公務(wù)員期刊網(wǎng) 精選范文 防火墻技術(shù)論文范文

防火墻技術(shù)論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。

防火墻技術(shù)論文

第1篇:防火墻技術(shù)論文范文

1.1黑客攻擊的問題

因為校園網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來越高明,破壞程度同樣越來越嚴重,黑客攻擊校園網(wǎng)絡(luò),有著時間長、范圍廣、損失大以及處理難的特點,校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8],黑客很多時候使用專業(yè)工具攻擊校園挽留過,導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò),同時篡改校園網(wǎng)絡(luò)的主頁、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。

1.2內(nèi)部用戶的問題

現(xiàn)在學(xué)生對于網(wǎng)絡(luò)了解程度比較深,這就導(dǎo)致部分學(xué)生會在好奇心趨勢下,攻擊校園網(wǎng)絡(luò)系統(tǒng),從而給校園網(wǎng)絡(luò)的正常運行帶來不利影響,提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30%左右,大部分情況由學(xué)生好奇心而引起,同時學(xué)校對于學(xué)生的管理以及教育不夠重視,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。

2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用

2.1選擇合適的防火墻產(chǎn)品

最簡單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過濾路由器。為更好實現(xiàn)校園網(wǎng)絡(luò)的安全,很多時候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案,然后選擇合適的防火墻產(chǎn)品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設(shè)備,并且集成生產(chǎn)廠商防火墻軟件,功能上通過內(nèi)置安全軟件,并且使用強化甚至專屬的操作系統(tǒng),有著管理方便以及更換容易的特點,并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關(guān)系,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來加以選擇。

2.2使用服務(wù)器

服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān),這一網(wǎng)關(guān)運行服務(wù)軟件,可以實現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實現(xiàn)協(xié)同工作,所以提供應(yīng)用級的網(wǎng)關(guān)。客戶端往服務(wù)器發(fā)送請求,請求到達服務(wù)器,然后服務(wù)器在接收連接請求之后,進行身份認證以及訪問控制,要是客戶端確認服務(wù)器身份認證以及訪問控制,那么就代替客戶端發(fā)送請求。服務(wù)器在響應(yīng)之后,服務(wù)器則將數(shù)據(jù)反饋到客戶端。

2.3配置路由器防火墻

第2篇:防火墻技術(shù)論文范文

關(guān)鍵詞:網(wǎng)絡(luò);安全;防火墻

1 緒論

隨著國家的快速發(fā)展,社會的需求等諸多問題都體現(xiàn)了互聯(lián)網(wǎng)的重要性,各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡(luò)。致使學(xué)校網(wǎng)絡(luò)安全問題是我們急需要解決的問題。小到別人的電腦系統(tǒng)癱瘓、帳號被盜,大到學(xué)校重要的機密資料,財政資料,教務(wù)處的數(shù)據(jù)被非法查看修改等等。學(xué)校機房網(wǎng)絡(luò)安全也是一個很重要的地方。由于是公共型機房。對于公共機房的網(wǎng)絡(luò)安全問題,提出以下幾個方法去解決這類的一部分問題。

2 PC機

2.1 PC終端機。對于終端機來說,我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補丁。像360安全衛(wèi)士(省略/)是一款不錯的實用、功能強大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項,我們只要點擊掃描,把掃描到的系統(tǒng)漏洞,點擊下載安裝,并且都是自動安裝,安裝完就可以了。

2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件,從瑞星官方網(wǎng)站(省略/)下載,下載完,安裝簡體版就可以了。安裝完之后,就進行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環(huán)境中。也可以在【開始-運行】中輸入【sigverif】命令,檢查系統(tǒng)的文件有沒有簽名,沒有簽名的文件就有可能是被病毒感染了。可以上網(wǎng)查詢之后,進行刪除。

2.3 防火墻。打好系統(tǒng)漏洞補丁,安裝好殺毒軟件之后,就是安裝防火墻像瑞星防火墻,天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強大的防火墻軟件,它不僅僅能防病毒,還能防現(xiàn)在很是厲害的ARP病毒。

2.4 用戶設(shè)置。把Administrator超級用戶設(shè)置密碼,對不同的用戶進行用戶權(quán)限設(shè)置。

3 解決方案

3.1 防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動,保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計算機或其他特制地硬件設(shè)備。防火墻可以是獨立地系統(tǒng),也可以在一個進行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓撲結(jié)構(gòu):

①屏蔽路由器:又稱包過濾防火墻。

②雙穴主機:雙穴主機是包過濾網(wǎng)關(guān)的一種替代。

③主機過濾結(jié)構(gòu):這種結(jié)構(gòu)實際上是包過濾和的結(jié)合。

④屏蔽子網(wǎng)結(jié)構(gòu):這種防火墻是雙穴主機和被屏蔽主機的變形。

3.2 VPN技術(shù)。VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn),可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

3.3 網(wǎng)絡(luò)加密技術(shù)(Ipsec)。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機制可對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括:

①訪問控制;②無連接完整性;③數(shù)據(jù)起源認證;④抗重放攻擊;⑤機密性;⑥有限的數(shù)據(jù)流機密性。

3.4 身份認證。在一個更為開放的環(huán)境中,支持通過網(wǎng)絡(luò)與其他系統(tǒng)相連,就需要“調(diào)用每項服務(wù)時需要用戶證明身份,也需要這些服務(wù)器向客戶證明他們自己的身份?!钡牟呗詠肀Wo位于服務(wù)器中的用戶信息和資源。像數(shù)字簽名。

4會話控制與帶寬管理策略

4.1 會話數(shù)控制。 使用校園網(wǎng)出口防火墻,通過單用戶會話和流量控制功能進行相關(guān)管理。通過應(yīng)用防火墻設(shè)置新建連接閥值,可以對網(wǎng)絡(luò)中每個用戶會話連接數(shù)進行控制,當(dāng)閥值被觸動后,動態(tài)地將非法用戶添加到黑名單,直接將非法用戶連接阻斷,并且可以靈活的設(shè)置控制黑名單的有效時間。通過單用戶會話數(shù)限制,可以做到:當(dāng)校園網(wǎng)內(nèi)機器病毒爆發(fā)時,阻止大量數(shù)據(jù)包對外建立連接,耗費網(wǎng)絡(luò)資源;阻止黑客對網(wǎng)絡(luò)的掃描;阻止黑客進行DDOS攻擊。

5 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中,它主要關(guān)心的是確保無關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關(guān)心的對象是那些無權(quán)使用,但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題,以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網(wǎng)絡(luò)中的服務(wù),數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻,認證,加密技術(shù)等都是當(dāng)今常用的方法,本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決,可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻

[1] 雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社,2004.

第3篇:防火墻技術(shù)論文范文

關(guān)鍵詞:指紋系統(tǒng),安全防范,防御機制

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng),有其特定含義和應(yīng)用范疇,它積累信息為偵察破案提供線索,概括起來有四個方面的典型應(yīng)用:第一,指紋系統(tǒng)是為公安工作服務(wù)的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統(tǒng)是為偵察破案提供線索,為案件進展提供便利服務(wù)的。第三,指紋系統(tǒng)積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據(jù)。第四,指紋系統(tǒng)是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關(guān)信息。

二、指紋信息系統(tǒng)安全的主要問題

隨著網(wǎng)絡(luò)在公安工作各個方面的延伸,進入指紋系統(tǒng)的手段也越來越多,因此,指紋信息安全是目前指紋工作中面臨的一個重要問題。

1、物理安全問題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護。目前常見的不安全因素(安全威脅或安全風(fēng)險)包括兩大類:第一類是自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統(tǒng)掉電、“死機”等)。

2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問題

現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng),該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統(tǒng)的安全問題。非法用戶攻擊的主要方法有:口令攻擊、網(wǎng)絡(luò)監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計算機病毒威脅

計算機病毒將導(dǎo)致指紋系統(tǒng)癱瘓,系統(tǒng)程序和指紋數(shù)據(jù)嚴重破壞,使系統(tǒng)的效率和作用大大降低,系統(tǒng)的許多功能無法使用或不敢使用。雖然,至今還沒過出現(xiàn)災(zāi)難性的后果,但層出不窮的各種各樣的計算機病毒活躍在公安網(wǎng)的各個角落,令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數(shù)據(jù)進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現(xiàn),但會對計算機數(shù)據(jù)進行破壞,有的甚至?xí)茐挠嬎銠C的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒,它們根據(jù) Windows漏洞進行攻擊,電腦中毒后1分鐘重起。在重新啟動之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預(yù)防和清除計算機病毒是非常重要的,我們應(yīng)提高對計算機病毒的防范意識,不給病毒以可乘之機。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個人機系統(tǒng),需要多人參與工作,而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體,因此,要重視對各級系統(tǒng)操作人員進行系統(tǒng)安全的教育,做到專機專用,嚴禁操作人員進行工作以外的操作;下面就本人在實際工作中總結(jié)的一些經(jīng)驗,談一 談對指紋信息系統(tǒng)的維護與病毒的預(yù)防。

1、 對指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進行安全防護

(1)系統(tǒng)服務(wù)器安全:服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞,一旦服務(wù)器或硬盤有故障,輕者將導(dǎo)致系統(tǒng)的中斷,重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失,因此在服務(wù)器端,可以采用雙機熱備份+異機備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下,備份服務(wù)器自動在 30 秒 內(nèi)將所有服務(wù)接管過來,從而保證整個指紋系統(tǒng)不會因為服務(wù)器發(fā)生故障而影響到系統(tǒng)的正常運行,確保系統(tǒng) 24小時不間斷運行。在磁盤陣列柜,我們可安裝多塊服務(wù)器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發(fā)生故障時,直接用備份硬盤進行替換。

(2)異機數(shù)據(jù)備份:為防止單點故障(如磁盤陣列柜故障)的出現(xiàn),可以另設(shè)一個備份服務(wù)器為,并給它的服務(wù)設(shè)置一個定時任務(wù),在定置任務(wù)時,設(shè)定保存兩天的備份數(shù)據(jù),這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過程中出現(xiàn)故障時也能進行指紋數(shù)據(jù)的安全恢復(fù)。通過異機備份,即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時,也不會導(dǎo)致指紋信息的丟失,并可保證在1小時內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下,使損失降到最低。

(3)電路供應(yīng):中心機房電源盡量做到專線專供,同時采用UPS(不間斷電源),部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用,這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

(4)避雷系統(tǒng):由于通信設(shè)備尤其是裸露于墻體外的線路,易受雷擊等強電磁波影響而導(dǎo)致接口燒壞,為對整個系統(tǒng)進行防雷保護,分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。

(5)主機房的防盜、防火、防塵:主機房是系統(tǒng)中心,一旦遭到破壞將帶來不可估量的損失,可以安裝防盜門,或安排工作人員24小時值班。同時,由于服務(wù)器、交換機均屬于高精密儀器,對防塵要求很高,所以對主機房進行裝修時應(yīng)鋪上防靜電地板,準(zhǔn)備好(電火)滅火器,安裝上空調(diào), 以保證機房的恒溫,并派專人對主機房的衛(wèi)生、防塵等具體負責(zé)。論文大全。

(6)對移動存儲器,借出時要寫保護,借入時要先殺毒;

(7)不使用盜版或來歷不明的軟件,做到專機專用,在公安內(nèi)網(wǎng)的機器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用;

2 、 全方位的系統(tǒng)防御機制

我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預(yù)防措施如下:

(1)利用防病毒技術(shù)來阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失,采用多層的病毒防衛(wèi)體系。在每臺PC機上安裝單機版反病毒軟件,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件,并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責(zé)任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個指紋系統(tǒng)不受病毒的感染。

(2)應(yīng)用防火墻技術(shù)來控制訪問權(quán)限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后,系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進行了有效的隔離,所有來自外部的訪問請求都要通過防火墻的檢查,這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾,拒絕非法IP 地址,有效避免公安網(wǎng)上與指紋工作無關(guān)的主機的越權(quán)訪問;防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使非法用戶無機可乘;防火墻可以制定訪問策略,只有被授權(quán)的外部主機才可以訪問系統(tǒng)的有限IP地址,保證其它用戶只能訪問系統(tǒng)的必要資源,與指紋工作無關(guān)的操作將被拒絕;由于所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視對系統(tǒng)的訪問活動,并進行詳細的記錄,通過分析可以發(fā)現(xiàn)可疑的攻擊行為;防火墻可以進行地址轉(zhuǎn)換工作,使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu),使攻擊失去目標(biāo)。

(3)應(yīng)用入侵檢測技術(shù)及時發(fā)現(xiàn)攻擊苗頭。

入侵檢測系統(tǒng)是提供實時的入侵檢測及采取相應(yīng)的防護手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜韵到y(tǒng)內(nèi)外的攻擊,縮短入侵的時間。

(4)應(yīng)用安全掃描技術(shù)主動探測系統(tǒng)安全漏洞,進行系統(tǒng)安全評估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高指紋系統(tǒng)的安全性。通過對系統(tǒng)的掃描,系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估系統(tǒng)風(fēng)險等級。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯誤配置,在非法用戶攻擊前進行防范。

(5)應(yīng)用系統(tǒng)安全緊急響應(yīng)體系,防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天,即使昔日固若金湯的系統(tǒng)安全策略,也難免會隨著時間和環(huán)境的變化,變得不堪一擊。因此,我們需要隨時間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建系統(tǒng)安全緊急響應(yīng)體系,專人負責(zé),防范安全突發(fā)事件。

參考文獻:

[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3] 張 敏,徐 震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學(xué)報(已投稿),2006

[4] 何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(甲):中國科學(xué)院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平.計算機犯罪問題研究[M].北京:電子工業(yè)出版社,2002.

[7]高銘喧.新編中國刑法學(xué)[M].北京:中國科學(xué)技術(shù)出版社,2000.

[8]朱廣艷. 信息技術(shù)與課程整合的發(fā)展與實踐[J]. 中國電化教育,2003(194):8- 10.

[9]黃叔武 劉建新 計算機網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月

[10]戴紅 王海泉 黃堅 計算機網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.

[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.

[13]周筱連. 計算機網(wǎng)絡(luò)安全防護[J].電腦知識與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).

[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購周刊, 2002,(32).

[15]網(wǎng)絡(luò)安全新概念[J].計算機與網(wǎng)絡(luò), 2004,(7).

[16]王銳. 影響網(wǎng)絡(luò)安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).

第4篇:防火墻技術(shù)論文范文

【關(guān)鍵詞】防火墻 網(wǎng)絡(luò)安全 控制程序 測試方案

隨著網(wǎng)絡(luò)安全市場的打開,越來越多的公司加入到網(wǎng)絡(luò)安全軟件、硬件開發(fā)行列中,市場上就開始出現(xiàn)各類防火墻,其基本原理也就是通過源地址、目標(biāo)地址互聯(lián)安全控制來達到目的主機的安全。是否到達這個終極目標(biāo)、以及防火墻在強力攻擊之下能否還能穩(wěn)定運行,規(guī)則判斷能否準(zhǔn)確而無誤執(zhí)行等,這些是需要經(jīng)過嚴密的測試與檢驗才可以得出結(jié)論。只用通過嚴格檢驗,才能保證核心系統(tǒng)與主機的安全,所以測試對于產(chǎn)品檢驗來說是致關(guān)重要。

1 防火墻功簡介

1.1 防火墻信息安全與屬性

防火墻作為企業(yè)內(nèi)外網(wǎng)中間安全監(jiān)測點,為了實現(xiàn)數(shù)據(jù)通信安全審查與訪問的隔離,防火墻就必須具備如下幾個功能:

(1)通過地址訪問控制,執(zhí)行本地網(wǎng)絡(luò)安全策略。

(2)防火墻自身的安全性保障,該功能是防火墻本身需要具備的重要一個原則。

(3)對網(wǎng)絡(luò)中的各種行為提供日志和統(tǒng)計功能。

(4)防火墻的效率和可用性,其執(zhí)行效率直接影響內(nèi)外網(wǎng)的通信效率和。

(5)能提供統(tǒng)一、集中的網(wǎng)絡(luò)安全和管理。

1.2 防火墻核心參數(shù)與測試方法

吞吐量:吞吐量主要體現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)能力,測試防火墻吞吐量主要通過試儀端口數(shù)量進行體現(xiàn),測試中涉及的配置情況包括:透明模式,路由模式,配置NAT,配置policy,配置AV掃描,配置QoS等。一般情況下設(shè)備在配置大量policy的情況下的吞吐量不會有太大變化。在配置雙向或者單向NAT后吞吐量大約是路由模式的98%左右。透明模式的吞吐量大約是路由模式吞吐量的80%左右。

時延:時延所測試的是系統(tǒng)處理數(shù)據(jù)包所需要的時間。防火墻的時延測試的是其存儲轉(zhuǎn)發(fā)(Store and Forward)的性能(另一種是Cut and Through)。時延的測試通常會選用測試儀所對應(yīng)的RFC測試套件進行測試。

丟包率:丟包率是測試系統(tǒng)在一定負載的情況下丟包數(shù)量多少的測試。測試的意義在于通過過載的流量來考查對設(shè)備正常轉(zhuǎn)發(fā)性能的影響。包率的測試通常會選用測試儀所對應(yīng)的RFC測試套件進行測試。

系統(tǒng)恢復(fù)時間:系統(tǒng)恢復(fù)時間的測試包括:系統(tǒng)重起的時間測試,系統(tǒng)斷電重起的時間測試,HA倒換時間測試,HA恢復(fù)時間測試,系統(tǒng)過載恢復(fù)測試(這個一般很少見),在HA倒換時間測試中測試包括主->備切換時間測試,備->主恢復(fù)時間測試。通用的測試方法為:使用測試儀發(fā)送恒定速率的流量穿過DUT,DUT進行reset,或者斷電操作,直到流量恢復(fù)正常?;謴?fù)時間=丟包數(shù)量/發(fā)包速率。另外一種測試方法是通過ping包丟棄的數(shù)量來衡量倒換的時間

2 防火墻強測試方案設(shè)計

2.1 防火墻性能測試架構(gòu)

性能測試部分主要利用SmartBits6000B專業(yè)測試儀,依照RFC2544定義的規(guī)范,對防火墻的吞吐量、延遲和丟包率三項重要指標(biāo)進行驗證。在性能測試中,需要綜合驗證防火墻橋接模式的性能表現(xiàn),其拓撲圖采用圖1所示方案。

吞吐量測試是測試防火墻在正常工作時的數(shù)據(jù)傳輸處理能力的重要指標(biāo),更高的吞吐量使得防火墻更能適用于網(wǎng)絡(luò)核心層對流量要求很高的網(wǎng)絡(luò)環(huán)境,使防火墻不會成為網(wǎng)絡(luò)的性能瓶頸,不會影響正常的業(yè)務(wù)通訊。單條規(guī)則,2GE,1G雙向流量測試 無小包加速結(jié)果。(吞吐量測試結(jié)果)幀長(字節(jié))分別為64,128,256,512,1024,1280,1518。分別得到橋接模式雙向零丟包率吞吐率(%) 為14.48,25.87,45.10,87.50,100,100,100。

2.2 防火墻壓力仿真測試

考慮到防火墻在實際應(yīng)用中的復(fù)雜性,在本次的測試方案中,我們需要進行壓力仿真測試,模擬實際應(yīng)用的復(fù)雜度。考慮到測試時間及測試環(huán)境的限制,壓力測試選取以下最為重要的幾點進行,本次測試進行防火墻橋接模式的驗證,拓撲圖采取以下方案。本次測試以100條控制規(guī)則壓力為前提進行,性能考慮吞吐量和延遲和丟包率。單機吞吐率(100條規(guī)則,2個GE口,1Gbps雙向流量測試 無小包加速結(jié)果)。(單機吞吐量)幀長(字節(jié))為64,128,256,512,1024,1280,1518;分別得到橋接模式雙向零丟包率,壓力吞吐率(%)為14.48,25.87,45.10,79.17,100,100,100。

3 結(jié)束語

防火墻是實現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備,其目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制,系統(tǒng)測試從穩(wěn)定性、可靠性、安全性及性能表現(xiàn)等多方面綜合驗證防火墻的技術(shù)指標(biāo)。

參考文獻

[1]沈偉峰,陳維均.基于防火墻的構(gòu)建[J].微型電腦應(yīng)用,2012,17(1):23-25.

[2]黃力,謝翠蘭.多線程防火墻過濾模塊的設(shè)計與實現(xiàn)[J].廣西民族大學(xué)學(xué)報:自然科學(xué)版,2011(1):70-74.

[3]王永強,劉世棟,戴浩.入侵檢測系統(tǒng)測試方法的缺陷與建議[J].信息網(wǎng)絡(luò)安全,2013(12):24-26.

作者簡介

朱軍紅,男,甘肅省平?jīng)鍪腥恕,F(xiàn)為中國石油東方公司研究院長慶分院工程師,從事計算機系統(tǒng)維護工作。

第5篇:防火墻技術(shù)論文范文

論文摘要:隨著網(wǎng)絡(luò)在社會生活中不斷普及,網(wǎng)絡(luò)安全問題越來越顯得重要。當(dāng)因特網(wǎng)以變革的方式提供信息檢索與能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網(wǎng)絡(luò)安全保護模式與安全保護策略進行探討。

計算機網(wǎng)絡(luò)最重要的資源是它所提供的服務(wù)及所擁有的信息,計算機網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。為了有效保護網(wǎng)絡(luò)安全,應(yīng)選擇合適的保護模式。

1 安全保護模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護模式。

1.2 模糊安全保護。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統(tǒng)總認為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛(wèi)信息是很容易被人知道的。在主機登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機安全保護。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護,在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機安全的問題。

在現(xiàn)代的計算機環(huán)境中,主機安全的主要障礙就是環(huán)境復(fù)雜多變性。不同品牌的計算機有不同的商,同一版本操作系統(tǒng)的機器,也會有不同的配置、不同的服務(wù)以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護,而且機器越多安全問題也就越復(fù)雜。即使所有工作都正確地執(zhí)行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網(wǎng)絡(luò)安全保護。由于環(huán)境變得大而復(fù)雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網(wǎng)絡(luò)安全保護模式。用這種安全保護模式解決如何控制主機的網(wǎng)絡(luò)通道和它們所提供的服務(wù)比對逐個主機進行保護更有效?,F(xiàn)在一般采用的網(wǎng)絡(luò)安全手段包括:構(gòu)建防火墻保護內(nèi)部系統(tǒng)與網(wǎng)絡(luò),運用可靠的認證方法(如一次性口令),使用加密來保護敏感數(shù)據(jù)在網(wǎng)絡(luò)上運行等。

在用防火墻解決網(wǎng)絡(luò)安全保護的同時,也決不應(yīng)忽視主機自身的安全保護。應(yīng)該采用盡可能強的主機安全措施保護大部分重要的機器,尤其是互聯(lián)網(wǎng)直接連接的機器,防止不是來自因特網(wǎng)侵襲的安全問題在內(nèi)部機器上發(fā)生。上面討論了各種安全保護模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡(luò)的管理問題。安全保護不能防止每一個單個事故的出現(xiàn),它卻可以減少或避免事故的嚴重損失,甚至工作的停頓或終止。

2 安全保護策略

所謂網(wǎng)絡(luò)安全保護策略是指一個網(wǎng)絡(luò)中關(guān)于安全問題采取的原則、對安全使用的要求以及如何保護網(wǎng)絡(luò)的安全運行。以下是加強因特網(wǎng)安全保護措施所采取的幾種基本策略。

2.1 最小特權(quán)。這是最基本的安全原則。最小特權(quán)原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應(yīng)該僅具有它需要履行某些特定任務(wù)的那些特權(quán)。最小特權(quán)原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網(wǎng)環(huán)境下,最小特權(quán)原則被大量運用。在保護站點而采取的一些解決方法中也使用了最小將權(quán)原理,如數(shù)據(jù)包過濾被設(shè)計成只允許需要的服務(wù)進入。在試圖執(zhí)行最小特權(quán)時要注意兩個問題:一是要確認已經(jīng)成功地裝備了最小特權(quán),二是不能因為最小特權(quán)影響了用戶的正常工作。

2.2 縱深防御??v深防御是指應(yīng)該建立多種機制而不要只依靠一種安全機制進行有效保護,這也是一種基本的安全原則。防火墻是維護網(wǎng)絡(luò)系統(tǒng)安全的有效機制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風(fēng)險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結(jié)構(gòu)。如使用有多個數(shù)據(jù)包過濾器的結(jié)構(gòu),各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點。所謂阻塞點就是可以對攻擊者進行監(jiān)視和控制的一個窄小通道。在網(wǎng)絡(luò)中,個站點與因特網(wǎng)之間的防火墻(假定它是站點與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網(wǎng)上攻擊這個站點的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應(yīng)。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網(wǎng)絡(luò)上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護系統(tǒng)的網(wǎng)絡(luò)中,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護。但這也會由于不同系統(tǒng)的復(fù)雜性不同而花費額外的時間與精力。

3 防火墻

防火墻原是建筑物大廈設(shè)計中用來防止火勢從建筑物的一部分蔓延到另一部分的設(shè)施。與之類似,作為一種有效的網(wǎng)絡(luò)安全機制,網(wǎng)絡(luò)防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內(nèi)部網(wǎng)絡(luò),它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范,控制外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間服務(wù)訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點內(nèi)部發(fā)生的問題。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設(shè)備;限制人們從一個嚴格控制的點離開。防火墻的優(yōu)點:1)強化安全策略:在眾多的因特網(wǎng)服務(wù)中,防火墻可以根據(jù)其安全策略僅僅容許“認可的”和符合規(guī)則的服務(wù)通過,并可以控制用戶及其權(quán)力。2)記錄網(wǎng)絡(luò)活動:作為訪問的唯一站點,防火墻能收集記錄在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)年P(guān)于系統(tǒng)和網(wǎng)絡(luò)使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段,防止影響局部網(wǎng)絡(luò)安全的問題可能會對全局網(wǎng)絡(luò)造成影響。4)集中安全策略:作為信息進出網(wǎng)絡(luò)的檢查點,防火墻將網(wǎng)絡(luò)安全防范策略集中于一身,為網(wǎng)絡(luò)安全起了把關(guān)作用。

參考文獻:

[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理與防護策略分析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報,2008,(03).

[2]趙薇娜,網(wǎng)絡(luò)安全技術(shù)與管理措施的探討[J].才智,2008,(10).

第6篇:防火墻技術(shù)論文范文

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用,利用計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化,已成為各國商務(wù)發(fā)展的一大趨勢。電子商務(wù)正是為了適應(yīng)這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的,它是當(dāng)今社會發(fā)展最快的領(lǐng)域之一,同時也為全球的經(jīng)濟發(fā)展帶來新的增長點。電子商務(wù)正在改變著人們的生活以及整個社會的發(fā)展進程,貿(mào)易網(wǎng)絡(luò)將引起人們對管理模式、工作和生活方式,乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領(lǐng)域來說,電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式,縮減交易程序,提高辦事效率?,F(xiàn)在,許多網(wǎng)站都提供有“商城”,供網(wǎng)民在網(wǎng)上購物??梢哉f,電子商務(wù)應(yīng)用將越來越普及。然而,隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體,互聯(lián)網(wǎng)具有充分開放,不設(shè)防護的特點使加強電子商務(wù)的安全問題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務(wù)。否則,電子商務(wù)的發(fā)展將失去其支撐點。

要加強電子商務(wù)的安全,需要企業(yè)本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進的安全技術(shù)。

在電子商務(wù)的交易中,經(jīng)濟信息、資金都要通過網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息的安全。而網(wǎng)絡(luò)平臺的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護交易雙方的不被破壞、不泄密,和交易雙方身份的確認??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護。

在這里我想重點談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進行檢測和告警。

新一代的防火墻產(chǎn)品一般運用了以下技術(shù):

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

(3)多級過濾技術(shù)。

為保證系統(tǒng)的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透膽連接,并對服務(wù)的通行實行嚴格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務(wù)器實施保護,它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理,對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護,而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠程管理上的安全風(fēng)險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。

(8)用戶定制服務(wù)。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數(shù)據(jù)庫的,便可以利用這些支持,方便設(shè)置。

(9)審計和告警。

新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn),故也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對進入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號、ICMP消息類型,并按照信息過濾規(guī)則進行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過防火墻進入內(nèi)部網(wǎng),否則進行報警或通知管理員,并且丟棄該包。這樣一來,路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號端口監(jiān)聽遠程連接,若管理員想阻塞所有進入的Telnet連接,過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實現(xiàn)方便,但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過,沒有基于用戶的認證,而IP地址可以偽造成可信任的外部主機地址,另外它不能提供日志,這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級防火墻。大多數(shù)的應(yīng)用級防火墻產(chǎn)品使用的是應(yīng)用機制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng),它只能到達服務(wù)器,若符合條件,服務(wù)器會到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問Internet,也要通過服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀(jì)錄,但它不允許內(nèi)部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件,用戶無法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用,以彌補各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護,但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識等。就防火墻本身來看,包過濾技術(shù)和訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中,信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ),加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復(fù)雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數(shù)據(jù)庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制,1977年美國標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn),這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。具體加密傳輸過程如下:

(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。

(3)接收方乙用自己的私鑰解密,得到甲的私鑰。

(4)接收方乙用甲的公鑰解密,得到明文。

這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發(fā)送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發(fā)出的,而且沒有甲的私鑰不能修改數(shù)據(jù)??梢员WC信息的不可抵賴性。

第7篇:防火墻技術(shù)論文范文

[論文摘 要]電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題,實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進我國電子商務(wù)可持續(xù)發(fā)展。

隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加,一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會的高度關(guān)注。

一、電子商務(wù)中的信息安全技術(shù)

電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問控制、信息流控制、數(shù)據(jù)保護、軟件保護、病毒檢測及清除、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)。

1.防火墻技術(shù)。防火墻主要是加強網(wǎng)絡(luò)之間的訪問控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)。

2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。

3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。

4.數(shù)字時間戳技術(shù)。時間戳是一個經(jīng)加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數(shù)字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發(fā)送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。

二、電子商務(wù)安全防范措施

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進行考慮和完善。

1.防火墻技術(shù)

用過internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時又要面對 internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險:即客戶、推銷商、移動用戶、異地員工和內(nèi)部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身必須能夠免于滲透。

2. vpn技術(shù)

虛擬專用網(wǎng)簡稱vpn,指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關(guān)技術(shù)的控制下達到與專用網(wǎng)絡(luò)類同的安全性能,從而實現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)。目前vpn 主要采用四項技術(shù)來保證安全, 這四項技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。

3.數(shù)字簽名技術(shù)

為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實的。數(shù)字簽名就是通過一個單向哈希函數(shù)對要傳送的報文進行處理而得到的用以認證報文是否發(fā)生改變的一個字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認消息來自于誰,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明,發(fā)送者對所發(fā)信息不可抵賴,從而實現(xiàn)信息的有效性和不可否認性。

三、電子商務(wù)的安全認證體系

隨著計算機的發(fā)展和社會的進步,通過網(wǎng)絡(luò)進行的電子商務(wù)活動當(dāng)今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進行。認證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?,F(xiàn)代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數(shù)字簽名。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數(shù)進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數(shù)與被認證對象之間應(yīng)存在嚴格的對應(yīng)關(guān)系,最好是惟一對應(yīng)的。身份認證是安全系統(tǒng)中的第一道關(guān)卡。

數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執(zhí)照或身份證。它是由一個權(quán)威機構(gòu)ca機構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識別彼此的身份。

四、結(jié)束語

安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。因此,為進一步促進電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對更安全。電子商務(wù)的安全運行必須從多方面入手,僅在技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展。

參考文獻:

[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國水利水電出版社,2005.

[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[m].北京:清華大學(xué)出版社,2005.

第8篇:防火墻技術(shù)論文范文

【論文摘要】國民經(jīng)濟和社會信息化的發(fā)展,進一步帶動了工業(yè)化發(fā)展.在電子信息系統(tǒng)建設(shè)的過程中,如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求,針對需求提出了相應(yīng)的解決辦法。

1.企業(yè)電子辦公系統(tǒng)中的安全需求

電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠,具體表現(xiàn)在以下幾個方面:信息的安全保密性,滿足信息在存儲、傳輸過程中的安全保密性需求;系統(tǒng)的安全可靠性,確保整個電子政務(wù)系統(tǒng)的安全可靠;行為的不可抵賴性,保證在所有業(yè)務(wù)處理過程中,辦公人員行為和系統(tǒng)行為的不可抵賴,以便審計和監(jiān)督;實體的可鑒別性,是實現(xiàn)監(jiān)管及其他方面需求的必要條件;對象的可授權(quán)性,針對政務(wù)工作的特點,要求具有對對象靈活授權(quán)的功能,包括用戶對用戶的授權(quán)、系統(tǒng)對用戶的授權(quán)、系統(tǒng)對系統(tǒng)的授權(quán)等;信息的完整性,保證信息存儲和傳輸過程中不被篡改和破壞。

2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)

針對安全需求,在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù),包括安全技術(shù)和密碼技術(shù),對涉及到核心業(yè)務(wù)的涉密網(wǎng),還要采用物理隔離技術(shù)進行保護。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,對信息系統(tǒng)起著不同的安全保護作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測;系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議;應(yīng)用層安全技術(shù)主要涉及認證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。

從網(wǎng)絡(luò)安全角度上講,它們屬于不同的網(wǎng)絡(luò)安全域,因此,在各級網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻,并實施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時將安全策略不允許的用戶和數(shù)據(jù)包隔斷,達到保護高安全等級的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點主要是無法防止來自防火墻內(nèi)部的攻擊。

3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)

企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(涉密網(wǎng))。隨著各類機構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展,許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移,使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢?;ヂ?lián)網(wǎng)潛在的不安全因素,造成人們對內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂,所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性,如采用內(nèi)外網(wǎng)的物理隔離方法,將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開,將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。

3.1隔離技術(shù),雙網(wǎng)機系統(tǒng)。

3.2隔離技術(shù),基于雙網(wǎng)線的安全隔離卡技術(shù)。

3.3隔離技術(shù),數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。

3.4隔離技術(shù),隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān),使內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題,往往成為網(wǎng)絡(luò)的瓶頸。

3.5隔離技術(shù),安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機制,來實現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問題,并且在網(wǎng)絡(luò)隔離的同時實現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。

4.密碼技術(shù)

密碼技術(shù)是信息交換安全的基礎(chǔ),通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實現(xiàn)了數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認性和用戶身份真實性等安全機制,從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。

加密技術(shù)的原理可用下面的公式表示。

轉(zhuǎn)貼于

加密:E k1(M)一C

解密:D k2(C)一M

其中E為加密函數(shù);M為明文;K為密鑰;D為解密函數(shù);C為密文。按照密鑰的不同形式,密碼技術(shù)可以分為三類:對稱密碼算法、非對稱密碼算法和單向散列函數(shù)。

在對稱密碼算法中,使用單一密鑰來加密和解密數(shù)據(jù)。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點是計算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密,為保障較高的安全性,需要經(jīng)常更換密鑰。因此,密鑰的分發(fā)與管理是其最薄弱且風(fēng)險最大的環(huán)節(jié)。

在非對稱密碼算法中,使用兩個密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當(dāng)兩個用戶進行加密通信時,發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù);接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送,比較容易解決密鑰管理問題,消除了在網(wǎng)上交換密鑰所帶來的安全隱患,所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點是計算量大、速度慢,不適合加密長數(shù)據(jù)。

非對稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時的不可抵賴性,公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。

單向散列函數(shù)的特點是加密數(shù)據(jù)時不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法解密還原,只有使用同樣的單向加密算法對同樣的數(shù)據(jù)進行加密,才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時的完整性,以驗證數(shù)據(jù)在傳輸過程中是否被篡改。

5.公共密鑰基礎(chǔ)設(shè)施(PK 1)

PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理,為上層應(yīng)用提供了完善的密鑰和證書管理機制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機制在系統(tǒng)中的實現(xiàn)。

PKI提供的證書服務(wù)主要有兩個功能,即證實用戶身份的功能及保證信息機密性和完整性的功能。它最主要的組件就是認證中心(CA)。CA頒發(fā)的證書可以作為驗證用戶身份的標(biāo)識,可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。

在CA頒發(fā)的證書基礎(chǔ)上,可以實現(xiàn)數(shù)字信封,數(shù)字簽名、抗否認等功能,提供數(shù)據(jù)機密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。

6.入侵檢測技術(shù)

入侵檢測系統(tǒng)(IDS)可以做到對網(wǎng)絡(luò)邊界點雕數(shù)據(jù)進行檢測,對服務(wù)器的數(shù)據(jù)流量進行檢測,入侵著的蓄意破壞和篡改,監(jiān)視內(nèi)部吊戶和系統(tǒng)管運行狀況,查找非法用戶和合法用戶的越權(quán)操作,又用戶的非正?;顒舆M行統(tǒng)計分析,發(fā)現(xiàn)人侵行為自規(guī)律,實時對檢測到的人侵行為進行報警、阻斷,關(guān)鍵正常事件及異常行為記錄日志,進行審計跟焉管理。

IDS是對防火墻的非常有必要的附加,而不僅是簡單的補充。網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與防一墻進行聯(lián)動,一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將一防火墻發(fā)送通知報文,由防火墻來阻斷連接,實現(xiàn)秀態(tài)的安全防護體系。

企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提,各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實施,同時要加強各種安全管理制度,增強系統(tǒng)使用和系統(tǒng)管理者的安全意識,才能從根本上保證系安全可靠的運行。

【參考文獻】

[1]朱少民.現(xiàn)代辦公自動化系統(tǒng)的架框研究,辦公自動化技術(shù).

第9篇:防火墻技術(shù)論文范文

英國方面, 5月12日英國國家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊,多家公立醫(yī)院的電腦系統(tǒng)幾乎同時癱瘓,電話線路也被切斷,導(dǎo)致很多急診病人被迫轉(zhuǎn)移?!睹咳锗]報》稱,至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機構(gòu)遭到網(wǎng)絡(luò)攻擊,這些機構(gòu)包括醫(yī)院和全科醫(yī)生診所。

黑客武器搭載的勒索病毒感染界面,需要支付等額的300美金比特幣才能解鎖。具體從硅谷著名的移動安全廠商 Trustlook 提供的數(shù)據(jù)看,本次病毒爆發(fā)涉及到全球,幾乎沒有任何的遺漏,下面是檢測到的爆發(fā)點:

由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的"蠕蟲病毒",部分運營商對個人用戶封掉了445端口。但是教育網(wǎng)并無此限制,存在大量暴露著445端口的機器,因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改,直接影響到畢業(yè)答辯。

病毒發(fā)行者利用了去年被盜的美國國家安全局(NSA)自主設(shè)計的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍”,將2017年2月的一款病毒升級。被感染的Windows用戶必須在7天內(nèi)交納比特幣作為贖金,否則電腦數(shù)據(jù)將被全部刪除且無法修復(fù)。病毒要求用戶在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣,三天后“贖金”將翻倍。

“永恒之藍”可遠程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒有安裝今年3月的微軟補丁(MS17-010),無需用戶任何操作,只要開機上網(wǎng),就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。這是一個利用永恒之藍漏洞的勒索蠕蟲,挺會PR的,外媒取了個名字叫 wannacry(想哭蠕蟲),估計很多中病毒的人都想哭吧。

windows用戶請務(wù)必安裝微軟MS17-010安全補丁信息:

technet.microsoft.com/zh-cn/library/security/MS17-010

針對NSA黑客武器利用的Windows系統(tǒng)漏洞,微軟在今年3月已補丁修復(fù)。此前360安全中心也已推出“NSA武器庫免疫工具”( dl.360safe.com/nsa/nsatool.exe ),能夠一鍵檢測修復(fù)NSA黑客武器攻擊的漏洞;對XP、2003等已經(jīng)停止更新的系統(tǒng),免疫工具可以關(guān)閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

如何防范病毒?

如您使用的是服務(wù)器,可用這段代碼進行技術(shù)檢測:

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

如您使用的是Windows,請使用下面步驟進行檢測:

1. 查看445端口是否開放并決定是否關(guān)停server服務(wù)

點擊“開始”->“運行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態(tài)

如果處于“listening”->暫時關(guān)停server服務(wù):

點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運營”->執(zhí)行“net stop server”命令

2. 個人用戶臨時解決方案

開啟系統(tǒng)防火墻->利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進行連接->安裝相應(yīng)系統(tǒng)安全更新

win7/win8/win10:

控制面板->系統(tǒng)與安全->啟用Windows防火墻->點擊"高級設(shè)置"->點擊“入站規(guī)則”->選擇"新建規(guī)則"->規(guī)則類型選擇“端口”->應(yīng)用于“TCP”協(xié)議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規(guī)則應(yīng)用”全部勾選->罪責(zé)名稱任意輸入并點擊完成

winxp:

控制面板->安全中心->啟用“Windows防火墻”->點擊“開始”->“運行”->輸入“cmd”->依次執(zhí)行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級操作系統(tǒng)版本并進行安全更新

三、騰訊云用戶修復(fù)建議:

當(dāng)前已受影響的用戶,建議對未被加密的重要數(shù)據(jù)進行備份,并開展重裝工作;

四、對于采用非騰訊云官方 Windows 鏡像的用戶,建議采取如下措施進行緩解:

1>在安全組策略中,檢查您名下所有 Windows 云主機是否已關(guān)閉 137、 139、 445 服務(wù)端口的對外訪問,建議禁止外部訪問此類高危端口,詳細修復(fù)可參考如下鏈接:

【安全預(yù)警】關(guān)于方程式組織黑客工具包再曝光通知-騰訊云官方論壇;

2>目前微軟官網(wǎng)的補丁已經(jīng)修復(fù)了可導(dǎo)致該蠕蟲病毒被傳染的漏洞,建議用戶及時安裝 Windows 最新版本補?。ò舜问苡绊懙?MS07-010 補?。苊獬蔀槔账魅湎x的受害者;

3> 目前騰訊云官網(wǎng)提供的 Windows 鏡像已經(jīng)在4月20日全網(wǎng)更新完成,默認已安裝最新補丁,并不受此次“比特幣勒索蠕蟲病毒”影響,請您放心使用。

五、普通電腦用戶修復(fù)建議: