前言：中文期刊網(wǎng)精心挑選了防火墻技術(shù)的研究范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

防火墻技術(shù)的研究范文1

關(guān)鍵詞：防火墻 深度檢測(cè) 研究分析

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）04-0000-00

傳統(tǒng)的防火墻主要在訪(fǎng)問(wèn)控制列表為基礎(chǔ)進(jìn)行過(guò)濾的，它有專(zhuān)門(mén)的內(nèi)部網(wǎng)絡(luò)入口，也被人稱(chēng)作“邊界防火墻”。在近幾年來(lái)防火墻技術(shù)的地位越來(lái)越重要，其最新改進(jìn)的技術(shù)――深度包檢測(cè)技術(shù)，是可以看到傳統(tǒng)防火墻的入侵檢測(cè)與阻止的整合，也是解決傳統(tǒng)防火墻所遇到問(wèn)題的新技術(shù)，在防火墻發(fā)展過(guò)程中具有重要的作用。

1 防火墻技術(shù)發(fā)展歷程

1.1 包過(guò)濾防火墻

第一代防護(hù)墻包過(guò)濾是沒(méi)有相關(guān)狀態(tài)的概念，管理工作人員只需要通過(guò)過(guò)濾就可以允許或是禁止訪(fǎng)問(wèn)控制列表中的選項(xiàng)。包過(guò)濾防火墻在發(fā)展中其安全屬性具有一定的缺陷，應(yīng)用層的信息是系統(tǒng)沒(méi)有辦法獲取的，防火墻沒(méi)有辦法理解通信的內(nèi)容是非常容易被黑客攻擊的。正是因?yàn)檫@個(gè)原因，人們更多的人們包過(guò)濾防火墻技術(shù)不夠安全，在發(fā)展中慢慢被狀態(tài)檢測(cè)防火墻技術(shù)取代了。

2.2 狀態(tài)檢測(cè)防火墻

相對(duì)于包過(guò)濾防火墻技術(shù)來(lái)說(shuō)，狀態(tài)防火墻技術(shù)在性能、擴(kuò)展等方面的表現(xiàn)出來(lái)的優(yōu)勢(shì)使其很快就成為防火墻技術(shù)的佼佼者。在上個(gè)世紀(jì)九十年代推出第一臺(tái)商用的狀態(tài)檢測(cè)防火墻產(chǎn)品，隨后得到快速的發(fā)展。狀態(tài)檢測(cè)防火墻主要是在網(wǎng)絡(luò)層工作，對(duì)包過(guò)濾防火墻比較看，它所做出的決策是在會(huì)話(huà)信息基礎(chǔ)上而不是包的信息。狀態(tài)檢測(cè)防火墻在驗(yàn)證數(shù)據(jù)包時(shí)候會(huì)先判定這個(gè)數(shù)據(jù)是否符合當(dāng)前的會(huì)話(huà)，同時(shí)還可以在狀態(tài)中保存這些信息。狀態(tài)檢測(cè)防火墻技術(shù)對(duì)異常的TCP網(wǎng)絡(luò)層的攻擊有著一定的阻止作用。有些網(wǎng)絡(luò)設(shè)備是可以將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀。該種防火墻技術(shù)在一定的時(shí)間內(nèi)是人們使用最廣泛的技術(shù)，用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不受到黑客的攻擊，但是專(zhuān)門(mén)對(duì)應(yīng)用層網(wǎng)絡(luò)攻擊的現(xiàn)象越來(lái)越多時(shí)候，狀態(tài)檢測(cè)防火墻技術(shù)的有效性也在不斷的下降。由于狀態(tài)防火墻在設(shè)計(jì)的時(shí)候并沒(méi)有專(zhuān)門(mén)的根據(jù)Web應(yīng)用程序的攻擊進(jìn)行設(shè)計(jì)，這樣深度包檢測(cè)防火墻技術(shù)應(yīng)用而生。

2.3 深度包檢測(cè)防火墻

深度包檢測(cè)防火墻技術(shù)可以更好的處理應(yīng)用程序上的流量問(wèn)題，可以很好的防范目標(biāo)系統(tǒng)受到各種復(fù)雜的攻擊，將狀態(tài)檢測(cè)的優(yōu)勢(shì)很好的結(jié)合起來(lái)。它可以對(duì)數(shù)據(jù)流量進(jìn)行分析同時(shí)還可以做出訪(fǎng)問(wèn)的控制判決，根據(jù)允許的數(shù)據(jù)流量對(duì)負(fù)載做出相關(guān)的決策。

3 深度包檢測(cè)技術(shù)特點(diǎn)

隨著科技的發(fā)展，深度包檢測(cè)技術(shù)在不斷的更新?lián)Q代中進(jìn)而實(shí)現(xiàn)深度包檢測(cè)的功能。深度包檢測(cè)防火墻技術(shù)在一定的程度上融合了包過(guò)濾與狀態(tài)檢測(cè)防火墻技術(shù)的功能，主要具有以下4個(gè)功能特征。

3.1 應(yīng)用層加密與解密

SSL通常被運(yùn)用在Web瀏覽器與服務(wù)器之間認(rèn)證身份的加密數(shù)據(jù)傳輸，進(jìn)而確保數(shù)據(jù)的安全性。該種技術(shù)在運(yùn)用的時(shí)候?qū)Ψ阑饓σ簿吞岢隽烁叩囊蟥D―要對(duì)數(shù)據(jù)的加密與解密進(jìn)行處理。若是不能夠?qū)SL加密的數(shù)據(jù)進(jìn)行解密的話(huà)嗎，那么防火墻就沒(méi)有辦法對(duì)負(fù)載的信息進(jìn)行相關(guān)的分析，更沒(méi)有辦法判斷出數(shù)據(jù)中是否具有相關(guān)應(yīng)用層的攻擊信息，同時(shí)沒(méi)有辦法體現(xiàn)出深度包檢測(cè)的優(yōu)勢(shì)。SSL的加密性能非常高，當(dāng)前很多企業(yè)使用來(lái)保證應(yīng)用程序數(shù)據(jù)的安全，若是深度包檢測(cè)技術(shù)沒(méi)有辦法對(duì)企業(yè)中的關(guān)鍵應(yīng)用程序提高安全性能的化，那么也就是說(shuō)整個(gè)深度包檢測(cè)失去它的意義。

3.2 正常化技術(shù)

為了可以很好的防范應(yīng)用層的攻擊通常情況下主要是依賴(lài)字符串的匹配，但是不正常的匹配在很大的程度上會(huì)造成安全漏洞。例如，為了能知道某種請(qǐng)求是否可以啟用，防火墻的請(qǐng)求就會(huì)與安全策略來(lái)匹配，只有匹配成功了，防火墻才會(huì)采用安全策略。在解決字符匹配的時(shí)候是需要利用正常化技術(shù)的，只有深度包檢測(cè)才具備這樣的功能，可以識(shí)別與阻止大量的危險(xiǎn)攻擊。

3.3 協(xié)議一致性

應(yīng)用層協(xié)議一致性通常在應(yīng)用程序中會(huì)用到，協(xié)議都是由RFC進(jìn)行規(guī)范建設(shè)的。因?yàn)樯疃劝鼨z測(cè)是在應(yīng)用層中進(jìn)行狀態(tài)檢測(cè)的，因而就必須要明確應(yīng)用層中的數(shù)據(jù)是否與這些協(xié)議一致，這樣才會(huì)防止隱藏的攻擊。

3.4 雙向負(fù)載檢測(cè)

與包過(guò)濾檢測(cè)、狀態(tài)檢測(cè)來(lái)說(shuō)，深度包檢測(cè)具有很強(qiáng)大的功能，它是可以允許與拒絕數(shù)據(jù)包的通過(guò)，通常主要是檢查與修改四到七層的數(shù)據(jù)包，主要有包頭、負(fù)載。深度檢測(cè)防火墻是可以自動(dòng)的進(jìn)行匹配，這樣能正確檢測(cè)出服務(wù)質(zhì)量如何。若是請(qǐng)求不匹配那么深度包檢測(cè)就會(huì)自動(dòng)將其丟掉，同時(shí)將其寫(xiě)入到日志中，也會(huì)向管理員發(fā)出警告。另外，深度包檢測(cè)技術(shù)是可以進(jìn)行修改URL，這一點(diǎn)是與應(yīng)用層的NAT相似。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為了可以提供全面的防護(hù)，進(jìn)行深度包檢測(cè)是一定的。深度包檢測(cè)技術(shù)還在不斷的發(fā)展中，但其基本具有以上的特點(diǎn)。最近幾年里，隨著編程ASIC技術(shù)發(fā)展與有效的規(guī)則算法出現(xiàn)使得深度包檢測(cè)引擎的執(zhí)行能力加強(qiáng)，應(yīng)用深度檢測(cè)技術(shù)越來(lái)越受到好評(píng)，很多防火墻的供應(yīng)商都在不斷的增加對(duì)防火墻產(chǎn)品中應(yīng)用數(shù)據(jù)進(jìn)行分析。

4 結(jié)語(yǔ)

雖然深度包檢測(cè)技術(shù)受到越來(lái)越多好評(píng)，但是其也具有相當(dāng)多的缺點(diǎn)。當(dāng)前的深度包檢測(cè)產(chǎn)品通常都是一體化的安全設(shè)備，這樣就會(huì)由于單個(gè)安全組件的癱瘓而引起整個(gè)網(wǎng)絡(luò)處于安全漏洞的狀態(tài)下。同時(shí)將更多的功能集中在一起，也就越可能的限制單個(gè)產(chǎn)品供應(yīng)商，這樣在一定的程度上就會(huì)使我們喪失了靈活性。網(wǎng)絡(luò)安全問(wèn)題正在處于復(fù)雜的境地，有著各種各樣的傳統(tǒng)防火墻與入侵技術(shù)，因而當(dāng)深度包檢測(cè)的融合能否降低復(fù)雜性，還是需要不斷的發(fā)展觀察。

參考文獻(xiàn)

[1] 劉坤燦.防火墻深度包檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2013（01）.

[2] 蘆志朋.深度包檢測(cè)主機(jī)防火墻的研究與實(shí)現(xiàn)[D].電子科技大學(xué)，2010（03）.

[3] 艾鑫.眾核環(huán)境下深度包檢測(cè)系統(tǒng)的設(shè)計(jì)與優(yōu)化[D].哈爾濱工業(yè)大學(xué)，2013（06）.

防火墻技術(shù)的研究范文2

關(guān)鍵字:防火墻;網(wǎng)絡(luò)安全;內(nèi)部網(wǎng)絡(luò);外部網(wǎng)絡(luò)。

一、概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類(lèi)發(fā)展的大趨勢(shì)。互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶(hù)帶來(lái)了極大方便的同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

其實(shí)防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個(gè)現(xiàn)代變種:在你的城堡周?chē)谝坏郎钌畹暮緶稀＿@樣一來(lái),使所有進(jìn)出城堡的人都要經(jīng)過(guò)一個(gè)吊橋,吊橋上的看門(mén)警衛(wèi)可以檢查每一個(gè)來(lái)往的行人。對(duì)于網(wǎng)絡(luò),也可以采用同樣的方法:一個(gè)擁有多個(gè)LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接,但進(jìn)出該公司的通信量必須經(jīng)過(guò)一個(gè)電子吊橋(防火墻)。也就是說(shuō)防火墻實(shí)際上是一種訪(fǎng)問(wèn)控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪(fǎng)問(wèn),也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來(lái)阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱(chēng)為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱(chēng)為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶(hù)的訪(fǎng)問(wèn)和過(guò)濾不良信息的目的。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:

1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻;

2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;

5、人機(jī)界面良好,用戶(hù)配置使用方便,易管理。

實(shí)現(xiàn)防火墻的主要技術(shù)有:分組篩選器,應(yīng)用網(wǎng)關(guān)和服務(wù)等。

(1)分組篩選器技術(shù)

分組篩選器是一個(gè)裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來(lái)檢查每個(gè)進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā),不能通過(guò)檢查的就被丟棄。

通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動(dòng)。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個(gè)UNIX設(shè)置的標(biāo)準(zhǔn)配置中,一個(gè)源端或目的端由一個(gè)IP地址和一個(gè)端口組成,端口表明希望得到什么樣的服務(wù)。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個(gè)公司可以擁塞到所有IP地址及一個(gè)端口號(hào)的分組。這樣,公司外部的人就不能通過(guò)Telnet登陸,或用Finger找人。進(jìn)而該公司可以獎(jiǎng)勵(lì)其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因?yàn)殡m然大多數(shù)節(jié)點(diǎn)使用標(biāo)準(zhǔn)端口號(hào),但這也不一定是一成不變的,更何況有一些重要的服務(wù),像FTP(文件傳輸協(xié)議),其端口號(hào)是動(dòng)態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因?yàn)楹茈y事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄,如什么樣的用戶(hù)在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專(zhuān)用工作站系統(tǒng)來(lái)完成。

有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁(yè)面。當(dāng)用戶(hù)請(qǐng)求的頁(yè)面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁(yè)面是否是最新的版本(即該頁(yè)面是否已更新),如果是最新版本,則直接提交給用戶(hù),否則,到真正的服務(wù)器上請(qǐng)求最新的頁(yè)面,然后再轉(zhuǎn)發(fā)給用戶(hù)(3)服務(wù)

服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來(lái)提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。

具體地說(shuō),服務(wù)器是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪(fǎng)問(wèn)因特網(wǎng)并被內(nèi)部主機(jī)訪(fǎng)問(wèn)的堡壘主機(jī)。這些程序接受用戶(hù)對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。

在實(shí)際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問(wèn)題的技術(shù)的有機(jī)組合。你需要解決的問(wèn)題依賴(lài)于你想要向你的客戶(hù)提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn),采用何種技術(shù)來(lái)解決那些問(wèn)題依賴(lài)于你的時(shí)間、金錢(qián)、專(zhuān)長(zhǎng)等因素。超級(jí)秘書(shū)網(wǎng)

三、防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇:

1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過(guò)濾深度會(huì)不斷加強(qiáng),從目前的地址、服務(wù)過(guò)濾,發(fā)展到URL(頁(yè)面)過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專(zhuān)用網(wǎng)是較長(zhǎng)一段時(shí)間用戶(hù)使用的主流,IP的加密需求越來(lái)越強(qiáng),安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門(mén)類(lèi)而出現(xiàn)。

5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是,伴隨著防火墻技術(shù)的不斷發(fā)展,人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。

參考文獻(xiàn):

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.

防火墻技術(shù)的研究范文3

【關(guān)鍵詞】防火墻技術(shù)；電力系統(tǒng)；信息安全

隨著全球信息化的同步，我國(guó)電力系統(tǒng)自動(dòng)化平水也是日益增高，如果電力系統(tǒng)的信息安全出現(xiàn)了問(wèn)題，則會(huì)影響人民群眾的正常生活及電力系統(tǒng)的安全性。飛速發(fā)展的電力系統(tǒng)自動(dòng)化給人們帶來(lái)了很大的方便，但是同時(shí)也伴隨著一系列的安全隱患，網(wǎng)絡(luò)安全問(wèn)題就是其中之一，而且越來(lái)越嚴(yán)重，每年因網(wǎng)絡(luò)問(wèn)題都會(huì)帶來(lái)一些損失，所以網(wǎng)絡(luò)安全技術(shù)應(yīng)該得到相應(yīng)的重視。

1 防火墻技術(shù)的概念

在英文中的防火墻是Firewall，意思就是用一道墻把安全隱患阻擋在網(wǎng)絡(luò)安全系統(tǒng)之外，通過(guò)一系列硬件設(shè)備和相配套的軟件設(shè)備科學(xué)的部署，使其共同組建成一套用于網(wǎng)絡(luò)安全的防御系統(tǒng)，這是一個(gè)必經(jīng)的網(wǎng)絡(luò)入口，用于隔斷外部可能存在的網(wǎng)絡(luò)安全隱患。在電力系統(tǒng)中，防火墻技術(shù)是依據(jù)電力系統(tǒng)的安全策略，并有效的為系統(tǒng)信息提供安全保障服務(wù)，防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)的首要關(guān)卡，是實(shí)現(xiàn)電力系統(tǒng)信息全安必備的基礎(chǔ)設(shè)施。

隨著網(wǎng)絡(luò)技術(shù)全面發(fā)展和其應(yīng)用的不斷擴(kuò)大，防火墻技術(shù)已不僅僅是負(fù)責(zé)網(wǎng)絡(luò)安全的信息認(rèn)證與傳輸。還能為網(wǎng)絡(luò)安全應(yīng)用提供相應(yīng)的安全服務(wù)，如當(dāng)電力系統(tǒng)內(nèi)網(wǎng)因一些原因必須更換ISP時(shí)，就可以省去重新編號(hào)的麻煩等等，所以說(shuō)防火墻技術(shù)在電力系統(tǒng)信息安全中的研究是很有必要的。

2 防火墻的主要功能

2.1 強(qiáng)化網(wǎng)絡(luò)安全

電力系統(tǒng)可以通過(guò)防火墻將一些安全措施配置其中，如口令、密碼等，防火墻的集中安全管理與將網(wǎng)絡(luò)安全問(wèn)題分散到主機(jī)上相比，防火墻更經(jīng)濟(jì)適用。

2.2 過(guò)濾數(shù)據(jù)包

數(shù)據(jù)包的過(guò)濾是指數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)傳送信息的過(guò)程中，經(jīng)過(guò)已設(shè)定的符合自身安全特點(diǎn)的規(guī)則對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行檢測(cè)，接收安全的數(shù)據(jù)信息，拒絕帶有危險(xiǎn)網(wǎng)站傳送的數(shù)據(jù)信息，這也是防火墻最基本的功能之一。

2.3 可以防止內(nèi)部保密信息外漏

內(nèi)部網(wǎng)絡(luò)可以通過(guò)防火墻來(lái)劃分，隔離內(nèi)部網(wǎng)中的重點(diǎn)網(wǎng)段，限制內(nèi)部網(wǎng)中需保密的信息在內(nèi)部網(wǎng)中流通，可以保障內(nèi)部網(wǎng)絡(luò)中比較敏感的數(shù)據(jù)的安全，還可以隔斷內(nèi)部網(wǎng)中的DNS信息，從而防止了內(nèi)部網(wǎng)中保密的或者比較敏感的信息泄露。

2.4 轉(zhuǎn)換網(wǎng)絡(luò)地址

網(wǎng)絡(luò)地址轉(zhuǎn)換有兩大優(yōu)點(diǎn)，一方面可以隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址，防止黑客直接攻擊內(nèi)部網(wǎng)絡(luò)，另一方面內(nèi)部網(wǎng)可以使用私有的IP網(wǎng)段，從而解決IP地址不足的情況。

2.5 可提供日志記錄

因?yàn)榉阑饓Φ淖陨硖攸c(diǎn)，網(wǎng)絡(luò)的存取和訪(fǎng)問(wèn)都必須經(jīng)過(guò)其認(rèn)證。所以防火墻就保存了較為完整的日志記錄，而且還能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。

這些所概括的特點(diǎn)證明了其在各各領(lǐng)域中為解決網(wǎng)絡(luò)安全問(wèn)題方面的地位及使用情況，當(dāng)然，電力系統(tǒng)也是不可或缺的。

3 防火墻技術(shù)在電力系統(tǒng)信息安全中的應(yīng)用

目前防火墻的基本技術(shù)類(lèi)型包括包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用和狀態(tài)檢測(cè)，根據(jù)電力系統(tǒng)的特點(diǎn)仔細(xì)研究并將適合的技術(shù)適當(dāng)?shù)膽?yīng)用，定會(huì)大大提高電力系統(tǒng)的信息安全可靠性。

3.1 包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是防火墻技術(shù)的初級(jí)類(lèi)型，通常情況下由路由器完成，其依靠自身的數(shù)據(jù)安全保護(hù)機(jī)制來(lái)有選擇的控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。包過(guò)濾技術(shù)是出現(xiàn)最早的防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如IP源地址、IP目標(biāo)地址、封裝協(xié)議類(lèi)型等等。防火墻通過(guò)數(shù)據(jù)包中的信息來(lái)判斷這些信息的來(lái)源是否可靠，如發(fā)現(xiàn)有來(lái)自危險(xiǎn)網(wǎng)站的數(shù)據(jù)信息，防火墻就會(huì)自動(dòng)的丟棄。因?yàn)槠涮幱诰W(wǎng)絡(luò)的最基礎(chǔ)，對(duì)用戶(hù)是透明的，如在電力系統(tǒng)中，管理員是可見(jiàn)的，管理員可根據(jù)電力系統(tǒng)的實(shí)際情況制定特有的評(píng)判原則，所以可以說(shuō)包過(guò)濾防火墻技術(shù)是最快的防火墻

3.2 網(wǎng)絡(luò)地址轉(zhuǎn)化技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的、注冊(cè)的外部IP地址。網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)通過(guò)地址轉(zhuǎn)換訪(fǎng)問(wèn)因特網(wǎng)，用戶(hù)不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。全網(wǎng)卡訪(fǎng)問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄，系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。使得有限的外網(wǎng)IP就能滿(mǎn)足內(nèi)網(wǎng)用戶(hù)對(duì)外網(wǎng)的訪(fǎng)問(wèn)，同時(shí)還能夠避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪(fǎng)問(wèn)或惡意攻擊。緩解了地址空間的短缺問(wèn)題，節(jié)省了資源，降低了成本。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪(fǎng)問(wèn)。

3.3應(yīng)用技術(shù)

型防火墻具有安全性高的優(yōu)點(diǎn)，應(yīng)用是內(nèi)部網(wǎng)與外部網(wǎng)的有效隔離點(diǎn)，能起到監(jiān)視和隔絕的作用。應(yīng)用只允許內(nèi)部主機(jī)使用服務(wù)器訪(fǎng)問(wèn)Internet主機(jī)，不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò)，服務(wù)防火墻可以設(shè)置成允許內(nèi)部網(wǎng)的任何連接，也可以設(shè)置成需要用戶(hù)認(rèn)定才可以連接，這樣就為網(wǎng)絡(luò)安全提供了相對(duì)較高的可靠保證，因?yàn)闊o(wú)論內(nèi)網(wǎng)還是外網(wǎng)的連接都需要服務(wù)器的轉(zhuǎn)換，所以可以保證內(nèi)網(wǎng)的安全。在實(shí)際的應(yīng)用中，應(yīng)用的功能都是由服務(wù)器來(lái)完成的。

3.4狀態(tài)檢測(cè)技術(shù)

目前狀態(tài)檢測(cè)防火墻技術(shù)在防火墻系統(tǒng)中已經(jīng)得到了廣泛的應(yīng)用。狀態(tài)檢測(cè)防火墻是新一代的防火墻技術(shù)，又可以叫做動(dòng)態(tài)包過(guò)濾防火墻，由Check Point公司引入。是在傳統(tǒng)的包過(guò)濾技術(shù)的基礎(chǔ)上進(jìn)行的進(jìn)一步擴(kuò)展，傳統(tǒng)的包過(guò)濾防火墻技術(shù)是只能檢測(cè)單個(gè)的數(shù)據(jù)包，而且是靜態(tài)下的，不能將前后信息相聯(lián)系，并根據(jù)信息動(dòng)態(tài)生成過(guò)濾規(guī)則。而狀態(tài)檢測(cè)防火墻監(jiān)視每一個(gè)有效連接的狀態(tài)，并根據(jù)信息決定該連接是否接受或者將之拒絕。通過(guò)狀態(tài)檢測(cè)技術(shù)，動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)，提高了系統(tǒng)信息的安全性，并且還能做到一定的擴(kuò)展性，狀態(tài)檢測(cè)在包過(guò)濾的同時(shí)，檢查數(shù)據(jù)包之間的關(guān)聯(lián)性和數(shù)據(jù)包中的動(dòng)態(tài)變化。

當(dāng)然防火墻也不是萬(wàn)能的，在內(nèi)部人員濫用被給予的訪(fǎng)問(wèn)權(quán)利的情況下，防火墻是不能防止內(nèi)部攻擊的，防火墻只提供了邊緣地帶的基礎(chǔ)防衛(wèi)作用，而且防火墻只能防止已知的惡意病毒程序，對(duì)于新型的病毒及木馬不可能做到全面的封殺，而且安全問(wèn)題也絕不是單單的來(lái)自網(wǎng)絡(luò)外部。

4 電力系統(tǒng)信息安全分析

電力系統(tǒng)的信息安全是電力網(wǎng)絡(luò)安全運(yùn)行的并可靠送電的基本保障，是一項(xiàng)涉及多領(lǐng)域非常復(fù)雜的龐大系統(tǒng)工程，但是電力系統(tǒng)的信息并沒(méi)有建立一個(gè)安全的體系，有些買(mǎi)了防、殺毒軟件和防火墻，有的甚至連最基本的防火墻都沒(méi)有實(shí)施，這樣必然加大了電力系統(tǒng)中網(wǎng)絡(luò)方面的許多隱患，所以電力系統(tǒng)工作人員必須加大對(duì)網(wǎng)絡(luò)安全問(wèn)題的重視及實(shí)施的力度，才能從長(zhǎng)遠(yuǎn)的方向上有效控制網(wǎng)絡(luò)中的問(wèn)題。

5 結(jié)語(yǔ)

隨著電力系統(tǒng)信息自動(dòng)化水平的不斷提高，網(wǎng)絡(luò)技術(shù)的應(yīng)用必定是越來(lái)越多，而其中網(wǎng)絡(luò)安全問(wèn)題就愈發(fā)的顯得重要，防火墻技術(shù)的應(yīng)用是安全防御手段中的一種非常有效的方法，高性能的防火墻對(duì)于提高電力系統(tǒng)信息安全的穩(wěn)定性起到了至關(guān)重要的作用，并且能促進(jìn)電力信息化水平的提高，電力企業(yè)生產(chǎn)效率的提高，最終提高電力企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，使得電力企業(yè)得到健康持續(xù)的發(fā)展。

參考文獻(xiàn)：

[1]路云.計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用和發(fā)展[J].管理觀察，2009（18）.

防火墻技術(shù)的研究范文4

關(guān)鍵詞：職業(yè)崗位；項(xiàng)目化；四維一體模式；教材建設(shè)

中圖分類(lèi)號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges，carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.

Keywords：professional post；project；four dimensional integrated model；textbook construction

1 引言（Introduction）

伴隨著網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，國(guó)家機(jī)關(guān)單位、行業(yè)、企業(yè)、事業(yè)單位等都在局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)方面投入了防火墻設(shè)備以提高網(wǎng)絡(luò)安全性能。高職教育直接為社會(huì)經(jīng)濟(jì)發(fā)展提供高技能型人才[1]，尤其是為地方經(jīng)濟(jì)建設(shè)服務(wù)。因此網(wǎng)絡(luò)安全類(lèi)專(zhuān)業(yè)培養(yǎng)熟悉網(wǎng)絡(luò)安全設(shè)備方面的人才需求量日益增加。防火墻技術(shù)課程是國(guó)家高職院校專(zhuān)業(yè)標(biāo)準(zhǔn)中計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息安全技術(shù)專(zhuān)業(yè)的核心技術(shù)課程，是培養(yǎng)專(zhuān)業(yè)核心技能的專(zhuān)業(yè)課程[2，3]，且開(kāi)設(shè)學(xué)校與面向的學(xué)生廣泛，課程教材建設(shè)尤為重要。王永紅[4，5]等提出理實(shí)一體化教材建設(shè)思想，采用“五個(gè)”對(duì)接理念進(jìn)行優(yōu)質(zhì)教材建設(shè)。

2 教材建設(shè)的依據(jù)（The basis of textbook construction ）

社會(huì)經(jīng)濟(jì)發(fā)展區(qū)域勢(shì)態(tài)不同，行業(yè)、企業(yè)需求不一樣，不同省份、區(qū)域的高職院校在專(zhuān)業(yè)建設(shè)方面的投入各不相同，因此教材建設(shè)存在顯著差異。對(duì)于實(shí)訓(xùn)環(huán)境欠缺的院校，防火墻技術(shù)課程注重理論和軟件防火墻的模擬操作。因此目前已經(jīng)出版發(fā)行的主流防火墻技術(shù)教材，主要是基于軟件防火墻應(yīng)用及防火墻工作原理介紹網(wǎng)絡(luò)安全策略，重原理輕實(shí)踐，尤其是缺乏市場(chǎng)主流硬件防火墻配置與管理方面的實(shí)踐內(nèi)容。對(duì)于實(shí)訓(xùn)環(huán)境較好的院校，其地方經(jīng)濟(jì)活躍，行業(yè)、企業(yè)信息化程度高，對(duì)硬件防火墻的需求能力旺盛，因此該區(qū)域的高職院校防火墻技術(shù)課程旨在培養(yǎng)學(xué)生對(duì)軟、硬件防火墻的操作配置的實(shí)踐能力，實(shí)現(xiàn)防火墻設(shè)備與交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的互聯(lián)互通，進(jìn)而達(dá)到企業(yè)網(wǎng)絡(luò)安全系統(tǒng)集成的技能要求，注重行業(yè)企業(yè)崗位職責(zé)需求，同時(shí)掌握防火墻技術(shù)所需的理論知識(shí)，以夠用為原則。

本教材改革傳統(tǒng)防火墻技術(shù)內(nèi)容編排體系，根據(jù)《防火墻技術(shù)》課程核心技能要求和網(wǎng)絡(luò)安全技術(shù)崗位技能要求（如圖1所示），依據(jù)網(wǎng)絡(luò)安全管理與防控過(guò)程的工作邏輯選取并組織內(nèi)容體系。選取技術(shù)方法常用、內(nèi)容實(shí)用，結(jié)合市場(chǎng)主流防火墻技術(shù)應(yīng)用案例，對(duì)企業(yè)安全案例進(jìn)行典型化修改、提升和拓展，嵌入省部級(jí)信息安全職業(yè)技能大賽賽項(xiàng)內(nèi)容。按項(xiàng)目設(shè)計(jì)工作任務(wù)，由簡(jiǎn)單到復(fù)雜，螺旋進(jìn)階，組織內(nèi)容體系。由背景需求引導(dǎo)解決問(wèn)題方法，分析設(shè)備選型，規(guī)劃網(wǎng)絡(luò)拓樸并進(jìn)行設(shè)備配置，最終進(jìn)行項(xiàng)目測(cè)試、撰寫(xiě)測(cè)試分析報(bào)告。采用理論（與技能賽點(diǎn)匹配，與實(shí)踐操作對(duì)應(yīng)鏈接）+實(shí)踐（仿真與實(shí)操結(jié)合）的框架結(jié)構(gòu)，突出防火墻技術(shù)技能訓(xùn)練。

3 《防火墻技術(shù)》教材建設(shè)的依據(jù)（The basis of textbook construction on firewall technology）

3.1 吻合課程標(biāo)準(zhǔn)，突出網(wǎng)絡(luò)安全防控能力訓(xùn)練

《防火墻技術(shù)》為專(zhuān)業(yè)課程體系中的專(zhuān)業(yè)核心技能訓(xùn)練模塊課程，課程設(shè)置對(duì)應(yīng)網(wǎng)絡(luò)安全防控能力訓(xùn)練，與網(wǎng)絡(luò)安全管理員崗位的防火墻技術(shù)應(yīng)用技能匹配。教材緊貼課程標(biāo)準(zhǔn)開(kāi)發(fā)與建設(shè)，符合崗位職業(yè)技能需求。

3.2 融合行業(yè)企業(yè)項(xiàng)目及技能大賽內(nèi)容，動(dòng)態(tài)更新

教材建設(shè)既與企業(yè)項(xiàng)目工程實(shí)戰(zhàn)緊密相關(guān)，通過(guò)消化吸收企業(yè)真實(shí)工程項(xiàng)目，對(duì)企業(yè)真實(shí)案例進(jìn)行典型化修改并融入到教材內(nèi)容中，通過(guò)畢業(yè)生網(wǎng)絡(luò)安全管理工作實(shí)踐反饋，再吸收行業(yè)新技術(shù)、新案例，保證技術(shù)內(nèi)容覆蓋深度和廣度。另一方面嵌入省部級(jí)技能大賽，將省部級(jí)大學(xué)生技能大賽賽點(diǎn)以任務(wù)形式融入教材內(nèi)容中，通過(guò)各個(gè)技能點(diǎn)對(duì)應(yīng)的任務(wù)提高學(xué)生職業(yè)技能，更好地參加省部級(jí)技能大賽、創(chuàng)新訓(xùn)練大賽、創(chuàng)業(yè)大賽等項(xiàng)目。

3.3 項(xiàng)目載體，基于任務(wù)難易進(jìn)行進(jìn)階設(shè)計(jì)

教材內(nèi)容應(yīng)用實(shí)踐部分，采用項(xiàng)目化方式將企業(yè)項(xiàng)目與技能大賽技能點(diǎn)進(jìn)行消化吸收，按照學(xué)生思維“從簡(jiǎn)單到復(fù)雜”的方式組織項(xiàng)目，開(kāi)展“任務(wù)驅(qū)動(dòng)、賽項(xiàng)融合、防控一體，企業(yè)生產(chǎn)實(shí)踐一體化”教學(xué)模式，將課程逐級(jí)遞增項(xiàng)目難度，最后實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)綜合實(shí)訓(xùn)內(nèi)容。

4 教材開(kāi)發(fā)（The development of textbook）

防火墻技術(shù)項(xiàng)目化教程采用四維一體開(kāi)發(fā)模式。（1）采用項(xiàng)目化實(shí)戰(zhàn)維度。突出實(shí)訓(xùn)內(nèi)容，構(gòu)建信息安全技術(shù)專(zhuān)業(yè)核心課程教學(xué)資源庫(kù)建設(shè)，按照行業(yè)、企業(yè)需求，對(duì)網(wǎng)絡(luò)安全技術(shù)職業(yè)崗位進(jìn)行調(diào)研并歸納出崗位對(duì)應(yīng)的典型工作任務(wù)，開(kāi)發(fā)出防火墻技術(shù)課程對(duì)應(yīng)的教學(xué)資源及配套教材。（2）采用網(wǎng)絡(luò)安全工程生命周期維度。教材開(kāi)發(fā)遵循網(wǎng)絡(luò)安全工程生命周期開(kāi)發(fā)，先從基礎(chǔ)網(wǎng)絡(luò)配置，在網(wǎng)絡(luò)互聯(lián)互通基礎(chǔ)上進(jìn)行防火墻安全設(shè)備配置，實(shí)現(xiàn)網(wǎng)絡(luò)安全策略部署。（3）采用省部級(jí)技能大賽維度。嵌入省部級(jí)信息安全技術(shù)方面的職業(yè)技能大賽賽項(xiàng)內(nèi)容。教材內(nèi)容涵蓋省部級(jí)信息安全技術(shù)賽項(xiàng)中防火墻技術(shù)技能點(diǎn)、防火墻與網(wǎng)絡(luò)互聯(lián)設(shè)備綜合技能點(diǎn)，以任務(wù)形式開(kāi)展技能點(diǎn)訓(xùn)練，并定期進(jìn)行更新，極大的提高了教學(xué)效果和教學(xué)質(zhì)量。（4）采用綜合管理技能訓(xùn)練維度。每個(gè)項(xiàng)目里面設(shè)立項(xiàng)目綜合實(shí)訓(xùn)，將企業(yè)真實(shí)項(xiàng)目引入，階段性的引入綜合管理技能。分項(xiàng)目完成后設(shè)立綜合實(shí)訓(xùn)項(xiàng)目：網(wǎng)絡(luò)安全系統(tǒng)綜合實(shí)訓(xùn)，將防火墻與交換機(jī)、路由器等網(wǎng)絡(luò)系統(tǒng)進(jìn)行系統(tǒng)化集成，如圖2所示。

開(kāi)發(fā)的實(shí)戰(zhàn)項(xiàng)目如表1所示。

5 結(jié)論（Conclusion）

《防火墻技術(shù)項(xiàng)目化教程》是信息安全技術(shù)專(zhuān)業(yè)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)的核心教材，是2014江蘇省現(xiàn)代職業(yè)教育技術(shù)課題中高職銜接課程資源建設(shè)核心成果之一，經(jīng)過(guò)實(shí)踐教學(xué)應(yīng)用，教材使用效果好。教材建設(shè)是專(zhuān)業(yè)內(nèi)涵建設(shè)的一部分，特別是專(zhuān)業(yè)核心課程的教材建設(shè)，需要綜合考慮企業(yè)、行業(yè)的需求，人才培養(yǎng)職業(yè)能力、實(shí)訓(xùn)環(huán)境、省職業(yè)技能大賽需求等方面，切實(shí)提升專(zhuān)業(yè)內(nèi)涵建設(shè)。

參考文獻(xiàn)（References）

[1] 李敏等.高職工學(xué)結(jié)合特色教材建設(shè)的探索與實(shí)踐――以機(jī)械類(lèi)專(zhuān)業(yè)“基于工作過(guò)程系統(tǒng)化”教材開(kāi)發(fā)為例.哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015（1）：56-57.

[2] 劉靜，楊正校.基于太倉(cāng)市產(chǎn)業(yè)集群的電子商務(wù)發(fā)展研究.蘇州市職業(yè)大學(xué)學(xué)報(bào)，2014（25）：31-35.

[3] 楊正校，劉靜.基于產(chǎn)業(yè)集群的中小企業(yè)移動(dòng)電子商務(wù)研究-以太倉(cāng)市為例[J].軟件2014，09（35）：86-90.

[4] 王詩(shī)瑤，王永紅.基于“理實(shí)一體化”的《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)》教材建設(shè)研究.開(kāi)封教育學(xué)院學(xué)報(bào)，2015（35）：112-113.

[5] 王永紅，王詩(shī)瑤.基于五個(gè)“對(duì)接”的優(yōu)質(zhì)教材建設(shè)思考與實(shí)踐[J].計(jì)算機(jī)教育，2015（12）：94-97.

作者簡(jiǎn)介：

防火墻技術(shù)的研究范文5

關(guān)鍵詞：網(wǎng)絡(luò)攻擊 防火墻 嵌入式

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2013）03-0216-01

信息社會(huì)的發(fā)展使得網(wǎng)絡(luò)應(yīng)用成為人們?nèi)粘Ｉ畹囊徊糠帧Ｓ?jì)算機(jī)網(wǎng)絡(luò)突破了傳統(tǒng)空間中的地域限制和時(shí)間限制，可以快速準(zhǔn)確的幫助人們獲得所需信息和資源，極大的擴(kuò)展了人們了解現(xiàn)實(shí)的渠道。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和經(jīng)濟(jì)社會(huì)的發(fā)展，網(wǎng)絡(luò)應(yīng)用給我們帶來(lái)了巨大的便利，也為我們帶來(lái)了巨大的安全隱患。網(wǎng)絡(luò)中的惡意程序以及人為的惡意破壞使得我們必須采取有效的防護(hù)措施對(duì)自身數(shù)據(jù)進(jìn)行保護(hù)，防止被非法獲取或泄露。防火墻則是基于網(wǎng)絡(luò)的一種信息安全保障技術(shù)，是當(dāng)前時(shí)期網(wǎng)絡(luò)安全的主要解決方案之一，利用防火墻技術(shù)可以有效控制用戶(hù)和網(wǎng)絡(luò)之間的數(shù)據(jù)通信，保障數(shù)據(jù)的安全。

1 防火墻技術(shù)發(fā)展概述

防火墻技術(shù)主要是對(duì)內(nèi)網(wǎng)和外網(wǎng)之間的訪(fǎng)問(wèn)機(jī)制進(jìn)行控制，但是傳統(tǒng)的依靠拓?fù)浣Y(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)劃分的防火墻在防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊方面的性能不夠完善，無(wú)法實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù)。為解決該問(wèn)題，分布式防火墻技術(shù)被提出來(lái)解決上述問(wèn)題，該技術(shù)將安全策略的執(zhí)行下放到各主機(jī)端，但是在服務(wù)端對(duì)各主機(jī)進(jìn)行集中管理，統(tǒng)一控制，該技術(shù)解決了傳統(tǒng)防火墻技術(shù)在網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部安全隱患、“單點(diǎn)失效”、過(guò)濾規(guī)則、端到端加密、旁點(diǎn)登陸等諸多方面的問(wèn)題，具有較好的網(wǎng)絡(luò)防護(hù)性能。隨著分布式防火墻技術(shù)的提出，人們不斷對(duì)其進(jìn)行改進(jìn)，這些改進(jìn)主要集中于兩個(gè)方面：硬件和軟件。其中基于硬件的防火墻技術(shù)被稱(chēng)為嵌入式防火墻技術(shù)。

2 經(jīng)典嵌入式防火墻技術(shù)研究

較為經(jīng)典的嵌入式防火墻技術(shù)由以下幾種。

2.1 基于OpenBSDUNIX的嵌入式防火墻技術(shù)

該技術(shù)的實(shí)現(xiàn)基礎(chǔ)為在OpenBSDUNIX操作系統(tǒng)，該平臺(tái)具有一體化的安全特性和庫(kù)，如IPSec棧、KeyNote和SSL等，應(yīng)用平臺(tái)中的組件內(nèi)核擴(kuò)展程序可以指定安全通信機(jī)制；應(yīng)用平臺(tái)中的用戶(hù)層后臺(tái)處理程序組件可以對(duì)防火墻策略進(jìn)行執(zhí)行；設(shè)備驅(qū)動(dòng)程序組件用于提供通信接口。

2.2 基于Windows平臺(tái)的嵌入式防火墻技術(shù)

該技術(shù)的主要實(shí)現(xiàn)過(guò)程為對(duì)主機(jī)的具體應(yīng)用和對(duì)外服務(wù)制定安全策略。其中數(shù)據(jù)包過(guò)濾引擎被嵌入到內(nèi)核中的鏈路層和網(wǎng)絡(luò)層之間，向用戶(hù)提供訪(fǎng)問(wèn)控制、狀態(tài)及入侵檢測(cè)等防御機(jī)制；用戶(hù)配置接口用于配置本地安全策略。

本文主要對(duì)該平臺(tái)的嵌入式防火墻技術(shù)進(jìn)行研究。

3 基于嵌入式協(xié)議棧的內(nèi)容過(guò)濾防火墻技術(shù)方案

該技術(shù)方案將嵌入式協(xié)議棧和動(dòng)態(tài)包過(guò)濾進(jìn)行整合，進(jìn)而替代主機(jī)的應(yīng)用層防火墻接口和系統(tǒng)功能調(diào)用，內(nèi)容過(guò)濾和數(shù)據(jù)處理。其中，嵌入式協(xié)議棧主要用于對(duì)數(shù)據(jù)和通信策略進(jìn)行檢測(cè)，動(dòng)態(tài)包過(guò)濾主要用于對(duì)IP層和TCp層的通信規(guī)則進(jìn)行檢測(cè)。

該技術(shù)方案的優(yōu)勢(shì)在于數(shù)據(jù)包過(guò)濾和協(xié)議內(nèi)容分析處于系統(tǒng)的同一層次，這就會(huì)提高防火墻的防御效果。

3.1 防火墻結(jié)構(gòu)分析

防火墻系統(tǒng)結(jié)構(gòu)分為主要分為兩部分：底層安全策略表和應(yīng)用層安全策略表。與傳統(tǒng)防火墻技術(shù)相比，本文所述基于嵌入式協(xié)議棧的防火墻技術(shù)在防御策略中添加了應(yīng)用層的安全策略，其中，網(wǎng)絡(luò)協(xié)議還原將原有的網(wǎng)絡(luò)通信協(xié)議進(jìn)行了還原處理，而應(yīng)用層協(xié)議還原則是對(duì)應(yīng)用層協(xié)議進(jìn)行還原解碼處理，經(jīng)過(guò)兩次還原，數(shù)據(jù)信息被送入安全檢測(cè)模塊進(jìn)行數(shù)據(jù)分析。

3.2 工作流程實(shí)現(xiàn)

當(dāng)網(wǎng)絡(luò)中的主機(jī)進(jìn)行數(shù)據(jù)包通信時(shí)時(shí)，會(huì)按照訪(fǎng)問(wèn)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行安全檢測(cè)，查看是否符合訪(fǎng)問(wèn)規(guī)則，若不符合訪(fǎng)問(wèn)規(guī)則，則對(duì)該數(shù)據(jù)包進(jìn)行丟棄處理，若符合訪(fǎng)問(wèn)規(guī)則，則按照防火墻狀態(tài)表對(duì)數(shù)據(jù)包進(jìn)行二次檢測(cè)，該檢測(cè)在協(xié)議棧部分進(jìn)行。

對(duì)于需要檢測(cè)的數(shù)據(jù)包如HTTP、SMTP、POP3等數(shù)據(jù)流，其檢測(cè)過(guò)程為，數(shù)據(jù)進(jìn)行IP分片還原、TCP連接還原以及應(yīng)用層協(xié)議還原，還原過(guò)程結(jié)束后應(yīng)用層的安全策略會(huì)產(chǎn)生一個(gè)新的狀態(tài)表，該狀態(tài)表用于判斷數(shù)據(jù)包是否安全，若判定數(shù)據(jù)不安全則對(duì)其進(jìn)行丟棄處理，若判定數(shù)據(jù)安全則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。

對(duì)于不需要檢測(cè)的數(shù)據(jù)如多媒體影音數(shù)據(jù)等，可以直接認(rèn)定為其在安全層是安全的，可直接進(jìn)行內(nèi)容轉(zhuǎn)發(fā)。

進(jìn)入內(nèi)容轉(zhuǎn)發(fā)步驟的數(shù)據(jù)包即可實(shí)現(xiàn)數(shù)據(jù)的通信，整個(gè)嵌入式防火墻過(guò)程結(jié)束。

3.3 性能分析

該嵌入式防火墻技術(shù)將數(shù)據(jù)包過(guò)濾所需的狀態(tài)表以及通信地址所需的地址表進(jìn)行了集成，實(shí)現(xiàn)了嵌入式協(xié)議棧的整合。這種方式具有兩方面好處：一是提高了兩者之間的通信效率，減少了不必要的通信流程，協(xié)議棧可以便捷的更新數(shù)據(jù)包狀態(tài)表，數(shù)據(jù)包狀態(tài)表的狀態(tài)可以確定數(shù)據(jù)包是否進(jìn)行數(shù)據(jù)檢測(cè)；二是集成化處理實(shí)現(xiàn)了狀態(tài)表和協(xié)議棧之間的相對(duì)統(tǒng)一，降低了內(nèi)存空間的使用。

4 結(jié)語(yǔ)

本文討論了防火墻技術(shù)的應(yīng)用目標(biāo)和應(yīng)用作用，進(jìn)而就防火墻技術(shù)的發(fā)展及理論創(chuàng)新進(jìn)行總結(jié)和分析，確定了嵌入式防火墻技術(shù)的應(yīng)用優(yōu)勢(shì)，最后就基于Windows系統(tǒng)平臺(tái)的嵌入式協(xié)議棧防火墻技術(shù)進(jìn)行分析和闡述。隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，在進(jìn)行網(wǎng)絡(luò)應(yīng)用時(shí)必須要注意做好安全防護(hù)措施，應(yīng)用嵌入式防火墻技術(shù)即可獲得較為理想的安全防護(hù)效果。

參考文獻(xiàn)

[1]孟英博，嵌入式防火墻的研究與實(shí)現(xiàn)[D].南京航空航天大學(xué)，2007（1）.

[2]江文，淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展[J].科學(xué)之友，2011（12）.

防火墻技術(shù)的研究范文6

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障， 以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入， 可有效地保證網(wǎng)絡(luò)安全。防火墻系統(tǒng)是一個(gè)靜態(tài)的網(wǎng)絡(luò)攻擊防御， 同時(shí)由于其對(duì)新協(xié)議和新服務(wù)的支持不能動(dòng)態(tài)的擴(kuò)展， 所以很難提供個(gè)性化的服務(wù)。入侵檢測(cè)系統(tǒng)(IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息， 并分析這些信息， 檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS 被公認(rèn)為是防火墻之后的第二道安全閘門(mén)， 從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)， 對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)， 從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)技術(shù)可以彌補(bǔ)單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn)， 為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充， 幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊， 擴(kuò)展了系統(tǒng)管理員的安全管理能力， 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。由些可見(jiàn)， 它們?cè)诠δ苌峡梢孕纬苫パa(bǔ)關(guān)系。

下面將建立入侵特征庫(kù)和入侵檢測(cè)與防火墻的接口問(wèn)題分別進(jìn)行講述。我們經(jīng)過(guò)將基于異常的IDS 和基于誤用的IDS 系統(tǒng)相比較之后，最后選擇使用基于誤用的入侵檢測(cè)系統(tǒng)， 不僅因?yàn)檫@種方法的誤報(bào)警率低， 而且對(duì)一些已知的常用的攻擊行為特別有效。當(dāng)有外來(lái)入侵者的時(shí)候， 一部分入侵由于沒(méi)有獲得防火墻的信任， 首先就被防火墻隔離在外， 而另一部分騙過(guò)防火墻的攻擊，或者干脆是內(nèi)部攻擊沒(méi)經(jīng)過(guò)防火墻的， 再一次受到了入侵檢測(cè)系統(tǒng)的盤(pán)查， 受到懷疑的數(shù)據(jù)包經(jīng)預(yù)處理模塊分檢后， 送到相應(yīng)的模塊里去進(jìn)一步檢查， 當(dāng)對(duì)規(guī)則樹(shù)進(jìn)行掃描后， 發(fā)現(xiàn)某些數(shù)據(jù)包與規(guī)則庫(kù)中的某些攻擊特征相符， 立即切斷這個(gè)IP 的訪(fǎng)問(wèn)請(qǐng)求， 或者報(bào)警。建立入侵特征庫(kù)。

1.編寫(xiě)規(guī)則

根據(jù)前面所說(shuō)的該入侵檢測(cè)系統(tǒng)所期望實(shí)現(xiàn)的作用， 因此要將一些規(guī)則編寫(xiě)至特征庫(kù)中。規(guī)則模塊包括解析規(guī)則文件、建立規(guī)則語(yǔ)法樹(shù)、實(shí)現(xiàn)規(guī)則匹配的算法等。

2.入侵檢測(cè)流程

單個(gè)數(shù)據(jù)報(bào)的檢測(cè)流程詳細(xì)的分析如下: 首先對(duì)收集到的數(shù)據(jù)報(bào)進(jìn)行解碼， 然后調(diào)用預(yù)處理函數(shù)對(duì)解碼后的報(bào)文進(jìn)行預(yù)處理， 再利用規(guī)則樹(shù)對(duì)數(shù)據(jù)報(bào)進(jìn)行匹配。在規(guī)則樹(shù)匹配的過(guò)程中， IDS 要從上到下依次對(duì)規(guī)則樹(shù)進(jìn)行判斷， 從鏈?zhǔn)住㈡湵淼揭?guī)則頭節(jié)點(diǎn)， 一直到規(guī)則選項(xiàng)節(jié)點(diǎn)。基于規(guī)則的模式匹配是入侵檢測(cè)系統(tǒng)的核心檢測(cè)機(jī)制。入侵檢測(cè)流程分成兩大步: 第一步是規(guī)則的解析流程， 包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則; 第二步是使用這些規(guī)則進(jìn)行匹配的入侵流程。

3.規(guī)則匹配流程

一個(gè)采用模式匹配技術(shù)的IDS 在從網(wǎng)絡(luò)中讀取一個(gè)數(shù)據(jù)包后大致按照下面方式進(jìn)行攻擊檢測(cè):

( 1) 從數(shù)據(jù)包的第一個(gè)字節(jié)開(kāi)始提取與特征庫(kù)中第一個(gè)攻擊特征串等長(zhǎng)的一組字節(jié)與第一個(gè)攻擊特征串比對(duì)， 如果兩組字節(jié)相同， 則視為檢測(cè)到一次攻擊;如果兩組字節(jié)不同， 則從數(shù)據(jù)包的第二個(gè)字節(jié)開(kāi)始提取與攻擊特征串等長(zhǎng)的一組字節(jié)與攻擊特征串比對(duì)。

( 2) 接著比對(duì)過(guò)程重復(fù)進(jìn)行， 每次后移一個(gè)字節(jié)直到數(shù)據(jù)包的每個(gè)字節(jié)都比對(duì)完畢， 最后將數(shù)據(jù)包與特征庫(kù)中下一個(gè)攻擊特征串進(jìn)行匹配。

( 3) 重復(fù)進(jìn)行直到匹配成功或者匹配到特征庫(kù)中最后一個(gè)攻擊特征依然沒(méi)有結(jié)果為止， 然后整體模型從網(wǎng)絡(luò)中讀取下一個(gè)數(shù)據(jù)包進(jìn)行另一次檢測(cè)。規(guī)則匹配的過(guò)程就是對(duì)從網(wǎng)絡(luò)上捕獲的每一條數(shù)據(jù)報(bào)文和上面描述的規(guī)則樹(shù)進(jìn)行匹配的過(guò)程。如果發(fā)現(xiàn)存在一條規(guī)則匹配的報(bào)文，就表示檢測(cè)到一個(gè)攻擊， 然后按照規(guī)指定的行為進(jìn)行處理(如發(fā)送警告等)， 如果搜索完所有的規(guī)則都沒(méi)有找到匹配的規(guī)則， 就表示報(bào)文是正常的報(bào)文。

所有的規(guī)則被組織成規(guī)則樹(shù)， 然后分類(lèi)存放在規(guī)則類(lèi)列表中。總體的檢測(cè)過(guò)程歸根結(jié)底到對(duì)規(guī)則樹(shù)進(jìn)行匹配掃描， 并找到報(bào)文所對(duì)應(yīng)的規(guī)則。對(duì)規(guī)則樹(shù)的匹配過(guò)程則是先根據(jù)報(bào)文的IP 地址和端口號(hào)， 在規(guī)則頭鏈表中找到相對(duì)應(yīng)的規(guī)則頭， 找到后再接著匹配此規(guī)則頭附帶的規(guī)則選項(xiàng)鏈表。

4.規(guī)則語(yǔ)法樹(shù)的生成

IDS 采用鏈表的方式構(gòu)建規(guī)則的語(yǔ)法樹(shù)， 規(guī)則語(yǔ)法所用到的數(shù)據(jù)結(jié)構(gòu)主要都在rules.h 文件中， 其中最為要的數(shù)據(jù)結(jié)構(gòu)形式有以下一些: 規(guī)則頭函數(shù)指針列表、規(guī)則選項(xiàng)函數(shù)指針列表、響應(yīng)函數(shù)指針列表、規(guī)則選項(xiàng)結(jié)構(gòu)體、IP 地址結(jié)構(gòu)體、表頭、規(guī)則列表結(jié)構(gòu)體、變量體等。當(dāng)防火墻和入侵檢測(cè)系統(tǒng)互動(dòng)時(shí)， 所有的數(shù)據(jù)通信是通過(guò)認(rèn)證和加密來(lái)確保傳輸信息的可靠性和保密性。通信雙方可以事先約定并設(shè)定通信端口， 并且相互正確配置對(duì)方IP 地址， 防火墻以服務(wù)器(Server)的模式來(lái)運(yùn)行， IDS 以客戶(hù)端(Client)的模式來(lái)運(yùn)行。將防火墻與IDS 結(jié)合起來(lái)互動(dòng)運(yùn)行， 防火墻便可通過(guò)IDS 及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為， IDS 也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。IDS 與防火墻有效互動(dòng)就可以實(shí)現(xiàn)一個(gè)較為有效的安全防護(hù)體系， 可以大大提高整體防護(hù)性能， 解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測(cè)系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問(wèn)題。

防火墻與IDS 結(jié)合是將動(dòng)態(tài)安全技術(shù)的實(shí)時(shí)、快速、自適應(yīng)的特點(diǎn)成為靜態(tài)技術(shù)的有效補(bǔ)充， 將靜態(tài)技術(shù)的包過(guò)濾、信任檢查、訪(fǎng)問(wèn)控制成為動(dòng)態(tài)技術(shù)的有力保障。二者結(jié)合使用可以很好的將對(duì)方的弱點(diǎn)淡化， 而將自己的優(yōu)點(diǎn)補(bǔ)充上去， 使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來(lái)的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中， 將動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的互動(dòng)使用， 將有很大的發(fā)展市場(chǎng)和空間。 參考文獻(xiàn)：

[ 1] 張興東， 胡華平， 況曉輝， 陳輝忠.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與實(shí)現(xiàn)[ J] .計(jì)算機(jī)工程與科學(xué)

[ 2]楊瓊， 楊建華， 王習(xí)平， 馬斌， 基于防火墻與入侵檢測(cè)聯(lián)動(dòng)技術(shù)的系統(tǒng)設(shè)計(jì)《武漢理工大學(xué)學(xué)報(bào)》2005 年07 期.