第一篇:防火墻的應用現狀調查
防火墻的應用現狀調查
1、防火墻技術現狀
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統后,提出了防火墻的概念,防火墻技術得到了飛速的發展。第二代防火墻,也稱代理服務器,它用來提供網絡服務級的控制,起到外部網絡向被保護的內部網絡申請服務時中間轉接作用,這種方法可以有效地防止對內部網絡的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態監控功能防火墻,它可以對每一層的數據包進行檢測和監控。隨著網絡攻擊手段和信息安全技術的發展,新一代的功能更強大、安全性更強的防火墻已經問世,這個階段的防火墻已超出了原來傳統意義上防火墻的范疇,已經演變成一個全方位的安全技術集成系統,我們稱之為第四代防火墻,它可以抵御目前常見的網絡攻擊手段,如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。
2、防火墻的定義和描述
“防火墻”這個術語參考來自應用在建筑結構里的安全技術。在樓宇里用來起分隔作用的墻,用來隔離不同的公司或房間,盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。然而,多數防火墻里都有一個重要的門,允許人們進入或離開大樓。因此,雖然防火墻保護了人們的安全,但這個門在提供增強安全性的同時允許必要的訪問。
在計算機網絡中,一個網絡防火墻扮演著防備潛在的惡意的活動的屏障,并可通過一個”門”來允許人們在你的安全網絡和開放的不安全的網絡之間通信。原來,一個防火墻是由一個單獨的機器組成的,放置在你的私有網絡和公網之間。近些年來,防火墻機制已發展到不僅僅是”firlwall box”,更多提及到的是堡壘主機。它現在涉及到整個從內部網絡到外部網絡的區域,由一系列復雜的機器和程序組成。簡單來說,今天防火墻的主要概念就是多個組件的應用。到現在你要準備實施你的防火墻,需要知道你的公司需要什么樣的服務并且什么樣的服務對于內部用戶和外部用戶都是有效的。
3、防火墻的任務
防火墻在實施安全的過程中是至關重要的。一個防火墻策略要符合四個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。大多數情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個目標
4、實現一個公司的安全策略
防火墻的主要意圖是強制執行你的安全策略。在前面的課程提到過在適當的網絡安全中安全策略的重要性。舉個例子,也許你的安全策略只需對MAIL服務器的SMTP流量作些限制,那么你要直接在防火墻強制這些策略。
5、創建一個阻塞點
防火墻在一個公司私有網絡和分網問建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立,防火墻設備就可以監視,過濾和檢查所有進來和出去的流量。網絡安全產業稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點,網絡管理員可以集中在較少的方來實現安全目的。如果沒有這樣一個供監視和控制信息的點,系統或安全管理員則要在大量的地方來進行監測。檢查點的另一個名字叫做網絡邊界。
6、記錄Internet活動
防火墻還能夠強制日志記錄,并且提供警報功能。通過在防火墻上實現日志服務,安全管理員可以監視所有從外部網或互聯網的訪問。好的日志策略是實現適當網絡安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。
7、限制網絡暴露
防火墻在你的網絡周圍創建了一個保護的邊界。并且對于公網隱藏了你內部系統的一些信息以增加保密性。當遠程節點偵測你的網絡時,他們僅僅能看到防火墻。遠程設備將不會知道你內部網絡的布局以及都有些什么。防火墻提高認證功能和對網絡加密來限制網絡信息的暴露。通過對所能進來的流量時行源檢查,以限制從外部發動的攻擊。
8、防火墻的功能
從防火墻的功能來說,主要包含以下幾個方面:訪問控制,如應用ACL進行訪問控制;攻擊防范,如防止 SYN FLOOD 等; NAT;VPN ;路由;認證和加密;日志記錄;支持網管等。
為了滿足多樣化的組網需求,降低用戶對其它專用設備的需求,減少用戶建網成本,防火墻上也常常把其它網絡技術結合進來,例如支持 DHCP SERVER,DHCP RELAY;支持動態路由,如RIP,OSPF等;支持撥號,PPPOE 等特性;支持廣域網口;支持透明模式(橋模式);支持內容過濾(如URL過濾)、防病毒和IDS等功能。
防火墻的發展,經歷了從早期的簡單包過濾,到今天廣泛應用的狀態包過濾技術和應用代理。其中狀態包過濾技術因為其安全性較好,速度快,得到最廣泛的應用。
應用代理雖然安全性更好,但它需要針對每一種協議開發特定的代理協議,對應用的支持不夠好。但關鍵的是,它的性能比較差,從國外公開的防火墻測試報告來看,代理防火墻性能表現比較差,因此在網絡帶寬迅猛發展的情況下,已經不能完全滿足需要。
此外,有的防火墻支持SOCK代理,這種代理屏蔽了協議本身,只要客戶端支持SOCK代理,該應用在防火墻上就可以穿越。這種代理對于部分不公開的協議,如QQ的語音和視頻協議,采用其它技術,在NAT情況下很難實現對該協議的支持,但QQ軟件本身支持SOCK代理,如果防火墻支持SOCK代理協議,就可以實現對防火墻的穿越。但對于防火墻而言,不參與協議解碼,也意味著防火墻對該協議失去了監測能力。
9、狀態檢測技術
狀態檢測技術要監視每個連接發起到結束的全過程,對于部分協議,如FTP、H.323等協議,是有狀態的協議,防火墻必須對這些協議進行分析,以便知道什么時候,從哪個方向允許特定的連接進入和關閉。
狀態防火墻可以對特定的協議進行解碼,因此安全性也比較好。有的防火墻可以對FTP、SMTP等有害命令進行檢測和過濾,但因為在應用層解碼分析,處理速度比較慢,為此,有的防火墻采用自適應方式,因此處理速度很快。
狀態防火墻還有一個特色是,當檢測到SYN FLOOD攻擊時,會啟動代理。此時,如果是偽造源IP的會話,因為不能完成三層握手,攻擊報文就無法到達服務器,但正常訪問的報文仍然可達。
第二篇:防火墻技術的應用
防火墻技術的應用
作 者:郭 麗 指導老師:李爭艷
摘 要:為了保護計算機、服務器和網絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析,闡述了防火墻的幾種技術及其應用模式。最后,詳細介紹了防火墻的應用設計。
關鍵詞:防火墻;防火墻技術;防火墻應用模式;防火墻應用設計 防火墻概述
防火墻是設置在不同網絡(如可信任的企業內部網絡與不可信任的外部公共網絡)或者不同網絡安全域之間的一系列部件(包括軟件和硬件)的組合。它是不同網絡或網絡安全域之間信息和數據的唯一出入口,能夠根據網絡管理人員制定的網絡安全策略控制出入網絡的各種數據信息流,從而對所受保護的網絡提供信息安全服務。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,它有效地監控了所要保護的內部網和外部公共網絡之間的任何活動,用于確定網絡哪些內部服務允許外部訪問,以及內部網絡主機訪問哪些外部服務等,從而保證了所要保護的內部計算機網絡的穩定正常運行以及內部網絡上數據和信息資源的完整性、可用性和保密性。不同技術的防火墻實現的功能的側重點不同,從某種意義來說,防火墻實際上代表了一個網絡的訪問控制原則。防火墻技術是計算機網絡安全領域中最為關鍵和有效的技術之一,它設置在相對安全的內部網和相對不安全的而又具有大量資源和信息的外部網之間,執行網絡安全策略,以有效地阻止來自外界的網絡攻擊,保護內部網絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點:內部和外部的所有網絡數據流必須經過防火墻;只有符合安全策略的數據流才能通過防火墻;防火墻本身應該堅固安全可靠。
第1頁(共14頁)2 防火墻技術
防火墻技術分為包過濾,代理,NAT,狀態監測等幾種技術。2.1 包過濾技術
包過濾工作在網絡層和邏輯鏈路層之間。日益增多的眾多IP路由產品正使包過濾成為一種改善網絡安全的工具。如果恰當使用,對具有安全意識的網絡管理者來說,包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解,以及對用于過濾器的特定協議的特點的充分了解。首先檢查包過濾作為一種網絡安全度量的效用,簡要地比較了IP包過濾和其它的網絡安全方法如應用級網關,描述了包過濾在每一個包中檢查什么,及涉及包過濾時的通用應用協議的特性。然后鑒別和檢查了許多當前包過濾實現中出現的一些共同問題,說明這些問題怎樣不費力地破壞網絡管理者的意圖并導致一種虛假的安全感,并對這些問題提出解決方案。
這里把包過濾看作一種實現網絡安全策略的機制。需要考慮的事項是來自站點或網絡管理者的觀點(他們是那些在維持他們的站點或網絡足夠的安全時,對提供好的可能的服務給他們的用戶感興趣的人),站點或網絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網絡服務或產品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣,而不是設法管轄內部的人,并假定目的是阻止外而的人侵入和內部的人偶爾接觸到有價值的數據或服務,而不是防止內部的人有意地或惡意地暗中破壞安全措施。
包過濾能被用于實現各種不同的網絡安全策略。這些策略的第一個目的通常在于防止未經授權的網絡訪問,而沒有阻礙授權的訪問。未經授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的,從而提高策略被正確和徹底的實現的可能性。或多或少的,包過濾是完成所有這些目的的一種機制,但這只能通過對于它的優勢和缺點的透徹地了解及它的實際能力的小心運用來達到。
為了網絡安全,包過濾的一般的可供選擇的方法包括用網絡訪問保護
第2頁(共14頁)每一臺機器和使用應用網關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網絡訪問,然后嘗試去保護具有網絡訪問權的每一臺機器一般是不切實際的,沒有幾個站點有辦法去保護并監控每一臺需要偶然的網絡訪問的機器。應用網關,諸如被AT&T, DEC和其他幾個機構使用的那些,通常也是不切實際的。因為它們為了到達外部主機,要求內部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序對于一個特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的,內部主機的用戶簡直是不幸的,而且不能到達過去的應用網關。
在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包,那么它將被送到它的目的地,好像路由不曾發生。如果路由器決定拒絕或丟棄一個包,那么該包僅僅被丟棄,好像它不曾存在一樣。依賴于過濾實現(有時候是過濾說明),路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息),或只是假裝不曾收到該包。另外,本文中,入站和出站通常用于從受保護網絡作為一個整體的觀點談到連接或包,有時用于從過濾器路由器(在內部網絡邊緣,內部網絡和外部網絡之間)的觀點談到包,或用于涉及包經過的路由器接口。一個包在它到外部網絡的路上,對于過濾路由器來說,可能看來是入站的,但從內部網絡作為一個整體來說,該包是出站的。一個出站連接是由內部機器上的客戶機發起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的,它既包括出站包(指那些從內部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內部客戶機的)。同樣地,一個入站連接是一個由外部機器上的客戶機發起到內部機器上的服務器的連接。對于一個包來說,入站接口是在包出現的過濾路由器上的接口,而出站接口是包將經由它出去的接口,如果它不被應用過濾規則拒絕的話。2.2代理技術
具有因特網訪問功能的主機代替其它主機完成與因特網的通信,這就是代理服務。代理只對單個(或很小一部分)主機提供因特網訪問服務,盡管它看起來像是對所有的主機提供服務。
代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器
第3頁(共14頁)交談,而不是直接與外部的因特網上的真實的服務器交談。這個代理服務器接收來自客戶的要求,應決定哪個請求可以傳送,那個可以不考慮。如果一個請求是許可的,代理服務器就會代表客戶與真正的服務器交談,繼而將客戶請求傳達給真實服務器,并將真實服務器的應答返回給客戶。代理服務對用戶是透明的,用戶與代理服務器交談就像與真實服務器交談一樣;而對真實服務器米說,它是于一個運行于代理服務器主機上的用戶交談,而并不知道用戶的真實所在。代理技術有如下特點:
(1)代理服務允許用戶直接地訪問因特網服務
使用雙宿主主機方式,用戶需要在訪問任何因特網服務之前連入這個主機,通常這樣做很不方便,會使一些用戶變得很沮喪,以至于是他們在防火墻周圍尋找通道。使用代理服務,用戶會認為他們是在直接與因特網服務器進行交流。
當然,后臺仍會有更多程序在運行,但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網時,它們不允許在用戶系統和因特網之間直接傳送數據包。數據包的傳輸道路是間接的:或者通過雙宿主主機,或者通過一個堡壘主機和屏蔽路由器系統。(2)代理服務可以優化日志服務
因為代理服務器可以優先選擇協議,所以它們允許日志服務以一種特殊有效的方式運行。例如,一個FTP代理服務器可以只記錄已發出的命令和服務器返回的應答,來代替記錄所有傳送的數據,這樣會產生一個小的多也有用的多的日志。
(3)代理服務滯后于非代理服務
盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務,但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現以后,通常要經過一個明顯的延遲,它的代理服務器才會出現,滯后時間的長短主要依賴于為代理而設計的服務器。這時的一個站點在提供一項新的服務時,難以立刻提供相應的代理服務。如果某個內部子系統需要一種新的服務,那么在找到合適的代理軟件之前,將不得不把它置于防火墻之外,這等于打開了潛在的安全缺口。
(4)不同的服務可能要求不同的服務器
第4頁(共14頁)可能需要為每項服務設置不同的代理服務器。因為代理服務器需要理解這個服務所用的協議,以判斷什么是允許的,什么是不允許的,并且它還得扮演兩個角色,對真實服務器來說它是用戶,對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。
根據所用的代理軟件的不同,配置的難易程度也大不相同,在一個地方容易做的事情可能在其它地方非常困難。例如,容易配置的服務器通常實用性比較差,它們之所以可以比較容易地配置,是因為它們限制了各種使用條件,這些條件可能是正確的,也可能根本不適合你的站點。(5)代理服務對用戶的限制比較多
代理服務器通常要求對用戶和使用過程進行限制,每一種限制都有不足之處,人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制,代理服務就不能像非代理服務運行得那樣好,它們往往可能曲解協議,而且也缺少一定的靈活性。2.3 NAT技術
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
NAT的工作過程如圖1所示:
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。
圖1 NAT工作過程
在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。2.4狀態監測技術
這是繼“包過濾”技術和“應用代理”技術后發展的防火墻技術,它是CheckPoint技術公司在基于“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包檢測”(Deep Packet Inspection)技術。這種防火墻技術通過一種被稱為“狀態監視”的模塊,在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測,并根據各種過濾規則做出安全決策。
“狀態監測”技術在保留了對每個數據包的頭部、協議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎上,進一步發展了“會話過濾”功能,在每個連接建立時,防火墻會為這個連接構造一個會話狀態,里面包含了這個連接數據包的所有信息,以后這個連接都基于這個狀態信息進行,這種檢測的高明之處是能對每個數據包的內容進行監視,一旦建立了一個會話狀態,則此后的數據傳輸都要以此會話狀態作為依據,例如一個連接的數據包源端口是8000,那么在以后的數據傳輸過程里防火墻都會審核這個包的源端口還是不是8000,否則這個數據包就被攔截,而且會話狀態的保留是有時間限制的,在超時的范圍內如果沒有再進行數據傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而擺脫了傳統防火墻僅局限于幾個包頭部信息的檢測弱點,而且這種防火墻不必開放過多端口,進一步杜絕了可能因為開放端口過多而帶來的安全隱患。
由于狀態監視技術相當于結合了包過濾技術和應用代理技術,因此是最先進的,但是由于實現技術復雜,在實際應用中還不能做到真正的完全有效的數據安全檢測,而且在一般的計算機硬件系統上很難設計出基于此技術的完善防御措施(市面上大部分軟件防火墻使用的其實只是包過濾技術加上一點其他新特性而已)。
3防火墻的應用模式
由于網絡拓撲結構和安全需求等方面的差異,在使用防火墻構建網絡安全防護系統時,其應用模式可能是千差萬別的。總的來說,比較典型的防火墻應用模式有4種。
3.1屏蔽路由器(Screened Route)
這種應用模式采用單一的分組過濾型防火墻或狀態檢測型防火墻來實現。通常,防火墻功能由路由器提供(在路由器上增加一個防火墻模塊),該路由器設置在內部網與internet之間,根據預先設置的安全規則對進人內部網的信息流進行安全過濾。在這種應用模式中,防火墻功能也可以用單獨的防火墻設備或主機來實現,設置在內部網與路由器之間。參見圖2:
內部網
屏蔽
路由器
INTERNET
圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優點是數據轉發速度快,岡絡性能損失較小,易于實現,費用較低、它的缺點是安全性比較脆弱,尤其是分組過濾型防火墻,容易被人侵者攻破,進而入侵內部網。3.2雙宿主機網關(Dual Homed Gateway)
這種應用模式采用單一的代理服務型防火墻來實現。通常,防火墻是由一個運行代理服務軟件的主機實現的。這種主機稱為堡壘主機(Bastion Host),而具有兩個網絡接口的堡壘。主機稱為雙宿主機(Dual Home)。這種應用模式由雙宿主機充當內部網與internet之間的網關,并在其上運行代理服務器軟件,受保護的內部網與Internet之間不能直接建立連接,必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內部網的實際服務器和其他資源。受保護網絡的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3:
內部網
堡壘
主機
INTERNET
圖3 雙宿主機網關
這種應用模式的安全性略好一些。但仍然比較脆弱,因為堡壘主機是惟一的安全屏障,一旦被人侵者攻破。內部網將失去保護。3.3屏蔽主機網關(Screened Host Gateway)
這種應用模式采用雙重防火墻來實現,一個是屏蔽路由器,構成內部網的第一道安全屏障;另一個是堡壘主機.構成內部網的第二道安全屏障。參見圖4:
內部網
堡壘 主機 屏蔽 路由器
INTERNET
圖4 屏蔽主機網關
屏蔽路由器基于下列規則過濾分組流:堡壘主機是內部網惟一的系統,允許外部用戶與堡壘主機建立連接,并且只能通過與堡壘主機建立連接來訪問內部網提供的服務。由于這種應用模式設有兩道安全屏障,并且是由兩種不同的防火墻構成的,可以優勢互補和相互協調。因此,具有較高的第8頁(共14頁)安全性,并且比較靈活。
3.4屏蔽子網網關(Screened Subnet Gateway)
這種應用模式是在內部網與internet之間設置一個獨立的屏蔽子網,在內部網與屏蔽子網之間和屏蔽子網與Internet之間都要沒置一個屏蔽路由器,堡壘主機連接在屏蔽子網上。堡壘主機是惟一的內部網和Internet都能訪問的系統,但要受到屏蔽路由器過濾規則的限制。參見圖5:
屏蔽子網
內部網
堡壘 主機
堡壘主機
屏蔽 路由器
INTERNET
圖5 屏蔽子網網關
在這種應用模式中,內部服務器設有三道安全屏障:兩個屏蔽路由器和堡壘主機,入侵者要入侵內部網必須攻破兩個屏蔽路由器和堡壘主機,這顯然是相當困難的。因此,具有更高的安全性,比較適合保護大型的網絡,但成本也比較高。防火墻的應用設計
根據行業特征和應用性質可將網絡系統大致分成校園網、企業網、商務網、金融網、政務網以及軍用網等。這些網絡系統的安全需求是不相同的,必須采用與其應用性質相適應的安全措施來構建完整的網絡安全體系。以滿足各種網絡系統的安全需求,完整的網絡安全體系應當包括防護、檢測、響應和管理等各個環節,不是單靠某一種安全技本來解決的,也要形成一個動態的安全防護系統。其中,防火墻是整個網絡安全體系的基礎和關鍵環節,也是一種常用的安全防護技術,它作為第一道安全屏障最容易受到人侵者的攻擊。因此,除了防火墻本身應具有較好的安全防護能力之外,防火墻的應用方案設計也是十分重要的。
第9頁(共14頁)防火墻的應用方案設計一般包括安全需求分析、網絡安全系統設計和安全策略設計3部分。4.1安全需求分析
根據網絡應用性質,可以將網絡應用環境分成3種:開放的、專用的和內部的。不同的網絡應用環境所面臨的安全風險和需求是不同的,其安全解決方案也有所不同。
(1)開放的網絡應用環境:在開放的網絡應用環境中,網絡服務和信息內容向internet上的所有用戶完全開放,如連接在Internet上的各種開放的Web服務器等。這種開放的應用環境一般不存在信息內容保密和用戶身份驗證問題,它所面臨的安全風險是拒絕服務(Dos)篡改網頁內容以及被非法利用等。這些安全風險需要采用多種安全措施來防范,包括使用接納控制技術阻止入侵者非法獲取系統控制權、使用防火墻技術過濾“有害”的信息,使用“補丁”程序來阻塞系統安全漏洞,使用入侵檢測技術來檢測和發現網絡攻擊行為等。這種應用環境的安全要求相對較低,防火墻的作用是次要的,必要時可采用屏蔽路由器模式。
(2)專用的網絡應用環境:在專用的網絡應用環境中,網絡服務和信息內容是半開放的。只允許授權用戶通過Internet來訪問。這些授權用戶是可信任的,他們通常是商業合作伙伴或者本單位的外地員工。這種專用的應用環境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網絡安全問題,主要是用防火墻等技術來防范;后者屬于信息安全問題,主要采用VPN等枝術來解決信息傳輸過程中的數據機密性和數據完整性問題。
在這種網絡應用環境中,一般要在內部網與Internet之間設置防火墻,并通過安全規則來控制外部用戶對內部網資源(如Web服務器和其他服務器)的訪問。根據網絡服務的安全要求,選擇適當的防火墻應用模式來建立網絡安全防護系統。除了防火墻外,還應當使用VPN技術、基于數字證書的訪問控制技術等來解決信息交換安全問題。
(3)內部的網絡應用環境:在內部的網絡應用環境中,內部網與Internet是物理隔離的,網絡服務器沒置在內部網,只允許內部用戶通過內部網訪問網絡服務器,這是一種封閉的網絡環境。它所面臨的安全風險是內部用戶的非授權訪問,竊取和泄露機密信息等。其防范措施主要側重
第10頁(共14頁)于解決內部用戶對內部網的攻擊問題,如采用VLAN、訪問控制、安全審計和安全管理等防范措施。
由于不同的網絡應用環境所面臨的安全風險是各不相同的,不能一概而論。因此必須針對不同網絡應用環境所面臨的安全風險采取適當的安全措施來增強系統安全性。在系統安全性、網絡性能損失和系統費用等方面尋找一個最佳平衡點,減少盲目性。4.2網絡安全系統設計
在上述的4種防火墻應用模式中,每一種應用模式所提供的安全防護能力和系統費用都是不相同的。在網絡安全系統設計中,應當根據網絡應用系統的安全需求來構造網絡安全體系。
在安全要求不高的情況下,一般采用屏蔽路由器或雙宿主機網關應用模式來構造網絡安全系統。這樣在滿足系統安全需求前提下,有利于降低系統費用,簡化網絡管理。在屏蔽路由器或雙穴主機網關應用模式不能滿足系統安全需求的情況下,可以考慮采用屏蔽主機網關或屏蔽子網網關應用模式。
例如:在基于屏蔽子網網關應用模式構建的網絡安全系統中,必須將內部網劃分為3個子網:內部子網、屏蔽子網與外部網(如Internet)。不同子網的安全需求是不同的。屏蔽子網網關模式采用了兩個屏蔽路由器,一個位于內都子網和屏蔽子網之間的內部屏蔽路由器;另一個位子屏蔽子網與外部網之間的外部屏蔽路由器。從網絡體系結構上通過屏蔽子網將內部子網與不可信的外部網隔離開。外部屏蔽路由器的作用是保證外部網發來的數據包只能到達屏蔽子網,而且只能將屏蔽子網中的數據包輸出到外部網上。內部屏蔽路由器的作用是保證內部網發來的數據包只能輸出到屏蔽子網上,而不能到達外部網。這樣內部網和外部網之間不能直接通信,雙方都只能到達屏蔽子網。由于屏蔽子網是內部子網與外部網之間的隔離區,所以屏蔽子網也稱為“非軍事區”或“停火區”。圖6所示是一種基于屏蔽子網網關應用模式的網絡安全系統結構。
第11頁(共14頁)
圖6 網絡安全系統結構
內部屏蔽路由器還應當提供網絡地址翻譯器(NAT)功能。NAT允許在內部網絡中使用私有IP地址。而私有IP地址在internet中是不可見的,可見的只是代理服務器的公用IP地址。這樣,在屏蔽內部子網結構的同時,還解決了公用IP地址短缺問題。
對于各種對外開放的網絡服務器,如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網中。為了使內部用戶能夠仿問Internet,在屏蔽子網上設置一個堡壘主機,提供代理服務器功能。這樣,既可以使外部用戶能方便瀏覽開放的信息服務、與內部網用戶交換郵件等,又防止了外部用戶攻擊內部網,篡改數據或破壞系統。在這種網絡安全體系結構中,入侵者想要攻擊內部網,必須連續地攻破外部分組過濾器、代理服務器和內部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。
合理地配置防火墻可以防御多種網絡攻擊,例如:
(1)在防火墻中配置多塊網卡,不同的網卡對應于不同的網段,通過將網卡與對應網段綁定,可以防御IP地址欺騙的攻擊。
(2)在防火墻中阻塞ICMP報文,只允許某些類型(如回應請求類型)的ICMP報文通過,可以防御“Ping Of death”之類的攻擊。
(3)在防火墻中阻塞ActiveX和Java Applets程序,可以防御惡意程序對內部主機進行攻擊。
(4)在防火墻中使用NAT功能,所有從防火墻流出的IP數據包的源地址均為防火墻上保留的合法IP地址,不僅可以使內部主機共享有限的 Internet IP地址,而且能夠隱藏內部網絡信息。
(5)在防火墻中使用認證功能,可以對主機地址、網卡地址和主機名進行認證,還可以對用戶身份進行認證,例如采用口令認證、RADIUS認證以及硬件參與認證等,可以防御地址欺騙、身份假冒等攻擊。
另外,對于處于不同地理位置上的內部網通過Internet交換信息時,可以采用VPN技術來解決信息傳輸過程中的數據機密性和數據完整性問題。在這種情況下,應當在屏蔽子網設置一個VPN網關,兩個內部網之間通過VPN網關建立一個安全的傳輸隧道,實現數據安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內部網的防火墻,而在建立VPN隧道時,雙方的身份是經過認證的,都是可信的用戶。
第12頁(共14頁)4.3安全策略設計
在圖6所示的網絡安全系統結構中,設有3個防火墻:外部分組過濾器(由外部屏蔽路由器提供)、內部分組過濾器(由內部屏蔽路由器提供)和代理服務器(由堡壘主機提供)。根據網絡應用的安全需求,必須分別為它們設計安全策略和規則。
(1)外部分組過濾器:外部分組過濾的缺省規則為禁止所有服務。主機規則為允許外部用戶訪問屏蔽子網中開放的服務器(如 Web服務器、FTP服務器等),允許外部用戶連接安全代理服務器。每次連接都要產生日志記錄,供以后安全審計使用。
(2)內部分組過濾器:內部分組過濾的缺省規則為禁止所有服務。主機規則為允許內部用戶連接屏蔽子網中的主機。每次連接都要產生日志記錄。通過地址轉換功能,使所有使用內部IP地址的用戶都能共用一個合法外都IP地址訪問外部網絡(如Internet)。
(3)代理服務器:代理服務器的缺省規則為禁止聽有連接.它允許內部用戶訪向外部網絡的web站點,并提供代理功能,對所代理的連接進行安全檢查,禁止內部用戶訪問非法站點,并產生日志記錄。它還為內部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數量,發送者、接收者,甚至內容進行檢查,并產生日志記錄。它在代理 Telnet和 FTP內部服務器時,要求驗證用戶的身份,允許合法用戶以規定的權限上載和下載服務器中的文件,并產生日志記錄。
為了支持防火墻的系統配置、規則設置、日志查看和安全審計等管理操作,一般的防火墻產品都提供一種圖形化界面的管理軟件。在完成網絡體系結構設計和各個防火墻的安全策略設計后,便可以著手配置各個防火墻的系統參數和安全規則。在網絡應用和網絡體系結構發生變化時,應當及時修改防火墻的安全策略,避免可能產生的安全漏洞。在防火墻工作過程中,可以通過管理軟件監視防火墻的日志信息,定期進行安全審計,及時發現系統可能存在的安全漏洞,入侵者的攻擊行為以及其他違反安全規則的行為,為網絡安全管理提供決策依據。結束語
第13頁(共14頁)本論文主要研究防火墻技術的應用,從防火墻的簡單概述展開,描述了防火墻的四種技術,防火墻的應用模式。最后,闡述了防火墻的應用設計。旨在展望網絡安全,即防火墻技術的未來狀況。
參 考 文 獻
[1] 蔡皖東.網絡與信息安全[M].西安:西北工業大學出版社,2004.[2] 魏利華.防火墻技術研究[J].淮陰工業學院學報:計算機科學技術版,2003,38(4):21-33.[3] 蔣建春,馮登國.網絡入侵檢測技術原理與技術[M].北京:國防工業出版社,2005.[4] 陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.[5] 劉克龍,蒙楊.一種新型的防火墻系統[J].淮陰工業學院學報:計算機科學技術版,2005,46(6):11-14.[6] 張凡,李丹靈.網絡信息安全的真相[J].深圳大學學報:計算機科學技術版,2006,24(5):12-19.[7] 陳功富.現代計算機網絡技術[M].北京:電子工業出版社,2005.[8] 鄧吉,柳靖.黑客防攻實戰詳解[M].北京:電子工業出版社,2006.[9] 郭鑫.防黑檔案[M].北京:電子工業出版社.2003.[10]薛靜鋒.入侵檢測技術[M].機械工業出版社,2004.[11]鄧亞平.計算機網絡安全[M].北京:人民郵電出版社.2004.[12]李濤.網絡安全概論[M].北京:電子工業出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14頁(共14頁)
第三篇:初中信息技術應用現狀調查及討論
初中信息技術應用現狀調查及思考
一、調查目的:
二、調查方法:
三、調查范圍:
四、調查內容:
五、調查結果
學科教師調查結果
(一)教師對信息技術運用于教學所持的態度
(二)教師的信息技術能力和運用信息技術的情況
1、教師的信息技術能力
2、教師在教學過程中運用信息技術的情況
(三)教師培訓情況
1、教師對培訓所持態度
2、教師參加培訓情況
3、教師對培訓的期望
(四)教學資源使用情況
1、教師對教學資源的收集和利用情況
2、教師最需要的教學資源
信息技術學科教學及學生調查結果
1、教師負擔過重,學生認識不足
2、學生在校應用信息技術情況(包括上課情況)
3、學生對信息技術學科的學習態度
六、主要結論與對策建議
(一)主要結論和問題
(二)對策建議
1、教學資源建設
2、為學科教師提供更高層次的培訓機會
3、配置足夠的專業教師,并大量培養具有較高水平的信息技術人才
4、制定切實可行的考核方式
5、為學生提供更多的使用計算機和網絡的機會
二、教育信息化重在應用,教師及學生在教育信息化應用中應處于主體地位。為了深入了解各中學應用信息技術的情況,縣教研室開展了對各中學信息技術應用情況的問卷調查。
一、調查目的:
通過對各中學學科教師在教學中應用信息技術的情況及學生在校應用信息技術的情況的調查,了解學科教師信息技術與課程整合的現狀及存在問題,掌握學生對設備的使用情況,獲得一線教師與學生對于信息技術的態度,使用信息技術水平、培訓情況,對教學資源的占有和利用情況。
二、調查方法:
本次調查主要采取問卷調查、教師訪談、學生訪談等多種研究方法,該調查主要由縣教研室負責組織和實施,主要分為兩個部分:于2006年10月至2006年12月給各中學發放教
師問卷,其中填寫問卷及接受訪談的教師中有35.9%來自城鎮,64.1%來自農村,中青年教師占大多數。填寫問卷及接受訪談的學生,30.1%來自城鎮,69.9%來自農村。
三、調查范圍:
高陵縣13所中學教師及學生。
四、調查內容:
調查內容主要分為兩大部分:
學科教師的調查包括:教師對信息技術應用于教學所持的態度、教師在教學中運用信息技術的情況、教師培訓情況.教學資源占有和使用情況。
信息技術學科教學及學生調查包括:學校信息技術教師對該學科教學的態度、學生在校應用信息技術情況、學生對信息技術學科的學習態度。
五、調查結果
根據問卷設計,我們把調查結果分為兩方面,一是學科教師調查結果,二是信息技術學科教學及學生調查結果。
學科教師調查結果
(一)教師對信息技術運用于教學所持的態度
在被調查的教師中,對信息技術運用于教學持各種態度的教師所占比例如下:認為信息技術對于教學很有用的教師占85.2%,認為較有用的教師占13.5%,還有1.3%的教師認為有點用,沒有教師認為信息技術對于教學用處不大。調查數據表明,大多數教師已經意識到信息技術對于教學的有效促進作用。
(二)教師的信息技術能力和運用信息技術的情況
在信息化的教育環境中,一種新的基于資源型的學習方式無疑會成為重要的教學模式之一。在這種模式中,教師需要首先通過計算機和網絡等信息工具獲取相應的信息,對教學內容進行及時有效的補充和改進,以便提高教學質量,優化教學過程。教育信息化要求各學科教師具有良好的信息素養以及較強的運用信息工具的能力。為了解高陵縣中學教師的信息技術能力,問卷及訪談針對教師對一些常用的軟件、服務器的使用、掌握情況進行了調查,具體包括:文字處理軟件、電子表格軟件、演示文稿制作軟件、多媒體課件使用、因特網使用和網絡服務使用。
1、教師的信息技術能力
調查數據表明,大部分中學教師已經掌握了一些基本的軟件工具(如WORD、POWERPOINT、EXCEL)的使用,具備了一定程度的信息工具運用技能,及課件制作能力。網絡上有豐富的教學資源,為教師的教學帶來了極大的方便,調查結果顯示,經常使用因特網的教師占61.7%,其中在城市中學工作的教師占35.9%;對于各種網絡服務的使用情況也比較好,其中在農村中學工作的教師中有40.1%都經常使用網絡服務。這些數據一方面說明了教師的信息技術能力已有了較好的掌握,另一方面,農村中學也已經為教師提供了較好的信息技術運用的環境和條件。
2、教師在教學過程中運用信息技術的情況
信息技術作為工具進入教學過程是教育信息化的第一步,教師在教學中使用信息技術工具可以增加教學信息量,從而提高教學水平和效率。在這次調查中發現,教師在教學中對信息技術的運用比較理想。從調查數據來看,有51.2%的教師經常運用信息技術教學,43.2%的教師偶爾使用信息技術進行教學,不用信息技術教學的教師人數只占被調查教師人數的5.6%。調查發現,教師運用信息技術的目的主要是為充分發揮其優勢,提高教學效率,并提高學生的學習積極性。大多數教師已經從內心深處把信息技術作為一種資源獲取、加工、利用,深入到服務為教學的層面上。
(三)教師培訓情況
1、教師對培訓所持態度
由于傳統教學方式對教師的影響根深蒂固,信息技術的發展日新月異,對于習慣于傳統教學方式的教師來說,接受并主動在教學中運用信息技術無疑是一大挑戰,要使教師盡快跟上教育信息化的步伐,首先要使其從觀念上接納信息技術并具有一定的信息技術能力,培訓在這一過程中有著重要的作用。數據表明,絕大多數教師已經意識到培訓的重要性。
2、教師參加培訓情況
為提高教師的信息素養,高陵縣積極組織中學學科教師參加各種培訓,尤其是農村中學教師。調查結果顯示90%以上的教師參加過信息技術培訓,大多數教師參加的是校本培訓,有一少部分教師參加過市縣級培訓,這與我縣對教師培訓所采取的以點帶面的策略有關,首先由各校的骨干教師參加較高級別的培訓,其次是骨干教師對各學校的一部分教師進行培訓,最后由這些教師對全校教師開展校本培訓,這種層層推進的培訓方式不僅節省了培訓經費,而且有利于培訓工作的開展。
3、教師對培訓的期望
由于大多數教師受原有知識結構的影響及相關學科教學經驗的局限,在教學過程中,仍沿用傳統教育的思想觀念和教學模式,在知識信息呈現方式、教學方法和教學評價上沒有實質性的轉變。因此,為了盡快改變這種現狀,應加大教師培訓的力度。為了提高培訓的成效,問卷針對培訓的方式、時間征求了教師的意見,調查顯示,在培訓內容方面,有49.5%的教師認為應該在技術與理論結合方面接受培訓,30.2%的教師認為培訓應提供更多的范例與方法,期望在技術方法得到提高的教師占10.5%,另外還有8.8%的教師認為應該在理念方面接受培訓;在培訓方式方面,教師比較喜歡的培訓方式是專家引領和經驗交流;在培訓的授課方式方面,大多數(約50%)認為應采取綜合型的授課方式,32.4%的教師傾向于演示型的授課方式,也有一小部分教師期望提供講授型和討論型授課方式;在培訓時間方面,有62.2%的教師認為培訓時間應在七天以上,22.2%的教師認為五天的培訓時間較合適,這一數據表明,要提高培訓效果首先要給予時間上的保證。
(四)教學資源使用情況
1、教師對教學資源的收集和利用情況
新課改的理念是要為學生提供豐富的教學資源,多樣化的學習環境,培養學生自主學習的能力和創新能力,資源建設問題成為制約教學改革實驗的新瓶頸。調查結果表明,我縣中學教學資源較為豐富,大多數(約58.2%)教師對資源的占有和利用較多,36.4%的學校擁有的教學資源比較豐富。這一現狀極其有利于信息技術發揮其所蘊藏的教育潛能。
2、教師最需要的教學資源
調查數據顯示,目前中學教師最需要的教學資源是優秀教學設計(50.0%),其次是教學軟件(35.6%),接下來依次是典型課例(27.9%)、文本備課資料(18.1%),對教育理論著作的需求最低(16.0%)。這一狀況與當前信息技術與課程整合的發展趨勢以及新課改的實施需要是相適應的,新課改要求教師為學生提供豐富的學習資源,使學生能有效的運用信息技術進行創新學習,在這一過程中教師的角色發生了轉變,教師已不再是資訊的傳播者,而應該成為領航者,提供學習方法,作為學生學習時的重要指導和支持。因此,對優秀教學設計和教學資源的需求也是自然而然的。
信息技術學科教學及學生調查結果
1、教師負擔過重,學生認識不足
在調查中發現,40%的信息技術教師認為自己的工作負擔很重,除了擔任教學工作之外,還擔任了學校的打印、部室管理等其他工作。大多數教師認為每一所學校應根據年級和班級的數量配備2—3位計算機教師,而計算機教師的工作量應為每周12課時左右。
此外,信息技術教師還認為要使學生能夠真正的掌握并重視該課程,學校或有關部門應確立
一種有利于學生學習的考核方式,以此引起學生對于該課程的實用性的認識及重視。
2、學生在校應用信息技術情況(包括上課情況)
學生在校使用計算機時間基本上不超過1小時,只有個別學校有課外興趣小組,對于課外小組的一小部分學生也只開放2個小時。計算機課程開設均為每周一節,有70%以上的學校能夠保障80%以上的時間用來上機操作,但仍有個別學校上機時間所僅占到50%,甚至還不到。可見,各中學學生在校以及課外使用學校計算機的時間是非常少的,這樣極不利于學生掌握信息技術的實際操作技能。
3、學生對信息技術學科的學習態度
在調查中,80%以上的學生對信息技術學科都非常感興趣,并且希望能夠熟練掌握其操作技術。在新入學的學生當中有40%左右已經學過,也有40%左右基本上沒有接觸過,但大多數學生希望能夠學習到一些比較實用的計算機操作技術及信息搜集技術,以此來幫助自己在其他各門功課上的學習。
六、主要結論與對策建議
(一)主要結論和問題
調查的數據表明,我縣中學的信息化建設是比較好的,在日常學科教學中使用計算機的機會也比較多;學科教師的培訓情況也實行的較為完善;學校的資源建設也相對比較豐富,資源的使用率基本上能達到要求;但也存在一定的問題,各中學的學科教師在市縣級的培訓項目較少;計算機教師的工作不夠專一,不能做到專人專用;學校的考核方式不夠科學合理,不利于學生的學科學習及自學能力的培養;學生的上機時間太少,無法將所學的操作技能熟練掌握。
調查結果反映出,在中學教育信息化過程中,教師雖然已經充分認識到其重要性,并能較好的應用,但是學生還是沒有成為信息化應用的主體。信息技術作為一種新的教學手段,雖然已經改變了教師的教學方式,提高教師的教學效果;但是并沒有改變學生的學習方式,促進學生綜合素質的發展。因此,當前中學教育信息化要轉變思路,采取相應措施,迅速實施教育信息化的發展策略。
(二)對策建議
雖然有部分學校投入了一部分資金對硬件和軟件進行建設,設備有一定的規模和層次,學校開展信息技術教育的情況是比較好的,而且教師都能充分利用這些軟硬件資源進行教學,提高了教與學的質量,促進了教與學觀念的轉變,培養了學生的信息素養,但這種學校只占很少一部分。大部分中學在學生應用和信息技術學科教學上還存在一定的問題,尤其是農村中學。根據前面的分析結果,對我縣信息技術建設提出幾點建議:
1、教學資源建設
教學軟件和教學信息資源庫的建設雖有一定的成績,但還需要進一步加強。問題的主要原因是:技術與教學結合不夠,技術有待于進一步提高。在信息技術的實踐中,人們總是把技術和教學實踐割裂開來,將重心要么傾注在技術上,要么傾注在傳統教學上。表現在:深入課堂的教師了解教學的重點和難點,但制作課件和其他教學軟件時技術上不能得心應手;而技術過硬的教輔人員或專業技術人員能夠制作出自己理想的教學軟件,卻因為沒有深入課堂而使制作的課件或其他教學軟件不能緊貼教學,不能反映出教學的重點和難點;商品化的教學軟件多數是作為自學的工具,因此,課件的適用度不高。為解決這一難題,筆者提出了兩點建議,首先要加強校本教學資源建設,鼓勵教師結合教學實際,制作符合學生認識特點、具有本土特色的教學軟件;其次資源建設應由學校向區域提升,避免重復建設,實現信息共享,這一過程要實現以下幾個轉變:(1)從教師做課件的個體行為提升為新一代優秀教師跨學科、跨學校共同創建教學網站深化教學資源的群體行為;(2)從教師閉門設計教學提升為師生共同探索、創造新型學習模式;(3)從學校各自為政的封閉競爭轉向以區域為基礎的校際聯盟。
各中學可根據自己的實際情況選擇相應的方式,如建立學校信息技術資源庫,為各學科教師提供信息資源,鼓勵各學科教師為資源庫提供相應的資源,此外還可通過多媒體教學設備,定期更換教育教學資源,解決教育資源共享問題。
2、為學科教師提供更高層次的培訓機會
在以信息技術推進教育改革與發展的進程中,世界各國普遍意識到了教師培訓這一環節的重要性,它可以促進教師教育觀念的轉變,提高對培養學生創新精神和實踐能力重要性和迫切性的認識。不同層次的培訓能夠使教師受到不同的啟發和收獲,而現在我們所進行的校本培訓雖然能夠使教師在理論和技術上得到一定的提高,但是如果學科教師能夠接受更高層次的培訓,那么,對于我們轉變教育觀念,更新教育理念,轉換教育方式,提高教育教學效果,培養學生的綜合素養一定會取得更加良好的效果,因此,筆者認為各中學應根據本校的實際情況多組織學科教師參加高層次的培訓活動。
3、配置足夠的專業教師,并大量培養具有較高水平的信息技術人才
信息技術課程是一門非常重要的技術應用課程,學生除了需要掌握必要的信息技術理論之外,更重要的是要熟練掌握其操作應用技能。然而在現實的教育教學過程中,大多數學校的計算機教師被挪為它用,教師的勞動量遠遠大于課時量,而且學校的打印等工作使得教師無暇顧及教學,降低了教師在教學中的作用,教學效果顯著下降。因此,學校很有必要配置足夠的專業教師,以減少計算機教師的課業負擔,使其能夠專心于教學過程。此外,學校還可以通過培訓,使學科教師能熟練掌握信息技術,以減輕專業教師的負擔。
4、制定切實可行的考核方式
在現在的教育制度下,考核方式的形式直接影響著學生學習的態度既、學習的方式及學習的效果。合理而有效的考核方式自然有利于學生的學習,然而,現在各中學的信息技術考核方式都不一樣,而且不能促進學生的學習。因此,各學校都必須根據實際情況,制定一系列切實可行的考核方式。在調查過程中,筆者咨詢了許多信息技術教師,大多數教師認為,應該采取上機操作與理論考核相結合的方式;而且,要使學生真正的重視并掌握信息技術技能,教育局或學校應進行統一的規范的考試。
5、為學生提供更多的使用計算機和網絡的機會
學生在學校應用信息技術的最大困難是使用計算機和網絡的時間少,計算機還沒有以一種學習工具的姿態走向普通學生。調查表明,學校計算機課余不對學生開放的原因主要有時間排不開、管理維護人員不足、擔心機器受損等。各中學應通過加強管理,統籌安排,最大限度地提高計算機和校園網的使用效率,給學生提供盡可能多的使用計算機和網絡的機會。因為當前信息技術的發展很快,計算機也在不斷更新換代,信息化設備不充分利用就是對資源的一種浪費;同時學生只有擁有充足的時間熟練掌握了信息技術之后,才能改變學習方式,讓信息技術真正的為學習服務。
第四篇:應用防火墻的物理安全策略
應用防火墻的物理安全策略
應用防火墻的物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
應用防火墻抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
應用防火墻的物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
應用防火墻抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
第五篇:21邊界防火墻的應用
在上一篇中我們對防火墻的主要技術及設計模式進行較詳細的介紹,大家已對防火墻從技術深度有一個理性認識。本篇要介紹防火墻的一些經典應用拓撲結構及特殊應用配置。從中我們可以了解到防火墻的一些具體應用方式,為我們配置自己企業防火墻的應用打下基礎。當然這里所說的防火墻仍是傳統邊界防火墻,不包括后面將要介紹的個人防火墻和分布式防火墻。首先介紹的是防火墻的幾種典型應用拓撲結構。
一、防火墻的主要應用拓撲結構
邊界防火墻雖然是傳統的,但是它的應用最廣,技術最為成熟。目前大多數企業網絡中所應用的都是邊界防火墻。所以了解邊界防火墻的應用對于掌握整個防火墻技術非常重要。
傳統邊界防火墻主要有以下四種典型的應用環境,它們分別是:
●控制來自互聯網對內部網絡的訪問
●控制來自第三方局域網對內部網絡的訪問
●控制局域網內部不同部門網絡之間的訪問
●控制對服務器中心的網絡訪問
下面分別予以介紹。
1、控制來自互聯網對內部網絡的訪問
這是一種應用最廣,也是最重要的防火墻應用環境。在這種應用環境下,防火墻主要保護內部網絡不遭受互聯網用戶(主要是指非法的黑客)的攻擊。目前絕大多數企業、特別是中小型企業,采用防火墻的目的就是這個。
在這種應用環境中,一般情況下防火墻網絡可劃分為三個不同級別的安全區域:
內部網絡:這是防火墻要保護的對象,包括全部的企業內部網絡設備及用戶主機。這個區域是防火墻的可信區域(這是由傳統邊界防火墻的設計理念決定的)。
外部網絡:這是防火墻要防護的對象,包括外部互聯網主機和設備。這個區域為防火墻的非可信網絡區域(也是由傳統邊界防火墻的設計理念決定的)。
DMZ(非軍事區):它是從企業內部網絡中劃分的一個小區域,在其中就包括內部網絡中用于公眾服務的外部服務器,如Web服務器、郵件服務器、FTP服務器、外部DNS服務器等,它們都是為互聯網提供某種信息服務。
在以上三個區域中,用戶需要對不同的安全區域廟宇不同的安全策略。雖然內部網絡和DMZ區都屬于企業內部網絡的一部分,但它們的安全級別(策略)是不同的。對于要保護的大部分內部網絡,一般情況下禁止所有來自互聯網用戶的訪問;而由企業內部網絡劃分出去的DMZ區,因需為互聯網應用提供相關的服務,所以在一定程度上,沒有內部網絡限制那么嚴格,如Web服務器通常是允許任何人進行正常的訪問。或許有人問,這樣的話,這些服務器不是很容易初攻擊,按原理來說是這樣的,但是由于在這些服務器上所安裝的服務非常少,所允許的權限非常低,真正有服務器數據是在受保護的內部網絡主機上,所以黑客攻擊這些服務器沒有任何意義,既不能獲取什么有用的信息,也不能通過攻擊它而獲得過高的網絡訪問權限。
另外,建議通過NAT(網絡地址轉換)技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這樣有兩個好處:一則可以對外屏蔽內部網絡構和IP地址,保護內部網絡的安全;同時因為是公網IP地址共享,所以可以大大節省公網IP地址的使用,節省了企業投資成本。
在這種應用環境中,在網絡拓撲結構上企事業單位可以有兩種選擇,這主要是根據單位原有網絡設備情況而定。
如果企業原來已有邊界路由器,則此可充分利用原有設備,利用邊界路由器的包過濾功能,添加相應的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區中的公用服務器,則可直接與邊界路由器相連,不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設置一個DMZ區,用來放置那些允許外部用戶訪問的公用服務器設施。網絡拓撲結構如圖1所示。
如果企業原來沒有邊界路由器,此時也可不再添加邊界路由器,僅由防火墻來保護內部網絡。此時DMZ區域和需要保護的內部網絡分別連接防火墻的不同LAN網絡接口,因此需要對這兩部分網絡設置不同的安全策略。這種拓撲結構雖然只有一道安全防線,但對于大多數中、小企業來說是完全可以滿足的。不過在選購防火墻時就要注意,防火墻一定要有兩個以上的LAN網絡接口。它與我們前面所介紹的“多宿主機”結構是一樣的。這種應用環境的網絡拓撲結構如圖2所示。
圖1
圖2
2、控制來自第三方網絡對內部網絡的訪問
這種應用主要是針對一些規模比較大的企事業單位,它們的企業內部網絡通常要與分支機構、合作伙伴或供應商的局域網進行連接,或者是同一企業網絡中存在多個子網。在這種應用環境下,防火墻主要限制第三方網絡(以上所說的其它單位局域網或本單位子網)對內部網絡的非授權訪問。
在這種防火墻應用網絡環境中,根據企業是否需要非軍事區(放置一些供第三方網絡用戶訪問的服務器)可以有兩種具體的網絡配置方案:
(1)需要DMZ區。這種情況是企業需要為第三方網絡提供一些公用服務器,供日常訪問。這種網絡環境與上面所介紹的限制互聯網用戶非法訪問企業內部網絡一樣,整個網絡同樣可分為三個區域:
內部網絡:這是防火墻要保護的對象,包括全部企業內部網絡中需要保護的設備和用戶主機。為防火墻的可信網絡區域,需對第三方用戶透明隔離(透明是指“相當于不存在的”意思)。
外部網絡:防火墻要限制訪問的對象,包括第三方網絡主機和設備。為防火墻的非可信網絡區域。
DMZ(非軍事區):由企業內部網絡中一些外部服務器組成,包括公眾Web服務器、郵件服務器、FTP服務器、外部DNS服務器等。這些公眾服務器為第三方網絡提供相應的網絡信息服務。
需要保護的內部網絡和DMZ區的安全策略也是不同的:需要保護的內部網絡一般禁止來自第三方的訪問,而DMZ則是為第三方提供相關的服務,允許第三方的訪問。
同樣必要時可通過NAT(網絡地址轉換)對外屏蔽內部網絡結構,保護內網安全。
我們仍考慮企業原有邊界路由器設備,通過配置后它同樣可以擔當包過濾防火墻角色。這時的DMZ區就可直接連接邊界路由器的一個LAN接口上,而無需經過防火墻。而保護內部網絡通過防火墻與邊界路由器連接。網絡拓撲結構如圖3所示。如果企業沒有邊界路由器,則DMZ區和內部網絡分別接在防火墻的兩個不同的LAN接口上,構成多宿主機模式。
(2)、沒有DMZ區:此應用環境下整個網絡就只包括內部網絡和外部網絡兩個區域。某些需要向第三方網絡提供特殊服務的服務器或主機與需要保護的內部網絡通過防火墻的同一LAN接口連接,作為內部網絡的一部分,只是通過防火墻配置對第三方開放內部網絡中特定的服務器/主機資源。網絡拓撲結構如圖4所示。但要注意的是,這種配置可能帶來極大的安全隱患,因為來自第三方網絡中的攻擊者可能破壞和控制對他們開放的內部服務器/主機,并以此為據點,進而破壞和攻擊內部網絡中的其它主機/服務器等網絡資源。
以上是考慮了企業是否需要DMZ區的兩種情況。與上面介紹的對互聯網用戶訪問控制的應用環境一樣,在這種應用環境中,同樣可以考慮企業單位原來是否已有邊界路由器。這種應用環境下,企業同樣可以沒有邊界路由器。如果沒有邊界路由器,則須把如圖3和圖4所示網絡拓撲結構按如圖2所示進行相應的改變,此時如圖3和圖4所示網絡中,防火墻須直接與第三方網絡連接,DMZ區與受保護的內部網絡分別連接防火墻的兩個不同的LAN接口。不過要注意,如圖3所示的網絡結構中,DMZ區就相當于沒有任何保護,其實也稱不上“DMZ區”,所以在企業沒有邊界路由器的情況下,通常不采用如圖3所示網絡結構,而是采用圖4所示結構,把一些安全級別相對較低的服務器連接與內部受保護的網絡連接在一起,只是在防火墻上對這些公眾服務器進行特殊權限配置即可。
圖3
圖4
3、控制內部網絡不同部門之間的訪問
這種應用環境就是在一個企業內部網絡之間,對一些安全敏感的部門進行隔離保護。通過防火墻保護內部網絡中敏感部門的資源不被非法訪問。這些所謂的“敏感部門”通常是指人事部門、財務部門和市場部門等,在這些部門網絡主機中的數據對于企業來說是非常重要,它的工作不能完全離開企業網絡,但其中的數據又不能隨便供網絡用戶訪問。這時有幾種解決方案通常是采用VLAN配置,但這種方法需要配置三層以上交換機,同時配置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離,在防火墻上進行相關的配置(比起VLAN來簡單許多)。通過防火墻隔離后,盡管同屬于一個內部局域網,但是其他用戶的訪問都需要經過防火墻的過濾,符合條件的用戶才能訪問。這類防火墻通常不僅通過包過濾來篩選數據包的,而且還要對用戶身份的合法性(在防火墻中可以設置允許哪此些用戶訪問)進行識別。通常為自適應代理服務器型防火墻,這種防火墻方案還可以有日志記錄功能,對網管員了解網絡安全現狀及改進非常重要。網絡拓撲結構如圖5所示。
圖5
4、控制對服務器中心的網絡訪問
對于一個服務器中心,比如主機托管中心,其眾多服務器需要對第三方(合作伙伴、互聯網用戶等)開放,但是所有這些服務器分別屬于不同用戶所有,其安全策略也各不相同。如果把它們都定義在同一個安全區域中,顯然不能滿足各用戶的不同需求,這時我們就得分別設置。要按不同安全策略保護這些服務器,可以有兩種方法:
(1)、為每個服務器單獨配置一個獨立的防火墻,網絡如圖6所示。這種方案是一種最直接、最傳統的方法。配置方法也最容易,但這種方案無論從經濟上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購買與托管理服務器數據一樣多的防火,對托管中心來說投資非常之大;而且托管中心管理員面對這么多防火墻,其管理難度可想而知。
圖6
(2)、采用虛擬防火墻方式,網絡結構如圖7所示。這主要是利用三層交換機的VLAN(虛擬局域網)功能,先為每一臺連接在三層交換機上的用戶服務器所連接的網絡配置成一個單獨的VLAN子網,然后通過對高性能防火墻對VLAN子網的配置,就相當于將一個高性能防火墻劃分為多個虛擬防火墻,其最終效果如圖6一樣。這種方案雖然配置較為復雜,但是這也只是首次配置,一旦配置好了,其后的使用和管理就相當方便了,就像用交換機管理多個VLAN子網一樣來管理每個用戶服務器,而且這種方案在現實中比較經濟可行。
圖7
二、防火墻的應用配置
在傳統邊界防火墻應用配置中,最主要體現在DMZ(非軍事區)、VPN(虛擬專用網)、DNS(域名服務器)和入侵檢測配置等幾個方面。下面具體介紹。
1、DMZ(非軍事區)應用配置
DMZ這個概念在這幾篇防火墻介紹教程中我們多次講到,由此可見它非常重要,為此我們有必要再次對這樣一個防火墻技術進行更深入的研究。
DMZ是作為內外網都可以訪問的公共計算機系統和資源的連接點,在其中放置的都是一些可供內、外部用戶寬松訪問的服務器,或提供通信基礎服務的服務器及設備。比如企事業單位的Web服務器、E-mail(郵件)服務器、VPN網關、DNS服務器、撥號所用的Modem池等等。這些系統和資源都不能放置在內部保護網絡內,否則會因內部網絡受到防火墻的訪問限制而無法正常工作。DMZ區通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網絡結構如圖8所示。當然這里的邊界路由器也可以是一臺專門的硬件防火墻,只是在此想充分利用企業原有設備,節省企業投資。
之所以要把DMZ區放在邊界路由器與防火墻之間,那是因為邊界路由器作為網絡安全的第一防線,可以起到一定的安全過濾作用,因為它具有包過濾功能,通常它不會設置的太嚴。而防火墻作為網絡的第二道,也是最后一道防線,它的安全級別肯定要比邊界路由器上設置的要高許多。如果把用于公共服務嚦嚦的一些服務器放置在防火墻之后,顯然因安全級別太高,外部用戶無法訪問到這些服務器,達不到公共服務的目的。
圖8
以上所介紹的是一種典型網絡應用環境,有些企事業單位用戶網絡,可能需要兩類DMZ,即所謂的“外部DMZ”和“內部DMZ”。外部DMZ放置的是內部網絡和互聯網用戶都可以寬松訪問的系統和資源,如以上所說的Web服務器、E-mail(郵件)服務器、VPN網關、DNS服務器、撥號所用的Modem池等等。這部分網絡需單獨連在主防火墻的一個LAN端口;內部DMZ所放置是內部網絡中用防火墻所保護的內部網絡中需要供內部網絡用戶共享的系統和資源(如內部郵件服務器、內部Web服務器、內部FTP服務器等),當然外部網絡用戶是不能訪問此DMZ區資源的。內部DMZ放置在主防火墻與內部防火墻之間。它的典型網絡結構如圖9所示。
圖9
如果企業沒有邊界路由器,則外部DMZ區就要單獨放置在主防火墻的一個LAN端口上,這也就要求主防火墻具有2個以上LAN接口,因為內部DMZ區也需與主防火墻的一個LAN接口單獨連接,以此來配置多宿主機模式。其它連接如圖9一樣。
典型的防火墻策略是主防火墻采用NAT模式,而內部防火墻采用透明模式工作,以減少內部網絡結構的復雜程度,提高網絡連接性能。除遠程訪問和VPN訪問外,來自互聯網的網絡訪問只能限制在外部DMZ區對外開放的資源上,不可進入內部DMZ區,更不可能進入受保護的內部網絡之中。
VPN(虛擬企業專網)是目前最新的網絡技術之一,它的主要優點通過公網,利用隧道技術進行虛擬連接,相比專線連接來說可以大幅降低企業通信成本(降低幅度在70%左右),加上隨上VPN技術的發展,VPN通信的安全問題已基本得到解決,所以目前它是一種企業首選通信方式,得到了廣大企業用戶的認可和選擇。目前存在幾個典型的VPN隧道協議,包括IPsec、PPTP、L2TP等。通過VPN技術可以實現對用戶內部網絡的擴展,同時為用戶帶來網絡使用成本上的巨大節省。
在防火墻網絡中對VPN服務器進行配置的方法有兩種:
(1)、傳統邊界防火墻方式
這一方式中,VPN服務器位于邊界防火墻之后,防火墻必須打開內外網絡之間相應的VPN通信服務端口,這可能帶來安全隱患,這也是傳統邊界防火墻不能很好地VPN通信的原因。因為VPN通信中數據包內容是加密過的,所以邊界防火墻無法檢測內外網絡之間的通信內容,也就無法從中獲取過濾信息,這樣防火墻很難有效地實現對網絡的訪問控制、審計和病毒檢測。因為VPN服務器與傳統邊界
2、VPN通信配置防火墻的上述矛盾,所以遠程攻擊者對很可能將VPN服務器作為攻擊內部網絡的跳板,給內部網絡帶來非常大的不安全因素。為了提高網絡的安全性,最好再加上如圖9中配置的第二道防火墻:內部防火墻,把VPN服務器放置在外部DMZ區中。
(2)、使用VPN專用防火墻
針對傳統邊界防火墻與VPN通信的上述矛盾,網絡設備開發商就特定為VPN通信開發VPN防火墻。集成VPN技術的防火墻,就可以正確識別VPN通信中的數據包,并且加密的數據包也只在外部VPN客戶端與防火墻之間,有交地避免了前種方案中數據包無法識別的弊端。但不是所有廠商的防火墻都支持內置的VPN服務增值功能。此方案的典型配置如圖10所示。
圖10
3、DNS
DNS服務器可為互聯網提供域名解析服務,對任何網絡應用都十分關鍵。同時在其中也包括了非常重要的網絡配置信息,如用戶主機名和IP地址等。正因如此,對DNS服務器要采取特別的安全保護措施。
為了安全起見,建議在防火墻網絡中,對內部DNS服務器和外部DNS服務器進行分開放置。為互聯網服務的外部DNS服務器不應該包含對外禁止訪問的內部網絡系統的相關服務,需要專門放置在內部DNS服務器上。如果將內部網絡的相關服務需放置在外部DNS服務器上,則會為非法攻擊者提供攻擊對象目標信息。這種將內部DNS服務器和外部DNS服務器分隔開的網絡配置方案通常稱之為“分割DNS”。圖11描述了一個典型的“DNS分割”的例子:
圖11
在這種典型防火墻DNS服務器配置網絡結構中,內部DNS服務器專用來為內部網絡系統進行名稱解析,使得內部網絡用戶可以通過它連接到其它內部系統,其中就包括內部防火墻和內部DMZ;外部DNS使得外部網絡能夠解析出主防火墻、外部DNS服務器、外部DMZ區的主機名字,但不能解析出內部網絡系統主機的名字。
6、入侵檢測
安全檢測是信息保障的一個重要環節,也新型防火墻的一個重要功能。目前主要的安全檢測技術包括入侵檢測、漏洞掃描和病毒檢測。
入侵檢測系統(Intrusion Detection System,IDS)能夠對網絡中未經授權用戶的訪問進行報警,某些時候還能夠通過其它手段預防這種非法網絡行為。它只能發現已發生的非法訪問,而且檢測本身不能提供安全保護的作用,但是很多入侵檢測產品能夠和防火墻這類網絡安全保護產品聯動,一旦入侵檢測發現攻擊行為,它可以通知防火墻修改安全規則,阻止后續的攻擊網流。
入侵檢測方式目前主要分為三類:基于主機的入侵檢測、基于網絡的入侵檢測和基于應用的入侵檢測。
建議將基于主機的入侵檢測和基于應用的入侵檢測產品配置在關鍵業務服務器上,以檢測主機應用層次的網絡攻擊行為,尤其是基于用戶的攻擊行為檢測。這屬于一種高級的入侵檢測手段,它所檢測的范圍覆蓋整個網絡和應用。必須清楚,這兩類產品有極大的安全缺陷:
(1)、時間上的滯后性,由于它們的檢測資料來源是主機操作系統/應用的日志記錄,因此難以做到實時反應;
(2)、其檢測分析結果的準確性完全依賴于主機操作系統日志記錄的全面性和準確性;
(3)、占用較多主機資源。
如果防火墻具有一定的入侵檢測功能,則可以在主防火墻上打開此功能,在防火墻上使用入侵檢測功能可以相當程度地抵制來自外部網絡的DoS(拒絕服務攻擊)攻擊和地址欺騙攻擊。
部署在某些區域的入侵檢測產品如果能和相關的防火墻在網絡上可通,則可以發揮它們之間的聯動功能,提高安全效率。
在漏洞和病毒檢測方面,邊界防火墻比較難以實現,而在個人防火墻和分布式防火墻中卻較容易。因為它們之中軟件功能非常強大,而且還可以實時自動聯網升級。以實現對最新的系統和病毒進行跟蹤檢測的目的,最大限度地保證檢測的有效性。所以在個人防火墻就有好幾種防火墻的叫法,如病毒防火墻、網絡防火墻和郵件防火墻等。從這些名字我們要吧看出這些防火墻的主要功能。
好了,關于防火墻的主要應用網絡結構及應用配置就介紹至此。下一篇將介紹防火墻的一些最新技術,敬請關注!
點擊咨詢 