首頁 >
				文章中心 >
				
				正文
			
          
		
          
		
		
          
			
          
				
				
				
          
					
          
						
          防火墻技術(shù)論文
          
						
						
						
						
						
          
						
						
					
          					
					 
           
          前言:本站為你精心整理了防火墻技術(shù)論文范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
           
          防火墻技術(shù)論文
           
          摘要:眾所周知,作為全球使用范圍最大的信息網(wǎng),Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng),拓寬了共享資源。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視,以及在管理和使用上的無政府狀態(tài),逐漸使Internet自身安全受到嚴(yán)重威脅,與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:非授權(quán)訪問,冒充合法用戶,破壞數(shù)據(jù)完整性,干擾系統(tǒng)正常運(yùn)行,利用網(wǎng)絡(luò)傳播病毒,線路竊聽等方面。這以要求我們與Internet互連所帶來的安全性問題予以足夠重視。
           
          關(guān)鍵詞:網(wǎng)絡(luò)、安全、VPN、加密技術(shù)、防火墻技術(shù)
           
          1緒論
           
          隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題,其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中,它主要關(guān)心的是確保無關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息。此時(shí),它關(guān)心的對(duì)象是那些無權(quán)使用,但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題,以及發(fā)送者是否曾發(fā)送過該條消息的問題。
           
          大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的,通常也是狡猾的、專業(yè)的,并且在時(shí)間和金錢上是很充足、富有的人。同時(shí),必須清楚地認(rèn)識(shí)到,能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說,收效甚微。
           
          網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分:保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問,這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊(cè)過的郵件和文件鎖來實(shí)現(xiàn)。
           
          2方案目標(biāo)
           
          本方案主要從網(wǎng)絡(luò)層次考慮,將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò),該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí),還實(shí)現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求,比如:可以滿足個(gè)人的通話保密性,也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障,數(shù)據(jù)庫不被非法訪問和破壞,系統(tǒng)不被病毒侵犯,同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等。
           
          需要明確的是,安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞,它的作用僅在于最大限度地防范,以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說,網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn):
           
          1.采用多層防衛(wèi)手段,將受到侵?jǐn)_和破壞的概率降到最低;
           
          2.提供迅速檢測非法使用和非法初始進(jìn)入點(diǎn)的手段,核查跟蹤侵入者的活動(dòng);
           
          3.提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段,盡量降低損失;
           
          4.提供查獲侵入者的手段。
           
          網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ),近年來,網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展,已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容。
           
          3安全需求
           
          通過對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即,
           
          可用性:授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)
           
          機(jī)密性:信息不暴露給未授權(quán)實(shí)體或進(jìn)程
           
          完整性:保證數(shù)據(jù)不被未授權(quán)修改
           
          可控性:控制授權(quán)范圍內(nèi)的信息流向及操作方式
           
          可審查性:對(duì)出現(xiàn)的安全問題提供依據(jù)與手段
           
          訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問控制。
           
          數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過程中防止非法竊取、篡改信息的有效手段。
           
          安全審計(jì):是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏
           
          4風(fēng)險(xiǎn)分析
           
          網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全,而是整個(gè)信息網(wǎng)的安全,需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù),首先需要了解安全風(fēng)險(xiǎn)來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面,涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無論哪個(gè)層面上的安全措施不到位,都會(huì)存在很大的安全隱患,都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況,應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。
           
          風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測,對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。
           
          5解決方案
           
          5.1設(shè)計(jì)原則
           
          針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況,解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急,考慮技術(shù)難度及經(jīng)費(fèi)等因素,設(shè)計(jì)時(shí)應(yīng)遵循如下思想:
           
          1.大幅度地提高系統(tǒng)的安全性和保密性;
           
          2.保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性;
           
          3.易于操作、維護(hù),并便于自動(dòng)化管理,而不增加或少增加附加操作;
           
          4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展;
           
          5.安全保密系統(tǒng)具有較好的性能價(jià)格比,一次性投資,可以長期使用;
           
          6.安全與密碼產(chǎn)品具有合法性,及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證;
           
          7.分步實(shí)施原則:分級(jí)管理分步實(shí)施。
           
          5.2安全策略
           
          針對(duì)上述分析,我們采取以下安全策略:
           
          1.采用漏洞掃描技術(shù),對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。超級(jí)秘書網(wǎng)
           
          2.采用各種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:
           
          (1)防火墻技術(shù):在網(wǎng)絡(luò)的對(duì)外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問控制。
           
          (2)NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。
           
          (3)VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用,而事實(shí)上并非如此。
           
          (4)網(wǎng)絡(luò)加密技術(shù)(Ipsec):采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴K山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。
           
          (5)認(rèn)證:提供基于身份的認(rèn)證,并在各種認(rèn)證機(jī)制中可選擇使用。
           
          (6)多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng):采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng),對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。
           
          (7)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測:采用入侵檢測系統(tǒng),對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警,進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。
           
          3.實(shí)時(shí)響應(yīng)與恢復(fù):制定和完善安全管理制度,提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。
           
          4.建立分層管理和各級(jí)安全管理中心。
           
          5.3防御系統(tǒng)
           
          我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec)、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測技術(shù),構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。
           
          參考文獻(xiàn):
           
          [1]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社,2004
           
          [2]王春森.系統(tǒng)設(shè)計(jì)師.[M].北京:清華大學(xué)出版社,2001
           
          [3]郭軍.網(wǎng)絡(luò)管理.[M].北京:北京郵電大學(xué)出版社,2001
           
          [4]張鐸.電子商務(wù)加油站.[M].北京:北京郵電出版社,2001
           
          [5]王縝,葉林.電子商務(wù)中的安全技術(shù).[M].河北:河北工業(yè)科技報(bào),2002
           
          [6]張炯明.電子商務(wù)安全使用技術(shù).[M].北京:清華大學(xué)出版社,2002
           
          [7]勞幗齡.網(wǎng)絡(luò)安全與管理.[M].北京:高等教育出版社,2003
           
          [8]祁明.網(wǎng)絡(luò)安全與保密.[M].北京:高等教育出版社,2001
           
          [9]白以恩.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及應(yīng)用.[M].黑龍江:哈爾濱工業(yè)大學(xué)出版社,2003
           
          白玉軍1,郭福燕2,李鵬浩3(濟(jì)寧職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系,山東濟(jì)寧272100;)