防火墻技術論文范文

時間:2023-03-30 11:02:39

導語:如何才能寫好一篇防火墻技術論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

防火墻技術論文

篇1

關鍵詞:網絡安全;防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

(1)軟件防火墻。

軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。

(2)硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。

(3)芯片級防火墻。

芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。

2從防火墻技術

防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。

(1)包過濾(Packetfiltering)型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。

在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。

包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。

(2)應用(ApplicationProxy)型。

應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

在型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型防火和第二代自適應防火墻。

類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。

另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務,在自己的程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。

3從防火墻結構分

從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。

這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。

隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。

原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。

分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。

4按防火墻的應用部署位置分

按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。

個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網絡通信性能的影響也就越小。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。

參考文獻

[1]孫建華等.網絡系統管理-Linux實訓篇[M].北京:人民郵電出版社,2003,(10).

篇2

關鍵詞:外墻保溫;安全措施;現場管理

中圖分類號:TU97文獻標識碼: A 文章編號:

1.外墻保溫材料的應用

目前廣泛應用的外墻外保溫技術體系主要有膨脹聚苯乙烯泡沫(EPS)板薄抹灰外保溫系統、擠塑聚苯乙烯泡沫(XPS)板薄抹灰外保溫系統、聚氨酯泡沫(PU)薄抹灰外保溫系統、膠粉 EPS顆粒保溫漿料外保溫系統、現澆混凝土復合無網EPS板外保溫系統等,其中,EPS板薄抹灰外墻外保溫系統為全國普遍推廣使用的技術,幾乎占節能建筑的90%以上。

PU是目前世界上公認的最佳保溫絕熱材料,導熱系數僅為0.018~0.023W/m。k,25mm厚的PU的保溫效果相當于40mm厚的 EPS、45mm厚的巖棉、380mm厚的混凝土或860mm厚的普通磚。主要指標對比如下。

保溫效果:PU最好,EPS次之,巖棉最差。

耐冷熱性能:巖棉最好,PU次之,EPS最差。

吸水率(性):PU最低,EPS次之,巖棉最易吸水。

使用壽命:巖棉最長,PU次之,苯板最差。

價格:PU最高,巖棉次之,EPS最低。

事實上,EPS、XPS、PU都屬于有機保溫材料,最大優點是質量輕保溫和隔熱性好,最大缺陷是防火安全性差,易老化易燃燒,在燃燒時產生大量煙霧,毒性很大,這些產品的承重性使用年限 防火性都不如無機保溫材料。

2.聚苯板外墻保溫材料的火災危險性

聚苯板薄抹灰系統在國內的外墻外保溫中應用相當普遍,其危險性在于:(1)一旦火災發生,有機保溫板燃燒產生的有毒氣體和火焰會給逃生者帶來巨大危險;(2)因聚苯板受熱產生的熱熔縮變形以及網格布過熱折斷而導致瓷磚墜落,對逃生人員和救助人員造成的傷害也是致命的;(3)當墻體保溫材料表面砂漿龜裂脫落后,也很快會引燃保溫材料,火災迅速向大范圍蔓延;(4)外墻著火之后,由于室內的自動消防設施不能覆蓋外墻,特別是當高層建筑外墻外保溫材料著火后,更是無計可施。

3.國內外外墻保溫系統防火技術現狀

a)國外外墻保溫防火技術現狀:歐美等發達國家對外墻保溫系統均有嚴格的防火安全等級要求,不同的外墻保溫系統和保溫材料設有防火測試方法和分級標準(考慮燃燒時煙氣及毒性釋放),并對不同防火等級的外墻保溫系統的使用范圍有嚴格規定如歐洲標準 E-TAG004《有抹面層的外墻外保溫復合系統歐洲技術標準認證》中規定,對保溫防火性的測試方法要按照 CEN分級文件EN13501-1《建筑產品或組件的燃燒性能分級》進行阻燃等級A1—E的測試防火等級的測定和相關的測試需進行兩次:一次為整個體系,另一次僅為保溫材料同時,對外墻外保溫的防火要求將依據法律法規和適用于建筑物最終使用的管理條例而定,德國有因聚苯板薄抹灰系統防火安全性達不到要求而不能在22m以上建筑物使用的相關規定;英國有18m以上建筑物不允許使用聚苯板薄抹灰外墻外保溫系統的規定;美國紐約州建筑指令中明確規定耐火極限低于2h的聚苯板薄抹灰外墻外保溫系統不允許用在高于22.86m的住宅建筑中,而由巖棉等不燃材料組成的外墻保溫系統則可廣泛應用在各種類型的建筑中,該系統已經成為目前世界上應用范圍最廣的外墻保溫做法之一。

b)國內外墻保溫防火技術現狀:聚苯板薄抹灰系統因其防火性能較差,發達國家對其使用范圍有嚴格的限制,而國內高層超高層建筑采用聚苯板薄抹灰網格布粘貼面磚的外墻外保溫做法相當普遍,主要原因是國內沒有標準對此作出限制規定,如我國現有的 GB50016- 2006《建筑設計防火規范》和 GB50045-95《高層民用建筑設計防火規范》(2005年版)只規定了建筑構件的燃燒性能和耐火極限,附錄 A(各類建筑構件燃燒性能和耐火極限)對外墻的規定均為不燃燒體,但是其中卻沒規定外墻保溫材料的燃燒性能在JGJ144-2004《外墻保溫工程技術規程》的表 4.0.11外墻外保溫系統組成材料性能要求中,對膠粉EPS顆粒保溫漿料的燃燒性能級別標注為B1(難燃性),但對EPS 板的燃燒性能級別標注卻為“—”即沒有規定。

外墻保溫材料的防火已引起國家的重視,公安部消防局會同住房和城鄉建設部標準定額司正在共同組織起草《建筑外保溫材料防火措施》,在征求意見稿中提出了外墻保溫材料燃燒性能要求:“(1)建筑體積大于10萬立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑應采用巖棉礦棉玻璃棉等無機材料制作的保溫材料;(2)建筑體積大于10萬立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外,其他建筑可采用可燃材料做外墻保溫,但應采取相應的防火構造;(3)建筑外裝修材料應采用不燃材料。”。

4.外墻保溫材料防火安全措施

4.1提高外墻保溫材料的防火性能,設置相應的防火構造物

a)對于新建建筑:(1)建議在修訂的標準中, 對外墻保溫材料燃燒性能等級的規定,應能滿足外保溫系統具有阻止火焰傳播的能力;(2)建議在法律法規中明確規定推廣使用不燃材料組成的外墻保溫系統;(3)消防部門應加強對外墻保溫材料防火性能等級的監管和測試;(4)對于使用聚苯板薄抹灰外保溫系統,應增設防火隔離帶、擋火梁等防火構造物。

b)對于已采用可燃材料做保溫層的建筑:(1)保溫層應采用不燃燒材料做水平和豎向分隔;(2)建筑外墻轉角兩側和門洞窗口等開口周圍應采用不燃燒材料進行分隔;(3)建筑外表層應采用不燃材料將保溫層完全覆蓋,可采用水泥砂漿涂抹;(4)當建筑外墻采用幕墻時,幕墻與每層樓板隔墻處的縫隙應采用防火材料封堵。

4.2單位加強消防安全管理,消防部門加強監管

單位要加強消防安全管理,認真開展消防安全自查自糾,針對自查中發現的用火用電不規范 胡亂堆放雜物等問題,必須立即排除;單位要認真落實安全生產的相關制度,落實防火制度和責任人,制定應急機制,規范用火用電,正確設置安全出口指向標志等;單位要加強對員工的消防安全培訓,特別是特殊工種,必須保證員工持證上崗,確保用火用電安全,預防火災事故的發生。

消防部門應加強監管,定期深入各單位進行監督檢查,對存在的問題及時指出,要求單位落實整改對拒絕整改或整改不到位的單位,消防部門將依法給予處罰。監管的內容包括施工現場、施工工人的生活區、明火作業區和外墻保溫材料、木料等易燃物品堆放區的消防設施的配備及監管情況,臨時用電設施的防火、防水、防觸電裝置,外腳手架搭設和安全網的防火情況等。

4.3嚴格建設工程施工現場管理

強化施工現場管理應根據現有的消防條例和保溫工程施工消防安全管理規定并結合實際情況制定出消防安全管理制度, 并認真貫徹執行:(1)保溫板材進場后,不宜露天存放,應遠離火源露天存放時,保溫板材應采取可靠的防護措施。

(2)保溫板材應在電焊等工序結束后進行鋪設確需在保溫板材鋪設后進行電焊等工序的,將電焊部位周圍應采用防火毯進行防火保護,或在可燃保溫材料上涂刷水泥砂漿等不燃保護層進行保護;(3)不得直接在保溫板材上進行防水材料的熱熔熱粘結法施工;(4)配足滅火器消防水泵消防水池等消防設施。

5.結束語

近年來由于外墻保溫引起或加速火勢蔓延的事故頻發,國家有關部門對此類事故的重視上升到了一個新的高度。目前,作為施工單位要做的就是在現場施工階段的防控工作。通過大量的工程實踐,筆者認為對于外墻保溫工程的施工階段只要用科學嚴謹的態度進行管理,火災事故是可以避免的。隨著外墻保溫安全和技術規程標準的完善,建筑節能事業必將健康有序地發展。

【參考文獻】

篇3

關鍵詞:電子商務,信息安全,防火墻,權限控制

 

0 引言

近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站,通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發展。

1 農產品電子商務的安全需求

根據電子商務系統的安全性要求,田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。

1) 系統實體安全

系統實體安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施和過程。

2) 系統運行安全系統運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全。項目組在實施項目前已對系統進行了靜態的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統獲取非法信息,因此系統備份是必不可少的(如采用放置在不同地區站點的多臺機器進行數據的實時備份)。為防止意外停電,系統需要配備多臺備用電源,作為應急設施。

3) 信息安全

系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務,因此保證此類安全最為迫切。系統需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問,即保證系統的可控性。在這基礎上要實現系統的不可否認性,要有效防止通信或交易雙方對已進行的業務的否認。

2 農產品電子商和安全策略

為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:

2.1基于多重防范的網絡安全策略

1) 防火墻技術

防火墻是由軟件系統和硬件系統組成的,在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網與外部網形成一定的隔離,防止非法入侵、非法盜用系統資源,執行安全管制機制,記錄可疑事件等。

防火墻具有很好的保護作用。論文大全,信息安全。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。

邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全,信息安全。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。論文大全,信息安全。

2) VPN 技術

VPN 技術也是一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其分支機構就可以相互之間安全的傳遞信息。同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制,是當前和今后企業網絡發展的趨勢。

VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。

管理問題

由于網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備。論文大全,信息安全。

2.2基于角色訪問的權限控制策略

農產品電子商務系統信息系統含有大量的數據對象,與這些對象有關的用戶數量也非常多,所以用戶權限管理工作非常重要。

目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數據元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限。角色訪問控制策略主要是兩方面的工作:

(1)確定角色

根據系統作業流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據系統的實際功能結構對系統功能進行編碼,系統管理員可以創建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發生沖突。論文大全,信息安全。論文大全,信息安全。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時,系統會根據用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。

2.3基于數據加密的數據安全策略

在農產品商務系統中,數據庫系統作為計算機信息系統核心部件,數據庫文件作為信息的聚集體,其安全性將是重中之重。

1)數據庫加密系統措施

(1)在用戶進入系統進行兩級安全控制

這種控制可以采用多種方式,包括設置數據庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數據抽取方式

提供兩種卸出和裝入數據庫中的加密數據的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數據還是密文,在這種模式下,可直接使用dbms提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數據明文,在這種模式下,可利用系統專用工具先進行數據轉換,再使用dbms提供的卸出、裝入工具完成。

3結束語

隨著信息化技術的快速發展,農產品電子商務創新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現農產品電子商務業務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。

參考文獻:

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.

[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35

[3]張立克.電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69-74.

篇4

1 傳統防火墻的不足

傳統防火墻是現代網絡安全防范的主要支柱,但在安全要求較高的大型網絡中存在一些不足,主要表現如下:

(1) 結構性限制。傳統防火墻的工作原理依賴于網絡的物理拓撲結構,如今,越來越多的跨地區企業利用Internet來架構自己的網絡,致使企業內部網絡已基本上成為一個邏輯概念,因此,用傳統的方式來區別內外網絡十分困難。

(2) 防外不防內。雖然有些傳統防火墻可以防止內部用戶的惡意破壞,但在大多數情況下,用戶使用和配置防火墻主要還是防止來自外部網絡的入侵。

(3) 效率問題。傳統防火墻把檢查機制集中在網絡邊界處的單一接點上,因此,防火墻容易形成網絡的瓶頸。

(4) 故障問題。傳統防火墻本身存在著單點故障問題。一旦處于安全節點上的防火墻出現故障或被入侵,整個內部網絡將完全暴露在外部攻擊者的前面。

2 分布式防火墻的概念

為了解決傳統防火墻面臨的問題,美國AT&T實驗室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義,其系統由以下三部分組成:

(1) 網絡防火墻。網絡防火墻承擔著傳統防火墻相同的職能,負責內外網絡之間不同安全域的劃分;同時,用于對內部網絡中各子網之間的防護。

(2) 主機防火墻。為了擴大防火墻的應用范圍,在分布式防火墻系統中設置了主機防火墻。主機防火墻駐留在主機中,并根據響應的安全策略對網絡中的服務器及客戶端計算機進行安全保護。

(3) 中心管理服務器。中心管理服務器是整個分布式防火墻的管理核心,主要負責安全策略的制定、分發及日志收集和分析等操作。

3 分布式防火墻的工作模式

分布式防火墻的工作模式:由中心策略服務器統一制定安全策略,然后將這些制定好的策略分發到各個相關節點。而安全策略的執行則由相關主機節點獨立實施,再由各主機產生的安全日志集中保存在中心管理服務器上,其工作模式如圖所示。

分布式防火墻工作模式結構

從圖中可以看出,分布式防火墻不再完全依賴于網絡的拓撲結構來定義不同的安全域,可信賴的內部網絡發生了概念上的變化,它已經成為一個邏輯上的網絡,從而打破了傳統防火墻對網絡拓撲的依賴。但是,各主機節點在處理數據時,必須根據中心策略服務器所分發的安全策略來決定是否允許某一節點通過防火墻。

4 分布式防火墻的構建

分布式防火墻的構建主要有如下四個步驟:

(1) 策略的制定和分發。在分布式防火墻系統中,策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發到主機。

(2) 日志的收集。在分布式防火墻中,日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。

(3) 策略實施。策略在管理中心統一制定,通過分發機制傳送到終端的主機防火墻,主機防火墻根據策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統運行的基礎。

(4) 認證。在分布式防火墻系統中通常采用基于主機的認證方式,即根據IP地址進行認證。為了避免IP地址欺騙,可以采用一些強認證方法,例如Kerberos、X.509、IP Sec等。

5 分布式防火墻的主要優勢

在新的安全體系結構下,分布式防火墻代表新一代防火墻技術的潮流,它可以在網絡的任何交界和節點處設置屏障,從而形成了一個多層次、多協議,內外皆防的全方位安全體系。主要優勢如下:

(1) 分布式防火墻增加了針對主機的入侵檢測和防護功能,加強了對來自內部攻擊的防范,可以實施全方位的安全策略。

(2) 分布式防火墻消除了結構性瓶頸問題,提高了系統性能。

(3) 分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。

6 結論

總之,在企事業單位的計算機網絡安全防護中,分布式防火墻技術不僅克服了傳統邊界式防火墻的不足,而且把防火墻的安全防護系統延伸到網絡中的各臺主機。它在整個企事業網絡或服務器中,具有無限制的擴展能力。隨著網絡的增長,它們的處理負荷也會在網絡中進一步分布,從而持續地保持高性能,最終給網絡提供全面的安全防護。

參考文獻

[1],李臻,彭紀奎.基于入侵檢測的分布式防火墻的應用研究[J].微電子學與計算機,2011(6).

篇5

關鍵詞:計算機,網絡安全,防火墻

 

隨著計算機網絡的廣泛應用,網絡安全問題日漸突出。網絡具有跨國界、無主管、不設防、開放、自由、缺少法律約束力等特性,網絡的這些特性顯示了它的許多優點,但同時也使它容易受到來自各方面的入侵和攻擊。如果不很好地解決這個問題,必將阻礙計算機網絡化發展的進程。

1 網絡安全概述

網絡安全從本質上來講就是網絡上的信息安全,指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改,系統能連續正常的工作,網絡服務不中斷。從廣義上來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。

2 網絡安全的威脅因素

歸納起來,網絡安全的威脅主要有:

(1)網絡協議的局限性。 Internet的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。并且,由于TCP/IP協議是公布于眾的,若人們對TCP/IP協議很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。

(2) 人為的無意失誤。如操作員安全配置不當造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。雖然網絡中設置了不少保護屏障,但由于人們的安全意識淡薄,從而使保護措施形同虛設。例如防火墻,它是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目的就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭受外界因素的干擾和破壞。如有人為了避開防火墻服務器的額外認證,進行直接的PPP連接,就會使防火墻失去保護作用。

(3)計算機病毒的危害。 計算機病毒是一個能夠通過修改程序,把自身復制進去進而去傳染其它程序的程序。它并不獨立存在,而是寄生在其他程序之中,它具有能自我“復制”并能“傳播”這一基本特征,并在計算機網絡內部反復地自我繁殖和擴散,危及網絡系統正常工作,最終使計算機及網絡系統發生故障和癱瘓。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網絡的電子郵件和下載軟件傳播。隨著計算機應用的發展,人們深刻地認識到病毒對計算機信息系統造成嚴重的破壞。

(4) 黑客的威脅和攻擊。 這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為2種:一種是網絡攻擊,以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,他是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄露。網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

3計算機網絡安全防范措施

針對網絡系統現實情況,處理好網絡的安全問題是當務之急。為了保證網絡安全采用如下方法:

(1)配置防火墻。防火墻將內部網和公開網分開,實質上是一種隔離技術。它是網絡安全的屏障,是保護網絡安全最主要的手段之一。免費論文。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進人自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客隨意訪問自己的網絡。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。免費論文。

(2)安裝防病毒網關軟件。防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時,可能已經感染了很多計算機,防病毒網關可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時,管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。

(3)應用入侵檢測系統。入侵檢測技術是近20年來出現的一種主動保護自己免受黑客攻擊的新型網絡安全技術。它能夠檢測那些來自網絡的攻擊,檢測到超過授權的非法訪問。一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務的性能。它從系統運行過程中產生的或系統所處理的各種數據中查找出威脅系統安全的因素,并對威脅做出相應的處理。免費論文。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。

(4)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。

(5)采用漏洞掃描技術。漏洞掃描是針對特定信息網絡中存在的漏洞而進行的。信息網絡中無論是主機還是網絡設備都可能存在安全隱患,有些是系統設計時考慮不周而留下的,有些是系統建設時出現的。這些漏洞很容易被攻擊,從而危及信息網絡的安全。漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。它的具體實現是安全掃描程序,掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。

(6)應用數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。

(7)常做數據備份。由于數據備份所占有的重要地位,它已經成為計算機領域里相對獨立的分支機構。時至今日,各種操作系統都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷;各類數據庫管理系統也都有一定的數據復制的機理和功能,但對整個系統的數據備份來說仍有不夠完備之處。所以,若想根本解決整個系統數據的可靠備份問題,選擇專門的備份軟、硬件,建立專用的數據備份系統是不可缺少的。

結語

隨著網絡的迅速發展,網絡技術的日漸更新,網絡時代的計算機信息安全越來越重要,網絡安全是一個系統的工程,需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。

f參考 文 獻 ]

[1盧開澄:《計算機密碼學一計算機網絡中的數據預安全》(清華大學出版社1998).

[2余建斌:《黑客的攻擊手段及用戶對策》(北京人民郵電出版社1998).

[3〕蔡立軍:《計算機網絡安全技術》(中國水利水電出版社2002).

[41鄧文淵、陳惠貞、陳俊榮:(ASP與網絡數據庫技術》(中國鐵道出版社2003.4).

篇6

隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。

關鍵字:信息系統信息安全身份認證安全檢測

Abstract:

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords:InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系統技術安全的研究

1.企業信息安全現狀分析

隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。

2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.

對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。

2.企業信息安全防范的任務

信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:

從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。

從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。

二、計算機網絡中信息系統的安全防范措施

(一)網絡層安全措施

①防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。

防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。

②入侵檢測技術

IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。

根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。

對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。

(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。

①正確地分區和分配邏輯盤。

微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

②正確

地選擇安裝順序。

一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:

首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。

其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。

(三)安全配置

①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:

首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。

其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。

③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。

經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。

雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。

參考文獻:

劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)

東軟集團有限公司,NetEye防火墻使用指南3.0,1-3

賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社

EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002

劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001

篇7

關鍵字:ASP

網絡安全

服務器 措施

The network security of the information system based on the ASP

Abstract:This article first introduced the basic principle of the ASP technology, then elaborated the common security loophole and the technical security hidden danger of information system based on the ASP technology. Finally,explained the safe guard measure of the information system based on the ASP from the network level, the server broke, the database level these three aspects in detail .

Keywords:ASP

network security

server

measures

隨著信息技術的高速發展,企業通過網絡建立了自己的信息管理系統,但是大多數企業的信息管理系統卻另人擔憂。因此,了解并學習關于信息管理系統網絡安全方面的知識是非常有必要的。

一、ASP技術的基本原理

ASP(Microsoft Active Server Pages)是微軟開發的一套服務端腳本環境,它是一系列對象和組件的集合。ASP文件就是嵌入可執行腳本HTML文檔,將HTML和Active控件結合起來,以產生和執行動態的、交互的、高性能的Web服務器應用程序,擴展名為.asp。 ASP技術是一種用以取代CGI(通用網關接口,Common Gateway Interface)的技術。簡單講,ASP是位于服務器端的腳本運行環境,通過這種環境,用戶可以創建和運行動態的交互式Web服務器應用程序,如交互式的動態網頁,包括使用HTML表單收集和處理信息、上傳與下載等,就像用戶在使用自己的CGI程序一樣,但它比CGI簡單得多。更重要的是,ASP使用的ActiveX技術基于開放設計環境,用戶可以自己定義和制作組件加入其中,使自己的動態網頁幾乎具有無限的擴充能力,這是傳統的CGI等程序所遠遠不及的地方。此外,ASP可利用ADO (Active Date Object,微軟的一種新的數據訪問模型,類似于DAO)方便地訪問數據庫,使開發基于WWW的應用系統成為可能。目前國內有許多企業、部門正在使用ASP技術管理信息,但是網絡安全卻另人擔憂,下面從三個方面講解基于ASP的信息系統的安全防范措施。

二、基于ASP的信息系統的安全防范措施

(一)網絡層安全措施

①防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全 。

防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN 。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。

對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(C Signature-Based ),另一種基于異常情況(Abnormally-Based )。

(二)服務器端安全措施 只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000 SERVER 為例。

①正確地分區和分配邏輯盤。

微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS, E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

②正確地選擇安裝順序。

一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:

首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000 SERVER之前,一定不要把主機接入網絡。

其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。

(三)安全配置

①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS: IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:

首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D: /Inetpub。

其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。

③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP, ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。

經過了Win2000 Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。

(三)數據庫系統安全控制

數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業務應用系統后臺數據庫的安全性,采用基于Client/Server模式訪問后臺數據庫,為不同的應用建立不同的服務進程和進程用戶標識,后臺數據庫系統以服務器進程的用戶標識作為訪問主體的標識,以確定其訪問權限。我們通過如下方法和技術來實現后臺數據庫的訪問

控制。

①訪問矩陣

訪問矩陣就是以矩陣的方式來規定不同主體(用戶或用戶進程)對于不同數據對象所允許執行的操作權限,并且控制各主體只能存取自己有權存取的數據。它以主體標行,訪問對象標列,訪問類型為矩陣元素的矩陣。Informix提供了二級權限:數據庫權限和表權限,并且能為表中的特定字段授予Select和Update權限。因此,我們在訪問矩陣中定義了精細到字段級的數據訪問控制。

②視圖的使用

通過視圖可以指定用戶使用數據的范圍,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶的視圖,在授權給一用戶的視圖中不包括那些不允許訪問的機密數據,從而提高了系統的安全性。

③數據驗證碼DAC

對后臺數據庫中的一些關鍵性數據表,在表中設置數據驗證碼DAC字段,它是由銀行密鑰和有關的關鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數據庫中的數據,則DAC效驗將出錯,從而提高了數據的安全性。

雖然基于ASP技術的信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。

參考文獻:

[1]劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002 (10)

[2]東軟集團有限公司,NetEye防火墻使用指南3.0,1-3

[3]賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社

[4] Eric Maiwald, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press,

PP. 86-94

[5]楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002

[6]劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001

篇8

關鍵詞:建筑防火防火分離技術應用

中圖分類號: G267文獻標識碼:A 文章編號:

隨著我國經濟額的不斷發展,現代建筑技術也不斷提高,相應的對建筑的火災預防工作的要求也越來越高。這就給建筑的火災預防工作增加了難度,消防就需要更高的技術支持。在我們現在所應用的建筑防火技術中,鋼化玻璃和窗玻璃的噴頭組合在一起就成了一種現在使用率很高的防火技術,鋼化玻璃也可以用熱增強型玻璃來替代。

1 防火分隔的作用及其種類

防火分隔最早是在1986年出版的《消防基本術語》出現,其中對他的定義就是,防火分隔就是用一些具有耐火特點的建筑構件,將建筑進行分隔,這樣才出現火災之后就可以減緩蔓延的速度,火災處理起來也比較方便,只需要將已經被隔離的失火區域進行滅火就行。這其中的耐火的材料一般有耐火的樓板、防火的卷簾門還有一些耐火隔墻等等。使用這些耐火的建筑材料可以將整體的建筑劃分成一個一個的防火區域,這樣就可以利用這些防火區域來阻止大火在建筑里面的蔓延,火災也就不會對建筑產生多少的損失,以后修復起來也簡單,另外,這些防火區域還可以作為安全疏散通道,火災發生的時候,建筑里的人群可以從這些防火區域中逃生,消防人員也可以從這些區域進入進行滅火工作。

防火分隔根據其防止火災的方向和防火區以外的空間的火勢蔓延情況可以分為兩種,一種就是豎向的防火分隔,這是用來阻隔那些小高層或是高層建筑的每個樓層之間的火災蔓延,另外一種就是水平的防火分隔,這主要是用來防止火災水平蔓延的。現在在我國已經有很多成功運用防火分隔的案例,取得了很好的防火效果。所以,在水平和垂直方向上來控制火災的蔓延對于保護建筑以及建筑里面人群的生命財產安全具有非常重要的作用。

2 防火分隔的傳統運用

在通常情況下,我們會采用防火墻、防火隔墻、防火卷簾、防火門窗、阻火圈等等一些防火分隔設施來進行建筑的防火分隔,雖然都具有一定的效果,可是在使用的時候卻有著不一樣的應用。

2.1 防火墻

防火墻就是那些直接用在混凝土框架上那些用來阻擋大火蔓延的墻,這個墻是用一些不能燃燒的普通的粘土磚、鋼筋混凝土還有天然的一些石料等等材料混合建筑的,為了讓它有防火的功能,防火墻上面是不能夠有洞口或者是門窗的,如果必須要在墻上開設,那也一定要是具有高品質的防火門窗,這些門窗還是需要能夠自動關閉的。另外,防火墻內部不能夠設置排氣道,天然氣等一些可燃氣體絕不能從墻內穿過,如果必須穿過的話,還應該用一些不可燃燒的材料,將管道旁邊的縫隙填滿。

2.2 防火隔墻

防火隔墻的種類比較多,一般都是用不易燃燒的材料包裹住不可燃燒的材料保護制作成的,它與防火墻有所不同,防火隔墻必須要經過耐火極限的測試之后才可以按照一定的標準進行生產和安裝使用的。現在各類工業和建筑中使用的都是那些輕質防火隔墻,因為這些輕質防火隔墻具有質量輕、隔熱隔聲效果良好、強度高以及抗震性好的特點,所以,這種輕質防火隔墻已經成為高樓建筑中防火設施里必不可少的一種。

2.3 防火卷簾

現在這種空間比較大的建筑是越來越多,有些地區要是設置防火墻的話會很不方便而且也不美觀,所以很多建筑都選用了防火卷簾。在一些單層的產房還有一些底層的建筑可以使用防火水幕或者是那種防火卷簾再加一層水幕進行分隔。在高層建筑中使用的是包括背火面溫升和不包括背火面溫升兩種情況時使用不同的防火卷簾。

2.4 防火門窗

防火門窗主要是用在防火墻的開口處、樓梯的入口、疏散走道還有就是空調自動滅火系統等一些重要設備間開口的地方,防火門是面向疏散方向開啟的平開門,在關閉防火門之后需要用手來開啟防火門,在防火墻、疏散通道、樓梯口等等地方使用的防火門都應該是可以自動關閉的,如果安裝了多扇的防火門之后,這些門應該要能夠按照順序關閉。對于那些經常開的防火門,如果發生火災,一定要能夠自行關閉,并且及時反饋火災的信息,還有那些設置在變形縫附近的防火門,應該是設在樓層比較多的那一側,并且把門打開之后,不能夠超過那條變形縫。

2.5 防火排煙閥

在很多建筑里都設置了一些通風排煙或者是空調系統,如果發生火災,那這些系統中的管道就會成為大火燃燒所產生的煙霧火苗蔓延的通道,為了防止這種情況發生,就必須在這些系統相應的位置設置防火閥或者是排煙防火閥。防火閥是那些安裝在通風空調等系統管道上的平常是開啟狀態的閥門,這些閥門若是在溫度達到70攝氏度以上就會自動關閉,而且這些閥門都是具有很高的耐火穩定性和完整性。排煙防火閥是安裝在排煙系統管道上的,平時是關閉的狀態,它是可以根據需要,按照控制中心所發出的信號來將排煙閥打開,既可以排除在火災初期所產生的火焰,還可以將管道內的濃煙進行排除。

3 防火分隔新技術的運用

3.1 新技術的概況

防火卷簾會在高溫的情況下發生脫落,無法達到防火效果,耐火隔墻會讓建筑失去美感,現在所使用的防火分隔的技術都存在著一些欠缺,而有鋼化玻璃和窗玻璃噴頭組合形成的新的防火分隔卻能夠在一定程度上改善這種局面。這是一種新的技術,在這組合中的鋼化玻璃可以用熱增型的玻璃來代替,不過這種玻璃的厚度不應該少于6毫米,玻璃與玻璃之間使用硅密封劑或者是不可燃的豎框進行連接。窗玻璃噴頭是為了能夠在發生火災時給玻璃降溫,同時還為了保證整個系統的一個完整性,這樣既能夠控制玻璃背面的溫度,還可以防止玻璃背面的可燃物被點燃。

3.2 該新技術的有關試驗

這種將鋼化玻璃和窗玻璃噴頭相組合形成的新的防火分隔,是已經得到了相關的權威機構的認證,包括:BMEC (BuildingMaterialsEvaluation Commission)、UL (Underwriters Laboratories) 以及ICC―ES (ICCEvaluationService) 等等,要知道這些機構可是北美甚至是全世界比較權威的對建筑耐火構建以及灑水噴頭等等進行認證的機構,這足以說明這項技術是可行的。目前世界上已經開展過的有關這線技術的實驗差不多有三個方面,這三個方面基本上是UL認證機構根據ASTME.119《建筑構件和材料火災試驗標準方法》中有關要求進行的,所以可信度很高。

4 使用新型防火分隔所需要注意的事項

在對高層建筑所需的防火分隔進行設計的時候,一定要先考慮建筑對防火等級的要求,然后再根據這個防火等級去考慮其他的內容。第一,系統的類型。在選擇窗玻璃頭的時候,應該選擇那些具有獨立噴淋系統的窗玻璃頭,噴頭需要設置在鋼化玻璃的兩側,而且必須是均勻分布,這樣才能夠達到阻止火災通過鋼化玻璃的一側蔓延到另一側,選擇的噴淋系統可以是雨淋系統或者是濕式系統。第二,鋼化玻璃的安裝。鋼化玻璃應該是不能夠開啟的,而且安裝鋼化玻璃所選用的框架必須是防火的不可燃材料,將玻璃和框架之間的縫隙進行密封所選的應該是三元乙丙橡膠條,另外使用不可燃豎框或者硅密封劑連接兩塊窗玻璃之間的垂直接縫。第三,水力計算。若是那些建筑空間沒有設置噴淋系統來進行保護,那么就需要計算最不利玻璃的那邊所有的噴頭的水力,若是有采用噴淋系統保護措施,那就應該計算所有雨淋閥能夠控制的噴頭。

5 結語

隨著我國經濟的不斷發展,人們對高層建筑的防火也是越來越關注,對其提出的要求也是越來越多,不但防火效果要好,還要能夠符合人們的審美觀,要讓人們覺得這是人性化的設計。所以,防火分隔的技術也是在不斷的進步,在未來,防火分隔的技術一定能夠用優美的外形,實質的用處博得所有建筑設計師的親睞,獲得國民的喜愛。

參考文獻

[1] 伊國明.水幕防火分隔技術[期刊論文]消防科技,1992.

篇9

關鍵詞:防火墻;校園網;網絡安全

1引言

科學技術的飛速發展,人們已經生活在信息時代。計算機技術和網絡技術深入到社會的各個領域,因特網把“地球村”的居民緊密地連在了一起。近年來因特網的飛速發展,給人們的生活帶來了全新地感受,人類社會各種活動對信息網絡地依賴程度已經越來越大。然而,凡事“有利必有弊”,人們在得益于信息所帶來的新的巨大機遇的同時,也不得不面對信息安全問題的嚴峻考驗。“黑客攻擊”網站被“黑”,“CIH病毒”無時無刻不充斥在網絡中。“電子戰”已成為國與國之間,商家與商家之間的一種重要的攻擊與防衛手段。因此信息安全,網絡安全的問題已經引起各國,各部門,各行各業以及每個計算機用戶的充分重視。因特網提供給人們的不僅僅是精彩,還無時無刻地存在各種各樣的危險和陷阱。對此,我們既不能對那些潛在的危險不予重視,遭受不必要的損失;也不能因為害怕某些危險而拒絕因特網的各種有益的服務,對個人來說這樣會失去了了解世界、展示自己的場所,對企業來說還失去了拓展業務、提高服務、增強競爭力的機會。不斷地提高自身網絡的安全才是行之有效地辦法。

2防火墻的概念

防火墻一詞最早源于建筑行業,當構筑和使用木制結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構筑物被稱之為防火墻。在今日的電子信息世界里,人們借助了這個概念,使用防火墻來保護敏感的數據不被竊取和篡改,不過這些防火墻是由先進的計算機系統構成的。今天的防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,隔在被保護的內部網與不安全的非信任網絡之間,用來保護計算機網絡免受非授權人員的騷擾與黑客的入侵。

3防火墻的相關參數

1)樣式:標準1U——4U機箱,根據接口數量、處理性能等不同而異。

2)網絡接口數量:標準一般配置3個10/100M自適應接口,根據需要可以定制更多接口,有些還可熱拔插。

3)網絡接口類型:標準一般是10/100-Base-TX接口,也有其他類型接口。

4.電源:一般是單電源,特殊場合可以配置雙電源,但需要定制。

5.硬件平臺架構:大多基于X86工控平臺,也有基于NP加速的產品6.處理器:多數的是CPU,極少數是CPU+NPU7.軟件平臺:WindowsNT,也有直接基于開放LINUX架構改造,使用免費代碼構建。

4校園網面對的安全威脅

4.1物理安全

保證計算機網絡系統各種設備的物理安全是整個網絡安全的前提。計算機網絡的物理安全是在物理介質層次上數據傳輸、數據存儲和數據訪問安全。計算機網絡的物理安全包括構成網絡的相關基礎設施的安全,網絡的運行環境比如溫度、濕度、電源等,自然環境的影響以及人的因素等對計算機網絡的物理安全和運行的影響。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統、web服務器、打印機等硬件實體和網絡通信設備免受自然災害、人為破壞和搭線攻擊等。

4.2自然威脅

自然威脅主要是指由于自然原因造成的對網絡設備硬件的損壞和網絡運行的影響。主要包括以下幾方面:

①自然災害自然災害對計算機網絡設備或其它相關設施造成的損壞,或對網絡運行造成的影響。如:雷擊、火災、水災、地震等不可抗力造成的網絡設備或網絡通信線路的損壞,大霧對無線傳輸的影響。

②正常使用情況下的設備損壞在網絡設中,所有的網絡設備都是電子設備,任何電子元件也都會老化,因此由電子元件構成的網絡設備都一個有限的正常使用年限,即使嚴格按照設備的使用環境要求使用,在設備達到使用壽命后均可能出現硬件故障或不穩定現象,從而威脅計算機網絡的安全運行。

③設備運行環境網絡的運行是不間斷的。保證網絡設備的安全運行,運行環境是一個很重要的因素。任何計算機網絡都需要一個可靠的運行環境來保證其可靠地運行,其中主要包括周邊環境和電源系統兩大要素。

5高校校園網絡防火墻網絡安全策略

1)拒絕訪問除明確許可以外的任何一種服務,即拒絕一切未予特許的東西。

2)允許訪問除明確拒絕以外的任何一種服務,即允許一切未被特別拒絕的東西校園網防火墻的網絡安全策略采取第一種安全控制的方針,確定所有可以被提供的服務以及它們的安全特性,然后開放這些服務,并將所有其它未被列入的服務排斥在外,禁止訪問。

6防火墻的基本配置

學院采用的是防火墻,它的初始配置也是通過控制端口(Console)與PC機的串口連接,再通過超級終端(HyperTerminal)程序進行選項配置。也可以通過telnet和Tffp配置方式進行高級配置,但必需先由Console將防火墻的這些功能打開。

NETSCREEN防火墻有四種用戶配置模式,即:普通模式(Unprivilegedmode)、特權模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode)。

顯示基本信息:

命令行基本信息收集:

netscreen>getsyst(得到系統信息)

netscreen>getconfig(得到config信息)

netscreen>getlogevent(得到日志)

功能問題需收集下列信息:

netscreen>setffiliter?(設置過濾器)

netscreen>debugflowbasic是開啟基本的debug功能

netscreen>cleardb是清除debug的緩沖區

netscreen>getdbufstream就可以看到debug的信息了

性能問題需收集下列信息:

得到下列信息前,請不要重新啟動機器,否則信息都會丟失,無法判定問題所在。netscreen>Getpercpudetail(得到CPU使用率)

netscreen>Getsessioninfo(得到會話信息)

netscreen>Getpersessiondetail(得到會話詳細信息)

netscreen>Getmac-learn(透明方式下使用,獲取MAC硬件地址)

netscreen>Getalarmevent(得到告警日志)

netscreen>Gettech>tftp202.101.98.36tech.txt(導出系統信息)

netscreen>Getlogsystem(得到系統日志信息)

netscreen>Getlogsystemsaved(得到系統出錯后,系統自動記錄信息,該記錄重啟后不會丟失。設置接口-帶寬,網關設置所指定的各個端口的帶寬速率,單位為kb/s

Setinterfaceinterfacebandwidthnumber

unsetinterfaceinterfacebandwidth

設置接口的網關

setinterfaceinterfacegatewayip_addr

unsetinterfaceinterfacegateway

設置接口的接口的區域,IP地址zone就是網絡邏輯上劃分成區,可以在安全區或安全區內部接口之間實施策略:

設置接口的接口的區域

setinterfaceinterfacezonezone

unsetinterfaceinterfacezone

設置接口的IP地址

setinterfaceinterfaceipip_addr/mask

setinterfaceinterfaceipunnumberedinterfaceinterface2

unsetinterfaceinterfaceipip_addr

7總結

網絡安全問題越來越引起世界各國的嚴密關注,隨著計算機網絡在人類生活各個領域的廣泛應用,不斷出現網絡被非法入侵,重要資料被竊取,網絡系統癱瘓等嚴重問題,網絡、應用程序的安全漏洞越來越多;各種病毒泛濫成災。這一切,已給各個國家以及眾多商業公司造成巨大的經濟損失,甚至危害到國家安全,加強網絡安全管理已刻不容緩。

參考文獻 

[1] 朱雁輝.WINDOWS 防火墻與網絡封包截獲技術[M].北京:電子工業出版社,2015 

[2] 常紅等.網絡安全技術與反黑客[M].長春:冶金工業出版社,2011 

篇10

論文摘要:隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗, 都防不勝防。

計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。從技術上來說, 計算機網絡安全主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等。

一、計算機網絡安全技術

(一)防火墻技術。防火墻是指一個由軟件或硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

(二)數據加密技術。與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。

1.對稱加密技術。對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。2.非對稱加密。在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。

(三)PKI技術。PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術作為一種相對安全的技術,恰恰成為了電子商務、電子政務、電子事務的密碼技術的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全。

二、計算機網絡安全存在的問題

(一)互聯網絡的不安全性。1.1網絡的開放性,由于現代網絡技術是全開放的,所以在一定程度上導致了網絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網絡通信協議的攻擊,也包括來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客等等。1.2網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。 這也為了影響網絡安全的一個主要因素。

(二)操作系統存在的安全問題。操作系統作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。

1.操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。2.操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。3.操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。

(三)防火墻的局限性。防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使內部網與外部網之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。

三、結束語

計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。

參考文獻: