前言:中文期刊网精心挑选了防火墙技术论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
防火墙技术论文范文1
1.1黑客攻击的问题
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
2.3配置路由器防火墙
防火墙技术论文范文2
[论文摘要]计算机网络日益成为重要信息交换手段,认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题,采取强有力的安全策略,保障网络信息的安全,是每一个国家和社会以及个人必须正视的事情。本文针对计算机网络应用相关的基本信息安全问题和解决方案进行了探讨。
随着计算机网络技术的不断发展,全球信息化己成为人类发展的大趋势,计算机网络已经在同防军事领域、金融、电信、证券、商业、教育以及日常生活巾得到了大量的应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此,网络必须有足够强的安全措施,否则网络将是尤用的,相反会给使用者带来各方面危害,严重的甚至会危及周家安全。
一、信息加密技术
网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保证,来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证忡,防止信息被一些怀有不良用心的人看到、破坏,甚至出现虚假信息。
信息加密技术是保证网络、信息安全的核心技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成不可直接读取的秘文,阻止非法用户扶取和理解原始数据,从而确保数据的保密忭。ⅱ月文变成秘文的过程称为加密,南秘文还原成明文的过程称为解密,加密、解密使用的町变参数叫做密钥。
传统上,几种方法町以用来加密数据流,所有这些方法都町以用软件很容易的实现,当只知道密文的时候,是不容易破译这些加密算法的。最好的加密算法埘系统性能几乎没有影响,并且还可以带来其他内在的优点。例如,大家郜知道的pkzip,它既压缩数据义加密数据。义如,dbms的一些软件包包含一些加密方法使复制文件这一功能对一些敏感数据是尢效的,或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。
二、防火墙技术
“防火墙”是一个通用术i五,是指在两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬什产品中。防火墙通常是巾软什系统和硬什设备组合而成,在内部网和外部网之间构建起安全的保护屏障。
从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强intranet(内部网)之间安全防御的一个或一组系统,它南一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自intemet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件传输、远程登录、布特定的系统问进行信息交换等安全的作用。
防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接郝必须经过该阻塞点,在此进行检查和连接,只有被授权的通信才能通过该阻塞点。防火墙使内部网络与外部网络在一定条件下隔离,从而防止非法入侵及非法使用系统资源。同时,防火墙还日,以执行安全管制措施,记录所以可疑的事件,其基本准则有以下两点:
(1)一切未被允许的就是禁止的。基于该准则,防火墒应封锁所有信息流,然后对希单提供的服务逐项丌放。这是一种非常灾用的方法,可以造成一种十分安全的环境,为只有经过仔细挑选的服务才被允许使用。其弊端是,安全件高于片j户使片j的方便件,用户所能使用的服务范同受到限制。
(2)一切未被禁止的就是允许的。基于该准则,防火埔转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊端是,在口益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范嗣增大时,很难提供町靠的安全防护。
较传统的防火墙来说,新一代防火墙具有先进的过滤和体系,能从数据链路层到应用层进行全方位安全处理,协议和的直接相互配合,提供透明模式,使本系统的防欺骗能力和运行的健壮件都大大提高;除了访问控制功能外,新一代的防火墙还集成了其它许多安全技术,如nat和vpn、病毒防护等、使防火墙的安全性提升到义一高度。
三、网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之问提供安全的网络保护,降低了网络安全风险。但是,仪仪使用防火墙、网络安全还远远不够。因为日前许多入侵手段如icmp重定向、盯p反射扫描、隧道技术等能够穿透防火墒进入网络内部;防火墙无法防护不通过它的链接(如入侵者通过拨号入侵);不能防范恶意的知情者、不能防范来自于网络内部的攻击;无法有效地防范病毒;无法防范新的安全威胁;南于性能的限制,防火墙通常不能提供实时动态的保护等。
因此,需要更为完善的安全防护系统来解决以上这些问题。网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墒等其他系统的不足,进一步完善整个网络的安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络巾建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
在计算机网络信息安全综合防御体系巾,审计系统采用多agent的结构的网络入侵检测与安全审计系统来构建。整个审计系统包括审计agent,审计管理中心,审计管理控制台。审计agent有软什和硬什的形式直接和受保护网络的设备和系统连接,对网络的各个层次(网络,操作系统,应用软件)进行审计,受审计巾心的统一管理,并将信息上报到各个巾心。审计巾心实现对各种审计agent的数据收集和管理。审计控制会是一套管理软件,主要实现管理员对于审计系统的数据浏览,数据管理,规则没置功能。管理员即使不在审计中心现场也能够使用审计控制台通过远程连接审计中心进行管理,而且多个管理员可以同时进行管理,根据权限的不同完成不同的职责和任务。
四、结论
防火墙技术论文范文3
关键词:网络安全;防火墙;入侵检测系统;校园网
中图分类号:TP393.08
对于高校而言,校园网在教学、科研、管理以及对外交流等过程中起到了不可替代的作用。近年来,随着校园网建设规模的不断壮大,校园网存在安全问题也逐渐突显。我们在享受网络信息资源的便捷性的同时,也面临着网络安全带来的困扰。
当前网络安全技术包括两种,一种是以防火墙技术为例的静态安全技术,另一种是以入侵检测系统技术为例的动态安全技术。两种网络安全技术各有优势和不足之处,为实现有效的保障校园网的网络安全,最好的方式就是实现防火墙与入侵检测系统的结合应用。
1 防火墙与入侵检测系统的区别和联系
防火墙技术是网络静态安全技术的代表,是一种被动的防御技术。防火墙技术建立在现代通信网络技术与信息安全技术基础上。防火墙技术作为不同网络与网络安全域之间信息唯一的出入口,主要用于控制出入网络的数据,不过防火墙技术不能防范内部的非法访问行为。另外防火墙技术还有一个缺陷,不能够主动跟踪入侵者,只能依赖人工实施与维护。
与防火墙技术相对的入侵检测系统则是动态安全技术的代表,在网络安全中是一种主动的防御手段,可以对网络中容易受到威胁和攻击的点击存在安全漏洞的地方主动检测,通常对于危险行为的检测要比人工快,并且实现对网络内部通信信息的实时分析,对入侵行为、企图即使检测,并提前发出警报,一边及早采取措施应对,最大限度的保障网络安全。
总之,防火墙技术与入侵检测系统作为两种不同的网络安全防范手段,两者各具优势也各有不足。防火墙技术对新协议和新服务的支持,不能进行动态扩展,从而无法提供个性化服务。而入侵检测系统虽然能够收集、分析信息,对网络中的安全问题进行检测,对而已攻击提供主动、实时的保护,有效做到网络安全防范。因而,入侵检测系统能够弥补防火墙技术的不足之处,对防火墙技术起到补充作用,最终提高了校园网网络信息的安全性,两者有区别的同时,又在功能上起到了互补关系。
2 防火墙与入侵检测系统结合应用的优势
校园网中,防火墙技术不能直接控制内部网络行为,无法对通信过程中的内容数据进行监控。防火墙技术对于一些安全威胁依然难以防范。入侵检测系统则以绝对的主动权对防火墙技术的不足之处进行弥补。
在校园网中,防火墙与入侵检测系统结合应用优点多,入侵检测系统能够提前发现威胁网络安全的攻击行为,并提供入侵信息给防火墙,由防火墙技术针对威胁调整安全策略,对不合法的信息进行阻断和处理。两者的结合应用大大提高了网络系统的防御性能。
3 校园网络所面临的威胁
当前校园网络的安全问题,主要面临三个方面的威胁:
3.1 物理安全
校园网络安全的前提,就是保证计算机网络系统各种设备的物理安全。其所表现的数据传输、数据存储以及数据访问安全都是在物理介质层次之上。网络运行的环境,诸如温度、湿度、电源等也威胁到计算机网络安全。
物理安全,保护的就是计算机的网络设备、网络设施,以及避免其他媒体在自然灾害或者认为事故中所遭到破坏。是对计算机系统、服务器、打印机等硬件的保护。
3.2 自然因素的威胁
校园网面临的自然威胁,是指自然原因带来的安全问题,如雷击、火灾、水灾、地震等自然灾害;正行情况下使用过程中的设备损坏;设备运行环境等方面,损坏网络设备硬件,影响网络的正常运行,对校园网网络安全带来威胁。
3.3 人为因素的威胁
校园网中,网络系统安全面临的人为因素的威胁,分为故意人为威胁、无意人为威胁两种形式,都严重威胁着计算机网络的安全。人为故意威胁涵盖搭线连接获取网络数据信息、窃取口令密钥来获取信息资源、盗割网络通信线缆,以及破坏网络设备等类型。无意人为威胁是指操作人员虽然拥有合法和技术,但操作过程中因为失误或者疏忽,对网络安全运行带来的不良影响或者重大损失。
4 校园网中防火墙与入侵检测系统的结合应用
首先,选择入侵检测系统的位置。入侵检测系统可放在防火墙之内,也可以放在防火墙之外。但依据两者不同的功能优势,入侵检测可及时检测异常、攻击行为,而由防火墙对非法入侵进行控制。将入侵检测系统放置在防火墙的后面,不合法信息在经过防火墙的技术过滤,对计算机网络起到一定的保护。将入侵检测系统放在防火墙的内部,在最大限度阻止“幼稚脚本”的攻击同时,让入侵检测系统去发现网络中的攻击行为。
其次,校园网中防火墙与入侵检测系统的结合模型设计,两者并非只是简单的叠加,而是具体的分析两者的功能、优势以及缺点,经过研究后建立的一种由简单的入侵检测系统辅助防火墙技术的安全系统。
最后,防火墙与入侵检测系统的接口。两者通过两种方式实现互动。一种是将入侵检测系统嵌入到防火墙技术中,实现两者的紧密结合。这种情况下,入侵检测系统的数据来源于流经防火墙的数据流。防火墙不仅要验证这些数据,还要对其是否具有攻击性进行判断,从而对攻击行为进行阻断。但入侵检测系统作为一个庞大的系统,为实施带来了一定的难度。另一种个互动方式就是通过开发借口来实现。防火墙技术、入侵检测系统,它们各自开放一个接口,提供给对方使用,双方按事先协商的方式进行信息的传输。这种互动方式灵活,对防火墙技术、入侵检测系统的性能都不会造成影响。
一般系统越复杂,其自身的安全问题也就愈加难解决,通过比较,将防火墙技术与入侵检测系统通过开放接口实现互通,比将两者紧密结合的效果好。防火墙与入侵检测系统的原理、方法、手段等各不相同,但是他们都是为了保护计算机网络信息的安全,两者有着共同的目的,而且面临的威胁也相同,因此,两者的结合应用为校园网的安全防范带来切实可行的方法和手段。
5 结束语
本篇论文将以防火墙技术为代表的静态技术与以入侵检测系统为代表的动态技术结合应用,并非单纯的将两个系统通过设定标准接口简单物理结合,而是将两种技术手段各自独有的功能在新的系统中展现,有力的保障校园网网络系统的安全性,有效提高了网络的防御能力。未来,防火墙与入侵检测系统的结合应用,为计算机网络安全技术提供了广阔的发展空间。在计算机网络安全防范过程里,防火墙技术与入侵检测系统的结合应用,将取长补短为保护计算机网络安全增加一重保障。
参考文献:
[1]徐也.防火墙与入侵检测在校园网中的应用[J].职业技术,2009(04).
防火墙技术论文范文4
论文关键词:网络信息安全;大型网络;硬件防火墙;三次握手;过滤;cpu负载
伴随着信息技术的发展,网络已经成为人们工作生活必不可少的工具,而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障,而硬件防火墙会成为保护大中型网络信息安全的首选!
1大中型网络为何选择硬件防火墙
软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。
对于大中型网络来说,将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给cpu增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的dos(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点.在大中型网络中一般会采用硬件防火墙。
2硬件防火墙的工作原理和网络安全防御策略
2.1防火墙在网络中的位置
外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(dmz),放人公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。
2.2硬件防火墙的构成
硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入linux系统,因为有些指令程序需要安装在windows系统之中,而windows稳定性不如linux,如果在本身就很脆弱的系统平台中布署安全策略.这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全.而且可以保障内部网络中不同部门不同区域之间的安全.
2.3大中型网络安全威胁来源
现今的网络使用的都是tcp,ip协议,tcp报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用tcpflp协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。
在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。
2.4网络中的攻击手段
网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用ip欺骗使服务器复位合法用户的连接,使其不能正常连接.还有就是迫使服务器缓冲区满,无法接受新的请求。
2.4.1伪造ip欺骗攻击
ip欺骗中攻击者构造一个tcp数据,伪装自己的ip和一个合法用户ip相同,并且对服务器发送tcp数据,数据中包含复位链接位(rst),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立连接。
2.4.2syn flood攻击
synflood是利用了tcp协议的缺陷,一个正常的tcp连接需要三次握手,首先客户端发送一个包含syn标志的数据包,然后服务器返回一个syn/ack的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ack,这样才完成tcp连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(backlogqueue)中。synflood攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置tcp报文段的首部,使整个t0p拉文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有syn标志的tcp连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的tcp资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
2.4.3ack hood攻击
用户和服务器之间建立了tcp连接后,所有tcp报文都会带有ack标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应rst包给用户。对于jsp服务器来说,小的ack包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ackflood会让a.pache或iis服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ackflood会对路由器等网络设备以及服务器造成影响。
2.4.4udpflood攻击
udpflood攻击是利用udp协议无连接的特点,伪造大量客户端ip地址向服务器发起udp连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,udpflood会对视频服务器和dns服务器等造成攻击。
2.4.5icm pflood攻击
icmpflood通过pin生的大量数据包,发送给服务器,服务器收到大量icmp数据包,使cpu占用率满载继而引起该tcp/ip栈瘫痪,并停止响应tcp/ip请求,从而遭受攻击,因此运行逐渐变慢,进而死机。
除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带dos攻击,自身消耗dos攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。
2.5硬件防火墙防御攻击的策略
2.5.1伪造ip欺骗攻击的防御策略
当ip数据包出内网时检验其ip源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的ip数据包发出之前,先对来自该ip数据包的ip源地址进行检验。如果该ip包的ip源地址不是其所在局域网内部的ip地址,该ip包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的ip地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的ip源地址的方法基本可以做到预防伪造ip欺骗攻击。
2.5.2syn flo0d攻击防御策略
硬件防火墙对于synflood攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是syncookie和safere.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,synflood攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙synflood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假ip发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。
synco0kie和safereset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
2.5.3 ack flood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ack包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ackflood攻击的依据。防火墙建立hash表存放tcp连接状态,从而大致上知道网络状况。
2.5.4udphood攻击防御策略
udpf1ood攻击防御比较困难,因为udp是无连接的,防火墙应该判断udp包的大小,大包攻击则采用粉碎udp包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃udp包,抑或将udp也设一些和tcp类似的规则。
2.5.5icm pflood攻击防御策略
对于icmpflood的防御策略,硬件防火墙采用过滤icmp报文的方法。
硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。
3硬件防火墙的配置考虑要素和选购标准
硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有等等,还有授权的问题,外网域内网之问,内网里各个不同部门之间,还有dmz区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化.并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑cpu负载问题,过高的cpu负载可能是遭到网络dos攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。
防火墙技术论文范文5
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,写作英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
防火墙技术论文范文6
关键词 网络安全 防火墙
中图分类号:TP391 文献标识码:A
1网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。
2防火墙介绍
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
3防火墙技术发展趋势
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求:
远程办公的增长。全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
内部网络“包厢化”(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
4结论
网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多,各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。
参考文献
[1] 周良洪.信息网络安全概论[M].群众出版社,2009:89-100.
[2] 邵波.计算机安全技术及应用[M].电子工业出版社,2010:11-100.
[3] 庞南.信息安全管理教程[M].中国人民公安大学出版社,2011:45-78.
