代写毕业论文                                           欢迎光临591论文网,我们将竭诚为您服务,客服QQ:63433700


代写论文

写作流程

职称论文

付款方式

联系方式

期刊目录

防火墙在网络安全中的应用探讨

减小字体 增大字体 作者:591代写毕业论文网  来源:http://www.591lw.com  发布时间:2012-10-19 23:57:00

 1 概述
  防火墙成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。防火墙可以是路由器,也可以是个人主机系统和一批主机系统,专门把网络或者子网同那些可能被滥用的协议和服务隔绝。
  网络防火墙技术作为内部网络与外部网络之间的一道安全屏障,采用了应用网关与包过滤技术结合的方式对数据进行有条件隔离,如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
  那么我们应该在哪些地方部署防火墙呢?应该是内网与外部网络连接的接口处,以阻挡来自外部网络的入侵;其次对于规模比较大的划有Vlan的网络而言,则应该在各个Vlan之间设置防火墙;第三,通过公网连接到内部分支机构之间也应该设置防火墙,如果有条件的话,还应该同时将总部与分支机构组成虚拟专用网(VPN)。
  总之,安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是外部网络,都应该安装配置。
  2 防火墙中使用的主要技术
  根据业务需要,我们在珠三角航空资料共享工作中,充分利用防火墙,将香港与广州通过中国电信线路连接起来,在两个地点安装防火墙,实现两地之间指定IP主机有条件互联,数据选择性通过。
  在上述工作中,对防火墙端口port1、port2、port13、port14进行访问控制定义, Port1端口负责连接深圳,实现路由器功能,将数据通过该端口与port14口的服务器有条件相通;port2负责直接与香港相连;port14其中对应的一台服务器进行NAT映射,通过不同IP实现珠三角信息共享工作。
  总结归纳,防火墙主要采用几种技术完成数据控制和拦截工作。
  (1)包过滤技术是在网络层对数据包进行选择
  它依据系统内事先设定好的筛选规则,检查数据流中每个数据包的源地址、目的地址、所有的TCP端口与TCP连接状态等信息,并以此来确定是否允许数据包通过防火墙。包过滤的最大优点是它对用户是透明的,即不需要使用用户名和密码来登录,不要应用程序做任何改动。这使得防火墙速度快且易于维护。单纯采用包过滤技术的防火墙产品价格低、易使用,但也存在着明显的缺陷。由于采用这种产品时,允许在内部和外部系统之间直接交换数据包,那么内部网中的所有主机和路由器所允许的全部服务就都可能会成为攻击目标。这就意味着可以从外部网络上直接访问的主机要支持复杂的用户认证机制,并且网络管理员要不断地检查网络状态,以确定是否受到攻击。包过滤可能无法对网络上流动的信息提供全面的控制,因为它仅能够通过对数据包的分析而允许或拒绝某些特定服务,但不能很好地理解上下文环境/数据。作为判断依据的规则表很容易变得庞大而复杂,如果包过滤功能在主机上实现,必然消耗较多的CPU时间,影响系统性能。所以,通常把包过滤功能作为第一道防线,目前经常使用在路由器硬件中。
  (2)应用网关是在网络的应用层上建立协议过滤和转发功能 它针对特定的网络应用服务协议使用指定的数据过滤逻辑。并在过滤的同时,对数据包进行必要的登记、统计和分析,形成日志报告。数据包过滤和应用网关有一个共同的特点,就是它们仅依靠特定的逻辑来判断是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就会建立直接联系,防火墙外部的用户便有可能直接了解内部网的结构和运行状态,这显然有利于实施非法访问和攻击。
  (3)代理服务也称链路级网关或TCP通道
  它是针对数据包过滤和应用网关技术存在的缺点而引入的,特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“连接”由代理服务器以软件方式来实现,外部计算机的网络链路只能到达代理服务器,不能直接连接到内部网的任何机器上。这样,防火墙就可以很好地把内外网路分隔。代理服务也对过往的数据包进行登记、分析,形成日志报告。如果发现被攻击的迹象,代理服务器一般会向网络管理员发出警报,并保留攻击迹象。应用网关和代理服务方式的防火墙大多是基于主机的,价格较贵,但性能好,安装和使用比数据包过滤的防火墙复杂。
  (4)SOCK技术
  SOCKS是NEC(美国)公司1998年提出并应用于防火墙技术的新协议标准。SOCKS是一个电路层网关的标准,目前的版本为Version 5。SOCKS主要由一个运行于防火墙系统上的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。它只中继基于TCP数据包,只需要改变客户端的程序,这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。许多公司的产品已经支持SOCKS,如Netscape和IE浏览器。
  (5)虚拟专用网技术(VPN)
  虚拟专用网技术是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。基于防火墙的VPN为了保证安全性,通常采用国际标准IPSEC作为加密、认证的协议,加强对通信双方身份的认证,保证数据在加密、传输过程中的完整性。基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防商业间谍,增强访问控制,增强系统管理,加强认证。
  3 防火墙的选择
  3.1 防火墙为网络系统的安全屏障
  总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
  3.2 防火墙本身是安全的
  作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
  通常,防火墙的安全性问题来自两个方面。其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
  3.3 管理与培训
  管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。
  3.4 防火墙的安全性
  防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
  4 安全技术的研究现状和动向
  我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
  国际上信息安全研究起步较早,在20世纪70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu&Lapadula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。
  网络安全技术在21世纪将成为信息网络发展的关键技术,但是在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
  参考文献
  [1]黄健.对计算机网络安全与防护的几点思考[J].魅力中国,2008,2.
  [2]王应强.浅谈计算机网络安全[J].中共郑州市委党校学报,2009,4.

 
 

本文选自591代写论文网:专业代写毕业论文-致力于代写本科论文,代写硕士论文,代写职称论文,代写mba论文

Tags:

作者:http://www.591lw.com
  • 好的评价 如果您觉得此文章好,就请您
       0%(0)
  • 差的评价 如果您觉得此文章差,就请您
       0%(0)

文章评论 评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论