《计算机网络安全与防火墙技术研究-修订编选》由会员分享,可在线阅读,更多相关《计算机网络安全与防火墙技术研究-修订编选(2页珍藏版)》请在金锄头文库上搜索。
1、科 技 天 地 65 INTELLIGENCE 对水资源保护治理和水灾害防治要求不 断提高,但是很多城市对公益性质的水 利建设投入不够,社会上存在着只顾追 求眼前利益不顾长远利益的水利建设。 从目前来看我国的城市水利建设是个长 期而又艰巨的任务,对于资源和环境要 素,必须要统筹规划,把城市水利建设 和城市的生态环境、可持续发展结合起 来。城市水利建设不是单一的工作,具 有系统性、综合性的。城市水资源的保 护、供水系统的建设、河道湖泊的整理 以及城市污水处理和废水资源重复利用 等等,在解决水多、水少的问题上不是 单一的, 需要形成完整配套的工程体系, 运用法律、教育、技术等手段才能达到 城市水利
2、发展的目的。随意往城市河道 倒垃圾、污染河流湖泊、破坏坏境等这 种事情即使是在天津这样的大城市也是 屡见不鲜,所以城市水利建设是要进行 长期性和综合性的规划。 四、设计理念 1、以人为本的设计理念 水是生命之源、生态之基、生产之 要,水不仅关系到防洪安全、供水安全 而且还关系到经济安全、生态安全和国 家安全。城市水利建设应当以人为本, 注重实效。人类的文明离不开水,水利 建设发展完善的城市为人类发展提供更 为广阔的平台, 确保人类的可持续发展。 城市水利建设属于城市建设的一个重要 组成部分,城市水利建设不仅对当地的 经济和社会产生重要的影响,而且对江 河湖泊以及当地的自然生态环境产生了 不同程
3、度的影响。城市水建设在设计时 既要考虑实现防洪、泄洪抗灾的基本需 求的基础上,更要体现“以人为本”的 理念,要充分考虑生态环境、水资源管 理等与人文发展联系密切的人文因素。 2、统筹发展坚持人与自然和谐的 理念 统筹发展根据生产力布局、经济结 构以及水利发展需求,合理确定水利发 展的目标、规模和水平。坚持人与自然 和谐的原则, 遵循自然规律和经济规律, 合理开发利用和节约水资源;保护水资 源,妥善处理水利工程建设可能带来的 环境问题,保证水利事业的持续健康发 展。 3、树立保护水资源建立节水系统 的理念 加强监管力度,建立完善以水功能 区为基础的水资源保护制度,努力改善 水资源质量状况和生态环
4、境状况。在水 功能区划的基础上,完成排污总量控制 和水域纳污能力核定工作,建立健全纳 污总量控制力度。建立入河排污口登记 并实施监控,加强管理。建设节水型社 会史解决缺水问题的战略性根本措施, 以制度建设为核心,加快节水型社会建 设步伐。积极推进水价改革,建立以经 济手段为主的节水机制,搭建水资源、 节水科技创新平台。 参考文献: 1 天津市水利局:天津市水利 发展和改革面临的形势,2006,4。 2 沈宏伟:浅谈城市水利工程 建设,工程建设,2002,5。 3 崔静:浅议城市水利与城市 发展 , 科技创新导报 , 2009, (19)。 4 朱贵:城市水利建设的现状 与展望,科技创新导报,2
5、010, (25)。 计算机网络安全与防火墙技术研究 中国联合网络通信有限公司抚松县分公司 李淑红 摘 要:随着计算机的迅猛发展,计算机应用日趋深入和普及,计算机对人类社会发展 的巨大作用,使其在现代社会中居战略地位。与此同时,计算机网络的广泛应用和网络数 据信息传输量的急剧增长,使得用户不断受到黑客、病毒、恶意软件的攻击,网络安全也 越来越受到人们的重视。防火墙技术是网络安全最重要的技术之一,它能够有效地防止外 部网络人员恶意入侵和内部信息外泄的作用,极大的提高了网络的整体安全性。 关键词:计算机网络 防火墙 安全性 引言 计算机网络的开放性、互连性与共享性程度的扩大,特 别是 Intern
6、et 的出现,使网络的重要性和对社会的影响也越 来越大。随着电子商务、电子现金、数字货币、网络银行等 新兴业务的兴起,资源共享被广泛地用于各行各业及各个领 域。当人们尽情享受着网络带来的巨大便利的同时,一个不 可回避的问题也展现在大家面前,那就是网络的安全性。病 毒的泛滥、 黑客的攻击、 网络犯罪的猖獗和个人隐私的泄漏, 严重影响了网络的正常运行。大量在网络中存储和传输的数 据需要保护,所以,就必须想出办法来抵御病毒的入侵、防 范黑客的攻击, 使用户计算机系统和数据安全得到有力保障。 防火墙是增加网络安全最主要、最有效的手段之一。防火墙 的引入为提高网络安全性提供了一个便捷有效的方式,是网 络
7、安全政策的有机组成部分,它通过控制和监测网络之间的 信息交换和访问行为来实施对网络安全的有效管理,起到防 止内部信息外泄、防止外部恶意入侵的目的。 一、计算机网络安全概述 计算机网络安全是指利用网络管理控制和技术措施,保 证在一个网络环境里,数据的完整性、保密性及可用性受到 保护。计算机网络安全包括物理安全性和逻辑安全性两个方 面。物理安全性指系统设备及相关设施受到物理保护,免于 破坏、 损失等。 逻辑安全性主要包括三个方面的内容:完整性、 保密性及可用性。 一个安全的计算机网络应具有完整性、 保密性、 可用性、 可靠性、真实性及不可否认性等特点,因此,网络安全涉及 各方面的问题。一个完整的网
8、络安全体系至少应包括法律法 科 技 天 地 66 INTELLIGENCE 规、规章制度等安全教育的外部环境,技术保障以及网络管 理三类措施。 如今,网络安全技术从不同方面保证了网络信息不受侵 犯,而防火墙技术又是网络安全最常用、最基础的技术之一。 人们应当多了解一些防火墙技术, 更好地设置和使用防火墙, 用它来防御网络中的各种威胁,将危险的连接和攻击行为隔 绝在外。 二、防火墙的概念 防火墙指的是一个由硬件设备和软件组合而成,在计算 机上设立的防止在内部网和外部网之间、专用网与公共网之 间直接访问的一种机制。充当防火墙的计算机既可以直接访 问被保护的网络,也可以直接访问 Internet。而
9、被保护的网 络不能直接访问 Internet,同时 Internet 不能直接访问被 保护的网络。 三、防火墙的功能 防火墙的功能主要有以下几个方面: 1、过滤掉不安全服务和攻击; 2、关闭不使用的端口,禁止特定端口的流出通信; 3、控制对特殊站点的访问,防止来自不明入侵者的所有 通信; 4、提供监视 Internet 安全和预警的方便端点; 5、封锁木马和非法入侵用户。 四、防火墙的脆弱性 由于互联网的开放性,有许多防范功能的防火墙也有一 些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允 许从受保护网内部不受限制地向外拨号,一些用户可能形成 与 Internet 的直接
10、连接,从而绕过防火墙,造成一个潜在后 门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输,只 能在每台主机上安装杀毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无 害的数据被邮寄或复制到 Internet 主机上并被执行而发起攻 击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。 五、防火墙的基本类型 有 4 种方法可以实现防火墙,包括:网络级防火墙、应 用级网关、 电路级网关和规则检查防火墙。 它们有各自的特点, 具体使用哪一种需结合实际情况。 1、网络级防火墙 ( 也叫包过滤型防火墙 )。通常是在源 地址和目的地址、应用或协议以及每个 IP
11、包端口的基础上做 出能否通过的判断。 而路由器就是我们通常所说的 “传统意义” 上的网络级防火墙。通过检查网络信息是否安全,大多数路 由器可以决定是否将所收到的 IP 包转发,但他不能由此判断 出这个 IP 包来自哪里,发向哪里。但我们这里所说的高级的 网络级防火墙可以对这一点进行判断,它可以通过提供内容 信息对连接状态和数据流进行说明,把需要判断的信息与规 则表进行比较。各种能够表明是否同意 IP 包通过的规则都在 规则表里进行了定义,防火墙对每一条规则进行检查直到发 现 IP 包中的信息内容是否与某规则相符。如果任何一条规则 都不符合,防火墙就会使用默认规则。通常情况下,默认规 则就是要求
12、防火墙丢弃此 IP 包。其次,通过定义基于 TCP 或 UDP 数据包的端口号,防火墙能够判断是否允许建立特定的 连接,如 Telnet、FTP 连接。 2、应用级网关。应用级网关对访问控制的比较严格,是 目前最安全的防火墙技术,但实现较为困难。应用级网关可 以对数据包进行检查,通过网关复制传递数据,防止受信任 的服务器和客户机与不受信任的主机间直接建立连接。应用 级网关与网络级防火墙比较, 有其自身优势, 也有一定的弊端。 它可以理解应用层上的协议,可以做一些复杂的访问控制, 并做精细的注册和审核。 但每一种协议需要相应的代理软件, 使用时工作量大,效率不如网络级防火墙。 常用的应用级防火墙
13、己经有了其相应的代理服务器,例 如:HTTP、 FTP、 NNTP、 Telnet、 Rlogin等。 但是新开发的应用, 目前还没有对应的代理服务器,需要网络防火墙和一般的代 理服务。 3、电路级网关。电路级网关用来监控受信任的服务器或 客户机与不受信任的主机间的 TCP 交换信息,这样来决定该 会话是否合法。电路级网关与应用级网关不同,它是在 OSI 模型的会话层上过滤数据包, 这样比网络级防火墙要高两层。 实际上电路级网关并非作为一个独立的产品存在,它与 其他的应用级网关结合在一起,如 DEC 公司的 Alta Vista Firewall;Trust Information Syste
14、ms 公 司 的 Gauntlet Internet Firewall 等产品。同时,电路级网关还提供一个 重要的安全功能:代理服务器。代理服务器是一个防火墙, 在其上运行一个叫做“地址转移”的进程,将所有机构内部 的 IP 地址映射到一个“安全”的 IP 地址,这个地址是由防 火墙使用的。但是,作为电路级网关也存在着一些缺陷,因 为该网关是在会话层工作的,使得它无法检查应用层级的数 据包。 4、规则检查防火墙。该防火墙结合了网络级防火墙、应 用级网关和电路级网关的特点。规则检查防火墙与网络级防 火墙一样,是在 OSI 的网络层上通过 IP 地址和端口号过滤进 出的数据包;它也同应用级网关一样
15、,可以在 OSI 的应用层 上检查数据包的内容,查看这些数据包的内容是否能符合网 络的安全规则。但不同的是,它并不打破客户机 / 服务器模 式来分析应用层的数据,它允许受信任的客户机和不受信任 的主机建立直接连接。规则检查防火墙不依靠与应用层有关 的代理,而是依靠某种算法来识别进出的应用层数据,这些 算法通过已知合法数据包的模式来比较进出数据包,这样在 过滤数据包方面从理论上就能比应用级代理更有效。与电路 级网关相比,它也能够检查 ACK 和 SYN 标记和序列数字是否 逻辑有序。 规则检查防火墙以其优势特点在目前市场上较为流行。 因为该防火墙只在 OSI 最高层上对数据进行加密,不需要 修改
16、客户端的程序,也不用对每个需要在防火墙上运行的 服务额外增加一个代理。如现在最流行的防火墙之一 On Technology 软件公司生产的 On Guard 和 Check Point 软件 公司生产的 Fire Wall-1 防火墙都是规则检查防火墙。 六、防火墙未来的发展方向 未来的防火墙将位于网络级防火墙和应用级防火墙之间。 换句话说,即网络级防火墙的网络信息识别功能将更加强大; 而应用级防火墙在目前的功能上则向“透明”、“低级” 方面发展。最终防火墙将成为一个快速注册稽查系统,可保 护数据以加密方式通过,使所有组织可以 放心地在节点间传 送数据。 参考文献: 1 吴秀梅 : 防火墙技术及应用教程 , 清华大学出版社, 2010,10。 2 王秀翠、王彬:防火墙技术在计算机网络安全中 的应用,软件导刊,2011(5)。 3 张鸣、 高杨: 计算机网络安全与防火墙技术研究 , 黄河水利职业技术学院学报,2011(4)。
