防火墻的核心技術(shù)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻的核心技術(shù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；安全

一、防火墻功能概述

防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫(xiě)或更改過(guò)操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問(wèn)安全。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的internet之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部internet對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制，它主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過(guò)少數(shù)幾個(gè)良好的監(jiān)控位置來(lái)進(jìn)行內(nèi)部網(wǎng)與internet的連接。防火墻的核心功能主要是包過(guò)濾。其中入侵檢測(cè)，控管規(guī)則過(guò)濾，實(shí)時(shí)監(jiān)控及電子郵件過(guò)濾這些功能都是基于封包過(guò)濾技術(shù)的。防火墻的主體功能歸納為以下幾點(diǎn)：根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾；對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有自學(xué)習(xí)功能；可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)；具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息；被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶報(bào)警提示。

防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ)，必須在這個(gè)基礎(chǔ)之上加入輔助功能才能流暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過(guò)濾。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全（見(jiàn)圖1）。

二、防火墻主要技術(shù)特點(diǎn)

應(yīng)用層采用winsock 2 spi進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾；核心層采用ndis hook進(jìn)行控制，尤其是在windows 2000 下，此技術(shù)屬微軟未公開(kāi)技術(shù)。

此防火墻還采用兩種封包過(guò)濾技術(shù)：一是應(yīng)用層封包過(guò)濾，采用winsock 2 spi；二是核心層封包過(guò)濾，采用ndis_hook。winsock 2 spi 工作在api之下、driver之上，屬于應(yīng)用層的范疇。利用這項(xiàng)技術(shù)可以截獲所有的基于socket的網(wǎng)絡(luò)通信。采用winsock 2 spi的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以dll的形式存在，編程、測(cè)試方便；跨windows平臺(tái)，可以直接在windows98/me/nt/2000/xp 上通用，windows95只需安裝上winsock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，cpu占用率低；封包還沒(méi)有按照低層協(xié)議進(jìn)行切片，所以比較完整。而防火墻正是在tcp/ip協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。在構(gòu)筑防火墻保護(hù)網(wǎng)絡(luò)之前，需要制定一套完整有效的安全策略，這種安全策略一般分為兩層：網(wǎng)絡(luò)服務(wù)訪問(wèn)策略和防火墻設(shè)計(jì)策略。

三、網(wǎng)絡(luò)服務(wù)訪問(wèn)策略

網(wǎng)絡(luò)服務(wù)訪問(wèn)策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對(duì)撥號(hào)訪問(wèn)以及slip/ppp連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)服務(wù)的限制可能會(huì)促使用戶使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。網(wǎng)絡(luò)服務(wù)訪問(wèn)策略不但應(yīng)該是一個(gè)站點(diǎn)安全策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問(wèn)到移動(dòng)介質(zhì)的管理。

四、防火墻的設(shè)計(jì)策略

防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)實(shí)施網(wǎng)絡(luò)服務(wù)訪問(wèn)策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、tcp/ip自身所具有的易攻擊性和危險(xiǎn)。防火墻一般執(zhí)行以下兩種基本策略中的一種：除非明確不允許，否則允許某種服務(wù)；除非明確允許，否則將禁止某項(xiàng)服務(wù)。

執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。一個(gè)站點(diǎn)可以把一些必須的而又不能通過(guò)防火墻的服務(wù)放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

五、設(shè)計(jì)時(shí)需要考慮的問(wèn)題

為了確定防火墻設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開(kāi)始，即除非明確允許，否則禁止某種服務(wù)。策略應(yīng)該解決以下的問(wèn)題：需要什么服務(wù)；在哪里使用這些服務(wù)；是否應(yīng)當(dāng)支持撥號(hào)入網(wǎng)和加密等服務(wù)；提供這些服務(wù)的風(fēng)險(xiǎn)是什么；若提供這種保護(hù)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響，這些影響會(huì)有多大，是否值付出這種代價(jià)；和可用性相比，站點(diǎn)的安全性放在什么位置。

六、防火墻的不足

防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問(wèn)權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會(huì)工程攻擊——一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息。另外，一些用來(lái)傳送數(shù)據(jù)的電話線很有可能被用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來(lái)。而且，這些惡意程序不僅僅來(lái)自網(wǎng)絡(luò)，也可能來(lái)自軟盤(pán)。

參考文獻(xiàn)：

1、朱燕輝.windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[m].電子工業(yè)出版社,2002.

第2篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：校園網(wǎng)；防火墻技術(shù)；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP309

因特網(wǎng)逐年普及，各類(lèi)學(xué)校對(duì)于網(wǎng)絡(luò)的使用也更是廣泛，校園網(wǎng)的建設(shè)對(duì)于教育教學(xué)具有深遠(yuǎn)意義，因而保證其信息安全尤為必要。但是，校園網(wǎng)絡(luò)的安全問(wèn)題卻著實(shí)令人堪憂，其突出的安全問(wèn)題值得研究分析。所以，基于當(dāng)前現(xiàn)狀，在校園網(wǎng)絡(luò)中對(duì)其安全問(wèn)題實(shí)施防火墻技術(shù)是當(dāng)前最為普遍的建設(shè)性技術(shù)。保護(hù)計(jì)算機(jī)信息安全，結(jié)合當(dāng)前計(jì)算機(jī)安全面臨的主要威脅，當(dāng)仁不讓的核心技術(shù)就是防火墻技術(shù)，同時(shí)，對(duì)防火墻技術(shù)現(xiàn)狀的分析研究，對(duì)其做出未來(lái)的發(fā)展設(shè)想也是很必然的。

1 校園網(wǎng)絡(luò)安全

1.1 校園網(wǎng)絡(luò)的安全需求

校園網(wǎng)對(duì)于網(wǎng)絡(luò)安全的需求是很高的，是全面的，通常表現(xiàn)形式為：網(wǎng)絡(luò)安全隔離，網(wǎng)絡(luò)安全漏洞；有害信息過(guò)濾等多種多樣。校園網(wǎng)絡(luò)對(duì)于其網(wǎng)絡(luò)安全正?？煽窟\(yùn)行的需求是很大的，總之，校園中整個(gè)網(wǎng)絡(luò)的全面性運(yùn)行的前提是需要一套科學(xué)合理的方案做支持，方案制定之后繼而合理的實(shí)施在網(wǎng)絡(luò)安全上面，這對(duì)于分析和研究校園網(wǎng)絡(luò)的安全尤其有必要。與學(xué)校而言，制定一套安全管理方案和設(shè)備配備方案是最科學(xué)的，以此來(lái)保證校園整個(gè)網(wǎng)絡(luò)的全面安全可靠運(yùn)行。

1.2 校園網(wǎng)絡(luò)面對(duì)的安全威脅

針對(duì)校園網(wǎng)絡(luò)的安全威脅，總結(jié)來(lái)說(shuō)，包括冒充合法用戶，病毒與惡意攻擊，非授權(quán)進(jìn)行信息訪問(wèn)，或是干擾系統(tǒng)正常運(yùn)行等。另一方面，對(duì)校園網(wǎng)絡(luò)安全性構(gòu)成威脅的還有因特網(wǎng)自身的因素，類(lèi)似網(wǎng)絡(luò)資源的性質(zhì)，其資源信息良莠不齊，各式各樣，一旦沒(méi)有進(jìn)行過(guò)濾篩選就放到網(wǎng)絡(luò)上，一定會(huì)造成校園網(wǎng)絡(luò)安全威脅，其中包含的大量流量資源，造成了網(wǎng)絡(luò)堵塞，緩慢不運(yùn)行的上網(wǎng)速度，大量的非法內(nèi)容出入，并且對(duì)于校園生活中的青少年的身心健康造成了極大危害。

2 防火墻技術(shù)概述

2.1 包過(guò)濾類(lèi)型防火墻

防火墻技術(shù)總體來(lái)講就是一系列功能不一的軟硬件組合，其功能通常包括存取，控制等，它工作的原理就是在校園網(wǎng)以及因特網(wǎng)之間進(jìn)行訪問(wèn)控制策略的設(shè)置，從而決定哪些內(nèi)容可被讀取，哪些內(nèi)容被控制在瀏覽頁(yè)之外，如此一來(lái)，就保護(hù)了校園網(wǎng)絡(luò)內(nèi)部非法用戶非法內(nèi)容的入侵。防火墻技術(shù)的主要目的在于對(duì)數(shù)據(jù)組進(jìn)行控制，只對(duì)合法的內(nèi)容加以釋放，過(guò)濾掉網(wǎng)絡(luò)雜質(zhì)。

包過(guò)濾類(lèi)型的防火墻技術(shù)工作原理是直接通過(guò)轉(zhuǎn)發(fā)報(bào)文，工作領(lǐng)域是IP層，這是網(wǎng)絡(luò)的底層，在合適的位置對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行有選擇的過(guò)濾，有一個(gè)形象的稱(chēng)號(hào)稱(chēng)呼這一防火墻技術(shù)即為“通信警察”。包過(guò)濾防火墻對(duì)每一個(gè)傳入保的基本信息進(jìn)行瀏覽，進(jìn)行過(guò)濾，一般查詢內(nèi)容都包括源地址、協(xié)議狀態(tài)等，這些基本信息一般性情況下都能對(duì)其內(nèi)容做出大致統(tǒng)籌，然后與系統(tǒng)源設(shè)定的信息規(guī)則進(jìn)行比照，指引可行性信息，攔截網(wǎng)絡(luò)垃圾。

包過(guò)濾類(lèi)型的防火墻其優(yōu)點(diǎn)顯而易見(jiàn)，其選擇性過(guò)濾的功效著實(shí)對(duì)于校園網(wǎng)絡(luò)安全做出了保障，并且，這一類(lèi)型的防火墻技術(shù)產(chǎn)品通常是廉價(jià)的，有效的，安全的，現(xiàn)在學(xué)校一般比較通用，這一手段的運(yùn)行過(guò)程完全透明，并且其運(yùn)行效率，工作性能也是很高，總體來(lái)講，就是指其性價(jià)比很是驚人。然而，其必然伴隨著不少的缺陷，尚未達(dá)到很完美的境地，類(lèi)似于包過(guò)濾類(lèi)型的防火墻技術(shù)不能保證絕對(duì)的安全性，對(duì)于其網(wǎng)絡(luò)欺騙行為不能進(jìn)行徹底的制止，而且有些協(xié)議的數(shù)據(jù)包壓根不適合被過(guò)濾，譬如“RPC”、“X-WINDOW”等。

2.2 服務(wù)器類(lèi)型防火墻

防火墻技術(shù)的主要特征就是在網(wǎng)絡(luò)周邊建立相關(guān)的監(jiān)控系統(tǒng)，以此來(lái)保障網(wǎng)絡(luò)安全，達(dá)到網(wǎng)絡(luò)可靠運(yùn)行的目的，它的工作原理是通過(guò)建立一套完整的規(guī)則和系統(tǒng)策略來(lái)進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，繼而改變穿過(guò)防火墻的數(shù)據(jù)流，來(lái)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。由于校園網(wǎng)絡(luò)與防火墻的工作環(huán)境特別兼容，因而，學(xué)校網(wǎng)絡(luò)實(shí)現(xiàn)信息安全的一大重要保障就應(yīng)當(dāng)是采用實(shí)施防火墻技術(shù)。

服務(wù)器類(lèi)型的防火墻就是基于服務(wù)器，服務(wù)器是一種程序，其主要形式就是客戶處理在服務(wù)器的連接請(qǐng)求。當(dāng)服務(wù)器接收到客戶的連接意圖時(shí)，它將對(duì)此請(qǐng)求進(jìn)行網(wǎng)絡(luò)核實(shí)，然后將處理完成的信息進(jìn)行實(shí)質(zhì)性傳遞，呈現(xiàn)在真實(shí)的服務(wù)器上，最后對(duì)發(fā)出請(qǐng)求的客戶做出應(yīng)答。

基于服務(wù)器類(lèi)型的防火墻，雖然其安全性能很高，但是它對(duì)于用戶而言是封閉的，不透明的，工作時(shí)有很大的工作量，對(duì)于真實(shí)服務(wù)器的要求較高，另外，服務(wù)器通常是需要身份驗(yàn)證或者是注冊(cè)的，這樣一來(lái)，就必然會(huì)影響到期工作的速度。所以，針對(duì)這一缺陷，基于服務(wù)器類(lèi)型的防火墻不太適合于高速下的網(wǎng)絡(luò)監(jiān)控?？傊?，防火墻對(duì)于網(wǎng)絡(luò)安全性是有很大的提高作用的，并不能絕對(duì)的根除網(wǎng)絡(luò)安全問(wèn)題，除此以外，對(duì)于網(wǎng)絡(luò)內(nèi)部自身攻擊或是病毒很難防御。要想保證網(wǎng)絡(luò)徹底安全，防火墻技術(shù)是核心，且需要輔以其他精準(zhǔn)措施。

3 校園網(wǎng)絡(luò)安全方案及優(yōu)缺點(diǎn)

3.1 專(zhuān)用的硬件防火墻設(shè)備

專(zhuān)用的硬件防火墻設(shè)備是以最先進(jìn)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)為基礎(chǔ)的，這一類(lèi)型的防火墻速度極快，將校園內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)做出了極其有效的隔離。通過(guò)網(wǎng)絡(luò)控制，校園內(nèi)部網(wǎng)絡(luò)被允許上網(wǎng)，而校園外的網(wǎng)絡(luò)用戶就被隔離，不能直接進(jìn)行網(wǎng)絡(luò)訪問(wèn)，當(dāng)然，也會(huì)有其他的網(wǎng)絡(luò)瀏覽方式，類(lèi)似加密然后授權(quán)等，這必然有效的保護(hù)了校園網(wǎng)絡(luò)的安全性。這一方案的防火墻，其特點(diǎn)就是基于硬件，并與路由器做“合體”技術(shù)，路由器購(gòu)置中，便自動(dòng)植入了防火墻設(shè)備，以此在很大程度上保證了網(wǎng)絡(luò)安全。但是，盡管這一設(shè)備安全，快速，但是如此專(zhuān)業(yè)的軟硬件一體設(shè)備，其價(jià)格自然可想而知，非常昂貴。

3.2 服務(wù)器及相關(guān)防火墻軟件

服務(wù)器及相關(guān)的防火墻軟件也能夠?qū)崿F(xiàn)硬件防火墻的基本功能。采用“UNIX系統(tǒng)”以及該系統(tǒng)內(nèi)部?jī)?nèi)核自帶的IP地址，當(dāng)然也包括其中的防火墻軟件，能夠很好的實(shí)現(xiàn)硬件防火墻的基本功能。由于當(dāng)下Windows 2000或是其他的操作系統(tǒng)自身存在著很多的漏洞，致使其對(duì)于IP地址的支持能力極為有限，存在著很大的局限性，對(duì)于病毒感染，或是漏洞頻出的現(xiàn)象不能很好的避免，所以對(duì)于這一安全方案，在服務(wù)器的選擇上盡量避免Windows 2000。服務(wù)器常年運(yùn)行，若要保證校園網(wǎng)絡(luò)安全，其所有的出口流量等全都需要經(jīng)過(guò)這一服務(wù)器，所以方案設(shè)備配置時(shí)，一個(gè)性能高的，經(jīng)久耐用的專(zhuān)用服務(wù)器就顯得尤為重要了，以此加強(qiáng)其工作穩(wěn)定性。這一配備的投資較為節(jié)省，而且性能很好，很大程度上保證了園網(wǎng)絡(luò)安全。因而，針對(duì)以上兩種方案，學(xué)校對(duì)投資校園網(wǎng)絡(luò)建設(shè)時(shí)，結(jié)合財(cái)力，性能，需求等多種因素進(jìn)行防火墻方案選擇。

4 結(jié)束語(yǔ)

因特網(wǎng)的迅猛發(fā)展，必然伴隨著網(wǎng)絡(luò)攻擊手段的不斷跟進(jìn)，保護(hù)其安全就顯得尤為迫切，防火墻技術(shù)已經(jīng)基本能夠滿足計(jì)算機(jī)使用者對(duì)于其信息安全的需求，但是防火墻技術(shù)作為網(wǎng)絡(luò)信息安全的核心技術(shù)，它值得深入研究的課題以及項(xiàng)目還是很多，譬如如何對(duì)防火墻技術(shù)進(jìn)行危險(xiǎn)系數(shù)的評(píng)估等技術(shù)尚需得到研究開(kāi)發(fā)，總之，防火墻技術(shù)為計(jì)算機(jī)尤其是校園網(wǎng)絡(luò)技術(shù)做出了巨大貢獻(xiàn)。

參考文獻(xiàn)：

[1]李欣.高校校園網(wǎng)絡(luò)安全探索[J].中國(guó)現(xiàn)代教育裝備，2012（10）：45-46.

[2]唐震.校園網(wǎng)絡(luò)安全管理技術(shù)研究[J].硅谷，2013（08）：33-34.

第3篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：國(guó)產(chǎn)設(shè)備；深信服；F5

中圖分類(lèi)號(hào)：F626文獻(xiàn)標(biāo)識(shí)碼：B文章編號(hào)：1672-6200(2015)05-0057-03

1引言

黑龍江郵政互聯(lián)網(wǎng)環(huán)境是黑龍江郵政公司的一個(gè)重要的網(wǎng)絡(luò)門(mén)戶和業(yè)務(wù)支撐網(wǎng)絡(luò)平臺(tái)。在設(shè)備老化、網(wǎng)絡(luò)出現(xiàn)瓶頸的情況下，作者根據(jù)實(shí)際網(wǎng)絡(luò)情況，參照國(guó)外網(wǎng)絡(luò)產(chǎn)品的參數(shù)指標(biāo)，選擇性能和口碑俱佳的內(nèi)業(yè)主流的國(guó)產(chǎn)設(shè)備替代國(guó)外產(chǎn)品，對(duì)黑龍江郵政互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境進(jìn)行升級(jí)，取得了良好的使用效果。并通過(guò)對(duì)升級(jí)前后的網(wǎng)絡(luò)指標(biāo)對(duì)比分析，以及在使用中發(fā)現(xiàn)國(guó)產(chǎn)設(shè)備的不足之處，為郵政企業(yè)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)使用國(guó)產(chǎn)設(shè)備提出了使用建議。同時(shí)根據(jù)當(dāng)前國(guó)情，對(duì)國(guó)產(chǎn)設(shè)備替代國(guó)外產(chǎn)品的趨勢(shì)進(jìn)行了闡述。

2國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備主流廠商簡(jiǎn)介

目前，我國(guó)網(wǎng)絡(luò)產(chǎn)品行業(yè)正處于發(fā)展期，產(chǎn)業(yè)已初具規(guī)模，產(chǎn)品門(mén)類(lèi)較為齊全，基本建立了技術(shù)研發(fā)、產(chǎn)品生產(chǎn)和銷(xiāo)售體系。在部分主流產(chǎn)品上，已初步滿足目前國(guó)家信息化建設(shè)的基本需求，為國(guó)家信息化體系建設(shè)奠定了一定的基礎(chǔ)。路由器、交換機(jī)、防火墻、負(fù)載均衡、防病毒、防入侵等多個(gè)主流產(chǎn)品格局已初步形成，出現(xiàn)了綜合集成和一體化管理平臺(tái)等新技術(shù)的產(chǎn)品和應(yīng)用。

2.1路由器、交換機(jī)廠商

在高端產(chǎn)品方面，華為、中興等民營(yíng)通信企業(yè)，其產(chǎn)品廣泛應(yīng)用于世界各地通信運(yùn)營(yíng)商，產(chǎn)品主要涉及通信網(wǎng)絡(luò)中的交換網(wǎng)絡(luò)、傳輸網(wǎng)絡(luò)、無(wú)線及有線固定接入網(wǎng)絡(luò)和數(shù)據(jù)通信網(wǎng)絡(luò)及無(wú)線終端產(chǎn)品，近幾年逐漸向行業(yè)領(lǐng)域拓展。在中低端產(chǎn)品方面，邁普、銳捷等國(guó)產(chǎn)產(chǎn)品，近幾年逐步在銀行、保險(xiǎn)、政府、運(yùn)營(yíng)商、軍隊(duì)、電力等行業(yè)領(lǐng)域內(nèi)占據(jù)較大市場(chǎng)份額。

2.2防火墻廠商

天融信、山石、網(wǎng)御等擁有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)層防火墻產(chǎn)品，以其優(yōu)秀的性價(jià)比，近年來(lái)逐漸在各政府和企業(yè)中替代cisco和juniper等國(guó)外產(chǎn)品。

2.3VPN、負(fù)載均衡設(shè)備廠商

深信服作為國(guó)家《SSLVPN技術(shù)規(guī)范》標(biāo)準(zhǔn)核心制定者之一，其SSLVPN解決方案已在政府、金融、運(yùn)營(yíng)商、能源、教育、大中型企業(yè)等各個(gè)領(lǐng)域都得到了廣泛應(yīng)用。深信服負(fù)載均衡產(chǎn)品（AD）在國(guó)內(nèi)應(yīng)用交付產(chǎn)品中也具有較大的市場(chǎng)份額。

2.4入侵防御或入侵檢測(cè)廠商

綠盟是中國(guó)最早從事網(wǎng)絡(luò)安全業(yè)務(wù)的企業(yè)之一，專(zhuān)注于網(wǎng)絡(luò)安全、應(yīng)用安全與WEB安全領(lǐng)域，專(zhuān)注于網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)、抗拒絕服務(wù)、安全評(píng)估及漏洞管理、WEB應(yīng)用防護(hù)和安全審計(jì)及日志管理。綠盟建立并維護(hù)的全球最大中文漏洞庫(kù)，已經(jīng)成為業(yè)界廣泛參考的標(biāo)準(zhǔn)。其安全產(chǎn)品通過(guò)國(guó)際知名測(cè)評(píng)機(jī)構(gòu)WestCoastLabs、NSSLabs等專(zhuān)項(xiàng)測(cè)試，并在測(cè)試中表現(xiàn)優(yōu)異。

3黑龍江郵政實(shí)際使用案例

3.1網(wǎng)絡(luò)結(jié)構(gòu)說(shuō)明

黑龍江郵政互聯(lián)網(wǎng)環(huán)境，是黑龍江郵政的一個(gè)重要網(wǎng)絡(luò)平臺(tái)，其承載著以宣傳郵政政策、業(yè)內(nèi)動(dòng)態(tài)為主要內(nèi)容的黑龍江郵政公司門(mén)戶網(wǎng)站，也有由黑龍江郵政易通公司開(kāi)發(fā)的、為對(duì)俄貿(mào)易提供服務(wù)的中俄邊貿(mào)網(wǎng)為主的電商網(wǎng)站。該平臺(tái)還為企業(yè)提供包括物資集中采購(gòu)、商投管理、落地配管理等BS架構(gòu)的業(yè)務(wù)支撐管理系統(tǒng)，同時(shí)承載著黑龍江郵政易通公司開(kāi)發(fā)的新華社短信、手機(jī)在線繳費(fèi)、物流運(yùn)輸、倉(cāng)儲(chǔ)、配送、特許經(jīng)營(yíng)等業(yè)務(wù)拓展平臺(tái)。該網(wǎng)絡(luò)環(huán)境為黑龍江郵政的業(yè)務(wù)發(fā)展起到了關(guān)鍵性作用，是黑龍江郵政一個(gè)不可缺少的業(yè)務(wù)管理平臺(tái)。網(wǎng)絡(luò)結(jié)構(gòu)上在內(nèi)網(wǎng)區(qū)，使用Cisco3550作為核心交換機(jī)，通過(guò)劃分不同VLAN隔離各系統(tǒng)及WEB應(yīng)用，使用H3C3600做級(jí)聯(lián)交換機(jī)和區(qū)域交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展。在聯(lián)網(wǎng)接入?yún)^(qū)，由于黑龍江地理位置的特殊性，采用雙運(yùn)營(yíng)雙線路接入互聯(lián)網(wǎng)(聯(lián)通、電信各20Mbps)，實(shí)現(xiàn)地域用戶的快速訪問(wèn)，同時(shí)雙線路可實(shí)現(xiàn)相互備份。使用東軟防火墻（Neteye4032）作為互聯(lián)網(wǎng)雙線路接入和區(qū)域隔離。防火墻配置明細(xì)路由，實(shí)現(xiàn)不同運(yùn)營(yíng)商的互聯(lián)互訪；使用NAT轉(zhuǎn)換，為用戶提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)；使用端口級(jí)的訪問(wèn)控制策略，嚴(yán)格控制外部和內(nèi)部訪問(wèn)，保障內(nèi)網(wǎng)區(qū)的數(shù)據(jù)安全。在應(yīng)用負(fù)載均衡方面，部署單臂模式的F5Big-IP-1500負(fù)載均衡交換機(jī)，做為各業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)器的負(fù)載均衡，保障應(yīng)用的可用性。該網(wǎng)絡(luò)環(huán)境，目前共有系統(tǒng)30多個(gè)，服務(wù)器近100臺(tái)。根據(jù)流量監(jiān)測(cè)，日均網(wǎng)絡(luò)流量在8Mbps左右/條，峰值在12Mbps/條，日均網(wǎng)絡(luò)連接在4萬(wàn)左右/天，日均并發(fā)連續(xù)數(shù)在5000個(gè)左右。

3.2網(wǎng)絡(luò)環(huán)境中存在的問(wèn)題

該網(wǎng)絡(luò)環(huán)境始建于2005年，由于建設(shè)較早，網(wǎng)絡(luò)設(shè)備使用當(dāng)時(shí)省郵政中心閑置設(shè)備進(jìn)行搭建。然而隨著業(yè)務(wù)的發(fā)展，訪問(wèn)用戶的增加，平臺(tái)經(jīng)常出現(xiàn)問(wèn)題，如防火墻NAT地址失效、不同運(yùn)營(yíng)商用戶訪問(wèn)路由失效、系統(tǒng)在進(jìn)行大數(shù)據(jù)傳輸時(shí)網(wǎng)絡(luò)延遲過(guò)大等問(wèn)題，百兆交換機(jī)、F5的承載能力出現(xiàn)網(wǎng)絡(luò)瓶頸。如今，現(xiàn)有的設(shè)備已經(jīng)不能滿足業(yè)務(wù)的擴(kuò)展需要要求，企業(yè)急需對(duì)平臺(tái)進(jìn)行升級(jí)。

3.3升級(jí)改造的內(nèi)容

本次升級(jí)主要是對(duì)防火墻、核心交換機(jī)、負(fù)載均衡設(shè)備進(jìn)行升級(jí)。核心網(wǎng)絡(luò)層計(jì)劃由百兆提升至千兆，負(fù)載均衡產(chǎn)品計(jì)劃由1500系列提升至1600系列，防火墻網(wǎng)絡(luò)吞吐量由200M提高到800M，并發(fā)連接數(shù)處理能力由50萬(wàn)提高到100萬(wàn)以上。根據(jù)升級(jí)計(jì)劃，如果選用業(yè)內(nèi)主流產(chǎn)品（例如交換機(jī)采用H3C或者cisco，防火墻選用Juniper，負(fù)載均衡使用F5或者Radware），投入資金較大，省內(nèi)無(wú)法負(fù)擔(dān)，因此考慮采用低價(jià)格的國(guó)內(nèi)設(shè)備進(jìn)行試驗(yàn)性替換，從而滿足平臺(tái)的升級(jí)需要。根據(jù)升級(jí)的目標(biāo)，參照國(guó)內(nèi)外各廠商設(shè)備參數(shù)，綜合對(duì)比，最終我局決定核心交換機(jī)選用華為的S5700作為替代，區(qū)域交換機(jī)選用邁普的MP4100，防火墻選用天融信的NFGW4000UF，負(fù)載均衡設(shè)備選用深信服的AD1600。

4測(cè)試數(shù)據(jù)對(duì)比分析

4.1整體體驗(yàn)效果

經(jīng)過(guò)為期半年的試用，整體上對(duì)黑龍江郵政互聯(lián)網(wǎng)環(huán)境進(jìn)行國(guó)產(chǎn)化升級(jí)后，網(wǎng)絡(luò)運(yùn)行平穩(wěn)，用戶使用效果良好，原有網(wǎng)絡(luò)存在的問(wèn)題得到了解決，基本上達(dá)到了預(yù)期目的。在使用效果上：用戶訪問(wèn)速度有所提升，頁(yè)面展示更加快捷迅速；各類(lèi)大數(shù)據(jù)查詢結(jié)果，能夠更快速的顯現(xiàn)；不同運(yùn)營(yíng)商互訪問(wèn)題得到解決，減少了手工維護(hù)量。在負(fù)載均衡效果上：負(fù)載均衡策略和分配比例與替換前基本保持一致，承載連接數(shù)量提高，各服務(wù)器的性能和資源得到了充分的利用，能夠快速判斷服務(wù)器的健康狀態(tài)，保障應(yīng)用的可用性。在核心網(wǎng)數(shù)據(jù)傳輸上：由于從百兆平臺(tái)升級(jí)為千兆平臺(tái)，內(nèi)部數(shù)據(jù)傳輸和交換能力大大提高，也一定程度上提高了報(bào)表、查詢等操作的網(wǎng)絡(luò)響應(yīng)速度。

4.2部分測(cè)試數(shù)據(jù)對(duì)比

由于測(cè)試條件和測(cè)試工具有限，因此只對(duì)負(fù)載均衡、交換機(jī)設(shè)備的一些直觀數(shù)據(jù)進(jìn)行監(jiān)測(cè)，交換機(jī)由于是百兆到千兆的升級(jí)，前后無(wú)對(duì)比性，因此只做整體體驗(yàn)性分析，不做單項(xiàng)數(shù)據(jù)分析。（1）根據(jù)檢測(cè)數(shù)據(jù)，國(guó)產(chǎn)產(chǎn)品基本上能夠滿足黑龍江省郵政互聯(lián)網(wǎng)環(huán)境升級(jí)的需要。國(guó)產(chǎn)產(chǎn)品上應(yīng)用了較多自主研發(fā)的核心技術(shù)，例如硬件加密算法更符合國(guó)家的信息安全規(guī)范；產(chǎn)品也是基于國(guó)內(nèi)市場(chǎng)量身定制，更能符合國(guó)內(nèi)的用戶需求。此外，在穩(wěn)定性以及主體功能實(shí)現(xiàn)上，國(guó)內(nèi)外產(chǎn)品差距不大，只是國(guó)內(nèi)外產(chǎn)品的側(cè)重點(diǎn)不同，例如：深信服產(chǎn)品側(cè)重于對(duì)服務(wù)器的健康、穩(wěn)定性檢查以及智能分析方面，同時(shí)提供速度優(yōu)化保障；F5主要關(guān)注于減少服務(wù)器壓力以及對(duì)服務(wù)器安全保障方面；Radware側(cè)重于對(duì)服務(wù)器速度的優(yōu)化和管理，提示服務(wù)器訪問(wèn)速度。（2）在使用過(guò)程中，也發(fā)現(xiàn)了一些國(guó)產(chǎn)設(shè)備問(wèn)題。首先在功能方面，國(guó)內(nèi)的產(chǎn)品過(guò)多于做一體化解決平臺(tái)，產(chǎn)品跨界較嚴(yán)重，同一產(chǎn)品上或多或少地集成了一些安全功能，產(chǎn)品不專(zhuān)一，設(shè)備的性能往往被浪費(fèi)到不用的功能資源上。其次，部分國(guó)產(chǎn)產(chǎn)品在配置操作上，邏輯關(guān)系不清楚，配置復(fù)雜，不像國(guó)外產(chǎn)品配置邏輯關(guān)系清楚明了，此外在細(xì)節(jié)的處理上，對(duì)比國(guó)外產(chǎn)品有一定的差距。（3）雖然存在一些問(wèn)題，但國(guó)產(chǎn)產(chǎn)品相比國(guó)外產(chǎn)品，更符合中國(guó)的實(shí)際網(wǎng)絡(luò)情況，更了解國(guó)內(nèi)用戶的使用需求。在安全方面，使用較多自主研發(fā)的核心技術(shù)，使用符合國(guó)密標(biāo)準(zhǔn)的加密算法；售后服務(wù)較為便捷、完善。根據(jù)我省在實(shí)際環(huán)境中的替代使用，作為一種替換方案，作者覺(jué)得國(guó)內(nèi)產(chǎn)品在結(jié)構(gòu)不復(fù)雜、拓展需求不特別高的關(guān)鍵網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)的吞吐能力、數(shù)據(jù)并發(fā)處理能力上都不弱于國(guó)外產(chǎn)品，完全能滿足到企業(yè)的運(yùn)營(yíng)需要。但由于國(guó)產(chǎn)設(shè)備核心技術(shù)上與國(guó)外產(chǎn)品還是存在差距的，國(guó)產(chǎn)廠商過(guò)于注重多功能融合，因此考慮在核心層的下一層級(jí)或在網(wǎng)絡(luò)邊界層面使用國(guó)產(chǎn)產(chǎn)品。

5結(jié)束語(yǔ)

隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的重視，業(yè)內(nèi)人員已經(jīng)提出了去IOE（IBM，Oracler，EMC），國(guó)產(chǎn)產(chǎn)品代替國(guó)外產(chǎn)品這是大趨勢(shì)，這次替代不是指在IT系統(tǒng)架構(gòu)中的某一個(gè)環(huán)節(jié)，某一個(gè)部件，某一個(gè)局部范圍搞進(jìn)口替代，而是整個(gè)IT系統(tǒng)基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)系統(tǒng)，操作系統(tǒng)到基礎(chǔ)軟件系統(tǒng)都要重建。在關(guān)鍵行業(yè)使用IT設(shè)備，可以保證IT系統(tǒng)減少因?yàn)?人為因素"出現(xiàn)信息風(fēng)險(xiǎn)的可能性。雖然使用國(guó)產(chǎn)IT設(shè)備不一定絕對(duì)安全，但相對(duì)單純使用國(guó)外設(shè)備而言，風(fēng)險(xiǎn)卻可以減低很多。另外國(guó)產(chǎn)設(shè)備和信息安全之間并不能簡(jiǎn)單的劃等號(hào)。例如很多國(guó)產(chǎn)IT產(chǎn)品中的CPU、操作系統(tǒng)等核心系統(tǒng)實(shí)際上仍然是由國(guó)外廠商提供。因此，從某種程度上而言，所謂的信息安全并不能得到完全的保證。如何在替代過(guò)程中，保持原有網(wǎng)絡(luò)的穩(wěn)定又能達(dá)到預(yù)期的目的，這是由各硬件廠商的產(chǎn)品所決定的。作為一個(gè)網(wǎng)絡(luò)工程師，我們的目標(biāo)就是在眾多的國(guó)內(nèi)產(chǎn)品中，選取最穩(wěn)定、性能最優(yōu)的產(chǎn)品，更多地使用有用自主知識(shí)產(chǎn)權(quán)和核心技術(shù)的網(wǎng)絡(luò)產(chǎn)品，應(yīng)用到郵政網(wǎng)絡(luò)中，使郵政網(wǎng)絡(luò)在這個(gè)必然趨勢(shì)下能夠平穩(wěn)過(guò)渡，確保整個(gè)郵政網(wǎng)絡(luò)的信息安全。

參考文獻(xiàn)

[1]企業(yè)網(wǎng)D1NET《網(wǎng)絡(luò)信息安全形勢(shì)不容樂(lè)觀國(guó)產(chǎn)化浪潮成主流趨勢(shì)》

第4篇：防火墻的核心技術(shù)范文

隨著信息化建設(shè)的深入，互聯(lián)網(wǎng)上的各種應(yīng)用不斷增多，作為邊界防御的基礎(chǔ)設(shè)施――防火墻，也面臨多重挑戰(zhàn)。

圖1 VSP體系結(jié)構(gòu)圖

一方面安全需求日新月異，另一方面網(wǎng)絡(luò)帶寬飛速擴(kuò)展，傳統(tǒng)的小作坊式研發(fā)設(shè)計(jì)已經(jīng)不能滿足要求，設(shè)備平臺(tái)化已經(jīng)成為發(fā)展的趨勢(shì)。

通過(guò)平臺(tái)化，防火墻能夠迅速適應(yīng)新的硬件平臺(tái)，性能得以快速提高，滿足甚至領(lǐng)先于網(wǎng)絡(luò)帶寬的發(fā)展。

同時(shí)，平臺(tái)化的防火墻具備良好的擴(kuò)展性和適應(yīng)性，可以快速移植到各種硬件平臺(tái)，提高系統(tǒng)的性價(jià)比，并很容易發(fā)展出新的功能，適應(yīng)用戶特殊的或不斷變化的安全需求。聯(lián)想網(wǎng)御在下一代安全架構(gòu)中，推出了彈性架構(gòu)的安全平臺(tái)，正是為了順應(yīng)這種發(fā)展潮流，將防火墻產(chǎn)品的研發(fā)設(shè)計(jì)推向了新的高度。

彈性架構(gòu)的安全平臺(tái)包含四項(xiàng)核心組成部分:通用安全平臺(tái)（VSP）是所有防火墻設(shè)備的基礎(chǔ)，統(tǒng)一安全引擎（USE）是防火墻設(shè)備的安全發(fā)動(dòng)機(jī)，多重冗余協(xié)議（MRP）是防火墻設(shè)備高可靠性的保證，高速安全硬件（HSH）則是防火墻設(shè)備高性能的助推器。

在安全產(chǎn)品實(shí)現(xiàn)上，四類(lèi)核心技術(shù)的有效組合，可以為用戶提供多樣化的安全功能:既能為高端用戶提供專(zhuān)用的、高性能的、高可靠性的安全設(shè)備，如防火墻、VPN、IPS等，又能為中小型用戶提供多功能、高性價(jià)比、易于管理維護(hù)的安全設(shè)備，如UTM，還能夠根據(jù)用戶需求，在專(zhuān)用安全設(shè)備上提供增強(qiáng)的安全功能，快速完成產(chǎn)品定制，如在高端防火墻上提供異常流量的分析過(guò)濾器。

通用安全平臺(tái)

VSP作為一個(gè)專(zhuān)用安全軟件平臺(tái)，參照國(guó)際標(biāo)準(zhǔn)，基于完善的體系結(jié)構(gòu)設(shè)計(jì)，將實(shí)時(shí)操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起，具有高效、智能、安全、健壯、易擴(kuò)展等特點(diǎn)。

VSP面向網(wǎng)絡(luò)吞吐和安全處理，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，VSP通過(guò)控制平面和數(shù)據(jù)平面的分離，集中主要資源于數(shù)據(jù)平面，進(jìn)行網(wǎng)絡(luò)吞吐和安全處理，使系統(tǒng)具有極強(qiáng)的實(shí)時(shí)性和網(wǎng)絡(luò)吞吐能力。

圖2 USE示意圖

VSP參考微內(nèi)核設(shè)計(jì)，基于消息機(jī)制，僅將最基本的操作系統(tǒng)功能置于微內(nèi)核，多余服務(wù)和應(yīng)用程序均構(gòu)造于微內(nèi)核之上，確保任何服務(wù)和應(yīng)用的問(wèn)題都不會(huì)造成整個(gè)系統(tǒng)的崩潰。同時(shí)，微內(nèi)核中集成攻擊防御引擎，可有效檢測(cè)和抵御攻擊行為，從根本上提高了產(chǎn)品的可靠性和健壯性。

通過(guò)系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù)，VSP與各種嵌入式系統(tǒng)相比，具有高度靈活性和可擴(kuò)展性。同時(shí)，VSP將硬件驅(qū)動(dòng)獨(dú)立為硬件抽象平面，對(duì)上層軟件提供統(tǒng)一調(diào)用接口，對(duì)下層硬件統(tǒng)一定義驅(qū)動(dòng)標(biāo)準(zhǔn)，適應(yīng)不同規(guī)格的硬件架構(gòu)，實(shí)現(xiàn)與多種專(zhuān)用芯片的無(wú)縫融合，VSP可充分利用從IXP，PowerPC到NP、內(nèi)容加速芯片等各種先進(jìn)硬件平臺(tái)的優(yōu)勢(shì)。

統(tǒng)一安全引擎

以VSP為基礎(chǔ)，優(yōu)化傳統(tǒng)的安全引擎，抽象數(shù)據(jù)模型、構(gòu)造統(tǒng)一架構(gòu)，有效地將狀態(tài)過(guò)濾、VPN、IPS、內(nèi)容過(guò)濾等多類(lèi)別安全引擎集成為統(tǒng)一的安全引擎，顯著提升了防火墻的安全防御能力。

統(tǒng)一安全引擎克服了傳統(tǒng)上各個(gè)安全引擎獨(dú)自為戰(zhàn)，存在大量冗余處理的缺點(diǎn)（比如，蠕蟲(chóng)檢測(cè)在IDS，病毒檢測(cè)中都要處理），通過(guò)高效的引擎集成技術(shù)，將各個(gè)安全功能與網(wǎng)絡(luò)協(xié)議棧的處理有機(jī)地整合為一體，狀態(tài)檢測(cè)、協(xié)議分析機(jī)、深度過(guò)濾、內(nèi)容檢測(cè)等引擎協(xié)同工作，對(duì)于監(jiān)測(cè)的數(shù)據(jù)包，一次性拆包即可完成2～7層的檢測(cè)，同時(shí)采用聯(lián)想的專(zhuān)利技術(shù)――基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。

防火墻根據(jù)用戶需求側(cè)重點(diǎn)不同，通過(guò)統(tǒng)一的配置接口，可以方便的組合使用各種安全特性，加上不同的硬件架構(gòu)，可以適應(yīng)用戶的不同安全需求。

多重冗余協(xié)議

基于聯(lián)想擁有的大型計(jì)算機(jī)高可靠設(shè)計(jì)專(zhuān)利技術(shù)，利用電信骨干網(wǎng)可靠性運(yùn)營(yíng)維護(hù)專(zhuān)業(yè)經(jīng)驗(yàn)，通過(guò)在物理層、鏈路層、網(wǎng)絡(luò)層、實(shí)體層等多個(gè)層面實(shí)現(xiàn)多元化冗余設(shè)計(jì)，可有效地保障防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。

圖3 MRP示意圖

由于防火墻在鏈路層支持多WAN口出口，通過(guò)鏈路冗余協(xié)議，實(shí)現(xiàn)多出口間的負(fù)載均衡和備份，正常時(shí)可以充分利用鏈路資源，任何一條鏈路的故障癱瘓不會(huì)影響網(wǎng)絡(luò)的正常通信。

同時(shí)，防火墻通過(guò)支持基于802.3ad標(biāo)準(zhǔn)，實(shí)現(xiàn)多物理端口聚合，在正常狀態(tài)下可以幫助用戶做到“零投資”帶寬倍增，在單點(diǎn)故障時(shí)，又可以實(shí)現(xiàn)正常的網(wǎng)絡(luò)通信不中斷。

MRP支持基于狀態(tài)自動(dòng)探測(cè)的雙機(jī)熱備。當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時(shí)，備份機(jī)可自動(dòng)檢測(cè)并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時(shí)間小于1秒鐘。同時(shí)，基于國(guó)內(nèi)首創(chuàng)的“狀態(tài)增量同步”技術(shù)，解決了主從設(shè)備之間狀態(tài)一致性問(wèn)題，在保證不損失狀態(tài)檢測(cè)的安全性的同時(shí)，保證了系統(tǒng)切換期間會(huì)話不會(huì)中斷。

MRP支持主動(dòng)負(fù)載均衡、會(huì)話保護(hù)和接管以及主動(dòng)配置同步等功能，不但可以在集群和雙機(jī)中實(shí)現(xiàn)配置的同步，簡(jiǎn)化用戶的管理負(fù)擔(dān)，并且基于“狀態(tài)增量同步技術(shù)”實(shí)現(xiàn)了業(yè)務(wù)在多臺(tái)設(shè)備之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動(dòng)態(tài)路由協(xié)議帶來(lái)的“業(yè)務(wù)續(xù)斷問(wèn)題”，在透明、路由、混合等多種工作模式下實(shí)現(xiàn)負(fù)載均衡，最多可以支持2~8臺(tái)的設(shè)備集群。

通用平臺(tái)最后一公里

多核多線程芯片技術(shù)是網(wǎng)絡(luò)設(shè)備領(lǐng)域的最新發(fā)展，因此各大廠商都希望將其實(shí)現(xiàn)產(chǎn)品化。通過(guò)將CPU與網(wǎng)絡(luò)總線、安全應(yīng)用加速引擎的集成，極大拓展了內(nèi)部帶寬，解決了通用平臺(tái)的總線瓶頸，多核多線程的體系結(jié)構(gòu)特別適合網(wǎng)絡(luò)并行運(yùn)算，使防火墻的網(wǎng)絡(luò)處理速度從千兆走向萬(wàn)兆。

將彈性架構(gòu)的安全平臺(tái)作為防火墻的技術(shù)基礎(chǔ)，以此為基礎(chǔ)形成的產(chǎn)品和解決方案可以應(yīng)對(duì)新的安全威脅在速度、范圍和復(fù)雜性方面的挑戰(zhàn)，快速滿足用戶需求。

第5篇：防火墻的核心技術(shù)范文

關(guān)鍵詞:防火墻;Linux;路由策略

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)13-3358-02

1 引言

防火墻一詞來(lái)源于建筑學(xué)。在建筑物中,防火墻是用抗熱防火材料建成的墻,用來(lái)減弱或阻止火勢(shì)在建筑物中直接地蔓延。同理,在網(wǎng)絡(luò)環(huán)境中,防火墻是一個(gè)介于內(nèi)網(wǎng)和外網(wǎng)之間,保護(hù)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的非法入侵或攻擊,由硬件或軟件組成的專(zhuān)用設(shè)備。

現(xiàn)在經(jīng)常使用的專(zhuān)業(yè)級(jí)防火墻,主要有通用CPU和ASIC兩種架構(gòu)。通用CPU架構(gòu)一般都基于Intel X86的架構(gòu),能夠方便升級(jí)和擴(kuò)展,但由于這種架構(gòu)采用的是PCI總線接口,Intel X86架構(gòu)雖然在理論上能達(dá)到2Gbps甚至更高的吞吐量,但在實(shí)際應(yīng)用中,通用CPU的處理能力較差,操作系統(tǒng)尤其是在處理小包時(shí),遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱(chēng)性能。ASIC架構(gòu)通過(guò)采用硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面和控制層面分離等技術(shù),解決了帶寬容量和性能不足的問(wèn)題,在穩(wěn)定性方面也得到了很好的保證。但由于采用純硬件架構(gòu),所以往往價(jià)格偏高,靈活性和擴(kuò)展性也較差。

我校的校園網(wǎng)出口,已經(jīng)部署了一臺(tái)ASIC架構(gòu)的硬件防火墻,但為了應(yīng)對(duì)防火墻硬件突發(fā)故障、系統(tǒng)升級(jí)這類(lèi)的事件,需要再接入一臺(tái)防火墻來(lái)保障出口帶寬的高可用性。通過(guò)綜合ASIC架構(gòu)防火墻價(jià)格、備份防火墻的使用率和服務(wù)器本身性能等因素分析,設(shè)計(jì)選擇Intel X86架構(gòu),基于Linux操作系統(tǒng)的軟件防火墻來(lái)實(shí)現(xiàn)出口冗余,使方案具有更高的性價(jià)比。

2 Linux防火墻原理解析

目前出口的硬件防火墻主要通過(guò)包過(guò)濾和路由協(xié)議來(lái)保障內(nèi)外網(wǎng)的通訊。為了達(dá)到防火墻冗余的預(yù)期效果,Linux防火墻也必須實(shí)現(xiàn)這兩大功能。

2.1 Iptables數(shù)據(jù)包過(guò)濾

所謂數(shù)據(jù)包過(guò)濾,就是通過(guò)匹配數(shù)據(jù)包中的幾個(gè)主要元素:比如IP地址、端口信息和使用協(xié)議等,有選擇性地傳輸數(shù)據(jù),從而保證內(nèi)網(wǎng)安全。Linux防火墻是利用它內(nèi)核中Netfilter模塊的三個(gè)“規(guī)則表”,以及每個(gè)表中不同內(nèi)建的“鏈”(如圖1)來(lái)實(shí)現(xiàn)封包階段的工作。在Linux中,一般都使用Iptables來(lái)管理內(nèi)核包過(guò)慮,它是Linux提供的一個(gè)完全免費(fèi)的軟件。Iptables對(duì)服務(wù)器硬件要求低,功能強(qiáng)大,且規(guī)則靈活。通過(guò)Iptables命令對(duì)Netfilter表中的各個(gè)鏈的操作配置,很好地完成內(nèi)外網(wǎng)之間流入和流出的數(shù)據(jù)的處理。

以Filter表傳輸數(shù)據(jù)包的過(guò)程為例,它內(nèi)建有INPUT、FORWARD和OUTPUT 3個(gè)鏈,每個(gè)鏈可以設(shè)置多個(gè)不同規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)防火墻,Iptables就會(huì)逐條規(guī)則檢查,看是否符合規(guī)則中所定義的條件。如果符合,系統(tǒng)將根據(jù)該規(guī)則的策略處理該數(shù)據(jù)包;否則繼續(xù)匹配下一條規(guī)則。假設(shè)一個(gè)數(shù)據(jù)包不符合鏈中所有規(guī)則,系統(tǒng)則根據(jù)該鏈預(yù)先定義的配置來(lái)處理該數(shù)據(jù)包。

2.2 路由協(xié)議選擇

當(dāng)前的校園網(wǎng)有三個(gè)外網(wǎng)出口,需要選擇合適的路由協(xié)議來(lái)處理外出數(shù)據(jù)流向,來(lái)縮短到目的網(wǎng)絡(luò)地址的距離,提高上網(wǎng)速度。

路由協(xié)議分為靜態(tài)路由和動(dòng)態(tài)路由。靜態(tài)路由需要預(yù)先在路由器中手動(dòng)設(shè)置固定的路由表,當(dāng)內(nèi)網(wǎng)中的一臺(tái)主機(jī)發(fā)送外出訪問(wèn)數(shù)據(jù)時(shí),路由器將從該路由表中匹配一個(gè)能到達(dá)目的地址的路由,然后把用戶數(shù)據(jù)送給相應(yīng)的對(duì)端路由器,再由此路由器負(fù)責(zé)把用戶數(shù)據(jù)最終送達(dá)目的地。由于靜態(tài)路由不能適應(yīng)網(wǎng)絡(luò)拓?fù)渥兓?一般用于網(wǎng)絡(luò)規(guī)模較小或拓?fù)浣Y(jié)構(gòu)穩(wěn)定的網(wǎng)絡(luò)中。而動(dòng)態(tài)路由協(xié)議則不同,它可以實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化,并更新路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?更適合網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。由于校園網(wǎng)外出環(huán)境相對(duì)穩(wěn)定,所以選擇占用CPU和帶寬資源較少的靜態(tài)路由來(lái)完成出口數(shù)據(jù)包的轉(zhuǎn)發(fā)。

3 校園網(wǎng)防火墻設(shè)計(jì)

3.1 Iptables策略設(shè)計(jì)

在包轉(zhuǎn)發(fā)策略設(shè)計(jì)中,主要包括內(nèi)網(wǎng)到外網(wǎng)地址轉(zhuǎn)換(NAT)和服務(wù)器區(qū)安全(DMZ)兩個(gè)功能的配置。在Linux系統(tǒng)中,一般可以通過(guò)shell編程來(lái)批處理Iptables的配置命令,這樣也方便以后防火墻策略的啟動(dòng)和維護(hù)。

3.1.1 NAT設(shè)計(jì)

下面的代碼以網(wǎng)通接口為例,實(shí)現(xiàn)了內(nèi)網(wǎng)數(shù)據(jù)通過(guò)網(wǎng)通出口來(lái)訪問(wèn)外網(wǎng)。

# Interface Information防火墻網(wǎng)通接口信息

# ------------------------------------------------------------

# CNC network parameters

# ------------------------------------------------------------

CNC_IFACE=eth1

CNC_IP_POOL=221.10.18.68-221.10.18.72

# -------------------------------------------------------------

#Nat to Chinanet,CNC,Cernet到網(wǎng)通的NAT

# -------------------------------------------------------------

iptabls -t nat -A POSTROUTING -o $CNC_IFACE -j SNAT --to-source $ CNC_IP_POOL

iptabls -t nat -A POSTROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT

按照同樣的方法,便可以設(shè)計(jì)出內(nèi)網(wǎng)到電信和教育網(wǎng)的NAT策略。

3.1.2 DMZ設(shè)計(jì)

下面的代碼定義了在DMZ區(qū)中服務(wù)器IP或端口的映射。

# Function Statement 定義服務(wù)器IP,端口映射的映射。

# ------------------------------------------------------------

# Function RelateIp($1=TargetIP, $2=TrueIP)

# ------------------------------------------------------------

function RelateIp()

{

iptabls -t nat -A PREROUTING -d $1 -j DNAT --to $2 }

# ------------------------------------------------------------

# Function RelatePort($1=TargetIP, $2=TargetPort,

# $3=TrueIP, $4=TruePort,

# $5=Tcp or Udp)

# ------------------------------------------------------------

function RelatePort()

{

iptabls -t nat -A PREROUTING -d $1 -p $5 --dport $2 -j DNAT --to $3:$4 }

使用上面定義,就可以根據(jù)不同需求,來(lái)實(shí)現(xiàn)DMZ區(qū)服務(wù)器的映射和安全。

3.2 策略路由配置

由于校園網(wǎng)外接鏈路分別由電信、網(wǎng)通和教育網(wǎng)提供,所以首先需要根據(jù)帶寬供應(yīng)商提供的地址列表,整理出相應(yīng)的IP段。然后,根據(jù)整理的地址段,編譯各個(gè)出口的路由shell文檔。下面是整理出的部分的教育網(wǎng)路由策略。

# ------------------------------------------------------------

# Cernet Route_table 教育網(wǎng)路由表

# ------------------------------------------------------------

route add -net 59.64.0.0/13 gw 210.41.240.254 dev eth2

route add -net 59.72.0.0/14 gw 210.41.240.254 dev eth2

route add -net 59.76.0.0/16 gw 210.41.240.254 dev eth2

在多路由表的Linux服務(wù)器上,所有的路由操作,都需要首先對(duì)照預(yù)先設(shè)置的路由表,如果沒(méi)有與之匹配的路由,則按照默認(rèn)的主路由進(jìn)行操作。所以設(shè)計(jì)中,只需整理出到教育網(wǎng)和網(wǎng)通地址的路由表。當(dāng)沒(méi)有與它們匹配的路由時(shí),則默認(rèn)從電信出口訪問(wèn)。

4 總結(jié)

通過(guò)本文,了解了校園網(wǎng)防火墻的基本設(shè)計(jì)思路以及具體的設(shè)計(jì)。實(shí)際上,Linux防火墻不但可以為校園網(wǎng)的出口安全提供保障,還可以利用Linux豐富的軟件資源,來(lái)實(shí)現(xiàn)優(yōu)化出口帶寬,日志管理等功能。

參考文獻(xiàn):

[1] Carasik-Henmi A.防火墻核心技術(shù)精解[M].李華飚,柳振良,王恒,等,譯.北京:中國(guó)水利水電出版社,2005.

[2] 李蔚澤.Red Hat Linux 9網(wǎng)絡(luò)管理[M].北京:清華大學(xué)出版社,2004.

[3] Kochan S G,Wood P.UNIX SHELL編程[M].3版.袁科萍,岑崗,譯.北京:中國(guó)鐵道出版社,2004.

[4] Bwllovin C.防火墻與因特網(wǎng)安全[M].戴宗坤,羅萬(wàn)伯,譯.北京:機(jī)械工業(yè)出版社,2000.

[5] 吳進(jìn).基于2.4以上版本內(nèi)核的Linux防火墻技術(shù)研究[J].西安郵電學(xué)院學(xué)報(bào),2008(3).

[6] 鄭超,高學(xué)全,張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2008(11).

[7] 馬永紅,駱小紅.基于Linux系統(tǒng)實(shí)現(xiàn)校園網(wǎng)多出口策略路由的研究與應(yīng)用[J].科技信息,2008(10).

第6篇：防火墻的核心技術(shù)范文

等級(jí)考試中存在的安全隱患

隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，資源共享日益加強(qiáng)，但是網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越突出，具體表現(xiàn)為：入侵用戶計(jì)算機(jī)系統(tǒng)、竊取用戶信息、修改用戶數(shù)據(jù)、控制用戶電腦等。分析認(rèn)為，利用計(jì)算機(jī)網(wǎng)絡(luò)考試所面臨的安全威脅主要是服務(wù)封鎖攻擊。指一個(gè)用戶占有大量的共享資源，使系統(tǒng)沒(méi)有剩余的資源給其他用戶再提供服務(wù)的一種攻擊方式。

服務(wù)封鎖攻擊的結(jié)果是降低系統(tǒng)資源的可用性，這些資源可以是CPU時(shí)間、磁盤(pán)空間、MODEM、打印機(jī)，甚至是系統(tǒng)管理員的時(shí)間。攻擊的方法包括通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件獲取用戶的賬號(hào)和密碼；常用的攻擊工具有掃描器、口令攻擊器、特洛伊木馬、網(wǎng)絡(luò)嗅探器等。黑客常用的攻擊技術(shù)主要有緩沖區(qū)溢出攻擊、IP欺騙攻擊、Web欺騙攻擊、電子郵件攻擊、拒絕服務(wù)攻擊等技術(shù)，突破防火墻等等，攻擊的步驟分為：第一步：尋找可入侵目標(biāo)主機(jī)并分析目標(biāo)主機(jī)；第二步：入侵有安全漏洞的主機(jī)并獲取賬號(hào)和密碼，登錄主機(jī)；第三步：得到超級(jí)用戶權(quán)限，控制主機(jī)；第四步：隱藏自己。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)、網(wǎng)絡(luò)癱瘓。

對(duì)全國(guó)計(jì)算機(jī)等級(jí)考試上機(jī)考試構(gòu)成安全威脅可以分為以下幾種類(lèi)型：黑客入侵、來(lái)自內(nèi)部的攻擊、計(jì)算機(jī)病毒的侵入、優(yōu)盤(pán)的使用和修改網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)等，這些都可能對(duì)考試的順利進(jìn)行造成威脅。

網(wǎng)絡(luò)考試安全策略分析

網(wǎng)絡(luò)安全威脅的表現(xiàn)形式自然災(zāi)害、意外事故。計(jì)算機(jī)犯罪。人為行為，例如使用不當(dāng)，安全意識(shí)差等?！昂诳汀毙袨椋捎诤诳偷娜肭只蚯?jǐn)_，內(nèi)部泄密、外部泄密、信息丟失、電子諜報(bào)，例如信息流量分析、信息竊取、信息戰(zhàn)、網(wǎng)絡(luò)協(xié)議中的缺陷等。

1.防火墻技術(shù)

防火墻是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道。防火墻本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的各種活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。按使用的核心技術(shù)，可將防火墻分為包過(guò)濾防火墻（根據(jù)流經(jīng)防火墻的數(shù)據(jù)包頭信息，決定是否允許該數(shù)據(jù)包通過(guò)）、狀態(tài)檢測(cè)防火墻、應(yīng)用防火墻、復(fù)合型防火墻等四種。

2.數(shù)據(jù)加密、授權(quán)訪問(wèn)控制技術(shù)

用戶授權(quán)訪問(wèn)控制具體在等級(jí)考試中的應(yīng)用為：考生的考試機(jī)的操作系統(tǒng)是WindowsXP，它必須是這臺(tái)考試機(jī)的用戶，并且它必須是屬于這臺(tái)考試機(jī)的Administrators組的成員，這樣這臺(tái)考試機(jī)就可以以這個(gè)用戶登錄進(jìn)行考試。為保證考試機(jī)使用空白密碼可以訪問(wèn)服務(wù)器，需要在服務(wù)器上進(jìn)行必要設(shè)置。運(yùn)行g(shù)pedit.msc，依次展開(kāi)“計(jì)算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項(xiàng)”，將“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄?！币豁?xiàng)禁用即可。NCRE考試使用的是Windows操作系統(tǒng)，在考試前進(jìn)行用戶名登錄注冊(cè)，設(shè)置登錄密碼；設(shè)置目錄和文件訪問(wèn)權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設(shè)置用戶級(jí)訪問(wèn)控制。

3.物理防范技術(shù)

為了確保考試的順利進(jìn)行，在準(zhǔn)備考場(chǎng)的時(shí)候，也可以將局域網(wǎng)與外網(wǎng)斷開(kāi)，這樣可以防范外網(wǎng)攻擊。為了防范考生在考試的時(shí)候利用優(yōu)盤(pán)作弊，可以在CMOS中禁用USB接口。

4.采用的具體措施

身份驗(yàn)證訪問(wèn)授權(quán)（Authorization），實(shí)時(shí)侵入檢測(cè)技術(shù)、網(wǎng)絡(luò)分段、選擇集線器、VLAN技術(shù)、VPN技術(shù)、防火墻技術(shù)。

5.考試組織者的安全意識(shí)

作為考試的組織者，考試系統(tǒng)管理員與教務(wù)人員要運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制各種作弊的行為，才能把不安全的因素降到最低。用備份和鏡像技術(shù)提高數(shù)據(jù)可靠性，創(chuàng)建安全的網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)加密、防治病毒、安裝補(bǔ)丁程序、細(xì)閱讀日志、提防虛假的安全、構(gòu)筑防火墻等。網(wǎng)絡(luò)系統(tǒng)的安全措施應(yīng)實(shí)現(xiàn)如下目標(biāo)：對(duì)存取的控制；保持系統(tǒng)和數(shù)據(jù)的完整；能夠?qū)ο到y(tǒng)進(jìn)行恢復(fù)和對(duì)數(shù)據(jù)進(jìn)行備份。

第7篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)信息安全；防火墻技術(shù)

1影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的相關(guān)因素

在計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行中，會(huì)受到自然因素的影響，計(jì)算機(jī)的信息存儲(chǔ)主要依靠外部設(shè)備，但是計(jì)算機(jī)本身具有局限性，外部設(shè)備會(huì)遭到破壞，尤其是火災(zāi)、水災(zāi)等一些自然災(zāi)害，都會(huì)損壞計(jì)算機(jī)外部設(shè)備。由于外部環(huán)境的影響，計(jì)算機(jī)網(wǎng)絡(luò)中的部分信息可能會(huì)丟失，影響用戶的使用，造成網(wǎng)絡(luò)信息安全問(wèn)題?；ヂ?lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)，將全世界的人聯(lián)系到一起，但是也造成了信息安全問(wèn)題。不法分子更容易通過(guò)互聯(lián)網(wǎng)竊取數(shù)據(jù)信息，給用戶造成不可估量的損失。在一般安全的模式下，互聯(lián)網(wǎng)的TCP/IP協(xié)議環(huán)境防護(hù)能力比較薄弱，安全等級(jí)比較低。在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中，黑客入侵是一個(gè)重大的問(wèn)題，也是嚴(yán)重的威脅。黑客的行動(dòng)有兩種，一種是主動(dòng)性攻擊，攻擊具有目的性和計(jì)劃性，通過(guò)網(wǎng)絡(luò)攻擊獲得數(shù)據(jù)和信息。主動(dòng)性攻擊很容易被直接發(fā)現(xiàn)。黑客也會(huì)發(fā)起被動(dòng)性攻擊，如將惡意軟件或者病毒放在隱藏的文件中，秘密竊取數(shù)據(jù)和信息。黑客攻擊嚴(yán)重威脅網(wǎng)絡(luò)信息安全，往往給用戶造成重大損失。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理漏洞，也會(huì)影響信息安全。

2新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)

2.1防火墻技術(shù)

作為目前計(jì)算機(jī)網(wǎng)絡(luò)信息安全普遍使用的技術(shù)之一，防火墻技術(shù)的應(yīng)用將計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)與計(jì)算機(jī)外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）進(jìn)行了有效隔離，其組成不僅包括各類(lèi)型硬件設(shè)施，還包括相關(guān)的軟件。防火墻被視作計(jì)算機(jī)網(wǎng)絡(luò)信息安全的基礎(chǔ)保障，它能夠?qū)崿F(xiàn)對(duì)內(nèi)、外網(wǎng)信息交流過(guò)程中的信息篩選、檢查，具有一定的過(guò)濾功能，并且，計(jì)算機(jī)防火墻還能夠?qū)崿F(xiàn)風(fēng)險(xiǎn)預(yù)警功能，為計(jì)算機(jī)用戶在使用互聯(lián)網(wǎng)的過(guò)程中提供參考。基于防火墻技術(shù)的發(fā)展，在實(shí)際使用中，除人為設(shè)定防火墻防御等級(jí)的方式外，還可以進(jìn)行防火墻防御等級(jí)的自動(dòng)調(diào)整，防火墻軟件可以根據(jù)互聯(lián)網(wǎng)環(huán)境風(fēng)險(xiǎn)評(píng)估的結(jié)果適時(shí)調(diào)整防火墻防御等級(jí)，從而避免防火墻防御等級(jí)過(guò)高影響正常的信息交流。

2.2網(wǎng)絡(luò)信息加密技術(shù)

基于互聯(lián)網(wǎng)的開(kāi)放性，信息在互聯(lián)網(wǎng)上的傳播極易受到不法分子的偵聽(tīng)，因此，為確保信息在互聯(lián)網(wǎng)上傳播的可靠性，則需要對(duì)信息進(jìn)行加密。近年來(lái)，網(wǎng)絡(luò)信息加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域的應(yīng)用收到了很好的效果，網(wǎng)絡(luò)信息加密技術(shù)是當(dāng)前信息安全的核心技術(shù)，在軟件算法的實(shí)現(xiàn)上更加科學(xué)、完善，除滿足一般用戶需求以外，還能夠在一定程度上滿足企業(yè)對(duì)信息加密存儲(chǔ)的需要。所謂網(wǎng)絡(luò)信息加密，是指利用一定的算法，對(duì)明文信息進(jìn)行轉(zhuǎn)碼，成為正常不可讀（或是亂碼）的密文，在互聯(lián)網(wǎng)的傳輸過(guò)程中，即便被不法分子破解，也無(wú)法進(jìn)行逆向解碼，從而保證了信息的安全。對(duì)于信息接受一方來(lái)說(shuō)，可以通過(guò)專(zhuān)用的解密軟件進(jìn)行讀取，從而獲得正確的信息內(nèi)容。因此，在無(wú)法知悉計(jì)算機(jī)網(wǎng)絡(luò)信息加密算法的前提下，即便采取窮舉法進(jìn)行破解，也需要較長(zhǎng)的時(shí)間，隨著時(shí)間的推移，信息的價(jià)值也將逐漸降低。因此，網(wǎng)絡(luò)信息加密技術(shù)在現(xiàn)實(shí)生活中的使用范圍較廣，尤其是對(duì)信息安全要求較高的金融、郵政、軍事等領(lǐng)域，信息加密算法則更加復(fù)雜。

2.3反病毒技術(shù)

計(jì)算機(jī)病毒的出現(xiàn)，使計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全指數(shù)大幅度下降，尤其是近幾年，計(jì)算機(jī)病毒的類(lèi)型較以往明顯增加，且病毒的破壞性也有所增強(qiáng)。以剛剛過(guò)去的“勒索病毒”為例，在短短的4個(gè)月的時(shí)間里，造成超過(guò)370億元的巨大經(jīng)濟(jì)損失，我國(guó)計(jì)算機(jī)用戶也未能幸免。為應(yīng)對(duì)計(jì)算機(jī)病毒的破壞，研究人員對(duì)反病毒技術(shù)進(jìn)行了長(zhǎng)期探索，目前，反病毒技術(shù)主要分為被動(dòng)與主動(dòng)兩種形式。所謂被動(dòng)反病毒技術(shù)，是指在計(jì)算機(jī)病毒出現(xiàn)之后，根據(jù)其作用機(jī)理進(jìn)行研究，通過(guò)更新病毒庫(kù)的方式，達(dá)到病毒防御的效果。所謂主動(dòng)病毒防御，是指利用動(dòng)態(tài)化的病毒防御技術(shù)，針對(duì)計(jì)算機(jī)病毒的普遍特點(diǎn)，采取的一種具有智能化特征的技術(shù)手段，如計(jì)算機(jī)流量監(jiān)測(cè)技術(shù)。無(wú)論何種病毒防御技術(shù)手段，都能夠在一定程度上實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全指數(shù)的提高，并且，通過(guò)多種反病毒技術(shù)手段的綜合應(yīng)用，病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息造成的破壞也將大大降低。

3新環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)措施

3.1合理利用防火墻技術(shù)和安全系統(tǒng)

在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，對(duì)于電腦病毒、惡意軟件，通常采用防火墻技術(shù)，或者網(wǎng)絡(luò)安全系統(tǒng)可以防范。防火墻自身有信息隔離功能，隔離內(nèi)部網(wǎng)和外部網(wǎng)，對(duì)外部信息進(jìn)行安全識(shí)別，定期檢查篩選內(nèi)部文件存檔，防止病毒入侵。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的類(lèi)型，以及惡意軟件也越來(lái)越多，嚴(yán)重威脅計(jì)算機(jī)網(wǎng)絡(luò)信息安全。負(fù)責(zé)設(shè)計(jì)利用防火墻的技術(shù)人員，要對(duì)各種病毒的特征有詳細(xì)的了解，并設(shè)計(jì)具有針對(duì)性的安全系統(tǒng)，保護(hù)信息安全。

3.2提高網(wǎng)絡(luò)信息安全防范意識(shí)

計(jì)算機(jī)網(wǎng)絡(luò)使用者要提高信息安全防范意識(shí)，尤其是黑客防范意識(shí)，黑客入侵往往造成的損失比較大。企業(yè)或者單位要建立黑客攻擊防范體制，完善防范系統(tǒng)，及時(shí)識(shí)別和防范黑客攻擊，利用防火墻阻斷內(nèi)外網(wǎng)的聯(lián)系。重要信息要充分利用加密技術(shù)。在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)平臺(tái)中，通常安全級(jí)別是C1級(jí)，或者是C2級(jí)，容易被惡意篡改或攻擊，在信息傳遞的過(guò)程中，安全性很低。因此要對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行加密管理，設(shè)定訪問(wèn)權(quán)限。對(duì)相關(guān)軟件也要進(jìn)行加密，避免感染計(jì)算機(jī)病毒。要提前檢查加密數(shù)據(jù)文件，對(duì)殺毒軟件也進(jìn)行加密處理，如果出現(xiàn)問(wèn)題，及時(shí)處理。

結(jié)束語(yǔ)

總之，隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)也要不斷提高，及時(shí)解決各種網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題。防火墻技術(shù)是安全使用網(wǎng)絡(luò)的重要屏障，在新環(huán)境下，要不斷更新和完善，滿足用戶的安全需求，保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全。

參考文獻(xiàn) 

[1] 楊海瀾.關(guān)于計(jì)算機(jī)防火墻安全屏障安全可靠網(wǎng)絡(luò)防范途徑思考 [J].電腦知識(shí)與技術(shù)，2016，12（2）：53-54. 

第8篇：防火墻的核心技術(shù)范文

一、主動(dòng)式網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制

傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)及產(chǎn)品在保障網(wǎng)絡(luò)安全時(shí)發(fā)揮著各自的作用，但網(wǎng)絡(luò)安全不是孤立問(wèn)題，依靠任何一款單一的產(chǎn)品無(wú)法實(shí)現(xiàn)，只有將不同廠商、不同功能的產(chǎn)品統(tǒng)一管理，使它們聯(lián)動(dòng)運(yùn)轉(zhuǎn)、協(xié)同工作，才能充分發(fā)揮整體最佳性能，全方位保障網(wǎng)絡(luò)安全。

1.聯(lián)動(dòng)概念聯(lián)動(dòng)指在一個(gè)系統(tǒng)的各個(gè)成員之間建立一種關(guān)聯(lián)和互動(dòng)機(jī)制，通過(guò)這種機(jī)制，各個(gè)成員自由交換各種信息，相互作用和影響。在主動(dòng)式網(wǎng)絡(luò)安全防御體系中，聯(lián)動(dòng)是一種新型的網(wǎng)絡(luò)防護(hù)策略。通過(guò)聯(lián)動(dòng)策略，防火墻、入侵檢測(cè)系統(tǒng)、反病毒系統(tǒng)、日志處理系統(tǒng)等安全技術(shù)和產(chǎn)品在“強(qiáng)強(qiáng)組合，互補(bǔ)互益”的基礎(chǔ)上，充分發(fā)揮單一產(chǎn)品的優(yōu)勢(shì)，構(gòu)建最強(qiáng)的防御系統(tǒng)。

2.傳統(tǒng)聯(lián)動(dòng)模型網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制中較為完善的安全聯(lián)動(dòng)模型有TopSEC模型、入侵檢測(cè)產(chǎn)品、防火墻聯(lián)動(dòng)模型和基于策略的智能聯(lián)動(dòng)模型，下面主要介紹基于策略的智能聯(lián)動(dòng)模型（如圖1所示）。該模型中防火墻、VPN、IDS等安全部件，通過(guò)智能進(jìn)行整合，經(jīng)過(guò)部件關(guān)聯(lián)、智能推理傳送給聯(lián)動(dòng)策略引擎，再根據(jù)事先設(shè)定好的策略進(jìn)行聯(lián)動(dòng)，并將最終的策略應(yīng)用到防火墻、VPN、IDS等安全部件中。

3.主動(dòng)式網(wǎng)絡(luò)安全聯(lián)動(dòng)模型通過(guò)部署誘騙系統(tǒng)，吸引攻擊者，記錄攻擊行為，進(jìn)而分析新型攻擊的特點(diǎn)。同時(shí)，通過(guò)聯(lián)動(dòng)機(jī)制，使模型中的各安全部件協(xié)同工作，最終發(fā)揮主動(dòng)性聯(lián)動(dòng)優(yōu)點(diǎn)，構(gòu)建一個(gè)自適應(yīng)、動(dòng)態(tài)的主動(dòng)式防御系統(tǒng)。其中，蜜罐技術(shù)是防御體系內(nèi)各安全部件實(shí)現(xiàn)主動(dòng)式聯(lián)動(dòng)的核心技術(shù)。（1）蜜罐技術(shù)蜜罐是一種安全概念，美國(guó)Project Honeypot研究組的Lance Spitaner將其定義一種安全資源，它的價(jià)值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統(tǒng)或應(yīng)用程序，也可以是真實(shí)的系統(tǒng)或程序。通過(guò)蜜罐技術(shù)建立一個(gè)誘騙環(huán)境，吸引攻擊者或入侵者，觀察和記錄攻擊行為并形成日志，分析日志后追蹤、識(shí)別入侵者的身份，進(jìn)而學(xué)習(xí)新的入侵規(guī)則，主動(dòng)分析新型攻擊特點(diǎn)，不斷加固自身防御能力。（2）蜜罐技術(shù)實(shí)現(xiàn)方式如圖2所示，簡(jiǎn)單的實(shí)現(xiàn)方式是將蜜罐置于防火墻內(nèi)部，通過(guò)防火墻與外部網(wǎng)絡(luò)進(jìn)行連接。蜜罐內(nèi)部主要由網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)收集和日志記錄模塊組成。網(wǎng)絡(luò)服務(wù)模塊將蜜罐偽裝成正常服務(wù)，吸引入侵者對(duì)其進(jìn)行攻擊；數(shù)據(jù)收集模塊主要捕獲入侵者行為信息，用于分析攻擊者所使用的工具、策略以及攻擊目的等；日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件，并記錄到日志服務(wù)器。（3）基于蜜罐技術(shù)的主動(dòng)式安全聯(lián)動(dòng)模型將蜜罐技術(shù)融合到傳統(tǒng)安全聯(lián)動(dòng)模型，改進(jìn)后形成的新模型，讓蜜罐技術(shù)處于整個(gè)系統(tǒng)的核心地位，使整個(gè)安全聯(lián)動(dòng)模型由被動(dòng)狀態(tài)轉(zhuǎn)變?yōu)橹鲃?dòng)狀態(tài)，利用蜜罐技術(shù)在整個(gè)系統(tǒng)中的自學(xué)習(xí)、自進(jìn)化的特點(diǎn)，克服傳統(tǒng)安全聯(lián)動(dòng)模型無(wú)法主動(dòng)捕獲網(wǎng)絡(luò)攻擊行為、對(duì)未知攻擊防御能力不足的問(wèn)題?；诿酃藜夹g(shù)的主動(dòng)式安全聯(lián)動(dòng)模型（如圖3所示）由防火墻、蜜罐系統(tǒng)、防病毒系統(tǒng)、IDS、策略庫(kù)和聯(lián)動(dòng)系統(tǒng)控制中心組成。該模型通過(guò)蜜罐誘騙系統(tǒng)不斷學(xué)習(xí)新的攻擊手段，將處理后形成的新規(guī)則及策略上傳至模型策略庫(kù)，通過(guò)聯(lián)動(dòng)系統(tǒng)控制中心實(shí)現(xiàn)防火墻、IDS、反病毒等安全部件協(xié)同聯(lián)動(dòng)，及時(shí)更新防火墻、防病毒策略和IDS的檢查規(guī)則。該模型較好地整合了各種安全防御產(chǎn)品的優(yōu)點(diǎn)，借助于蜜罐技術(shù)“主動(dòng)誘捕”的特點(diǎn)，提高了安全防御系統(tǒng)對(duì)于未知攻擊的捕捉能力。

二、網(wǎng)絡(luò)安全防御技術(shù)在數(shù)據(jù)中心的應(yīng)用與展望

目前，國(guó)內(nèi)大型銀行數(shù)據(jù)中心普遍使用的網(wǎng)絡(luò)安全防御技術(shù)是基于網(wǎng)絡(luò)監(jiān)控參數(shù)基線的閾值預(yù)警方法和入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems ，IDS）。閾值預(yù)警方法是在基線數(shù)值基礎(chǔ)上給予一定的冗余，計(jì)算出該監(jiān)控參數(shù)的閾值數(shù)值，形成閾值線。當(dāng)實(shí)際運(yùn)行的數(shù)值超出閾值線，說(shuō)明該監(jiān)控參數(shù)運(yùn)行異常，可以在事件發(fā)生之前提前干預(yù)，阻止事件發(fā)生，保障網(wǎng)絡(luò)服務(wù)連續(xù)性。這種防御技術(shù)支持動(dòng)態(tài)改進(jìn)，但出現(xiàn)誤報(bào)的幾率比較高。IDS主要通過(guò)監(jiān)控網(wǎng)絡(luò)系統(tǒng)的狀態(tài)、行為以及使用情況，檢測(cè)系統(tǒng)用戶越權(quán)使用、系統(tǒng)外部入侵等情況。IDS具有一定的智能識(shí)別和攻擊功能，在檢測(cè)到入侵后能夠及時(shí)采取相應(yīng)措施，是一項(xiàng)相對(duì)成熟的防御技術(shù)。但I(xiàn)DS主要通過(guò)特征庫(kù)判斷，面對(duì)新型攻擊無(wú)法識(shí)別，且攻擊識(shí)別只能在事中或事后階段進(jìn)行，本質(zhì)上仍然是被動(dòng)防護(hù)。在入侵技術(shù)越來(lái)越成熟的形勢(shì)下，采用單一的網(wǎng)絡(luò)安全部件如IDS、防火墻、掃描器、病毒查殺、認(rèn)證等已經(jīng)滿足不了網(wǎng)絡(luò)安全防護(hù)的要求，將各種安全部件的功能和優(yōu)點(diǎn)進(jìn)行融合、實(shí)現(xiàn)聯(lián)動(dòng)互補(bǔ)，進(jìn)而發(fā)揮最大效力將成為必然趨勢(shì)。

第9篇：防火墻的核心技術(shù)范文

論文摘要：在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位。

隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展，互聯(lián)網(wǎng)迅速發(fā)展起來(lái)，國(guó)家逐步進(jìn)入到網(wǎng)絡(luò)化、共享化，我國(guó)已經(jīng)進(jìn)入到信息化的新世紀(jì)。在整個(gè)互聯(lián)網(wǎng)體系巾，局域網(wǎng)是其巾最重要的部分，公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機(jī)構(gòu)網(wǎng)、政府、學(xué)校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實(shí)現(xiàn)了信息的傳輸和共享，為用戶方便訪問(wèn)互聯(lián)網(wǎng)、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開(kāi)放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來(lái)了嚴(yán)重威脅。

信息技術(shù)是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論諸多學(xué)科的技術(shù)。信息技術(shù)的應(yīng)用就是確保信息安全，使網(wǎng)絡(luò)信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分，局域網(wǎng)的安全問(wèn)題也閑此變得更為重要，信息技術(shù)的應(yīng)用必不可少。

1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因

1．1網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統(tǒng)能連續(xù)和可靠地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不巾斷。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機(jī)可能會(huì)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽(tīng)、重傳、偽造、篡改、非授權(quán)訪問(wèn)、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁／射頻截獲、人員疏忽。

網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)、應(yīng)用系統(tǒng)以及防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)和完全掃描等。它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟壳暗母鞣N通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全歸納起來(lái)就是信息的存儲(chǔ)安全和傳輸安全。

1．2網(wǎng)絡(luò)安全產(chǎn)生的原因

1．2．1操作系統(tǒng)存在安全漏洞

任何操作系統(tǒng)都不是無(wú)法摧毀的“饅壘”。操作系統(tǒng)設(shè)計(jì)者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患，網(wǎng)絡(luò)攻擊者以這些“后門(mén)”作為通道對(duì)網(wǎng)絡(luò)實(shí)施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過(guò)大量的測(cè)試與改進(jìn)，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞，通過(guò)一些攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意攻擊，嚴(yán)重時(shí)造成網(wǎng)絡(luò)的癱瘓、系統(tǒng)的拒絕服務(wù)、信息的被竊取或篡改等。

1．2．2 TCP／lP協(xié)議的脆弱性

當(dāng)前特網(wǎng)部是基于TCP／IP協(xié)議，但是陔?yún)f(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。且，南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾，如果人們對(duì)TCP／IP很熟悉，就可以利川它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。

1．2．3網(wǎng)絡(luò)的開(kāi)放性和廣域性設(shè)計(jì)

網(wǎng)絡(luò)的開(kāi)放性和廣域性設(shè)計(jì)加大了信息的保密難度．這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問(wèn)題?；ヂ?lián)網(wǎng)的全開(kāi)放性使網(wǎng)絡(luò)可能面臨來(lái)自物理傳輸線路或者對(duì)網(wǎng)絡(luò)通信協(xié)議以及對(duì)軟件和硬件實(shí)施的攻擊；互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個(gè)角落利州互聯(lián)網(wǎng)上的任何一個(gè)機(jī)器對(duì)網(wǎng)絡(luò)發(fā)起攻擊提供機(jī)會(huì)，這也使得網(wǎng)絡(luò)信息保護(hù)更加難。

1．2．4計(jì)算機(jī)病毒的存在

計(jì)算機(jī)病毒是編制或者存計(jì)箅機(jī)程序巾插入的一組旨在破壞計(jì)箅機(jī)功能或數(shù)據(jù)，嚴(yán)重影響汁算機(jī)軟件、硬件的正常運(yùn)行，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點(diǎn)。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快，給全球地嗣的網(wǎng)絡(luò)安全帶來(lái)了巨大災(zāi)難。

1．2．5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

特網(wǎng)是一個(gè)南無(wú)數(shù)個(gè)局域網(wǎng)連成的大網(wǎng)絡(luò)，它是一種網(wǎng)問(wèn)網(wǎng)技術(shù)。當(dāng)l主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，這樣攻擊者只要利用l臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)就有可能劫持用戶的數(shù)據(jù)包。

2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用

2．1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景

信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護(hù)后進(jìn)入網(wǎng)絡(luò)信息安全研究階段，當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù)，如：防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡(luò)安全是一個(gè)綜合、交叉的學(xué)科，應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開(kāi)展研究，使各部分相互協(xié)同，共同維護(hù)網(wǎng)絡(luò)安全。

國(guó)外的信息安全研究起步較早，早在20世紀(jì)70年代美國(guó)就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上，提出了“可信計(jì)箅機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則(TESEC)”以及后來(lái)的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面的相關(guān)解釋?zhuān)闪税踩畔⑾到y(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，處于發(fā)展提高階段，仍存在局限性和漏洞。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，近年來(lái)空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。自從美國(guó)學(xué)者于1976年提出了公開(kāi)密鑰密碼體制后，成為當(dāng)前研究的熱點(diǎn)，克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴，同時(shí)解決了數(shù)字簽名問(wèn)題。另外南于計(jì)箅機(jī)運(yùn)算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升，各種安全技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)。

2．2信息技術(shù)的應(yīng)用

2．2．1網(wǎng)絡(luò)防病毒軟件

存網(wǎng)絡(luò)環(huán)境下，病毒的傳播擴(kuò)散越來(lái)越快，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對(duì)局域網(wǎng)的渚多特性，應(yīng)該有一個(gè)基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連，則川到網(wǎng)大防病毒軟件來(lái)加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進(jìn)行信息交換．則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件，用于識(shí)別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品，針對(duì)網(wǎng)絡(luò)巾所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件。通過(guò)全方位、多層次的防病毒系統(tǒng)的配置，定期或不定期地動(dòng)升級(jí)，保護(hù)局域網(wǎng)免受病毒的侵襲。

2．2．2防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)；上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾，尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型。防火墻是網(wǎng)絡(luò)安全的屏障：一個(gè)防火墻能檄大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。南于只有經(jīng)過(guò)精心選擇的應(yīng)州協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認(rèn)證、審計(jì)等配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)：如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。

防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問(wèn)非常有效的一種實(shí)施訪問(wèn)控制的手段，邏輯上處于內(nèi)外部網(wǎng)之問(wèn)，確保內(nèi)部網(wǎng)絡(luò)正常安全運(yùn)行的一組軟硬件的有機(jī)組合，川來(lái)提供存取控制和保密服務(wù)。存引人防火墻之后，局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問(wèn)的通信必須經(jīng)過(guò)防火墻進(jìn)行，某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來(lái)設(shè)置防火墻，確定什么類(lèi)型的信息可以通過(guò)防火墻。可見(jiàn)防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略，對(duì)通過(guò)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行檢企，符合安全策略的予以放行，不符合的不予通過(guò)。

防火墻是一種有效的安全工具，它對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是它仍有身的缺陷，對(duì)于內(nèi)部網(wǎng)絡(luò)之問(wèn)的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺(jué)和防范，對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)和侵害，防火墻則得無(wú)能為力。

2．2．3漏洞掃描技術(shù)

漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點(diǎn)，解決網(wǎng)絡(luò)層安全問(wèn)題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估得很不現(xiàn)實(shí)。要解決這一問(wèn)題，必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評(píng)估并提…修改建議的網(wǎng)絡(luò)安全掃描工具，利刖優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。存網(wǎng)絡(luò)安全程度要水不高的情況下，可以利用各種黑客工具對(duì)網(wǎng)絡(luò)實(shí)施模擬攻擊，暴露出：網(wǎng)絡(luò)的漏洞，冉通過(guò)相關(guān)技術(shù)進(jìn)行改善。

2．2．4密碼技術(shù)

密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對(duì)稱(chēng)密碼、非對(duì)稱(chēng)密碼、混合密碼3種體制。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過(guò)程巾也不會(huì)對(duì)所經(jīng)過(guò)網(wǎng)絡(luò)路徑的安全程度做出要求，真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過(guò)程端到端的安全保障。非對(duì)稱(chēng)密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)。

信息加密技術(shù)的功能主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密的方法有3種，一是網(wǎng)絡(luò)鏈路加密方法：目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)之間的鏈路信息安全；二是網(wǎng)絡(luò)端點(diǎn)加密方法：目的是保護(hù)網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全；二是網(wǎng)絡(luò)節(jié)點(diǎn)加密方法：目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)川戶可以根據(jù)實(shí)際要求采川不同的加密技術(shù)。

2．2．5入侵檢測(cè)技術(shù)。

入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使川行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測(cè)技術(shù)同時(shí)監(jiān)測(cè)來(lái)自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動(dòng)，并且對(duì)網(wǎng)絡(luò)入侵事件及其過(guò)程做fIj實(shí)時(shí)響應(yīng)，是維護(hù)網(wǎng)絡(luò)動(dòng)態(tài)安全的核心技術(shù)。入侵檢測(cè)技術(shù)根據(jù)不同的分類(lèi)標(biāo)準(zhǔn)分為基于行為的入侵檢測(cè)和基于知識(shí)的人侵檢測(cè)兩類(lèi)。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來(lái)判斷是否發(fā)生入侵的稱(chēng)為基于行為的入侵檢測(cè)，運(yùn)用已知的攻擊方法通過(guò)分析入侵跡象來(lái)加以判斷是否發(fā)生入侵行為稱(chēng)為基于知識(shí)的入侵檢測(cè)。通過(guò)對(duì)跡象的分析能對(duì)已發(fā)生的入侵行為有幫助，并對(duì)即將發(fā)生的入侵產(chǎn)生警戒作用