防火墻技術(shù)分析與研究畢業(yè)論文.doc
-
資源ID:116782134
資源大?。?span id="bbxftr2" class="font-tahoma">66.52KB
全文頁數(shù):13頁
- 資源格式: DOC
下載積分:15積分
快捷下載
會員登錄下載
微信登錄下載
微信掃一掃登錄
友情提示
2、PDF文件下載后,可能會被瀏覽器默認(rèn)打開,此種情況可以點擊瀏覽器菜單,保存網(wǎng)頁到桌面,就可以正常下載了。
3、本站不支持迅雷下載,請使用電腦自帶的IE瀏覽器,或者360瀏覽器、谷歌瀏覽器下載即可。
4、本站資源下載后的文檔和圖紙-無水印,預(yù)覽文檔經(jīng)過壓縮,下載后原文更清晰。
5、試題試卷類文檔,如果標(biāo)題沒有明確說明有答案則都視為沒有答案,請知曉。
|
防火墻技術(shù)分析與研究畢業(yè)論文.doc
山東廣播電視大學(xué)畢業(yè)論文(設(shè)計)評審表 題 目_ 防火墻技術(shù)分析與研究 _ _姓 名 _ _ 教育層次 _專科_學(xué) 號 _1137001401533_ 省級電大 _專 業(yè) _ 計算機(jī)信息管理_ 市級電大 _指導(dǎo)教師 _ 教 學(xué) 點 _防火墻技術(shù)分析與研究目 錄摘要1綜 述1一、防火墻的概述2(一)防火墻的概述2(二) 防火墻的背景與發(fā)展2(三) 防火墻的種類與類型21.數(shù)據(jù)包過濾型防火墻22.應(yīng)用級網(wǎng)關(guān)型防火墻33.代理服務(wù)型防火墻34.復(fù)合型防火墻4(四) 防火墻的功能41.訪問控制42.防御功能53.管理功能54.記錄和報表功能5二、 網(wǎng)絡(luò)安全6(一) 網(wǎng)絡(luò)安全問題61.網(wǎng)絡(luò)安全面臨的主要威脅62.影響網(wǎng)絡(luò)安全的因素6(二)網(wǎng)絡(luò)安全措施71.完善計算機(jī)安全立法72.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)73.制定合理的網(wǎng)絡(luò)管理措施8三、防火墻技術(shù)的發(fā)展趨勢8(一) 防火墻包過濾技術(shù)發(fā)展趨勢8(二)防火墻的體系結(jié)構(gòu)發(fā)展趨勢8(三)防火墻的系統(tǒng)管理發(fā)展趨勢9結(jié)束語9參考文獻(xiàn):10防火墻技術(shù)分析與研究摘要防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備,其主要目的就是限制非法流量,以保護(hù)內(nèi)部子網(wǎng)。從部署位置來看,防火墻往往位于網(wǎng)絡(luò)出口,是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道,因此提高防火墻的性能、避免其成為瓶頸,就成為防火墻產(chǎn)品能否成功的一個關(guān)鍵問題。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型,但總體來講可分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。本文的重點是介紹了防火墻的類型與主要功能,通過防火墻的數(shù)據(jù)包進(jìn)行統(tǒng)計分析,并根據(jù)統(tǒng)計數(shù)據(jù)動態(tài)調(diào)整過濾規(guī)則的相對次序,使得使用最頻繁的規(guī)則位于規(guī)則列表的最前面,使其和當(dāng)前網(wǎng)絡(luò)流量特性相一致,從而達(dá)到降低后繼數(shù)據(jù)包規(guī)則匹配時間來提高防火墻性能之目的。 關(guān)鍵詞:計算機(jī) 防火墻 Internet 安全 技術(shù)特征綜 述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中,尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起,很快形成了一個產(chǎn)業(yè)。防火墻是一種網(wǎng)絡(luò)技術(shù),最初它被定為一個實施某些安全策略保護(hù)一個可信網(wǎng)絡(luò),用以防止來自一個不可信的網(wǎng)絡(luò)(如Internet)的攻擊的裝置。防火墻就是一個或多組網(wǎng)絡(luò)設(shè)備,可用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的實現(xiàn)有好多種方式,有的實現(xiàn)還是很復(fù)雜的,但基本原理卻很簡單。可以把它想象成一個開關(guān),一個是用來阻止輸入,另一個用來允許輸入。防火墻可以設(shè)置在不同的網(wǎng)絡(luò)之間(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、檢測)出入網(wǎng)絡(luò)的信息流,且本身也具有較強的攻擊能力。它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。一、防火墻的概述(一)防火墻的概述人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡(luò)上,如果一個網(wǎng)絡(luò)接到了Internet上面,它的用戶就可以訪問外部世界并與之通信。但同時,外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見,可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng),豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵,提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡,它的作用與建筑的防火磚墻有類似之處,因此我們把這個屏障就叫做“防火墻”。防火墻就是一個位于電腦和它所連接的網(wǎng)絡(luò)之間的軟件。該電腦流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻是一個或一組系統(tǒng),它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同,但是在原則上,防火墻可以被認(rèn)為是這樣一對機(jī)制:一種機(jī)制是攔阻傳輸流通行,另一種機(jī)制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過。(2) 防火墻的背景與發(fā)展第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packet filter)技術(shù)。第二、三代防火墻是在1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻,應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。 第四代防火墻是在1992年,由USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻在1998年,是NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。(3) 防火墻的種類與類型防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型,但總體來講可分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。 1.數(shù)據(jù)包過濾型防火墻 數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的優(yōu)點:不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序,因為它工作在網(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。數(shù)據(jù)包過濾防火墻的缺點:一是非法訪問一旦突破防火墻,即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。據(jù)以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計和報警機(jī)制,且管理方式和用戶界面較差;對安全管理人員素質(zhì)要求高,建立安全規(guī)則時,必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。 2.應(yīng)用級網(wǎng)關(guān)型防火墻應(yīng)用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計,形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài),這有利于實施非法訪問和攻擊。 3.代理服務(wù)型防火墻代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù),其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn),外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記,形成報告,同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報,并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點,起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 4.復(fù)合型防火墻由于對更高安全性的要求,常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來,形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置,使堡壘機(jī)成為Internet上其它節(jié)點所能到達(dá)的唯一節(jié)點,這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機(jī)放在一個子網(wǎng)內(nèi),形成非軍事化區(qū),兩個分組過濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機(jī)和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。(4) 防火墻的功能防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)電腦??梢詫⒎阑饓ε渲贸稍S多不同保護(hù)級別。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)電腦上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。 1.訪問控制功能通過防火墻的包內(nèi)容設(shè)置:包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成,它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法,對于沒有明確定義的數(shù)據(jù)包,應(yīng)該有一個缺省處理方法;過濾規(guī)則應(yīng)易于理解,易于編輯修改;同時應(yīng)具備一致性檢測機(jī)制,防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾,如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP,那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾,其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。 在應(yīng)用層提供代理支持:指防火墻是否支持應(yīng)用層代理,如HTTP、FTP、TELNET、SNMP等。 在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。 用戶操作的代理類型:應(yīng)用層高級代理功能,如HTTP、POP3 。 支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):NAT指將一個IP地址域映射到另一個IP地址域,從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。 支持硬件口令、智能卡: 是否支持硬件口令、智能卡等,這是一種比較安全的身份認(rèn)證技術(shù)。 2.防御功能支持病毒掃描: 是否支持防病毒功能,如掃描電子郵件附件中的DOC和ZIP文件,F(xiàn)TP中的下載或上載文件內(nèi)容,以發(fā)現(xiàn)其中包含的危險信息。 提供內(nèi)容過濾: 是否支持內(nèi)容過濾,信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層,根據(jù)過濾條件,對信息流進(jìn)行控制。防火墻控制的結(jié)果是:允許通過、修改后允許通過、禁止通過、記錄日志、報警等。 過濾內(nèi)容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 能防御的DoS攻擊類型:拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源,導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡,而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機(jī)制,可在一定程度上防止或減輕DoS黑客攻擊。 阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內(nèi)容過濾,防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒,并向瀏覽器用戶報警。同時,能夠過濾用戶上載的CGI、ASP等程序,當(dāng)發(fā)現(xiàn)危險代碼時,向服務(wù)器報警。 3.管理功能通過集成策略集中管理多個防火墻:是否支持集中管理,防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理,管理員的行為主要包括:通過防火墻的身份鑒別,編寫防火墻的安全規(guī)則,配置防火墻的安全參數(shù),查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。本地管理:是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進(jìn)行配置管理。 遠(yuǎn)程管理:是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進(jìn)行管理,管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。 支持帶寬管理:防火墻能夠根據(jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。 4.記錄和報表功能 防火墻處理完整日志的方法:防火墻規(guī)定了對于符合條件的報文做日志,應(yīng)該提供日志信息管理和存儲方法。 提供自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能,這可以獲得更詳細(xì)的統(tǒng)計結(jié)果,達(dá)到事后分析、亡羊補牢的目的。提供自動報表,日志報告書寫器:防火墻實現(xiàn)的一種輸出方式,提供自動報表和日志報告功能。 警告通知機(jī)制:防火墻應(yīng)提供告警機(jī)制,在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運轉(zhuǎn)異常情況時,通過告警來通知管理員采取必要的措施,包括E-mail、呼機(jī)、手機(jī)等。 提供簡要報表(按照用戶ID或IP 地址):防火墻實現(xiàn)的一種輸出方式,按要求提供報表分類打印。 提供實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式,日志分析后所獲得的智能統(tǒng)計結(jié)果,一般是圖表顯示。2、 網(wǎng)絡(luò)安全(1) 網(wǎng)絡(luò)安全問題 安全,通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國對于計算機(jī)安全的定義是:“計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運行。” 1.網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為,計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。 1)計算機(jī)病毒的侵襲。當(dāng)前,活性病毒達(dá)14000多種,計算機(jī)病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓。 2)黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進(jìn)行非法活動;采用匿名用戶訪問進(jìn)行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù);突破防火墻等。 3)拒絕服務(wù)攻擊。例如“點在郵件炸彈”,它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓。 具體講,網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn):身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶等。2.影響網(wǎng)絡(luò)安全的因素從技術(shù)講,計算機(jī)安全分為3種: (1)實體的安全。它保證硬件和軟件本身的安全。 (2)運行環(huán)境的安全性。它保證計算機(jī)能在良好的環(huán)境里持續(xù)工作。 (3)信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。 隨著網(wǎng)絡(luò)的發(fā)展,計算機(jī)的安全問題也延伸到了計算機(jī)網(wǎng)絡(luò)。 1.單機(jī)安全購買單機(jī)時,型號的選擇;計算機(jī)的運行環(huán)境(電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等);計算機(jī)的操作等,這些都是影響單機(jī)安全性的因素。 3.網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有:節(jié)點的安全、數(shù)據(jù)的安全(保存和傳輸方面)、文件的安全等。(二)網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問題,是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施:一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面,如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施,包括技術(shù)與社會措施。主要措施有:提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等,以防患于未然。這三者缺一不可,其中,法律政策是安全的基石,技術(shù)是安全的保障,管理和審計是安全的防線。1.完善計算機(jī)安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前,在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對控制計算機(jī)犯罪的國內(nèi)外立法評價的基礎(chǔ)上,完善我國計算機(jī)犯罪立法,以便為確保我國計算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。2.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文,從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型:私匙加密和公匙加密。(2)認(rèn)證 對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。 目前,防火墻采取的技術(shù),主要是包過濾應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是,防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足,防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件,防火墻不易防止反彈端口木馬攻擊等。 (4)檢測系統(tǒng)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點,是一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展,入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (5)防病毒技術(shù) 隨著計算機(jī)技術(shù)的發(fā)展,計算機(jī)病毒變得越來越復(fù)雜和高級,計算機(jī)病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度,它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。3.制定合理的網(wǎng)絡(luò)管理措施(1)加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。(2)建立完善的安全管理體制和制度,以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。(3)管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。三、防火墻技術(shù)的發(fā)展趨勢 防火墻未來的技術(shù)發(fā)展趨勢隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn),防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。(1) 防火墻包過濾技術(shù)發(fā)展趨勢 1. 一些防火墻廠商把系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的,而包過濾技術(shù)的防火墻不具有。 2.多級過濾技術(shù)是防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規(guī)則,過濾掉所有禁止出或入的協(xié)議和有害數(shù)據(jù)包;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級,利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù),它可以彌補以上各種單獨過濾技術(shù)的不足。 3.使防火墻具有病毒防護(hù)功能?,F(xiàn)在通常被稱之為“病毒防火墻”,當(dāng)然目前主要還是在個人防火墻中體現(xiàn),因為它是純軟件形式,更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播,比等待攻擊的發(fā)生更加積極。(二)防火墻的體系結(jié)構(gòu)發(fā)展趨勢隨著網(wǎng)絡(luò)應(yīng)用的增加,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應(yīng)用將會越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比,基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。(三)防火墻的系統(tǒng)管理發(fā)展趨勢 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢,主要體現(xiàn)在以下幾個方面:(1)首先是集中式管理,分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本,并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。(2)強大的審計功能和自動日志分析功能。這兩點的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞,及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的,早期的靜態(tài)包過濾防火墻是不具有的。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展,現(xiàn)在有一種提法,叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因為我們在現(xiàn)實中發(fā)現(xiàn),僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系,就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線,各種安全技術(shù)各司其職,從各方面防御外來入侵。結(jié)束語隨著Internet/Intranet技術(shù)的飛速發(fā)展和應(yīng)用,網(wǎng)絡(luò)安全越來越引起人們的關(guān)注。如何保護(hù)企業(yè)和個人在網(wǎng)絡(luò)上的敏感信息不受侵犯己成為當(dāng)前擺在人們面前的一個重大問題。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全。算機(jī)網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)安全就像矛和盾,自計算機(jī)誕生之日起就彼消此長。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題,防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù),但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。在許多人的思想中,特別是電腦的初學(xué)者,都對防火墻有一種錯誤的認(rèn)識。即分不清什么是防火墻以及殺毒軟件,認(rèn)為殺毒軟件就可以代替防火墻,所以就掉以輕心,成了網(wǎng)絡(luò)的受害者。其實殺毒軟件和防火墻有很大的不同。即便此刻,我也只能說對防火墻的了解只有冰山一角。在論文完成之際,我的內(nèi)心無法平靜,在謝論文的過程中對防火墻的認(rèn)識又更增進(jìn)了一步,“學(xué)無止境”這句話很值得我們?nèi)ヂw會。參考文獻(xiàn):【1】 謝希仁老師的 計算機(jī)網(wǎng)絡(luò)課件 【2】 百度文庫 防火墻的配置 【3】 中國國際招標(biāo)網(wǎng) 網(wǎng)絡(luò)防火墻(含VPN模塊) 【4】 ISA server 2000中文寶典 【5】 2012年5月 廣州羊城晚報 【6】 中國新聞網(wǎng) 浙江新聞 【7】 馬錦: 計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)人民郵電出版社 【8】 楚狂: 網(wǎng)絡(luò)安全與防火墻技術(shù) 【9】 張德蘭主編: 網(wǎng)絡(luò)安全,山東大學(xué)出版社2006年版 【10】防火墻/UTM論壇-ZOL中關(guān)村在線 中國網(wǎng)絡(luò)防火墻 學(xué)生(簽字): 指導(dǎo)教師(簽字): 年 月 日11