防火墻的核心技術(shù)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻的核心技術(shù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；安全

一、防火墻功能概述

防火墻是一個保護裝置，它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機，它的目的就是保護內(nèi)部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的internet之間，同時在多個組織結(jié)構(gòu)的內(nèi)部網(wǎng)和internet之間也會起到同樣的保護作用。它主要的保護就是加強外部internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少數(shù)幾個良好的監(jiān)控位置來進行內(nèi)部網(wǎng)與internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的。防火墻的主體功能歸納為以下幾點：根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進行過濾；對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能；可實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動；具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細(xì)信息；被攔阻時能通過聲音或閃爍圖標(biāo)給用戶報警提示。

防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ)，必須在這個基礎(chǔ)之上加入輔助功能才能流暢的工作。而實現(xiàn)防火墻的核心功能是封包過濾。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全（見圖1）。

二、防火墻主要技術(shù)特點

應(yīng)用層采用winsock 2 spi進行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；核心層采用ndis hook進行控制，尤其是在windows 2000 下，此技術(shù)屬微軟未公開技術(shù)。

此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用winsock 2 spi；二是核心層封包過濾，采用ndis_hook。winsock 2 spi 工作在api之下、driver之上，屬于應(yīng)用層的范疇。利用這項技術(shù)可以截獲所有的基于socket的網(wǎng)絡(luò)通信。采用winsock 2 spi的優(yōu)點是非常明顯的：其工作在應(yīng)用層以dll的形式存在，編程、測試方便；跨windows平臺，可以直接在windows98/me/nt/2000/xp 上通用，windows95只需安裝上winsock 2 for 95，也可以正常運行；效率高，由于工作在應(yīng)用層，cpu占用率低；封包還沒有按照低層協(xié)議進行切片，所以比較完整。而防火墻正是在tcp/ip協(xié)議在windows的基礎(chǔ)上才得以實現(xiàn)。在構(gòu)筑防火墻保護網(wǎng)絡(luò)之前，需要制定一套完整有效的安全策略，這種安全策略一般分為兩層：網(wǎng)絡(luò)服務(wù)訪問策略和防火墻設(shè)計策略。

三、網(wǎng)絡(luò)服務(wù)訪問策略

網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對撥號訪問以及slip/ppp連接的限制。這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法，所以其他的途徑也應(yīng)受到保護。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸，而且對于機構(gòu)內(nèi)部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問到移動介質(zhì)的管理。

四、防火墻的設(shè)計策略

防火墻的設(shè)計策略是具體地針對防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、tcp/ip自身所具有的易攻擊性和危險。防火墻一般執(zhí)行以下兩種基本策略中的一種：除非明確不允許，否則允許某種服務(wù)；除非明確允許，否則將禁止某項服務(wù)。

執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。防火墻可以實施一種寬松的策略（第一種），也可以實施一種限制性策略（第二種），這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的服務(wù)放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

五、設(shè)計時需要考慮的問題

為了確定防火墻設(shè)計策略，進而構(gòu)建實現(xiàn)策略的防火墻，應(yīng)從最安全的防火墻設(shè)計策略開始，即除非明確允許，否則禁止某種服務(wù)。策略應(yīng)該解決以下的問題：需要什么服務(wù)；在哪里使用這些服務(wù)；是否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等服務(wù)；提供這些服務(wù)的風(fēng)險是什么；若提供這種保護，可能會導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響，這些影響會有多大，是否值付出這種代價；和可用性相比，站點的安全性放在什么位置。

六、防火墻的不足

防火墻不能防止內(nèi)部的攻擊，因為它只提供了對網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會工程攻擊——一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。

參考文獻(xiàn)：

1、朱燕輝.windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[m].電子工業(yè)出版社,2002.

第2篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：校園網(wǎng)；防火墻技術(shù)；網(wǎng)絡(luò)安全

中圖分類號：TP309

因特網(wǎng)逐年普及，各類學(xué)校對于網(wǎng)絡(luò)的使用也更是廣泛，校園網(wǎng)的建設(shè)對于教育教學(xué)具有深遠(yuǎn)意義，因而保證其信息安全尤為必要。但是，校園網(wǎng)絡(luò)的安全問題卻著實令人堪憂，其突出的安全問題值得研究分析。所以，基于當(dāng)前現(xiàn)狀，在校園網(wǎng)絡(luò)中對其安全問題實施防火墻技術(shù)是當(dāng)前最為普遍的建設(shè)性技術(shù)。保護計算機信息安全，結(jié)合當(dāng)前計算機安全面臨的主要威脅，當(dāng)仁不讓的核心技術(shù)就是防火墻技術(shù)，同時，對防火墻技術(shù)現(xiàn)狀的分析研究，對其做出未來的發(fā)展設(shè)想也是很必然的。

1 校園網(wǎng)絡(luò)安全

1.1 校園網(wǎng)絡(luò)的安全需求

校園網(wǎng)對于網(wǎng)絡(luò)安全的需求是很高的，是全面的，通常表現(xiàn)形式為：網(wǎng)絡(luò)安全隔離，網(wǎng)絡(luò)安全漏洞；有害信息過濾等多種多樣。校園網(wǎng)絡(luò)對于其網(wǎng)絡(luò)安全正常可靠運行的需求是很大的，總之，校園中整個網(wǎng)絡(luò)的全面性運行的前提是需要一套科學(xué)合理的方案做支持，方案制定之后繼而合理的實施在網(wǎng)絡(luò)安全上面，這對于分析和研究校園網(wǎng)絡(luò)的安全尤其有必要。與學(xué)校而言，制定一套安全管理方案和設(shè)備配備方案是最科學(xué)的，以此來保證校園整個網(wǎng)絡(luò)的全面安全可靠運行。

1.2 校園網(wǎng)絡(luò)面對的安全威脅

針對校園網(wǎng)絡(luò)的安全威脅，總結(jié)來說，包括冒充合法用戶，病毒與惡意攻擊，非授權(quán)進行信息訪問，或是干擾系統(tǒng)正常運行等。另一方面，對校園網(wǎng)絡(luò)安全性構(gòu)成威脅的還有因特網(wǎng)自身的因素，類似網(wǎng)絡(luò)資源的性質(zhì)，其資源信息良莠不齊，各式各樣，一旦沒有進行過濾篩選就放到網(wǎng)絡(luò)上，一定會造成校園網(wǎng)絡(luò)安全威脅，其中包含的大量流量資源，造成了網(wǎng)絡(luò)堵塞，緩慢不運行的上網(wǎng)速度，大量的非法內(nèi)容出入，并且對于校園生活中的青少年的身心健康造成了極大危害。

2 防火墻技術(shù)概述

2.1 包過濾類型防火墻

防火墻技術(shù)總體來講就是一系列功能不一的軟硬件組合，其功能通常包括存取，控制等，它工作的原理就是在校園網(wǎng)以及因特網(wǎng)之間進行訪問控制策略的設(shè)置，從而決定哪些內(nèi)容可被讀取，哪些內(nèi)容被控制在瀏覽頁之外，如此一來，就保護了校園網(wǎng)絡(luò)內(nèi)部非法用戶非法內(nèi)容的入侵。防火墻技術(shù)的主要目的在于對數(shù)據(jù)組進行控制，只對合法的內(nèi)容加以釋放，過濾掉網(wǎng)絡(luò)雜質(zhì)。

包過濾類型的防火墻技術(shù)工作原理是直接通過轉(zhuǎn)發(fā)報文，工作領(lǐng)域是IP層，這是網(wǎng)絡(luò)的底層，在合適的位置對網(wǎng)絡(luò)數(shù)據(jù)進行有選擇的過濾，有一個形象的稱號稱呼這一防火墻技術(shù)即為“通信警察”。包過濾防火墻對每一個傳入保的基本信息進行瀏覽，進行過濾，一般查詢內(nèi)容都包括源地址、協(xié)議狀態(tài)等，這些基本信息一般性情況下都能對其內(nèi)容做出大致統(tǒng)籌，然后與系統(tǒng)源設(shè)定的信息規(guī)則進行比照，指引可行性信息，攔截網(wǎng)絡(luò)垃圾。

包過濾類型的防火墻其優(yōu)點顯而易見，其選擇性過濾的功效著實對于校園網(wǎng)絡(luò)安全做出了保障，并且，這一類型的防火墻技術(shù)產(chǎn)品通常是廉價的，有效的，安全的，現(xiàn)在學(xué)校一般比較通用，這一手段的運行過程完全透明，并且其運行效率，工作性能也是很高，總體來講，就是指其性價比很是驚人。然而，其必然伴隨著不少的缺陷，尚未達(dá)到很完美的境地，類似于包過濾類型的防火墻技術(shù)不能保證絕對的安全性，對于其網(wǎng)絡(luò)欺騙行為不能進行徹底的制止，而且有些協(xié)議的數(shù)據(jù)包壓根不適合被過濾，譬如“RPC”、“X-WINDOW”等。

2.2 服務(wù)器類型防火墻

防火墻技術(shù)的主要特征就是在網(wǎng)絡(luò)周邊建立相關(guān)的監(jiān)控系統(tǒng)，以此來保障網(wǎng)絡(luò)安全，達(dá)到網(wǎng)絡(luò)可靠運行的目的，它的工作原理是通過建立一套完整的規(guī)則和系統(tǒng)策略來進行網(wǎng)絡(luò)安全檢測，繼而改變穿過防火墻的數(shù)據(jù)流，來達(dá)到保護內(nèi)部網(wǎng)絡(luò)安全的目的。由于校園網(wǎng)絡(luò)與防火墻的工作環(huán)境特別兼容，因而，學(xué)校網(wǎng)絡(luò)實現(xiàn)信息安全的一大重要保障就應(yīng)當(dāng)是采用實施防火墻技術(shù)。

服務(wù)器類型的防火墻就是基于服務(wù)器，服務(wù)器是一種程序，其主要形式就是客戶處理在服務(wù)器的連接請求。當(dāng)服務(wù)器接收到客戶的連接意圖時，它將對此請求進行網(wǎng)絡(luò)核實，然后將處理完成的信息進行實質(zhì)性傳遞，呈現(xiàn)在真實的服務(wù)器上，最后對發(fā)出請求的客戶做出應(yīng)答。

基于服務(wù)器類型的防火墻，雖然其安全性能很高，但是它對于用戶而言是封閉的，不透明的，工作時有很大的工作量，對于真實服務(wù)器的要求較高，另外，服務(wù)器通常是需要身份驗證或者是注冊的，這樣一來，就必然會影響到期工作的速度。所以，針對這一缺陷，基于服務(wù)器類型的防火墻不太適合于高速下的網(wǎng)絡(luò)監(jiān)控。總之，防火墻對于網(wǎng)絡(luò)安全性是有很大的提高作用的，并不能絕對的根除網(wǎng)絡(luò)安全問題，除此以外，對于網(wǎng)絡(luò)內(nèi)部自身攻擊或是病毒很難防御。要想保證網(wǎng)絡(luò)徹底安全，防火墻技術(shù)是核心，且需要輔以其他精準(zhǔn)措施。

3 校園網(wǎng)絡(luò)安全方案及優(yōu)缺點

3.1 專用的硬件防火墻設(shè)備

專用的硬件防火墻設(shè)備是以最先進的網(wǎng)絡(luò)技術(shù)和安全技術(shù)為基礎(chǔ)的，這一類型的防火墻速度極快，將校園內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)做出了極其有效的隔離。通過網(wǎng)絡(luò)控制，校園內(nèi)部網(wǎng)絡(luò)被允許上網(wǎng)，而校園外的網(wǎng)絡(luò)用戶就被隔離，不能直接進行網(wǎng)絡(luò)訪問，當(dāng)然，也會有其他的網(wǎng)絡(luò)瀏覽方式，類似加密然后授權(quán)等，這必然有效的保護了校園網(wǎng)絡(luò)的安全性。這一方案的防火墻，其特點就是基于硬件，并與路由器做“合體”技術(shù)，路由器購置中，便自動植入了防火墻設(shè)備，以此在很大程度上保證了網(wǎng)絡(luò)安全。但是，盡管這一設(shè)備安全，快速，但是如此專業(yè)的軟硬件一體設(shè)備，其價格自然可想而知，非常昂貴。

3.2 服務(wù)器及相關(guān)防火墻軟件

服務(wù)器及相關(guān)的防火墻軟件也能夠?qū)崿F(xiàn)硬件防火墻的基本功能。采用“UNIX系統(tǒng)”以及該系統(tǒng)內(nèi)部內(nèi)核自帶的IP地址，當(dāng)然也包括其中的防火墻軟件，能夠很好的實現(xiàn)硬件防火墻的基本功能。由于當(dāng)下Windows 2000或是其他的操作系統(tǒng)自身存在著很多的漏洞，致使其對于IP地址的支持能力極為有限，存在著很大的局限性，對于病毒感染，或是漏洞頻出的現(xiàn)象不能很好的避免，所以對于這一安全方案，在服務(wù)器的選擇上盡量避免Windows 2000。服務(wù)器常年運行，若要保證校園網(wǎng)絡(luò)安全，其所有的出口流量等全都需要經(jīng)過這一服務(wù)器，所以方案設(shè)備配置時，一個性能高的，經(jīng)久耐用的專用服務(wù)器就顯得尤為重要了，以此加強其工作穩(wěn)定性。這一配備的投資較為節(jié)省，而且性能很好，很大程度上保證了園網(wǎng)絡(luò)安全。因而，針對以上兩種方案，學(xué)校對投資校園網(wǎng)絡(luò)建設(shè)時，結(jié)合財力，性能，需求等多種因素進行防火墻方案選擇。

4 結(jié)束語

因特網(wǎng)的迅猛發(fā)展，必然伴隨著網(wǎng)絡(luò)攻擊手段的不斷跟進，保護其安全就顯得尤為迫切，防火墻技術(shù)已經(jīng)基本能夠滿足計算機使用者對于其信息安全的需求，但是防火墻技術(shù)作為網(wǎng)絡(luò)信息安全的核心技術(shù)，它值得深入研究的課題以及項目還是很多，譬如如何對防火墻技術(shù)進行危險系數(shù)的評估等技術(shù)尚需得到研究開發(fā)，總之，防火墻技術(shù)為計算機尤其是校園網(wǎng)絡(luò)技術(shù)做出了巨大貢獻(xiàn)。

參考文獻(xiàn)：

[1]李欣.高校校園網(wǎng)絡(luò)安全探索[J].中國現(xiàn)代教育裝備，2012（10）：45-46.

[2]唐震.校園網(wǎng)絡(luò)安全管理技術(shù)研究[J].硅谷，2013（08）：33-34.

第3篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：國產(chǎn)設(shè)備；深信服；F5

中圖分類號：F626文獻(xiàn)標(biāo)識碼：B文章編號：1672-6200(2015)05-0057-03

1引言

黑龍江郵政互聯(lián)網(wǎng)環(huán)境是黑龍江郵政公司的一個重要的網(wǎng)絡(luò)門戶和業(yè)務(wù)支撐網(wǎng)絡(luò)平臺。在設(shè)備老化、網(wǎng)絡(luò)出現(xiàn)瓶頸的情況下，作者根據(jù)實際網(wǎng)絡(luò)情況，參照國外網(wǎng)絡(luò)產(chǎn)品的參數(shù)指標(biāo)，選擇性能和口碑俱佳的內(nèi)業(yè)主流的國產(chǎn)設(shè)備替代國外產(chǎn)品，對黑龍江郵政互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境進行升級，取得了良好的使用效果。并通過對升級前后的網(wǎng)絡(luò)指標(biāo)對比分析，以及在使用中發(fā)現(xiàn)國產(chǎn)設(shè)備的不足之處，為郵政企業(yè)在關(guān)鍵網(wǎng)絡(luò)節(jié)點使用國產(chǎn)設(shè)備提出了使用建議。同時根據(jù)當(dāng)前國情，對國產(chǎn)設(shè)備替代國外產(chǎn)品的趨勢進行了闡述。

2國產(chǎn)網(wǎng)絡(luò)設(shè)備主流廠商簡介

目前，我國網(wǎng)絡(luò)產(chǎn)品行業(yè)正處于發(fā)展期，產(chǎn)業(yè)已初具規(guī)模，產(chǎn)品門類較為齊全，基本建立了技術(shù)研發(fā)、產(chǎn)品生產(chǎn)和銷售體系。在部分主流產(chǎn)品上，已初步滿足目前國家信息化建設(shè)的基本需求，為國家信息化體系建設(shè)奠定了一定的基礎(chǔ)。路由器、交換機、防火墻、負(fù)載均衡、防病毒、防入侵等多個主流產(chǎn)品格局已初步形成，出現(xiàn)了綜合集成和一體化管理平臺等新技術(shù)的產(chǎn)品和應(yīng)用。

2.1路由器、交換機廠商

在高端產(chǎn)品方面，華為、中興等民營通信企業(yè)，其產(chǎn)品廣泛應(yīng)用于世界各地通信運營商，產(chǎn)品主要涉及通信網(wǎng)絡(luò)中的交換網(wǎng)絡(luò)、傳輸網(wǎng)絡(luò)、無線及有線固定接入網(wǎng)絡(luò)和數(shù)據(jù)通信網(wǎng)絡(luò)及無線終端產(chǎn)品，近幾年逐漸向行業(yè)領(lǐng)域拓展。在中低端產(chǎn)品方面，邁普、銳捷等國產(chǎn)產(chǎn)品，近幾年逐步在銀行、保險、政府、運營商、軍隊、電力等行業(yè)領(lǐng)域內(nèi)占據(jù)較大市場份額。

2.2防火墻廠商

天融信、山石、網(wǎng)御等擁有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)層防火墻產(chǎn)品，以其優(yōu)秀的性價比，近年來逐漸在各政府和企業(yè)中替代cisco和juniper等國外產(chǎn)品。

2.3VPN、負(fù)載均衡設(shè)備廠商

深信服作為國家《SSLVPN技術(shù)規(guī)范》標(biāo)準(zhǔn)核心制定者之一，其SSLVPN解決方案已在政府、金融、運營商、能源、教育、大中型企業(yè)等各個領(lǐng)域都得到了廣泛應(yīng)用。深信服負(fù)載均衡產(chǎn)品（AD）在國內(nèi)應(yīng)用交付產(chǎn)品中也具有較大的市場份額。

2.4入侵防御或入侵檢測廠商

綠盟是中國最早從事網(wǎng)絡(luò)安全業(yè)務(wù)的企業(yè)之一，專注于網(wǎng)絡(luò)安全、應(yīng)用安全與WEB安全領(lǐng)域，專注于網(wǎng)絡(luò)入侵檢測與防護、抗拒絕服務(wù)、安全評估及漏洞管理、WEB應(yīng)用防護和安全審計及日志管理。綠盟建立并維護的全球最大中文漏洞庫，已經(jīng)成為業(yè)界廣泛參考的標(biāo)準(zhǔn)。其安全產(chǎn)品通過國際知名測評機構(gòu)WestCoastLabs、NSSLabs等專項測試，并在測試中表現(xiàn)優(yōu)異。

3黑龍江郵政實際使用案例

3.1網(wǎng)絡(luò)結(jié)構(gòu)說明

黑龍江郵政互聯(lián)網(wǎng)環(huán)境，是黑龍江郵政的一個重要網(wǎng)絡(luò)平臺，其承載著以宣傳郵政政策、業(yè)內(nèi)動態(tài)為主要內(nèi)容的黑龍江郵政公司門戶網(wǎng)站，也有由黑龍江郵政易通公司開發(fā)的、為對俄貿(mào)易提供服務(wù)的中俄邊貿(mào)網(wǎng)為主的電商網(wǎng)站。該平臺還為企業(yè)提供包括物資集中采購、商投管理、落地配管理等BS架構(gòu)的業(yè)務(wù)支撐管理系統(tǒng)，同時承載著黑龍江郵政易通公司開發(fā)的新華社短信、手機在線繳費、物流運輸、倉儲、配送、特許經(jīng)營等業(yè)務(wù)拓展平臺。該網(wǎng)絡(luò)環(huán)境為黑龍江郵政的業(yè)務(wù)發(fā)展起到了關(guān)鍵性作用，是黑龍江郵政一個不可缺少的業(yè)務(wù)管理平臺。網(wǎng)絡(luò)結(jié)構(gòu)上在內(nèi)網(wǎng)區(qū)，使用Cisco3550作為核心交換機，通過劃分不同VLAN隔離各系統(tǒng)及WEB應(yīng)用，使用H3C3600做級聯(lián)交換機和區(qū)域交換機實現(xiàn)網(wǎng)絡(luò)擴展。在聯(lián)網(wǎng)接入?yún)^(qū)，由于黑龍江地理位置的特殊性，采用雙運營雙線路接入互聯(lián)網(wǎng)(聯(lián)通、電信各20Mbps)，實現(xiàn)地域用戶的快速訪問，同時雙線路可實現(xiàn)相互備份。使用東軟防火墻（Neteye4032）作為互聯(lián)網(wǎng)雙線路接入和區(qū)域隔離。防火墻配置明細(xì)路由，實現(xiàn)不同運營商的互聯(lián)互訪；使用NAT轉(zhuǎn)換，為用戶提供互聯(lián)網(wǎng)訪問服務(wù)；使用端口級的訪問控制策略，嚴(yán)格控制外部和內(nèi)部訪問，保障內(nèi)網(wǎng)區(qū)的數(shù)據(jù)安全。在應(yīng)用負(fù)載均衡方面，部署單臂模式的F5Big-IP-1500負(fù)載均衡交換機，做為各業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)器的負(fù)載均衡，保障應(yīng)用的可用性。該網(wǎng)絡(luò)環(huán)境，目前共有系統(tǒng)30多個，服務(wù)器近100臺。根據(jù)流量監(jiān)測，日均網(wǎng)絡(luò)流量在8Mbps左右/條，峰值在12Mbps/條，日均網(wǎng)絡(luò)連接在4萬左右/天，日均并發(fā)連續(xù)數(shù)在5000個左右。

3.2網(wǎng)絡(luò)環(huán)境中存在的問題

該網(wǎng)絡(luò)環(huán)境始建于2005年，由于建設(shè)較早，網(wǎng)絡(luò)設(shè)備使用當(dāng)時省郵政中心閑置設(shè)備進行搭建。然而隨著業(yè)務(wù)的發(fā)展，訪問用戶的增加，平臺經(jīng)常出現(xiàn)問題，如防火墻NAT地址失效、不同運營商用戶訪問路由失效、系統(tǒng)在進行大數(shù)據(jù)傳輸時網(wǎng)絡(luò)延遲過大等問題，百兆交換機、F5的承載能力出現(xiàn)網(wǎng)絡(luò)瓶頸。如今，現(xiàn)有的設(shè)備已經(jīng)不能滿足業(yè)務(wù)的擴展需要要求，企業(yè)急需對平臺進行升級。

3.3升級改造的內(nèi)容

本次升級主要是對防火墻、核心交換機、負(fù)載均衡設(shè)備進行升級。核心網(wǎng)絡(luò)層計劃由百兆提升至千兆，負(fù)載均衡產(chǎn)品計劃由1500系列提升至1600系列，防火墻網(wǎng)絡(luò)吞吐量由200M提高到800M，并發(fā)連接數(shù)處理能力由50萬提高到100萬以上。根據(jù)升級計劃，如果選用業(yè)內(nèi)主流產(chǎn)品（例如交換機采用H3C或者cisco，防火墻選用Juniper，負(fù)載均衡使用F5或者Radware），投入資金較大，省內(nèi)無法負(fù)擔(dān)，因此考慮采用低價格的國內(nèi)設(shè)備進行試驗性替換，從而滿足平臺的升級需要。根據(jù)升級的目標(biāo)，參照國內(nèi)外各廠商設(shè)備參數(shù)，綜合對比，最終我局決定核心交換機選用華為的S5700作為替代，區(qū)域交換機選用邁普的MP4100，防火墻選用天融信的NFGW4000UF，負(fù)載均衡設(shè)備選用深信服的AD1600。

4測試數(shù)據(jù)對比分析

4.1整體體驗效果

經(jīng)過為期半年的試用，整體上對黑龍江郵政互聯(lián)網(wǎng)環(huán)境進行國產(chǎn)化升級后，網(wǎng)絡(luò)運行平穩(wěn)，用戶使用效果良好，原有網(wǎng)絡(luò)存在的問題得到了解決，基本上達(dá)到了預(yù)期目的。在使用效果上：用戶訪問速度有所提升，頁面展示更加快捷迅速；各類大數(shù)據(jù)查詢結(jié)果，能夠更快速的顯現(xiàn)；不同運營商互訪問題得到解決，減少了手工維護量。在負(fù)載均衡效果上：負(fù)載均衡策略和分配比例與替換前基本保持一致，承載連接數(shù)量提高，各服務(wù)器的性能和資源得到了充分的利用，能夠快速判斷服務(wù)器的健康狀態(tài)，保障應(yīng)用的可用性。在核心網(wǎng)數(shù)據(jù)傳輸上：由于從百兆平臺升級為千兆平臺，內(nèi)部數(shù)據(jù)傳輸和交換能力大大提高，也一定程度上提高了報表、查詢等操作的網(wǎng)絡(luò)響應(yīng)速度。

4.2部分測試數(shù)據(jù)對比

由于測試條件和測試工具有限，因此只對負(fù)載均衡、交換機設(shè)備的一些直觀數(shù)據(jù)進行監(jiān)測，交換機由于是百兆到千兆的升級，前后無對比性，因此只做整體體驗性分析，不做單項數(shù)據(jù)分析。（1）根據(jù)檢測數(shù)據(jù)，國產(chǎn)產(chǎn)品基本上能夠滿足黑龍江省郵政互聯(lián)網(wǎng)環(huán)境升級的需要。國產(chǎn)產(chǎn)品上應(yīng)用了較多自主研發(fā)的核心技術(shù)，例如硬件加密算法更符合國家的信息安全規(guī)范；產(chǎn)品也是基于國內(nèi)市場量身定制，更能符合國內(nèi)的用戶需求。此外，在穩(wěn)定性以及主體功能實現(xiàn)上，國內(nèi)外產(chǎn)品差距不大，只是國內(nèi)外產(chǎn)品的側(cè)重點不同，例如：深信服產(chǎn)品側(cè)重于對服務(wù)器的健康、穩(wěn)定性檢查以及智能分析方面，同時提供速度優(yōu)化保障；F5主要關(guān)注于減少服務(wù)器壓力以及對服務(wù)器安全保障方面；Radware側(cè)重于對服務(wù)器速度的優(yōu)化和管理，提示服務(wù)器訪問速度。（2）在使用過程中，也發(fā)現(xiàn)了一些國產(chǎn)設(shè)備問題。首先在功能方面，國內(nèi)的產(chǎn)品過多于做一體化解決平臺，產(chǎn)品跨界較嚴(yán)重，同一產(chǎn)品上或多或少地集成了一些安全功能，產(chǎn)品不專一，設(shè)備的性能往往被浪費到不用的功能資源上。其次，部分國產(chǎn)產(chǎn)品在配置操作上，邏輯關(guān)系不清楚，配置復(fù)雜，不像國外產(chǎn)品配置邏輯關(guān)系清楚明了，此外在細(xì)節(jié)的處理上，對比國外產(chǎn)品有一定的差距。（3）雖然存在一些問題，但國產(chǎn)產(chǎn)品相比國外產(chǎn)品，更符合中國的實際網(wǎng)絡(luò)情況，更了解國內(nèi)用戶的使用需求。在安全方面，使用較多自主研發(fā)的核心技術(shù)，使用符合國密標(biāo)準(zhǔn)的加密算法；售后服務(wù)較為便捷、完善。根據(jù)我省在實際環(huán)境中的替代使用，作為一種替換方案，作者覺得國內(nèi)產(chǎn)品在結(jié)構(gòu)不復(fù)雜、拓展需求不特別高的關(guān)鍵網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)的吞吐能力、數(shù)據(jù)并發(fā)處理能力上都不弱于國外產(chǎn)品，完全能滿足到企業(yè)的運營需要。但由于國產(chǎn)設(shè)備核心技術(shù)上與國外產(chǎn)品還是存在差距的，國產(chǎn)廠商過于注重多功能融合，因此考慮在核心層的下一層級或在網(wǎng)絡(luò)邊界層面使用國產(chǎn)產(chǎn)品。

5結(jié)束語

隨著國家對網(wǎng)絡(luò)安全的重視，業(yè)內(nèi)人員已經(jīng)提出了去IOE（IBM，Oracler，EMC），國產(chǎn)產(chǎn)品代替國外產(chǎn)品這是大趨勢，這次替代不是指在IT系統(tǒng)架構(gòu)中的某一個環(huán)節(jié)，某一個部件，某一個局部范圍搞進口替代，而是整個IT系統(tǒng)基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)系統(tǒng)，計算機系統(tǒng)，操作系統(tǒng)到基礎(chǔ)軟件系統(tǒng)都要重建。在關(guān)鍵行業(yè)使用IT設(shè)備，可以保證IT系統(tǒng)減少因為"人為因素"出現(xiàn)信息風(fēng)險的可能性。雖然使用國產(chǎn)IT設(shè)備不一定絕對安全，但相對單純使用國外設(shè)備而言，風(fēng)險卻可以減低很多。另外國產(chǎn)設(shè)備和信息安全之間并不能簡單的劃等號。例如很多國產(chǎn)IT產(chǎn)品中的CPU、操作系統(tǒng)等核心系統(tǒng)實際上仍然是由國外廠商提供。因此，從某種程度上而言，所謂的信息安全并不能得到完全的保證。如何在替代過程中，保持原有網(wǎng)絡(luò)的穩(wěn)定又能達(dá)到預(yù)期的目的，這是由各硬件廠商的產(chǎn)品所決定的。作為一個網(wǎng)絡(luò)工程師，我們的目標(biāo)就是在眾多的國內(nèi)產(chǎn)品中，選取最穩(wěn)定、性能最優(yōu)的產(chǎn)品，更多地使用有用自主知識產(chǎn)權(quán)和核心技術(shù)的網(wǎng)絡(luò)產(chǎn)品，應(yīng)用到郵政網(wǎng)絡(luò)中，使郵政網(wǎng)絡(luò)在這個必然趨勢下能夠平穩(wěn)過渡，確保整個郵政網(wǎng)絡(luò)的信息安全。

參考文獻(xiàn)

[1]企業(yè)網(wǎng)D1NET《網(wǎng)絡(luò)信息安全形勢不容樂觀國產(chǎn)化浪潮成主流趨勢》

第4篇：防火墻的核心技術(shù)范文

隨著信息化建設(shè)的深入，互聯(lián)網(wǎng)上的各種應(yīng)用不斷增多，作為邊界防御的基礎(chǔ)設(shè)施――防火墻，也面臨多重挑戰(zhàn)。

圖1 VSP體系結(jié)構(gòu)圖

一方面安全需求日新月異，另一方面網(wǎng)絡(luò)帶寬飛速擴展，傳統(tǒng)的小作坊式研發(fā)設(shè)計已經(jīng)不能滿足要求，設(shè)備平臺化已經(jīng)成為發(fā)展的趨勢。

通過平臺化，防火墻能夠迅速適應(yīng)新的硬件平臺，性能得以快速提高，滿足甚至領(lǐng)先于網(wǎng)絡(luò)帶寬的發(fā)展。

同時，平臺化的防火墻具備良好的擴展性和適應(yīng)性，可以快速移植到各種硬件平臺，提高系統(tǒng)的性價比，并很容易發(fā)展出新的功能，適應(yīng)用戶特殊的或不斷變化的安全需求。聯(lián)想網(wǎng)御在下一代安全架構(gòu)中，推出了彈性架構(gòu)的安全平臺，正是為了順應(yīng)這種發(fā)展潮流，將防火墻產(chǎn)品的研發(fā)設(shè)計推向了新的高度。

彈性架構(gòu)的安全平臺包含四項核心組成部分:通用安全平臺（VSP）是所有防火墻設(shè)備的基礎(chǔ)，統(tǒng)一安全引擎（USE）是防火墻設(shè)備的安全發(fā)動機，多重冗余協(xié)議（MRP）是防火墻設(shè)備高可靠性的保證，高速安全硬件（HSH）則是防火墻設(shè)備高性能的助推器。

在安全產(chǎn)品實現(xiàn)上，四類核心技術(shù)的有效組合，可以為用戶提供多樣化的安全功能:既能為高端用戶提供專用的、高性能的、高可靠性的安全設(shè)備，如防火墻、VPN、IPS等，又能為中小型用戶提供多功能、高性價比、易于管理維護的安全設(shè)備，如UTM，還能夠根據(jù)用戶需求，在專用安全設(shè)備上提供增強的安全功能，快速完成產(chǎn)品定制，如在高端防火墻上提供異常流量的分析過濾器。

通用安全平臺

VSP作為一個專用安全軟件平臺，參照國際標(biāo)準(zhǔn)，基于完善的體系結(jié)構(gòu)設(shè)計，將實時操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起，具有高效、智能、安全、健壯、易擴展等特點。

VSP面向網(wǎng)絡(luò)吞吐和安全處理，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，VSP通過控制平面和數(shù)據(jù)平面的分離，集中主要資源于數(shù)據(jù)平面，進行網(wǎng)絡(luò)吞吐和安全處理，使系統(tǒng)具有極強的實時性和網(wǎng)絡(luò)吞吐能力。

圖2 USE示意圖

VSP參考微內(nèi)核設(shè)計，基于消息機制，僅將最基本的操作系統(tǒng)功能置于微內(nèi)核，多余服務(wù)和應(yīng)用程序均構(gòu)造于微內(nèi)核之上，確保任何服務(wù)和應(yīng)用的問題都不會造成整個系統(tǒng)的崩潰。同時，微內(nèi)核中集成攻擊防御引擎，可有效檢測和抵御攻擊行為，從根本上提高了產(chǎn)品的可靠性和健壯性。

通過系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù)，VSP與各種嵌入式系統(tǒng)相比，具有高度靈活性和可擴展性。同時，VSP將硬件驅(qū)動獨立為硬件抽象平面，對上層軟件提供統(tǒng)一調(diào)用接口，對下層硬件統(tǒng)一定義驅(qū)動標(biāo)準(zhǔn)，適應(yīng)不同規(guī)格的硬件架構(gòu)，實現(xiàn)與多種專用芯片的無縫融合，VSP可充分利用從IXP，PowerPC到NP、內(nèi)容加速芯片等各種先進硬件平臺的優(yōu)勢。

統(tǒng)一安全引擎

以VSP為基礎(chǔ)，優(yōu)化傳統(tǒng)的安全引擎，抽象數(shù)據(jù)模型、構(gòu)造統(tǒng)一架構(gòu)，有效地將狀態(tài)過濾、VPN、IPS、內(nèi)容過濾等多類別安全引擎集成為統(tǒng)一的安全引擎，顯著提升了防火墻的安全防御能力。

統(tǒng)一安全引擎克服了傳統(tǒng)上各個安全引擎獨自為戰(zhàn)，存在大量冗余處理的缺點（比如，蠕蟲檢測在IDS，病毒檢測中都要處理），通過高效的引擎集成技術(shù)，將各個安全功能與網(wǎng)絡(luò)協(xié)議棧的處理有機地整合為一體，狀態(tài)檢測、協(xié)議分析機、深度過濾、內(nèi)容檢測等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2～7層的檢測，同時采用聯(lián)想的專利技術(shù)――基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。

防火墻根據(jù)用戶需求側(cè)重點不同，通過統(tǒng)一的配置接口，可以方便的組合使用各種安全特性，加上不同的硬件架構(gòu)，可以適應(yīng)用戶的不同安全需求。

多重冗余協(xié)議

基于聯(lián)想擁有的大型計算機高可靠設(shè)計專利技術(shù)，利用電信骨干網(wǎng)可靠性運營維護專業(yè)經(jīng)驗，通過在物理層、鏈路層、網(wǎng)絡(luò)層、實體層等多個層面實現(xiàn)多元化冗余設(shè)計，可有效地保障防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。

圖3 MRP示意圖

由于防火墻在鏈路層支持多WAN口出口，通過鏈路冗余協(xié)議，實現(xiàn)多出口間的負(fù)載均衡和備份，正常時可以充分利用鏈路資源，任何一條鏈路的故障癱瘓不會影響網(wǎng)絡(luò)的正常通信。

同時，防火墻通過支持基于802.3ad標(biāo)準(zhǔn)，實現(xiàn)多物理端口聚合，在正常狀態(tài)下可以幫助用戶做到“零投資”帶寬倍增，在單點故障時，又可以實現(xiàn)正常的網(wǎng)絡(luò)通信不中斷。

MRP支持基于狀態(tài)自動探測的雙機熱備。當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時，備份機可自動檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時間小于1秒鐘。同時，基于國內(nèi)首創(chuàng)的“狀態(tài)增量同步”技術(shù)，解決了主從設(shè)備之間狀態(tài)一致性問題，在保證不損失狀態(tài)檢測的安全性的同時，保證了系統(tǒng)切換期間會話不會中斷。

MRP支持主動負(fù)載均衡、會話保護和接管以及主動配置同步等功能，不但可以在集群和雙機中實現(xiàn)配置的同步，簡化用戶的管理負(fù)擔(dān)，并且基于“狀態(tài)增量同步技術(shù)”實現(xiàn)了業(yè)務(wù)在多臺設(shè)備之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動態(tài)路由協(xié)議帶來的“業(yè)務(wù)續(xù)斷問題”，在透明、路由、混合等多種工作模式下實現(xiàn)負(fù)載均衡，最多可以支持2~8臺的設(shè)備集群。

通用平臺最后一公里

多核多線程芯片技術(shù)是網(wǎng)絡(luò)設(shè)備領(lǐng)域的最新發(fā)展，因此各大廠商都希望將其實現(xiàn)產(chǎn)品化。通過將CPU與網(wǎng)絡(luò)總線、安全應(yīng)用加速引擎的集成，極大拓展了內(nèi)部帶寬，解決了通用平臺的總線瓶頸，多核多線程的體系結(jié)構(gòu)特別適合網(wǎng)絡(luò)并行運算，使防火墻的網(wǎng)絡(luò)處理速度從千兆走向萬兆。

將彈性架構(gòu)的安全平臺作為防火墻的技術(shù)基礎(chǔ)，以此為基礎(chǔ)形成的產(chǎn)品和解決方案可以應(yīng)對新的安全威脅在速度、范圍和復(fù)雜性方面的挑戰(zhàn)，快速滿足用戶需求。

第5篇：防火墻的核心技術(shù)范文

關(guān)鍵詞:防火墻;Linux;路由策略

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)13-3358-02

1 引言

防火墻一詞來源于建筑學(xué)。在建筑物中,防火墻是用抗熱防火材料建成的墻,用來減弱或阻止火勢在建筑物中直接地蔓延。同理,在網(wǎng)絡(luò)環(huán)境中,防火墻是一個介于內(nèi)網(wǎng)和外網(wǎng)之間,保護內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的非法入侵或攻擊,由硬件或軟件組成的專用設(shè)備。

現(xiàn)在經(jīng)常使用的專業(yè)級防火墻,主要有通用CPU和ASIC兩種架構(gòu)。通用CPU架構(gòu)一般都基于Intel X86的架構(gòu),能夠方便升級和擴展,但由于這種架構(gòu)采用的是PCI總線接口,Intel X86架構(gòu)雖然在理論上能達(dá)到2Gbps甚至更高的吞吐量,但在實際應(yīng)用中,通用CPU的處理能力較差,操作系統(tǒng)尤其是在處理小包時,遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱性能。ASIC架構(gòu)通過采用硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面和控制層面分離等技術(shù),解決了帶寬容量和性能不足的問題,在穩(wěn)定性方面也得到了很好的保證。但由于采用純硬件架構(gòu),所以往往價格偏高,靈活性和擴展性也較差。

我校的校園網(wǎng)出口,已經(jīng)部署了一臺ASIC架構(gòu)的硬件防火墻,但為了應(yīng)對防火墻硬件突發(fā)故障、系統(tǒng)升級這類的事件,需要再接入一臺防火墻來保障出口帶寬的高可用性。通過綜合ASIC架構(gòu)防火墻價格、備份防火墻的使用率和服務(wù)器本身性能等因素分析,設(shè)計選擇Intel X86架構(gòu),基于Linux操作系統(tǒng)的軟件防火墻來實現(xiàn)出口冗余,使方案具有更高的性價比。

2 Linux防火墻原理解析

目前出口的硬件防火墻主要通過包過濾和路由協(xié)議來保障內(nèi)外網(wǎng)的通訊。為了達(dá)到防火墻冗余的預(yù)期效果,Linux防火墻也必須實現(xiàn)這兩大功能。

2.1 Iptables數(shù)據(jù)包過濾

所謂數(shù)據(jù)包過濾,就是通過匹配數(shù)據(jù)包中的幾個主要元素:比如IP地址、端口信息和使用協(xié)議等,有選擇性地傳輸數(shù)據(jù),從而保證內(nèi)網(wǎng)安全。Linux防火墻是利用它內(nèi)核中Netfilter模塊的三個“規(guī)則表”,以及每個表中不同內(nèi)建的“鏈”(如圖1)來實現(xiàn)封包階段的工作。在Linux中,一般都使用Iptables來管理內(nèi)核包過慮,它是Linux提供的一個完全免費的軟件。Iptables對服務(wù)器硬件要求低,功能強大,且規(guī)則靈活。通過Iptables命令對Netfilter表中的各個鏈的操作配置,很好地完成內(nèi)外網(wǎng)之間流入和流出的數(shù)據(jù)的處理。

以Filter表傳輸數(shù)據(jù)包的過程為例,它內(nèi)建有INPUT、FORWARD和OUTPUT 3個鏈,每個鏈可以設(shè)置多個不同規(guī)則。當(dāng)一個數(shù)據(jù)包到達(dá)防火墻,Iptables就會逐條規(guī)則檢查,看是否符合規(guī)則中所定義的條件。如果符合,系統(tǒng)將根據(jù)該規(guī)則的策略處理該數(shù)據(jù)包;否則繼續(xù)匹配下一條規(guī)則。假設(shè)一個數(shù)據(jù)包不符合鏈中所有規(guī)則,系統(tǒng)則根據(jù)該鏈預(yù)先定義的配置來處理該數(shù)據(jù)包。

2.2 路由協(xié)議選擇

當(dāng)前的校園網(wǎng)有三個外網(wǎng)出口,需要選擇合適的路由協(xié)議來處理外出數(shù)據(jù)流向,來縮短到目的網(wǎng)絡(luò)地址的距離,提高上網(wǎng)速度。

路由協(xié)議分為靜態(tài)路由和動態(tài)路由。靜態(tài)路由需要預(yù)先在路由器中手動設(shè)置固定的路由表,當(dāng)內(nèi)網(wǎng)中的一臺主機發(fā)送外出訪問數(shù)據(jù)時,路由器將從該路由表中匹配一個能到達(dá)目的地址的路由,然后把用戶數(shù)據(jù)送給相應(yīng)的對端路由器,再由此路由器負(fù)責(zé)把用戶數(shù)據(jù)最終送達(dá)目的地。由于靜態(tài)路由不能適應(yīng)網(wǎng)絡(luò)拓?fù)渥兓?一般用于網(wǎng)絡(luò)規(guī)模較小或拓?fù)浣Y(jié)構(gòu)穩(wěn)定的網(wǎng)絡(luò)中。而動態(tài)路由協(xié)議則不同,它可以實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化,并更新路由表以動態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?更適合網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。由于校園網(wǎng)外出環(huán)境相對穩(wěn)定,所以選擇占用CPU和帶寬資源較少的靜態(tài)路由來完成出口數(shù)據(jù)包的轉(zhuǎn)發(fā)。

3 校園網(wǎng)防火墻設(shè)計

3.1 Iptables策略設(shè)計

在包轉(zhuǎn)發(fā)策略設(shè)計中,主要包括內(nèi)網(wǎng)到外網(wǎng)地址轉(zhuǎn)換(NAT)和服務(wù)器區(qū)安全(DMZ)兩個功能的配置。在Linux系統(tǒng)中,一般可以通過shell編程來批處理Iptables的配置命令,這樣也方便以后防火墻策略的啟動和維護。

3.1.1 NAT設(shè)計

下面的代碼以網(wǎng)通接口為例,實現(xiàn)了內(nèi)網(wǎng)數(shù)據(jù)通過網(wǎng)通出口來訪問外網(wǎng)。

# Interface Information防火墻網(wǎng)通接口信息

# ------------------------------------------------------------

# CNC network parameters

# ------------------------------------------------------------

CNC_IFACE=eth1

CNC_IP_POOL=221.10.18.68-221.10.18.72

# -------------------------------------------------------------

#Nat to Chinanet,CNC,Cernet到網(wǎng)通的NAT

# -------------------------------------------------------------

iptabls -t nat -A POSTROUTING -o $CNC_IFACE -j SNAT --to-source $ CNC_IP_POOL

iptabls -t nat -A POSTROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT

按照同樣的方法,便可以設(shè)計出內(nèi)網(wǎng)到電信和教育網(wǎng)的NAT策略。

3.1.2 DMZ設(shè)計

下面的代碼定義了在DMZ區(qū)中服務(wù)器IP或端口的映射。

# Function Statement 定義服務(wù)器IP,端口映射的映射。

# ------------------------------------------------------------

# Function RelateIp($1=TargetIP, $2=TrueIP)

# ------------------------------------------------------------

function RelateIp()

{

iptabls -t nat -A PREROUTING -d $1 -j DNAT --to $2 }

# ------------------------------------------------------------

# Function RelatePort($1=TargetIP, $2=TargetPort,

# $3=TrueIP, $4=TruePort,

# $5=Tcp or Udp)

# ------------------------------------------------------------

function RelatePort()

{

iptabls -t nat -A PREROUTING -d $1 -p $5 --dport $2 -j DNAT --to $3:$4 }

使用上面定義,就可以根據(jù)不同需求,來實現(xiàn)DMZ區(qū)服務(wù)器的映射和安全。

3.2 策略路由配置

由于校園網(wǎng)外接鏈路分別由電信、網(wǎng)通和教育網(wǎng)提供,所以首先需要根據(jù)帶寬供應(yīng)商提供的地址列表,整理出相應(yīng)的IP段。然后,根據(jù)整理的地址段,編譯各個出口的路由shell文檔。下面是整理出的部分的教育網(wǎng)路由策略。

# ------------------------------------------------------------

# Cernet Route_table 教育網(wǎng)路由表

# ------------------------------------------------------------

route add -net 59.64.0.0/13 gw 210.41.240.254 dev eth2

route add -net 59.72.0.0/14 gw 210.41.240.254 dev eth2

route add -net 59.76.0.0/16 gw 210.41.240.254 dev eth2

在多路由表的Linux服務(wù)器上,所有的路由操作,都需要首先對照預(yù)先設(shè)置的路由表,如果沒有與之匹配的路由,則按照默認(rèn)的主路由進行操作。所以設(shè)計中,只需整理出到教育網(wǎng)和網(wǎng)通地址的路由表。當(dāng)沒有與它們匹配的路由時,則默認(rèn)從電信出口訪問。

4 總結(jié)

通過本文,了解了校園網(wǎng)防火墻的基本設(shè)計思路以及具體的設(shè)計。實際上,Linux防火墻不但可以為校園網(wǎng)的出口安全提供保障,還可以利用Linux豐富的軟件資源,來實現(xiàn)優(yōu)化出口帶寬,日志管理等功能。

參考文獻(xiàn):

[1] Carasik-Henmi A.防火墻核心技術(shù)精解[M].李華飚,柳振良,王恒,等,譯.北京:中國水利水電出版社,2005.

[2] 李蔚澤.Red Hat Linux 9網(wǎng)絡(luò)管理[M].北京:清華大學(xué)出版社,2004.

[3] Kochan S G,Wood P.UNIX SHELL編程[M].3版.袁科萍,岑崗,譯.北京:中國鐵道出版社,2004.

[4] Bwllovin C.防火墻與因特網(wǎng)安全[M].戴宗坤,羅萬伯,譯.北京:機械工業(yè)出版社,2000.

[5] 吳進.基于2.4以上版本內(nèi)核的Linux防火墻技術(shù)研究[J].西安郵電學(xué)院學(xué)報,2008(3).

[6] 鄭超,高學(xué)全,張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程,2008(11).

[7] 馬永紅,駱小紅.基于Linux系統(tǒng)實現(xiàn)校園網(wǎng)多出口策略路由的研究與應(yīng)用[J].科技信息,2008(10).

第6篇：防火墻的核心技術(shù)范文

等級考試中存在的安全隱患

隨著網(wǎng)絡(luò)時代的到來，資源共享日益加強，但是網(wǎng)絡(luò)的安全問題也越來越突出，具體表現(xiàn)為：入侵用戶計算機系統(tǒng)、竊取用戶信息、修改用戶數(shù)據(jù)、控制用戶電腦等。分析認(rèn)為，利用計算機網(wǎng)絡(luò)考試所面臨的安全威脅主要是服務(wù)封鎖攻擊。指一個用戶占有大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶再提供服務(wù)的一種攻擊方式。

服務(wù)封鎖攻擊的結(jié)果是降低系統(tǒng)資源的可用性，這些資源可以是CPU時間、磁盤空間、MODEM、打印機，甚至是系統(tǒng)管理員的時間。攻擊的方法包括通過網(wǎng)絡(luò)監(jiān)聽軟件獲取用戶的賬號和密碼；常用的攻擊工具有掃描器、口令攻擊器、特洛伊木馬、網(wǎng)絡(luò)嗅探器等。黑客常用的攻擊技術(shù)主要有緩沖區(qū)溢出攻擊、IP欺騙攻擊、Web欺騙攻擊、電子郵件攻擊、拒絕服務(wù)攻擊等技術(shù)，突破防火墻等等，攻擊的步驟分為：第一步：尋找可入侵目標(biāo)主機并分析目標(biāo)主機；第二步：入侵有安全漏洞的主機并獲取賬號和密碼，登錄主機；第三步：得到超級用戶權(quán)限，控制主機；第四步：隱藏自己。嚴(yán)重時會使系統(tǒng)關(guān)機、網(wǎng)絡(luò)癱瘓。

對全國計算機等級考試上機考試構(gòu)成安全威脅可以分為以下幾種類型：黑客入侵、來自內(nèi)部的攻擊、計算機病毒的侵入、優(yōu)盤的使用和修改網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)等，這些都可能對考試的順利進行造成威脅。

網(wǎng)絡(luò)考試安全策略分析

網(wǎng)絡(luò)安全威脅的表現(xiàn)形式自然災(zāi)害、意外事故。計算機犯罪。人為行為，例如使用不當(dāng)，安全意識差等。“黑客”行為，由于黑客的入侵或侵?jǐn)_，內(nèi)部泄密、外部泄密、信息丟失、電子諜報，例如信息流量分析、信息竊取、信息戰(zhàn)、網(wǎng)絡(luò)協(xié)議中的缺陷等。

1.防火墻技術(shù)

防火墻是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道。防火墻本身具有較強的抗攻擊能力，是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的各種活動，保證內(nèi)部網(wǎng)絡(luò)的安全。按使用的核心技術(shù)，可將防火墻分為包過濾防火墻（根據(jù)流經(jīng)防火墻的數(shù)據(jù)包頭信息，決定是否允許該數(shù)據(jù)包通過）、狀態(tài)檢測防火墻、應(yīng)用防火墻、復(fù)合型防火墻等四種。

2.數(shù)據(jù)加密、授權(quán)訪問控制技術(shù)

用戶授權(quán)訪問控制具體在等級考試中的應(yīng)用為：考生的考試機的操作系統(tǒng)是WindowsXP，它必須是這臺考試機的用戶，并且它必須是屬于這臺考試機的Administrators組的成員，這樣這臺考試機就可以以這個用戶登錄進行考試。為保證考試機使用空白密碼可以訪問服務(wù)器，需要在服務(wù)器上進行必要設(shè)置。運行g(shù)pedit.msc，依次展開“計算機配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項”，將“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄。”一項禁用即可。NCRE考試使用的是Windows操作系統(tǒng)，在考試前進行用戶名登錄注冊，設(shè)置登錄密碼；設(shè)置目錄和文件訪問權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設(shè)置用戶級訪問控制。

3.物理防范技術(shù)

為了確保考試的順利進行，在準(zhǔn)備考場的時候，也可以將局域網(wǎng)與外網(wǎng)斷開，這樣可以防范外網(wǎng)攻擊。為了防范考生在考試的時候利用優(yōu)盤作弊，可以在CMOS中禁用USB接口。

4.采用的具體措施

身份驗證訪問授權(quán)（Authorization），實時侵入檢測技術(shù)、網(wǎng)絡(luò)分段、選擇集線器、VLAN技術(shù)、VPN技術(shù)、防火墻技術(shù)。

5.考試組織者的安全意識

作為考試的組織者，考試系統(tǒng)管理員與教務(wù)人員要運用一切可以使用的工具和技術(shù)，盡一切可能去控制各種作弊的行為，才能把不安全的因素降到最低。用備份和鏡像技術(shù)提高數(shù)據(jù)可靠性，創(chuàng)建安全的網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)加密、防治病毒、安裝補丁程序、細(xì)閱讀日志、提防虛假的安全、構(gòu)筑防火墻等。網(wǎng)絡(luò)系統(tǒng)的安全措施應(yīng)實現(xiàn)如下目標(biāo)：對存取的控制；保持系統(tǒng)和數(shù)據(jù)的完整；能夠?qū)ο到y(tǒng)進行恢復(fù)和對數(shù)據(jù)進行備份。

第7篇：防火墻的核心技術(shù)范文

關(guān)鍵詞：計算機；網(wǎng)絡(luò)信息安全；防火墻技術(shù)

1影響計算機網(wǎng)絡(luò)信息安全的相關(guān)因素

在計算機網(wǎng)絡(luò)的運行中，會受到自然因素的影響，計算機的信息存儲主要依靠外部設(shè)備，但是計算機本身具有局限性，外部設(shè)備會遭到破壞，尤其是火災(zāi)、水災(zāi)等一些自然災(zāi)害，都會損壞計算機外部設(shè)備。由于外部環(huán)境的影響，計算機網(wǎng)絡(luò)中的部分信息可能會丟失，影響用戶的使用，造成網(wǎng)絡(luò)信息安全問題。互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，將全世界的人聯(lián)系到一起，但是也造成了信息安全問題。不法分子更容易通過互聯(lián)網(wǎng)竊取數(shù)據(jù)信息，給用戶造成不可估量的損失。在一般安全的模式下，互聯(lián)網(wǎng)的TCP/IP協(xié)議環(huán)境防護能力比較薄弱，安全等級比較低。在計算機網(wǎng)絡(luò)信息安全中，黑客入侵是一個重大的問題，也是嚴(yán)重的威脅。黑客的行動有兩種，一種是主動性攻擊，攻擊具有目的性和計劃性，通過網(wǎng)絡(luò)攻擊獲得數(shù)據(jù)和信息。主動性攻擊很容易被直接發(fā)現(xiàn)。黑客也會發(fā)起被動性攻擊，如將惡意軟件或者病毒放在隱藏的文件中，秘密竊取數(shù)據(jù)和信息。黑客攻擊嚴(yán)重威脅網(wǎng)絡(luò)信息安全，往往給用戶造成重大損失。計算機網(wǎng)絡(luò)系統(tǒng)的管理漏洞，也會影響信息安全。

2新時期的計算機網(wǎng)絡(luò)信息安全技術(shù)

2.1防火墻技術(shù)

作為目前計算機網(wǎng)絡(luò)信息安全普遍使用的技術(shù)之一，防火墻技術(shù)的應(yīng)用將計算機內(nèi)部網(wǎng)絡(luò)與計算機外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）進行了有效隔離，其組成不僅包括各類型硬件設(shè)施，還包括相關(guān)的軟件。防火墻被視作計算機網(wǎng)絡(luò)信息安全的基礎(chǔ)保障，它能夠?qū)崿F(xiàn)對內(nèi)、外網(wǎng)信息交流過程中的信息篩選、檢查，具有一定的過濾功能，并且，計算機防火墻還能夠?qū)崿F(xiàn)風(fēng)險預(yù)警功能，為計算機用戶在使用互聯(lián)網(wǎng)的過程中提供參考。基于防火墻技術(shù)的發(fā)展，在實際使用中，除人為設(shè)定防火墻防御等級的方式外，還可以進行防火墻防御等級的自動調(diào)整，防火墻軟件可以根據(jù)互聯(lián)網(wǎng)環(huán)境風(fēng)險評估的結(jié)果適時調(diào)整防火墻防御等級，從而避免防火墻防御等級過高影響正常的信息交流。

2.2網(wǎng)絡(luò)信息加密技術(shù)

基于互聯(lián)網(wǎng)的開放性，信息在互聯(lián)網(wǎng)上的傳播極易受到不法分子的偵聽，因此，為確保信息在互聯(lián)網(wǎng)上傳播的可靠性，則需要對信息進行加密。近年來，網(wǎng)絡(luò)信息加密技術(shù)在計算機網(wǎng)絡(luò)信息安全領(lǐng)域的應(yīng)用收到了很好的效果，網(wǎng)絡(luò)信息加密技術(shù)是當(dāng)前信息安全的核心技術(shù)，在軟件算法的實現(xiàn)上更加科學(xué)、完善，除滿足一般用戶需求以外，還能夠在一定程度上滿足企業(yè)對信息加密存儲的需要。所謂網(wǎng)絡(luò)信息加密，是指利用一定的算法，對明文信息進行轉(zhuǎn)碼，成為正常不可讀（或是亂碼）的密文，在互聯(lián)網(wǎng)的傳輸過程中，即便被不法分子破解，也無法進行逆向解碼，從而保證了信息的安全。對于信息接受一方來說，可以通過專用的解密軟件進行讀取，從而獲得正確的信息內(nèi)容。因此，在無法知悉計算機網(wǎng)絡(luò)信息加密算法的前提下，即便采取窮舉法進行破解，也需要較長的時間，隨著時間的推移，信息的價值也將逐漸降低。因此，網(wǎng)絡(luò)信息加密技術(shù)在現(xiàn)實生活中的使用范圍較廣，尤其是對信息安全要求較高的金融、郵政、軍事等領(lǐng)域，信息加密算法則更加復(fù)雜。

2.3反病毒技術(shù)

計算機病毒的出現(xiàn)，使計算機網(wǎng)絡(luò)環(huán)境安全指數(shù)大幅度下降，尤其是近幾年，計算機病毒的類型較以往明顯增加，且病毒的破壞性也有所增強。以剛剛過去的“勒索病毒”為例，在短短的4個月的時間里，造成超過370億元的巨大經(jīng)濟損失，我國計算機用戶也未能幸免。為應(yīng)對計算機病毒的破壞，研究人員對反病毒技術(shù)進行了長期探索，目前，反病毒技術(shù)主要分為被動與主動兩種形式。所謂被動反病毒技術(shù)，是指在計算機病毒出現(xiàn)之后，根據(jù)其作用機理進行研究，通過更新病毒庫的方式，達(dá)到病毒防御的效果。所謂主動病毒防御，是指利用動態(tài)化的病毒防御技術(shù)，針對計算機病毒的普遍特點，采取的一種具有智能化特征的技術(shù)手段，如計算機流量監(jiān)測技術(shù)。無論何種病毒防御技術(shù)手段，都能夠在一定程度上實現(xiàn)計算機網(wǎng)絡(luò)環(huán)境安全指數(shù)的提高，并且，通過多種反病毒技術(shù)手段的綜合應(yīng)用，病毒對計算機網(wǎng)絡(luò)信息造成的破壞也將大大降低。

3新環(huán)境下計算機網(wǎng)絡(luò)信息安全的防護措施

3.1合理利用防火墻技術(shù)和安全系統(tǒng)

在計算機網(wǎng)絡(luò)應(yīng)用中，對于電腦病毒、惡意軟件，通常采用防火墻技術(shù)，或者網(wǎng)絡(luò)安全系統(tǒng)可以防范。防火墻自身有信息隔離功能，隔離內(nèi)部網(wǎng)和外部網(wǎng)，對外部信息進行安全識別，定期檢查篩選內(nèi)部文件存檔，防止病毒入侵。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的類型，以及惡意軟件也越來越多，嚴(yán)重威脅計算機網(wǎng)絡(luò)信息安全。負(fù)責(zé)設(shè)計利用防火墻的技術(shù)人員，要對各種病毒的特征有詳細(xì)的了解，并設(shè)計具有針對性的安全系統(tǒng)，保護信息安全。

3.2提高網(wǎng)絡(luò)信息安全防范意識

計算機網(wǎng)絡(luò)使用者要提高信息安全防范意識，尤其是黑客防范意識，黑客入侵往往造成的損失比較大。企業(yè)或者單位要建立黑客攻擊防范體制，完善防范系統(tǒng)，及時識別和防范黑客攻擊，利用防火墻阻斷內(nèi)外網(wǎng)的聯(lián)系。重要信息要充分利用加密技術(shù)。在網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)平臺中，通常安全級別是C1級，或者是C2級，容易被惡意篡改或攻擊，在信息傳遞的過程中，安全性很低。因此要對網(wǎng)絡(luò)數(shù)據(jù)庫進行加密管理，設(shè)定訪問權(quán)限。對相關(guān)軟件也要進行加密，避免感染計算機病毒。要提前檢查加密數(shù)據(jù)文件，對殺毒軟件也進行加密處理，如果出現(xiàn)問題，及時處理。

結(jié)束語

總之，隨著計算機網(wǎng)絡(luò)的不斷進步，計算機網(wǎng)絡(luò)信息安全防護技術(shù)也要不斷提高，及時解決各種網(wǎng)絡(luò)系統(tǒng)的安全問題。防火墻技術(shù)是安全使用網(wǎng)絡(luò)的重要屏障，在新環(huán)境下，要不斷更新和完善，滿足用戶的安全需求，保證計算機網(wǎng)絡(luò)信息安全。

參考文獻(xiàn) 

[1] 楊海瀾.關(guān)于計算機防火墻安全屏障安全可靠網(wǎng)絡(luò)防范途徑思考 [J].電腦知識與技術(shù)，2016，12（2）：53-54. 

第8篇：防火墻的核心技術(shù)范文

一、主動式網(wǎng)絡(luò)安全聯(lián)動機制

傳統(tǒng)的網(wǎng)絡(luò)防護技術(shù)及產(chǎn)品在保障網(wǎng)絡(luò)安全時發(fā)揮著各自的作用，但網(wǎng)絡(luò)安全不是孤立問題，依靠任何一款單一的產(chǎn)品無法實現(xiàn)，只有將不同廠商、不同功能的產(chǎn)品統(tǒng)一管理，使它們聯(lián)動運轉(zhuǎn)、協(xié)同工作，才能充分發(fā)揮整體最佳性能，全方位保障網(wǎng)絡(luò)安全。

1.聯(lián)動概念聯(lián)動指在一個系統(tǒng)的各個成員之間建立一種關(guān)聯(lián)和互動機制，通過這種機制，各個成員自由交換各種信息，相互作用和影響。在主動式網(wǎng)絡(luò)安全防御體系中，聯(lián)動是一種新型的網(wǎng)絡(luò)防護策略。通過聯(lián)動策略，防火墻、入侵檢測系統(tǒng)、反病毒系統(tǒng)、日志處理系統(tǒng)等安全技術(shù)和產(chǎn)品在“強強組合，互補互益”的基礎(chǔ)上，充分發(fā)揮單一產(chǎn)品的優(yōu)勢，構(gòu)建最強的防御系統(tǒng)。

2.傳統(tǒng)聯(lián)動模型網(wǎng)絡(luò)安全聯(lián)動機制中較為完善的安全聯(lián)動模型有TopSEC模型、入侵檢測產(chǎn)品、防火墻聯(lián)動模型和基于策略的智能聯(lián)動模型，下面主要介紹基于策略的智能聯(lián)動模型（如圖1所示）。該模型中防火墻、VPN、IDS等安全部件，通過智能進行整合，經(jīng)過部件關(guān)聯(lián)、智能推理傳送給聯(lián)動策略引擎，再根據(jù)事先設(shè)定好的策略進行聯(lián)動，并將最終的策略應(yīng)用到防火墻、VPN、IDS等安全部件中。

3.主動式網(wǎng)絡(luò)安全聯(lián)動模型通過部署誘騙系統(tǒng)，吸引攻擊者，記錄攻擊行為，進而分析新型攻擊的特點。同時，通過聯(lián)動機制，使模型中的各安全部件協(xié)同工作，最終發(fā)揮主動性聯(lián)動優(yōu)點，構(gòu)建一個自適應(yīng)、動態(tài)的主動式防御系統(tǒng)。其中，蜜罐技術(shù)是防御體系內(nèi)各安全部件實現(xiàn)主動式聯(lián)動的核心技術(shù)。（1）蜜罐技術(shù)蜜罐是一種安全概念，美國Project Honeypot研究組的Lance Spitaner將其定義一種安全資源，它的價值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統(tǒng)或應(yīng)用程序，也可以是真實的系統(tǒng)或程序。通過蜜罐技術(shù)建立一個誘騙環(huán)境，吸引攻擊者或入侵者，觀察和記錄攻擊行為并形成日志，分析日志后追蹤、識別入侵者的身份，進而學(xué)習(xí)新的入侵規(guī)則，主動分析新型攻擊特點，不斷加固自身防御能力。（2）蜜罐技術(shù)實現(xiàn)方式如圖2所示，簡單的實現(xiàn)方式是將蜜罐置于防火墻內(nèi)部，通過防火墻與外部網(wǎng)絡(luò)進行連接。蜜罐內(nèi)部主要由網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)收集和日志記錄模塊組成。網(wǎng)絡(luò)服務(wù)模塊將蜜罐偽裝成正常服務(wù)，吸引入侵者對其進行攻擊；數(shù)據(jù)收集模塊主要捕獲入侵者行為信息，用于分析攻擊者所使用的工具、策略以及攻擊目的等；日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件，并記錄到日志服務(wù)器。（3）基于蜜罐技術(shù)的主動式安全聯(lián)動模型將蜜罐技術(shù)融合到傳統(tǒng)安全聯(lián)動模型，改進后形成的新模型，讓蜜罐技術(shù)處于整個系統(tǒng)的核心地位，使整個安全聯(lián)動模型由被動狀態(tài)轉(zhuǎn)變?yōu)橹鲃訝顟B(tài)，利用蜜罐技術(shù)在整個系統(tǒng)中的自學(xué)習(xí)、自進化的特點，克服傳統(tǒng)安全聯(lián)動模型無法主動捕獲網(wǎng)絡(luò)攻擊行為、對未知攻擊防御能力不足的問題。基于蜜罐技術(shù)的主動式安全聯(lián)動模型（如圖3所示）由防火墻、蜜罐系統(tǒng)、防病毒系統(tǒng)、IDS、策略庫和聯(lián)動系統(tǒng)控制中心組成。該模型通過蜜罐誘騙系統(tǒng)不斷學(xué)習(xí)新的攻擊手段，將處理后形成的新規(guī)則及策略上傳至模型策略庫，通過聯(lián)動系統(tǒng)控制中心實現(xiàn)防火墻、IDS、反病毒等安全部件協(xié)同聯(lián)動，及時更新防火墻、防病毒策略和IDS的檢查規(guī)則。該模型較好地整合了各種安全防御產(chǎn)品的優(yōu)點，借助于蜜罐技術(shù)“主動誘捕”的特點，提高了安全防御系統(tǒng)對于未知攻擊的捕捉能力。

二、網(wǎng)絡(luò)安全防御技術(shù)在數(shù)據(jù)中心的應(yīng)用與展望

目前，國內(nèi)大型銀行數(shù)據(jù)中心普遍使用的網(wǎng)絡(luò)安全防御技術(shù)是基于網(wǎng)絡(luò)監(jiān)控參數(shù)基線的閾值預(yù)警方法和入侵檢測系統(tǒng)（Intrusion Detection Systems ，IDS）。閾值預(yù)警方法是在基線數(shù)值基礎(chǔ)上給予一定的冗余，計算出該監(jiān)控參數(shù)的閾值數(shù)值，形成閾值線。當(dāng)實際運行的數(shù)值超出閾值線，說明該監(jiān)控參數(shù)運行異常，可以在事件發(fā)生之前提前干預(yù)，阻止事件發(fā)生，保障網(wǎng)絡(luò)服務(wù)連續(xù)性。這種防御技術(shù)支持動態(tài)改進，但出現(xiàn)誤報的幾率比較高。IDS主要通過監(jiān)控網(wǎng)絡(luò)系統(tǒng)的狀態(tài)、行為以及使用情況，檢測系統(tǒng)用戶越權(quán)使用、系統(tǒng)外部入侵等情況。IDS具有一定的智能識別和攻擊功能，在檢測到入侵后能夠及時采取相應(yīng)措施，是一項相對成熟的防御技術(shù)。但I(xiàn)DS主要通過特征庫判斷，面對新型攻擊無法識別，且攻擊識別只能在事中或事后階段進行，本質(zhì)上仍然是被動防護。在入侵技術(shù)越來越成熟的形勢下，采用單一的網(wǎng)絡(luò)安全部件如IDS、防火墻、掃描器、病毒查殺、認(rèn)證等已經(jīng)滿足不了網(wǎng)絡(luò)安全防護的要求，將各種安全部件的功能和優(yōu)點進行融合、實現(xiàn)聯(lián)動互補，進而發(fā)揮最大效力將成為必然趨勢。

第9篇：防火墻的核心技術(shù)范文

論文摘要：在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位。

隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展，互聯(lián)網(wǎng)迅速發(fā)展起來，國家逐步進入到網(wǎng)絡(luò)化、共享化，我國已經(jīng)進入到信息化的新世紀(jì)。在整個互聯(lián)網(wǎng)體系巾，局域網(wǎng)是其巾最重要的部分，公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機構(gòu)網(wǎng)、政府、學(xué)校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實現(xiàn)了信息的傳輸和共享，為用戶方便訪問互聯(lián)網(wǎng)、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴(yán)重威脅。

信息技術(shù)是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論諸多學(xué)科的技術(shù)。信息技術(shù)的應(yīng)用就是確保信息安全，使網(wǎng)絡(luò)信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分，局域網(wǎng)的安全問題也閑此變得更為重要，信息技術(shù)的應(yīng)用必不可少。

1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因

1．1網(wǎng)絡(luò)安全的概念

計算機網(wǎng)絡(luò)安全是指保護計算機、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統(tǒng)能連續(xù)和可靠地運行，使網(wǎng)絡(luò)服務(wù)不巾斷。從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽、重傳、偽造、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁／射頻截獲、人員疏忽。

網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)、應(yīng)用系統(tǒng)以及防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)和完全掃描等。它涉及的領(lǐng)域相當(dāng)廣泛，這是因為目前的各種通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全歸納起來就是信息的存儲安全和傳輸安全。

1．2網(wǎng)絡(luò)安全產(chǎn)生的原因

1．2．1操作系統(tǒng)存在安全漏洞

任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設(shè)計者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患，網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對網(wǎng)絡(luò)實施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞，通過一些攻擊程序?qū)W(wǎng)絡(luò)進行惡意攻擊，嚴(yán)重時造成網(wǎng)絡(luò)的癱瘓、系統(tǒng)的拒絕服務(wù)、信息的被竊取或篡改等。

1．2．2 TCP／lP協(xié)議的脆弱性

當(dāng)前特網(wǎng)部是基于TCP／IP協(xié)議，但是陔?yún)f(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。且，南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾，如果人們對TCP／IP很熟悉，就可以利川它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

1．2．3網(wǎng)絡(luò)的開放性和廣域性設(shè)計

網(wǎng)絡(luò)的開放性和廣域性設(shè)計加大了信息的保密難度．這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問題。互聯(lián)網(wǎng)的全開放性使網(wǎng)絡(luò)可能面臨來自物理傳輸線路或者對網(wǎng)絡(luò)通信協(xié)議以及對軟件和硬件實施的攻擊；互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個角落利州互聯(lián)網(wǎng)上的任何一個機器對網(wǎng)絡(luò)發(fā)起攻擊提供機會，這也使得網(wǎng)絡(luò)信息保護更加難。

1．2．4計算機病毒的存在

計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數(shù)據(jù)，嚴(yán)重影響汁算機軟件、硬件的正常運行，并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快，給全球地嗣的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難。

1．2．5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

特網(wǎng)是一個南無數(shù)個局域網(wǎng)連成的大網(wǎng)絡(luò)，它是一種網(wǎng)問網(wǎng)技術(shù)。當(dāng)l主機與另一局域網(wǎng)的主機進行通信時，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，這樣攻擊者只要利用l臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機就有可能劫持用戶的數(shù)據(jù)包。

2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用

2．1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景

信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護后進入網(wǎng)絡(luò)信息安全研究階段，當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù)，如：防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡(luò)安全是一個綜合、交叉的學(xué)科，應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究，使各部分相互協(xié)同，共同維護網(wǎng)絡(luò)安全。

國外的信息安全研究起步較早，早在20世紀(jì)70年代美國就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上，提出了“可信計箅機系統(tǒng)安全評估準(zhǔn)則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋，彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，處于發(fā)展提高階段，仍存在局限性和漏洞。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。自從美國學(xué)者于1976年提出了公開密鑰密碼體制后，成為當(dāng)前研究的熱點，克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴，同時解決了數(shù)字簽名問題。另外南于計箅機運算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升，各種安全技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)。

2．2信息技術(shù)的應(yīng)用

2．2．1網(wǎng)絡(luò)防病毒軟件

存網(wǎng)絡(luò)環(huán)境下，病毒的傳播擴散越來越快，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對局域網(wǎng)的渚多特性，應(yīng)該有一個基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連，則川到網(wǎng)大防病毒軟件來加強上網(wǎng)計算機的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進行信息交換．則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件，用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)巾所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置，定期或不定期地動升級，保護局域網(wǎng)免受病毒的侵襲。

2．2．2防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)；上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾，尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型。防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻能檄大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，通過過濾不安全的服務(wù)而降低風(fēng)險。南于只有經(jīng)過精心選擇的應(yīng)州協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認(rèn)證、審計等配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。

防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問非常有效的一種實施訪問控制的手段，邏輯上處于內(nèi)外部網(wǎng)之問，確保內(nèi)部網(wǎng)絡(luò)正常安全運行的一組軟硬件的有機組合，川來提供存取控制和保密服務(wù)。存引人防火墻之后，局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進行，某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來設(shè)置防火墻，確定什么類型的信息可以通過防火墻。可見防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略，對通過外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進行檢企，符合安全策略的予以放行，不符合的不予通過。

防火墻是一種有效的安全工具，它對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是它仍有身的缺陷，對于內(nèi)部網(wǎng)絡(luò)之問的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺和防范，對于內(nèi)部網(wǎng)絡(luò)之間的訪問和侵害，防火墻則得無能為力。

2．2．3漏洞掃描技術(shù)

漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點，解決網(wǎng)絡(luò)層安全問題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估得很不現(xiàn)實。要解決這一問題，必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評估并提…修改建議的網(wǎng)絡(luò)安全掃描工具，利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網(wǎng)絡(luò)安全程度要水不高的情況下，可以利用各種黑客工具對網(wǎng)絡(luò)實施模擬攻擊，暴露出：網(wǎng)絡(luò)的漏洞，冉通過相關(guān)技術(shù)進行改善。

2．2．4密碼技術(shù)

密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過程巾也不會對所經(jīng)過網(wǎng)絡(luò)路徑的安全程度做出要求，真正實現(xiàn)了網(wǎng)絡(luò)通信過程端到端的安全保障。非對稱密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)。

信息加密技術(shù)的功能主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密的方法有3種，一是網(wǎng)絡(luò)鏈路加密方法：目的是保護網(wǎng)絡(luò)系統(tǒng)節(jié)點之間的鏈路信息安全；二是網(wǎng)絡(luò)端點加密方法：目的是保護網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全；二是網(wǎng)絡(luò)節(jié)點加密方法：目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據(jù)實際要求采川不同的加密技術(shù)。

2．2．5入侵檢測技術(shù)。

入侵檢測系統(tǒng)對計算機和網(wǎng)絡(luò)資源上的惡意使川行為進行識別和響應(yīng)。入侵檢測技術(shù)同時監(jiān)測來自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動，并且對網(wǎng)絡(luò)入侵事件及其過程做fIj實時響應(yīng)，是維護網(wǎng)絡(luò)動態(tài)安全的核心技術(shù)。入侵檢測技術(shù)根據(jù)不同的分類標(biāo)準(zhǔn)分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測，運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助，并對即將發(fā)生的入侵產(chǎn)生警戒作用