本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。【关键词】网络防火墙服务器绪论作为内部网络与外部公共网络之间的第一道屏障,下面是小编为大家整理的防火墙技术论文【五篇】(精选文档),供大家参考。
防火墙技术论文范文第1篇
本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。
【关键词】网络防火墙服务器
绪论
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
一、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
二、网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
三、型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
四、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
防火墙技术论文范文第2篇
关键词:网络防火墙技术;
设计过程;
问题
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Network Firewall Technology and Design Process Related Issues
Shi Yang
(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)
Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.
Keywords:Network firewall technology;Design process;Problem
一、网络防火墙的相关理论研究
随着和网络时代的到来,网络防火墙逐渐成为当前最为重要相关网络的防护手段,英文叫做“Firewall”。随着信息技术的不断发展,防火墙的过滤和防护机制的设计从最初的只注重外网的信息通讯防护和检测,对内网传输的绝对信任发展成为现在的不仅对于外网的通信需要进行有效过滤和排查,也需要对内部网络用户发出的数据或者通讯信息进行安全过滤,这样的设计和安排符合网络防火墙的基本设计初衷和安全的要求。由此可见,防火墙并不是完全封闭不可透过的,它存在的过滤机制可以让安全的通讯正常传输,而阻止具有破坏性的、危险的通讯,以保护网络安全。
网络防火墙作为网络安全的屏障具有自身特征:首先是网络防火墙具有本身坚固的抵御攻击的免疫能力,这也是防火墙能担当网络安全屏障的前提条件,只有防火墙自身具有完善的可以信任的安全防护系统,才谈得上为网络提供安全保证;
其次,防火墙的工作原理和设计理念就是只有符合安全设置的数据和信号才能通过防火墙,才能顺利传输;
最后,防火墙是所有信息传输的唯一通道,无论是内部网络还是外部网络传输的信号和数据都需要经过防火墙,这样防火墙才能起到真正过滤威胁,维护网络通信安全的作用。
网络防火墙通常情况下从软硬件的形式上来划分主要有硬件防火墙和软件防火墙两类;
从防火墙的技术职能上来划分主要可分为“包过滤型”和“应用型”两大类;
如果按防火墙的应用部署位置来划分主要由边界防火墙、个人防火墙和混合防火墙三大类;
再从防火墙的结构上来划分主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。不同分类之下的防火墙通过在内部和外部网络的相关设置的检查点来检测和控制传输的数据和信号,将不同的网络隔离开来,互相区分,以保证内部信息和数据不会外泄和流失,强化了网络安全防护的效果,有效审查网络的相关活动,保证网络安全。
二、网络防火墙设计和运行中的相关问题研究
随着网络防火墙主要技术的不断发展变革,主要包括的技术有:包过滤,是防火墙最为传统、最基本的过滤技术之一;
网络地址转换(NAT,Network Address Translate);
应用级网关(服务器);
电路级网关技术是会话层过滤的数据包,较之包过滤要高出两层左右;
非军事化区(DMZ)在网络内部设置公开化的网络服务器设施,这样较比其他的防火墙要多一道防护;
透明模式也叫做透明技,此技术使得用户也意识不到防火墙的存在;
邮件转发技术使得外部网络只知道防火墙的域名或者IP地址,这样只能将信息和数据传输到防火墙在进行转发,以实现保护内网;
堡垒主机经常配置相关网关服务,设置一个监测点,使所有内网的完全问题集中在一个主机上解决;
阻塞路由器和屏蔽路由器,在内部网和内外网连接中起到防护作用;
隔离域名服务器是可以起到保证受保护网络的IP地址不被外部网络侵害或者知悉;
状态监视器是最新的防火墙技术,安全防护的性能最佳,功能最强大。
在网络防火墙设计结构模式的发展历程见证了不同时代的防火墙技术,这里主要介绍屏蔽路由器模式、屏蔽主机模式以及非军事区结构模式几种。
屏蔽主机模式,在发展的一定阶段的时候,防火墙技术在路由器后增加一道用于进行安全控制点的计算机,眨眼那个可靠的计算,只有侵害透过了路由和堡垒主机才能到达内网,加强了安全防护。
屏蔽路由器,较之屏蔽主机模式就略显单一,也是之前的防火墙技术不够完善的表现,这种防护策略是很原始、很单一,只限于在现有的硬件的基础上实现单一的防护,加之过滤包的过滤,是最简单的防火技术原理。
非军事区结构,在这个防火墙技术设计中,同时存在着两个防火墙系统,外部防火墙主要负责抵挡来自外部网络的侵害和攻击,内部防火墙主要负责管理DMZ对于内部网络的输入和访问。内部防火墙是对于内部网络的除了外部防火墙和堡垒主机之外的第三道安全屏障和防护,当外部防火墙被侵害而失效时,它还可以继续起到保护内部网络安全运行的功能。在这样涉及到防火墙安全结构里,一个黑客想要进攻内网,必须完全通过三个相互独立的防护区域(包括外部防火墙、内部防火墙和堡垒主机)才能实际到达内部局域网展开攻击。保护的强度和范围大大加大,网络的稳定性和安全性也就大大提升,当然,随之而来的,在这样的网络防火墙结构设计里,经济成本投入毋庸置疑的也是最大的。
三、结束语
网络信息时代,利用网络进行的经济活动和社会生活也越来越广泛和多样,带给人们社会生活的实际影响也就越来越大,因此,如何有效实现网络安全也就成为当今时代最为热点的问题。网络防火墙最为有效保护网络安全的技术,需要在实践里不断研究探索和发展完善。在经历了不同时代防火墙技术的发展之后,现如今的防火墙技术已经在一定程度上实现了有效保护内网安全和稳定的目的。但是,未来在具体的设计网络防火墙还是任重道远的,因而黑客在不断的进步和技术更新,自然,网络防火墙技术也相应地需要在网管设置、技术更新、屏蔽形式、硬软件设置和配备等多方面提升和完善,加大技术和资金投入,保证未来信息时代网络安全运行,为经济生产和社会生活保驾护航。
参考文献:
防火墙技术论文范文第3篇
关键词:网络攻击 防火墙 嵌入式
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01
信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;
应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;
设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;
用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;
二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
参考文献
[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).
[2]江文,浅议新一代防火墙技术的应用与发展[J].科学之友,2011(12).
防火墙技术论文范文第4篇
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
防火墙技术论文范文第5篇
1.1 网络环境以及硬件系统故障
计算机硬件系统一旦出现故障, 例如电源断电、报警故障等, 都会对计算归网络安全造成影响。目前, 计算机网络的设置大多属于资源共享型, 所以开放性的网络运行环境给黑客、病毒等可趁之机, 同时, 计算机网络自身的隐秘性使用户验证变得模糊, 同样给黑客入侵的机会。
1.2 通信协议缺陷
网络通信协议主要是使不同的计算机网络系统以及操作系统连接在一起, 通信协议为网络通信提供一定的系统支持。但是通信协议大多为开放式的协议, 所以许多不法分子会以通信的名义进入到系统中, 盗取系统内部重要信息及数据, 对计算机网络的安全性造成严重破坏, 致使计算机网络无法正常运行。
1.3 IP源路径不稳
如果出现IP源路径不稳定的现象, 用户在发送信息及重要数据时, 黑客可以进入到网络系统中对IP源路径进行更改, 用户所发送的信息会被不法分子截收, 从中获取非法利益。
2 防火墙技术概述
防火墙主要由硬件设备与软件系统共同组成, 在内部网与外部网之间所构造起来的保护屏障, 从而保护内部网络免受非法用户的入侵。在互联网中, 防火墙主要是指一种隔离技术, 在两个网络进行通讯时对访问尺度进行控制, 最大限度的阻止网络黑客对网络进行访问。
3 防火墙技术在计算机网络安全中的应用
当前的计算机网络面临着许多安全方面的威胁, 在网络安全防护技术中包括防火墙技术、防病毒技术、漏洞扫描技术等。防火墙技术在现实中应用比较多, 防火墙就好比古代的城门, 在内网与外网之间构建一道屏障, 通过此屏障必须有合法的身份。防火墙是在不同区域之所设置的一个软件或一台设备, 是网络的唯一出入口。下面简单对防火墙技术在计算机网络安全中的具体应用进行简单概述。
3.1 在网络安全配置中的应用
在防火墙技术中, 网络安全配置属于重点内容, 安全配置主要是将计算机网络划分为多个模块, 将需要进行安全防护的重要模块转化为隔离区, 对该模块实施重点保护。在防火墙技术下的隔离区是单独的局域网, 是计算机内部网络构成的重要组成部分, 有效的保护网络内部服务器的信息安全, 确保计算机在稳定的网络环境中运行。防火墙对安全防护的要求非常高, 防火墙安全防护技术的主要工作方式为:自动监控计算机网络隔离区的信息, 通过地址转换, 将由内向外流向的信息IP转化为公共IP, 防止攻击者对IP进行解析。防火墙的安全配置主要是对IP进行隐藏, 通过隐藏IP的流通来体现地址转化的价值。在入侵用户对IP进行解析时, 无法追踪真实信息, 只能获取到虚假的IP地址, 所以无法对内部网络进行访问, 从而提升网络运行的安全。
3.2 在访问策略中的应用
在防火墙技术中, 访问策略是该应用的核心, 在网络安全控制中占主要地位。访问策略主要是通过对网络配置的缜密安排, 对计算机网络信息的统计过程进行优化, 构建成科学的防护系统。防火墙技术能够针对计算机网络的实际运行状况, 对访问策略进行规划, 从而为计算机网络的运行提供安全环境。主要保护流程为:防火墙技术会将计算机的相关运行信息划分为不同的单位, 针对各个单位进行访问保护。然后对计算机网络运行的各项地址进行了解, 包括目的地址、端口地址等。掌握计算机网络运行的特点, 对安全保护方式进行规划。最后, 访问策略在计算机网络安全保护中会对应不同的保护方式, 根据实际需求, 对访问策略进行调整, 在进行安全技术访问时会形成策略表, 对策略表信息进行主动调节, 通过策略表来约束防火墙技术的保护行为, 在一定程度上提高网络运行安全的保护效率。
3.3 日志监控中的应用
许多计算机用户都会对防火墙技术的保护日志进行分析, 获得有价值信息。日志监控在计算机网络安全维护中同样比重较大, 是防火墙技术的重点保护对象。用户对防火墙日志进行分析过程为:打开防火墙技术在网络安全保护过程中所生成的日志, 由于防火墙技术的工作量非常大, 所以需要对某一类别的信息进行采集, 从而实现监控。用户在类别信息中对关键信息进行提取, 作为日志监控的有力依据。另外, 用户可以实时对防火墙技术中的报警信息进行记录, 在这类信息中提取优化价值, 在日志监控的作用下, 防火墙技术的安全保护能力会逐渐加强, 从而优化网络流量。
4 新型防火墙技术的应用
4.1 深层检测防火墙
深层防火墙检测技术是防火墙技术的未来发展趋势, 深层检测能够对网络信息检测之后, 对内部的流量进行定向, 按照基本的检测方式进行检测。对传统的防火墙技术是一种补充与完善, 充实了恶意信息监测功能。这种防火墙技术不仅局限在网络层上的数据, 而且更加侧重于对应用层的网络攻击进行研究, 进一步扩大检测范围。
4.2 流量过滤防火墙技术
传统的防火墙技术对流量的过滤仅仅是对数据包进行过滤, 通过事先设定的逻辑语句对流经防火墙的数据流量进行截获, 对目的地址以及源地址进行匹配。新型的流量过滤技术是对传统技术的更新, 通过内部嵌入专有协议, 来对应用层数据包进行过滤, 该项技术能够对数据进行滞留重组, 将重组的流量交到应用层进行认证, 实现对数据的完整性检测。
4.3 嵌入式防火墙
嵌入式防火墙主要是将防火墙软件嵌入到硬件设施或者相关的网关上, 主要针对网络层数据进行防护, 不能够对应用层数据防护。但是无论内部网络如何变化, 嵌入式防火墙始终是网络边缘的忠实卫士。
5 结束语
在现代社会的发展过程中, 计算机网络已经遍布到人们生产生活的多个领域, 人们对计算机网络已经产生了一定的依赖性, 计算机网络安全是一项综合问题, 涉及到防火墙架设、防火墙管理等。人们在日常计算机网络使用过程中, 要加强网络安全防范意识, 为计算机网络的运行营造良好的网络环境。通过防火墙技术来进一步维护网络运行的安全, 体现出防火墙技术的高效安全价值。
参考文献
[1]董毅.计算机网络安全中防火墙技术的运用探析[J].福建质量管理, 2016-01-15.
[2]曾袁虎.计算机网络安全中的防火墙技术应用分析[J].信息与电脑 (理论版) , 2016-05-23.
推荐访问:防火墙 论文 技术 防火墙技术论文【五篇】 防火墙技术论文(精选5篇) 防火墙技术的论文
