計算機防火墻技術(shù)論文(2)
計算機防火墻技術(shù)論文
計算機防火墻技術(shù)論文篇二
基于計算機防火墻防護技術(shù)探究分析
摘要:隨著通信互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,計算機防火墻在病毒攻克防御能力上有了重新的突破。其中包括:硬件結(jié)構(gòu)、OS層結(jié)構(gòu)以及安全層結(jié)構(gòu),使其保證了終端系統(tǒng)網(wǎng)絡(luò)的安全性。文章在此進行了詳細分析,以便于提供可參考性的依據(jù)。關(guān)鍵詞:計算機;防火墻;安全應(yīng)用;層次結(jié)構(gòu)
原有計算機防火墻存有一定的缺陷,不能識別數(shù)據(jù)信息有效代碼,最終導(dǎo)致不明信令代碼的入侵,攻克計算機防護系統(tǒng)。但現(xiàn)有模式中,采用多層加密方式,保證了傳輸數(shù)據(jù)的完整性。
1計算機防火墻的分類
計算機防火墻的類型有:數(shù)據(jù)包過濾防火墻以及網(wǎng)絡(luò)地址翻譯防火墻,數(shù)據(jù)包防火墻是根據(jù)傳輸數(shù)據(jù)信息的目的地址、源地址、端口號以及遵循的協(xié)議類型來進行識別。例如:若傳輸?shù)臄?shù)據(jù)信息頭部含有31傳輸端口號,0-16為源端口,16-31為目的端口,具體數(shù)據(jù)報頭結(jié)構(gòu)如圖1所示,當數(shù)據(jù)在傳輸過程中,數(shù)據(jù)包防火墻會根據(jù)傳輸數(shù)據(jù)包的類型進行檢測。這種防火墻的優(yōu)點便是不用更改終端設(shè)備的傳輸代碼,形成一個環(huán)形鏈鎖反應(yīng),將最終的傳輸數(shù)據(jù)信息以報告的形式發(fā)送至終端設(shè)備。其次這種防火墻能夠與Pc之間建立直接邏輯聯(lián)系,當數(shù)據(jù)包滿足邏輯關(guān)系時,才能被防火墻有效的識別。
網(wǎng)絡(luò)地址翻譯防火墻是將網(wǎng)絡(luò)中的IP轉(zhuǎn)化為互聯(lián)網(wǎng)中的IP,使其提高IP利用率,這種方案設(shè)計解決了LAN內(nèi)IP地址的申請問題。并且這種防火墻翻譯技術(shù)與其他防火墻技術(shù)相比,其終端具有隱蔽性的特點,主機終端與附屬Pc形成響應(yīng),當主機終端發(fā)出應(yīng)答模式,附屬設(shè)備接收后并發(fā)出應(yīng)答,這樣該兩主機的數(shù)據(jù)才能對接,這種配置模式可以保證私有IP地訪問INT,而這種靜態(tài)配置命令需要在路由器全局配置模式下進行,其中配置路由器R1地址轉(zhuǎn)換的命令代碼如下:
Router111(config)#ip nat inside source static192.168.32.6
Router111(config)#ip nat inside source static192.168.42.6
Router111(config)#int f0/0
Router111(config-if)#ip nat in
Router111(config-if)#ip nat inside
Router111(config)#int fI/0
Router111(config-if)#ip nat out
Router111(config-if)#ip nat outside
這種配置命令能夠?qū)崿F(xiàn)路由器R1靜態(tài)地址之間的轉(zhuǎn)換,防止外部IP入侵檢測系統(tǒng),破壞數(shù)據(jù)的完整性。數(shù)據(jù)報頭結(jié)構(gòu)如圖1所示。
2計算機防火墻的應(yīng)用原理
計算機防火墻在應(yīng)用原理上將TopsecOS構(gòu)架分為3層,第1層是硬件結(jié)構(gòu)、第2層為OS層結(jié)構(gòu)、第3層為安全層結(jié)構(gòu),其中MIPS主要用于硬件結(jié)構(gòu)中,完成信息指令和數(shù)據(jù)代碼的識別。該架構(gòu)還擁有64位編碼指令集,能夠?qū)⒕幋a的數(shù)據(jù)信息數(shù)據(jù)庫,完成高級語言優(yōu)化處理功能。其次還帶有30個寄存器,完成MIPS32與MIPS64信息的轉(zhuǎn)換。OS層主要完成計算機防火墻信息加密處理,從而生成密鑰,完成PC至防火墻信息之間的識別。在RSA算法中,利用p/q兩個不對等大素數(shù)完成信息的加密與解密。加密采用的是私有密鑰:d=e-1{mod(p-1)(q-1)形式,解密采用的是m=cd(mod n),并且保證c=cd(mod n),其中m為明文,c為密文。安全結(jié)構(gòu)層是將信源代碼進行有序的還原,安全結(jié)構(gòu)層是在交換設(shè)備內(nèi)進行數(shù)據(jù)源代碼的還原。數(shù)據(jù)在傳輸過程中,首先從信源設(shè)備發(fā)出,然后在傳輸設(shè)備內(nèi)進行加密,交換設(shè)備內(nèi)進行數(shù)據(jù)代碼的解密以及封裝,最后將解密后的數(shù)據(jù)信息傳輸至終端設(shè)備內(nèi)。但是病毒往往破壞數(shù)據(jù)報頭結(jié)構(gòu),造成傳輸數(shù)據(jù)片段缺失,而無法回復(fù)原有的數(shù)據(jù)模塊。在結(jié)構(gòu)層中,數(shù)據(jù)報頭中的源端口中存有一定的數(shù)據(jù)信息,當數(shù)據(jù)片段發(fā)生缺失時,只要找到數(shù)據(jù)報頭的源端口,便可恢復(fù)發(fā)送的數(shù)據(jù)信息,這種結(jié)構(gòu)在計算機防火墻中早已應(yīng)用,并取得了一定的成效。
3計算機防護墻存在的問題
計算機防火墻雖然具有一定的抵御能力,但是由于計算機病毒結(jié)構(gòu)的多變,一些文件夾中會隱藏或者嵌套著病毒代碼,導(dǎo)致防火墻不能有效的進行識別。例如:防火墻在對傳輸代碼進行識別時,防火墻識別的代碼指令為100…101,但由于病毒代碼的串改,導(dǎo)致傳輸?shù)拇a變?yōu)?00…111,防火墻識別了代碼中的前三位和后兩位,最終使病毒入侵至計算機服務(wù)器內(nèi),導(dǎo)致系統(tǒng)的崩潰。防火墻對于OA系統(tǒng)內(nèi)的病毒并不能有效的抑制,一般防火墻不但能夠攔截病毒,并且殺死計算機入侵的病毒。但是當病毒入侵NOA內(nèi),有些防火墻的抵御能力以及殺毒能力不能正常發(fā)揮作用。對于Web中的數(shù)據(jù)流量防火墻也不能進行有效的識別,防火墻對于SSL加密的數(shù)據(jù)信息是可見的,但是對于數(shù)據(jù)信息的解密防火墻目前無法破解,這便導(dǎo)致了網(wǎng)絡(luò)黑客借助SSL數(shù)據(jù)流量的加密性,攻擊用戶客戶端。其次便是防火墻無法屏蔽過長的URL,防火墻供應(yīng)商在防火墻軟件上說明該殺毒程序能夠有效阻止緩存的溢出。
計算機防火墻網(wǎng)絡(luò)體系結(jié)構(gòu)也存有一定的缺陷,其中包括物理層以及網(wǎng)絡(luò)層,網(wǎng)絡(luò)層存在的問題主要是網(wǎng)絡(luò)通信線路的破壞與物理數(shù)據(jù)竊聽網(wǎng)絡(luò)防火墻傳輸線路遭到破壞時,數(shù)據(jù)便有可能遭受到外界的攻擊,使其數(shù)據(jù)包丟失。網(wǎng)絡(luò)層存在的缺陷主要從2個層面進行分析,一種是防火墻安全配置問題,另一種是網(wǎng)絡(luò)用戶安全意識的缺失。一般企業(yè)內(nèi)部采用的都是局域網(wǎng)通透防火墻,這種防火墻能夠?qū)P地址進行過濾。企業(yè)只需要將內(nèi)部PC的IP錄入至終端數(shù)據(jù)庫,防火墻便會通過IP篩選的方式將外界不明代碼進行過濾,防止黑客對防火墻的任意攻擊。但這種過濾方式會對FTP服務(wù)器以及Web服務(wù)器造成數(shù)據(jù)代碼信息的丟失,在篩選過程中會減少數(shù)據(jù)字符串的信息量,當過濾掉大量IP時,字符串的信息便會大量減少,使其出現(xiàn)數(shù)據(jù)到達終端數(shù)據(jù)庫的信息大量減少。網(wǎng)絡(luò)用戶安全意識的缺失也是造成計算機防火墻出現(xiàn)問題的主要原因,用戶隨意登錄不明網(wǎng)站時,防火墻便會進行防火攔截,終止惡意代碼的入侵,但有時阻止程序會發(fā)生中斷,使其黑客病毒入侵至終端系統(tǒng),造成大量數(shù)據(jù)信息的丟失。
4計算機防火墻的發(fā)展應(yīng)用
計算機防火墻現(xiàn)已逐步應(yīng)用于各個區(qū)域,其中包括:軍事行業(yè)、療衛(wèi)生行業(yè)、機械制造業(yè)以及IT互聯(lián)網(wǎng)行業(yè),軍事網(wǎng)絡(luò)防火墻的應(yīng)用能夠抵御外來病毒的入侵,保護國家軍事機密文件。軍事網(wǎng)絡(luò)防火墻屬于特殊防火墻,一般不與外網(wǎng)相連,外部的黑客無法攻入,使其保證了數(shù)據(jù)信息的完整性。醫(yī)療衛(wèi)生行業(yè)計算機防火墻的設(shè)立,保證醫(yī)藥管理人員能夠安全登錄后臺操作系統(tǒng),查看醫(yī)院現(xiàn)有的藥品種類,以及完成藥品的歸類等。機械制造業(yè)計算機防火墻的設(shè)立,能夠有效抑制黑客對設(shè)備參數(shù)的更改。原有制造業(yè)沒有對其進行防護,導(dǎo)致黑客攻入計算機終端系統(tǒng),調(diào)整車床加工參數(shù),使其生產(chǎn)出的設(shè)備不能滿足實際的需求。其次便是IT互聯(lián)網(wǎng)行業(yè)計算機防火墻的設(shè)立,IT行業(yè)獨自建立企業(yè)內(nèi)部的安全防護網(wǎng),保證企業(yè)專屬數(shù)據(jù)信息的有效性。計算機防火墻現(xiàn)已在各個終端系統(tǒng)都有所應(yīng)用,其實保證數(shù)據(jù)信息的安全性。
5結(jié)語
通過對計算機防火墻防護技術(shù)和安全應(yīng)用分析,使得學(xué)者對此有了更為深刻的認知。防火墻的建立不但保證了終端系統(tǒng)的安全性,并且對于整個運行網(wǎng)絡(luò)的安全性也起到了一定的保障,使其促進了互聯(lián)網(wǎng)經(jīng)濟的不斷發(fā)展。
看了“計算機防火墻技術(shù)論文”的人還看: