前言:中文期刊网精心挑选了防火墙技术的研究范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
防火墙技术的研究范文1
关键词:防火墙 深度检测 研究分析
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)04-0000-00
传统的防火墙主要在访问控制列表为基础进行过滤的,它有专门的内部网络入口,也被人称作“边界防火墙”。在近几年来防火墙技术的地位越来越重要,其最新改进的技术――深度包检测技术,是可以看到传统防火墙的入侵检测与阻止的整合,也是解决传统防火墙所遇到问题的新技术,在防火墙发展过程中具有重要的作用。
1 防火墙技术发展历程
1.1 包过滤防火墙
第一代防护墙包过滤是没有相关状态的概念,管理工作人员只需要通过过滤就可以允许或是禁止访问控制列表中的选项。包过滤防火墙在发展中其安全属性具有一定的缺陷,应用层的信息是系统没有办法获取的,防火墙没有办法理解通信的内容是非常容易被黑客攻击的。正是因为这个原因,人们更多的人们包过滤防火墙技术不够安全,在发展中慢慢被状态检测防火墙技术取代了。
2.2 状态检测防火墙
相对于包过滤防火墙技术来说,状态防火墙技术在性能、扩展等方面的表现出来的优势使其很快就成为防火墙技术的佼佼者。在上个世纪九十年代推出第一台商用的状态检测防火墙产品,随后得到快速的发展。状态检测防火墙主要是在网络层工作,对包过滤防火墙比较看,它所做出的决策是在会话信息基础上而不是包的信息。状态检测防火墙在验证数据包时候会先判定这个数据是否符合当前的会话,同时还可以在状态中保存这些信息。状态检测防火墙技术对异常的TCP网络层的攻击有着一定的阻止作用。有些网络设备是可以将数据包分解成更小的数据帧。该种防火墙技术在一定的时间内是人们使用最广泛的技术,用来保护计算机网络不受到黑客的攻击,但是专门对应用层网络攻击的现象越来越多时候,状态检测防火墙技术的有效性也在不断的下降。由于状态防火墙在设计的时候并没有专门的根据Web应用程序的攻击进行设计,这样深度包检测防火墙技术应用而生。
2.3 深度包检测防火墙
深度包检测防火墙技术可以更好的处理应用程序上的流量问题,可以很好的防范目标系统受到各种复杂的攻击,将状态检测的优势很好的结合起来。它可以对数据流量进行分析同时还可以做出访问的控制判决,根据允许的数据流量对负载做出相关的决策。
3 深度包检测技术特点
随着科技的发展,深度包检测技术在不断的更新换代中进而实现深度包检测的功能。深度包检测防火墙技术在一定的程度上融合了包过滤与状态检测防火墙技术的功能,主要具有以下4个功能特征。
3.1 应用层加密与解密
SSL通常被运用在Web浏览器与服务器之间认证身份的加密数据传输,进而确保数据的安全性。该种技术在运用的时候对防火墙也就提出了更高的要求――要对数据的加密与解密进行处理。若是不能够对SSL加密的数据进行解密的话吗,那么防火墙就没有办法对负载的信息进行相关的分析,更没有办法判断出数据中是否具有相关应用层的攻击信息,同时没有办法体现出深度包检测的优势。SSL的加密性能非常高,当前很多企业使用来保证应用程序数据的安全,若是深度包检测技术没有办法对企业中的关键应用程序提高安全性能的化,那么也就是说整个深度包检测失去它的意义。
3.2 正常化技术
为了可以很好的防范应用层的攻击通常情况下主要是依赖字符串的匹配,但是不正常的匹配在很大的程度上会造成安全漏洞。例如,为了能知道某种请求是否可以启用,防火墙的请求就会与安全策略来匹配,只有匹配成功了,防火墙才会采用安全策略。在解决字符匹配的时候是需要利用正常化技术的,只有深度包检测才具备这样的功能,可以识别与阻止大量的危险攻击。
3.3 协议一致性
应用层协议一致性通常在应用程序中会用到,协议都是由RFC进行规范建设的。因为深度包检测是在应用层中进行状态检测的,因而就必须要明确应用层中的数据是否与这些协议一致,这样才会防止隐藏的攻击。
3.4 双向负载检测
与包过滤检测、状态检测来说,深度包检测具有很强大的功能,它是可以允许与拒绝数据包的通过,通常主要是检查与修改四到七层的数据包,主要有包头、负载。深度检测防火墙是可以自动的进行匹配,这样能正确检测出服务质量如何。若是请求不匹配那么深度包检测就会自动将其丢掉,同时将其写入到日志中,也会向管理员发出警告。另外,深度包检测技术是可以进行修改URL,这一点是与应用层的NAT相似。在复杂的网络环境中,为了可以提供全面的防护,进行深度包检测是一定的。深度包检测技术还在不断的发展中,但其基本具有以上的特点。最近几年里,随着编程ASIC技术发展与有效的规则算法出现使得深度包检测引擎的执行能力加强,应用深度检测技术越来越受到好评,很多防火墙的供应商都在不断的增加对防火墙产品中应用数据进行分析。
4 结语
虽然深度包检测技术受到越来越多好评,但是其也具有相当多的缺点。当前的深度包检测产品通常都是一体化的安全设备,这样就会由于单个安全组件的瘫痪而引起整个网络处于安全漏洞的状态下。同时将更多的功能集中在一起,也就越可能的限制单个产品供应商,这样在一定的程度上就会使我们丧失了灵活性。网络安全问题正在处于复杂的境地,有着各种各样的传统防火墙与入侵技术,因而当深度包检测的融合能否降低复杂性,还是需要不断的发展观察。
参考文献
[1] 刘坤灿.防火墙深度包检测技术的研究与实现[D].北京邮电大学,2013(01).
[2] 芦志朋.深度包检测主机防火墙的研究与实现[D].电子科技大学,2010(03).
[3] 艾鑫.众核环境下深度包检测系统的设计与优化[D].哈尔滨工业大学,2013(06).
防火墙技术的研究范文2
关键字:防火墙;网络安全;内部网络;外部网络。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
防火墙技术的研究范文3
【关键词】防火墙技术;电力系统;信息安全
随着全球信息化的同步,我国电力系统自动化平水也是日益增高,如果电力系统的信息安全出现了问题,则会影响人民群众的正常生活及电力系统的安全性。飞速发展的电力系统自动化给人们带来了很大的方便,但是同时也伴随着一系列的安全隐患,网络安全问题就是其中之一,而且越来越严重,每年因网络问题都会带来一些损失,所以网络安全技术应该得到相应的重视。
1 防火墙技术的概念
在英文中的防火墙是Firewall,意思就是用一道墙把安全隐患阻挡在网络安全系统之外,通过一系列硬件设备和相配套的软件设备科学的部署,使其共同组建成一套用于网络安全的防御系统,这是一个必经的网络入口,用于隔断外部可能存在的网络安全隐患。在电力系统中,防火墙技术是依据电力系统的安全策略,并有效的为系统信息提供安全保障服务,防火墙技术是计算机网络的首要关卡,是实现电力系统信息全安必备的基础设施。
随着网络技术全面发展和其应用的不断扩大,防火墙技术已不仅仅是负责网络安全的信息认证与传输。还能为网络安全应用提供相应的安全服务,如当电力系统内网因一些原因必须更换ISP时,就可以省去重新编号的麻烦等等,所以说防火墙技术在电力系统信息安全中的研究是很有必要的。
2 防火墙的主要功能
2.1 强化网络安全
电力系统可以通过防火墙将一些安全措施配置其中,如口令、密码等,防火墙的集中安全管理与将网络安全问题分散到主机上相比,防火墙更经济适用。
2.2 过滤数据包
数据包的过滤是指数据包从一个网络向另一个网络传送信息的过程中,经过已设定的符合自身安全特点的规则对传输的数据包进行检测,接收安全的数据信息,拒绝带有危险网站传送的数据信息,这也是防火墙最基本的功能之一。
2.3 可以防止内部保密信息外漏
内部网络可以通过防火墙来划分,隔离内部网中的重点网段,限制内部网中需保密的信息在内部网中流通,可以保障内部网络中比较敏感的数据的安全,还可以隔断内部网中的DNS信息,从而防止了内部网中保密的或者比较敏感的信息泄露。
2.4 转换网络地址
网络地址转换有两大优点,一方面可以隐藏内部网络的真实IP地址,防止黑客直接攻击内部网络,另一方面内部网可以使用私有的IP网段,从而解决IP地址不足的情况。
2.5 可提供日志记录
因为防火墙的自身特点,网络的存取和访问都必须经过其认证。所以防火墙就保存了较为完整的日志记录,而且还能提供网络使用情况的统计数据。
这些所概括的特点证明了其在各各领域中为解决网络安全问题方面的地位及使用情况,当然,电力系统也是不可或缺的。
3 防火墙技术在电力系统信息安全中的应用
目前防火墙的基本技术类型包括包过滤、网络地址转化—NAT、应用和状态检测,根据电力系统的特点仔细研究并将适合的技术适当的应用,定会大大提高电力系统的信息安全可靠性。
3.1 包过滤技术
包过滤技术是防火墙技术的初级类型,通常情况下由路由器完成,其依靠自身的数据安全保护机制来有选择的控制流出和流入网络的数据。包过滤技术是出现最早的防火墙技术。其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如IP源地址、IP目标地址、封装协议类型等等。防火墙通过数据包中的信息来判断这些信息的来源是否可靠,如发现有来自危险网站的数据信息,防火墙就会自动的丢弃。因为其处于网络的最基础,对用户是透明的,如在电力系统中,管理员是可见的,管理员可根据电力系统的实际情况制定特有的评判原则,所以可以说包过滤防火墙技术是最快的防火墙
3.2 网络地址转化技术
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网,用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问,同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题,节省了资源,降低了成本。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
3.3应用技术
型防火墙具有安全性高的优点,应用是内部网与外部网的有效隔离点,能起到监视和隔绝的作用。应用只允许内部主机使用服务器访问Internet主机,不允许外部主机连接到内部的网络,服务防火墙可以设置成允许内部网的任何连接,也可以设置成需要用户认定才可以连接,这样就为网络安全提供了相对较高的可靠保证,因为无论内网还是外网的连接都需要服务器的转换,所以可以保证内网的安全。在实际的应用中,应用的功能都是由服务器来完成的。
3.4状态检测技术
目前状态检测防火墙技术在防火墙系统中已经得到了广泛的应用。状态检测防火墙是新一代的防火墙技术,又可以叫做动态包过滤防火墙,由Check Point公司引入。是在传统的包过滤技术的基础上进行的进一步扩展,传统的包过滤防火墙技术是只能检测单个的数据包,而且是静态下的,不能将前后信息相联系,并根据信息动态生成过滤规则。而状态检测防火墙监视每一个有效连接的状态,并根据信息决定该连接是否接受或者将之拒绝。通过状态检测技术,动态地维护各个连接的协议状态,提高了系统信息的安全性,并且还能做到一定的扩展性,状态检测在包过滤的同时,检查数据包之间的关联性和数据包中的动态变化。
当然防火墙也不是万能的,在内部人员滥用被给予的访问权利的情况下,防火墙是不能防止内部攻击的,防火墙只提供了边缘地带的基础防卫作用,而且防火墙只能防止已知的恶意病毒程序,对于新型的病毒及木马不可能做到全面的封杀,而且安全问题也绝不是单单的来自网络外部。
4 电力系统信息安全分析
电力系统的信息安全是电力网络安全运行的并可靠送电的基本保障,是一项涉及多领域非常复杂的庞大系统工程,但是电力系统的信息并没有建立一个安全的体系,有些买了防、杀毒软件和防火墙,有的甚至连最基本的防火墙都没有实施,这样必然加大了电力系统中网络方面的许多隐患,所以电力系统工作人员必须加大对网络安全问题的重视及实施的力度,才能从长远的方向上有效控制网络中的问题。
5 结语
随着电力系统信息自动化水平的不断提高,网络技术的应用必定是越来越多,而其中网络安全问题就愈发的显得重要,防火墙技术的应用是安全防御手段中的一种非常有效的方法,高性能的防火墙对于提高电力系统信息安全的稳定性起到了至关重要的作用,并且能促进电力信息化水平的提高,电力企业生产效率的提高,最终提高电力企业的市场竞争力,使得电力企业得到健康持续的发展。
参考文献:
[1]路云.计算机网络防火墙技术的应用和发展[J].管理观察,2009(18).
防火墙技术的研究范文4
关键词:职业岗位;项目化;四维一体模式;教材建设
中图分类号:G642 文献标识码:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2 教材建设的依据(The basis of textbook construction )
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3 《防火墙技术》教材建设的依据(The basis of textbook construction on firewall technology)
3.1 吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2 融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3 项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4 教材开发(The development of textbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5 结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1] 李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2] 刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3] 杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4] 王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5] 王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
作者简介:
防火墙技术的研究范文5
关键词:网络攻击 防火墙 嵌入式
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01
信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
参考文献
[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).
[2]江文,浅议新一代防火墙技术的应用与发展[J].科学之友,2011(12).
防火墙技术的研究范文6
防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、潜在破坏性的侵入, 可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御, 同时由于其对新协议和新服务的支持不能动态的扩展, 所以很难提供个性化的服务。入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门, 从网络安全立体纵深、多层次防御的角度出发, 对防范网络恶意攻击及误操作提供了主动的实时保护, 从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点, 为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力, 提高了信息安全基础结构的完整性。由些可见, 它们在功能上可以形成互补关系。
下面将建立入侵特征库和入侵检测与防火墙的接口问题分别进行讲述。我们经过将基于异常的IDS 和基于误用的IDS 系统相比较之后,最后选择使用基于误用的入侵检测系统, 不仅因为这种方法的误报警率低, 而且对一些已知的常用的攻击行为特别有效。当有外来入侵者的时候, 一部分入侵由于没有获得防火墙的信任, 首先就被防火墙隔离在外, 而另一部分骗过防火墙的攻击,或者干脆是内部攻击没经过防火墙的, 再一次受到了入侵检测系统的盘查, 受到怀疑的数据包经预处理模块分检后, 送到相应的模块里去进一步检查, 当对规则树进行扫描后, 发现某些数据包与规则库中的某些攻击特征相符, 立即切断这个IP 的访问请求, 或者报警。建立入侵特征库。
1.编写规则
根据前面所说的该入侵检测系统所期望实现的作用, 因此要将一些规则编写至特征库中。规则模块包括解析规则文件、建立规则语法树、实现规则匹配的算法等。
2.入侵检测流程
单个数据报的检测流程详细的分析如下: 首先对收集到的数据报进行解码, 然后调用预处理函数对解码后的报文进行预处理, 再利用规则树对数据报进行匹配。在规则树匹配的过程中, IDS 要从上到下依次对规则树进行判断, 从链首、链表到规则头节点, 一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步: 第一步是规则的解析流程, 包括从规则文件中读取规则和在内存中组织规则; 第二步是使用这些规则进行匹配的入侵流程。
3.规则匹配流程
一个采用模式匹配技术的IDS 在从网络中读取一个数据包后大致按照下面方式进行攻击检测:
( 1) 从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对, 如果两组字节相同, 则视为检测到一次攻击;如果两组字节不同, 则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。
( 2) 接着比对过程重复进行, 每次后移一个字节直到数据包的每个字节都比对完毕, 最后将数据包与特征库中下一个攻击特征串进行匹配。
( 3) 重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止, 然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击, 然后按照规指定的行为进行处理(如发送警告等), 如果搜索完所有的规则都没有找到匹配的规则, 就表示报文是正常的报文。
所有的规则被组织成规则树, 然后分类存放在规则类列表中。总体的检测过程归根结底到对规则树进行匹配扫描, 并找到报文所对应的规则。对规则树的匹配过程则是先根据报文的IP 地址和端口号, 在规则头链表中找到相对应的规则头, 找到后再接着匹配此规则头附带的规则选项链表。
4.规则语法树的生成
IDS 采用链表的方式构建规则的语法树, 规则语法所用到的数据结构主要都在rules.h 文件中, 其中最为要的数据结构形式有以下一些: 规则头函数指针列表、规则选项函数指针列表、响应函数指针列表、规则选项结构体、IP 地址结构体、表头、规则列表结构体、变量体等。当防火墙和入侵检测系统互动时, 所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口, 并且相互正确配置对方IP 地址, 防火墙以服务器(Server)的模式来运行, IDS 以客户端(Client)的模式来运行。将防火墙与IDS 结合起来互动运行, 防火墙便可通过IDS 及时发现其策略之外的攻击行为, IDS 也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS 与防火墙有效互动就可以实现一个较为有效的安全防护体系, 可以大大提高整体防护性能, 解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。
防火墙与IDS 结合是将动态安全技术的实时、快速、自适应的特点成为静态技术的有效补充, 将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。二者结合使用可以很好的将对方的弱点淡化, 而将自己的优点补充上去, 使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中, 将动态技术与静态技术的互动使用, 将有很大的发展市场和空间。 参考文献:
[ 1] 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[ J] .计算机工程与科学
[ 2]杨琼, 杨建华, 王习平, 马斌, 基于防火墙与入侵检测联动技术的系统设计《武汉理工大学学报》2005 年07 期.
