防火墙的核心技术精选(九篇)
第1篇:防火墙的核心技术范文
关键词:内部网络;外部网络;安全
一、防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点:根据应用程序访问规则可对应用程序连网动作进行过滤;对应用程序访问规则具有自学习功能;可实时监控,监视网络活动;具有日志,以记录网络访问动作的详细信息;被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全(见图1)。
二、防火墙主要技术特点
应用层采用Winsock 2 SPI进行网络数据控制、过滤;核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI;二是核心层封包过滤,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
三、网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
四、防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
第2篇:防火墙的核心技术范文
关键词:内部网络;外部网络;安全
一、防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的internet之间,同时在多个组织结构的内部网和internet之间也会起到同样的保护作用。它主要的保护就是加强外部internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点:根据应用程序访问规则可对应用程序连网动作进行过滤;对应用程序访问规则具有自学习功能;可实时监控,监视网络活动;具有日志,以记录网络访问动作的详细信息;被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全(见图1)。
二、防火墙主要技术特点
应用层采用winsock 2 spi进行网络数据控制、过滤;核心层采用ndis hook进行控制,尤其是在windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用winsock 2 spi;二是核心层封包过滤,采用ndis_hook。winsock 2 spi 工作在api之下、driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于socket的网络通信。采用winsock 2 spi的优点是非常明显的:其工作在应用层以dll的形式存在,编程、测试方便;跨windows平台,可以直接在windows98/me/nt/2000/xp 上通用,windows95只需安装上winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,cpu占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在tcp/ip协议在windows的基础上才得以实现。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
三、网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及slip/ppp连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
四、防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、tcp/ip自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
五、设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值付出这种代价;和可用性相比,站点的安全性放在什么位置。
六、防火墙的不足
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击——一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献:
1、朱燕辉.windows防火墙与网络封包截获技术[m].电子工业出版社,2002.
第3篇:防火墙的核心技术范文
关键词:Internet网路安全防火墙过滤地址转换
1.引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。
图1防火墙在Internet中的位置
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。
5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,InternetScanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7.防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
第4篇:防火墙的核心技术范文
介绍了Web应用防火墙实现Web应用防护的方法。Web应用防火墙的使用提高了Web服务器的稳定性和安全性,避免黑客绕过网络层的防护实现针对Web应用的攻击,提高网络中Web应用的安全性。
关键词:
Web应用;Web应用防火墙
中图分类号:F49
文献标识码:A
文章编号:16723198(2012)24021302
0 引言
应用程序的开发通常采用C/S、B/S两种架构。Web应用是指为了某个业务流程而使用B/S(浏览器/服务器)架构开发的信息系统。
Web网站是企业和用户实现快速、高效的交流平台。Web应用基本上涵盖了各类行业的应用。因此,Web网站也成为黑客或恶意程序首选的攻击目标,造成数据丢失、网站内容篡改等威胁,影响业务的正常开展。
网络安全防护常用技术有防火墙,基于网络层的防护和包过滤技术无法对应用层的攻击进行有效拦截;入侵检测/防御(IDS/IPS)系统,误判率较高、无法防御加密、TCP碎片以及其他绕过检测系统的攻击;Web安全网关(WSG),可对网络病毒、跨站、恶意脚本等攻击进行防护,但保护的对象主要是网络用户,而不是Web服务器。
由于各个行业中广泛使用Web网站以及Web应用,而目前常见的网络层的安全防护、安全补丁升级、软件升级等措施都达不到很好的防护效果,因此需要Web应用防火墙实现应用层面的保护。
1 Web应用防火墙概述
Web应用防火墙需理解HTTP/HTTPS协议、分析用户请求数据,实现往返流量的监测和控制。Web应用防火墙的数据中心应能针对网络中新增加的应用程序、新的软件模块而进行相应的变化、更新。对于目前常见的跨站脚本攻击、SQL注入攻击、命令注入攻击、cookie/session劫持、参数篡改、缓冲溢出攻击、日志篡改、应用平台漏洞攻击、DOS攻击、HTTPS类攻击等攻击行为都应有良好的防护效果。
2Web应用防火墙架构设计
Web应用防火墙使用服务器核心内嵌技术实现对用户请求数据的检查,在内核中实现了文件保护机制及自保护机制(进程、配置文件、注册表及服务保护);Web服务器核心内嵌技术是指通过Web服务器(IIS、Apache等)提供的框架接口在Web服务器中嵌入一个过滤模块,该模块能够对进出Web服务器的所有HTTP请求(检测内容包括HTTP协议头部及数据部分,支持所有类型HTTP请求方法)和响应数据包进行合法性检查和修改,从而能够实现攻击检测、敏感关键字过滤等功能。内嵌的安全模块将与Web系统无缝连接,使系统中不存在单独运行的安全模块进程,避免模块被终止进程;安全模块与Web系统的完全整合提高了数据分析的准确性、保障了Web应用服务的稳定性和兼容性。
用户请求数据基于核心内嵌技术实现攻击防护、双向关键字过滤功能,同时,提供后门检测及网页挂马检测功能,将安全风险降至最低。告警模块负责告警信息接收、告警日志生成;备份恢复模块提供文件备份及恢复功能;Web管理系统提供B/S的管理方式。
3Web应用防火墙功能概述
(1)Web应用防护。
通过Web应用防火墙的核心内嵌技术,固化针对Web应用防护的专用特征规则库,对当前主要的Web应用攻击手段实现了有效的防护,应对黑客传统攻击(Web Shell、非法上传)以及新兴的SQL注入和跨站脚本等攻击手段。
(2)文件保护。
采用事件触发检测技术来实现文件保护技术,在网页文件被修改时(比如产生了网页文件的写入、删除等事件)进行合法性检查。Web应用防火墙在接收到针对指定的网页文件的操作请求时,先检查这个请求是否来自合法的进程和用户;如果合法则通过细化的文件防护规则进行进一步判断,合法则正常完成文件操作;如果该请求来自非法的进程或用户,则拒绝对相应文件的操作,达到防篡改的目的。
(3)网页挂马及后门检测。
Web应用防火墙通过爬虫技术和网页挂马检测技术,全面检查网站各级页面中是否被植入恶意代码,确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。同时,Web应用防火墙提供本地后门扫描功能,将网站安全面临的风险降至最低。
(4)网页篡改检测。
Web应用防火墙实时监测网站服务器的相关是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,Web应用防火墙系统将对外显示之前的正确页面,防止被篡改的内容被访问到。
(5)安全策略。
① 请求包大小限制。
限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。
② HTTP/HTTPS请求方法限制。
限制HTTP/HTTPS各种方法的访问,包括:GET,POST,DELETE,HEAD,CONNECT,TRACE,PUT。支持黑白名单的配置,设定可信的访问客户端IP(白名单)不受安全策略规则的检测;设定非法的访问客户端IP(黑名单),直接禁止其对任何Web服务器的访问。
③ 用户自定义规则库。
用户自定义规则库,可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。
(6)Web应用审计。
Web应用防火墙将提供保护内容的增加、删除、修改和恢复等操作行为的审计;保护内容进行访问等操作行为的审计;管理人员登录后的操作行为的审计。
(7)产品部署。
Web应用防火墙的部署应支持透明模式、网关模式、旁路监控模式以及HA双机模式来满足用户的各种不同网络结构的应用需求。
(8)产品支持。
黑客攻击技术在不断更新发展,Web安全攻防是长期、持续变化的过程,Web应用防火墙产品应提供周期性的规则升级服务,帮助客户应对最新类型的攻击。
4 结束语
目前常见的网络安全设备大多工作在网络层,无法针对Web应用数据进行有效的分析、防护。在Web网站和Web应用被广泛使用的今天,用户需要采用专门的Web安全防护措施来实现Web应用的安全性。
参考文献
第5篇:防火墙的核心技术范文
关键词:网络安全;防火墙;入侵检测技术;PKI技术
中图分类号:TP393.08文献标识码:A文章编号:16727800(2011)012013902
作者简介:宗波(1984-),男,江西宜春人,硕士,江西宜春学院助教,研究研究方向为网络安全。
0引言
随着高校校园网的普及,尤其是高校校园网上的网络应用变得越来越多,在带来了巨大信息量的同时,网络的不确定性也带来了私有信息和数据被盗取和破坏的可能,校园网络信息的安全性变得日益重要起来。
校园网络安全从技术上来说,主要由防入侵、防火墙等多个安全技术组成,单个技术都无法确保网络信息的全方位的安全。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、入侵检测技术、PKI技术等,以下就此几项技术分别进行分析。
1防火墙技术
防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
2入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signaturebased),另一种基于异常情况(anomalybased)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
3PKI技术
PKI(Publie Key Infrastucture)技术就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下5个部分:
(1)认证中心。认证中心CA:CA是PKI 的核心,CA负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单,后面有CA的详细描述。
(2)X.500 目录服务器 。X.500 目录服务器用于用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
(3)高强度密码算法。具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
(4)Web(安全通信平台)。Web 有Web Client 端和Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
(5)自开发安全应用系统。自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。
4结束语
高校校园网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
[1]张海燕.浅谈校园网安全技术[J].青海社会科学,2008(3).
[2]邹丽英,孙小权.浅谈校园网络规划中的安全设计[J].实验技术与管理,2006(4).
[3]杨竣辉,黄婵.高校校园网络安全建设的思考[J].教育信息化,2006(7).
第6篇:防火墙的核心技术范文
因此,为解决计算机网络安全防护的问题,国内外诸多相关的研究机构展开了大量的探索与分析,在网络身份认证、数据资源加密、网络防火墙及安全管理等方面展开了深入的研究,推动了入侵检测技术的诞生。入侵技术推广早期,检测方法相对来说比较简单,功能并不完善,同时并不具备较强的适用性。并随着开发研究的不断深入与普及,入侵检测方法也处于不断完善的过程中,许多新型的攻击特征已被总结与归纳,入侵反应措施也趋向完善。在计算机网络安全技术中占据核心地位的安全防护技术便为密码技术,研发至今发展已有20余年,部分高强度的网络密钥管理技术与密码算法也在迅速涌现。开发重点同样也由传统的保密性转移至兼顾保密、可控与真实等方面。并配合用户的身份认证形成了数字化的网络签名技术。当前在保障计算机网络信息传递的安全性方面,密码技术有其重要的影响作用,而加密算法则是密码技术中的关键与核心。不同性质的网络密钥同样有其不同的密钥体制。其主要决定因素在于网络协议的安全性。此外,网络漏洞扫描同样也是计算机网络安全技术发展的产物,由于任何计算机均有其不同的安全漏洞,而选取人工测试的方法耗时较长,且效率较低、准确度不高,而网络漏洞扫描技术则能够实现漏洞扫描的全自动操作,同时预控安全危险,保护整个计算机系统网络,是安全防护系统中不可或缺的重要部分。
2防火墙技术与其系统构建措施分析
2.1防火墙技术的功能及其分类防火墙主要是计算机防范措施的总括,它能够隔离内外部网络,采取限制网络互访的方式达到保护内部网路的目的,是十分高效的网络安全防护措施。它能够隔绝计算机安全与风险区域的网络连接,同时能够对适时网络通信量进行监测,有效制止恶意网络资源的入侵与进攻,能够自动过滤非法用户与不安全的网络信息,隔离入侵者与防御设施,限制访问点权限,防止资源滥用。防火墙同样有其不同的类别,按照软件形式可将其划分为硬件防火墙与软件防火墙,而按照技术类型则可将其分为包过滤型防火墙与应用型防火墙。此外,按照结构类型、部署部位、使用性能同样也将其分为不同类型的防火墙。2.2防火墙的构建及其防护措施的制定网络防火墙的构建仅需遵守简单的六个步骤,即规划与制定安全计划与协议、建立网络安全体系、制作网络规则程序、落实网络规则集、调整控制准备、完善审计处理。当前较为成熟的防火墙体系架构为X86架构,将PCI与CPU总线作为通用接口,具备较优的可拓展性与灵活性,是大型企业防火墙开发的主要体系架构之一。而对于中小型企业来说,NP型架构的防火墙则为防护网络侵袭的最优选择。采取与之相匹配的软件开发系统,有其强大的网络编程能力。而对于对网络防护要求十分高的企业、单位或个人,则可采用ASIC架构的防火墙手段,它不仅具备强大的数据处理能力,同时有其独具优势的防火墙性能。网络防火墙安全措施则主要是由检测、防护及响应三个部分构成。在整个防火墙系统中,防御属于一级防护措施,而检测则是确立入侵的主要手段,响应则是做出系统反馈的控制要素。当前实现网络入侵检测与防火墙系统之间的互动一般有两种方案。第一,将网络入侵检测系统嵌入防火墙中。第二,则是通过开发网络接口的方式实现两者之间的互动。同样按照原始固定网络协议来进行信息互通,并实现网络安全事件的传输处理。一般第二种方式应用较为广泛,它具备较强的灵活性,同时不会影响两者的防护性能。在网络安全防护体系中,通过将入侵检测与防火墙技术相结合,能够有效提高检测速度,提高系统的适应能力与灵活性,为网络的有效防护奠定了良好的基础,大大提升了计算机系统的防御能力,保障了系统的安全性。
3结束语
第7篇:防火墙的核心技术范文
关键词:高校防毒体系路由器防火墙
1 引言
随着目前计算机网络技术的迅速发展,世界上各个行业都越来越离不开计算机和网络,各个行业在运用计算机技术进行办公自动化以及采用局域网和互联网进行网络资源共享的同时,也使得各行业内部的计算机处于互联网黑客及病毒等危险之中,基于计算机防毒安全问题日益突出。作为走在学术技术前沿的高校,防毒技术自然成为其研究和探讨的热点之一。
2 高校网络组建结构
在现代高校的网络组建过程中,网络架构等实际情况会根据高校自己的规模和需求进行相应的调整,各个高校都根据自身的条件来的规划,因此在网络组建的具体情况上各个高校的网络结构略有差异,但是,由于高校网络都是采用以内部局域网连接到外部互联网络,因此,该网络组建整体上具有共同特征,在高校的内部局域网络中,主干部分是核心层。核心层的主要目的在于通过高速转发通信,可靠的骨干传输结构,因此核心层主要部分是高性能的交换机组成。核心交换机拥有更高的可靠性,并且能够处理网络中大量的数据流量,具备很强的扩展能力。核心交换机为网络提供高速的主干链路及中心设备,是沟通服务器和访问层设备的桥梁,更要能实时的高品质的网络服务。高校内部局域网中内部服务器主要是用来分发网络资源到客户端的用户,并将网络中非中心数据的流量减少到最低。客户端目的是允许终端用户连接到网络,一般接入层的交换机处于网络体系结构的最下层,提供基于端口的数据交换以及对VLAN的支持。
3 高校防毒体系的构建
根据对普通高校网络结构的分析,最终用户要和外界联系通讯必须通过网络路由器、交换机等网络服务设备,这样对于外界网络安全全部都依赖于这些网络服务设备。因而针对于网络的安全防毒体系的构建必须以网络服务服务设备的病毒防备为主。本文从防火墙以及相关杀毒软件两个方面探讨防毒体系的构建。
(1)防火墙技术。①访问控制列表构建防火墙体系结构。访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。从而达到网络防火墙的作用。首先我们定义路由器全局配置模式下的访问列表,这里我们要求数据包在通过当前端口时是否匹配,访问列表是按照语句的编写顺序进行效验比较的,数据包头与访问列表的第一句不匹配,及继续与下一句进行效验,一直到有相匹配的语句时,数据包将被接受。如果在访问列表里没有一个语句是与数据包匹配的,数据包将被拒绝。在访问列表里,我们没有写通配符掩码,让路由器自动默认采用自动分配。当将访问列表应用到端口后,端口将立即执行命令对其主机进行作用,但是当计算机的IP地址改变后,这个端口的访问控制列表也将失效,这也是全局下配置访问控制列表的弊端。而通过扩展IP访问控制列表使功能上会变的更加灵活。我们在扩展访问列表的基础上,再加上时间控制就能基本实现我们要求达到的目的。因为我们基本控制的都是WEB访问的协议,我们定义一个扩展访问列表,然后再列表中最后一句加上时间范围,这样访问控制列表构建防火墙体系结构就基本完成了。②硬件防火墙的应用。在高校网络应用中,比较常见的是硬件防火墙,我以“WatchGuard”这款防火墙在高校中网络组建做个详细的介绍。当然,在我们使用防火墙之前我们首先得安装它,或者说是将防火墙与整个网络配置好。第一步我们必须选定防火墙的工作模式,一般为两个选项,一个为Drop-In Mode,另一个为Routed Mode。前者主要用于不带“非军事区”或者无内网的网络环境,在这里我们选择“Routed Mode”模式。然后我们把外接网口,内部接口、“非军事区”的选项添好,进行完网络设置后,我们即可通过GUI程序与硬件防火墙直接连接,并对防火墙进行配置。局域网与防火墙之间的配置。一个高校往往会分很多部门,不同部门对网络及网络安全的需求往往是不一样的。这种情况需要高校将LAN按部门区分开进行管理,这样不仅使得网络清晰化,也使得管理更方便。而同样的,也可以再防火墙上,将这些部门的计算机,按部门化进行划分开来。因此只要在防火墙上,将生产部的IP地址统一起来,列成一个一个得Group(组)式管理,对该组允许对80(HTTP)访问,允许及时通讯软件等对网络访问。
(2)病毒查杀清除技术。①手动清除病毒。想要清除病毒或木马,首先得把它找出来。确定是病毒了以后再进行查杀。通常病毒手动查询判断的方式有通过系统状态判断、通过网络状态判断以及通过系统工具判断。②网络防病毒软件查杀。主要是采用网络防病毒软件。网络防病毒软件的设计也是针对网络的特点。它应具有实施监控、占用资源少、适合多种操作系统、统一管理、便于分发、便于在线升级更新及良好产品的售后服务的特点。在安装此类软件时,应在网络服务器安装Server端工具。当安装好服务器端的软件后,通过服务器自动分发给客户端,使用户完成客户端的安装。这样在服务端和客户端两个主要的病毒入口都有效地防止了病毒的入侵,也有利于日后服务端在线升级更新后,自动通知客户端及时更新防病毒程序。一般的网络防病毒软件都具有“查杀”邮件病毒、一般的黑客程序、文件型病毒的功能,采用各种防病毒软件时对其功能和性能作为主要的参考对象。
4 结束语
随着高校计算机网络技术的深入,高校的各项教学活动都立足于网络环境中,因此,一旦高校的网络系统安全受到威胁,将会给高校带来巨大的经济损失。如何使高校内网免受黑客和计算机病毒的入侵,己经成为高校信息化建设所要考虑的重要事情之一。
参考文献:
[1]吴玉娟.浅谈网络病毒与防治方案.中国科技信息,2008,(19):98-101.
[2]李勇.最新网络病毒的查找及防杀.科技信息,2006,(6):124-125.
第8篇:防火墙的核心技术范文
【摘 要 题】信息法学
【关 键 词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策
美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。
电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。运行服务的主机被称为应用机关。服务还可以用于实施较强的数据流监控、过滤、记录等功能。
状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
第9篇:防火墙的核心技术范文
关键词:网络安全;防火墙;技术
引言
随着网络的普及和推广,电子商务的规模越来越大,网络安全已经不仅仅是科技人员和少数黑客所涉足的领域,庞大的网络用户也必须进行了解和掌握,以便能够在网络交易中确保自己财产和个人信息的安全,如何更有效的保护重要信息数据,已经成了全世界共同关注的话题,防火墙可以提高和加强网络的安全性,保护当今的网络安全。所以防火墙的基础技术普及是至关重要的。
1 防火墙概述
防火墙是一种将内部网络和公众网络分开的方法,其实它是一种隔离技术,是在两个网络通讯时执行的一种访问控制尺度,最大限度的阻止黑客访问你的网络。
2 防火墙功能特性与分类
主要功能分为访问控制和业务感知:(1)逻辑区域过滤器;(2)隐藏内网网络结构;(3)自身安全保障;(4)主动防御攻击。防火墙按照形态分为硬件防火墙和软件防火墙;按照保护对象可分为单机防火墙和网络防火墙;按照访问控制方式可分为包过滤防火墙、防火墙和状态检测防火墙,TCP-IP层-数据链路层-PC-防火墙-服务器-数据链路层-IP层-TCP层。防火墙组网方式:二层以太网接口(对网络拓扑透明、不需要更改组网);三层以太网接口(支持更多安全特性、对网络拓扑有所影响)
防火墙硬件平台分类
(1)intel X86适用于百兆网络,受CPU处理能力和PCI总线速度的限制。
(2)ASIC硬件集成电路,它把指令或计算机逻辑固化到硬件中,提升防火墙性能。
(3)NP网络处理器是专门为处理数据包而设计的可编程处理器,是X86与ASIC之间的折衷方案。
(4)多核新一代的硬件平台。多核方案,更高的集成度、更高效的核间通信和管理机制。
什么是安全区域?安全区域(Security Zone),或者简称为区域(Zone)。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。
防火墙安全区域分类:(1)缺省安全区域:a.非受信区域Untrust;b.非军事化区域DMZ;c.受信区域Trust;d.本地区域Local。
防火墙安全攻击防范:
网络攻击主要分为四大类:(1)流量型攻击;(2)扫描窥探攻击;(3)畸形报文攻击;(4)特殊报文攻击。
防火墙报文统计:
(1)报文统计。对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计、计算与分析。
(2)防火墙对报文统计结果的分析有两个方面。a.专门的分析软件事后分析日志信息。b.防火墙实时完成一部分分析功能。
防火墙黑名单:
(1)黑名单。黑名单是一个IP地址列表。防火墙将检查报文源地址,如果命中,丢弃所有报文。并且快速有效地屏蔽特定IP地址的用户。
(2)创建黑名单表项,有如下两种方式:a.通过命令手工创建。b.通过防火墙攻击防范模块或IDS模块动态创建。
防火墙性能指标:
(1)吞吐量:防火墙能同时处理的最大数据量。
(2)有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率。
(3)时延:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标,是用于测量防火墙处理数据的速度理想的情况。
(4)每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP连接,是用来衡量防火墙数据流的实时处理能力。
(5)并发连接数:防火墙是针对连接进行处理报文的,并发连接数目是指防火墙可以同时容纳的最大连接数目,一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数。
3 防火墙设备管理
3.1 设备登陆管理
(1)通过console口登陆设备:USG配置口登陆的缺省用户名为admin,缺省用户密码为Admin@123。其中,用户名不区分大小写,密码要区分大小写。
(2)通过web方式登陆设备:设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连,或者通过交换机中转相连。在PC的浏览器中访问http;//192.168.0.1,进入Web界面的登录页面。缺省用户名为admin,密码为Admin@123。
(3)通过telnet方式登陆设备:设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。通过Putty telnet192.168.0.1,进入登录页面。缺省用户名为admin,密码为Admin@123。
(4)通过ssh方式登陆设备:新建用户名为Client001的SSH用户,且认证方式为password。
[USG]ssh user client001
[USG]ssh user client001 authentication-type password
为SSH用户Client001配置密码为Admin@123。
[USG]aaa
[USG-aaa]local-user client001 password ciher Admin@123
[USG-aaa]local-user client001 service-type ssh
配置SSH用户Client001的服务方式为Stelnet,并启用Stelnet服务。
[USG]ssh user client001 service-type stelnet
[USG]stelnet server enable
以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。
3.2 设备文件管理
3.2.1 配置文件类型:saved-configuration current-configuration
3.2.2 配置文件操作
(1)保存配置文件;(2)擦出配置文件(恢复出厂设置);(3)配置下次启动时的系统软件和配置文件;(4)重启设备。
4 防火墙基本配置
(1)Vrp命令行级别分为:参观级、监控级、配置级、管理级。(2)vrp命令视图:用户视图、系统视图、接口视图、协议视图。
- 上一篇:幼儿园儿歌教学的重点范文
- 下一篇:体育实践课的基本结构范文
