防火墻網絡安全技術論文

防火墻網絡安全技術論文

　　隨著計算機的普及和互聯網的快速發展,網絡安全問題顯得愈來愈重要。學習啦小編整理的防火墻技術網絡安全技術論文，希望你能從中得到感悟!

　　防火墻技術網絡安全技術論文篇一

　　防火墻與網絡安全技術

　　摘 要: 隨著計算機的普及和互聯網的快速發展,網絡安全問題顯得愈來愈重要。為解決這一問題,產生了很多網絡安全產品,防火墻就是其中使用較廣的一個。針對不同的用戶和網絡特點,防火墻所采用的技術也會有所不同。

　　關鍵詞: 信息安全 網絡安全 防火墻 技術特征

　　信息安全是國家發展所面臨的一個重要問題,對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品。我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。

　　1.網絡安全

　　網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,保證系統連續可靠正常地運行,網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學等多種學科的綜合性學科。

　　網絡安全技術則指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其它的安全服務和安全機制策略。在眾多的網絡安全技術中,網絡防火墻是使用較廣的一個。

　　2.防火墻

　　防火墻是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。

　　作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅能完成傳統防火墻的過濾任務,而且能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展。

　　根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網絡地址轉換-NAT,代理型和監測型。

　　2.1包過濾型

　　包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。

　　包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。

　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序和電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

　　2.2網絡地址轉化-NAT

　　網絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。

　　在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。

　　2.3代理型

　　代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器,而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。

　　代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

　　2.4監測型

　　監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,而且對來自內部的惡意破壞有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上超越了前兩代產品。

　　雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,因此目前在實用中的防火墻產品仍然以第二代代理型產品為主。實際上,作為當前防火墻產品的主流趨勢,大多數代理型防火墻也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。

　　參考文獻:

　　[1]李俊民.網絡安全與黑客攻防寶典.北京電子工業出版社,2010.

　　[2]麥克盧爾,庫爾茨.黑客大曝光:網絡安全機密與解決方案.清華大學出版社,2006.

　　[3]劉曉輝.網絡安全設計、配置與管理大全.電子工業出版社,2009.

　　[4]趙俐.防火墻策略與配置.中國水利水電出版社,2008.

　　[5][美]格雷格・霍爾登.防火墻與網絡安全.清華大學出版社,2009.

　　防火墻技術網絡安全技術論文篇二

　　淺析網絡安全中的防火墻技術

　　摘要：文章論述了防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準，并就信息交換加密技術的分類及RSA算法加以分析，針對PKI技術這一信息安全核心技術，論述了其安全體系的構成。

　　關鍵詞：網絡安全;防火墻;PKI技術

　　一、概述

　　網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術，就其產品的主流趨勢而言，大多數代理服務器(也稱應用網關)也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。那么究竟應該在哪些地方部署防火墻呢?首先，應該安裝防火墻的位置是公司內部網絡與外部網絡的接口處，以阻擋來自外部網絡的入侵;其次，如果公司內部網絡規模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻;第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網()。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

　　二、防火墻的選擇

　　防火墻產品作為網絡系統的安全屏障，其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。管理和培訓也是評價一個防火墻好壞的重要方面。在網絡系統建設的初期，由于內部信息系統的規模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。用戶在選擇防火墻產品時，應該盡量選擇那些占市場份額較大又通過了權威認證機構認證測試的產品。

　　三、加密技術

　　信息交換加密技術分為兩類：即對稱加密和非對稱加密。

　　(一)對稱加密技術

　　在對稱加密技術中，對信息的加密和解密都使用相同的鑰匙，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

　　(二)非對稱加密/公開密鑰加密

　　在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。

　　(三)RSA算法

　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。

　　利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。

　　四、PKI技術

　　PKI(Public Key Infrastructure)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

　　(一)認證機構

　　CA(Certification Authorty)就是這樣一個確保信任度的權威實體，它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明―證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。

　　(二)注冊機構

　　RA(Registration Authorty)是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發證書的基礎。

　　(三)策略管理

　　在PKI系統中，制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，并且能通過CA和RA技術融入到CA和RA的系統實現中。同時，這些策略應該符合密碼學和系統安全的要求，科學地應用密碼學與網絡安全的理論，并且具有良好的擴展性和互用性。

　　(四)密鑰備份和恢復

　　為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統強健性、安全性、可用性的重要因素。

　　五、安全技術的研究現狀和動向

　　我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網絡安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。

　　(作者單位：黑龍江省機場管理集團信息網絡公司)

　　
看了“防火墻技術網絡安全技術論文”的人還看：

1.防火墻技術論文三篇

2.網絡安全技術論文三篇

3.關于淺談網絡安全論文有哪些

4.網絡安全技術論文1000字

5.計算機專業畢業論文:淺析網絡安全技術