開篇:寫作不僅是一種記錄��,更是一種創(chuàng)造�,它讓我們能夠捕捉那些稍縱即逝的靈感��,將它們永久地定格在紙上��。下面是小編精心整理的12篇防火墻技術(shù)論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步����。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
1從軟�����、硬件形式上分
如果從防火墻的軟����、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻�。
(1)軟件防火墻����。
軟件防火墻運行于特定的計算機上�����,它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持�,一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)�����。俗稱“個人防火墻”�����。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint����。使用這類防火墻�,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉�。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”��。之所以加上“所謂”二字是針對芯片級防火墻說的了�����。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說�,它們和普通的家庭用的PC沒有太大區(qū)別���。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)���,最常用的有老版本的Unix�����、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核�����,因此依然會受到OS(操作系統(tǒng))本身的安全性影響����。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺�,沒有操作系統(tǒng)���。專有的ASIC芯片促使它們比其他種類的防火墻速度更快�,處理能力更強�,性能更高�。做這類防火墻最出名的廠商有NetScreen��、FortiNet����、Cisco等�。這類防火墻由于是專用OS(操作系統(tǒng))�,因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多���,但總體來講可分為“包過濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型�����。
包過濾方式是一種通用��、廉價和有效的安全手段�����。之所以通用,是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式���,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價,是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求����。
在整個防火墻技術(shù)的發(fā)展過程中����,包過濾技術(shù)出現(xiàn)了兩種不同版本�����,稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”�。
包過濾方式的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序���,因為它工作在網(wǎng)絡(luò)層和傳輸層���,與應(yīng)用層無關(guān)���。但其弱點也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息�,因而各種安全要求不可能充分滿足����;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的�����,且隨著規(guī)則數(shù)目的增加��,性能會受到很大地影響�;由于缺少上下文關(guān)聯(lián)信息����,不能有效地過濾如UDP、RPC(遠程過程調(diào)用)一類的協(xié)議�����;另外��,大多數(shù)過濾器中缺少審計和報警機制�����,它只能依據(jù)包頭信息,而不能對用戶身份進行驗證���,很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高��,建立安全規(guī)則時�����,必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解�����。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用��,共同組成防火墻系統(tǒng)�����。
(2)應(yīng)用(ApplicationProxy)型����。
應(yīng)用型防火墻是工作在OSI的最高層�����,即應(yīng)用層���。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流�,通過對每種應(yīng)用服務(wù)編制專門的程序��,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用����。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示�����。
在型防火墻技術(shù)的發(fā)展過程中�����,它也經(jīng)歷了兩個不同的版本:第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻�。
類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層�,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護����,而不是像包過濾那樣��,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾����。
另外型防火墻采取是一種機制��,它可以為每一種應(yīng)用服務(wù)建立一個專門的�,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的�����,而都需先經(jīng)過服務(wù)器審核���,通過后再由服務(wù)器代為連接���,根本沒有給內(nèi)�����、外部網(wǎng)絡(luò)計算機任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。
防火墻的最大缺點是速度相對比較慢,當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時����,防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的服務(wù)�����,在自己的程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間,所以給系統(tǒng)性能帶來了一些負面影響���,但通常不會很明顯。
3從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機防火墻�����、路由器集成式防火墻和分布式防火墻三種����。
單一主機防火墻是最為傳統(tǒng)的防火墻,獨立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實與一臺計算機結(jié)構(gòu)差不多(如下圖)�,同樣包括CPU����、內(nèi)存���、硬盤等基本組件�,主板更是不能少的,且主板上也有南、北橋芯片��。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡���,因為它需要連接一個以上的內(nèi)����、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序�,如包過濾程序和服務(wù)器程序等����,有的防火墻還把日志記錄也記錄在此硬盤上�。雖然如此�����,但我們不能說它就與我們平常的PC機一樣����,因為它的工作性質(zhì)��,決定了它要具備非常高的穩(wěn)定性���、實用性��,具備非常高的系統(tǒng)吞吐性能。正因如此�,看似與PC機差不多的配置��,價格甚遠。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高����,原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化�����。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能���,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟���、硬件組成的系統(tǒng),這種防火墻�,俗稱“分布式防火墻”�。
原來單一主機的防火墻由于價格非常昂貴����,僅有少數(shù)大型企業(yè)才能承受得起��,為了降低企業(yè)網(wǎng)絡(luò)投資��,現(xiàn)在許多中、高檔路由器中集成了防火墻功能��。如CiscoIOS防火墻系列�����。但這種防火墻通常是較低級的包過濾型�����。這樣企業(yè)就不用再同時購買路由器和防火墻����,大大降低了網(wǎng)絡(luò)設(shè)備購買成本�。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺主機����,對整個內(nèi)部網(wǎng)絡(luò)的主機實施保護����。在網(wǎng)絡(luò)服務(wù)器中����,通常會安裝一個用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡�,這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能��。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡(luò)。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的��,都需要嚴(yán)格過濾�。而不是傳統(tǒng)邊界防火墻那樣�����,僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”��。
4按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的�����,它們于內(nèi)���、外部網(wǎng)絡(luò)的邊界�,所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離,保護邊界內(nèi)部網(wǎng)絡(luò)���。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中����,防護的也只是單臺主機����。這類防火墻應(yīng)用于廣大的個人用戶��,通常為軟件防火墻��,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個軟、硬件組件組成,分布于內(nèi)����、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間�����,既對內(nèi)��、外部網(wǎng)絡(luò)之間通信進行過濾�,又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾��。它屬于最新的防火墻技術(shù)之一�����,性能最好,價格也最貴����。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類�。
因為防火墻通常位于網(wǎng)絡(luò)邊界�,所以不可能只是十兆級的�。這主要是指防火的通道帶寬(Bandwidth)�����,或者說是吞吐率�����。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用所產(chǎn)生的延時也越小���,對整個網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
參考文獻
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實訓(xùn)篇[M].北京:人民郵電出版社���,2003,(10).
第2篇
關(guān)鍵詞:防火墻;NetST��;網(wǎng)絡(luò)信息
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1006-4311(2012)18-0178-02
0 引言
一般來說���,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸�。網(wǎng)關(guān)是一臺或一組機器�,它提供中繼服務(wù),以補償過濾器的影響����。駐有網(wǎng)關(guān)的網(wǎng)絡(luò)常被叫做非軍事區(qū)(DeMilitarized Zone��,DMZ)。DMZ中的網(wǎng)關(guān)有時還由一個內(nèi)部網(wǎng)關(guān)(internal gateway)協(xié)助工作��。一般情況下���,兩個網(wǎng)關(guān)通過內(nèi)部過濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機的連接更為開放�。就網(wǎng)絡(luò)通信而言,兩個過濾器或網(wǎng)關(guān)本身����,都是可以省去的��,詳細情況隨防火墻的變化而變化。一般說來��,外部過濾器可用來保護網(wǎng)關(guān)免受攻擊��,而內(nèi)部過濾器用來應(yīng)付一個網(wǎng)關(guān)遭到破壞后所帶來的后果���,兩個過濾器均可保護內(nèi)部網(wǎng)絡(luò)���,使之免受攻擊�����。一個暴露的網(wǎng)關(guān)機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數(shù)據(jù)包過濾(packet filtering)和應(yīng)用網(wǎng)關(guān)(application gateway)�����。
數(shù)據(jù)包過濾防火墻的工作方法是通過基于數(shù)據(jù)包的源地址�����、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息�,過濾決定也是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來做的�。管理員可以設(shè)計一個可接受機器和服務(wù)的列表��,以及一個不可接受機器和服務(wù)的列表���。在主機和網(wǎng)絡(luò)一級��,利用數(shù)據(jù)包過濾器很容易實現(xiàn)允許或禁止訪問。例如�����,允許主機A和B之間的任何IP訪問�����,或禁止除A以外的任何機器訪問B�。
大多數(shù)安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務(wù)�。例如����,可以希望允許任何主機與機器A連接�����,但僅限于發(fā)送或接收郵件�����。其他服務(wù)可以或不可以被允許���。數(shù)據(jù)包過濾器允許在這一級別上進行某些控制�,為了正確地做到這一點,要求精通許多操作系統(tǒng)上TCP和UDP端口的使用知識。包過濾防火墻的優(yōu)點是速度快���,缺點是不能對數(shù)據(jù)內(nèi)容進行控制。
應(yīng)用網(wǎng)關(guān)防火墻則是另一種方式,它不使用通用目標(biāo)機制來允許各種不同種類的通信,而是針對每個應(yīng)用使用專用目的代碼�����。雖然這樣做看來有些浪費����,但卻比任何其他方法安全得多。一是不必擔(dān)心不同過濾規(guī)則集之間的交互影響,二是不必擔(dān)憂對外部提供安全服務(wù)的主機中的漏洞�。只需仔細檢查選擇的數(shù)個程序����。應(yīng)用網(wǎng)關(guān)還有另一個優(yōu)點:它易于記錄并控制所有的進/出通信���,并對Internet的訪問做到內(nèi)容級的過濾��,所以是很安全的�。應(yīng)用級網(wǎng)關(guān)的最大缺點就是速度慢����。
1 網(wǎng)絡(luò)的系統(tǒng)規(guī)劃與設(shè)計
根據(jù)用戶具體情況,規(guī)劃內(nèi)網(wǎng)的環(huán)境,必要時使用多個網(wǎng)段��。確定是否需要向外部Internet提供服務(wù)以及何種服務(wù)����,由此確定是否需要DMZ網(wǎng)段以及DMZ網(wǎng)段的具體結(jié)構(gòu)�。根據(jù)內(nèi)網(wǎng)、DMZ網(wǎng)的結(jié)構(gòu)確定NetST■防火墻的具體連接方式��,防火墻位置一般放在路由器之后�����,內(nèi)網(wǎng)�����、DMZ網(wǎng)之前。設(shè)計系統(tǒng)的訪問控制規(guī)則�����,使防火墻起作用�。
2 防火墻配置步驟建議
配置網(wǎng)絡(luò)結(jié)構(gòu),安裝NetST■防火墻硬件��,使防火墻各網(wǎng)卡正確連接內(nèi)網(wǎng)��,外網(wǎng)和DMZ網(wǎng)�。配置NetST■防火墻網(wǎng)絡(luò)參數(shù)使網(wǎng)絡(luò)連接正常�����,必要時需重啟NetST■防火墻�。設(shè)計網(wǎng)絡(luò)安全策略�����,根據(jù)用戶具體情況設(shè)置安全選項���、NAT規(guī)則���、訪問控制的過濾規(guī)則�����、內(nèi)容過濾規(guī)則等。啟動防火墻引擎���,使規(guī)則起作用。
3 防火墻規(guī)則定義的一般步驟
NetST防火墻一般按下列步驟定義規(guī)則:
一般情況下���,我們建議用戶按上面步驟進行規(guī)則配置,用戶也可以根據(jù)情況進行一定的調(diào)整和修改���。
4 狀態(tài)檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態(tài)檢測包過濾技術(shù),實時在線監(jiān)測當(dāng)前內(nèi)外網(wǎng)絡(luò)的TCP連接狀態(tài)�����,根據(jù)連接狀態(tài)動態(tài)配置規(guī)則�����,對異常的連接狀態(tài)進行阻斷�����,實現(xiàn)入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網(wǎng)絡(luò)攻擊方法的判別����,并且進行有效阻斷��。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能�。NetST防火墻支持各種主流網(wǎng)絡(luò)協(xié)議,不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址��、應(yīng)用服務(wù)等條件進行過濾����,并且可以對多種網(wǎng)絡(luò)入侵進行辨別和有效阻斷,同時實時進行記錄和報警��;另外���,NetST■防火墻與內(nèi)置多種網(wǎng)絡(luò)對象的Java管理控制臺配合使用�,可以更加充分發(fā)揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務(wù))攻擊:此類型的攻擊方式包括SYN Flooding�����、LAND攻擊�、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等���,攻擊者對服務(wù)器不斷發(fā)各種類型的數(shù)據(jù)包使服務(wù)器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測���、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網(wǎng)絡(luò)陷于癱瘓,然后再冒充B與A通信以執(zhí)行對A造成危害的操作��。防止IP欺騙的方法一是服務(wù)器不開危險服務(wù)��,二是服務(wù)器的TCP連接的起始序列號要隨機選取�����,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網(wǎng)到內(nèi)網(wǎng)的連接請求�����,或只將允許的開放端口請求轉(zhuǎn)到DMZ區(qū)的服務(wù)器����,同時DMZ區(qū)服務(wù)器盡量只開單一服務(wù),并注意對系統(tǒng)軟件進行升級或打補丁;
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務(wù)器上運行那些服務(wù)����,從而對服務(wù)進行攻擊或利用某些服務(wù)的缺陷攻擊主機�����。NetST■防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能、TCP狀態(tài)檢測等方法進行防御;
4.1.4 IP盜用:在內(nèi)網(wǎng)中的一臺機器通過修改IP地址模擬另一臺機器�����,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態(tài)綁定以及IP地址與MAC地址綁定來進行預(yù)防��。
4.2 全面內(nèi)容過濾 NetST防火墻支持對最常用的應(yīng)用層協(xié)議進行內(nèi)容過濾�,使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進行管理和控制�����,從而使企業(yè)網(wǎng)絡(luò)運行更加快速有效���。NetST防火墻支持HTTP協(xié)議的URL過濾和HTML內(nèi)容過濾��。NetST■防火墻支持與WebCM■3000系列產(chǎn)品無縫集成,由NetST■防火墻提取出URL�����,然后與UFP服務(wù)器連接以確定是否允許此請求通過�;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數(shù)據(jù)��,如圖像���、聲頻��、視頻等,以免浪費帶寬�,降低工作效率��;NetST防火墻支持FTP協(xié)議內(nèi)容過濾,用戶可自行設(shè)定拒絕上載和下載的文件類型表�����,對此文件類型范圍內(nèi)的文件傳送請求將被拒絕���;
NetST防火墻支持主要郵件協(xié)議的內(nèi)容過濾�。對于SMTP協(xié)議,用戶可自行設(shè)定拒絕發(fā)的附件文件類型表��,對此文件類型范圍內(nèi)的附件發(fā)送請求將被拒絕�����;對于POP3協(xié)議����,可自行設(shè)定危險的附件文件類型表��,對此文件類型范圍內(nèi)的附件收取將修改文件的后綴名以使其暫時失效����,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊����。
在當(dāng)前信息技術(shù)高速發(fā)展的情況下,好的反火槍技術(shù)不斷發(fā)展更新��,設(shè)計該系統(tǒng)的過程中����,我們也是在不斷的發(fā)現(xiàn)問題����,解決問題��。也發(fā)現(xiàn)了不少沒有能解決的新問題,比如延時的控制以及系統(tǒng)運行時的安全保障等新的問題���。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決�。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設(shè)計與實現(xiàn).華中科技大學(xué)碩士學(xué)位論文�,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統(tǒng)研究.北京郵電大學(xué)碩士學(xué)位論文�����,2007:17-23.
[3]唐岷.基于SIP的VoIP穿越防火墻/NAT的研究與實現(xiàn).南京理工大學(xué)碩士學(xué)位論文�����,2006:45-50.
第3篇
【關(guān)鍵詞】建筑工程 防火防爆設(shè)計安全性能設(shè)計要點
中圖分類號: TU198 文獻標(biāo)識碼: A
一.引言
隨著社會經(jīng)濟的發(fā)展,建筑工程建設(shè)得到了前所未有的發(fā)展�,建筑工程項目的數(shù)量日益增多��,同時出現(xiàn)的各種建筑工程事故也在增加。建筑工程的結(jié)構(gòu)設(shè)計是保證工程質(zhì)量的關(guān)鍵��,防火防爆設(shè)計直接影響著工程項目的實用性����,甚至關(guān)系著人民的生命財產(chǎn)安全。因此�����,為了提高建筑工程的質(zhì)量��,保障人民的生命財產(chǎn)安全,降低國家的經(jīng)濟損失,我們必須要加強對建筑工程防火防爆設(shè)計的研究,提高設(shè)計的安全性�����。
二.對工業(yè)建筑進行防火防爆設(shè)計需考慮的問題����。
建筑消防設(shè)計是建筑設(shè)計中一個重要組成部分,關(guān)系到人民生命財產(chǎn)安全,應(yīng)該引起大家的足夠重視�����。文章從防火分區(qū)�����、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區(qū)問題���。
《建規(guī)》中規(guī)定了廠房及倉庫的的防火分區(qū)�����,其中有一點需要注意,廠房及倉庫的防火分區(qū)首先受該建筑物生產(chǎn)類別影響,其次還和建筑物的耐火等級有關(guān)。雖然《建規(guī)》中規(guī)定封閉樓梯間的門為雙向彈簧門就可以了�,但做為劃分防火分區(qū)用的封閉樓梯間門至少應(yīng)設(shè)乙級防火門����。否則樓梯間也是火災(zāi)縱向蔓延的途徑之一�����,也應(yīng)按上下連通層作為一個防火分區(qū)計算面積�。
(2). 安全疏散設(shè)計問題��。
很多大型工業(yè)建筑在消防安全疏散設(shè)計中存在的問題,諸如首層疏散樓梯無法直通室外�,設(shè)備及管道布置錯綜復(fù)雜致使人員逃生路線迂回曲折�,疏散距離超過規(guī)范要求等�。在設(shè)計中應(yīng)合理設(shè)置安全疏散通道,并使疏散通道兩側(cè)的隔墻耐火極限≥lh(非燃材料)���,房間內(nèi)最遠工作點的疏散距離應(yīng)考慮設(shè)備及管道布置的影響等等。
(3)防爆泄壓應(yīng)注意的問題
首先���,不同用途的廠房有不同的廠房爆炸危險等級,進而根據(jù)規(guī)范采取相應(yīng)級別的泄壓比��。第二�,要避免建筑物內(nèi)有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產(chǎn)生較大超壓����,保證所設(shè)計的泄壓面積能有效���。第三���,泄壓方向要避開人員疏散通道及重要設(shè)施��。
三.工業(yè)廠房防火防爆設(shè)計要點�����。
有爆炸危險的廠房,一旦發(fā)生爆炸,不但會造成房倒人亡�����,設(shè)備摧毀���,生產(chǎn)停頓�����,甚至引起相鄰廠房或設(shè)施連鎖爆炸、次生火災(zāi)�。因此�,從廠房設(shè)計起���,就應(yīng)考慮防爆抗爆措施�����。消防部門也應(yīng)加強對此類廠房的審核���,嚴(yán)格把關(guān)�,將隱患消滅在源頭��。因此在設(shè)計爆炸危險廠房時應(yīng)注意把握以下幾個方面:
1.平面布局設(shè)計�����。
規(guī)模較大的工廠和倉庫,應(yīng)根據(jù)實際需要�����,合理劃分生產(chǎn)區(qū)�、儲存區(qū)、生產(chǎn)輔助設(shè)施區(qū)和行政辦公����、生活福利區(qū)等����。同一生產(chǎn)企業(yè)內(nèi)����,宜盡量將火災(zāi)危險性相同或相近的建筑集中布置�����,以便分別采取防火防爆設(shè)施�,便于安全管理���。在選址時�,應(yīng)注意周圍環(huán)境,充分考慮建廠地區(qū)的企業(yè)和居民安全��。注意地勢條件����,應(yīng)根據(jù)產(chǎn)品的性質(zhì),優(yōu)先選取有利地形,減少危險性,減少對周圍環(huán)境的火災(zāi)威脅��。注意風(fēng)向,散發(fā)可燃氣體���、可燃蒸汽和可燃粉塵的車間、裝置����,應(yīng)布置在廠區(qū)的全年主導(dǎo)風(fēng)向的下風(fēng)向�����。
2.建筑耐火等級。
建筑物耐火等級����。劃分建筑物耐火等級是建筑設(shè)計防火規(guī)范中規(guī)定的防火技術(shù)措施中最基本的措施��。它要求建筑物在火災(zāi)高溫的持續(xù)作用下,墻�����、柱���、梁��、樓板、屋蓋、吊頂?shù)然窘ㄖ?gòu)件,能在一定的時間內(nèi)不破壞,不傳播火災(zāi),從而起到延緩和阻止火災(zāi)蔓延的作用,并為人員疏散����、搶救物資和撲滅火災(zāi)以及為火災(zāi)后結(jié)構(gòu)修復(fù)創(chuàng)造條件�。
3.防火墻和防火門及防火間距��。
根據(jù)在建筑物中的位置和構(gòu)造形式����,有與屋脊方向垂直的橫向防火墻�、與屋脊方向平行的縱向防火墻、內(nèi)墻防火墻、外墻防火墻和獨立防火墻等�。內(nèi)防火墻是把廠房或庫房劃分成防火單元����,可以阻止火勢在建筑物內(nèi)的蔓延擴展�;外防火墻是鄰近兩幢建筑物的防火間距不足而設(shè)置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區(qū)域如需要互相通行時���,可在中間設(shè)置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災(zāi)發(fā)生時�����,由于強烈的熱輻射��、熱對流以及燃燒物質(zhì)的爆炸飛濺、拋向空中形成飛火��,能使鄰近甚至遠處建筑物形成新的起火點��。為阻止火勢向相鄰建筑物蔓延擴散�,應(yīng)保證建筑物之間的防火間距����。
4.工業(yè)建筑防爆。
在一些工業(yè)建筑中,使用和產(chǎn)生的可燃氣體��、可燃蒸氣��、可燃粉塵等物質(zhì)能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸�。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物���、生產(chǎn)設(shè)備遭到毀壞,造成人員傷亡��。對于上述有爆炸危險的工業(yè)建筑,為了防止爆炸事故的發(fā)生,減少爆炸事故造成的損失,要從建筑平面與空間布置����、建筑構(gòu)造和建筑設(shè)施方面采取防火防爆措施�����。首先�,此類建筑以獨立設(shè)置,并宜采用敞開或半敞開式���,承重結(jié)構(gòu)多采用鋼筋混凝土或鋼框架、排架結(jié)構(gòu)�。第二����,要加強與其貼臨建造建筑物的保護�����,根據(jù)需要將兩者之間的隔墻設(shè)置為防火墻或防爆墻。第三�,有爆炸危險的甲�、乙類廠房(倉庫)應(yīng)設(shè)置足夠有效的泄壓設(shè)施,以減少爆炸帶來的損失�。當(dāng)建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積��,且各計算段中的公共截面不得作為泄壓面積���。另外�,位于寒冷及嚴(yán)寒地區(qū)的有爆炸危險的建筑物屋頂上所設(shè)的泄壓設(shè)施還應(yīng)考慮采取有效防止冰雪積聚的措施。
5. 設(shè)置防爆門斗
設(shè)置防爆門斗是解決交通和防爆的有力措施��,第一道門宜采用防爆門�����,才能達到防爆的效果��。但防爆門均采用特殊鋼材制作,其連接轉(zhuǎn)動部件和防止門與門框碰撞產(chǎn)生火花�����,門鉸鏈應(yīng)采用青銅軸和墊圈或其他摩擦碰撞不發(fā)火材料制作�,門扇周邊貼橡膠板,防止碰撞產(chǎn)生火花�����。防爆門斗內(nèi)要有一定的容積���,保證當(dāng)門打開時瞬時進入門斗的可燃氣體濃度降低�,兩門布置應(yīng)在不同方位上,間距200以上�����。防爆門斗也是爆炸危險部位的安全出口�����,其位置應(yīng)滿足安全疏散距離的要求。
四.結(jié)束語
隨著人們生活水平的提高,對生命財產(chǎn)的安全性要求也在不斷提高�����。建筑安全保障問題在人們心中的地位越來越高����,經(jīng)濟性建立在安全性的基礎(chǔ)之上,只有保證了建筑結(jié)構(gòu)的安全性,才能夠考慮建筑工程施工的經(jīng)濟性和適用性��。在正常的情況下�����,建筑工程首先要具備良好的工作性能���,進而為社會創(chuàng)造出良好的經(jīng)濟效益�����。進而有效提高建筑結(jié)構(gòu)的安全性能,促進建筑工程建設(shè)的發(fā)展,促進建筑業(yè)的發(fā)展。
參考文獻:
[1] 李海 防爆防火設(shè)計在工業(yè)建筑中的應(yīng)用 [期刊論文] 《黑龍江科技信息》 -2012年2期
[2] 曲海富 海洋工程防爆墻結(jié)構(gòu)有限元分析 [學(xué)位論文] 2007 - 天津大學(xué):船舶與海洋結(jié)構(gòu)物設(shè)計制造
第4篇
[論文關(guān)鍵詞] 計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù) [論文提要] 近年來計算機網(wǎng)絡(luò)獲得了飛速的發(fā)展���,網(wǎng)絡(luò)安全問題也隨之成為人們關(guān)注的焦點。本文分析了影響網(wǎng)絡(luò)安全的主要因素,重點闡述了幾種常用的網(wǎng)絡(luò)信息安全技術(shù)����。
Keywords: computer network security network technology
Abstracts: In recent years, computer network access to the rapid development of network security issues will become a focus of attention. This paper analyzes the main factors affecting network security, focuses on several commonly used network information security technology. 中圖分類號:TN711文獻標(biāo)識碼:A 文章編號:計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施��,保證在一個網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護����。計算機網(wǎng)絡(luò)安全包括兩個方面����,即物理安全和邏輯安全��。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護�,免于破壞���、丟失等��。邏輯安全包括信息的完整性���、保密性和可用性�����。 隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢��。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性���、互連性等特征�,加上安全機制的缺乏和防護意識不強,致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊��,所以網(wǎng)絡(luò)信息的安全和保密是一個至關(guān)重要的問題����。 一、威脅網(wǎng)絡(luò)安全的主要因素 影響計算機網(wǎng)絡(luò)安全的因素有很多,威脅網(wǎng)絡(luò)安全則主要來自人為的無意失誤、人為的惡意功擊和網(wǎng)絡(luò)軟件系統(tǒng)的漏洞以及“后門”三個方面的因素,歸納起來如下: 1.應(yīng)用系統(tǒng)和軟件安全漏洞���。WEB服務(wù)器和瀏覽器難以保障安全�����,最初人們引入CGI程序目的是讓主頁活起來�����,然而很多人在編CGI程序時對軟件包并不十分了解,多數(shù)人不是新編程序����,而是對程序加以適當(dāng)?shù)男薷?����,這樣一來,很多CGI程序就難免具有相同安全漏洞����。且每個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是完美無缺��,因此始終處于一個危險的境地,一旦連接入網(wǎng)����,就有可能成為功擊對象����。 2.安全策略��。安全配置不當(dāng)造成安全漏洞����,例如:防火墻軟件的配置不正確����,那么它根本不起作用。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限���,忽視了這些權(quán)限可能會被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲權(quán)限��、寫權(quán)限以及訪問其他存儲內(nèi)容的權(quán)限��,或者是作為進一步進入其他系統(tǒng)的跳板��,或者惡意破壞這個系統(tǒng),使其毀壞而喪失服務(wù)能力�����。對特定的網(wǎng)絡(luò)應(yīng)用程序���,當(dāng)它啟動時�����,就打開了一系列的安全缺口���,許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用����。除非用戶禁止該程序或?qū)ζ溥M行正確配置���,否則��,安全隱患始終存在��。 3.后門和木馬程序��。在計算機系統(tǒng)中�����,后門是指軟、硬件制作者為了進行非授權(quán)訪問而在程序中故意設(shè)置的訪問口令,但也由于后門的存大�,對處于網(wǎng)絡(luò)中的計算機系統(tǒng)構(gòu)成潛在的嚴(yán)重威脅�����。木馬是一類特殊的后門程序,是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點��;如果一臺電腦被安裝了木馬服務(wù)器程序����,那么黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務(wù)器程序達到控制電腦目的。 4.病毒����。目前數(shù)據(jù)安全的頭號大敵是計算機病毒����,它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)�����,影響硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼����。它具有病毒的一些共性���,如:傳播性��、隱蔽性、破壞性和潛伏性等等�����,同時具有自己的一些特征�����,如:不利用文件寄生(有的只存在于內(nèi)存中)��,對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等���。 5.黑客�����。黑客通常是程序設(shè)計人員,他們掌握著有關(guān)操作系統(tǒng)和編程語言的高級知識,并利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng),其危害性非常大����。從某種意義上講�,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重�。 二、常用的網(wǎng)絡(luò)安全技術(shù) 1.殺毒軟件技術(shù)。殺毒軟件是我們計算機中最為常見的軟件,也是用得最為普通的安全技術(shù)方案,因為這種技術(shù)實現(xiàn)起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限���,不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對于個人用戶或小企業(yè)基本能滿足需要,但如果個人或企業(yè)有電子商務(wù)方面的需求��,就不能完全滿足了����,值得欣慰的是隨著殺毒軟件技術(shù)的不斷發(fā)展,現(xiàn)在的主流殺毒軟件同時對預(yù)防木馬及其它的一些黑客程序的入侵有不錯的效果�����。還有的殺毒軟件開發(fā)商同時提供了軟件防火墻����,具有了一定防火墻功能����,在一定程度上能起到硬件防火墻的功效,如:360�、金山防火墻和Norton防火墻等����。
2.防火墻技術(shù)����。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略,對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用措施�。防火墻如果從實現(xiàn)方式上來分����,又分為硬件防火墻和軟件防火墻兩類�����,我們通常意義上講的硬防火墻為硬件防火墻��,它是通過硬件和軟件的結(jié)合來達到隔離內(nèi)外部網(wǎng)絡(luò)的目的,價格較貴��,但效果較好�����,一般小型企業(yè)和個人很難實現(xiàn);軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護的��,也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施��,例如:對數(shù)據(jù)進行加密處理�。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_���,而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力�����,要保證企業(yè)內(nèi)部網(wǎng)的安全��,還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和來實現(xiàn)。 3.?dāng)?shù)據(jù)加密技術(shù)。與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性��,防止秘密數(shù)據(jù)被外部竊取,偵聽或破壞所采用的主要技術(shù)手段之一����。按作用不同���,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸�����、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種���。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲和存取控制兩種����;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密�,常用的有線路加密和端口加密兩種方法��;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證,達到保密的要求,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)�����,實現(xiàn)對數(shù)據(jù)的安全保護���。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用�,密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存�����、更換與銷毀等各環(huán)節(jié)上的保密措施��。 數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性����,能夠有效地防止機密信息的泄漏����。另外,它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中����,用來防止欺騙�����,這對信息處理系統(tǒng)的安全起到極其重要的作用。 4.入侵檢測技術(shù)�����。網(wǎng)絡(luò)入侵檢測技術(shù)也叫網(wǎng)絡(luò)實時監(jiān)控技術(shù)����,它通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)流進行實時檢查��,并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較��,一旦發(fā)現(xiàn)有被攻擊的跡象,立刻根據(jù)用戶所定義的動作做出反應(yīng)�����,如切斷網(wǎng)絡(luò)連接�,或通知防火墻系統(tǒng)對訪問控制策略進行調(diào)整,將入侵的數(shù)據(jù)包過濾掉等�����。因此入侵檢測是對防火墻有益的補充����。可在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽�,從而提供對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護�,大大提高了網(wǎng)絡(luò)的安全性��。 5.網(wǎng)絡(luò)安全掃描技術(shù)���。網(wǎng)絡(luò)安全掃描技術(shù)是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)����,通過對網(wǎng)絡(luò)的掃描�����,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞�,客觀評估網(wǎng)絡(luò)風(fēng)險等級��。利用安全掃描技術(shù),可以對局域網(wǎng)絡(luò)����、Web站點�����、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進行服務(wù)�����,檢測在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞�,還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯誤�。 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)����,關(guān)系著IN-TERNET的進一步發(fā)展和普及��。網(wǎng)絡(luò)安全不能僅依靠殺毒軟件�����、防火墻和漏洞檢測等硬件設(shè)備的防護,還應(yīng)注重樹立人的計算機安全意識��,才可能更好地進行防護���,才能真正享受到網(wǎng)絡(luò)帶來的巨大便利�。
[參考文獻] [1]顧巧論.計算機網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2008.
[2]李軍義.計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:北方大學(xué)出版社����,2006.
[3]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:水利水電出版社,2005.
[4]趙秦.計算機網(wǎng)絡(luò)信息安全技術(shù)研究[J].中國新技術(shù)新產(chǎn)品,2009���,(14).
第5篇
關(guān)鍵詞:計算機;網(wǎng)絡(luò)安全;防火墻技術(shù);分析
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2012)24-5787-02
Computer Network Security and Firewall Technology
ZHANG Rui
(Hinggan League Frontier Defense Detachment, Inner Mongolia Frontier Corps, Ulanhot 137400, China)
Abstract: With the popularization of computer technology in our country, the openness of the network to bring convenience, but also brought confusion to the network security issues. For example: the computer network are often victims of a virus or hacker attacks, so that important files and data loss. In order to be able to better ensure the security of network information, to avoid destruction and violation of, therefore, become the focus of attention as a firewall to protect network security technology. In this paper, a brief introduction of the com puter network security and firewall technology, computer network security and firewall technology to analyze, and described the use of fire wall technology in computer network security.
Key words: computer; network security; firewall technology; analysis
計算機網(wǎng)絡(luò)安全問題主要有:信息在傳輸?shù)倪^程中���,數(shù)據(jù)被篡改和復(fù)制,以及攔截和查看,甚至遭受惡意的病毒攻擊等�。這些安全問題嚴(yán)重影響著計算機網(wǎng)絡(luò)的正常運行��,出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏,造成不可挽回的嚴(yán)重后果。為了構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境��,我國除了從法律和政策方面建立網(wǎng)絡(luò)安全體系�����,還從技術(shù)方面進行完善��。由于網(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性,因此防火墻技術(shù)是目前保護網(wǎng)絡(luò)安全最為有效地技術(shù)。不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行檢查,還能對整個網(wǎng)絡(luò)進行監(jiān)控����。
1計算機網(wǎng)絡(luò)安全及防火墻技術(shù)的含義
計算機網(wǎng)絡(luò)安全主要是保護使用者在進行信息傳輸時��,不被外界所竊聽和篡改,及復(fù)制,同時還要避免自然災(zāi)害所造成的損害����,以確保網(wǎng)絡(luò)通信的連續(xù)����。總的來說�,計算機網(wǎng)絡(luò)安全就是在確保網(wǎng)絡(luò)系統(tǒng)正常運行的同時���,還要確保各方面流動或存儲的數(shù)據(jù)不被更改和破壞���,及泄漏。
防火墻技術(shù)屬于一種隔離技術(shù),是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間安全的一道屏障�,同時也是保證網(wǎng)絡(luò)信息安全的基本手段�����。防火墻不僅能夠?qū)W(wǎng)絡(luò)信息流進行控制,增強網(wǎng)絡(luò)間的訪問控制和安全性,還能夠抵抗攻擊,阻止其他用戶非法獲取網(wǎng)絡(luò)信息資源���。防火墻除了能夠保護數(shù)據(jù)不被竊取和復(fù)制等,還能夠保護內(nèi)在的設(shè)備不被破壞,同時還能夠確定服務(wù)器是否被訪問����、被什么人訪問����、什么時候訪問等����。
2計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析
2.1計算機網(wǎng)絡(luò)安全分析
其一,對計算機網(wǎng)絡(luò)安全造成的威脅���。在計算機網(wǎng)絡(luò)安全中,造成的威脅主要是自然和人為兩種。前者主要是自然災(zāi)害和設(shè)備的老化���、電磁輻射和干擾,以及惡劣環(huán)境等造成的威脅;后者是病毒和黑客攻擊����、網(wǎng)絡(luò)缺陷和管理的漏洞�,以及惡意的操作等造成的威脅�。除此之外,TCP/IP協(xié)議和網(wǎng)絡(luò)結(jié)構(gòu)的缺陷,以及網(wǎng)絡(luò)安全意識的缺乏都將對計算機網(wǎng)絡(luò)安全造成威脅�。
其二���,計算機網(wǎng)絡(luò)安全主要影響原因在于網(wǎng)絡(luò)資源的共享和開放���、網(wǎng)絡(luò)系統(tǒng)的設(shè)計不夠完善,以及人為的惡意攻擊等���。由于資源共享的目的是實現(xiàn)網(wǎng)絡(luò)應(yīng)用,任何用戶都能夠通過互聯(lián)網(wǎng)進行信息資源的訪問�����,因此����,攻擊者只要通過服務(wù)請求就能夠輕松訪問到網(wǎng)絡(luò)數(shù)據(jù)包,為攻擊者提供了破壞的機會�。同時合理的網(wǎng)絡(luò)系統(tǒng)在確保節(jié)約資源的條件下����,保證其安全性��,相反就會構(gòu)成安全的威脅�����。隨著網(wǎng)絡(luò)的廣泛,黑客和病毒的攻擊是計算機網(wǎng)絡(luò)最難防御的威脅�。
其三�,利用數(shù)據(jù)加密和網(wǎng)絡(luò)存取控制的方式確保對網(wǎng)絡(luò)安全的保護���。前者主要是通過鏈路和端端加密��,以及節(jié)點和混合加密來阻止數(shù)據(jù)被惡意的篡改和破壞��,以及泄漏等;后者主要是通過身份的識別和數(shù)字簽名��,以及存取權(quán)限的控制和備份恢復(fù)等來阻止非法訪問造成數(shù)據(jù)的丟失和泄密�����,以及破壞等���。
2.2防火墻技術(shù)分析
其一�����,包過濾性的防火墻。該防火墻主要是在OSI參考模型中的網(wǎng)絡(luò)和傳輸層通過一個過濾路由器實現(xiàn)對整個網(wǎng)絡(luò)的保護��,只要與源頭和目的地址���、協(xié)議類型���,以及端口號等過濾條件相符��,就能夠進行數(shù)據(jù)包的轉(zhuǎn)發(fā)����,相反就會丟失數(shù)據(jù)包����。并且該防火墻工作透明,不僅效率高���,而且速度也很快。但是該防火墻無法支持應(yīng)用層協(xié)議��,不能防御黑客的攻擊和處理新型安全威脅�����。
其二,NAT和應(yīng)用型的防火墻。前者是將IP地址轉(zhuǎn)換成臨時注冊的IP地址�,當(dāng)內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)進行訪問時�����,如果是通過安全網(wǎng)卡,防火墻就會自動將源地址與端口偽裝,然后與外部相連���。相反,如果是通過非安全網(wǎng)卡,那么訪問是經(jīng)過一個開放的IP與端口。防火墻對訪問安全的判斷是依照已經(jīng)預(yù)設(shè)好的映射規(guī)則進行���;而后者是運行在OSI的應(yīng)用層。它不僅阻止網(wǎng)絡(luò)的通信流,還能夠?qū)崟r監(jiān)控���,其安全性非常高。但是該防火墻影響系統(tǒng)的性能,使管理更加復(fù)雜�����。
其三�,狀態(tài)檢測型的防火墻。該防火墻與其他防火墻相比較的話,不僅高安全和高效性�����,還具有很好的可擴展和伸縮性��。該防火墻將相同連接的包看成整體數(shù)據(jù)流����,并對連接狀態(tài)表中的狀態(tài)因素進行辨別和區(qū)分���。雖然這種防火墻性能很好�,但是容易造成網(wǎng)絡(luò)連接的延緩滯留。
3在計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的運用
從整體上來說,計算機網(wǎng)絡(luò)安全是通過網(wǎng)絡(luò)的管理控制,以及技術(shù)的解決辦法�����,確保在網(wǎng)絡(luò)的環(huán)境中����,保護數(shù)據(jù)進行使用和保密,及完整性����。計算機網(wǎng)絡(luò)安全主要有物理和邏輯安全�����。但是根據(jù)使用者的不一樣,對網(wǎng)絡(luò)安全的理解也就會不一樣。如:一般的使用者認為�����,計算機網(wǎng)絡(luò)安全就是在網(wǎng)絡(luò)上傳自己的隱私或者是重要的信息時�,能夠保護信息不能被竊聽和篡改,以及偽造。而網(wǎng)絡(luò)的供應(yīng)商們則認為�,除了保證網(wǎng)絡(luò)信息的安全��,還要考慮各種對網(wǎng)絡(luò)硬件破壞因素的保護,以及在出現(xiàn)異常時恢復(fù)網(wǎng)絡(luò)通信的保護。
1)加密技術(shù)。即信息的發(fā)送方先對信息做加密處理���,密碼由和接收方掌握,接收方接收到經(jīng)過加密處理的信息后,用解密密鑰對信息進行解密����,從而完成一次安全的信息傳輸���。加密措施利用密鑰來保障信息傳輸?shù)陌踩浴?/p>
2)身份驗證���。通過對網(wǎng)絡(luò)用戶的使用授權(quán)�����,在信息的發(fā)送方和接收方之間通過身份認證�����,建立起相對安全的信息通道�����,這樣可以有效防止未經(jīng)授權(quán)的非法用戶的介入。
3)防病毒技術(shù)���,主要涉及對病毒的預(yù)防、檢測以及清除三方面����。
其一�����,在網(wǎng)絡(luò)建設(shè)中,安裝防火墻對互聯(lián)網(wǎng)之間的交換信息按照某種規(guī)則進行控制�����,構(gòu)成一道安全屏障來保護內(nèi)網(wǎng)與外網(wǎng)間的信息和數(shù)據(jù)傳輸�,確保網(wǎng)絡(luò)不被其他未經(jīng)授權(quán)的第三方侵入。
其二�,網(wǎng)絡(luò)的連接如果是由路由器和互聯(lián)網(wǎng)相連�,服務(wù)器有WWW和DNS�、FIP和Email等,且IP地址確定�,同時該網(wǎng)絡(luò)擁有一個C類IP地址���。那么該網(wǎng)絡(luò)首先要進入主干網(wǎng)�����,對主干網(wǎng)的中心資源采取訪問控制��,禁止服務(wù)器以外的服務(wù)訪問��。然后,為了防御外來非法訪問盜用�,在連接端口接收數(shù)據(jù)的同時�����,就要檢查IP和以太網(wǎng)的地址����,丟棄盜用IP地址數(shù)據(jù)包�����,并將有關(guān)的信息進行記錄�。實際的操作過程是:預(yù)設(shè)控制位102��,當(dāng)防火墻與IP��、以太網(wǎng)地址訪問到某個地址屬于非法訪問,那么防火墻就會自動將路由器中的存取控制表進行更改���,過濾非法的IP地址包,以阻止外來的非法訪問��。
4結(jié)束語
總而言之��,隨著計算機網(wǎng)絡(luò)的快速發(fā)展和運用���,網(wǎng)絡(luò)為人們帶來便捷的同時���,也帶來了一定的安全問題。由于網(wǎng)絡(luò)安全不僅與技術(shù)和管理有聯(lián)系,對網(wǎng)絡(luò)的使用和維護等也有聯(lián)系。雖然目前防火墻技術(shù)是防止網(wǎng)絡(luò)威脅的主要手段����,但是由于網(wǎng)絡(luò)安全存在多方面�,僅依靠防火墻技術(shù)是無法滿足人們對網(wǎng)絡(luò)安全的需求�,因此,只有將網(wǎng)絡(luò)安全與防火墻技術(shù)結(jié)合進行研究,才能提供更好的安全服務(wù)。
參考文獻:
[1]張威,潘小鳳.防火墻與入侵檢測技術(shù)探討[J].南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報,2008(2).
[2]程衛(wèi)驥.淺析網(wǎng)絡(luò)安全的威脅因素及防范措施[C]//煤礦自動化與信息化——第21屆全國煤礦自動化與信息化學(xué)術(shù)會議暨第3屆中國煤礦信息化與自動化高層論壇論文集:下冊.2011.
第6篇
關(guān)鍵詞:數(shù)字化校園網(wǎng)��,安全隱患,安全機制,安全實施
數(shù)字化校園是在校園網(wǎng)的基礎(chǔ)之上��,以計算機網(wǎng)絡(luò)和信息數(shù)字化技術(shù)為依托�,利用先進的信息手段和工具,來支撐學(xué)校的教學(xué)和管理信息流,實現(xiàn)了教育��、教學(xué)����、科研、管理、技術(shù)服務(wù)等校園信息的收集���、處理、整合、存儲、傳輸����、應(yīng)用等方面的全部數(shù)字化����,使教學(xué)資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境�����。
一�����、高校數(shù)字化校園網(wǎng)的安全隱患分析
高校校園網(wǎng)的應(yīng)用以及服務(wù)主要是面向?qū)W生��,學(xué)生經(jīng)常玩游戲�、下電影���、瀏覽未知以及可能存在安全隱患的網(wǎng)站�����、接收陌生人的電子郵件�、用聊天軟件時隨意接受陌生人傳送的文件�����,這些安全隱患都有可能導(dǎo)致校園網(wǎng)病毒泛濫����;觀看網(wǎng)上直播,嚴(yán)重影響網(wǎng)絡(luò)速度��,甚至阻塞網(wǎng)絡(luò)運行��;同時高校的學(xué)生人數(shù)較多�����,學(xué)生對網(wǎng)絡(luò)安全的認識也參差不齊:很多學(xué)生認為網(wǎng)絡(luò)中的安全威脅就是計算機病毒。所以��,整個校園網(wǎng)中的大部分用戶�,對網(wǎng)絡(luò)中存在的安全威脅還是沒有一個清晰、系統(tǒng)的認識。
經(jīng)過調(diào)查、分析���、研究,高校校園網(wǎng)存在以下安全隱患:
1.校園網(wǎng)直接與因特網(wǎng)相連,所以會遭受黑客以及網(wǎng)絡(luò)安全缺陷方面的攻擊�;
2.校園網(wǎng)內(nèi)部安全隱患�����;
3.用戶接入點數(shù)量大�,使用率高,隨時有可能造成病毒泛濫�、信息丟失���、數(shù)據(jù)損壞��、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果�����;
4.缺乏統(tǒng)一管理���;
5.網(wǎng)絡(luò)中心負荷量大:絕大部分網(wǎng)絡(luò)管理功能都是由網(wǎng)絡(luò)中心來完成的����,包括校園網(wǎng)絡(luò)的建設(shè)維護、網(wǎng)絡(luò)使用的政策制定以及相關(guān)費用的收??����;
總之,實施一個科學(xué)����、合理的安全機制數(shù)字化校園網(wǎng)����,對校園網(wǎng)的正常運行起著至關(guān)重要的作用�。
二、數(shù)字化校園網(wǎng)安全機制的實施
為了有效地解決校園網(wǎng)將會遇到的種種網(wǎng)絡(luò)安全問題�,需要在網(wǎng)絡(luò)中的各個環(huán)節(jié)都采取必要的安全防范措施���,通過多種安全防范技術(shù)和措施的綜合運用,從而來保證校園網(wǎng)能夠高性能、高安全性的正常運行����。
1�����、防火墻的實施
防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。
防火墻是一種保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備;同時防火墻也是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合�。它通過監(jiān)測�����、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息�、結(jié)構(gòu)和運行狀況�����,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。論文格式�����,安全實施。在邏輯上�,防火墻是一個分離器����,一個限制器��,也是一個分析器���,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動��,保證內(nèi)部網(wǎng)絡(luò)的安全����。
可根據(jù)具體的校園網(wǎng)實際環(huán)境,在防火墻上設(shè)置如下安全策略:
1)解決內(nèi)外網(wǎng)絡(luò)邊界安全,防止外部攻擊�,保護內(nèi)部網(wǎng)絡(luò)(禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò))����;2)根據(jù)IP地址�����、協(xié)議類型����、端口等進行數(shù)據(jù)包過濾��;3)內(nèi)外網(wǎng)絡(luò)采用兩套IP地址��,實現(xiàn)雙向地址轉(zhuǎn)換功能;4)支持安全服務(wù)器網(wǎng)絡(luò)(DMZ區(qū)),允許內(nèi)外網(wǎng)絡(luò)訪問DMZ區(qū)���,但禁止DMZ區(qū)訪問內(nèi)部網(wǎng)絡(luò);5)通過IP與MAC地址綁定防止IP盜用,避免亂用網(wǎng)絡(luò)資源;6)防止IP欺騙;7)防DDoS攻擊����;8)開啟黑白名單功能�����,實現(xiàn)URL過濾,過濾不健康網(wǎng)站;9)提供應(yīng)用服務(wù)�����,隔離內(nèi)外網(wǎng)絡(luò)����;10)具有自身保護能力�����,可防范對防火墻的常見攻擊�����;11)啟動入侵檢測及告警功能;12)學(xué)生訪問不良信息網(wǎng)站后的日志記錄�,做到有據(jù)可查��;13)多種應(yīng)用協(xié)議的支持,等等���。
2、網(wǎng)閘的實施
安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接�,并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備��。安全隔離網(wǎng)閘可以在保證安全的前提下,使用戶可以瀏覽網(wǎng)頁���、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù)�����,并可以在網(wǎng)絡(luò)之間交換定制的文件�。論文格式��,安全實施。
可根據(jù)具體的校園網(wǎng)實際環(huán)境�����,在網(wǎng)閘上設(shè)置如下安全策略:
1)阻斷內(nèi)外網(wǎng)絡(luò)的物理連接�,防止外部攻擊�����,保護內(nèi)部網(wǎng)絡(luò)�;2)剝離內(nèi)外網(wǎng)絡(luò)傳輸?shù)腡CP/IP以及應(yīng)用層協(xié)議����,避免因為TCP/IP以及應(yīng)用層協(xié)議造成的漏洞; 3)內(nèi)外網(wǎng)絡(luò)采用一套IP地址���,實現(xiàn)指定協(xié)議通訊功能; 4)允許內(nèi)網(wǎng)訪問外網(wǎng)特定服務(wù)����、應(yīng)用(HTTP�,F(xiàn)TP����,F(xiàn)ILE,DB等)�;5)允許外網(wǎng)指定機器訪問內(nèi)網(wǎng)特定應(yīng)用(FILE����,DB等)��;6)防止IP欺騙���; 7)防DDoS攻擊����;8)具有自身保護能力���,可防范常見DoS���、DDoS攻擊��; 9)多種應(yīng)用協(xié)議的支持,等等。
3����、 防病毒的實施
計算機病毒對計算機網(wǎng)絡(luò)的影響是災(zāi)難性的�。計算機病毒的傳播方式已經(jīng)由在單機之間傳播轉(zhuǎn)向到各個網(wǎng)絡(luò)系統(tǒng)之間的傳播����,一旦病毒侵入到某一局域網(wǎng)并發(fā)作,那么造成的危害是難以承受的。病毒和防病毒之間的斗爭已經(jīng)進入了由“殺”病毒到“防”病毒的時代�����。只有將病毒拒絕于內(nèi)部網(wǎng)之外�����,或者及時查殺內(nèi)部網(wǎng)的病毒�,以此防范病毒在網(wǎng)絡(luò)內(nèi)泛濫傳播����,才能保證數(shù)據(jù)的真正安全。論文格式,安全實施。
我們結(jié)合計算機網(wǎng)絡(luò)����、計算機病毒的特征��,給出以下防范防治策略:
1)阻止外網(wǎng)的病毒入侵(這是病毒入侵最常見的方式,因此在兩個或多個網(wǎng)絡(luò)邊界之間,在網(wǎng)關(guān)處進行病毒攔截是效率最高���,耗費資源最少的措施�����,但只能阻擋來自外部病毒的入侵)���;2)阻止網(wǎng)絡(luò)郵件/群件系統(tǒng)傳播病毒(在郵件系統(tǒng)上部署防病毒體系)���;3)設(shè)置文件服務(wù)器防病毒保護���;4)最終用戶:病毒絕大部分是潛伏在計算機網(wǎng)絡(luò)的客戶端機器上�����,因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機也要進行防毒控制��;5)內(nèi)容保護:為了能夠在第一時間主動的阻止新型病毒的入侵,在防病毒系統(tǒng)中對附加內(nèi)容進行過濾和保護是非常必要的;6)集中管理:通過一個監(jiān)控中心對整個系統(tǒng)內(nèi)的防毒服務(wù)和情況進行管理和維護���,這樣可以大大降低維護人員的數(shù)量和維護成本,并且縮短了升級、維護系統(tǒng)的響應(yīng)時間�。
4����、學(xué)生宿舍區(qū)域802.1x認證
考慮到認證效率��、接入安全�、管理特性等多方面的因素���,對于學(xué)生宿舍區(qū)域的用戶接入建議采用已經(jīng)標(biāo)準(zhǔn)化的802.1x認證方式:
1)網(wǎng)絡(luò)環(huán)境復(fù)雜�,接入用戶數(shù)量巨大:建議采用分布式的用戶認證方式,把認證分散到樓棟匯聚交換機上去完成�,如果發(fā)生故障�����,不至于會影響到整個網(wǎng)絡(luò)的所有用戶���;2)網(wǎng)絡(luò)流量大��,認證用戶數(shù)量大:所采用的認證方式要具有很高的效率����,以保證用戶能及時通過認證���,在網(wǎng)絡(luò)流量大��,認證用戶數(shù)多時不會對設(shè)備的性能產(chǎn)生影響��,以保證整個網(wǎng)絡(luò)高效、穩(wěn)定的運行���;3)某些用戶技術(shù)層次高,存在對網(wǎng)絡(luò)安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對網(wǎng)絡(luò)的影響����,因此所采用的認證方式要能夠有比較高的安全性�����,能防止如DHCP的惡意攻擊等安全功能。
5��、數(shù)據(jù)存儲方案的實施
數(shù)字化校園是計算機技術(shù)的一個新興應(yīng)用領(lǐng)域��,涉及的內(nèi)容非常廣泛����,包括資料數(shù)字化����、海量存儲及數(shù)據(jù)管理����、全方位查詢檢索���、多渠道等技術(shù)�����,提供包括電子圖書、視頻���、音頻及其他多種形式的媒體資料等等。在數(shù)字化校園環(huán)境下��,各種數(shù)字信息的增長非常迅猛�����,同時�,數(shù)字信息存儲的容量需求越來越大���。
因此�,設(shè)計一種高容量、可擴充的存儲技術(shù)方案也是校園網(wǎng)絡(luò)安全的重點���。可以容納、甚至可以無限制地容納更多信息的“海量”存儲技術(shù):如NAS存儲、SAN存儲等應(yīng)用支撐平臺解決方案�����,在系統(tǒng)結(jié)構(gòu)上滿足用戶未來的應(yīng)用需求�����,同時合理使用用戶投資,建立滿足用戶現(xiàn)有需求的系統(tǒng),并且易于擴展的系統(tǒng)��,來幫助用戶解決在數(shù)據(jù)存儲和應(yīng)用需求方面所面臨的挑戰(zhàn)��。
三�、總結(jié)
隨著Internet技術(shù)突飛猛進的發(fā)展�,網(wǎng)絡(luò)的應(yīng)用范圍和領(lǐng)域迅速擴大,新的網(wǎng)絡(luò)技術(shù)、安全技術(shù)不斷推陳出新����,黑客技術(shù)也逐漸多元化�,導(dǎo)致安全問題日益突出���。在計算機網(wǎng)絡(luò)里���,安全防范體系的建立不是一勞永逸的�,沒有絕對的安全,我們只能不斷的采用新的網(wǎng)絡(luò)技術(shù)����,以及新的安全設(shè)備與技術(shù)��,這樣才有可能將網(wǎng)絡(luò)中威脅降到最低限度。論文格式�,安全實施����。
防火墻���、網(wǎng)閘、病毒防范是信息安全領(lǐng)域的主流技術(shù),這些網(wǎng)絡(luò)安全技術(shù)為整個網(wǎng)絡(luò)安全的建設(shè)起到至關(guān)重要的作用����,任何一個網(wǎng)絡(luò)或者用戶都不能夠忽視。論文格式�,安全實施���。到目前為止��,盡管相關(guān)研究人員已經(jīng)在理論和實踐方面都作了大量的工作��,而影響校園網(wǎng)的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新���。論文格式��,安全實施�����。要確保網(wǎng)絡(luò)的安全就只有根據(jù)實際情況,在安全技術(shù)上采用最新的技術(shù)成果�����,及時調(diào)整安全策略��,有效整合現(xiàn)有安全資源��,并且不斷引入新的安全機制,才能保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保數(shù)字化校園網(wǎng)的有效性和先進性�����。
參考文獻:
[1]焦中明.高校數(shù)字化校園建設(shè)的幾個問題.贛南師范學(xué)院學(xué)報
[2]徐立.我國高校校園網(wǎng)建設(shè)的研究.中南大學(xué)碩士論文
[3]沈培華.數(shù)字校園的五個層次.計算機世界
[4]趙思輝.數(shù)字化校園基礎(chǔ)平臺體系架構(gòu).福建電腦
[5]宋金玲.數(shù)字校園的相關(guān)技術(shù)及方法研究.中國礦業(yè)大學(xué)
[6]曾力煒,徐鷹.關(guān)于數(shù)字化校園建設(shè)的研究.計算機與現(xiàn)代化
[7]占素環(huán).校園網(wǎng)網(wǎng)絡(luò)安全技術(shù)及解決方案.農(nóng)機化研究
[8]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究.電子科技
第7篇
[論文關(guān)鍵詞] 電子商務(wù) 信息安全 信息安全技術(shù) 數(shù)字認證 安全協(xié)議
[論文摘 要]電子商務(wù)是新興商務(wù)形式�����,信息安全的保障是電子商務(wù)實施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題����,實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)����、身份驗證技術(shù)�、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境�,促進我國電子商務(wù)可持續(xù)發(fā)展����。
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起�,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場����。然而�,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加���,一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運作時,整個社會就會陷入危機���。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境�,愈來愈受到國際社會的高度關(guān)注�。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善�,包括密碼�����、鑒別、訪問控制����、信息流控制、數(shù)據(jù)保護、軟件保護���、病毒檢測及清除、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)�。
1.防火墻技術(shù)���。防火墻主要是加強網(wǎng)絡(luò)之間的訪問控制�, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)���,當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密����,與原文一起傳送給接收者����,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時間戳技術(shù)��。時間戳是一個經(jīng)加密后形成的憑證文檔����,包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數(shù)字簽名��,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS���,DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶���。
二、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)��。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法����、安全的網(wǎng)絡(luò)協(xié)議���、網(wǎng)絡(luò)防火墻���、完善的安全管理制度�����、硬件的加密和物理保護���、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進行考慮和完善��。
1.防火墻技術(shù)
用過Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時又要面對 Internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險:即客戶、推銷商�、移動用戶���、異地員工和內(nèi)部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵�。因此�,企業(yè)必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身必須能夠免于滲透。
2. VPN技術(shù)
虛擬專用網(wǎng)簡稱VPN��,指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng)��,依靠IPS或 NSP在安全隧道�����、用戶認證和訪問控制等相關(guān)技術(shù)的控制下達到與專用網(wǎng)絡(luò)類同的安全性能�,從而實現(xiàn)基于 Internet 安全傳輸重要信息的效應(yīng)���。目前VPN 主要采用四項技術(shù)來保證安全����, 這四項技術(shù)分別是隧道技術(shù)�����、加解密技術(shù)���、密鑰管理技術(shù)��、使用者與設(shè)備身份認證技術(shù)。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全����、防止欺騙���,確認交易雙方的真實身份����,電子商務(wù)必須采用加密技術(shù)���。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實的����。數(shù)字簽名就是通過一個單向哈希函數(shù)對要傳送的報文進行處理而得到的用以認證報文是否發(fā)生改變的一個字母數(shù)字串�����。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者���,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后��,就可確認消息來自于誰��,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明,發(fā)送者對所發(fā)信息不可抵賴��,從而實現(xiàn)信息的有效性和不可否認性�����。
三��、電子商務(wù)的安全認證體系
隨著計算機的發(fā)展和社會的進步,通過網(wǎng)絡(luò)進行的電子商務(wù)活動當(dāng)今社會越來越頻繁����,身份認證是一個不得不解決的重要問題��,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進行。認證體系在電子商務(wù)中至關(guān)重要�,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?����,F(xiàn)代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息�。認證則是為了防止敵方的主動攻擊���,包括驗證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除���、插入����、偽造及重放等��。認證主要包括三個方面:消息認證、身份認證和數(shù)字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數(shù)進行驗證��。從而確定被認證對象是否名實相符或有效����。這要求要驗證的參數(shù)與被認證對象之間應(yīng)存在嚴(yán)格的對應(yīng)關(guān)系,最好是惟一對應(yīng)的。身份認證是安全系統(tǒng)中的第一道關(guān)卡�����。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)��。提供了一種 Internet 上驗證用戶身份的方式�,其作用類似于司機的駕駛執(zhí)照或身份證�����。它是由一個權(quán)威機構(gòu)CA機構(gòu)��,又稱為證書授權(quán)(Certificate Authority)中心發(fā)行的,人們可以在網(wǎng)上用它識別彼此的身份。
四���、結(jié)束語
安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險��。因此���,為進一步促進電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展�����,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題����,使電子商務(wù)系統(tǒng)相對更安全���。電子商務(wù)的安全運行必須從多方面入手���,僅在技術(shù)角度防范是遠遠不夠的���,還必須完善電子商務(wù)立法�����,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題����,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展�。
參考文獻
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國水利水電出版社,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社,2005.
第8篇
論文摘要:隨著計算機的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用��,隨著信息時代的來臨�,信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個發(fā)展非?;钴S的領(lǐng)域�����,可能會受到黑客的非法攻擊,所以在任何情況下�,對于各種事故���,無意或有意的破壞����,保護數(shù)據(jù)及其傳送���、處理都是非常必要的�。計劃如何保護你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時��,首先要考慮的是防火墻�����。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念�����、系統(tǒng)結(jié)構(gòu)��、原理���、構(gòu)架�、入侵檢測技術(shù)及VPN等相關(guān)問題�����。
Abstract:Along with the fast computer development and the universal application of the network technology��, along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers����, It is very necessary for data’s protection��, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering�, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....
第一章 緒論
§1.1概述
隨著以 Internet為代表的全球信息化浪潮的來臨���,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛���,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域也從傳統(tǒng)的���、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展,其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)�����、銀行系統(tǒng)、商業(yè)系統(tǒng)��、管理部門����、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及�,公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問題日益成為關(guān)注的焦點�����。一方面,網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性���、用戶使用的方便性,通過分布式處理提高了系統(tǒng)效率和可靠性��,并且還具備可擴充性��。另一方面�����,也正是由于具有這些特點增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。
開放性的網(wǎng)絡(luò)���,導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊���,也可以對網(wǎng)絡(luò)通信協(xié)議和實現(xiàn)實施攻擊,可以是對軟件實施攻擊��,也可以對硬件實施攻擊����。國際性的網(wǎng)絡(luò)���,意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶���,也可以來自 linternet上的任何一臺機器�,也就是說,網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)。開放的����、國際化的 Internet的發(fā)展給政府機構(gòu)����、企事業(yè)單位的工作帶來了革命性的變革和開放�,使得他們能夠利用 Internet提高辦事效率、市場反應(yīng)能力和競爭力���。通過 Internet,他們可以從異地取回重要數(shù)據(jù)�����,同時也面臨 Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險�����。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵���,己成為政府機構(gòu)����、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一��。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來,這種互聯(lián)方式面臨多種安全威脅���,極易受到外界的攻擊,導(dǎo)致對網(wǎng)絡(luò)的非法訪問和信息泄露����。防火墻是安全防范的最有效也是最基本的手段之一��。
雖然國內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品��,并且這些產(chǎn)品早已打入市場�,但是對于安全產(chǎn)品來說��,要想進入我軍部隊。我們必須自己掌握安全測試技術(shù)�����,使進入部隊的安全產(chǎn)品不出現(xiàn)問題�����,所以對網(wǎng)絡(luò)安全測試的研究非常重要�,具有深遠的意義�。
§1.2本文主要工作
了解防火墻的原理 、架構(gòu)、技術(shù)實現(xiàn)
了解防火墻的部署和使用配置
熟悉防火墻測試的相關(guān)標(biāo)準(zhǔn)
掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關(guān)測試方法
第二章 防火墻的原理 、架構(gòu)、技術(shù)實現(xiàn)
§2.1什么是防火墻�����?
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許�、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流����,且本身具有較強的抗攻擊能力�。它是提供信息安全服務(wù)�,實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
§2.2防火墻的原理
隨著網(wǎng)絡(luò)規(guī)模的擴大和開放性的增強����,網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊���。一種解決辦法是為需要保護的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強大的安全特征(例如入侵檢測)�����,但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)����,它們可能運行著不同的操作系統(tǒng)�����,當(dāng)發(fā)現(xiàn)了安全缺陷時,每個可能被影響的節(jié)點都必須加以改進以修復(fù)這個缺陷�����。另一種選擇就是防火墻 (Firewall)��,防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備�,作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點存在�。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流�,防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)���。
§2.3防火墻的架構(gòu)
防火墻產(chǎn)品的三代體系架構(gòu)主要為:
第一代架構(gòu):主要是以單一cpu作為整個系統(tǒng)業(yè)務(wù)和管理的核心,cpu有x86、powerpc、mips等多類型,產(chǎn)品主要表現(xiàn)形式是pc機����、工控機�����、pc-box或risc-box等;
第二代架構(gòu):以np或asic作為業(yè)務(wù)處理的主要核心,對一般安全業(yè)務(wù)進行加速��,嵌入式cpu為管理核心����,產(chǎn)品主要表現(xiàn)形式為box等;
第三代架構(gòu):iss(integrated security system)集成安全體系架構(gòu)�����,以高速安全處理芯片作為業(yè)務(wù)處理的主要核心,采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用����,產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠�����、背板交換式的機架式設(shè)備,容量大性能高�,各單元及系統(tǒng)更為靈活����。
§2.4防火墻的技術(shù)實現(xiàn)
從Windows軟件防火墻的誕生開始�����,這種安全防護產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經(jīng)處理的報文原文的封包過濾防火墻,后來出現(xiàn)了能對不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù);近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行����,很多防火墻都在考慮給自己加上攔截流氓軟件的功能���。綜上�����,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具�,發(fā)展到了今天功能強大的整體性的安全套件�����。
第三章 防火墻的部署和使用配置
§ 3.1防火墻的部署
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理��,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主����,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮�����,用戶可以選擇性地使用某些監(jiān)測型技術(shù)�。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。
實際上����,作為當(dāng)前防火墻產(chǎn)品的主流趨勢�����,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù)����,這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的�,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾�。例如����,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用�����,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄���。正是由于應(yīng)用網(wǎng)關(guān)的這些特點����,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。
----那么我們究竟應(yīng)該在哪些地方部署防火墻呢���?
----首先�����,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵��;其次���,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大���,并且設(shè)置有虛擬局域網(wǎng)(VLAN)���,則應(yīng)該在各個VLAN之間設(shè)置防火墻�����;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻����,如果有條件���,還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)����。
----安裝防火墻的基本原則是:只要有惡意侵入的可能���,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處�����,都應(yīng)該安裝防火墻�。
§ 3.2 防火墻的使用配置
一��、防火墻的配置規(guī)則:
沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)�,任何數(shù)據(jù)包無法穿過防火墻����。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)
inside可以訪問任何outside和dmz區(qū)域���。
dmz可以訪問outside區(qū)域。
inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)����。
outside訪問dmz需要配合acl(訪問控制列表)。
二�、防火墻設(shè)備的設(shè)置步驟:
1����、確定設(shè)置防火墻的部署模式��;
2�、設(shè)置防火墻設(shè)備的IP地址信息(接口地址或管理地址(設(shè)置在VLAN 1上))���;
3���、設(shè)置防火墻設(shè)備的路由信息����;
4、確定經(jīng)過防火墻設(shè)備的IP地址信息(基于策略的源、目標(biāo)地址);
5、確定網(wǎng)絡(luò)應(yīng)用(如FTP、EMAIL等應(yīng)用)���;
6、配置訪問控制策略。
第四章 防火墻測試的相關(guān)標(biāo)準(zhǔn)
防火墻作為信息安全產(chǎn)品的一種����,它的產(chǎn)生源于信息安全的需求����。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標(biāo)準(zhǔn)GB/T 18019-1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》���、GB/T18020-1999《信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產(chǎn)品測試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點整理出以下軟件防火墻的測試標(biāo)準(zhǔn):
4.1 規(guī)則配置方面
要使防火墻軟件更好的服務(wù)于用戶,除了其默認的安全規(guī)則外��,還需要用戶在使用過程中不斷的完善其規(guī)則����;而規(guī)則的設(shè)置是否靈活方便��、實際效果是否理想等方面��,也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應(yīng)用程序���、文件或注冊表鍵值實施單獨的規(guī)則添加等等,這將成為此款軟件防火墻規(guī)則配置的一個特色。
§ 4.2 防御能力方面
對于防火墻防御能力的表現(xiàn)��,由于偶然因素太多����,因此無法從一個固定平等的測試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結(jié)果可能仍然有一定的出入���,但大致可以做為一個性能參考。
§ 4.3 主動防御提示方面
對于網(wǎng)絡(luò)訪問、系統(tǒng)進程訪問���、程序運行等本機狀態(tài)發(fā)生改變時,防火墻軟件一般都會有主動防御提示出現(xiàn)���。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應(yīng)的操作選擇。
§ 4.4 自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設(shè)置符合自身特殊需要的規(guī)則����。防火墻可設(shè)置系統(tǒng)防火墻的安全等級����、安全規(guī)則����,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預(yù)設(shè)的防火墻安全等級,用戶可以上網(wǎng)���,收發(fā)郵件;l
中級:預(yù)設(shè)的防火墻安全等級,用戶可以上網(wǎng)�����,收發(fā)郵件��,網(wǎng)絡(luò)聊天, FTP��、Telnet等����;l
低級:預(yù)設(shè)的防火墻安全等級,只對已知的木馬進行攔截���,對于其它的訪問,只是給于提示用戶及記錄��;l
自定義:用戶可自定義防火墻的安全規(guī)則����,可以根據(jù)需要自行進行配置。l
§ 4.5 其他功能方面
這主要是從軟件的擴展功能表現(xiàn)���、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來綜合判定�����。比如是否具有過濾網(wǎng)址�、實施木馬掃描、阻止彈出廣告窗口�����、將未受保護的無線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則�、惡意軟件檢測、個人隱私保護等豐富的功能項�,是否可以滿足用戶各方面的需要���。
§ 4.6 資源占用方面
這方面的測試包括空閑時和瀏覽網(wǎng)頁時的CPU占用率���、內(nèi)存占有率以及屏蔽大量攻擊時的資源占用和相應(yīng)速度�?�?偟膩硎蔷褪琴Y源占用率越低越好���,啟動的速度越快越好���。
§ 4.7 軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)�����、安裝過程是不是方便、安裝完成后是否提示升級本地數(shù)據(jù)庫的信息等等��。
§ 4.8 軟件界面方面
軟件是否可切換界面皮膚和語言�����、界面是否簡潔等等����。簡潔的界面并不代表其功能就不完善���,相反地�,簡化了用戶的操作設(shè)置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項����,這方便用戶根據(jù)不同的安全級別啟動相應(yīng)的防護
第五章 防火墻的入侵檢測
§ 5.1 什么是入侵檢測系統(tǒng)�����?
入侵檢測可被定義為對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)的處理過程�,它不僅檢測來自外部的入侵行為,同時也檢測內(nèi)部用戶的未授權(quán)活動。
入侵檢測系統(tǒng) (IDS)是從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象�。IDS被公認為是防火墻之后的第二道安全閘門��,它作為一種積極主動的安全防護技術(shù),從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)�,對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實時保護����,從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵
§ 5.2 入侵檢測技術(shù)及發(fā)展
自1980年產(chǎn)生IDS概念以來�����,已經(jīng)出現(xiàn)了基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)�,出現(xiàn)了基于知識的模型識別���、異常識別和協(xié)議分析等入侵檢測技術(shù)�,并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測��。
入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個主要階段:
第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)��,其優(yōu)點是對于已知的攻擊行為非常有效�,各種已知的攻擊行為可以對號入座��,誤報率低;缺點是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測����,漏報率高���。
第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計為主的技術(shù)����,其優(yōu)點是能夠分析處理一部分協(xié)議���,可以進行重組;缺點是匹配效率較低�,管理功能較弱。這種檢測技術(shù)實際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對異常行為分析的功能�����。
第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù),其優(yōu)點是誤報率�����、漏報率和濫報率較低�����,效率高�����,可管理性強,并在此基礎(chǔ)上實現(xiàn)了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù)�����,其優(yōu)點是入侵管理和多項技術(shù)協(xié)同工作����,建立全局的主動保障體系,具有良好的可視化����、可控性和可管理性��。以該技術(shù)為核心���,可構(gòu)造一個積極的動態(tài)防御體系���,即IMS——入侵管理系統(tǒng)���。
新一代的入侵檢測系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點�、部署方便、應(yīng)用靈活��、功能強大��、并提供攻擊簽名�、檢測�、報告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)
§ 5.3入侵檢測技術(shù)分類
從技術(shù)上講,入侵檢測技術(shù)大致分為基于知識的模式識別��、基于知識的異常識別和協(xié)議分析三類���。而主要的入侵檢測方法有特征檢測法��、概率統(tǒng)計分析法和專家知識庫系統(tǒng)�。
(1)基于知識的模式識別
這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實現(xiàn)的�����,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來�,并建立模式數(shù)據(jù)庫�����,然后監(jiān)視主體的一舉一動�����,當(dāng)檢測到主體活動違反了事先定義的模式規(guī)則時�����,根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為���。
模式識別的關(guān)鍵是建立入侵模式的表示形式���,同時����,要能夠區(qū)分入侵行為和正常行為。這種檢測技術(shù)僅限于檢測出已建立模式的入侵行為����,屬已知類型�,對新類型的入侵是無能為力的�����,仍需改進��。
(2)基于知識的異常識別
這種技術(shù)是通過事先建立正常行為檔案庫實現(xiàn)的,其基本思想是:首先把主體的各種正?���;顒佑媚撤N形式描述出來���,并建立“正?;顒訖n案”���,當(dāng)某種活動與所描述的正?����;顒哟嬖诓町悤r,就認為是“入侵”行為���,進而被檢測識別。
異常識別的關(guān)鍵是描述正?;顒雍蜆?gòu)建正?����;顒訖n案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常����。根據(jù)異常識別思想�,把第二種和第四種情況判定為“入侵”行為�。這種檢測技術(shù)可以檢測出未知行為,并具有簡單的學(xué)習(xí)功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術(shù)
這種檢測方法是通過對審計信息的綜合分析實現(xiàn)的��,其基本思想是:根據(jù)用戶的歷史行為��、先前的證據(jù)或模型�����,使用統(tǒng)計分析方法對用戶當(dāng)前的行為進行檢測和判別,當(dāng)發(fā)現(xiàn)可疑行為時��,保持跟蹤并監(jiān)視其行為����,同時向系統(tǒng)安全員提交安全審計報告。
2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)
由于用戶的行為十分復(fù)雜�,要準(zhǔn)確匹配一個用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的���,這也是基于審計攻擊檢測的主要弱點�。
而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)則是一個對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進方向�,它能夠解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的若干問題��,例如��,建立確切的統(tǒng)計分布、實現(xiàn)方法的普遍性�、降低算法實現(xiàn)的成本和系統(tǒng)優(yōu)化等問題��。
3)基于專家系統(tǒng)的攻擊檢測技術(shù)
所謂專家系統(tǒng)就是一個依據(jù)專家經(jīng)驗定義的推理系統(tǒng)。這種檢測是建立在專家經(jīng)驗基礎(chǔ)上的����,它根據(jù)專家經(jīng)驗進行推理判斷得出結(jié)論�。例如��,當(dāng)用戶連續(xù)三次登錄失敗時���,可以把該用戶的第四次登錄視為攻擊行為�����。
4)基于模型推理的攻擊檢測技術(shù)
攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序����,如猜測口令的程序�,這種行為程序構(gòu)成了某種具有一定行為特征的模型,根據(jù)這種模型所代表的攻擊意圖的行為特征��,可以實時地檢測出惡意的攻擊企圖��,盡管攻擊者不一定都是惡意的�����。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監(jiān)視具有特定行為特征的某些活動�。根據(jù)假設(shè)的攻擊腳本����,這種系統(tǒng)就能檢測出非法的用戶行為�����。一般為了準(zhǔn)確判斷,要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本��。
使用基于知識的模式識別和基于知識的異常識別所得出的結(jié)論差異較大�����,甚至得出相反結(jié)論����。這是因為基于知識的模式識別的核心是維護一個入侵模式庫����,它對已知攻擊可以詳細、準(zhǔn)確地報告出攻擊類型��,但對未知攻擊卻無能為力���,而且入侵模式庫必須不斷更新����。而基于知識的異常識別則是通過對入侵活動的檢測得出結(jié)論的,它雖無法準(zhǔn)確判斷出攻擊的手段�����,但可以發(fā)現(xiàn)更廣泛的����、甚至未知的攻擊行為���。
§ 5.4入侵檢測技術(shù)剖析
1)信號分析
對收集到的有關(guān)系統(tǒng)����、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,一般通過三種技術(shù)手段進行分析:模式匹配�����、統(tǒng)計分析和完整性分析��。其中前兩種方法用于實時的入侵檢測��,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為�。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)��,也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化)。一般來講,一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權(quán)限)來表示����。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合����,顯著減少系統(tǒng)負擔(dān),且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣����,檢測準(zhǔn)確率和效率都相當(dāng)高����。但是�����,該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法,不能檢測到從未出現(xiàn)過的黑客攻擊手段。
3)統(tǒng)計分析
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶�����、文件��、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述�����,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)���。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)�、系統(tǒng)的行為進行比較��,任何觀察值在正常值范圍之外時,就認為有入侵發(fā)生���。例如,本來都默認用GUEST帳號登錄的����,突然用ADMINI帳號登錄���。這樣做的優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵�,缺點是誤報�����、漏報率高�����,且不適應(yīng)用戶正常行為的突然改變����。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法��,目前正處于研究熱點和迅速發(fā)展之中����。
4)完整性分析
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性����,它在發(fā)現(xiàn)被更改的��、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強有力的加密機制���,稱為消息摘要函數(shù)(例如MD5),它能識別哪怕是微小的變化����。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵�,只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變�,它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)��,用于事后分析而不用于實時響應(yīng)�����。盡管如此��,完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一��。例如,可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊����,對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。
§ 5.5防火墻與入侵檢測的聯(lián)動
網(wǎng)絡(luò)安全是一個整體的動態(tài)的系統(tǒng)工程�����,不能靠幾個產(chǎn)品單獨工作來進行安全防范�����。理想情況下�����,整個系統(tǒng)的安全產(chǎn)品應(yīng)該有一個響應(yīng)協(xié)同,相互通信���,協(xié)同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯(lián)動就能更好的進行安全防護。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯(lián)動���,當(dāng)入侵檢測系統(tǒng)檢測到入侵后,通過和防火墻通信���,讓防火墻自動增加規(guī)則,以攔截相關(guān)的入侵行為����,實現(xiàn)聯(lián)動聯(lián)防���。
§ 5.6什么是VPN ?
VPN的英文全稱是“Virtual Private Network”��,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義�����,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線�。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路��,就好比是架設(shè)了一條專線一樣��,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設(shè)線路的費用�,也不用購買路由器等硬件設(shè)備��。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機�����,防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能�����,一句話���,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)�����。
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全���、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)�����、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接�,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接��;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路�����,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)�����。
§ 5.7VPN的特點
1.安全保障雖然實現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性����。在安全性方面��,由于VPN直接構(gòu)建在公用網(wǎng)上,實現(xiàn)簡單����、方便���、靈活�����,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改��,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問����。
2.服務(wù)質(zhì)量保證(QoS)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大���。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源����,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低��,在流量高峰時引起網(wǎng)絡(luò)阻塞�,使實時性要求高的數(shù)據(jù)得不到及時發(fā)送;而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑�����。QoS通過流量預(yù)測與流量控制策略����,可以按照優(yōu)先級分實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送�,并預(yù)防阻塞的發(fā)生�����。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點�,支持多種類型的傳輸媒介��,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求�����。
4.可管理性
從用戶角度和運營商角度應(yīng)可方便地進行管理�、維護。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險����、具有高擴展性�、經(jīng)濟性��、高可靠性等優(yōu)點��。事實上,VPN管理主要包括安全管理�����、設(shè)備管理��、配置管理、訪問控制列表管理�、QoS管理等內(nèi)容��。
§ 5.8 VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯)����,你可以讓你喜歡的東西通過這個塞子����,別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里��,要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包�。
最簡單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用�����。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門��。這些VPN防火墻的形式多種多樣:有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧�����;有的在已有的協(xié)議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統(tǒng)�����。還有一些應(yīng)用型的VPN防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(比如SMTP或者HTTP協(xié)議等)��。還有一些基于硬件的VPN防火墻產(chǎn)品其實應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻�,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數(shù)據(jù)包�����,決定放行還是把他們?nèi)拥揭贿叀?/p>
所有的VPN防火墻都具有IP地址過濾功能。這項任務(wù)要檢查IP包頭����,根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定���?�?纯聪旅孢@張圖,兩個網(wǎng)段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機��,另一邊的網(wǎng)段則擺了臺PC客戶機���。
當(dāng)PC客戶機向UNIX計算機發(fā)起telnet請求時�,PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來,協(xié)議棧將這個TCP包“塞”到一個IP包里�,然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機�����。在這個例子里,這個IP包必須經(jīng)過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機����。
現(xiàn)在我們“命令”(用專業(yè)術(shù)語來說就是配制)VPN防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了�����,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢�!既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)��,那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。
還有一種情況��,你可以命令VPN防火墻專給那臺可憐的PC機找茬���,別人的數(shù)據(jù)包都讓過就它不行��。這正是VPN防火墻最基本的功能:根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了���,由于黑客們可以采用IP地址欺騙技術(shù),偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了��。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機制還是最基本和必需的�。另外要注意的一點是,不要用DNS主機名建立過濾表�,對DNS的偽造比IP地址欺騙要容易多了���。
后記:
入侵檢測作為一種積極主動地安全防護技術(shù)�����,提供了對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護�,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個:一個是虛警率太高�,一個是檢測速度太慢?,F(xiàn)有的入侵檢測系統(tǒng)還有其他技術(shù)上的致命弱點���。因此���,可以這樣說���,入侵檢測產(chǎn)品仍具有較大的發(fā)展空間��,從技術(shù)途徑來講����,除了完善常規(guī)的���、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外�,應(yīng)重點加強統(tǒng)計分析的相關(guān)技術(shù)研究�����。
但無論如何��,入侵檢測不是對所有的入侵都能夠及時發(fā)現(xiàn)的,即使擁有當(dāng)前最強大的入侵檢測系統(tǒng)�,如果不及時修補網(wǎng)絡(luò)中的安全漏洞的話�,安全也無從談起�����。
同樣入侵檢測技術(shù)也存在許多缺點���,IDS的檢測模型始終落后于攻擊者的新知識和技術(shù)手段�。主要表現(xiàn)在以下幾個方面:
1)利用加密技術(shù)欺騙IDS;
2)躲避IDS的安全策略;
3)快速發(fā)動進攻�,使IDS無法反應(yīng);
4)發(fā)動大規(guī)模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術(shù)��,邊攻擊邊學(xué)習(xí)����,變IDS為攻擊者的工具。
我認為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴大檢測范圍和類別、加強自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展�。
參考文獻 :
1..Marcus Goncalves著����。宋書民���,朱智強等譯��。防火墻技術(shù)指南[M]。機械工業(yè)出版社
2.梅杰,許榕生。Internet防火墻技術(shù)新發(fā)展���。微電腦世界 .
3.Ranum M J. Thinking About Firewalls.
第9篇
關(guān)鍵詞:電力 無線網(wǎng)絡(luò) 漏洞 自動化 解決方案
中圖分類號:TN915 文獻標(biāo)識碼:A 文章編號:1672-3791(2014)10(c)-0084-02
1 研究背景
近年來,全球的數(shù)據(jù)網(wǎng)絡(luò)正以令人驚奇的速度發(fā)展,為信息的交流和經(jīng)濟的發(fā)展提供了高效的工具和便利的平臺���。隨著電力建設(shè)的飛速發(fā)展,電力自動化數(shù)據(jù)網(wǎng)絡(luò)也迅速擴大,正在向全面覆蓋所有的電力企業(yè)邁進,電力系統(tǒng)數(shù)字化已是大勢所趨。電力調(diào)度自動化系統(tǒng)����、配電自動化系統(tǒng)��、電量計費系統(tǒng)、電力市場技術(shù)支持系統(tǒng)及交易系統(tǒng)、電力客戶服務(wù)中心系統(tǒng)�����、變電站自動化系統(tǒng)�、發(fā)電廠監(jiān)控系統(tǒng)、MIS 系統(tǒng)等,無一不是以高速的數(shù)據(jù)傳輸與交換為基本手段而建設(shè)的���。電力自動化數(shù)據(jù)通信網(wǎng)絡(luò)利用因特網(wǎng)�、無線網(wǎng)等的工具和平臺���,在提高數(shù)據(jù)傳輸效率�、減少開發(fā)維護工作量的同時,也帶來了新的問題,這就是內(nèi)部機密信息在網(wǎng)絡(luò)上的泄密��、以及被攻擊破壞等����。
隨著計算機運算性能的提高,通信技術(shù)的不斷發(fā)展����,電力通信協(xié)議也在不斷的改進�����,以適應(yīng)通信數(shù)據(jù)類別���、流量和實時性的要求��。IEC60870規(guī)約系列規(guī)定了電力遠動����、繼電保護數(shù)據(jù)�����、電能計費等多個方面的通信協(xié)議�,甚至出現(xiàn)了104網(wǎng)絡(luò)通信規(guī)約�,以適應(yīng)網(wǎng)絡(luò)RTU在電力系統(tǒng)中的應(yīng)用。各項信息安全技術(shù)也開始得到廣泛的應(yīng)用��,但是仍然是以以下觀點為基礎(chǔ)開展的���,電力數(shù)據(jù)網(wǎng)絡(luò)的信息安全研究應(yīng)該有所突破:
(1)電力通信網(wǎng)絡(luò)的兩個隔離���。物理隔離作為國家的明文規(guī)定是建立在網(wǎng)絡(luò)條件不如人意��,網(wǎng)絡(luò)威脅依然嚴(yán)重的情況下的�,需要看到電力信息系統(tǒng)的開放性將是主流方向�,基礎(chǔ)研究應(yīng)該突破這個框架開展一些前瞻性的工作。(2)重點防護監(jiān)控系統(tǒng),對通信數(shù)據(jù)網(wǎng)絡(luò)的信息安全重視不足��。雖然通信網(wǎng)絡(luò)的安全威脅相比而言較小��,但是由于電力通信對實時性和可靠性的要求�,使得通信數(shù)據(jù)網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)的信息安全同等重要��。(3)認為電力自動化通信沒有安全問題���,或者認為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求����,因此自動化通信的信息安全研究開展不多�����,還需要進行大量的研究。
2 電力系統(tǒng)無線通信對于信息安全的需求
電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)非?�;祀s���,從加密的技術(shù)角度來區(qū)分�����,可分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩類��。
2.1 實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)膶崟r數(shù)據(jù),其通信規(guī)約對時間的要求很嚴(yán)格��,不允許較大的傳輸延遲��;另一方面���,實時數(shù)據(jù)的數(shù)據(jù)量相對較小�����,且數(shù)據(jù)流量比較穩(wěn)定�。主要包括:
(1)下行數(shù)據(jù)�。包括遙控、遙調(diào)和保護裝置及其他自動裝置的整定值信息等�����。這類數(shù)據(jù)與設(shè)備狀態(tài)相關(guān)����,直接影響到電網(wǎng)的安全運行�。安全要求和實時要求都很高。(2)上行數(shù)據(jù)����。包括遙信�、重要遙測���、事件順序記錄(SOE)信息等�����。這類數(shù)據(jù)是電網(wǎng)穩(wěn)定運行的判據(jù)��,也是調(diào)度決策的依據(jù),實時性要求很高����。管理數(shù)據(jù)��。如負荷管理、停電計劃等管理信息系統(tǒng)(MIS)的重要管理數(shù)據(jù)�。這類數(shù)據(jù)對保密性有一定要求�����。實時數(shù)據(jù)其數(shù)據(jù)流量穩(wěn)定且時效性快,但是要求實時性高���、可靠性高,其保密性和數(shù)據(jù)完整性的要求也高��,因此對實時數(shù)據(jù)加密必須慎之又慎��。
2.2 非實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)姆菍崟r數(shù)據(jù),其數(shù)據(jù)量一般較大,但時效性不高��,可以允許一定的傳輸延遲�。它主要包括電力設(shè)備的維護日志、電力用戶的電能質(zhì)量信息等����。非實時數(shù)據(jù)實時性要求不高�,但是對數(shù)據(jù)完整性和保密性有一定的要求�����,在數(shù)據(jù)加密中要注意選擇合適的算法����。
3 電力自動化系統(tǒng)的安全漏洞及解決方案
電力自動化應(yīng)用系統(tǒng)��,不論是電力負荷管理系統(tǒng)�、電能量管理系統(tǒng)或是其它的應(yīng)用系統(tǒng)�����,它的網(wǎng)絡(luò)結(jié)構(gòu)框圖都可以歸納成圖1所示��。
3.1 中心站的安全隱患及解決方法
應(yīng)用系統(tǒng)都有一個中心站,它包括前置機、服務(wù)器等硬件設(shè)備及配套的管理軟件��,它負責(zé)接收各個子站上傳的數(shù)據(jù)并通過管理軟件對數(shù)據(jù)進行分析��、歸納和管理���;另一方面�,它也維護各個子站正常運行,并以下發(fā)命令的方式對子站進行操作管理;而且中心站還是本應(yīng)用系統(tǒng)與其它的電力自動化應(yīng)用系統(tǒng)進行數(shù)據(jù)共享和管理的一個數(shù)據(jù)接口。一般來說���,中心站和子站之間以及中心站和其它應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸都是通過有線傳輸(如光纖)進行的�����。
中心站既是內(nèi)部通信子站數(shù)據(jù)集中的一個節(jié)點�����,也是應(yīng)用系統(tǒng)與外部進行數(shù)據(jù)收發(fā)的一個接口。只要攻擊者侵入了該節(jié)點���,整個系統(tǒng)的數(shù)據(jù)就相當(dāng)于暴露在了入侵者的面前。而且一旦中心站出現(xiàn)了故障,即使其它的通信子站均運行正常,整個系統(tǒng)也無法正常工作了���。正由于它的重要性和脆弱性,因此對于中心站就更是要進行重點防護。防火墻就是一種有效的網(wǎng)絡(luò)安全保護措施����,它可以按照用戶事先規(guī)定好的方案控制信息的流入和流出�,監(jiān)督和控制使用者的操作���。防火墻大量的應(yīng)用于企業(yè)中�����,它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的出入口�,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流�,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)���,實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上�����,防火墻是一個分離器����,一個限制器�,也是一個分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和 Internet之間的任何活動��,保證內(nèi)部網(wǎng)絡(luò)的安全����。
防火墻的目的是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點��,通過允許���、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流����,實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制�����。一般的防火墻都可以達到以下目的:一是可以限制他人進入內(nèi)部網(wǎng)絡(luò)��,過濾掉不安全服務(wù)和非法用戶���;二是防止入侵者接近你的防御設(shè)施��;三是限定用戶訪問特殊站點;四是為監(jiān)視Internet安全提供方便�����。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)���,因此更適合于相對獨立的網(wǎng)絡(luò)�,例如Intranet 等種類相對集中的網(wǎng)絡(luò)�。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法�。事實上�,在Internet上的Web網(wǎng)站中,超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護,這是對黑客防范最嚴(yán)���,安全性較強的一種方式,任何關(guān)鍵性的服務(wù)器����,都建議放在防火墻之后�??梢姡阑饓μ幱诳尚啪W(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界的位置����,是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)數(shù)據(jù)交換的“門戶”����,用來防止未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)�����,通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略��,其性能、可用性、可靠性、安全性等指標(biāo)在很大程度上決定了網(wǎng)絡(luò)的傳輸效率和傳輸安全��。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分�����,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理�����,從總體上來看�,防火墻的基本功能有兩個:一是隔離,使內(nèi)部網(wǎng)絡(luò)不與外部網(wǎng)絡(luò)進行物理直接連接;二是訪問控制,是進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包按照安全策略有選擇地轉(zhuǎn)發(fā)�����。圍繞這兩個基本功能�,大量與安全有關(guān)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)被綜合進防火墻設(shè)備中,使防火墻地功能不斷擴展,性能不斷提高���。概括地說,功能較完善的防火墻采用了以下安全技術(shù):
3.1.1 多級的過濾控制技術(shù)
一般采用了三級過濾措施,并輔以鑒別手段��。在分組過濾一級����,能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級網(wǎng)關(guān)一級�����,能利用FTP���、SMTP等各種網(wǎng)關(guān)���,控制和監(jiān)測Internet提供的所有通用服務(wù)���;在電路網(wǎng)關(guān)一級��,實現(xiàn)內(nèi)部主機與外部站點的透明連接��,并對服務(wù)的通行實行嚴(yán)格控制。
3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)
利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換��,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲信息��,同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信�����,確保每個分組送往正確的地址����。
3.1.3 用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠程管理上的安全風(fēng)險��,鑒別功能必不可少,防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段���,并實現(xiàn)了對郵件的加密。
3.1.4 審計和告警
對網(wǎng)絡(luò)事件進行審計��,如果發(fā)現(xiàn)入侵行為將以發(fā)出郵件����、聲響等多種方式報警。為了加強自動化應(yīng)用系統(tǒng)的安全水平��,需要在系統(tǒng)與其它網(wǎng)絡(luò)的接口之間設(shè)置一套防火墻設(shè)備����。這樣既能防止外來的訪問者攻擊系統(tǒng),竊取或者篡改系統(tǒng)數(shù)據(jù)�����;同時也能防止內(nèi)部數(shù)據(jù)未經(jīng)允許流向外部網(wǎng)絡(luò)���。如圖1所示����,在公網(wǎng)通信中�,除了自動化系統(tǒng)與其它應(yīng)用系統(tǒng)的接口外,子站采集自終端的數(shù)據(jù)要發(fā)送到中心站�����,也要通過 Internet網(wǎng)絡(luò)進行傳輸����,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設(shè)備��,來保證系統(tǒng)的安全運行��。在專網(wǎng)通信中��,由于整個通信網(wǎng)絡(luò)是一個相對獨立的網(wǎng)絡(luò),因此中心站了通信子站之間就不必加裝防火墻了�����。
3.2 無線終端的安全防護手段
無論是哪種無線網(wǎng)絡(luò)����,都有若干數(shù)量的無線終端,它們是通信系統(tǒng)的最基本的組成結(jié)構(gòu)����,通過通信子站與中心站進行通信�。因為無線終端的數(shù)據(jù)眾多�����,也使它們往往成為系統(tǒng)安全漏洞所在����。對于應(yīng)用系統(tǒng)而言����,保護系統(tǒng)信息安全與保護系統(tǒng)業(yè)務(wù)正常是同等重要的�����。保護系統(tǒng)信息安全首先必須保證信息訪問的安全性���,要讓不該看到信息的人不能看到����,不該操作信息的人不能操作�����。這方面���,一是要依靠身份認證技術(shù)來給信息的訪問加上一把鎖�,二是要通過適當(dāng)?shù)脑L問控制模型顯式地準(zhǔn)許或限制訪問能力及范圍。這就引出了兩種信息安全技術(shù):身份認證技術(shù)及訪問控制技術(shù)。通過這兩種技術(shù)手段�����,就能有效的解決以上的兩個安全問題���。對于自動化應(yīng)用系統(tǒng)來說��,系統(tǒng)內(nèi)的終端用戶只是采集電力用戶數(shù)據(jù)并上傳給服務(wù)器��,并不存在越權(quán)訪問系統(tǒng)信息的問題。因此采用身份認證技術(shù)就足以解決無線終端的信息保護問題了�。
身份認證是指被認證對象向系統(tǒng)出示自己身份證明的過程��,通常是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡�。身份認證需要證實的是實體本身,而不是象消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及到兩方面的內(nèi)容識別和驗證。識別��,就是要對系統(tǒng)中的每個合法注冊的用戶具有識別能力����,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標(biāo)識符���。驗證是指訪問者聲明自己的身份后,系統(tǒng)還必須對它聲稱的身份進行驗證�����。標(biāo)識符可以是非秘密的���,而驗證信息必須是秘密的����。
身份認證系統(tǒng)有兩方認證和三方認證兩種形式兩方認證系統(tǒng)由被認證對象和認證方組成,被認證對象出示證件�����,提出操作要求����,認證方檢驗被認證對象所提供證件的合法性和有效性三方認證系統(tǒng)除了被認證對象和認證方外,還有一個仲裁者,由雙方都信任的人充當(dāng)仲裁和調(diào)節(jié)����。建立一個身份認證系統(tǒng)的應(yīng)滿足的是:1)可識別率最大化:認證方正確識別合法被認證對象身份的概率最大化���;2)可欺騙率最小化:攻擊者偽裝被認證對象欺騙認證方的成功率最小化��;3)不可傳遞性:認證方不可以用被認證對象提供的信息來偽裝被認證對象�;4)計算有效性:實現(xiàn)身份認證所需的計算量要小��;5)安全存儲:實現(xiàn)身份認證所需的參數(shù)能夠安全的存儲����;6)第三方可信賴性:在三方認證的系統(tǒng)中,第三方必須是雙方都信任的人或組織或可信安全性身份認證系統(tǒng)所使用的算法的安全性是可證明和可信任的�。
電力自動化系統(tǒng)內(nèi)部使用身份認證技術(shù)�����,在每一個無線終端的實體上增加了一道安全防護,如圖2 所示�。在進行數(shù)據(jù)傳輸之前���,驗證對方是否是系統(tǒng)內(nèi)的合法用戶�??梢苑乐谷肭终邆窝b成內(nèi)部用戶,獲取系統(tǒng)數(shù)據(jù)�����。
3.3 保護系統(tǒng)信息安全的常用方案-算法加密
除了以上的信息安全技術(shù)之外,算法加密技術(shù)是一種被普遍應(yīng)用的安全技術(shù)�。它在發(fā)送方將要發(fā)送的數(shù)據(jù)根據(jù)一定的算法進行加密�,變成不可識別的密文�;而在接收方通過對應(yīng)的解密算法再將密文轉(zhuǎn)化為明文。從而保證數(shù)據(jù)在傳輸過程中的保密性���。
4 結(jié)論
該文研究了電力自動化無線通信系統(tǒng)中的信息安全問題。隨著電力自動化無線通信技術(shù)的快速發(fā)展�,對網(wǎng)絡(luò)信息安全的要求也不斷提高�����。無線通信技術(shù)有著其自身的特點,要求的安全解決方案也與其他不同�����。需要既保證無線信道的帶寬�����,又要有效地提高系統(tǒng)的安全防護強度。
參考文獻
[1] 孫毅�,唐良瑞��,杜丹.配電自動化中的通信網(wǎng)解決方案[J].燕山大學(xué)學(xué)報,2004,5(28):423-426.
[2] 宋磊,羅其亮��,羅毅���,等.電力系統(tǒng)實時數(shù)據(jù)通信加密方案[J].電力系統(tǒng)自動化����,2004,28(14):76-81.
第10篇
關(guān)鍵詞:VPN網(wǎng)絡(luò)�,視頻監(jiān)控系統(tǒng)
背景需求分析
近年來����,數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活��、信息容量大�、存儲和檢索便利等優(yōu)點逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng)�����,被廣泛應(yīng)用于監(jiān)控�����、安防、質(zhì)檢等方面�����。隨著計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展���、普及和網(wǎng)絡(luò)帶寬的迅速擴大����,視頻監(jiān)控已經(jīng)發(fā)展到了網(wǎng)絡(luò)多媒體監(jiān)控系統(tǒng)���,即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合�����,在現(xiàn)場監(jiān)控主機無人職守情況下����,實現(xiàn)局域網(wǎng)或Internet遠程監(jiān)控的功能���。如此一來����,將監(jiān)控信息從監(jiān)控中心釋放出來,從而提高了治理水平和效率��。但假如遠程訪問視頻監(jiān)控服務(wù)技術(shù)功能不足,則無法保證監(jiān)控信息所需的保密性和速度性,這該怎樣解決呢���?VPN?(VirtualPrivate Networking)技術(shù)的出現(xiàn),正好解決了該問題,實現(xiàn)了遠程視頻監(jiān)控信息安全便利的傳輸��。
經(jīng)調(diào)查發(fā)現(xiàn)�,實現(xiàn)VPN遠程視頻監(jiān)控系統(tǒng)較重視的需求為:
虛擬私有網(wǎng)絡(luò)VPN安全傳輸:完整的VPN網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng),最重要的需求是要讓各分支外點及本地局域網(wǎng)的監(jiān)控視頻能安全、實時的傳送到總公司監(jiān)控中心的治理服務(wù)器,統(tǒng)一作企業(yè)安全防護及報警�����。視頻監(jiān)控信息若不作加密處理就直接通過公眾互聯(lián)網(wǎng)進行傳送�,可能會造成企業(yè)內(nèi)部機密外露等問題�����。因此��,需要建置完善的VPN傳輸,不僅可節(jié)約高昂的專線成本,還能得到安全穩(wěn)定的傳輸質(zhì)量�����。
穩(wěn)定良好的寬帶接入服務(wù):將視頻監(jiān)控信息集成到VPN中���,雖然可以確保得到安全穩(wěn)定的聯(lián)機���,但VPN線路還是建立在公眾互聯(lián)網(wǎng)上���,一但接入的寬帶線路不穩(wěn)定輕易掉線�,也連帶影響到VPN的聯(lián)機質(zhì)量。穩(wěn)定良好的的寬帶接入服務(wù)或于運營商掉線斷網(wǎng)時可以實時提供備援的支持是必要的��。
帶寬增級同時也能節(jié)省成本:多媒體視頻監(jiān)控系統(tǒng)包括視頻�����、音頻及相關(guān)數(shù)據(jù)的傳送�,若要得到實時�、順暢的傳送質(zhì)量,需要相當(dāng)大的帶寬才可達成�����,因此首先就面臨到帶寬的增級����。如此就會導(dǎo)致線路成本的增加及可能的線路添加�,帶來成本及治理上的諸多問題。這時��,兼顧成本的考慮下���,適當(dāng)?shù)木€路集成整合成為企業(yè)的需求�。
網(wǎng)絡(luò)安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業(yè)網(wǎng)絡(luò)安全的潛危機�。一旦寬帶接入受到惡意攻擊影響網(wǎng)絡(luò)正常運作��,輕則讓監(jiān)控信息傳輸效率大減,嚴(yán)重時發(fā)生整個網(wǎng)絡(luò)斷網(wǎng)����,造成視頻監(jiān)控系統(tǒng)停擺的窘境����。若是多購置防火墻��,等于是增加成本�����,因此路由器中需要有適當(dāng)?shù)姆阑饓δ埽赃M行網(wǎng)絡(luò)安全的防護���。
內(nèi)部上網(wǎng)行為管控避免影響重要傳輸:多數(shù)員工在上班時間通過BT等下載音樂電影,或是聊QQ���、MSN等實時交流工具,不僅影響工作效率,也很大可能會造成帶寬被占用、影響監(jiān)控信息傳送速度降低影響監(jiān)控實時反應(yīng),更嚴(yán)重是可能隨之而來的病毒��、蠕蟲和木馬的威脅。有效而可靠的管制內(nèi)網(wǎng)用戶使用特定軟件是很必要的�。
方便的配置及治理:當(dāng)今講求效率的時代,路由器也需要提供簡易配置好治理的配置接口設(shè)計,讓網(wǎng)管由繁復(fù)工作中解放���。另外VPN客戶端大多不配備專業(yè)的網(wǎng)管,很多指令行的路由器給設(shè)置帶來了困擾�,而想要對路由器進行任一個操作����,都必須找來專業(yè)的人員��,這又為實時反應(yīng)帶來了變量�。因此路由器的配置�,最好使用直觀的配置接口及簡化的配置設(shè)計,即使不是是專門的網(wǎng)管人員經(jīng)簡單的培訓(xùn)后也可輕易上手���,節(jié)省不必要的時間浪費。
VPN遠程視頻監(jiān)控應(yīng)用
依據(jù)企業(yè)遠程VPN視頻監(jiān)控系統(tǒng)服務(wù)需求及以上組網(wǎng)分析��,具有高度性價比優(yōu)勢的多WAN VPN防火墻廠商俠諾科技��,為遠程VPN視頻監(jiān)控系統(tǒng)提出一完整的組網(wǎng)方案���。
方案功能特點
多WAN端口接入?yún)R聚帶寬:Qno俠諾多WAN產(chǎn)品支持帶寬匯聚���、自動線路備援等功能�,多WAN口接入方式�����,讓企業(yè)有更大和彈性配置空間��。可支持多線路多ISP接入,不僅可以匯聚帶寬以節(jié)省成本,而且還可以實現(xiàn)線路備援、數(shù)據(jù)分流�����、負載均衡等效果�。當(dāng)一條線路掉線�����,會自動改用另一個WAN連接端口的線路連接�����,確保VPN聯(lián)機不掉線,避免掉線時造成無形的損失與傷害。
強效防火墻有效防病毒攻擊:VPN防火墻,具備主動式封包檢測功能,只需單向啟動各式黑客攻擊���、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內(nèi)外網(wǎng)惡意攻擊���,確保企業(yè)網(wǎng)絡(luò)安全,降低網(wǎng)絡(luò)受攻擊帶來的損失�。具有內(nèi)建的防制ARP功能�,憑借自動檢視封包的機制����,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線�����?����?纱钆銲P /MAC雙向綁定���,在路由器端以內(nèi)網(wǎng)PC端進行IP/MAC綁定�,即可達到防堵ARP無漏洞的效果���。論文參考網(wǎng)�。
QoS帶寬治理優(yōu)化帶寬使用:視頻監(jiān)控多媒體傳輸需要有穩(wěn)定的帶寬�,而少數(shù)BT下載等惡意占用帶寬造成網(wǎng)絡(luò)卡,經(jīng)常會造成客戶抱怨���。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天��、一天三個時段采取不同的帶寬治理政策,依據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境���、時段,自由選擇管控方式�����,達到帶寬利用率最佳化的目的�����。該功能包含有傳統(tǒng)QoS帶寬管控及智能SmartQoS治理��,可依據(jù)聯(lián)機數(shù)、要害字���、最大或最小帶寬等方式進行管控,也可啟動動態(tài)智能治理���,對于非凡的應(yīng)用或用戶進行非凡限制。這個功能并不禁止特定的應(yīng)用�����,只是加以限制�����,從而更彈性的提供帶寬服務(wù)��。
輕松實現(xiàn)了中心管控:同時治理外點多條VPN接入聯(lián)機����,對于大部分網(wǎng)管來說,是非常棘手的問題�,尤其是必須反復(fù)留心查詢各點聯(lián)機狀況��、帶寬使用率、視頻監(jiān)控等信息�����,更是耗費許多時間����。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能��,可一次看清全部VPN聯(lián)機的情況��,再也不必一一地檢查聯(lián)機的狀況����。若需進一步協(xié)助設(shè)定或排解問題�����,網(wǎng)管也可直接進入分點的治理接口查看或進行設(shè)定治理���,安全又有效率����。
簡易又方便的系統(tǒng)治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面����,所有設(shè)定參數(shù)與組態(tài)清楚明確����、簡單易懂,輕松完成網(wǎng)絡(luò)設(shè)置。還支持強大的系統(tǒng)日志功能�����,可通過對日志治理和查找�,即時監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量,進而作對應(yīng)的配置��,確保內(nèi)網(wǎng)運作無誤。
支持多VPN協(xié)議外點靈活選擇:Qno俠諾高階產(chǎn)品系列,可支持PPTP、IPSec VPN�����、SmartLinkVPN�����、QnoKey IPSec客戶端密鑰等多種連機方式�����,可滿足外點多種VPN彈性配置需求,實現(xiàn)總部中心端與各分點建構(gòu)實時��、穩(wěn)定�、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。由此可見��,多通道多協(xié)議的特點完全能勝任企業(yè)擴展及網(wǎng)絡(luò)視頻布點�����,而且外點可根據(jù)實際規(guī)劃與應(yīng)用�,靈活選擇適用的方式接入中心端�。
SmartLink VPN快速設(shè)定:俠諾SmartLinkVPN快速聯(lián)機����,簡化20多復(fù)雜設(shè)置步驟,將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動完成��,用戶只需要輸中心端服務(wù)器IP地址���、用戶名�����、密碼三個參數(shù)�����,即可完成超快速VPN連機設(shè)定。
策略路由解決VPN跨網(wǎng)瓶頸:由于國內(nèi)長期存在電信、網(wǎng)通互連不互通的問題�,許多企業(yè)建立VPN時會發(fā)生跨ISP網(wǎng)絡(luò)時帶寬不足���,導(dǎo)致VPN不穩(wěn)定或易于掉線�����。俠諾多WAN口的設(shè)計,可搭配策略路由的設(shè)定��,讓不同ISP外點可直接連到對應(yīng)VPN服務(wù)器入口����,實現(xiàn)“電信走電信、網(wǎng)通走網(wǎng)通”�����,從而有效解決跨網(wǎng)受限問題����。
指定路由強化網(wǎng)絡(luò)穩(wěn)定性:另外一方面�����,多WAN口的設(shè)計����,也提供了訪問網(wǎng)絡(luò)快速穩(wěn)定的途徑��。支持指定路由功能��,可通過協(xié)議綁定,將特定的服務(wù)或應(yīng)用綁定在指定的端口���,如WEB走WAN1����,MAIL走WAN2等等��,加速訪問速度�����,進一步保障網(wǎng)絡(luò)的穩(wěn)定性。也可將VPN綁定特定端口�,保證VPN通道的穩(wěn)定流暢����。
總結(jié)
通過以上介紹���,可以看出�����,Qno俠諾多WAN VPN防火墻產(chǎn)品多項功能,都體現(xiàn)了俠諾簡單�、安全����、快速的“3S”研發(fā)理念和貼近用戶需求的專心�����,幫助企業(yè)以較少的成本����、時間與精力���,達成高效�、快速、安全的運營效能�。非凡對于遠程VPN視頻監(jiān)控服務(wù)來說��,在帶寬、安全性穩(wěn)定性等多方面都有較高要求�����,VPN遠程視頻監(jiān)控解決方案���,可有效保持企業(yè)總部和分支機構(gòu)間的隧道暢通�,進而保證其服務(wù)的穩(wěn)定性和可靠度,提高安全監(jiān)控的視頻質(zhì)量,當(dāng)異常事件發(fā)生時���,可以在第一時間進行處理�����。論文參考網(wǎng)�??芍^是最省成本、且最方便的解決途徑�。
春節(jié)假期���,偶然在街上碰到大學(xué)同學(xué)小張���。多年不見話題就多了����,在了解到本人現(xiàn)在所從事的是網(wǎng)絡(luò)安全技術(shù)方面的工作后����,他像是碰到了大救星,一個勁兒要請客吃飯。原來�,他利用這幾年打工的儲蓄獨立創(chuàng)業(yè)��,加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網(wǎng)絡(luò)�。年前���,他便按照要求進行了統(tǒng)一購買了VPN設(shè)備�,但是由于其設(shè)置和應(yīng)用過于復(fù)雜,對于作為網(wǎng)絡(luò)“外行”的人來說,實在是有點難以應(yīng)付。此外�,因為金融危機的影響���,為了壓縮人力資源成本����,他暫時還沒有聘請專業(yè)網(wǎng)管的計劃���,正為這事上火����。論文參考網(wǎng)����。
其實,這種問題在國內(nèi)數(shù)萬家中小連鎖企業(yè)的經(jīng)營治理過程中絕不是首例。產(chǎn)生這種矛盾的原因有兩點:專業(yè)化的高端設(shè)備滿足了企業(yè)的應(yīng)用需求�,但是一般的兼職網(wǎng)管無法應(yīng)付其治理和維護�����;平民化的低端設(shè)備,使用和治理倒是比較簡單�,卻達不到企業(yè)信息化治理的全面需求�。VPN網(wǎng)絡(luò)是未來企業(yè)發(fā)展的大勢所趨����,但當(dāng)務(wù)之急是為企業(yè)提供最為合適的設(shè)備,即要能兼具安全與簡便的基本特性��。安全無須多說�����,簡便性就成了體現(xiàn)產(chǎn)品技術(shù)水平的最大差異化�,也同樣彰顯了企業(yè)客戶在應(yīng)用上的突出需求之一���。事實證實��,其簡便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀����,得到了較好的市場效果���。
作為在SMB寬帶接入和VPN應(yīng)用領(lǐng)域耕耘多年的專業(yè)廠商�,俠諾科技每年都會其創(chuàng)新的產(chǎn)品及應(yīng)用功能���。但是無論怎樣創(chuàng)新變化���,簡單�、安全、快速的“3S”研發(fā)理念都始終貫穿于其系列產(chǎn)品線��。其中���,簡便(即Simple)被放在首位——“俠諾極簡風(fēng)�,治理一鍵通”。 俠諾的極簡風(fēng)格���,是要求專心體察用戶的細致需求,將最復(fù)雜的技術(shù)以最簡單的方式呈現(xiàn)給用戶���,讓企業(yè)的網(wǎng)管員用最少的時間與精力,達到較為復(fù)雜的配置與治理需求�����,幫助企業(yè)有效的增進運營效能�����。事實證實�����,其簡便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀����,得到了較好的市場效果�。
第11篇
【關(guān)鍵詞】IPSecVPN網(wǎng)絡(luò)安全防火墻�����;
1引言
IPSecVNP作為一種主流網(wǎng)絡(luò)安全技術(shù)已經(jīng)發(fā)展了多年��,無論是目前流行的正在使用的IPv4網(wǎng)絡(luò)還是發(fā)展中的IPv6網(wǎng)絡(luò),無論是移動辦公還是局域網(wǎng)間通訊��,都在大量使用IPSecVNP作為網(wǎng)絡(luò)安全通訊基礎(chǔ)設(shè)備���。本論文通過研究IPSec協(xié)議族�����,實現(xiàn)了一個較為完整的IPSecVNP系統(tǒng)�。包括客戶端�����、服務(wù)器端軟硬件設(shè)計和實現(xiàn)�、網(wǎng)絡(luò)配置及內(nèi)嵌以管理等���。還解決了IPSec協(xié)議通過CBAC防火墻問題�。
2 IPSecVPN系統(tǒng)設(shè)計
本文實現(xiàn)了IPSecVNP系統(tǒng)的功能,滿足了政府、金融行業(yè)和企事業(yè)單位低成本安全通訊的需求�����,可以按照客戶實際需要的VPN系統(tǒng)進行安裝部署�����、調(diào)試維護。IPSecVPN的主要作用是采用加密、認證等方式保護網(wǎng)絡(luò)通信的安全性�����、私密性�、可認證性和完整性。
IPSecVNP網(wǎng)關(guān)作為IPSecVNP系統(tǒng)中主要的設(shè)備,擔(dān)負大部分計算任務(wù)���,兩臺以上IPSecVNP網(wǎng)關(guān)就可以搭建IPSecVPN系統(tǒng)的基本框架。IPSec移動客戶端(easyVPN)是專為單臺主機或便攜式電腦設(shè)計的�,目的是使其擁有與IPSecVPN網(wǎng)關(guān)保護的局域網(wǎng)絡(luò)通信的能力��。如圖1所示。
IPSecVPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠程局域網(wǎng)的網(wǎng)關(guān)位置��,具有加密和認證功能�����,使用互聯(lián)網(wǎng)作為信道����。通過IPSecVPN網(wǎng)關(guān)的加密能力確保信息在不安全的互聯(lián)網(wǎng)上以密文形式傳輸�����。數(shù)據(jù)校驗功能確保了即便信息被截取����,也無法窺視�����、篡改通訊內(nèi)容。
IPSecVPN實現(xiàn)的總體結(jié)構(gòu)分為IPSec輸入輸出處理�、SPD和SAD策略管理�、IKE密鑰交換、加密算法和認證算法�、NAT兼容等模塊����。其中IPSec安全協(xié)議的處理是數(shù)據(jù)處理的核心����,策略管理模塊提供IPSec處理策略,IKE密鑰交換模塊用于通訊雙方SA協(xié)商���,加密算法和認證算法模塊是安全通訊基礎(chǔ),NAT兼容提供復(fù)雜網(wǎng)絡(luò)環(huán)境下IPSecVPN應(yīng)用的解決方法�����。
在用戶層提供手工注入SA和IKE動態(tài)協(xié)商SA程序����。用一個IKE守護進程監(jiān)聽動態(tài)協(xié)商請求,并進行相應(yīng)的協(xié)商處理�����。策略系統(tǒng)實現(xiàn)存儲�����、管理及驗證策略��。并提供用戶層操作到內(nèi)核的接口Pfkey Sockets(手工注入SA和利用IKE動態(tài)協(xié)商SA的接口及SAD與SPD的接口)。在內(nèi)核中除實現(xiàn)與用戶的接口外��,還將實現(xiàn)SAD�,SPD的管理、IPSec協(xié)議進入/外出處理及認證加密算法�。IPSec協(xié)議處理部分建議采用IP+IPSec方案。這樣會進一步加快IPSec的處理速度��。
3 IPSecVPN穿越防火墻設(shè)計
前提:A���、B�、C三臺cisco3750邊緣路由器分別處于兩局域網(wǎng)網(wǎng)關(guān)位置,兩兩一組���,形成冗余。網(wǎng)關(guān)后各有一臺主機��,這兩臺主機之間進行IPsec安全通訊��。每臺邊緣路由器都已經(jīng)配置好相應(yīng)的IPsec隧道及相關(guān)策略��,而且配置了基于cisco ios CBAC狀態(tài)型防火墻,兩局域網(wǎng)由兩路由器模擬的Internet網(wǎng)云連接�。
3.1首先����,對于防火墻主要進行如下一些配置:開啟inspect檢測�,這樣可以讓每個接口自動檢查ACL允許的流量,deny的不檢查,有通信時建立狀態(tài)表,沒有通信時就不建立,也就是有會話時就有ACL���,沒有就刪除。以下是針對IPSec協(xié)議的檢測���,在outside方向,開啟對isakmp協(xié)商的檢測��。
ip inspect name outside udp timeout 5
ip inspect name outside isakmp
ip inspect name outside icmp
3.2對outside區(qū)域運用防火墻策略�。由于AH和ESP的協(xié)議號分別為50和51,所以在outside方向上��,讓有限狀態(tài)機對協(xié)議號為50的AH和51的ESP報文進行檢測放行���。
permit ahp any any
permit esp any any
由于isakmp的協(xié)商屬于UDP協(xié)議����,且端口號為500和4500,在outside方向�����,讓有限狀態(tài)機對isakmp的4500和500端口進行檢測放行�����,以便isakmp協(xié)商成功����。
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
驗證:在A路由器上使用 show access-list命令可以看到�,如圖2所示。
圖2顯示ESP格式報文的加密報文和isakmp的通道協(xié)商已經(jīng)與防火墻的規(guī)則進行了匹配并且放行。Ping測試顯示成功�����,如圖3所示�。
4加密流量與非加密流量對比
前提:為了達到加密與非加密流量對比,需要在配置兩臺服務(wù)器�,一臺處于內(nèi)網(wǎng)中�����,受到IPSecVPN的加密保護,一臺在公網(wǎng)上��,供外網(wǎng)客戶訪問����,不采用IPSec加密。服務(wù)器上包括WWW���、FTP、DNS、MAIL常用服務(wù)。
(1)在外網(wǎng)和內(nèi)網(wǎng)服務(wù)器上開啟wireshark進行抓包并分析���;(2)訪問服務(wù)器www網(wǎng)頁;(3)訪問FTP服務(wù)器;(4)使用OE發(fā)送郵件�;(5)使用OE進行收郵件;(6)使用telent登錄服務(wù)器��;(7)打開wireshark顯示抓包分析結(jié)果�,外網(wǎng)服務(wù)器的抓包結(jié)果顯示,所有包的協(xié)議都可以顯示出來�����,包括WWW的網(wǎng)址與內(nèi)容���,F(xiàn)TP和TELNET的用戶名與密碼�����,這些都是極其不安全的�,而經(jīng)過IPSec加密的內(nèi)網(wǎng)服務(wù)器則所有包都是用ESP包頭進行封裝加密���,顯示不出任何包信息�����,這樣可以很好的保護企業(yè)的數(shù)據(jù)���。如圖5和圖6所1示��。
5小結(jié)
本文通過研究IPSec協(xié)議族,實現(xiàn)了一個較為完整的IPSecVPN系統(tǒng)����。包括客戶端�、服務(wù)器端軟硬件設(shè)計和實現(xiàn)���、網(wǎng)絡(luò)配置及內(nèi)嵌管理等�,還解決了IPSec協(xié)議通過CBAC防火墻問題����。
參考文獻:
第12篇
關(guān)鍵詞:網(wǎng)絡(luò)安全,信息化建設(shè)����,網(wǎng)絡(luò)管理
一����、引言
計算機網(wǎng)絡(luò)進入校園�����,使各種資源數(shù)字化����。極大的改變了現(xiàn)有教學(xué)方式及工作方式。和其它的互聯(lián)網(wǎng)一樣�,校園網(wǎng)也具備計算機網(wǎng)絡(luò)的一切結(jié)構(gòu)和功能�����。為了讓網(wǎng)絡(luò)保持暢通,為廣大師生提供良好的服務(wù)��,校園網(wǎng)的管理與維護就顯的越來越重要�。如何正確規(guī)范化的管理校園網(wǎng),使之形成一套完整管理與維護理論體系��,也是當(dāng)前一項重要的研究課題���。
二�����、校園網(wǎng)的管理與維護
隨著各種資源不斷網(wǎng)絡(luò)化,就必須對校園網(wǎng)加強管理�,制定相關(guān)政策法規(guī)���,出現(xiàn)問題有法可依�����。這些規(guī)章制度包括網(wǎng)絡(luò)使用規(guī)范、用戶上網(wǎng)規(guī)范����、信息點教學(xué)平臺���、網(wǎng)絡(luò)管理制度��、計算機操作管理制度、網(wǎng)絡(luò)設(shè)備維修保養(yǎng)及報廢制度等�����。重要體現(xiàn)在如下幾方面:
1.網(wǎng)絡(luò)系統(tǒng)安全存在的問題:
第一���、有效阻擋病毒��;現(xiàn)階段����,各種木馬及計算機病毒令人防不勝防�����,如何將損失降到最小�����,是網(wǎng)絡(luò)管理員考慮的問題���。當(dāng)軟毒軟件不能有效殺滅病毒時����,要求網(wǎng)管員要在第一時間給出解決的辦法并及時通知在校園網(wǎng)上,使教師了解病毒發(fā)作的特征和相應(yīng)的解決方法,使各用戶及時安裝最新的病毒庫和補丁程序����。通過路由器查出有木馬和病毒的計算機�����,在網(wǎng)絡(luò)上封閉其訪問網(wǎng)絡(luò)權(quán)限,等用戶計算機正常以后再開通網(wǎng)上訪問權(quán)限�。這樣可避免擴散到其他計算機上��,有效控制病毒在整網(wǎng)的蔓延����。并要求所用計算機及時升級�����。
第二���、網(wǎng)絡(luò)用戶權(quán)限管理與維護�,首先要加強對網(wǎng)管權(quán)限的監(jiān)管力度��,由于網(wǎng)管可控制網(wǎng)內(nèi)的每一臺電腦�����,如果網(wǎng)絡(luò)管理人員成為泄密者��,其后果將不堪設(shè)想���?����?梢酝ㄟ^在平時管理時用普通帳號,只有在安裝軟件和設(shè)置服務(wù)器時才用超級管理員帳號����,這樣做可以防止網(wǎng)管丟了密碼對網(wǎng)絡(luò)所造成的破壞��。平時要求網(wǎng)絡(luò)用戶在使用密碼時,盡量設(shè)置強口令的密碼��,如可以設(shè)置為字母加數(shù)據(jù)加特殊符號���,這要有效提高破譯密碼的時間和難度��。在網(wǎng)絡(luò)培訓(xùn)和計算機課程中強調(diào)網(wǎng)絡(luò)安全�����。
第三、校園網(wǎng)防火墻管理與維護:根據(jù)學(xué)校網(wǎng)絡(luò)建設(shè)�,有的學(xué)校用的是教育網(wǎng)接口��,有的學(xué)校由于所處地理位置不同,有可能會用到當(dāng)?shù)鼐W(wǎng)絡(luò)供應(yīng)商提供的接口�。不管用那一種方式接入互聯(lián)網(wǎng)��,都不能忽略網(wǎng)絡(luò)安全問題,如要防止有些學(xué)生及個別教師在內(nèi)部做出的攻擊�����,還要防止外網(wǎng)對校園網(wǎng)的外部的攻擊�����。攻擊的方式多種多樣,要有效防止攻擊事件的發(fā)生�����,防火墻和入侵檢測系統(tǒng)是必不可少的��,通過網(wǎng)絡(luò)防火墻�����,使局域網(wǎng)內(nèi)的網(wǎng)絡(luò)用戶可以安全地通過防火墻訪問Internet,局域網(wǎng)內(nèi)的WWW服務(wù)器也可以安全地對Internet提供服務(wù)�。有效阻止外部未經(jīng)過驗證的數(shù)據(jù)包進入校園網(wǎng)里�����,防火墻有硬件防火墻和軟件防火墻,可根據(jù)各自學(xué)校的要求進行設(shè)置��。
2.網(wǎng)絡(luò)系統(tǒng)安全管理方式方法:
第一�、及時安裝系統(tǒng)補丁程序(Patch)�;對文件目錄權(quán)限��;定期檢查系統(tǒng)安全性�;不要將服務(wù)器的登錄方式設(shè)置為自動登錄����,應(yīng)使用NT Security對話框注冊;取消服務(wù)器上經(jīng)常不用的服務(wù)和協(xié)議種類�����。盡量關(guān)閉不必要的服務(wù)端口����,對一些可能存在被攻擊的端口要定期掃描����,一旦發(fā)現(xiàn)可疑情況及時做處理;定期對重要數(shù)據(jù)進行備份��;隨著服務(wù)和協(xié)議數(shù)量越多其系統(tǒng)的安全性會變的越來越差�����;超級管理員賬號僅用于網(wǎng)絡(luò)管理�����,不要在任何客戶機上使用超級管理員賬號。論文參考。對于windows系統(tǒng),要特別慎重屬于Administrator組成員用戶;記住口令文件保存在WINNT SYSTEM32CONFIG目錄的SAM文件中,并且在WINNTREPAIR目錄中有SAM備份����。所以對SAM文件寫入���、更改權(quán)限等要進行安全審計�����;系統(tǒng)默認禁用Guest賬號,最好不允許使用Guest賬號�。不要在Everyone組增加任何權(quán)限�����,因為Guest也屬于該組�����;新增用戶時分配一個口令���,并控制用戶'首次登錄必須更改口令'�����,最好進一步設(shè)置成口令的不低于6個字符,杜絕安全漏洞�;利用端口掃描工具��,定期在防火墻外對網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶進行端口掃描;禁止自動啟動telnet服務(wù)����。
3����、應(yīng)用軟件的管理與維護:包括網(wǎng)絡(luò)實驗室及各客戶端軟件的配置更新規(guī)范���,如相關(guān)的教學(xué)軟件����、編程軟件、系統(tǒng)軟件等。如:對未及時歸還用戶,如無特殊情況����,損壞或丟失者�,都要根據(jù)情節(jié)進行相應(yīng)的處理。系統(tǒng)軟件或價值較高的應(yīng)用軟件,一律不外借�����。除了軟件的管理以外��,還要大力加強軟件的建設(shè),如軟件的購買���、保管,使用���、報損等?��?筛鶕?jù)需要,設(shè)立教師課件資源庫���,把每位教學(xué)每學(xué)期的多媒體課件,課后習(xí)題���,輔導(dǎo)資料全部入庫,這樣不但對教師和學(xué)生帶來方便��,也成為校園網(wǎng)中的寶貴教學(xué)資源���。
4.網(wǎng)絡(luò)核心設(shè)備的管理與維護:校園網(wǎng)是由計算機�����、服務(wù)器(性能好的計算機)���、路由器���、交換機等各種設(shè)備組成���,校園網(wǎng)要正常運行,必須保證核心網(wǎng)絡(luò)設(shè)備正常運行�,是校園網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)��,所有的設(shè)備都屬于網(wǎng)絡(luò)專用設(shè)備,網(wǎng)絡(luò)管理人員定期要對全校的網(wǎng)絡(luò)設(shè)備進行檢查及時解決故障�,還要對一些網(wǎng)絡(luò)設(shè)備進行設(shè)置:如web服務(wù)器���、proxy服務(wù)器����、路由器路由設(shè)置�,防火墻規(guī)則設(shè)置等,同時這些設(shè)備對溫度,濕度�,安全有較高的要求���,所以對核心設(shè)備應(yīng)用專門存放房間�����,以保證設(shè)備正常運行。
5.網(wǎng)絡(luò)實驗室的管理:
網(wǎng)絡(luò)實驗室全天對學(xué)生開放�����,這就涉及到使用��,安全等管理問題�,出于安全的考慮��,實驗室中的每一臺計算機均鎖在柜子里��,防止學(xué)生破壞計算機硬件設(shè)備;學(xué)生上網(wǎng)問題可以用劃分子網(wǎng)來解決��,通過對網(wǎng)絡(luò)掩碼的劃分�,使學(xué)生在正常上實驗課時,被分配到取消上網(wǎng)資源子網(wǎng)�,如需用網(wǎng)絡(luò)資源時���,可對子網(wǎng)整體設(shè)置,這樣可使實驗室管理更高效���;當(dāng)實驗室軟件出現(xiàn)問題時����,可采用網(wǎng)絡(luò)對拷的方式進行快速修復(fù)����,把一臺已安裝和設(shè)置好的計算機當(dāng)服務(wù)器制作出鏡像文件,再逐個分發(fā)到需要的計算機上。一般五分鐘左右就可以修好���。為了管理上網(wǎng)的學(xué)生用戶,可采用軟件方式加硬件方式進行管理,換句話說,如果用戶沒有合法的用戶名和密碼�,當(dāng)計算機開機自檢完以后不再加載系統(tǒng)程序����??蓪iT設(shè)置一個服務(wù)器對所有學(xué)生設(shè)置上網(wǎng)時間和權(quán)限。論文參考��。論文參考�����。
三.對網(wǎng)絡(luò)用戶進行定期培訓(xùn)
1.主要對教師進行培訓(xùn):教師是學(xué)校開展現(xiàn)代教育技術(shù)實驗的主力軍���,讓教師通過校內(nèi)外的培訓(xùn)���,盡快提高現(xiàn)代教育思想和教育技術(shù)素質(zhì)����,是開展現(xiàn)代教育技術(shù)實驗成敗的關(guān)鍵�。通過培訓(xùn)�,使教師隊伍計算機知識和操作水平不斷提高。各校必需有一批懂技術(shù)���、會使用的人員,才能真正發(fā)揮網(wǎng)絡(luò)的功能����,才能夠發(fā)揮出校園網(wǎng)巨大潛能��,使校園網(wǎng)的建設(shè)更具有更深遠的實際意義。
2.培訓(xùn)成果:教師人人懂得計算機操作�����,掌握上校園網(wǎng)的方法����,會使用'備課系統(tǒng)'進行備課,會使用多媒體教學(xué)系統(tǒng)進行教學(xué)�����,掌握上網(wǎng)技術(shù)���,要善于通過國內(nèi)外互聯(lián)網(wǎng)獲得信息資源����,會使用常規(guī)電教設(shè)備和多媒體電子教學(xué)平臺進行教學(xué),會改編課件����,會設(shè)計�����、編寫課件腳本���,制作多媒體課件(方便�����、普及型的PPT課件)����。教師絕大部分的課時都使用多媒體軟件,運用多媒體的教學(xué)工具進行教學(xué)����。
3.教師用計算機的管理:
一般實行專人專用��,在教師使用期內(nèi)所出的問題全由用戶自己負責(zé)。如:注意防塵�����、防潮����、防磁、防碰撞�����;要求各位老師及時升級殺毒軟件���。由于人為因素對計算機硬件造成損壞的��,要按原價賠償���。在計算機的使用過程中,遇到問題,可向網(wǎng)絡(luò)組反映����。不允許做一些可能會對計算機造成傷害的操作�����,如私自把主機機箱蓋打開等,否則后果自負��。具體的規(guī)定可根據(jù)各自學(xué)校的情況制定
四����、總結(jié)
通過對校園網(wǎng)維護和管理的論述,近一步說明了校園網(wǎng)管理與維護既關(guān)系到學(xué)校教學(xué)質(zhì)量和人才培養(yǎng),也反應(yīng)了一個學(xué)校的信息化建設(shè)的水平的高低.如何高效��、安全���、健康的利用現(xiàn)用的網(wǎng)絡(luò)資源,提高學(xué)校管理與維護校園網(wǎng)的水平���。
參考文獻
[1] 孟洛明.現(xiàn)代網(wǎng)絡(luò)管理技術(shù).北京.北京郵電大學(xué)出版社.2000.6
[2] Refdom.交換網(wǎng)絡(luò)中的嗅探和ARP欺騙.xfocus.net.
[3] David BJohnson��,David A Maltz.Yih—ChunHu.The Dynamic SoumeRouting Protocol for Mobile Ad HocNetworks(DSR).
