防火墙技术的基本原理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防火墙技术的基本原理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防火墙技术的基本原理范文第1篇
计算机病毒;防范;蠕虫病毒;性能优化
1.计算机病毒特性
计算机病毒具有以下几个特点:
寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
潜伏性:有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
隐蔽性:计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
2.计算机病毒的表现形式
计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
机器不能正常启动:加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
运行速度降低:如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
磁盘空间迅速变小:由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
文件内容和长度有所改变:一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
经常出现“死机”现象:正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。
外部设备工作异常:外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
3.计算机病毒硬件防火墙
A.防火墙基础原理
防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。
包过滤防火墙:包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
应用网关防火墙:应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
状态检测防火墙:状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
复合型防火墙:复合型防火墙是指综合了状态检测与透明的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
B.防火墙的初始配置
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持简单实用、全面深入、内外兼顾的原则,从根本上对入侵检测、主机防护、漏洞扫描、病毒查杀等形成联动机制。
防火墙的具体配置步骤如下:
将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
当PIX防火墙进入系统后即显示“pixfirewall>”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
输入命令:configure terminal,进入全局配置模式,对系统进行初始化设置。
首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)。
Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,“auto”选项为系统自适应网卡类型Interface ethernet1 auto
配置防火墙内、外部网卡的IP地址。
IP address inside ip_address netmask# Inside代表内部网卡
IP address outside ip_address netmask# outside代表外部网卡
指定外部网卡的IP地址范围:global 1 ip_address-ip_address
指定要进行转换的内部地址:nat 1 ip_address netmask
配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
配置保存:wr memo
退出当前模式:此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
病毒防杀是信息安全的一个重要的组成部分,是保证信息安全无误传送的重要前提,本文较全面地介绍了各种计算机病毒的基本原理、常用技术,以及对抗计算机病毒的策略、方法与技术。内容由浅入深、由易到难,注重理论联系实际,在介绍原理的同时,尽量给出实例分析,以期增加手工分析、查杀病毒的经验与能力。
防火墙技术的基本原理范文第2篇
摘要:本文根据作者教学实践,讨论了高职开设网络安全技术课程的教学意义,网络安全技术课程的特点,高职网络安全技术课程教学目标定位、知识构成和评价方法,以及适合高职网络安全技术课程的教学方法。
关键词:网络安全技术;教学实践;教学
中图分类号:G642
文献标识码:B
1网络安全技术课程的特点
网络安全技术课程涵盖的内容极为广泛,是计算机、通信、电子、数学、物理、生物、法律、教育、管理等学科交叉而形成的,理论与实际联系密切,新概念、新方法、新技术以及新问题层出不穷。本课程具有以下特点。
(1) 知识内容更新快。
(2) 涉及面广。既涉及与数学相关的密码学理论,也包括了操作系统、防火墙、VPN等应用系统的配置与构建;既涉及病毒的防治,也包括了黑客的攻击;既涉及安全标准,也包括安全管理。
(3) 对先修课程要求较高。学习计算机网络安全技术课程之前,应掌握计算机系统结构、计算机原理、操作系统、数据通信、计算机网络基本原理、程序设计和数论基础等相关课程。比如必须先在计算机网络课程中了解了TCP/IP协议,才能理解网络安全技术课程中利用协议漏洞进行DOS攻击的原理。
(4) 实践性强。比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用。防火墙技术只有通过亲手配置和测试,才能领会其工作机理。
2高职网络安全技术课程教学目标定位
对于计算机专业特别是信息安全专业的本科生和研究生,要求深入理解和掌握网络安全技术理论和方法,包括密码学原理、思想和算法,密码体系设计要领和密码算法设计方法,深入理解和掌握安全通信协议与网络安全技术防御系统的构造与实现方法。
而对于高职学生,既不能流于表面而局限于一些泛泛的不够系统的安全知识,也不可能过多地研究深奥的密码学理论的细节。作者认为高职网络安全技术课程教学目标应当定位在了解网络安全技术的基本原理基础上,掌握网络系统的安全性维护和系统的安全构建等实用技能。
3高职网络安全技术课程知识构成
(1) 围绕ISO7498-2安全标准提供的5种安全服务(身份认证、访问控制、数据加密、数据完整性和防止抵赖)制定课程体系。解决身份认证和访问控制问题必须介绍操作系统安全策略、防火墙技术、安全审计与入侵检测以及VPN技术,解决数据加密、数据完整性和防止抵赖必须介绍TCP/IP协议的安全性和密码学知识。
(2)合理筛选具有典型性的实验实训项目,对于整个课程的效果至关重要。课程中设计开发了与实际应用结合最为密切的十几个实验实训项目,其中包括密码学应用类实验,协议分析类实验加密通信协议类实验,访问控制类实验,网络维护与管理类实验,网络攻击类实验等。这些实验并非仅仅演示,很多都能应用到实际工作中,比如基于IIS的SSL安全网络站点配置,完全可以在工作中解决数据安全和身份认证问题。
4高职网络安全技术课程的教学方法
(1) 在理论教学方法上,多利用网络平台和多媒体手段实时演示。
(2) 在教学中根据教学内容的不同,分别采用不同的教学方法,如小组讨论、案例教学、模拟实训、启发式教学等。比如,在学习网络防火墙时,事先布置学生到网上查找5种以上的防火墙产品的主要性能指标和参考价格等数据,然后在课堂上进行小组讨论。再比如在学习密码体制时,学生对于传统密码体制和公钥密码体制的概念经常混淆,对此笔者启发学生对两者在密钥数量、密钥的产生方、运算速度和适用范围等方面进行比较,取得较好效果。除了实验以外,该课程的有关内容如黑客入侵与检测等还可进行模拟实训,效果良好。
(3) 改革实验教学模式,使用操作课件。
5高职网络安全技术课程考评方法
考评制度,在很大程度上左右着学生的学习态度,特别是自控能力较差的学生。在传统的教学模式中,本课程一般都应用期末闭卷理论化笔试,总评成绩以期末考试成绩为主。这容易导致学生平时不认真学习,不认真做实验,期末死记硬背搞突击。对以上缺点,我院进行了以下考评制度改革:(1)平时上课考勤,课业练习等都登记评分,老师最终根据学生出勤率以及作业完成情况给出平时成绩,平时成绩按10%记入总评成绩;(2)对于基础选做实验,指导老师都要写评语、打分,实验平均成绩按20%总评成绩;(3)对于综合实验或课程设计,则按30%记入总评;(4)期末考试成绩按40%计入总评成绩。通过以上多种方式、多个角度的考核,许多学生改变了平时懒懒散散、期末临时抱佛脚的不良学习习惯,同时也使学生改变了只重视理论学习,不重视实践能力的情况,全面检查了学生的综合素质,避免了高分低能。
6结论
本文是作者网络安全技术教学实践的一些体会和总结,实践证明,在当前高职生源质量较差的情况下,成效是显著的。
参考文献:
[1] 杨诚,尹少平.网络安全基础教程与实训[M].北京大学出版社,2005.
防火墙技术的基本原理范文第3篇
一、网络安全对于电子商务的重要性
当前,电子商务已逐步覆盖全球,而网络安全问题也得到了业内广泛关注。电子商务的交易方式有别于传统的面对面交易,在电力商务中,交易双方均通过网络进行信息交流,以网络为媒介无疑加大了交易的风险性,因此安全的网络环境能够给交易双方均带来良好的体验。电子商务的网络安全管理较为复杂,不仅需要高新的技术做支持,如电子签名、电子识别等,还需要用户的配合,通常来说,用户的个人信息越全面,网络交易平台对用户的保护便会越全方位。可见,在电子商务交易平台中,网络安全具有十分重要的作用。
二、电子商务中网络安全的技术要素
1、防火墙技术。防火墙技术主要是通过数据包过滤以及服务的方式来实现病毒的防治和阻挡入侵互联网内部信息[1]。防火墙好比一个可以设定滤网大小的过滤装置,可以根据用户的需求,对信息进行过滤、管理。在服务器中,防火墙的技术便演化为一种连接各个网关的技术,对网关之间的信息联通进行过滤。虽然上述两种过滤管理技术形式略有区别,但本质相同,在电子商务中,可以将两者结合使用,使各自的优势得到充分发挥。实现在防火墙内部设计好一个过滤装置,以便对信息进行过滤与确定是否可以通过。
2、数据加密技术。数据加密是对于指定接收方设定一个解密的密码,由数学的方式,转换成安全性高的加密技术,以确保信息的安全。这里面会涉及到一个认证中心,也就是第三方来进行服务的一个专门机构,必须严格按照认证操作规定进行服务[2]。认证系统的基本原理是利用可靠性高的第三方认证系统CA来确保安全与合法、可靠性的交易行为。主要包括CA和Webpunisher,RA与CA的两者通过报文进行交易,不过也要通过RSA进行加密,必须有解密密钥才可以对称,并通过认证,如果明文与密文的不对称,就不会认证通过,保证了信息的安全[3]。
3、数字认证技术。为了使电子商务交易平台更为安全、可靠,数字认证技术便应运而生,其以第三方信任机制为主要载体,在进行网络交易时,用户需通过这一机制进行身份认证,以避免不法分子盗用他人信息。PKI对用户信息的保护通过密钥来实现,密钥保存了用户的个人信息,在用户下次登陆时,唯有信息对称相符,才能享受到电子商务平台提供的相应服务,在密钥的管理下,数据的信息得到充分保护,电子商务交易的安全性能得到了大幅提升。
三、电子商务中网络安全提升的策略
1、提高对网络安全重要性的认识。随着信息技术的快速发展,网络在人们工作、生活中已无处不在,我们在享受网络带来的便利时,还应了加强对网络安全重要性的了解,树立网络安全防范意识,为加强网络安全奠定思想基础。应加强对网络安全知识的宣传和普及,使公民对网络安全有一个全面的了解;同时,还应使公民掌握一些维护网络安全的技能,以便发生网络安全问题时,能够得到及时控制,避免问题扩大化。
2、加快网络安全专业人才的培养。网络安全的提升离不开素质过硬的专业人才,由于网络技术具有一定的门槛,如果对专业了解不深,技术上不够专攻,专业问题便难以得到有效解决,应着力提升电子商务网络安全技术人员的专业素养,为加强网络安全奠定人力基础。在培养专业人才时,应勤于和国内外的专业人员进行技术交流,加强对网络安全领域前沿技术的了解和掌握,避免在技术更新上落后于人。
3、开展网络安全立法和执法。网络安全的有效提升需要从法律层面进行约束,应着力于完善网络安全立法和执法的相关工作,加快立法工作的步伐,构建科学、合理的网络安全法律体系。自从计算机产生以来,世界各国均设立了维护网络安全的相关法律法规。在新时期,我国应集结安全部、公安部等职能部门的力量,加强对网络安全的管理,力求构建一个安全、健康的网络环境。
四、结论
防火墙技术的基本原理范文第4篇
1计算机网络安全的含义及特点
计算机网络安全本质上是指包括网络系统的软件、硬件在内及其传输的数据信息的安全,随着使用者的变化,具体含义也发生着改变。但从整体来看,计算机网络安全涉及网络技术安全和网络管理安全两大部分。随着信息技术的快速发展,计算机网络内容更加丰富、形式更加多样,但随之而来的是更加严峻的网络完全问题。计算机网络安全综合性很强,问题多元化、复杂化,因此在针对网络安全问题采取措施时,务必要做好体系的不断完善以及技术的不断更新。
2计算机网络安全存在的问题
在全球范围内,随着计算机网络的快速发展,互联网用户持续增加,也使得计算机网络安全问题变得越来越复杂。
2.1外部环境造成的安全问题
计算机网络是通过通信线路连接起来的,各种数据信息也是通过线路传输和下载的。因此,无论何人都可以连接到通信线路中,从而可以连接到相应的计算机上,改变或者窃取这些线路中的数据信息,造成信息泄露。另外在信息传输过程中,外部环境也会给计算机网络造成严重影响,例如恶劣天气、人为灾害等都会给数据传输带来严重的损害,甚至造成网络瘫痪。
2.2计算机病毒造成的安全问题
在计算机网络中,我们可以从多个结点中传输或接收信息,因此如果计算机操作系统中存在安全漏洞,就很容易感染计算机病毒,严重威胁网络安全以及计算机硬件的正常运行。计算机病毒主要通过三种方式在网络中传播:移动储存介质,如U盘、移动硬盘等,病毒可以存在于这些移动设备中,在进行数据信息传输时,病毒可以传播到计算机上;互联网传播,如某些软件或者网络游戏的下载等;局域网传播,病毒在局域网中传播时会造成其中的几乎全部计算机瘫痪。计算机一旦感染病毒,不但运行速度下降,而且其中的数据信息会受到严重破坏,甚至会被删除,造成数据丢失,危害极大。
2.3操作系统造成的安全问题
操作系统被认为是计算机运行的基础,也是管理计算机各种数据信息的基础,然而操作系统自身并不十分安全,存在安全漏洞,易被黑客利用,同时我国对于计算机操作系统的管理还不是很到位,也存在疏忽。而且这些漏洞又没有引起用户的重视,从而给黑客制造了攻击计算机的机会,严重威胁网络安全。
2.4人为原因造成的安全问题
一方面黑客攻击给计算机网络造成了巨大影响,然而黑客的入侵也是因为操作系统或者我们的管理存在漏洞。另一方面网络的内部使用者也会在有意或无意的情况下给计算机网络造成威胁,对于那些安全意识较差的使用者,很容易出现不当操作,在无意间损坏了数据信息,带来严重的网络安全问题。
3计算机网络安全的防范对策
3.1加强使用者的安全意识
计算机网络使用者是计算机的直接操控者,是网络安全的直接参与者,因此提高使用者的网络安全意识,加强他们的安全防范能力,对计算机网络安全的维护有直接影响。一方面使用者要养成良好的习惯,及时检查计算机操作系统的漏洞和潜在的网络病毒,定期对计算机进行杀毒,以维护计算机的正常运行,对于陌生的网页或者邮件,要提高安全意识,拒绝浏览和接收。另一方面,使用者要注意保护自己的网络账号和密码,避免在网络中各种账号使用相同的密码,这样在一个账号被盗取后,不至于所有账号都被破解,另外使用者也可给自己的计算机设置开机密码,加强网络安全。
3.2防火墙技术
在维护计算机网络安全的领域中,防火墙技术是一种应用相对广泛的计算机网络安全保障方法,随着网络技术的发展,防火墙技术也有相应的提高,它能够独立完整的保护网络安全。
3.2.1防火墙的基本原理
(1)型防火墙。型防火墙也叫服务器,它能够阻挡服务器和客户机之间进行信息交流。服务器主要是根据客户机搜索的数据信息,索取数据,然后将信息输送给客户机,避免了客户机和服务器之间的直接输送。(2)包过滤技术。包过滤技术是指在信息输送过程中将数据分成相同大小的包进行传输,这样防火墙就可以识别所有的数据包,并能够判断它们是否可信,一旦发现危险,防火墙就能够自动将这些危险的数据包隔离在外,从而确保网络的安全。(3)网关防火墙。网关防火墙包含应用网关和电路网关两类,在OSI协议中的作用位置不同,应用网关的位置是应用层而电路网关则作用于会话层。
3.2.2防火墙的基本功能
防火墙在实际应用中主要有以下功能:(1)防火墙技术可以显著加强内部网络的安全系数,能够过滤掉危险服务对计算机网络安全所造成的威胁;(2)防火墙技术能够将所有的安全软件配置于防火墙;(3)防火墙技术能够隔离局部网络所造成的安全问题,从而保护网络中的重点网段,避免了整个网络系统因某部分发生问题而造成瘫痪。另外,防火墙也可分析计算机网络中的数据信息,一旦发现问题,可自动报警,维护网络安全。
3.3病毒防护技术
计算机病毒的防范包括预防、检测和查杀三方面,这是在技术层面上对计算机网络保护的有效途径之一。计算机病毒在网络技术快速发展的同时,变得更加复杂、更加高级。直至今日,网络安全问题时有发生,计算机杀毒软件也渐渐受到广大计算机用户的欢迎,主要包含单机病毒防御和网络病毒防御。单机病毒防御是指在单机上安装杀毒软件,扫描计算机上的所有数据信息,从而达到监测和清除病毒的目的;网络病毒防御则是指计算机能够自动进行检测信息并且能够删除危险信息。
3.4计算机加密技术
在计算机网络运行过程中,病毒、黑客程序等已成为不可避免的网络安全问题,而且对于这些安全问题,我们不可能完全解决,因此进行计算机加密在进行数据传输中显得尤为重要。计算机加密技术分为“对称式”和“非对称式”两类,”对称式”加密应用较广,加密和解密用的是相同的密钥,而”非对称式“加密则使用”公钥”和”私钥”分别作为加密和解密的密钥,只有两个相互匹配时,才能打开文件,这样极大的提高了数据信息的安全性。计算机加密技术还有一项重要的任务就是密钥的管理问题,并不是有了密钥就百分之百的安全,一旦密钥管理不好,同样会造成信息泄露。
3.5入侵检测技术
入侵检测技术属于技术层面上安全防范措施,是当前网络安全研究的热点内容,这是一种积极主动的检测技术,通过收集、分析计算机系统程序中的数据信息,可以及时检测到系统中存在的异常现象,并自动报警或者切断入侵路线,从而极大的提高计算的系统的安全性。硬件和软件是入侵检测系统的两大组成部分,主要功能就是检测,同时可以恢复入侵事件,以保证计算机网络的正常运行。
4结束语
随着互联网的现代化发展,全球信息化程度的不断提高,计算机网络涉及到我们生活的方方面面,同时网络安全问题也应得到重视。计算机网络安全防范技术对于计算机网络的安全的维护有着至关重要的作用,防范技术的提高,才能更好的保证计算机网络的正常运行。同时还需要相关人员有良好的安全防范意识,和完善的网络管理体系。因此要普及计算机安全知识,培养网络技术人才和管理人才。
作者:张杰 单位:国家新闻出版广电总局694台
参考文献:
[1]刘可.基于计算机防火墙安全屏障的网络防范技术[J].电脑知识与技术,2013,9(6):14-13.
[2]李辉.基于计算机防火墙防护技术探究分析[J].无线互联科技,2015,6(11):15-16.
[3]刘宇.计算机加密技术及其应用探讨[J].计算机光盘原件与应用,2012,11:19-20
[4]陈健.计算机网络安全存在问题及其防范措施探讨[J]黑龙江科技信息,2012(29):92-93.
防火墙技术的基本原理范文第5篇
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术的广泛应用,Web在为人们带来快捷的同时也增加了一定的不安全因素,文章从web网络的管理、Web服务器的安全特性以及web网络的防御措施等方面进行了探讨与分析。
1、引言
Web起源于1991年,伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器,标志着因特网上万维网公共服务的首次亮相。
Web是图形化的和易于导航的,它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。基于Web的优势,以及计算机网络和通信技术的迅猛发展,Web网络技术倍受青睐,广泛应用于各个行业,Web网络的管理与安全防御也凸显其重要地位。下面,将对Web网络的管理及其安全防御技术进行一些表述和探讨。
2、网络管理的作用及发展趋势
2.1、网络管理的作用
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,进而提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
2.2、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下三方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。基于WEB的网络管理模式融合了WEB功能和网络管理技术,允许网络管理人员通过与WWW同样形式去监视网络系统,通过使用WEB浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于WEB的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(三)网络管理层次化。随着网络规模的扩大,SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的CPU时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
3、Web网络的安全防御
每个Web站点都有一个安全策略,这些策略因需而异,必须根据实际需要和目标来设置安全系统,估计和分析风险。在制定安全策略之前,首先要做威胁分析,其中包括:有多少外部入口点存在;威胁是否来自网络内部;威胁是否来自工业间谍;入侵者将访问哪些数据库、表、目录或信息;威胁是网络内部的非授权使用还是移动数据;数据被破坏还是遭受攻击,或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等。根据威胁程度的大小做相应的评价分析,以作为设计网络安全系统的基本依据。
3.1、Web服务器的安全特性
Web服务器是整个网络的关键,它的安全性则成为重中之重。首先,分析用户与站点联接时会发生哪些事件和动作。每次用户与站点建立联接,其客户机会向服务器传送机器的IP地址、有时,Web站点接到的IP地址可能不是客户的地址,而是它们请求所经过的服务器地址。服务器看到的是代表客户索要文档的服务器的地址。由于使用HTTP协议,客户也可以向Web服务器表明发出请求的用户名。
如果不要求服务器获得消息,服务首先会将IP地址转换为客户的域名。为了将IP地址转化为域名,服务器与一个域名服务器联系,向其提供这个IP地址,并获得相应的域名。通常,如果IP地址设置不正确,就不能转换。一旦Web服务器获得IP地址和客户可能的域名,它就开始一系列的验证手段以决定客户是否有所要求的访问文档。这就存在一定的安全漏洞:客户可能永远得不到要求的信息,因为服务器伪造了域名,客户可能无法获得授权访问信息,服务器可能向另一用户发送信息;误认闯入者为合法用户,服务器允许其进入访问,Web服务器的安全也将会受到威胁。
3.2、监视控制Web站点出入情况
为了防止和追踪黑客闯入和内部滥用,需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助,如,假定Web服务器置于防火墙之后,可将一种Web统计软件“Wusage”装在服务器上,监控通过服务器的信息情况,这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性,必须监控出入站点的情况、访问请求及命中次数,这样可以更好的显示站点的状态。
3.3、Web网络的防御措施
为了确保Web服务的安全,通常采用以下几种技术措施:
在现有的网络上安装防火墙,对需要保护的资源建立隔离区;
对机密敏感的信息进行加密存储和传输;
在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;
对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。
其中,防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可以从外表访问内部受保护的对象。按运行机制可以分为包过滤和两种。
包过滤主要是针对特定地址主机提供的服务,其基本原理是在网络传输的TCP层截获IP包,查找出IP包的源和目的地址及端口号,还有包头中的其他信息,并根据一定的过滤原则,确定是否对此包进行转发。
在应用层实现,其基本原理是对Web服务单独构造一个程序,它不允许客户程序与服务器程序直接交互,必须通过双方程序才能进行信息的交互;还可以在程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。
参考文献:
[1]褚英国.《关于Web应用层深度防御系统的研究与实践》.计算机时代,2009
