前言:中文期刊網精心挑選了防火墻技術的研究范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
防火墻技術的研究范文1
關鍵詞:防火墻 深度檢測 研究分析
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)04-0000-00
傳統的防火墻主要在訪問控制列表為基礎進行過濾的,它有專門的內部網絡入口,也被人稱作“邊界防火墻”。在近幾年來防火墻技術的地位越來越重要,其最新改進的技術――深度包檢測技術,是可以看到傳統防火墻的入侵檢測與阻止的整合,也是解決傳統防火墻所遇到問題的新技術,在防火墻發展過程中具有重要的作用。
1 防火墻技術發展歷程
1.1 包過濾防火墻
第一代防護墻包過濾是沒有相關狀態的概念,管理工作人員只需要通過過濾就可以允許或是禁止訪問控制列表中的選項。包過濾防火墻在發展中其安全屬性具有一定的缺陷,應用層的信息是系統沒有辦法獲取的,防火墻沒有辦法理解通信的內容是非常容易被黑客攻擊的。正是因為這個原因,人們更多的人們包過濾防火墻技術不夠安全,在發展中慢慢被狀態檢測防火墻技術取代了。
2.2 狀態檢測防火墻
相對于包過濾防火墻技術來說,狀態防火墻技術在性能、擴展等方面的表現出來的優勢使其很快就成為防火墻技術的佼佼者。在上個世紀九十年代推出第一臺商用的狀態檢測防火墻產品,隨后得到快速的發展。狀態檢測防火墻主要是在網絡層工作,對包過濾防火墻比較看,它所做出的決策是在會話信息基礎上而不是包的信息。狀態檢測防火墻在驗證數據包時候會先判定這個數據是否符合當前的會話,同時還可以在狀態中保存這些信息。狀態檢測防火墻技術對異常的TCP網絡層的攻擊有著一定的阻止作用。有些網絡設備是可以將數據包分解成更小的數據幀。該種防火墻技術在一定的時間內是人們使用最廣泛的技術,用來保護計算機網絡不受到黑客的攻擊,但是專門對應用層網絡攻擊的現象越來越多時候,狀態檢測防火墻技術的有效性也在不斷的下降。由于狀態防火墻在設計的時候并沒有專門的根據Web應用程序的攻擊進行設計,這樣深度包檢測防火墻技術應用而生。
2.3 深度包檢測防火墻
深度包檢測防火墻技術可以更好的處理應用程序上的流量問題,可以很好的防范目標系統受到各種復雜的攻擊,將狀態檢測的優勢很好的結合起來。它可以對數據流量進行分析同時還可以做出訪問的控制判決,根據允許的數據流量對負載做出相關的決策。
3 深度包檢測技術特點
隨著科技的發展,深度包檢測技術在不斷的更新換代中進而實現深度包檢測的功能。深度包檢測防火墻技術在一定的程度上融合了包過濾與狀態檢測防火墻技術的功能,主要具有以下4個功能特征。
3.1 應用層加密與解密
SSL通常被運用在Web瀏覽器與服務器之間認證身份的加密數據傳輸,進而確保數據的安全性。該種技術在運用的時候對防火墻也就提出了更高的要求――要對數據的加密與解密進行處理。若是不能夠對SSL加密的數據進行解密的話嗎,那么防火墻就沒有辦法對負載的信息進行相關的分析,更沒有辦法判斷出數據中是否具有相關應用層的攻擊信息,同時沒有辦法體現出深度包檢測的優勢。SSL的加密性能非常高,當前很多企業使用來保證應用程序數據的安全,若是深度包檢測技術沒有辦法對企業中的關鍵應用程序提高安全性能的化,那么也就是說整個深度包檢測失去它的意義。
3.2 正常化技術
為了可以很好的防范應用層的攻擊通常情況下主要是依賴字符串的匹配,但是不正常的匹配在很大的程度上會造成安全漏洞。例如,為了能知道某種請求是否可以啟用,防火墻的請求就會與安全策略來匹配,只有匹配成功了,防火墻才會采用安全策略。在解決字符匹配的時候是需要利用正常化技術的,只有深度包檢測才具備這樣的功能,可以識別與阻止大量的危險攻擊。
3.3 協議一致性
應用層協議一致性通常在應用程序中會用到,協議都是由RFC進行規范建設的。因為深度包檢測是在應用層中進行狀態檢測的,因而就必須要明確應用層中的數據是否與這些協議一致,這樣才會防止隱藏的攻擊。
3.4 雙向負載檢測
與包過濾檢測、狀態檢測來說,深度包檢測具有很強大的功能,它是可以允許與拒絕數據包的通過,通常主要是檢查與修改四到七層的數據包,主要有包頭、負載。深度檢測防火墻是可以自動的進行匹配,這樣能正確檢測出服務質量如何。若是請求不匹配那么深度包檢測就會自動將其丟掉,同時將其寫入到日志中,也會向管理員發出警告。另外,深度包檢測技術是可以進行修改URL,這一點是與應用層的NAT相似。在復雜的網絡環境中,為了可以提供全面的防護,進行深度包檢測是一定的。深度包檢測技術還在不斷的發展中,但其基本具有以上的特點。最近幾年里,隨著編程ASIC技術發展與有效的規則算法出現使得深度包檢測引擎的執行能力加強,應用深度檢測技術越來越受到好評,很多防火墻的供應商都在不斷的增加對防火墻產品中應用數據進行分析。
4 結語
雖然深度包檢測技術受到越來越多好評,但是其也具有相當多的缺點。當前的深度包檢測產品通常都是一體化的安全設備,這樣就會由于單個安全組件的癱瘓而引起整個網絡處于安全漏洞的狀態下。同時將更多的功能集中在一起,也就越可能的限制單個產品供應商,這樣在一定的程度上就會使我們喪失了靈活性。網絡安全問題正在處于復雜的境地,有著各種各樣的傳統防火墻與入侵技術,因而當深度包檢測的融合能否降低復雜性,還是需要不斷的發展觀察。
參考文獻
[1] 劉坤燦.防火墻深度包檢測技術的研究與實現[D].北京郵電大學,2013(01).
[2] 蘆志朋.深度包檢測主機防火墻的研究與實現[D].電子科技大學,2010(03).
[3] 艾鑫.眾核環境下深度包檢測系統的設計與優化[D].哈爾濱工業大學,2013(06).
防火墻技術的研究范文2
關鍵字:防火墻;網絡安全;內部網絡;外部網絡。
一、概述
隨著計算機網絡的廣泛應用,全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。
其實防火墻就好像在古老的中世紀安全防務的一個現代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛可以檢查每一個來往的行人。對于網絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。
防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網絡間不受歡迎的信息交換,而允許那些可接受的通信。
二、防火墻技術
網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性:
1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;
2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術,比如現代密碼技術等;
5、人機界面良好,用戶配置使用方便,易管理。
實現防火墻的主要技術有:分組篩選器,應用網關和服務等。
(1)分組篩選器技術
分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發,不能通過檢查的就被丟棄。
通常,分組篩選器由系統管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。
擁塞外出分組更有技巧性,因為雖然大多數節點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協議),其端口號是動態分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。
(2)應用網關技術
應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。
有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶(3)服務
服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。
具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。
在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網
三、防火墻技術展望
伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。
4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。
5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。
另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。
參考文獻:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
防火墻技術的研究范文3
【關鍵詞】防火墻技術;電力系統;信息安全
隨著全球信息化的同步,我國電力系統自動化平水也是日益增高,如果電力系統的信息安全出現了問題,則會影響人民群眾的正常生活及電力系統的安全性。飛速發展的電力系統自動化給人們帶來了很大的方便,但是同時也伴隨著一系列的安全隱患,網絡安全問題就是其中之一,而且越來越嚴重,每年因網絡問題都會帶來一些損失,所以網絡安全技術應該得到相應的重視。
1 防火墻技術的概念
在英文中的防火墻是Firewall,意思就是用一道墻把安全隱患阻擋在網絡安全系統之外,通過一系列硬件設備和相配套的軟件設備科學的部署,使其共同組建成一套用于網絡安全的防御系統,這是一個必經的網絡入口,用于隔斷外部可能存在的網絡安全隱患。在電力系統中,防火墻技術是依據電力系統的安全策略,并有效的為系統信息提供安全保障服務,防火墻技術是計算機網絡的首要關卡,是實現電力系統信息全安必備的基礎設施。
隨著網絡技術全面發展和其應用的不斷擴大,防火墻技術已不僅僅是負責網絡安全的信息認證與傳輸。還能為網絡安全應用提供相應的安全服務,如當電力系統內網因一些原因必須更換ISP時,就可以省去重新編號的麻煩等等,所以說防火墻技術在電力系統信息安全中的研究是很有必要的。
2 防火墻的主要功能
2.1 強化網絡安全
電力系統可以通過防火墻將一些安全措施配置其中,如口令、密碼等,防火墻的集中安全管理與將網絡安全問題分散到主機上相比,防火墻更經濟適用。
2.2 過濾數據包
數據包的過濾是指數據包從一個網絡向另一個網絡傳送信息的過程中,經過已設定的符合自身安全特點的規則對傳輸的數據包進行檢測,接收安全的數據信息,拒絕帶有危險網站傳送的數據信息,這也是防火墻最基本的功能之一。
2.3 可以防止內部保密信息外漏
內部網絡可以通過防火墻來劃分,隔離內部網中的重點網段,限制內部網中需保密的信息在內部網中流通,可以保障內部網絡中比較敏感的數據的安全,還可以隔斷內部網中的DNS信息,從而防止了內部網中保密的或者比較敏感的信息泄露。
2.4 轉換網絡地址
網絡地址轉換有兩大優點,一方面可以隱藏內部網絡的真實IP地址,防止黑客直接攻擊內部網絡,另一方面內部網可以使用私有的IP網段,從而解決IP地址不足的情況。
2.5 可提供日志記錄
因為防火墻的自身特點,網絡的存取和訪問都必須經過其認證。所以防火墻就保存了較為完整的日志記錄,而且還能提供網絡使用情況的統計數據。
這些所概括的特點證明了其在各各領域中為解決網絡安全問題方面的地位及使用情況,當然,電力系統也是不可或缺的。
3 防火墻技術在電力系統信息安全中的應用
目前防火墻的基本技術類型包括包過濾、網絡地址轉化—NAT、應用和狀態檢測,根據電力系統的特點仔細研究并將適合的技術適當的應用,定會大大提高電力系統的信息安全可靠性。
3.1 包過濾技術
包過濾技術是防火墻技術的初級類型,通常情況下由路由器完成,其依靠自身的數據安全保護機制來有選擇的控制流出和流入網絡的數據。包過濾技術是出現最早的防火墻技術。其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以包為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如IP源地址、IP目標地址、封裝協議類型等等。防火墻通過數據包中的信息來判斷這些信息的來源是否可靠,如發現有來自危險網站的數據信息,防火墻就會自動的丟棄。因為其處于網絡的最基礎,對用戶是透明的,如在電力系統中,管理員是可見的,管理員可根據電力系統的實際情況制定特有的評判原則,所以可以說包過濾防火墻技術是最快的防火墻
3.2 網絡地址轉化技術
網絡地址轉換是一種用于把內部IP地址轉換成臨時的、注冊的外部IP地址。網絡地址轉換允許具有私有IP地址的內部網絡通過地址轉換訪問因特網,用戶不許要為其網絡中每一臺機器取得注冊的IP地址。全網卡訪問外部網絡時,將產生一個映射記錄,系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。使得有限的外網IP就能滿足內網用戶對外網的訪問,同時還能夠避免受到來自外部其他網絡的非授權訪問或惡意攻擊。緩解了地址空間的短缺問題,節省了資源,降低了成本。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。
3.3應用技術
型防火墻具有安全性高的優點,應用是內部網與外部網的有效隔離點,能起到監視和隔絕的作用。應用只允許內部主機使用服務器訪問Internet主機,不允許外部主機連接到內部的網絡,服務防火墻可以設置成允許內部網的任何連接,也可以設置成需要用戶認定才可以連接,這樣就為網絡安全提供了相對較高的可靠保證,因為無論內網還是外網的連接都需要服務器的轉換,所以可以保證內網的安全。在實際的應用中,應用的功能都是由服務器來完成的。
3.4狀態檢測技術
目前狀態檢測防火墻技術在防火墻系統中已經得到了廣泛的應用。狀態檢測防火墻是新一代的防火墻技術,又可以叫做動態包過濾防火墻,由Check Point公司引入。是在傳統的包過濾技術的基礎上進行的進一步擴展,傳統的包過濾防火墻技術是只能檢測單個的數據包,而且是靜態下的,不能將前后信息相聯系,并根據信息動態生成過濾規則。而狀態檢測防火墻監視每一個有效連接的狀態,并根據信息決定該連接是否接受或者將之拒絕。通過狀態檢測技術,動態地維護各個連接的協議狀態,提高了系統信息的安全性,并且還能做到一定的擴展性,狀態檢測在包過濾的同時,檢查數據包之間的關聯性和數據包中的動態變化。
當然防火墻也不是萬能的,在內部人員濫用被給予的訪問權利的情況下,防火墻是不能防止內部攻擊的,防火墻只提供了邊緣地帶的基礎防衛作用,而且防火墻只能防止已知的惡意病毒程序,對于新型的病毒及木馬不可能做到全面的封殺,而且安全問題也絕不是單單的來自網絡外部。
4 電力系統信息安全分析
電力系統的信息安全是電力網絡安全運行的并可靠送電的基本保障,是一項涉及多領域非常復雜的龐大系統工程,但是電力系統的信息并沒有建立一個安全的體系,有些買了防、殺毒軟件和防火墻,有的甚至連最基本的防火墻都沒有實施,這樣必然加大了電力系統中網絡方面的許多隱患,所以電力系統工作人員必須加大對網絡安全問題的重視及實施的力度,才能從長遠的方向上有效控制網絡中的問題。
5 結語
隨著電力系統信息自動化水平的不斷提高,網絡技術的應用必定是越來越多,而其中網絡安全問題就愈發的顯得重要,防火墻技術的應用是安全防御手段中的一種非常有效的方法,高性能的防火墻對于提高電力系統信息安全的穩定性起到了至關重要的作用,并且能促進電力信息化水平的提高,電力企業生產效率的提高,最終提高電力企業的市場競爭力,使得電力企業得到健康持續的發展。
參考文獻:
[1]路云.計算機網絡防火墻技術的應用和發展[J].管理觀察,2009(18).
防火墻技術的研究范文4
關鍵詞:職業崗位;項目化;四維一體模式;教材建設
中圖分類號:G642 文獻標識碼:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴隨著網絡安全問題的出現,國家機關單位、行業、企業、事業單位等都在局域網網絡安全建設方面投入了防火墻設備以提高網絡安全性能。高職教育直接為社會經濟發展提供高技能型人才[1],尤其是為地方經濟建設服務。因此網絡安全類專業培養熟悉網絡安全設備方面的人才需求量日益增加。防火墻技術課程是國家高職院校專業標準中計算機網絡技術、信息安全技術專業的核心技術課程,是培養專業核心技能的專業課程[2,3],且開設學校與面向的學生廣泛,課程教材建設尤為重要。王永紅[4,5]等提出理實一體化教材建設思想,采用“五個”對接理念進行優質教材建設。
2 教材建設的依據(The basis of textbook construction )
社會經濟發展區域勢態不同,行業、企業需求不一樣,不同省份、區域的高職院校在專業建設方面的投入各不相同,因此教材建設存在顯著差異。對于實訓環境欠缺的院校,防火墻技術課程注重理論和軟件防火墻的模擬操作。因此目前已經出版發行的主流防火墻技術教材,主要是基于軟件防火墻應用及防火墻工作原理介紹網絡安全策略,重原理輕實踐,尤其是缺乏市場主流硬件防火墻配置與管理方面的實踐內容。對于實訓環境較好的院校,其地方經濟活躍,行業、企業信息化程度高,對硬件防火墻的需求能力旺盛,因此該區域的高職院校防火墻技術課程旨在培養學生對軟、硬件防火墻的操作配置的實踐能力,實現防火墻設備與交換機、路由器等網絡設備的互聯互通,進而達到企業網絡安全系統集成的技能要求,注重行業企業崗位職責需求,同時掌握防火墻技術所需的理論知識,以夠用為原則。
本教材改革傳統防火墻技術內容編排體系,根據《防火墻技術》課程核心技能要求和網絡安全技術崗位技能要求(如圖1所示),依據網絡安全管理與防控過程的工作邏輯選取并組織內容體系。選取技術方法常用、內容實用,結合市場主流防火墻技術應用案例,對企業安全案例進行典型化修改、提升和拓展,嵌入省部級信息安全職業技能大賽賽項內容。按項目設計工作任務,由簡單到復雜,螺旋進階,組織內容體系。由背景需求引導解決問題方法,分析設備選型,規劃網絡拓樸并進行設備配置,最終進行項目測試、撰寫測試分析報告。采用理論(與技能賽點匹配,與實踐操作對應鏈接)+實踐(仿真與實操結合)的框架結構,突出防火墻技術技能訓練。
3 《防火墻技術》教材建設的依據(The basis of textbook construction on firewall technology)
3.1 吻合課程標準,突出網絡安全防控能力訓練
《防火墻技術》為專業課程體系中的專業核心技能訓練模塊課程,課程設置對應網絡安全防控能力訓練,與網絡安全管理員崗位的防火墻技術應用技能匹配。教材緊貼課程標準開發與建設,符合崗位職業技能需求。
3.2 融合行業企業項目及技能大賽內容,動態更新
教材建設既與企業項目工程實戰緊密相關,通過消化吸收企業真實工程項目,對企業真實案例進行典型化修改并融入到教材內容中,通過畢業生網絡安全管理工作實踐反饋,再吸收行業新技術、新案例,保證技術內容覆蓋深度和廣度。另一方面嵌入省部級技能大賽,將省部級大學生技能大賽賽點以任務形式融入教材內容中,通過各個技能點對應的任務提高學生職業技能,更好地參加省部級技能大賽、創新訓練大賽、創業大賽等項目。
3.3 項目載體,基于任務難易進行進階設計
教材內容應用實踐部分,采用項目化方式將企業項目與技能大賽技能點進行消化吸收,按照學生思維“從簡單到復雜”的方式組織項目,開展“任務驅動、賽項融合、防控一體,企業生產實踐一體化”教學模式,將課程逐級遞增項目難度,最后實現網絡安全系統綜合實訓內容。
4 教材開發(The development of textbook)
防火墻技術項目化教程采用四維一體開發模式。(1)采用項目化實戰維度。突出實訓內容,構建信息安全技術專業核心課程教學資源庫建設,按照行業、企業需求,對網絡安全技術職業崗位進行調研并歸納出崗位對應的典型工作任務,開發出防火墻技術課程對應的教學資源及配套教材。(2)采用網絡安全工程生命周期維度。教材開發遵循網絡安全工程生命周期開發,先從基礎網絡配置,在網絡互聯互通基礎上進行防火墻安全設備配置,實現網絡安全策略部署。(3)采用省部級技能大賽維度。嵌入省部級信息安全技術方面的職業技能大賽賽項內容。教材內容涵蓋省部級信息安全技術賽項中防火墻技術技能點、防火墻與網絡互聯設備綜合技能點,以任務形式開展技能點訓練,并定期進行更新,極大的提高了教學效果和教學質量。(4)采用綜合管理技能訓練維度。每個項目里面設立項目綜合實訓,將企業真實項目引入,階段性的引入綜合管理技能。分項目完成后設立綜合實訓項目:網絡安全系統綜合實訓,將防火墻與交換機、路由器等網絡系統進行系統化集成,如圖2所示。
開發的實戰項目如表1所示。
5 結論(Conclusion)
《防火墻技術項目化教程》是信息安全技術專業、計算機網絡技術專業的核心教材,是2014江蘇省現代職業教育技術課題中高職銜接課程資源建設核心成果之一,經過實踐教學應用,教材使用效果好。教材建設是專業內涵建設的一部分,特別是專業核心課程的教材建設,需要綜合考慮企業、行業的需求,人才培養職業能力、實訓環境、省職業技能大賽需求等方面,切實提升專業內涵建設。
參考文獻(References)
[1] 李敏等.高職工學結合特色教材建設的探索與實踐――以機械類專業“基于工作過程系統化”教材開發為例.哈爾濱職業技術學院學報,2015(1):56-57.
[2] 劉靜,楊正校.基于太倉市產業集群的電子商務發展研究.蘇州市職業大學學報,2014(25):31-35.
[3] 楊正校,劉靜.基于產業集群的中小企業移動電子商務研究-以太倉市為例[J].軟件2014,09(35):86-90.
[4] 王詩瑤,王永紅.基于“理實一體化”的《計算機網絡技術》教材建設研究.開封教育學院學報,2015(35):112-113.
[5] 王永紅,王詩瑤.基于五個“對接”的優質教材建設思考與實踐[J].計算機教育,2015(12):94-97.
作者簡介:
防火墻技術的研究范文5
關鍵詞:網絡攻擊 防火墻 嵌入式
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)03-0216-01
信息社會的發展使得網絡應用成為人們日常生活的一部分。計算機網絡突破了傳統空間中的地域限制和時間限制,可以快速準確的幫助人們獲得所需信息和資源,極大的擴展了人們了解現實的渠道。但是隨著計算機網絡的普及和經濟社會的發展,網絡應用給我們帶來了巨大的便利,也為我們帶來了巨大的安全隱患。網絡中的惡意程序以及人為的惡意破壞使得我們必須采取有效的防護措施對自身數據進行保護,防止被非法獲取或泄露。防火墻則是基于網絡的一種信息安全保障技術,是當前時期網絡安全的主要解決方案之一,利用防火墻技術可以有效控制用戶和網絡之間的數據通信,保障數據的安全。
1 防火墻技術發展概述
防火墻技術主要是對內網和外網之間的訪問機制進行控制,但是傳統的依靠拓撲結構進行網絡劃分的防火墻在防止來自網絡內部的攻擊方面的性能不夠完善,無法實現數據的安全防護。為解決該問題,分布式防火墻技術被提出來解決上述問題,該技術將安全策略的執行下放到各主機端,但是在服務端對各主機進行集中管理,統一控制,該技術解決了傳統防火墻技術在網絡結構、內部安全隱患、“單點失效”、過濾規則、端到端加密、旁點登陸等諸多方面的問題,具有較好的網絡防護性能。隨著分布式防火墻技術的提出,人們不斷對其進行改進,這些改進主要集中于兩個方面:硬件和軟件。其中基于硬件的防火墻技術被稱為嵌入式防火墻技術。
2 經典嵌入式防火墻技術研究
較為經典的嵌入式防火墻技術由以下幾種。
2.1 基于OpenBSDUNIX的嵌入式防火墻技術
該技術的實現基礎為在OpenBSDUNIX操作系統,該平臺具有一體化的安全特性和庫,如IPSec棧、KeyNote和SSL等,應用平臺中的組件內核擴展程序可以指定安全通信機制;應用平臺中的用戶層后臺處理程序組件可以對防火墻策略進行執行;設備驅動程序組件用于提供通信接口。
2.2 基于Windows平臺的嵌入式防火墻技術
該技術的主要實現過程為對主機的具體應用和對外服務制定安全策略。其中數據包過濾引擎被嵌入到內核中的鏈路層和網絡層之間,向用戶提供訪問控制、狀態及入侵檢測等防御機制;用戶配置接口用于配置本地安全策略。
本文主要對該平臺的嵌入式防火墻技術進行研究。
3 基于嵌入式協議棧的內容過濾防火墻技術方案
該技術方案將嵌入式協議棧和動態包過濾進行整合,進而替代主機的應用層防火墻接口和系統功能調用,內容過濾和數據處理。其中,嵌入式協議棧主要用于對數據和通信策略進行檢測,動態包過濾主要用于對IP層和TCp層的通信規則進行檢測。
該技術方案的優勢在于數據包過濾和協議內容分析處于系統的同一層次,這就會提高防火墻的防御效果。
3.1 防火墻結構分析
防火墻系統結構分為主要分為兩部分:底層安全策略表和應用層安全策略表。與傳統防火墻技術相比,本文所述基于嵌入式協議棧的防火墻技術在防御策略中添加了應用層的安全策略,其中,網絡協議還原將原有的網絡通信協議進行了還原處理,而應用層協議還原則是對應用層協議進行還原解碼處理,經過兩次還原,數據信息被送入安全檢測模塊進行數據分析。
3.2 工作流程實現
當網絡中的主機進行數據包通信時時,會按照訪問規則對數據包進行安全檢測,查看是否符合訪問規則,若不符合訪問規則,則對該數據包進行丟棄處理,若符合訪問規則,則按照防火墻狀態表對數據包進行二次檢測,該檢測在協議棧部分進行。
對于需要檢測的數據包如HTTP、SMTP、POP3等數據流,其檢測過程為,數據進行IP分片還原、TCP連接還原以及應用層協議還原,還原過程結束后應用層的安全策略會產生一個新的狀態表,該狀態表用于判斷數據包是否安全,若判定數據不安全則對其進行丟棄處理,若判定數據安全則對數據包進行轉發。
對于不需要檢測的數據如多媒體影音數據等,可以直接認定為其在安全層是安全的,可直接進行內容轉發。
進入內容轉發步驟的數據包即可實現數據的通信,整個嵌入式防火墻過程結束。
3.3 性能分析
該嵌入式防火墻技術將數據包過濾所需的狀態表以及通信地址所需的地址表進行了集成,實現了嵌入式協議棧的整合。這種方式具有兩方面好處:一是提高了兩者之間的通信效率,減少了不必要的通信流程,協議棧可以便捷的更新數據包狀態表,數據包狀態表的狀態可以確定數據包是否進行數據檢測;二是集成化處理實現了狀態表和協議棧之間的相對統一,降低了內存空間的使用。
4 結語
本文討論了防火墻技術的應用目標和應用作用,進而就防火墻技術的發展及理論創新進行總結和分析,確定了嵌入式防火墻技術的應用優勢,最后就基于Windows系統平臺的嵌入式協議棧防火墻技術進行分析和闡述。隨著網絡環境的日趨復雜,在進行網絡應用時必須要注意做好安全防護措施,應用嵌入式防火墻技術即可獲得較為理想的安全防護效果。
參考文獻
[1]孟英博,嵌入式防火墻的研究與實現[D].南京航空航天大學,2007(1).
[2]江文,淺議新一代防火墻技術的應用與發展[J].科學之友,2011(12).
防火墻技術的研究范文6
防火墻是設置在被保護網絡和外部網絡之間的一道屏障, 以防止發生不可預測的、潛在破壞性的侵入, 可有效地保證網絡安全。防火墻系統是一個靜態的網絡攻擊防御, 同時由于其對新協議和新服務的支持不能動態的擴展, 所以很難提供個性化的服務。入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息, 并分析這些信息, 檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS 被公認為是防火墻之后的第二道安全閘門, 從網絡安全立體縱深、多層次防御的角度出發, 對防范網絡惡意攻擊及誤操作提供了主動的實時保護, 從而能夠在網絡系統受到危害之前攔截和響應入侵。入侵檢測技術可以彌補單純的防火墻技術暴露出明顯的不足和弱點, 為網絡安全提供實時的入侵檢測及采取相應的防護手段。入侵檢測是對防火墻的合理補充, 幫助系統對付網絡攻擊, 擴展了系統管理員的安全管理能力, 提高了信息安全基礎結構的完整性。由些可見, 它們在功能上可以形成互補關系。
下面將建立入侵特征庫和入侵檢測與防火墻的接口問題分別進行講述。我們經過將基于異常的IDS 和基于誤用的IDS 系統相比較之后,最后選擇使用基于誤用的入侵檢測系統, 不僅因為這種方法的誤報警率低, 而且對一些已知的常用的攻擊行為特別有效。當有外來入侵者的時候, 一部分入侵由于沒有獲得防火墻的信任, 首先就被防火墻隔離在外, 而另一部分騙過防火墻的攻擊,或者干脆是內部攻擊沒經過防火墻的, 再一次受到了入侵檢測系統的盤查, 受到懷疑的數據包經預處理模塊分檢后, 送到相應的模塊里去進一步檢查, 當對規則樹進行掃描后, 發現某些數據包與規則庫中的某些攻擊特征相符, 立即切斷這個IP 的訪問請求, 或者報警。建立入侵特征庫。
1.編寫規則
根據前面所說的該入侵檢測系統所期望實現的作用, 因此要將一些規則編寫至特征庫中。規則模塊包括解析規則文件、建立規則語法樹、實現規則匹配的算法等。
2.入侵檢測流程
單個數據報的檢測流程詳細的分析如下: 首先對收集到的數據報進行解碼, 然后調用預處理函數對解碼后的報文進行預處理, 再利用規則樹對數據報進行匹配。在規則樹匹配的過程中, IDS 要從上到下依次對規則樹進行判斷, 從鏈首、鏈表到規則頭節點, 一直到規則選項節點。基于規則的模式匹配是入侵檢測系統的核心檢測機制。入侵檢測流程分成兩大步: 第一步是規則的解析流程, 包括從規則文件中讀取規則和在內存中組織規則; 第二步是使用這些規則進行匹配的入侵流程。
3.規則匹配流程
一個采用模式匹配技術的IDS 在從網絡中讀取一個數據包后大致按照下面方式進行攻擊檢測:
( 1) 從數據包的第一個字節開始提取與特征庫中第一個攻擊特征串等長的一組字節與第一個攻擊特征串比對, 如果兩組字節相同, 則視為檢測到一次攻擊;如果兩組字節不同, 則從數據包的第二個字節開始提取與攻擊特征串等長的一組字節與攻擊特征串比對。
( 2) 接著比對過程重復進行, 每次后移一個字節直到數據包的每個字節都比對完畢, 最后將數據包與特征庫中下一個攻擊特征串進行匹配。
( 3) 重復進行直到匹配成功或者匹配到特征庫中最后一個攻擊特征依然沒有結果為止, 然后整體模型從網絡中讀取下一個數據包進行另一次檢測。規則匹配的過程就是對從網絡上捕獲的每一條數據報文和上面描述的規則樹進行匹配的過程。如果發現存在一條規則匹配的報文,就表示檢測到一個攻擊, 然后按照規指定的行為進行處理(如發送警告等), 如果搜索完所有的規則都沒有找到匹配的規則, 就表示報文是正常的報文。
所有的規則被組織成規則樹, 然后分類存放在規則類列表中。總體的檢測過程歸根結底到對規則樹進行匹配掃描, 并找到報文所對應的規則。對規則樹的匹配過程則是先根據報文的IP 地址和端口號, 在規則頭鏈表中找到相對應的規則頭, 找到后再接著匹配此規則頭附帶的規則選項鏈表。
4.規則語法樹的生成
IDS 采用鏈表的方式構建規則的語法樹, 規則語法所用到的數據結構主要都在rules.h 文件中, 其中最為要的數據結構形式有以下一些: 規則頭函數指針列表、規則選項函數指針列表、響應函數指針列表、規則選項結構體、IP 地址結構體、表頭、規則列表結構體、變量體等。當防火墻和入侵檢測系統互動時, 所有的數據通信是通過認證和加密來確保傳輸信息的可靠性和保密性。通信雙方可以事先約定并設定通信端口, 并且相互正確配置對方IP 地址, 防火墻以服務器(Server)的模式來運行, IDS 以客戶端(Client)的模式來運行。將防火墻與IDS 結合起來互動運行, 防火墻便可通過IDS 及時發現其策略之外的攻擊行為, IDS 也可以通過防火墻對來自外部網絡的攻擊行為進行阻斷。IDS 與防火墻有效互動就可以實現一個較為有效的安全防護體系, 可以大大提高整體防護性能, 解決了傳統信息安全技術的弊端、解決了原先防火墻的粗顆粒防御和檢測系統只發現難響應的問題。
防火墻與IDS 結合是將動態安全技術的實時、快速、自適應的特點成為靜態技術的有效補充, 將靜態技術的包過濾、信任檢查、訪問控制成為動態技術的有力保障。二者結合使用可以很好的將對方的弱點淡化, 而將自己的優點補充上去, 使防御系統成為一個更加堅固的圍墻。在未來的網絡安全技術領域中, 將動態技術與靜態技術的互動使用, 將有很大的發展市場和空間。 參考文獻:
[ 1] 張興東, 胡華平, 況曉輝, 陳輝忠.防火墻與入侵檢測系統聯動的研究與實現[ J] .計算機工程與科學
[ 2]楊瓊, 楊建華, 王習平, 馬斌, 基于防火墻與入侵檢測聯動技術的系統設計《武漢理工大學學報》2005 年07 期.
