防火墻技術論文
前言:本站為你精心整理了防火墻技術論文范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了共享資源。但是,由于在早期網絡協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸使Internet自身安全受到嚴重威脅,與它有關的安全事故屢有發生。對網絡安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網絡傳播病毒,線路竊聽等方面。這以要求我們與Internet互連所帶來的安全性問題予以足夠重視。
1緒論
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的,通常也是狡猾的、專業的,并且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微。
網絡安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。
2方案目標
本方案主要從網絡層次考慮,將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡,該網在保證系統內部網絡安全的同時,還實現與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,數據庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術并不能杜絕所有的對網絡的侵擾和破壞,它的作用僅在于最大限度地防范,以及在受到侵擾的破壞后將損失盡旦降低。具體地說,網絡安全技術主要作用有以下幾點:
1.采用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網絡安全技術是實現安全管理的基礎,近年來,網絡安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。
3安全需求
通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性:授權實體有權訪問數據
機密性:信息不暴露給未授權實體或進程
完整性:保證數據不被未授權修改
可控性:控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計:是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
4風險分析
網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
5解決方案
5.1設計原則
針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理分步實施。
5.2安全策略
針對上述分析,我們采取以下安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。超級秘書網
2.采用各種安全技術,構筑防御系統,主要有:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
(2)NAT技術:隱藏內部網絡信息。
(3)VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
(4)網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5)認證:提供基于身份的認證,并在各種認證機制中可選擇使用。
(6)多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
5.3防御系統
我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。
參考文獻:
[1]雷震甲.網絡工程師教程.[M].北京:清華大學出版社,2004
[2]王春森.系統設計師.[M].北京:清華大學出版社,2001
[3]郭軍.網絡管理.[M].北京:北京郵電大學出版社,2001
[4]張鐸.電子商務加油站.[M].北京:北京郵電出版社,2001
[5]王縝,葉林.電子商務中的安全技術.[M].河北:河北工業科技報,2002
[6]張炯明.電子商務安全使用技術.[M].北京:清華大學出版社,2002
[7]勞幗齡.網絡安全與管理.[M].北京:高等教育出版社,2003
[8]祁明.網絡安全與保密.[M].北京:高等教育出版社,2001
[9]白以恩.計算機網絡基礎及應用.[M].黑龍江:哈爾濱工業大學出版社,2003
白玉軍1,郭福燕2,李鵬浩3(濟寧職業技術學院計算機系,山東濟寧272100;)
