網(wǎng)絡(luò )防火墻技術(shù)論文

　　網(wǎng)絡(luò )防火墻技術(shù)是互聯(lián)網(wǎng)中受人關(guān)注的重點(diǎn)網(wǎng)絡(luò )安全問(wèn)題。下面就隨小編一起去閱讀網(wǎng)絡(luò )防火墻技術(shù)論文，相信能帶給大家幫助。

　　網(wǎng)絡(luò )防火墻技術(shù)論文一

　　[論文關(guān)鍵詞]

　　防火墻 網(wǎng)絡(luò )安全

　　[論文摘要]

　　在當今的計算機世界，因特網(wǎng)無(wú)孔不入。為應付“不健全”的因特網(wǎng)，人們創(chuàng )建了幾種安全機制，例如訪(fǎng)問(wèn)控制、認證表，以及最重要的方法之一：防火墻。

　　隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，因特網(wǎng)已經(jīng)走進(jìn)千家萬(wàn)戶(hù)，網(wǎng)絡(luò )的安全成為人們最為關(guān)注的問(wèn)題。目前，保護內部網(wǎng)免遭外部入侵比較有效的方法為防火墻技術(shù)。

　　一、防火墻的基本概念

　　防火墻是一個(gè)系統或一組系統，在內部網(wǎng)與因特網(wǎng)間執行一定的安全策略，它實(shí)際上是一種隔離技術(shù)。

　　一個(gè)有效的防火墻應該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過(guò)防火墻，所有流經(jīng)防火墻的信息都應接受檢查。通過(guò)防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來(lái)入侵；監控網(wǎng)絡(luò )的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過(guò)時(shí)除進(jìn)行檢查外，還應做日志登記；提供網(wǎng)絡(luò )地址轉換功能，有助于緩解IP地址資源緊張的問(wèn)題，同時(shí)，可以避免當一個(gè)內部網(wǎng)更換ISP時(shí)需重新編號的麻煩；防火墻是為客戶(hù)提供服務(wù)的理想位置，即在其上可以配置相應的WWW和FTP服務(wù)等。

　　二、防火墻的技術(shù)分類(lèi)

　　現有的防火墻主要有：包過(guò)濾型、代理服務(wù)器型、復合型以及其他類(lèi)型（雙宿主主機、主機過(guò)濾以及加密路由器）防火墻。

　　包過(guò)濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過(guò)濾的功能。包過(guò)濾規則以IP包信息為基礎，對IP源地址、目標地址、協(xié)議類(lèi)型、端口號等進(jìn)行篩選。包過(guò)濾在網(wǎng)絡(luò )層進(jìn)行。

　　代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構成，服務(wù)器端程序和客戶(hù)端程序�？蛻�(hù)端程序與中間節點(diǎn)連接，中間節點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。

　　復合型（Hybfid）防火墻將包過(guò)濾和代理服務(wù)兩種方法結合起來(lái)，形成新的防火墻，由堡壘主機提供代理服務(wù)。

　　各類(lèi)防火墻路由器和各種主機按其配置和功能可組成各種類(lèi)型的防火墻，主要有：雙宿主主機防火墻，它是由堡壘主機充當網(wǎng)關(guān)，并在其上運行防火墻軟件，內外網(wǎng)之間的通信必須經(jīng)過(guò)堡壘主機；主機過(guò)濾防火墻是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機安裝在內部網(wǎng)上，使堡壘主機成為外部網(wǎng)所能到達的惟一節點(diǎn)，從而確保內部網(wǎng)不受外部非授權用戶(hù)的攻擊；加密路由器對通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò )傳輸到目的端進(jìn)行解壓縮和解密。

　　三、防火墻的基本功能

　　典型的防火墻應包含如下模塊中的一個(gè)或多個(gè)：包過(guò)濾路由器、應用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

　�。ㄒ唬┌�過(guò)濾路由器

　　包過(guò)濾路由器將對每一個(gè)接收到的包進(jìn)行允許／拒絕的決定。具體地，它對每一個(gè)數據報的包頭，按照包過(guò)濾規則進(jìn)行判定，與規則相匹配的包依據路由表信息繼續轉發(fā)，否則，則丟棄之。

　　與服務(wù)相關(guān)的過(guò)濾，是指基于特定的服務(wù)進(jìn)行包過(guò)濾，由于絕大多數服務(wù)的監聽(tīng)都駐留在特定TCP／UDP端口，因此，阻塞所有進(jìn)入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標端口的包丟棄即可。

　　獨立于服務(wù)的過(guò)濾，有些類(lèi)型的攻擊是與服務(wù)無(wú)關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細小碎片攻擊等。由此可見(jiàn)此類(lèi)網(wǎng)上攻擊僅僅借助包頭信息是難以識別的，此時(shí)，需要路由器在原過(guò)濾規則的基礎附上另外的條件，這些條件的判別信息可以通過(guò)檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

　�。ǘ�）應用層網(wǎng)關(guān)

　　應用層網(wǎng)關(guān)允許網(wǎng)絡(luò )管理員實(shí)施一個(gè)較包過(guò)濾路由器更為嚴格的安全策略，為每一個(gè)期望的應用服務(wù)在其網(wǎng)關(guān)上安裝專(zhuān)用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應用服務(wù)的某些特定的特性。對應用服務(wù)的訪(fǎng)問(wèn)都是通過(guò)訪(fǎng)問(wèn)相應的代理服務(wù)實(shí)現的，而不允許用戶(hù)直接登錄到應用層網(wǎng)關(guān)。

　　應用層網(wǎng)關(guān)安全性的提高是以購買(mǎi)相關(guān)硬件平臺的費用為代價(jià)，網(wǎng)關(guān)的配置將降低對用戶(hù)的服務(wù)水平，但增加了安全配置上的靈活性。

　�。ㄈ�）鏈路層網(wǎng)關(guān)

　　鏈路層網(wǎng)關(guān)是可由應用層網(wǎng)關(guān)實(shí)現的特殊功能。它僅僅替代TCP連接而無(wú)需執行任何附加的包處理和過(guò)濾。

　　四、防火墻的安全構建

　　在進(jìn)行防火墻設計構建中，網(wǎng)絡(luò )管理員應考慮防火墻的基本準則；整個(gè)企業(yè)網(wǎng)的安全策略；以及防火墻的財務(wù)費用預算等。

　�。ㄒ唬┗�本準則

　　可以采取如下兩種理念中的一種來(lái)定義防火墻應遵循的準則：第一，未經(jīng)說(shuō)明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請求或應用的實(shí)現都基于逐項審查的基礎上。這是一個(gè)值得推薦的方法，它將創(chuàng )建一個(gè)非常安全的環(huán)境。當然，該理念的不足在于過(guò)于強調安全而減弱了可用性，限制了用戶(hù)可以申請的服務(wù)的數量。第二，未說(shuō)明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一個(gè)潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

　�。ǘ�）安全策略

　　在一個(gè)企業(yè)網(wǎng)中，防火墻應該是全局安全策略的一部分，構建防火墻時(shí)首先要考慮其保護的范圍。企業(yè)網(wǎng)的安全策略應該在細致的安全分析、全面的風(fēng)險假設以及商務(wù)需求分析基礎上來(lái)制定。

　�。ㄈ�）構建費用

　　簡(jiǎn)單的包過(guò)濾防火墻所需費用最少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過(guò)濾是標準路由器的一個(gè)基本特性。對于一臺商用防火墻隨著(zhù)其復雜性和被保護系統數目的增加，其費用也隨之增加。

　　至于采用自行構造防火墻方式，雖然費用低一些，但仍需要時(shí)間和經(jīng)費開(kāi)發(fā)、配置防火墻系統，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。

　　五、防火墻的局限性

　　盡管利用防火墻可以保護內部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò )的安全性，不可能保證網(wǎng)絡(luò )的絕對安全。事實(shí)上仍然存在著(zhù)一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò )內部向外撥號，一些用戶(hù)就可能形成與Internet的直接連接。另外，防火墻很難防范來(lái)自于網(wǎng)絡(luò )內部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò )運行環(huán)境中，僅僅依靠防火墻來(lái)保證網(wǎng)絡(luò )的安全顯然是不夠，此時(shí)，應根據實(shí)際需求采取其他相應的安全策略。

　　網(wǎng)絡(luò )防火墻技術(shù)論文二

　　論文導讀：

　　影響計算機網(wǎng)絡(luò )安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡(luò )安全的技術(shù)性措施。使用單防火墻和單子網(wǎng)保護多級應用系統的網(wǎng)絡(luò )結構。欺騙，論文參考，計算機網(wǎng)絡(luò )安全與防火墻技術(shù)。

　　關(guān)鍵詞：

　　計算機網(wǎng)絡(luò )安全，防火墻，單子網(wǎng)，arp欺騙

　　影響計算機網(wǎng)絡(luò )安全的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對網(wǎng)絡(luò )系統資源的非法使有。這些因素可以大體分類(lèi)為：計算機病毒、人為的無(wú)意失誤、人為的惡意攻擊、網(wǎng)絡(luò )軟件的缺陷和漏洞、物理安全問(wèn)題。

　　而防火墻是一種保護計算機網(wǎng)絡(luò )安全的技術(shù)性措施，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò )通訊時(shí)執行的一種訪(fǎng)問(wèn)控制尺度，它能允許你“同意”的人和數據進(jìn)入你的網(wǎng)絡(luò )，同時(shí)將你“不同意”的人和數據拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò )中的黑客來(lái)訪(fǎng)問(wèn)你的網(wǎng)絡(luò )，防止他們更改、拷貝、毀壞你的重要信息。

　　1. 非法攻擊防火墻的基本“招數”

　　通常情況下, 有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的。因為這些網(wǎng)址得到了防火墻的信賴(lài)，雖說(shuō)成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。下面以數據包過(guò)濾防火墻為例，簡(jiǎn)要描述可能的攻擊過(guò)程。

　　通常主機A與主機B 的TCP 連接(中間有或無(wú)防火墻) 是通過(guò)主機A向主機B 提出請求建立起來(lái)的，而其間A和B 的確認僅僅根據由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴(lài)主機。這樣可以使用TCP 淹沒(méi)攻擊(TCP SynFlood Attack)，使得信賴(lài)主機處于“自顧不暇”的忙碌狀態(tài),相當于被切斷,這時(shí)目標主機會(huì )認為信賴(lài)主機出現了故障，只能發(fā)出無(wú)法建立連接的RST 包，而無(wú)暇顧及其他。

　　攻擊者最關(guān)心的是猜測目標主機的ISN。為此，可以利用SMTP的端口(25),通常它是開(kāi)放的，郵件能夠通過(guò)這個(gè)端口，與目標主機打開(kāi)(Open)一個(gè)TCP 連接，因而得到它的ISN。在此有效期間，重復這一過(guò)程若干次，以便能夠猜測和確定ISN的產(chǎn)生和變化規律，這樣就可以使用被切斷的可信賴(lài)主機的IP 地址向目標主機發(fā)出連接請求。請求發(fā)出后，目標主機會(huì )認為它是TCP 連接的請求者，從而給信賴(lài)主機發(fā)送響應(包括SYN)，而信賴(lài)主機目前仍忙于處理Flood淹沒(méi)攻擊產(chǎn)生的'“合法”請求，因此目標主機不能得到來(lái)自于信賴(lài)主機的響應�，F在攻擊者發(fā)出回答響應,并連同預測的目標主機的ISN一同發(fā)給目標主機，隨著(zhù)不斷地糾正預測的ISN，攻擊者最終會(huì )與目標主機建立一個(gè)會(huì )晤。通過(guò)這種方式, 攻擊者以合法用戶(hù)的身份登錄到目標主機而不需進(jìn)一步的確認。論文參考，arp欺騙。。如果反復試驗使得目標主機能夠接收對網(wǎng)絡(luò )的ROOT 登錄，那么就可以完全控制整個(gè)網(wǎng)絡(luò )。

　　2. 單防火墻和單子網(wǎng)

　　由于不同的資源存在著(zhù)不同的風(fēng)險程度，所以要基于此來(lái)對網(wǎng)絡(luò )資源進(jìn)行劃分。這里的風(fēng)險包含兩個(gè)因素: 資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個(gè)好的Web 服務(wù)器運行CGI 會(huì )比僅僅提供靜態(tài)網(wǎng)頁(yè)更容易得到用戶(hù)的認可，但隨之帶來(lái)的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò )管理員在服務(wù)器前端配置防火墻,會(huì )減少它全面暴露的風(fēng)險。數據庫服務(wù)器中存放有重要數據,它比Web 服務(wù)器更加敏感,因此需要添加額外的安全保護層。

　　使用單防火墻和單子網(wǎng)保護多級應用系統的網(wǎng)絡(luò )結構，這里所有的服務(wù)器都被安排在同一個(gè)子網(wǎng)，防火墻接在邊界路由器與內部網(wǎng)絡(luò )之間，防御來(lái)自Internet 的網(wǎng)絡(luò )攻擊。論文參考，arp欺騙。。在網(wǎng)絡(luò )使用和基于主機的入侵檢測系統下，服務(wù)器得到了加強和防護，這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術(shù)在所有堅固的設計中是非常普遍的，但它們并沒(méi)有明顯的顯示在圖表中。

　　在這種設計方案中，所有服務(wù)器都安排在同一個(gè)子網(wǎng)，用防火墻將它們與Internet 隔離，這些不同安全級別的服務(wù)器在子網(wǎng)中受到同等級的安全保護。盡管所有服務(wù)器都在一個(gè)子網(wǎng),但網(wǎng)絡(luò )管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護服務(wù)器的方案系統造價(jià)便宜，而且網(wǎng)絡(luò )管理和維護比較簡(jiǎn)單，這是該方案的一個(gè)重要優(yōu)點(diǎn)。因此, 當進(jìn)一步隔離網(wǎng)絡(luò )服務(wù)器并不能從實(shí)質(zhì)上降低重要數據的安全風(fēng)險時(shí)，采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。

　　3. 單防火墻和多子網(wǎng)

　　如果遇見(jiàn)適合劃分多個(gè)子網(wǎng)的情況，網(wǎng)絡(luò )管理員可以把內部網(wǎng)絡(luò )劃分成獨立的子網(wǎng)，不同層的服務(wù)器分別放在不同的子網(wǎng)中，數據層服務(wù)器只接受中間層服務(wù)器數據查詢(xún)時(shí)連接的端口，就能有效地提高數據層服務(wù)器的安全性，也能夠幫助防御其它類(lèi)型的攻擊。論文參考，arp欺騙。。這時(shí)，更適于采用一種更為精巧的網(wǎng)絡(luò )結構———單個(gè)防火墻劃分多重子網(wǎng)結構。單個(gè)防火墻劃分多重子網(wǎng)的方法就是在一個(gè)防火墻上開(kāi)放多個(gè)端口，用該防火墻把整個(gè)網(wǎng)絡(luò )劃分成多個(gè)子網(wǎng)，每個(gè)子網(wǎng)分管應用系統的特定的層。管理員能夠在防火墻不同的端口上設置不同的安全策略。

　　使用單個(gè)防火墻分割網(wǎng)絡(luò )是對應用系統分層的最經(jīng)濟的一種方法，但它并不是沒(méi)有局限性。邏輯上的單個(gè)防火墻，即便有冗余的硬件設備，當用它來(lái)加強不同安全風(fēng)險級別的服務(wù)器的安全策略時(shí)，如果該防火墻出現危險或錯誤的配置，入侵者就會(huì )獲取所有子網(wǎng)包括數據層服務(wù)器所在的最敏感網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。而且，該防火墻需要檢測所有子網(wǎng)間的流通數據，因此，它會(huì )變成網(wǎng)絡(luò )執行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設計方案———多個(gè)防火墻劃分多個(gè)子網(wǎng)的方法，來(lái)消除這種缺陷。

　　4.arp欺騙對策

　　各種網(wǎng)絡(luò )安全的對策都是相對的，主要要看網(wǎng)管平時(shí)對網(wǎng)絡(luò )安全的重視性了。下面介始一些相應的對策：

　　在系統中建立靜態(tài)ARP表，建立后對本身自已系統影響不大的，對網(wǎng)絡(luò )影響較大，破壞了動(dòng)態(tài)ARP解析過(guò)程。論文參考，arp欺騙。。靜態(tài)ARP協(xié)議表不會(huì )過(guò)期的，我們用“arp–d”命令清除ARP表，即手動(dòng)刪除。論文參考，arp欺騙。。但是有的系統的靜態(tài)ARP表項可以被動(dòng)態(tài)刷新，如Solaris系統，那樣的話(huà)依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態(tài)ARP表項不會(huì )自動(dòng)超時(shí)消失。論文參考，arp欺騙。。 在相對系統中禁止某個(gè)網(wǎng)絡(luò )接口做ARP解析(對抗ARP欺騙攻擊)，可以做靜態(tài)ARP協(xié)議設置(因為對方不會(huì )響應ARP請求報文)如：arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數操作系統如：Unix、BSD、NT等，都可以結合“禁止相應網(wǎng)絡(luò )接口做ARP解析”和“使用靜態(tài)ARP表”的設置來(lái)對抗ARP欺騙攻擊。而Linux系統，其靜態(tài)ARP表項不會(huì )被動(dòng)態(tài)刷新，所以不需要“禁止相應網(wǎng)絡(luò )接口做ARP解析”即可對抗ARP欺騙攻擊。

【網(wǎng)絡(luò )防火墻技術(shù)論文】相關(guān)文章：

網(wǎng)絡(luò )技術(shù)維護服務(wù)合同11-27

網(wǎng)絡(luò )的議論文04-15

網(wǎng)絡(luò )利與弊議論文02-16

數控技術(shù)論文致謝04-20

生態(tài)護坡技術(shù)分析論文04-08

網(wǎng)絡(luò )技術(shù)部員工獲獎感言01-22

網(wǎng)絡(luò )的議論文15篇04-15

學(xué)生學(xué)習信息技術(shù)論文04-04

網(wǎng)絡(luò )資源大學(xué)物理論文04-04

網(wǎng)絡(luò )暴力議論文作文800字03-05