时间:2023-03-28 14:59:00
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇防火墙技术论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
(一)元数据处理技术
元数据是指与数据相关的数据,也就是数据特性的数据信息。元数据可以对数据进行标记等操作,进而帮助数据生产者或者使用者更加高效的对数据进行管理和维护。对元数据进行处理如查询和检索等可以帮助用户更好的了解数据,确定获得的数据是否与需求相符,是否需要对现有数据进行交换或传输等。
(二)数据仓库技术
信息技术的发展使得信息网络中传输和存储的信息量越来越大、越来越复杂,如何对海量的数据信息进行科学高效管理,降低有用信息的获取难度是数据仓库技术的出发点之一。应用数据仓库相关技术如关系数据库、分布式数据处理、并行式数据处理等可以将海量的数据转换和集成为条理清晰的、准确可靠的信息资料,供用户进行信息查询、数据统计等。此外,数据仓库技术还可为数据管理人员在不了解数据库结构和不同数据间相互关系的情况下进行数据挖掘提供了可能。
(三)数据挖掘技术
目前的数据库系统虽可对信息进行录入、查询或统计,但在处理和发掘不同数据之间的关系,分析未来发展趋势等方面存在诸多不足。这就要求对庞大的数据信息进行挖掘。
(四)人工智能网络信息检索技术
随着信息网络规模的扩大和信息数据量的增长,如果仅仅依靠人工筛选很难达到预期效果,人工智能网络信息技术可以对人工特性进行模拟,但是又不失计算机技术的高效性和快速性,可以根据待解决的复杂问题进行信息检索和数据分析,进而向用户提供相应的,较为准确的检索分析结果。
二计算机信息网络中的安全防护类关键技术分析
完整的计算机信息网络分为7个层次,对应的网络安全防护需要对每一层进行部署,但是实际应用中可根据TCP/IP协议,将安全防护简化为四个主要的层次,分别为物理层、链路层、网络层以及应用层。对信息网络的安全防护应该实现以下几方面内容。首先是对网络访问用户和访问数据的控制与审查。即根据用户权限和数据权限确定对应关系,建立访问控制体系,只有符合要求的用户才能够对网络信息进行访问或修改,这样可以增大恶意攻击发生的难度。其次是建立多层防御体系。一方面要对通信数据进行加密和认证,防止数据信息传输过程中受到窃取或修改;另一方面做好信息监控管理,设立一套完整的信息安全监控体系,建立数据备份和恢复机制,确保网络受到攻击时还能够最大程度保存数据的可恢复性。
防火墙技术是在内部网络与外部网络之间建立一个信息安全策略,根据该策略确定内外网络之间的通信是否被允许。当前安全级别最高的防火墙技术是隐蔽智能网关技术,该技术可以防止针对防火墙的恶意攻击还能够向用户提供最大限度的网络访问,对未授权的访问、未经过认证的用户、以及不符合安全策略的信息数据进行阻止或拒绝。
(二)数据加密技术
1网络安全与校园网安全
1.1网络安全
网络安全不是目的,只是一种保障。就网络安全来说,其造成威胁的因素又可分为内因和外因。内因主要是计算机本身的问题所致,例如自身的系统缺陷、访问控制中的安全隐患和漏洞、www等域名的服务漏洞、网络操作系统的安全缺陷等。外因主要是指来自外界的威胁和干扰。包括计算机病毒、非授权的冒充使用、物理环境的安全性差等因素。
1.2校园网安全
校园网相对来说是一个比较特殊的环境,由于面向的群体主要是学生,因此除了要保证网络的正常运行外,还必须做好对内容不健康信息的过滤功能以及应对个别同学喜欢尝试各种试图攻击和入侵服务器的行为。通过分析目前校园网中存在的问题,应该从以下几方面进行着手维护:制定和实施访问安全,身份认证,禁止未授权的访问者非法进入;对于电子阅览室、网络实验室等学校人员经常使用的计算机,安装上防火墙,过滤掉、暴力等不健康的网站;对重要或敏感的信息和数据进行加密,保证信息的内容的安全性,防止例如学生成绩信息等重要数据被非法篡改;确保网络运行设施的可靠性和安全监测手段的有效性,防范非法入侵而使系统功能受到影响情况的出现;学校可设立网络安全管理机制,负责网络安全管理和规划等工作,加强学校安全管理教育工作的开展。
2防火墙技术
防火墙是一种为了保护内部网安全,在计算机的硬件和软件相互搭配组合下,在互联网和内部网之间形成安全屏障的技术,是确保网络安全的重要手段。作为现代网络时代不可或缺的安全产品,防火墙已经成为了校园网络必要的存在。就目前来说,防火墙主要通过对未经证实的主机的TCP/IP进行分组过滤、利用IP地址进行伪装、通过功能,断绝内外部之间的连接等三个主要手段对内部网进行安全保护。
2.1防火墙的功能
(1)管理进出网络的访问行为作为双向沟通间的控制点,防火墙可以利用自身的阻塞点,对访问的信息进行管理和控制,并过滤掉不安全的服务和信息,只允许经过选择的应用选择通过防火墙,这在很大程度上降低了访问的风险,提高了内部网络的安全性。(2)记录通过防火墙的信息内容和活动防火墙的建立使得所有信息的访问在经过防火墙的时候都会留下记录,防火墙内部会根据这些数据统计网络的使用情况,并作出日志记录。(3)监测和反馈网络攻击行为在信息监测的过程中,当有可疑的情况发生时,防火墙会适当的报警,并把详细信息自动生成电子邮件发送给网络维护者,提供网络是否受到监测和攻击的信息。(4)防止内部信息的泄漏在实施保护的过程中,可以通过防火墙的内部网络划分,将重点网段进行隔离,防止了局部重点或敏感段落出现问题对全局造成影响。
2.2防火墙特性
(1)是双向网络载体通信之间的中间存在点;(2)具有透明性,其存在不影响信息之间的交流和沟通;(3)它只对符合本地开放安全的信息进行授权,而只有经过授权的信息才可以自由出入网络。
3防火墙技术在大学校园网中的应用
在目前,各种维护网络的软硬件层出不穷,但大多数只能解决学校网络安全中的一部分,例如金山、瑞星等软件解决病毒防范,天网、天融信等软件解决网络攻击问题,这些软件的存在都是以解决单一或部分问题为目标,并不能对学校的网络安全形成整体的解决方案。由于学校的特殊性,学校对网络的需求也有所不同,因此校园网络应该根据学校的需求特点出发,以第一评价为标准,完善网络体系,具体来说,有以下几个步骤:
3.1入侵监测系统
入侵检测是一种能够及时监测和发现网络系统中异常现象的实时监测技术。在监测过程中除了利用审计记录,监测出任何不希望有的活动以外,它还可以实时防护来自IPSpoofing、PingofDeath以及其它外界的攻击,以保护系统的安全。而在监测到攻击行为时它还可以自动生成电子邮件通知系统管理员,使其可以在第一时间处理危机。
3.2建立用户认证
建立和完善网络的用户认证机制,对于不可信网站的访问,防火墙可以经过内建用户数据库或IP/MAC绑定资料等进行认证,并决定是否给予访问的权限。而防火墙也可以限定授权用户通过防火墙进行一些有限制的活动。
3.3防火墙系统的检测和维护
在合理配置了防火墙后,必须要对防火墙进行经常性的检测和监督,并对监测到的网络流量进行分析,时刻关注异常流量的情况,做好日志备份等处理工作,以便日后信息的查阅。最后,防火墙的配置也要根据网络结构的变化而变化,从而保证其能在保护校园网中发挥更好的作用。
3.4漏洞扫描系统
要想解决网络中的安全问题,首先要清楚存在了哪些安全隐患。面对强大的网络覆盖面和不断变化的网络复杂性,如果仅仅只依靠网络技术管理人员的技术去查找漏洞是存在着巨大困难的,也是不现实的。因此唯一的方法就是找出一种可以替代人工查询漏洞,并做出及时评估、提出修改意见的安全扫描工具,它可以在系统优化的过程中弥补安全漏洞,消除安全隐患。
3.5利用网络监听维护子网安全
威胁校园网络安全有内因和外因两个部分,对于外因,我们可以通过安装防火墙来解决,但是对于校园内部的入侵我们则无能为力,在这种情况下,学校可以在网络监控部门中设立一个专门管理和分析网络运作状态的子网监听程序,该监听程序可以包含一定的审计功能,方便在长期监听子网的情况中,为系统中各个服务器的审计文件提供备份,并在监听的程序之间建立联系,保证相互联系的计算机,在其它服务器收不到联系的情况下,会自动发出警报提示。
4结语
1.1黑客攻击的问题
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2防火墙技术在校园网络安全中的应用
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
2.3配置路由器防火墙
关键词:防火墙;NetST;网络信息
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)18-0178-02
0 引言
一般来说,防火墙包括几个不同的组成部分:过滤器(有时也称屏蔽)用于阻断一定类型的通信传输。网关是一台或一组机器,它提供中继服务,以补偿过滤器的影响。驻有网关的网络常被叫做非军事区(DeMilitarized Zone,DMZ)。DMZ中的网关有时还由一个内部网关(internal gateway)协助工作。一般情况下,两个网关通过内部过滤器到内部的连接比外部网关到其他内部主机的连接更为开放。就网络通信而言,两个过滤器或网关本身,都是可以省去的,详细情况随防火墙的变化而变化。一般说来,外部过滤器可用来保护网关免受攻击,而内部过滤器用来应付一个网关遭到破坏后所带来的后果,两个过滤器均可保护内部网络,使之免受攻击。一个暴露的网关机器通常被叫做堡垒机。
防火墙可分成两种主要类别:数据包过滤(packet filtering)和应用网关(application gateway)。
数据包过滤防火墙的工作方法是通过基于数据包的源地址、目的地址或端口来进行过滤的。一般说来,不保持前后连接信息,过滤决定也是根据当前数据包的内容来做的。管理员可以设计一个可接受机器和服务的列表,以及一个不可接受机器和服务的列表。在主机和网络一级,利用数据包过滤器很容易实现允许或禁止访问。例如,允许主机A和B之间的任何IP访问,或禁止除A以外的任何机器访问B。
大多数安全策略需要更为精细的控制:对根本不被信任的主机,需要定义容许它们访问的服务。例如,可以希望允许任何主机与机器A连接,但仅限于发送或接收邮件。其他服务可以或不可以被允许。数据包过滤器允许在这一级别上进行某些控制,为了正确地做到这一点,要求精通许多操作系统上TCP和UDP端口的使用知识。包过滤防火墙的优点是速度快,缺点是不能对数据内容进行控制。
应用网关防火墙则是另一种方式,它不使用通用目标机制来允许各种不同种类的通信,而是针对每个应用使用专用目的代码。虽然这样做看来有些浪费,但却比任何其他方法安全得多。一是不必担心不同过滤规则集之间的交互影响,二是不必担忧对外部提供安全服务的主机中的漏洞。只需仔细检查选择的数个程序。应用网关还有另一个优点:它易于记录并控制所有的进/出通信,并对Internet的访问做到内容级的过滤,所以是很安全的。应用级网关的最大缺点就是速度慢。
1 网络的系统规划与设计
根据用户具体情况,规划内网的环境,必要时使用多个网段。确定是否需要向外部Internet提供服务以及何种服务,由此确定是否需要DMZ网段以及DMZ网段的具体结构。根据内网、DMZ网的结构确定NetST■防火墙的具体连接方式,防火墙位置一般放在路由器之后,内网、DMZ网之前。设计系统的访问控制规则,使防火墙起作用。
2 防火墙配置步骤建议
配置网络结构,安装NetST■防火墙硬件,使防火墙各网卡正确连接内网,外网和DMZ网。配置NetST■防火墙网络参数使网络连接正常,必要时需重启NetST■防火墙。设计网络安全策略,根据用户具体情况设置安全选项、NAT规则、访问控制的过滤规则、内容过滤规则等。启动防火墙引擎,使规则起作用。
3 防火墙规则定义的一般步骤
NetST防火墙一般按下列步骤定义规则:
一般情况下,我们建议用户按上面步骤进行规则配置,用户也可以根据情况进行一定的调整和修改。
4 状态检测防火墙引擎
NetST防火墙引擎采用国际先进的状态检测包过滤技术,实时在线监测当前内外网络的TCP连接状态,根据连接状态动态配置规则,对异常的连接状态进行阻断,实现入侵检测并及时报警。NetST■防火墙支持对目前国际上主要的网络攻击方法的判别,并且进行有效阻断。作为包过滤型防火墙, NetST防火墙为用户提供强大的包过滤功能。NetST防火墙支持各种主流网络协议,不仅可以根据网络流量的类型、网络地址、应用服务等条件进行过滤,并且可以对多种网络入侵进行辨别和有效阻断,同时实时进行记录和报警;另外,NetST■防火墙与内置多种网络对象的Java管理控制台配合使用,可以更加充分发挥NetST■防火墙引擎的强大的包过滤功能。
4.1 全面安全防护 NetST防火墙具备抵御多种外来恶意攻击的能力:
4.1.1 DoS(Deny of Service,拒绝服务)攻击:此类型的攻击方式包括SYN Flooding、LAND攻击、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻击等,攻击者对服务器不断发各种类型的数据包使服务器的处理能力达到饱和,从而不能再接受正常的访问。NetST■防火墙利用地址检测、流量限制、碎片重组等方法进行防御;
4.1.2 IP欺骗:攻击机器 C模拟被攻击机器A信任的机器B与A通信,通常先通过DoS攻击使B的网络陷于瘫痪,然后再冒充B与A通信以执行对A造成危害的操作。防止IP欺骗的方法一是服务器不开危险服务,二是服务器的TCP连接的起始序列号要随机选取,防止被猜,三是加强对DoS攻击的防御。NetST■防火墙的防御方法是一是禁止外网到内网的连接请求,或只将允许的开放端口请求转到DMZ区的服务器,同时DMZ区服务器尽量只开单一服务,并注意对系统软件进行升级或打补丁;
4.1.3 端口扫描:通过端口扫描,攻击者可知道被攻击的服务器上运行那些服务,从而对服务进行攻击或利用某些服务的缺陷攻击主机。NetST■防火墙利用网络地址转换(NAT)功能、TCP状态检测等方法进行防御;
4.1.4 IP盗用:在内网中的一台机器通过修改IP地址模拟另一台机器,从而NetST■防火墙使用基于用户的认证使IP地址与用户动态绑定以及IP地址与MAC地址绑定来进行预防。
4.2 全面内容过滤 NetST防火墙支持对最常用的应用层协议进行内容过滤,使用户可以根据网络传输的内容进行管理和控制,从而使企业网络运行更加快速有效。NetST防火墙支持HTTP协议的URL过滤和HTML内容过滤。NetST■防火墙支持与WebCM■3000系列产品无缝集成,由NetST■防火墙提取出URL,然后与UFP服务器连接以确定是否允许此请求通过;同时,可过滤HTML页面中的各种脚本和Java小程序;可拒绝各种媒体类型的数据,如图像、声频、视频等,以免浪费带宽,降低工作效率;NetST防火墙支持FTP协议内容过滤,用户可自行设定拒绝上载和下载的文件类型表,对此文件类型范围内的文件传送请求将被拒绝;
NetST防火墙支持主要邮件协议的内容过滤。对于SMTP协议,用户可自行设定拒绝发的附件文件类型表,对此文件类型范围内的附件发送请求将被拒绝;对于POP3协议,可自行设定危险的附件文件类型表,对此文件类型范围内的附件收取将修改文件的后缀名以使其暂时失效,从而防止诸如“ILOVEYOU”等邮件病毒的攻击。
在当前信息技术高速发展的情况下,好的反火枪技术不断发展更新,设计该系统的过程中,我们也是在不断的发现问题,解决问题。也发现了不少没有能解决的新问题,比如延时的控制以及系统运行时的安全保障等新的问题。这需要在今后的工作中不断的去努力,不断地去研究逐渐解决。
参考文献:
[1]张迅.基于SIP的IP视频电话的设计与实现.华中科技大学硕士学位论文,2006:14-19.
[2]武海宁基于SIP/RTP的实用VOIP系统研究.北京邮电大学硕士学位论文,2007:17-23.
[3]唐岷.基于SIP的VoIP穿越防火墙/NAT的研究与实现.南京理工大学硕士学位论文,2006:45-50.
[论文摘要]计算机网络日益成为重要信息交换手段,认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题,采取强有力的安全策略,保障网络信息的安全,是每一个国家和社会以及个人必须正视的事情。本文针对计算机网络应用相关的基本信息安全问题和解决方案进行了探讨。
随着计算机网络技术的不断发展,全球信息化己成为人类发展的大趋势,计算机网络已经在同防军事领域、金融、电信、证券、商业、教育以及日常生活巾得到了大量的应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此,网络必须有足够强的安全措施,否则网络将是尤用的,相反会给使用者带来各方面危害,严重的甚至会危及周家安全。
一、信息加密技术
网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保证,来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证忡,防止信息被一些怀有不良用心的人看到、破坏,甚至出现虚假信息。
信息加密技术是保证网络、信息安全的核心技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成不可直接读取的秘文,阻止非法用户扶取和理解原始数据,从而确保数据的保密忭。ⅱ月文变成秘文的过程称为加密,南秘文还原成明文的过程称为解密,加密、解密使用的町变参数叫做密钥。
传统上,几种方法町以用来加密数据流,所有这些方法都町以用软件很容易的实现,当只知道密文的时候,是不容易破译这些加密算法的。最好的加密算法埘系统性能几乎没有影响,并且还可以带来其他内在的优点。例如,大家郜知道的pkzip,它既压缩数据义加密数据。义如,dbms的一些软件包包含一些加密方法使复制文件这一功能对一些敏感数据是尢效的,或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。
二、防火墙技术
“防火墙”是一个通用术i五,是指在两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬什产品中。防火墙通常是巾软什系统和硬什设备组合而成,在内部网和外部网之间构建起安全的保护屏障。
从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强intranet(内部网)之间安全防御的一个或一组系统,它南一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自intemet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件传输、远程登录、布特定的系统问进行信息交换等安全的作用。
防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接郝必须经过该阻塞点,在此进行检查和连接,只有被授权的通信才能通过该阻塞点。防火墙使内部网络与外部网络在一定条件下隔离,从而防止非法入侵及非法使用系统资源。同时,防火墙还日,以执行安全管制措施,记录所以可疑的事件,其基本准则有以下两点:
(1)一切未被允许的就是禁止的。基于该准则,防火墒应封锁所有信息流,然后对希单提供的服务逐项丌放。这是一种非常灾用的方法,可以造成一种十分安全的环境,为只有经过仔细挑选的服务才被允许使用。其弊端是,安全件高于片j户使片j的方便件,用户所能使用的服务范同受到限制。
(2)一切未被禁止的就是允许的。基于该准则,防火埔转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊端是,在口益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范嗣增大时,很难提供町靠的安全防护。
较传统的防火墙来说,新一代防火墙具有先进的过滤和体系,能从数据链路层到应用层进行全方位安全处理,协议和的直接相互配合,提供透明模式,使本系统的防欺骗能力和运行的健壮件都大大提高;除了访问控制功能外,新一代的防火墙还集成了其它许多安全技术,如nat和vpn、病毒防护等、使防火墙的安全性提升到义一高度。
三、网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之问提供安全的网络保护,降低了网络安全风险。但是,仪仪使用防火墙、网络安全还远远不够。因为日前许多入侵手段如icmp重定向、盯p反射扫描、隧道技术等能够穿透防火墒进入网络内部;防火墙无法防护不通过它的链接(如入侵者通过拨号入侵);不能防范恶意的知情者、不能防范来自于网络内部的攻击;无法有效地防范病毒;无法防范新的安全威胁;南于性能的限制,防火墙通常不能提供实时动态的保护等。
因此,需要更为完善的安全防护系统来解决以上这些问题。网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墒等其他系统的不足,进一步完善整个网络的安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络巾建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
在计算机网络信息安全综合防御体系巾,审计系统采用多agent的结构的网络入侵检测与安全审计系统来构建。整个审计系统包括审计agent,审计管理中心,审计管理控制台。审计agent有软什和硬什的形式直接和受保护网络的设备和系统连接,对网络的各个层次(网络,操作系统,应用软件)进行审计,受审计巾心的统一管理,并将信息上报到各个巾心。审计巾心实现对各种审计agent的数据收集和管理。审计控制会是一套管理软件,主要实现管理员对于审计系统的数据浏览,数据管理,规则没置功能。管理员即使不在审计中心现场也能够使用审计控制台通过远程连接审计中心进行管理,而且多个管理员可以同时进行管理,根据权限的不同完成不同的职责和任务。
四、结论
关键词:网络;安全;防火墙
1 绪论
随着国家的快速发展,社会的需求等诸多问题都体现了互联网的重要性,各高校也都相继有了自己的内部和外部网络。致使学校网络安全问题是我们急需要解决的问题。小到别人的电脑系统瘫痪、帐号被盗,大到学校重要的机密资料,财政资料,教务处的数据被非法查看修改等等。学校机房网络安全也是一个很重要的地方。由于是公共型机房。对于公共机房的网络安全问题,提出以下几个方法去解决这类的一部分问题。
2 PC机
2.1 PC终端机。对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士(省略/)是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
2.2 安装杀毒软件。比如说中国著名的瑞星2008杀毒软件,从瑞星官方网站(省略/)下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
2.3 防火墙。打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
2.4 用户设置。把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
3 解决方案
3.1 防火墙技术。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
①屏蔽路由器:又称包过滤防火墙。
②双穴主机:双穴主机是包过滤网关的一种替代。
③主机过滤结构:这种结构实际上是包过滤和的结合。
④屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
3.2 VPN技术。VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。
3.3 网络加密技术(Ipsec)。IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
①访问控制;②无连接完整性;③数据起源认证;④抗重放攻击;⑤机密性;⑥有限的数据流机密性。
3.4 身份认证。在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。像数字签名。
4会话控制与带宽管理策略
4.1 会话数控制。 使用校园网出口防火墙,通过单用户会话和流量控制功能进行相关管理。通过应用防火墙设置新建连接阀值,可以对网络中每个用户会话连接数进行控制,当阀值被触动后,动态地将非法用户添加到黑名单,直接将非法用户连接阻断,并且可以灵活的设置控制黑名单的有效时间。通过单用户会话数限制,可以做到:当校园网内机器病毒爆发时,阻止大量数据包对外建立连接,耗费网络资源;阻止黑客对网络的扫描;阻止黑客进行DDOS攻击。
5 结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献
[1] 雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004.
【关键词】建筑工程 防火防爆设计安全性能设计要点
中图分类号: TU198 文献标识码: A
一.引言
随着社会经济的发展,建筑工程建设得到了前所未有的发展,建筑工程项目的数量日益增多,同时出现的各种建筑工程事故也在增加。建筑工程的结构设计是保证工程质量的关键,防火防爆设计直接影响着工程项目的实用性,甚至关系着人民的生命财产安全。因此,为了提高建筑工程的质量,保障人民的生命财产安全,降低国家的经济损失,我们必须要加强对建筑工程防火防爆设计的研究,提高设计的安全性。
二.对工业建筑进行防火防爆设计需考虑的问题。
建筑消防设计是建筑设计中一个重要组成部分,关系到人民生命财产安全,应该引起大家的足够重视。文章从防火分区、安全疏散以及防爆泄压三方面来讨论:
(1). 建筑的防火分区问题。
《建规》中规定了厂房及仓库的的防火分区,其中有一点需要注意,厂房及仓库的防火分区首先受该建筑物生产类别影响,其次还和建筑物的耐火等级有关。虽然《建规》中规定封闭楼梯间的门为双向弹簧门就可以了,但做为划分防火分区用的封闭楼梯间门至少应设乙级防火门。否则楼梯间也是火灾纵向蔓延的途径之一,也应按上下连通层作为一个防火分区计算面积。
(2). 安全疏散设计问题。
很多大型工业建筑在消防安全疏散设计中存在的问题,诸如首层疏散楼梯无法直通室外,设备及管道布置错综复杂致使人员逃生路线迂回曲折,疏散距离超过规范要求等。在设计中应合理设置安全疏散通道,并使疏散通道两侧的隔墙耐火极限≥lh(非燃材料),房间内最远工作点的疏散距离应考虑设备及管道布置的影响等等。
(3)防爆泄压应注意的问题
首先,不同用途的厂房有不同的厂房爆炸危险等级,进而根据规范采取相应级别的泄压比。第二,要避免建筑物内有爆炸危险的部位形成长细比过大的空间,以防止爆炸时产生较大超压,保证所设计的泄压面积能有效。第三,泄压方向要避开人员疏散通道及重要设施。
三.工业厂房防火防爆设计要点。
有爆炸危险的厂房,一旦发生爆炸,不但会造成房倒人亡,设备摧毁,生产停顿,甚至引起相邻厂房或设施连锁爆炸、次生火灾。因此,从厂房设计起,就应考虑防爆抗爆措施。消防部门也应加强对此类厂房的审核,严格把关,将隐患消灭在源头。因此在设计爆炸危险厂房时应注意把握以下几个方面:
1.平面布局设计。
规模较大的工厂和仓库,应根据实际需要,合理划分生产区、储存区、生产辅助设施区和行政办公、生活福利区等。同一生产企业内,宜尽量将火灾危险性相同或相近的建筑集中布置,以便分别采取防火防爆设施,便于安全管理。在选址时,应注意周围环境,充分考虑建厂地区的企业和居民安全。注意地势条件,应根据产品的性质,优先选取有利地形,减少危险性,减少对周围环境的火灾威胁。注意风向,散发可燃气体、可燃蒸汽和可燃粉尘的车间、装置,应布置在厂区的全年主导风向的下风向。
2.建筑耐火等级。
建筑物耐火等级。划分建筑物耐火等级是建筑设计防火规范中规定的防火技术措施中最基本的措施。它要求建筑物在火灾高温的持续作用下,墙、柱、梁、楼板、屋盖、吊顶等基本建筑构件,能在一定的时间内不破坏,不传播火灾,从而起到延缓和阻止火灾蔓延的作用,并为人员疏散、抢救物资和扑灭火灾以及为火灾后结构修复创造条件。
3.防火墙和防火门及防火间距。
根据在建筑物中的位置和构造形式,有与屋脊方向垂直的横向防火墙、与屋脊方向平行的纵向防火墙、内墙防火墙、外墙防火墙和独立防火墙等。内防火墙是把厂房或库房划分成防火单元,可以阻止火势在建筑物内的蔓延扩展;外防火墙是邻近两幢建筑物的防火间距不足而设置的无门窗洞的外墙,或两幢建筑物之间的室外独立防火墙。已采取防火分割的相邻区域如需要互相通行时,可在中间设置防火门。按燃烧性能不同有非燃烧体防火门和难燃烧体防火门;按开启方式不同有平开门和卷帘门等。
火灾发生时,由于强烈的热辐射、热对流以及燃烧物质的爆炸飞溅、抛向空中形成飞火,能使邻近甚至远处建筑物形成新的起火点。为阻止火势向相邻建筑物蔓延扩散,应保证建筑物之间的防火间距。
4.工业建筑防爆。
在一些工业建筑中,使用和产生的可燃气体、可燃蒸气、可燃粉尘等物质能够与空气形成爆炸危险性的混合物,遇到火源就能引起爆炸。这种爆炸能够在瞬间以机械功的形式释放出巨大的能量,使建筑物、生产设备遭到毁坏,造成人员伤亡。对于上述有爆炸危险的工业建筑,为了防止爆炸事故的发生,减少爆炸事故造成的损失,要从建筑平面与空间布置、建筑构造和建筑设施方面采取防火防爆措施。首先,此类建筑以独立设置,并宜采用敞开或半敞开式,承重结构多采用钢筋混凝土或钢框架、排架结构。第二,要加强与其贴临建造建筑物的保护,根据需要将两者之间的隔墙设置为防火墙或防爆墙。第三,有爆炸危险的甲、乙类厂房(仓库)应设置足够有效的泄压设施,以减少爆炸带来的损失。当建筑物长细比大于3时,宜将该建筑划分为长细比小于等于3的多个计算段来计算所需泄压面积,且各计算段中的公共截面不得作为泄压面积。另外,位于寒冷及严寒地区的有爆炸危险的建筑物屋顶上所设的泄压设施还应考虑采取有效防止冰雪积聚的措施。
5. 设置防爆门斗
设置防爆门斗是解决交通和防爆的有力措施,第一道门宜采用防爆门,才能达到防爆的效果。但防爆门均采用特殊钢材制作,其连接转动部件和防止门与门框碰撞产生火花,门铰链应采用青铜轴和垫圈或其他摩擦碰撞不发火材料制作,门扇周边贴橡胶板,防止碰撞产生火花。防爆门斗内要有一定的容积,保证当门打开时瞬时进入门斗的可燃气体浓度降低,两门布置应在不同方位上,间距200以上。防爆门斗也是爆炸危险部位的安全出口,其位置应满足安全疏散距离的要求。
四.结束语
随着人们生活水平的提高,对生命财产的安全性要求也在不断提高。建筑安全保障问题在人们心中的地位越来越高,经济性建立在安全性的基础之上,只有保证了建筑结构的安全性,才能够考虑建筑工程施工的经济性和适用性。在正常的情况下,建筑工程首先要具备良好的工作性能,进而为社会创造出良好的经济效益。进而有效提高建筑结构的安全性能,促进建筑工程建设的发展,促进建筑业的发展。
参考文献:
[1] 李海 防爆防火设计在工业建筑中的应用 [期刊论文] 《黑龙江科技信息》 -2012年2期
[2] 曲海富 海洋工程防爆墙结构有限元分析 [学位论文] 2007 - 天津大学:船舶与海洋结构物设计制造
关键词:网络安全;防火墙;入侵检测系统;校园网
中图分类号:TP393.08
对于高校而言,校园网在教学、科研、管理以及对外交流等过程中起到了不可替代的作用。近年来,随着校园网建设规模的不断壮大,校园网存在安全问题也逐渐突显。我们在享受网络信息资源的便捷性的同时,也面临着网络安全带来的困扰。
当前网络安全技术包括两种,一种是以防火墙技术为例的静态安全技术,另一种是以入侵检测系统技术为例的动态安全技术。两种网络安全技术各有优势和不足之处,为实现有效的保障校园网的网络安全,最好的方式就是实现防火墙与入侵检测系统的结合应用。
1 防火墙与入侵检测系统的区别和联系
防火墙技术是网络静态安全技术的代表,是一种被动的防御技术。防火墙技术建立在现代通信网络技术与信息安全技术基础上。防火墙技术作为不同网络与网络安全域之间信息唯一的出入口,主要用于控制出入网络的数据,不过防火墙技术不能防范内部的非法访问行为。另外防火墙技术还有一个缺陷,不能够主动跟踪入侵者,只能依赖人工实施与维护。
与防火墙技术相对的入侵检测系统则是动态安全技术的代表,在网络安全中是一种主动的防御手段,可以对网络中容易受到威胁和攻击的点击存在安全漏洞的地方主动检测,通常对于危险行为的检测要比人工快,并且实现对网络内部通信信息的实时分析,对入侵行为、企图即使检测,并提前发出警报,一边及早采取措施应对,最大限度的保障网络安全。
总之,防火墙技术与入侵检测系统作为两种不同的网络安全防范手段,两者各具优势也各有不足。防火墙技术对新协议和新服务的支持,不能进行动态扩展,从而无法提供个性化服务。而入侵检测系统虽然能够收集、分析信息,对网络中的安全问题进行检测,对而已攻击提供主动、实时的保护,有效做到网络安全防范。因而,入侵检测系统能够弥补防火墙技术的不足之处,对防火墙技术起到补充作用,最终提高了校园网网络信息的安全性,两者有区别的同时,又在功能上起到了互补关系。
2 防火墙与入侵检测系统结合应用的优势
校园网中,防火墙技术不能直接控制内部网络行为,无法对通信过程中的内容数据进行监控。防火墙技术对于一些安全威胁依然难以防范。入侵检测系统则以绝对的主动权对防火墙技术的不足之处进行弥补。
在校园网中,防火墙与入侵检测系统结合应用优点多,入侵检测系统能够提前发现威胁网络安全的攻击行为,并提供入侵信息给防火墙,由防火墙技术针对威胁调整安全策略,对不合法的信息进行阻断和处理。两者的结合应用大大提高了网络系统的防御性能。
3 校园网络所面临的威胁
当前校园网络的安全问题,主要面临三个方面的威胁:
3.1 物理安全
校园网络安全的前提,就是保证计算机网络系统各种设备的物理安全。其所表现的数据传输、数据存储以及数据访问安全都是在物理介质层次之上。网络运行的环境,诸如温度、湿度、电源等也威胁到计算机网络安全。
物理安全,保护的就是计算机的网络设备、网络设施,以及避免其他媒体在自然灾害或者认为事故中所遭到破坏。是对计算机系统、服务器、打印机等硬件的保护。
3.2 自然因素的威胁
校园网面临的自然威胁,是指自然原因带来的安全问题,如雷击、火灾、水灾、地震等自然灾害;正行情况下使用过程中的设备损坏;设备运行环境等方面,损坏网络设备硬件,影响网络的正常运行,对校园网网络安全带来威胁。
3.3 人为因素的威胁
校园网中,网络系统安全面临的人为因素的威胁,分为故意人为威胁、无意人为威胁两种形式,都严重威胁着计算机网络的安全。人为故意威胁涵盖搭线连接获取网络数据信息、窃取口令密钥来获取信息资源、盗割网络通信线缆,以及破坏网络设备等类型。无意人为威胁是指操作人员虽然拥有合法和技术,但操作过程中因为失误或者疏忽,对网络安全运行带来的不良影响或者重大损失。
4 校园网中防火墙与入侵检测系统的结合应用
首先,选择入侵检测系统的位置。入侵检测系统可放在防火墙之内,也可以放在防火墙之外。但依据两者不同的功能优势,入侵检测可及时检测异常、攻击行为,而由防火墙对非法入侵进行控制。将入侵检测系统放置在防火墙的后面,不合法信息在经过防火墙的技术过滤,对计算机网络起到一定的保护。将入侵检测系统放在防火墙的内部,在最大限度阻止“幼稚脚本”的攻击同时,让入侵检测系统去发现网络中的攻击行为。
其次,校园网中防火墙与入侵检测系统的结合模型设计,两者并非只是简单的叠加,而是具体的分析两者的功能、优势以及缺点,经过研究后建立的一种由简单的入侵检测系统辅助防火墙技术的安全系统。
最后,防火墙与入侵检测系统的接口。两者通过两种方式实现互动。一种是将入侵检测系统嵌入到防火墙技术中,实现两者的紧密结合。这种情况下,入侵检测系统的数据来源于流经防火墙的数据流。防火墙不仅要验证这些数据,还要对其是否具有攻击性进行判断,从而对攻击行为进行阻断。但入侵检测系统作为一个庞大的系统,为实施带来了一定的难度。另一种个互动方式就是通过开发借口来实现。防火墙技术、入侵检测系统,它们各自开放一个接口,提供给对方使用,双方按事先协商的方式进行信息的传输。这种互动方式灵活,对防火墙技术、入侵检测系统的性能都不会造成影响。
一般系统越复杂,其自身的安全问题也就愈加难解决,通过比较,将防火墙技术与入侵检测系统通过开放接口实现互通,比将两者紧密结合的效果好。防火墙与入侵检测系统的原理、方法、手段等各不相同,但是他们都是为了保护计算机网络信息的安全,两者有着共同的目的,而且面临的威胁也相同,因此,两者的结合应用为校园网的安全防范带来切实可行的方法和手段。
5 结束语
本篇论文将以防火墙技术为代表的静态技术与以入侵检测系统为代表的动态技术结合应用,并非单纯的将两个系统通过设定标准接口简单物理结合,而是将两种技术手段各自独有的功能在新的系统中展现,有力的保障校园网网络系统的安全性,有效提高了网络的防御能力。未来,防火墙与入侵检测系统的结合应用,为计算机网络安全技术提供了广阔的发展空间。在计算机网络安全防范过程里,防火墙技术与入侵检测系统的结合应用,将取长补短为保护计算机网络安全增加一重保障。
参考文献:
[1]徐也.防火墙与入侵检测在校园网中的应用[J].职业技术,2009(04).