防火墻的核心技術(shù)范文
時間:2023-12-22 17:53:40
導(dǎo)語:如何才能寫好一篇防火墻的核心技術(shù),這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
防火墻是一個保護裝置,它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機,它的目的就是保護內(nèi)部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間,同時在多個組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Internet之間也會起到同樣的保護作用。它主要的保護就是加強外部Internet對內(nèi)部網(wǎng)的訪問控制,它主要任務(wù)是允許特別的連接通過,也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分,它通過少數(shù)幾個良好的監(jiān)控位置來進行內(nèi)部網(wǎng)與Internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測,控管規(guī)則過濾,實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的。防火墻的[!]主體功能歸納為以下幾點:根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進行過濾;對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能;可實時監(jiān)控,監(jiān)視網(wǎng)絡(luò)活動;具有日志,以記錄網(wǎng)絡(luò)訪問動作的詳細信息;被攔阻時能通過聲音或閃爍圖標(biāo)給用戶報警提示。
防火墻僅靠這些核心技術(shù)功能是遠遠不夠的。核心技術(shù)是基礎(chǔ),必須在這個基礎(chǔ)之上加入輔助功能才能流暢的工作。而實現(xiàn)防火墻的核心功能是封包過濾。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
二、防火墻主要技術(shù)特點
應(yīng)用層采用Winsock 2 SPI進行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾;核心層采用NDIS HOOK進行控制,尤其是在Windows 2000 下,此技術(shù)屬微軟未公開技術(shù)。
此防火墻還采用兩種封包過濾技術(shù):一是應(yīng)用層封包過濾,采用Winsock 2 SPI;二是核心層封包過濾,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,屬于應(yīng)用層的范疇。利用這項技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。采用Winsock 2 SPI的優(yōu)點是非常明顯的:其工作在應(yīng)用層以DLL的形式存在,編程、測試方便;跨Windows平臺,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95只需安裝上Winsock 2 for 95,也可以正常運行;效率高,由于工作在應(yīng)用層,CPU占用率低;封包還沒有按照低層協(xié)議進行切片,所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實現(xiàn)。在構(gòu)筑防火墻保護網(wǎng)絡(luò)之前,需要制定一套完整有效的安全策略,這種安全策略一般分為兩層:網(wǎng)絡(luò)服務(wù)訪問策略和防火墻設(shè)計策略。 三、網(wǎng)絡(luò)服務(wù)訪問策略
網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略,主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù),還包括對撥號訪問以及SLIP/PPP連接的限制。這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法,所以其他的途徑也應(yīng)受到保護。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸,而且對于機構(gòu)內(nèi)部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質(zhì)的管理。
四、防火墻的設(shè)計策略
防火墻的設(shè)計策略是具體地針對防火墻,負責(zé)制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前,必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執(zhí)行以下兩種基本策略中的一種:除非明確不允許,否則允許某種服務(wù);除非明確允許,否則將禁止某項服務(wù)。
執(zhí)行第一種策略的防火墻在默認情況下允許所有的服務(wù),除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認情況下禁止所有的服務(wù),除非管理員對某種服務(wù)明確表示允許。防火墻可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的服務(wù)放在屏蔽子網(wǎng)上,和其他的系統(tǒng)隔離。
五、設(shè)計時需要考慮的問題
為了確定防火墻設(shè)計策略,進而構(gòu)建實現(xiàn)策略的防火墻,應(yīng)從最安全的防火墻設(shè)計策略開始,即除非明確允許,否則禁止某種服務(wù)。策略應(yīng)該解決以下的問題:需要什么服務(wù);在哪里使用這些服務(wù);是否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等服務(wù);提供這些服務(wù)的風(fēng)險是什么;若提供這種保護,可能會導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負面影響,這些影響會有多大,是否值付出這種代價;和可用性相比,站點的安全性放在什么位置。
篇2
圖2 UTM產(chǎn)品的核心競爭力
UTM產(chǎn)品最大的優(yōu)勢就是在單一的產(chǎn)品上融合了多種主流安全技術(shù),這也必然使UTM產(chǎn)品在性能和穩(wěn)定性上面臨很大的挑戰(zhàn),同時也對UTM廠商在防病毒、入侵防御等內(nèi)容安全方面的技術(shù)積累提出了很高的要求。如果能夠成功跨越這些門檻,UTM產(chǎn)品無疑是安全網(wǎng)關(guān)位置最好的選擇。我們將從UTM產(chǎn)品中的核心技術(shù)、核心競爭力和硬件平臺選擇方面來探討一下如何在技術(shù)層面上做好一款真正的UTM產(chǎn)品。
核心技術(shù)仍要積累
產(chǎn)品的核心技術(shù)決定了產(chǎn)品的定位和品質(zhì),UTM產(chǎn)品想要在安全網(wǎng)關(guān)市場取得成功,絕不能只是簡單地在防火墻上集成防攻擊、入侵防御、防病毒和IM/P2P監(jiān)控等眾多安全功能,而是要在技術(shù)定位上和多功能防火墻有所區(qū)別。和防火墻產(chǎn)品以狀態(tài)包過濾為核心不同,UTM產(chǎn)品中最核心的應(yīng)該是入侵防御(IPS)和防病毒兩項技術(shù),具體應(yīng)該體現(xiàn)在如下三個方面:(1)入侵檢測能力;(2)應(yīng)用協(xié)議識別能力;(3)病毒檢測能力。其他的安全功能都必須以這兩個模塊的檢測結(jié)果為基礎(chǔ),這樣才能更準(zhǔn)確地對網(wǎng)絡(luò)事件進行響應(yīng)。同時,只有安全廠商自身掌握了入侵防御和防病毒兩種檢測引擎的核心技術(shù),才能對程序處理流程進行最大的優(yōu)化,減少系統(tǒng)內(nèi)部數(shù)據(jù)傳遞過程中的資源消耗,為UTM的整體性能優(yōu)化提供更大的空間。所以要想開發(fā)出成功的UTM產(chǎn)品,安全廠商必須在入侵防御和防病毒方面有足夠的技術(shù)積累,并具備對事件庫和病毒庫及時更新的能力。
核心競爭力需提升
UTM產(chǎn)品的核心競爭力應(yīng)該主要體現(xiàn)在產(chǎn)品的綜合性能、實時阻斷能力、業(yè)務(wù)控制能力和產(chǎn)品易用性四個方面,下面分別加以討論。
1.突破綜合性能瓶頸
UTM產(chǎn)品的綜合性能是指同時開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn),所以想要突破UTM產(chǎn)品的性能瓶頸就必須從優(yōu)化入侵檢測引擎和防病毒引擎兩部分入手。如果一味地強調(diào)功能做一款大而全的產(chǎn)品,而無法滿足性能要求,就會使UTM產(chǎn)品的眾多安全功能僅僅成為一個擺設(shè),在實際運行環(huán)境還是只能夠開啟防火墻功能,這樣也就失去了UTM產(chǎn)品在網(wǎng)關(guān)位置的立足之本。
2.提高實時阻斷能力
UTM中的入侵防御和防病毒功能基本上是由IDS檢測技術(shù)和主機防病毒技術(shù)發(fā)展而來的,但這絕不應(yīng)該是簡單的疊加和集成。隨著攻擊手段的更新和病毒傳播速度的加快,UTM中的防御重點必須由檢測向?qū)崟r阻斷方向發(fā)展,應(yīng)該說對入侵和病毒檢測技術(shù)提出了更精確的要求,這樣才能控制威脅的進一步發(fā)展。所以實時阻斷能力是UTM產(chǎn)品存在的直接價值。
3.增強業(yè)務(wù)控制能力
安全的范疇如今發(fā)生了很大的變化,不僅包含像入侵、病毒、木馬和DDOS等傳統(tǒng)意義上的威脅,還應(yīng)該包括網(wǎng)絡(luò)帶寬管理、個人P2P業(yè)務(wù)、IM即時通信業(yè)務(wù)的監(jiān)控、網(wǎng)絡(luò)視頻業(yè)務(wù)及非法外聯(lián)業(yè)務(wù)等的監(jiān)控和限速管理。這就要求安全網(wǎng)關(guān)產(chǎn)品具備高層業(yè)務(wù)的識別能力和控制能力,而且這些應(yīng)用協(xié)議的識別是防火墻產(chǎn)品或路由交換產(chǎn)品所無法做到的。所以,業(yè)務(wù)控制能力使UTM產(chǎn)品具備了不可替代性。
4.提高產(chǎn)品易用性
網(wǎng)絡(luò)安全的發(fā)展應(yīng)該是向著主動安全和自動防御的方向去發(fā)展,以減小人為因素造成的疏漏和響應(yīng)不及時。UTM產(chǎn)品的一個很大的優(yōu)勢就是不需要用戶再去單獨購買不同廠家的防火墻、VPN網(wǎng)關(guān)、防毒墻和IPS等設(shè)備,網(wǎng)管員不需要去分別學(xué)習(xí)不同廠家設(shè)備的配置管理方法,從而降低了網(wǎng)絡(luò)管理成本。提高產(chǎn)品易用性是UTM產(chǎn)品能否成功大范圍推廣的關(guān)鍵。
硬件平臺是關(guān)鍵
硬件平臺的選擇直接關(guān)系到產(chǎn)品的綜合性能、技術(shù)難度、開發(fā)周期和設(shè)備成本等因素。通過前面對UTM產(chǎn)品特點的分析,我們看到UTM產(chǎn)品的性能瓶頸和核心競爭力體現(xiàn)在防病毒和入侵防御兩個引擎上面,所以UTM硬件平臺的選擇就需要重點考慮以下兩方面因素。
1.是否能夠提升防病毒和入侵防御兩部分引擎的性能。
2.是否具備良好的可擴展性,以滿足安全需求和安全技術(shù)的不斷更新。
目前市場上可供選擇的安全網(wǎng)關(guān)硬件平臺主要有四種類型。
1.x86架構(gòu)
x86平臺屬于通用計算平臺,主要由一顆或多顆CPU來處理業(yè)務(wù),優(yōu)點是x86 CPU工藝領(lǐng)先,工作頻率高,因此運算能力較強。同時,x86平臺的開發(fā)效率較高,可擴展性好,成本較低。缺點是x86平臺的總體性能受到其PCI總線通信能力和中斷處理方式的限制,對小包的轉(zhuǎn)發(fā)效率較低,無法實現(xiàn)千兆小包限速。另外,多芯片組方案和總線式通信方案使其整機的吞吐率較低。
2.ASIC架構(gòu)
和x86架構(gòu)所有的數(shù)據(jù)轉(zhuǎn)發(fā)都由CPU處理不同,ASIC平臺在連接建立、路由信息下發(fā)等初始化工作中由CPU處理,其他數(shù)據(jù)轉(zhuǎn)發(fā)的工作都由集成在系統(tǒng)中的ASIC芯片來完成,所以ASIC平臺的最大優(yōu)勢是轉(zhuǎn)發(fā)效率非常高,可以達到小包千兆限速。ASCI平臺的缺點是設(shè)計復(fù)雜,可擴展性差,開發(fā)周期長,比較適合實現(xiàn)一些簡單的包過濾等防護墻功能,對于防病毒和入侵防御等復(fù)雜功能,在芯片上實現(xiàn)則非常困難。所以ASIC架構(gòu)的產(chǎn)品比較適合功能比較簡單的高端防火墻產(chǎn)品,不適合功能復(fù)雜、需求變化很快的UTM產(chǎn)品。
3.網(wǎng)絡(luò)處理器(NP)架構(gòu)
NP架構(gòu)的原理和ASIC類似,轉(zhuǎn)發(fā)效率和開發(fā)周期介于X86平臺和ASIC平臺之間。缺點是受芯片的代碼空間限制,無法實現(xiàn)復(fù)雜業(yè)務(wù)的設(shè)計,而且NP架構(gòu)使用類似于匯編的微碼語言,在安全業(yè)務(wù)需求不斷更新的情況下,NP架構(gòu)的產(chǎn)品可能也需要不停地重新設(shè)計實現(xiàn)。
NP架構(gòu)同樣無法實現(xiàn)防病毒、入侵防御等復(fù)雜安全功能在芯片級的加速。
4.多核SoC架構(gòu)
篇3
關(guān)鍵詞:防火墻技術(shù);屏蔽路由器;雙穴主機網(wǎng)關(guān);屏蔽主機網(wǎng)關(guān)
中圖分類號:TP319文獻標(biāo)識碼:A文章編號:1672-7800(2013)001-0070-02
1主機防火墻軟件系統(tǒng)組成
為了更好地對主機防火墻軟件系統(tǒng)進行開發(fā)與設(shè)計,先對主機防火墻軟件系統(tǒng)的組成進行分析。主機防火墻軟件系統(tǒng)主要包括屏蔽路由器、雙穴主機網(wǎng)關(guān)以及被屏蔽主機網(wǎng)關(guān)。這三個元器件組成了主機防火墻軟件系統(tǒng),在系統(tǒng)運行中具有獨特的功能。
1.1屏蔽路由器
主機防火墻軟件系統(tǒng)最基本的組成原件就是屏蔽路由器。網(wǎng)絡(luò)用戶一般都是購買廠家生產(chǎn)好的屏蔽路由器,然后安裝到主機當(dāng)中實現(xiàn)保護功能。硬件和軟件是屏蔽路由器的兩個重要組成部分。報文的過濾功能一般的路由器就能實現(xiàn),但是一般路由器的這個功能非常簡單,為了更好地對報文進行過濾,屏蔽路由器被引入到主機中。因此,屏蔽路由器在很大程度上確保了主機系統(tǒng)的安全性能。
1.2雙穴主機網(wǎng)關(guān)
網(wǎng)絡(luò)接口是雙穴主機的一個重要特點,雙穴主機網(wǎng)關(guān)的工作原理是將堡壘主機當(dāng)做防火墻,主機防火墻軟件系統(tǒng)的運行就是靠堡壘主機來實現(xiàn)的。網(wǎng)絡(luò)用戶的管理人員可以通過雙穴主機網(wǎng)關(guān)的部分功能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題,并及時解決網(wǎng)絡(luò)安全問題。因此,雙穴主機網(wǎng)關(guān)在維護網(wǎng)絡(luò)系統(tǒng)的安全上起到了非常重要的作用。
1.3被屏蔽主機網(wǎng)關(guān)
被屏蔽主機網(wǎng)關(guān)在主機系統(tǒng)中占據(jù)了非常重要的位置。被屏蔽主機網(wǎng)關(guān)的主要功能就是為了防止外部不安全信息對網(wǎng)絡(luò)用戶的入侵,被屏蔽主機網(wǎng)關(guān)在很大程度上保證了網(wǎng)絡(luò)用戶的安全。網(wǎng)絡(luò)系統(tǒng)外部的用戶如果沒有得到網(wǎng)絡(luò)系統(tǒng)管理者的進入許可,就不能進入網(wǎng)絡(luò)系統(tǒng)。因此,被屏蔽主機網(wǎng)關(guān)在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全性能。
2主機防火墻軟件系統(tǒng)發(fā)展趨勢
主機防火墻軟件系統(tǒng)的3個重要組成部分在網(wǎng)絡(luò)運行過程中的作用各不相同。3個組成部分的功能共同確保了網(wǎng)絡(luò)運行環(huán)境的安全。近年來,防火墻技術(shù)發(fā)展飛速,在技術(shù)方面也不斷成熟,但是隨著科學(xué)技術(shù)的不斷改革與創(chuàng)新,網(wǎng)絡(luò)系統(tǒng)也在不斷地更新?lián)Q代。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展給網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn),隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,幾乎無時無刻都有網(wǎng)絡(luò)用戶的信息被竊取。因此,為了給廣大的網(wǎng)絡(luò)用戶提供一個安全的網(wǎng)絡(luò)運行環(huán)境,防火墻軟件系統(tǒng)必須繼續(xù)進行技術(shù)方面的創(chuàng)新。防火墻軟件系統(tǒng)只有在技術(shù)方面獲得突破之后,才能有效地保證網(wǎng)絡(luò)用戶的安全。主機防火墻軟件系統(tǒng)相關(guān)技術(shù)的研究也因此變得更加重要。為了保證網(wǎng)絡(luò)系統(tǒng)的安全,主機防火墻軟件系統(tǒng)必須及時地加以更新。
近些年來,主機防火墻技術(shù)在模式上發(fā)生了巨大的轉(zhuǎn)變,主機防火墻軟件系統(tǒng)以前的位置經(jīng)常被設(shè)置在網(wǎng)絡(luò)比較邊緣的位置上。防火墻軟件系統(tǒng)在網(wǎng)絡(luò)的邊界上進行設(shè)置的目的是為了對進入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進行分析,如果防火墻軟件系統(tǒng)在數(shù)據(jù)分析的過程中發(fā)現(xiàn)數(shù)據(jù)存在不安全因素,那么數(shù)據(jù)則不被允許進入網(wǎng)絡(luò)系統(tǒng)。然而,這種防火墻軟件系統(tǒng)由于被動的防御方式,在應(yīng)用方面受到了很大的限制。為了使得防火墻軟件系統(tǒng)更能適應(yīng)網(wǎng)絡(luò)用戶的要求,并更好地對網(wǎng)絡(luò)系統(tǒng)進行安全保護,外網(wǎng)之外則成為防火墻軟件系統(tǒng)安裝的位置。當(dāng)防火墻軟件系統(tǒng)安裝位置定在了外網(wǎng)之外,網(wǎng)絡(luò)系統(tǒng)的安全性能也得到了明顯的提高。
目前,防火墻軟件系統(tǒng)的主要功能是為了防止外部用戶對網(wǎng)絡(luò)系統(tǒng)的入侵。為了對防火墻軟件系統(tǒng)的功能進行拓展以更大程度地滿足網(wǎng)絡(luò)用戶的要求,防火墻軟件系統(tǒng)在今后應(yīng)該將殺毒功能也放到其中。殺毒技術(shù)在防火墻軟件系統(tǒng)中的應(yīng)用,將使得防火墻軟件系統(tǒng)的防御功能變得更加強大。這將是今后防火墻軟件系統(tǒng)的一個必然發(fā)展趨勢。
3主機防火墻軟件系統(tǒng)開發(fā)與設(shè)計
為了更好地對主機防火墻軟件系統(tǒng)進行優(yōu)化以最大限度地滿足網(wǎng)絡(luò)用戶的需求,下面主要對主機防火墻軟件系統(tǒng)中的關(guān)鍵技術(shù)進行分析研究。分布式防火墻的重要組成原件是主機防火墻,主機防火墻在整個網(wǎng)絡(luò)系統(tǒng)中發(fā)揮了重要作用。主機防火墻軟件系統(tǒng)是在主機上運行,以此來組織外界對網(wǎng)絡(luò)系統(tǒng)的入侵。
3.1主機防火墻軟件系統(tǒng)的包過濾功能
宿主機操作系統(tǒng)的內(nèi)核是主機防火墻軟件系統(tǒng)運行的具置。所以網(wǎng)絡(luò)協(xié)議及主機操作系統(tǒng)與主機防火墻軟件系統(tǒng)有著直接聯(lián)系。主機防火墻軟件系統(tǒng)的主要功能是為了對主機操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議進行分析,將攔截點設(shè)置在比較恰當(dāng)?shù)奈恢蒙稀_@些攔截點將會對所有進入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進行分析,進入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)只有被攔截點審查通過之后才能進入網(wǎng)絡(luò)系統(tǒng)。如果進入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)存在安全方面的問題,則這些數(shù)據(jù)將被攔截點阻止在網(wǎng)絡(luò)系統(tǒng)的外部。主機防火墻軟件系統(tǒng)就是采取這種手段對進入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進行過濾,以此來保證網(wǎng)絡(luò)系統(tǒng)運行環(huán)境的安全。
3.2主機防火墻軟件系統(tǒng)的核心功能
包過濾是主機防火墻軟件系統(tǒng)的一個核心技術(shù)。主機防火墻軟件系統(tǒng)除了具有強大的包過濾功能外,還具有一些其它的功能。為了更好地了解主機防火墻軟件系統(tǒng),下面主要對主機防火墻軟件系統(tǒng)的核心功能進行介紹。
主機防火墻軟件系統(tǒng)的核心功能主要有以下幾個方面:第一,主機防火墻軟件系統(tǒng)可以對策略中心所配置的一些相關(guān)安全策略進行接收,以此來增強數(shù)據(jù)的過濾功能;第二,主機防火墻軟件系統(tǒng)為了對應(yīng)用程度的聯(lián)網(wǎng)動作進行一定程度的過濾,使得應(yīng)用程序的訪問策略變得尤為重要;第三,主機防火墻軟件系統(tǒng)可以對一些網(wǎng)絡(luò)活動進行及時監(jiān)控,如果發(fā)現(xiàn)一些網(wǎng)絡(luò)活動對網(wǎng)絡(luò)系統(tǒng)具有破壞作用,那么主機防火墻軟件系統(tǒng)則可以對這些網(wǎng)絡(luò)活動進行阻止以保證網(wǎng)絡(luò)系統(tǒng)的安全;第四,主機防火墻軟件系統(tǒng)可以對一些網(wǎng)絡(luò)活動進行記錄,以便網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題后能及時地對這些網(wǎng)絡(luò)活動進行分析;第五,主機防火墻軟件系統(tǒng)為了讓策略中心知道防火墻軟件系統(tǒng)處于運行狀態(tài),還可以定時發(fā)送消息給策略中心。以上五個方面的功能就是主機防火墻軟件系統(tǒng)的核心功能,它們在主機防火墻軟件系統(tǒng)中起到了非常重要的作用,網(wǎng)絡(luò)系統(tǒng)運行環(huán)境的安全性就是靠這五項功能來實現(xiàn)的。
3.3主機防火墻軟件系統(tǒng)設(shè)計思路
主機防火墻軟件系統(tǒng)設(shè)計思路的完善與否將直接影響到整個網(wǎng)絡(luò)系統(tǒng)的安全。因此,為了確保整個網(wǎng)絡(luò)系統(tǒng)擁有一個安全的運行環(huán)境,必須充分重視主機防火墻軟件系統(tǒng)的設(shè)計。主控單元和網(wǎng)絡(luò)處理單元是主機防火墻軟件系統(tǒng)的主要設(shè)計內(nèi)容。下面對主控單元和網(wǎng)絡(luò)處理單元進行簡單介紹。
3.3.1主控單元設(shè)計
通用的中央處理單元是主控單元硬件經(jīng)常采用的。主控單元硬件的主要功能是為了對網(wǎng)絡(luò)處理板進行管理及配置。主控單元在保證網(wǎng)絡(luò)系統(tǒng)運行環(huán)境的安全方面起著非常重要的作用。因此,為了保證網(wǎng)絡(luò)系統(tǒng)能夠擁有一個更加安全的運行環(huán)境,主控單元的設(shè)計工作必須引起設(shè)計人員的重視。主控單元在進行設(shè)計的過程中,要注重采用一些比較強大的組成原件,以此來增加主控單元的功能。
3.3.2網(wǎng)絡(luò)處理單元設(shè)計
網(wǎng)絡(luò)處理單元設(shè)計的好壞直接影響到整個主機防火墻軟件系統(tǒng)的功能,最終影響到整個網(wǎng)絡(luò)系統(tǒng)的安全。因此,為了確保網(wǎng)絡(luò)系統(tǒng)能夠擁有一個安全的運行環(huán)境,網(wǎng)絡(luò)處理單元的設(shè)計必須引起設(shè)計人員的重視。專用的網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)處理單元中的應(yīng)用是網(wǎng)絡(luò)處理單元的一個顯著特點,主控單元與專用網(wǎng)絡(luò)處理器總線的連接是網(wǎng)絡(luò)處理單元的外部設(shè)置內(nèi)容。網(wǎng)絡(luò)處理單元的主要功能是對來自主控單元的信息進行分析,這些信息只有被確認沒有破壞性之后才能被傳輸?shù)骄W(wǎng)絡(luò)系統(tǒng)中,如果這些數(shù)據(jù)被發(fā)現(xiàn)具有破壞性,那么數(shù)據(jù)將會被阻止在網(wǎng)絡(luò)系統(tǒng)的外面。網(wǎng)絡(luò)處理單元是不被主機防火墻軟件系統(tǒng)所控制的,其功能主要靠專用的網(wǎng)絡(luò)處理器來決定。
4結(jié)語
為了更好地對主機防火墻軟件系統(tǒng)進行開發(fā)與設(shè)計,本文主要對主機防火墻軟件系統(tǒng)的組成部分、主機防火墻軟件系統(tǒng)的發(fā)展趨勢以及主機防火墻軟件系統(tǒng)開發(fā)設(shè)計中的幾個關(guān)鍵問題等方面進行了分析研究。主機防火墻技術(shù)是確保網(wǎng)絡(luò)系統(tǒng)不被外來用戶入侵的一項技術(shù)保證措施,為了給網(wǎng)絡(luò)系統(tǒng)營造一個安全的運行環(huán)境,必須對主機防火墻技術(shù)進行不斷地改進與完善。
參考文獻:
[1]郝身剛.具有系統(tǒng)防御功能的新型主機防火墻系統(tǒng)設(shè)計[J].南陽師范學(xué)院學(xué)報,2011(12).
[2]李曉.基于透明網(wǎng)橋的垃圾信息防火墻軟件系統(tǒng)設(shè)計與實現(xiàn)[D].成都:電子科技大學(xué),2008.
[3]劉潔宇,任新華.分布式防火墻系統(tǒng)中主機防火墻的設(shè)計與實現(xiàn)[J].山西電子技術(shù),2008(3).
[4]蘆志朋.深度包檢測主機防火墻的研究與實現(xiàn)[D].成都:電子科技大學(xué),2010.
篇4
關(guān)鍵詞:下一代防火墻,;云計算;,SSL加密
中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1674-7712 (2013) 24-0000-01
一、什么是下一代防火墻
隨著云計算、移動、社交網(wǎng)絡(luò)等新興IT技術(shù)的發(fā)展,互聯(lián)網(wǎng)應(yīng)用類型的不斷增加以及應(yīng)用形式的不斷變化,越來越多的安全威脅伴隨著我們,這為IT系統(tǒng)的安全帶來全新的挑戰(zhàn),同時也給企業(yè)IT基礎(chǔ)架構(gòu)帶來了翻天覆地的變化。在這種情況下,第一代防火墻已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。傳統(tǒng)的安全防護手段無法識別出網(wǎng)絡(luò)應(yīng)用,僅僅根據(jù)目的地IP地址阻止對此類服務(wù)的已知源訪問再也無法達到安全要求,沒有辦法對其進行管理和防護,是必須要經(jīng)過改進來應(yīng)對各種各樣新的安全威脅挑戰(zhàn),下一代防火墻,即Next Generation Firewall,簡稱NG Firewall適時出現(xiàn)。下一代防火墻就是以應(yīng)用識別技術(shù)為基礎(chǔ)的。下一代防火墻的執(zhí)行范例包括阻止與針對細粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報,如:使用Web郵件、anonymizer、端到端或計算機遠程控制等。“下一代”功能,具體描述如下:
1.(1)功能部署預(yù)配置: 提供高吞吐量低延遲防火墻,基于不同規(guī)模下的個性化的需求譬如分布式企業(yè)安全控制管理的多功能應(yīng)用,這種部署選項設(shè)置目的在于對用戶提供隨需應(yīng)變的網(wǎng)絡(luò)與安全選擇。
(2)2.關(guān)聯(lián)可視性: 基于網(wǎng)絡(luò)中應(yīng)用,用戶與設(shè)備即時或查看過往的網(wǎng)絡(luò)使用狀況,及時的調(diào)配流量,應(yīng)用控制以及安全策略。
3.(3)高級威脅防護(ATP):提供強化的安全工具,抵御多面向的持續(xù)性滲透攻擊。能確保網(wǎng)絡(luò)安全不會成為網(wǎng)絡(luò)效能的瓶頸。
二、下一代防火墻技術(shù)特點
下一代防火墻應(yīng)該能夠為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應(yīng)用內(nèi)容防護方案,具有包括如下的技術(shù)特點:
(一)基于用戶進行防護
傳統(tǒng)防火墻策略都是依賴IP與MAC地址來區(qū)分數(shù)據(jù)流,這不利于管理也很難完成對網(wǎng)絡(luò)狀況的清晰掌握與精確的控制。下一代防火墻集成了安全準(zhǔn)入控制功能,支持多種認證協(xié)議和認證的方式,實現(xiàn)了基于用戶的安全防護策略部署和可視化管控。
(二)更加安全的面向應(yīng)用
在應(yīng)用安全方面,下一代防火墻應(yīng)可以做到對各種應(yīng)用的深層次的識別;;另外在數(shù)據(jù)安全性問題方面的解決方面,通過遠程接入技術(shù),虛擬化技術(shù)相結(jié)合,為遠程接入終端提供虛擬應(yīng)用和虛擬桌面功能,不用執(zhí)行任何應(yīng)用系統(tǒng)客戶端程序,使其本地完成和內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互,實現(xiàn)了終端到業(yè)務(wù)系統(tǒng)的“無痕訪問”,從而達到了終端與業(yè)務(wù)分離的目的。
(三)轉(zhuǎn)發(fā)平臺更加高效
下一代防火墻將NSE(網(wǎng)絡(luò)服務(wù)引擎)和SE(安全引擎)獨立部署。網(wǎng)絡(luò)服務(wù)引擎完成底層路由/交換轉(zhuǎn)發(fā),并且,對整機各模塊進行管理和狀態(tài)監(jiān)控;;安全引擎負責(zé)把數(shù)據(jù)流進行網(wǎng)絡(luò)層安全處理和應(yīng)用層安全處理。通過部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎的方式來實現(xiàn)整機流量的分布式并行處理與故障切換功能。下一代防火墻為了突破傳統(tǒng)網(wǎng)關(guān)設(shè)備的性能瓶頸。
(四)擁有多層級冗余架構(gòu)
下一代防火墻在設(shè)計中,通過板卡冗余,模塊冗余和鏈路冗余來構(gòu)建底層物理級冗余,它使用雙操作系統(tǒng)來提供系統(tǒng)級冗余,而采用多機冗余及負載均衡進行設(shè)備部署實現(xiàn)了方案級冗余。由物理級,系統(tǒng)級和方案級共同構(gòu)成了多層級的冗余化架構(gòu)體系結(jié)構(gòu)。下一代防火墻設(shè)備擁有完善的業(yè)務(wù)連續(xù)性保障方案。采用多層級冗余化設(shè)計方案。
(五)可視化全方位視角
下一代防火墻對于管理范圍內(nèi)所有主機,設(shè)備的網(wǎng)絡(luò)應(yīng)用情況和安全事件信息進行準(zhǔn)確的定位和實時跟蹤,包括對歷史精確還原與對各種數(shù)據(jù)智能的統(tǒng)計分析,使得管理者清晰的認知網(wǎng)絡(luò)運行狀態(tài)。從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來,對于全網(wǎng)產(chǎn)生的海量安全事件信息內(nèi)容,通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢的分析,與各種圖形化的統(tǒng)計分析報告。
(六)防護和安全技術(shù)融合
下一代防火墻的整套安全防御體系都應(yīng)該是基于動態(tài)云防護而進行設(shè)計的。一方面可以通過云來收集安全威脅信息并且快速尋找解決方案,及時的更新攻擊防護規(guī)則庫,并且以動態(tài)的方式實時部署到各用戶設(shè)備中,從而保證用戶的安全防護策略得到及時的,準(zhǔn)確的動態(tài)更新。動態(tài)云防護和全網(wǎng)威脅聯(lián)防是技術(shù)的一大融合。
三、下一代防火墻的優(yōu)勢
下一代防火墻作為邊界安全防護手段的核心技術(shù),在經(jīng)歷了無數(shù)次的技術(shù)變革后,早已不是傳統(tǒng)防概念了。下一代防火墻之所以受到各界的追捧,主要原因是由于當(dāng)今的網(wǎng)絡(luò)威脅來源發(fā)生了重大的變化,過去以郵件附件形式為主的攻擊手段已經(jīng)構(gòu)不成威脅了,取而代之的是,來自隱藏的在數(shù)以萬計的網(wǎng)絡(luò)應(yīng)用中的網(wǎng)絡(luò)攻,。下一代防火墻可以讓管理員分別控制管理與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流,能夠保證企業(yè)的網(wǎng)絡(luò)生產(chǎn)效率保持高水平,還可以將所有安全和程序控制技術(shù)應(yīng)用到SSL加密數(shù)據(jù)流中,確保SSL數(shù)據(jù)流中沒有惡意代碼。掃描各個端口的文件,不限制文件大小,也不會在掃描時影響數(shù)據(jù)的安全性或網(wǎng)絡(luò)的效率。
四、結(jié)束語
云計算、大數(shù)據(jù)和移動技術(shù)都正以迅猛的速度發(fā)展,反映在企業(yè)網(wǎng)絡(luò)安全領(lǐng)域。下一代防火墻為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應(yīng)用內(nèi)容防護方案,以智能化識別、精細化控制、一體化掃描為核心理念,滿足了在下一代網(wǎng)絡(luò)中的安全應(yīng)用需求,集中體現(xiàn)了識別安全風(fēng)險、保障應(yīng)用安全的客戶價值。
參考文獻:
[1]肖堅.淺析入侵防御系統(tǒng)[J].電腦知識與技術(shù),,2011(14).
[2]王純.探析防火墻技術(shù)[J].無線互聯(lián)科技,,2011(06).
篇5
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;PKI技術(shù)
一、概述
網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),就其產(chǎn)品的主流趨勢而言,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。那么究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。
二、防火墻的選擇
防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機。管理和培訓(xùn)也是評價一個防火墻好壞的重要方面。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。用戶在選擇防火墻產(chǎn)品時,應(yīng)該盡量選擇那些占市場份額較大又通過了權(quán)威認證機構(gòu)認證測試的產(chǎn)品。
三、加密技術(shù)
信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密。
(一)對稱加密技術(shù)
在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰匙,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(二)非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。
(三)RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分解兩大素數(shù)之積。
利用目前已經(jīng)掌握的知識和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力,因此在目前和預(yù)見的將來,它是足夠安全的。
四、PKI技術(shù)
PKI(Public Key Infrastructure)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。
(一)認證機構(gòu)
CA(Certification Authorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明―證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。
(二)注冊機構(gòu)
RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。
(三)策略管理
在PKI系統(tǒng)中,制定并實現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求,并且能通過CA和RA技術(shù)融入到CA和RA的系統(tǒng)實現(xiàn)中。同時,這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求,科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論,并且具有良好的擴展性和互用性。
(四)密鑰備份和恢復(fù)
為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。
五、安全技術(shù)的研究現(xiàn)狀和動向
篇6
[關(guān)鍵詞]網(wǎng)絡(luò)安全 信息技術(shù) 發(fā)展態(tài)勢
中圖分類號:V263 文獻標(biāo)識碼:A 文章編號:1009-914X(2017)10-0007-01
網(wǎng)絡(luò)安全問題涉及到各個方面,包括產(chǎn)品的管理以及技術(shù)安全。就研究的內(nèi)容而言,網(wǎng)絡(luò)安全問題涉及到邏輯安全、管理安全以及物理安全等。我國當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展與過去相比取得了顯著的成績,但是在系統(tǒng)安全方面依然和西方一些發(fā)達國家相比有一定差距,加上我國需求變化較大,發(fā)展時間不長等,從而造成我國現(xiàn)階段的信息安全產(chǎn)業(yè)鏈發(fā)展不夠完善,因而了解當(dāng)前的網(wǎng)絡(luò)安全技術(shù)及發(fā)展趨勢都顯得十分必要。
1、網(wǎng)絡(luò)安全信息技術(shù)的應(yīng)用分析
網(wǎng)絡(luò)安全信息技術(shù)在應(yīng)用種類十分多樣,包括常見的身份認證技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、訪問控制技術(shù)以及網(wǎng)絡(luò)入侵檢測技術(shù)等,筆者以身份認證技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、訪問控制技術(shù)進行分析。
1.1 身份認證技術(shù)
所謂的身份認證指的是對某個參與通信者的身份進行驗證,從而了解其是否與聲稱的身份一致。當(dāng)前較為常見的身份認證技術(shù)就是數(shù)字證書技術(shù)和數(shù)字簽名技術(shù)。其中,數(shù)字證書技術(shù)也叫做網(wǎng)絡(luò)身份證和數(shù)字身份證,通過公鑰體制,也就是通過相互匹配的密鑰進行的一系列加密過程,其通常由認證中心發(fā)起并簽名的,其中的文件包括公開密鑰信息相關(guān)者和擁有者[1]。數(shù)字簽名指的是僅信息發(fā)送者通過密鑰算法公開的一種技術(shù)創(chuàng)造出來無法被別人偽造的數(shù)字串,該技術(shù)是交易成功進行的核心技術(shù)。
1.2 數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)主要是保護動態(tài)信息,在開放網(wǎng)絡(luò)應(yīng)用中較為廣泛,其能夠為不明原因的網(wǎng)絡(luò)攻擊進行抵抗,防止重要的信息被篡改或者泄露。數(shù)據(jù)加密技術(shù)的本質(zhì)就是通過符號的作用進行數(shù)據(jù)置換與移位的算法變換過程。這一算法變換過程也叫做密鑰符號串控制,一般無論是解密還是加密都是在密鑰控制下開展的。數(shù)據(jù)加密技術(shù)分為非對稱和對稱密鑰密碼技術(shù)兩種。
對稱密鑰密碼技術(shù)對解密和加密的雙方均有要求,其必須在密鑰設(shè)置上保持一致,解密方和加密方都應(yīng)當(dāng)對密鑰進行掌控,才能共同完成這一過程。均有典型代表性的對稱密鑰密碼技術(shù)就是美國的數(shù)據(jù)加密算法以及數(shù)據(jù)加密標(biāo)準(zhǔn)[2]。國際數(shù)據(jù)加密算法是基于數(shù)據(jù)加密標(biāo)準(zhǔn)基礎(chǔ)上發(fā)展形成的,在加密與加密的過程中應(yīng)用較多,而數(shù)據(jù)加密標(biāo)準(zhǔn)則在用戶識別、文件保護以及計算機網(wǎng)絡(luò)通信中應(yīng)用十分廣泛。
非對稱密鑰算法也叫做公鑰加密加密算法,其主要涉及到專用密鑰和公共密鑰兩種,二者之間的聯(lián)系異常緊密。在應(yīng)用的過程中,公鑰系統(tǒng)不僅具有加密的作用,還能M行數(shù)字簽名。
1.3 防火墻技術(shù)
所謂的防火墻技術(shù)主要是指的是保護網(wǎng)絡(luò)運行安全性的技術(shù)。防火墻是一層在內(nèi)外部網(wǎng)絡(luò)邊界上構(gòu)建的過濾封鎖機制,是現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)實施安全措施的必備工具。通過了解防火墻相關(guān)技術(shù)應(yīng)用情況,能將其劃分為型防火墻、應(yīng)用網(wǎng)關(guān)防火墻、數(shù)據(jù)包過濾防火墻。防火墻運轉(zhuǎn)過程中,主要是通過服務(wù)發(fā)揮作用,其也叫做TCP通道和鏈路級網(wǎng)關(guān)[3]。防火墻主要是利用網(wǎng)關(guān)技術(shù)和數(shù)據(jù)包過濾存在的缺陷而實行的一種防火墻技術(shù),主要特征就是劃分任何跨越防火墻網(wǎng)絡(luò)通信劃分為兩大段。應(yīng)用型防火墻一般在專用工作站上進行安裝,通過建立于網(wǎng)絡(luò)應(yīng)用層上的轉(zhuǎn)發(fā)與過濾功能,對一些特定的服務(wù)協(xié)議涉及到的數(shù)據(jù)進行過濾與分析,從而形成最終的分析報告[4]。數(shù)據(jù)包過濾防火墻不僅維護方便,且速度十分快,一般都是防火墻的首道防線。該防火墻對數(shù)據(jù)包在網(wǎng)絡(luò)層中的流通進行選擇性通過,從而對每一個數(shù)據(jù)包進行檢查,依據(jù)數(shù)據(jù)包的目標(biāo)地址、源地址等決定是否讓其通過。
2、網(wǎng)絡(luò)安全的發(fā)展態(tài)勢分析
2.1 網(wǎng)絡(luò)攻擊新焦點集中于關(guān)鍵基礎(chǔ)設(shè)施和大數(shù)據(jù)平臺
公共交通、水利、電力以及電信等行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施和平臺是國際民生的關(guān)鍵設(shè)施,其如果受到惡意的網(wǎng)絡(luò)攻擊,則會導(dǎo)致巨大的社會損失,近些年來其往往容易被網(wǎng)絡(luò)攻擊者所盯上。例如,近些年來隨著美國核心技術(shù)設(shè)施的建設(shè)與完善,其所承受的網(wǎng)絡(luò)攻擊次數(shù)也在不斷增加。據(jù)有關(guān)資料顯示,2016年以來,西方某發(fā)達國家的關(guān)鍵基礎(chǔ)設(shè)施遭受到的網(wǎng)絡(luò)攻擊行為呈現(xiàn)出成倍的增加趨勢。
2.2 網(wǎng)絡(luò)攻擊新矛頭指向新型媒體信息
由于信息媒體信息缺乏相應(yīng)的安全保障機制,往往成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。其安全性最大的缺陷在于攻擊者能夠相對輕易利用用戶的信任關(guān)系,從而構(gòu)建出虛擬化的信任網(wǎng)絡(luò),將一些攻擊資源大規(guī)模掌握在手中,最終對社會公共服務(wù)及網(wǎng)絡(luò)自身產(chǎn)生巨大的威脅。不法分子能夠通過社交網(wǎng)絡(luò)開展網(wǎng)絡(luò)攻擊活動,以2013年的“敘利亞電子軍”事件最為典型,該行為對社會穩(wěn)定和國家安全帶來巨大的危害。
2.3 網(wǎng)絡(luò)攻擊新手段變更為以監(jiān)聽技術(shù)為主
當(dāng)前,在國家政治領(lǐng)域中,私人機構(gòu)和政府部門開展目標(biāo)滲透的一項新方式就是網(wǎng)絡(luò)攻擊,并且攻擊的方式逐漸從傳統(tǒng)途徑過渡到移動通信方面。就網(wǎng)絡(luò)監(jiān)聽而言,以往的監(jiān)聽主要利用對數(shù)據(jù)包的旁路截獲而實現(xiàn)數(shù)據(jù)監(jiān)聽,但該方式在指向性方面較弱,并且要求數(shù)據(jù)的存儲與處理十分嚴格。而為了使得監(jiān)聽的內(nèi)容更加完整及效率更高,當(dāng)前有關(guān)機構(gòu)實行的監(jiān)聽方式是主動滲透的方式,從而進入到網(wǎng)絡(luò)設(shè)備商、游戲服務(wù)商以及搜索服務(wù)商等。
3、信息技術(shù)的發(fā)展態(tài)勢分析
3.1 后個人計算時期的到來
現(xiàn)如今,全球信息技術(shù)的發(fā)展已經(jīng)進入到關(guān)鍵的時期,其出現(xiàn)的變革征兆包括:產(chǎn)業(yè)界和科學(xué)家在研究后,發(fā)現(xiàn)集成電路行業(yè)的發(fā)展逐漸邁入了后摩爾時代,即在不斷突破與超越的過程中涌現(xiàn)出一大批全新的工藝、技術(shù)和材料;計算機的發(fā)展逐漸向后個人計算機時期跨入,以往的平臺逐漸分崩離析,各類平臺逐漸進入百姓生活并且相互之間開始不斷的競爭;云計算、物聯(lián)網(wǎng)技術(shù)的崛起與革新促進著整個信息技術(shù)產(chǎn)業(yè)的轉(zhuǎn)型與升級,并且在信息技術(shù)的應(yīng)用過程及處理方法方面也產(chǎn)生了很大的變化;信息技術(shù)與網(wǎng)絡(luò)安全逐漸成為政治領(lǐng)域不得不面對的挑戰(zhàn);大數(shù)據(jù)時代的到來使得傳統(tǒng)的產(chǎn)業(yè)模式和研究方向發(fā)生了翻天覆地的變化,逐漸成為相關(guān)研究人員關(guān)注的核心領(lǐng)域;智能信息技術(shù)和人腦智能理念的研發(fā)將更上一層樓,對于人類智能的認知正發(fā)生深刻變化。
3.2 第三代信息技術(shù)的成型與發(fā)展
相比于傳統(tǒng)的信息技術(shù),當(dāng)前的信息技術(shù)更加靈活與便捷,信息技術(shù)的“云”創(chuàng)新力度越來越大,其中以物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等為代表的第三代信息技術(shù)發(fā)展逐漸形成規(guī)模,并以平臺的方式滲透著對社會的影響,在很大程度上改善了人們的日常生產(chǎn)和生活模式。
結(jié)語
網(wǎng)絡(luò)安全信息技術(shù)發(fā)展到今天,人類社會享受網(wǎng)絡(luò)技術(shù)帶來的便捷之后,也承受到網(wǎng)絡(luò)安全風(fēng)險問題。可以說,網(wǎng)絡(luò)完全是長久而系統(tǒng)的一項工程,不能僅僅通過單個的技術(shù)與信息系統(tǒng)來實現(xiàn),更應(yīng)當(dāng)考慮到各類不同系統(tǒng)和平臺的要求,從而緊密結(jié)合于安全技術(shù),進一步形成一個安全、通用、高效的網(wǎng)絡(luò)系統(tǒng)。
參考文獻
[1] 耿長海.網(wǎng)絡(luò)管理系統(tǒng)設(shè)計及信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].河南科技,2015,01:43-44.
[2] 楊曙光.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,04:40-41.
篇7
在技術(shù)和用戶需求驅(qū)動下,網(wǎng)絡(luò)和高端安全產(chǎn)品正在走向融合。未來,新一代信息技術(shù)將呈現(xiàn)出更加開放、智能、融合的屬性,這將給信息安全從業(yè)者帶來更大挑戰(zhàn)。
從用戶方面看,用戶需求開始由被動向主動轉(zhuǎn)型,對產(chǎn)品的選擇也趨于理性。在產(chǎn)品結(jié)構(gòu)方面,除防火墻、IDS(入侵檢測系統(tǒng))和防病毒這“老三樣”產(chǎn)品外,用戶對UTM(統(tǒng)一威脅管理)、Web安全、信息加密、身份認證、IPS(入侵防御系統(tǒng))、VPN(虛擬專用網(wǎng)絡(luò))、安全審計、安全管理平臺、專業(yè)安全服務(wù)等的需求逐步上升。
從防護對象看,用戶對網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)安全防護都有所加強,服務(wù)器、終端、操作系統(tǒng)、數(shù)據(jù)庫等軟硬件系統(tǒng)防護體系建設(shè)全面推進。網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全體系將逐步健全。
2011年,隨著網(wǎng)絡(luò)威脅變得更加復(fù)雜多樣,單一功能的安全產(chǎn)品越來越難以滿足客戶的安全防護需求,安全產(chǎn)品正在向多功能化方向發(fā)展,安全集成和產(chǎn)品功能融合已經(jīng)是大勢所趨,這種融合包括:軟硬件、安全產(chǎn)品和IT設(shè)備的融合,廠商之間的產(chǎn)品和解決方案的融合等。如:UTM將多種安全功能集于一體,集成了防火墻、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵檢測與防護等功能,有取代傳統(tǒng)防火墻之勢,有望成為未來的主流信息安全產(chǎn)品之一。
從具體產(chǎn)品看,防火墻已經(jīng)從最初的包過濾防火墻發(fā)展到現(xiàn)在的深度檢測防火墻,產(chǎn)品性能和對應(yīng)用層數(shù)據(jù)的檢測能力不斷提高;UTM從簡單的功能疊加,逐步發(fā)展到功能融合;IDS/IPS隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展日趨成熟;內(nèi)網(wǎng)(終端)安全產(chǎn)品需求快速增長;Web應(yīng)用安全類產(chǎn)品從單一保護模式發(fā)展到多方保護模式;SOC(安全管理平臺)產(chǎn)品正不斷適應(yīng)本地化需求。
東軟NetEye安全運維管理平臺(SOC)
東軟NetEye安全運維管理平臺(SOC)解決了海量數(shù)據(jù)和信息孤島的困擾,整體上簡化了安全管理的數(shù)據(jù)模型。通過將網(wǎng)絡(luò)中各類IT基礎(chǔ)設(shè)施的多類數(shù)據(jù)存儲到一個通用數(shù)據(jù)庫中,并根據(jù)科學(xué)的策略進行關(guān)聯(lián)分析,協(xié)助安全維護人員更有效地回應(yīng)不斷變化的安全風(fēng)險。
東軟SOC采用創(chuàng)新的“私有云”架構(gòu),將數(shù)據(jù)收集、數(shù)據(jù)集成、數(shù)據(jù)分析等任務(wù)逐層下發(fā)到云端,實現(xiàn)了海量異構(gòu)數(shù)據(jù)集成、數(shù)據(jù)歸并、數(shù)據(jù)分析的多層次處理。基于云的系統(tǒng)能同時匯聚超大規(guī)模的數(shù)據(jù)信息,并擴大其監(jiān)控的范圍,從而提高分析的有效性。
東軟SOC能實現(xiàn)人性化的觸摸屏操作,可以進行形象化比擬安全狀態(tài),能對業(yè)務(wù)系統(tǒng)進行監(jiān)控,全面展開數(shù)據(jù)收集,并能進行海量異構(gòu)數(shù)據(jù)收集與分析,提供細致到位的平臺支撐。
華賽Secospace USG5500萬兆UTM
Secospace USG5500是華為賽門鐵克面向大中型企業(yè)和下一代數(shù)據(jù)中心推出的新一代萬兆UTM。USG5500集大容量交換與專業(yè)安全于一體,在僅3U的平臺上提供了超過30G的處理能力,融合了IPS、AV、URL過濾、應(yīng)用流量控制、反垃圾郵件等行業(yè)領(lǐng)先的專業(yè)安全技術(shù),可精細化管理一千多種網(wǎng)絡(luò)應(yīng)用,同時傳承了USG產(chǎn)品族優(yōu)異的防火墻、VPN及路由特性,為用戶打造更高速、更高效、更安全的網(wǎng)絡(luò)。
USG5500有以下特點:更高速,能提供萬兆多核全新硬件平臺,實現(xiàn)海量業(yè)務(wù)處理;更高效,能進行超千種應(yīng)用程序精細管理;更安全,重新演繹了專業(yè)內(nèi)容安全防御技術(shù)。USG5500基于賽門鐵克多年積累的反病毒技術(shù),采用文件級內(nèi)容掃描的AV引擎,結(jié)合全球領(lǐng)先的仿真環(huán)境虛擬執(zhí)行技術(shù),提供高達99%的精準(zhǔn)檢出率,多次獲國際評測組織好評;專業(yè)漏洞補丁技術(shù),讓變形無所遁形:USG5500采用賽門鐵克領(lǐng)先的漏洞防護技術(shù),針對漏洞(而非攻擊代碼)提供“虛擬補丁”。
梭子魚下一代防火墻F800
梭子魚下一代防火墻F800是一個集成硬件設(shè)備和虛擬化軟件的安全網(wǎng)關(guān),它能全面防護企業(yè)網(wǎng)絡(luò)架構(gòu),提升點對點連接流量,簡化網(wǎng)絡(luò)操作流程。除了強大的防火墻和VPN功能以外,產(chǎn)品還集成了一系列下一代防火墻的復(fù)雜技術(shù),包括身份認證的七層應(yīng)用控制、入侵檢測、安全網(wǎng)關(guān)、垃圾郵件防護以及網(wǎng)絡(luò)準(zhǔn)入控制等。
梭子魚下一代防火墻F800突出了智能點對點流量管理功能,大大優(yōu)化了廣域網(wǎng)的性能和功能。信息管理人員可以輕松管理應(yīng)用層路徑,根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。產(chǎn)品支持多種鏈接接入方式,包括專用線路、XDSL、3G/UMTS無線移動網(wǎng)絡(luò)及其他以太網(wǎng)的鏈路接口。
除了上述領(lǐng)先的下一代防火墻的卓越性能外,該產(chǎn)品還配備了業(yè)界領(lǐng)先的中央管理控制平臺、功能更具彈性的VPN及智能流量管理技術(shù),能保障用戶在全面提升網(wǎng)絡(luò)性能的同時縮減成本支出。
Hillstone云數(shù)據(jù)中心安全解決方案
采用Hillstone SG-6000-X6150高性能數(shù)據(jù)中心防火墻的彈性化安全方案,能為云數(shù)據(jù)中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G數(shù)據(jù)中心防火墻,它具有以下特點:電信級可靠性設(shè)計,高性能、高容量、低延遲,智能的業(yè)務(wù)自適應(yīng)能力,深度應(yīng)用檢測及網(wǎng)絡(luò)可視化,豐富的業(yè)務(wù)擴展能力,綠色、節(jié)能、環(huán)保。
該方案能為海量計算提供更高的性能保障。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻可提供更為有效的保障,平臺采用全并行安全架構(gòu),實現(xiàn)對安全業(yè)務(wù)的分布式處理;對軟件處理流程進行了很大的優(yōu)化,在業(yè)務(wù)安全處理流程上,實現(xiàn)一次解包全并行處理,達到最高的處理效率。
該方案還能為快速增長的業(yè)務(wù)提供高可擴展性支持。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻采用彈性架構(gòu),在全模塊化設(shè)計的基礎(chǔ)上,實現(xiàn)數(shù)據(jù)輸入/輸出與安全計算的分離、控制與安全處理的分離,多個計算資源可為相同的接口服務(wù),在增加業(yè)務(wù)處理模塊后,為特定的業(yè)務(wù)提供更高性能的處理資源。這種彈性可擴展的特性,既降低了數(shù)據(jù)中心安全建設(shè)的初期成本,同時伴隨著業(yè)務(wù)增長,也有效地保護了用戶投資。
除以上功能外,該方案還能為云數(shù)據(jù)中心業(yè)務(wù)持續(xù)性提供高可靠保證,為云數(shù)據(jù)中心虛擬化提供支撐,并能提供云數(shù)據(jù)中心全局可視化管理。
趨勢科技云計算安全解決方案
趨勢科技的云計算安全整體解決方案可以全面保護超過22種平臺和環(huán)境的數(shù)據(jù)資產(chǎn)。通過趨勢科技的企業(yè)威脅管理戰(zhàn)略配合“云計算安全5.0”解決方案,用戶可全面地保護從物理機、虛擬機到云基礎(chǔ)設(shè)施、云數(shù)據(jù)、云應(yīng)用到移動互聯(lián)網(wǎng)中的移動設(shè)備和智能手機等環(huán)境。趨勢科技帶給企業(yè)用戶的全球領(lǐng)先的云計算安全技術(shù),將成為云計算產(chǎn)業(yè)發(fā)展最堅實的基礎(chǔ),這使得用戶能夠邁向云端,安心地全力把握云計算浪潮所帶來的寶貴商機。
篇8
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻
1 概論
當(dāng)今社會互聯(lián)網(wǎng)高度發(fā)達,幾乎全世界的計算機都通過因特網(wǎng)聯(lián)系在了一起。網(wǎng)絡(luò)安全也成了互聯(lián)網(wǎng)用戶每時每刻要面對的問題。現(xiàn)在,網(wǎng)絡(luò)安全已經(jīng)成了專門的技術(shù)。保證網(wǎng)絡(luò)安全有很多種措施,包括防火墻技術(shù)、數(shù)字簽名、數(shù)據(jù)加密解密技術(shù)、訪問控制、身份認證技術(shù)等,其中防火墻技術(shù)使用最廣泛,實用性最強。
2 防火墻技術(shù)
防火墻技術(shù)是一個由硬件設(shè)備和軟件組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障,是形象的說法。防火墻既可以是一個硬件設(shè)備也可以是運行在一般硬件上的一套軟件。防火墻能加強網(wǎng)絡(luò)之間訪問控制,防止外網(wǎng)用戶以非法手段訪問內(nèi)部網(wǎng)絡(luò),保護內(nèi)部網(wǎng)絡(luò)環(huán)境。防火墻能很好的保護用戶,入侵者只有穿過防火墻,才能接觸到用戶計算機。防火墻可以阻擋大部分的網(wǎng)絡(luò)進攻,能滿足絕大多數(shù)用戶的需要。
3 防火墻分類
3.1 從實現(xiàn)方式上分 從實現(xiàn)方式上防火墻可以分為軟件防火墻和硬件防火墻兩類。軟件防火墻以純軟件的方式實現(xiàn),只能通過軟件設(shè)置一定的規(guī)則來限制外網(wǎng)用戶非法訪問內(nèi)部網(wǎng)絡(luò)。軟件防火墻功能相對簡單,價格便宜,廣泛應(yīng)用于小型企業(yè)及個人用戶。硬件防火墻指通過軟硬件的結(jié)合的方式來隔離內(nèi)部外部網(wǎng)絡(luò),效果很好,但是價格昂貴,只適用于大型企事業(yè)單位。
3.2 從架構(gòu)上分 防火墻從架構(gòu)上分可以分為通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器(NP)架構(gòu)三種。
通用CPU架構(gòu)以基于Inter X86架構(gòu)的防火墻為代表。其特點是靈活性高和可擴展性好。由于PCI總線速度較低,CPU處理能力弱,通用CPU架構(gòu)防火墻的數(shù)據(jù)吞吐量較低,和理論值2Gbps有很大差距。該架構(gòu)的防火墻通常作為百兆級防火墻。
ASIC(Application Specific Integrated Circuit專用集成電路)技術(shù)是高端網(wǎng)絡(luò)設(shè)備廣泛采用的技術(shù)。其采用了多總線技術(shù)、數(shù)據(jù)層面、控制層面分離與硬件轉(zhuǎn)發(fā)模式等技術(shù)。ASIC架構(gòu)防火墻解決了寬帶容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。ASIC架構(gòu)防火墻是世界公認的滿足千兆骨干級網(wǎng)絡(luò)應(yīng)用的技術(shù)方案,線速可達千兆。ASIC技術(shù)的優(yōu)勢體現(xiàn)在對網(wǎng)絡(luò)層的數(shù)據(jù)轉(zhuǎn)發(fā),而對應(yīng)用層的數(shù)據(jù)處理不占優(yōu)勢。
網(wǎng)絡(luò)處理器(NP)是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器,它具有高處理能力、開放的編程接口、完全的可編程性、簡單的編程模式等優(yōu)點。
NP內(nèi)含多個數(shù)據(jù)處理器,可以并發(fā)處理數(shù)據(jù)。數(shù)據(jù)處理能力較通用處理器強大很多,處理一般性任務(wù)時可以達到線速。網(wǎng)絡(luò)處理器架構(gòu)下的產(chǎn)品成本比通用CPU架構(gòu)的成本要高,而處理能力比ASIC價格低。但是網(wǎng)絡(luò)處理器架構(gòu)防火墻集成度高由于有多個數(shù)據(jù)處理器,能夠勝任高速數(shù)據(jù)處理。
3.3 從技術(shù)上分 目前有很多種防火墻技術(shù),根據(jù)采用技術(shù)的不同,總體可以分為兩大類:包過濾型和應(yīng)用型。
3.3.1 包過濾型防火墻 包過濾型防火墻是最原始的防火墻,作用在網(wǎng)絡(luò)層和傳輸層,技術(shù)依據(jù)是數(shù)據(jù)在網(wǎng)絡(luò)中采用分組傳輸技術(shù)。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸前先被劃分為多個數(shù)據(jù)包,每個數(shù)據(jù)包都包含一些特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等標(biāo)志。防火墻根據(jù)這些信息判斷數(shù)據(jù)是否安全。滿足防火墻過濾條件的數(shù)據(jù)包被轉(zhuǎn)發(fā)到相應(yīng)的目的地址,其余數(shù)據(jù)包則被丟棄。
在包過濾防火墻的發(fā)展過程中,出現(xiàn)了第一代靜態(tài)包過濾型防火墻第二代動態(tài)包過濾型防火墻。
靜態(tài)包過濾防火墻根據(jù)管理員預(yù)先定義好的數(shù)據(jù)過濾規(guī)則檢查每個數(shù)據(jù)包,與過濾規(guī)則匹配成功則丟棄,否則讓其通過。過濾規(guī)則基于數(shù)據(jù)包中的特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類型、端口號等。
動態(tài)包過濾型防火墻的包過濾規(guī)則采用動態(tài)設(shè)置的方法,解決了靜態(tài)包過濾型防火墻出現(xiàn)的問題。該技術(shù)后來發(fā)展成為狀態(tài)監(jiān)測(Stateful Inspection)包過濾技術(shù)。采用這種技術(shù)的防火墻利用狀態(tài)表跟蹤所有的網(wǎng)絡(luò)會話狀態(tài),不僅根據(jù)規(guī)則表檢查每一個包,還根據(jù)會話所處的狀態(tài)檢查數(shù)據(jù)包。狀態(tài)檢測防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)傳輸行為,增強了控制能力。狀態(tài)檢測防火墻對通過其建立的每一個連接都進行跟蹤,并且可根據(jù)需要在過濾規(guī)則中動態(tài)地增加或更新條目。
包過濾技術(shù)既簡單實用,又能適用于所有的網(wǎng)絡(luò)服務(wù),基本上能滿足大多數(shù)企業(yè)的安全要求。但是包過濾技術(shù)也有它的缺點。該技術(shù)是基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的數(shù)據(jù)來源、目標(biāo)地址和端口號等信息判斷是否安全。對于應(yīng)用層的入侵,如惡意軟件以及文件附帶的病毒則無能為力。因為偽造IP地址,騙過包過濾型防火墻對于有經(jīng)驗的黑客來說并不是一件難事。為特定服務(wù)開放的端口存在著一定的受攻擊風(fēng)險。
3.3.2 應(yīng)用型防火墻 應(yīng)用型防火墻工作在應(yīng)用層。它通過對各種應(yīng)用服務(wù)編制專門的程序,實現(xiàn)監(jiān)控應(yīng)用層通信流的作用。
在型防火墻技術(shù)的發(fā)展過程中,出現(xiàn)了第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。
應(yīng)用網(wǎng)關(guān)型防火墻有時也被稱為服務(wù)器,其安全性遠高于包過濾型防火墻。該防火墻位于服務(wù)器與客戶機之間,對于服務(wù)器來說,它相當(dāng)于客戶機;對于客戶機來說,它相當(dāng)于服務(wù)器。從客戶機發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后,可以隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。由于外部客戶機與內(nèi)部服務(wù)器之間沒有直接通信,所以外部的行為一般不會影響內(nèi)部服務(wù)器。這種類型的防火墻被公認為是最安全的防火墻。它的核心技術(shù)就是服務(wù)器技術(shù)。
自適應(yīng)型防火墻是一種新型防火墻,近年來得到了廣泛的應(yīng)用。它既具有包過濾防火墻的高速度的優(yōu)點又具有類型防火墻的安全性的優(yōu)點,能在不降低安全性的基礎(chǔ)上將防火墻的性能提高數(shù)倍。自適應(yīng)型防火墻的基本組成要素包括動態(tài)包過濾器和自適應(yīng)服務(wù)器。
應(yīng)用型防火墻是為防范應(yīng)用層攻擊設(shè)計的,它可以篩選保護OIS網(wǎng)絡(luò)模型中的任意層數(shù)據(jù)通信。應(yīng)用型防火墻有以下優(yōu)點:隱藏內(nèi)部IP;限制某些協(xié)議的傳出請求;指定對連接的控制;能夠記錄連接日志,對追蹤攻擊和非法訪問很有用。
應(yīng)用防火墻的缺點:用戶每次連接都要認證,帶來不便;用戶系統(tǒng)須定制;速度相對較慢,當(dāng)網(wǎng)絡(luò)通信速率較高時,就會影響內(nèi)外部通信,但通常情況下不會很明顯。
4 結(jié)束語
防火墻系統(tǒng)只是一種網(wǎng)絡(luò)安全防護手段,并不能保證網(wǎng)絡(luò)安全萬無一失。它只能防護經(jīng)過自身的非法訪問和攻擊,某些惡意的訪問可以通過客戶機的軟件繞過放過防火墻,傳輸非法數(shù)據(jù)。另外對于數(shù)據(jù)驅(qū)動式攻擊、帶病毒的數(shù)據(jù)防火墻都不能直接攔截。
單純的防火墻技術(shù)逐漸不能滿足人們對網(wǎng)絡(luò)安全的需要,防火墻技術(shù)的改進及與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用已經(jīng)成為網(wǎng)絡(luò)安全的重要手段。主要的技術(shù)手段有:多級過濾技術(shù)、分布式防火墻、入侵檢查系統(tǒng)、入侵防御系統(tǒng)。
隨著計算機技術(shù)的發(fā)展,防火墻技術(shù)會不斷的向前發(fā)展,網(wǎng)絡(luò)安全問題也會不斷涌現(xiàn)。只有不斷改進安全策略,才能保證網(wǎng)絡(luò)安全穩(wěn)定的發(fā)展。
參考文獻:
[1]伍錦群.防火墻技術(shù)的探討[J].長春理工大學(xué)學(xué)報.2008,(03).
篇9
關(guān)鍵詞 計算機網(wǎng)絡(luò) 安全性 防火墻
隨著計算機信息化建設(shè)的飛速發(fā)展,計算機已普遍應(yīng)用到日常工作、生活的每一個領(lǐng)域,比如政府機關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。而網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用的廣泛深入,網(wǎng)絡(luò)已經(jīng)成為信息社會的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)上信息的安全和保密是網(wǎng)絡(luò)得以發(fā)展的重要保障。但隨之而來的是,計算機網(wǎng)絡(luò)安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。
一、影響計算機網(wǎng)絡(luò)系統(tǒng)安全的因素
計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
對計算機信息構(gòu)成不安全的因素很多,其中包括人為的因素、自然的因素和偶發(fā)的因素。其中,人為因素是指,一些不法之徒利用計算機網(wǎng)絡(luò)存在的漏洞,或者潛入計算機房,盜用計算機系統(tǒng)資源,非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計算機病毒。人為因素是對計算機信息網(wǎng)絡(luò)安全威脅最大的因素。計算機網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個方面:
1.操作系統(tǒng)存在安全問題
操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。
2.防火墻的脆弱性
防火墻只能提供網(wǎng)絡(luò)的安全性,不能保證網(wǎng)絡(luò)的絕對安全,它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內(nèi)部的攻擊,若是內(nèi)部的人和外部的人聯(lián)合起來,即使防火墻再強,也是沒有優(yōu)勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術(shù)的發(fā)展,還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。
3.計算機病毒的影響
計算機病毒利用網(wǎng)絡(luò)作為自己繁殖和傳播的載體及工具,造成的危害越來越大,病毒的危害性強,變形各類繁多、傳播速度快、影響范圍廣。
二、應(yīng)對策略
在技術(shù)方面,計算機網(wǎng)絡(luò)安全技術(shù)主要有實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻、完整性檢驗保護技術(shù)、病毒情況分析報告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來,技術(shù)層面可以采取以下對策:
(1)建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法。
(2)網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。
(3)應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。
(4)切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息。
(5)提高網(wǎng)絡(luò)反病毒技術(shù)能力。在網(wǎng)絡(luò)環(huán)境下,病毒傳播的速度非常快,計算機病毒不斷升級,極大威脅到網(wǎng)絡(luò)的安全。現(xiàn)在我們普遍使用防病毒軟件進行病毒的防范,常用的防病毒軟件包括單機防病毒軟件和網(wǎng)絡(luò)防病毒軟件兩大類。網(wǎng)絡(luò)防病毒軟件注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,此軟件會立刻檢測到并予以清除。單機防病毒軟件采用分析、掃描的方式對本地和本地工作站連接的遠程資源進行檢測并清除病毒。此外,我們還可以采取如下具體的防病毒措施,如定期對文件進行備份、不隨意打開陌生網(wǎng)站鏈接、不隨意打開陌生郵件附件、開啟反病毒軟件實時監(jiān)控和殺毒功能、網(wǎng)絡(luò)下載的文件或軟件要先殺毒再使用等。?通過安裝病毒防火墻,進行實時過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁掃描和監(jiān)測,在工作站上采用防病毒卡,加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。
(6)漏洞掃描技術(shù)。漏洞掃描技術(shù)就是利用網(wǎng)絡(luò)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)安全檢測,以查找出安全隱患和系統(tǒng)漏洞,然后進行排除。由于漏洞是系統(tǒng)本身不可避免的,因此各種軟件常通過“打補丁”的方式修補漏洞。系統(tǒng)開放的服務(wù)越多。存在漏洞的幾率也就越大。因此不要同時運行太多的軟件,不但可以減少漏洞隱患,還可以提高計算機的運行速度。漏洞掃描的結(jié)果實際就是對系統(tǒng)安全性能的評估,定時運行漏洞掃描技術(shù),是保證網(wǎng)絡(luò)安全不可缺少的手段。
(7)加強IP地址的保密性 黑客攻擊計算機的主要途徑就是通過計算機的IP地址來實現(xiàn)的。一旦被黑客掌握了IP地址,就可以對計算機進行各種非法攻擊,從而使該計算機的安全受到極大的威脅。因此,用戶應(yīng)當(dāng)加強IP地址的保密性,不能隨便泄露自己使用的計算機的IP地址,在使用的過程中最好將IP地址隱藏起來,以提高網(wǎng)絡(luò)安全系數(shù)。
三、結(jié)束語
總之,網(wǎng)絡(luò)安全非常重要,由于網(wǎng)絡(luò)的共享性和開放性,網(wǎng)絡(luò)經(jīng)常受到嚴重的安全攻擊,因此重視對計算機網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制,建立更加有效的網(wǎng)絡(luò)安全防范體系就極為重要。同時,也要樹立所有參與人員的計算機安全意識,建立健全網(wǎng)絡(luò)安全管理制度,力爭將網(wǎng)絡(luò)安全問題控制到最小。
參考文獻:
篇10
銀澎云計算旗下的主要產(chǎn)品有:
云主機:通過對計算與存儲資源的聚合和虛擬化,給用戶帶來高效、低成本、按需供給、靈活使用的計算與數(shù)據(jù)服務(wù)。
云加速:將網(wǎng)站靜態(tài)內(nèi)容于離用戶最近節(jié)點,用戶使用時可就近獲得所需數(shù)據(jù)。
云會議:公司旗下“好視通”云會議平臺是國內(nèi)領(lǐng)先的云會議服務(wù)領(lǐng)導(dǎo)品牌,擁有多項創(chuàng)新核心技術(shù)優(yōu)勢,產(chǎn)品已成功地廣泛運用于全國教育、培訓(xùn)、金融、物流、通信、政府等行業(yè)和領(lǐng)域,企業(yè)榮膺國家級高新技術(shù)企業(yè)和雙軟企業(yè)等科技認證。
云存儲:致力于打造具備大數(shù)據(jù)集中存儲、自助云備份、發(fā)送共享和管理服務(wù)的私有云平臺。該平臺是針對企業(yè)、政府、學(xué)校、科研、傳媒等企業(yè)級用戶應(yīng)用而開發(fā)的,適用于任何機構(gòu)內(nèi)部或內(nèi)外之間的電子文檔存儲管理、網(wǎng)絡(luò)服務(wù)、傳閱簽收、公文審批等業(yè)務(wù)流程,便于機構(gòu)全體、部門、個人的電子文檔共享,有關(guān)文檔按機構(gòu)、部門、項目組、職員進行嚴格管理,實現(xiàn)對文件的嚴格管理與可控共享。
云數(shù)據(jù)中心:銀澎云計算自建的銀澎百盛云計算數(shù)據(jù)中心,是國家五星級超大云計算數(shù)據(jù)中心,總投資3億元,建筑面積達18000平米,最大可容納6000個機柜、80000臺服務(wù)器,是目前國內(nèi)少有達到T3+級別的云數(shù)據(jù)中心,可為客戶按需提供優(yōu)質(zhì)的云計算數(shù)據(jù)資源和高級別的安全保障服務(wù)。云計算數(shù)據(jù)中心主要業(yè)務(wù)包括服務(wù)器托管、服務(wù)器出租、機柜租賃、系統(tǒng)維護以及其他支撐、運行服務(wù)等。同時,銀澎云計算依托國內(nèi)領(lǐng)先的五星級云計算數(shù)據(jù)中心資源,憑借深厚的行業(yè)經(jīng)驗、雄厚的技術(shù)研發(fā)能力和卓越高效的服務(wù)保障體系,為廣大客戶提供高彈性、高性能和高安全的云計算整體解決方案。
- 上一篇:小學(xué)體育教學(xué)措施
- 下一篇:常規(guī)教育活動重點
熱門標(biāo)簽
相關(guān)期刊
精品范文
2防火材料