序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇防火墻技術(shù)論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：Internet網(wǎng)路安全防火墻過濾地址轉(zhuǎn)換

1．引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場量還不到1萬套；到1996年底，就猛增到10萬套；據(jù)國際權(quán)威商業(yè)調(diào)查機構(gòu)的預(yù)測，防火墻市場將以173%的復(fù)合增長率增長，今年底將達到150萬套，市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。

為了更加全面地了解Internet防火墻及其發(fā)展過程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對防火墻技術(shù)的發(fā)展演變做一個詳細的考察。

2.Internet防火墻技術(shù)簡介

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實上，防火墻并不像現(xiàn)實生活中的防火墻，它有點像古代守護城池用的護城河，服務(wù)于以下多個目的：

1)限定人們從一個特定的控制點進入；

2)限定人們從一個特定的點離開；

3)防止侵入者接近你的其他防御設(shè)施；

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

在現(xiàn)實生活中，Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡(luò)上并接入Internet，如圖1所示。

圖1防火墻在Internet中的位置

從上圖不難看出，所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那么，防火墻究竟是什么呢?實際上，防火墻是加強Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：

過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；

管理進、出網(wǎng)絡(luò)的訪問行為；

封堵某些禁止行為；

記錄通過防火墻的信息內(nèi)容和活動；

對網(wǎng)絡(luò)攻擊進行檢測和告警。

為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術(shù)和手段?？v觀防火墻近年來的發(fā)展，可以將其劃分為如下四個階段(即四代)。

3.1基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是：

1)利用路由器本身對分組的解析，以訪問控制表(AccessList)方式實現(xiàn)對分組的過濾；

2)過濾判斷的依據(jù)可以是：地址、端口號、IP旗標及其他網(wǎng)絡(luò)特征；

3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。

第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：

路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。

路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。

路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能。

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。

3.2用戶化的防火墻工具套

為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：

1)將過濾功能從路由器中獨立出來，并加上審計和告警功能；

2)針對用戶需求，提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；

4)與第一代防火墻相比，安全性提高了，價格也降低了。

由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：

配置和維護過程復(fù)雜、費時；

對用戶的技術(shù)要求高；

全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。

3.3建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些

特點：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；

5)安全性和速度大大提高。

第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經(jīng)得到了廣大用戶的認同

。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題，比如：

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性

無從保證；

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的

安全性負責(zé)；

3)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商

的攻擊；

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；

5)透明性好，易于使用。

4.第四代防火墻的主要技術(shù)及功能

第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。

4.1雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護。

4.2透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。第四代防火墻利用了透明的系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。

4.3靈活的系統(tǒng)

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種機制：一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決，后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

4.4多級過濾技術(shù)

為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴格控制。

4.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

4.6Internet網(wǎng)關(guān)技術(shù)

由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。

在域名服務(wù)方面，第四代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。

在匿名FTP方面，服務(wù)器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進、出防火墻的郵件做處理，并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

4.7安全服務(wù)器網(wǎng)絡(luò)(SSN)

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要，第四代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務(wù)器實施保護，它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理，也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。

SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因為SSN與外部網(wǎng)之間有防火墻保護，SSN與風(fēng)部網(wǎng)之間也有防火墻的保護，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。4.8用戶鑒別與加密

為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠程管理上的安全風(fēng)險，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。

4.9用戶定制服務(wù)

為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶需要建立一個數(shù)據(jù)庫的，便可以利用這些支持，方便設(shè)置。

4.10審計和告警

第四代防火墻產(chǎn)品采用的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務(wù)器、名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。

此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

5．第四代防火墻技術(shù)的實現(xiàn)方法

在第四代防火墻產(chǎn)品的設(shè)計與開發(fā)中，安全內(nèi)核、系統(tǒng)、多級過濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。

5.1安全內(nèi)核的實現(xiàn)

第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個方面進行：

1)取消危險的系統(tǒng)調(diào)用；

2)限制命令的執(zhí)行權(quán)限；

3)取消IP的轉(zhuǎn)發(fā)功能；

4)檢查每個分組的接口；

5)采用隨機連接序號；

6)駐留分組過濾模塊；

7)取消動態(tài)路由功能；

8)采用多個安全內(nèi)核。

5.2系統(tǒng)的建立

防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接均要通過系統(tǒng)來實現(xiàn)，為保證整個防火墻的安全，所有的都應(yīng)該采用改變根目錄方式存在一個相對獨立的區(qū)域以安全隔離。

在所有的連接通過防火墻前，所有的要檢查已定義的訪問規(guī)則，這些規(guī)則控制的服務(wù)根據(jù)以下內(nèi)容處理分組：

1)源地址；

2)目的地址；

3)時間；

4)同類服務(wù)器的最大數(shù)量。

所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進站處理，進站要保證內(nèi)部主機能夠了解外部主機的所有信息，而外部主機只能看到防火墻之外或SSN的地址。

所有從內(nèi)部網(wǎng)絡(luò)SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站處理，出站必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。

5.3分組過濾器的設(shè)計

作為防火墻的核心部件之一，過濾器的設(shè)計要盡量做到減少對防火墻的訪問，過濾器在調(diào)用時將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時，過濾規(guī)則會從內(nèi)核中消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運行，極為安全。分組過濾器包括以下參數(shù)。

1)進站接口；

2)出站接口；

3)允許的連接；

4)源端口范圍；

5)源地址；

6)目的端口的范圍等。

對每一種參數(shù)的處理都充分體現(xiàn)設(shè)計原則和安全政策。

5.4安全服務(wù)器的設(shè)計

安全服務(wù)器的設(shè)計有兩個要點：第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機制上是分離的；第二，SSN的作用類似于兩個網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因為它對外透明，同時又像是外部網(wǎng)絡(luò)，因為它從內(nèi)部網(wǎng)絡(luò)對外訪問的方式十分有限。

SSN上的每一個服務(wù)器都隱蔽于Internet，SSN提供的服務(wù)對外部網(wǎng)絡(luò)而言好像防火墻功能，由于地址已經(jīng)是透明的，對各種網(wǎng)絡(luò)應(yīng)用沒有限制。實現(xiàn)SSN的關(guān)鍵在于：

1)解決分組過濾器與SSN的連接；

2)支持通過防火墻對SSN的訪問；

3)支持服務(wù)。

5.5鑒別與加密的考慮

鑒別與加密是防火墻識別用戶、驗證訪問和保護信息的有效手段，鑒別機制除了提供安全保護之外，還有安全管理功能，目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種一種是加密卡(CryptoCard)；另一種是SecureID，這兩種都是一次性口令的生成工具。



對信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除PEM、PGP和Kerberos外，目前國外防火墻產(chǎn)品中尚沒有更好的機制出現(xiàn)，由于加密算法涉及國家信息安全和，各國有不同的要求。

6．第四代防火墻的抗攻擊能力

作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對防火墻的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。

6.1抗IP假冒攻擊

IP假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取服務(wù)器的“信任”，從而達到對網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實際地址隱蔽起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。

6.2抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護的某個主機也能防止這類攻擊。事實上，內(nèi)部用戶可以通過防火墻下載程序，并執(zhí)行下載的程序。



6.3抗口令字探尋攻擊

在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。

第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對口令字的攻擊。

6.4抗網(wǎng)絡(luò)安全性分析

網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點所在。目前，SATA軟件可以從網(wǎng)上免費獲得，InternetScanner可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對內(nèi)部網(wǎng)絡(luò)做分析。

6.5抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。

7．防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：

1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會不斷加強，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。

篇(2)

一、計算機網(wǎng)絡(luò)的安全與攻擊

計算機的網(wǎng)絡(luò)安全攻擊。計算機的網(wǎng)絡(luò)安全是數(shù)據(jù)運行的重要任務(wù)，同時也是防火墻的重點內(nèi)容。計算機的發(fā)展在時代的變遷中更加廣泛，但同時運行過程中的威脅也會影響到計算機的使用。例如：數(shù)據(jù)方面、環(huán)境威脅、外力破壞、拒絕服務(wù)、程序攻擊、端口破壞等。計算機網(wǎng)絡(luò)的主體就是數(shù)據(jù)，在數(shù)據(jù)的運行中如果存在漏洞會給網(wǎng)絡(luò)安全帶來很大的隱患，比如在節(jié)點數(shù)據(jù)處若是進行攻擊篡改會直接破壞數(shù)據(jù)的完整性，攻擊者往往會選擇數(shù)據(jù)內(nèi)容進行操作、對其進行攻擊泄露，還可植入木馬病毒等，使得網(wǎng)絡(luò)安全成為了問題；環(huán)境是網(wǎng)絡(luò)運行的基礎(chǔ)，用戶在使用訪問時會使用到網(wǎng)絡(luò)環(huán)境，而環(huán)境卻是開放共享的，攻擊者可以對網(wǎng)絡(luò)環(huán)境內(nèi)的數(shù)據(jù)包進行處理，將攻擊帶入內(nèi)網(wǎng)以破壞內(nèi)網(wǎng)的防護功能；外力破壞主要就是木馬、病毒的攻擊，攻擊者可以利用網(wǎng)站和郵箱等植入病毒，攻擊使用者的計算機，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障；拒絕服務(wù)是攻擊者利用系統(tǒng)的漏洞給計算機發(fā)送數(shù)據(jù)包，使得主機癱瘓不能使用任何服務(wù)，主要是由于計算機無法承擔(dān)高負荷的數(shù)據(jù)存儲因而休眠，無法對用戶的請求作出反應(yīng)；程序攻擊是指攻擊者應(yīng)用輔助程序攻入程序內(nèi)部，進而毀壞文件數(shù)據(jù)等；端口攻擊卻是攻擊者從硬性的攻擊路徑著手，使得安全系統(tǒng)出現(xiàn)問題。以上的各種網(wǎng)絡(luò)安全問題都需要使用防火墻技術(shù)，以減少被攻擊的次數(shù)和程度，保證用戶的數(shù)據(jù)及文件等的安全。

二、網(wǎng)絡(luò)安全中的防火墻技術(shù)

（一）防火墻技術(shù)的基本概念

防火墻技術(shù)是保護內(nèi)部網(wǎng)絡(luò)安全的一道屏障，它是由多種硬件設(shè)備和軟件的組合，是用來保障網(wǎng)絡(luò)安全的裝置。主要是根據(jù)預(yù)設(shè)的條件對計算機網(wǎng)絡(luò)內(nèi)的信息和數(shù)據(jù)進行監(jiān)控，然后授權(quán)以及限制服務(wù)，再記錄相關(guān)信息進行分析，明確每一次信息的交互以預(yù)防攻擊。它具有幾種屬性：所以的信息都必須要經(jīng)過防火墻、只有在受到網(wǎng)絡(luò)安全保護的允許下才能通過它、并且能夠?qū)W(wǎng)絡(luò)攻擊的內(nèi)容和信息進行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性，能夠?qū)Π踩雷o的策略進行篩選并讓其通過、能夠記錄數(shù)據(jù)的信息并進行檢測，以便及時預(yù)警、還能夠容納計算機的整體的信息并對其進行維護。而防火墻常用技術(shù)主要分為：狀態(tài)檢測、應(yīng)用型防火墻和包過濾技術(shù)。前者是以網(wǎng)絡(luò)為整體進行研究，分析數(shù)據(jù)流的信息并將其與網(wǎng)絡(luò)中的數(shù)據(jù)進行區(qū)分，以查找不穩(wěn)定的因素，但是時效性差；應(yīng)用型的是用來保障內(nèi)外網(wǎng)連接時的安全，使得用戶在訪問外網(wǎng)時能夠更加的安全；包過濾技術(shù)就是將網(wǎng)絡(luò)層作為保護的對象，按計算機網(wǎng)絡(luò)的協(xié)議嚴格進行，以此來實現(xiàn)防護效果。

（二）防火墻的常用功能構(gòu)件

它的常用功能構(gòu)件主要是認證、訪問控制、完整、審計、訪問執(zhí)行功能等。認證功能主要是對身份進行確認；訪問控制功能是能夠決定是否讓此次文件傳送經(jīng)過防火墻到達目的地的功能，能夠防止惡意的代碼等；完整性功能是對傳送文件時的不被注意的修改進行檢測，雖然不能對它進行阻止，但是能進行標記，可以有效的防止基于網(wǎng)絡(luò)上的竊聽等；審計功能是能夠連續(xù)的記錄重要的系統(tǒng)事件，而重要事件的確定是由有效的安全策略決定的，有效的防火墻系統(tǒng)的所有的構(gòu)件都需要統(tǒng)一的方式來記錄。訪問執(zhí)行功能是執(zhí)行認證和完整性等功能的，在通過這些功能的基礎(chǔ)上就能將信息傳到內(nèi)網(wǎng)，這種功能能夠減少網(wǎng)絡(luò)邊界系統(tǒng)的開銷，使得系統(tǒng)的可靠性和防護能力有所提高。

三、防火墻的應(yīng)用價值

防火墻在計算機網(wǎng)絡(luò)安全中的廣泛應(yīng)用，充分的展現(xiàn)了它自身的價值。以下談?wù)搸c：

（一）技術(shù)的價值

技術(shù)是防火墻技術(shù)中的一種，能夠為網(wǎng)絡(luò)系統(tǒng)提供服務(wù)，以便實現(xiàn)信息的交互功能。它是比較特殊的，能夠在網(wǎng)絡(luò)運行的各個項目中都發(fā)揮控制作用，分成高效。主要是在內(nèi)外網(wǎng)信息交互中進行控制，只接受內(nèi)網(wǎng)的請求而拒絕外網(wǎng)的訪問，將內(nèi)外網(wǎng)進行分割，拒絕混亂的信息，但是它的構(gòu)建十分復(fù)雜，使得應(yīng)用不易。雖然防護能力強，在賬號管理和進行信息驗證上十分有效，但是因使用復(fù)雜而無法廣泛推廣。

（二）過濾技術(shù)的價值

過濾技術(shù)是防火墻的選擇過濾，能夠?qū)?shù)據(jù)進行全面的檢測，發(fā)現(xiàn)攻擊行為或者危險的因素時及時的斷開傳送，因而能夠進行預(yù)防并且有效控制風(fēng)險信息的傳送，以確保網(wǎng)絡(luò)安全，這項技術(shù)不僅應(yīng)用于計算機網(wǎng)絡(luò)安全，而且在路由器使用上也有重要的價值。

（三）檢測技術(shù)的價值

檢測技術(shù)主要應(yīng)用于計算機網(wǎng)絡(luò)的狀態(tài)方面，它在狀態(tài)機制的基礎(chǔ)上運行，能夠?qū)⑼饩W(wǎng)的數(shù)據(jù)作為整體進行準確的分析并將結(jié)果匯總記錄成表，進而進行對比。如今檢測技術(shù)廣泛應(yīng)用于各層次網(wǎng)絡(luò)間獲取網(wǎng)絡(luò)連接狀態(tài)的信息，拓展了網(wǎng)絡(luò)安全的保護范圍，使得網(wǎng)絡(luò)環(huán)境能夠更加的安全。

四、總結(jié)

隨著計算機網(wǎng)絡(luò)的使用愈加廣泛，網(wǎng)絡(luò)安全問題也需要重視。而防火墻技術(shù)是計算機網(wǎng)絡(luò)安全的重要保障手段，科學(xué)的利用防火墻技術(shù)的原理，能夠更加合理的阻止各種信息或數(shù)據(jù)的泄露問題，避免計算機遭到外部的攻擊，確保網(wǎng)絡(luò)環(huán)境的安全。將防火墻技術(shù)應(yīng)用于計算機的網(wǎng)絡(luò)安全方面能夠更加有效的根據(jù)實際的情況對網(wǎng)絡(luò)環(huán)境進行保護，發(fā)揮其自身的作用以實現(xiàn)保護計算機網(wǎng)絡(luò)安全的目的。

計算機碩士論文參考文獻

[1]馬利.計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].信息與電腦,2017,13(35):35.

篇(3)

 

關(guān)鍵詞：入侵檢測異常檢測誤用檢測

 

在網(wǎng)絡(luò)技術(shù)日新月異的今天，基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet，全社會信息共享已逐步成為現(xiàn)實。然而，近年來，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1 防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，以防范外對內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文 而這一點，對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的監(jiān)測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。現(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進一步的行動。同時，收集有關(guān)入侵的技術(shù)資料，用于改進和增強系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀90年代至今，英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測，并采取相應(yīng)的防護手段。例如，實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu)，在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當(dāng)觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產(chǎn)生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。

由此可見，異常檢測技術(shù)難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。

篇(4)

關(guān)鍵詞：局域網(wǎng)網(wǎng)絡(luò)安全

 

一、引言

信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具。科技論文。據(jù)不完全統(tǒng)計，Internet現(xiàn)在遍及186個國家，容納近60萬個網(wǎng)絡(luò)，提供了包括600個大型聯(lián)網(wǎng)圖書館，400個聯(lián)網(wǎng)的學(xué)術(shù)文獻庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報紙，50多萬個Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100萬個信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會的各個領(lǐng)域，在社會生產(chǎn)、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時，又要求信息的傳播是可控的，共享是授權(quán)的，增殖是確認的。因此在任何情況下，信息的安全和可靠必須是保證的。

二、局域網(wǎng)的安全現(xiàn)狀

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取?？萍颊撐?。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽作為其最基本的手段。

三、局域網(wǎng)安全技術(shù)

1、采用防火墻技術(shù)。防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。防火墻產(chǎn)品主要分為兩大類：

包過濾防火墻（也稱為網(wǎng)絡(luò)層防火墻）在網(wǎng)絡(luò)層提供較低級別的安全防護和控制。

應(yīng)用級防火墻（也稱為應(yīng)用防火墻）在最高的應(yīng)用層提供高級別的安全防護和控制。

2、網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前，海關(guān)的局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實現(xiàn)對局域網(wǎng)的安全控制。例如：在海關(guān)系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

3、以交換式集線器代替共享式集線器。對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包UnicastPacket）還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。

4、VLAN的劃分。運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應(yīng)用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點都在各自的VLAN內(nèi)，互不侵擾。VLAN內(nèi)部的連接采用交換實現(xiàn)，而VLAN與VLAN之間的連接則采用路由實現(xiàn)。

5、隱患掃描。一個計算機網(wǎng)絡(luò)安全漏洞有它多方面的屬性，主要可以用以下幾個方面來概括：漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個重要組成部分，它不但可以實現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞,有時還能實時地對攻擊做出反應(yīng)。漏洞檢測就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查；而主動式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補充，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對網(wǎng)絡(luò)安全進行全方位的保護?？萍颊撐?。

四、網(wǎng)絡(luò)安全制度

1、組織工作人員認真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，提高工作人員的維護網(wǎng)絡(luò)安全的警惕性和自覺性。

2、負責(zé)對本網(wǎng)絡(luò)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識。

3、實時監(jiān)控網(wǎng)絡(luò)用戶的行為，保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全。

4、對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時間內(nèi)做出響應(yīng)，使損失減少到最低限度。

五、結(jié)束語

網(wǎng)絡(luò)的開放性決定了局域網(wǎng)安全的脆弱性，而網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，又給局域網(wǎng)的安全管理增加了技術(shù)上的不確定性，目前有效的安全技術(shù)可能很快就會過時，在黑客和病毒面前不堪一擊。因此，局域網(wǎng)的安全管理不僅要有切實有效的技術(shù)手段，嚴格的管理制度，更要有知識面廣，具有學(xué)習(xí)精神的管理人員。

參考文獻

[1]石志國,薛為民,尹浩.《計算機網(wǎng)絡(luò)安全教程》[M].北京:北方交通大學(xué)出版社,2007.

篇(5)

關(guān)鍵詞：VPN，多出口，校園網(wǎng)，遠程訪問，ISP

 

1.校園網(wǎng)問題分析及其解決方案的提出

虛擬專用網(wǎng)（VPN），是對企業(yè)內(nèi)部網(wǎng)的擴展。它通過“隧道”技術(shù)、加密技術(shù)、認證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）安全地對單位內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。

近年來，隨著高校信息化建設(shè)工作的深入開展，校園網(wǎng)用戶對校園網(wǎng)的要求也越來越高，傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計算機上網(wǎng)查資料、寫論文。如果要去學(xué)校圖書館網(wǎng)站，或者是教育網(wǎng)內(nèi)查資料，一般情況下是無法查找并下載的，因為學(xué)校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網(wǎng)的。在每年期末考試后，老師在線提交成績時，都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線提交，這時也只能到學(xué)校提交。

為此，校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪問模式：在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個當(dāng)?shù)豂SP（移動、聯(lián)通或電信寬帶ISP）出口，形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu)，并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器，供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時，使用當(dāng)?shù)豂SP出口，為校外的教職工提供VPN接入服務(wù)，因為校外教職工大多使用當(dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后，就可以訪問校園網(wǎng)與教育網(wǎng)上的資源，這將為教職工提供很大的便利。

2.VPN關(guān)鍵技術(shù)研究

⑴隧道技術(shù)：隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對應(yīng)于OSI模型的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP（點對點隧道協(xié)議）、L2TP（第二層隧道協(xié)議）和L2F（第2層轉(zhuǎn)發(fā)協(xié)議）都屬于第2層隧道協(xié)議，是將用戶數(shù)據(jù)封裝在點對點協(xié)議（PPP）幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議，是將IP包封裝在附加的IP包頭中，通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于，用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。

⑵安全技術(shù)：VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)；密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊??；使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼認證等方式。

3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計

3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

為了滿足可擴展性和適應(yīng)性目標，網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓撲，即核心層、分布層、訪問層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能，主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù)，同時要為各分布層節(jié)點提供最佳數(shù)據(jù)傳輸路徑；分布層交換機用于執(zhí)行策略，分別連接圖書館、辦公樓、實驗樓以及各院系；接入層通過低端交換機和無線訪問節(jié)點連接用戶。畢業(yè)論文。網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 網(wǎng)絡(luò)拓撲圖

3.2 網(wǎng)絡(luò)工作原理

在該組網(wǎng)方案中，學(xué)校通過核心層路由器分別接入教育網(wǎng)與Internet，然后通過一硬件防火墻與分布層交換機連接，分布層交換機負責(zé)連接圖書館、辦公樓、實驗樓以及各院系的接入層設(shè)備，校園網(wǎng)內(nèi)的終端計算機直接與接入層設(shè)備相連。終端計算機可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺安裝了ISAServer2006的VPN服務(wù)器，給其分配一個教育網(wǎng)IP地址（假設(shè)Ip：202.102.134.100，網(wǎng)關(guān)地址202.102.134.68），在防火墻中將一個公網(wǎng)地址（假設(shè)為222.206.176.12）映射到該地址。VPN服務(wù)器可通過“防火墻”與“核心層路由器”訪問Internet與教育網(wǎng)，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務(wù)器”的路線連接到VPN服務(wù)器，之后，ISAServer2006 VPN服務(wù)器通過防火墻和核心層路由器訪問教育網(wǎng)，并且ISA Server2006 VPN服務(wù)器通過分布層交換機提供了到學(xué)校內(nèi)網(wǎng)的訪問。

3.3 技術(shù)要點

⑴防火墻內(nèi)網(wǎng)地址問題。如果防火墻是透明模式接入，各個網(wǎng)口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網(wǎng)口配置同一個網(wǎng)段的IP。如果是路由模式，需要給防火墻的每個網(wǎng)口配置不同網(wǎng)段的IP，就象路由器一樣?，F(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴展。畢業(yè)論文。

⑵VPN服務(wù)器的注意事項。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器，若服務(wù)器上只有一塊網(wǎng)卡，需為其安裝一塊“虛擬網(wǎng)卡”。另外，VPN服務(wù)器不一定要直接連接在分布層交換機上，也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務(wù)器，只要映射一個公網(wǎng)地址即可。

⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過默認設(shè)置的動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠不會同DHCP服務(wù)器進行直接通信，運行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址；它將基于運行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來分配名稱服務(wù)器地址。如果擁有多個內(nèi)部接口，運行ISA Server的VPN 服務(wù)器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突，否則VPN客戶端在訪問內(nèi)網(wǎng)時，會造成尋址問題而不能訪問。畢業(yè)論文。為了避免出現(xiàn)問題，直接分配私網(wǎng)的IP地址即可，比如192.168.14.0/24網(wǎng)段。另外，校園網(wǎng)外的教職工，在撥叫VPN服務(wù)器時，應(yīng)是防火墻映射的地址，本文中即222.206.176.12。

4.結(jié)束語

多出口是目前許多高校組建校園網(wǎng)時所采取的方式，多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問題，將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng)，可以讓校外Internet用戶更容易、更方便的獲得對教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。

參考文獻

[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實現(xiàn)方式研究[J].計算機應(yīng)用與軟件,2008,07

[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報,2009,11

[3]吳建國,王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報,2010.01

[4]何勝輝.多出口校園網(wǎng)體系結(jié)構(gòu)分析設(shè)計.網(wǎng)絡(luò)通訊及安全,2008.02

篇(6)

【關(guān)鍵詞】計算機網(wǎng)絡(luò)；信息安全；防火墻；安全技術(shù)

隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息化在給人們帶來種種物質(zhì)和文化享受的同時，我們也正受到日益嚴重的來自網(wǎng)絡(luò)的安全威脅。盡管我們已經(jīng)廣泛地使用各種復(fù)雜的安全技術(shù)，但是，仍然有很多黑客的非法入侵，對社會造成了嚴重的危害。針對各種來自網(wǎng)絡(luò)的安全威脅，怎樣才能確保網(wǎng)絡(luò)信息的安全性。本文通過對網(wǎng)絡(luò)安全存在的威脅進行分析，總結(jié)出威脅網(wǎng)絡(luò)安全的幾種典型表現(xiàn)形式，進而歸納出常用的網(wǎng)絡(luò)安全的防范措施。

一、計算機網(wǎng)絡(luò)安全存在的隱患

眾所周知，Internet是開放的，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點：

1.每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。

2.安全工具的使用往往受到人為因素的影響

一個安全工具能不能實現(xiàn)效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。比如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。

3.系統(tǒng)的后門和木馬程序

從最早計算機被入侵開始，黑客們就已經(jīng)發(fā)展了“后門”技術(shù)，利用后門技術(shù)，他們可以再次進入系統(tǒng)。后門的功能主要有：使管理員無法阻止；種植者再次進入系統(tǒng)；使種植者在系統(tǒng)中不易被發(fā)現(xiàn)；使種植者進入系統(tǒng)花費最少的時間。木馬，又稱特洛伊木馬，是一類特殊的后門程序，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。

4.只要有程序，就可能存在BUG

任何一款軟件都或多或少存在漏洞，甚至連安全工具本身也可能存在安全的漏洞。這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。

二、計算機網(wǎng)絡(luò)安全的防護策略

盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡(luò)信息的安全：

1.防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。

2.數(shù)據(jù)加密

采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。主要存在兩種主要的加密類型：私匙加密和公匙加密。

3.虛擬專用網(wǎng)（VPN）技術(shù)

虛擬專用網(wǎng)（VPN）技術(shù)利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)建立安全方便的企業(yè)專業(yè)通信網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中，是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一。在公共網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。VPN有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。由于VPN技術(shù)可擴展性強，建立方便，具有高度的安全性，簡化了網(wǎng)絡(luò)技術(shù)和管理，使費用降到最低，因而，逐漸成為通用的技術(shù)。

4.入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測中違反安全策略行為的技術(shù)。它是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會各個領(lǐng)域，人類社會各種活動對計算機網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。因此只有嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實時地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強大的安全服務(wù)。本論文從多方面描述了網(wǎng)絡(luò)安全的防護策略，比如防火墻，認證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻：

[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003

篇(7)

關(guān)鍵詞：Internet 防火墻系統(tǒng) 設(shè)計

一、引言

隨著Internet的不斷發(fā)展和廣泛普及，計算機網(wǎng)絡(luò)的共享性、開放性和互聯(lián)程度也正在得到不斷的擴大，一系列的網(wǎng)絡(luò)新業(yè)務(wù)也正在逐漸出現(xiàn)，主要包括數(shù)字貨幣、電子政務(wù)、電子商務(wù)、網(wǎng)上購物、網(wǎng)上銀行等等，網(wǎng)絡(luò)安全問題也變得愈加值得重視。處理網(wǎng)絡(luò)安全問題的一個非常關(guān)鍵的途徑就是在內(nèi)部網(wǎng)和外部網(wǎng)之間進行防火墻的設(shè)置，所以，研究防火墻技術(shù)顯得尤為重要。

二、Internet和網(wǎng)絡(luò)安全問題概述

Internet在剛開始出現(xiàn)的時候是由大學(xué)和科研機構(gòu)應(yīng)用的，后來逐漸進入到社會的各個行業(yè)之中。在當(dāng)今的信息化時代，Internet已經(jīng)和人們的日常生活緊密的聯(lián)系起來，同時，海量的機密信息也正在通過Internet進行傳送，在這一大背景下，也出現(xiàn)了許多和Internet相關(guān)的網(wǎng)絡(luò)安全問題。主要包括以下幾個方面：

第一，企業(yè)不具備較強的網(wǎng)絡(luò)安全意識。目前企業(yè)局域網(wǎng)內(nèi)部利用的計算機操作系統(tǒng)仍然具備許多不安全的因素，許多高風(fēng)險的網(wǎng)絡(luò)服務(wù)對外開放，但是并未采取相對完善的網(wǎng)絡(luò)安全防范方法，從而導(dǎo)致企業(yè)的大部分主機面臨著潛在的網(wǎng)絡(luò)安全威脅，為不法侵害人員提供了方便的入口。

第二，網(wǎng)絡(luò)黑客越來越多。在Internet得到廣泛使用的背景下，網(wǎng)絡(luò)黑客也隨之出現(xiàn)，網(wǎng)絡(luò)黑客已經(jīng)在國際范圍內(nèi)廣泛分布，他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網(wǎng)絡(luò)和系統(tǒng)安全漏洞的小程序?qū)崿F(xiàn)對于網(wǎng)絡(luò)的攻擊，也能夠通過眾多的專門的黑客站點實現(xiàn)對于網(wǎng)絡(luò)的攻擊。

第三，內(nèi)部攻擊值得關(guān)注。在網(wǎng)絡(luò)安全問題中，內(nèi)部攻擊問題占據(jù)著非常巨大的比例，內(nèi)部攻擊者對于網(wǎng)絡(luò)系統(tǒng)的有用信息比外部攻擊者更加掌握，能夠更加方便地進行攻擊，從而會帶來更加嚴重的攻擊后果。然而，網(wǎng)絡(luò)管理人員通常會忽視這些內(nèi)部攻擊。

三、Internet防火墻系統(tǒng)的總體結(jié)構(gòu)

Internet防火墻系統(tǒng)的總體結(jié)構(gòu)包括兩個包過濾路由器和一個堡壘主機，由于這種系統(tǒng)支持應(yīng)用層和網(wǎng)絡(luò)層的安全功能，因此，這是一種非常安全的防火墻系統(tǒng)。Internet防火墻系統(tǒng)的堡壘主機中包括WWW、Email、FTP服務(wù)器、日志系統(tǒng)、身份認證系統(tǒng)、加密系統(tǒng)。同時，堡壘主機位于外部網(wǎng)和內(nèi)部網(wǎng)之間。具體來說，Internet防火墻系統(tǒng)的總體結(jié)構(gòu)如下所述。

第一，Internet防火墻系統(tǒng)的第一道防線就是包過濾路由器，這一路由器預(yù)先檢查進入內(nèi)部網(wǎng)的通信。同時，包過濾路由器利用包過濾規(guī)則來實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。包過濾路由器的包過濾規(guī)則為：內(nèi)部網(wǎng)絡(luò)上的主機對于外部網(wǎng)絡(luò)可以實現(xiàn)直接訪問，而外部網(wǎng)絡(luò)上的主機只能夠限制性的訪問內(nèi)部網(wǎng)絡(luò)的主機，同時，必須對于源路由選項的數(shù)據(jù)包和假冒緩沖區(qū)內(nèi)主機地址的數(shù)據(jù)包進行阻塞設(shè)置。

第二，緩沖區(qū)（DMZ），這是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。

第三，堡壘主機，這是在內(nèi)部網(wǎng)和緩沖區(qū)之間所設(shè)置的網(wǎng)關(guān)，內(nèi)部網(wǎng)和緩沖區(qū)之間的所有通信都一定要通過堡壘主機。保證堡壘主機的安全運轉(zhuǎn)可以為Internet和內(nèi)部網(wǎng)之間的信息交換打下堅實的基礎(chǔ)。

第四，堡壘主機連接緩沖區(qū)的網(wǎng)卡，為這塊網(wǎng)卡配置的IP地址必須和緩沖區(qū)內(nèi)主機的IP地址存在著一致的子網(wǎng)掩碼，也就是說，必須保證它們位于相同的子網(wǎng)之中。

第五，堡壘主機連接內(nèi)部網(wǎng)的網(wǎng)卡，為這塊網(wǎng)卡配置的IP地址必須和內(nèi)部網(wǎng)主機的IP地址存在著一致的子網(wǎng)掩碼，也就是說，必須保證它們位于相同的子網(wǎng)之中。

四、Internet防火墻系統(tǒng)的特點

Internet防火墻系統(tǒng)有利于解決網(wǎng)絡(luò)安全問題，它的特點如下所述。

第一，非法入侵者為了能入侵內(nèi)部網(wǎng)一定要突破三個不同的設(shè)備，也就是外部路由器、堡壘主機、內(nèi)部路由器。

第二，因為外部路由器僅僅將堡壘主機的存在通告給外部網(wǎng)，所以，能夠確保內(nèi)部網(wǎng)對外是“不可見”的，與此同時，必須是緩沖區(qū)網(wǎng)絡(luò)上選定的系統(tǒng)才可以向外部網(wǎng)開放。

第三，因為堡壘主機的存在，內(nèi)部網(wǎng)用戶為了實現(xiàn)和外界之間的通信，必須借助于堡壘主機上的系統(tǒng)。

五、結(jié)束語

綜上所述，本文進行了關(guān)于Internet防火墻系統(tǒng)的設(shè)計的研究。但是，僅僅依靠防火墻技術(shù)來保障網(wǎng)絡(luò)安全是遠遠不夠的，還必須通過一些其它技術(shù)和非技術(shù)的因素來進行網(wǎng)絡(luò)安全的保障，例如，還必須進一步應(yīng)用信息加密技術(shù)、設(shè)定適當(dāng)?shù)木W(wǎng)絡(luò)安全法律法規(guī)、增強網(wǎng)絡(luò)管理使用人員的安全意識等等。希望通過本文的研究，能夠為Internet時代的網(wǎng)絡(luò)安全問題的解決提供一定的借鑒。

參考文獻：

[1] 林曉東，楊義先，馬嚴，王仲文. Internet防火墻系統(tǒng)的設(shè)計與實現(xiàn)[J]. 通信學(xué)報，1998，(01) .

[2] 陳關(guān)勝. 防火墻技術(shù)現(xiàn)狀與發(fā)展趨勢研究[A]. 信息化、工業(yè)化融合與服務(wù)創(chuàng)新――第十三屆計算機模擬與信息技術(shù)學(xué)術(shù)會議論文集[C]，2011

[3] 賈志高，周以琳. 基于防火墻和網(wǎng)絡(luò)入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究與設(shè)計[J]. 甘肅科技，2009，(18)

[4] 余志高，周國祥. 入侵檢測與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，(03) .