時間:2023-03-28 14:59:00
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇防火墻技術論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
(一)元數據處理技術
元數據是指與數據相關的數據,也就是數據特性的數據信息。元數據可以對數據進行標記等操作,進而幫助數據生產者或者使用者更加高效的對數據進行管理和維護。對元數據進行處理如查詢和檢索等可以幫助用戶更好的了解數據,確定獲得的數據是否與需求相符,是否需要對現有數據進行交換或傳輸等。
(二)數據倉庫技術
信息技術的發展使得信息網絡中傳輸和存儲的信息量越來越大、越來越復雜,如何對海量的數據信息進行科學高效管理,降低有用信息的獲取難度是數據倉庫技術的出發點之一。應用數據倉庫相關技術如關系數據庫、分布式數據處理、并行式數據處理等可以將海量的數據轉換和集成為條理清晰的、準確可靠的信息資料,供用戶進行信息查詢、數據統計等。此外,數據倉庫技術還可為數據管理人員在不了解數據庫結構和不同數據間相互關系的情況下進行數據挖掘提供了可能。
(三)數據挖掘技術
目前的數據庫系統雖可對信息進行錄入、查詢或統計,但在處理和發掘不同數據之間的關系,分析未來發展趨勢等方面存在諸多不足。這就要求對龐大的數據信息進行挖掘。
(四)人工智能網絡信息檢索技術
隨著信息網絡規模的擴大和信息數據量的增長,如果僅僅依靠人工篩選很難達到預期效果,人工智能網絡信息技術可以對人工特性進行模擬,但是又不失計算機技術的高效性和快速性,可以根據待解決的復雜問題進行信息檢索和數據分析,進而向用戶提供相應的,較為準確的檢索分析結果。
二計算機信息網絡中的安全防護類關鍵技術分析
完整的計算機信息網絡分為7個層次,對應的網絡安全防護需要對每一層進行部署,但是實際應用中可根據TCP/IP協議,將安全防護簡化為四個主要的層次,分別為物理層、鏈路層、網絡層以及應用層。對信息網絡的安全防護應該實現以下幾方面內容。首先是對網絡訪問用戶和訪問數據的控制與審查。即根據用戶權限和數據權限確定對應關系,建立訪問控制體系,只有符合要求的用戶才能夠對網絡信息進行訪問或修改,這樣可以增大惡意攻擊發生的難度。其次是建立多層防御體系。一方面要對通信數據進行加密和認證,防止數據信息傳輸過程中受到竊取或修改;另一方面做好信息監控管理,設立一套完整的信息安全監控體系,建立數據備份和恢復機制,確保網絡受到攻擊時還能夠最大程度保存數據的可恢復性。
防火墻技術是在內部網絡與外部網絡之間建立一個信息安全策略,根據該策略確定內外網絡之間的通信是否被允許。當前安全級別最高的防火墻技術是隱蔽智能網關技術,該技術可以防止針對防火墻的惡意攻擊還能夠向用戶提供最大限度的網絡訪問,對未授權的訪問、未經過認證的用戶、以及不符合安全策略的信息數據進行阻止或拒絕。
(二)數據加密技術
1網絡安全與校園網安全
1.1網絡安全
網絡安全不是目的,只是一種保障。就網絡安全來說,其造成威脅的因素又可分為內因和外因。內因主要是計算機本身的問題所致,例如自身的系統缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務漏洞、網絡操作系統的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計算機病毒、非授權的冒充使用、物理環境的安全性差等因素。
1.2校園網安全
校園網相對來說是一個比較特殊的環境,由于面向的群體主要是學生,因此除了要保證網絡的正常運行外,還必須做好對內容不健康信息的過濾功能以及應對個別同學喜歡嘗試各種試圖攻擊和入侵服務器的行為。通過分析目前校園網中存在的問題,應該從以下幾方面進行著手維護:制定和實施訪問安全,身份認證,禁止未授權的訪問者非法進入;對于電子閱覽室、網絡實驗室等學校人員經常使用的計算機,安裝上防火墻,過濾掉、暴力等不健康的網站;對重要或敏感的信息和數據進行加密,保證信息的內容的安全性,防止例如學生成績信息等重要數據被非法篡改;確保網絡運行設施的可靠性和安全監測手段的有效性,防范非法入侵而使系統功能受到影響情況的出現;學校可設立網絡安全管理機制,負責網絡安全管理和規劃等工作,加強學校安全管理教育工作的開展。
2防火墻技術
防火墻是一種為了保護內部網安全,在計算機的硬件和軟件相互搭配組合下,在互聯網和內部網之間形成安全屏障的技術,是確保網絡安全的重要手段。作為現代網絡時代不可或缺的安全產品,防火墻已經成為了校園網絡必要的存在。就目前來說,防火墻主要通過對未經證實的主機的TCP/IP進行分組過濾、利用IP地址進行偽裝、通過功能,斷絕內外部之間的連接等三個主要手段對內部網進行安全保護。
2.1防火墻的功能
(1)管理進出網絡的訪問行為作為雙向溝通間的控制點,防火墻可以利用自身的阻塞點,對訪問的信息進行管理和控制,并過濾掉不安全的服務和信息,只允許經過選擇的應用選擇通過防火墻,這在很大程度上降低了訪問的風險,提高了內部網絡的安全性。(2)記錄通過防火墻的信息內容和活動防火墻的建立使得所有信息的訪問在經過防火墻的時候都會留下記錄,防火墻內部會根據這些數據統計網絡的使用情況,并作出日志記錄。(3)監測和反饋網絡攻擊行為在信息監測的過程中,當有可疑的情況發生時,防火墻會適當的報警,并把詳細信息自動生成電子郵件發送給網絡維護者,提供網絡是否受到監測和攻擊的信息。(4)防止內部信息的泄漏在實施保護的過程中,可以通過防火墻的內部網絡劃分,將重點網段進行隔離,防止了局部重點或敏感段落出現問題對全局造成影響。
2.2防火墻特性
(1)是雙向網絡載體通信之間的中間存在點;(2)具有透明性,其存在不影響信息之間的交流和溝通;(3)它只對符合本地開放安全的信息進行授權,而只有經過授權的信息才可以自由出入網絡。
3防火墻技術在大學校園網中的應用
在目前,各種維護網絡的軟硬件層出不窮,但大多數只能解決學校網絡安全中的一部分,例如金山、瑞星等軟件解決病毒防范,天網、天融信等軟件解決網絡攻擊問題,這些軟件的存在都是以解決單一或部分問題為目標,并不能對學校的網絡安全形成整體的解決方案。由于學校的特殊性,學校對網絡的需求也有所不同,因此校園網絡應該根據學校的需求特點出發,以第一評價為標準,完善網絡體系,具體來說,有以下幾個步驟:
3.1入侵監測系統
入侵檢測是一種能夠及時監測和發現網絡系統中異常現象的實時監測技術。在監測過程中除了利用審計記錄,監測出任何不希望有的活動以外,它還可以實時防護來自IPSpoofing、PingofDeath以及其它外界的攻擊,以保護系統的安全。而在監測到攻擊行為時它還可以自動生成電子郵件通知系統管理員,使其可以在第一時間處理危機。
3.2建立用戶認證
建立和完善網絡的用戶認證機制,對于不可信網站的訪問,防火墻可以經過內建用戶數據庫或IP/MAC綁定資料等進行認證,并決定是否給予訪問的權限。而防火墻也可以限定授權用戶通過防火墻進行一些有限制的活動。
3.3防火墻系統的檢測和維護
在合理配置了防火墻后,必須要對防火墻進行經常性的檢測和監督,并對監測到的網絡流量進行分析,時刻關注異常流量的情況,做好日志備份等處理工作,以便日后信息的查閱。最后,防火墻的配置也要根據網絡結構的變化而變化,從而保證其能在保護校園網中發揮更好的作用。
3.4漏洞掃描系統
要想解決網絡中的安全問題,首先要清楚存在了哪些安全隱患。面對強大的網絡覆蓋面和不斷變化的網絡復雜性,如果僅僅只依靠網絡技術管理人員的技術去查找漏洞是存在著巨大困難的,也是不現實的。因此唯一的方法就是找出一種可以替代人工查詢漏洞,并做出及時評估、提出修改意見的安全掃描工具,它可以在系統優化的過程中彌補安全漏洞,消除安全隱患。
3.5利用網絡監聽維護子網安全
威脅校園網絡安全有內因和外因兩個部分,對于外因,我們可以通過安裝防火墻來解決,但是對于校園內部的入侵我們則無能為力,在這種情況下,學校可以在網絡監控部門中設立一個專門管理和分析網絡運作狀態的子網監聽程序,該監聽程序可以包含一定的審計功能,方便在長期監聽子網的情況中,為系統中各個服務器的審計文件提供備份,并在監聽的程序之間建立聯系,保證相互聯系的計算機,在其它服務器收不到聯系的情況下,會自動發出警報提示。
4結語
1.1黑客攻擊的問題
因為校園網絡需要同互聯網連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當代黑客攻擊的技術越來越高明,破壞程度同樣越來越嚴重,黑客攻擊校園網絡,有著時間長、范圍廣、損失大以及處理難的特點,校園網絡當中的DNS服務器、WEB服務器以及郵件服務器是容易遭到黑客攻擊的地方[8],黑客很多時候使用專業工具攻擊校園挽留過,導致校園網絡服務器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網絡,同時篡改校園網絡的主頁、破壞各種數據從而擾亂教學秩序。
1.2內部用戶的問題
現在學生對于網絡了解程度比較深,這就導致部分學生會在好奇心趨勢下,攻擊校園網絡系統,從而給校園網絡的正常運行帶來不利影響,提高了校園網絡管理的難度。統計顯示內部用戶造成的校園網絡攻擊占到30%左右,大部分情況由學生好奇心而引起,同時學校對于學生的管理以及教育不夠重視,縱容他們破壞校園網絡安全的種種行為。
2防火墻技術在校園網絡安全中的應用
2.1選擇合適的防火墻產品
最簡單的防火墻是在校園網絡的內部網以及外部網間加裝應用網關或者是過濾路由器。為更好實現校園網絡的安全,很多時候需要綜合使用不同的防火墻技術從而組合防火墻系統。這就需要明確設置防火墻設置的方案,然后選擇合適的防火墻產品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設備,并且集成生產廠商防火墻軟件,功能上通過內置安全軟件,并且使用強化甚至專屬的操作系統,有著管理方便以及更換容易的特點,并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關系,可以根據校園網絡的具體情況來加以選擇。
2.2使用服務器
服務器指的是連接校園網絡局域網以及Internet的網關,這一網關運行服務軟件,可以實現不同網絡之間的互相通信。服務器可以在用戶以及服務器間實現協同工作,所以提供應用級的網關。客戶端往服務器發送請求,請求到達服務器,然后服務器在接收連接請求之后,進行身份認證以及訪問控制,要是客戶端確認服務器身份認證以及訪問控制,那么就代替客戶端發送請求。服務器在響應之后,服務器則將數據反饋到客戶端。
2.3配置路由器防火墻
關鍵詞:防火墻;NetST;網絡信息
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)18-0178-02
0 引言
一般來說,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響。駐有網關的網絡常被叫做非軍事區(DeMilitarized Zone,DMZ)。DMZ中的網關有時還由一個內部網關(internal gateway)協助工作。一般情況下,兩個網關通過內部過濾器到內部的連接比外部網關到其他內部主機的連接更為開放。就網絡通信而言,兩個過濾器或網關本身,都是可以省去的,詳細情況隨防火墻的變化而變化。一般說來,外部過濾器可用來保護網關免受攻擊,而內部過濾器用來應付一個網關遭到破壞后所帶來的后果,兩個過濾器均可保護內部網絡,使之免受攻擊。一個暴露的網關機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數據包過濾(packet filtering)和應用網關(application gateway)。
數據包過濾防火墻的工作方法是通過基于數據包的源地址、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息,過濾決定也是根據當前數據包的內容來做的。管理員可以設計一個可接受機器和服務的列表,以及一個不可接受機器和服務的列表。在主機和網絡一級,利用數據包過濾器很容易實現允許或禁止訪問。例如,允許主機A和B之間的任何IP訪問,或禁止除A以外的任何機器訪問B。
大多數安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務。例如,可以希望允許任何主機與機器A連接,但僅限于發送或接收郵件。其他服務可以或不可以被允許。數據包過濾器允許在這一級別上進行某些控制,為了正確地做到這一點,要求精通許多操作系統上TCP和UDP端口的使用知識。包過濾防火墻的優點是速度快,缺點是不能對數據內容進行控制。
應用網關防火墻則是另一種方式,它不使用通用目標機制來允許各種不同種類的通信,而是針對每個應用使用專用目的代碼。雖然這樣做看來有些浪費,但卻比任何其他方法安全得多。一是不必擔心不同過濾規則集之間的交互影響,二是不必擔憂對外部提供安全服務的主機中的漏洞。只需仔細檢查選擇的數個程序。應用網關還有另一個優點:它易于記錄并控制所有的進/出通信,并對Internet的訪問做到內容級的過濾,所以是很安全的。應用級網關的最大缺點就是速度慢。
1 網絡的系統規劃與設計
根據用戶具體情況,規劃內網的環境,必要時使用多個網段。確定是否需要向外部Internet提供服務以及何種服務,由此確定是否需要DMZ網段以及DMZ網段的具體結構。根據內網、DMZ網的結構確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內網、DMZ網之前。設計系統的訪問控制規則,使防火墻起作用。
2 防火墻配置步驟建議
配置網絡結構,安裝NetST■防火墻硬件,使防火墻各網卡正確連接內網,外網和DMZ網。配置NetST■防火墻網絡參數使網絡連接正常,必要時需重啟NetST■防火墻。設計網絡安全策略,根據用戶具體情況設置安全選項、NAT規則、訪問控制的過濾規則、內容過濾規則等。啟動防火墻引擎,使規則起作用。
3 防火墻規則定義的一般步驟
NetST防火墻一般按下列步驟定義規則:
一般情況下,我們建議用戶按上面步驟進行規則配置,用戶也可以根據情況進行一定的調整和修改。
4 狀態檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態檢測包過濾技術,實時在線監測當前內外網絡的TCP連接狀態,根據連接狀態動態配置規則,對異常的連接狀態進行阻斷,實現入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網絡攻擊方法的判別,并且進行有效阻斷。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能。NetST防火墻支持各種主流網絡協議,不僅可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾,并且可以對多種網絡入侵進行辨別和有效阻斷,同時實時進行記錄和報警;另外,NetST■防火墻與內置多種網絡對象的Java管理控制臺配合使用,可以更加充分發揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務)攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對服務器不斷發各種類型的數據包使服務器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網絡陷于癱瘓,然后再冒充B與A通信以執行對A造成危害的操作。防止IP欺騙的方法一是服務器不開危險服務,二是服務器的TCP連接的起始序列號要隨機選取,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網到內網的連接請求,或只將允許的開放端口請求轉到DMZ區的服務器,同時DMZ區服務器盡量只開單一服務,并注意對系統軟件進行升級或打補丁;
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務器上運行那些服務,從而對服務進行攻擊或利用某些服務的缺陷攻擊主機。NetST■防火墻利用網絡地址轉換(NAT)功能、TCP狀態檢測等方法進行防御;
4.1.4 IP盜用:在內網中的一臺機器通過修改IP地址模擬另一臺機器,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態綁定以及IP地址與MAC地址綁定來進行預防。
4.2 全面內容過濾 NetST防火墻支持對最常用的應用層協議進行內容過濾,使用戶可以根據網絡傳輸的內容進行管理和控制,從而使企業網絡運行更加快速有效。NetST防火墻支持HTTP協議的URL過濾和HTML內容過濾。NetST■防火墻支持與WebCM■3000系列產品無縫集成,由NetST■防火墻提取出URL,然后與UFP服務器連接以確定是否允許此請求通過;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數據,如圖像、聲頻、視頻等,以免浪費帶寬,降低工作效率;NetST防火墻支持FTP協議內容過濾,用戶可自行設定拒絕上載和下載的文件類型表,對此文件類型范圍內的文件傳送請求將被拒絕;
NetST防火墻支持主要郵件協議的內容過濾。對于SMTP協議,用戶可自行設定拒絕發的附件文件類型表,對此文件類型范圍內的附件發送請求將被拒絕;對于POP3協議,可自行設定危險的附件文件類型表,對此文件類型范圍內的附件收取將修改文件的后綴名以使其暫時失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當前信息技術高速發展的情況下,好的反火槍技術不斷發展更新,設計該系統的過程中,我們也是在不斷的發現問題,解決問題。也發現了不少沒有能解決的新問題,比如延時的控制以及系統運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設計與實現.華中科技大學碩士學位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統研究.北京郵電大學碩士學位論文,2007:17-23.
[3]唐岷.基于SIP的VoIP穿越防火墻/NAT的研究與實現.南京理工大學碩士學位論文,2006:45-50.
[論文摘要]計算機網絡日益成為重要信息交換手段,認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題,采取強有力的安全策略,保障網絡信息的安全,是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。
隨著計算機網絡技術的不斷發展,全球信息化己成為人類發展的大趨勢,計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此,網絡必須有足夠強的安全措施,否則網絡將是尤用的,相反會給使用者帶來各方面危害,嚴重的甚至會危及周家安全。
一、信息加密技術
網絡信息發展的關鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證,來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現虛假信息。
信息加密技術是保證網絡、信息安全的核心技術,是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數據,從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數叫做密鑰。
傳統上,幾種方法町以用來加密數據流,所有這些方法都町以用軟件很容易的實現,當只知道密文的時候,是不容易破譯這些加密算法的。最好的加密算法塒系統性能幾乎沒有影響,并且還可以帶來其他內在的優點。例如,大家郜知道的pkzip,它既壓縮數據義加密數據。義如,dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術
“防火墻”是一個通用術i五,是指在兩個網絡之間執行控制策略的系統,是在網絡邊界上建立的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成,在內部網和外部網之間構建起安全的保護屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強intranet(內部網)之間安全防御的一個或一組系統,它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。
防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點,在此進行檢查和連接,只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離,從而防止非法入侵及非法使用系統資源。同時,防火墻還日,以執行安全管制措施,記錄所以可疑的事件,其基本準則有以下兩點:
(1)一切未被允許的就是禁止的。基于該準則,防火墑應封鎖所有信息流,然后對希單提供的服務逐項丌放。這是一種非常災用的方法,可以造成一種十分安全的環境,為只有經過仔細挑選的服務才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務范同受到限制。
(2)一切未被禁止的就是允許的。基于該準則,防火埔轉發所有信息流,然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境,可為用戶提供更多的服務。其弊端是,在口益增多的網絡服務面前,網管人員疲于奔命,特別是受保護的網絡范嗣增大時,很難提供町靠的安全防護。
較傳統的防火墻來說,新一代防火墻具有先進的過濾和體系,能從數據鏈路層到應用層進行全方位安全處理,協議和的直接相互配合,提供透明模式,使本系統的防欺騙能力和運行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術,如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。
三、網絡入侵檢測與安全審計系統設計
在網絡層使用了防火墻技術,經過嚴格的策略配置,通常能夠在內外網之問提供安全的網絡保護,降低了網絡安全風險。但是,儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部;防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵);不能防范惡意的知情者、不能防范來自于網絡內部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實時動態的保護等。
因此,需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統,能夠彌補防火墑等其他系統的不足,進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統,可以在網絡巾建立完善的安全預警和安全應急反應體系,為信息系統的安全運行提供保障。
在計算機網絡信息安全綜合防御體系巾,審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent,審計管理中心,審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接,對網絡的各個層次(網絡,操作系統,應用軟件)進行審計,受審計巾心的統一管理,并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件,主要實現管理員對于審計系統的數據瀏覽,數據管理,規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理,而且多個管理員可以同時進行管理,根據權限的不同完成不同的職責和任務。
四、結論
關鍵詞:網絡;安全;防火墻
1 緒論
隨著國家的快速發展,社會的需求等諸多問題都體現了互聯網的重要性,各高校也都相繼有了自己的內部和外部網絡。致使學校網絡安全問題是我們急需要解決的問題。小到別人的電腦系統癱瘓、帳號被盜,大到學校重要的機密資料,財政資料,教務處的數據被非法查看修改等等。學校機房網絡安全也是一個很重要的地方。由于是公共型機房。對于公共機房的網絡安全問題,提出以下幾個方法去解決這類的一部分問題。
2 PC機
2.1 PC終端機。對于終端機來說,我們應該把一切的系統漏洞全部打上補丁。像360安全衛士(省略/)是一款不錯的實用、功能強大的安全軟件。里面有“修復系統漏洞”選項,我們只要點擊掃描,把掃描到的系統漏洞,點擊下載安裝,并且都是自動安裝,安裝完就可以了。
2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件,從瑞星官方網站(省略/)下載,下載完,安裝簡體版就可以了。安裝完之后,就進行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環境中。也可以在【開始-運行】中輸入【sigverif】命令,檢查系統的文件有沒有簽名,沒有簽名的文件就有可能是被病毒感染了。可以上網查詢之后,進行刪除。
2.3 防火墻。打好系統漏洞補丁,安裝好殺毒軟件之后,就是安裝防火墻像瑞星防火墻,天網防火墻以及風云防火墻等。風云防火墻是一款功能強大的防火墻軟件,它不僅僅能防病毒,還能防現在很是厲害的ARP病毒。
2.4 用戶設置。把Administrator超級用戶設置密碼,對不同的用戶進行用戶權限設置。
3 解決方案
3.1 防火墻技術。防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物理實現上,防火墻是位于網絡特殊位置地以組硬件設備路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻。用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構:
①屏蔽路由器:又稱包過濾防火墻。
②雙穴主機:雙穴主機是包過濾網關的一種替代。
③主機過濾結構:這種結構實際上是包過濾和的結合。
④屏蔽子網結構:這種防火墻是雙穴主機和被屏蔽主機的變形。
3.2 VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現,可以保證企業員工安全地訪問公司網絡。
3.3 網絡加密技術(Ipsec)。IP層是TCP/IP網絡中最關鍵的一層,IP作為網絡層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網絡安全的核心。IPSec提供的安全功能或服務主要包括:
①訪問控制;②無連接完整性;③數據起源認證;④抗重放攻擊;⑤機密性;⑥有限的數據流機密性。
3.4 身份認證。在一個更為開放的環境中,支持通過網絡與其他系統相連,就需要“調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。”的策略來保護位于服務器中的用戶信息和資源。像數字簽名。
4會話控制與帶寬管理策略
4.1 會話數控制。 使用校園網出口防火墻,通過單用戶會話和流量控制功能進行相關管理。通過應用防火墻設置新建連接閥值,可以對網絡中每個用戶會話連接數進行控制,當閥值被觸動后,動態地將非法用戶添加到黑名單,直接將非法用戶連接阻斷,并且可以靈活的設置控制黑名單的有效時間。通過單用戶會話數限制,可以做到:當校園網內機器病毒爆發時,阻止大量數據包對外建立連接,耗費網絡資源;阻止黑客對網絡的掃描;阻止黑客進行DDOS攻擊。
5 結論
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。本論文從多方面描述了網絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中的服務,數據以及系統免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網絡安全問題的解決,可以使讀者有對網絡安全技術的更深刻的了解。
參考文獻
[1] 雷震甲.網絡工程師教程.[M].北京:清華大學出版社,2004.
【關鍵詞】建筑工程 防火防爆設計安全性能設計要點
中圖分類號: TU198 文獻標識碼: A
一.引言
隨著社會經濟的發展,建筑工程建設得到了前所未有的發展,建筑工程項目的數量日益增多,同時出現的各種建筑工程事故也在增加。建筑工程的結構設計是保證工程質量的關鍵,防火防爆設計直接影響著工程項目的實用性,甚至關系著人民的生命財產安全。因此,為了提高建筑工程的質量,保障人民的生命財產安全,降低國家的經濟損失,我們必須要加強對建筑工程防火防爆設計的研究,提高設計的安全性。
二.對工業建筑進行防火防爆設計需考慮的問題。
建筑消防設計是建筑設計中一個重要組成部分,關系到人民生命財產安全,應該引起大家的足夠重視。文章從防火分區、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區問題。
《建規》中規定了廠房及倉庫的的防火分區,其中有一點需要注意,廠房及倉庫的防火分區首先受該建筑物生產類別影響,其次還和建筑物的耐火等級有關。雖然《建規》中規定封閉樓梯間的門為雙向彈簧門就可以了,但做為劃分防火分區用的封閉樓梯間門至少應設乙級防火門。否則樓梯間也是火災縱向蔓延的途徑之一,也應按上下連通層作為一個防火分區計算面積。
(2). 安全疏散設計問題。
很多大型工業建筑在消防安全疏散設計中存在的問題,諸如首層疏散樓梯無法直通室外,設備及管道布置錯綜復雜致使人員逃生路線迂回曲折,疏散距離超過規范要求等。在設計中應合理設置安全疏散通道,并使疏散通道兩側的隔墻耐火極限≥lh(非燃材料),房間內最遠工作點的疏散距離應考慮設備及管道布置的影響等等。
(3)防爆泄壓應注意的問題
首先,不同用途的廠房有不同的廠房爆炸危險等級,進而根據規范采取相應級別的泄壓比。第二,要避免建筑物內有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產生較大超壓,保證所設計的泄壓面積能有效。第三,泄壓方向要避開人員疏散通道及重要設施。
三.工業廠房防火防爆設計要點。
有爆炸危險的廠房,一旦發生爆炸,不但會造成房倒人亡,設備摧毀,生產停頓,甚至引起相鄰廠房或設施連鎖爆炸、次生火災。因此,從廠房設計起,就應考慮防爆抗爆措施。消防部門也應加強對此類廠房的審核,嚴格把關,將隱患消滅在源頭。因此在設計爆炸危險廠房時應注意把握以下幾個方面:
1.平面布局設計。
規模較大的工廠和倉庫,應根據實際需要,合理劃分生產區、儲存區、生產輔助設施區和行政辦公、生活福利區等。同一生產企業內,宜盡量將火災危險性相同或相近的建筑集中布置,以便分別采取防火防爆設施,便于安全管理。在選址時,應注意周圍環境,充分考慮建廠地區的企業和居民安全。注意地勢條件,應根據產品的性質,優先選取有利地形,減少危險性,減少對周圍環境的火災威脅。注意風向,散發可燃氣體、可燃蒸汽和可燃粉塵的車間、裝置,應布置在廠區的全年主導風向的下風向。
2.建筑耐火等級。
建筑物耐火等級。劃分建筑物耐火等級是建筑設計防火規范中規定的防火技術措施中最基本的措施。它要求建筑物在火災高溫的持續作用下,墻、柱、梁、樓板、屋蓋、吊頂等基本建筑構件,能在一定的時間內不破壞,不傳播火災,從而起到延緩和阻止火災蔓延的作用,并為人員疏散、搶救物資和撲滅火災以及為火災后結構修復創造條件。
3.防火墻和防火門及防火間距。
根據在建筑物中的位置和構造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內墻防火墻、外墻防火墻和獨立防火墻等。內防火墻是把廠房或庫房劃分成防火單元,可以阻止火勢在建筑物內的蔓延擴展;外防火墻是鄰近兩幢建筑物的防火間距不足而設置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區域如需要互相通行時,可在中間設置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災發生時,由于強烈的熱輻射、熱對流以及燃燒物質的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴散,應保證建筑物之間的防火間距。
4.工業建筑防爆。
在一些工業建筑中,使用和產生的可燃氣體、可燃蒸氣、可燃粉塵等物質能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物、生產設備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業建筑,為了防止爆炸事故的發生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構造和建筑設施方面采取防火防爆措施。首先,此類建筑以獨立設置,并宜采用敞開或半敞開式,承重結構多采用鋼筋混凝土或鋼框架、排架結構。第二,要加強與其貼臨建造建筑物的保護,根據需要將兩者之間的隔墻設置為防火墻或防爆墻。第三,有爆炸危險的甲、乙類廠房(倉庫)應設置足夠有效的泄壓設施,以減少爆炸帶來的損失。當建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積,且各計算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴寒地區的有爆炸危險的建筑物屋頂上所設的泄壓設施還應考慮采取有效防止冰雪積聚的措施。
5. 設置防爆門斗
設置防爆門斗是解決交通和防爆的有力措施,第一道門宜采用防爆門,才能達到防爆的效果。但防爆門均采用特殊鋼材制作,其連接轉動部件和防止門與門框碰撞產生火花,門鉸鏈應采用青銅軸和墊圈或其他摩擦碰撞不發火材料制作,門扇周邊貼橡膠板,防止碰撞產生火花。防爆門斗內要有一定的容積,保證當門打開時瞬時進入門斗的可燃氣體濃度降低,兩門布置應在不同方位上,間距200以上。防爆門斗也是爆炸危險部位的安全出口,其位置應滿足安全疏散距離的要求。
四.結束語
隨著人們生活水平的提高,對生命財產的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高,經濟性建立在安全性的基礎之上,只有保證了建筑結構的安全性,才能夠考慮建筑工程施工的經濟性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進而為社會創造出良好的經濟效益。進而有效提高建筑結構的安全性能,促進建筑工程建設的發展,促進建筑業的發展。
參考文獻:
[1] 李海 防爆防火設計在工業建筑中的應用 [期刊論文] 《黑龍江科技信息》 -2012年2期
[2] 曲海富 海洋工程防爆墻結構有限元分析 [學位論文] 2007 - 天津大學:船舶與海洋結構物設計制造
關鍵詞:網絡安全;防火墻;入侵檢測系統;校園網
中圖分類號:TP393.08
對于高校而言,校園網在教學、科研、管理以及對外交流等過程中起到了不可替代的作用。近年來,隨著校園網建設規模的不斷壯大,校園網存在安全問題也逐漸突顯。我們在享受網絡信息資源的便捷性的同時,也面臨著網絡安全帶來的困擾。
當前網絡安全技術包括兩種,一種是以防火墻技術為例的靜態安全技術,另一種是以入侵檢測系統技術為例的動態安全技術。兩種網絡安全技術各有優勢和不足之處,為實現有效的保障校園網的網絡安全,最好的方式就是實現防火墻與入侵檢測系統的結合應用。
1 防火墻與入侵檢測系統的區別和聯系
防火墻技術是網絡靜態安全技術的代表,是一種被動的防御技術。防火墻技術建立在現代通信網絡技術與信息安全技術基礎上。防火墻技術作為不同網絡與網絡安全域之間信息唯一的出入口,主要用于控制出入網絡的數據,不過防火墻技術不能防范內部的非法訪問行為。另外防火墻技術還有一個缺陷,不能夠主動跟蹤入侵者,只能依賴人工實施與維護。
與防火墻技術相對的入侵檢測系統則是動態安全技術的代表,在網絡安全中是一種主動的防御手段,可以對網絡中容易受到威脅和攻擊的點擊存在安全漏洞的地方主動檢測,通常對于危險行為的檢測要比人工快,并且實現對網絡內部通信信息的實時分析,對入侵行為、企圖即使檢測,并提前發出警報,一邊及早采取措施應對,最大限度的保障網絡安全。
總之,防火墻技術與入侵檢測系統作為兩種不同的網絡安全防范手段,兩者各具優勢也各有不足。防火墻技術對新協議和新服務的支持,不能進行動態擴展,從而無法提供個性化服務。而入侵檢測系統雖然能夠收集、分析信息,對網絡中的安全問題進行檢測,對而已攻擊提供主動、實時的保護,有效做到網絡安全防范。因而,入侵檢測系統能夠彌補防火墻技術的不足之處,對防火墻技術起到補充作用,最終提高了校園網網絡信息的安全性,兩者有區別的同時,又在功能上起到了互補關系。
2 防火墻與入侵檢測系統結合應用的優勢
校園網中,防火墻技術不能直接控制內部網絡行為,無法對通信過程中的內容數據進行監控。防火墻技術對于一些安全威脅依然難以防范。入侵檢測系統則以絕對的主動權對防火墻技術的不足之處進行彌補。
在校園網中,防火墻與入侵檢測系統結合應用優點多,入侵檢測系統能夠提前發現威脅網絡安全的攻擊行為,并提供入侵信息給防火墻,由防火墻技術針對威脅調整安全策略,對不合法的信息進行阻斷和處理。兩者的結合應用大大提高了網絡系統的防御性能。
3 校園網絡所面臨的威脅
當前校園網絡的安全問題,主要面臨三個方面的威脅:
3.1 物理安全
校園網絡安全的前提,就是保證計算機網絡系統各種設備的物理安全。其所表現的數據傳輸、數據存儲以及數據訪問安全都是在物理介質層次之上。網絡運行的環境,諸如溫度、濕度、電源等也威脅到計算機網絡安全。
物理安全,保護的就是計算機的網絡設備、網絡設施,以及避免其他媒體在自然災害或者認為事故中所遭到破壞。是對計算機系統、服務器、打印機等硬件的保護。
3.2 自然因素的威脅
校園網面臨的自然威脅,是指自然原因帶來的安全問題,如雷擊、火災、水災、地震等自然災害;正行情況下使用過程中的設備損壞;設備運行環境等方面,損壞網絡設備硬件,影響網絡的正常運行,對校園網網絡安全帶來威脅。
3.3 人為因素的威脅
校園網中,網絡系統安全面臨的人為因素的威脅,分為故意人為威脅、無意人為威脅兩種形式,都嚴重威脅著計算機網絡的安全。人為故意威脅涵蓋搭線連接獲取網絡數據信息、竊取口令密鑰來獲取信息資源、盜割網絡通信線纜,以及破壞網絡設備等類型。無意人為威脅是指操作人員雖然擁有合法和技術,但操作過程中因為失誤或者疏忽,對網絡安全運行帶來的不良影響或者重大損失。
4 校園網中防火墻與入侵檢測系統的結合應用
首先,選擇入侵檢測系統的位置。入侵檢測系統可放在防火墻之內,也可以放在防火墻之外。但依據兩者不同的功能優勢,入侵檢測可及時檢測異常、攻擊行為,而由防火墻對非法入侵進行控制。將入侵檢測系統放置在防火墻的后面,不合法信息在經過防火墻的技術過濾,對計算機網絡起到一定的保護。將入侵檢測系統放在防火墻的內部,在最大限度阻止“幼稚腳本”的攻擊同時,讓入侵檢測系統去發現網絡中的攻擊行為。
其次,校園網中防火墻與入侵檢測系統的結合模型設計,兩者并非只是簡單的疊加,而是具體的分析兩者的功能、優勢以及缺點,經過研究后建立的一種由簡單的入侵檢測系統輔助防火墻技術的安全系統。
最后,防火墻與入侵檢測系統的接口。兩者通過兩種方式實現互動。一種是將入侵檢測系統嵌入到防火墻技術中,實現兩者的緊密結合。這種情況下,入侵檢測系統的數據來源于流經防火墻的數據流。防火墻不僅要驗證這些數據,還要對其是否具有攻擊性進行判斷,從而對攻擊行為進行阻斷。但入侵檢測系統作為一個龐大的系統,為實施帶來了一定的難度。另一種個互動方式就是通過開發借口來實現。防火墻技術、入侵檢測系統,它們各自開放一個接口,提供給對方使用,雙方按事先協商的方式進行信息的傳輸。這種互動方式靈活,對防火墻技術、入侵檢測系統的性能都不會造成影響。
一般系統越復雜,其自身的安全問題也就愈加難解決,通過比較,將防火墻技術與入侵檢測系統通過開放接口實現互通,比將兩者緊密結合的效果好。防火墻與入侵檢測系統的原理、方法、手段等各不相同,但是他們都是為了保護計算機網絡信息的安全,兩者有著共同的目的,而且面臨的威脅也相同,因此,兩者的結合應用為校園網的安全防范帶來切實可行的方法和手段。
5 結束語
本篇論文將以防火墻技術為代表的靜態技術與以入侵檢測系統為代表的動態技術結合應用,并非單純的將兩個系統通過設定標準接口簡單物理結合,而是將兩種技術手段各自獨有的功能在新的系統中展現,有力的保障校園網網絡系統的安全性,有效提高了網絡的防御能力。未來,防火墻與入侵檢測系統的結合應用,為計算機網絡安全技術提供了廣闊的發展空間。在計算機網絡安全防范過程里,防火墻技術與入侵檢測系統的結合應用,將取長補短為保護計算機網絡安全增加一重保障。
參考文獻:
[1]徐也.防火墻與入侵檢測在校園網中的應用[J].職業技術,2009(04).
