防火墙技术发展研究(精选11篇)
防火墙技术发展研究 篇1
随着信息技术的迅速发展, 计算机网络得到快速普及, 并成为人们生活的重要组成部分, 影响着人们生活的方方面面。与此同时, 为保障计算机网络信息安全, 加快研发新型防火墙已经成为计算机网络领域面临的重要课题。
1 防火墙的含义
“所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障”。[1]它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关, 从而保护内部网免受非法用户的侵入。它实际上是一种隔离技术。从组成上来看, 防火墙主要由“服务访问规则, 验证工具、包过滤和应用网关”[2]四个部分组成, 是一个位于计算机和它连接的网络之间的软件或硬件。
2 防火墙技术发展历程及现状
防火墙技术首先发端于1986年美国Digital公司。到目前为止, 防火墙技术根据功能的不同, 已经发展到了四代防火墙技术, 具体而言, (1) 第一代防火墙, 主要注重对过滤功能的研发, “通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过, 对其进行转发, 但这种防火墙很难抵御IP地址欺骗等攻击。”[3] (2) 第二代防火墙, 又称代理防火墙, 它主要通过验证工具对来自外部的网络服务程序进行控制, 此种方法可以有效的防止外部可疑程序对内部网络的入侵。 (3) 第三代防火墙技术不仅兼顾了第一代和第二代防火墙技术的优点, 而且还提升了防火墙的监测功能, 对出入内部网络的数据包进行提前检测, 并对可疑数据包发出预警, 使其更加有效地保护了内部网络的安全。 (4) 第四代防火墙。随着新型网络病毒的不断出现, 传统意义的防火墙已经不能有效预防新型病毒对计算机网络的攻击。为了有效防范新型病毒对计算机网络带来的威胁, 一个全方位技术集成系统, 即第四代防火墙也就应运而生了。
3 防火墙的基本类型
随着防火墙技术的不断更新和发展, 计算机网络技术领域也就出现了不同类型的防火墙。具体来说, 主要包括以下几类:
3.1 过滤型防火墙
过滤型防火墙技术是一种比较传统的网络安全保障技术。该防火墙技术是依据防火墙自身具有的过滤程序系统对外来的数据包进行选择。主要通过过滤工具检查每一个流入流出计算机内部网络的数据包源地址、目的地址、所用的端口号等因素。使得出入内部网络的数据包对网络使用者透明, 也有助于协助保护整个网络。
3.2 应用网关型防火墙
“应用网关型防火墙是在网络应用层上建立协议过滤和转发功能。”[4]它主要通过应用网关的逻辑系统有针对性的对流入内部网络的应用服务协议进行统计分析, 并对有危险的数据包进行过滤。这种防火墙主要特征就自身拥有特定的逻辑分析系统, 并与计算机内外系统建立直接联系, 对与自身逻辑不行配备的数据包进行排除, 有效的预防了非法访问和攻击。
3.3 服务型防火墙
服务型防火墙通常是以服务器为中介点, 将服务器端程序和客户端程序有效的连接起来, 通过服务访问规则, 对从外部网络流入内部网络的数据包进行检测。使具有危险性数据包在流入内部网络之初就被隔离在“代码墙”之外, 起到了提前预防的作用。
3.4 监测型防火墙
监测型防火墙是一种新型保护网络安全技术。这一技术不仅具有传统防火墙技术的一般功能, 而且还具有传统型防火墙不具有的监测功能。此种技术能够主动的对各层数据进行分析监测, 并有效地判断出各层中的非法侵入。同时, 这种类型的防火墙技术还具备既能检测外部网络的攻击, 又能对内部的恶意插件进行有效的统计、防范, 提醒使用者进行及时更新或升级。安全性上远远超过了传统型网络安全技术。
4 防火墙技术的发展趋势
随着新型网络病毒的不断出现, 为了能够有效预防病毒对计算机网络的入侵, 提升防火墙防范性能是防火墙技术发展的必然趋势。
4.1 要从体系结构完善防火墙的防范能力
随着计算机网络的在人们生活中的普遍应用, 增强网络的安全性能已经成为社会共识。这就要求计算机网络研发行业必须顺应社会发展的要求, 加快更新网络安全防范系统功能, 提升网络安全技术水平, 完善防火墙的结构体系。
4.2 提升防火墙数据包过滤技术的能力
防火墙的防御功能主要体现在对来自外网的木马程序、病毒程序等危险程序的防范和抵御。从防火墙的形式上看, 主要以软件程序的形式为主, 将程序按照说明的步骤安装在计算机内, 通过防火墙逻辑系统的识别, 更有效地防止病毒在网络中的传播, 还可以实时的提醒使用者及时的更新或升级计算机内的安全系统, 有着积极的预防作用。因此, 我们要注重研发多级过滤技术。
4.3 要增强防火墙的系统管理能力
为提升防火墙的防范和抵御外来网络病毒的能力, 我们还要不断增强防火墙的系统管理能力。因为我们在现实中发现, 仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系, 就可以为内部网络系统部署多道安全防线, 各种安全技术各司其职, 从各方面防御外来入侵。从目前一些成功研发的事例来看, 防火墙技术的研发已经在注重加强防火墙的系统管理发展, 例如已经被广大网络用户使用的“分布式防火墙”和“嵌入式防火墙”等。
摘要:随着信息化潮流的到来, 计算机网络逐渐成为人们有效开展信息交换的重要手段, 并渗透到社会生活的各个方面, 对人们生活产生了极为深刻的影响。人们在充分利用网络资源的同时, 如何保障网络安全越来越成为人们关注的焦点。文章从防火墙的含义及其发展历程出发, 进一步了解防火墙的类型, 最后从防火墙的体系结构、系统管理等三个方面对防火墙技术的发展趋势进行探讨。加快研制有效的防火墙防范系统, 对保障网络信息安全具有重要的意义。
关键词:计算机网络,防火墙,发展历程,类型
参考文献
[1]罗霁.并行多模式匹配算法及硬件实现研究[D].杭州电子科技大学, 2013 (06) :10.
[2]http://baike.baidu.com/link?url=3OJk2QJxi6sha I21ulxy4KSFgs Cq J DLe E0yt9Oh_Drt Hrce Ps4TBLPy Qg D2t KTHQdvio Bcstos1w Za V8FBi3TD PWAZBTuu Q-x Fxf S7Tjr Oy.
[3]汤发俊.电子商务的信息安全技术研究[D].南京理工大学, 2006 (06) :21-25.
[4]黄世权.网络安全及其基本解决方案[J].科技情报开发与经济, 2004 (12) :240-241.
防火墙技术发展研究 篇2
防火墙技术
摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。比如,计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。文介绍了防火墙技术的基本概念、原理、应用现状和发展趋势。
Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security
目录
一、概述.....................................................................................................................................4
二、防火墙的基本概念.............................................................................................................4
三、防火墙的技术分类.............................................................................................................4
四、防火墙的基本功能.............................................................................................................5
(一)包过滤路由器.........................................................................................................5
(二)应用层网关.............................................................................................................6
(三)链路层网关.............................................................................................................6
五、防火墙的安全构建.............................................................................................................6
(一)基本准则..............................................................................错误!未定义书签。
(二)安全策略.................................................................................................................6
(三)构建费用..............................................................................错误!未定义书签。
(四)高保障防火墙......................................................................错误!未定义书签。
六、防火墙的发展特点.............................................................................................................7
(一)高速.........................................................................................................................7
(二)多功能化.................................................................................................................8
(三)安全.........................................................................................................................8
七、防火墙的发展特点.............................................................................................................9 参考文献...................................................................................................................................10
防火墙技术研究报告
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
二、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
三、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新 的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
四、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问
相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
五、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
六、防火墙的发展特点
(一)高速
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
上面提到,为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)呢?说到底还是因为受现有技术的限制。目前,还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。网络流量越来越大,如此庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的是SYSLOG日志,采用的是文本方式,每一个字
符都需要一个字节,存储量很大,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。可以说,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
(二)多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
(三)安全
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。“魔高一尺,道高一丈”,在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新,日新月异,在信息安全的防御体系中,起到堡垒的作用。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
七、防火墙的发展趋势
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进 行革新,防火墙是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
参考文献
[1] 谢希仁.计算机网络(第5版)[M].北京:电子工业出版社
[2] 吴秀梅,傅嘉伟编著.防火墙技术及应用教程.北京:清华大学出版社 [3] 张红旗,王鲁 等编著.信息安全技术.高等教育出版社
[4] 张华贵,王海燕.计算机网络在安全分析与对策
计算机网络安全与防火墙技术研究 篇3
关键词:网络安全;防火墙技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Computer Network Security and Firewall Technology Research
Wang Long
(Information Engineering Institute,Dalian University,Dalian116622,China)
Abstract:With the spread of information technology more widely,people's information technology needs more and more of the Department ah,computer network security has become an important issue of information technology.Play for the network to maximize the benefits to ensure that basic network security,network operators have introduced a firewall system.Firewall is an effective means of protecting computer information one.Firewall to a certain extent,ease the network risk.This article discusses the main content is the firewall and network security,analysis of the significance of the firewall,classification,characteristics and other aspects,technical aspects of the firewall.
Keywords:Network security;Firewall technology
一、防火墙的意义
防火墙是保护计算机信息安全的,计算机内部网与外界网络之间的保护程序。防火墙可以组织危险信息侵入计算机,防止计算机内部信息外泄,阻挡外界网络的病毒流入计算机,同时不断地监测网络安全性,可为计算机使用者提供一个安全的计算机环境。防火墙可以对计算机中的重要信息进行监测,并做好日记记录,加强网络安全性能,为客户提供更好的安全管理服务。
二、防火墙的分类
(一)按软硬件形式分类。根据软硬件形式分类,防火墙可分为软件防火墙与硬件防火墙。最先研发出来的防火墙系统属于硬件系统,如同我们日常见到的交换机。随着信息技术的不断发展,为满足人们日益增长的要求,软件防火墙应运而生。软件防火墙是可以安装在个人主机里的,随时可以保护主机信息安全。如360的防火墙,实时监控网络有无异情。(二)按技术分类。按照目前防火墙技术分类基本可以分为三大类:包过滤型、应用代理型和状态检测型。包过滤型防火墙的工作范围是OSI(开放系统互连)网络参考模型的网络层和传输层。只有达到过滤要求的数据包才被允许通过防火墙,传至计算机目的地,达不到要求的数据包则会被丢弃或毁灭。包过滤型防火墙监管比较全面,可以保证数据传输的安全。应用代理型防火墙位于OSI的顶层。属于高端防护。通过编制的服务程序对通过计算机的信息流、数据包进行实时监测和控制。可完全阻隔不安全信息,达到保护计算机信息的目的。状态检测型防火墙主要是对计算机网络连接进行安全监督。它会把连在一起的数据包当作一个整体来看,若数据连接有危险情况,包含不安全数据,状态检测型防火墙就会阻止该数据通过。它拥有较高的稳定性能、延伸性能、安全性能。但是该类型防火墙在检测数据包同时会记录相关信息,这个步骤大大降低了防火墙的运行速度,影响到网络信息传递速度。(三)按结构分类。防火墙根据结构分类,可分为单一主机防、路由器集成式和分布式防火墙。(四)根据位置分类。防火墙的部署位置分类一般有三种,边界防火墙,个人防火墙和混合防火墙。
三、目前常用网络安全策略
网络安全最常用的安全策略是数据加密,安全性能较好,可以较好地保护计算机信息安全,预防计算机信息被篡改或泄漏。数据加密有链路加密、端端加密、节点加密和混合加密之分。
链路加密是将两个网络连接点进行加密,主要通过设定密码的方式进行数据保护。避免不良危险数据的侵入。链路加密最大的优点是可以防止外界窃听,其缺点是中间节点缺乏加密措施,会暴露网络信息数据,不能实现通信安全。端端加密方式是对信息源头进行加密保护,可运用文件传输节点数据的方式保护目标节点用户的信息安全。可靠性比较高,是比较容易实现安装的防火墙技术。节点加密是保护源头点与目标节点之间的信息传递,也是运用加设密码的方式。但是其密码设定方法与链路加密不一样。混合加密,顾名思义就是将链路加密与端端加密两种方式结合在一起,起到更好的安全保护性能,提高了安全可靠性。
四、防火墙技术分析
(一)防火墙的安全措施。防火墙的安全体系可以分为三个部分:防护、检测、响应。防火墙的检测系统应该在危险数据侵入之前发现危险数据的企图,然后响应相关系统采取处理措施。整个安全系统是一个整体,可有效地实现防御机制。(二)防火墙的弱点。防火墙是一种防御系统,在外网与内网,专用网与公共网之间的界面上形成阻隔,从而达到安全网络的目标。我们需要明白的是,防火墙的本质只是维护网络安全,单一的防御系统无法达到百分百网络安全的目的。防火墙只是保护计算机信息安全的一道防线,它不能解决所有病毒入侵,黑客攻击等问题。随着信息技术的不断发展,防火墙也应该克服自身弱点,不断发展,取得更高的安全可靠性。(三)防火墙技术发展方向。防火墙的防护作用不能仅仅局限在“墙”上,而是进一步发展。增强防火墙检测危险数据的灵敏力,缩短发现不良数据的时间,为处理不良数据保护计算机信息争取更多的时间。提高混合型防火墙的应用范围,从根本上提高网络安全性能。
五、小结
网络运营商为计算机用户提供越来越多的安全技术,防火墙在人们生活工作中应用范围越来越广。防火墙为保护计算机信息安全起到一定的作用。但是单一的防火墙不能完全保证网络的安全性能,同时需要用户学习更多的信息技术。
参考文献:
[1]张汉文,杨春山,徐君超等.计算机网络安全与防范问题初探[J].信息安全与通信保密,2005,10
[2]徐雷鸣,庞博,赵耀.NS与网络模拟[M].北京:人民邮电出版社,2008
[3]王竹林,张胜.网络安全实践[M].西安:电子科技大学出版社,2004
防火墙技术发展趋势探析 篇4
“ 防火墙 ” 一词本出自于建筑术 语 , 原指为隔 断建筑物火 势蔓延而 建造的一 种墙体 。 美国Digital公司1986年提出了防火墙的概念 ,其在Internet上的应用引申为一种确保网络安全的技术手段, 自此以后防火墙技术步入了飞速发展阶段。
传统意义上说来, 防火墙技术是一种通过硬件设备和软件的组合应用对网络信息进行分离、分析和限制,从而实现网络数据资源和用户声誉保护的访问控制技术。 防火墙控制访问功能是以之前制定好的网络规则和配置为基础, 对所有经过防火墙的数据信息进行分析和处理,分离出准许访问的那部分并予以通过实现的。 与此同时, 为便于管理防火墙还将对访问相关的链接来源、数据流量及不速之客的不良企图等进行记录, 一定程度上保护了计算机网络的安全。 由此从逻辑的角度出发,我们即可以将防火墙视作是一个 分离器 、分析器,还可以将 其视作是限 制器,在保障网 络数据信 息完整的 同时确保 了网络数 据信息的 安全及保密。
网络信息化时代科学技术的发展与进步对人们的工作和生活所产生的影响是双向的: 一方面产生了积极的影响,人们的工作和生活变得更加丰富、便利,其对网络的依赖度越来越高; 另一方面产生了消极影响,使得人们所处的网络环境日益复杂化,其工作和生活所关联的网络数据信息安全受到了一定程度的威胁。 防火墙技术的发展因此现显得尤为重要,且得到了人们的广泛关注。 现代意义的防火墙在对传统防火墙做出延伸的基础上,需要具备几点性能:可以对所有通过的数据信息按照其制定的规则进行分析和处理; 它可以对滤过的数据信息进行有效监控、管理;可以对所有通过防火墙的内容或活动信息进行记录; 可以就网络中的攻击行为进行检测和预警, 本身具有一定的网络攻击免疫属性,能及时、准确的做出反映从而阻断被限制行为的继续产生。
2防火墙技术的发展趋势
防火墙应用最主要的目的是保护网络的安全,其在技术层面的发展也应以此为中心开展。 防火墙的发展趋势主要包含几个方面的内容。
2.1趋向提升防火墙的安全性能
防火墙必备的也是最重要的性能之一就是安全性, 而就目前网络中受到的攻击行为而言,威胁其安全性的主要有木马、病毒、蠕虫等,且在攻击进行的过程中极易产生变异继而传递到下一代的攻击,传统的防火墙对这种已然知悉或尚未明确新型攻击手段的阻断显得力不从心,安全性能得不到突显。 因此,防火墙技术需要切实从安全防护的角度出发,结合现代新型攻击手段的变化而发展,以在复杂的网络环境中增强防火墙的入侵防御能力。 通过对现代威胁网络安全行为的总结和分析发现,其焦点主要集中在用户的网络使用过程中诱使安装存有潜在恶意执行程序上,在标准端口上简单的强制性使用协议并组织寻找未修补服务器的攻击来应对这种攻击问题是不行的。
新型防火墙技术的发展和使用应可以对所有通过的数据流量做出响应,按照其制定的规则正确的区分出可通过和不可通过的部分,从而对网络恶意攻击行为进行阻断。 与此同时,防火墙技术也应增强自身所具备的安全性能,可重点发展算法、芯片及硬件等方面的技术, 从而提升防火墙对数据信息的检测速度和响应速度,为网络运行提供有效的安全环境。
除了这些外部网络安全之外,网络内部的安全也是极为重要的。 针对网络的内部安全性,相关技术专家提出了分布式防火墙技术和原型系统,这些技术手段的实现是就内部网络所受到的攻击进行管理和防范,搭建网络安全管理平台,将防火墙技术应用到运行主机上,从而实现配置、分布及管理的统一,是对网络运行主体的一种整体防护和控制。
分布式技术是防火墙技术发展的必然趋势,它可以确保多台物理防火墙对攻击进行共同作用,实现了网络安全的集中管理,一定程度上对用户使用成本的降低产生了积极的影响。 另外,智能技术也是防火墙技术的发展趋势之一,相对于传统的防火墙,智能化的防火墙具备更强的自主响应能力,可以依据网络上的动态威胁记性自主学习并生成相应的安全策略予以配置,确保了网络全面的安全防护。
2.2趋向与用户的需求相适应
防火墙技术始终与用户的需求相适应是其发展的必然趋势。 信息化时代网络的使用对人们的工作和生活产生了深远的影响, 并转变了他们工作和生活的方式,现代网络远程办公已然成为一种潮流,得到了人们的广泛使用, 防火墙技术的发展因此迎来了新的局面也面临着更多的挑战。 面临着挑战不仅仅体现在我们对防火墙技术安全性的要求越来越高, 还体现在正确处理网络远程办公与防火墙之间的关系上,防火墙的性能需要进一步的完善。 因此,在防火墙技术的开发与研究中,我们可以适当的增加单位局域网内防火墙设置的部分, 运用分层技术首先为其设置一层总的防火墙,其次在其办公的各个分点再设置一层二级防火墙, 从而确保总部与分点之间办公、 通讯过程中关联数据信息的安全性。
随着社会主义市场经济的发展,网络信息化促使人们的工作生活节奏越来越快,这使得其对工作效率的提升要求日益提高,传统防火墙的安全及效率已渐渐背离了用户对防火墙的基本需求,防火墙技术的发展迫在眉睫。 防火墙在这方面应用技术的发展应趋向于功能多样性,不同用户可依据自身对防火墙功能的不同需求进行自主选择安装,模块化防火墙,在保证应有防火墙功能的基础上减少网络硬件设备的数量和体积,以方便用户日后的维护和升级,从而适应其高效率工作的需求。
2.3趋向与其它网络安全技术相融合
以当前复杂的网络运行环境;来看,单纯的依靠防火墙技术是不能满足网络安全防护要求的,要保证其安全还需要与其它网络安全技术相融合, 如入侵检测技术、 病毒检测技术等等。 根据上文所提及的防火墙概念,我们不难看出防火墙指的是一组设备,而不仅仅是指一个设备个体。 防火墙功能需要结合其它配套设备如网络服务器等,才能实现其应有的功能,某种意义上我们可以将其视作是防火墙设备中的一部分。 网络攻击行为需要通过防火墙才能对目标计算机产生影响,我们可以依据用户使用要求的不同设定几个不同层次级别的防火墙进而予以保护,这种分层防护可以很好的平衡网络安全与工作效率之间的关系,是现代市场发展的必然要求,也是防火墙技术发展的必然趋势。
防火墙技术趋向与其它网络安全技术相融合,还应体现在防火墙与VPN网关功能的集成和交叉实现。 防火墙的局限在于其可以对为准许通过的信息数据流量进行控制, 但是忽略了传输离开之后安全方面的问题。 VPN网关则很好的弥补了这一缺陷,其不仅对传输过程中的安全进行防护,还确保了传输后网络的安全。 由此看来,网络安全防护是一个复杂、繁琐的过程,防火墙技术与其它网络安全技术相融合,对确保网络运行安全具有重要的现实作用和意义,在这方面的研究和发展应以此为趋势。
摘要:随着信息化时代的到来,人们对网络的认识和使用程度越来越高,且渗透到了人们工作和生活的方方面面。然而在网络环境日益复杂化的今天,为了确保网络运行的安全,人们对防火墙技术发展的关注度上升到了一定层次。文章在对防火墙技术相关进行论述的基础上,就防火墙技术的发展趋势展开了探讨。
防火墙技术发展研究 篇5
hc360慧聪网消防行业频道 2004-07-02 09:52:09
中国防火门市场起步较晚,但发展迅速。多年来,防火门产品的研制、开发和生产对保障人民生命财产的安全起到了积极的作用。但是近几年,市场的饱和以及企业间不正当竞争等出现在防火门市场的不和谐音,极大地制约了防火门生产企业的发展。面对入世,我们不得不正视现状,着手解决问题。我国的防火门生产企业正面临着巨大的挑战,但挑战中也同样孕育着发展的机遇。
防火门是用防火阻燃材料制成的具有耐火稳定性、完整性和隔热性的门,主要用于建筑防火分区的防火墙开口、楼梯间出入口、疏散走道、管道井口等处,平常用于人员通行,在发生火灾时可起到阻止火焰蔓延和防止燃烧烟气流动,并在正送风系统工作时起密封的作用。在消防技术日益成熟的今天,基本上有防火要求的建筑都有防火门的身影,目前国内的绝大多数防火设计规范均对建筑采用防火门有明确要求。
为什么防火门在消防设计中占有如此重要的地位?主要是由于,当建筑物没有合理的防火门配置时可能会使小火蔓延从而引发大的事故。如美国的米高梅饭店,它是一座有26层高的大型宾馆,其内部装修豪华,而装修用的可燃物量多,防火分区设置不合理,甚至在防火墙上也存在一些大的孔洞。1980年11月21日,当在一楼餐厅发生火灾时,火焰很快四处蔓延并通过那些没安装防火门的孔洞将火灾扩大到相邻的赌场,造成了84人死亡679人受伤的参剧。
防火门在阻止火灾蔓延中起到了极其重要的作用,因此,防火门在生产、工程应用、监督上就必须有一套完善的管理手段,使防火门在工程中发挥其应有的作用。
一、防火门构造
目前国内防火门主要分为两大类:木质防火门和钢质防火门。最具代表性的木质防火门就是带玻璃或带亮窗木质防火门,它的基本构造是:门框用经阻燃处理的木材制作,门扇两
面面板为阻燃胶合板,两面板内侧通常会内衬无机不燃防火板,门扇内的木质骨架为经阻燃处理的木材,门扇内填充隔热材料(硅酸铝纤维棉、岩棉、矿棉等)。门扇镶玻璃及亮窗玻璃均采用与门的耐火性能等级相同的防火玻璃,门框槽口及门扇中缝处安装密封材料(防火膨胀密封条、石棉绳、硅酸铝纤维绳等)。另外还会安装不同功能的防火锁、防火铰链、防火闭门器、顺序器等。带玻璃、带亮窗钢质防火门的主要构造是:门框用冷轧钢板制作,门扇两面面板为冷轧钢板,部分钢质防火门两面板内侧会内衬无机不燃防火板,门扇内的加强筋为冷轧钢板,加强筋与面板之间用点焊连接,至于其他结构与木质防火门基本相同。
二、性能要求
1、产品质量要求
木质防火门和钢质防火门的产品质量应分别符合GB14101-1993《木质防火门通用技术条件》及GBl2955-1991《钢质防火门通用技术条件》的规定要求。产品质量要求分为两大类:通用门的要求和功能要求,在两个标准中要求对防火门的产品质量主要是:外观质量、制作精度、装配精度、整体强度等。其目的是能满足作为门的使用要求。功能要求主要是:材料性能和耐火性能,其目的是一旦发生火灾时起到防火、隔烟的作用,这是安装防火,门的最重要的意义。在材料性能方面:门扇和门框内填充的隔热材料应达到GB8624-1995《建筑材料燃烧性能分级》中规定的不燃性A级的要求;锁、合页、插销等五金件其熔点不低于950℃;门框与门扇之间、门扇中缝设的密封条应为不燃性材料;防火玻璃应不会影响防火门的耐火性能。耐火性能按标准的规定分为甲、乙、丙三个级别,其耐火时间分别为72min、54min、36min。其试验方法是按GB7633-1987《门和卷帘的耐火试验方法》,耐火极限的判定条件是:
1)完整性,a)试件背火面出现10s以上火焰;
b)点着棉垫;
c)试件垮塌。
2)隔热性
a)试件背火面平均温升达到140%;
b)试件背火面最高温升达到180%;
c)门框最高温升达到180℃。
2、建筑防火设计规范对防火门的要求
在大多数防火设计规范中都对防火门有明确要求,根据使用部位的不同而要求不一样,总的原则是:防火分隔开口处防火门为甲级;房间与中庭、消防电梯间前室、疏散走道中等处的防火门为乙级;井壁上的防火门为丙级。如:GB 50045-1995《高层民用建筑设计防火规范》中的5.1.5.1中要求:“房间与中庭回廊相通的门窗,应用自行关闭的乙级防火门窗”;5.3.2中要求:“井壁上的检查门应采用丙级防火门”。GBJl6-1987《建筑设计防火规范》中的3.5.6中要求:消防电梯间前室,应采用乙级防火门或防火卷帘“等。
三、新型防火门的发展趋势
由于社会的需求,各种新型的防火门不断出现,具代表性的有:水冷式防火门,它的防火原理是防火门门扇为空腹式,内装循环水,在特定的水流量下达到隔热、防火的目的。它的特点有两点,一是耐火性能好,时间可达3小时以上,二是注水系统和火灾报警系统联动。
另外还有钢木防火门,它的防火原理是门扇为内填实心阻燃木材,外包薄钢板,利用木材良好的隔热性,以及由于钢板将空气与木材隔绝而使其无法燃烧。它的特点是:耐火性能稳定,并且可达到一定的防盗性能,可考虑作为进户安全门。
四、防火门质量问题及现场检查
在我们科研所对防火门的日常质量检验和现场检查中发现,我国目前的防火门主要存在以下一些问题。
1、木材的阻燃处理达不到要求。目前在木质防火门产品生产制造过程中,木质防火门上所用木材均需经阻燃处理才能达到标准规定要求,但当企业生产数量猛然增加时,多数企业由于场地有限,在短时间内是无法对如此多的木材进行阻燃处理的,为了满足交货进度要求,从客观上迫使部分企业没有对木材按规定工序进行阻燃处理。也有部分企业为了降低成本而没有对木材进行阻燃处理或处理达不到要求。
2、实际用的防火隔热材料与设计或检测时的材料不相符。如用岩棉代替硅酸铝纤维棉或填塞不满,以次充好,降低其生产成本。
3、取消或减薄防火板。
4、钢质防火门,为了美观在门的表面做压花处理,实际上减少了隔热层的厚度。
上述第1条质量问题带来的后果是一旦发生火灾,火焰很容易从门与门框中窜出并引燃背火面的木质面板与门框。故此在工程验收时可取门上少量木材用打火机点燃,如果能够自熄则说明其有一定的阻燃性,是经过阻燃处理过的,基本能达到标;准要求,不然应予整改。
上述第2、3、4质量问题带来的后果是隔热性达不到规定要求。这几个方面可通过两种方法来确认:第一是称量,看其质量与检验报告上的质量是否相符,第二是解剖其内部结构,检查填充材料是否与设计相符、填塞是否密实,检查防火板厚度是否与设计相符。如果在现场的检查过程发现以上问题或其他有疑惑的地方,可对防火门进行封样送国家防火建筑材料质量监督检验中心进行监督检验(四川都江堰市)。
五、工程应用:中存在的问题
1、防火门启闭的问题。
GB 50045-1995《高层民用建筑设计防火规范》中的5.4.2中规定:”防火门应为向疏散方向开启的平开门,并在关闭后应能从任何一侧手动开启。用于疏散走道、楼梯门和前室的防火门,应具有自行关闭的功能。双扇和多扇防火门还应具有按顺序关闭的功能。常开的防火门,当发生火灾时,应具有自行关闭和信号反馈的功能。“而目前,在工程应用中通常是在防火门上安装防火闭门器和顺序器,其目的是当防火门被打开后能自动关闭。从理论上看这样做应该是没什么问题,但当发生火灾时会是什么样的情景呢?一旦发生火灾后人在逃生时总是比较惊慌,造成在经过防火门时使用的开启力度不定,一旦用力过大使门的开启角度大于90°时防火闭门器便不能复位;还有就是双扇防火门上所用的顺序器如果推开的门
扇次序不对会使防火门门扇不按顺序关闭。这样防火门就起不到其应有的作用。
还有一种常见的做法就是只安装防火闭门器和顺序器,它们没有规范要求的信号反馈功能,此时的防火门也是不完善的。其实在国内早已有许多企业根据标准的安承生产了防火门的释放开关,原理有好几种,这里不作详细说明,最终的功能就是防火门平常可正常启闭,一旦发生火灾时可通过温感、火灾报警系统的信号使释放开关动作,使防火门处于常闭状态,当有人开启后通过机构又将防火门自动关闭。
2、进户安全门的问题
GBJ 16-1987《建筑设计防火规范》第5.3.3条规定:”超过六层的组合式单元住宅和宿舍,各单元的楼梯门均应通至平顶屋,如采用乙级防火门时,可不通至屋顶。“该规范是1987年颁布实施的,当时作为民用住宅很少有超过六层的,故在工程管理中并不存在什么问题。但是通过近二十年的发展,民用商品住宅极大多数都是十层以上的小高层甚至高层住宅。既然超过六层了就应装防火门,而作为部分居民却并没有认识到防火门的重要性,作为住户他们最关心的是防盗安全问题,这样就造成了矛盾:消防管理部门要求防火,住户关心防盗,按现在对防火、防盗的定义又是绝对不相容的(防火门要易于打开、防盗门要求不能被打开)。怎么办?于是市场上便出现了防火防盗门。对此类产品社会上争议很大,特别是消防管理部门基本上持否定态度。笔者以为此事不可轻易否定,因为任何一个新产品都是从无到有、都是社会需要的产物。当然在有关的规范未作修订之前,防火防盗门的提法是不准确的,至于说只作一个耐火性能的检测就号称其生产的”门“是既防火又防盗更是不妥当的。
反过来,一个新产品的出现如何应用又是摆在我们面前的一个课题,目前作为防火防盗门的应用有两个方面的难点需要解决:
1、使用范围,这可通过规范的修订让其有使用的地方。因为GBJ 16-1987的5.3.3条规定在目前看来是有修订的必要了,一来事实上很多用户只装了防盗门而未用防火门,要不就是外面是防盗门里面是防火门,住户非常不便利。二宋只针对住户来讲,真的发生火灾时如果有时间他们会从房间逃向楼梯间,一旦不能逃生时,他们唯一的方案是呆在家里等待救援,此时的门其实只需要能够隔热隔烟就行了,至于易于打开其实也就没有什么意义,所以可在规范里将此款规定为”如采用防火隔热性、完整性、防烟性达到54min的门时,可不通至屋顶。“
2、针对此类门应制定相应的国家或行业标;隹,规范产品要求,至于产品名称,为了不被大家误会可考虑将此类门定义为”进户安全门",技
术要求可将防火和防盗的有关性能相结合,主要让其既能满足规范的要求,也能满足用户的要求。
防火墙技术发展研究 篇6
摘 要: 防火墙是一种确保网络安全的方法,它可以被安全放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成,简单说防火墙就是一个位于计算机和它所连接的网络之间的软件,该计算机流入流出的所有网络通信均要经过此防火墙。
关键词: 防火墙 TCP/IP 网络协议 校园网
1.引言
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。IT术语中的防火墙是指隔离在本地网络与外界网络之间的一道防御统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不妨碍人们对风险区域的访问。
2. Windows网络协议的实现及操作系统的总体架构
2.1 Windows网络协议的实现
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它定义了通信时信息必须采用的格式和这些格式的意义。大多数网络都采用分层的体系结构,每一层都建立在它的下层之上,为它的上一层提供一定的服务,而把如何实现这一服务的细节对上一层加以屏蔽。
2.2 Windows操作系统的总体架构
Microsoft Windows系列操作系统是在微软给IBM机器设计MS-DOS的基础上设计的图形操作系统。现在的Windows系统,如Windows 2000、Windows XP皆是建立于现代的Windows NT核心。NT核心是由OS/2和OpenVMS等系统上借用来的。
3. 防火墙发展研究
3.1防火墙体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。
3.2被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。
4.防火墙技术在校园网中的实现
这里,假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界。它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,可采用以下存取控制策略。
4.1对进入CERNET主干网的存取控制
校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器:
Interface E0
Decription campusNet
Ipadd 162.105.17.1
access_list group 20 out !
access_list 20 permit ip 162.105.17.0 0.0.225
4.2对网络中心资源主机的访问控制
网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别保护,可对网络中心所在子网禁止DNS,Email,WWW,FTP以外的一切服务。
4.3对校外非法网址的访问
可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
5.结语
本文阐述了防火墙的体系结构及在校园网络中的应用,并且介绍了网络协议的实现与操作系统的总体架构。
参考文献:
[1]黎连业, 张维 编著.防火墙及其应用技术[M]. 北京:清华大学出版社,2004.7,第1版.
[2]朱雁辉 ,编著.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002.7,第一版.
[3]Keith E.Strassberg,等著.李昂,等译.防火墙技术大全[M]. 北京:机械工业出版社,2003,3,第一版.
[4]Carasik-Henmi,A.等著.李华飚 ,等译.Tanenbaum[M]. 北京:中国水利水电出版社,2005.5,第一版.
[5]谢希仁 ,编著.计算机网络(第四版)[M].北京:电子工业出版社 ,2003.6.
防火墙技术发展研究 篇7
防火墙技术是网络安全的基础,是设置在被保护网络和外部网络之间的一道屏障,它能够通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理,当内部网络连接到外部网络时,它能够对网络之间传输的数据包依照一定的安全策略进行检查,拒绝未经授权的用户访问,同时允许合法用户不受阻碍地访问网络资源,从而达到保护内部网络不受外部非授权用户访问。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。
2 防火墙技术
随着网络安全的逐渐升温,网络安全产品如防火墙、入侵检测、安全扫描等产品开始不断地涌现,网络防火墙是保护整个网络不被非法访问和入侵的一种网络设备,它能够有效地控制内部网络和外部网络的访问,还能过滤不良信息,是一种解决网络之间访问控制最有效的方法,通常是将防火墙的相关数据集成到硬件设备中,也称之为硬件防火墙。
2.1 基本特性
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,它应该是内部网络连接外部网络的唯一出口。
(2)只有符合安全策略的数据流才能通过防火墙,它能够防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,它必须可以决定哪些内部服务可以被外界访问,哪些不可以被访问以及哪些外部的服务可以被内部访问等[2]。
(3)防火墙自身应具有非常强的抗攻击免疫力,能够防止外部用户对防火墙的破坏,防火墙一旦被攻击者突破,就谈不上对内部系统的保护了。
2.2 分类
2.2.1 包过滤防火墙
包过滤防火墙能够提供完善的包过滤策略选项,以方便地设定访问控制策略,通过对所有流经防火墙信息包内的包头信息进行检查,决定数据包是否允许通过,从而实现对网络的安全控制。另外,它还能记录、会话和发起IP端口,阻止畸形报文和拒绝服务,防止外部IP欺骗,可禁止员工上班时间查阅与工作无关的信息。包过滤的速度很快,其功能也相对较普通,需要注意的是包过滤防火墙是针对TCP协议的,只能处理包头内容,无法处理基于应用层的内容过滤。
2.2.2 应用代理防火墙
应用代理是用来对TCP应用进行代理的服务器软件。应用代理防火墙可以接收客户的请求,把数据包先整合成应用层数据,然后根据数据内容分析客户数据,再以自己的地址向内容服务器提出请求,接受内容服务器的响应,最后传给客户。应用层防火墙比包过滤增加了许多工作量,效率没有包过滤的高。另外针对不同的应用层协议必须有单独的应用代理,因此应用代理不能支持所有网络应用,也不能自动地支持新的网络应用[3]。
2.3 基本功能
(1)访问控制功能。这是防火墙最基本也是最重要的功能。
(2)内容控制功能。通过控制可信任网络与不可信任网络之间的通信内容来保证信息的安全。
(3)全面的日志功能。防火墙需要完整地记录网络访问情况,对网络进行监控,一旦发生入侵或是遭到破坏,就可以对日志进行审计和查询。
(4)集中的管理功能。一个网络系统不是单个简单的计算机,防火墙也可能不只一台,所以防火墙必须易于集中管理,这样更方便,更人性化。
(5)自身的安全和可用性。防火墙首先要保证自身的安全,才能真正起到对整个安全体系的保护。
3 基于Linux的防火墙系统
3.1 发展
Linux下的包过滤系统经历了如下3个阶段[4]:
(1)在2.0的内核中,采用ipfwadm来操作内核包过滤规则,它提供了包过滤、地址伪装和透明代理等基本功能。
(2)在2.2的内核中,采用ipchains来控制内核包过滤规则,但是它处理数据包的方式复杂,不能够区分数据包是以该主机为目的地还是通过该主机中转,而且还不能提供传递数据包到用户空间的接口,更重要的是它的系统没有开放性结构,用户不能直接扩展它的功能。
(3)针对ipfwadm和ipchains中存在的缺陷,在Linux2.4内核中采用Netfilter来控制包过滤规则,比起以前的ipfwadm和ipchains在思路上清晰了很多,最新的Linux2.4.x内核具有Netfilter/iptables系统,这种内置的IP数据包过滤工具,使其用户可以完全控制防火墙配置和数据包过滤,允许为防火墙建立可定制化的规则来控制数据和过滤,使配置防火墙变得方便简单。
3.2 架构
Linux内核从1.1版本开始,就已经具备包过滤功能,后来发展到Linux2.4以后,内核防火墙的底层结构是Netfi1ter结构,位于Linux网络层防火墙内核功能模块之间,如图1所示。
在Linux2.4内核中通过Netfi1ter结构将防火墙对数据包的处理引入IP层中,防火墙的代码与实现IP层的代码完全分离,从而构成不同的模块,使网络层和防火墙在结构上很清晰,防火墙代码修改和功能扩充更加容易[5]。
3.3 动向和趋势
随着Linux操作系统的逐渐壮大,其防火墙架构也在不断地发展,从产品功能方面,可以得出它的一些动向和趋势:
(1)Linux防火墙从技术上讲更加综合,采用数据加密技术,强化身份验证等访问控制措施,增加防攻击、防扫描、防欺骗等技术,自动识别恶意数据流量,有效阻断恶意数据攻击,切断恶意病毒或木马的流量攻击。
(2)防火墙中过滤功能将不断扩展和加强,从目前的对地址、服务的过滤,发展到对数据包分片、数据包内容、连接状态的检查,从静态包过滤过渡到动态包过滤。
(3)防火墙需要带有入侵检测功能,完善安全管理工具,能够对网络进行监测并预警。
(4)防火墙将具备网络管理能力,它将具备集中网络管理功能,提供网络管理平台,具备配置管理、性能管理、故障管理、安全管理等管理能力,提供网络实时监控功能。
(5)防火墙中融合包擦洗和协议正常化技术,通过对TCP、IJDP、CMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击[6]。
总之,未来的Linux防火墙技术将会全面考虑网络安全、操作系统、程序安全、用户安全等多方面的因素,成为包过滤技术、入侵检测技术、病毒检测防护技术、内容过滤技术和数据加密技术等多种技术的综合体。
4 结语
随着网络安全的逐渐升温,防火墙作为网络安全措施中的一个重要组成部分,而Linux操作系统凭借其稳定性、安全性、灵活性,使得在其上布置防火墙有了一个可靠的基石,它的内核中所内嵌的防火墙肯定也会得到广大用户的亲睐。对基于Linux防火墙的发展及应用作了简要分析,但是随Internet的发展,针对外来攻击的威胁也越来越大,必须不断发展针对不同的威胁设置不同的防火墙才能保护网络。但应当注意的是,防火墙可以在一定程度上保护网络,但并不完全能保护网络的安全,它必须按照实际应用合理配置,不正确的配置会导致安全漏洞,而过于严格的配置则会导致用户的不便,引起自行开辟新的出口现象,从而导致新的安全隐患,必要的时候需要对信息进行加密。
摘要:简要介绍了防火墙的的工作原理和应用,并对Linux防火墙的发展作了概述。
关键词:Linux,防火墙,应用分析
参考文献
[1]杨辉,吴昊.防火墙一网络安全解决方案.国防工业出版社,2001,9:34-87.
[2]王宏健,邵佩英,张籍.基于Linux内核防火墙Netfliter的安全应用的设计方法[J].小型微型计算机系统,20011,2(22):1517-1546.
[3]马征.基于本体的Web页面分类挖掘[D].长沙:中南大学,2004:10-11.
[4]张登银,周杰生.利用Netfilter/iptables抗御SYN Flood攻击方法研究[J].南京:南京邮电大学学报,2007:134-158.
[5]姚晓宇,赵晨.Linux内核防火墙Netfilter实现与应用研究[J].计算机课程,2003,8:112-114.
防火墙技术发展研究 篇8
网络技术的发展促进计算机的普及, 改变了人们的生产和工作方式, 让人们不出门而知道天下事, 在我们国家随着这几年计算机网络的迅猛发展, 计算机网络的发展使得计算机网络犯罪事件经常发生, 当务之急是怎样在黑客攻击计算机网络的时候研究出保护计算机网络安全的办法。
1 网络安全技术的研究和防火墙技术的研究
1.1 网络安全技术的研究
计算机网络的安全指的是保证计算机网络上的传输和存储的信息的安全性, 在刚开始设计计算机的时候并没有想到在以后的应用会这么大的, 所以只考虑到方便性没有考虑其他, 为了解决这个问题研究机构做了很多研究, 一般是数据加密技术、防火墙等方面的问题研究, 但是至今为止为了防止有目的者入侵根据计算机的漏洞进行恶意攻击, 篡改数据, 引发网络安全问题, 研究人员已经把目光放在了入侵检测技术和密码技术上面, 现在是网络安全技术的注重点。在研究机构刚开始研究入侵检测技术的时候, 入侵检测技术还是比较单一的, 现在入侵检测技术在西方发达深入研究, 并且同时在西方发达国家的科研机构同时进行。因为计算机网络安全技术涉及到某些敏感的技术, 国内外的交流目前非常困难, 在国内入侵检测技术才刚刚开始研究, 处于一个模仿西方发达国家的阶段, 所以监测系统较为单一。
密码技术是整个计算机网络安全的核心, 密码技术发展到现在密码技术已经出现了很多厉害的密匙管理技术以及密码算法。密码安全技术由以前的只把重点放在保密性当中到现在变成了把重点放在密码安全的保密性、真实性、可控性结合当中。
1.2 防火墙技术
到目前为止, 现在的计算机网络运用普遍, 社会中保证计算机网络安全的一般方法就是防火墙的构筑, 防火墙的构建是把计算机当中的硬件软件结合到一起的一种方式, 把计算机当中的硬件软件结合到一起后, 所有经过的数据流都要经过这个构建好的防火墙, 能够在网络边界建立网络安全监测系统来隔离内部网络和外部网络, 实现对计算机网络的安全保护, 一般有包过滤型防火墙、应用代理型防火墙、状态监测型防火墙。
2 网络信息安全的主要威胁
2.1 网络安全威胁
网络的安全威胁可以分为2个方面, 一个是自然安全威胁, 一个是人为安全威胁并且随着时间的变化而变化, 自然安全威胁来源于各种自然灾害、恶劣的场地环境、电磁场的干扰、网络设备的老化, 这些威胁会影响储存媒体;人为安全威胁指的是黑客对网络的人为攻击, 主要有:网络缺陷、黑客攻击各种病毒、管理的欠缺及资源滥用、网络内部用户的失误操作和恶意行为、网络资源滥用、信息泄露等等, 通过攻击网络系统的漏洞达到破坏、欺骗、窃取数据的目的造成经济和政治的损失。
2.2 影响计算机网络安全的因素
影响计算机网络安全的因素有:资源共享、开放、操作漏洞、设计缺陷、恶意攻击等等, 资源共享是计算机网络应用的主要目的, 这给想要利用资源共享的黑客提供机会, 服务请求不可能完全隔离计算机网络和外界网络, 那么就容易让黑客利用服务请求得到网络数据包;网络的开放性使得网上的随便的用户能够便捷的访问到互联网的信息资料, 利用这种信息资料的便捷性黑客很容易得到个人信息;网络操作系统是网络服务最终实现的载体, 负责网络硬件设备的接口封装, 提供网络通信需要通过网络协议以及服务程序来解决, 但是网络协议的实现非常复杂, 这就使得在操作系统中一定存在实现过程中带来的漏洞和不足, 要去改善这些漏洞和不足。
网络设计是指拓扑结构的设计以及网络设备的正确选择, 网络设备、网络协议等因素都会带来计算机网络的安全问题, 合理的网络设计不仅能够节约资源还能够提高计算机网络的安全性, 不合理的网络设计则会成为计算机网络的安全隐患;网络上比较常见的安全问题是黑客的攻击和病毒的传染, 这是最难解决的计算机网络安全问题, 随着计算机的普及, 电脑的普遍化, 类似于熊猫烧香这种网络传染病毒越来越多, 这种类型的攻击越来越多, 影响也越来越大, 给人们的生活造成困扰,
3 传统的防火墙技术
作为主要的保护安全网络的手段, 防火墙技术迅速的发展, 成了网络上运用的最多的保护计算机网络安全的手段, 随着防火墙在网络应用的普及, 防火墙要能够以非常快的速度有效的处理数据问题, 下面我们来介绍传统的几种防火墙。
3.1 包过滤型防火墙
包过滤型防火墙在OSI模型中的传输层和网络层的工作中用的比较普遍, 包过滤型防火墙主要由数据的目的地址和包头源地址标志来确定可不可以通过, 满足了所有的过滤条件才可以转发到其他的地方去, 其他不符合过滤条件的数据包会被数据流所拦截过滤掉, 不让他们进入其他地方。但是因为一个包过滤型防火墙网络控制, 将他和用户预定的访问控制表进行比较后决定是否转发或者丢弃数据流, 包过滤型防火墙的好处是比较的简单, 坏处是缺少用户认证机制和审计信息, 过滤的规则很难得到完备性, 安全性比较差。
3.2 应用代理型防火墙
应用代理型防火墙一般是在OSI的最高层执行命令, 能够完完全全的挡住计算机网络的通信流, 有目的性的控制代理程序和监视通信流在应用层的用处。代理程序可以实现用户认证、审计跟踪、数据加密, 能够控制计算机网络信息流通, 具有非常的高的安全性以及灵活性, 并且客户不知道, 如果对每一种服务器都设计代理模块建立对应网关系, 那么要实现这个对应网难度是很高的, 所以人们可以侦测以及扫描应用层, 快速高效的防止病毒对应用层的入侵, 不过会加大了管理网络系统的复杂性, 影响系统性能。
3.3 状态检测型防火墙
状态监测型防火墙是用来连接状态检测的一种防火墙, 状态检测型防火墙就是把连接在一起的所有的包当成一个共同的数据流, 构成一个连接状态的表, 通过规则表和状态表中的配合识别表中的各种连接状态因素, 这种动态的连接表的记录可以是之前的通信记录也可以是其他相关应用程序的信息, 状态检测型防火墙比传统的包过滤型防火墙更好, 状态监测型防火墙更加的灵活也更安全。
4 现代的新型防火墙
无论怎么样的防火墙都会有好处和坏处, 现在的防火墙不是传统的防火墙, 而是把各种防火墙的优点结合在一起的新型防火墙, 新型防火墙一般包括用户身份认证机制等技术, 随着新型的网络病毒的出现, 新型的防火墙技术也呼之欲出, 新型的防火墙提高了数据的安全, 使得防火墙的拦截病毒技术提高了。下面介绍几种现代化新型防火墙。
4.1 智能型防火墙
这种防火墙利用统计有病毒数据, 记忆有攻击性数据的智能方法对数据流进行识别找出有病毒数据, 有攻击性数据并且拦截, 这样就可以达到控制有病毒数据, 有攻击性数据的目的, 智能型防火墙主要的技术有:防攻击技术、防欺骗技术、包擦洗和协议正常化技术、入侵防御技术等等, 这种防火墙通过第一步的过滤后对允许进入的数据流再次进行检测, 并且启动入侵防御保护, 这样就能够有效地检测新型的病毒或者有攻击性的数据, 这种类型的防火墙是现如今防火墙的主要发展方向。
4.2 分布式防火墙
这种类型的防火墙是用来改善传统的防火墙系统, 名字叫做分布式防火墙, 这种类型的防火墙是一种新型的防火墙, 这种防火墙包括了网络防火墙、主机防火墙、中心管理等等, 每个防火墙都可以根据性能不同来分布位置, 但是总体的安全是进行统一管理的, 这种防火墙体系的核心中心管理, 一般用在企业的网络服务和服务器主机中, 解决企业内部系统的网络攻击, 能够有效的保护主机, 保护企业的计算机网络安全。
5 结语
随着科技的发展, 计算机技术和通信技术是当前时代的主旋律, 人们越来越依赖于计算机网络, 随着信息电子化的发展, 网络的快速普及使得电子商务和金融商务也得到快速的发展, 计算机网络安全成了国家安全和社会稳定的一个重要的因素, 大量的黑客入侵案例告诉人们, 保护计算机的网络安全刻不容缓, 应该要积极的研究和探讨计算机网络安全技术和防火墙技术。
参考文献
[1]苏孝青, 盛志华.计算机网络安全技术发展与防火墙技术探讨[J].科技创新导报, 2009 (25) :24.
[2]刘彪.计算机网络安全技术发展与防火墙技术探讨[J].电子技术与软件工程, 2014 (4) :229.
[3]陈汇远.计算机信息系统安全技术的研究及其应用[D].北京:铁道部科学研究院, 2004.
防火墙发展趋势研究 篇9
关键词:X86架构,NP防火墙,ASIC,分布式防火墙
1 体系结构
从体系结构上看目前市场上存在着分别以基于X86架构的防火墙器、NP网络处理器、ASIC专用集成电路为架构的3种防火墙。
基于X86架构的防火墙产品, 又称为工控机防火墙, X86架构防火墙在硬件结构上与PC机无异, 实质上是由一台使用专门的工控主板的PC机安装上操作系统和防火墙软件组成。X86架构防火墙由于受CPU运算能力及PCI总线的带宽限制, 因此性能是其薄弱环节。
防火墙中使用的NP通常由多个RISC处理器及协处理器组成, 每个处理器有各自独立的控制存储器和局部寄存器, 不同的应用操作由这些处理器并发执行, 有效提高了网络数据的处理性能。
ASIC防火墙采用多组ASIC芯片和多总线并行处理方式来处理不同任务, 使原先需要上千甚至上万条指令才能完成的过程在瞬间由几个循环就可以完成, 多总线结构保证在端口上有数据传送时防火墙内部仍然可以同时进行高效的数据处理, 不再受传统的中断的限制, 极大的提高了数据的处理速度。ASIC防火墙采用专用操作系统, 具有很高的安全性。ASIC防火墙的CPU通常只需采用中端产品就够了, 并不会妨碍到防火墙超高速处理能力, 这是因为ASIC防火墙的操作系统和CPU只起ASIC硬件驱动和提供管理接口作用, 只负责总体协调却不参与数据处理。在ASIC芯片全力投入数据处理的时候, CPU仍然处于较空闲的使用状态, 不会影响到它对设备管理的响应速度。
下面就这3种防火墙作一个比较, 如表1所示。
由表1可以看出, 随着千兆网络被大规模推广应用, 传统的X86防火墙已不能满足宽带网络高吞吐量、低时延的要求, 很难在高端市场与后两种技术的防火墙竞争, 但由于其较高的性价比在低端市场上依然能够占据较大的市场份额。而基于ASIC技术的防火墙虽然具有相当高的性能和稳定性, 但技术开发成本高、开发周期长且难度大, 使得技术和资金实力相对薄弱的厂商不具备研发ASIC防火墙的能力。NP架构的防火墙在性能上虽然比ASIC略逊一筹, 但完全能够胜任千兆网的数据传输负荷, 且NP防火墙研发门槛低、开发周期短, 投资风险小的特点将使开发基于NP的防火墙成为厂商的首选。
2 功能集成的发展
在防火墙的功能上有两个完全相反的发展方向, 即“胖”防火墙和“廋”防火墙。
“胖”防火墙的优点在于可以满足用户绝大部分的网络安全需求, 提供较全面的保护, 降低用户的采购成本。但防火墙作为网络边界的单一控制点, 本来就会给网络带来性能瓶颈的问题, 又IDS、防病毒等模块地加入会进一步加剧瓶颈效应;其次, 附加模块不专业, 可能会导致附加功能不全面;另外, 单一防火墙产品功能多, 也会导致其可靠性和安全性的降低。“胖”防火墙往往适用于对小型网络的整体安全防护。
“瘦”防火墙适用于有能力投资和管理独立的安全设备, 并渴望发挥每种产品的最大功效的大型企业。针对这类用户的安全解决方案是对“瘦”防火墙、IDS、防病毒系统等专业安全产品进行集中管理, 使其协同工作、关联响应, 从而全面提高企业的整体安全风险防范能力。
从本质上讲, “胖、瘦”防火墙并没有好坏之分, 只有需求上的差别。未来防火墙产品可以采取定制的方式, 将满足不同用户需求的产品功能开发成独立的模块, 即IDS模块、VPN模块、防病毒模块, 以及与其他专业安全产品联动的功能模块。针对具体用户, 厂商制定专门的网络安全解决方案, 为用户构建高性价比的个性化防火墙产品。
3 检测技术的发展
防火墙在在检测技术上经历了从包过滤技术到状态检测技术再到深度包检测技术的发展历程。
(1) 包过滤防火墙的优点是工作层次低, 速度快, 但缺陷是不能跟踪会话状态, 无法理解上层协议, 无法抵御应用层攻击。
(2) 状态检测技术是目前最广泛应用的过滤技术, 它通过在防火墙内部建立的状态表跟踪每一个会话状态。与包过滤技术相比状态检测技术虽然增加了对会话状态的检查, 但依然不能防范隐藏在应用层中的攻击。
(3) 深度包检测技术是为了弥补状态检测技术的不足而发展起来的一种新的检测技术, 该技术为防火墙提供了应用层的防护能力, 在保留状态检测技术优点的情况下, 对状态检测允许的流量进行深层检测, 根据应用层信息做出进一步的处理。深度包检测技术能够深入检查通过防火墙的每个数据包及其应用数据, 以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则来判定数据传输中是否含有恶意攻击行为。深层检测技术工作原理是采用和数据接收方相同的方式来理解应用层信息。在标准的TCP/IP网络中, 信息被分割成小的数据包, 以便能够快速地通过网络。采用深度检测技术的防火墙在这些小数据包的传送途中截获它们, 通过实施数据包重组, 将其重新组装为原始数据。当成功重组出了应用层信息后, 防火墙再根据企业的安全策略来对其中的攻击进行检测和拦截。深度检测技术支持常见的应用协议如HTTP、SMTP、POP、FTP和DNS等, 能够基于URL、电子邮件、文件类型、用户、HTTP网页数据中的关键字进行内容过滤, 有效识别和防护各种常见的应用层攻击。可编程ASIC技术的发展以及更有效的规则算法的出现, 让这项技术在性能方面的压力得到了缓解。衡量深度检测技术成熟度的标准主要有应用协议支持数量、应用层攻击检测机制数量、应用层检测效率、攻击特征库数量和特征库更新频率等, 未来的深度检测技术的发展, 也将会针对以上几个方面进行。
4 从外部边界防护向全网防护的转变
全网防护是指对包括企业内部网、外联网以及互联网外部边界在内的所有区域以及它们的子区域的全面保护。进行全网防护目前有两种方式: (1) 是采用具备全网防护技术的防火墙; (2) 是采用分布式防火墙。
4.1 全网防护防火墙
该防火墙的设计思想就是对全网进行细粒度的安全区域划分, 形成蜂窝状的隔离防护体系, 其目的是把安全威胁限制在最小范围内。全网防护防火墙技术具备以下特点:
(1) 支持多安全域的划分, 可根据实际网络需求划分出任意多个安全区域。
(2) 支持高密度的物理接口和VLAN子接口, 接口与安全域是互相独立的, 用户可以随意的将多个接口划分到某个安全域中, 每一安全域都能够支持多个接口。
(3) 由于安全威胁是全方向性的, 并不一定说只来自于外网, 各个方向上的威胁都可能造成严重的损失, 所以全网防护防火墙技术对划分的每一个区域都提供等同的, 全面完整的防护能力。但是具体每个域实际需要启用防火墙的那些功能是可以由用户可以根据自身的安全需求而灵活选择的。
4.2 分布式防火墙
分布式防火墙由安全策略管理服务器和客户端防火墙组成。客户端防火墙工作在各个服务器、工作站、个人计算机上, 保护其在正常使用网络时不会受到恶意的攻击。安全策略管理服务器是集中管理控制中心, 负责统一地制定和分发安全策略, 管理系统用户、日志等。安全策略服务器和客户端防火墙之间采用SSL通信, 保证了安全策略传输时的安全性。分布式防火墙的安全思路是在保证每个节点安全的前提下, 达到对整个网络的安全防护目的, 使企业避免发生由于某台主机系统被入侵而导致向整个网络蔓延的情况发生。分布式防火墙随系统扩充提供了安全防护无限扩充的能力, 随着网络的增长, 分布式防火墙的处理负荷也在网络中进一步分布, 因此它们的高性能可以持续保持住, 而不会像边界式防火墙一样随着网络规模的增大而不堪重负。分布式防火墙分为软件和嵌入式2种形式, 其中嵌入式防火墙将客户端防火墙做成嵌入式防火墙接口卡的形式, 但负责集中管理的还是一个服务器软件, 嵌入式防火墙虽然安全策略在主机系统上执行, 但是却由硬件系统来实施, 整个过程独立于主机系统之外, 所以具有更高的安全性。
在实际应用中, 如果在全网的每一台主机上都安装分布式防火墙代价太大, 如果只在网络中某些重要的主机或服务器上安装则无法保证其它主机的安全, 因此将全网防护防火墙和分布式防火墙结合使用或许将是未来的广泛应用的解决方案。
5 从分散管理向集中管理的转变
防火墙技术研究 篇10
一、防火墙的基本概念
防火墙是一个系统或一组系统, 它在企业内网与因特网间执行一定的安全策略, 所有从因特网流入或流向因特网的信息按照此策略来实施检查, 以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 以保护内部网络操作环境的特殊网络互联设备。
从理论上看, 防火墙处于网络安全的最底层, 负责网络间的安全认证与传输, 但随着网络安全技术的整体发展和网络应用的不断变化, 现代防火墙技术已经逐步走向网络层之外的其他安全层次, 不仅要完成传统防火墙的过滤任务, 同时还能为各种网络应用提供相应的安全服务:提供网络地址转换 (NAT) 功能, 有助于缓解IP地址资源紧张的问题, 同时, 可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况, 可以确认因特网连入的代价、潜在的带宽瓶颈;在其上可以配置相应的WWW和FTP服务, 使因特网用户仅可以访问此类服务, 而禁止对保护网络的其他系统的访问等。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。
1. 包过滤
包过滤是防火墙的初级类型, 依靠自身的数据安全保护机制来控制流出和流入网络的数据。它通常由定义的各条数据安全规则所组成, 防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址薄进行设置规则。其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的, 数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
2. 网络地址转化—NAT
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网, 用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时, 将产生一个映射记录, 系统将外出的源地址和源端口映射为一个伪装的地址和端口, 让这个伪装的地址和端口通过非安全网卡与外部网络连接, 这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问, 同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题, 节省了资源, 降低了成本。在外部网络通过非安全网卡访问内部网络时, 它并不知道内部网络的连接情况, 而只是通过一个开放的IP地址和端口来请求访问。
3. 应用代理
代理型防火墙的优点是安全性较高。应用代理完全接管了用户与服务器的访问, 把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络, 只允许内部主机使用代理服务器访问Internet主机, 同时只有被认为"可信任的"代理服务器才可以允许通过应用代理。在实际的应用中, 应用代理的功能是由代理服务器来完成的。
4. 状态检测
状态检测防火墙是新一代的防火墙技术, 由Check Point公司引入。它监视每一个有效连接的状态, 并根据这些信息决定网络数据包是否能够通过防火墙。通过状态检测技术, 动态地维护各个连接的协议状态。状态检测在包过滤的同时, 检查数据包之间的关联性和数据包中的动态变化。
三、防火墙的未来发展方向
在防火墙性能和功能不断发展的同时, 大多数业内专家认为, 以下五个方面将是未来防火墙的发展方向。
1. 防火墙的性能将不断突破。
随着网络应用的不断丰富, 网络带宽需求会不断的增长, 并对防火墙的性能提出更高的要求, 满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向。
2. 防火墙将不断的深入应用防护。
随着网络安全技术的发展, 网络层和操作系统的漏洞将越来越少, 但应用层的安全问题却越来越突出, 防火墙将会把更多的注意力放在深度应用防护上, 不断挖掘应用防护的深度和广度。
3. 防火墙将支持更多的应用层协议。
对应用协议支持的广度, 也是防火墙的发展趋势, 它将支持更多新的应用协议, 使更多的应用程序能和防火墙协同工作。
4. 防火墙将作为企业安全管理平台的一个组件。
随着安全管理平台的发展, 未来企业所有的安全设备将由安全管理平台统一调度和管理, 防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。
5. 防火墙将更可靠、更智能化。一方面, 防火墙越来越稳定可靠, 同时也更趋于智能化, 并将解决IPV6未来会出现的安全问题。
现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大, 所以对网络安全的需求对防火墙提出了更高的要求, 在防火墙目前还不算长的生命周期中, 虽然问题不断, 但是防火墙也从具有普通的过滤功能, 逐步丰富了自身的功能, 担当了更重的任务。未来, 防火墙将成为网络安全技术中不可缺少的一部分。
参考文献
[1]黎连业、张维, 防火墙及其应用技术[M], 北京:清华大学, 2004.
[2]陈翔、高可用, 强管理的新一代防火墙[J], 计算机世界, 2006.
森林防火技术和发展趋势 篇11
1.1 森林火灾预测预报技术
森林火灾预测预报技术在森林防火技术中占有非常重要的地位, 森林火灾预测预报技术是根据气象天气、空气湿度以及发生火灾时的情况进行统一研制的。它能够根据当地的天气、温度、风速、空气湿度等原因分析森林发生火灾的可能性, 经分析结果显示当地发生森林火灾的可能性, 当地的森林管理部门就需要对林区进行禁火处理, 防止森林因为人为的原因发生火灾, 而且在此期间, 消防部队需要随时待命, 一旦发生火灾就立即投入到灭火的行动中。其次, 森林火灾预测预报技术还能够在发生森林火灾时对火灾的具体请况进行预报, 包括森林火灾的蔓延速度、火的强度和能量释放等等, 使森林管理部门能够对森林火灾做出更好的处理。目前我国较为普遍使用的森林火灾预测预报技术是根据气象要素、历史火灾情况以及可燃物含水率等多因子条件进行预测的森林火灾预防技术, 这种多因子的森林火灾预测预报技术的准确率更高, 对森林火灾的预测预报情况也更加的完善。
1.2 森林火灾阻隔技术
森林火灾阻隔技术也是森林防火的主要技术之一, 对于减少在森林火灾中的损失有着重要的意义。而且使用森林火灾阻隔技术也能够有效的阻止森林火灾的蔓延, 避免造成更多的损失。根据不同的情况, 实行森林火灾阻隔技术的措施主要分为林区公路建设、防火线开设、营造防火林带和耐火植物带以及林相改造等等。林区道路具有阻隔地面火蔓延, 为森林火灾监测提供便捷的交通条件;提高巡护的工作效率;当发生火灾时, 提供快速运送扑火队员和扑火机具的运输线路, 缩短了时间, 减少森林火灾造成的损失等的众多优点。但是, 我国大多数的森林中都没有修建公路, 以至于当发生森林火灾时灭火人员只能够携带灭火工具徒步走到发生火灾的地点, 既浪费时间, 又浪费精力。因此, 在林区内修建公路在我国有很大的发展空间。开设防火线主要就是要保证在我国与林区相邻的地区内重要的设施外侧几米内都不生长任何的可以燃烧的植物或者不放置任何可燃的物品, 使重要设施与森林之间形成一段隔离带, 如果森林发生火灾就不会对重要设施造成影响, 而且也起到一定的阻隔火势蔓延的效果。
1.3 森林火灾监测技术
森林火灾监测技术是森林防火技术的重要组成部分, 目前森林火灾监测技术已经逐渐从单一的地面林火监测向地面、航空与航天遥感立体林火监测转变, 这种立体监测包括地面巡护、望台监测、飞机巡护监测和卫星监测4个层次, 这种转变能够更好的对森林火灾进行监测。以便在发生火灾的第一时间掌握火灾的情况, 更好的扑灭火灾[1]。
1.4 森林防火通信技术
森林防火通信技术在森林防火技术中的作用非常重要, 森林防火通信技术是保证在发生火灾时指挥官员能够及时掌握火灾现场的真实情况, 也是消防人员能够随时收到指挥官员对灭火行动的最新指示, 目前我国的森林防火通信技术主要有有线通信、无线通信、卫星通信和地空通信等等, 只要火灾发生地有信号就能够与指挥官进行交流, 甚至电话图文传真机、海事卫星电话、移动通信、集群通信、短波自适应通信、短波数据传输、网络数据通信也被应用到森林防火通信技术中, 目前如何保证通信设备在信号薄弱或者没有信号的地方也能够随时保持通信成为森林防火通信技术的最大难题, 也是未来森林防火通信技术的研究方向[2]。
2 我国森林防火技术的未来发展趋势
虽然我国目前的森林防火技术已经得到了很大的发展, 但是这些远远不能够满足森林防火的需求。目前, 我国仍然每年都会发生或大或小的火灾, 在这些自然灾害的面前人类的力量是渺小的, 因此人们只能够尽量减少因为人为因素的原因而导致火灾的发生。我国的森林防火技术要做好火险天气、火险形势的科学研究和短期、中长期火险预测预报工作, 逐步建立全国林火预报系统;推广计划火烧, 加强可燃物管理;尽快完成全国卫星林火监测网络建设;加快微机辅助决策系统、GIS森林资源地理信息系统和GPS全球定位系统建设的步伐;加强防火通信;加强航空飞机灭火和化学灭火的力度;实现扑火机具现代化的趋势发展, 才能够尽量减少森林火灾发生的次数以及在森林火灾中的损失[3]。
3 结语
森林防火技术的发展趋势符合当前人们对森林防火技术的要求, 目前的森林防火技术能够在一定程度上防止森林火灾的发生, 但是世事无绝对, 只有将森林防火技术发展到最好, 才能够减少在森林火灾中的损失。
参考文献
[1]张端林, 梅海林, 柳先发.认真总结经验, 切实改进方法努力开拓广西森林防火工作新局面广西平乐“10.3”森林火灾启示[C]//第二届中国林业学术大会——S7新形势下的森林防火问题探讨论文集.2010:105-108.
[2]徐远芳, 王晓敏, 孙红, 王海华, 张彦娥.基于图像处理的玉米叶片营养监测技术研究[C]//纪念中国农业工程学会成立30周年暨中国农业工程学会2009年学术年会 (CSAE 2009) 论文集.2011:50-55.
【防火墙技术发展研究】推荐阅读:
防火墙技术及其发展06-18
防火墙性能测试研究09-02
防火墙技术分析08-08
防火墙技术及应用05-30
网络防火墙安全技术05-30
防火墙新技术10-23
防火墙技术实验报告08-31
分布式防火墙技术06-16
防火墙技术下网络安全07-25
计算机防火墙安全技术08-17