《计算机网络安全及防火墙技术设计》由会员分享,可在线阅读,更多相关《计算机网络安全及防火墙技术设计(10页珍藏版)》请在金锄头文库上搜索。
1、摘要因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与In
2、ternet互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。关键词:智能防火墙,网络安全,防范策略,发展趋势1选题背景32方案论证32.1接入层技术32.2 核心及汇聚层技术32.3防火墙相关技术43过程论述43.1屏蔽路由器43.2双穴主机网关53.3被屏蔽主机网关54结果分析64.1入侵检测系统部署64.2漏洞扫描系统74.3网络版杀毒产品部署75结论7参考文献8正文1选题背景
3、随着网络技术应用在社会政治、经济、文化、生产、等领域的普及,社会信息化建设己出具规模,这给我国经济发展和社会进步带来了前所未有的机遇。然而,问题的另外一面,信息安全问题不仅阻碍网络技术应用的进一步普及,而且还影响现有的应用,直接给国家和人名带来经济或名誉的损害,网络和相关信息系统价值的进一步挖掘更是受到制约,信息安全已成为制约社会信息化发展的瓶颈。网络安全作为信息安全的一个主要方面,已受到业内专家和学者的广泛关注。提高社会的网络安全意识,已成为保障我国信息化建设长期稳定健康发展的关键工作之一。2方案论证2.1接入层技术802.IX: IEEE 802.IX标准是一种基于端口的网络接入控制协议,
4、其最初目的主要是解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。802.IX的系统为典型的客户端/服务器的体系结构,包括三个实体,分别为:客户端,设备端和认证服务器。认证服务器可分为本地认证服务器和远程集中认证服务器,分别用于不同的场合,此网络为中小型,故采用本地认证服务器方式。本地认证服务器通常集成在设备端上。设备端内置的认证服务器对客户端进行认证,认证通过后开放端口。2.2核心及汇聚层技术STP (生成树协议):是根据IEEE协会制定的802.1 D标准建立的,用于在局域网中消除数据链路层物理环路
5、。运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞。最终将环路网络结构修剪成无环路的树形网络结构,防止报文在网络中无限循环和不断增生,避免设备由于重复接受相同报文造成处理能力下降的问题。VRRP:在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由。目前常用的指定路由的方法有两种:一种是通过路由协议(比如:内部路由协议RIP和OSPF)动态学习;另一种是静态配置,在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态
6、路由配置,一般是给终端设备指定一个或者多个默认网关(Default Gateway)o静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷。2.3防火墙相关技术防火墙是一种安全隔离技术,是一种数据访问控制机制,它在企业内部网和外部网之间实施安全防范体系,将企业内网和外网分开,限制用户进
7、入一个被严格控制的保护点。防火墙是在网络通信时执行的一种访问控制标准,阻止来自外部用户的未授权或未验证访问,以防黑客对内部网络中业务数据和网络设备的攻击和破坏。防火墙一般部署在被保护的内部网和国际互联网的边界点上,它不单应用于和外部I nternet的连接,也可以用于保护企业内网中的服务器和重要数据资源。即使用户来自内部网络,对被保护资源的访问也应经过防火墙的过滤。3过程论述3.1屏蔽路由器屏蔽路由器是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤
8、功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。3.2双穴主机网关双穴主机网关配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。内部网图3.1双穴主机网关配置双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双穴主机网关的一个致命弱点是:一旦
9、入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。3.3被屏蔽主机网关屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。防火珞I、I一,二堡垒主机图3.2屏蔽主机网关如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其
10、余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。(4) 被屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪
11、种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:(1) 使用多堡垒主机;(2) 合并内部路由器与外部路由器;(3) 合并堡垒主机与外部路由器;(4) 合并堡垒主机与内部路由器;(5) 使用多台内部路由器;(6) 使用多台外部路由器;(7) 使用多个周边网络;(8) 使用双重宿主主机与屏蔽子网。4结果分析4.1入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心
12、交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。4.2漏洞扫描系统采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。4.3网络版杀毒产品部署在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染
13、、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。5结论随着网络应用的深入发展,信息窃取、黑客和病毒等各种破坏网络信息安全的手段会越来越高明,越来越隐蔽,因此防范措施也需要进一步加强,今后安全方案的规划要从被动地进行防御转变到主动去检测发现安全漏洞和隐患,并自行进行修复和防范,在方案的规划中提高方案的智能性,能够全面系统提高网络信息的安全性,并及时发现网络中可能存在的安全隐患,自动进行系统处理并通知相关的管理人员。总之,随着计算机
14、技术的不断发展,对网络信息安全提出了更高的要求,企业会根据网络系统不断发的要求,进一步规划出更加适合企业发展的网络信息安全系统,满足企业网络信息安全系统建设不断发展的要求。参考文献1 郭旨龙.网络安全的内容体系与法律资源的投放方向J.法学论坛,2014,29(06):35-44.2 于志刚.网络安全对公共安全、国家安全的嵌入态势和应对策略J.法学论坛,2014,29(06):5-19.3 何永峰.谈“云计算”环境中的计算机网络安全J.哈尔滨师范大学自然科学学报,2015,31(01):63-66.4 于志冈U,李源粒.大数据时代数据犯罪的制裁思路J.中国社会科学,2014(10):100-120+207.5 孙道萃.移动智能终端网络安全的刑法应对从个案样本切入J.政治与法律,2015(11):73-87.6 梁树杰.浅析计算机网络安全问题及其防范措施J.信息安全与技术,2014,5(03):40-41+44.
