網(wǎng)絡(luò)混合型防火墻系統(tǒng)論文

時間:2022-07-24 05:48:00

導(dǎo)語:網(wǎng)絡(luò)混合型防火墻系統(tǒng)論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)絡(luò)混合型防火墻系統(tǒng)論文

摘要:信息社會的到來給全球發(fā)展帶來了契機(jī),信息技術(shù)的運(yùn)用引起了人們生產(chǎn)方式,生活方式和思想觀念的轉(zhuǎn)變,極大地促進(jìn)了人類社會發(fā)展和人類文明的進(jìn)步,把人們帶進(jìn)了嶄新的時代。認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅以及現(xiàn)實(shí)客觀存在的各種安全問題,采取強(qiáng)有力的安全策略,保障網(wǎng)絡(luò)信息的安全,是每一個國家和社會以及每一個團(tuán)體和個人必須正視的事情。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);信息安全;混合型防火墻

一、引言

公司對外要和上級主管部門、政府有關(guān)部門(工商、稅務(wù)、統(tǒng)計(jì)等)、業(yè)務(wù)相關(guān)單位進(jìn)行互聯(lián)互通,內(nèi)部各管理部門、科研、生產(chǎn)單位要實(shí)現(xiàn)資源共享,必然要有大量的信息要通過網(wǎng)絡(luò)進(jìn)行傳輸,一旦網(wǎng)絡(luò)出現(xiàn)安全問題,必將造成巨大損失。常規(guī)防火墻存在如下重要問題:工作方式被動且單一,對于未列出的網(wǎng)絡(luò)攻擊不能及時制止和控制;工作效率低,降低網(wǎng)絡(luò)性能;各種防火墻之間信息不能互相利用;防火墻系統(tǒng)不能利用網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)信息自動調(diào)整規(guī)則;訪問控制和審計(jì)功能較弱,運(yùn)行效率不高;對內(nèi)部的威脅不具備防范能力等等。傳統(tǒng)防火墻一旦被攻破后,整個內(nèi)部網(wǎng)絡(luò)完全暴露,對整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)構(gòu)成很大的威脅,且傳統(tǒng)防火墻對內(nèi)部網(wǎng)絡(luò)用戶的威脅不具備防范功能。針對常規(guī)防火墻存在的這些問題,根據(jù)自己的各種經(jīng)驗(yàn),結(jié)合現(xiàn)有技術(shù),設(shè)計(jì)了一種混合型防火墻系統(tǒng),它能夠針對性地解決某些問題,且成本不高。

二、混合型防火墻體系結(jié)構(gòu)組成

混合型防火墻采用一種組合結(jié)構(gòu),它主要由內(nèi)部防火墻、外部防火墻、堡壘主機(jī)和基站主機(jī)服務(wù)器四部分組成,組成如圖1所示。

內(nèi)、外防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一個安全子網(wǎng),稱為屏蔽子網(wǎng),基站主機(jī)、堡壘主機(jī)、郵件服務(wù)器、打印服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等公用服務(wù)器布置在屏蔽子網(wǎng)中。外部防火墻介于Internet與屏蔽子網(wǎng)之間,內(nèi)部防火墻介于內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間。

三、混合型防火墻主要組成功能說明

內(nèi)外兩個防火墻可進(jìn)行不同級別的過濾,屏蔽子網(wǎng)只允許經(jīng)認(rèn)證的Internet主機(jī)和內(nèi)部子網(wǎng)接入到基站主機(jī)中,試圖繞過它的流量都將被阻塞掉。屏蔽子網(wǎng)中的應(yīng)用過濾程序可以通過安全通道和子網(wǎng)中基站主機(jī)服務(wù)器進(jìn)行雙向保密通信,基站主機(jī)服務(wù)器可以通過保密通信修改內(nèi)外部路由器的路由表及過濾規(guī)則。整個防火墻系統(tǒng)的控制協(xié)調(diào)工作主要由應(yīng)用過濾管理程序和智能認(rèn)證程序來執(zhí)行。

外部防火墻。外部防火墻用于防范外部攻擊(如:源地址欺騙),并管理Internet到屏蔽子網(wǎng)的訪問。在一般情況下,它只允許外部合法系統(tǒng)訪問堡壘主機(jī)指定端口。

內(nèi)部防火墻。內(nèi)部防火墻用于屏蔽子網(wǎng)與內(nèi)部網(wǎng)之間的IP包過濾和地址轉(zhuǎn)換,保護(hù)內(nèi)部網(wǎng)不受屏蔽子網(wǎng)和Internet的危害,防止在內(nèi)部網(wǎng)上傳播的數(shù)據(jù)包流入屏蔽子網(wǎng)。內(nèi)部防火墻允許內(nèi)部主機(jī)的請求可以到達(dá)堡壘主機(jī),不允許未經(jīng)認(rèn)證的外部主機(jī)訪問內(nèi)部網(wǎng)。

堡壘主機(jī)。由于堡壘主機(jī)是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接點(diǎn),容易受到攻擊,為了保證較高的安全系數(shù),首先要選擇一個好的操作系統(tǒng),本設(shè)計(jì)選取的是安全性較高的LINUX系統(tǒng),對于LINUX系統(tǒng)中應(yīng)用程序和部分工具程序代碼凈化清除,保留基本的網(wǎng)絡(luò)服務(wù)程序,如:FTP、HTTP、SMTP等,把其中的過濾功能分離出來,構(gòu)成一個應(yīng)用過濾管理器模塊,這個模塊放在堡壘主機(jī)上運(yùn)行,對分離后的所有網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行統(tǒng)一管理。

基站主機(jī)。基站主機(jī)服務(wù)器是本防火墻的安全控制中心,也是安全信息和智能認(rèn)證中心。在基站主機(jī)服務(wù)器上保存有多個與安全決策有關(guān)的數(shù)據(jù)庫,如:網(wǎng)絡(luò)安全數(shù)據(jù)庫、過濾策略數(shù)據(jù)庫、網(wǎng)絡(luò)安全知識數(shù)據(jù)庫和網(wǎng)絡(luò)資源等數(shù)據(jù)庫。這些數(shù)據(jù)庫除了可以由具有相應(yīng)權(quán)限的網(wǎng)絡(luò)管理員查看和管理外,相關(guān)數(shù)據(jù)庫還可以進(jìn)行智能更新。網(wǎng)絡(luò)安全數(shù)據(jù)庫保存有用戶權(quán)限數(shù)據(jù)和應(yīng)用過濾器收集與數(shù)據(jù)包有關(guān)的信息,更有利于安全策略的配置。網(wǎng)絡(luò)安全知識數(shù)據(jù)庫保存了網(wǎng)絡(luò)專家的判斷、網(wǎng)絡(luò)攻擊的處理知識,如郵件攻擊、各種病毒攻擊等,同時對新的攻擊進(jìn)行智能響應(yīng),生成日志文件,對并照前后的過濾策略,產(chǎn)生新的過濾指令。其它公用服務(wù)器。其它公用服務(wù)器主要是:郵件服務(wù)器、打印服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等提供公共服務(wù)的服務(wù)器,它們完成各自相應(yīng)的功能。