防火墙设计与技术论文

2017-06-17

在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们的关注。小编整理的防火墙设计与技术论文,希望你能从中得到感悟!

防火墙设计与技术论文篇一

Internet防火墙系统的设计

摘要:随着计算机网络的飞速发展,Internet为人们的工作、学习和生活带来了巨大的便利。与此同时,网络安全的重要性也是不容忽视的。而在当前形势下用来保证网络安全的一种非常关键的措施就是防火墙技术,通过防火墙的应用可以避免未经授权的用户对于网络的非法访问,从而避免网络中的重要信息被恶意篡改和泄露,并且,也能够保证合法用户能够不受妨碍地访问网络内部的资源。因此,进行关于Internet防火墙系统的设计的研究具有非常深远的意义,能够使网络安全性能得到极大程度的提高。

关键词:Internet 防火墙系统 设计

一、引言

随着Internet的不断发展和广泛普及,计算机网络的共享性、开放性和互联程度也正在得到不断的扩大,一系列的网络新业务也正在逐渐出现,主要包括数字货币、电子政务、电子商务、网上购物、网上银行等等,网络安全问题也变得愈加值得重视。处理网络安全问题的一个非常关键的途径就是在内部网和外部网之间进行防火墙的设置,所以,研究防火墙技术显得尤为重要。

二、Internet和网络安全问题概述

Internet在刚开始出现的时候是由大学和科研机构应用的,后来逐渐进入到社会的各个行业之中。在当今的信息化时代,Internet已经和人们的日常生活紧密的联系起来,同时,海量的机密信息也正在通过Internet进行传送,在这一大背景下,也出现了许多和Internet相关的网络安全问题。主要包括以下几个方面:

第一,企业不具备较强的网络安全意识。目前企业局域网内部利用的计算机操作系统仍然具备许多不安全的因素,许多高风险的网络服务对外开放,但是并未采取相对完善的网络安全防范方法,从而导致企业的大部分主机面临着潜在的网络安全威胁,为不法侵害人员提供了方便的入口。

第二,网络黑客越来越多。在Internet得到广泛使用的背景下,网络黑客也随之出现,网络黑客已经在国际范围内广泛分布,他们的入侵方式也正在变得更加高明。黑客能够使用在Internet上的众多攻击网络和系统安全漏洞的小程序实现对于网络的攻击,也能够通过众多的专门的黑客站点实现对于网络的攻击。

第三,内部攻击值得关注。在网络安全问题中,内部攻击问题占据着非常巨大的比例,内部攻击者对于网络系统的有用信息比外部攻击者更加掌握,能够更加方便地进行攻击,从而会带来更加严重的攻击后果。然而,网络管理人员通常会忽视这些内部攻击。

三、Internet防火墙系统的总体结构

Internet防火墙系统的总体结构包括两个包过滤路由器和一个堡垒主机,由于这种系统支持应用层和网络层的安全功能,因此,这是一种非常安全的防火墙系统。Internet防火墙系统的堡垒主机中包括WWW、Email、FTP代理服务器、日志系统、身份认证系统、加密系统。同时,堡垒主机位于外部网和内部网之间。具体来说,Internet防火墙系统的总体结构如下所述。

第一,Internet防火墙系统的第一道防线就是包过滤路由器,这一路由器预先检查进入内部网的通信。同时,包过滤路由器利用包过滤规则来实现数据包的转发或丢弃。包过滤路由器的包过滤规则为:内部网络上的主机对于外部网络可以实现直接访问,而外部网络上的主机只能够限制性的访问内部网络的主机,同时,必须对于源路由选项的数据包和假冒缓冲区内主机地址的数据包进行阻塞设置。

第二,缓冲区(DMZ),这是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。

第三,堡垒主机,这是在内部网和缓冲区之间所设置的网关,内部网和缓冲区之间的所有通信都一定要通过堡垒主机。保证堡垒主机的安全运转可以为Internet和内部网之间的信息交换打下坚实的基础。

第四,堡垒主机连接缓冲区的网卡,为这块网卡配置的IP地址必须和缓冲区内主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。

第五,堡垒主机连接内部网的网卡,为这块网卡配置的IP地址必须和内部网主机的IP地址存在着一致的子网掩码,也就是说,必须保证它们位于相同的子网之中。

四、Internet防火墙系统的特点

Internet防火墙系统有利于解决网络安全问题,它的特点如下所述。

第一,非法入侵者为了能入侵内部网一定要突破三个不同的设备,也就是外部路由器、堡垒主机、内部路由器。

第二,因为外部路由器仅仅将堡垒主机的存在通告给外部网,所以,能够确保内部网对外是“不可见”的,与此同时,必须是缓冲区网络上选定的系统才可以向外部网开放。

第三,因为堡垒主机的存在,内部网用户为了实现和外界之间的通信,必须借助于堡垒主机上的代理系统。

五、结束语

综上所述,本文进行了关于Internet防火墙系统的设计的研究。但是,仅仅依靠防火墙技术来保障网络安全是远远不够的,还必须通过一些其它技术和非技术的因素来进行网络安全的保障,例如,还必须进一步应用信息加密技术、设定适当的网络安全法律法规、增强网络管理使用人员的安全意识等等。希望通过本文的研究,能够为Internet时代的网络安全问题的解决提供一定的借鉴。

参考文献:

[1] 林晓东,杨义先,马严,王仲文. Internet防火墙系统的设计与实现[J]. 通信学报,1998,(01) .

[2] 陈关胜. 防火墙技术现状与发展趋势研究[A]. 信息化、工业化融合与服务创新――第十三届计算机模拟与信息技术学术会议论文集[C],2011

[3] 贾志高,周以琳. 基于防火墙和网络入侵检测技术的网络安全研究与设计[J]. 甘肃科技,2009,(18)

[4] 余志高,周国祥. 入侵检测与防火墙协同应用模型的研究与设计[J]. 网络安全技术与应用,2010,(03) .

[5] 李彦军,屠全良,郝梦岩. 基于中小企业网络安全的防火墙配置策略[J]. 太原大学学报,2006,(01)

[6] 张鸣,高杨. 计算机网络安全与防火墙技术研究[J]. 黄河水利职业技术学院学报,2011,(02) .

防火墙设计与技术论文篇二

Linux系统的防火墙技术设计和实现

[摘 要]在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们的关注。在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著,这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。Linux防火墙由以前的ipchains到如今的iptables,功能日渐强大和完善。iptables以filter的三个链处理input、output和forward数据包。通过对INPUT链、OUTPUT链以及FORWARD链上规则的添加和应用来实现ALG防火墙,达到对网络的保护和限制的目的。

[关键词]Linux 防火墙 iptables

中图分类号:TD956.2 文献标识码:A 文章编号:1009-914X(2014)10-0027-01

Based on Linux system design and realization of the firewall

[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.

[Key words]Linux firewall iptables

一、Linux操作系统

1.1 Linux系统简介

Linux是一种自由和开放源码的类Unix操作系统,Linux有许多不同的版本,但它们都使用了Linux内核。严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。

1.2 Linux防火墙配置命令简介

1.2.1 概述

Linux防火墙通过使用iptables系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。

1.2.2 表(table)

[-t table]选项允许使用标准表之外的任何一个表。表只包含一个特定类型的包处理规则和链的包过滤表。

1.2.3 命令(command)

命令的部分最重要的部分是iptables命令。它告诉iptables命令去做什么。

1.3 netfilter/iptables组件

1.3.1 简介

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。

1.3.2 功能

Linux的防火墙是由netfilter和iptables两个组件构成。netfilter组件也称为内核空间(kernelspace),iptables 组件称为用户空间(userspace),通过iptables执行命令或者修改配置文件来设置规则,netfilter接收指令和读取配置文件来使这些规则生效。

1.3.3 工作方式

Netfilter组件由数据包过滤表组成,用来控制数据包过滤处理的规则集。

Iptables组件它可以更容易插入、修改和删除数据信息包过滤表中的规则。(见图1)

二、防火墙技术

2.1 防火墙的定义

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

2.2 防火墙的种类

不同的防火墙其运用的技术不同,总的来说分以下几类:1 .包过滤防火墙;2.应用网关防火墙;3. 状态检测防火墙;4. 复合型防火墙。

三、防火墙的设计

3.1 设计思路

对于连接到网络上的 Linux 系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。

3.2 配置规则

一个LINUX防火墙系统需要一个合理的、高效的并且简单的安全机制,而安全机制通常是通过Input、Output、Forward这三条“防火链”来实现。

四、结束语

netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。

netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。

另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。

参考文献

[1] Robert L.Ziegler,《Linux防火墙》人民邮电出版社,2000.10.

[2] W.Richard Stevens,《TCP/IP详解 卷一:协议》机械工业出版社,2000.4.1.

[3] 中国计算机报 出版日期:2001-09-27 总期号:1058 本年期号:73 看安全策略定防火墙.

[4] 《卡饭月刊》第32期(2011.11) 关于防火墙规则.

更多相关阅读

最新发布的文章