防火墻網(wǎng)絡安全技術論文

　　隨著計算機的普及和互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡安全問題顯得愈來愈重要。學習啦小編整理的防火墻技術網(wǎng)絡安全技術論文，希望你能從中得到感悟!

　　防火墻技術網(wǎng)絡安全技術論文篇一

　　防火墻與網(wǎng)絡安全技術

　　摘 要: 隨著計算機的普及和互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡安全問題顯得愈來愈重要。為解決這一問題,產(chǎn)生了很多網(wǎng)絡安全產(chǎn)品,防火墻就是其中使用較廣的一個。針對不同的用戶和網(wǎng)絡特點,防火墻所采用的技術也會有所不同。

　　關鍵詞: 信息安全 網(wǎng)絡安全 防火墻 技術特征

　　信息安全是國家發(fā)展所面臨的一個重要問題,對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分。我國在構建信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產(chǎn)品。我國要想真正解決網(wǎng)絡安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡安全技術的整體提高。

　　1.網(wǎng)絡安全

　　網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,保證系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學等多種學科的綜合性學科。

　　網(wǎng)絡安全技術則指致力于解決諸如如何有效進行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段,主要包括物理安全分析技術,網(wǎng)絡結構安全分析技術,系統(tǒng)安全分析技術,管理安全分析技術,以及其它的安全服務和安全機制策略。在眾多的網(wǎng)絡安全技術中,網(wǎng)絡防火墻是使用較廣的一個。

　　2.防火墻

　　防火墻是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。

　　作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次,不僅能完成傳統(tǒng)防火墻的過濾任務,而且能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證,防止病毒與黑客侵入等方向發(fā)展。

　　根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡地址轉換-NAT,代理型和監(jiān)測型。

　　2.1包過濾型

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標地址,TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

　　包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源,目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序和電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

　　2.2網(wǎng)絡地址轉化-NAT

　　網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。

　　在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時,它并不知道內(nèi)部網(wǎng)絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。

　　2.3代理型

　　代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器,而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。

　　代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。

　　2.4監(jiān)測型

　　監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,而且對來自內(nèi)部的惡意破壞有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上超越了前兩代產(chǎn)品。

　　雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,因此目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理型防火墻也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。

　　參考文獻:

　　[1]李俊民.網(wǎng)絡安全與黑客攻防寶典.北京電子工業(yè)出版社,2010.

　　[2]麥克盧爾,庫爾茨.黑客大曝光:網(wǎng)絡安全機密與解決方案.清華大學出版社,2006.

　　[3]劉曉輝.網(wǎng)絡安全設計、配置與管理大全.電子工業(yè)出版社,2009.

　　[4]趙俐.防火墻策略與配置.中國水利水電出版社,2008.

　　[5][美]格雷格・霍爾登.防火墻與網(wǎng)絡安全.清華大學出版社,2009.

　　防火墻技術網(wǎng)絡安全技術論文篇二

　　淺析網(wǎng)絡安全中的防火墻技術

　　摘要：文章論述了防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準，并就信息交換加密技術的分類及RSA算法加以分析，針對PKI技術這一信息安全核心技術，論述了其安全體系的構成。

　　關鍵詞：網(wǎng)絡安全;防火墻;PKI技術

　　一、概述

　　網(wǎng)絡防火墻技術作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡安全技術，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務器(也稱應用網(wǎng)關)也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。那么究竟應該在哪些地方部署防火墻呢?首先，應該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡與外部網(wǎng)絡的接口處，以阻擋來自外部網(wǎng)絡的入侵;其次，如果公司內(nèi)部網(wǎng)絡規(guī)模較大，并且設置有虛擬局域網(wǎng)(VLAN)，則應該在各個VLAN之間設置防火墻;第三，通過公網(wǎng)連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(wǎng)()。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡還是與外部公網(wǎng)的連接處，都應該安裝防火墻。

　　二、防火墻的選擇

　　防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障，其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。管理和培訓也是評價一個防火墻好壞的重要方面。在網(wǎng)絡系統(tǒng)建設的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。用戶在選擇防火墻產(chǎn)品時，應該盡量選擇那些占市場份額較大又通過了權威認證機構認證測試的產(chǎn)品。

　　三、加密技術

　　信息交換加密技術分為兩類：即對稱加密和非對稱加密。

　　(一)對稱加密技術

　　在對稱加密技術中，對信息的加密和解密都使用相同的鑰匙，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

　　(二)非對稱加密/公開密鑰加密

　　在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數(shù)字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。

　　(三)RSA算法

　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。

　　利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。

　　四、PKI技術

　　PKI(Public Key Infrastructure)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

　　(一)認證機構

　　CA(Certification Authorty)就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明―證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。

　　(二)注冊機構

　　RA(Registration Authorty)是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。

　　(三)策略管理

　　在PKI系統(tǒng)中，制定并實現(xiàn)科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，并且能通過CA和RA技術融入到CA和RA的系統(tǒng)實現(xiàn)中。同時，這些策略應該符合密碼學和系統(tǒng)安全的要求，科學地應用密碼學與網(wǎng)絡安全的理論，并且具有良好的擴展性和互用性。

　　(四)密鑰備份和恢復

　　為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

　　五、安全技術的研究現(xiàn)狀和動向

　　我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。

　　(作者單位：黑龍江省機場管理集團信息網(wǎng)絡公司)

　　
看了“防火墻技術網(wǎng)絡安全技術論文”的人還看：

1.防火墻技術論文三篇

2.網(wǎng)絡安全技術論文三篇

3.關于淺談網(wǎng)絡安全論文有哪些

4.網(wǎng)絡安全技術論文1000字

5.計算機專業(yè)畢業(yè)論文:淺析網(wǎng)絡安全技術