入式Linux裁剪及其系統(tǒng)構(gòu)建的研究與實(shí)現(xiàn)[D]. 長沙:
