网络安全防火墙论文 网络安全关系到信息的保密与泄露,以下是小编整理的网络安全防火墙论文,欢迎参考阅读! 防火墙安全的计算机网络安全论文 1计算机网络安全中常用的防火墙技术 随着计算机网络技术快速发展,防火墙安全防范技术也不断的发生着变化,目前,常用……
网络安全防火墙论文
网络安全关系到信息的保密与泄露,以下是小编整理的网络安全防火墙论文,欢迎参考阅读!
防火墙安全的计算机网络安全论文
1计算机网络安全中常用的防火墙技术
随着计算机网络技术快速发展,防火墙安全防范技术也不断的发生着变化,目前,常用的防火墙技术有代理型防火墙安全技术、包过滤型防火墙安全技术、监测型防火墙安全技术、网址转换防火墙安全技术等。
1。1代理型防火墙安全技术代理型防火墙安全技术是一种代理服务器,属于高级防火墙技术,代理型防火墙安全技术常用于用户之间,对可能对电脑信息造成危害的动作进行拦截,从用户的角度讲,代理服务器是有用的服务器,从服务器的角度看,代理型服务器,就是用户机。当用户的计算机进行信息沟通、传递时,所有的信息都会通过代理型服务器,代理型服务器会将不利的信息过滤掉,例如阻拦各种攻击信息的行为,代理服务器会将真正的信息传递到用户的计算机中。代理型防火墙技术的最大的`特点是安全性能高,针对性强,能将不利的信息直接过滤掉。
1。2包过滤型防火墙安全技术包过滤防火墙安全技术是一种比较传统的安全技术,其关键技术点是网络分包传输,在信息传递过程中,以包为单位,每个数据包代表不同的含义,数据包可以根据信息数据的大小、信息的来源、信息的性质等进行划分,包过滤防火墙技术就是对这些数据包进行识别,判断这些数据包是否合法,从而实现计算机网络安全防护。包过滤型防火墙安全技术是在计算机网路系统中设定过滤逻辑,使用相关软件对进出网络的数据进行控制,从而实现计算机网络安全防护。包过滤防火墙技术的最重要的是包过滤技术,包过滤型防火墙安全技术的特点有适应性强、实用性强、成本低,但包过滤型防火墙技术的最大缺点是不能对恶意程序、数据进行进行识别,一些非法人员可以伪造地址,绕过包过滤防火墙,直接对用户计算机进行攻击。
1。3监测型防火墙安全技术监测型防火墙安全技术是对数据信息进行检测,从而提高计算机网络安全,但监测型防火墙安全技术成本费用比较高,不容易管理,从安全角度考虑,监测型防火墙安全技术还是可以用于计算机网络中。
1。4网址转换防火墙安全技术网址转换技术将网络地址转换成外部的、临时的地址,这样外部IP对内部网络进行访问时,其他用户不能利用其他IP重复访问网络,外部IP在访问网络时,首先会转到记录和识别中进行身份确认,系统的源地址通过外部网络和非安全网卡连接真正的IP会转换成虚拟的IP,将真正的IP隐藏起来。当用户访问网络时,如果符合相关准则,防火墙就会允许用户访问,如果检测不符合准则,防火墙就会认为该访问不安全,进行拦截。
2防火墙安全防范技术在计算机网络安全中的应用
2。1访问策略设置访问策略设置是防火墙的核心安全策略,因此,在设置访问策略时,要采用详细的信息说明和详细的系统统计,在设置过程中,要了解用户对内部及外部的应用,掌握用户目的地址、源地址,然后根据排序准则和应用准则进行设置在,这样防火墙在执行过程中,能按照相应的顺序进行执行。
2。2安全服务配置安全服务的是一个独立的局域网络,安全服务的隔离区将系统管理的机群和服务器的机群单独划分出来,从而保障系统管理和服务器的信息安全,安全服务既是独立的网络又是计算机内部网络的重要组成部分。对于内部网络可以采用网址转换防火墙安全技术进行保护,将主机地址设置成有效的IP地址,并且将这些网址设置公用地址,这样就能对外界IP地址进行拦截,有效的保护计算机内部网络安全,确保计算机内部网络安全、稳定的运行。如果企业拥有边界路由器,可以利用原有的边界路由器,采用包过滤防火墙安全技术进行网络安全保护,这样还可有降低防火墙成本费用。
2。3日志监控日志监控是保护计算机网络安全的重要管理手段之一,在进行日志监控时,一些管理员认为不必要进行日志信息采集,但防火墙信息数据很多,并且这些信息十分繁杂,只有收集关键的日志,才能当做有效的日志。系统警告信息十分重要,对进入防火墙的信息进行选择性记录,就能记录下对计算机网络有威胁的信息。
3结束语
计算机网络技术的快速发展必然会为网络安全带来一定的隐患,因此,要不断更新完善计算机网络安全技术,改革防火墙安全防范技术,抵抗各种对计算机信息有害的行为,提高计算机网络安全防护能力,确保计算机网络安全,从而保证计算机网络系统安全稳定的运行。
计算机网络安全与防火墙技术
导读:影响计算机网络安全的因素很多。而防火墙是一种保护计算机网络安全的技术性措施。使用单防火墙和单子网保护多级应用系统的网络结构。欺骗,论文参考,计算机网络安全与防火墙技术。
关键词:计算机网络安全,防火墙,单子网,arp欺骗
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为:计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。
而防火墙是一种保护计算机网络安全的技术性措施,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
1。 非法攻击防火墙的基本“招数”
通常情况下, 有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。下面以数据包过滤防火墙为例,简要描述可能的攻击过程。
通常主机A与主机B 的TCP 连接(中间有或无防火墙) 是通过主机A向主机B 提出请求建立起来的,而其间A和B 的确认仅仅根据由主机A 产生并经主机B 验证的初始序列号ISN。IP 地址欺骗攻击的第一步是切断可信赖主机。这样可以使用TCP 淹没攻击(TCP SynFlood Attack),使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST 包,而无暇顾及其他。
攻击者最关心的是猜测目标主机的.ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open)一个TCP 连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP 地址向目标主机发出连接请求。请求发出后,目标主机会认为它是TCP 连接的请求者,从而给信赖主机发送响应(包括SYN),而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求,因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机,随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。通过这种方式, 攻击者以合法用户的身份登录到目标主机而不需进一步的确认。论文参考,arp欺骗。。如果反复试验使得目标主机能够接收对网络的ROOT 登录,那么就可以完全控制整个网络。
2。 单防火墙和单子网
由于不同的资源存在着不同的风险程度,所以要基于此来对网络资源进行划分。这里的风险包含两个因素: 资源将被妥协的可能性和资源本身的敏感性。例如:一个好的Web 服务器运行CGI 会比仅仅提供静态网页更容易得到用户的认可,但随之带来的却是Web 服务器的安全隐患。网络管理员在服务器前端配置防火墙,会减少它全面暴露的风险。数据库服务器中存放有重要数据,它比Web 服务器更加敏感,因此需要添加额外的安全保护层。
使用单防火墙和单子网保护多级应用系统的网络结构,这里所有的服务器都被安排在同一个子网,防火墙接在边界路由器与内部网络之间,防御来自Internet 的网络攻击。论文参考,arp欺骗。。在网络使用和基于主机的入侵检测系统下,服务器得到了加强和防护,这样便可以保护应用系统免遭攻击。像这样的纵向防护技术在所有坚固的设计中是非常普遍的,但它们并没有明显的显示在图表中。
在这种设计方案中,所有服务器都安排在同一个子网,用防火墙将它们与Internet 隔离,这些不同安全级别的服务器在子网中受到同等级的安全保护。尽管所有服务器都在一个子网,但网络管理员仍然可以将内部资源与外部共享资源有效地分离。使用单防火墙和单子网保护服务器的方案系统造价便宜,而且网络管理和维护比较简单,这是该方案的一个重要优点。因此, 当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时,采用单防火墙和单子网的方案的确是一种经济的选择。
3。 单防火墙和多子网
如果遇见适合划分多个子网的情况,网络管理员可以把内部网络划分成独立的子网,不同层的服务器分别放在不同的子网中,数据层服务器只接受中间层服务器数据查询时连接的端口,就能有效地提高数据层服务器的安全性,也能够帮助防御其它类型的攻击。论文参考,arp欺骗。。这时,更适于采用一种更为精巧的网络结构———单个防火墙划分多重子网结构。单个防火墙划分多重子网的方法就是在一个防火墙上开放多个端口,用该防火墙把整个网络划分成多个子网,每个子网分管应用系统的特定的层。管理员能够在防火墙不同的端口上设置不同的安全策略。
使用单个防火墙分割网络是对应用系统分层的最经济的一种方法,但它并不是没有局限性。逻辑上的单个防火墙,即便有冗余的硬件设备,当用它来加强不同安全风险级别的服务器的安全策略时,如果该防火墙出现危险或错误的配置,入侵者就会获取所有子网包括数据层服务器所在的最敏感网络的访问权限。而且,该防火墙需要检测所有子网间的流通数据,因此,它会变成网络执行效率的瓶颈。所以,在资金允许的情况下,我们可以用另一种设计方案———多个防火墙划分多个子网的方法,来消除这种缺陷。
4。arp欺骗对策
各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策:
在系统中建立静态ARP表,建立后对本身自已系统影响不大的,对网络影响较大,破坏了动态ARP解析过程。论文参考,arp欺骗。。静态ARP协议表不会过期的,我们用“arp–d”命令清除ARP表,即手动删除。论文参考,arp欺骗。。但是有的系统的静态ARP表项可以被动态刷新,如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击,相反纵容了ARP欺骗攻击,因为虚假的静态ARP表项不会自动超时消失。论文参考,arp欺骗。。 在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如:arp —sXXX。XXX。XX。X 08—00—20—a8—2e—ac。 在绝大多数操作系统如:Unix、BSD、NT等,都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置来对抗ARP欺骗攻击。而Linux系统,其静态ARP表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP解析”即可对抗ARP欺骗攻击。