防火墻的核心技術精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻的核心技術主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻的核心技術范文

關鍵詞：內部網絡；外部網絡；安全

一、防火墻功能概述

防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是指運行特別編寫或更改過操作系統的計算機，它的目的就是保護內部網的訪問安全。防火墻可以安裝在兩個組織結構的內部網與外部的internet之間，同時在多個組織結構的內部網和internet之間也會起到同樣的保護作用。它主要的保護就是加強外部internet對內部網的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其他不允許的連接。防火墻只是網絡安全策略的一部分，它通過少數幾個良好的監控位置來進行內部網與internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規則過濾，實時監控及電子郵件過濾這些功能都是基于封包過濾技術的。防火墻的主體功能歸納為以下幾點：根據應用程序訪問規則可對應用程序連網動作進行過濾；對應用程序訪問規則具有自學習功能；可實時監控，監視網絡活動；具有日志，以記錄網絡訪問動作的詳細信息；被攔阻時能通過聲音或閃爍圖標給用戶報警提示。

防火墻僅靠這些核心技術功能是遠遠不夠的。核心技術是基礎，必須在這個基礎之上加入輔助功能才能流暢的工作。而實現防火墻的核心功能是封包過濾。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和internet之間的任何活動，保證了內部網絡的安全（見圖1）。

二、防火墻主要技術特點

應用層采用winsock 2 spi進行網絡數據控制、過濾；核心層采用ndis hook進行控制，尤其是在windows 2000 下，此技術屬微軟未公開技術。

此防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用winsock 2 spi；二是核心層封包過濾，采用ndis_hook。winsock 2 spi 工作在api之下、driver之上，屬于應用層的范疇。利用這項技術可以截獲所有的基于socket的網絡通信。采用winsock 2 spi的優點是非常明顯的：其工作在應用層以dll的形式存在，編程、測試方便；跨windows平臺，可以直接在windows98/me/nt/2000/xp 上通用，windows95只需安裝上winsock 2 for 95，也可以正常運行；效率高，由于工作在應用層，cpu占用率低；封包還沒有按照低層協議進行切片，所以比較完整。而防火墻正是在tcp/ip協議在windows的基礎上才得以實現。在構筑防火墻保護網絡之前，需要制定一套完整有效的安全策略，這種安全策略一般分為兩層：網絡服務訪問策略和防火墻設計策略。

三、網絡服務訪問策略

網絡服務訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網絡中允許的或禁止的網絡服務，還包括對撥號訪問以及slip/ppp連接的限制。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。網絡服務訪問策略不但應該是一個站點安全策略的延伸，而且對于機構內部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。

四、防火墻的設計策略

防火墻的設計策略是具體地針對防火墻，負責制定相應的規章制度來實施網絡服務訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、tcp/ip自身所具有的易攻擊性和危險。防火墻一般執行以下兩種基本策略中的一種：除非明確不允許，否則允許某種服務；除非明確允許，否則將禁止某項服務。

執行第一種策略的防火墻在默認情況下允許所有的服務，除非管理員對某種服務明確表示禁止。執行第二種策略的防火墻在默認情況下禁止所有的服務，除非管理員對某種服務明確表示允許。防火墻可以實施一種寬松的策略（第一種），也可以實施一種限制性策略（第二種），這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的服務放在屏蔽子網上，和其他的系統隔離。

五、設計時需要考慮的問題

為了確定防火墻設計策略，進而構建實現策略的防火墻，應從最安全的防火墻設計策略開始，即除非明確允許，否則禁止某種服務。策略應該解決以下的問題：需要什么服務；在哪里使用這些服務；是否應當支持撥號入網和加密等服務；提供這些服務的風險是什么；若提供這種保護，可能會導致網絡使用上的不方便等負面影響，這些影響會有多大，是否值付出這種代價；和可用性相比，站點的安全性放在什么位置。

六、防火墻的不足

防火墻不能防止內部的攻擊，因為它只提供了對網絡邊緣的防衛。內部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防止像社會工程攻擊——一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息。另外，一些用來傳送數據的電話線很有可能被用來入侵內部網絡。雖然現在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網絡，也可能來自軟盤。

參考文獻：

1、朱燕輝.windows防火墻與網絡封包截獲技術[m].電子工業出版社,2002.

第2篇：防火墻的核心技術范文

關鍵詞：校園網；防火墻技術；網絡安全

中圖分類號：TP309

因特網逐年普及，各類學校對于網絡的使用也更是廣泛，校園網的建設對于教育教學具有深遠意義，因而保證其信息安全尤為必要。但是，校園網絡的安全問題卻著實令人堪憂，其突出的安全問題值得研究分析。所以，基于當前現狀，在校園網絡中對其安全問題實施防火墻技術是當前最為普遍的建設性技術。保護計算機信息安全，結合當前計算機安全面臨的主要威脅，當仁不讓的核心技術就是防火墻技術，同時，對防火墻技術現狀的分析研究，對其做出未來的發展設想也是很必然的。

1 校園網絡安全

1.1 校園網絡的安全需求

校園網對于網絡安全的需求是很高的，是全面的，通常表現形式為：網絡安全隔離，網絡安全漏洞；有害信息過濾等多種多樣。校園網絡對于其網絡安全正?？煽窟\行的需求是很大的，總之，校園中整個網絡的全面性運行的前提是需要一套科學合理的方案做支持，方案制定之后繼而合理的實施在網絡安全上面，這對于分析和研究校園網絡的安全尤其有必要。與學校而言，制定一套安全管理方案和設備配備方案是最科學的，以此來保證校園整個網絡的全面安全可靠運行。

1.2 校園網絡面對的安全威脅

針對校園網絡的安全威脅，總結來說，包括冒充合法用戶，病毒與惡意攻擊，非授權進行信息訪問，或是干擾系統正常運行等。另一方面，對校園網絡安全性構成威脅的還有因特網自身的因素，類似網絡資源的性質，其資源信息良莠不齊，各式各樣，一旦沒有進行過濾篩選就放到網絡上，一定會造成校園網絡安全威脅，其中包含的大量流量資源，造成了網絡堵塞，緩慢不運行的上網速度，大量的非法內容出入，并且對于校園生活中的青少年的身心健康造成了極大危害。

2 防火墻技術概述

2.1 包過濾類型防火墻

防火墻技術總體來講就是一系列功能不一的軟硬件組合，其功能通常包括存取，控制等，它工作的原理就是在校園網以及因特網之間進行訪問控制策略的設置，從而決定哪些內容可被讀取，哪些內容被控制在瀏覽頁之外，如此一來，就保護了校園網絡內部非法用戶非法內容的入侵。防火墻技術的主要目的在于對數據組進行控制，只對合法的內容加以釋放，過濾掉網絡雜質。

包過濾類型的防火墻技術工作原理是直接通過轉發報文，工作領域是IP層，這是網絡的底層，在合適的位置對網絡數據進行有選擇的過濾，有一個形象的稱號稱呼這一防火墻技術即為“通信警察”。包過濾防火墻對每一個傳入保的基本信息進行瀏覽，進行過濾，一般查詢內容都包括源地址、協議狀態等，這些基本信息一般性情況下都能對其內容做出大致統籌，然后與系統源設定的信息規則進行比照，指引可行性信息，攔截網絡垃圾。

包過濾類型的防火墻其優點顯而易見，其選擇性過濾的功效著實對于校園網絡安全做出了保障，并且，這一類型的防火墻技術產品通常是廉價的，有效的，安全的，現在學校一般比較通用，這一手段的運行過程完全透明，并且其運行效率，工作性能也是很高，總體來講，就是指其性價比很是驚人。然而，其必然伴隨著不少的缺陷，尚未達到很完美的境地，類似于包過濾類型的防火墻技術不能保證絕對的安全性，對于其網絡欺騙行為不能進行徹底的制止，而且有些協議的數據包壓根不適合被過濾，譬如“RPC”、“X-WINDOW”等。

2.2 服務器類型防火墻

防火墻技術的主要特征就是在網絡周邊建立相關的監控系統，以此來保障網絡安全，達到網絡可靠運行的目的，它的工作原理是通過建立一套完整的規則和系統策略來進行網絡安全檢測，繼而改變穿過防火墻的數據流，來達到保護內部網絡安全的目的。由于校園網絡與防火墻的工作環境特別兼容，因而，學校網絡實現信息安全的一大重要保障就應當是采用實施防火墻技術。

服務器類型的防火墻就是基于服務器，服務器是一種程序，其主要形式就是客戶處理在服務器的連接請求。當服務器接收到客戶的連接意圖時，它將對此請求進行網絡核實，然后將處理完成的信息進行實質性傳遞，呈現在真實的服務器上，最后對發出請求的客戶做出應答。

基于服務器類型的防火墻，雖然其安全性能很高，但是它對于用戶而言是封閉的，不透明的，工作時有很大的工作量，對于真實服務器的要求較高，另外，服務器通常是需要身份驗證或者是注冊的，這樣一來，就必然會影響到期工作的速度。所以，針對這一缺陷，基于服務器類型的防火墻不太適合于高速下的網絡監控?？傊?，防火墻對于網絡安全性是有很大的提高作用的，并不能絕對的根除網絡安全問題，除此以外，對于網絡內部自身攻擊或是病毒很難防御。要想保證網絡徹底安全，防火墻技術是核心，且需要輔以其他精準措施。

3 校園網絡安全方案及優缺點

3.1 專用的硬件防火墻設備

專用的硬件防火墻設備是以最先進的網絡技術和安全技術為基礎的，這一類型的防火墻速度極快，將校園內部網絡與外部網絡做出了極其有效的隔離。通過網絡控制，校園內部網絡被允許上網，而校園外的網絡用戶就被隔離，不能直接進行網絡訪問，當然，也會有其他的網絡瀏覽方式，類似加密然后授權等，這必然有效的保護了校園網絡的安全性。這一方案的防火墻，其特點就是基于硬件，并與路由器做“合體”技術，路由器購置中，便自動植入了防火墻設備，以此在很大程度上保證了網絡安全。但是，盡管這一設備安全，快速，但是如此專業的軟硬件一體設備，其價格自然可想而知，非常昂貴。

3.2 服務器及相關防火墻軟件

服務器及相關的防火墻軟件也能夠實現硬件防火墻的基本功能。采用“UNIX系統”以及該系統內部內核自帶的IP地址，當然也包括其中的防火墻軟件，能夠很好的實現硬件防火墻的基本功能。由于當下Windows 2000或是其他的操作系統自身存在著很多的漏洞，致使其對于IP地址的支持能力極為有限，存在著很大的局限性，對于病毒感染，或是漏洞頻出的現象不能很好的避免，所以對于這一安全方案，在服務器的選擇上盡量避免Windows 2000。服務器常年運行，若要保證校園網絡安全，其所有的出口流量等全都需要經過這一服務器，所以方案設備配置時，一個性能高的，經久耐用的專用服務器就顯得尤為重要了，以此加強其工作穩定性。這一配備的投資較為節省，而且性能很好，很大程度上保證了園網絡安全。因而，針對以上兩種方案，學校對投資校園網絡建設時，結合財力，性能，需求等多種因素進行防火墻方案選擇。

4 結束語

因特網的迅猛發展，必然伴隨著網絡攻擊手段的不斷跟進，保護其安全就顯得尤為迫切，防火墻技術已經基本能夠滿足計算機使用者對于其信息安全的需求，但是防火墻技術作為網絡信息安全的核心技術，它值得深入研究的課題以及項目還是很多，譬如如何對防火墻技術進行危險系數的評估等技術尚需得到研究開發，總之，防火墻技術為計算機尤其是校園網絡技術做出了巨大貢獻。

參考文獻：

[1]李欣.高校校園網絡安全探索[J].中國現代教育裝備，2012（10）：45-46.

[2]唐震.校園網絡安全管理技術研究[J].硅谷，2013（08）：33-34.

第3篇：防火墻的核心技術范文

關鍵詞：國產設備；深信服；F5

中圖分類號：F626文獻標識碼：B文章編號：1672-6200(2015)05-0057-03

1引言

黑龍江郵政互聯網環境是黑龍江郵政公司的一個重要的網絡門戶和業務支撐網絡平臺。在設備老化、網絡出現瓶頸的情況下，作者根據實際網絡情況，參照國外網絡產品的參數指標，選擇性能和口碑俱佳的內業主流的國產設備替代國外產品，對黑龍江郵政互聯網網絡環境進行升級，取得了良好的使用效果。并通過對升級前后的網絡指標對比分析，以及在使用中發現國產設備的不足之處，為郵政企業在關鍵網絡節點使用國產設備提出了使用建議。同時根據當前國情，對國產設備替代國外產品的趨勢進行了闡述。

2國產網絡設備主流廠商簡介

目前，我國網絡產品行業正處于發展期，產業已初具規模，產品門類較為齊全，基本建立了技術研發、產品生產和銷售體系。在部分主流產品上，已初步滿足目前國家信息化建設的基本需求，為國家信息化體系建設奠定了一定的基礎。路由器、交換機、防火墻、負載均衡、防病毒、防入侵等多個主流產品格局已初步形成，出現了綜合集成和一體化管理平臺等新技術的產品和應用。

2.1路由器、交換機廠商

在高端產品方面，華為、中興等民營通信企業，其產品廣泛應用于世界各地通信運營商，產品主要涉及通信網絡中的交換網絡、傳輸網絡、無線及有線固定接入網絡和數據通信網絡及無線終端產品，近幾年逐漸向行業領域拓展。在中低端產品方面，邁普、銳捷等國產產品，近幾年逐步在銀行、保險、政府、運營商、軍隊、電力等行業領域內占據較大市場份額。

2.2防火墻廠商

天融信、山石、網御等擁有自主知識產權的網絡層防火墻產品，以其優秀的性價比，近年來逐漸在各政府和企業中替代cisco和juniper等國外產品。

2.3VPN、負載均衡設備廠商

深信服作為國家《SSLVPN技術規范》標準核心制定者之一，其SSLVPN解決方案已在政府、金融、運營商、能源、教育、大中型企業等各個領域都得到了廣泛應用。深信服負載均衡產品（AD）在國內應用交付產品中也具有較大的市場份額。

2.4入侵防御或入侵檢測廠商

綠盟是中國最早從事網絡安全業務的企業之一，專注于網絡安全、應用安全與WEB安全領域，專注于網絡入侵檢測與防護、抗拒絕服務、安全評估及漏洞管理、WEB應用防護和安全審計及日志管理。綠盟建立并維護的全球最大中文漏洞庫，已經成為業界廣泛參考的標準。其安全產品通過國際知名測評機構WestCoastLabs、NSSLabs等專項測試，并在測試中表現優異。

3黑龍江郵政實際使用案例

3.1網絡結構說明

黑龍江郵政互聯網環境，是黑龍江郵政的一個重要網絡平臺，其承載著以宣傳郵政政策、業內動態為主要內容的黑龍江郵政公司門戶網站，也有由黑龍江郵政易通公司開發的、為對俄貿易提供服務的中俄邊貿網為主的電商網站。該平臺還為企業提供包括物資集中采購、商投管理、落地配管理等BS架構的業務支撐管理系統，同時承載著黑龍江郵政易通公司開發的新華社短信、手機在線繳費、物流運輸、倉儲、配送、特許經營等業務拓展平臺。該網絡環境為黑龍江郵政的業務發展起到了關鍵性作用，是黑龍江郵政一個不可缺少的業務管理平臺。網絡結構上在內網區，使用Cisco3550作為核心交換機，通過劃分不同VLAN隔離各系統及WEB應用，使用H3C3600做級聯交換機和區域交換機實現網絡擴展。在聯網接入區，由于黑龍江地理位置的特殊性，采用雙運營雙線路接入互聯網(聯通、電信各20Mbps)，實現地域用戶的快速訪問，同時雙線路可實現相互備份。使用東軟防火墻（Neteye4032）作為互聯網雙線路接入和區域隔離。防火墻配置明細路由，實現不同運營商的互聯互訪；使用NAT轉換，為用戶提供互聯網訪問服務；使用端口級的訪問控制策略，嚴格控制外部和內部訪問，保障內網區的數據安全。在應用負載均衡方面，部署單臂模式的F5Big-IP-1500負載均衡交換機，做為各業務系統應用服務器的負載均衡，保障應用的可用性。該網絡環境，目前共有系統30多個，服務器近100臺。根據流量監測，日均網絡流量在8Mbps左右/條，峰值在12Mbps/條，日均網絡連接在4萬左右/天，日均并發連續數在5000個左右。

3.2網絡環境中存在的問題

該網絡環境始建于2005年，由于建設較早，網絡設備使用當時省郵政中心閑置設備進行搭建。然而隨著業務的發展，訪問用戶的增加，平臺經常出現問題，如防火墻NAT地址失效、不同運營商用戶訪問路由失效、系統在進行大數據傳輸時網絡延遲過大等問題，百兆交換機、F5的承載能力出現網絡瓶頸。如今，現有的設備已經不能滿足業務的擴展需要要求，企業急需對平臺進行升級。

3.3升級改造的內容

本次升級主要是對防火墻、核心交換機、負載均衡設備進行升級。核心網絡層計劃由百兆提升至千兆，負載均衡產品計劃由1500系列提升至1600系列，防火墻網絡吞吐量由200M提高到800M，并發連接數處理能力由50萬提高到100萬以上。根據升級計劃，如果選用業內主流產品（例如交換機采用H3C或者cisco，防火墻選用Juniper，負載均衡使用F5或者Radware），投入資金較大，省內無法負擔，因此考慮采用低價格的國內設備進行試驗性替換，從而滿足平臺的升級需要。根據升級的目標，參照國內外各廠商設備參數，綜合對比，最終我局決定核心交換機選用華為的S5700作為替代，區域交換機選用邁普的MP4100，防火墻選用天融信的NFGW4000UF，負載均衡設備選用深信服的AD1600。

4測試數據對比分析

4.1整體體驗效果

經過為期半年的試用，整體上對黑龍江郵政互聯網環境進行國產化升級后，網絡運行平穩，用戶使用效果良好，原有網絡存在的問題得到了解決，基本上達到了預期目的。在使用效果上：用戶訪問速度有所提升，頁面展示更加快捷迅速；各類大數據查詢結果，能夠更快速的顯現；不同運營商互訪問題得到解決，減少了手工維護量。在負載均衡效果上：負載均衡策略和分配比例與替換前基本保持一致，承載連接數量提高，各服務器的性能和資源得到了充分的利用，能夠快速判斷服務器的健康狀態，保障應用的可用性。在核心網數據傳輸上：由于從百兆平臺升級為千兆平臺，內部數據傳輸和交換能力大大提高，也一定程度上提高了報表、查詢等操作的網絡響應速度。

4.2部分測試數據對比

由于測試條件和測試工具有限，因此只對負載均衡、交換機設備的一些直觀數據進行監測，交換機由于是百兆到千兆的升級，前后無對比性，因此只做整體體驗性分析，不做單項數據分析。（1）根據檢測數據，國產產品基本上能夠滿足黑龍江省郵政互聯網環境升級的需要。國產產品上應用了較多自主研發的核心技術，例如硬件加密算法更符合國家的信息安全規范；產品也是基于國內市場量身定制，更能符合國內的用戶需求。此外，在穩定性以及主體功能實現上，國內外產品差距不大，只是國內外產品的側重點不同，例如：深信服產品側重于對服務器的健康、穩定性檢查以及智能分析方面，同時提供速度優化保障；F5主要關注于減少服務器壓力以及對服務器安全保障方面；Radware側重于對服務器速度的優化和管理，提示服務器訪問速度。（2）在使用過程中，也發現了一些國產設備問題。首先在功能方面，國內的產品過多于做一體化解決平臺，產品跨界較嚴重，同一產品上或多或少地集成了一些安全功能，產品不專一，設備的性能往往被浪費到不用的功能資源上。其次，部分國產產品在配置操作上，邏輯關系不清楚，配置復雜，不像國外產品配置邏輯關系清楚明了，此外在細節的處理上，對比國外產品有一定的差距。（3）雖然存在一些問題，但國產產品相比國外產品，更符合中國的實際網絡情況，更了解國內用戶的使用需求。在安全方面，使用較多自主研發的核心技術，使用符合國密標準的加密算法；售后服務較為便捷、完善。根據我省在實際環境中的替代使用，作為一種替換方案，作者覺得國內產品在結構不復雜、拓展需求不特別高的關鍵網絡環境，在網絡穩定性、網絡的吞吐能力、數據并發處理能力上都不弱于國外產品，完全能滿足到企業的運營需要。但由于國產設備核心技術上與國外產品還是存在差距的，國產廠商過于注重多功能融合，因此考慮在核心層的下一層級或在網絡邊界層面使用國產產品。

5結束語

隨著國家對網絡安全的重視，業內人員已經提出了去IOE（IBM，Oracler，EMC），國產產品代替國外產品這是大趨勢，這次替代不是指在IT系統架構中的某一個環節，某一個部件，某一個局部范圍搞進口替代，而是整個IT系統基礎架構，包括網絡系統，計算機系統，操作系統到基礎軟件系統都要重建。在關鍵行業使用IT設備，可以保證IT系統減少因為"人為因素"出現信息風險的可能性。雖然使用國產IT設備不一定絕對安全，但相對單純使用國外設備而言，風險卻可以減低很多。另外國產設備和信息安全之間并不能簡單的劃等號。例如很多國產IT產品中的CPU、操作系統等核心系統實際上仍然是由國外廠商提供。因此，從某種程度上而言，所謂的信息安全并不能得到完全的保證。如何在替代過程中，保持原有網絡的穩定又能達到預期的目的，這是由各硬件廠商的產品所決定的。作為一個網絡工程師，我們的目標就是在眾多的國內產品中，選取最穩定、性能最優的產品，更多地使用有用自主知識產權和核心技術的網絡產品，應用到郵政網絡中，使郵政網絡在這個必然趨勢下能夠平穩過渡，確保整個郵政網絡的信息安全。

參考文獻

[1]企業網D1NET《網絡信息安全形勢不容樂觀國產化浪潮成主流趨勢》

第4篇：防火墻的核心技術范文

隨著信息化建設的深入，互聯網上的各種應用不斷增多，作為邊界防御的基礎設施――防火墻，也面臨多重挑戰。

圖1 VSP體系結構圖

一方面安全需求日新月異，另一方面網絡帶寬飛速擴展，傳統的小作坊式研發設計已經不能滿足要求，設備平臺化已經成為發展的趨勢。

通過平臺化，防火墻能夠迅速適應新的硬件平臺，性能得以快速提高，滿足甚至領先于網絡帶寬的發展。

同時，平臺化的防火墻具備良好的擴展性和適應性，可以快速移植到各種硬件平臺，提高系統的性價比，并很容易發展出新的功能，適應用戶特殊的或不斷變化的安全需求。聯想網御在下一代安全架構中，推出了彈性架構的安全平臺，正是為了順應這種發展潮流，將防火墻產品的研發設計推向了新的高度。

彈性架構的安全平臺包含四項核心組成部分:通用安全平臺（VSP）是所有防火墻設備的基礎，統一安全引擎（USE）是防火墻設備的安全發動機，多重冗余協議（MRP）是防火墻設備高可靠性的保證，高速安全硬件（HSH）則是防火墻設備高性能的助推器。

在安全產品實現上，四類核心技術的有效組合，可以為用戶提供多樣化的安全功能:既能為高端用戶提供專用的、高性能的、高可靠性的安全設備，如防火墻、VPN、IPS等，又能為中小型用戶提供多功能、高性價比、易于管理維護的安全設備，如UTM，還能夠根據用戶需求，在專用安全設備上提供增強的安全功能，快速完成產品定制，如在高端防火墻上提供異常流量的分析過濾器。

通用安全平臺

VSP作為一個專用安全軟件平臺，參照國際標準，基于完善的體系結構設計，將實時操作系統、網絡處理、安全應用等技術完美地結合在一起，具有高效、智能、安全、健壯、易擴展等特點。

VSP面向網絡吞吐和安全處理，不同于Linux，FreeBSD等通用操作系統追求均衡的方向，VSP通過控制平面和數據平面的分離，集中主要資源于數據平面，進行網絡吞吐和安全處理，使系統具有極強的實時性和網絡吞吐能力。

圖2 USE示意圖

VSP參考微內核設計，基于消息機制，僅將最基本的操作系統功能置于微內核，多余服務和應用程序均構造于微內核之上，確保任何服務和應用的問題都不會造成整個系統的崩潰。同時，微內核中集成攻擊防御引擎，可有效檢測和抵御攻擊行為，從根本上提高了產品的可靠性和健壯性。

通過系統功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標準接口函數，VSP與各種嵌入式系統相比，具有高度靈活性和可擴展性。同時，VSP將硬件驅動獨立為硬件抽象平面，對上層軟件提供統一調用接口，對下層硬件統一定義驅動標準，適應不同規格的硬件架構，實現與多種專用芯片的無縫融合，VSP可充分利用從IXP，PowerPC到NP、內容加速芯片等各種先進硬件平臺的優勢。

統一安全引擎

以VSP為基礎，優化傳統的安全引擎，抽象數據模型、構造統一架構，有效地將狀態過濾、VPN、IPS、內容過濾等多類別安全引擎集成為統一的安全引擎，顯著提升了防火墻的安全防御能力。

統一安全引擎克服了傳統上各個安全引擎獨自為戰，存在大量冗余處理的缺點（比如，蠕蟲檢測在IDS，病毒檢測中都要處理），通過高效的引擎集成技術，將各個安全功能與網絡協議棧的處理有機地整合為一體，狀態檢測、協議分析機、深度過濾、內容檢測等引擎協同工作，對于監測的數據包，一次性拆包即可完成2～7層的檢測，同時采用聯想的專利技術――基于摘要索引的內容處理加速算法，有效地提高了引擎的處理效率。

防火墻根據用戶需求側重點不同，通過統一的配置接口，可以方便的組合使用各種安全特性，加上不同的硬件架構，可以適應用戶的不同安全需求。

多重冗余協議

基于聯想擁有的大型計算機高可靠設計專利技術，利用電信骨干網可靠性運營維護專業經驗，通過在物理層、鏈路層、網絡層、實體層等多個層面實現多元化冗余設計，可有效地保障防火墻在用戶網絡應用中的高可用性。

圖3 MRP示意圖

由于防火墻在鏈路層支持多WAN口出口，通過鏈路冗余協議，實現多出口間的負載均衡和備份，正常時可以充分利用鏈路資源，任何一條鏈路的故障癱瘓不會影響網絡的正常通信。

同時，防火墻通過支持基于802.3ad標準，實現多物理端口聚合，在正常狀態下可以幫助用戶做到“零投資”帶寬倍增，在單點故障時，又可以實現正常的網絡通信不中斷。

MRP支持基于狀態自動探測的雙機熱備。當主系統發生故障或對應線路的網絡故障時，備份機可自動檢測并切換到主狀態，接管主系統的工作，切換時間小于1秒鐘。同時，基于國內首創的“狀態增量同步”技術，解決了主從設備之間狀態一致性問題，在保證不損失狀態檢測的安全性的同時，保證了系統切換期間會話不會中斷。

MRP支持主動負載均衡、會話保護和接管以及主動配置同步等功能，不但可以在集群和雙機中實現配置的同步，簡化用戶的管理負擔，并且基于“狀態增量同步技術”實現了業務在多臺設備之間的平滑任意分布和切換，解決了采用VRRP協議和動態路由協議帶來的“業務續斷問題”，在透明、路由、混合等多種工作模式下實現負載均衡，最多可以支持2~8臺的設備集群。

通用平臺最后一公里

多核多線程芯片技術是網絡設備領域的最新發展，因此各大廠商都希望將其實現產品化。通過將CPU與網絡總線、安全應用加速引擎的集成，極大拓展了內部帶寬，解決了通用平臺的總線瓶頸，多核多線程的體系結構特別適合網絡并行運算，使防火墻的網絡處理速度從千兆走向萬兆。

將彈性架構的安全平臺作為防火墻的技術基礎，以此為基礎形成的產品和解決方案可以應對新的安全威脅在速度、范圍和復雜性方面的挑戰，快速滿足用戶需求。

第5篇：防火墻的核心技術范文

關鍵詞:防火墻;Linux;路由策略

中圖分類號:TP393 文獻標識碼:A文章編號:1009-3044(2009)13-3358-02

1 引言

防火墻一詞來源于建筑學。在建筑物中,防火墻是用抗熱防火材料建成的墻,用來減弱或阻止火勢在建筑物中直接地蔓延。同理,在網絡環境中,防火墻是一個介于內網和外網之間,保護內部網絡免受外網的非法入侵或攻擊,由硬件或軟件組成的專用設備。

現在經常使用的專業級防火墻,主要有通用CPU和ASIC兩種架構。通用CPU架構一般都基于Intel X86的架構,能夠方便升級和擴展,但由于這種架構采用的是PCI總線接口,Intel X86架構雖然在理論上能達到2Gbps甚至更高的吞吐量,但在實際應用中,通用CPU的處理能力較差,操作系統尤其是在處理小包時,遠遠達不到標稱性能。ASIC架構通過采用硬件轉發模式、多總線技術、數據層面和控制層面分離等技術,解決了帶寬容量和性能不足的問題,在穩定性方面也得到了很好的保證。但由于采用純硬件架構,所以往往價格偏高,靈活性和擴展性也較差。

我校的校園網出口,已經部署了一臺ASIC架構的硬件防火墻,但為了應對防火墻硬件突發故障、系統升級這類的事件,需要再接入一臺防火墻來保障出口帶寬的高可用性。通過綜合ASIC架構防火墻價格、備份防火墻的使用率和服務器本身性能等因素分析,設計選擇Intel X86架構,基于Linux操作系統的軟件防火墻來實現出口冗余,使方案具有更高的性價比。

2 Linux防火墻原理解析

目前出口的硬件防火墻主要通過包過濾和路由協議來保障內外網的通訊。為了達到防火墻冗余的預期效果,Linux防火墻也必須實現這兩大功能。

2.1 Iptables數據包過濾

所謂數據包過濾,就是通過匹配數據包中的幾個主要元素:比如IP地址、端口信息和使用協議等,有選擇性地傳輸數據,從而保證內網安全。Linux防火墻是利用它內核中Netfilter模塊的三個“規則表”,以及每個表中不同內建的“鏈”(如圖1)來實現封包階段的工作。在Linux中,一般都使用Iptables來管理內核包過慮,它是Linux提供的一個完全免費的軟件。Iptables對服務器硬件要求低,功能強大,且規則靈活。通過Iptables命令對Netfilter表中的各個鏈的操作配置,很好地完成內外網之間流入和流出的數據的處理。

以Filter表傳輸數據包的過程為例,它內建有INPUT、FORWARD和OUTPUT 3個鏈,每個鏈可以設置多個不同規則。當一個數據包到達防火墻,Iptables就會逐條規則檢查,看是否符合規則中所定義的條件。如果符合,系統將根據該規則的策略處理該數據包;否則繼續匹配下一條規則。假設一個數據包不符合鏈中所有規則,系統則根據該鏈預先定義的配置來處理該數據包。

2.2 路由協議選擇

當前的校園網有三個外網出口,需要選擇合適的路由協議來處理外出數據流向,來縮短到目的網絡地址的距離,提高上網速度。

路由協議分為靜態路由和動態路由。靜態路由需要預先在路由器中手動設置固定的路由表,當內網中的一臺主機發送外出訪問數據時,路由器將從該路由表中匹配一個能到達目的地址的路由,然后把用戶數據送給相應的對端路由器,再由此路由器負責把用戶數據最終送達目的地。由于靜態路由不能適應網絡拓撲變化,一般用于網絡規模較小或拓撲結構穩定的網絡中。而動態路由協議則不同,它可以實時地適應網絡結構變化,并更新路由表以動態地反映網絡拓撲變化,更適合網絡規模大、網絡拓撲復雜的網絡。由于校園網外出環境相對穩定,所以選擇占用CPU和帶寬資源較少的靜態路由來完成出口數據包的轉發。

3 校園網防火墻設計

3.1 Iptables策略設計

在包轉發策略設計中,主要包括內網到外網地址轉換(NAT)和服務器區安全(DMZ)兩個功能的配置。在Linux系統中,一般可以通過shell編程來批處理Iptables的配置命令,這樣也方便以后防火墻策略的啟動和維護。

3.1.1 NAT設計

下面的代碼以網通接口為例,實現了內網數據通過網通出口來訪問外網。

# Interface Information防火墻網通接口信息

# ------------------------------------------------------------

# CNC network parameters

# ------------------------------------------------------------

CNC_IFACE=eth1

CNC_IP_POOL=221.10.18.68-221.10.18.72

# -------------------------------------------------------------

#Nat to Chinanet,CNC,Cernet到網通的NAT

# -------------------------------------------------------------

iptabls -t nat -A POSTROUTING -o $CNC_IFACE -j SNAT --to-source $ CNC_IP_POOL

iptabls -t nat -A POSTROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT

按照同樣的方法,便可以設計出內網到電信和教育網的NAT策略。

3.1.2 DMZ設計

下面的代碼定義了在DMZ區中服務器IP或端口的映射。

# Function Statement 定義服務器IP,端口映射的映射。

# ------------------------------------------------------------

# Function RelateIp($1=TargetIP, $2=TrueIP)

# ------------------------------------------------------------

function RelateIp()

{

iptabls -t nat -A PREROUTING -d $1 -j DNAT --to $2 }

# ------------------------------------------------------------

# Function RelatePort($1=TargetIP, $2=TargetPort,

# $3=TrueIP, $4=TruePort,

# $5=Tcp or Udp)

# ------------------------------------------------------------

function RelatePort()

{

iptabls -t nat -A PREROUTING -d $1 -p $5 --dport $2 -j DNAT --to $3:$4 }

使用上面定義,就可以根據不同需求,來實現DMZ區服務器的映射和安全。

3.2 策略路由配置

由于校園網外接鏈路分別由電信、網通和教育網提供,所以首先需要根據帶寬供應商提供的地址列表,整理出相應的IP段。然后,根據整理的地址段,編譯各個出口的路由shell文檔。下面是整理出的部分的教育網路由策略。

# ------------------------------------------------------------

# Cernet Route_table 教育網路由表

# ------------------------------------------------------------

route add -net 59.64.0.0/13 gw 210.41.240.254 dev eth2

route add -net 59.72.0.0/14 gw 210.41.240.254 dev eth2

route add -net 59.76.0.0/16 gw 210.41.240.254 dev eth2

在多路由表的Linux服務器上,所有的路由操作,都需要首先對照預先設置的路由表,如果沒有與之匹配的路由,則按照默認的主路由進行操作。所以設計中,只需整理出到教育網和網通地址的路由表。當沒有與它們匹配的路由時,則默認從電信出口訪問。

4 總結

通過本文,了解了校園網防火墻的基本設計思路以及具體的設計。實際上,Linux防火墻不但可以為校園網的出口安全提供保障,還可以利用Linux豐富的軟件資源,來實現優化出口帶寬,日志管理等功能。

參考文獻:

[1] Carasik-Henmi A.防火墻核心技術精解[M].李華飚,柳振良,王恒,等,譯.北京:中國水利水電出版社,2005.

[2] 李蔚澤.Red Hat Linux 9網絡管理[M].北京:清華大學出版社,2004.

[3] Kochan S G,Wood P.UNIX SHELL編程[M].3版.袁科萍,岑崗,譯.北京:中國鐵道出版社,2004.

[4] Bwllovin C.防火墻與因特網安全[M].戴宗坤,羅萬伯,譯.北京:機械工業出版社,2000.

[5] 吳進.基于2.4以上版本內核的Linux防火墻技術研究[J].西安郵電學院學報,2008(3).

[6] 鄭超,高學全,張建勛.基于Linux防火墻的局域網安全環境設計與實現[J].科學技術與工程,2008(11).

[7] 馬永紅,駱小紅.基于Linux系統實現校園網多出口策略路由的研究與應用[J].科技信息,2008(10).

第6篇：防火墻的核心技術范文

等級考試中存在的安全隱患

隨著網絡時代的到來，資源共享日益加強，但是網絡的安全問題也越來越突出，具體表現為：入侵用戶計算機系統、竊取用戶信息、修改用戶數據、控制用戶電腦等。分析認為，利用計算機網絡考試所面臨的安全威脅主要是服務封鎖攻擊。指一個用戶占有大量的共享資源，使系統沒有剩余的資源給其他用戶再提供服務的一種攻擊方式。

服務封鎖攻擊的結果是降低系統資源的可用性，這些資源可以是CPU時間、磁盤空間、MODEM、打印機，甚至是系統管理員的時間。攻擊的方法包括通過網絡監聽軟件獲取用戶的賬號和密碼；常用的攻擊工具有掃描器、口令攻擊器、特洛伊木馬、網絡嗅探器等。黑客常用的攻擊技術主要有緩沖區溢出攻擊、IP欺騙攻擊、Web欺騙攻擊、電子郵件攻擊、拒絕服務攻擊等技術，突破防火墻等等，攻擊的步驟分為：第一步：尋找可入侵目標主機并分析目標主機；第二步：入侵有安全漏洞的主機并獲取賬號和密碼，登錄主機；第三步：得到超級用戶權限，控制主機；第四步：隱藏自己。嚴重時會使系統關機、網絡癱瘓。

對全國計算機等級考試上機考試構成安全威脅可以分為以下幾種類型：黑客入侵、來自內部的攻擊、計算機病毒的侵入、優盤的使用和修改網絡的關鍵數據等，這些都可能對考試的順利進行造成威脅。

網絡考試安全策略分析

網絡安全威脅的表現形式自然災害、意外事故。計算機犯罪。人為行為，例如使用不當，安全意識差等。“黑客”行為，由于黑客的入侵或侵擾，內部泄密、外部泄密、信息丟失、電子諜報，例如信息流量分析、信息竊取、信息戰、網絡協議中的缺陷等。

1.防火墻技術

防火墻是置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道。防火墻本身具有較強的抗攻擊能力，是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控內部網和Internet之間的各種活動，保證內部網絡的安全。按使用的核心技術，可將防火墻分為包過濾防火墻（根據流經防火墻的數據包頭信息，決定是否允許該數據包通過）、狀態檢測防火墻、應用防火墻、復合型防火墻等四種。

2.數據加密、授權訪問控制技術

用戶授權訪問控制具體在等級考試中的應用為：考生的考試機的操作系統是WindowsXP，它必須是這臺考試機的用戶，并且它必須是屬于這臺考試機的Administrators組的成員，這樣這臺考試機就可以以這個用戶登錄進行考試。為保證考試機使用空白密碼可以訪問服務器，需要在服務器上進行必要設置。運行gpedit.msc，依次展開“計算機配置>Windows設置>安全設置>本地策略>安全選項”，將“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄?！币豁椊眉纯伞CRE考試使用的是Windows操作系統，在考試前進行用戶名登錄注冊，設置登錄密碼；設置目錄和文件訪問權限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設置用戶級訪問控制。

3.物理防范技術

為了確保考試的順利進行，在準備考場的時候，也可以將局域網與外網斷開，這樣可以防范外網攻擊。為了防范考生在考試的時候利用優盤作弊，可以在CMOS中禁用USB接口。

4.采用的具體措施

身份驗證訪問授權（Authorization），實時侵入檢測技術、網絡分段、選擇集線器、VLAN技術、VPN技術、防火墻技術。

5.考試組織者的安全意識

作為考試的組織者，考試系統管理員與教務人員要運用一切可以使用的工具和技術，盡一切可能去控制各種作弊的行為，才能把不安全的因素降到最低。用備份和鏡像技術提高數據可靠性，創建安全的網絡環境、數據加密、防治病毒、安裝補丁程序、細閱讀日志、提防虛假的安全、構筑防火墻等。網絡系統的安全措施應實現如下目標：對存取的控制；保持系統和數據的完整；能夠對系統進行恢復和對數據進行備份。

第7篇：防火墻的核心技術范文

關鍵詞：計算機；網絡信息安全；防火墻技術

1影響計算機網絡信息安全的相關因素

在計算機網絡的運行中，會受到自然因素的影響，計算機的信息存儲主要依靠外部設備，但是計算機本身具有局限性，外部設備會遭到破壞，尤其是火災、水災等一些自然災害，都會損壞計算機外部設備。由于外部環境的影響，計算機網絡中的部分信息可能會丟失，影響用戶的使用，造成網絡信息安全問題?；ヂ摼W是一個開放的網絡，將全世界的人聯系到一起，但是也造成了信息安全問題。不法分子更容易通過互聯網竊取數據信息，給用戶造成不可估量的損失。在一般安全的模式下，互聯網的TCP/IP協議環境防護能力比較薄弱，安全等級比較低。在計算機網絡信息安全中，黑客入侵是一個重大的問題，也是嚴重的威脅。黑客的行動有兩種，一種是主動性攻擊，攻擊具有目的性和計劃性，通過網絡攻擊獲得數據和信息。主動性攻擊很容易被直接發現。黑客也會發起被動性攻擊，如將惡意軟件或者病毒放在隱藏的文件中，秘密竊取數據和信息。黑客攻擊嚴重威脅網絡信息安全，往往給用戶造成重大損失。計算機網絡系統的管理漏洞，也會影響信息安全。

2新時期的計算機網絡信息安全技術

2.1防火墻技術

作為目前計算機網絡信息安全普遍使用的技術之一，防火墻技術的應用將計算機內部網絡與計算機外部網絡（互聯網）進行了有效隔離，其組成不僅包括各類型硬件設施，還包括相關的軟件。防火墻被視作計算機網絡信息安全的基礎保障，它能夠實現對內、外網信息交流過程中的信息篩選、檢查，具有一定的過濾功能，并且，計算機防火墻還能夠實現風險預警功能，為計算機用戶在使用互聯網的過程中提供參考?；诜阑饓夹g的發展，在實際使用中，除人為設定防火墻防御等級的方式外，還可以進行防火墻防御等級的自動調整，防火墻軟件可以根據互聯網環境風險評估的結果適時調整防火墻防御等級，從而避免防火墻防御等級過高影響正常的信息交流。

2.2網絡信息加密技術

基于互聯網的開放性，信息在互聯網上的傳播極易受到不法分子的偵聽，因此，為確保信息在互聯網上傳播的可靠性，則需要對信息進行加密。近年來，網絡信息加密技術在計算機網絡信息安全領域的應用收到了很好的效果，網絡信息加密技術是當前信息安全的核心技術，在軟件算法的實現上更加科學、完善，除滿足一般用戶需求以外，還能夠在一定程度上滿足企業對信息加密存儲的需要。所謂網絡信息加密，是指利用一定的算法，對明文信息進行轉碼，成為正常不可讀（或是亂碼）的密文，在互聯網的傳輸過程中，即便被不法分子破解，也無法進行逆向解碼，從而保證了信息的安全。對于信息接受一方來說，可以通過專用的解密軟件進行讀取，從而獲得正確的信息內容。因此，在無法知悉計算機網絡信息加密算法的前提下，即便采取窮舉法進行破解，也需要較長的時間，隨著時間的推移，信息的價值也將逐漸降低。因此，網絡信息加密技術在現實生活中的使用范圍較廣，尤其是對信息安全要求較高的金融、郵政、軍事等領域，信息加密算法則更加復雜。

2.3反病毒技術

計算機病毒的出現，使計算機網絡環境安全指數大幅度下降，尤其是近幾年，計算機病毒的類型較以往明顯增加，且病毒的破壞性也有所增強。以剛剛過去的“勒索病毒”為例，在短短的4個月的時間里，造成超過370億元的巨大經濟損失，我國計算機用戶也未能幸免。為應對計算機病毒的破壞，研究人員對反病毒技術進行了長期探索，目前，反病毒技術主要分為被動與主動兩種形式。所謂被動反病毒技術，是指在計算機病毒出現之后，根據其作用機理進行研究，通過更新病毒庫的方式，達到病毒防御的效果。所謂主動病毒防御，是指利用動態化的病毒防御技術，針對計算機病毒的普遍特點，采取的一種具有智能化特征的技術手段，如計算機流量監測技術。無論何種病毒防御技術手段，都能夠在一定程度上實現計算機網絡環境安全指數的提高，并且，通過多種反病毒技術手段的綜合應用，病毒對計算機網絡信息造成的破壞也將大大降低。

3新環境下計算機網絡信息安全的防護措施

3.1合理利用防火墻技術和安全系統

在計算機網絡應用中，對于電腦病毒、惡意軟件，通常采用防火墻技術，或者網絡安全系統可以防范。防火墻自身有信息隔離功能，隔離內部網和外部網，對外部信息進行安全識別，定期檢查篩選內部文件存檔，防止病毒入侵。隨著信息技術的發展，網絡病毒的類型，以及惡意軟件也越來越多，嚴重威脅計算機網絡信息安全。負責設計利用防火墻的技術人員，要對各種病毒的特征有詳細的了解，并設計具有針對性的安全系統，保護信息安全。

3.2提高網絡信息安全防范意識

計算機網絡使用者要提高信息安全防范意識，尤其是黑客防范意識，黑客入侵往往造成的損失比較大。企業或者單位要建立黑客攻擊防范體制，完善防范系統，及時識別和防范黑客攻擊，利用防火墻阻斷內外網的聯系。重要信息要充分利用加密技術。在網絡數據庫管理系統平臺中，通常安全級別是C1級，或者是C2級，容易被惡意篡改或攻擊，在信息傳遞的過程中，安全性很低。因此要對網絡數據庫進行加密管理，設定訪問權限。對相關軟件也要進行加密，避免感染計算機病毒。要提前檢查加密數據文件，對殺毒軟件也進行加密處理，如果出現問題，及時處理。

結束語

總之，隨著計算機網絡的不斷進步，計算機網絡信息安全防護技術也要不斷提高，及時解決各種網絡系統的安全問題。防火墻技術是安全使用網絡的重要屏障，在新環境下，要不斷更新和完善，滿足用戶的安全需求，保證計算機網絡信息安全。

參考文獻 

[1] 楊海瀾.關于計算機防火墻安全屏障安全可靠網絡防范途徑思考 [J].電腦知識與技術，2016，12（2）：53-54. 

第8篇：防火墻的核心技術范文

一、主動式網絡安全聯動機制

傳統的網絡防護技術及產品在保障網絡安全時發揮著各自的作用，但網絡安全不是孤立問題，依靠任何一款單一的產品無法實現，只有將不同廠商、不同功能的產品統一管理，使它們聯動運轉、協同工作，才能充分發揮整體最佳性能，全方位保障網絡安全。

1.聯動概念聯動指在一個系統的各個成員之間建立一種關聯和互動機制，通過這種機制，各個成員自由交換各種信息，相互作用和影響。在主動式網絡安全防御體系中，聯動是一種新型的網絡防護策略。通過聯動策略，防火墻、入侵檢測系統、反病毒系統、日志處理系統等安全技術和產品在“強強組合，互補互益”的基礎上，充分發揮單一產品的優勢，構建最強的防御系統。

2.傳統聯動模型網絡安全聯動機制中較為完善的安全聯動模型有TopSEC模型、入侵檢測產品、防火墻聯動模型和基于策略的智能聯動模型，下面主要介紹基于策略的智能聯動模型（如圖1所示）。該模型中防火墻、VPN、IDS等安全部件，通過智能進行整合，經過部件關聯、智能推理傳送給聯動策略引擎，再根據事先設定好的策略進行聯動，并將最終的策略應用到防火墻、VPN、IDS等安全部件中。

3.主動式網絡安全聯動模型通過部署誘騙系統，吸引攻擊者，記錄攻擊行為，進而分析新型攻擊的特點。同時，通過聯動機制，使模型中的各安全部件協同工作，最終發揮主動性聯動優點，構建一個自適應、動態的主動式防御系統。其中，蜜罐技術是防御體系內各安全部件實現主動式聯動的核心技術。（1）蜜罐技術蜜罐是一種安全概念，美國Project Honeypot研究組的Lance Spitaner將其定義一種安全資源，它的價值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統或應用程序，也可以是真實的系統或程序。通過蜜罐技術建立一個誘騙環境，吸引攻擊者或入侵者，觀察和記錄攻擊行為并形成日志，分析日志后追蹤、識別入侵者的身份，進而學習新的入侵規則，主動分析新型攻擊特點，不斷加固自身防御能力。（2）蜜罐技術實現方式如圖2所示，簡單的實現方式是將蜜罐置于防火墻內部，通過防火墻與外部網絡進行連接。蜜罐內部主要由網絡服務、數據收集和日志記錄模塊組成。網絡服務模塊將蜜罐偽裝成正常服務，吸引入侵者對其進行攻擊；數據收集模塊主要捕獲入侵者行為信息，用于分析攻擊者所使用的工具、策略以及攻擊目的等；日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件，并記錄到日志服務器。（3）基于蜜罐技術的主動式安全聯動模型將蜜罐技術融合到傳統安全聯動模型，改進后形成的新模型，讓蜜罐技術處于整個系統的核心地位，使整個安全聯動模型由被動狀態轉變為主動狀態，利用蜜罐技術在整個系統中的自學習、自進化的特點，克服傳統安全聯動模型無法主動捕獲網絡攻擊行為、對未知攻擊防御能力不足的問題?；诿酃藜夹g的主動式安全聯動模型（如圖3所示）由防火墻、蜜罐系統、防病毒系統、IDS、策略庫和聯動系統控制中心組成。該模型通過蜜罐誘騙系統不斷學習新的攻擊手段，將處理后形成的新規則及策略上傳至模型策略庫，通過聯動系統控制中心實現防火墻、IDS、反病毒等安全部件協同聯動，及時更新防火墻、防病毒策略和IDS的檢查規則。該模型較好地整合了各種安全防御產品的優點，借助于蜜罐技術“主動誘捕”的特點，提高了安全防御系統對于未知攻擊的捕捉能力。

二、網絡安全防御技術在數據中心的應用與展望

目前，國內大型銀行數據中心普遍使用的網絡安全防御技術是基于網絡監控參數基線的閾值預警方法和入侵檢測系統（Intrusion Detection Systems ，IDS）。閾值預警方法是在基線數值基礎上給予一定的冗余，計算出該監控參數的閾值數值，形成閾值線。當實際運行的數值超出閾值線，說明該監控參數運行異常，可以在事件發生之前提前干預，阻止事件發生，保障網絡服務連續性。這種防御技術支持動態改進，但出現誤報的幾率比較高。IDS主要通過監控網絡系統的狀態、行為以及使用情況，檢測系統用戶越權使用、系統外部入侵等情況。IDS具有一定的智能識別和攻擊功能，在檢測到入侵后能夠及時采取相應措施，是一項相對成熟的防御技術。但IDS主要通過特征庫判斷，面對新型攻擊無法識別，且攻擊識別只能在事中或事后階段進行，本質上仍然是被動防護。在入侵技術越來越成熟的形勢下，采用單一的網絡安全部件如IDS、防火墻、掃描器、病毒查殺、認證等已經滿足不了網絡安全防護的要求，將各種安全部件的功能和優點進行融合、實現聯動互補，進而發揮最大效力將成為必然趨勢。

第9篇：防火墻的核心技術范文

論文摘要：在介紹網絡安全概念及其產生原因的基礎上，介紹了各種信息技術及其在局域網信息安全中的作用和地位。

隨著現代網絡通信技術的應用和發展，互聯網迅速發展起來，國家逐步進入到網絡化、共享化，我國已經進入到信息化的新世紀。在整個互聯網體系巾，局域網是其巾最重要的部分，公司網、企業網、銀行金融機構網、政府、學校、社區網都屬于局域網的范疇。局域網實現了信息的傳輸和共享，為用戶方便訪問互聯網、提升業務效率和效益提供了有效途徑。但是由于網絡的開放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網的信息安全帶來了嚴重威脅。

信息技術是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論諸多學科的技術。信息技術的應用就是確保信息安全，使網絡信息免遭黑客破壞、病毒入侵、數據被盜或更改。網絡已經成為現代人生活的一部分，局域網的安全問題也閑此變得更為重要，信息技術的應用必不可少。

1網絡安全的概念及產生的原因

1．1網絡安全的概念

計算機網絡安全是指保護計算機、網絡系統硬件、軟件以及系統中的數據不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統能連續和可靠地運行，使網絡服務不巾斷。從本質上來講，網絡安全就是網絡上的信息安全。網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊，網絡中的敏感信息有可能泄露或被修改。從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁／射頻截獲、人員疏忽。

網絡安全包括安全的操作系統、應用系統以及防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛，這是因為目前的各種通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。網絡安全歸納起來就是信息的存儲安全和傳輸安全。

1．2網絡安全產生的原因

1．2．1操作系統存在安全漏洞

任何操作系統都不是無法摧毀的“饅壘”。操作系統設計者留下的微小破綻都給網絡安全留下了許多隱患，網絡攻擊者以這些“后門”作為通道對網絡實施攻擊。局域網中使用的操作系統雖然都經過大量的測試與改進，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網絡及系統巾的安全漏洞，通過一些攻擊程序對網絡進行惡意攻擊，嚴重時造成網絡的癱瘓、系統的拒絕服務、信息的被竊取或篡改等。

1．2．2 TCP／lP協議的脆弱性

當前特網部是基于TCP／IP協議，但是陔協議對于網絡的安全性考慮得并不多。且，南于TCtVIP協議在網絡上公布于眾，如果人們對TCP／IP很熟悉，就可以利川它的安全缺陷來實施網絡攻擊。

1．2．3網絡的開放性和廣域性設計

網絡的開放性和廣域性設計加大了信息的保密難度．這其巾還包括網絡身的布線以及通信質量而引起的安全問題?；ヂ摼W的全開放性使網絡可能面臨來自物理傳輸線路或者對網絡通信協議以及對軟件和硬件實施的攻擊；互聯網的同際性給網絡攻擊者在世界上任何一個角落利州互聯網上的任何一個機器對網絡發起攻擊提供機會，這也使得網絡信息保護更加難。

1．2．4計算機病毒的存在

計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數據，嚴重影響汁算機軟件、硬件的正常運行，并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點。大量涌現的病毒在網上傳播極快，給全球地嗣的網絡安全帶來了巨大災難。

1．2．5網絡結構的不安全性

特網是一個南無數個局域網連成的大網絡，它是一種網問網技術。當l主機與另一局域網的主機進行通信時，它們之間互相傳送的數據流要經過很多機器重重轉發，這樣攻擊者只要利用l臺處于用戶的數據流傳輸路徑上的主機就有可能劫持用戶的數據包。

2信息技術在互聯網中的應用

2．1信息技術的發展現狀和研究背景

信息網絡安全研究在經歷了通信保密、數據保護后進入網絡信息安全研究階段，當前已經…現了一些比較成熟的軟件和技術，如：防火墻、安全路由器、安全網關、黑客人侵檢測、系統脆弱性掃描軟件等。信息網絡安全是一個綜合、交叉的學科，應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統等方面綜合開展研究，使各部分相互協同，共同維護網絡安全。

國外的信息安全研究起步較早，早在20世紀70年代美國就在網絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上，提出了“可信計箅機系統安全評估準則(TESEC)”以及后來的關于網絡系統數據庫方面的相關解釋，彤成了安全信息系統體系結構的準則。安全協議作為信息安全的重要內容，處于發展提高階段，仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后，成為當前研究的熱點，克服了網絡信息系統密鑰管理的閑舴，同時解決了數字簽名問題。另外南于計箅機運算速度的不斷提高和網絡安全要求的不斷提升，各種安全技術不斷發展，網絡安全技術存21世紀將成為信息安全的關鍵技術。

2．2信息技術的應用

2．2．1網絡防病毒軟件

存網絡環境下，病毒的傳播擴散越來越快，必須有適合于局域網的全方位防病毒產品。針對局域網的渚多特性，應該有一個基于服務器操作系統平的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果局域網和互聯網相連，則川到網大防病毒軟件來加強上網計算機的安全。如果使用郵件存網絡內部進行信息交換．則需要安裝基于郵件服務器平的郵件防病毒軟件，用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產品，針對網絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統的配置，定期或不定期地動升級，保護局域網免受病毒的侵襲。

2．2．2防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎；上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境巾，尤其以接入lnlernel網絡的局域網為典型。防火墻是網絡安全的屏障：一個防火墻能檄大地提高一個內部網絡的安全性，通過過濾不安全的服務而降低風險。南于只有經過精心選擇的應州協議才能通過防火墻，所以網絡環境變得更安全。防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網絡存取和訪問進行監控審計：如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。

防火墻技術是企業內外部網絡問非常有效的一種實施訪問控制的手段，邏輯上處于內外部網之問，確保內部網絡正常安全運行的一組軟硬件的有機組合，川來提供存取控制和保密服務。存引人防火墻之后，局域網內網和外部網之問的通信必須經過防火墻進行，某局域網根據網絡決策者及網絡擘家共同決定的局域網的安全策略來設置防火墻，確定什么類型的信息可以通過防火墻。可見防火墻的職責就是根據規定的安全策略，對通過外部網絡與內部網絡的信息進行檢企，符合安全策略的予以放行，不符合的不予通過。

防火墻是一種有效的安全工具，它對外屏蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是它仍有身的缺陷，對于內部網絡之問的入侵行為和內外勾結的入侵行為很難發覺和防范，對于內部網絡之間的訪問和侵害，防火墻則得無能為力。

2．2．3漏洞掃描技術

漏洞掃描技術是要弄清楚網絡巾存在哪些安全隱患、脆弱點，解決網絡層安全問題。各種大型網絡不僅復雜而且不斷變化，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估得很不現實。要解決這一問題，必須尋找一種能金找網絡安全漏洞、評估并提…修改建議的網絡安全掃描工具，利刖優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網絡安全程度要水不高的情況下，可以利用各種黑客工具對網絡實施模擬攻擊，暴露出：網絡的漏洞，冉通過相關技術進行改善。

2．2．4密碼技術

密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網絡系統不僅不需要特殊網絡拓撲結構的支持，而且在數據傳輸過程巾也不會對所經過網絡路徑的安全程度做出要求，真正實現了網絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網絡信息加密使川的主要技術。

信息加密技術的功能主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密的方法有3種，一是網絡鏈路加密方法：目的是保護網絡系統節點之間的鏈路信息安全；二是網絡端點加密方法：目的是保護網絡源端川戶到口的川戶的數據安全；二是網絡節點加密方法：目的是對源節點到目的節點之間的傳輸鏈路提供保護川戶可以根據實際要求采川不同的加密技術。

2．2．5入侵檢測技術。

入侵檢測系統對計算機和網絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監測來自內部和外部的人侵行為和內部剛戶的未授權活動，并且對網絡入侵事件及其過程做fIj實時響應，是維護網絡動態安全的核心技術。入侵檢測技術根據不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據使用者的行為或資源使狀況的正常程度來判斷是否發生入侵的稱為基于行為的入侵檢測，運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發生的入侵行為有幫助，并對即將發生的入侵產生警戒作用