防火墻的核心技術(shù)范文

時(shí)間:2023-12-22 17:53:40

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇防火墻的核心技術(shù),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

防火墻的核心技術(shù)

篇1

防火墻是一個(gè)保護(hù)裝置,它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫(xiě)或更改過(guò)操作系統(tǒng)的計(jì)算機(jī),它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問(wèn)安全。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間,同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部Internet對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制,它主要任務(wù)是允許特別的連接通過(guò),也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分,它通過(guò)少數(shù)幾個(gè)良好的監(jiān)控位置來(lái)進(jìn)行內(nèi)部網(wǎng)與Internet的連接。防火墻的核心功能主要是包過(guò)濾。其中入侵檢測(cè),控管規(guī)則過(guò)濾,實(shí)時(shí)監(jiān)控及電子郵件過(guò)濾這些功能都是基于封包過(guò)濾技術(shù)的。防火墻的[!]主體功能歸納為以下幾點(diǎn):根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾;對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有自學(xué)習(xí)功能;可實(shí)時(shí)監(jiān)控,監(jiān)視網(wǎng)絡(luò)活動(dòng);具有日志,以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息;被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶(hù)報(bào)警提示。

防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ),必須在這個(gè)基礎(chǔ)之上加入輔助功能才能流暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過(guò)濾。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。

二、防火墻主要技術(shù)特點(diǎn)

應(yīng)用層采用Winsock 2 SPI進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾;核心層采用NDIS HOOK進(jìn)行控制,尤其是在Windows 2000 下,此技術(shù)屬微軟未公開(kāi)技術(shù)。

此防火墻還采用兩種封包過(guò)濾技術(shù):一是應(yīng)用層封包過(guò)濾,采用Winsock 2 SPI;二是核心層封包過(guò)濾,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,屬于應(yīng)用層的范疇。利用這項(xiàng)技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。采用Winsock 2 SPI的優(yōu)點(diǎn)是非常明顯的:其工作在應(yīng)用層以DLL的形式存在,編程、測(cè)試方便;跨Windows平臺(tái),可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95只需安裝上Winsock 2 for 95,也可以正常運(yùn)行;效率高,由于工作在應(yīng)用層,CPU占用率低;封包還沒(méi)有按照低層協(xié)議進(jìn)行切片,所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。在構(gòu)筑防火墻保護(hù)網(wǎng)絡(luò)之前,需要制定一套完整有效的安全策略,這種安全策略一般分為兩層:網(wǎng)絡(luò)服務(wù)訪問(wèn)策略和防火墻設(shè)計(jì)策略。 三、網(wǎng)絡(luò)服務(wù)訪問(wèn)策略

網(wǎng)絡(luò)服務(wù)訪問(wèn)策略是一種高層次的、具體到事件的策略,主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù),還包括對(duì)撥號(hào)訪問(wèn)以及SLIP/PPP連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)服務(wù)的限制可能會(huì)促使用戶(hù)使用其他的方法,所以其他的途徑也應(yīng)受到保護(hù)。網(wǎng)絡(luò)服務(wù)訪問(wèn)策略不但應(yīng)該是一個(gè)站點(diǎn)安全策略的延伸,而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠(yuǎn)程訪問(wèn)到移動(dòng)介質(zhì)的管理。

四、防火墻的設(shè)計(jì)策略

防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻,負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)實(shí)施網(wǎng)絡(luò)服務(wù)訪問(wèn)策略。在制定這種策略之前,必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險(xiǎn)。防火墻一般執(zhí)行以下兩種基本策略中的一種:除非明確不允許,否則允許某種服務(wù);除非明確允許,否則將禁止某項(xiàng)服務(wù)。

執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù),除非管理員對(duì)某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù),除非管理員對(duì)某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略(第一種),也可以實(shí)施一種限制性策略(第二種),這就是制定防火墻策略的入手點(diǎn)。一個(gè)站點(diǎn)可以把一些必須的而又不能通過(guò)防火墻的服務(wù)放在屏蔽子網(wǎng)上,和其他的系統(tǒng)隔離。

五、設(shè)計(jì)時(shí)需要考慮的問(wèn)題

為了確定防火墻設(shè)計(jì)策略,進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻,應(yīng)從最安全的防火墻設(shè)計(jì)策略開(kāi)始,即除非明確允許,否則禁止某種服務(wù)。策略應(yīng)該解決以下的問(wèn)題:需要什么服務(wù);在哪里使用這些服務(wù);是否應(yīng)當(dāng)支持撥號(hào)入網(wǎng)和加密等服務(wù);提供這些服務(wù)的風(fēng)險(xiǎn)是什么;若提供這種保護(hù),可能會(huì)導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響,這些影響會(huì)有多大,是否值付出這種代價(jià);和可用性相比,站點(diǎn)的安全性放在什么位置。

篇2

圖2 UTM產(chǎn)品的核心競(jìng)爭(zhēng)力

UTM產(chǎn)品最大的優(yōu)勢(shì)就是在單一的產(chǎn)品上融合了多種主流安全技術(shù),這也必然使UTM產(chǎn)品在性能和穩(wěn)定性上面臨很大的挑戰(zhàn),同時(shí)也對(duì)UTM廠商在防病毒、入侵防御等內(nèi)容安全方面的技術(shù)積累提出了很高的要求。如果能夠成功跨越這些門(mén)檻,UTM產(chǎn)品無(wú)疑是安全網(wǎng)關(guān)位置最好的選擇。我們將從UTM產(chǎn)品中的核心技術(shù)、核心競(jìng)爭(zhēng)力和硬件平臺(tái)選擇方面來(lái)探討一下如何在技術(shù)層面上做好一款真正的UTM產(chǎn)品。

核心技術(shù)仍要積累

產(chǎn)品的核心技術(shù)決定了產(chǎn)品的定位和品質(zhì),UTM產(chǎn)品想要在安全網(wǎng)關(guān)市場(chǎng)取得成功,絕不能只是簡(jiǎn)單地在防火墻上集成防攻擊、入侵防御、防病毒和IM/P2P監(jiān)控等眾多安全功能,而是要在技術(shù)定位上和多功能防火墻有所區(qū)別。和防火墻產(chǎn)品以狀態(tài)包過(guò)濾為核心不同,UTM產(chǎn)品中最核心的應(yīng)該是入侵防御(IPS)和防病毒兩項(xiàng)技術(shù),具體應(yīng)該體現(xiàn)在如下三個(gè)方面:(1)入侵檢測(cè)能力;(2)應(yīng)用協(xié)議識(shí)別能力;(3)病毒檢測(cè)能力。其他的安全功能都必須以這兩個(gè)模塊的檢測(cè)結(jié)果為基礎(chǔ),這樣才能更準(zhǔn)確地對(duì)網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。同時(shí),只有安全廠商自身掌握了入侵防御和防病毒兩種檢測(cè)引擎的核心技術(shù),才能對(duì)程序處理流程進(jìn)行最大的優(yōu)化,減少系統(tǒng)內(nèi)部數(shù)據(jù)傳遞過(guò)程中的資源消耗,為UTM的整體性能優(yōu)化提供更大的空間。所以要想開(kāi)發(fā)出成功的UTM產(chǎn)品,安全廠商必須在入侵防御和防病毒方面有足夠的技術(shù)積累,并具備對(duì)事件庫(kù)和病毒庫(kù)及時(shí)更新的能力。

核心競(jìng)爭(zhēng)力需提升

UTM產(chǎn)品的核心競(jìng)爭(zhēng)力應(yīng)該主要體現(xiàn)在產(chǎn)品的綜合性能、實(shí)時(shí)阻斷能力、業(yè)務(wù)控制能力和產(chǎn)品易用性四個(gè)方面,下面分別加以討論。

1.突破綜合性能瓶頸

UTM產(chǎn)品的綜合性能是指同時(shí)開(kāi)啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn),所以想要突破UTM產(chǎn)品的性能瓶頸就必須從優(yōu)化入侵檢測(cè)引擎和防病毒引擎兩部分入手。如果一味地強(qiáng)調(diào)功能做一款大而全的產(chǎn)品,而無(wú)法滿足性能要求,就會(huì)使UTM產(chǎn)品的眾多安全功能僅僅成為一個(gè)擺設(shè),在實(shí)際運(yùn)行環(huán)境還是只能夠開(kāi)啟防火墻功能,這樣也就失去了UTM產(chǎn)品在網(wǎng)關(guān)位置的立足之本。

2.提高實(shí)時(shí)阻斷能力

UTM中的入侵防御和防病毒功能基本上是由IDS檢測(cè)技術(shù)和主機(jī)防病毒技術(shù)發(fā)展而來(lái)的,但這絕不應(yīng)該是簡(jiǎn)單的疊加和集成。隨著攻擊手段的更新和病毒傳播速度的加快,UTM中的防御重點(diǎn)必須由檢測(cè)向?qū)崟r(shí)阻斷方向發(fā)展,應(yīng)該說(shuō)對(duì)入侵和病毒檢測(cè)技術(shù)提出了更精確的要求,這樣才能控制威脅的進(jìn)一步發(fā)展。所以實(shí)時(shí)阻斷能力是UTM產(chǎn)品存在的直接價(jià)值。

3.增強(qiáng)業(yè)務(wù)控制能力

安全的范疇如今發(fā)生了很大的變化,不僅包含像入侵、病毒、木馬和DDOS等傳統(tǒng)意義上的威脅,還應(yīng)該包括網(wǎng)絡(luò)帶寬管理、個(gè)人P2P業(yè)務(wù)、IM即時(shí)通信業(yè)務(wù)的監(jiān)控、網(wǎng)絡(luò)視頻業(yè)務(wù)及非法外聯(lián)業(yè)務(wù)等的監(jiān)控和限速管理。這就要求安全網(wǎng)關(guān)產(chǎn)品具備高層業(yè)務(wù)的識(shí)別能力和控制能力,而且這些應(yīng)用協(xié)議的識(shí)別是防火墻產(chǎn)品或路由交換產(chǎn)品所無(wú)法做到的。所以,業(yè)務(wù)控制能力使UTM產(chǎn)品具備了不可替代性。

4.提高產(chǎn)品易用性

網(wǎng)絡(luò)安全的發(fā)展應(yīng)該是向著主動(dòng)安全和自動(dòng)防御的方向去發(fā)展,以減小人為因素造成的疏漏和響應(yīng)不及時(shí)。UTM產(chǎn)品的一個(gè)很大的優(yōu)勢(shì)就是不需要用戶(hù)再去單獨(dú)購(gòu)買(mǎi)不同廠家的防火墻、VPN網(wǎng)關(guān)、防毒墻和IPS等設(shè)備,網(wǎng)管員不需要去分別學(xué)習(xí)不同廠家設(shè)備的配置管理方法,從而降低了網(wǎng)絡(luò)管理成本。提高產(chǎn)品易用性是UTM產(chǎn)品能否成功大范圍推廣的關(guān)鍵。

硬件平臺(tái)是關(guān)鍵

硬件平臺(tái)的選擇直接關(guān)系到產(chǎn)品的綜合性能、技術(shù)難度、開(kāi)發(fā)周期和設(shè)備成本等因素。通過(guò)前面對(duì)UTM產(chǎn)品特點(diǎn)的分析,我們看到UTM產(chǎn)品的性能瓶頸和核心競(jìng)爭(zhēng)力體現(xiàn)在防病毒和入侵防御兩個(gè)引擎上面,所以UTM硬件平臺(tái)的選擇就需要重點(diǎn)考慮以下兩方面因素。

1.是否能夠提升防病毒和入侵防御兩部分引擎的性能。

2.是否具備良好的可擴(kuò)展性,以滿足安全需求和安全技術(shù)的不斷更新。

目前市場(chǎng)上可供選擇的安全網(wǎng)關(guān)硬件平臺(tái)主要有四種類(lèi)型。

1.x86架構(gòu)

x86平臺(tái)屬于通用計(jì)算平臺(tái),主要由一顆或多顆CPU來(lái)處理業(yè)務(wù),優(yōu)點(diǎn)是x86 CPU工藝領(lǐng)先,工作頻率高,因此運(yùn)算能力較強(qiáng)。同時(shí),x86平臺(tái)的開(kāi)發(fā)效率較高,可擴(kuò)展性好,成本較低。缺點(diǎn)是x86平臺(tái)的總體性能受到其PCI總線通信能力和中斷處理方式的限制,對(duì)小包的轉(zhuǎn)發(fā)效率較低,無(wú)法實(shí)現(xiàn)千兆小包限速。另外,多芯片組方案和總線式通信方案使其整機(jī)的吞吐率較低。

2.ASIC架構(gòu)

和x86架構(gòu)所有的數(shù)據(jù)轉(zhuǎn)發(fā)都由CPU處理不同,ASIC平臺(tái)在連接建立、路由信息下發(fā)等初始化工作中由CPU處理,其他數(shù)據(jù)轉(zhuǎn)發(fā)的工作都由集成在系統(tǒng)中的ASIC芯片來(lái)完成,所以ASIC平臺(tái)的最大優(yōu)勢(shì)是轉(zhuǎn)發(fā)效率非常高,可以達(dá)到小包千兆限速。ASCI平臺(tái)的缺點(diǎn)是設(shè)計(jì)復(fù)雜,可擴(kuò)展性差,開(kāi)發(fā)周期長(zhǎng),比較適合實(shí)現(xiàn)一些簡(jiǎn)單的包過(guò)濾等防護(hù)墻功能,對(duì)于防病毒和入侵防御等復(fù)雜功能,在芯片上實(shí)現(xiàn)則非常困難。所以ASIC架構(gòu)的產(chǎn)品比較適合功能比較簡(jiǎn)單的高端防火墻產(chǎn)品,不適合功能復(fù)雜、需求變化很快的UTM產(chǎn)品。

3.網(wǎng)絡(luò)處理器(NP)架構(gòu)

NP架構(gòu)的原理和ASIC類(lèi)似,轉(zhuǎn)發(fā)效率和開(kāi)發(fā)周期介于X86平臺(tái)和ASIC平臺(tái)之間。缺點(diǎn)是受芯片的代碼空間限制,無(wú)法實(shí)現(xiàn)復(fù)雜業(yè)務(wù)的設(shè)計(jì),而且NP架構(gòu)使用類(lèi)似于匯編的微碼語(yǔ)言,在安全業(yè)務(wù)需求不斷更新的情況下,NP架構(gòu)的產(chǎn)品可能也需要不停地重新設(shè)計(jì)實(shí)現(xiàn)。

NP架構(gòu)同樣無(wú)法實(shí)現(xiàn)防病毒、入侵防御等復(fù)雜安全功能在芯片級(jí)的加速。

4.多核SoC架構(gòu)

篇3

關(guān)鍵詞:防火墻技術(shù);屏蔽路由器;雙穴主機(jī)網(wǎng)關(guān);屏蔽主機(jī)網(wǎng)關(guān)

中圖分類(lèi)號(hào):TP319文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1672-7800(2013)001-0070-02

1主機(jī)防火墻軟件系統(tǒng)組成

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行開(kāi)發(fā)與設(shè)計(jì),先對(duì)主機(jī)防火墻軟件系統(tǒng)的組成進(jìn)行分析。主機(jī)防火墻軟件系統(tǒng)主要包括屏蔽路由器、雙穴主機(jī)網(wǎng)關(guān)以及被屏蔽主機(jī)網(wǎng)關(guān)。這三個(gè)元器件組成了主機(jī)防火墻軟件系統(tǒng),在系統(tǒng)運(yùn)行中具有獨(dú)特的功能。

1.1屏蔽路由器

主機(jī)防火墻軟件系統(tǒng)最基本的組成原件就是屏蔽路由器。網(wǎng)絡(luò)用戶(hù)一般都是購(gòu)買(mǎi)廠家生產(chǎn)好的屏蔽路由器,然后安裝到主機(jī)當(dāng)中實(shí)現(xiàn)保護(hù)功能。硬件和軟件是屏蔽路由器的兩個(gè)重要組成部分。報(bào)文的過(guò)濾功能一般的路由器就能實(shí)現(xiàn),但是一般路由器的這個(gè)功能非常簡(jiǎn)單,為了更好地對(duì)報(bào)文進(jìn)行過(guò)濾,屏蔽路由器被引入到主機(jī)中。因此,屏蔽路由器在很大程度上確保了主機(jī)系統(tǒng)的安全性能。

1.2雙穴主機(jī)網(wǎng)關(guān)

網(wǎng)絡(luò)接口是雙穴主機(jī)的一個(gè)重要特點(diǎn),雙穴主機(jī)網(wǎng)關(guān)的工作原理是將堡壘主機(jī)當(dāng)做防火墻,主機(jī)防火墻軟件系統(tǒng)的運(yùn)行就是靠堡壘主機(jī)來(lái)實(shí)現(xiàn)的。網(wǎng)絡(luò)用戶(hù)的管理人員可以通過(guò)雙穴主機(jī)網(wǎng)關(guān)的部分功能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題,并及時(shí)解決網(wǎng)絡(luò)安全問(wèn)題。因此,雙穴主機(jī)網(wǎng)關(guān)在維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全上起到了非常重要的作用。

1.3被屏蔽主機(jī)網(wǎng)關(guān)

被屏蔽主機(jī)網(wǎng)關(guān)在主機(jī)系統(tǒng)中占據(jù)了非常重要的位置。被屏蔽主機(jī)網(wǎng)關(guān)的主要功能就是為了防止外部不安全信息對(duì)網(wǎng)絡(luò)用戶(hù)的入侵,被屏蔽主機(jī)網(wǎng)關(guān)在很大程度上保證了網(wǎng)絡(luò)用戶(hù)的安全。網(wǎng)絡(luò)系統(tǒng)外部的用戶(hù)如果沒(méi)有得到網(wǎng)絡(luò)系統(tǒng)管理者的進(jìn)入許可,就不能進(jìn)入網(wǎng)絡(luò)系統(tǒng)。因此,被屏蔽主機(jī)網(wǎng)關(guān)在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全性能。

2主機(jī)防火墻軟件系統(tǒng)發(fā)展趨勢(shì)

主機(jī)防火墻軟件系統(tǒng)的3個(gè)重要組成部分在網(wǎng)絡(luò)運(yùn)行過(guò)程中的作用各不相同。3個(gè)組成部分的功能共同確保了網(wǎng)絡(luò)運(yùn)行環(huán)境的安全。近年來(lái),防火墻技術(shù)發(fā)展飛速,在技術(shù)方面也不斷成熟,但是隨著科學(xué)技術(shù)的不斷改革與創(chuàng)新,網(wǎng)絡(luò)系統(tǒng)也在不斷地更新?lián)Q代。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展給網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn),隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,幾乎無(wú)時(shí)無(wú)刻都有網(wǎng)絡(luò)用戶(hù)的信息被竊取。因此,為了給廣大的網(wǎng)絡(luò)用戶(hù)提供一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境,防火墻軟件系統(tǒng)必須繼續(xù)進(jìn)行技術(shù)方面的創(chuàng)新。防火墻軟件系統(tǒng)只有在技術(shù)方面獲得突破之后,才能有效地保證網(wǎng)絡(luò)用戶(hù)的安全。主機(jī)防火墻軟件系統(tǒng)相關(guān)技術(shù)的研究也因此變得更加重要。為了保證網(wǎng)絡(luò)系統(tǒng)的安全,主機(jī)防火墻軟件系統(tǒng)必須及時(shí)地加以更新。

近些年來(lái),主機(jī)防火墻技術(shù)在模式上發(fā)生了巨大的轉(zhuǎn)變,主機(jī)防火墻軟件系統(tǒng)以前的位置經(jīng)常被設(shè)置在網(wǎng)絡(luò)比較邊緣的位置上。防火墻軟件系統(tǒng)在網(wǎng)絡(luò)的邊界上進(jìn)行設(shè)置的目的是為了對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行分析,如果防火墻軟件系統(tǒng)在數(shù)據(jù)分析的過(guò)程中發(fā)現(xiàn)數(shù)據(jù)存在不安全因素,那么數(shù)據(jù)則不被允許進(jìn)入網(wǎng)絡(luò)系統(tǒng)。然而,這種防火墻軟件系統(tǒng)由于被動(dòng)的防御方式,在應(yīng)用方面受到了很大的限制。為了使得防火墻軟件系統(tǒng)更能適應(yīng)網(wǎng)絡(luò)用戶(hù)的要求,并更好地對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全保護(hù),外網(wǎng)之外則成為防火墻軟件系統(tǒng)安裝的位置。當(dāng)防火墻軟件系統(tǒng)安裝位置定在了外網(wǎng)之外,網(wǎng)絡(luò)系統(tǒng)的安全性能也得到了明顯的提高。

目前,防火墻軟件系統(tǒng)的主要功能是為了防止外部用戶(hù)對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵。為了對(duì)防火墻軟件系統(tǒng)的功能進(jìn)行拓展以更大程度地滿足網(wǎng)絡(luò)用戶(hù)的要求,防火墻軟件系統(tǒng)在今后應(yīng)該將殺毒功能也放到其中。殺毒技術(shù)在防火墻軟件系統(tǒng)中的應(yīng)用,將使得防火墻軟件系統(tǒng)的防御功能變得更加強(qiáng)大。這將是今后防火墻軟件系統(tǒng)的一個(gè)必然發(fā)展趨勢(shì)。

3主機(jī)防火墻軟件系統(tǒng)開(kāi)發(fā)與設(shè)計(jì)

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行優(yōu)化以最大限度地滿足網(wǎng)絡(luò)用戶(hù)的需求,下面主要對(duì)主機(jī)防火墻軟件系統(tǒng)中的關(guān)鍵技術(shù)進(jìn)行分析研究。分布式防火墻的重要組成原件是主機(jī)防火墻,主機(jī)防火墻在整個(gè)網(wǎng)絡(luò)系統(tǒng)中發(fā)揮了重要作用。主機(jī)防火墻軟件系統(tǒng)是在主機(jī)上運(yùn)行,以此來(lái)組織外界對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵。

3.1主機(jī)防火墻軟件系統(tǒng)的包過(guò)濾功能

宿主機(jī)操作系統(tǒng)的內(nèi)核是主機(jī)防火墻軟件系統(tǒng)運(yùn)行的具置。所以網(wǎng)絡(luò)協(xié)議及主機(jī)操作系統(tǒng)與主機(jī)防火墻軟件系統(tǒng)有著直接聯(lián)系。主機(jī)防火墻軟件系統(tǒng)的主要功能是為了對(duì)主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議進(jìn)行分析,將攔截點(diǎn)設(shè)置在比較恰當(dāng)?shù)奈恢蒙?。這些攔截點(diǎn)將會(huì)對(duì)所有進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行分析,進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)只有被攔截點(diǎn)審查通過(guò)之后才能進(jìn)入網(wǎng)絡(luò)系統(tǒng)。如果進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)存在安全方面的問(wèn)題,則這些數(shù)據(jù)將被攔截點(diǎn)阻止在網(wǎng)絡(luò)系統(tǒng)的外部。主機(jī)防火墻軟件系統(tǒng)就是采取這種手段對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行過(guò)濾,以此來(lái)保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全。

3.2主機(jī)防火墻軟件系統(tǒng)的核心功能

包過(guò)濾是主機(jī)防火墻軟件系統(tǒng)的一個(gè)核心技術(shù)。主機(jī)防火墻軟件系統(tǒng)除了具有強(qiáng)大的包過(guò)濾功能外,還具有一些其它的功能。為了更好地了解主機(jī)防火墻軟件系統(tǒng),下面主要對(duì)主機(jī)防火墻軟件系統(tǒng)的核心功能進(jìn)行介紹。

主機(jī)防火墻軟件系統(tǒng)的核心功能主要有以下幾個(gè)方面:第一,主機(jī)防火墻軟件系統(tǒng)可以對(duì)策略中心所配置的一些相關(guān)安全策略進(jìn)行接收,以此來(lái)增強(qiáng)數(shù)據(jù)的過(guò)濾功能;第二,主機(jī)防火墻軟件系統(tǒng)為了對(duì)應(yīng)用程度的聯(lián)網(wǎng)動(dòng)作進(jìn)行一定程度的過(guò)濾,使得應(yīng)用程序的訪問(wèn)策略變得尤為重要;第三,主機(jī)防火墻軟件系統(tǒng)可以對(duì)一些網(wǎng)絡(luò)活動(dòng)進(jìn)行及時(shí)監(jiān)控,如果發(fā)現(xiàn)一些網(wǎng)絡(luò)活動(dòng)對(duì)網(wǎng)絡(luò)系統(tǒng)具有破壞作用,那么主機(jī)防火墻軟件系統(tǒng)則可以對(duì)這些網(wǎng)絡(luò)活動(dòng)進(jìn)行阻止以保證網(wǎng)絡(luò)系統(tǒng)的安全;第四,主機(jī)防火墻軟件系統(tǒng)可以對(duì)一些網(wǎng)絡(luò)活動(dòng)進(jìn)行記錄,以便網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題后能及時(shí)地對(duì)這些網(wǎng)絡(luò)活動(dòng)進(jìn)行分析;第五,主機(jī)防火墻軟件系統(tǒng)為了讓策略中心知道防火墻軟件系統(tǒng)處于運(yùn)行狀態(tài),還可以定時(shí)發(fā)送消息給策略中心。以上五個(gè)方面的功能就是主機(jī)防火墻軟件系統(tǒng)的核心功能,它們?cè)谥鳈C(jī)防火墻軟件系統(tǒng)中起到了非常重要的作用,網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全性就是靠這五項(xiàng)功能來(lái)實(shí)現(xiàn)的。

3.3主機(jī)防火墻軟件系統(tǒng)設(shè)計(jì)思路

主機(jī)防火墻軟件系統(tǒng)設(shè)計(jì)思路的完善與否將直接影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。因此,為了確保整個(gè)網(wǎng)絡(luò)系統(tǒng)擁有一個(gè)安全的運(yùn)行環(huán)境,必須充分重視主機(jī)防火墻軟件系統(tǒng)的設(shè)計(jì)。主控單元和網(wǎng)絡(luò)處理單元是主機(jī)防火墻軟件系統(tǒng)的主要設(shè)計(jì)內(nèi)容。下面對(duì)主控單元和網(wǎng)絡(luò)處理單元進(jìn)行簡(jiǎn)單介紹。

3.3.1主控單元設(shè)計(jì)

通用的中央處理單元是主控單元硬件經(jīng)常采用的。主控單元硬件的主要功能是為了對(duì)網(wǎng)絡(luò)處理板進(jìn)行管理及配置。主控單元在保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全方面起著非常重要的作用。因此,為了保證網(wǎng)絡(luò)系統(tǒng)能夠擁有一個(gè)更加安全的運(yùn)行環(huán)境,主控單元的設(shè)計(jì)工作必須引起設(shè)計(jì)人員的重視。主控單元在進(jìn)行設(shè)計(jì)的過(guò)程中,要注重采用一些比較強(qiáng)大的組成原件,以此來(lái)增加主控單元的功能。

3.3.2網(wǎng)絡(luò)處理單元設(shè)計(jì)

網(wǎng)絡(luò)處理單元設(shè)計(jì)的好壞直接影響到整個(gè)主機(jī)防火墻軟件系統(tǒng)的功能,最終影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。因此,為了確保網(wǎng)絡(luò)系統(tǒng)能夠擁有一個(gè)安全的運(yùn)行環(huán)境,網(wǎng)絡(luò)處理單元的設(shè)計(jì)必須引起設(shè)計(jì)人員的重視。專(zhuān)用的網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)處理單元中的應(yīng)用是網(wǎng)絡(luò)處理單元的一個(gè)顯著特點(diǎn),主控單元與專(zhuān)用網(wǎng)絡(luò)處理器總線的連接是網(wǎng)絡(luò)處理單元的外部設(shè)置內(nèi)容。網(wǎng)絡(luò)處理單元的主要功能是對(duì)來(lái)自主控單元的信息進(jìn)行分析,這些信息只有被確認(rèn)沒(méi)有破壞性之后才能被傳輸?shù)骄W(wǎng)絡(luò)系統(tǒng)中,如果這些數(shù)據(jù)被發(fā)現(xiàn)具有破壞性,那么數(shù)據(jù)將會(huì)被阻止在網(wǎng)絡(luò)系統(tǒng)的外面。網(wǎng)絡(luò)處理單元是不被主機(jī)防火墻軟件系統(tǒng)所控制的,其功能主要靠專(zhuān)用的網(wǎng)絡(luò)處理器來(lái)決定。

4結(jié)語(yǔ)

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行開(kāi)發(fā)與設(shè)計(jì),本文主要對(duì)主機(jī)防火墻軟件系統(tǒng)的組成部分、主機(jī)防火墻軟件系統(tǒng)的發(fā)展趨勢(shì)以及主機(jī)防火墻軟件系統(tǒng)開(kāi)發(fā)設(shè)計(jì)中的幾個(gè)關(guān)鍵問(wèn)題等方面進(jìn)行了分析研究。主機(jī)防火墻技術(shù)是確保網(wǎng)絡(luò)系統(tǒng)不被外來(lái)用戶(hù)入侵的一項(xiàng)技術(shù)保證措施,為了給網(wǎng)絡(luò)系統(tǒng)營(yíng)造一個(gè)安全的運(yùn)行環(huán)境,必須對(duì)主機(jī)防火墻技術(shù)進(jìn)行不斷地改進(jìn)與完善。

參考文獻(xiàn):

[1]郝身剛.具有系統(tǒng)防御功能的新型主機(jī)防火墻系統(tǒng)設(shè)計(jì)[J].南陽(yáng)師范學(xué)院學(xué)報(bào),2011(12).

[2]李曉.基于透明網(wǎng)橋的垃圾信息防火墻軟件系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2008.

[3]劉潔宇,任新華.分布式防火墻系統(tǒng)中主機(jī)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].山西電子技術(shù),2008(3).

[4]蘆志朋.深度包檢測(cè)主機(jī)防火墻的研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2010.

篇4

關(guān)鍵詞:下一代防火墻,;云計(jì)算;,SSL加密

中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 24-0000-01

一、什么是下一代防火墻

隨著云計(jì)算、移動(dòng)、社交網(wǎng)絡(luò)等新興IT技術(shù)的發(fā)展,互聯(lián)網(wǎng)應(yīng)用類(lèi)型的不斷增加以及應(yīng)用形式的不斷變化,越來(lái)越多的安全威脅伴隨著我們,這為IT系統(tǒng)的安全帶來(lái)全新的挑戰(zhàn),同時(shí)也給企業(yè)IT基礎(chǔ)架構(gòu)帶來(lái)了翻天覆地的變化。在這種情況下,第一代防火墻已基本無(wú)法探測(cè)到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。傳統(tǒng)的安全防護(hù)手段無(wú)法識(shí)別出網(wǎng)絡(luò)應(yīng)用,僅僅根據(jù)目的地IP地址阻止對(duì)此類(lèi)服務(wù)的已知源訪問(wèn)再也無(wú)法達(dá)到安全要求,沒(méi)有辦法對(duì)其進(jìn)行管理和防護(hù),是必須要經(jīng)過(guò)改進(jìn)來(lái)應(yīng)對(duì)各種各樣新的安全威脅挑戰(zhàn),下一代防火墻,即Next Generation Firewall,簡(jiǎn)稱(chēng)NG Firewall適時(shí)出現(xiàn)。下一代防火墻就是以應(yīng)用識(shí)別技術(shù)為基礎(chǔ)的。下一代防火墻的執(zhí)行范例包括阻止與針對(duì)細(xì)粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報(bào),如:使用Web郵件、anonymizer、端到端或計(jì)算機(jī)遠(yuǎn)程控制等?!跋乱淮惫δ埽唧w描述如下:

1.(1)功能部署預(yù)配置: 提供高吞吐量低延遲防火墻,基于不同規(guī)模下的個(gè)性化的需求譬如分布式企業(yè)安全控制管理的多功能應(yīng)用,這種部署選項(xiàng)設(shè)置目的在于對(duì)用戶(hù)提供隨需應(yīng)變的網(wǎng)絡(luò)與安全選擇。

(2)2.關(guān)聯(lián)可視性: 基于網(wǎng)絡(luò)中應(yīng)用,用戶(hù)與設(shè)備即時(shí)或查看過(guò)往的網(wǎng)絡(luò)使用狀況,及時(shí)的調(diào)配流量,應(yīng)用控制以及安全策略。

3.(3)高級(jí)威脅防護(hù)(ATP):提供強(qiáng)化的安全工具,抵御多面向的持續(xù)性滲透攻擊。能確保網(wǎng)絡(luò)安全不會(huì)成為網(wǎng)絡(luò)效能的瓶頸。

二、下一代防火墻技術(shù)特點(diǎn)

下一代防火墻應(yīng)該能夠?yàn)椴煌?guī)模的行業(yè)用戶(hù)的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案,具有包括如下的技術(shù)特點(diǎn):

(一)基于用戶(hù)進(jìn)行防護(hù)

傳統(tǒng)防火墻策略都是依賴(lài)IP與MAC地址來(lái)區(qū)分?jǐn)?shù)據(jù)流,這不利于管理也很難完成對(duì)網(wǎng)絡(luò)狀況的清晰掌握與精確的控制。下一代防火墻集成了安全準(zhǔn)入控制功能,支持多種認(rèn)證協(xié)議和認(rèn)證的方式,實(shí)現(xiàn)了基于用戶(hù)的安全防護(hù)策略部署和可視化管控。

(二)更加安全的面向應(yīng)用

在應(yīng)用安全方面,下一代防火墻應(yīng)可以做到對(duì)各種應(yīng)用的深層次的識(shí)別;;另外在數(shù)據(jù)安全性問(wèn)題方面的解決方面,通過(guò)遠(yuǎn)程接入技術(shù),虛擬化技術(shù)相結(jié)合,為遠(yuǎn)程接入終端提供虛擬應(yīng)用和虛擬桌面功能,不用執(zhí)行任何應(yīng)用系統(tǒng)客戶(hù)端程序,使其本地完成和內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互,實(shí)現(xiàn)了終端到業(yè)務(wù)系統(tǒng)的“無(wú)痕訪問(wèn)”,從而達(dá)到了終端與業(yè)務(wù)分離的目的。

(三)轉(zhuǎn)發(fā)平臺(tái)更加高效

下一代防火墻將NSE(網(wǎng)絡(luò)服務(wù)引擎)和SE(安全引擎)獨(dú)立部署。網(wǎng)絡(luò)服務(wù)引擎完成底層路由/交換轉(zhuǎn)發(fā),并且,對(duì)整機(jī)各模塊進(jìn)行管理和狀態(tài)監(jiān)控;;安全引擎負(fù)責(zé)把數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層安全處理和應(yīng)用層安全處理。通過(guò)部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎的方式來(lái)實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障切換功能。下一代防火墻為了突破傳統(tǒng)網(wǎng)關(guān)設(shè)備的性能瓶頸。

(四)擁有多層級(jí)冗余架構(gòu)

下一代防火墻在設(shè)計(jì)中,通過(guò)板卡冗余,模塊冗余和鏈路冗余來(lái)構(gòu)建底層物理級(jí)冗余,它使用雙操作系統(tǒng)來(lái)提供系統(tǒng)級(jí)冗余,而采用多機(jī)冗余及負(fù)載均衡進(jìn)行設(shè)備部署實(shí)現(xiàn)了方案級(jí)冗余。由物理級(jí),系統(tǒng)級(jí)和方案級(jí)共同構(gòu)成了多層級(jí)的冗余化架構(gòu)體系結(jié)構(gòu)。下一代防火墻設(shè)備擁有完善的業(yè)務(wù)連續(xù)性保障方案。采用多層級(jí)冗余化設(shè)計(jì)方案。

(五)可視化全方位視角

下一代防火墻對(duì)于管理范圍內(nèi)所有主機(jī),設(shè)備的網(wǎng)絡(luò)應(yīng)用情況和安全事件信息進(jìn)行準(zhǔn)確的定位和實(shí)時(shí)跟蹤,包括對(duì)歷史精確還原與對(duì)各種數(shù)據(jù)智能的統(tǒng)計(jì)分析,使得管理者清晰的認(rèn)知網(wǎng)絡(luò)運(yùn)行狀態(tài)。從應(yīng)用和用戶(hù)視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來(lái),對(duì)于全網(wǎng)產(chǎn)生的海量安全事件信息內(nèi)容,通過(guò)深入的數(shù)據(jù)挖掘能夠形成安全趨勢(shì)的分析,與各種圖形化的統(tǒng)計(jì)分析報(bào)告。

(六)防護(hù)和安全技術(shù)融合

下一代防火墻的整套安全防御體系都應(yīng)該是基于動(dòng)態(tài)云防護(hù)而進(jìn)行設(shè)計(jì)的。一方面可以通過(guò)云來(lái)收集安全威脅信息并且快速尋找解決方案,及時(shí)的更新攻擊防護(hù)規(guī)則庫(kù),并且以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶(hù)設(shè)備中,從而保證用戶(hù)的安全防護(hù)策略得到及時(shí)的,準(zhǔn)確的動(dòng)態(tài)更新。動(dòng)態(tài)云防護(hù)和全網(wǎng)威脅聯(lián)防是技術(shù)的一大融合。

三、下一代防火墻的優(yōu)勢(shì)

下一代防火墻作為邊界安全防護(hù)手段的核心技術(shù),在經(jīng)歷了無(wú)數(shù)次的技術(shù)變革后,早已不是傳統(tǒng)防概念了。下一代防火墻之所以受到各界的追捧,主要原因是由于當(dāng)今的網(wǎng)絡(luò)威脅來(lái)源發(fā)生了重大的變化,過(guò)去以郵件附件形式為主的攻擊手段已經(jīng)構(gòu)不成威脅了,取而代之的是,來(lái)自隱藏的在數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)應(yīng)用中的網(wǎng)絡(luò)攻,。下一代防火墻可以讓管理員分別控制管理與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流,能夠保證企業(yè)的網(wǎng)絡(luò)生產(chǎn)效率保持高水平,還可以將所有安全和程序控制技術(shù)應(yīng)用到SSL加密數(shù)據(jù)流中,確保SSL數(shù)據(jù)流中沒(méi)有惡意代碼。掃描各個(gè)端口的文件,不限制文件大小,也不會(huì)在掃描時(shí)影響數(shù)據(jù)的安全性或網(wǎng)絡(luò)的效率。

四、結(jié)束語(yǔ)

云計(jì)算、大數(shù)據(jù)和移動(dòng)技術(shù)都正以迅猛的速度發(fā)展,反映在企業(yè)網(wǎng)絡(luò)安全領(lǐng)域。下一代防火墻為不同規(guī)模的行業(yè)用戶(hù)的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案,以智能化識(shí)別、精細(xì)化控制、一體化掃描為核心理念,滿足了在下一代網(wǎng)絡(luò)中的安全應(yīng)用需求,集中體現(xiàn)了識(shí)別安全風(fēng)險(xiǎn)、保障應(yīng)用安全的客戶(hù)價(jià)值。

參考文獻(xiàn):

[1]肖堅(jiān).淺析入侵防御系統(tǒng)[J].電腦知識(shí)與技術(shù),,2011(14).

[2]王純.探析防火墻技術(shù)[J].無(wú)線互聯(lián)科技,,2011(06).

篇5

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;PKI技術(shù)

一、概述

網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),就其產(chǎn)品的主流趨勢(shì)而言,大多數(shù)服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。那么究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專(zhuān)用網(wǎng)(VPN)。安裝防火墻的基本原則是:只要有惡意侵入的可能,無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。

二、防火墻的選擇

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。管理和培訓(xùn)也是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。用戶(hù)在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇那些占市場(chǎng)份額較大又通過(guò)了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。

三、加密技術(shù)

信息交換加密技術(shù)分為兩類(lèi):即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。

(一)對(duì)稱(chēng)加密技術(shù)

在對(duì)稱(chēng)加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰匙,也就是說(shuō)一把鑰匙開(kāi)一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱(chēng)加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象,那么他就要維護(hù)N個(gè)私有密鑰,對(duì)稱(chēng)加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。

(二)非對(duì)稱(chēng)加密/公開(kāi)密鑰加密

在非對(duì)稱(chēng)加密體系中,密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi),而另一把作為私有密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開(kāi)密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱(chēng)加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

(三)RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí):到目前為止,無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積。

利用目前已經(jīng)掌握的知識(shí)和理論,分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力,因此在目前和預(yù)見(jiàn)的將來(lái),它是足夠安全的。

四、PKI技術(shù)

PKI(Public Key Infrastructure)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

(一)認(rèn)證機(jī)構(gòu)

CA(Certification Authorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶(hù)身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶(hù)電子身份證明―證書(shū),任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶(hù)。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。

(二)注冊(cè)機(jī)構(gòu)

RA(Registration Authorty)是用戶(hù)和CA的接口,它所獲得的用戶(hù)標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。

(三)策略管理

在PKI系統(tǒng)中,制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求,并且能通過(guò)CA和RA技術(shù)融入到CA和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí),這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求,科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論,并且具有良好的擴(kuò)展性和互用性。

(四)密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

五、安全技術(shù)的研究現(xiàn)狀和動(dòng)向

篇6

[關(guān)鍵詞]網(wǎng)絡(luò)安全 信息技術(shù) 發(fā)展態(tài)勢(shì)

中圖分類(lèi)號(hào):V263 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2017)10-0007-01

網(wǎng)絡(luò)安全問(wèn)題涉及到各個(gè)方面,包括產(chǎn)品的管理以及技術(shù)安全。就研究的內(nèi)容而言,網(wǎng)絡(luò)安全問(wèn)題涉及到邏輯安全、管理安全以及物理安全等。我國(guó)當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展與過(guò)去相比取得了顯著的成績(jī),但是在系統(tǒng)安全方面依然和西方一些發(fā)達(dá)國(guó)家相比有一定差距,加上我國(guó)需求變化較大,發(fā)展時(shí)間不長(zhǎng)等,從而造成我國(guó)現(xiàn)階段的信息安全產(chǎn)業(yè)鏈發(fā)展不夠完善,因而了解當(dāng)前的網(wǎng)絡(luò)安全技術(shù)及發(fā)展趨勢(shì)都顯得十分必要。

1、網(wǎng)絡(luò)安全信息技術(shù)的應(yīng)用分析

網(wǎng)絡(luò)安全信息技術(shù)在應(yīng)用種類(lèi)十分多樣,包括常見(jiàn)的身份認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、訪問(wèn)控制技術(shù)以及網(wǎng)絡(luò)入侵檢測(cè)技術(shù)等,筆者以身份認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、訪問(wèn)控制技術(shù)進(jìn)行分析。

1.1 身份認(rèn)證技術(shù)

所謂的身份認(rèn)證指的是對(duì)某個(gè)參與通信者的身份進(jìn)行驗(yàn)證,從而了解其是否與聲稱(chēng)的身份一致。當(dāng)前較為常見(jiàn)的身份認(rèn)證技術(shù)就是數(shù)字證書(shū)技術(shù)和數(shù)字簽名技術(shù)。其中,數(shù)字證書(shū)技術(shù)也叫做網(wǎng)絡(luò)身份證和數(shù)字身份證,通過(guò)公鑰體制,也就是通過(guò)相互匹配的密鑰進(jìn)行的一系列加密過(guò)程,其通常由認(rèn)證中心發(fā)起并簽名的,其中的文件包括公開(kāi)密鑰信息相關(guān)者和擁有者[1]。數(shù)字簽名指的是僅信息發(fā)送者通過(guò)密鑰算法公開(kāi)的一種技術(shù)創(chuàng)造出來(lái)無(wú)法被別人偽造的數(shù)字串,該技術(shù)是交易成功進(jìn)行的核心技術(shù)。

1.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)主要是保護(hù)動(dòng)態(tài)信息,在開(kāi)放網(wǎng)絡(luò)應(yīng)用中較為廣泛,其能夠?yàn)椴幻髟虻木W(wǎng)絡(luò)攻擊進(jìn)行抵抗,防止重要的信息被篡改或者泄露。數(shù)據(jù)加密技術(shù)的本質(zhì)就是通過(guò)符號(hào)的作用進(jìn)行數(shù)據(jù)置換與移位的算法變換過(guò)程。這一算法變換過(guò)程也叫做密鑰符號(hào)串控制,一般無(wú)論是解密還是加密都是在密鑰控制下開(kāi)展的。數(shù)據(jù)加密技術(shù)分為非對(duì)稱(chēng)和對(duì)稱(chēng)密鑰密碼技術(shù)兩種。

對(duì)稱(chēng)密鑰密碼技術(shù)對(duì)解密和加密的雙方均有要求,其必須在密鑰設(shè)置上保持一致,解密方和加密方都應(yīng)當(dāng)對(duì)密鑰進(jìn)行掌控,才能共同完成這一過(guò)程。均有典型代表性的對(duì)稱(chēng)密鑰密碼技術(shù)就是美國(guó)的數(shù)據(jù)加密算法以及數(shù)據(jù)加密標(biāo)準(zhǔn)[2]。國(guó)際數(shù)據(jù)加密算法是基于數(shù)據(jù)加密標(biāo)準(zhǔn)基礎(chǔ)上發(fā)展形成的,在加密與加密的過(guò)程中應(yīng)用較多,而數(shù)據(jù)加密標(biāo)準(zhǔn)則在用戶(hù)識(shí)別、文件保護(hù)以及計(jì)算機(jī)網(wǎng)絡(luò)通信中應(yīng)用十分廣泛。

非對(duì)稱(chēng)密鑰算法也叫做公鑰加密加密算法,其主要涉及到專(zhuān)用密鑰和公共密鑰兩種,二者之間的聯(lián)系異常緊密。在應(yīng)用的過(guò)程中,公鑰系統(tǒng)不僅具有加密的作用,還能M行數(shù)字簽名。

1.3 防火墻技術(shù)

所謂的防火墻技術(shù)主要是指的是保護(hù)網(wǎng)絡(luò)運(yùn)行安全性的技術(shù)。防火墻是一層在內(nèi)外部網(wǎng)絡(luò)邊界上構(gòu)建的過(guò)濾封鎖機(jī)制,是現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)實(shí)施安全措施的必備工具。通過(guò)了解防火墻相關(guān)技術(shù)應(yīng)用情況,能將其劃分為型防火墻、應(yīng)用網(wǎng)關(guān)防火墻、數(shù)據(jù)包過(guò)濾防火墻。防火墻運(yùn)轉(zhuǎn)過(guò)程中,主要是通過(guò)服務(wù)發(fā)揮作用,其也叫做TCP通道和鏈路級(jí)網(wǎng)關(guān)[3]。防火墻主要是利用網(wǎng)關(guān)技術(shù)和數(shù)據(jù)包過(guò)濾存在的缺陷而實(shí)行的一種防火墻技術(shù),主要特征就是劃分任何跨越防火墻網(wǎng)絡(luò)通信劃分為兩大段。應(yīng)用型防火墻一般在專(zhuān)用工作站上進(jìn)行安裝,通過(guò)建立于網(wǎng)絡(luò)應(yīng)用層上的轉(zhuǎn)發(fā)與過(guò)濾功能,對(duì)一些特定的服務(wù)協(xié)議涉及到的數(shù)據(jù)進(jìn)行過(guò)濾與分析,從而形成最終的分析報(bào)告[4]。數(shù)據(jù)包過(guò)濾防火墻不僅維護(hù)方便,且速度十分快,一般都是防火墻的首道防線。該防火墻對(duì)數(shù)據(jù)包在網(wǎng)絡(luò)層中的流通進(jìn)行選擇性通過(guò),從而對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查,依據(jù)數(shù)據(jù)包的目標(biāo)地址、源地址等決定是否讓其通過(guò)。

2、網(wǎng)絡(luò)安全的發(fā)展態(tài)勢(shì)分析

2.1 網(wǎng)絡(luò)攻擊新焦點(diǎn)集中于關(guān)鍵基礎(chǔ)設(shè)施和大數(shù)據(jù)平臺(tái)

公共交通、水利、電力以及電信等行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施和平臺(tái)是國(guó)際民生的關(guān)鍵設(shè)施,其如果受到惡意的網(wǎng)絡(luò)攻擊,則會(huì)導(dǎo)致巨大的社會(huì)損失,近些年來(lái)其往往容易被網(wǎng)絡(luò)攻擊者所盯上。例如,近些年來(lái)隨著美國(guó)核心技術(shù)設(shè)施的建設(shè)與完善,其所承受的網(wǎng)絡(luò)攻擊次數(shù)也在不斷增加。據(jù)有關(guān)資料顯示,2016年以來(lái),西方某發(fā)達(dá)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施遭受到的網(wǎng)絡(luò)攻擊行為呈現(xiàn)出成倍的增加趨勢(shì)。

2.2 網(wǎng)絡(luò)攻擊新矛頭指向新型媒體信息

由于信息媒體信息缺乏相應(yīng)的安全保障機(jī)制,往往成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。其安全性最大的缺陷在于攻擊者能夠相對(duì)輕易利用用戶(hù)的信任關(guān)系,從而構(gòu)建出虛擬化的信任網(wǎng)絡(luò),將一些攻擊資源大規(guī)模掌握在手中,最終對(duì)社會(huì)公共服務(wù)及網(wǎng)絡(luò)自身產(chǎn)生巨大的威脅。不法分子能夠通過(guò)社交網(wǎng)絡(luò)開(kāi)展網(wǎng)絡(luò)攻擊活動(dòng),以2013年的“敘利亞電子軍”事件最為典型,該行為對(duì)社會(huì)穩(wěn)定和國(guó)家安全帶來(lái)巨大的危害。

2.3 網(wǎng)絡(luò)攻擊新手段變更為以監(jiān)聽(tīng)技術(shù)為主

當(dāng)前,在國(guó)家政治領(lǐng)域中,私人機(jī)構(gòu)和政府部門(mén)開(kāi)展目標(biāo)滲透的一項(xiàng)新方式就是網(wǎng)絡(luò)攻擊,并且攻擊的方式逐漸從傳統(tǒng)途徑過(guò)渡到移動(dòng)通信方面。就網(wǎng)絡(luò)監(jiān)聽(tīng)而言,以往的監(jiān)聽(tīng)主要利用對(duì)數(shù)據(jù)包的旁路截獲而實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽(tīng),但該方式在指向性方面較弱,并且要求數(shù)據(jù)的存儲(chǔ)與處理十分嚴(yán)格。而為了使得監(jiān)聽(tīng)的內(nèi)容更加完整及效率更高,當(dāng)前有關(guān)機(jī)構(gòu)實(shí)行的監(jiān)聽(tīng)方式是主動(dòng)滲透的方式,從而進(jìn)入到網(wǎng)絡(luò)設(shè)備商、游戲服務(wù)商以及搜索服務(wù)商等。

3、信息技術(shù)的發(fā)展態(tài)勢(shì)分析

3.1 后個(gè)人計(jì)算時(shí)期的到來(lái)

現(xiàn)如今,全球信息技術(shù)的發(fā)展已經(jīng)進(jìn)入到關(guān)鍵的時(shí)期,其出現(xiàn)的變革征兆包括:產(chǎn)業(yè)界和科學(xué)家在研究后,發(fā)現(xiàn)集成電路行業(yè)的發(fā)展逐漸邁入了后摩爾時(shí)代,即在不斷突破與超越的過(guò)程中涌現(xiàn)出一大批全新的工藝、技術(shù)和材料;計(jì)算機(jī)的發(fā)展逐漸向后個(gè)人計(jì)算機(jī)時(shí)期跨入,以往的平臺(tái)逐漸分崩離析,各類(lèi)平臺(tái)逐漸進(jìn)入百姓生活并且相互之間開(kāi)始不斷的競(jìng)爭(zhēng);云計(jì)算、物聯(lián)網(wǎng)技術(shù)的崛起與革新促進(jìn)著整個(gè)信息技術(shù)產(chǎn)業(yè)的轉(zhuǎn)型與升級(jí),并且在信息技術(shù)的應(yīng)用過(guò)程及處理方法方面也產(chǎn)生了很大的變化;信息技術(shù)與網(wǎng)絡(luò)安全逐漸成為政治領(lǐng)域不得不面對(duì)的挑戰(zhàn);大數(shù)據(jù)時(shí)代的到來(lái)使得傳統(tǒng)的產(chǎn)業(yè)模式和研究方向發(fā)生了翻天覆地的變化,逐漸成為相關(guān)研究人員關(guān)注的核心領(lǐng)域;智能信息技術(shù)和人腦智能理念的研發(fā)將更上一層樓,對(duì)于人類(lèi)智能的認(rèn)知正發(fā)生深刻變化。

3.2 第三代信息技術(shù)的成型與發(fā)展

相比于傳統(tǒng)的信息技術(shù),當(dāng)前的信息技術(shù)更加靈活與便捷,信息技術(shù)的“云”創(chuàng)新力度越來(lái)越大,其中以物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等為代表的第三代信息技術(shù)發(fā)展逐漸形成規(guī)模,并以平臺(tái)的方式滲透著對(duì)社會(huì)的影響,在很大程度上改善了人們的日常生產(chǎn)和生活模式。

結(jié)語(yǔ)

網(wǎng)絡(luò)安全信息技術(shù)發(fā)展到今天,人類(lèi)社會(huì)享受網(wǎng)絡(luò)技術(shù)帶來(lái)的便捷之后,也承受到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題??梢哉f(shuō),網(wǎng)絡(luò)完全是長(zhǎng)久而系統(tǒng)的一項(xiàng)工程,不能僅僅通過(guò)單個(gè)的技術(shù)與信息系統(tǒng)來(lái)實(shí)現(xiàn),更應(yīng)當(dāng)考慮到各類(lèi)不同系統(tǒng)和平臺(tái)的要求,從而緊密結(jié)合于安全技術(shù),進(jìn)一步形成一個(gè)安全、通用、高效的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1] 耿長(zhǎng)海.網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)及信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].河南科技,2015,01:43-44.

[2] 楊曙光.計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,04:40-41.

篇7

在技術(shù)和用戶(hù)需求驅(qū)動(dòng)下,網(wǎng)絡(luò)和高端安全產(chǎn)品正在走向融合。未來(lái),新一代信息技術(shù)將呈現(xiàn)出更加開(kāi)放、智能、融合的屬性,這將給信息安全從業(yè)者帶來(lái)更大挑戰(zhàn)。

從用戶(hù)方面看,用戶(hù)需求開(kāi)始由被動(dòng)向主動(dòng)轉(zhuǎn)型,對(duì)產(chǎn)品的選擇也趨于理性。在產(chǎn)品結(jié)構(gòu)方面,除防火墻、IDS(入侵檢測(cè)系統(tǒng))和防病毒這“老三樣”產(chǎn)品外,用戶(hù)對(duì)UTM(統(tǒng)一威脅管理)、Web安全、信息加密、身份認(rèn)證、IPS(入侵防御系統(tǒng))、VPN(虛擬專(zhuān)用網(wǎng)絡(luò))、安全審計(jì)、安全管理平臺(tái)、專(zhuān)業(yè)安全服務(wù)等的需求逐步上升。

從防護(hù)對(duì)象看,用戶(hù)對(duì)網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)安全防護(hù)都有所加強(qiáng),服務(wù)器、終端、操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟硬件系統(tǒng)防護(hù)體系建設(shè)全面推進(jìn)。網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全體系將逐步健全。

2011年,隨著網(wǎng)絡(luò)威脅變得更加復(fù)雜多樣,單一功能的安全產(chǎn)品越來(lái)越難以滿足客戶(hù)的安全防護(hù)需求,安全產(chǎn)品正在向多功能化方向發(fā)展,安全集成和產(chǎn)品功能融合已經(jīng)是大勢(shì)所趨,這種融合包括:軟硬件、安全產(chǎn)品和IT設(shè)備的融合,廠商之間的產(chǎn)品和解決方案的融合等。如:UTM將多種安全功能集于一體,集成了防火墻、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)等功能,有取代傳統(tǒng)防火墻之勢(shì),有望成為未來(lái)的主流信息安全產(chǎn)品之一。

從具體產(chǎn)品看,防火墻已經(jīng)從最初的包過(guò)濾防火墻發(fā)展到現(xiàn)在的深度檢測(cè)防火墻,產(chǎn)品性能和對(duì)應(yīng)用層數(shù)據(jù)的檢測(cè)能力不斷提高;UTM從簡(jiǎn)單的功能疊加,逐步發(fā)展到功能融合;IDS/IPS隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展日趨成熟;內(nèi)網(wǎng)(終端)安全產(chǎn)品需求快速增長(zhǎng);Web應(yīng)用安全類(lèi)產(chǎn)品從單一保護(hù)模式發(fā)展到多方保護(hù)模式;SOC(安全管理平臺(tái))產(chǎn)品正不斷適應(yīng)本地化需求。

東軟NetEye安全運(yùn)維管理平臺(tái)(SOC)

東軟NetEye安全運(yùn)維管理平臺(tái)(SOC)解決了海量數(shù)據(jù)和信息孤島的困擾,整體上簡(jiǎn)化了安全管理的數(shù)據(jù)模型。通過(guò)將網(wǎng)絡(luò)中各類(lèi)IT基礎(chǔ)設(shè)施的多類(lèi)數(shù)據(jù)存儲(chǔ)到一個(gè)通用數(shù)據(jù)庫(kù)中,并根據(jù)科學(xué)的策略進(jìn)行關(guān)聯(lián)分析,協(xié)助安全維護(hù)人員更有效地回應(yīng)不斷變化的安全風(fēng)險(xiǎn)。

東軟SOC采用創(chuàng)新的“私有云”架構(gòu),將數(shù)據(jù)收集、數(shù)據(jù)集成、數(shù)據(jù)分析等任務(wù)逐層下發(fā)到云端,實(shí)現(xiàn)了海量異構(gòu)數(shù)據(jù)集成、數(shù)據(jù)歸并、數(shù)據(jù)分析的多層次處理。基于云的系統(tǒng)能同時(shí)匯聚超大規(guī)模的數(shù)據(jù)信息,并擴(kuò)大其監(jiān)控的范圍,從而提高分析的有效性。

東軟SOC能實(shí)現(xiàn)人性化的觸摸屏操作,可以進(jìn)行形象化比擬安全狀態(tài),能對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行監(jiān)控,全面展開(kāi)數(shù)據(jù)收集,并能進(jìn)行海量異構(gòu)數(shù)據(jù)收集與分析,提供細(xì)致到位的平臺(tái)支撐。

華賽Secospace USG5500萬(wàn)兆UTM

Secospace USG5500是華為賽門(mén)鐵克面向大中型企業(yè)和下一代數(shù)據(jù)中心推出的新一代萬(wàn)兆UTM。USG5500集大容量交換與專(zhuān)業(yè)安全于一體,在僅3U的平臺(tái)上提供了超過(guò)30G的處理能力,融合了IPS、AV、URL過(guò)濾、應(yīng)用流量控制、反垃圾郵件等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù),可精細(xì)化管理一千多種網(wǎng)絡(luò)應(yīng)用,同時(shí)傳承了USG產(chǎn)品族優(yōu)異的防火墻、VPN及路由特性,為用戶(hù)打造更高速、更高效、更安全的網(wǎng)絡(luò)。

USG5500有以下特點(diǎn):更高速,能提供萬(wàn)兆多核全新硬件平臺(tái),實(shí)現(xiàn)海量業(yè)務(wù)處理;更高效,能進(jìn)行超千種應(yīng)用程序精細(xì)管理;更安全,重新演繹了專(zhuān)業(yè)內(nèi)容安全防御技術(shù)。USG5500基于賽門(mén)鐵克多年積累的反病毒技術(shù),采用文件級(jí)內(nèi)容掃描的AV引擎,結(jié)合全球領(lǐng)先的仿真環(huán)境虛擬執(zhí)行技術(shù),提供高達(dá)99%的精準(zhǔn)檢出率,多次獲國(guó)際評(píng)測(cè)組織好評(píng);專(zhuān)業(yè)漏洞補(bǔ)丁技術(shù),讓變形無(wú)所遁形:USG5500采用賽門(mén)鐵克領(lǐng)先的漏洞防護(hù)技術(shù),針對(duì)漏洞(而非攻擊代碼)提供“虛擬補(bǔ)丁”。

梭子魚(yú)下一代防火墻F800

梭子魚(yú)下一代防火墻F800是一個(gè)集成硬件設(shè)備和虛擬化軟件的安全網(wǎng)關(guān),它能全面防護(hù)企業(yè)網(wǎng)絡(luò)架構(gòu),提升點(diǎn)對(duì)點(diǎn)連接流量,簡(jiǎn)化網(wǎng)絡(luò)操作流程。除了強(qiáng)大的防火墻和VPN功能以外,產(chǎn)品還集成了一系列下一代防火墻的復(fù)雜技術(shù),包括身份認(rèn)證的七層應(yīng)用控制、入侵檢測(cè)、安全網(wǎng)關(guān)、垃圾郵件防護(hù)以及網(wǎng)絡(luò)準(zhǔn)入控制等。

梭子魚(yú)下一代防火墻F800突出了智能點(diǎn)對(duì)點(diǎn)流量管理功能,大大優(yōu)化了廣域網(wǎng)的性能和功能。信息管理人員可以輕松管理應(yīng)用層路徑,根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。產(chǎn)品支持多種鏈接接入方式,包括專(zhuān)用線路、XDSL、3G/UMTS無(wú)線移動(dòng)網(wǎng)絡(luò)及其他以太網(wǎng)的鏈路接口。

除了上述領(lǐng)先的下一代防火墻的卓越性能外,該產(chǎn)品還配備了業(yè)界領(lǐng)先的中央管理控制平臺(tái)、功能更具彈性的VPN及智能流量管理技術(shù),能保障用戶(hù)在全面提升網(wǎng)絡(luò)性能的同時(shí)縮減成本支出。

Hillstone云數(shù)據(jù)中心安全解決方案

采用Hillstone SG-6000-X6150高性能數(shù)據(jù)中心防火墻的彈性化安全方案,能為云數(shù)據(jù)中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G數(shù)據(jù)中心防火墻,它具有以下特點(diǎn):電信級(jí)可靠性設(shè)計(jì),高性能、高容量、低延遲,智能的業(yè)務(wù)自適應(yīng)能力,深度應(yīng)用檢測(cè)及網(wǎng)絡(luò)可視化,豐富的業(yè)務(wù)擴(kuò)展能力,綠色、節(jié)能、環(huán)保。

該方案能為海量計(jì)算提供更高的性能保障。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻可提供更為有效的保障,平臺(tái)采用全并行安全架構(gòu),實(shí)現(xiàn)對(duì)安全業(yè)務(wù)的分布式處理;對(duì)軟件處理流程進(jìn)行了很大的優(yōu)化,在業(yè)務(wù)安全處理流程上,實(shí)現(xiàn)一次解包全并行處理,達(dá)到最高的處理效率。

該方案還能為快速增長(zhǎng)的業(yè)務(wù)提供高可擴(kuò)展性支持。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻采用彈性架構(gòu),在全模塊化設(shè)計(jì)的基礎(chǔ)上,實(shí)現(xiàn)數(shù)據(jù)輸入/輸出與安全計(jì)算的分離、控制與安全處理的分離,多個(gè)計(jì)算資源可為相同的接口服務(wù),在增加業(yè)務(wù)處理模塊后,為特定的業(yè)務(wù)提供更高性能的處理資源。這種彈性可擴(kuò)展的特性,既降低了數(shù)據(jù)中心安全建設(shè)的初期成本,同時(shí)伴隨著業(yè)務(wù)增長(zhǎng),也有效地保護(hù)了用戶(hù)投資。

除以上功能外,該方案還能為云數(shù)據(jù)中心業(yè)務(wù)持續(xù)性提供高可靠保證,為云數(shù)據(jù)中心虛擬化提供支撐,并能提供云數(shù)據(jù)中心全局可視化管理。

趨勢(shì)科技云計(jì)算安全解決方案

趨勢(shì)科技的云計(jì)算安全整體解決方案可以全面保護(hù)超過(guò)22種平臺(tái)和環(huán)境的數(shù)據(jù)資產(chǎn)。通過(guò)趨勢(shì)科技的企業(yè)威脅管理戰(zhàn)略配合“云計(jì)算安全5.0”解決方案,用戶(hù)可全面地保護(hù)從物理機(jī)、虛擬機(jī)到云基礎(chǔ)設(shè)施、云數(shù)據(jù)、云應(yīng)用到移動(dòng)互聯(lián)網(wǎng)中的移動(dòng)設(shè)備和智能手機(jī)等環(huán)境。趨勢(shì)科技帶給企業(yè)用戶(hù)的全球領(lǐng)先的云計(jì)算安全技術(shù),將成為云計(jì)算產(chǎn)業(yè)發(fā)展最堅(jiān)實(shí)的基礎(chǔ),這使得用戶(hù)能夠邁向云端,安心地全力把握云計(jì)算浪潮所帶來(lái)的寶貴商機(jī)。

篇8

關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻

1 概論

當(dāng)今社會(huì)互聯(lián)網(wǎng)高度發(fā)達(dá),幾乎全世界的計(jì)算機(jī)都通過(guò)因特網(wǎng)聯(lián)系在了一起。網(wǎng)絡(luò)安全也成了互聯(lián)網(wǎng)用戶(hù)每時(shí)每刻要面對(duì)的問(wèn)題?,F(xiàn)在,網(wǎng)絡(luò)安全已經(jīng)成了專(zhuān)門(mén)的技術(shù)。保證網(wǎng)絡(luò)安全有很多種措施,包括防火墻技術(shù)、數(shù)字簽名、數(shù)據(jù)加密解密技術(shù)、訪問(wèn)控制、身份認(rèn)證技術(shù)等,其中防火墻技術(shù)使用最廣泛,實(shí)用性最強(qiáng)。

2 防火墻技術(shù)

防火墻技術(shù)是一個(gè)由硬件設(shè)備和軟件組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,是形象的說(shuō)法。防火墻既可以是一個(gè)硬件設(shè)備也可以是運(yùn)行在一般硬件上的一套軟件。防火墻能加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外網(wǎng)用戶(hù)以非法手段訪問(wèn)內(nèi)部網(wǎng)絡(luò),保護(hù)內(nèi)部網(wǎng)絡(luò)環(huán)境。防火墻能很好的保護(hù)用戶(hù),入侵者只有穿過(guò)防火墻,才能接觸到用戶(hù)計(jì)算機(jī)。防火墻可以阻擋大部分的網(wǎng)絡(luò)進(jìn)攻,能滿足絕大多數(shù)用戶(hù)的需要。

3 防火墻分類(lèi)

3.1 從實(shí)現(xiàn)方式上分 從實(shí)現(xiàn)方式上防火墻可以分為軟件防火墻和硬件防火墻兩類(lèi)。軟件防火墻以純軟件的方式實(shí)現(xiàn),只能通過(guò)軟件設(shè)置一定的規(guī)則來(lái)限制外網(wǎng)用戶(hù)非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)。軟件防火墻功能相對(duì)簡(jiǎn)單,價(jià)格便宜,廣泛應(yīng)用于小型企業(yè)及個(gè)人用戶(hù)。硬件防火墻指通過(guò)軟硬件的結(jié)合的方式來(lái)隔離內(nèi)部外部網(wǎng)絡(luò),效果很好,但是價(jià)格昂貴,只適用于大型企事業(yè)單位。

3.2 從架構(gòu)上分 防火墻從架構(gòu)上分可以分為通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器(NP)架構(gòu)三種。

通用CPU架構(gòu)以基于Inter X86架構(gòu)的防火墻為代表。其特點(diǎn)是靈活性高和可擴(kuò)展性好。由于PCI總線速度較低,CPU處理能力弱,通用CPU架構(gòu)防火墻的數(shù)據(jù)吞吐量較低,和理論值2Gbps有很大差距。該架構(gòu)的防火墻通常作為百兆級(jí)防火墻。

ASIC(Application Specific Integrated Circuit專(zhuān)用集成電路)技術(shù)是高端網(wǎng)絡(luò)設(shè)備廣泛采用的技術(shù)。其采用了多總線技術(shù)、數(shù)據(jù)層面、控制層面分離與硬件轉(zhuǎn)發(fā)模式等技術(shù)。ASIC架構(gòu)防火墻解決了寬帶容量和性能不足的問(wèn)題,穩(wěn)定性也得到了很好的保證。ASIC架構(gòu)防火墻是世界公認(rèn)的滿足千兆骨干級(jí)網(wǎng)絡(luò)應(yīng)用的技術(shù)方案,線速可達(dá)千兆。ASIC技術(shù)的優(yōu)勢(shì)體現(xiàn)在對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)轉(zhuǎn)發(fā),而對(duì)應(yīng)用層的數(shù)據(jù)處理不占優(yōu)勢(shì)。

網(wǎng)絡(luò)處理器(NP)是專(zhuān)門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器,它具有高處理能力、開(kāi)放的編程接口、完全的可編程性、簡(jiǎn)單的編程模式等優(yōu)點(diǎn)。

NP內(nèi)含多個(gè)數(shù)據(jù)處理器,可以并發(fā)處理數(shù)據(jù)。數(shù)據(jù)處理能力較通用處理器強(qiáng)大很多,處理一般性任務(wù)時(shí)可以達(dá)到線速。網(wǎng)絡(luò)處理器架構(gòu)下的產(chǎn)品成本比通用CPU架構(gòu)的成本要高,而處理能力比ASIC價(jià)格低。但是網(wǎng)絡(luò)處理器架構(gòu)防火墻集成度高由于有多個(gè)數(shù)據(jù)處理器,能夠勝任高速數(shù)據(jù)處理。

3.3 從技術(shù)上分 目前有很多種防火墻技術(shù),根據(jù)采用技術(shù)的不同,總體可以分為兩大類(lèi):包過(guò)濾型和應(yīng)用型。

3.3.1 包過(guò)濾型防火墻 包過(guò)濾型防火墻是最原始的防火墻,作用在網(wǎng)絡(luò)層和傳輸層,技術(shù)依據(jù)是數(shù)據(jù)在網(wǎng)絡(luò)中采用分組傳輸技術(shù)。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸前先被劃分為多個(gè)數(shù)據(jù)包,每個(gè)數(shù)據(jù)包都包含一些特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類(lèi)型、端口號(hào)等標(biāo)志。防火墻根據(jù)這些信息判斷數(shù)據(jù)是否安全。滿足防火墻過(guò)濾條件的數(shù)據(jù)包被轉(zhuǎn)發(fā)到相應(yīng)的目的地址,其余數(shù)據(jù)包則被丟棄。

在包過(guò)濾防火墻的發(fā)展過(guò)程中,出現(xiàn)了第一代靜態(tài)包過(guò)濾型防火墻第二代動(dòng)態(tài)包過(guò)濾型防火墻。

靜態(tài)包過(guò)濾防火墻根據(jù)管理員預(yù)先定義好的數(shù)據(jù)過(guò)濾規(guī)則檢查每個(gè)數(shù)據(jù)包,與過(guò)濾規(guī)則匹配成功則丟棄,否則讓其通過(guò)。過(guò)濾規(guī)則基于數(shù)據(jù)包中的特定信息,如數(shù)據(jù)源地址,目的地址、協(xié)議類(lèi)型、端口號(hào)等。

動(dòng)態(tài)包過(guò)濾型防火墻的包過(guò)濾規(guī)則采用動(dòng)態(tài)設(shè)置的方法,解決了靜態(tài)包過(guò)濾型防火墻出現(xiàn)的問(wèn)題。該技術(shù)后來(lái)發(fā)展成為狀態(tài)監(jiān)測(cè)(Stateful Inspection)包過(guò)濾技術(shù)。采用這種技術(shù)的防火墻利用狀態(tài)表跟蹤所有的網(wǎng)絡(luò)會(huì)話狀態(tài),不僅根據(jù)規(guī)則表檢查每一個(gè)包,還根據(jù)會(huì)話所處的狀態(tài)檢查數(shù)據(jù)包。狀態(tài)檢測(cè)防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)傳輸行為,增強(qiáng)了控制能力。狀態(tài)檢測(cè)防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤,并且可根據(jù)需要在過(guò)濾規(guī)則中動(dòng)態(tài)地增加或更新條目。

包過(guò)濾技術(shù)既簡(jiǎn)單實(shí)用,又能適用于所有的網(wǎng)絡(luò)服務(wù),基本上能滿足大多數(shù)企業(yè)的安全要求。但是包過(guò)濾技術(shù)也有它的缺點(diǎn)。該技術(shù)是基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的數(shù)據(jù)來(lái)源、目標(biāo)地址和端口號(hào)等信息判斷是否安全。對(duì)于應(yīng)用層的入侵,如惡意軟件以及文件附帶的病毒則無(wú)能為力。因?yàn)閭卧霫P地址,騙過(guò)包過(guò)濾型防火墻對(duì)于有經(jīng)驗(yàn)的黑客來(lái)說(shuō)并不是一件難事。為特定服務(wù)開(kāi)放的端口存在著一定的受攻擊風(fēng)險(xiǎn)。

3.3.2 應(yīng)用型防火墻 應(yīng)用型防火墻工作在應(yīng)用層。它通過(guò)對(duì)各種應(yīng)用服務(wù)編制專(zhuān)門(mén)的程序,實(shí)現(xiàn)監(jiān)控應(yīng)用層通信流的作用。

在型防火墻技術(shù)的發(fā)展過(guò)程中,出現(xiàn)了第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

應(yīng)用網(wǎng)關(guān)型防火墻有時(shí)也被稱(chēng)為服務(wù)器,其安全性遠(yuǎn)高于包過(guò)濾型防火墻。該防火墻位于服務(wù)器與客戶(hù)機(jī)之間,對(duì)于服務(wù)器來(lái)說(shuō),它相當(dāng)于客戶(hù)機(jī);對(duì)于客戶(hù)機(jī)來(lái)說(shuō),它相當(dāng)于服務(wù)器。從客戶(hù)機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過(guò)防火墻處理后,可以隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。由于外部客戶(hù)機(jī)與內(nèi)部服務(wù)器之間沒(méi)有直接通信,所以外部的行為一般不會(huì)影響內(nèi)部服務(wù)器。這種類(lèi)型的防火墻被公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是服務(wù)器技術(shù)。

自適應(yīng)型防火墻是一種新型防火墻,近年來(lái)得到了廣泛的應(yīng)用。它既具有包過(guò)濾防火墻的高速度的優(yōu)點(diǎn)又具有類(lèi)型防火墻的安全性的優(yōu)點(diǎn),能在不降低安全性的基礎(chǔ)上將防火墻的性能提高數(shù)倍。自適應(yīng)型防火墻的基本組成要素包括動(dòng)態(tài)包過(guò)濾器和自適應(yīng)服務(wù)器。

應(yīng)用型防火墻是為防范應(yīng)用層攻擊設(shè)計(jì)的,它可以篩選保護(hù)OIS網(wǎng)絡(luò)模型中的任意層數(shù)據(jù)通信。應(yīng)用型防火墻有以下優(yōu)點(diǎn):隱藏內(nèi)部IP;限制某些協(xié)議的傳出請(qǐng)求;指定對(duì)連接的控制;能夠記錄連接日志,對(duì)追蹤攻擊和非法訪問(wèn)很有用。

應(yīng)用防火墻的缺點(diǎn):用戶(hù)每次連接都要認(rèn)證,帶來(lái)不便;用戶(hù)系統(tǒng)須定制;速度相對(duì)較慢,當(dāng)網(wǎng)絡(luò)通信速率較高時(shí),就會(huì)影響內(nèi)外部通信,但通常情況下不會(huì)很明顯。

4 結(jié)束語(yǔ)

防火墻系統(tǒng)只是一種網(wǎng)絡(luò)安全防護(hù)手段,并不能保證網(wǎng)絡(luò)安全萬(wàn)無(wú)一失。它只能防護(hù)經(jīng)過(guò)自身的非法訪問(wèn)和攻擊,某些惡意的訪問(wèn)可以通過(guò)客戶(hù)機(jī)的軟件繞過(guò)放過(guò)防火墻,傳輸非法數(shù)據(jù)。另外對(duì)于數(shù)據(jù)驅(qū)動(dòng)式攻擊、帶病毒的數(shù)據(jù)防火墻都不能直接攔截。

單純的防火墻技術(shù)逐漸不能滿足人們對(duì)網(wǎng)絡(luò)安全的需要,防火墻技術(shù)的改進(jìn)及與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用已經(jīng)成為網(wǎng)絡(luò)安全的重要手段。主要的技術(shù)手段有:多級(jí)過(guò)濾技術(shù)、分布式防火墻、入侵檢查系統(tǒng)、入侵防御系統(tǒng)。

隨著計(jì)算機(jī)技術(shù)的發(fā)展,防火墻技術(shù)會(huì)不斷的向前發(fā)展,網(wǎng)絡(luò)安全問(wèn)題也會(huì)不斷涌現(xiàn)。只有不斷改進(jìn)安全策略,才能保證網(wǎng)絡(luò)安全穩(wěn)定的發(fā)展。

參考文獻(xiàn):

[1]伍錦群.防火墻技術(shù)的探討[J].長(zhǎng)春理工大學(xué)學(xué)報(bào).2008,(03).

篇9

關(guān)鍵詞 計(jì)算機(jī)網(wǎng)絡(luò) 安全性 防火墻

隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展,計(jì)算機(jī)已普遍應(yīng)用到日常工作、生活的每一個(gè)領(lǐng)域,比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。而網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用的廣泛深入,網(wǎng)絡(luò)已經(jīng)成為信息社會(huì)的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)上信息的安全和保密是網(wǎng)絡(luò)得以發(fā)展的重要保障。但隨之而來(lái)的是,計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅,計(jì)算機(jī)病毒無(wú)處不在,黑客的猖獗,都防不勝防。

一、影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

對(duì)計(jì)算機(jī)信息構(gòu)成不安全的因素很多,其中包括人為的因素、自然的因素和偶發(fā)的因素。其中,人為因素是指,一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞,或者潛入計(jì)算機(jī)房,盜用計(jì)算機(jī)系統(tǒng)資源,非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個(gè)方面:

1.操作系統(tǒng)存在安全問(wèn)題

操作系統(tǒng)是作為一個(gè)支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。

2.防火墻的脆弱性

防火墻只能提供網(wǎng)絡(luò)的安全性,不能保證網(wǎng)絡(luò)的絕對(duì)安全,它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計(jì)算機(jī)安全。防火墻保護(hù)你免受一類(lèi)攻擊的威脅,但是卻不能防止從LAN 內(nèi)部的攻擊,若是內(nèi)部的人和外部的人聯(lián)合起來(lái),即使防火墻再?gòu)?qiáng),也是沒(méi)有優(yōu)勢(shì)的。它甚至不能保護(hù)你免受所有那些它能檢測(cè)到的攻擊。隨著技術(shù)的發(fā)展,還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。

3.計(jì)算機(jī)病毒的影響

計(jì)算機(jī)病毒利用網(wǎng)絡(luò)作為自己繁殖和傳播的載體及工具,造成的危害越來(lái)越大,病毒的危害性強(qiáng),變形各類(lèi)繁多、傳播速度快、影響范圍廣。

二、應(yīng)對(duì)策略

在技術(shù)方面,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測(cè)技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來(lái),技術(shù)層面可以采取以下對(duì)策:

(1)建立安全管理制度。提高包括系統(tǒng)管理員和用戶(hù)在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對(duì)重要部門(mén)和信息,嚴(yán)格做好開(kāi)機(jī)查毒,及時(shí)備份數(shù)據(jù),這是一種簡(jiǎn)單有效的方法。

(2)網(wǎng)絡(luò)訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

(3)應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證?;诿艽a的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

(4)切斷傳播途徑。對(duì)被感染的硬盤(pán)和計(jì)算機(jī)進(jìn)行徹底殺毒處理,不使用來(lái)歷不明的U盤(pán)和程序,不隨意下載網(wǎng)絡(luò)可疑信息。

(5)提高網(wǎng)絡(luò)反病毒技術(shù)能力。在網(wǎng)絡(luò)環(huán)境下,病毒傳播的速度非??欤?jì)算機(jī)病毒不斷升級(jí),極大威脅到網(wǎng)絡(luò)的安全?,F(xiàn)在我們普遍使用防病毒軟件進(jìn)行病毒的防范,常用的防病毒軟件包括單機(jī)防病毒軟件和網(wǎng)絡(luò)防病毒軟件兩大類(lèi)。網(wǎng)絡(luò)防病毒軟件注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,此軟件會(huì)立刻檢測(cè)到并予以清除。單機(jī)防病毒軟件采用分析、掃描的方式對(duì)本地和本地工作站連接的遠(yuǎn)程資源進(jìn)行檢測(cè)并清除病毒。此外,我們還可以采取如下具體的防病毒措施,如定期對(duì)文件進(jìn)行備份、不隨意打開(kāi)陌生網(wǎng)站鏈接、不隨意打開(kāi)陌生郵件附件、開(kāi)啟反病毒軟件實(shí)時(shí)監(jiān)控和殺毒功能、網(wǎng)絡(luò)下載的文件或軟件要先殺毒再使用等。?通過(guò)安裝病毒防火墻,進(jìn)行實(shí)時(shí)過(guò)濾。對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),在工作站上采用防病毒卡,加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問(wèn)權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。

(6)漏洞掃描技術(shù)。漏洞掃描技術(shù)就是利用網(wǎng)絡(luò)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行網(wǎng)絡(luò)安全檢測(cè),以查找出安全隱患和系統(tǒng)漏洞,然后進(jìn)行排除。由于漏洞是系統(tǒng)本身不可避免的,因此各種軟件常通過(guò)“打補(bǔ)丁”的方式修補(bǔ)漏洞。系統(tǒng)開(kāi)放的服務(wù)越多。存在漏洞的幾率也就越大。因此不要同時(shí)運(yùn)行太多的軟件,不但可以減少漏洞隱患,還可以提高計(jì)算機(jī)的運(yùn)行速度。漏洞掃描的結(jié)果實(shí)際就是對(duì)系統(tǒng)安全性能的評(píng)估,定時(shí)運(yùn)行漏洞掃描技術(shù),是保證網(wǎng)絡(luò)安全不可缺少的手段。

(7)加強(qiáng)IP地址的保密性 黑客攻擊計(jì)算機(jī)的主要途徑就是通過(guò)計(jì)算機(jī)的IP地址來(lái)實(shí)現(xiàn)的。一旦被黑客掌握了IP地址,就可以對(duì)計(jì)算機(jī)進(jìn)行各種非法攻擊,從而使該計(jì)算機(jī)的安全受到極大的威脅。因此,用戶(hù)應(yīng)當(dāng)加強(qiáng)IP地址的保密性,不能隨便泄露自己使用的計(jì)算機(jī)的IP地址,在使用的過(guò)程中最好將IP地址隱藏起來(lái),以提高網(wǎng)絡(luò)安全系數(shù)。

三、結(jié)束語(yǔ)

總之,網(wǎng)絡(luò)安全非常重要,由于網(wǎng)絡(luò)的共享性和開(kāi)放性,網(wǎng)絡(luò)經(jīng)常受到嚴(yán)重的安全攻擊,因此重視對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開(kāi)發(fā)及軟件研制,建立更加有效的網(wǎng)絡(luò)安全防范體系就極為重要。同時(shí),也要樹(shù)立所有參與人員的計(jì)算機(jī)安全意識(shí),建立健全網(wǎng)絡(luò)安全管理制度,力爭(zhēng)將網(wǎng)絡(luò)安全問(wèn)題控制到最小。

參考文獻(xiàn):

篇10

銀澎云計(jì)算旗下的主要產(chǎn)品有:

云主機(jī):通過(guò)對(duì)計(jì)算與存儲(chǔ)資源的聚合和虛擬化,給用戶(hù)帶來(lái)高效、低成本、按需供給、靈活使用的計(jì)算與數(shù)據(jù)服務(wù)。

云加速:將網(wǎng)站靜態(tài)內(nèi)容于離用戶(hù)最近節(jié)點(diǎn),用戶(hù)使用時(shí)可就近獲得所需數(shù)據(jù)。

云會(huì)議:公司旗下“好視通”云會(huì)議平臺(tái)是國(guó)內(nèi)領(lǐng)先的云會(huì)議服務(wù)領(lǐng)導(dǎo)品牌,擁有多項(xiàng)創(chuàng)新核心技術(shù)優(yōu)勢(shì),產(chǎn)品已成功地廣泛運(yùn)用于全國(guó)教育、培訓(xùn)、金融、物流、通信、政府等行業(yè)和領(lǐng)域,企業(yè)榮膺國(guó)家級(jí)高新技術(shù)企業(yè)和雙軟企業(yè)等科技認(rèn)證。

云存儲(chǔ):致力于打造具備大數(shù)據(jù)集中存儲(chǔ)、自助云備份、發(fā)送共享和管理服務(wù)的私有云平臺(tái)。該平臺(tái)是針對(duì)企業(yè)、政府、學(xué)校、科研、傳媒等企業(yè)級(jí)用戶(hù)應(yīng)用而開(kāi)發(fā)的,適用于任何機(jī)構(gòu)內(nèi)部或內(nèi)外之間的電子文檔存儲(chǔ)管理、網(wǎng)絡(luò)服務(wù)、傳閱簽收、公文審批等業(yè)務(wù)流程,便于機(jī)構(gòu)全體、部門(mén)、個(gè)人的電子文檔共享,有關(guān)文檔按機(jī)構(gòu)、部門(mén)、項(xiàng)目組、職員進(jìn)行嚴(yán)格管理,實(shí)現(xiàn)對(duì)文件的嚴(yán)格管理與可控共享。

云數(shù)據(jù)中心:銀澎云計(jì)算自建的銀澎百盛云計(jì)算數(shù)據(jù)中心,是國(guó)家五星級(jí)超大云計(jì)算數(shù)據(jù)中心,總投資3億元,建筑面積達(dá)18000平米,最大可容納6000個(gè)機(jī)柜、80000臺(tái)服務(wù)器,是目前國(guó)內(nèi)少有達(dá)到T3+級(jí)別的云數(shù)據(jù)中心,可為客戶(hù)按需提供優(yōu)質(zhì)的云計(jì)算數(shù)據(jù)資源和高級(jí)別的安全保障服務(wù)。云計(jì)算數(shù)據(jù)中心主要業(yè)務(wù)包括服務(wù)器托管、服務(wù)器出租、機(jī)柜租賃、系統(tǒng)維護(hù)以及其他支撐、運(yùn)行服務(wù)等。同時(shí),銀澎云計(jì)算依托國(guó)內(nèi)領(lǐng)先的五星級(jí)云計(jì)算數(shù)據(jù)中心資源,憑借深厚的行業(yè)經(jīng)驗(yàn)、雄厚的技術(shù)研發(fā)能力和卓越高效的服務(wù)保障體系,為廣大客戶(hù)提供高彈性、高性能和高安全的云計(jì)算整體解決方案。