網(wǎng)絡(luò )安全防火墻論文

　　網(wǎng)絡(luò )安全關(guān)系到信息的保密與泄露，以下是小編整理的網(wǎng)絡(luò )安全防火墻論文，歡迎參考閱讀！

　　防火墻安全的計算機網(wǎng)絡(luò )安全論文

　　1計算機網(wǎng)絡(luò )安全中常用的防火墻技術(shù)

　　隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)快速發(fā)展，防火墻安全防范技術(shù)也不斷的發(fā)生著(zhù)變化，目前，常用的防火墻技術(shù)有代理型防火墻安全技術(shù)、包過(guò)濾型防火墻安全技術(shù)、監測型防火墻安全技術(shù)、網(wǎng)址轉換防火墻安全技術(shù)等。

　　1。1代理型防火墻安全技術(shù)代理型防火墻安全技術(shù)是一種代理服務(wù)器，屬于高級防火墻技術(shù)，代理型防火墻安全技術(shù)常用于用戶(hù)之間，對可能對電腦信息造成危害的動(dòng)作進(jìn)行攔截，從用戶(hù)的角度講，代理服務(wù)器是有用的服務(wù)器，從服務(wù)器的角度看，代理型服務(wù)器，就是用戶(hù)機。當用戶(hù)的計算機進(jìn)行信息溝通、傳遞時(shí)，所有的信息都會(huì )通過(guò)代理型服務(wù)器，代理型服務(wù)器會(huì )將不利的信息過(guò)濾掉，例如阻攔各種攻擊信息的行為，代理服務(wù)器會(huì )將真正的信息傳遞到用戶(hù)的計算機中。代理型防火墻技術(shù)的最大的`特點(diǎn)是安全性能高，針對性強，能將不利的信息直接過(guò)濾掉。

　　1。2包過(guò)濾型防火墻安全技術(shù)包過(guò)濾防火墻安全技術(shù)是一種比較傳統的安全技術(shù)，其關(guān)鍵技術(shù)點(diǎn)是網(wǎng)絡(luò )分包傳輸，在信息傳遞過(guò)程中，以包為單位，每個(gè)數據包代表不同的含義，數據包可以根據信息數據的大小、信息的來(lái)源、信息的性質(zhì)等進(jìn)行劃分，包過(guò)濾防火墻技術(shù)就是對這些數據包進(jìn)行識別，判斷這些數據包是否合法，從而實(shí)現計算機網(wǎng)絡(luò )安全防護。包過(guò)濾型防火墻安全技術(shù)是在計算機網(wǎng)路系統中設定過(guò)濾邏輯，使用相關(guān)軟件對進(jìn)出網(wǎng)絡(luò )的數據進(jìn)行控制，從而實(shí)現計算機網(wǎng)絡(luò )安全防護。包過(guò)濾防火墻技術(shù)的最重要的是包過(guò)濾技術(shù)，包過(guò)濾型防火墻安全技術(shù)的特點(diǎn)有適應性強、實(shí)用性強、成本低，但包過(guò)濾型防火墻技術(shù)的最大缺點(diǎn)是不能對惡意程序、數據進(jìn)行進(jìn)行識別，一些非法人員可以偽造地址，繞過(guò)包過(guò)濾防火墻，直接對用戶(hù)計算機進(jìn)行攻擊。

　　1。3監測型防火墻安全技術(shù)監測型防火墻安全技術(shù)是對數據信息進(jìn)行檢測，從而提高計算機網(wǎng)絡(luò )安全，但監測型防火墻安全技術(shù)成本費用比較高，不容易管理，從安全角度考慮，監測型防火墻安全技術(shù)還是可以用于計算機網(wǎng)絡(luò )中。

　　1。4網(wǎng)址轉換防火墻安全技術(shù)網(wǎng)址轉換技術(shù)將網(wǎng)絡(luò )地址轉換成外部的、臨時(shí)的地址，這樣外部IP對內部網(wǎng)絡(luò )進(jìn)行訪(fǎng)問(wèn)時(shí)，其他用戶(hù)不能利用其他IP重復訪(fǎng)問(wèn)網(wǎng)絡(luò )，外部IP在訪(fǎng)問(wèn)網(wǎng)絡(luò )時(shí)，首先會(huì )轉到記錄和識別中進(jìn)行身份確認，系統的源地址通過(guò)外部網(wǎng)絡(luò )和非安全網(wǎng)卡連接真正的IP會(huì )轉換成虛擬的IP，將真正的IP隱藏起來(lái)。當用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )時(shí)，如果符合相關(guān)準則，防火墻就會(huì )允許用戶(hù)訪(fǎng)問(wèn)，如果檢測不符合準則，防火墻就會(huì )認為該訪(fǎng)問(wèn)不安全，進(jìn)行攔截。

　　2防火墻安全防范技術(shù)在計算機網(wǎng)絡(luò )安全中的應用

　　2。1訪(fǎng)問(wèn)策略設置訪(fǎng)問(wèn)策略設置是防火墻的核心安全策略，因此，在設置訪(fǎng)問(wèn)策略時(shí)，要采用詳細的信息說(shuō)明和詳細的系統統計，在設置過(guò)程中，要了解用戶(hù)對內部及外部的應用，掌握用戶(hù)目的地址、源地址，然后根據排序準則和應用準則進(jìn)行設置在，這樣防火墻在執行過(guò)程中，能按照相應的順序進(jìn)行執行。

　　2。2安全服務(wù)配置安全服務(wù)的是一個(gè)獨立的局域網(wǎng)絡(luò )，安全服務(wù)的隔離區將系統管理的機群和服務(wù)器的機群?jiǎn)为殑澐殖鰜?lái)，從而保障系統管理和服務(wù)器的信息安全，安全服務(wù)既是獨立的網(wǎng)絡(luò )又是計算機內部網(wǎng)絡(luò )的重要組成部分。對于內部網(wǎng)絡(luò )可以采用網(wǎng)址轉換防火墻安全技術(shù)進(jìn)行保護，將主機地址設置成有效的IP地址，并且將這些網(wǎng)址設置公用地址，這樣就能對外界IP地址進(jìn)行攔截，有效的保護計算機內部網(wǎng)絡(luò )安全，確保計算機內部網(wǎng)絡(luò )安全、穩定的運行。如果企業(yè)擁有邊界路由器，可以利用原有的邊界路由器，采用包過(guò)濾防火墻安全技術(shù)進(jìn)行網(wǎng)絡(luò )安全保護，這樣還可有降低防火墻成本費用。

　　2。3日志監控日志監控是保護計算機網(wǎng)絡(luò )安全的重要管理手段之一，在進(jìn)行日志監控時(shí)，一些管理員認為不必要進(jìn)行日志信息采集，但防火墻信息數據很多，并且這些信息十分繁雜，只有收集關(guān)鍵的日志，才能當做有效的日志。系統警告信息十分重要，對進(jìn)入防火墻的信息進(jìn)行選擇性記錄，就能記錄下對計算機網(wǎng)絡(luò )有威脅的信息。

　　3結束語(yǔ)

　　計算機網(wǎng)絡(luò )技術(shù)的快速發(fā)展必然會(huì )為網(wǎng)絡(luò )安全帶來(lái)一定的隱患，因此，要不斷更新完善計算機網(wǎng)絡(luò )安全技術(shù)，改革防火墻安全防范技術(shù)，抵抗各種對計算機信息有害的行為，提高計算機網(wǎng)絡(luò )安全防護能力，確保計算機網(wǎng)絡(luò )安全，從而保證計算機網(wǎng)絡(luò )系統安全穩定的運行。

　　計算機網(wǎng)絡(luò )安全與防火墻技術(shù)

　　導讀：影響計算機網(wǎng)絡(luò )安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡(luò )安全的技術(shù)性措施。使用單防火墻和單子網(wǎng)保護多級應用系統的網(wǎng)絡(luò )結構。欺騙，論文參考，計算機網(wǎng)絡(luò )安全與防火墻技術(shù)。

　　關(guān)鍵詞：計算機網(wǎng)絡(luò )安全，防火墻，單子網(wǎng)，arp欺騙

　　影響計算機網(wǎng)絡(luò )安全的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對網(wǎng)絡(luò )系統資源的非法使有。這些因素可以大體分類(lèi)為：計算機病毒、人為的無(wú)意失誤、人為的惡意攻擊、網(wǎng)絡(luò )軟件的缺陷和漏洞、物理安全問(wèn)題。

　　而防火墻是一種保護計算機網(wǎng)絡(luò )安全的技術(shù)性措施，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò )通訊時(shí)執行的一種訪(fǎng)問(wèn)控制尺度，它能允許你“同意”的人和數據進(jìn)入你的網(wǎng)絡(luò )，同時(shí)將你“不同意”的人和數據拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò )中的黑客來(lái)訪(fǎng)問(wèn)你的網(wǎng)絡(luò )，防止他們更改、拷貝、毀壞你的重要信息。

　　1。 非法攻擊防火墻的基本“招數”

　　通常情況下， 有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的。因為這些網(wǎng)址得到了防火墻的信賴(lài)，雖說(shuō)成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。下面以數據包過(guò)濾防火墻為例，簡(jiǎn)要描述可能的攻擊過(guò)程。

　　通常主機A與主機B 的TCP 連接（中間有或無(wú)防火墻） 是通過(guò)主機A向主機B 提出請求建立起來(lái)的，而其間A和B 的確認僅僅根據由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴(lài)主機。這樣可以使用TCP 淹沒(méi)攻擊（TCP SynFlood Attack），使得信賴(lài)主機處于“自顧不暇”的忙碌狀態(tài)，相當于被切斷，這時(shí)目標主機會(huì )認為信賴(lài)主機出現了故障，只能發(fā)出無(wú)法建立連接的RST 包，而無(wú)暇顧及其他。

　　攻擊者最關(guān)心的是猜測目標主機的.ISN。為此，可以利用SMTP的端口（25），通常它是開(kāi)放的，郵件能夠通過(guò)這個(gè)端口，與目標主機打開(kāi)（Open）一個(gè)TCP 連接，因而得到它的ISN。在此有效期間，重復這一過(guò)程若干次，以便能夠猜測和確定ISN的產(chǎn)生和變化規律，這樣就可以使用被切斷的可信賴(lài)主機的IP 地址向目標主機發(fā)出連接請求。請求發(fā)出后，目標主機會(huì )認為它是TCP 連接的請求者，從而給信賴(lài)主機發(fā)送響應（包括SYN），而信賴(lài)主機目前仍忙于處理Flood淹沒(méi)攻擊產(chǎn)生的“合法”請求，因此目標主機不能得到來(lái)自于信賴(lài)主機的響應�，F在攻擊者發(fā)出回答響應，并連同預測的目標主機的ISN一同發(fā)給目標主機，隨著(zhù)不斷地糾正預測的ISN，攻擊者最終會(huì )與目標主機建立一個(gè)會(huì )晤。通過(guò)這種方式， 攻擊者以合法用戶(hù)的身份登錄到目標主機而不需進(jìn)一步的確認。論文參考，arp欺騙。。如果反復試驗使得目標主機能夠接收對網(wǎng)絡(luò )的ROOT 登錄，那么就可以完全控制整個(gè)網(wǎng)絡(luò )。

　　2。 單防火墻和單子網(wǎng)

　　由于不同的資源存在著(zhù)不同的風(fēng)險程度，所以要基于此來(lái)對網(wǎng)絡(luò )資源進(jìn)行劃分。這里的風(fēng)險包含兩個(gè)因素： 資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個(gè)好的Web 服務(wù)器運行CGI 會(huì )比僅僅提供靜態(tài)網(wǎng)頁(yè)更容易得到用戶(hù)的認可，但隨之帶來(lái)的卻是Web 服務(wù)器的安全隱患。網(wǎng)絡(luò )管理員在服務(wù)器前端配置防火墻，會(huì )減少它全面暴露的風(fēng)險。數據庫服務(wù)器中存放有重要數據，它比Web 服務(wù)器更加敏感，因此需要添加額外的安全保護層。

　　使用單防火墻和單子網(wǎng)保護多級應用系統的網(wǎng)絡(luò )結構，這里所有的服務(wù)器都被安排在同一個(gè)子網(wǎng)，防火墻接在邊界路由器與內部網(wǎng)絡(luò )之間，防御來(lái)自Internet 的網(wǎng)絡(luò )攻擊。論文參考，arp欺騙。。在網(wǎng)絡(luò )使用和基于主機的入侵檢測系統下，服務(wù)器得到了加強和防護，這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術(shù)在所有堅固的設計中是非常普遍的，但它們并沒(méi)有明顯的顯示在圖表中。

　　在這種設計方案中，所有服務(wù)器都安排在同一個(gè)子網(wǎng)，用防火墻將它們與Internet 隔離，這些不同安全級別的服務(wù)器在子網(wǎng)中受到同等級的安全保護。盡管所有服務(wù)器都在一個(gè)子網(wǎng)，但網(wǎng)絡(luò )管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護服務(wù)器的方案系統造價(jià)便宜，而且網(wǎng)絡(luò )管理和維護比較簡(jiǎn)單，這是該方案的一個(gè)重要優(yōu)點(diǎn)。因此， 當進(jìn)一步隔離網(wǎng)絡(luò )服務(wù)器并不能從實(shí)質(zhì)上降低重要數據的安全風(fēng)險時(shí)，采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。

　　3。 單防火墻和多子網(wǎng)

　　如果遇見(jiàn)適合劃分多個(gè)子網(wǎng)的情況，網(wǎng)絡(luò )管理員可以把內部網(wǎng)絡(luò )劃分成獨立的子網(wǎng)，不同層的服務(wù)器分別放在不同的子網(wǎng)中，數據層服務(wù)器只接受中間層服務(wù)器數據查詢(xún)時(shí)連接的端口，就能有效地提高數據層服務(wù)器的安全性，也能夠幫助防御其它類(lèi)型的攻擊。論文參考，arp欺騙。。這時(shí)，更適于采用一種更為精巧的網(wǎng)絡(luò )結構———單個(gè)防火墻劃分多重子網(wǎng)結構。單個(gè)防火墻劃分多重子網(wǎng)的方法就是在一個(gè)防火墻上開(kāi)放多個(gè)端口，用該防火墻把整個(gè)網(wǎng)絡(luò )劃分成多個(gè)子網(wǎng)，每個(gè)子網(wǎng)分管應用系統的特定的層。管理員能夠在防火墻不同的端口上設置不同的安全策略。

　　使用單個(gè)防火墻分割網(wǎng)絡(luò )是對應用系統分層的最經(jīng)濟的一種方法，但它并不是沒(méi)有局限性。邏輯上的單個(gè)防火墻，即便有冗余的硬件設備，當用它來(lái)加強不同安全風(fēng)險級別的服務(wù)器的安全策略時(shí)，如果該防火墻出現危險或錯誤的配置，入侵者就會(huì )獲取所有子網(wǎng)包括數據層服務(wù)器所在的最敏感網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。而且，該防火墻需要檢測所有子網(wǎng)間的流通數據，因此，它會(huì )變成網(wǎng)絡(luò )執行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設計方案———多個(gè)防火墻劃分多個(gè)子網(wǎng)的方法，來(lái)消除這種缺陷。

　　4。arp欺騙對策

　　各種網(wǎng)絡(luò )安全的對策都是相對的，主要要看網(wǎng)管平時(shí)對網(wǎng)絡(luò )安全的重視性了。下面介始一些相應的對策：

　　在系統中建立靜態(tài)ARP表，建立后對本身自已系統影響不大的，對網(wǎng)絡(luò )影響較大，破壞了動(dòng)態(tài)ARP解析過(guò)程。論文參考，arp欺騙。。靜態(tài)ARP協(xié)議表不會(huì )過(guò)期的，我們用“arp–d”命令清除ARP表，即手動(dòng)刪除。論文參考，arp欺騙。。但是有的系統的靜態(tài)ARP表項可以被動(dòng)態(tài)刷新，如Solaris系統，那樣的話(huà)依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態(tài)ARP表項不會(huì )自動(dòng)超時(shí)消失。論文參考，arp欺騙。。 在相對系統中禁止某個(gè)網(wǎng)絡(luò )接口做ARP解析（對抗ARP欺騙攻擊），可以做靜態(tài)ARP協(xié)議設置（因為對方不會(huì )響應ARP請求報文）如：arp —sXXX。XXX。XX。X 08—00—20—a8—2e—ac。 在絕大多數操作系統如：Unix、BSD、NT等，都可以結合“禁止相應網(wǎng)絡(luò )接口做ARP解析”和“使用靜態(tài)ARP表”的設置來(lái)對抗ARP欺騙攻擊。而Linux系統，其靜態(tài)ARP表項不會(huì )被動(dòng)態(tài)刷新，所以不需要“禁止相應網(wǎng)絡(luò )接口做ARP解析”即可對抗ARP欺騙攻擊。

【網(wǎng)絡(luò )安全防火墻論文】相關(guān)文章：

防火墻技術(shù)論文08-08

防火墻技術(shù)論文必備【8篇】07-27

網(wǎng)絡(luò )安全論文05-29

網(wǎng)絡(luò )安全與管理論文08-25

網(wǎng)絡(luò )安全論文15篇(優(yōu)選)05-30

網(wǎng)絡(luò )安全論文3000字（精選10篇）08-22

醫院網(wǎng)絡(luò )安全問(wèn)題研究論文11-12

防火墻的安全方案02-04

關(guān)于電子政務(wù)系統網(wǎng)絡(luò )安全的論文09-24

網(wǎng)絡(luò )安全入侵檢測系統設計思路論文09-01