序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇防火墻技術論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

任何軟件都有一定的生命周期，防火墻也有一定的生命周期，我們要正確的評估防火墻的使用效能，一旦防火墻失效，對網絡安全造成的后果無法想象。防火墻使用具有一定的級別，在被外界病毒等侵入時候具有一定的防御，我們在設置防火墻的功能時候要具有一定的科學性，當防火墻受到攻擊時候，能自動啟動防御功能，因此，我們在設置防火墻功能時候，要正確檢測防火墻是否失效功能要開啟，達到防火墻失效狀態正常評估。

1.2正確選擇、科學配置防火墻

防火墻功能的科學配置，是對網絡安全防御的重要保障，防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬　周哲韞進入新世紀以后，計算機網絡技術發展迅速，尤其Internet的發展應用，計算機網絡安全越來越重要，尤其一些政府部門網絡，科研等機構網絡如被黑客或病毒侵入，后果是非常嚴重的，在許多網絡安全技術應用中，防火墻技術室比較成熟的，本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一，在配置防火墻時候，要正確選擇，科學配置。防火墻技術是計算機網絡技術人才需要專門的培訓與學習，才能進行科學的配置，在配置防火時候具有一定的技巧，在不同環境，不同時期具有一定的應用，因此正確科學的配置防火墻沒有通式，必須在根據環境狀態下進行科學合理的配置，這樣才能使防火墻技術成為網絡安全技術中最后一道保障。

1.3有賴于動態維護

防火墻技術在網絡中應用，不是把防火墻軟件在計算機中安裝以后，進行一些配置以后就完事，管理員要對防火墻實時進行監控，看防火墻是否出現一些異常狀況，管理員還要與廠商經常保持密切聯系，是否有更新，任何在完美事物都有兩面性，要及時更新，彌補防火墻漏洞，防止計算機網絡被更新，因此防火墻技術是一種動態實時更新技術。

1.4搞好規則集的檢測審計工作

網絡安全技術最大的危險是自己，網絡管理員不能出現一點大意，在防火墻技術的應用過程中，要適時進行更新，彌補漏洞，還要定期進行一定的檢測和審計工作，用來評估網絡現在的安全性，以及在未來一段時間網絡的安全性，做好正確的評審工作，是網絡能長時間保持穩定的重要條件，實時檢測，實時維護是網絡安全的基本法則。

2防火墻網絡安全技術的實現方案

2.1設置內部防火墻，編制可靠的安全方案

在網絡安全防范的過程中，內部局域網一定要重視，當局域網中一臺機器出現病毒狀況，可能瞬間整個網絡出現癱瘓狀態，因此利用防火墻技術作為網絡安全的檢測，內部局域網防火墻要進行科學合理的設置，制定一個可行的安全方案，對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段，每個主機要有標準，但有一個統一的標準，標準時同樣的，這樣對網絡的檢測等有一定的依據，增強了網絡的安全性。

2.2合理設定外部防火墻，防范外網攻擊

經外部防火墻的設定，把內網同外網相分開，可防范外網攻擊行為。外部防火墻通過編制訪問策略，僅已被授權的主機方能訪問內網IP，使外網僅能訪問內網中同業務相關的所需資源。外部防火墻會變換地址，使外網無法掌握內網結構，阻斷了黑客攻擊的目標。外部防火墻的精確設定范圍要在內網和外網之間，防火墻對獲取的數據包加以剖析，把其中合法請求傳導到對應服務主機，拒絕非法訪問。

3防火墻技術的未來發展趨勢及前景

防火墻技術是網絡安全技術發展的必然產物，為不安全的網絡搭建一個安全的網絡平臺，網絡安全是不可預測的，防火墻技術也在日新月異的進行發展，防火墻技術的未來發展是廣泛的，能為網絡安全作出一定的貢獻，下面闡述一下防火墻技術的未來發展趨勢，引領網絡安全技術的發展。

3.1智能化

現在計算機的未來發展是網絡化、智能化，網絡安全問題的發展也比較快，對網絡安全的軟件要求也是越來越高，網絡上的病毒具有不可預見性，對防御病毒的軟件提出一個嶄新的要求，必須具有一定的智能化，就是防火墻自身具有很強的防御功能，不是人為的進行控制，智能化是網絡安全專家對防火墻技術的期盼，也是防火墻技術自身發展的需要，但防火墻技術實現智能化需要一定的時間，需要網絡安全專家不停努力的結果。

3.2擴展性能更佳

篇（2）

1.1網絡安全

網絡安全不是目的，只是一種保障。就網絡安全來說，其造成威脅的因素又可分為內因和外因。內因主要是計算機本身的問題所致，例如自身的系統缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務漏洞、網絡操作系統的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計算機病毒、非授權的冒充使用、物理環境的安全性差等因素。

1.2校園網安全

校園網相對來說是一個比較特殊的環境，由于面向的群體主要是學生，因此除了要保證網絡的正常運行外，還必須做好對內容不健康信息的過濾功能以及應對個別同學喜歡嘗試各種試圖攻擊和入侵服務器的行為。通過分析目前校園網中存在的問題，應該從以下幾方面進行著手維護：制定和實施訪問安全，身份認證，禁止未授權的訪問者非法進入；對于電子閱覽室、網絡實驗室等學校人員經常使用的計算機，安裝上防火墻，過濾掉、暴力等不健康的網站；對重要或敏感的信息和數據進行加密，保證信息的內容的安全性，防止例如學生成績信息等重要數據被非法篡改；確保網絡運行設施的可靠性和安全監測手段的有效性，防范非法入侵而使系統功能受到影響情況的出現；學?？稍O立網絡安全管理機制，負責網絡安全管理和規劃等工作，加強學校安全管理教育工作的開展。

2防火墻技術

防火墻是一種為了保護內部網安全，在計算機的硬件和軟件相互搭配組合下，在互聯網和內部網之間形成安全屏障的技術，是確保網絡安全的重要手段。作為現代網絡時代不可或缺的安全產品，防火墻已經成為了校園網絡必要的存在。就目前來說，防火墻主要通過對未經證實的主機的TCP/IP進行分組過濾、利用IP地址進行偽裝、通過功能，斷絕內外部之間的連接等三個主要手段對內部網進行安全保護。

2.1防火墻的功能

（1）管理進出網絡的訪問行為作為雙向溝通間的控制點，防火墻可以利用自身的阻塞點，對訪問的信息進行管理和控制，并過濾掉不安全的服務和信息，只允許經過選擇的應用選擇通過防火墻，這在很大程度上降低了訪問的風險，提高了內部網絡的安全性。（2）記錄通過防火墻的信息內容和活動防火墻的建立使得所有信息的訪問在經過防火墻的時候都會留下記錄，防火墻內部會根據這些數據統計網絡的使用情況，并作出日志記錄。（3）監測和反饋網絡攻擊行為在信息監測的過程中，當有可疑的情況發生時，防火墻會適當的報警，并把詳細信息自動生成電子郵件發送給網絡維護者，提供網絡是否受到監測和攻擊的信息。（4）防止內部信息的泄漏在實施保護的過程中，可以通過防火墻的內部網絡劃分，將重點網段進行隔離，防止了局部重點或敏感段落出現問題對全局造成影響。

2.2防火墻特性

（1）是雙向網絡載體通信之間的中間存在點；（2）具有透明性，其存在不影響信息之間的交流和溝通；（3）它只對符合本地開放安全的信息進行授權，而只有經過授權的信息才可以自由出入網絡。

3防火墻技術在大學校園網中的應用

在目前，各種維護網絡的軟硬件層出不窮，但大多數只能解決學校網絡安全中的一部分，例如金山、瑞星等軟件解決病毒防范，天網、天融信等軟件解決網絡攻擊問題，這些軟件的存在都是以解決單一或部分問題為目標，并不能對學校的網絡安全形成整體的解決方案。由于學校的特殊性，學校對網絡的需求也有所不同，因此校園網絡應該根據學校的需求特點出發，以第一評價為標準，完善網絡體系，具體來說，有以下幾個步驟：

3.1入侵監測系統

入侵檢測是一種能夠及時監測和發現網絡系統中異?，F象的實時監測技術。在監測過程中除了利用審計記錄，監測出任何不希望有的活動以外，它還可以實時防護來自IPSpoofing、PingofDeath以及其它外界的攻擊，以保護系統的安全。而在監測到攻擊行為時它還可以自動生成電子郵件通知系統管理員，使其可以在第一時間處理危機。

3.2建立用戶認證

建立和完善網絡的用戶認證機制，對于不可信網站的訪問，防火墻可以經過內建用戶數據庫或IP/MAC綁定資料等進行認證，并決定是否給予訪問的權限。而防火墻也可以限定授權用戶通過防火墻進行一些有限制的活動。

3.3防火墻系統的檢測和維護

在合理配置了防火墻后，必須要對防火墻進行經常性的檢測和監督，并對監測到的網絡流量進行分析，時刻關注異常流量的情況，做好日志備份等處理工作，以便日后信息的查閱。最后，防火墻的配置也要根據網絡結構的變化而變化，從而保證其能在保護校園網中發揮更好的作用。

3.4漏洞掃描系統

要想解決網絡中的安全問題，首先要清楚存在了哪些安全隱患。面對強大的網絡覆蓋面和不斷變化的網絡復雜性，如果僅僅只依靠網絡技術管理人員的技術去查找漏洞是存在著巨大困難的，也是不現實的。因此唯一的方法就是找出一種可以替代人工查詢漏洞，并做出及時評估、提出修改意見的安全掃描工具，它可以在系統優化的過程中彌補安全漏洞，消除安全隱患。

3.5利用網絡監聽維護子網安全

威脅校園網絡安全有內因和外因兩個部分，對于外因，我們可以通過安裝防火墻來解決，但是對于校園內部的入侵我們則無能為力，在這種情況下，學?？梢栽诰W絡監控部門中設立一個專門管理和分析網絡運作狀態的子網監聽程序，該監聽程序可以包含一定的審計功能，方便在長期監聽子網的情況中，為系統中各個服務器的審計文件提供備份，并在監聽的程序之間建立聯系，保證相互聯系的計算機，在其它服務器收不到聯系的情況下，會自動發出警報提示。

篇（3）

一、概述

隨著計算機網絡的廣泛應用,全球信息化已成為人類發展的大趨勢?；ヂ摼W已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。

其實防火墻就好像在古老的中世紀安全防務的一個現代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛可以檢查每一個來往的行人。對于網絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。

防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網絡間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術

網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性:

1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;

2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術,比如現代密碼技術等;

5、人機界面良好,用戶配置使用方便,易管理。

實現防火墻的主要技術有:分組篩選器,應用網關和服務等。

(1)分組篩選器技術

分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發,不能通過檢查的就被丟棄。

通常,分組篩選器由系統管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因為雖然大多數節點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協議),其端口號是動態分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應用網關技術

應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。

有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶(3)服務

服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。

具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。

在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網

三、防火墻技術展望

伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。

2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。

4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。

5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。

另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。

參考文獻:

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

篇（4）

本文主要研究計算機網絡安全與防火墻技術。隨著計算機網絡的普及，網絡安全問題越來越得到人們的重視。在確保網絡安全和數據安全方面，有數據加密技術、智能卡技術、防火墻技術等，我們在這里主要研究的是防火墻技術。在這里，我們了解了防火墻的概念及它的分類，知道了什么是防火墻以及它在網絡中起到了的作用。從防火墻的防范方式和側重點的不同來看，防火墻可以分為很多類型，本文根據防火墻對內外數據的處理方法上，大致將防火墻分為包過濾防火墻和防火墻兩大體系，并對這兩種防火墻進行了對比。了解了防火墻的作用及它的優缺點，對防火墻的認識進一步的加深。然后介紹了防火墻三種基本實現技術：分組過濾、應用和監測模型。最后，了解了防火墻的基本元素及防火墻的三個典型結構?？傊覈壳笆褂幂^多的，是在路由器上采用分組過濾技術來提供網絡安全的保證，對其它方面的技術還缺乏深入了解. 防火墻技術還處在一個發展階段，仍有許多問題有待解決.

目錄

一、防火墻的概念及其分類 3

（一）防火墻的概念 3

（二）防火墻的分類 3

1．靜態包過濾防火墻： 3

2．動態包過濾防火墻： 4

二、 防火墻的作用及其優缺點 5

（一）防火墻的作用 5

（二）防火墻優缺點 5

三、防火墻基本技術 6

…… 6

…… 7

…… 7

…… 8

…… 8

…… 8

…… 8

…… 8

…… 9

五、結束語 9

致謝 10

參考文獻 11

：7000多字

有摘要及關鍵詞

150元

篇（5）

隨著計算機網絡技術的不斷發展，全球信息化己成為人類發展的大趨勢，計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此，網絡必須有足夠強的安全措施，否則網絡將是尤用的，相反會給使用者帶來各方面危害，嚴重的甚至會危及周家安全。 

一、信息加密技術 

網絡信息發展的關鍵問題是其安全性，因此，必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證，來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡，防止信息被一些懷有不良用心的人看到、破壞，甚至出現虛假信息。 

信息加密技術是保證網絡、信息安全的核心技術，是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成不可直接讀取的秘文，阻止非法用戶扶取和理解原始數據，從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密，南秘文還原成明文的過程稱為解密，加密、解密使用的町變參數叫做密鑰。 

傳統上，幾種方法町以用來加密數據流，所有這些方法都町以用軟件很容易的實現，當只知道密文的時候，是不容易破譯這些加密算法的。最好的加密算法塒系統性能幾乎沒有影響，并且還可以帶來其他內在的優點。例如，大家郜知道的pkzip，它既壓縮數據義加密數據。義如，dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的，或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。 

二、防火墻技術 

“防火墻”是一個通用術i五，是指在兩個網絡之間執行控制策略的系統，是在網絡邊界上建立的網絡通信監控系統，用來保障計算機網絡的安全，它是一種控制技術，既可以是一種軟件產品，又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成，在內部網和外部網之間構建起安全的保護屏障。 

從邏輯上講，防火墻是起分隔、限制、分析的作用。實際上，防火墻是加強intranet(內部網)之間安全防御的一個或一組系統，它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣，防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。 

防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點，在此進行檢查和連接，只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離，從而防止非法入侵及非法使用系統資源。同時，防火墻還日，以執行安全管制措施，記錄所以可疑的事件，其基本準則有以下兩點： 

(1)一切未被允許的就是禁止的?；谠摐蕜t，防火墑應封鎖所有信息流，然后對希單提供的服務逐項丌放。這是一種非常災用的方法，可以造成一種十分安全的環境，為只有經過仔細挑選的服務才被允許使用。其弊端是，安全件高于片j戶使片j的方便件，用戶所能使用的服務范同受到限制。 

(2)一切未被禁止的就是允許的。基于該準則，防火埔轉發所有信息流，然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境，可為用戶提供更多的服務。其弊端是，在口益增多的網絡服務面前，網管人員疲于奔命，特別是受保護的網絡范嗣增大時，很難提供町靠的安全防護。 

較傳統的防火墻來說，新一代防火墻具有先進的過濾和體系，能從數據鏈路層到應用層進行全方位安全處理，協議和的直接相互配合，提供透明模式，使本系統的防欺騙能力和運行的健壯件都大大提高；除了訪問控制功能外，新一代的防火墻還集成了其它許多安全技術，如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。

三、網絡入侵檢測與安全審計系統設計

在網絡層使用了防火墻技術，經過嚴格的策略配置，通常能夠在內外網之問提供安全的網絡保護，降低了網絡安全風險。但是，儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部；防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵)；不能防范惡意的知情者、不能防范來自于網絡內部的攻擊；無法有效地防范病毒；無法防范新的安全威脅；南于性能的限制，防火墻通常不能提供實時動態的保護等。

因此，需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統，能夠彌補防火墑等其他系統的不足，進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統，可以在網絡巾建立完善的安全預警和安全應急反應體系，為信息系統的安全運行提供保障。

在計算機網絡信息安全綜合防御體系巾，審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent，審計管理中心，審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接，對網絡的各個層次(網絡，操作系統，應用軟件)進行審計，受審計巾心的統一管理，并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件，主要實現管理員對于審計系統的數據瀏覽，數據管理，規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理，而且多個管理員可以同時進行管理，根據權限的不同完成不同的職責和任務。

篇（6）

一、前言

企業內部辦公自動化網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果，給正常的企業經營活動造成極大的負面影響。因此企業需要一個更安全的辦公自動化網絡系統。

目前企業內部辦公網絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數據監聽等，在這眾多的安全隱患中要數黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業網絡中應該以防范黑客和病毒為首。

針對企業辦公網絡存在的眾多隱患，各個企業也實施了安全防御措施，其中包括防火墻技術、數據加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業辦公中的應用給予探討，希望能給廣大企業辦公網絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內部網絡安全的一道防護墻。從理論上講，網絡防火墻服務的原理與其類似，它用來防止外部網上的各類危險傳播到某個受保護網內。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質上來說防火墻是一種保護裝置，用來保護網絡數據、資源和用戶的聲譽；從技術上來說，網絡防火墻是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網絡免受來自不安全網絡的入侵，如安全網絡可能是企業的內部網絡，不安全網絡是因特網，當然，防火墻不只是用于某個網絡與因特網的隔離，也可用于企業內部網絡中的部門網絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規定好的配置和規則，監控所有通過防火墻

的數據流，只允許授權的數據通過，同時記錄有關的聯接來源、服務器提供的

通信量以及試圖闖入者的任何企圖，以方便管理員的監測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能：

①能夠防止非法用戶進入內部網絡。

②可以很方便地監視網絡的安全性，并報警。

③可以作為部署NAT（NetworkAddressTranslation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網段上，從物理上和內部網段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部內部信息的地點。從技術角度來講，就是所謂的?；饏^（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screeningrouter)或網絡層防火墻(Networklevelfirewall)，它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制，根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協議類型和數據包中的各種標志等為參數，與用戶預定的訪問控制表進行比較，決定數據是否符合預先制定的安全策略，決定數據包的轉發或丟棄，即實施過濾。

②服務器型防火墻

服務器型防火墻通過在主機上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程，它代替網絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。

③復合型防火墻

由于對更高安全性的要求，通常把數據包過濾和服務系統的功能和特點綜合起來，構成復合型防火墻系統。所用主機稱為堡壘主機，負責服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術:①動態包過濾；②內核透明技術；③用戶認證機制；④內容和策略感知能力:⑤內部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網絡防火墻的設計

1.防火墻的系統總體設計思想

1.1設計防火墻系統的拓撲結構

在確定防火墻系統的拓撲結構時，首先必須確定被保護網絡的安全級別。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統的拓撲結構。

1.2制定網絡安全策略778論文在線

在實現過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發所有的信息，逐項刪除被禁止的服務。

1.3確定包過濾規則

包過濾規則是以處理IP包頭信息為基礎，設計在包過濾規則時，一般先組織好包過濾規則，然后再進行具體設置。

1.4設計服務

服務器接受外部網絡節點提出的服務請求，如果此請求被接受，服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網絡安全性，解決包過濾所不能解決的問題。

1.5嚴格定義功能模塊，分散實現

防火墻由各種功能模塊組成，如包過濾器、服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現，功能分散減少了實現的難度，增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計，發現入侵和非法訪問情況。據此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據網絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能，以保證網絡極其信息的安全性。

2.一種典型防火墻設計實例——數據包防火墻設計

數據包過濾防火墻工作于DOD(DepartmentofDefense)模型的網絡層，其技術核心是對是流經防火墻每個數據包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統預先設定的安全策略相匹配，以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用，這一過程就稱為數據包過濾。

本例中網絡環境為：內部網絡使用的網段為192.168.1.0，eth0為防火墻與Internet接口的網卡，eth1為防火墻與內部網絡接口的網卡。

數據包過濾規則的設計如下：

2.1與服務有關的安全檢查規則

這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸.這類服務包括WWW，FTP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數據包過濾的實現.

WWW數據包采用TCP或UDP協

議，其端口為80，設置安全規則為允許內部網絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內部網部的WWW服務器，(假定其IP地址為192.168.1.11)。

要實現上述WWW安全規則，設置WWW數據包過濾為，在防火eth0端僅允許目的地址為內部網絡WWW服務器地址數據包通過，而在防火墻eth1端允許所有來自內部網絡WWW數據包通過。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然，設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數據包檢查規則；

2.2與服務無關的安全檢查規則778論文在線

這類安全規則是通過對路由表、數據包的特定IP選項和特定段等內容的檢查來實現的，主要有以下幾點：

①數據包完整性檢查(TinyFragment):安全規則為拒絕不完整數據包進人Ipchains本身并不具備碎片過濾功能，實現完整性檢查的方法是利用REDHAT，在編譯其內核時設定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進人的數據包的完整性，合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機，以期能滲透到內部網絡中.要實現這一安全規則，設置拒絕數據包過濾規則為，在防火墻eth0端拒絕1P源地址為內部網絡地址的數據包通過。

③源路由(SourceRouting)欺騙:安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息，實現的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數據包。

總之，放火墻優點眾多，但也并非萬無一失。所以，安全人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到應有的效果。

參考文獻：

張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統應用,1999

王麗艷.淺談防火墻技術與防火墻系統設計.遼寧工學院學報.2001

郭偉.數據包過濾技術與防火墻的設計.江漢大學學報.2001

篇（7）

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 (2011) 21-0000-01

Distributed Firewall Network Security System Study

Zhou Guohui

(Guangxi Vocational&Technical Institute of Industry,Nanning 530001,China)

Abstract:With the rapid development of network technology,network security,received more attention,it is also widely used firewall technology,this paper describes a distributed firewall network security system,the composition and use of the principle.It also describes how to use a distributed firewall system to protect network security.

Keywords:Distributed firewall;Network security

一、引言

很多人都聽說過防火墻這個名詞，但防火墻的功能到底是什么，估計沒有幾個非專業認識能夠做出明確的解釋，其實防火墻的基本功能就是防止網絡上的非法用戶來訪問我們的內部網絡以及限制一些用戶的使用權限，通過這個功能來保護我們的網絡的安全。有了防火墻并不一定就很安全。普通的邊界防火墻只是依賴網絡的拓撲結構并且形成網絡的流量瓶頸，這樣只能大略的提供一下網絡安全保護，根本就無法阻止來自網絡內部的攻擊；一臺普通電腦的防火墻的自身防御能力很有限，它的保護配置全部由電腦使用者來設置，如此以來一個企業和組織就不能對防火墻進行集中有效的配置，來保護企業和組織的網絡安全。

二、分布式防火墻

為了解決上面說的防火墻的缺陷，一個新的概念“分布式防火墻”出現了，最早提出這個概念的人是：stevenM.Bellovin，他在1999年自己寫的論文里提出了這個概念。他在論文中主要說明的中心是：策略可以集中頂制，可以在各個主機上執行。而且還在文中說明了分布式防火墻的基本框架的模型。

一個普通的分布式放火墻系統的組成由三個部分，他們分別是：網絡防火墻，主機防火墻和中心策略服務器，網絡拓撲結構圖如圖1所示。

我們通過拓撲結構圖對分布式防火墻有了初步的了解了，而且發現他們有以下的特征：（1）分布式防火墻與普通防火墻的最基本的區別就是分布式防火墻的完全配置不是由主機的用戶來配置的，而且由安全中心的服務器來同意配置管理。（2）安全策略的執行是在各個客戶端的電腦上執行的。（3）客戶端的日志的管理必須統一歸結到安全中心的服務器上，由服務器來統一集中管理。（4）駐留方式采用的是主機駐留方式。（5）防火墻的嵌入是在各個主機的操作系統的內核或者網絡硬件接口中。

三、基于分布式防火墻的網絡安全系統

（一）建立協同工作的網絡安全系統

其實作為分布式防火墻來講，他依然是一個靜態的一個網絡安全的防御系統，它的主要功能就是限制外界的非法訪問和控制，但是我們知道網絡的安全可不是靜態的，它卻是一個動態的過程。分布式防火墻在動態的獲得網絡安全狀況這個方面的能力不是很強，所以就很難動態的來配置它的安全防御能力以及讓它有針對的進行防御。所以說單一的分布式防火墻系統的網絡防御能力是薄弱的，最好是結合一下其他的相關網絡技術一起使用。

（二）基于分布式防火墻的安全系統

分布式防火墻的安全系統一共由四個組成部分，他們分別是：分布式防火墻部件，入侵檢測部件，信息綜合部件，管理決策部件。分布式防火墻的部件采用的就是分布式防火墻的結構。入侵檢測部件的入侵檢測模塊是由分布式防火墻部件的主機防火墻模塊在一個受保護的電腦所共同構成的一個防御系統，入侵檢測模塊和分布式防火墻部件在受保護主機的邊界，從而形成了邊界的防御系統。服務器中存放的就是信息綜合部件和慣技決策部件，因為服務器要集中配置和管理分布式放火墻的網絡防御系統。

管理決策部件的功能主要由兩個：（1）作為網絡系統安全的管理員，你必須要配置號分布式防火墻和入侵檢測部件的安全策略和規則。這個功能主要是管理員通過組織或者企業內部自己指定的一個安全的政策，實現方面是由一個管理員的界面來實現的。（2）這個不見發送入侵的警告信息主要是通過入侵檢測部件以及信息綜合部件共同來完成的。從而來響應安全防御的決策。所謂的響應安全決策主要包括：確定以下具體的響應執行模塊以及他應該執行什么樣的響應動作；然后再把這個響應動作給傳喚成安全策略和規則的形式，然后統一發給響應的執行模塊來執行。所以說，如何能讓系統的安全策略針對網絡安全狀況能夠進行實時、智能的調整是對這個部件的一個最其本的要求。因此，作為管理決策部件，應該用比較權威的專家的系統來做實施方案。

四、結束語

本文主要根據筆者的工作經歷簡單講述了一下分布式放火墻的構成已經運行原理，而且主要指出了要想更好的保護好組織和企業的網絡安全，需要以分布式防火墻作為基礎，然后結合分布式的入侵檢測技術還要加上權威的專家系統，能夠實時、智能的調整和響應網絡安全事件。把這幾個結合起來，就能達到一個滿意理想的最佳效果。

參考文獻：

[1]Beuovin s M.Distributed Firewalls[EB/0L].

researeh.att.coIn/～smb/papers/distfk.pdf,2004,6:25

[2]彭晴嵐,李之棠.分布式防火墻系統的安全機制設計[J].計算機工程與科學,2003

篇（8）

中圖分類號：TP393.08

對于高校而言，校園網在教學、科研、管理以及對外交流等過程中起到了不可替代的作用。近年來，隨著校園網建設規模的不斷壯大，校園網存在安全問題也逐漸突顯。我們在享受網絡信息資源的便捷性的同時，也面臨著網絡安全帶來的困擾。

當前網絡安全技術包括兩種，一種是以防火墻技術為例的靜態安全技術，另一種是以入侵檢測系統技術為例的動態安全技術。兩種網絡安全技術各有優勢和不足之處，為實現有效的保障校園網的網絡安全，最好的方式就是實現防火墻與入侵檢測系統的結合應用。

1 防火墻與入侵檢測系統的區別和聯系

防火墻技術是網絡靜態安全技術的代表，是一種被動的防御技術。防火墻技術建立在現代通信網絡技術與信息安全技術基礎上。防火墻技術作為不同網絡與網絡安全域之間信息唯一的出入口，主要用于控制出入網絡的數據，不過防火墻技術不能防范內部的非法訪問行為。另外防火墻技術還有一個缺陷，不能夠主動跟蹤入侵者，只能依賴人工實施與維護。

與防火墻技術相對的入侵檢測系統則是動態安全技術的代表，在網絡安全中是一種主動的防御手段，可以對網絡中容易受到威脅和攻擊的點擊存在安全漏洞的地方主動檢測，通常對于危險行為的檢測要比人工快，并且實現對網絡內部通信信息的實時分析，對入侵行為、企圖即使檢測，并提前發出警報，一邊及早采取措施應對，最大限度的保障網絡安全。

總之，防火墻技術與入侵檢測系統作為兩種不同的網絡安全防范手段，兩者各具優勢也各有不足。防火墻技術對新協議和新服務的支持，不能進行動態擴展，從而無法提供個性化服務。而入侵檢測系統雖然能夠收集、分析信息，對網絡中的安全問題進行檢測，對而已攻擊提供主動、實時的保護，有效做到網絡安全防范。因而，入侵檢測系統能夠彌補防火墻技術的不足之處，對防火墻技術起到補充作用，最終提高了校園網網絡信息的安全性，兩者有區別的同時，又在功能上起到了互補關系。

2 防火墻與入侵檢測系統結合應用的優勢

校園網中，防火墻技術不能直接控制內部網絡行為，無法對通信過程中的內容數據進行監控。防火墻技術對于一些安全威脅依然難以防范。入侵檢測系統則以絕對的主動權對防火墻技術的不足之處進行彌補。

在校園網中，防火墻與入侵檢測系統結合應用優點多，入侵檢測系統能夠提前發現威脅網絡安全的攻擊行為，并提供入侵信息給防火墻，由防火墻技術針對威脅調整安全策略，對不合法的信息進行阻斷和處理。兩者的結合應用大大提高了網絡系統的防御性能。

3 校園網絡所面臨的威脅

當前校園網絡的安全問題，主要面臨三個方面的威脅：

3.1 物理安全

校園網絡安全的前提，就是保證計算機網絡系統各種設備的物理安全。其所表現的數據傳輸、數據存儲以及數據訪問安全都是在物理介質層次之上。網絡運行的環境，諸如溫度、濕度、電源等也威脅到計算機網絡安全。

物理安全，保護的就是計算機的網絡設備、網絡設施，以及避免其他媒體在自然災害或者認為事故中所遭到破壞。是對計算機系統、服務器、打印機等硬件的保護。

3.2 自然因素的威脅

校園網面臨的自然威脅，是指自然原因帶來的安全問題，如雷擊、火災、水災、地震等自然災害；正行情況下使用過程中的設備損壞；設備運行環境等方面，損壞網絡設備硬件，影響網絡的正常運行，對校園網網絡安全帶來威脅。

3.3 人為因素的威脅

校園網中，網絡系統安全面臨的人為因素的威脅，分為故意人為威脅、無意人為威脅兩種形式，都嚴重威脅著計算機網絡的安全。人為故意威脅涵蓋搭線連接獲取網絡數據信息、竊取口令密鑰來獲取信息資源、盜割網絡通信線纜，以及破壞網絡設備等類型。無意人為威脅是指操作人員雖然擁有合法和技術，但操作過程中因為失誤或者疏忽，對網絡安全運行帶來的不良影響或者重大損失。

4 校園網中防火墻與入侵檢測系統的結合應用

首先，選擇入侵檢測系統的位置。入侵檢測系統可放在防火墻之內，也可以放在防火墻之外。但依據兩者不同的功能優勢，入侵檢測可及時檢測異常、攻擊行為，而由防火墻對非法入侵進行控制。將入侵檢測系統放置在防火墻的后面，不合法信息在經過防火墻的技術過濾，對計算機網絡起到一定的保護。將入侵檢測系統放在防火墻的內部，在最大限度阻止“幼稚腳本”的攻擊同時，讓入侵檢測系統去發現網絡中的攻擊行為。

其次，校園網中防火墻與入侵檢測系統的結合模型設計，兩者并非只是簡單的疊加，而是具體的分析兩者的功能、優勢以及缺點，經過研究后建立的一種由簡單的入侵檢測系統輔助防火墻技術的安全系統。

最后，防火墻與入侵檢測系統的接口。兩者通過兩種方式實現互動。一種是將入侵檢測系統嵌入到防火墻技術中，實現兩者的緊密結合。這種情況下，入侵檢測系統的數據來源于流經防火墻的數據流。防火墻不僅要驗證這些數據，還要對其是否具有攻擊性進行判斷，從而對攻擊行為進行阻斷。但入侵檢測系統作為一個龐大的系統，為實施帶來了一定的難度。另一種個互動方式就是通過開發借口來實現。防火墻技術、入侵檢測系統，它們各自開放一個接口，提供給對方使用，雙方按事先協商的方式進行信息的傳輸。這種互動方式靈活，對防火墻技術、入侵檢測系統的性能都不會造成影響。

一般系統越復雜，其自身的安全問題也就愈加難解決，通過比較，將防火墻技術與入侵檢測系統通過開放接口實現互通，比將兩者緊密結合的效果好。防火墻與入侵檢測系統的原理、方法、手段等各不相同，但是他們都是為了保護計算機網絡信息的安全，兩者有著共同的目的，而且面臨的威脅也相同，因此，兩者的結合應用為校園網的安全防范帶來切實可行的方法和手段。

5 結束語

本篇論文將以防火墻技術為代表的靜態技術與以入侵檢測系統為代表的動態技術結合應用，并非單純的將兩個系統通過設定標準接口簡單物理結合，而是將兩種技術手段各自獨有的功能在新的系統中展現，有力的保障校園網網絡系統的安全性，有效提高了網絡的防御能力。未來，防火墻與入侵檢測系統的結合應用，為計算機網絡安全技術提供了廣闊的發展空間。在計算機網絡安全防范過程里，防火墻技術與入侵檢測系統的結合應用，將取長補短為保護計算機網絡安全增加一重保障。

參考文獻：

篇（9）

 

0 引言

近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站，通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出，并且該問題已經嚴重制約了農產品電子商務的進一步發展。

1　農產品電子商務的安全需求

根據電子商務系統的安全性要求，田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。

1) 系統實體安全

系統實體安全是指保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故（如電磁污染等）破壞的措施和過程。

2) 系統運行安全系統運行安全是指為保障系統功能的安全實現，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急）來保護信息處理過程的安全[1]。項目組在實施項目前已對系統進行了靜態的風險分析，防止計算機受到病毒攻擊，阻止黑客侵入破壞系統獲取非法信息，因此系統備份是必不可少的（如采用放置在不同地區站點的多臺機器進行數據的實時備份）。為防止意外停電，系統需要配備多臺備用電源，作為應急設施。

3) 信息安全

系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務，因此保證此類安全最為迫切。系統需要滿足保密性，即保護客戶的私人信息，不被非法竊取。同時系統要具有認證性和完整性，即確?？蛻羯矸莸暮戏ㄐ?，保證預約信息的真實性和完整性，系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問防火墻，即保證系統的可控性。在這基礎上要實現系統的不可否認性，要有效防止通信或交易雙方對已進行的業務的否認論文的格式。

2 農產品電子商和安全策略

為了滿足電子商務的安全要求，電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術如下：

2.1基于多重防范的網絡安全策略

1) 防火墻技術

防火墻是由軟件系統和硬件系統組成的，在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障，并在此進行檢查和連接，只有被授權的信息才能通過此保護屏障，從而使內部網與外部網形成一定的隔離，防止非法入侵、非法盜用系統資源，執行安全管制機制，記錄可疑事件等。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2) VPN 技術

VPN 技術也是一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線，連接上本地的公眾信息網，其分支機構就可以相互之間安全的傳遞信息。同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制，是當前和今后企業網絡發展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網絡擁塞經常發生，這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能防火墻，又不會“餓死”，低優先級的應用。

管理問題

由于網絡設施、應用不斷增加，網絡用戶所需的IP地址數量持續增長，對越來越復雜的網絡管理，網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備論文的格式。

2.2基于角色訪問的權限控制策略

農產品電子商務系統信息系統含有大量的數據對象，與這些對象有關的用戶數量也非常多，所以用戶權限管理工作非常重要。

目前權根控制方法很多，我們采用基于RBAC演變的權限制制思路。在RBAC之中，包含用戶、角色、目標、操作、許可權五個基本數據元素，權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據系統作業流程的任務，并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據系統的實際功能結構對系統功能進行編碼，系統管理員可以創建、刪除角色所具有的權限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發生沖突，對該角色的權限不能輕易進行修改，以免造成由于修改角色權限從而造成角色發生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時，系統會根據用戶的角色的并集，從而得到用戶的權限，由權限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數據加密的數據安全策略

在農產品商務系統中，數據庫系統作為計算機信息系統核心部件，數據庫文件作為信息的聚集體，其安全性將是重中之重。

1)數據庫加密系統措施

(1)在用戶進入系統進行兩級安全控制

這種控制可以采用多種方式，包括設置數據庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說防火墻，可以采用軟指紋技術防止非法復制，當然，權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數據抽取方式

提供兩種卸出和裝入數據庫中的加密數據的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數據還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數據明文，在這種模式下，可利用系統專用工具先進行數據轉換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結束語

隨著信息化技術的快速發展，農產品電子商務創新必須適應新的變化，必須充分考慮信息安全因素與利用信息安全技術，這樣才能實現農產品電子商務業務快速增長，本文所述的安全策略，對當前實施電子商務有一定效果的，是值得推介應用的。

參考文獻：

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報（自然科學版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35

篇（10）

中圖分類號： TP391；TN911．73文獻標識碼：A文章編號：2095－2163（2011）03－0035－05

Design and Implementation of the Embedded Linux Firewall

RAO Ming， DU Zhonghui， HAN Qi， LI Qiong

Abstract： In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system.

Key words：

0引言

互聯網已經發展成為當今世界上最大的信息庫，但是Internet從建立開始就缺乏安全的總體構想和設計，所以互聯網的安全性就存在眾多缺陷和隱患，由此防火墻的概念應運而生。所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，從而保護內部網免受非法用戶的侵入。但是，傳統意義上的防火墻存在網絡應用受到結構性限制、內部安全隱患、效率較低和故障率高等缺點，所以人們又提出了分布式防火墻的概念。分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護。分布式防火墻的具體實現方式可以歸結為基于軟件和基于硬件兩種，一般將基于硬件實現的分布式防火墻稱為嵌入式防火墻[1]。嵌入式防火墻是一種基于嵌入式技術的新型防火墻，同時將安全策略延伸到了網絡末端，安全措施由硬件系統實施，從而有效地克服了傳統邊界防火墻的局限，并結合了硬件解決方案的強健性和集中管理式軟件解決方案的靈活性，從而創建了一種更為完善的安全防護架構。

1999年，Bellovin[2]提出了一種分布式的解決方案，將策略的執行分布到各端結點，同時保持集中式的策略管理。2000年，Loannids等人[3]按照Bellovin 1999年提出的觀點實現了一個分布式防火墻的原型系統。2001年，Payne和 Markham[4]實現了一種基于硬件的分布式防火墻，并指出基于硬件的分布式防火墻具有更高的可靠性。國內學者也先后實現了基于嵌入式Linux以及Netfilter／Iptables架構的防火墻系統[5，6]，并對嵌入式防火墻中Linux內核裁剪進行了研究[7，8]。在商業產品方面，華為3Com公司也研發出PCI卡和PC卡形式的嵌入式防火墻，這類防火墻不受網絡拓撲控制，完全獨立于主機操作系統，強化整個網絡臺式機、服務器和筆記本，配合適當的安全策略，控制每個端點的網絡訪問，并能快速響應檢測到的攻擊。但是這些研究和產品大多都基于Iptables工具，當規則數量達到一定程度時，Iptables進行規則過濾的速度大大下降，從而嚴重影響防火墻的整體性能。

本文基于ARM9嵌入式平臺， 提出并實現了一種Iptables結合NF－hipac、Ipset的嵌入式防火墻方案，首先使用交叉編譯技術將運行于x86體系Linux上的Netfilter／Iptables防火墻系統移植到基于ARM體系處理器的平臺上，同時對Linux操作系統的內核進行裁剪。通過測試發現Iptables在某些條件下的性能局限，所以結合NF－hipac、Ipset實現三者優勢的互補，進一步提高防火墻的性能。

1基于Netfilter／Iptables的防火墻分析

1．1Netfilter架構與Iptables

本小節將對Linux下的Netfilter／Iptables防火墻體系做整體的分析以及介紹，并指出Iptables的不足及其改進方案。

Netfilter是Linux內核實現數據包過濾、網絡地址轉換（NAT）、數據包處理等的功能框架。之所以說Netfilter是一種架構，是因為Netfilter可以被多種協議族所用。利用Netfilter架構，各種協議都可以在Linux內核級實現自己的防火墻。Netfilter的設計為內核中其它模塊動態參與IP層中的數據包處理提供了途徑。

Netfilter在內核中建立了一個函數指針鏈表，稱為鉤子函數鏈表，加入到鏈表中的函數指針所指的函數稱為鉤子函數（Hook Function）。一個數據包按照如圖1所示的過程通過Netfilter系統，圖中的5個鉤子函數分別為：（1）NF＿ IP＿PRE＿ROUTING；（2）NF＿IP＿LOCAL＿IN；（3）NF＿IP＿FO－WARD；（4）NF＿IP＿POST＿ROUTING；（5）NF＿IP＿LOCAL＿OUT。

Iptables是基于Netfilter框架的數據報處理子系統[1]，有很強的擴展性。內核模塊可以在原有基礎上注冊一個新的規則表（table），并要求數據報流經指定的規則表，可以選擇用于實現數據報過濾的filter表、網絡地址轉換的NAT表及數據報處理的mangle表。Linux2．6內核提供的這三種數據報處理功能都基于Netfilter的鉤子函數和Iptables；而且還是互相之間獨立的模塊，完美集成到由Netfilter提供的框架中。Iptables實現對規則的管理和訪問，ipt＿entry，ipt＿match，ipt＿target，ipt＿table等數據結構用于構造規則表， ipt＿do＿table函數用于遍歷規則表并處理規則表上的結構。

1．2Iptables的不足及衍生工具Ipset、NF－hipac

在利用Iptables向系統添加防火墻規則時，如果沒有特殊指定，Iptables會將新規則添加至規則鏈（線性表）的尾部；而當協議棧中有新數據包達到時，內核會調用ipt ＿do＿table（）逐條將規則與數據包的屬性相對比，如果匹配成功則轉入相應的處理行為。也就是說，幾乎所有未命中規則的數據包的匹配復雜度為O（n）（n為規則的數目），這樣在小規則集的情況下，性能削減不會很大，但是如果在龐大規則集的情況下，性能就會因規則條目的增長而大幅削減。

Ipset工具在這個方面做了很大的改善，最主要的是在結構和規則的查找上面做了很大的改善。Ipset的思想就是將相同處理規則的匹配條件放到一個集合中，一般采用hash方法。一個報文查詢規則的時候，只需要判斷IP地址是否在這個集合中就可以了；如果滿足對應的匹配條件，就執行相應的處理操作。由于將查找從線性表遍歷改為了hash查找，時間復雜度從O（n）降到了O（1）。根據提供的測試結果表明，當規則數目在300－1 500之間的時候，其對性能的影響基本是水平線。

NF－hipac是Netfilter項目中的一個子項目，NF－hipac提供了一個新穎包分類的架構，將規則集呈現樹狀分布以代替原有Iptables的線性分布，從而將時間復雜度從O（n）降到了O（logn）。但是相比于Ipset，NF－hipac具有更大的靈活性。當查找每一個包的時候，使用一個高級算法來減少內存占用。在一個有特別多的規則和高帶寬的網絡中，NF－hipac表現出色。NF－hipac的特點就是其語法完全兼容iptables －t filter選項，并且NF－hipac可以調用Iptables的匹配行為以及連接跟蹤機制，這些特點使NF－hipac可以完全取代Iptables的過濾子功能。

2嵌入式防火墻方案設計及實現

2．1基于Iptables－Ipset－NF－hipac的防火墻方案

Iptables的優勢在于具有足夠的靈活度，并且功能強大，面面俱到；劣勢是在數量巨大的規則集時性能低下。而Ipset雖具有很好的性能，將Iptables的時間復雜度從O（n）降到了O（1），但是卻缺乏靈活性，集合里所有的IP對應到同一個處理操作，在面對并非一次性更新的規則集合時，顯得用處不大。NF－hipac的靈活性和性能處于前二者之間，但是只能代替Iptables－t filter選項。因此，綜合三個工具的優勢，設計出一個更加優秀的防火墻方案：

（1）Ipset負責一次性大規模更新同一處理操作的IP集合；

（2）NF－hipac負責獨立零散的過濾規則的更新；

（3）Iptables用來進行其他子功能（數據包轉發、數據包地址偽裝等）操作。

這樣既保證了系統運行的高性能，又能覆蓋所需的全部功能。

本文設計的嵌入式Linux防火墻的整體體系架構如圖2所示。硬件層為ARM9的處理器，操作系統內核為經過移植的Linux（版本2．6．13）內核，并且支持NetFilter。用戶態則移植了三款防火墻工具，并且都是在Netfilter架構的基礎上進行開發的，包括Iptables、Ipset以及NF－hipac。

2．2開發平臺及編譯環境

本文設計的嵌入式Linux防火墻方案是在HIT－ESDK01平臺上實現的，HIT－ESDK01是哈工大自主研制的嵌入式實踐教學平臺。該平臺采用ATMEL公司AT91RM9200（ARM920T）嵌入式處理器，這是一款ARM920T內核的工業級產品，主頻180MHz，帶有MMU存儲器管理單元，內嵌10M／100M自適應以太網。開發板上還包括64MB SDRAM、 256MB／1GBNand Flash和16MB Nor Flash，板上集成4線電阻式觸摸屏接口、TFT液晶屏接口，最大支持16BPP模式800?}600分辨率，板載RS232、RS485、RJ45、USB等接口以及CAN總線接口及多種存儲卡接口。實驗平臺的接口布局如圖3所示。

所謂交叉編譯就是在一個平臺上生成可以在另一個平臺上執行的代碼，本文使用基于gcc 3．4．1的工具鏈，在x86架構的Linux主機上使用ARM架構的編譯工具鏈對系統內核和工具進行編譯，生成可以在目標板上運行的內核，燒寫到Flash中，便可在嵌入式平臺上運行經過裁剪的系統和相關工具。交叉編譯內核的詳細步驟本文不再贅述，只是簡要介紹三個防火墻工具編譯與移植的關鍵環節。

Iptables是Linux內核的一部分，因此與交叉編譯內核一起考慮Iptables的編譯，需要注意的是，Iptables最好編譯為built－in模式，而不要選擇模塊模式，這主要是考慮到嵌入式系統單內核方便管理、使用及大規模的工業復制。NF－hipac是通過內核補丁的方式編譯的，下載到其源碼后為內核打補丁，然后與內核一起編譯。另外，還需要對源碼進行一定的修改，為編譯移植用戶層NF－hipac工具做準備，修改的文件包括Makefile、nf－hipac－core．c等。Ipset也是通過內核補丁的方式編譯的，操作方法類似。

3功能與性能測試

本文測試部分包括防火墻的功能測試和性能測試，使用到的測試工具Netperf。Netperf是一款網絡性能的測量工具，主要針對基于TCP或UDP的傳輸。Netperf根據應用的不同，可以進行不同模式的網絡性能測試，即批量數據傳輸（bulk data transfer）模式和請求／應答（request／reponse）模式。Netperf測試結果所反映的是一個系統能夠以多快的速度向另外一個系統發送數據，以及另外一個系統能夠以多快的速度接收數據。

本文測試用例包括兩種網絡拓撲，如圖4、圖5所示。測試網絡拓撲1主要模擬了從外網的客戶端訪問被防火墻保護的內網服務器（Web服務器、測試軟件netserver服務器等），外網IP用192．168．5．0／24模擬，內網IP用10．50．10．0／24模擬。由于嵌入式Linux防火墻本身也為一臺計算機，所以將其內部假設服務器，測試網絡拓撲2（下文簡稱拓撲2）如圖5所示，完成拓撲1所不能完成的一些性能上的測試，將測試結果進行進一步分析對比。

3．1功能驗證與測試

功能驗證與測試包括Iptables功能測試、NF－hipac功能測試和Ipset功能測試，在各種單項測試通過后，進行了ftp、telnet、NAT、針對SYNFlood攻擊的防御等應用場景測試，圖6、圖7是NAT測試的數據流示意圖和測試結果，表1給出了針對SYNFlood攻擊的防御的測試結果，測試結果表明了該防火墻功能的有效性。

3．2性能測試

本文對防火墻進行的性能測試包括：內核精簡前后性能對比測試、MTU值對性能影響測試、Iptables／NF－hipac／Ipset大規則集下的壓力測試以及網絡套接字緩沖區大小對系統性能的影響測試。

內核精簡前后性能對比測試主要是為了驗證本文所做內核裁剪的有效性，本文對精簡前后的內核做眾多性能方面的測試，對比了批量數據傳輸速率、請求／應答模式（即TCP＿RR模式）交易率、連接／請求／應答模式（即TCP＿CRR模式）交易率三方面給出測試結果，如圖8－圖10所示。

從測試結果可以得出，TCP＿CRR模式下的交易率的數值變化較為明顯。由于TCP＿CRR模式為每次交易建立一個新的TCP連接，對系統消耗最為嚴重，從圖10可以看出，未精簡的內核的交易率變得十分不穩定。但無論是三項測試數據當中的哪一項，內核精簡后對比精簡前均有不同程度的性能上的提升，證明對內核進行精簡可以對系統性能的提升起到作用。

MTU值（Maximum Transmission Unit最大傳輸單元）[1]是指一種通信協議的某一層上面所能通過的最大數據包大小（以字節為單位），在大流量的網絡當中，增大MTU的值可以很好地改善網絡性能。本文測試拓撲2，從批量數據傳輸速率、請求／應答模式交易率兩方面進行測試，結果如表2、表3所示，其中，嵌入式防火墻eth0接口連接至服務器的網絡接口，eth1接口連接至客戶端的網絡接口。

通過測試結果可以觀察到，在較大MTU值的情況下，無論是數據傳輸速率還是交易率均得到了提升，但是也取決于整個網絡中的瓶頸MTU值。

接下來進行了Iptables、NF－hipac、Ipset三個工具在大規則集下的壓力測試，測試結果如圖11、圖12所示。由測試結果可以看出，Iptables在300條規則之內的性能對比NF－hipac與Ipset并沒有明顯的劣勢，但是當規則的數量超過這一數值的時候，其性能表現就會大打折扣。而NF－hipac與Ipset的性能表現則幾乎與規則的數目無關，NF－hipac的表現要稍好于Ipset。

4結束語

本文在HIT－ESDK01嵌入式教學平臺之上設計并實現了嵌入式Linux防火墻系統。首先，根據嵌入式及防火墻的基本知識，設計了系統的總體結構，針對嵌入式系統的特點，給出了一種Linux內核的裁剪理由及方案，并針對該方案給出了測試結果，證明對其實施裁剪的必要性；其次，指出了Netfilter／Iptables架構在大數量規則集下性能低下的缺陷，提出了Iptables結合NF－hipac、Ipset使用的解決方案，并針對方案給出了詳細的移植方法及步驟；最后，對實現的系統進行了詳細的功能及性能測試。功能測試完成了整個系統各項功能的測試，證明了系統的可用性；性能測試主要給出了影響系統性能的參數，包括內核精簡程度、MTU值、套接口緩沖區大小、防火墻規則的數量等等，通過改變參數并加以測試，對得到的測試結果加以分析，給出優化系統的途徑。

參考文獻：

[ 1 ] PAYNE C，MARKHAM T． Architecture and Applications for a

Distributed Embedded Firewall[C]／／ Proceedings of the Comp－

uter Security Applications Conference，2001：329－336．

[ 2 ] BELLOVIN S M． Distributed Firewalls[J]． Journal of Login，19－

99：39－47．

[ 3 ] LOANNIDS S，SMITH J，KEROMYTIS A D，et al． Implementing

a distributed firewall[C]／／ Proceedings of the 7th ACM Conferen－

ce on Computer and Communications Security， Athens， Greece，

2000－11．

[ 4 ] PAYNE C，MARKHAM T． Architectures and applications for a

distributed embedded firewall[C]／／ Proceedings of the Computer

Security Applications Conference，2001：329－336．

[ 5 ] 劉正海． 基于嵌入式Linux防火墻的研究與實現[D]． 重慶：重慶

大學碩士學位論文，2007．

[ 6 ] 鄭培群． 嵌入式防火墻過濾規則的設計與算法優化[D]． 武漢：

武漢理工大學碩士學位論文，2010．

[ 7 ] 羅奕． 嵌入式Linux裁剪及其系統構建的研究與實現[D]． 長沙：