防火牆設計與技術論文
在計算機網路技術飛速發展的今天,網路安全問題日益突出,防火牆技術也越來越受到人們的關注。小編整理的,希望你能從中得到感悟!
篇一
Internet防火牆系統的設計
摘要:隨著計算機網路的飛速發展,Internet為人們的工作、學習和生活帶來了巨大的便利。與此同時,網路安全的重要性也是不容忽視的。而在當前形勢下用來保證網路安全的一種非常關鍵的措施就是防火牆技術,通過防火牆的應用可以避免未經授權的使用者對於網路的非法訪問,從而避免網路中的重要資訊被惡意篡改和洩露,並且,也能夠保證合法使用者能夠不受妨礙地訪問網路內部的資源。因此,進行關於Internet防火牆系統的設計的研究具有非常深遠的意義,能夠使網路安全效能得到極大程度的提高。
關鍵詞:Internet 防火牆系統 設計
一、引言
隨著Internet的不斷髮展和廣泛普及,計算機網路的共享性、開放性和互聯程度也正在得到不斷的擴大,一系列的網路新業務也正在逐漸出現,主要包括***、電子政務、電子商務、網上購物、網上銀行等等,網路安全問題也變得愈加值得重視。處理網路安全問題的一個非常關鍵的途徑就是在內部網和外部網之間進行防火牆的設定,所以,研究防火牆技術顯得尤為重要。
二、Internet和網路安全問題概述
Internet在剛開始出現的時候是由大學和科研機構應用的,後來逐漸進入到社會的各個行業之中。在當今的資訊化時代,Internet已經和人們的日常生活緊密的聯絡起來,同時,海量的機密資訊也正在通過Internet進行傳送,在這一大背景下,也出現了許多和Internet相關的網路安全問題。主要包括以下幾個方面:
第一,企業不具備較強的網路安全意識。目前企業區域網內部利用的計算機作業系統仍然具備許多不安全的因素,許多高風險的網路服務對外開放,但是並未採取相對完善的網路安全防範方法,從而導致企業的大部分主機面臨著潛在的網路安全威脅,為不法侵害人員提供了方便的***。
第二,網路黑客越來越多。在Internet得到廣泛使用的背景下,網路黑客也隨之出現,網路黑客已經在國際範圍內廣泛分佈,他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網路和系統安全漏洞的小程式實現對於網路的攻擊,也能夠通過眾多的專門的黑客站點實現對於網路的攻擊。
第三,內部攻擊值得關注。在網路安全問題中,內部攻擊問題佔據著非常巨大的比例,內部攻擊者對於網路系統的有用資訊比外部攻擊者更加掌握,能夠更加方便地進行攻擊,從而會帶來更加嚴重的攻擊後果。然而,網路管理人員通常會忽視這些內部攻擊。
三、Internet防火牆系統的總體結構
Internet防火牆系統的總體結構包括兩個包過濾路由器和一個堡壘主機,由於這種系統支援應用層和網路層的安全功能,因此,這是一種非常安全的防火牆系統。Internet防火牆系統的堡壘主機中包括WWW、Email、FTP代理伺服器、日誌系統、身份認證系統、加密系統。同時,堡壘主機位於外部網和內部網之間。具體來說,Internet防火牆系統的總體結構如下所述。
第一,Internet防火牆系統的第一道防線就是包過濾路由器,這一路由器預先檢查進入內部網的通訊。同時,包過濾路由器利用包過濾規則來實現資料包的轉發或丟棄。包過濾路由器的包過濾規則為:內部網路上的主機對於外部網路可以實現直接訪問,而外部網路上的主機只能夠限制性的訪問內部網路的主機,同時,必須對於源路由選項的資料包和假冒緩衝區內主機地址的資料包進行阻塞設定。
第二,緩衝區***DMZ***,這是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網路和外部網路之間的小網路區域內。
第三,堡壘主機,這是在內部網和緩衝區之間所設定的閘道器,內部網和緩衝區之間的所有通訊都一定要通過堡壘主機。保證堡壘主機的安全運轉可以為Internet和內部網之間的資訊交換打下堅實的基礎。
第四,堡壘主機連線緩衝區的網絡卡,為這塊網絡卡配置的IP地址必須和緩衝區內主機的IP地址存在著一致的子網掩碼,也就是說,必須保證它們位於相同的子網之中。
第五,堡壘主機連線內部網的網絡卡,為這塊網絡卡配置的IP地址必須和內部網主機的IP地址存在著一致的子網掩碼,也就是說,必須保證它們位於相同的子網之中。
四、Internet防火牆系統的特點
Internet防火牆系統有利於解決網路安全問題,它的特點如下所述。
第一,非法入侵者為了能入侵內部網一定要突破三個不同的裝置,也就是外部路由器、堡壘主機、內部路由器。
第二,因為外部路由器僅僅將堡壘主機的存在通告給外部網,所以,能夠確保內部網對外是“不可見”的,與此同時,必須是緩衝區網路上選定的系統才可以向外部網開放。
第三,因為堡壘主機的存在,內部網使用者為了實現和外界之間的通訊,必須藉助於堡壘主機上的代理系統。
五、結束語
綜上所述,本文進行了關於Internet防火牆系統的設計的研究。但是,僅僅依靠防火牆技術來保障網路安全是遠遠不夠的,還必須通過一些其它技術和非技術的因素來進行網路安全的保障,例如,還必須進一步應用資訊加密技術、設定適當的網路安全法律法規、增強網路管理使用人員的安全意識等等。希望通過本文的研究,能夠為Internet時代的網路安全問題的解決提供一定的借鑑。
參考文獻:
[1] 林曉東,楊義先,馬嚴,王仲文. Internet防火牆系統的設計與實現[J]. 通訊學報,1998,***01*** .
[2] 陳關勝. 防火牆技術現狀與發展趨勢研究[A]. 資訊化、工業化融合與服務創新――第十三屆計算機模擬與資訊科技學術會議論文集[C],2011
[3] 賈志高,周以琳. 基於防火牆和網路入侵檢測技術的網路安全研究與設計[J]. 甘肅科技,2009,***18***
[4] 餘志高,周國祥. 入侵檢測與防火牆協同應用模型的研究與設計[J]. 網路安全技術與應用,2010,***03*** .
[5] 李彥軍,屠全良,郝夢巖. 基於中小企業網路安全的防火牆配置策略[J]. 太原大學學報,2006,***01***
[6] 張鳴,高楊. 計算機網路安全與防火牆技術研究[J]. 黃河水利職業技術學院學報,2011,***02*** .
篇二
Linux系統的防火牆技術設計和實現
[摘 要]在計算機網路技術飛速發展的今天,網路安全問題日益突出,防火牆技術也越來越受到人們的關注。在眾多的網路防火牆產品中,Linux作業系統上的防火牆軟體特點顯著,這些優勢是其他防火牆產品不可比擬的。選用這類軟體確實是最低硬體需求的可靠、高效的解決方案。但使用者最關心的還是安全系統的效能,有關部門根據網路安全調查和分析曾得出結論:網路上的安全漏洞和隱患絕大部分是因網路設定不當引起的。Linux防火牆由以前的ipchains到如今的iptables,功能日漸強大和完善。iptables以filter的三個鏈處理input、output和forward資料包。通過對INPUT鏈、OUTPUT鏈以及FORWARD鏈上規則的新增和應用來實現ALG防火牆,達到對網路的保護和限制的目的。
[關鍵詞]Linux 防火牆 iptables
中圖分類號:TD956.2 文獻標識碼:A 文章編號:1009-914X***2014***10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux作業系統
1.1 Linux系統簡介
Linux是一種自由和開放原始碼的類Unix作業系統,Linux有許多不同的版本,但它們都使用了Linux核心。嚴格來講,Linux這個詞本身只表示Linux核心,但實際上人們已經習慣了用Linux來形容整個基於Linux核心,並且使用GNU 工程各種工具和資料庫的作業系統。
1.2 Linux防火牆配置命令簡介
1.2.1 概述
Linux防火牆通過使用iptables系統提供的特殊命令建立這些規則,並將其新增到核心空間特定資訊包過濾表內的鏈中。
1.2.2 表***table***
[-t table]選項允許使用標準表之外的任何一個表。表只包含一個特定型別的包處理規則和鏈的包過濾表。
1.2.3 命令***command***
命令的部分最重要的部分是iptables命令。它告訴iptables命令去做什麼。
1.3 netfilter/iptables元件
1.3.1 簡介
netfilter/iptables IP 資訊包過濾系統是一種功能強大的工具,可用於新增、編輯和除去規則,這些規則是在做資訊包過濾決定時,防火牆所遵循和組成的規則。
1.3.2 功能
Linux的防火牆是由netfilter和iptables兩個元件構成。netfilter元件也稱為核心空間***kernelspace***,iptables 元件稱為使用者空間***userspace***,通過iptables執行命令或者修改配置檔案來設定規則,netfilter接收指令和讀取配置檔案來使這些規則生效。
1.3.3 工作方式
Netfilter元件由資料包過濾表組成,用來控制資料包過濾處理的規則集。
Iptables元件它可以更容易插入、修改和刪除資料資訊包過濾表中的規則。***見圖1***
二、防火牆技術
2.1 防火牆的定義
防火牆指的是一個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障。
2.2 防火牆的種類
不同的防火牆其運用的技術不同,總的來說分以下幾類:1 .包過濾防火牆;2.應用閘道器防火牆;3. 狀態檢測防火牆;4. 複合型防火牆。
三、防火牆的設計
3.1 設計思路
對於連線到網路上的 Linux 系統來說,防火牆是必不可少的防禦機制,它只允許合法的網路流量進出系統,而禁止其它任何網路流量。
3.2 配置規則
一個LINUX防火牆系統需要一個合理的、高效的並且簡單的安全機制,而安全機制通常是通過Input、Output、Forward這三條“防火鏈”來實現。
四、結束語
netfilter/iptables 的最大優點是它可以配置有狀態的防火牆,這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。
netfilter/iptables 的另一個重要優點是,它使使用者可以完全控制防火牆配置和資訊包過濾。
另外,netfilter/iptables 是免費的,這對於那些想要節省費用的人來說十分理想,它可以代替昂貴的防火牆解決方案。
參考文獻
[1] Robert L.Ziegler,《Linux防火牆》人民郵電出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP詳解 卷一:協議》機械工業出版社,2000.4.1.
[3] 中國計算機報 出版日期:2001-09-27 總期號:1058 本年期號:73 看安全策略定防火牆.
[4] 《卡飯月刊》第32期***2011.11*** 關於防火牆規則.