導(dǎo)言：作為寫作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇防火墻技術(shù)論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來(lái)分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

（1）軟件防火墻。

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

（2）硬件防火墻。

這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。

（3）芯片級(jí)防火墻。

芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。

2從防火墻技術(shù)分

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表，后者以美國(guó)NAI公司的Gauntlet防火墻為代表。

（1）包過(guò)濾（Packetfiltering）型。

包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。

在整個(gè)防火墻技術(shù)的發(fā)展過(guò)程中，包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。

包過(guò)濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的：過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC（遠(yuǎn)程過(guò)程調(diào)用）一類的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

（2）應(yīng)用（ApplicationProxy）型。

應(yīng)用型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在型防火墻技術(shù)的發(fā)展過(guò)程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過(guò)濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。

另外型防火墻采取是一種機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過(guò)服務(wù)器審核，通過(guò)后再由服務(wù)器代為連接，根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的服務(wù)，在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來(lái)了一些負(fù)面影響，但通常不會(huì)很明顯。

3從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來(lái)存儲(chǔ)防火墻所用的基本程序，如包過(guò)濾程序和服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說(shuō)它就與我們平常的PC機(jī)一樣，因?yàn)樗墓ぷ餍再|(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。

隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來(lái)作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。

原來(lái)單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級(jí)的包過(guò)濾型。這樣企業(yè)就不用再同時(shí)購(gòu)買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購(gòu)買成本。

分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過(guò)濾。而不是傳統(tǒng)邊界防火墻那樣，僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。

4按防火墻的應(yīng)用部署位置分

按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型，價(jià)格較貴，性能較好。

個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，性能也最差。

混合式防火墻可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

5按防火墻性能分

按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過(guò)濾或應(yīng)用所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

參考文獻(xiàn)

篇2

因?yàn)樾@網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接，從而給師生查找資料提供便利，不過(guò)也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來(lái)越高明，破壞程度同樣越來(lái)越嚴(yán)重，黑客攻擊校園網(wǎng)絡(luò)，有著時(shí)間長(zhǎng)、范圍廣、損失大以及處理難的特點(diǎn)，校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8]，黑客很多時(shí)候使用專業(yè)工具攻擊校園挽留過(guò)，導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無(wú)法正常使用，部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò)，同時(shí)篡改校園網(wǎng)絡(luò)的主頁(yè)、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。

1.2內(nèi)部用戶的問(wèn)題

現(xiàn)在學(xué)生對(duì)于網(wǎng)絡(luò)了解程度比較深，這就導(dǎo)致部分學(xué)生會(huì)在好奇心趨勢(shì)下，攻擊校園網(wǎng)絡(luò)系統(tǒng)，從而給校園網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)不利影響，提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計(jì)顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30％左右，大部分情況由學(xué)生好奇心而引起，同時(shí)學(xué)校對(duì)于學(xué)生的管理以及教育不夠重視，縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。

2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用

2.1選擇合適的防火墻產(chǎn)品

最簡(jiǎn)單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過(guò)濾路由器。為更好實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全，很多時(shí)候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案，然后選擇合適的防火墻產(chǎn)品。從形式的角度而言，防火墻可以分成硬件防火墻以及軟件防火墻這2大類，硬件防火墻同軟件防火墻比較而言，由于使用專用硬件設(shè)備，并且集成生產(chǎn)廠商防火墻軟件，功能上通過(guò)內(nèi)置安全軟件，并且使用強(qiáng)化甚至專屬的操作系統(tǒng)，有著管理方便以及更換容易的特點(diǎn)，并且軟硬件的搭配往往比較固定。也就是說(shuō)硬件防火墻的效率更高，可以解決防火墻性能以及效率之間的關(guān)系，可以根據(jù)校園網(wǎng)絡(luò)的具體情況來(lái)加以選擇。

2.2使用服務(wù)器

服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān)，這一網(wǎng)關(guān)運(yùn)行服務(wù)軟件，可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實(shí)現(xiàn)協(xié)同工作，所以提供應(yīng)用級(jí)的網(wǎng)關(guān)。客戶端往服務(wù)器發(fā)送請(qǐng)求，請(qǐng)求到達(dá)服務(wù)器，然后服務(wù)器在接收連接請(qǐng)求之后，進(jìn)行身份認(rèn)證以及訪問(wèn)控制，要是客戶端確認(rèn)服務(wù)器身份認(rèn)證以及訪問(wèn)控制，那么就代替客戶端發(fā)送請(qǐng)求。服務(wù)器在響應(yīng)之后，服務(wù)器則將數(shù)據(jù)反饋到客戶端。

篇3

一、概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢(shì)?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)了極大方便的同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

其實(shí)防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個(gè)現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來(lái),使所有進(jìn)出城堡的人都要經(jīng)過(guò)一個(gè)吊橋,吊橋上的看門警衛(wèi)可以檢查每一個(gè)來(lái)往的行人。對(duì)于網(wǎng)絡(luò),也可以采用同樣的方法:一個(gè)擁有多個(gè)LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接,但進(jìn)出該公司的通信量必須經(jīng)過(guò)一個(gè)電子吊橋(防火墻)。也就是說(shuō)防火墻實(shí)際上是一種訪問(wèn)控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問(wèn),也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來(lái)阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:

1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻;

2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;

5、人機(jī)界面良好,用戶配置使用方便,易管理。

實(shí)現(xiàn)防火墻的主要技術(shù)有:分組篩選器,應(yīng)用網(wǎng)關(guān)和服務(wù)等。

(1)分組篩選器技術(shù)

分組篩選器是一個(gè)裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來(lái)檢查每個(gè)進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā),不能通過(guò)檢查的就被丟棄。

通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動(dòng)。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個(gè)UNIX設(shè)置的標(biāo)準(zhǔn)配置中,一個(gè)源端或目的端由一個(gè)IP地址和一個(gè)端口組成,端口表明希望得到什么樣的服務(wù)。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個(gè)公司可以擁塞到所有IP地址及一個(gè)端口號(hào)的分組。這樣,公司外部的人就不能通過(guò)Telnet登陸,或用Finger找人。進(jìn)而該公司可以獎(jiǎng)勵(lì)其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因?yàn)殡m然大多數(shù)節(jié)點(diǎn)使用標(biāo)準(zhǔn)端口號(hào),但這也不一定是一成不變的,更何況有一些重要的服務(wù),像FTP(文件傳輸協(xié)議),其端口號(hào)是動(dòng)態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因?yàn)楹茈y事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄,如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來(lái)完成。

有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁(yè)面。當(dāng)用戶請(qǐng)求的頁(yè)面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁(yè)面是否是最新的版本(即該頁(yè)面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務(wù)器上請(qǐng)求最新的頁(yè)面,然后再轉(zhuǎn)發(fā)給用戶(3)服務(wù)

服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來(lái)提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。

具體地說(shuō),服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問(wèn)因特網(wǎng)并被內(nèi)部主機(jī)訪問(wèn)的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。

在實(shí)際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問(wèn)題的技術(shù)的有機(jī)組合。你需要解決的問(wèn)題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn),采用何種技術(shù)來(lái)解決那些問(wèn)題依賴于你的時(shí)間、金錢、專長(zhǎng)等因素。超級(jí)秘書(shū)網(wǎng)

三、防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇:

1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過(guò)濾深度會(huì)不斷加強(qiáng),從目前的地址、服務(wù)過(guò)濾,發(fā)展到URL(頁(yè)面)過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長(zhǎng)一段時(shí)間用戶使用的主流,IP的加密需求越來(lái)越強(qiáng),安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是,伴隨著防火墻技術(shù)的不斷發(fā)展,人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。

參考文獻(xiàn):

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

篇4

中圖分類號(hào)：TU97文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

1.外墻保溫材料的應(yīng)用

目前廣泛應(yīng)用的外墻外保溫技術(shù)體系主要有膨脹聚苯乙烯泡沫（EPS）板薄抹灰外保溫系統(tǒng)、擠塑聚苯乙烯泡沫（XPS）板薄抹灰外保溫系統(tǒng)、聚氨酯泡沫（PU）薄抹灰外保溫系統(tǒng)、膠粉 EPS顆粒保溫漿料外保溫系統(tǒng)、現(xiàn)澆混凝土復(fù)合無(wú)網(wǎng)EPS板外保溫系統(tǒng)等，其中，EPS板薄抹灰外墻外保溫系統(tǒng)為全國(guó)普遍推廣使用的技術(shù)，幾乎占節(jié)能建筑的90%以上。

PU是目前世界上公認(rèn)的最佳保溫絕熱材料，導(dǎo)熱系數(shù)僅為0.018～0.023W/m。k，25mm厚的PU的保溫效果相當(dāng)于40mm厚的 EPS、45mm厚的巖棉、380mm厚的混凝土或860mm厚的普通磚。主要指標(biāo)對(duì)比如下。

保溫效果：PU最好，EPS次之，巖棉最差。

耐冷熱性能：巖棉最好，PU次之，EPS最差。

吸水率（性）：PU最低，EPS次之，巖棉最易吸水。

使用壽命：巖棉最長(zhǎng)，PU次之，苯板最差。

價(jià)格：PU最高，巖棉次之，EPS最低。

事實(shí)上，EPS、XPS、PU都屬于有機(jī)保溫材料，最大優(yōu)點(diǎn)是質(zhì)量輕保溫和隔熱性好，最大缺陷是防火安全性差，易老化易燃燒，在燃燒時(shí)產(chǎn)生大量煙霧，毒性很大，這些產(chǎn)品的承重性使用年限 防火性都不如無(wú)機(jī)保溫材料。

2.聚苯板外墻保溫材料的火災(zāi)危險(xiǎn)性

聚苯板薄抹灰系統(tǒng)在國(guó)內(nèi)的外墻外保溫中應(yīng)用相當(dāng)普遍，其危險(xiǎn)性在于：（1）一旦火災(zāi)發(fā)生，有機(jī)保溫板燃燒產(chǎn)生的有毒氣體和火焰會(huì)給逃生者帶來(lái)巨大危險(xiǎn)；（2）因聚苯板受熱產(chǎn)生的熱熔縮變形以及網(wǎng)格布過(guò)熱折斷而導(dǎo)致瓷磚墜落，對(duì)逃生人員和救助人員造成的傷害也是致命的；（3）當(dāng)墻體保溫材料表面砂漿龜裂脫落后，也很快會(huì)引燃保溫材料，火災(zāi)迅速向大范圍蔓延；（4）外墻著火之后，由于室內(nèi)的自動(dòng)消防設(shè)施不能覆蓋外墻，特別是當(dāng)高層建筑外墻外保溫材料著火后，更是無(wú)計(jì)可施。

3.國(guó)內(nèi)外外墻保溫系統(tǒng)防火技術(shù)現(xiàn)狀

a）國(guó)外外墻保溫防火技術(shù)現(xiàn)狀：歐美等發(fā)達(dá)國(guó)家對(duì)外墻保溫系統(tǒng)均有嚴(yán)格的防火安全等級(jí)要求，不同的外墻保溫系統(tǒng)和保溫材料設(shè)有防火測(cè)試方法和分級(jí)標(biāo)準(zhǔn)（考慮燃燒時(shí)煙氣及毒性釋放），并對(duì)不同防火等級(jí)的外墻保溫系統(tǒng)的使用范圍有嚴(yán)格規(guī)定如歐洲標(biāo)準(zhǔn) E-TAG004《有抹面層的外墻外保溫復(fù)合系統(tǒng)歐洲技術(shù)標(biāo)準(zhǔn)認(rèn)證》中規(guī)定，對(duì)保溫防火性的測(cè)試方法要按照 CEN分級(jí)文件EN13501-1《建筑產(chǎn)品或組件的燃燒性能分級(jí)》進(jìn)行阻燃等級(jí)A1—E的測(cè)試防火等級(jí)的測(cè)定和相關(guān)的測(cè)試需進(jìn)行兩次：一次為整個(gè)體系，另一次僅為保溫材料同時(shí)，對(duì)外墻外保溫的防火要求將依據(jù)法律法規(guī)和適用于建筑物最終使用的管理?xiàng)l例而定，德國(guó)有因聚苯板薄抹灰系統(tǒng)防火安全性達(dá)不到要求而不能在22m以上建筑物使用的相關(guān)規(guī)定；英國(guó)有18m以上建筑物不允許使用聚苯板薄抹灰外墻外保溫系統(tǒng)的規(guī)定；美國(guó)紐約州建筑指令中明確規(guī)定耐火極限低于2h的聚苯板薄抹灰外墻外保溫系統(tǒng)不允許用在高于22.86m的住宅建筑中，而由巖棉等不燃材料組成的外墻保溫系統(tǒng)則可廣泛應(yīng)用在各種類型的建筑中，該系統(tǒng)已經(jīng)成為目前世界上應(yīng)用范圍最廣的外墻保溫做法之一。

b）國(guó)內(nèi)外墻保溫防火技術(shù)現(xiàn)狀：聚苯板薄抹灰系統(tǒng)因其防火性能較差，發(fā)達(dá)國(guó)家對(duì)其使用范圍有嚴(yán)格的限制，而國(guó)內(nèi)高層超高層建筑采用聚苯板薄抹灰網(wǎng)格布粘貼面磚的外墻外保溫做法相當(dāng)普遍，主要原因是國(guó)內(nèi)沒(méi)有標(biāo)準(zhǔn)對(duì)此作出限制規(guī)定，如我國(guó)現(xiàn)有的 GB50016- 2006《建筑設(shè)計(jì)防火規(guī)范》和 GB50045-95《高層民用建筑設(shè)計(jì)防火規(guī)范》(2005年版)只規(guī)定了建筑構(gòu)件的燃燒性能和耐火極限，附錄 A（各類建筑構(gòu)件燃燒性能和耐火極限）對(duì)外墻的規(guī)定均為不燃燒體，但是其中卻沒(méi)規(guī)定外墻保溫材料的燃燒性能在JGJ144-2004《外墻保溫工程技術(shù)規(guī)程》的表 4.0.11外墻外保溫系統(tǒng)組成材料性能要求中，對(duì)膠粉EPS顆粒保溫漿料的燃燒性能級(jí)別標(biāo)注為B1（難燃性），但對(duì)EPS 板的燃燒性能級(jí)別標(biāo)注卻為“—”即沒(méi)有規(guī)定。

外墻保溫材料的防火已引起國(guó)家的重視，公安部消防局會(huì)同住房和城鄉(xiāng)建設(shè)部標(biāo)準(zhǔn)定額司正在共同組織起草《建筑外保溫材料防火措施》，在征求意見(jiàn)稿中提出了外墻保溫材料燃燒性能要求：“(1)建筑體積大于10萬(wàn)立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑應(yīng)采用巖棉礦棉玻璃棉等無(wú)機(jī)材料制作的保溫材料；(2)建筑體積大于10萬(wàn)立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外，其他建筑可采用可燃材料做外墻保溫，但應(yīng)采取相應(yīng)的防火構(gòu)造;(3)建筑外裝修材料應(yīng)采用不燃材料?！?。

4.外墻保溫材料防火安全措施

4.1提高外墻保溫材料的防火性能，設(shè)置相應(yīng)的防火構(gòu)造物

a）對(duì)于新建建筑：(1)建議在修訂的標(biāo)準(zhǔn)中, 對(duì)外墻保溫材料燃燒性能等級(jí)的規(guī)定，應(yīng)能滿足外保溫系統(tǒng)具有阻止火焰?zhèn)鞑サ哪芰Γ?2)建議在法律法規(guī)中明確規(guī)定推廣使用不燃材料組成的外墻保溫系統(tǒng)；(3)消防部門應(yīng)加強(qiáng)對(duì)外墻保溫材料防火性能等級(jí)的監(jiān)管和測(cè)試；(4)對(duì)于使用聚苯板薄抹灰外保溫系統(tǒng),應(yīng)增設(shè)防火隔離帶、擋火梁等防火構(gòu)造物。

b）對(duì)于已采用可燃材料做保溫層的建筑：(1)保溫層應(yīng)采用不燃燒材料做水平和豎向分隔；(2)建筑外墻轉(zhuǎn)角兩側(cè)和門洞窗口等開(kāi)口周圍應(yīng)采用不燃燒材料進(jìn)行分隔；(3)建筑外表層應(yīng)采用不燃材料將保溫層完全覆蓋，可采用水泥砂漿涂抹；(4)當(dāng)建筑外墻采用幕墻時(shí)，幕墻與每層樓板隔墻處的縫隙應(yīng)采用防火材料封堵。

4.2單位加強(qiáng)消防安全管理，消防部門加強(qiáng)監(jiān)管

單位要加強(qiáng)消防安全管理，認(rèn)真開(kāi)展消防安全自查自糾，針對(duì)自查中發(fā)現(xiàn)的用火用電不規(guī)范 胡亂堆放雜物等問(wèn)題，必須立即排除；單位要認(rèn)真落實(shí)安全生產(chǎn)的相關(guān)制度，落實(shí)防火制度和責(zé)任人，制定應(yīng)急機(jī)制，規(guī)范用火用電，正確設(shè)置安全出口指向標(biāo)志等；單位要加強(qiáng)對(duì)員工的消防安全培訓(xùn)，特別是特殊工種，必須保證員工持證上崗，確保用火用電安全，預(yù)防火災(zāi)事故的發(fā)生。

消防部門應(yīng)加強(qiáng)監(jiān)管，定期深入各單位進(jìn)行監(jiān)督檢查，對(duì)存在的問(wèn)題及時(shí)指出，要求單位落實(shí)整改對(duì)拒絕整改或整改不到位的單位，消防部門將依法給予處罰。監(jiān)管的內(nèi)容包括施工現(xiàn)場(chǎng)、施工工人的生活區(qū)、明火作業(yè)區(qū)和外墻保溫材料、木料等易燃物品堆放區(qū)的消防設(shè)施的配備及監(jiān)管情況，臨時(shí)用電設(shè)施的防火、防水、防觸電裝置，外腳手架搭設(shè)和安全網(wǎng)的防火情況等。

4.3嚴(yán)格建設(shè)工程施工現(xiàn)場(chǎng)管理

強(qiáng)化施工現(xiàn)場(chǎng)管理應(yīng)根據(jù)現(xiàn)有的消防條例和保溫工程施工消防安全管理規(guī)定并結(jié)合實(shí)際情況制定出消防安全管理制度, 并認(rèn)真貫徹執(zhí)行：(1)保溫板材進(jìn)場(chǎng)后，不宜露天存放，應(yīng)遠(yuǎn)離火源露天存放時(shí)，保溫板材應(yīng)采取可靠的防護(hù)措施。

(2)保溫板材應(yīng)在電焊等工序結(jié)束后進(jìn)行鋪設(shè)確需在保溫板材鋪設(shè)后進(jìn)行電焊等工序的，將電焊部位周圍應(yīng)采用防火毯進(jìn)行防火保護(hù)，或在可燃保溫材料上涂刷水泥砂漿等不燃保護(hù)層進(jìn)行保護(hù)；(3)不得直接在保溫板材上進(jìn)行防水材料的熱熔熱粘結(jié)法施工；(4)配足滅火器消防水泵消防水池等消防設(shè)施。

5.結(jié)束語(yǔ)

近年來(lái)由于外墻保溫引起或加速火勢(shì)蔓延的事故頻發(fā)，國(guó)家有關(guān)部門對(duì)此類事故的重視上升到了一個(gè)新的高度。目前，作為施工單位要做的就是在現(xiàn)場(chǎng)施工階段的防控工作。通過(guò)大量的工程實(shí)踐，筆者認(rèn)為對(duì)于外墻保溫工程的施工階段只要用科學(xué)嚴(yán)謹(jǐn)?shù)膽B(tài)度進(jìn)行管理，火災(zāi)事故是可以避免的。隨著外墻保溫安全和技術(shù)規(guī)程標(biāo)準(zhǔn)的完善，建筑節(jié)能事業(yè)必將健康有序地發(fā)展。

篇5

1 緒論

隨著國(guó)家的快速發(fā)展，社會(huì)的需求等諸多問(wèn)題都體現(xiàn)了互聯(lián)網(wǎng)的重要性，各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡(luò)。致使學(xué)校網(wǎng)絡(luò)安全問(wèn)題是我們急需要解決的問(wèn)題。小到別人的電腦系統(tǒng)癱瘓、帳號(hào)被盜，大到學(xué)校重要的機(jī)密資料，財(cái)政資料，教務(wù)處的數(shù)據(jù)被非法查看修改等等。學(xué)校機(jī)房網(wǎng)絡(luò)安全也是一個(gè)很重要的地方。由于是公共型機(jī)房。對(duì)于公共機(jī)房的網(wǎng)絡(luò)安全問(wèn)題，提出以下幾個(gè)方法去解決這類的一部分問(wèn)題。

2 PC機(jī)

2.1 PC終端機(jī)。對(duì)于終端機(jī)來(lái)說(shuō)，我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補(bǔ)丁。像360安全衛(wèi)士（省略/）是一款不錯(cuò)的實(shí)用、功能強(qiáng)大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項(xiàng)，我們只要點(diǎn)擊掃描，把掃描到的系統(tǒng)漏洞，點(diǎn)擊下載安裝，并且都是自動(dòng)安裝，安裝完就可以了。

2.2 安裝殺毒軟件。比如說(shuō)中國(guó)著名的瑞星2008殺毒軟件，從瑞星官方網(wǎng)站（省略/）下載，下載完，安裝簡(jiǎn)體版就可以了。安裝完之后，就進(jìn)行全盤查毒。做到客戶機(jī)沒(méi)有病毒。讓電腦處于無(wú)毒環(huán)境中。也可以在【開(kāi)始-運(yùn)行】中輸入【sigverif】命令，檢查系統(tǒng)的文件有沒(méi)有簽名，沒(méi)有簽名的文件就有可能是被病毒感染了?？梢陨暇W(wǎng)查詢之后，進(jìn)行刪除。

2.3 防火墻。打好系統(tǒng)漏洞補(bǔ)丁，安裝好殺毒軟件之后，就是安裝防火墻像瑞星防火墻，天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強(qiáng)大的防火墻軟件，它不僅僅能防病毒，還能防現(xiàn)在很是厲害的ARP病毒。

2.4 用戶設(shè)置。把Administrator超級(jí)用戶設(shè)置密碼，對(duì)不同的用戶進(jìn)行用戶權(quán)限設(shè)置。

3 解決方案

3.1 防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

①屏蔽路由器：又稱包過(guò)濾防火墻。

②雙穴主機(jī)：雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。

③主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和的結(jié)合。

④屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。

3.2 VPN技術(shù)。VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)，可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。

3.3 網(wǎng)絡(luò)加密技術(shù)（Ipsec）。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個(gè)TCP/IP安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括：

①訪問(wèn)控制；②無(wú)連接完整性；③數(shù)據(jù)起源認(rèn)證；④抗重放攻擊；⑤機(jī)密性；⑥有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證。在一個(gè)更為開(kāi)放的環(huán)境中，支持通過(guò)網(wǎng)絡(luò)與其他系統(tǒng)相連，就需要“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證明身份，也需要這些服務(wù)器向客戶證明他們自己的身份?！钡牟呗詠?lái)保護(hù)位于服務(wù)器中的用戶信息和資源。像數(shù)字簽名。

4會(huì)話控制與帶寬管理策略

4.1 會(huì)話數(shù)控制。 使用校園網(wǎng)出口防火墻，通過(guò)單用戶會(huì)話和流量控制功能進(jìn)行相關(guān)管理。通過(guò)應(yīng)用防火墻設(shè)置新建連接閥值，可以對(duì)網(wǎng)絡(luò)中每個(gè)用戶會(huì)話連接數(shù)進(jìn)行控制，當(dāng)閥值被觸動(dòng)后，動(dòng)態(tài)地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設(shè)置控制黑名單的有效時(shí)間。通過(guò)單用戶會(huì)話數(shù)限制，可以做到：當(dāng)校園網(wǎng)內(nèi)機(jī)器病毒爆發(fā)時(shí)，阻止大量數(shù)據(jù)包對(duì)外建立連接，耗費(fèi)網(wǎng)絡(luò)資源；阻止黑客對(duì)網(wǎng)絡(luò)的掃描；阻止黑客進(jìn)行DDOS攻擊。

5 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻(xiàn)

篇6

一、前言

企業(yè)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)一般是基于TCP/IP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intranet，它具有開(kāi)放性，因而使用極其方便。但開(kāi)放性卻帶來(lái)了系統(tǒng)入侵、病毒入侵等安全性問(wèn)題。一旦安全問(wèn)題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果，給正常的企業(yè)經(jīng)營(yíng)活動(dòng)造成極大的負(fù)面影響。因此企業(yè)需要一個(gè)更安全的辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)。

目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽(tīng)等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。

針對(duì)企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患，各個(gè)企業(yè)也實(shí)施了安全防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文將就放火墻技術(shù)在企業(yè)辦公中的應(yīng)用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡(luò)安全建設(shè)帶來(lái)一定幫助。

二、防火墻技術(shù)概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來(lái)防止火災(zāi)蔓延的隔斷墻，在這里引申為保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻服務(wù)的原理與其類似，它用來(lái)防止外部網(wǎng)上的各類危險(xiǎn)傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以有所不同，但它通常是一組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合；而從本質(zhì)上來(lái)說(shuō)防火墻是一種保護(hù)裝置，用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù)；從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)防火墻是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，換句話說(shuō)，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信，防火墻主要用來(lái)保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵，如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)，當(dāng)然，防火墻不只是用于某個(gè)網(wǎng)絡(luò)與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡(luò)中的部門網(wǎng)絡(luò)之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過(guò)防火墻

的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過(guò)，同時(shí)記錄有關(guān)的聯(lián)接來(lái)源、服務(wù)器提供的

通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測(cè)和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來(lái)說(shuō)，防火墻具有以下幾種功能：

①能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

②可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。

③可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。

④可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開(kāi)，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部?jī)?nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講，就是所謂的?；饏^(qū)（DMZ）。

4.防火墻的分類

①包過(guò)濾型防火墻，又稱篩選路由器(Screeningrouter)或網(wǎng)絡(luò)層防火墻(Networklevelfirewall)，它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個(gè)數(shù)據(jù)包實(shí)施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號(hào)及目標(biāo)端口號(hào)、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù)，與用戶預(yù)定的訪問(wèn)控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實(shí)施過(guò)濾。

②服務(wù)器型防火墻

服務(wù)器型防火墻通過(guò)在主機(jī)上運(yùn)行的服務(wù)程序，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的服務(wù)器進(jìn)程，它代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)服務(wù)器實(shí)際上是一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

③復(fù)合型防火墻

由于對(duì)更高安全性的要求，通常把數(shù)據(jù)包過(guò)濾和服務(wù)系統(tǒng)的功能和特點(diǎn)綜合起來(lái)，構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過(guò)濾型或服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來(lái)，形成一個(gè)混合的多級(jí)防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術(shù):①動(dòng)態(tài)包過(guò)濾；②內(nèi)核透明技術(shù)；③用戶認(rèn)證機(jī)制；④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏；⑥智能日志、審計(jì)和實(shí)時(shí)報(bào)警；⑦防火墻的交互操作性等。

三、辦公網(wǎng)絡(luò)防火墻的設(shè)計(jì)

1.防火墻的系統(tǒng)總體設(shè)計(jì)思想

1.1設(shè)計(jì)防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

在確定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)時(shí)，首先必須確定被保護(hù)網(wǎng)絡(luò)的安全級(jí)別。從整個(gè)系統(tǒng)的成本、安全保護(hù)的實(shí)現(xiàn)、維護(hù)、升級(jí)、改造以及重要的資源的保護(hù)等方面進(jìn)行考慮，以決定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。

1.2制定網(wǎng)絡(luò)安全策略778論文在線

在實(shí)現(xiàn)過(guò)程中，沒(méi)有允許的服務(wù)是被禁止的，沒(méi)有被禁止的服務(wù)都是允許的，因此網(wǎng)絡(luò)安全的第一條策略是拒絕一切未許可的服務(wù)。防火墻封鎖所有信息流，逐一完成每一項(xiàng)許可的服務(wù)；第二條策略是允許一切沒(méi)有被禁止的服務(wù)，防火墻轉(zhuǎn)發(fā)所有的信息，逐項(xiàng)刪除被禁止的服務(wù)。

1.3確定包過(guò)濾規(guī)則

包過(guò)濾規(guī)則是以處理IP包頭信息為基礎(chǔ)，設(shè)計(jì)在包過(guò)濾規(guī)則時(shí)，一般先組織好包過(guò)濾規(guī)則，然后再進(jìn)行具體設(shè)置。

1.4設(shè)計(jì)服務(wù)

服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點(diǎn)提出的服務(wù)請(qǐng)求，如果此請(qǐng)求被接受，服務(wù)器再建立與實(shí)服務(wù)器的連接。由于它作用于應(yīng)用層，故可利用各種安全技術(shù)，如身份驗(yàn)證、日志登錄、審計(jì)跟蹤、密碼技術(shù)等，來(lái)加強(qiáng)網(wǎng)絡(luò)安全性，解決包過(guò)濾所不能解決的問(wèn)題。

1.5嚴(yán)格定義功能模塊，分散實(shí)現(xiàn)

防火墻由各種功能模塊組成，如包過(guò)濾器、服務(wù)器、認(rèn)證服務(wù)器、域名服務(wù)器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨(dú)的主機(jī)實(shí)現(xiàn)，功能分散減少了實(shí)現(xiàn)的難度，增加了可靠程度。

1.6防火墻維護(hù)和管理方案的考慮

防火墻的日常維護(hù)是對(duì)訪問(wèn)記錄進(jìn)行審計(jì)，發(fā)現(xiàn)入侵和非法訪問(wèn)情況。據(jù)此對(duì)防火墻的安全性進(jìn)行評(píng)價(jià)，需要時(shí)進(jìn)行適當(dāng)改進(jìn)，管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化，對(duì)防火墻進(jìn)行硬件和軟件的修改和升級(jí)。通過(guò)維護(hù)和管理進(jìn)一步優(yōu)化其性能，以保證網(wǎng)絡(luò)極其信息的安全性。

2.一種典型防火墻設(shè)計(jì)實(shí)例——數(shù)據(jù)包防火墻設(shè)計(jì)

數(shù)據(jù)包過(guò)濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡(luò)層，其技術(shù)核心是對(duì)是流經(jīng)防火墻每個(gè)數(shù)據(jù)包進(jìn)行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號(hào)和目的端口號(hào)、輸人輸出接口等信息，確定其是否與系統(tǒng)預(yù)先設(shè)定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過(guò)。從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，這一過(guò)程就稱為數(shù)據(jù)包過(guò)濾。

本例中網(wǎng)絡(luò)環(huán)境為：內(nèi)部網(wǎng)絡(luò)使用的網(wǎng)段為192.168.1.0，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡(luò)接口的網(wǎng)卡。

數(shù)據(jù)包過(guò)濾規(guī)則的設(shè)計(jì)如下：

2.1與服務(wù)有關(guān)的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務(wù)的需要來(lái)決定是否允許相關(guān)的數(shù)據(jù)包被傳輸.這類服務(wù)包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過(guò)濾為例，來(lái)分析這類數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn).

WWW數(shù)據(jù)包采用TCP或UDP協(xié)

議，其端口為80，設(shè)置安全規(guī)則為允許內(nèi)部網(wǎng)絡(luò)用戶對(duì)Internet的WWW訪問(wèn)，而限制Internet用戶僅能訪問(wèn)內(nèi)部網(wǎng)部的WWW服務(wù)器，(假定其IP地址為192.168.1.11)。

要實(shí)現(xiàn)上述WWW安全規(guī)則，設(shè)置WWW數(shù)據(jù)包過(guò)濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡(luò)WWW服務(wù)器地址數(shù)據(jù)包通過(guò)，而在防火墻eth1端允許所有來(lái)自內(nèi)部網(wǎng)絡(luò)WWW數(shù)據(jù)包通過(guò)。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問(wèn)WWW服務(wù)器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務(wù)器回應(yīng)Internet客戶的WWW訪問(wèn)請(qǐng)求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然，設(shè)置此類數(shù)據(jù)過(guò)濾的關(guān)鍵是限制與服務(wù)相應(yīng)的目地地址和服務(wù)端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務(wù)有關(guān)的數(shù)據(jù)包檢查規(guī)則；

2.2與服務(wù)無(wú)關(guān)的安全檢查規(guī)則778論文在線

這類安全規(guī)則是通過(guò)對(duì)路由表、數(shù)據(jù)包的特定IP選項(xiàng)和特定段等內(nèi)容的檢查來(lái)實(shí)現(xiàn)的，主要有以下幾點(diǎn)：

①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進(jìn)人Ipchains本身并不具備碎片過(guò)濾功能，實(shí)現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內(nèi)核時(shí)設(shè)定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進(jìn)人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來(lái)的數(shù)據(jù)包偽裝成來(lái)自某一內(nèi)部網(wǎng)絡(luò)主機(jī)，以期能滲透到內(nèi)部網(wǎng)絡(luò)中.要實(shí)現(xiàn)這一安全規(guī)則，設(shè)置拒絕數(shù)據(jù)包過(guò)濾規(guī)則為，在防火墻eth0端拒絕1P源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過(guò)。

③源路由(SourceRouting)欺騙:安全規(guī)則為拒絕從外部傳輸來(lái)的數(shù)據(jù)包包含自行指定的路由信息，實(shí)現(xiàn)的方法也是借助REDHAT的路由功能，拒絕來(lái)自外部的包含源路由選項(xiàng)的數(shù)據(jù)包。

總之，放火墻優(yōu)點(diǎn)眾多，但也并非萬(wàn)無(wú)一失。所以，安全人員在設(shè)定防火墻后千萬(wàn)不可麻痹大意，而應(yīng)居安思危，將防火墻與其他安全防御技術(shù)配合使用，才能達(dá)到應(yīng)有的效果。

參考文獻(xiàn)：

張曄,劉玉莎.防火墻技術(shù)的研究與探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,1999

王麗艷.淺談防火墻技術(shù)與防火墻系統(tǒng)設(shè)計(jì).遼寧工學(xué)院學(xué)報(bào).2001

郭偉.數(shù)據(jù)包過(guò)濾技術(shù)與防火墻的設(shè)計(jì).江漢大學(xué)學(xué)報(bào).2001

篇7

 

0 引言

近年來(lái),隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開(kāi)展業(yè)務(wù)工作。廣西百色田陽(yáng)縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站，通過(guò)網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問(wèn)題日益突出，并且該問(wèn)題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求，田陽(yáng)農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。

1) 系統(tǒng)實(shí)體安全

系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過(guò)程。

2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急）來(lái)保護(hù)信息處理過(guò)程的安全。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析，防止計(jì)算機(jī)受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份）。為防止意外停電，系統(tǒng)需要配備多臺(tái)備用電源，作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù)，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護(hù)客戶的私人信息，不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性，即確?？蛻羯矸莸暮戏ㄐ裕ＷC預(yù)約信息的真實(shí)性和完整性，系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問(wèn)控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問(wèn)，即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性，要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過(guò)保護(hù)屏障，并在此進(jìn)行檢查和連接，只有被授權(quán)的信息才能通過(guò)此保護(hù)屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機(jī)制，記錄可疑事件等。

防火墻具有很好的保護(hù)作用。論文大全，信息安全。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

邊界防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全，信息安全。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。論文大全，信息安全。

2) VPN 技術(shù)

VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問(wèn)、便于管理和實(shí)現(xiàn)全面控制，是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。

VPN提供用戶一種私人專用（Private）的感覺(jué)，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題。VPN的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息；在遠(yuǎn)程訪問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái)，管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能，又不會(huì)“餓死”，低優(yōu)先級(jí)的應(yīng)用。

管理問(wèn)題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長(zhǎng)，對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸，因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備。論文大全，信息安全。

2.2基于角色訪問(wèn)的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象，與這些對(duì)象有關(guān)的用戶數(shù)量也非常多，所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多，我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中，包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限。角色訪問(wèn)控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù)，并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色，低級(jí)別角色可以為高級(jí)別角色的子角色，高級(jí)別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時(shí)角色不發(fā)生沖突，對(duì)該角色的權(quán)限不能輕易進(jìn)行修改，以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。論文大全，信息安全。論文大全，信息安全。對(duì)用戶的權(quán)限控制通過(guò)功能菜單權(quán)限控制或者激活權(quán)限控制來(lái)具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí)，系統(tǒng)會(huì)根據(jù)用戶的角色的并集，從而得到用戶的權(quán)限，由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中，數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件，數(shù)據(jù)庫(kù)文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫(kù)加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制

這種控制可以采用多種方式，包括設(shè)置數(shù)據(jù)庫(kù)用戶名和口令，或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對(duì)于服務(wù)器來(lái)說(shuō)，可以采用軟指紋技術(shù)防止非法復(fù)制，當(dāng)然，權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用dbms提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用dbms提供的卸出、裝入工具完成。

3結(jié)束語(yǔ)

隨著信息化技術(shù)的快速發(fā)展，農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化，必須充分考慮信息安全因素與利用信息安全技術(shù)，這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長(zhǎng)，本文所述的安全策略，對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的，是值得推介應(yīng)用的。

參考文獻(xiàn)：

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問(wèn)控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

篇8

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng)，有其特定含義和應(yīng)用范疇，它積累信息為偵察破案提供線索，概括起來(lái)有四個(gè)方面的典型應(yīng)用：第一，指紋系統(tǒng)是為公安工作服務(wù)的，是一種刑事偵察的工具，它是各地、市之間指紋交流工具，也是指紋信息資源的提供者。第二，指紋系統(tǒng)是為偵察破案提供線索，為案件進(jìn)展提供便利服務(wù)的。第三，指紋系統(tǒng)積累犯罪嫌疑人信息，如嫌疑人的指紋管理、前科管理、基本信息管理等，為串、并案件提供可靠依據(jù)。第四，指紋系統(tǒng)是溝通與其他公安工作的窗口，利用它既可以獲取各種信息，也可以向其他公安工作相關(guān)信息。

二、指紋信息系統(tǒng)安全的主要問(wèn)題

隨著網(wǎng)絡(luò)在公安工作各個(gè)方面的延伸，進(jìn)入指紋系統(tǒng)的手段也越來(lái)越多，因此，指紋信息安全是目前指紋工作中面臨的一個(gè)重要問(wèn)題。

1、物理安全問(wèn)題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對(duì)存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護(hù)。目前常見(jiàn)的不安全因素（安全威脅或安全風(fēng)險(xiǎn)）包括兩大類：第一類是自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理?yè)p壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電、斷電、電磁干擾等），意外事故。第二類是操作失誤（如刪除文件、格式化硬盤、線路拆除等），意外疏漏（如系統(tǒng)掉電、“死機(jī)”等）。

2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問(wèn)題

現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng)，該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽(tīng)到在公安網(wǎng)上眾多的非法攻擊事件，這些事件一再提醒我們，必須高度重視系統(tǒng)的安全問(wèn)題。非法用戶攻擊的主要方法有：口令攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒將導(dǎo)致指紋系統(tǒng)癱瘓，系統(tǒng)程序和指紋數(shù)據(jù)嚴(yán)重破壞，使系統(tǒng)的效率和作用大大降低，系統(tǒng)的許多功能無(wú)法使用或不敢使用。雖然，至今還沒(méi)過(guò)出現(xiàn)災(zāi)難性的后果，但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在公安網(wǎng)的各個(gè)角落，令人堪憂。計(jì)算機(jī)病毒是指人為制造的干擾和破壞計(jì)算機(jī)系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點(diǎn)。通常,我們將計(jì)算機(jī)的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,但會(huì)造成計(jì)算機(jī)工作異常、變慢等。 惡性病毒往往沒(méi)有直觀表現(xiàn),但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠?jì)算機(jī)的硬件,造成整個(gè)計(jì)算機(jī)癱瘓。前段時(shí)間流行的沖擊波、震蕩波、狙擊波病毒，它們根據(jù) Windows漏洞進(jìn)行攻擊，電腦中毒后1分鐘重起。在重新啟動(dòng)之前，沖擊波和震蕩波允許用戶操作，而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時(shí)隨地在尋找入侵電腦的機(jī)會(huì),因此,預(yù)防和清除計(jì)算機(jī)病毒是非常重要的，我們應(yīng)提高對(duì)計(jì)算機(jī)病毒的防范意識(shí),不給病毒以可乘之機(jī)。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，需要多人參與工作，而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體，因此，要重視對(duì)各級(jí)系統(tǒng)操作人員進(jìn)行系統(tǒng)安全的教育，做到專機(jī)專用，嚴(yán)禁操作人員進(jìn)行工作以外的操作；下面就本人在實(shí)際工作中總結(jié)的一些經(jīng)驗(yàn),談一 談對(duì)指紋信息系統(tǒng)的維護(hù)與病毒的預(yù)防。

1、 對(duì)指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進(jìn)行安全防護(hù)

（1）系統(tǒng)服務(wù)器安全：服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞，一旦服務(wù)器或硬盤有故障，輕者將導(dǎo)致系統(tǒng)的中斷，重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失，因此在服務(wù)器端，可以采用雙機(jī)熱備份＋異機(jī)備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下，備份服務(wù)器自動(dòng)在 30 秒 內(nèi)將所有服務(wù)接管過(guò)來(lái)，從而保證整個(gè)指紋系統(tǒng)不會(huì)因?yàn)榉?wù)器發(fā)生故障而影響到系統(tǒng)的正常運(yùn)行，確保系統(tǒng) 24小時(shí)不間斷運(yùn)行。在磁盤陣列柜，我們可安裝多塊服務(wù)器硬盤， 用其中一塊硬盤做備份，這樣可保證在其它硬盤發(fā)生故障時(shí)，直接用備份硬盤進(jìn)行替換。

（2）異機(jī)數(shù)據(jù)備份：為防止單點(diǎn)故障（如磁盤陣列柜故障）的出現(xiàn)，可以另設(shè)一個(gè)備份服務(wù)器為，并給它的服務(wù)設(shè)置一個(gè)定時(shí)任務(wù)，在定置任務(wù)時(shí)，設(shè)定保存兩天的備份數(shù)據(jù)，這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過(guò)程中出現(xiàn)故障時(shí)也能進(jìn)行指紋數(shù)據(jù)的安全恢復(fù)。通過(guò)異機(jī)備份，即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時(shí)，也不會(huì)導(dǎo)致指紋信息的丟失，并可保證在1小時(shí)內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下，使損失降到最低。

（3）電路供應(yīng)：中心機(jī)房電源盡量做到專線專供，同時(shí)采用UPS（不間斷電源），部分非窗口計(jì)算機(jī)采用300 W 延時(shí)20分鐘的 UPS進(jìn)行備用，這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會(huì)因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

（4）避雷系統(tǒng)：由于通信設(shè)備尤其是裸露于墻體外的線路，易受雷擊等強(qiáng)電磁波影響而導(dǎo)致接口燒壞，為對(duì)整個(gè)系統(tǒng)進(jìn)行防雷保護(hù)，分別對(duì)中心機(jī)房、主交換機(jī)、各分交換機(jī)和各工作站進(jìn)行了分層次的防護(hù)。

（5）主機(jī)房的防盜、防火、防塵：主機(jī)房是系統(tǒng)中心，一旦遭到破壞將帶來(lái)不可估量的損失，可以安裝防盜門，或安排工作人員24小時(shí)值班。同時(shí)，由于服務(wù)器、交換機(jī)均屬于高精密儀器，對(duì)防塵要求很高，所以對(duì)主機(jī)房進(jìn)行裝修時(shí)應(yīng)鋪上防靜電地板，準(zhǔn)備好（電火）滅火器，安裝上空調(diào)， 以保證機(jī)房的恒溫，并派專人對(duì)主機(jī)房的衛(wèi)生、防塵等具體負(fù)責(zé)。論文大全。

（6）對(duì)移動(dòng)存儲(chǔ)器，借出時(shí)要寫保護(hù)，借入時(shí)要先殺毒；

（7）不使用盜版或來(lái)歷不明的軟件，做到專機(jī)專用，在公安內(nèi)網(wǎng)的機(jī)器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用；

2 、 全方位的系統(tǒng)防御機(jī)制

我們常說(shuō)“病從口入”所以要做到防患于未然,必須切斷計(jì)算機(jī)病毒的傳播途徑,具體的預(yù)防措施如下:

（1）利用防病毒技術(shù)來(lái)阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失，采用多層的病毒防衛(wèi)體系。在每臺(tái)PC機(jī)上安裝單機(jī)版反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因?yàn)榉乐共《镜墓羰敲總€(gè)工作人員的責(zé)任，人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)指紋系統(tǒng)不受病毒的感染。

（2）應(yīng)用防火墻技術(shù)來(lái)控制訪問(wèn)權(quán)限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后，系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離，所有來(lái)自外部的訪問(wèn)請(qǐng)求都要通過(guò)防火墻的檢查，這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過(guò)源地址過(guò)濾，拒絕非法IP 地址，有效避免公安網(wǎng)上與指紋工作無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn)；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使非法用戶無(wú)機(jī)可乘；防火墻可以制定訪問(wèn)策略，只有被授權(quán)的外部主機(jī)才可以訪問(wèn)系統(tǒng)的有限IP地址，保證其它用戶只能訪問(wèn)系統(tǒng)的必要資源，與指紋工作無(wú)關(guān)的操作將被拒絕；由于所有訪問(wèn)都要經(jīng)過(guò)防火墻，所以防火墻可以全面監(jiān)視對(duì)系統(tǒng)的訪問(wèn)活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過(guò)分析可以發(fā)現(xiàn)可疑的攻擊行為；防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu)，使攻擊失去目標(biāo)。

（3）應(yīng)用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)攻擊苗頭。

入侵檢測(cè)系統(tǒng)是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮?lái)自系統(tǒng)內(nèi)外的攻擊，縮短入侵的時(shí)間。

（4）應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)系統(tǒng)安全漏洞，進(jìn)行系統(tǒng)安全評(píng)估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高指紋系統(tǒng)的安全性。通過(guò)對(duì)系統(tǒng)的掃描，系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時(shí)消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯(cuò)誤配置，在非法用戶攻擊前進(jìn)行防范。

（5）應(yīng)用系統(tǒng)安全緊急響應(yīng)體系，防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天，即使昔日固若金湯的系統(tǒng)安全策略，也難免會(huì)隨著時(shí)間和環(huán)境的變化，變得不堪一擊。因此，我們需要隨時(shí)間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時(shí)組建系統(tǒng)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。

參考文獻(xiàn)：

[1]　JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2]　J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3]　張　敏,徐　震,馮登國(guó).基于安全策略模型的安全功能測(cè)試用例生成方法,軟件學(xué)報(bào)(已投稿),2006

[4]　何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(hào)(甲):中國(guó)科學(xué)院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平．計(jì)算機(jī)犯罪問(wèn)題研究［M］．北京：電子工業(yè)出版社，2002．

[7]高銘喧．新編中國(guó)刑法學(xué)［M］．北京：中國(guó)科學(xué)技術(shù)出版社，2000．

[8]朱廣艷． 信息技術(shù)與課程整合的發(fā)展與實(shí)踐［J］． 中國(guó)電化教育，2003（194）：8－ 10．

[9]黃叔武 劉建新 計(jì)算機(jī)網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月

[10]戴紅 王海泉 黃堅(jiān) 計(jì)算機(jī)網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢(mèng)春. 評(píng)說(shuō)防火墻和入侵檢測(cè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.

[12]周國(guó)民. 黑客蘇南與用戶防御[J].計(jì)算機(jī)安全, 2005,(7):72-74.

[13]周筱連. 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)[J].電腦知識(shí)與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).

[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購(gòu)周刊, 2002,(32).

[15]網(wǎng)絡(luò)安全新概念[J].計(jì)算機(jī)與網(wǎng)絡(luò), 2004,(7).

篇9

 

0 引言

近年來(lái),隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開(kāi)展業(yè)務(wù)工作。廣西百色田陽(yáng)縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站，通過(guò)網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問(wèn)題日益突出，并且該問(wèn)題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求，田陽(yáng)農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。

1) 系統(tǒng)實(shí)體安全

系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過(guò)程。

2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急）來(lái)保護(hù)信息處理過(guò)程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析，防止計(jì)算機(jī)受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份）。為防止意外停電，系統(tǒng)需要配備多臺(tái)備用電源，作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù)，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護(hù)客戶的私人信息，不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性，即確?？蛻羯矸莸暮戏ㄐ裕ＷC預(yù)約信息的真實(shí)性和完整性，系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問(wèn)控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問(wèn)防火墻，即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性，要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過(guò)保護(hù)屏障，并在此進(jìn)行檢查和連接，只有被授權(quán)的信息才能通過(guò)此保護(hù)屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機(jī)制，記錄可疑事件等。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

邊界防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2) VPN 技術(shù)

VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問(wèn)、便于管理和實(shí)現(xiàn)全面控制，是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。

VPN提供用戶一種私人專用（Private）的感覺(jué)，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題。VPN的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息；在遠(yuǎn)程訪問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái)，管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能防火墻，又不會(huì)“餓死”，低優(yōu)先級(jí)的應(yīng)用。

管理問(wèn)題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長(zhǎng)，對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸，因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備論文的格式。

2.2基于角色訪問(wèn)的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象，與這些對(duì)象有關(guān)的用戶數(shù)量也非常多，所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多，我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中，包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問(wèn)控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù)，并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色，低級(jí)別角色可以為高級(jí)別角色的子角色，高級(jí)別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時(shí)角色不發(fā)生沖突，對(duì)該角色的權(quán)限不能輕易進(jìn)行修改，以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對(duì)用戶的權(quán)限控制通過(guò)功能菜單權(quán)限控制或者激活權(quán)限控制來(lái)具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí)，系統(tǒng)會(huì)根據(jù)用戶的角色的并集，從而得到用戶的權(quán)限，由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中，數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件，數(shù)據(jù)庫(kù)文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫(kù)加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制

這種控制可以采用多種方式，包括設(shè)置數(shù)據(jù)庫(kù)用戶名和口令，或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對(duì)于服務(wù)器來(lái)說(shuō)防火墻，可以采用軟指紋技術(shù)防止非法復(fù)制，當(dāng)然，權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結(jié)束語(yǔ)

隨著信息化技術(shù)的快速發(fā)展，農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化，必須充分考慮信息安全因素與利用信息安全技術(shù)，這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長(zhǎng)，本文所述的安全策略，對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的，是值得推介應(yīng)用的。

參考文獻(xiàn)：

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問(wèn)控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

篇10

傳統(tǒng)防火墻是現(xiàn)代網(wǎng)絡(luò)安全防范的主要支柱，但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足，主要表現(xiàn)如下：

(1) 結(jié)構(gòu)性限制。傳統(tǒng)防火墻的工作原理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，如今，越來(lái)越多的跨地區(qū)企業(yè)利用Internet來(lái)架構(gòu)自己的網(wǎng)絡(luò)，致使企業(yè)內(nèi)部網(wǎng)絡(luò)已基本上成為一個(gè)邏輯概念，因此，用傳統(tǒng)的方式來(lái)區(qū)別內(nèi)外網(wǎng)絡(luò)十分困難。

(2) 防外不防內(nèi)。雖然有些傳統(tǒng)防火墻可以防止內(nèi)部用戶的惡意破壞，但在大多數(shù)情況下，用戶使用和配置防火墻主要還是防止來(lái)自外部網(wǎng)絡(luò)的入侵。

(3) 效率問(wèn)題。傳統(tǒng)防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單一接點(diǎn)上，因此，防火墻容易形成網(wǎng)絡(luò)的瓶頸。

(4) 故障問(wèn)題。傳統(tǒng)防火墻本身存在著單點(diǎn)故障問(wèn)題。一旦處于安全節(jié)點(diǎn)上的防火墻出現(xiàn)故障或被入侵，整個(gè)內(nèi)部網(wǎng)絡(luò)將完全暴露在外部攻擊者的前面。

2 分布式防火墻的概念

為了解決傳統(tǒng)防火墻面臨的問(wèn)題，美國(guó)AT&T實(shí)驗(yàn)室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義，其系統(tǒng)由以下三部分組成：

(1) 網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻承擔(dān)著傳統(tǒng)防火墻相同的職能，負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)之間不同安全域的劃分；同時(shí)，用于對(duì)內(nèi)部網(wǎng)絡(luò)中各子網(wǎng)之間的防護(hù)。

(2) 主機(jī)防火墻。為了擴(kuò)大防火墻的應(yīng)用范圍，在分布式防火墻系統(tǒng)中設(shè)置了主機(jī)防火墻。主機(jī)防火墻駐留在主機(jī)中，并根據(jù)響應(yīng)的安全策略對(duì)網(wǎng)絡(luò)中的服務(wù)器及客戶端計(jì)算機(jī)進(jìn)行安全保護(hù)。

(3) 中心管理服務(wù)器。中心管理服務(wù)器是整個(gè)分布式防火墻的管理核心，主要負(fù)責(zé)安全策略的制定、分發(fā)及日志收集和分析等操作。

3 分布式防火墻的工作模式

分布式防火墻的工作模式：由中心策略服務(wù)器統(tǒng)一制定安全策略，然后將這些制定好的策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)。而安全策略的執(zhí)行則由相關(guān)主機(jī)節(jié)點(diǎn)獨(dú)立實(shí)施，再由各主機(jī)產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上，其工作模式如圖所示。

分布式防火墻工作模式結(jié)構(gòu)

從圖中可以看出，分布式防火墻不再完全依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來(lái)定義不同的安全域，可信賴的內(nèi)部網(wǎng)絡(luò)發(fā)生了概念上的變化，它已經(jīng)成為一個(gè)邏輯上的網(wǎng)絡(luò)，從而打破了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾嚒５?，各主機(jī)節(jié)點(diǎn)在處理數(shù)據(jù)時(shí)，必須根據(jù)中心策略服務(wù)器所分發(fā)的安全策略來(lái)決定是否允許某一節(jié)點(diǎn)通過(guò)防火墻。

4 分布式防火墻的構(gòu)建

分布式防火墻的構(gòu)建主要有如下四個(gè)步驟：

(1) 策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中，策略是針對(duì)主機(jī)制定的。在制定策略之后通過(guò)策略管理中心“推送”和主機(jī)“索取”兩種機(jī)制分發(fā)到主機(jī)。

(2) 日志的收集。在分布式防火墻中，日志可以通過(guò)管理中心“定期采集”、主機(jī)“定期傳送”、主機(jī)“定量傳送”由主機(jī)傳送到管理中心。

(3) 策略實(shí)施。策略在管理中心統(tǒng)一制定，通過(guò)分發(fā)機(jī)制傳送到終端的主機(jī)防火墻，主機(jī)防火墻根據(jù)策略的配置在受保護(hù)主機(jī)上進(jìn)行策略的實(shí)施。主機(jī)防火墻策略實(shí)施的有效性是分布式防火墻系統(tǒng)運(yùn)行的基礎(chǔ)。

(4) 認(rèn)證。在分布式防火墻系統(tǒng)中通常采用基于主機(jī)的認(rèn)證方式，即根據(jù)IP地址進(jìn)行認(rèn)證。為了避免IP地址欺騙，可以采用一些強(qiáng)認(rèn)證方法，例如Kerberos、X.509、IP Sec等。

5 分布式防火墻的主要優(yōu)勢(shì)

在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢(shì)如下：

(1) 分布式防火墻增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊的防范，可以實(shí)施全方位的安全策略。

(2) 分布式防火墻消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。

(3) 分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。

6 結(jié)論

總之，在企事業(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中，分布式防火墻技術(shù)不僅克服了傳統(tǒng)邊界式防火墻的不足，而且把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中的各臺(tái)主機(jī)。它在整個(gè)企事業(yè)網(wǎng)絡(luò)或服務(wù)器中，具有無(wú)限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也會(huì)在網(wǎng)絡(luò)中進(jìn)一步分布，從而持續(xù)地保持高性能，最終給網(wǎng)絡(luò)提供全面的安全防護(hù)。

參考文獻(xiàn)