防火墻設(shè)計(jì)與技術(shù)論文
在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,網(wǎng)絡(luò)安全問題日益突出,防火墻技術(shù)也越來越受到人們的關(guān)注。學(xué)習(xí)啦小編整理的防火墻設(shè)計(jì)與技術(shù)論文,希望你能從中得到感悟!
防火墻設(shè)計(jì)與技術(shù)論文篇一
Internet防火墻系統(tǒng)的設(shè)計(jì)
摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,Internet為人們的工作、學(xué)習(xí)和生活帶來了巨大的便利。與此同時(shí),網(wǎng)絡(luò)安全的重要性也是不容忽視的。而在當(dāng)前形勢下用來保證網(wǎng)絡(luò)安全的一種非常關(guān)鍵的措施就是防火墻技術(shù),通過防火墻的應(yīng)用可以避免未經(jīng)授權(quán)的用戶對于網(wǎng)絡(luò)的非法訪問,從而避免網(wǎng)絡(luò)中的重要信息被惡意篡改和泄露,并且,也能夠保證合法用戶能夠不受妨礙地訪問網(wǎng)絡(luò)內(nèi)部的資源。因此,進(jìn)行關(guān)于Internet防火墻系統(tǒng)的設(shè)計(jì)的研究具有非常深遠(yuǎn)的意義,能夠使網(wǎng)絡(luò)安全性能得到極大程度的提高。
關(guān)鍵詞:Internet 防火墻系統(tǒng) 設(shè)計(jì)
一、引言
隨著Internet的不斷發(fā)展和廣泛普及,計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開放性和互聯(lián)程度也正在得到不斷的擴(kuò)大,一系列的網(wǎng)絡(luò)新業(yè)務(wù)也正在逐漸出現(xiàn),主要包括數(shù)字貨幣、電子政務(wù)、電子商務(wù)、網(wǎng)上購物、網(wǎng)上銀行等等,網(wǎng)絡(luò)安全問題也變得愈加值得重視。處理網(wǎng)絡(luò)安全問題的一個(gè)非常關(guān)鍵的途徑就是在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行防火墻的設(shè)置,所以,研究防火墻技術(shù)顯得尤為重要。
二、Internet和網(wǎng)絡(luò)安全問題概述
Internet在剛開始出現(xiàn)的時(shí)候是由大學(xué)和科研機(jī)構(gòu)應(yīng)用的,后來逐漸進(jìn)入到社會的各個(gè)行業(yè)之中。在當(dāng)今的信息化時(shí)代,Internet已經(jīng)和人們的日常生活緊密的聯(lián)系起來,同時(shí),海量的機(jī)密信息也正在通過Internet進(jìn)行傳送,在這一大背景下,也出現(xiàn)了許多和Internet相關(guān)的網(wǎng)絡(luò)安全問題。主要包括以下幾個(gè)方面:
第一,企業(yè)不具備較強(qiáng)的網(wǎng)絡(luò)安全意識。目前企業(yè)局域網(wǎng)內(nèi)部利用的計(jì)算機(jī)操作系統(tǒng)仍然具備許多不安全的因素,許多高風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)對外開放,但是并未采取相對完善的網(wǎng)絡(luò)安全防范方法,從而導(dǎo)致企業(yè)的大部分主機(jī)面臨著潛在的網(wǎng)絡(luò)安全威脅,為不法侵害人員提供了方便的入口。
第二,網(wǎng)絡(luò)黑客越來越多。在Internet得到廣泛使用的背景下,網(wǎng)絡(luò)黑客也隨之出現(xiàn),網(wǎng)絡(luò)黑客已經(jīng)在國際范圍內(nèi)廣泛分布,他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網(wǎng)絡(luò)和系統(tǒng)安全漏洞的小程序?qū)崿F(xiàn)對于網(wǎng)絡(luò)的攻擊,也能夠通過眾多的專門的黑客站點(diǎn)實(shí)現(xiàn)對于網(wǎng)絡(luò)的攻擊。
第三,內(nèi)部攻擊值得關(guān)注。在網(wǎng)絡(luò)安全問題中,內(nèi)部攻擊問題占據(jù)著非常巨大的比例,內(nèi)部攻擊者對于網(wǎng)絡(luò)系統(tǒng)的有用信息比外部攻擊者更加掌握,能夠更加方便地進(jìn)行攻擊,從而會帶來更加嚴(yán)重的攻擊后果。然而,網(wǎng)絡(luò)管理人員通常會忽視這些內(nèi)部攻擊。
三、Internet防火墻系統(tǒng)的總體結(jié)構(gòu)
Internet防火墻系統(tǒng)的總體結(jié)構(gòu)包括兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī),由于這種系統(tǒng)支持應(yīng)用層和網(wǎng)絡(luò)層的安全功能,因此,這是一種非常安全的防火墻系統(tǒng)。Internet防火墻系統(tǒng)的堡壘主機(jī)中包括WWW、Email、FTP代理服務(wù)器、日志系統(tǒng)、身份認(rèn)證系統(tǒng)、加密系統(tǒng)。同時(shí),堡壘主機(jī)位于外部網(wǎng)和內(nèi)部網(wǎng)之間。具體來說,Internet防火墻系統(tǒng)的總體結(jié)構(gòu)如下所述。
第一,Internet防火墻系統(tǒng)的第一道防線就是包過濾路由器,這一路由器預(yù)先檢查進(jìn)入內(nèi)部網(wǎng)的通信。同時(shí),包過濾路由器利用包過濾規(guī)則來實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。包過濾路由器的包過濾規(guī)則為:內(nèi)部網(wǎng)絡(luò)上的主機(jī)對于外部網(wǎng)絡(luò)可以實(shí)現(xiàn)直接訪問,而外部網(wǎng)絡(luò)上的主機(jī)只能夠限制性的訪問內(nèi)部網(wǎng)絡(luò)的主機(jī),同時(shí),必須對于源路由選項(xiàng)的數(shù)據(jù)包和假冒緩沖區(qū)內(nèi)主機(jī)地址的數(shù)據(jù)包進(jìn)行阻塞設(shè)置。
第二,緩沖區(qū)(DMZ),這是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。
第三,堡壘主機(jī),這是在內(nèi)部網(wǎng)和緩沖區(qū)之間所設(shè)置的網(wǎng)關(guān),內(nèi)部網(wǎng)和緩沖區(qū)之間的所有通信都一定要通過堡壘主機(jī)。保證堡壘主機(jī)的安全運(yùn)轉(zhuǎn)可以為Internet和內(nèi)部網(wǎng)之間的信息交換打下堅(jiān)實(shí)的基礎(chǔ)。
第四,堡壘主機(jī)連接緩沖區(qū)的網(wǎng)卡,為這塊網(wǎng)卡配置的IP地址必須和緩沖區(qū)內(nèi)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼,也就是說,必須保證它們位于相同的子網(wǎng)之中。
第五,堡壘主機(jī)連接內(nèi)部網(wǎng)的網(wǎng)卡,為這塊網(wǎng)卡配置的IP地址必須和內(nèi)部網(wǎng)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼,也就是說,必須保證它們位于相同的子網(wǎng)之中。
四、Internet防火墻系統(tǒng)的特點(diǎn)
Internet防火墻系統(tǒng)有利于解決網(wǎng)絡(luò)安全問題,它的特點(diǎn)如下所述。
第一,非法入侵者為了能入侵內(nèi)部網(wǎng)一定要突破三個(gè)不同的設(shè)備,也就是外部路由器、堡壘主機(jī)、內(nèi)部路由器。
第二,因?yàn)橥獠柯酚善鲀H僅將堡壘主機(jī)的存在通告給外部網(wǎng),所以,能夠確保內(nèi)部網(wǎng)對外是“不可見”的,與此同時(shí),必須是緩沖區(qū)網(wǎng)絡(luò)上選定的系統(tǒng)才可以向外部網(wǎng)開放。
第三,因?yàn)楸局鳈C(jī)的存在,內(nèi)部網(wǎng)用戶為了實(shí)現(xiàn)和外界之間的通信,必須借助于堡壘主機(jī)上的代理系統(tǒng)。
五、結(jié)束語
綜上所述,本文進(jìn)行了關(guān)于Internet防火墻系統(tǒng)的設(shè)計(jì)的研究。但是,僅僅依靠防火墻技術(shù)來保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的,還必須通過一些其它技術(shù)和非技術(shù)的因素來進(jìn)行網(wǎng)絡(luò)安全的保障,例如,還必須進(jìn)一步應(yīng)用信息加密技術(shù)、設(shè)定適當(dāng)?shù)木W(wǎng)絡(luò)安全法律法規(guī)、增強(qiáng)網(wǎng)絡(luò)管理使用人員的安全意識等等。希望通過本文的研究,能夠?yàn)镮nternet時(shí)代的網(wǎng)絡(luò)安全問題的解決提供一定的借鑒。
參考文獻(xiàn):
[1] 林曉東,楊義先,馬嚴(yán),王仲文. Internet防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 通信學(xué)報(bào),1998,(01) .
[2] 陳關(guān)勝. 防火墻技術(shù)現(xiàn)狀與發(fā)展趨勢研究[A]. 信息化、工業(yè)化融合與服務(wù)創(chuàng)新――第十三屆計(jì)算機(jī)模擬與信息技術(shù)學(xué)術(shù)會議論文集[C],2011
[3] 賈志高,周以琳. 基于防火墻和網(wǎng)絡(luò)入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究與設(shè)計(jì)[J]. 甘肅科技,2009,(18)
[4] 余志高,周國祥. 入侵檢測與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計(jì)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,(03) .
[5] 李彥軍,屠全良,郝夢巖. 基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置策略[J]. 太原大學(xué)學(xué)報(bào),2006,(01)
[6] 張鳴,高楊. 計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J]. 黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào),2011,(02) .
防火墻設(shè)計(jì)與技術(shù)論文篇二
Linux系統(tǒng)的防火墻技術(shù)設(shè)計(jì)和實(shí)現(xiàn)
[摘 要]在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,網(wǎng)絡(luò)安全問題日益突出,防火墻技術(shù)也越來越受到人們的關(guān)注。在眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中,Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著,這些優(yōu)勢是其他防火墻產(chǎn)品不可比擬的。選用這類軟件確實(shí)是最低硬件需求的可靠、高效的解決方案。但用戶最關(guān)心的還是安全系統(tǒng)的性能,有關(guān)部門根據(jù)網(wǎng)絡(luò)安全調(diào)查和分析曾得出結(jié)論:網(wǎng)絡(luò)上的安全漏洞和隱患絕大部分是因網(wǎng)絡(luò)設(shè)置不當(dāng)引起的。Linux防火墻由以前的ipchains到如今的iptables,功能日漸強(qiáng)大和完善。iptables以filter的三個(gè)鏈處理input、output和forward數(shù)據(jù)包。通過對INPUT鏈、OUTPUT鏈以及FORWARD鏈上規(guī)則的添加和應(yīng)用來實(shí)現(xiàn)ALG防火墻,達(dá)到對網(wǎng)絡(luò)的保護(hù)和限制的目的。
[關(guān)鍵詞]Linux 防火墻 iptables
中圖分類號:TD956.2 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2014)10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux操作系統(tǒng)
1.1 Linux系統(tǒng)簡介
Linux是一種自由和開放源碼的類Unix操作系統(tǒng),Linux有許多不同的版本,但它們都使用了Linux內(nèi)核。嚴(yán)格來講,Linux這個(gè)詞本身只表示Linux內(nèi)核,但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來形容整個(gè)基于Linux內(nèi)核,并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。
1.2 Linux防火墻配置命令簡介
1.2.1 概述
Linux防火墻通過使用iptables系統(tǒng)提供的特殊命令建立這些規(guī)則,并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。
1.2.2 表(table)
[-t table]選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何一個(gè)表。表只包含一個(gè)特定類型的包處理規(guī)則和鏈的包過濾表。
1.2.3 命令(command)
命令的部分最重要的部分是iptables命令。它告訴iptables命令去做什么。
1.3 netfilter/iptables組件
1.3.1 簡介
netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具,可用于添加、編輯和除去規(guī)則,這些規(guī)則是在做信息包過濾決定時(shí),防火墻所遵循和組成的規(guī)則。
1.3.2 功能
Linux的防火墻是由netfilter和iptables兩個(gè)組件構(gòu)成。netfilter組件也稱為內(nèi)核空間(kernelspace),iptables 組件稱為用戶空間(userspace),通過iptables執(zhí)行命令或者修改配置文件來設(shè)置規(guī)則,netfilter接收指令和讀取配置文件來使這些規(guī)則生效。
1.3.3 工作方式
Netfilter組件由數(shù)據(jù)包過濾表組成,用來控制數(shù)據(jù)包過濾處理的規(guī)則集。
Iptables組件它可以更容易插入、修改和刪除數(shù)據(jù)信息包過濾表中的規(guī)則。(見圖1)
二、防火墻技術(shù)
2.1 防火墻的定義
防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。
2.2 防火墻的種類
不同的防火墻其運(yùn)用的技術(shù)不同,總的來說分以下幾類:1 .包過濾防火墻;2.應(yīng)用網(wǎng)關(guān)防火墻;3. 狀態(tài)檢測防火墻;4. 復(fù)合型防火墻。
三、防火墻的設(shè)計(jì)
3.1 設(shè)計(jì)思路
對于連接到網(wǎng)絡(luò)上的 Linux 系統(tǒng)來說,防火墻是必不可少的防御機(jī)制,它只允許合法的網(wǎng)絡(luò)流量進(jìn)出系統(tǒng),而禁止其它任何網(wǎng)絡(luò)流量。
3.2 配置規(guī)則
一個(gè)LINUX防火墻系統(tǒng)需要一個(gè)合理的、高效的并且簡單的安全機(jī)制,而安全機(jī)制通常是通過Input、Output、Forward這三條“防火鏈”來實(shí)現(xiàn)。
四、結(jié)束語
netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻,這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。
netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是,它使用戶可以完全控制防火墻配置和信息包過濾。
另外,netfilter/iptables 是免費(fèi)的,這對于那些想要節(jié)省費(fèi)用的人來說十分理想,它可以代替昂貴的防火墻解決方案。
參考文獻(xiàn)
[1] Robert L.Ziegler,《Linux防火墻》人民郵電出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP詳解 卷一:協(xié)議》機(jī)械工業(yè)出版社,2000.4.1.
[3] 中國計(jì)算機(jī)報(bào) 出版日期:2001-09-27 總期號:1058 本年期號:73 看安全策略定防火墻.
[4] 《卡飯?jiān)驴返?2期(2011.11) 關(guān)于防火墻規(guī)則.
看了“防火墻設(shè)計(jì)與技術(shù)論文”的人還看:
3.校園網(wǎng)基本網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全設(shè)計(jì)分析論文