收藏
下载资源

基于Web管理的防火墙系统的设计与实现

上传人:jiups****uk12 文档编号:39075205 上传时间:2018-05-11 格式:PDF 页数:85 大小:4.22MB
返回 下载 相关 举报
基于Web管理的防火墙系统的设计与实现_第1页
第1页 / 共85页
基于Web管理的防火墙系统的设计与实现_第2页
第2页 / 共85页
基于Web管理的防火墙系统的设计与实现_第3页
第3页 / 共85页
基于Web管理的防火墙系统的设计与实现_第4页
第4页 / 共85页
基于Web管理的防火墙系统的设计与实现_第5页
第5页 / 共85页
点击查看更多>>
资源描述

《基于Web管理的防火墙系统的设计与实现》由会员分享,可在线阅读,更多相关《基于Web管理的防火墙系统的设计与实现(85页珍藏版)》请在金锄头文库上搜索。

1、武汉大学硕士学位论文基于W e b 管理的防火墙系统的设计与实现引 言随着网络应用的不断深入,网络安全己 成为公众关注的焦点。这是因为最初设计时,I P v 4 本身并没有安全特性,并且其它T C P / I P 协议中的 安全性也是相当 脆弱的。T C P / I P 协议组设 计的环境是一个用户与主机相互信任,自 由、 开放的 信息交换环境。而当前的实际 应用环境已 远远突破了 这个假设,网 络安全问 题自 然而生。为了 解决网络安全问题, 增强信息的安全性,许许多多的安全技术应运而生,如防火墙技术、信息加密技术、数字签名等等。这些技术在不同方面,不同程度地增强了系统的安全性能。其中,防火

2、墙作为实现网络安全策略的最有效工具之一, 被广泛地应用到I n t e rn e t/ I n t r a n e t 的 建设上。同时,有许多厂家的不同防火墙产品问 世, 他们大都实现相同的 功能: 包过滤以 实现基于I P 的 过滤和访问 控制。 但是, 在配置方式上都过于专业化, 使得用户在维护或配置防火墙系统时, 总感到太过抽象。因 此,当 前防火墙产品 控制方式的发展趋势是易于配置、 方便管理。 谁实现了用户化的 配置,谁就抢占了市场。另外一方面,随着I n t e rne t / I n t r a n e 宜 应用的广泛,网络设备管理有了很大的发展,将要形成自 己的 模型和标准。

3、 我们可以 将网 络设备管理的思想引入到防火墙系统的设计中, 参考己 有的网络设备管理方法, 产生了一种新的防火墙控制模式 基于W e b管理的 方式 ( W B M, w e b b a s e d m a n a g e m e n t ) . 基于W e b 的 管理, 可以 在H T T P 的 基础上, 充分利用W e b 所提供的强大功能, 实现防火墙系统配置的 远程化、图示化。防火墙系统的特点是它一般处在内 部和外部网络之间的交点上, 并且整个网络中防火墙的 数目 相对于主机来说是比较少的。 基于这种特点, 我们决定采用嵌入式W e b管理, 来实 现防火墙的 远程配置,完成基于

4、W e b 管理的设想: 防火墙系统基于L i n u x内 核, 并嵌 入A p a c h e 作为W e b 服务器。 通过A p a c h e 服务器获取 通过H T T P 传 送的 远 程控制信息, 再由C G I 接口 解析控制信息, 完成相应的控制操作。 用这个模型, 对基于W e b 控制的防火墙技术,进行探究。武汉大学硕士学位论文基于We b 管理的防火墙系统的设计与实现第一章 概 述1 . 1网络安全概述随着网络应用技术推广的不断深入,越来越多的人们津津乐道于网络所带来的数字化生存方式:无纸化办公、电子货币、虚拟社区等等。但是网络技术实际上也是一把双刃剑:具有让世界上任

5、何地方计算机相连的 这样一种能力, 换种角度来讲,是一件喜忧参半的事情。原因要回溯到I n t e m e t 最初设计时考虑的环境:最初研究I n t e m e t和它的 协议组,是建立在用户和主机之间相互信任的基础上,旨 在进行自由 开放的 信息交换。因 此, 如果不考虑网 络安全因素, 那么以当前I n t e m e t 为基础的 信息时代无疑是盖在沙滩上的高楼大厦! 正因为如此,当 前I n t e m e t 的安全性问 题成了 公众关注的焦点。1 . 1 . 1网 络安全存在的威胁如上所述,如果网络应用中不存在某些不安全的因素,那么网络安全技术也不会如此受到重视:同时,也正是因

6、为网络资源受到非法的威胁, 我们必须采取相应的安全措施,来保证网络运行的正常秩序。下面是与网络连通性相关的三种不同类型的安全威胁11 :非授权访问 一个非授权的用户入侵的问 题:信息泄漏 造成将有价值或高度机密的信息泄露给无权访问 该信息的 用户:拒绝服务一一使得系统难以或不可能继续执行任务的所有问 题。1 . 1 .2网 络安全的本质安全的定义是: 远离危险的 状态或特性, 为防范间谍活动或蓄意破坏、 犯罪、攻击或逃跑而采取的措施。网络安全的根本目的就是:防止通过计算机网络传输的信息被非法使用。网 络安全较全面地对计算机和计算机之间相连的 传输线路这个全过程进行管理, 特别是对网络的 组成方

7、式、拓扑结构和网 络应用的重点研究。1 . 1 .3网 络安全的塞本擂求在一定程度上,计算机系统的封闭性有利于保证信息的安全性,可以防止资源和数据被独占,防止数据和程序被非法修改、删除及泄漏。因 此,如何在保持网络开放灵 活性的同 时 保证安 全性, 成为 研究的 热点。 这就是网 络安 全的 基本需 求P 1 ,武汉大学硕士学位论文基于W e b 管理的防火墙系统的设计与实现 数据的保密性数据的保密性是数据不能泄漏给非授权用户、实体或过程, 或被其利用的 特性。它是许多安全措施的 基本保证, 确保信息不被非授权的实体或者进程非法使用。 数据的 完整性数据的完整性是数据未经授权不能进行改变的

8、特性,即只有得到允许的 人才能修改数据,井且能够判别出 数据是否以 被篡改。 其目 的是保证信息系统上的 数据处于一种完整和未受损的 状态。 数据的可用性数据的 可用性是可被授权实体访问 并按照需求使用的 特性,即攻击者不能占用所有的资源而阻 碍授权者的工作。 这要求系统在合法用户需要是,能够访问数据或提供某种服务。 数据的可控性数据的可控性是指可以 控制授权范围内的信息流向以 及行为方式, 如对数据的 访问、 传播及内容具有控制能 力。其它需求不可抵赖和不可否认:保护硬件资源不被非法占 有, 软件资源免受病毒侵害等。安全工作的目 的 就是在安全法律、 法规、 政策的 支持与指导下, 通过采用

9、合适的安全技术与安全管理措施, 提供安全需求的保证: 使用访问 控制机制, 防止非授权用户进入网络, 保证了网络系统的可用性:使用授权机制,实现对用户的权限控制,同时结合内 容审计机制,实现对网 络资源及信息的可控性;使用加密机制, 确保信息 不暴露给未授权的 实体或者 进程,实现信息的 保密性; 使用数据完整性鉴别机制, 保证只有得到允许的 人才能修改数据, 确保了 信息的 完整性; 使用审计、 监控、防抵赖等安全机制, 使攻击者走不脱,并进一步对网 络出 现的安全问题提供调查依据和手段,实现信息安全的 可审查性。1 . t .4网络安全的 基本技术不同环境和应用中的网络安全各有不同的含义和

10、侧重,相应的安全措施也各不相同;而且网络安全措施以 及相对的控制技术种类繁多、相互交叉。但是在不同的场合之下, 为了 不同 的目 的, 这些技 术确实能 够发挥出 色的 功 效冈 ;r防火墙武汉大学硕士学位论文基于W e b 管理的防火墙系统的设计与实现 数据的保密性数据的保密性是数据不能泄漏给非授权用户、实体或过程, 或被其利用的 特性。它是许多安全措施的 基本保证, 确保信息不被非授权的实体或者进程非法使用。 数据的 完整性数据的完整性是数据未经授权不能进行改变的 特性,即只有得到允许的 人才能修改数据,井且能够判别出 数据是否以 被篡改。 其目 的是保证信息系统上的 数据处于一种完整和未

11、受损的 状态。 数据的可用性数据的 可用性是可被授权实体访问 并按照需求使用的 特性,即攻击者不能占用所有的资源而阻 碍授权者的工作。 这要求系统在合法用户需要是,能够访问数据或提供某种服务。 数据的可控性数据的可控性是指可以 控制授权范围内的信息流向以 及行为方式, 如对数据的 访问、 传播及内容具有控制能 力。其它需求不可抵赖和不可否认:保护硬件资源不被非法占 有, 软件资源免受病毒侵害等。安全工作的目 的 就是在安全法律、 法规、 政策的 支持与指导下, 通过采用合适的安全技术与安全管理措施, 提供安全需求的保证: 使用访问 控制机制, 防止非授权用户进入网络, 保证了网络系统的可用性:

12、使用授权机制,实现对用户的权限控制,同时结合内 容审计机制,实现对网 络资源及信息的可控性;使用加密机制, 确保信息 不暴露给未授权的 实体或者 进程,实现信息的 保密性; 使用数据完整性鉴别机制, 保证只有得到允许的 人才能修改数据, 确保了 信息的 完整性; 使用审计、 监控、防抵赖等安全机制, 使攻击者走不脱,并进一步对网 络出 现的安全问题提供调查依据和手段,实现信息安全的 可审查性。1 . t .4网络安全的 基本技术不同环境和应用中的网络安全各有不同的含义和侧重,相应的安全措施也各不相同;而且网络安全措施以 及相对的控制技术种类繁多、相互交叉。但是在不同的场合之下, 为了 不同 的

13、目 的, 这些技 术确实能 够发挥出 色的 功 效冈 ;r防火墙武汉大学硕士学位论文基于W e b 管理的防火墙系统的设计与实现屏障, 一个是可以 信赖的内 部网络, 另一个是不可信赖的 外部网络, 防火墙按照系统管理员预先定义好的安全策略和规则控制两个网络之间数据包的进出。 本课题主要研究利用防火墙来实现网 络安全。J身份验证的安全检查 防火墙是系统的第一道防线, 用以防止非法数据的进入: 而身份认证的作用则是阻止非法用户的不良 访问。 密码是最常用的鉴别用户身份合法性的手段。J数据加密 加密是通过对信息的重新组合, 使得只有收发双方才能解码还原信息的 传统方法, 从而保证了数据在传输过程中

14、不被别人窃听, 或者即使信息被窃取后也无法还原成名文。 加密技术是网络安全最有效的技术之一。J数字签名 这种技 术主要用于防止非法伪造、 假冒 和墓改信息。 接收者能够核实发送者,以防假冒; 发信者无法抵赖自己所发的信息;除合法发信者外, 其他人无法伪造信息;发生争执的时候可以由 第三方做出仲裁。. J 安全监控 高效的网 络安全性关键因素之一。 因为即使有防火墙、 身份认证和加密, 系统仍然可能 遭受到病毒的攻击; 监控网 络安全性的 方法就是检查网 络中的各个系统的文件和登陆, 通过审计技术、 访问 控制技术和安全协议等多种手段进行综合管理。J密码机 密码机是传统的 链路层加密设备, 通常

15、使用对称密钥加密算法, 提供点对点式的加密通信, 有多 年的开发历史, 使用简单但价格昂 贵。1 .2防火墙技术概述互联网络存在的目的,就是在网络环境中某个特定网络与其他网络进行数据和信息的交换。 但这种信息的 交换与共享是要在该网络利益的前提下, 特别是在一定的网络安全策略指导下, 通过控制和检测网 络之间的信息交换和访问行为来实现对网络安全的有效管理, 使得网 络的 运行能够健康有序的正常发展网 络安全最开始的技术,也是源于单个主机系统的安全防范模式,即通过使用访问 控制的方法,限制使用者访问 系统或网 络资 源的 权限,以 达到 规范网 络行为的目 的 3 。 防 火墙技术就这 样应 运

16、而 生, 并 随 着 科 技的 进步 蓬 勃 发 展 起 来。 据统 计, 全 球 连 入I n t e m e t 的 计 算 机中 有1 / 3以 上的计算机在防火墙的保护之下。因 此,目 前防火墙技术在网 络安全技术中成为最为瞩目的焦点。武汉大学硕士学位论文基于W e b 管理的防火墙系统的设计与实现屏障, 一个是可以 信赖的内 部网络, 另一个是不可信赖的 外部网络, 防火墙按照系统管理员预先定义好的安全策略和规则控制两个网络之间数据包的进出。 本课题主要研究利用防火墙来实现网 络安全。J身份验证的安全检查 防火墙是系统的第一道防线, 用以防止非法数据的进入: 而身份认证的作用则是阻止非法用户的不良 访问。 密码是最常用的鉴别用户身份合法性的手段。J数据加密 加密是通过对信息的重新组合, 使得只有收发双方才能解码还原信息的 传统方法, 从而保证了数据在传输过程中不被别人窃听, 或者即使信息被窃取后也无法还原成名文。 加密技术是网络安全最有效的技术之一。J数字签名 这种技 术主要用于防止非法伪造、 假冒 和墓改信息。 接收者能够核实发送

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号