网络安全与防火墙论文(共8篇)
篇1:网络安全与防火墙论文
网络信息安全与防火墙技术
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展,计算机工程与应用(期刊论文),2004 [2]马利,梁红杰.计算机网络安全中的防火墙技术应用研究,电脑知识与技术,2014 [3]解静静.网络信息安全与防火墙技术,计算机光盘软件与应用,2014 [4]陈倩.浅析网络安全及防火墙技术在网络安全中的应用,网络安全技术与应用,2014 [5]赵子举.浅谈入侵检测与防火墙技术,电子世界,2014
篇2:网络安全与防火墙论文
了解双宿主机防火墙的安全性是如何被破坏的是很有用的,因为这样一来你就可以采取相应的措施来防止发生这种破坏,
对安全最大的危胁是一个攻击者掌握了直接登录到双宿主机的权限。登录到一个双宿主机上总是应该通过双宿主机上的一个应用层代理进行。对从外部不可信任网络进行登录应该进行严格的身份验证
如果外部用户获得了在双宿主机上进行登录的权利,那么内部网络就容易遭到攻击。这种攻击可以通过以下任何一种方式来进行:
1)通过文件系统上宽松的许可权限制
2)通过内部网络上由NFS安装的卷
3)利用已经被破坏了的用户帐号,通过在这类用户的主目录下的主机等价文件,如。rhosts,来访问由Berkeleyr*工具授权的服务
4)利用可能恢复的过分访问权的网络备份程序
5)通过使用没有适当安全防范的用于管理的SHELL脚本
6)通过从没有适当安全防范的过时软件的修订版和发行文档来掌握系统的漏洞
7)通过安装允许IP传递的老版本操作系统内核,或者安装存在安全问题的老版本操作系统内核。
如果一台双宿主机失效了,则内部网络将被置于外部攻击之下,除非这个问题很快被查出并解决。
在前面,我们已经了解到UNIX内核变量ifrorwarding控制着是否允许进行IP路由选择。如果一个攻击者获得了足够的系统权限,则这个攻击者就可以改变这个内核变量的值,从而允许IP转发。在允许IP转发后,防火墙机制就会被旁路掉了。
双宿主机防火墙上的服务
除了禁止IP转发,你还应该从双宿主机防火墙中移走所有的影响到安全的程序、工具和服务,以免落入攻击者的手中。下面是UNIX双宿主机防火墙的一部分有用的检查点:
1)移走程序开发工具:编译器、链接器等。
2)移走你不需要或不了解的具有SUID和SGID权限的程序。如果系统不工作,你可以移回一些必要的基本程序。
3)使用磁盘分区,从而使在一个磁盘分区上发动的填满所有磁盘空间的攻击被限制在那个磁盘分区当中。
4)删去不需要的系统和专门帐号。
5)删去不需要的网络服务,使用netstat-a来检验。编辑/etc/inetd。conf和/etc/services文件,删除不需要的网络服务定义。
2.4代理服务和应用层网关
代理服务(ProxyService)
代理服务使用的的方法与分组过滤器不同,代理(Proxy)使用一个客户程序(或许经过修改),与特定的中间结点连接,然后中间结点与期望的服务器进行实际连接。与分组过滤器所不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。中间结点通常为双宿主机。
代理服务可提供详细的日志记录(log)及审计(audit)功能,这大大提高了网络的安全性,也为改进现有软件的安全性能提供了可能性。代理服务器可运行在双宿主机上,它是基于特定应用程序的。为了通过代理支持一个新的协议,必须修改代理以适应新协议。
在一个称为SOCKS的免费程序库中包括了与许多标准系统调用基本兼容的代理版本,如SOCKS、BIND()、CONNECT()等,
在URL统一资源定位地址ftp://ftp。inoc。dl。nec。com/pub/security/sock。cstc
代理服务通常由两个部分构成:代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序,系统就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而,它也给软件开发者、网络系统员和最终用户带来了很大的不便,这就是使用代理的代价。也有一些标准的客户程序可以利用代理服务器通过防火墙运行,如mail、FTP和telnet等。即便如此,最终用户也许还需要学习特定的步骤通过防火墙进行通信。
透明性对基于代理服务企的防火墙显然是一个大问题。即使是那些声称是透明性防火墙的代理也期望应用程序使用特定的TCP或UDP端口。假如一个节点在非标准端口上运行一个标准应用程序,代理将不支持这个应用程序。许多防火墙允许系统管理员运行两个代理拷贝,一个在标准端口运行,另一个在非标准端口运行,常用服务的最大数目取决于不同的防火墙产品。
基于代理服务的防火墙厂商正在开始解决这个问题。基于代理的产品开始改进成能够设置常用服务和非标准端口。然而,只要应用程序需要升级,基于代理的用户会发现他们必须发展新的代理。一个明显的例子是许多的Web浏览器中加入了大量的安全措施。防火墙的购买者应留心询问防火墙厂商他们的产品到底能处理哪些应用程序。另外,基于代理服务器的防火墙常常会使网络性能明显下降。相当多的防火墙不能处理高负载的网络通信。
应用层网关
应用层网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当的程序设计,应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制,并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务,是采用应用层网关的主要优点。在需要时,在网关本身中还可以增加额外的安全措施。
对于所中转的每种应用,应用层网关需要使用专用的程序代码。由于有这种专用的程序代码,应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时,必须为其编制专门的程序代码。正是如此,许多应用层网关只能提供有限的应用和服务功能。
为了使用应用层网关,用户或者在应用层网关上登录请求,或者在本地机器上使用一个为该服务特别编制的程序代码。每个针对特定应用的网关模块都有自己的一套管理工具和命令语言。
采用应用层网关的一个缺陷是必须为每一项应用编制专用程序。但从安全角度上看,这也是一个优点,因为除非明确地提供了应用层网关,就不可能通过防火墙。这也是在实践“未被明确允许的就将被禁止”的原则。
篇3:网络安全与防火墙技术分析与探讨
1 网络安全现状
随着社会信息化进程的深入发展, 网络安全问题日益突出, 网络犯罪给网络安全带来很大安全隐患, 并且随网络发展, 网络犯罪造成的损失也在增长。网络威胁的特征主要体现在间谍软件、电脑病毒、系统漏洞等方面方。从家庭到企业和政府部门等通过因特网互连和信息的交互共享。与此同时针对网络的攻击破坏也构成了对网络安全的严重挑战, 2006年中国全球31%的含有恶意代码类网站在中国产生, 仅次于美国。感染病毒和木马程序是最主要的网络威胁事件, 占发生安全事件总数的85%。网络攻击中, 其中遭到端口扫描或网络攻击的占37%。据统计在2008年被反病毒监测网截获的新病毒其中90%以上带有明显的利益特征。中国新浪网等一些大型网站都曾经遭受过大规模的DDOS黑客攻击, 造成了巨大经济损失。除了网络攻击外, 现在黑客还频繁在网站植入木马。这也说明了网络安全的极端重要性, 失去网络安全保护就意味信息受破环和丢失, 只有保证网络安全才能更好的发展网络。当前如何更好的保护网络安全也已经到了刻不容缓的地步。
2 防火墙技术的发展与作用
随着网络技术的发展, 恶意的攻击者对网络进行大量的攻击, 为了抵御攻击, 防火墙、网络病毒检测等技术应运而生, 而处于内外网络交界处的防火墙技术更为重要, 通过防火墙使得内部网络与因特网之间相互隔离, 并通过限制网络互访来保护内部网络, 使用防火墙技术可以管理子网与外网的互访, 通过对防火墙有效规则配置有效阻外界的攻击。防火墙技术从产生到现在走了近二十年, 大概经历了简单包过滤防火墙、链路层防火墙、应用层防火墙、动态包过滤防火墙、自适应代理防火墙这五个阶段, 目前还提出了第六代防火墙技术-智能防火墙技术。智能防火墙从技术上是利用统计、记忆的智能方法来对数据进行识别, 并达到访问控制目的, 采用人工智能识别技术来决定访问控制把自身的安全性很大程度的提高, 在特权最小化、系统最小化、内核安全等方面都有质的飞跃, 代表着防火墙的主流发展方向。
防火墙在网络安全中的作用主要是防止未经过授权的通信。从各种端口中辨别判断从外部不安全网络发送到内部安全网络的数据。其主要作用是限制非法进入内部网络, 过滤掉不安全服务, 防止入侵者接近防御设施, 限定用户访问特殊站点和为监控因特网安全提供方便。
防火墙根据使用对象分企业级防火墙和个人防火墙, 按防火墙技术分为包过滤型防火墙和应用代理型防火墙。就防火墙的关键技术来说包括包过滤技术、代理技术、地址翻技术等。首先信息包传送技术就是在信息包交换网络上, 信息被分割成信息包, 包过滤防火墙会读取接收信息, 信息包从不同的线路抵达目的地, 当所有包抵达后会重新组装。其次是包过滤技术, 包过滤技术是防火墙中的一项主要技术, 它通过防火墙对进出网络数据流进行控制。包过滤防火墙会根据数据包地址、协议、访问时间等信息来进行访问控制。其一般有一个包检查模块, 数据包过滤可以根据数据包头中的信息与网络互访。采用包过滤技术一般所用时间很少, 对终端用户不需要专门培训。但是也有着过滤规则集复杂, 很难管理等缺点。
还有代理技术地址翻译技术和加密技术, 网络地址翻译可以对外隐藏内部的网络结构, 使得外部攻击者无法确定内部网络连接状态。并且内部计算机向外使用的地址都不同, 给外部攻击造成了困难。加密技术更加保证了传输信息的私有性, 它包括加密算法选择、信息确认算法选择、密钥管理等几个部分。
3 防火墙技术的发展趋势
防火墙有着能强化安全策略、能有效地记录因特网上的活动、实现网段控制等优点, 但同时也有着不能防范恶意的知情者、不能防范不通过它的连接、不能防备全部的威胁、不能有效防范病毒并限制某些有用的网络服务和无法防范数据驱动式攻击等缺点, 随着因特网的迅猛发展, 防火墙未来发展方向必将朝着远程管理、过滤深度不断加强等方面加强, 安全协议的开发也会是一大热点, 对非法攻击能够进行回复式警告, 安全管理工具不断完善, 特别是日志分析工具将成为防火墙技术的一个不可或缺的组成部分。防火墙将从目前被动防护状态转变为智能动态的信息安全技术, 并具有更好的开放性、可移植性。在防火墙的标准上更加侧重管理性和应用性。
防火墙技术的发展要更加注重以下几个问题的解决, 一个是以拒绝访问为主要目的的网络攻击, 还有以蠕虫为代表的病毒传播以及以垃圾电子邮件为代表的内容控制。我们要把智能概念引入防火墙, 使防火墙具备一定的智能分析能力, 做出及时应对, 对网络的流量进行智能分析, 做出相应的及时应对, 这样就大大减少了人工修改规则和过滤表的时间和效率, 以此来减少防火墙对网络变化的响应时间, 从而也减少了人工修改带来的很多潜在错误。随着攻击的日益复杂和隐藏手段的逐渐提高, 智能防火墙可以根据攻击方式的特征预以拦截, 所以在确保内网安全策略的前提下尽可能提高防火墙的智能是一个很重要的发展趋势。
4 结语
九十年代以来计算机网络技术得到飞速发展, 尤其进入二十一世纪网络化与全球化成为不可抗拒的世界潮流。网络技术己经渗透到人类社会生活的方方面面。随着网络信息技术广泛应用, 网络安全问题亦日渐呈现出来。网络安全是网络安全应用中一个综合性问题, 其中最重要的防护手段就是防火墙技术, 本文对网络安全的现状做了初步的分析和探讨, 并就防火墙技术做了阐述, 最后对防火墙技术的发展趋势做了分析, 随着计算机网络的更加迅猛的发展, 相信防火墙技术作为一种有效的安全防护措施会被更加广泛的应用到网络安全防护中去。
参考文献
[1]王睿, 林海波等.网络安全与防火墙技术, 北京:清华大学出版社, 2000.
篇4:校园网络安全与防火墙技术
关键词:校园网;防火墙技术;网络安全
中图分类号:TP309
因特网逐年普及,各类学校对于网络的使用也更是广泛,校园网的建设对于教育教学具有深远意义,因而保证其信息安全尤为必要。但是,校园网络的安全问题却着实令人堪忧,其突出的安全问题值得研究分析。所以,基于当前现状,在校园网络中对其安全问题实施防火墙技术是当前最为普遍的建设性技术。保护计算机信息安全,结合当前计算机安全面临的主要威胁,当仁不让的核心技术就是防火墙技术,同时,对防火墙技术现状的分析研究,对其做出未来的发展设想也是很必然的。
1 校园网络安全
1.1 校园网络的安全需求
校园网对于网络安全的需求是很高的,是全面的,通常表现形式为:网络安全隔离,网络安全漏洞;有害信息过滤等多种多样。校园网络对于其网络安全正常可靠运行的需求是很大的,总之,校园中整个网络的全面性运行的前提是需要一套科学合理的方案做支持,方案制定之后继而合理的实施在网络安全上面,这对于分析和研究校园网络的安全尤其有必要。与学校而言,制定一套安全管理方案和设备配备方案是最科学的,以此来保证校园整个网络的全面安全可靠运行。
1.2 校园网络面对的安全威胁
针对校园网络的安全威胁,总结来说,包括冒充合法用户,病毒与恶意攻击,非授权进行信息访问,或是干扰系统正常运行等。另一方面,对校园网络安全性构成威胁的还有因特网自身的因素,类似网络资源的性质,其资源信息良莠不齐,各式各样,一旦没有进行过滤筛选就放到网络上,一定会造成校园网络安全威胁,其中包含的大量流量资源,造成了网络堵塞,缓慢不运行的上网速度,大量的非法内容出入,并且对于校园生活中的青少年的身心健康造成了极大危害。
2 防火墙技术概述
2.1 包过滤类型防火墙
防火墙技术总体来讲就是一系列功能不一的软硬件组合,其功能通常包括存取,控制等,它工作的原理就是在校园网以及因特网之间进行访问控制策略的设置,从而决定哪些内容可被读取,哪些内容被控制在浏览页之外,如此一来,就保护了校园网络内部非法用户非法内容的入侵。防火墙技术的主要目的在于对数据组进行控制,只对合法的内容加以释放,过滤掉网络杂质。
包过滤类型的防火墙技术工作原理是直接通过转发报文,工作领域是IP层,这是网络的底层,在合适的位置对网络数据进行有选择的过滤,有一个形象的称号称呼这一防火墙技术即为“通信警察”。包过滤防火墙对每一个传入保的基本信息进行浏览,进行过滤,一般查询内容都包括源地址、协议状态等,这些基本信息一般性情况下都能对其内容做出大致统筹,然后与系统源设定的信息规则进行比照,指引可行性信息,拦截网络垃圾。
包过滤类型的防火墙其优点显而易见,其选择性过滤的功效着实对于校园网络安全做出了保障,并且,这一类型的防火墙技术产品通常是廉价的,有效的,安全的,现在学校一般比较通用,这一手段的运行过程完全透明,并且其运行效率,工作性能也是很高,总体来讲,就是指其性价比很是惊人。然而,其必然伴随着不少的缺陷,尚未达到很完美的境地,类似于包过滤类型的防火墙技术不能保证绝对的安全性,对于其网络欺骗行为不能进行彻底的制止,而且有些协议的数据包压根不适合被过滤,譬如“RPC”、“X-WINDOW”等。
2.2 代理服务器类型防火墙
防火墙技术的主要特征就是在网络周边建立相关的监控系统,以此来保障网络安全,达到网络可靠运行的目的,它的工作原理是通过建立一套完整的规则和系统策略来进行网络安全检测,继而改变穿过防火墙的数据流,来达到保护内部网络安全的目的。由于校园网络与防火墙的工作环境特别兼容,因而,学校网络实现信息安全的一大重要保障就应当是采用实施防火墙技术。
代理服务器类型的防火墙就是基于代理服务器,代理服务器是一种程序,其主要形式就是客户处理在服务器的连接请求。当代理服务器接收到客户的连接意图时,它将对此请求进行网络核实,然后将处理完成的信息进行实质性传递,呈现在真实的服务器上,最后对发出请求的客户做出应答。
基于代理服务器类型的防火墙,虽然其安全性能很高,但是它对于用户而言是封闭的,不透明的,工作时有很大的工作量,对于真实服务器的要求较高,另外,代理服务器通常是需要身份验证或者是注册的,这样一来,就必然会影响到期工作的速度。所以,针对这一缺陷,基于代理服务器类型的防火墙不太适合于高速下的网络监控。总之,防火墙对于网络安全性是有很大的提高作用的,并不能绝对的根除网络安全问题,除此以外,对于网络内部自身攻击或是病毒很难防御。要想保证网络彻底安全,防火墙技术是核心,且需要辅以其他精准措施。
3 校园网络安全方案及优缺点
3.1 专用的硬件防火墙设备
专用的硬件防火墙设备是以最先进的网络技术和安全技术为基础的,这一类型的防火墙速度极快,将校园内部网络与外部网络做出了极其有效的隔离。通过网络控制,校园内部网络被允许上网,而校园外的网络用户就被隔离,不能直接进行网络访问,当然,也会有其他的网络浏览方式,类似加密然后授权等,这必然有效的保护了校园网络的安全性。这一方案的防火墙,其特点就是基于硬件,并与路由器做“合体”技术,路由器购置中,便自动植入了防火墙设备,以此在很大程度上保证了网络安全。但是,尽管这一设备安全,快速,但是如此专业的软硬件一体设备,其价格自然可想而知,非常昂贵。
3.2 服务器及相关防火墙软件
服务器及相关的防火墙软件也能够实现硬件防火墙的基本功能。采用“UNIX系统”以及该系统内部内核自带的IP地址,当然也包括其中的防火墙软件,能够很好的实现硬件防火墙的基本功能。由于当下Windows 2000或是其他的操作系统自身存在着很多的漏洞,致使其对于IP地址的支持能力极为有限,存在着很大的局限性,对于病毒感染,或是漏洞频出的现象不能很好的避免,所以对于这一安全方案,在代理服务器的选择上尽量避免Windows 2000。代理服务器常年运行,若要保证校园网络安全,其所有的出口流量等全都需要经过这一代理服务器,所以方案设备配置时,一个性能高的,经久耐用的专用代理服务器就显得尤为重要了,以此加强其工作稳定性。这一配备的投资较为节省,而且性能很好,很大程度上保证了园网络安全。因而,针对以上两种方案,学校对投资校园网络建设时,结合财力,性能,需求等多种因素进行防火墙方案选择。
4 结束语
因特网的迅猛发展,必然伴随着网络攻击手段的不断跟进,保护其安全就显得尤为迫切,防火墙技术已经基本能够满足计算机使用者对于其信息安全的需求,但是防火墙技术作为网络信息安全的核心技术,它值得深入研究的课题以及项目还是很多,譬如如何对防火墙技术进行危险系数的评估等技术尚需得到研究开发,总之,防火墙技术为计算机尤其是校园网络技术做出了巨大贡献。
参考文献:
[1]李欣.高校校园网络安全探索[J].中国现代教育装备,2012(10):45-46.
[2]唐震.校園网络安全管理技术研究[J].硅谷,2013(08):33-34.
[3]侯亚辉.网络安全技术及其在校园网中的应用与研究[J].科技风,2011(12):66-67.
篇5:防火墙固有的安全与效率
日前,具有自主核心技术的防火墙新品已产生,该产品就利用这一技术,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大提高了系统的传输效率和安全性,从而较好地解决了防火墙固有的安全与效率的矛盾问题。与传统包过滤的无连接检测技术不同,基于连接状态的包过滤在进行包的检查时,不仅将其看成是独立的单元,同时还要考虑它的历史关联性。例如,在基于TCP协议的连接中,每个包在传输时都包括了IP源地址、目的地址、协议的源接口和目的接口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等,这些信息与每个数据包都是有关联的,
换句话说,对于属于同一个连接的数据包来说并不是孤立的,它们存在内部的关联信息。无连接的包过滤规则由于忽略了这些内在的关联信息,对每个数据包都进行孤立的规则检测,所以大大降低了传输效率。
由于采用了基于连接的包过滤处理方法,该防火墙在进行规则检查的同时,可以将包的连接状态记录下来,该连接以后的包则无需再通过规则检查,而只需通过状态表里对该包所属的连接的记录来检查即可。如果有相应的状态标识,则说明该包属于已经建立的合法连接,可以接受。检查通过后该连接状态的记录将被刷新。这样就使具有相同连接状态的包避免了重复检查。同时由于规则表的排序是固定的,只能采用线性的方法进行搜索,而连接状态表内的记录是可以随意排列的,于是可采用诸如二叉树或Hash等算法进行快速搜索,这就提高了系统的传输效率。同时,采用实时的连接状态监控技术,可以在状态表中通过诸如ACK(应答响应)、NO等连接状态因素加以识别,阻止该包通过,增强了系统的安全性。
篇6:路由器与防火墙安全性大对比
一、背景
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
二、目的
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
三、核心技术
路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
3.安全策略
路由器的默认配置对安全性的考虑不够周全,需要做高级高级配置才能达到一些防范攻击的作用,而且企业级路由器基本都是基于命令模式进行配置,其针对安全性的规则的部分比较复杂,配置出错的概率较高。
有些防火墙的默认配置既可以防止各种攻击,达到既用既安全,更人性化的防火墙都是使用图形界面进行配置的,配置简单、出错率低。
4.对性能的影响
路由器的设计初衷是用来转发数据包的,而不是专门设计作为全特性防火墙的,所以在数据转发时运算量非常大。如果再进行包过滤,对路由器的CPU和内存或产生很大的影响,这就是为什么路由器开启防火墙后,数据转发率降低的原因。而且路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
防火墙则不用作数据转发的工作,只要判断该包是否符合要求,是则通过,否则不通过,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
5.防攻击能力
即使像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
结论就是:
·具有防火墙特性的路由器成本 >防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。
篇7:化工安全防火与环境保护总结
化学工业,由于生产上的特点,火灾、爆炸的危险性以及环境污染的问题甚于其他企业,一旦发生,极易造成人员的重大伤亡和财产损失。因此,化工设计中的安全防火和环境保护是必须高度重视的。
1.火灾和爆炸的形成,与可燃物的燃点、自燃点和闪点密切有关。燃点:燃点是可燃物质受热发生自燃的最低温度。自燃点:物质的自燃点越低,发生起火的危险性越大,一般压力愈高,自燃点愈低。闪点:闪点是易燃与可燃液体挥发出的蒸气与空气形成混合物后,遇火源发生内燃的最低温度。
火灾发生必须具备的三个条件:
⑴ 有可燃物质存在 ⑵有助燃物质存在,通常的助燃物质有空气、氯、氧等 ⑶有导致燃烧的能源,即点火源,如撞击、摩擦、明火、高温表面、发热自燃、绝热压缩、电火花、光和射线等。
2.化工生产的防火防爆
⑴ 发生火灾与爆炸的主要原因,发生火灾与爆炸的原因很复杂,一般可归纳为以下几点。
a.外界的原因,如明火、电火花、静电放电、雷击等
b.物质的化学性质,如可燃物质温度达到自燃点,危险物品的相互作用,物料遇热或受光照
c.生产过程和设备在设计上或管理上的原因,如设计错误,不符合防火或防爆要求;设备缺少适当的安全防护装置,密闭不良引起可燃气体或可燃液体大量外漏;操作时违反安全技术规程;生产用设备以及通风、照明设备失修与使用不当等。
d.生产场所形成爆炸性气体混合物或粉尘爆炸性混合物,又有火源即发生爆炸,这是比较常见的爆炸发生的原因。
⑵ 防火防爆的基本原理与思路
引发火灾的条件是:可燃物、氧化剂和点火源同时存在,相互作用。引发爆炸的条件是:爆炸品或者是可燃物与空气的混合物与引爆能源同时存在,相互作用。如果采取措施避免或者消除上述条件,就可以防止火灾或爆炸事故的发生,这就是防火防爆的基本原理。在制定防火防爆措施时,可以从以下四个方面来考虑:
a.预防性措施。这是最理想、最重要的措施,其基本点是使可燃物、氧化剂与点火源没有结合的机会,从根本上杜绝着火的可能性。
b.限制性措施。这是指在一旦发生火灾爆炸事故时,能够起到限制其蔓延、扩大作用的措施。如在设备上或者在生产系统中安装阻火、泄压装置,在建筑物中设置防火墙等,采取限制性措施能够有效地减少事故损失。
c.消防措施。按照法规或规范的要求,采取消防措施。一旦火灾初起,就能够将其扑灭,避免发展成大的火灾。
d.疏散性措施。预先设置安全出口及安全通道,一旦发生火灾爆炸事故时,能够迅速将人员或者重要物资撤离危险区域,以减少损失。
⑶ 化工设计中应考虑的防火防爆措施
a.工艺设计。在工艺设计中需要考虑防火防爆的方面很多的,在选择工艺操作条件时,对氧化反应,在原料配比上要避免可燃气体或可燃液体蒸气与空气混合物落入爆炸极限范围内;需要使用溶剂时,在工艺允许的前提下,设计上应尽量选用火灾危险性小的溶剂;使用的热源尽量不用明火,而用蒸气或熔盐加热;在易燃、易爆车间设置氮气贮罐,用氮气作为事故发生时的安全用气,并设有备用的氮气吹扫管线。
b.建筑设计。建筑设计必须遵守国家制定的“建筑设计防火规范”。
建筑设计防火防爆可从两方面解决。一方面是合理的布局厂房的平面和空间,消除爆炸可能产生的因素,缩小爆炸的范围,保证人员的安全疏散。在这一方面,“建筑设计防火规范”有许多具体规定,设计人员必须严格遵守。另一方面是要从建筑结构和建筑材料上保证建筑物的安全,减轻建筑物在爆炸时所受的损害。
c.根据所设计的装置的爆炸危险性选用相应等级的电气设备、照明灯具和仪表。所有能产生火花的电器开关等均应与防爆车间隔离。
要防止静电放电现象的发生,在化工车间中,传动带的传动,流体在管路中的流动均能产生静电,因此在金属设备及管道上均应设置可靠的接地。防爆车间应装设避雷针。
d.从通风上要保证易爆易燃气体和粉尘迅速排除,保证在爆炸极限以外的浓度下操作;设备布置上要避免在车间中形成死角以防爆炸性气体和粉尘的积累;产生爆炸性物质的设备应有良好的密闭性,使爆炸性物质不致散发或流失到车间去。
⑷ 防火防爆安全装置
为了阻止火灾、爆炸的蔓延和扩展,减少其破坏作用,阻火设备、防爆泄压设施、安全连锁装置等防火防爆安全装置是工艺设备不可缺少的部件或元件。选用得当时,防火防爆作用十分显著。
①阻火装置
a.阻火器。阻火器是利用管子直径或流通孔隙减小到一定程度,火焰就不能蔓延的原理制成的。阻火器常用在容易引起火灾爆炸的高热设备和输送可燃、易燃液体、蒸气的管线之间,以及可燃气体、易燃液体的容器及管道、设备的排气管上。
b.安全液封。安全液封是一种湿式阻火装置,其原理是使具有一定高度、由不燃液体组成的液柱稳定存在于进、出口之间。在液封两侧的任一侧着火,火焰将在液封处熄灭,从而阻止火势蔓延。安全液封有开敞式和封闭式两种。
c.水封井。其阻火原理与安全液封相似,是安全液封的一种。水封井通常设在有可燃气体、易燃液体蒸气或油污的污水管网上,用以防止燃烧或爆炸沿污水管网蔓延扩展。
d.阻火闸门。阻火闸门是为防止火焰沿通风管道蔓延而设置的阻火装置。有跌落式自动阻火阀门和手动式多种。跌落式自动阻火闸门是易熔元件熔断后,闸板由于自身重力自动跌落而将管道封闭。手动阻火闸门多安装在操作岗位附近,以便于控制。
e.火星灭火器。火星灭火器又称防火帽,其原理是因容积或行程改变,使火星的流速下降或行程延长而自行冷却熄灭,致使火星颗粒沉降而消除火灾危险。通常安装在能产生火星的设备的排空系统上,如汽车等机动车辆发动机的排气口处。
f.单向阀。单向阀又称止逆阀、止回阀,其作用是使流体单向通过,遇有回流即自行关闭。常用于防止高压物料冲入低压系统,如液化石油气瓶的调压阀就是单向阀的一种。
②.泄压装置
a.安全阀。安全阀用于防止设备或容器内压力过高引起爆炸。当系统内压力高出设备压力开启泄压,在压力降到正常工作值后能自动复位。安全阀通常安装在不正常条件可能超压甚至破裂的设备或机械上。常用安全阀有重力式、杠杆式和弹簧式三种类型。
b.防爆片。防爆片又称爆破片、防爆膜、泄压膜,是在压力突然升高时能自动破裂泄压的一次性安全装置,由具有一定厚度和面积的片状脆性材料制成。通常安装在含有可燃气体、蒸汽或粉尘等物料的密闭压力容器或管道上,当设备或管道内压力突然上升超过设计值时,防爆片作为薄弱环节首先自动爆破泄压,从而保证设备主体安全。
c.泄爆门(窗)。泄爆门又称防爆门、泄爆窗,泄爆门通常安装在燃油、燃气和燃煤粉的加热炉燃烧室外壁上,是爆炸时能够掀开泄压、保护设备完整的防爆安全装置。为了防止燃烧气体喷出伤人或掀开的盖子伤人,泄爆门(窗)应设置在人们不常到的地方,高度不应低于2m,并应定期检修。
d.放空(阀)管。放空管是一种管式排放泄压安全装置,又称排气管。一种是排放正常生产的废气,另一种是发生事故时,将受压设备内气体紧急防空的装置。放空管一般应安设在设备或容器的顶部,室内设备安设的放空管应引出室外,其管口要高于附近有人操作的最高设备2m以上。对经常排放有燃烧爆炸危险的气态物质的放空阀,管口附近还应设置阻火器。
3.防毒与环境保护
⑴.化学工业中常见的一些环境污染物有:汞、氰、酚、砷、芳烃及其衍生物、饱和烃和不饱和烃及其衍生物、醇、二氧化硫、酸、碱等。它们都是污染环境,损害人体健康。
⑵设计工作中防毒与环境保护方面的考虑首先,工艺设计中应尽量选用无毒或低毒的原料路线,对同一产品,如果存在两条或两条以上原料路线的话,在经济上合理,工艺上可行的前提下,应尽量采用无毒或低毒的原料路线。选用催化剂时,在催化剂活性差别不大的前提下,应尽量采用无毒或低毒催化剂。采用闭环工艺过程也是一种办法,有些原料或中间产物是有毒的,但它们的某些制成品却是无毒的,设计上如采用闭环工艺,有毒的原料和中间产物在系统内循环,只有无毒制成品出生产系统,则可大大减少污染。工艺上还应考虑综合利用,把生产过程中生产的副产物加以回收,不仅可以增加经济效益,还可减少污染。
⑶.①.烟尘治理技术:a.重力除尘 b.惯性除尘 c.离心除尘
②.有害气体的治理技术:a.吸收法 b.吸附法 c.燃烧法 d.催化转化法 e.冷凝法③.水体污染治理技术
物理处理法:a.筛滤法 b.重力法 c.离心法
化学处理法:a.中和法 b.混凝沉淀法 c.吸附法 d.离子交换法
生物化学处理法:a.好氧生物处理法 b.厌氧生物处理法
膜处理方法:膜处理法是利用膜的孔径及膜材料的特性选择性节流水的颗粒物的一种很有前途水处理方法。比如利用超滤膜、反渗透膜、超滤膜进行染料脱盐,海水淡化及污水处理。
参考文献:
1.《化工设计》,黄璐主编。化学工业出版社2001
2.《化工安全生产技术》,王德堂 孙玉叶主编。天津大学出版社2009
3.《现代化工导论》,李淑芬 王成扬 张毅民主编。化学工业出版社2011
篇8:防火墙与网络安全
近年来, 计算机网络技术不断发展, 网络应用逐渐普及。网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源, 经济、文化、军事和社会活动也强烈依赖于网络, 一个网络化的社会已呈现在我们面前。然而, 随着网络应用的不断增多, 网络安全问题也越来越突出, 由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素, 致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通, 研究计算机网络的安全与防范措施已迫在眉睫。
2 防火墙技术
网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访, 用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet (外部网) 的传输信息或从内部网发出的信息都必须穿过防火墙。
2.1 防火墙的主要功能
防火墙的主要功能包括:
1) 防火墙可以对流经它的网络通信进行扫描, 从而过滤掉一些攻击, 以免其在目标计算机上被执行。
2) 防火墙可以关闭不使用的端口, 而且它还能禁止特定端口的输出信息。
3) 防火墙可以禁止来自特殊站点的访问, 从而可以防止来自不明入侵者的所有通信, 过滤掉不安全的服务和控制非法用户对网络的访问。
4) 防火墙可以控制网络内部人员对Internet上特殊站点的访问。
5) 防火墙提供了监视Internet安全和预警的方便端点。
2.2 防火墙的主要优点
防火墙的主要优点包括:
1) 可作为网络安全策略的焦点防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来, 将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心, 极大地加强了网络安全, 并简化了网络管理。
2) 可以有效记录网络活动由于防火墙处于内网与外网之间, 即所有传输的信息都会穿过防火墙。所以, 防火墙很适合收集和记录关于系统和网络使用的多种信息, 提供监视、管理与审计网络的使用和预警功能。
3) 为解决IP地址危机提供了可行方案由于Internet的日益发展及IP地址空间有限, 使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。
2.3 防火墙的分类
防火墙的实现从层次上大体可分为三类:包过滤防火墙, 代理防火墙和复合型防火墙。
1) 包过滤防火墙
包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet这样的TCP/IP网络上, 所有往来的信息都是以包的形式传输的, 包中包含发送者的IP地址和接收者的IP地址信息二包过滤防火墙将所有通过的信息包中发送者IP地址、接收者IP地址、TCP端口、TCP链路状态等信息读出, 并按照系统管理员所设定的过滤规则过滤信息包。那些不符合规定的IP地址的信息包都会被防火墙屏蔽掉, 以保证网络系统的安全。这是一种基于网络层的安全技术, 对于应用层即内部用户的黑客行为是无能为力的。
2) 代理防火墙
代理防火墙也叫应用层网关防火墙, 包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络, 对于这样的企业, 应用代理防火墙是更好的选择。代理服务是设置在Internet防火墙网关上的应用, 是在网管员允许下或拒绝的特定的应用程序或者特定服务, 一般情况下可应用于特定的互联网服务, 如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。
3) 复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用, 从而实现了网络安全性、性能和透明度的优势互补。随着技术的发展, 防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。
3 其它网络安全技术
虽然防火墙能够提高网络的安全性, 但它并不是全能, 与防火墙配合使用的安全技术还有数据加密技术、智能卡技术、V P D N技术。
3.1 数据传输加密技术
数据加密技术是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采用的主要技术手段之一。目的是对传输中的数据流加密, 常用的方法有线路加密和端一端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者指信息由发送者端自动加密, 并进入TCP/IP数据包回封, 然后作为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达目的地, 被将自动重组、解密, 成为可读数据。
3.2 数据存储加密技术
目的是防止在存储环节上的数据失密, 分为密文存储和存取控制两种。前者通常是通过加密算法转换、附加密码、加密模块等方法来实现的。后者是对用户资格、权限加以审查限制, 防止非法用户存取数据或合法用户越权存取数据。
3.3 数据完整性鉴别技术
目的是对信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求, 通常包括交换与销毁等各环节的保密措施。
3.4 智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。智能卡是密钥的一种媒体, 一般就像信用卡一样, 由授权用户所持有并由该用户赋与它一个密码。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时, 智能卜的保密性能还是相当有效的。
4 结语
防火墙是网络安全中重要一环, 能有效地提高网络安全性, 但是不要过分依赖于防火墙, 它是全面的安全策略中的一个重要组成部分, 应该各其它安全技术结合使用, 另外防为墙的使用和使用者本身也息息相关, 不恰当的安全规则也会使得网络安全得到破坏。
摘要:防火墙是近几年发展起来的一种保护计算机网络安全的技术措施, 也是目前使用最广泛的一种网络安全防护技术。防火墙是一个或一组实施访问控制策略的系统, 它可以是软件、硬件或软硬件的结合, 其目的是提供对网络的安全保护。防火墙通常位于内部网络和外部网络之间, 可以监视、控制和更改在内部和外部网络之间流动的网络通信;控制外部计算机可以访问内部受保护的环境, 并确定访问的时间、权限, 服务类型和质量等, 检查内部流传的信息, 避免保密信息流出, 达到抵挡外部入侵和防止内部信息泄密的目的。
关键词:防火墙,网络,安全
参考文献
[1]胡道元, 闵京华.网络安全[M].北京:清华大学出版社.2004, 1.
[2]方芳.网络防为墙技术分析[J].电脑知识与技术.2007, 2.
[3]卢开澄.计算机密码学一计算机网络中的数据预安全[M].清华大学出版社.
[4]余建斌.黑客的攻击手段及用户对策IM].北京人民邮电出版社.
相关文章:
网络防火墙安全建设论文01-10
为什么要网店装修论文01-10
防火安全论文提纲01-10
森林防火论文范文01-10
清明节防火安全公约01-10
国庆长假安全公约01-10
交通安全公约01-10
学生安全公约范文01-10
居民防火安全公约01-10
