智能防火墙技术

关键词: 防火墙

智能防火墙技术(精选七篇)

智能防火墙技术 篇1

在网络日益复杂化、多样化的今天, 网络安全问题已经日益突出地摆在各类用户的面前, 计算机网络的发展对信息的安全保护提出了新的挑战。防火墙是在Internet与Intranet之间进行访问控制的安全网关, 是在两个网络之间实施访问控制的一个或一组系统, 防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中。随着攻击手段的进步和安全需求的提高, 对防火墙提出了越来越高的要求。

1 包过滤防火墙的工作原理

数据包过滤技术是在网络层依据访问控制表对数据包进行分析、选择和过滤。防火墙通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素, 或它们的组合来确定是否允许该数据包通过。

数据包的结构是由各层连接的协议组成的。每一层数据包都由报头和报体两部分组成, 报头存放该层的协议信息, 报体存放该层的数据信息。在每一层, 将上层的全部信息作为报体, 再按本层协议加上报头, 此过程称为数据包封装。在TCP/IP模型中, 当应用层数据包构成传输层的包时, TCP或UDP协议从应用层将数据全部取出来, 再加上本层的报头。当再构成网际层的包时, IP协议将传输层的报头和报体全部作为本层的报体, 然后加上本层的报头。当构成最底层网络接口层的包时, 该层协议将网际层的整个包作为报体, 再加上本层的报头。

数据包中最重要的信息是各层依次加上的报头, 通过报头可以了解每一个数据包的IP源地址、IP目的地址、协议 (TCP包、UDP包和ICMP包) 、TCP和UDP的源端口、TCP和U D P的目的端口、TCP报头中的A C K位、数据包的出入方向等关键字段的内容, 将这些关键字段的内容记录到数据库中, 后面提出的智能防火墙即可采用这些内容。

2 TCP工作流程

网络中的多数访问都是基于TCP协议的 (如Telnet、FTP、SMTP、HTTP等) , 要防范目前常见的各种攻击手段, 就要对TCP的工作原理有一个详细的了解。下面就主要对TCP协议的工作流程进行分析。

2.1 TCP连接的建立

在TCP协议中, 通信双方是通过段来交换数据, 传输开始前, 需要在源端和接收端之间建立连接。在建立连接时, 需要指定一些直到连接释放前都有效的特性, 如优先权值、安全性值等QoS值, 这些特性, 在连接建立过程中通信双方都是同意的。建立连接的过程使用三次握手的方式 (见图1) 。

第一次握手:主机A进程向主机B进程发出连接请求, 包含A端的初始序号为X, 此时ACK标志为0;

第二次握手:B进程收到请求后, 发回连接确认, 包含B端的初始序号Y和对A端的初始序号X的确认, 此时ACK标志为1;

第三次握手:A进程收到B进程的确认后, 向B进程发送X+1号数据, 包括对B进程初始序号Y的确认, 此时ACK标志为1。

至此, 正常情况, 主机A与主机B的TCP连接就建立起来了。

2.2 数据传输

数据传输时, A进程的TCP从它的上层协议接收数据后, 以递增序号的方式将数据分段封装并发送到B进程。B进程通过将序号加1的确认数据报来确认该报文。

2.3 TCP连接的释放

TCP连接释放过程同样使用三次握手的方式进行。一方发出释放请求后并不立即断开连接, 而是等待对方确认, 对方收到请求后, 发回确认报文, 并释放连接, 发送方收到确认后才拆除连接。

2.4 TCP及其ACK位

从以上TCP协议的工作流程分析可知, 任何连接的第一个包 (首包) 与后续包在包头的A C K位的设置是不同的。首包的ACK标志为0, 后续包的ACK标志为1。所以当我们要拒绝一个TCP连接时, 只要拒绝连接的首包即可。因为缺少了首包, 接受方无法将收到的数据装配成完整的数据包, 连接也就无法维持。这样, 可以使我们很方便地将内部客户与外部网建立连接, 同时又阻止外部网络客户连接到内部服务器。我们只要对往外的TCP首包放行而对往内的TCP首包禁止即可。因为ACK标志为0是作为TCP首包的标志, 所以, 入侵者不能通过设置ACK来逃避拒绝, 如果强行设置ACK标志为1, 则该包不再作为首包, 也就无法建立TCP层的连接。

2.5 其它协议

对于UDP协议, 因其不存在类似于上述TCP协议的三次握手过程, 所以不能按照上面的办法进行过滤。本系统中对于UDP数据包的过滤是建立在端口的基础上的, 可以分别对源端口和目标端口来设置过滤规则。而对于ICMP等其它协议, 在本系统中对这些协议只进行协议类型和帧类型的识别, 并通过协议类型和帧类型的设置来进行过滤。

3 智能防火墙模型

根据以上分析结果提出了如下的智能防火墙系统。

3.1 防火墙基本结构

采用两台PC机组成此防火墙系统, 一台作为防火墙过滤主机, 另一台作为监控主机。对于防火墙过滤主机, 使用三网卡:两块网卡用于连接内部网络和外部网络, 第三块网卡用来连接监控主机。两台PC机都采用Linux系统。因为监控主机上需要安装数据库, 而Linux平台上的MySQL数据库具有功能强, 使用简单, 管理方便, 运行速度快, 可靠性高, 安全保密等特点, 十分适合记录量庞大的数据库使用, 所以监控主机也采用了Linux系统。防火墙系统的基本结构如图2所示。

3.2 防火墙的工作过程

在防火墙系统的过滤主机上运行两种进程:过滤进程和配置进程, 其中过滤进程完成数据包的过滤和转发, 同时负责将告警信息发送到监控主机;配置进程负责对过滤主机本身进行配置以及进行过滤规则的修改。为了减少防火墙本身所造成的过滤时延, 可以通过启动防火墙系统的时候手工设置多个过滤进程。

在防火墙系统的监控主机上运行多个进程, 其中通信进程负责发送和接收与过滤主机之间传送的数据, 同时, 应用数据挖掘技术对入侵的数据包进行扫描, 并对扫描的结果进行分析, 该部分还具有自学习的功能, 一旦发现异常操作, 则通过自学习模块将学习结果传送给新规则生成模块, 新规则生成模块根据学习的结果相应地生成新的规则, 并写入规则库中。具体的软件功能模块可以划分如图3所示。

防火墙程序的工作过程是:首先通过过滤主机的配置进程对防火墙的过滤规则进行设置, 设置的数据通过共享内存变量传送给过滤进程。然后由过滤进程接收双向的数据包, 并对数据包按照过滤规则进行过滤, 对于合法数据包, 则将其转发到相应的网卡上去;对非法的数据包, 则禁止其通过, 并将相关信息传送到监控主机上去。监控主机将接收到的告警信息分类存放到数据库中的各个数据表中, 当检则到有异常操作的时候, 自动生成相应的过滤规则并传送给过滤主机。

4 本系统针对常见攻击的对策

针对常见的攻击方法, 通过对TCP/IP协议族中协议的工作过程的分析, 并结合数据挖掘技术的使用, 可以设计出几种有效的对策。

4.1 非授权访问

对于非授权访问, 在防火墙上通过建立一个周密的过滤规则表就可以对其进行限制, 比如, 可以建立规则表来限制某一个或多个源IP地址的主机访问内部网络的某一台或多台目标主机, 如果是基于TCP或UDP协议的访问, 还可以对源端口和目标端口进行分别限制, 符合要求的数据包可以通过, 不符合要求的数据包就不能通过。

4.2 IP欺骗

对于IP欺骗的攻击, 可以在防火墙上对IP地址与该地址应该对应的MAC地址进行绑定。IP地址一旦被绑定, 则盗用该IP地址的数据包在通过防火墙的时候将按照绑定列表中的内容被识别出来, 则该数据包不能通过防火墙。

4.3 对于拒绝服务的攻击

每一小时扫描一次日志数据库中的数据, 若在某一个源IP地址的ACK标志为0的数据包之后发现没有ACK标志为1的数据包, 那么就是出现了一次半个T C P连接, 当半个T C P连接的个数超过一定的数值 (该数值应根据实际网络中一般单位时间内的半连接个数来设置) , 说明网络中的半连接的个数太多, 网络资源消耗过大, 则要发出相应的告警信息。

4.4 电子邮件攻击

每一小时扫描一次日志数据库中的数据, 收发电子邮件次数超过一定的数值 (该数值应根据实际网络中一般在单位时间内收发电子邮件次数来设置) , 说明网络中的电子邮件的收发次数出现异常, 则要发出相应的告警信息。

4.5 对于扫描

每一小时扫描一次日志数据库中的数据, 如果发现有WWW、DNS、SENDMAIL等几台重要主机的从1—1024的多个端口被频繁访问, 说明该主机有可能正在被扫描, 则要发出相应的告警信息。

4.6 对于缓冲区溢出

一般的缓冲区溢出都是通过发送大量的ping来完成的, 因此, 为了防止在网络中发生缓冲区溢出的问题, 在防火墙的过滤规则表中可以把对内部的重要设备的ICMP操作过滤掉, 这样就可以保护重要的主机不会因为外界攻击而发生缓冲区溢出的问题。

5 结论

通过对常见的包过滤系统的工作原理进行简单的介绍, 并结合对TCP/IP协议的分析, 提出了构建一个智能防火墙的方法, 在该防火墙上可以实现较多的安全防范手段, 对于目前的网络安全问题提供了一个解决方法。

网络安全只是相对意义的安全, 现实中并没有绝对安全的网络, 网络安全性要求越高, 需要付出的代价就越大。目前防火墙仍然是解决网络安全问题的有效的办法, 防火墙技术将会向智能化、高速度、低成本、功能更加完善、管理更加人性化发展。

摘要:本文介绍了包过滤防火墙的工作原理, 分析了TCP协议的工作过程, 设计了一个基于客户/服务器工作方式的智能防火墙系统的模型, 该智能防火墙可以根据日志数据库中的有关内容自动地生成过滤规则, 并添加到过滤规则表中。同时还介绍了针对常见几种攻击手段可以采用的安全对策。

关键词:防火墙,TCP/IP,ACK,客户/服务器

参考文献

[1]马争鸣, 张成言等.TCP/IP原理与应用[M].北京:冶金工业出版社.2006.

[2]李志球.计算机网络基础 (第二版) [M].北京:电子工业出版社.2006.

[3]wes noonan. 防火墙基础[M].北京:人民邮电出版社.2007.

[4] (美) 苏哈林.Linux防火墙[M].北京:机械工业出版社.2006.

智能防火墙技术 篇2

Java智能卡是在智能卡硬件系统的基础之上,在卡片内通过软件构建的一个支持Java程序下载、安装和运行的软、硬件系统。Java智能卡最初由Schlumberger工程师提出,后来其他公司如Bull和Gemplus,参加到Schlumberger中来,形成Java Card Forum[1]。最后Sun公司加入,并和其他智能卡厂商一起开发出Java Card规范,目前最新的规范版本是Java Card 3.0.5。

与传统智能卡产品相比,Java智能卡具备平台无关性、支持一卡多用和重用、灵活性、安全性等优势,在移动通信、金融证券、交通运输、身份识别等领域具有广泛的应用[1]。目前,国家在大力推进智慧城市和物联网建设,SIM卡、银行卡、交通卡、社保卡等逐步更换为智能卡产品,Java智能卡在上述产品中占据较大的市场份额。

Java智能卡在设计时充分考虑了应用环境的安全性,采用了CAP校验、原子性和Applet防火墙等多种安全机制[2],其中Applet防火墙作为不同Applet程序之间进行数据隔离的唯一手段,其安全性关系到整个Java智能卡的安全。

目前针对Java智能卡的研究中,主要集中于两个方面。一是针对Java智能卡的字节码校验、交易机制以及算法等功能提出新的实现方法或者框架,如Massimiliano Zilli等提出一种轻量级的Java卡压缩算法[3];Dawei Zhang、Zhen Han和Wei Jin基于对象本地化提出一种优化的交易机制[4]。另一方面是针对特定Java智能卡及Applet防火墙中存在的某些漏洞进行脆弱性分析,比如Jip Hogenboom和Wojciech Mostowski提出的利用类型混淆技术(Type Confusion)对某种类型Java智能卡进行的内存读写攻击[5];以及Michael Lackner、Reinhard Berlach等针对类型混淆和缓冲区溢出攻击提出合并方式的解决措施[6]。

上述分析方法往往缺少系统性的手段,较少关注产品的实现方式是否与规范一致。而现今针对传统安全产品和服务的脆弱性分析往往是建立安全知识库,及时发布脆弱性漏洞和修补措施,智能卡产品亦是如此。

本文从一致性评估、安全性评估等角度对Applet防火墙的整体安全进行评估,并结合目前已有的实现方法,提出系统性的安全评估技术。

一致性评估主要是评估目标对象Applet防火墙的实现方法与Java智能卡规范中的要求是否一致,特别是针对对象异常和数据边界的处理方式,实现不当容易造成数据泄露[7]。Applet防火墙实现的主要内容是不同Applet间的数据共享机制,因此Java智能卡支持的数据共享方式是一致性评估的重点。

安全性评估主要是通过收集Java智能卡以及Applet防火墙的攻击防护方法,建立攻击知识库,并形成测试工具和方法集合,对评估对象进行单独或者组合攻击,以此衡量产品的安全性和健壮性[8]。

2 Applet防火墙

由于Java智能卡支持多应用,即允许多个Applet同时存在于同一智能卡中,因此Java智能卡平台需要提供一种机制将应用相互隔离,即保证某一Applet不能随意访问其他Applet的对象或域。Java智能卡防火墙的主要功能是对不同Applet程序之间的内存空间进行隔离和访问控制[1]。默认情况下,一个Applet程序不能访问其他Applet程序的方法、属性,即便方法和属性是Public属性[9]。

但是,由于业务的需要,部分Applet程序需要调用其他程序的方法和数据,比如支付Applet程序,在支付环节发送验证码验证用户身份时,需要调用短信Applet程序。Applet防火墙提供一套机制,可用于不同Applet程序之间的数据共享。提供共享服务的Applet程序通过继承指定接口程序,可为其它Applet程序提供数据。如果出现未授权的访问请求,JCRE会抛出Security Exception异常。

3 Applet防火墙安全评估

3.1 一致性评估

一致性评估是安全性评估、性能评估等其他测试评估的基础,类似于传统系统的扫描测试,一致性评估有利于发现Applet防火墙实现中的漏洞,进而为后续攻击提供切入点。与传统网络协议一致性评估不同的是,由于Applet防火墙作为Java智能卡COS的系统组件,评估的主要方法是安装测试Applet套件到智能卡上,通过Applet的输出结果来测试系统组件的实现是否与Java智能卡规范要求一致,这种测试方法实际上是一种灰盒测试。由此可知一致性测试的重点和难点是设计完备的测试Applet套件。

由于评估方法的不同,传统网络协议一致性测试套件均无法应用于Java智能卡,但是在设计和实现方法上却有共同之处,如应支持自动化执行和有效的结果展示方法等。针对Applet防火墙,本文提出可在Java智能卡集中开发环境的基础上,利用完备的Applet防火墙测试套件,并提供自动化编译和执行方法,最后通过界面输出测试结果,如图1所示。

Applet防火墙的主要功能是支持不同Applet间以及Applet同JCRE间的数据交互。具体来说,这些机制包括JCRE上下文及其访问权限、全局数组、入口点对象、共享接口及对象共享。因此,针对Applet防火墙的一致性评估主要是评估几种不同的数据共享方式与Java智能卡规范的要求是否一致。

3.1.1 全局数组

在Java智能卡中,有时一些数据需要被所有的Applet和JCRE执行上下文共享,为此引入了全局数组。防火墙允许JCRE指定基本数组为全局,此后数组的公共域即可被任何执行上下文所访问。当前Java智能卡规范中定义的全局数组只有APDU缓冲区数组和被当做Install方式输入参数的b Array数组[9]。

在对Java卡全局数组进行安全评估时,可针对APDU缓冲区数组和b Array数组设计测试脚本,对目标对象的异常处理进行测试,评估是否存在处理不一致的情况或者数据泄露的风险。如apdu.get Buffer()方法为JCRE调用返回APDU缓冲区数组,如果当前执行上下文为指定Applet上下文,根据Java智能卡规范,赋值给其局部变量数组实例值是不允许的,尝试赋值时,会抛出Security Exception异常。

3.1.2 入口点对象

JCRE可以访问任何Applet的执行上下文,但是反过来,Applet不能任意访问JCRE,但是有时候需要调用JCRE的系统服务。Applet智能卡引入JCRE入口点对象来完成此访问。指定的Applet对象实例通过访问JCRE入口点对象的公用方法来完成系统调用。Java智能卡定义了临时JCRE入口点对象和永久JCRE入口点对象[10]。

在对Java智能卡入口点对象进行安全评估时,可针对入口点对象单独或组合设计测试脚本,对目标对象的异常处理进行测试。如apdu为临时JCRE入口点对象,根据Applet防火墙规范的要求,临时JCRE入口点对象的公用方法可被任何执行上下文所调用,但是出于安全方面的考虑,临时JCRE对象入口点对象引用不能被存入任何类变量、实例变量和数组。

另外,对于JCRE临时接入点对象,如果不在JCRE执行上下文中,根据Applet防火墙规范的要求,可以对其进行格式检查和赋值操作,不会抛出异常。

3.1.3 共享接口及对象共享

Applet能够访问不同Package中声明的共享方法,提供共享方法的服务Applet需要定义继承Javacard.framework.Shareable的接口,并在指定的类中实现该接口[10]。对共享接口及对象共享进行一致性评估,主要是根据Applet防火墙规范的要求,对不同包中共享接口、共享对象的访问权限方法进行遍历,通过观察防火墙抛出异常的方式或者不抛出异常,来评估与Applet防火墙规范要求的匹配程度。

另外,Java智能卡的规范存在多个版本,在Java智能卡共享机制执行动态方法链接时,如果Client和Server使用不同版本的共享接口,有可能导致类型混淆(Type Confusion),因此针对特定的Java卡,可设计不同版本类型的共享程序,以此评估目标对象的一致性。

在对Applet防火墙进行一致性评估时,可以同健壮性评估结合在一起组合测试,即通过在上述正常测试脚本的基础上,增加超长字符、乱码、恶意Applet等,验证是否出现敏感信息的泄漏。

本文选取上海华虹公司的Java智能卡芯片,利用Java智能卡一致性评估平台对Applet共享方法进行验证评估,如下为全局数组实例的验证结果,通过在被测芯片上安装测试Applet组件,并发送CLA指令,通过Applet的响应结果来验证Applet防火墙的处理是否正确。

3.2 安全性评估

针对信息安全产品或者信息系统进行安全评估,除产品功能可按照相关国际标准或者国家标准进行测评,安全性评估及脆弱性评估由于各个机构的资源、成本等因素限制,测试结果往往参差不齐,另外零日漏洞以及新攻击方法的出现往往对Java智能卡的安全造成严重影响,需要及时响应处理。

目前常见的针对Java智能卡以及Applet防火墙的攻击方法,主要包括信息收集、类型篡改、兼容性攻击以及密钥攻击等,各种攻击方法的最终目的是篡改或者获取Applet中的敏感数据。Applet防火墙实现不当可能导致上述攻击方法被成功执行,造成Applet中的敏感信息泄露给其他Applet。

本文提出建立Applet防火墙安全性测试平台,通过利用已知的针对智能卡、Java智能卡以及Applet防火墙的攻击技术,形成攻击测试知识库,知识库可根据需要进行动态更新,并可形成攻击工具集合,以便提高攻击效率。同时,收集Applet防火墙的相关标准、研究报告以及其他信息,为知识库提供数据支撑。该测试平台有利于全面、系统地对Applet防火墙的安全性进行评估;并且通过分析已有研究成果及攻击方法,可为标准制定、攻击更新提供平台支撑。

3.2.1 信息收集

传统的攻击方法第一步总是信息收集,对于可开放下载应用的Java智能卡来说,向卡上装载一个带有恶意代码的应用并运行它,虽然普通的攻击行为会被Java智能卡拒绝,但通过收集拒绝或者报错信息,仍可完成加密算法遍历、统计已有应用等信息收集。完成这项工作可为之后的漏洞攻击做铺垫。另外,通过阅读生产厂商提供的开放文档等公开信息,也可进一步获取信息[11]。

3.2.2 类型篡改

由于Java智能卡支持多Applet应用,为了防止恶意开发者上传攻击性Applet应用,Java卡提供了CAP文件字节码校验功能。CAP文件字节码校验划分为卡上校验和卡下校验,主要对CAP文件和EXP文件的合法性进行校验,具体检查对象包括头文件、所有类文件。由于其转换和下载到卡内的时间并不连续,因此攻击者可以通过CFM(Cap File Manipulator)工具进行CAP文件篡改,从而可以实现将恶意应用程序加载到Java卡中[12]。

如图4所示,共享接口的公共方法的输入参数是byte[4],通过类型篡改,使输入参数修改为short[4],导致客户端Applet可访问的空间扩大一倍,达到读取内存空间的目的。

尽管Java Card 3.0的VM标准中,强制规定实现卡内字节码校验,这使得之前所有基于CAP文件篡改的逻辑篡改都将失效。但是,一方面,市面上仍然存在大量没有采用最新标准的Java卡,因此此漏洞仍然存在;另一方面,即便是采用最新标准的Java智能卡,如果事务程序回退机制存在Bug,仍然可以利用此漏洞。

3.2.3 兼容性攻击

目前Java卡广泛应用于移动通信、银行金融、公共交通等领域,每个领域均有自己定义的规范标准,同时,每个标准或者标准内部也有子版本更新,版本的兼容性对于基础Applet程序或者基础库至关重要。如果不同版本之间任意滥用,有可能导致意想不到的结果。

如图5所示,Applet Package在CAP文件中实现具体的方法,并且在EXP文件中进行声明;Applet通过EXP文件中的声明调用相应方法。EXP文件是Applet和Package的链接,由于EXP文件不会部署到卡上,这就要求输入参数和返回值类型必须一致。不兼容性可能导致数据的泄漏以及功能异常。

3.2.4混合攻击

目前Java智能卡产品均采用了多种安全加固机制,导致之前的逻辑攻击技术,如类型篡改、兼容性攻击等失效。对于这种情况,我们可以结合物理攻击、旁路攻击、逻辑篡改等智能卡攻击技术,修改或者监听程序处理逻辑,特别是对于Applet间数据交互过程和Applet装载校验过程,由于涉及到不同业务应用,可能引起数据泄露。

比如Applet程序经过编译、连接形成CAP安装文件后,我们利用特殊工具增加类型篡改等恶意代码,在进行卡上校验时,由于最新Java智能卡均采用证书签名等加固校验技术,正常情况下无法通过校验。这里我们可以利用智能卡物理攻击和旁路攻击技术,跟踪并确定CAP校验判定的位置,使指定位置的校验判定结果反转,从而使恶意程序安装到Java智能卡上,从而为进一步的攻击做好铺垫。

需要说明的是,物理攻击技术非常有效,但是成本较高,需要昂贵的仪器支撑;同时,操作较为复杂,需要掌握物理、化学和计算机等多种学科知识。

4 结束语

针对Java智能卡以及Applet防火墙的攻击手段和方法种类繁多,如何全面、系统的评价Java智能卡以及Applet防火墙的安全是一个亟待解决的问题。本文从一致性、安全性评估角度对Applet防火墙的安全性进行脆弱性评估,并借鉴传统信息安全产品的经验,提出建立攻击知识库和测试工具箱,收集常见的Java智能卡攻击方法,形成较为完备的评估集合。

目前相关的厂商和研究者也开发了相应的工具和技术,协助进行安全评估。比如Riscure公司开发的JCwork Bench平台能够依据不同的智能卡标准对Java卡平台的安全功能进行一致性评估;另外,针对类型篡改攻击,目前很多研究是通过卡上攻击来检验Java卡平台的安全,Pietro Ferrara提出了一种Java卡Applet防火墙静态分析工具,在卡外就可判断Applet防火墙的安全性[13]。

智能建筑防火 篇3

火灾是建筑物的主要安全威胁之一。随着建筑体量的不断增大、智能化的不断深入,智能建筑防火工作的重要性正日益提高。在各种类型的智能建筑,尤其是在越来越常见的高层建筑中,各种弱电系统关系紧密。这一方面大大扩展了智能建筑防火工作的外延;另一方面也给智能建筑防火的设计设定了高起点。而对于某些特种建筑,如数据中心、图书馆、医院来说,防火工作的重要性还要更高。一方面,这些建筑一旦发生火灾,不但会造成比一般智能建筑火灾更为严重的损失,还可能带来一系列恶劣的连锁影响;另一方面,这些建筑本身在功能、应用及承载设备上的特殊性也对防火提出了各种各样的特殊要求——从另一个角度上来说,也正是这些需求促进了智能建筑防火相关技术的不断发展。

智能建筑防火涉及报警和消防两方面的内容,这两方面内容都获得了业内人士充分的重视,不断有新的技术、产品和应用形式出现。火灾报警的及时性、准确率和与智能建筑各弱电系统的联动,以及灭火的效率和对环境的影响,都在得到持续的优化。本期我刊选取《浅谈消防安全新技术及发展趋势》、《国家图书馆建筑环境与消防保障系统》、《某高层建筑火灾自动报警系统设计》三篇文章,从技术及应用的角度介绍智能建筑防火的相关内容。

智能防火墙技术 篇4

今天, 高级威胁和0day攻击正变得肆无忌惮, 因为他们能高度规避检测, 传统的基于特征的防护渐渐力不从心, 安全防护思路和架构的转变已是大势所趋, 从基于已知威胁的防御转变为基于未知风险的预防, 这一转变需要更加智能的安全思路才能实现。

国际权威分析机构Gartner认为, 今天的安全技术正在经历着一个根本的变革 (paradigm shift) , 从被动的以威胁为核心的技术向主动的以风险为核心的方向转变。安全管理也从一个花钱耗力的成本中心变成一个安全意识的教育中心。

传统基于威胁的安全模式失效

在IT应用迅速变革的今天, 一分钟之内可以发生多少事情?在QQ空间上有14万图片被下载, 在新浪微博上有9.54万次微博被发出, 在淘宝网上有8300次交易在进行, 在朋友网上有6000对朋友相识。

然而, 令人担忧的是, 随之而来的危机无处不在。今年5月, 雅虎2200万用户的信息被窃取, 4月, 有一个恶意病毒让一家石油公司的记录全部消除, 在花旗银行已经发生过36万帐户被窃取。

今天的种种攻击事件, 越来越多地与隐蔽的、持续的高级威胁 (APT) 相关, 它们对攻击目标造成损失是令人难以承受的。山石网科市场副总裁张凌龄表示, 随着这一类攻击的扩散, 传统的基于威胁的安全模式不再有效。

在传统的基于威胁的安全模式下, 安全系统是先确定需要防范的威胁类型再有针对性地去防范:对病毒和木马文件传输, 有防病毒解决方案;对基于网络的应用层攻击, 有IDS/IPS解决方案方案;针对新的攻击类型, 则通过向检测规则数据库中添加IPS规则。

“然而, 面对由APT威胁和0day攻击带来的未知风险, 你根本无从先行判断攻击是什么, 就更别谈对其进行防御。”张凌龄表示, 这样一来, 从流量中查找行为特征来判断攻击发生与否的新技术渐行渐近, 安全模式也开始从被动的、基于威胁的模式 (仅关注威胁, 处理已知威胁) 转向主动的、基于风险的模式 (将资产、威胁及漏洞都纳入考虑范围, 能处理未知威胁) 。

未知威胁检测需求逐渐升温

在这种以风险管控为核心的安全模式中, 实时监控和早期检测变得非常的重要, 安全界需要更加智能的新技术, 能够在网络正常运行时也能实时检测到变化, 从这些变化中发现潜在威胁并在威胁真正发生之前阻止它。

“这就需要一种技术, 能够在正常的网络活动中发现‘变化’, 找到攻击或者入侵的早期征兆, 从而实现我们中国人所谓的‘防范于未然’。”山石网科产品副总裁王钟表示。

这样的观点得到业界认可。Gartner研究总监张毅指出。传统基于威胁的防范技术正在向基于风险的防范技术转变, 智能安全将成为未来网络安全领域的新主题:互联网是企业运营甚至国家运转的重要平台之一, 企业的网络安全环境面临严重考验, 层出不穷的各种威胁给网络使用者带来困扰, 企业无法承受因安全问题带来的巨大损失。

“如何提前预知安全威胁存在, 如何在损失发生之前控制安全威胁, 是企业用户重点关注的问题, 预计未来将有十分广阔的市场。”张毅表示。

防火墙产品通常是企业保证网络安全的措施之一, 通过核心的过滤技术, 对已知的危险进行防范。但依据上述分析, 随着企业对网络安全要求的提高, 提前防范风险已经成为一种趋势, 也就是要求下一代防火墙在危险真正发生前就要有所预警, 具备“智能”功能。

众所周知, 防火墙产品从上世纪九十年代至今, 历经系统架构和软件形态的多次革新, 从最早的基于包过滤的防火墙到状态监测防火墙, 到今天下一代防火墙 (NGFW) 的崛起。

那么, 下一代防火墙该如何具备“智能”功能?

打造下一代“智能”防火墙

在王钟看来, 下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上, 对其进行长期监控;分别以全网健康指数对网络健康状态打分;以行为信誉指数对用户及服务器状态打分, 然后对“高危”人员或者“高危”服务器实行相应的预警或者有效的控制。

以对用户行为信誉度打分为例, 比如说发现某一用户有大量非法下载, 使用网络扫描工具, 并且多次重试服务器密码等行为, 这些关联的事件会影响该用户在网络中的信誉分数。他的这些行为会引起管理员的警觉。

王钟认为, 下一代智能防火墙是基于风险的安全解决方案, 优于增强型下一代防火墙, 通过持续监控、收集和分析流量及可用性数据, 主动查找可能影响网络运行的异常行为和潜在的网络问题。基于信誉的访问控制将健康状态和风险级别与访问级别关联起来, 通过感知到的风险动态调整访问级别, 可以降低企业网络和服务的运营风险。

“我们以前瞻性的思维把握住了这个新主题。”张凌龄表示, 山石网科结合国内企业级用户的安全需求, 把智能安全与下一代防火墙完美结合, 成功在今年6月份发布了下一代智能防火墙T5060, 将“智能”与“防火墙”相结合。

据王钟介绍, 下一代智能防火墙的技术愿景要真正实现需分为三个阶段完成:第一阶段以实现全网的健康状态的检测和监控为核心;第二阶段, 实现对用户、服务器及服务的行为信誉监控, 并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段, 将在监控和报告的基础上, 实现动态的策略调整和控制。

智能楼宇防火报警联动系统的设计 篇5

1 火灾自动报警系统的简介

火灾自动报警系统是指火灾初期其将燃烧产生的烟雾、光辐射和热量等物理量, 通过感光、感温和感烟等火灾探测器变成电信号, 并将电信号传送给火灾报警控制器, 同时显示出火灾发生的位置, 记录火灾发生的时间。火灾自动报警系统的工作原理如图1所示。

2 火灾自动报警系统的构成

火灾自动报警系统是由触发器件、火灾报警装置及具有其他辅助功能的装置组成的系统。其中, 触发器件主要包括火灾探测器和手动火灾报警按钮。火灾探测器是火灾自动报警系统中的传感部分, 是组成各种火灾自动报警系统的重要组件, 能对火灾参数 (如烟、温度、火焰辐射、气体浓度等) 及时响应, 并自动产生火灾报警信号, 或向控制和指示设备发出现场火灾状态信号。

3 火灾自动报警联动系统设计

3.1 智能建筑情况和系统的选择

考虑到该系统的设计需要, 以某高校的勤学楼为例, 勤学楼为学生上课的主教学楼, 教师、学生来往频繁, 因此要做好防火保护工作。勤学楼共六层, 第一层高约5m, 二层至六层每层高约4m, 共计25m。每层建筑约1500m2。根据《高层民用建筑防火设计规范》, 该勤学楼为二类建筑, 耐火等级为二级。根据该建筑的实际情况, 每层应设置一台区域显示器, 作为区域报警器使用, 共六台区域显示器和一台集中报警控制器及相关联动控制装置。

3.2 报警区域和探测区域的划分

勤学楼共六层, 依据《火灾自动报警系统设计规范》将其界定为二级保护对象, 在划分防火分区时, 应满足每个防火分区允许最大建筑面积不超过1500m2的规定。将火灾自动报警器系统警戒的范围按照防火分区或楼层划分的报警单元称为报警区域。一个报警区域是由一个或同层相邻几个防火分区组成。而探测区域是指将报警区域按照探测火灾的部位划分的单元。探测区域可以是一个探测器所保护的区域, 也可以是几个探测器共同保护的区域。由于勤学楼是二级保护对象, 按规范规定, 可以把勤学楼的探测区域划分如下: (1) 勤学楼主楼层均为面积相差不大的教室和教师休息室, 因此, 每个楼层每个教师需要单独划分一个探测区域; (2) 敞楼梯间每隔2~3层划分一个探测区域, 并设置一个火灾探测器; (3) 前室和走道 (包括消防电梯前室、防烟楼梯间前室、消防电梯与防烟楼梯间合用的前室) 分别单独划分探测区域。

3.3 火灾探测器的选择和布置

火灾探测器, 是以物质燃烧过程产生的现象为依据, 对探测区域内某一点或某一连续线路周围的火灾参数敏感响应的触发装置。勤学楼是学生的公共场所, 不仅有大量的学生经常进出学习, 而且教学楼内设有大量的桌椅、电脑办公设备和书本文件等学习资料。在该状态下如果发生火灾, 必定会产生大量烟雾。因此, 应以感烟探测装置为主。本次设计在以性价比高的前提下, 尽量最求最高的系统可靠性、最低的误报率。而散射式光感烟探测器利用红外光散射的原理对烟雾进行浓度探测, 不仅对环境污染小, 而且误报率较低, 是勤学楼火灾探测器的最佳选择。散射式光电感烟探测器原理图如图2所示。

根据《火灾自动报警系统设计规范》的规定, 对勤学楼的火灾探测器进行如下布置和安排:参考勤学楼平面图, 主楼区六层各教室, 按座位数量分别有138座、125座、75座和62座四类教室和教师休息室。其中, 138座和125座教室按面积计算安装两只探测器就可满足要求, 75座和62座教室按面积计算安装一只探测器就可满足要求, 各层楼梯间和教师休息室同样均设置一只火灾探测器。最后考虑走廊, 根据计算安装6只探测器, 均采用居中平均布置, 并保证探测器周围0.5m内没有遮挡物。

3.4 手动报警按钮设置

手动报警按钮具有在紧急状况下人工手动通报火灾情况的功能, 是火灾报警系统中的手动触发装置。

据调查了解到的勤学楼建筑的实际情况, 最合理的设计是在每层分别设置6只手动报警按钮, 其底边距地高度在1.3~1.5m为宜, 且平均分布在走廊的墙上。根据《火灾自动报警系统规范》的规定, 手动报警按钮应保证最近的一个火灾手动报警按钮到任何位置的防火分区的距离在30m以内。

3.5 消防联动的设置

3.5.1 消防联动系统的组成

消防联动控制系统作为火灾报警控制系统的最后一个部分, 包含消防、排烟控制系统, 消防给水控制系统和火灾紧急广播、通信系统。其中, 消防、排烟控制系统包括防火门、防火卷帘的设计和排烟阀、排烟风机的设计;消防给水控制系统包括消火栓给水系统和自动喷水灭火系统。现着重介绍联动控制中防火卷帘门的控制设计。

3.5.2 防火卷帘门的控制

建筑物内的敞开电梯厅及一些公共建筑因面积过大, 超过防火分区最大允许的面积, 应设置防火卷帘门。防火卷帘门一般用钢板等金属材料或用非金属复合防火材料制作。

防火卷帘门平时处于收卷 (开启) 状态。一般情况下, 当火灾确认后, 防火卷帘门应采取两次控制下落方式, 第一次由感烟探测器控制下落距地1.5m处停止;第二次控制下落直到地面, 并及时报警, 将动作信号送出。在消防工程的应用中, 防火卷帘门通常与消防控制系统联动, 在操作中, 有两种控制方式:手动控制和自动控制。

(1) 手动控制。在消防控制中心设手动控制盘, 手动控制盘上设有控制防火卷帘门的卷放按钮和状态指示灯, 当火灾确认后, 操作人员通过操作按钮来实现控制, 不受感烟探测器的影响。

(2) 自动报警控制。出现火灾后, 感烟探测器会将报警信号送入火灾自动报警控制器, 通过控制模块和返信模块实现防火卷帘门的卷放和状态接受。

图3为防火卷帘门的电气控制电路和卷帘电机主电路图。原理如下:当火灾确认后, 消防控制中心或区域报警控制器发出信号, 使触头SM-1闭合, K1得电, K1-1闭合, KM1得电, 使下部控制电路获得直流电, 于是电动机旋转;防火卷帘门下降至距地面约1.5m处;同时K1-3闭合, K5得电;K1-5闭合, 警铃HA得电鸣响;KM1闭合, K5-3闭合, 信号灯HL得电点亮;在下部控制电路中, 触动行程开关SQ1闭合, 使K3得电, 触头K3-2打开, KM1失电, 电动机停转。当火势进一步发展时, 消防控制中心或区域控制器发出信号, 使触头SG闭合, K2得电, K2-1闭合, 使KM1再次得电, 于是电动机再次启动, 将防火卷帘下降至地面, 且触动下限位行程SQ2, 使K4得电, K4-2断开, KM1再次失电, 电动机停转。火灾扑救后, 在现场就地按动按钮SB2, KM2得电, 电动机得电, 反向旋转, 使防火卷帘门上升, 直到全部上升为止。在电路中, 按钮SB1是手动下降按钮, 按下SB1, KM1得电, 电动机旋转, 防火卷帘下降。

3.5.3 防火卷帘门的设计

图4即为防火卷帘门的安装设计图。通过电控盒和其他电动装备, 可实现防火卷帘门的电动启动, 通过手控盒和图3中的手动电气控制, 可手动实现卷帘门的上升和下降。

4 结论

随着我国经济社会的快速发展, 各种致火因素不断增加, 楼宇重特大火灾也时有发生, 给人们带来了巨大的灾难和损失。因此, 一套健全的楼宇防火报警联动系统在现代生活中显得尤为重要。本系统采用散射式光电感烟传感器和手动火灾报警按钮为触发器件, 将感应的火灾烟雾信号转变为数字模拟信号, 并传递给火灾报警控制器, 从而报警鸣笛, 驱散人群后, 实现相应的联动控制, 如自动喷水灭火和启动防火卷帘门等设备, 以一系列智能化的设备实现楼宇防火报警联动的目的, 可广泛运用于各智能化建筑。

摘要:随着计算机技术和自动控制技术的迅猛发展, 智能建筑应运而生。智能楼宇防火报警联动技术作为智能建筑的重要组成部分, 是现代高科技技术的结晶。该设计系统采用火灾探测报警、火灾信息传输和报警消防联动控制等自动化技术, 以某高校教学楼为分析对象, 采用区域报警系统和集中报警系统, 选择相应的火灾探测器和火灾报警控制器等相关部件, 详细设计了联动部分的防火卷帘门的电气控制和安装, 以达到楼宇消防报警自动化的效果。

智能化住宅防盗防火报警系统 篇6

1、系统的起源。

伴随着经济的发展, 中国关闭百年的国门逐步开放, 特别是自改革开放以来, 中国的大城市开始了大发展并引来许多外地人口, 然而外地人口的大量涌入不仅促进了城市的经济的发展, 同时也给城市带来了大量的治安问题。失窃、入室抢劫等案件时有发生, 甚至在某些郊区情况尤其严重, 大量恶劣性事件的发生引起了公安部门以及社会各界人士的重点关注。为了防止这些恶劣性事件的再次发生, 居民们自发开始安装铁门, 甚至为小区安装带有尖锐性物质的铁栏, 但即便如此, 这类事情依旧在不停地发生, 即使部分小区开始雇佣保安进行巡逻甚至组织陌生人进入小区也并不能完全阻止这种情况的发生。而且在经过一段时间的经历后, 人们发现这些方法不仅无法阻止这些恶劣情况的发生, 而且一旦发生危险的事情, 还容易将救援人员拦阻在外, 不利于救援人员展开救助行动。而且从城市的美观来看, 此举让城市显得不雅观, 于是在国家的推动和人民的强烈要求下, 智能化报警系统开始出现在人们的视线中。该系统出现在智能化住宅迅猛发展的年代, 它是根据客户保证安全的要求而设计出的报警系统。该系统通过传感器检测以及红外线监视还有温度监视器从而在根本上保证人们的人身以及财产安全。

2、目前发展的情况。

智能化住宅自面世以来深受人们的喜爱并获得迅速发展, 而智能小区则是在此基础上扩展并延伸出来的。智能化小区的中心就是保证人们财产以及人身安全。不过智能小区最明显的弊端就是邻里之间的关系并不亲密, 现代化的居住格局将人们如同小鸟一般锁在屋子里, 邻里之间来往也不再密切, 使得各家各户家庭隐私保密性越来越强, 但是封闭性也越来越强, 开放性也越来越弱, 这也是导致社会上人情味儿越来越淡的重要原因之一。不过, 为了保证小区的安全性, 小区的安防系统和智能系统是密不可分的。不过值得我们注意的是智能化设备的成本价格不菲。考虑到这方面的原因, 居民的住宅小区周围因布满检测系统, 与报警系统紧密联系, 构成综合防范系统。如今, 在当今社会, 各国都致力于对防火防盗系统研究, 以此试图降低该系统的成本却增加该系统的安全性。

二、系统设计方案

1、智能报警系统的总体构成。

智能化报警系统的开发设计方案最初是借鉴与参照国外的设计方案, 然后结合我国的实际国情, 吸取其他各国成功与失败的经验教训以及社会各方面的协调, 通过检测系统与报警系统的紧密结合从而提出来的。智能化住宅防火防盗系统是一种新型的报警系统, 它在以前系统的基础上加以研究和发展, 利用红外线等高科技对住宅周围的环境进行监视, 该系统可以将探测与通讯结合, 当探测系统监测到任何异常情况时就可以迅速通过通讯系统将异常情况反映到监控室, 及时阻止不良情况的发生, 保证人们安全。根据科学数据显示, 该系统是由三大科学技术组成的防火防盗系统, 即电子探测、智能控制和电话通讯技术。防火防盗系统总体是由探测器和报警器还有通讯器三个模块构成的。该系统可以用不同类型检测器对小区各个地方进行检测, 通过不同角度的捕捉检测是否有有异情况的发生, 而报警系统则通过各个检测系统收集数据并对数据进行分析, 当出现异常情况的时候, 通过通讯系统自动报警并反馈到总控制室。

2、报警系统的功能及工作过程。

笔者将根据上文的分析总结出智能化住宅防火防盗系统的特点与工作过程。首先, 系统为了使小区的报警系统能够安全并迅速的将情况反应给控制室并进行分析后传达给中央控制器特地采用全新模板化设计。

三、系统硬件设计

1、防盗探测器电路设计。

智能化住宅防火防盗报警系统最主要依靠的是它的电路设计, 其中最主要的是微波探测器的电路设计。什么是微波探测器呢?微博探测器是一种靠频率差异以及探测器的角度还有物体的移动速度的探测器。

2、防火探测器电路设计。

最后一种探测器则是我们熟知的温度探测器, 这种探测器通过温度检测周围是否有人活动或是否温度情况的出现从而阻止异常情况的出现。这种探测器的原理是通过温度的升降, 将其变化变成数字, 让温度信号直接变成数字体现出信息, 并且这种检测器采用的是计生电源供电方式, 保证在有效时间内提供足够的电流使检测器顺利完成工作。另外还可以采用一个MOSFET管和MCU的I/O口来上拉总线以确保该检测系统不会临时崩坏, 然后通过另一系取得温度值并对温度值进行控制。

参考文献

[1]王芳, 马幼军, 蒋国平.智能化住宅防盗防火报警系统设计[J].传感器技术, 2002, 10:25-27+33.

[2]汪振华.智能化住宅防盗防火报警系统设计与实现[D].电子科技大学, 2011.

[3]周峰.防火防盗报警管理系统的设计与实现[D].电子科技大学, 2013.

浅析防火墙技术 篇7

关键词:防火墙,防火墙技术原理,网络安全

1 引言

互联网络技术的发展和使用的迅速普及给我们的工作、学习和生活带来了巨大的改变,特别是我们获得外部信息,共享资源不再受到时间和空间的约束。但随着网络技术的发展,因特网的资源共享与开放模式,使得网络安全问题日益突出。因而,网络的安全成为人们最为关注的问题。在各种网络安全工具中,最成熟、最早产品化的网络安全机制就是防火墙技术。

2 防火墙概述

2.1 什么是防火墙技术

防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义。防火墙的英文名为“Fire Wall”,它是目前一种最重要的网络防护设备。从专业角度讲,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。(一般防火墙示意图如图1所示)

2.2 防火墙技术原理

防火墙实质上是一种隔离控制技术,其核心思想是在安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软、硬件兼而有之。

2.2.1 包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。(包过滤防火墙工作原理图如图2所示)

2.2.2 应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(应用网关防火墙工作原理图如图3所示)

2.2.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(状态检测防火墙工作原理图如图4所示)

2.2.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

2.3 防火墙功能

2.3.1 防火墙可以作为网络安全策略的焦点

把防火墙作为网络通信的阻塞点,所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。

2.3.2 防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。

2.3.3 防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

2.4 防火墙技术的发展

传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着网络安全的发展,防火墙技术也得到了发展,综观防火墙产品近年内的发展,可将其分为四个阶段。

第一代防火墙:基于路由器的防火墙。由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代防火墙:用户化的防火墙。这一阶段的防火墙技术主要特征是:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可自己动手构造防火墙。与第一代防火墙相比,安全性提高而价格降低了。

第三代防火墙:建立在通用操作系统上的防火墙。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。它以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。

第四代防火墙:具有安全操作系统的防火墙。这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。

3 防火墙在网络安全中的应用

随着计算机网络在我国的迅速发展,特别是与国际计算机网络互连之后,网络系统的安全问题越来越受到重视。防火墙是为保护计算机系统安全运行而常常采用的一种技术措施,在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。主要目的是保护一个网络不受来自另一个网络的攻击。通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。

对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的放行,不符合的拒之门外。防火墙是用来实现网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。

4 结束语

网络安全技术是一个十分复杂的系统工程。随着Internet的迅猛发展和网络攻击手段的不断变化,防火墙技术值得研究的课题仍很多,如防火墙怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好地防护网络的安全。

参考文献

[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安教育学院学报,2006,19[2].

[2]梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1990,[6].

[3]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[4]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,40[9]:147-149.

[5]魏洪波,王海燕.基于Internet的防火墙原理及设计[J].中国数据通信,2002,[8]:8-11.

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:66553826@qq.com

上一篇:防火墙状态检测范文 下一篇:网络防火墙技术简介