第一篇：全面解析Web應(yīng)用防火墻的價(jià)值和優(yōu)越性

全面解析Web應(yīng)用防火墻的價(jià)值和優(yōu)越性

WEB應(yīng)用的重要性隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，WEB應(yīng)用越來(lái)越受到業(yè)務(wù)系統(tǒng)的重視，WEB應(yīng)用已經(jīng)與我們的核心業(yè)務(wù)系統(tǒng)密不可分。如今的電子政務(wù)、電子商務(wù)、網(wǎng)上銀業(yè)、網(wǎng)上營(yíng)業(yè)廳等均以WEB為載體。WEB也由原來(lái)的網(wǎng)站瀏覽的代名詞轉(zhuǎn)變?yōu)橹T如網(wǎng)上報(bào)名、網(wǎng)上交易、網(wǎng)上報(bào)稅等多種業(yè)務(wù)應(yīng)用系統(tǒng)。WAF的價(jià)值WEB價(jià)值重點(diǎn)體現(xiàn)在門(mén)戶網(wǎng)站的時(shí)代時(shí)，我們所面臨的安全威脅主要源自網(wǎng)站被黑或者網(wǎng)站被篡改，因此網(wǎng)頁(yè)防篡改技術(shù)得到成長(zhǎng)并大量使用。應(yīng)用推運(yùn)系統(tǒng)架構(gòu)革新，而系統(tǒng)架構(gòu)的和革新推動(dòng)安全技術(shù)的發(fā)展。Web應(yīng)用防火墻也不例外，也是在現(xiàn)有WEB防護(hù)技術(shù)力日益無(wú)法滿足業(yè)務(wù)的新需求時(shí)誕生的。如果說(shuō)防篡改軟件是一種基于文件管理的被動(dòng)辦法，那么WAF則是從安全的本質(zhì)出發(fā)，對(duì)威脅進(jìn)行主動(dòng)防御，并對(duì)WEB應(yīng)用進(jìn)行性能優(yōu)化的最佳方案。簡(jiǎn)單將防篡改軟件理解為是文件恢復(fù)管理，而WAF則是分析處理不安全的訪問(wèn)行為，這些不安全的行為包括網(wǎng)頁(yè)篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國(guó)WEB應(yīng)用環(huán)境下的WAF通常也會(huì)具有網(wǎng)頁(yè)防篡改的客戶端，功能和市面的網(wǎng)頁(yè)防篡改軟件幾乎相同。WAF以獨(dú)立的硬件網(wǎng)關(guān)存在，其部署和使用過(guò)程中不需要對(duì)原有的WEB服務(wù)器作任何的調(diào)整，并且WAF本身支持多種部署方式，例如透明網(wǎng)橋模式的部署不需對(duì)網(wǎng)絡(luò)進(jìn)行任何調(diào)整。與IPS相比Web應(yīng)用防火墻可謂是專注于WEB應(yīng)用的IPS，與傳統(tǒng)的IPS不同，Web應(yīng)用防火墻在特征匹配方面的粒度更細(xì)，至少可以精確到如下幾個(gè)節(jié)點(diǎn)：對(duì)協(xié)議的全面理解以及協(xié)議規(guī)范性檢查請(qǐng)求頭關(guān)鍵字段的識(shí)別和特征匹配，從而降低誤判響應(yīng)頭敏感信息的處理防止服務(wù)器指紋泄露響應(yīng)體特征匹配，屏蔽敏感信息泄露針對(duì)單個(gè)請(qǐng)求，基于單個(gè)URL的匹配最大程度確認(rèn)業(yè)務(wù)系統(tǒng)的可用性WAF的優(yōu)越性Web應(yīng)用防火墻技術(shù)架構(gòu)上最佳方案是采用代理技術(shù)實(shí)現(xiàn)，然而標(biāo)準(zhǔn)的代理技術(shù)應(yīng)用到Web應(yīng)用防火墻時(shí)卻存在一個(gè)先天的不足。代理技術(shù)會(huì)中斷業(yè)務(wù)請(qǐng)求，因此部署Web應(yīng)用防火墻需要調(diào)整現(xiàn)有業(yè)務(wù)架構(gòu)或網(wǎng)絡(luò)數(shù)據(jù)走向。另一方面代理技術(shù)存在性能瓶頸，難在勝任大型的業(yè)務(wù)系統(tǒng)。安恒信息采用內(nèi)核級(jí)代理技術(shù)解決了部署全透明和性能兩個(gè)技術(shù)瓶頸，是國(guó)內(nèi)首創(chuàng)的全透明Web應(yīng)用防火墻，并成功應(yīng)用于諸多網(wǎng)上銀行、運(yùn)營(yíng)商BOSS系統(tǒng)、電子政務(wù)等核心業(yè)務(wù)系統(tǒng)。Web應(yīng)用防火墻采用基于特征庫(kù)的防御技術(shù)進(jìn)行防護(hù)，而特征庫(kù)技術(shù)只能解決通用的，已知的攻擊行為。而WEB應(yīng)用系統(tǒng)千差萬(wàn)別，僅采用通用特征庫(kù)不僅防護(hù)效果不佳，而且可能會(huì)因?yàn)榇a的原因?qū)е抡`判，從而影響業(yè)務(wù)系統(tǒng)的可用性。因此安恒Web應(yīng)用防火墻中加入了異常檢測(cè)引擎用于提高防護(hù)能力，降低誤判率。異常檢測(cè)技術(shù)可以用一個(gè)下面這個(gè)例子進(jìn)行說(shuō)明：安全檢測(cè)好比閉路電視監(jiān)控系統(tǒng)，基于特征的檢測(cè)技術(shù)即通過(guò)行人的身高、體重、外貌進(jìn)行檢測(cè)，然后通過(guò)X光機(jī)檢測(cè)身上是否帶了已知的不安全裝備。而異常檢測(cè)則是通過(guò)對(duì)人的行為特征進(jìn)行分析，例如一個(gè)人進(jìn)門(mén)時(shí)身帶了一個(gè)手?jǐn)Q包，而走到大廳后將手?jǐn)Q包放下，人離開(kāi)。針對(duì)這種特為將為觸發(fā)報(bào)警動(dòng)作。異常檢測(cè)到WEB安全檢測(cè)中主要用于補(bǔ)償特征庫(kù)的短板，可以有效的防御未知攻擊、盜鏈行為、應(yīng)用DDOS攻擊等。

第二篇：普通防火墻與Web應(yīng)用防火墻的對(duì)比

普通防火墻與Web應(yīng)用防火墻的對(duì)比

(Web應(yīng)用防火墻)旨在保護(hù)Web應(yīng)用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見(jiàn)的威脅。網(wǎng)絡(luò)防火墻是防御網(wǎng)絡(luò)周邊環(huán)境的，雖然一些傳統(tǒng)的防火墻提供了某種程度的應(yīng)用程序熟悉能力，但是，傳統(tǒng)防火墻沒(méi)有Web應(yīng)用防火墻提供的那樣精細(xì)和具體。例如，Web應(yīng)用防火墻能夠檢測(cè)一個(gè)應(yīng)用程序是否按照它設(shè)計(jì)的方式工作，它能夠讓你編寫(xiě)具體的規(guī)則防止再次發(fā)生這種工具。，Web應(yīng)用防火墻與入侵防御系統(tǒng)不同。它是一個(gè)完全不同的技術(shù)，不是以特征為基礎(chǔ)的，而是以行為為基礎(chǔ)的，防止你自己意外制造的安全漏洞。

金融危機(jī)促使Web應(yīng)用防火墻走強(qiáng)

2010-06-11 17:50出處：比特網(wǎng)作者：佚名【我要評(píng)論】 [導(dǎo)讀]此前筆者一直表示，2009年安全大黑馬非Web應(yīng)用防火墻莫數(shù)。事實(shí)上，進(jìn)入五月份以來(lái)，很多Web應(yīng)用防火墻廠家的工程師已經(jīng)處于應(yīng)接不暇的狀態(tài)。

此前筆者一直表示，2009年安全大黑馬非Web應(yīng)用防火墻莫數(shù)。事實(shí)上，進(jìn)入五月份以來(lái)，很多Web應(yīng)用防火墻廠家的工程師已經(jīng)處于應(yīng)接不暇的狀態(tài)。對(duì)此記者專門(mén)走訪了眾多廠商，結(jié)果看到的是井噴的訂單與密集的出差行程，這無(wú)不凸顯出眼下Web應(yīng)用防火墻市場(chǎng)的炙熱。

細(xì)心的讀者也許還記得，此前記者曾擔(dān)心國(guó)內(nèi)企業(yè)用戶對(duì)于Web應(yīng)用防火墻的理解程度。畢竟去年曾經(jīng)出現(xiàn)過(guò)很多用戶無(wú)法分辨Web應(yīng)用防火墻與普通防火墻的差異。特別是今年年初，隨著山寨氣氛越炒越熱，在Web應(yīng)用防火墻上也出現(xiàn)了名不副實(shí)的山寨產(chǎn)品，并一度令記者十分緊張。

不過(guò)令人吃驚的是，廣大企業(yè)用戶對(duì)此的反應(yīng)真的是處變不驚。此前梭子魚(yú)中國(guó)區(qū)總經(jīng)理何平先生在接受本報(bào)獨(dú)家專訪時(shí)表示，當(dāng)前越來(lái)越多的企業(yè)用戶開(kāi)始主動(dòng)聯(lián)系安全廠商，請(qǐng)求廠商為其搭建符合自身應(yīng)用特點(diǎn)的Web保護(hù)方案。而且不少用戶已經(jīng)把這部分預(yù)算列入了2009年的固定開(kāi)支中去。要知道，在金融危機(jī)陰影尚未散盡的今天，用戶的反映著實(shí)令記者吃驚。

對(duì)此何平的看法是，與硬件盒子一樣的傳統(tǒng)防火墻不同，Web應(yīng)用防火墻不是單一產(chǎn)品，本身是基于策略的產(chǎn)品，需要結(jié)合企業(yè)的Web應(yīng)用進(jìn)行具體的安全咨詢。安全廠商需要對(duì)企業(yè)的各種內(nèi)部應(yīng)用非常了解，比如對(duì)OA、MIS、ERP等應(yīng)用的支持。因此當(dāng)初Gartner就曾提出更加綜合的應(yīng)用交付網(wǎng)絡(luò)的概念，將安全、加速、管理等集成在一起，實(shí)現(xiàn)完整的Web保護(hù)。

記者發(fā)現(xiàn)，很多企業(yè)在購(gòu)買(mǎi)普通防火墻的時(shí)候，往往是從同行業(yè)企業(yè)中打聽(tīng)經(jīng)驗(yàn)，尋找價(jià)格差異，有些時(shí)候依靠流行度去購(gòu)買(mǎi)。但是在選擇Web應(yīng)用防火墻的時(shí)候，則是企業(yè)的IT經(jīng)理帶著問(wèn)題去找方案進(jìn)行解決，采購(gòu)的認(rèn)真與周密令人肅然起敬。

之前有專家介紹說(shuō)，當(dāng)前Web應(yīng)用防火墻從全球范圍內(nèi)已經(jīng)進(jìn)入部署的高峰期，準(zhǔn)確地說(shuō)是第二波浪潮的開(kāi)始。以美國(guó)為例，早先是在美國(guó)能源部使用，確保能源安全，之后過(guò)渡到一些普通政府部門(mén)使用，最后到紐約市的衛(wèi)生局都開(kāi)始采購(gòu)。特別是2008年P(guān)CI法案通過(guò)之后，要求提供信用卡網(wǎng)上支付超過(guò)一定營(yíng)業(yè)額的企業(yè)，都需要配置Web應(yīng)用防火墻。可以說(shuō)，國(guó)外Web應(yīng)用防火墻進(jìn)入了成熟化與普及化時(shí)代。

從國(guó)內(nèi)來(lái)看，Web應(yīng)用防火墻市場(chǎng)拉升同樣明顯。一方面金融危機(jī)導(dǎo)致傳統(tǒng)的Web攻擊更加瘋狂，趨利性更加明顯，企業(yè)的數(shù)據(jù)資產(chǎn)亟需保護(hù);另一方面從2008年底至今，大量企業(yè)、政府的網(wǎng)站遭遇Web攻擊潮，如三鹿網(wǎng)站事件等，用戶認(rèn)識(shí)到傳統(tǒng)的防火墻、IPS、網(wǎng)頁(yè)防篡改設(shè)備都無(wú)法徹底阻止網(wǎng)絡(luò)攻擊，使得國(guó)內(nèi)的行業(yè)用戶對(duì)Web應(yīng)用的防護(hù)意識(shí)與意愿更加迫切

原文出自【比特網(wǎng)】，轉(zhuǎn)載請(qǐng)保留原文鏈接：http://sec.chinabyte.com/172/11374172.shtml

普通防火墻加Web應(yīng)用防火墻

前面的普通防火墻主要是做下包過(guò)濾，后面的那個(gè)web應(yīng)用防火墻是主要過(guò)濾攻擊的設(shè)備。

只要有網(wǎng)絡(luò)的地方就會(huì)有防火墻，但傳統(tǒng)的防火墻只是針對(duì)一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，而WAF則深入到應(yīng)用層，對(duì)所有應(yīng)用信息進(jìn)行過(guò)濾，這是二者的本質(zhì)區(qū)別。

WAF的運(yùn)行基礎(chǔ)是應(yīng)用層訪問(wèn)控制列表。整個(gè)應(yīng)用層的訪問(wèn)控制列表所面對(duì)的對(duì)象是網(wǎng)站的地址、網(wǎng)站的參數(shù)、在整個(gè)網(wǎng)站互動(dòng)過(guò)程中所提交的一些內(nèi)容，包括HTTP協(xié)議報(bào)文內(nèi)容，由于WAF對(duì)HTTP協(xié)議完全認(rèn)知，通過(guò)內(nèi)容分析就可知道報(bào)文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會(huì)做完全、深層次的掃描。Web防火墻的主要技術(shù)的對(duì)入侵的檢測(cè)能力，尤其是對(duì)Web服務(wù)入侵的檢測(cè)，不同的廠家技術(shù)差別很大，不能以廠家特征庫(kù)大小來(lái)衡量，主要的還是看測(cè)試效果，從廠家技術(shù)特點(diǎn)來(lái)說(shuō)，有下面幾種方式：

◆代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會(huì)話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式防止了入侵者的直接進(jìn)入，對(duì)DDOS攻擊可以抑制，對(duì)非預(yù)料的“特別”行為也有所抑制。Netcontinuum(梭子魚(yú))公司的WAF就是這種技術(shù)的代表。

◆特征識(shí)別：識(shí)別出入侵者是防護(hù)他的前提。特征就是攻擊者的“指紋”，如緩沖區(qū)溢出時(shí)的Shellcode，SQL注入中常見(jiàn)的“真表達(dá)(1=1)”?應(yīng)用信息沒(méi)有“標(biāo)準(zhǔn)”，但每個(gè)軟件、行為都有自己的特有屬性，病毒與蠕蟲(chóng)的識(shí)別就采用此方式，麻煩的就是每種攻擊都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報(bào)的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長(zhǎng)，安全界聲言要淘汰此項(xiàng)技術(shù)，但目前應(yīng)用層的識(shí)別還沒(méi)有特別好的方式。

◆算法識(shí)別：特征識(shí)別有缺點(diǎn)，人們?cè)趯で笮碌姆绞健?duì)攻擊類型進(jìn)行歸類，相同類的特征進(jìn)行模式化，不再是單個(gè)特征的比較，算法識(shí)別有些類似模式識(shí)別，但對(duì)攻擊方式依賴性很強(qiáng)，如SQL注入、DDOS、XSS等都開(kāi)發(fā)了相應(yīng)的識(shí)別算法。算法識(shí)別是進(jìn)行語(yǔ)義理解，而不是靠“長(zhǎng)相”識(shí)別。

◆模式匹配：是IDS中“古老”的技術(shù)，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當(dāng)然模式的定義有很深的學(xué)問(wèn)，各廠家都隱秘為“專利”。協(xié)議模式是其中簡(jiǎn)單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來(lái)定義模式;行為模式就復(fù)雜一些，Web防火墻最大的挑戰(zhàn)是識(shí)別率，這并不是一個(gè)容易測(cè)量的指標(biāo)，因?yàn)槁┚W(wǎng)進(jìn)去的入侵者，并非都大肆張揚(yáng)，比如給網(wǎng)頁(yè)掛馬，你很難察覺(jué)進(jìn)來(lái)的是那一個(gè)，不知道當(dāng)然也無(wú)法統(tǒng)計(jì)。對(duì)于已知的攻擊方式，可以談識(shí)別率;對(duì)未知的攻擊方式，你也只好等他自己“跳”出來(lái)才知道。

Web應(yīng)用防火墻的定義已經(jīng)不能用傳統(tǒng)的防火墻定義加以衡量了。為此，Gartner提出了應(yīng)用交付的概念。其核心就是對(duì)整個(gè)企業(yè)安全的衡量，已經(jīng)無(wú)法適用單一的標(biāo)準(zhǔn)了，需要將加速、平衡性、安全等各種要素融合在一起。此后還要進(jìn)行細(xì)分，比如Web應(yīng)用交付網(wǎng)絡(luò)、郵件應(yīng)用交付網(wǎng)絡(luò)，這些都是針對(duì)企業(yè)的具體應(yīng)用提供的硬件或解決方案平臺(tái)。

換言之，用戶在面對(duì)Web應(yīng)用防火墻的時(shí)候，需要考慮自身的應(yīng)用特點(diǎn)，結(jié)合企業(yè)的實(shí)際情況獲取安全價(jià)值。

第三篇：Web和移動(dòng)應(yīng)用對(duì)企業(yè)的價(jià)值

Web和移動(dòng)應(yīng)用對(duì)企業(yè)的價(jià)值

作者王玥

摘 要：隨著市場(chǎng)競(jìng)爭(zhēng)的日趨激烈,企業(yè)利用信息技術(shù)手段加強(qiáng)內(nèi)部管理的要求十分迫切,企業(yè)信息化建設(shè)伴隨著信息技術(shù)的高速發(fā)展而不斷升級(jí)換代,新技術(shù)新應(yīng)用不斷涌現(xiàn)。近年來(lái),移動(dòng)互聯(lián)技術(shù)和智能通訊終端的迅速推廣普及,為高效快捷的信息處理提供了全新的途徑和手段,是當(dāng)今企業(yè)信息化建設(shè)熱點(diǎn)。因此,企業(yè)的移動(dòng)信息化應(yīng)用就成了一個(gè)人們普遍關(guān)注的話題。

關(guān)鍵詞：信息技術(shù)1；內(nèi)部管理2；移動(dòng)3；…

引言

隨著5G時(shí)代的到來(lái),移動(dòng)智能設(shè)備正在成為提升企業(yè)業(yè)務(wù)價(jià)值的生產(chǎn)力工具.將傳統(tǒng)桌面信息系統(tǒng)功能搬到移動(dòng)端,可以實(shí)現(xiàn)隨時(shí)隨地業(yè)務(wù)處理,有效突破時(shí)間和空間限制,整合時(shí)間碎片,提高工作效率,提高企業(yè)生產(chǎn)經(jīng)營(yíng)管理水平.論文主要介紹了移動(dòng)應(yīng)用平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn),以“平臺(tái)+應(yīng)用”的集成整合方式滿足企業(yè)的移動(dòng)信息化需求[1],推動(dòng)企業(yè)的移動(dòng)信息化發(fā)展,為企業(yè)管理創(chuàng)新及辦公智能化提供更強(qiáng)力的技術(shù)支持.一、企業(yè)信息化的介紹

1.2企業(yè)信息化的概念

企業(yè)信息化是指企業(yè)利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)等一系列現(xiàn)代信息技術(shù),引進(jìn)現(xiàn)代管理理念,通過(guò)對(duì)信息資源的深度開(kāi)發(fā)和廣泛利用,不斷提高生嚴(yán)、經(jīng)營(yíng)、管理、決策的效率和水平,進(jìn)而提高企業(yè)經(jīng)濟(jì)效益和企業(yè)競(jìng)爭(zhēng)力的過(guò)程。企業(yè)信息化是一個(gè)很廣的概念,具體可以分為3個(gè)層次：

第一層是企業(yè)在生產(chǎn)當(dāng)中廣泛運(yùn)用電子信息技術(shù),實(shí)現(xiàn)生產(chǎn)自動(dòng)化。如生產(chǎn)設(shè)計(jì)自動(dòng)化(CAD)、自動(dòng)化控制、智能儀表、單板機(jī)的運(yùn)用等。凡是用到電子信息技術(shù)的都是企業(yè)信息化的一部分。

第二層是企業(yè)數(shù)據(jù)的自動(dòng)化、信息化。用電子信息技術(shù)對(duì)生嚴(yán)、銷售、財(cái)務(wù)等數(shù)據(jù)進(jìn)行處理,這是最基礎(chǔ)的、大量的數(shù)據(jù)信息化過(guò)程。

第三層是更高層次的輔助管理、輔助決策系統(tǒng), Int ranet以及 Ext ranet、制造資源規(guī)劃MRPD)、計(jì)算機(jī)集成制造系統(tǒng)(CMS)、辦公自動(dòng)化(OA)等都是用來(lái)輔助管理、輔助決策的,這是更高層次的信息化[2]。

2.2企業(yè)信息化的必然趨勢(shì)

當(dāng)今企業(yè)間的競(jìng)爭(zhēng)是多方面的,競(jìng)爭(zhēng)手段也日趨復(fù)雜。為了生存,企業(yè)間優(yōu)勢(shì)資源相技術(shù)領(lǐng)導(dǎo)力決完企發(fā)展方向相互整合,劣勢(shì)資源被淘汰出局。面對(duì)不斷變化的外部環(huán)境,面對(duì)不斷岀現(xiàn)的關(guān)乎企業(yè)生存的挑戰(zhàn)[3],幾乎所有的企業(yè)都選擇了企業(yè)信息化作為提高自己的競(jìng)爭(zhēng)能力、保持競(jìng)爭(zhēng)優(yōu)勢(shì)的基礎(chǔ)性支撐。

信息時(shí)代,隨著信息技術(shù)集成化和信息網(wǎng)絡(luò)化的不斷發(fā)展,企業(yè)信息化程度不斷提高信息技術(shù)、信息系統(tǒng)和信息作為一種資源已不再僅僅支撐企業(yè)戰(zhàn)略,而且還有助于決定企業(yè)戰(zhàn)略,并且信息戰(zhàn)略已經(jīng)成為企業(yè)戰(zhàn)略不可分割的一部分。企業(yè)間的竟?fàn)巸?yōu)勢(shì)也不再僅限于成本、差異性和目標(biāo)集聚3種形式,企業(yè)信息化形成的獨(dú)特競(jìng)爭(zhēng)優(yōu)勢(shì)一一知識(shí)優(yōu)勢(shì)逐漸成為企業(yè)競(jìng)爭(zhēng)的優(yōu)先級(jí)竟?fàn)巸?yōu)勢(shì)[4],企業(yè)信息化成為不可阻擋的必然趨勢(shì)。信息化可以提高企業(yè)的“智商”,使之變得靈活聰明、反應(yīng)敏捷只有在信息化的基礎(chǔ)上,才能有目的地優(yōu)化管理,改進(jìn)流程、團(tuán)隊(duì);只有在信息化的基礎(chǔ)上,才能夠快速協(xié)調(diào)內(nèi)外部資源,為客戶提供及時(shí)的服務(wù),贏得客戶的信任;只有在信息化的基礎(chǔ)上,才能夠真正固化企業(yè)的管理制度,實(shí)現(xiàn)由人治到法治的轉(zhuǎn)變。企業(yè)信息化在加快反應(yīng)速度的同時(shí),還能夠幫助我們明確企業(yè)的改進(jìn)目標(biāo)。任何改進(jìn)都是基于可以被度量的目標(biāo)進(jìn)行的,信息化能將企業(yè)運(yùn)作的諸多關(guān)鍵環(huán)節(jié)的數(shù)據(jù)量化,給我們提供明確的目標(biāo),足夠快速的反饋,幫助我們明確、高效地不斷改進(jìn)自身的工作[5]。此外,信息化對(duì)企業(yè)外部形象的塑造也是大有好處的:一是企業(yè)形緣象效應(yīng)。

通過(guò)企業(yè)信息系統(tǒng)的建立和完善,管理人員可以通過(guò)企業(yè)績(jī)效不僅可以迅速地傳遞給社會(huì)成員或企業(yè)股東,而且對(duì)外界可以更全面地體現(xiàn)企業(yè)的經(jīng)營(yíng)狀況。二是企業(yè)營(yíng)銷效應(yīng)。企業(yè)營(yíng)銷不僅是企業(yè)信息化最重要的推動(dòng)力,也是企業(yè)信息化的主要外部效應(yīng)。電子商務(wù)既是信息化的外部效應(yīng),同時(shí)屬于建立現(xiàn)代企業(yè)形象的重要領(lǐng)域。三是企業(yè)管理效應(yīng)。信息技術(shù)滲透到企業(yè)管理的各個(gè)領(lǐng)域中,特別是對(duì)企業(yè)管理人員的培訓(xùn)和職業(yè)教育,以此提高企業(yè)人力資本質(zhì)量,構(gòu)成企業(yè)信息化最為重要的外部效應(yīng)。企業(yè)借助信息系統(tǒng)獲得外部專家支持的效果與企業(yè)雇傭?qū)＜业男Ч粯雍?甚至可以節(jié)省相當(dāng)?shù)墓蛡虺杀綶6]。四是團(tuán)隊(duì)向心效應(yīng)。通過(guò)信息化,企業(yè)員工會(huì)及時(shí)了解并執(zhí)行公司的各項(xiàng)規(guī)章制度,在節(jié)省了培訓(xùn)成本的同時(shí),能夠讓員工快速接觸企業(yè)的各個(gè)方面,便于其盡快融入企業(yè)文化;另外,信息化本身也會(huì)促使企業(yè)文化向高效率、規(guī)范化轉(zhuǎn)變,對(duì)干部、對(duì)員工都是一種透明的激勵(lì)體系。

二、移動(dòng)互聯(lián)網(wǎng)的介紹

2.1移動(dòng)互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀

移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)和應(yīng)用包括移動(dòng)環(huán)境下的網(wǎng)頁(yè)瀏覽、文件下載、位直服務(wù)、在線游戲、視頻瀏覽和下載等業(yè)務(wù)[7]。隨著寬帶無(wú)線移動(dòng)通信技術(shù)的進(jìn)一步發(fā)展和Web應(yīng)用技術(shù)的不斷創(chuàng)新,移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展將成為繼寬帶技術(shù)后互聯(lián)網(wǎng)發(fā)展的又一個(gè)推動(dòng)力,為互聯(lián)網(wǎng)的發(fā)展提供一個(gè)新的平臺(tái),使得互聯(lián)網(wǎng)更加普及,并以移動(dòng)應(yīng)用固有的隨身性、可鑒權(quán)、可身份識(shí)別等獨(dú)特優(yōu)勢(shì),為傳統(tǒng)的互聯(lián)網(wǎng)類業(yè)務(wù)提供了新的發(fā)展空間和可持續(xù)發(fā)展的新商業(yè)模式;同時(shí),移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展為移動(dòng)網(wǎng)帶來(lái)了無(wú)盡的應(yīng)用空間,促進(jìn)了移動(dòng)網(wǎng)絡(luò)寬帶化的深入發(fā)展。從最初簡(jiǎn)單的文本瀏覽、圖鈴下載等業(yè)務(wù)形式發(fā)展到當(dāng)前的與互聯(lián)網(wǎng)業(yè)務(wù)深度融合的業(yè)務(wù)形式,移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)正在成長(zhǎng)為移動(dòng)運(yùn)營(yíng)商業(yè)務(wù)發(fā)展的戰(zhàn)略重點(diǎn)世界各國(guó)都在建立自己的移動(dòng)互聯(lián)網(wǎng),各個(gè)國(guó)家由于國(guó)情、文化的不同,在移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展上各有千秋,呈現(xiàn)出不同的特點(diǎn)。一些移動(dòng)運(yùn)營(yíng)商采取了較好的商業(yè)模式,成功的整合了價(jià)值鏈環(huán)節(jié),取得一定的用戶市場(chǎng)規(guī)模。特別是在日本和韓國(guó),移動(dòng)互聯(lián)網(wǎng)已經(jīng)憑借出色的業(yè)務(wù)吸引力和資費(fèi)吸引力,稱為人們生活中不可或缺的一部分。

2.2移動(dòng)互聯(lián)網(wǎng)的發(fā)展趨勢(shì)

2.2.1實(shí)用技術(shù)多用化

作為管理者我們需要知道移動(dòng)互聯(lián)網(wǎng)是電信、互聯(lián)網(wǎng)、媒體、娛樂(lè)等產(chǎn)業(yè)融合的匯鬟點(diǎn),各種寬帶無(wú)線通信、移動(dòng)通信和互聯(lián)網(wǎng)技術(shù)都在移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)上得到了很好的應(yīng)用。從長(zhǎng)遠(yuǎn)來(lái)看,移動(dòng)互聯(lián)網(wǎng)的實(shí)現(xiàn)技術(shù)多樣化是一個(gè)重要趨勢(shì)。網(wǎng)絡(luò)接入技術(shù)多元化目前能夠支撐移動(dòng)互聯(lián)網(wǎng)的無(wú)線接入技術(shù)大致分成三類:無(wú)線局域網(wǎng)接入技術(shù)wF1,無(wú)線城域網(wǎng)接入技術(shù)WMAx和傳統(tǒng)3G加強(qiáng)版的技術(shù),如HSDA等。不同的接入技術(shù)適用于不同的場(chǎng)所,使用戶在不同的場(chǎng)合和環(huán)境下接入相應(yīng)的網(wǎng)絡(luò),這勢(shì)必要求終端具有多種接入能力,也就是多模終端。移動(dòng)終端解決方案多樣化終端的支持是業(yè)務(wù)推廣的生命線,隨著移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)逐漸升溫,移動(dòng)終端解決方案也不斷增多。移動(dòng)互聯(lián)網(wǎng)設(shè)備中最為大家熟悉的就是手機(jī),也是目前使用移動(dòng)互聯(lián)網(wǎng)最常用的設(shè)備[8]。Intel推出的MD,則利用蜂窩網(wǎng)絡(luò)、WIMAX、WFi等接入技術(shù)。

2.2.2商業(yè)模式多樣化

成功的業(yè)務(wù),需要成功的商業(yè)模式來(lái)支持。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的新特點(diǎn)為商業(yè)模式創(chuàng)新提供了空間。目前,流量、圖鈴、廣告這些傳統(tǒng)的盈利模式仍然是移動(dòng)互聯(lián)網(wǎng)的盈利模式的主體,而新型廣告、多樣化的內(nèi)容和增值服務(wù)則成為移動(dòng)互聯(lián)網(wǎng)企業(yè)在盈利模式方面主要的探索方向。廣告類商業(yè)模式是指免費(fèi)向用戶提供各種信息和服務(wù),而盈利則是通過(guò)收取廣告費(fèi)來(lái)實(shí)現(xiàn),典型的例子如門(mén)戶網(wǎng)站和移動(dòng)搜索。內(nèi)容類商業(yè)模式是指通過(guò)對(duì)用戶收取信息和音視頻等內(nèi)容費(fèi)用盈利,典型例子如:付費(fèi)信息類、手機(jī)流媒體、移動(dòng)網(wǎng)游、UGC類應(yīng)用。服務(wù)類商業(yè)模式是指基本信息和內(nèi)容免費(fèi),用戶為相關(guān)增值服務(wù)付費(fèi)的盈利方式,例如即時(shí)通信、移動(dòng)導(dǎo)航和移動(dòng)電子商務(wù)均屬于此類。

2.2.3參與主體的多樣性

移動(dòng)互聯(lián)網(wǎng)時(shí)代是融合的時(shí)代,是設(shè)備與服務(wù)融合的時(shí)代,是產(chǎn)業(yè)間互相進(jìn)入的時(shí)代在這個(gè)時(shí)代,移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)參與主體的多樣性是一個(gè)顯著的特征。技術(shù)的發(fā)展降低了產(chǎn)業(yè)間、以及產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)之間的技術(shù)和資金門(mén)檻,推動(dòng)了傳統(tǒng)電信業(yè)向電信、互聯(lián)網(wǎng)、媒體、娛樂(lè)等產(chǎn)業(yè)融合的大ICT產(chǎn)業(yè)的演進(jìn),原有的產(chǎn)業(yè)運(yùn)作模式和競(jìng)爭(zhēng)結(jié)構(gòu)在新的形勢(shì)下已經(jīng)顯得不合時(shí)宜。在產(chǎn)業(yè)融合和演進(jìn)的過(guò)程中,不同產(chǎn)業(yè)原有的運(yùn)作機(jī)制和資源配置方式都在改變,產(chǎn)生了更多新的市場(chǎng)空間和發(fā)展機(jī)遇。為了把握住機(jī)遇,相關(guān)領(lǐng)域的企業(yè)都在積極轉(zhuǎn)型。

三、發(fā)展趨勢(shì)

企業(yè)信息化未來(lái)發(fā)展的關(guān)鍵詞將是移動(dòng)、云計(jì)算和大數(shù)據(jù),在這一背景下,移動(dòng)應(yīng)用將會(huì)簡(jiǎn)化傳統(tǒng)的企業(yè)級(jí)應(yīng)用方式。同時(shí),移動(dòng)應(yīng)用將是企業(yè)信息化必不可免的潮流。架構(gòu)一套企業(yè)移動(dòng)辦公系統(tǒng)之后,可以極大地拓展員工的辦公空間,使以往無(wú)法辦公或者辦公效率低下的情況大大減少:使員工的工作效率提升,從而增加企業(yè)產(chǎn)值[9]。此外,移動(dòng)應(yīng)用還允許員工以無(wú)縫的方式隨時(shí)隨地訪問(wèn)自己的信息,除了提高工作效率之外,跨區(qū)域的信息流動(dòng)方式還可以提高客戶的滿意度,同時(shí)降低企業(yè)的經(jīng)營(yíng)成本。試問(wèn),面對(duì)如此大的好處,企業(yè)有什么理由拒絕呢?

信息系統(tǒng)建設(shè)的核心就是使信息及時(shí)、準(zhǔn)確在企業(yè)內(nèi)外部傳播,為企業(yè)與客戶、企業(yè)和合作伙伴、企業(yè)與員工之間建立一個(gè)無(wú)縫的信息流通渠道。但如今企業(yè)進(jìn)行信息化建設(shè)時(shí)卻遇到了一個(gè)嚴(yán)重的瓶頸,一邊是功能強(qiáng)大的信息系統(tǒng),一邊是脫節(jié)的終端信息。一個(gè)典型的現(xiàn)象就是無(wú)法及時(shí)、快速地收集市場(chǎng)信息。如今,一種利用各種移動(dòng)設(shè)備和移動(dòng)通訊技術(shù)隨時(shí)隨地傳輸和交流各種商業(yè)信息,進(jìn)行商務(wù)活動(dòng)的新型應(yīng)用模式即移動(dòng)應(yīng)用已岀現(xiàn)在企業(yè)面前。通過(guò)移動(dòng)應(yīng)用,企業(yè)可以突破時(shí)空限制,彌補(bǔ)傳統(tǒng)的業(yè)務(wù)應(yīng)用模式的不足,重新塑造企業(yè)經(jīng)營(yíng)模式,整合企業(yè)原有的信息系統(tǒng),將企業(yè)信息化擴(kuò)展到與市場(chǎng)距離近似無(wú)縫的境地對(duì)于企業(yè)而言,誰(shuí)先掌握和應(yīng)用新的科技,就意味著在競(jìng)爭(zhēng)力上保有優(yōu)勢(shì)。4G時(shí)代已將成為過(guò)去,5G時(shí)代已經(jīng)揭開(kāi)了帷幕。如何將在個(gè)人移動(dòng)應(yīng)用上發(fā)展成熟的新技術(shù)改造成適合企業(yè)應(yīng)用的技術(shù),這將是企業(yè)面臨的最大問(wèn)題,也許將會(huì)是每個(gè)企業(yè)的決策層最頭疼的問(wèn)題之一[10]。眼下,企業(yè)移動(dòng)應(yīng)用市場(chǎng)正在迎來(lái)爆發(fā)期。自2010年開(kāi)始,越來(lái)越多的企業(yè)認(rèn)識(shí)到移動(dòng)信息化所帶來(lái)的價(jià)值,并開(kāi)始將移動(dòng)應(yīng)用引入到企業(yè)的管理、銷售等各個(gè)工作環(huán)節(jié)之中?！?G網(wǎng)絡(luò)的正式開(kāi)通為企業(yè)移動(dòng)信息化應(yīng)用打開(kāi)了黃金之門(mén)?！?/p>

四、結(jié)語(yǔ)

我們很清楚的看到移動(dòng)應(yīng)用的演進(jìn)給企業(yè)信息化帶來(lái)了天翻地覆的改變。如今,隨著企業(yè)信息化外延的擴(kuò)大,企業(yè)應(yīng)用建設(shè)處于向移動(dòng)遷移的過(guò)程中,產(chǎn)品能在手機(jī)上使用,是許多企業(yè)對(duì)軟件供應(yīng)商提出的新要求。移動(dòng)應(yīng)用產(chǎn)品的成本非常低廉,而且企業(yè)也不需要增加額外的移動(dòng)設(shè)備及PC硬件設(shè)備的投入。以ERP系統(tǒng)為例,傳統(tǒng)ERP的實(shí)施成本較高,從產(chǎn)品購(gòu)買(mǎi)、員工培訓(xùn)、項(xiàng)目上線,至少需要兩三個(gè)月時(shí)間,而移動(dòng)應(yīng)用,無(wú)論是企業(yè)管理層還是普通員工,只要會(huì)用智能手機(jī),就可以無(wú)師自通地操作移動(dòng)應(yīng)用,這能給企業(yè)節(jié)省大量的培訓(xùn)時(shí)間和費(fèi)用?？梢哉f(shuō),提高效率、節(jié)省成本、讓企業(yè)實(shí)現(xiàn)更輕松的管理,是移動(dòng)應(yīng)用帶給企業(yè)的最顯著效果。

參考文獻(xiàn)

[1]馬帆.基于J2ME和Web服務(wù)技術(shù)的企業(yè)移動(dòng)應(yīng)用研究與實(shí)現(xiàn)[D].長(zhǎng)安大學(xué).[2]孔曉霞, 魏志強(qiáng), 王曉,等.基于Web服務(wù)的移動(dòng)電子商務(wù)系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].中國(guó)海洋大學(xué)學(xué)報(bào)：自然科學(xué)版, 2005, 35(6):5.[3]張一光, 盧志剛.基于安卓系統(tǒng)的企業(yè)級(jí)移動(dòng)應(yīng)用平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].信息系統(tǒng)工程, 2021(4):2.[4]于蕭榕, 郭昌言, 陳剛.移動(dòng)ERP系統(tǒng)的實(shí)現(xiàn)與優(yōu)化[J].科學(xué)技術(shù)與工程, 2010(21):6.[5]PAUL GOLDING.大數(shù)據(jù)時(shí)代移動(dòng)WEB服務(wù)與運(yùn)營(yíng)技術(shù)指南(十二五國(guó)家重點(diǎn)圖書(shū)出版規(guī)[M].人民郵電出版社, 2014.[6]于蕭榕, 郭昌言, 陳剛.移動(dòng)辦公系統(tǒng)的分析與實(shí)現(xiàn)[J].電腦編程技巧與維護(hù), 2010(16):3.[7]Tony Efremenko, Gordan Greenlee, Frederick Meredith.通過(guò)IBM WebSphere DataPower SOA Appliances 確保對(duì)企業(yè)應(yīng)用程序的安全移動(dòng)訪問(wèn).2013.[8]崔健.基于WebRTC的P2P視頻會(huì)議系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].北京工業(yè)大學(xué), 2016.[9]王毅.基于Web Services的企業(yè)移動(dòng)應(yīng)用模型及其在CRM系統(tǒng)中的實(shí)現(xiàn)[D].合肥工業(yè)大學(xué), 2006.[10]肖士婧.基于Web服務(wù)的移動(dòng)銷售管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].南京大學(xué), 2012.

第四篇：防火墻技術(shù)的應(yīng)用

防火墻技術(shù)的應(yīng)用

作 者：郭 麗 指導(dǎo)老師：李爭(zhēng)艷

摘 要：為了保護(hù)計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)資源免遭攻擊破壞, 提出了防火墻技術(shù)是當(dāng)前比較流行而且是比較可行的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。本論文從實(shí)際應(yīng)用的角度對(duì)防火墻的應(yīng)用問(wèn)題進(jìn)行了探討分析，闡述了防火墻的幾種技術(shù)及其應(yīng)用模式。最后，詳細(xì)介紹了防火墻的應(yīng)用設(shè)計(jì)。

關(guān)鍵詞：防火墻；防火墻技術(shù)；防火墻應(yīng)用模式；防火墻應(yīng)用設(shè)計(jì) 防火墻概述

防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)與不可信任的外部公共網(wǎng)絡(luò)）或者不同網(wǎng)絡(luò)安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡(luò)管理人員制定的網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的各種數(shù)據(jù)信息流，從而對(duì)所受保護(hù)的網(wǎng)絡(luò)提供信息安全服務(wù)。在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實(shí)現(xiàn)的功能的側(cè)重點(diǎn)不同，從某種意義來(lái)說(shuō)，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問(wèn)控制原則。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中最為關(guān)鍵和有效的技術(shù)之一，它設(shè)置在相對(duì)安全的內(nèi)部網(wǎng)和相對(duì)不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡(luò)安全策略，以有效地阻止來(lái)自外界的網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)正常運(yùn)行以及資源和信息的安全。通過(guò)以上分析我們可以看出防火墻從理論上應(yīng)該具有下列特點(diǎn)：內(nèi)部和外部的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻；只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻；防火墻本身應(yīng)該堅(jiān)固安全可靠。

第1頁(yè)(共14頁(yè))2 防火墻技術(shù)

防火墻技術(shù)分為包過(guò)濾，代理，NAT，狀態(tài)監(jiān)測(cè)等幾種技術(shù)。2.1 包過(guò)濾技術(shù)

包過(guò)濾工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過(guò)濾成為一種改善網(wǎng)絡(luò)安全的工具。如果恰當(dāng)使用，對(duì)具有安全意識(shí)的網(wǎng)絡(luò)管理者來(lái)說(shuō)，包過(guò)濾是一種有用的工具。但它的有效利用需要對(duì)它的實(shí)際能力和缺點(diǎn)的充分了解，以及對(duì)用于過(guò)濾器的特定協(xié)議的特點(diǎn)的充分了解。首先檢查包過(guò)濾作為一種網(wǎng)絡(luò)安全度量的效用，簡(jiǎn)要地比較了IP包過(guò)濾和其它的網(wǎng)絡(luò)安全方法如應(yīng)用級(jí)網(wǎng)關(guān)，描述了包過(guò)濾在每一個(gè)包中檢查什么，及涉及包過(guò)濾時(shí)的通用應(yīng)用協(xié)議的特性。然后鑒別和檢查了許多當(dāng)前包過(guò)濾實(shí)現(xiàn)中出現(xiàn)的一些共同問(wèn)題，說(shuō)明這些問(wèn)題怎樣不費(fèi)力地破壞網(wǎng)絡(luò)管理者的意圖并導(dǎo)致一種虛假的安全感，并對(duì)這些問(wèn)題提出解決方案。

這里把包過(guò)濾看作一種實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的機(jī)制。需要考慮的事項(xiàng)是來(lái)自站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)(他們是那些在維持他們的站點(diǎn)或網(wǎng)絡(luò)足夠的安全時(shí)，對(duì)提供好的可能的服務(wù)給他們的用戶感興趣的人)，站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)必定和服務(wù)提供者或路由器供應(yīng)商所有的觀點(diǎn)不一樣(他們感興趣的是提供網(wǎng)絡(luò)服務(wù)或產(chǎn)品給用戶)。始終假定站點(diǎn)管理者通常對(duì)于阻止外面的人進(jìn)入更感興趣，而不是設(shè)法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價(jià)值的數(shù)據(jù)或服務(wù)，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過(guò)濾能被用于實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)安全策略。這些策略的第一個(gè)目的通常在于防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)，而沒(méi)有阻礙授權(quán)的訪問(wèn)。未經(jīng)授權(quán)的訪問(wèn)和授權(quán)的訪問(wèn)的定義在不同機(jī)構(gòu)有很大的不同。第二個(gè)目的通常為機(jī)制在執(zhí)行用戶了解和安全措施的應(yīng)用程序認(rèn)識(shí)方面是透明的。另一個(gè)目的是機(jī)制對(duì)于配置和維護(hù)是簡(jiǎn)單的，從而提高策略被正確和徹底的實(shí)現(xiàn)的可能性?；蚨嗷蛏俚模^(guò)濾是完成所有這些目的的一種機(jī)制，但這只能通過(guò)對(duì)于它的優(yōu)勢(shì)和缺點(diǎn)的透徹地了解及它的實(shí)際能力的小心運(yùn)用來(lái)達(dá)到。

為了網(wǎng)絡(luò)安全，包過(guò)濾的一般的可供選擇的方法包括用網(wǎng)絡(luò)訪問(wèn)保護(hù)

第2頁(yè)(共14頁(yè))每一臺(tái)機(jī)器和使用應(yīng)用網(wǎng)關(guān)。以全有或全無(wú)(一種非常粗糙的包過(guò)濾形式)為基礎(chǔ)允許網(wǎng)絡(luò)訪問(wèn)，然后嘗試去保護(hù)具有網(wǎng)絡(luò)訪問(wèn)權(quán)的每一臺(tái)機(jī)器一般是不切實(shí)際的，沒(méi)有幾個(gè)站點(diǎn)有辦法去保護(hù)并監(jiān)控每一臺(tái)需要偶然的網(wǎng)絡(luò)訪問(wèn)的機(jī)器。應(yīng)用網(wǎng)關(guān)，諸如被AT&T, DEC和其他幾個(gè)機(jī)構(gòu)使用的那些，通常也是不切實(shí)際的。因?yàn)樗鼈優(yōu)榱说竭_(dá)外部主機(jī)，要求內(nèi)部主機(jī)運(yùn)行改良(通常被定做或其他方面不是通用的)版本的應(yīng)用程序(如FTP和Telnet)。如果一個(gè)恰當(dāng)改良版本的應(yīng)用程序?qū)τ谝粋€(gè)特定的主機(jī)(如適合于個(gè)人計(jì)算機(jī)的改良的Telnet客戶機(jī))是不可用的，內(nèi)部主機(jī)的用戶簡(jiǎn)直是不幸的，而且不能到達(dá)過(guò)去的應(yīng)用網(wǎng)關(guān)。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個(gè)包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個(gè)包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過(guò)濾實(shí)現(xiàn)(有時(shí)候是過(guò)濾說(shuō)明)，路由器可能給被丟棄的包的源主機(jī)回送一個(gè)ICMP信息(通常為主機(jī)不可達(dá)信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護(hù)網(wǎng)絡(luò)作為一個(gè)整體的觀點(diǎn)談到連接或包，有時(shí)用于從過(guò)濾器路由器(在內(nèi)部網(wǎng)絡(luò)邊緣，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間)的觀點(diǎn)談到包，或用于涉及包經(jīng)過(guò)的路由器接口。一個(gè)包在它到外部網(wǎng)絡(luò)的路上，對(duì)于過(guò)濾路由器來(lái)說(shuō)，可能看來(lái)是入站的，但從內(nèi)部網(wǎng)絡(luò)作為一個(gè)整體來(lái)說(shuō)，該包是出站的。一個(gè)出站連接是由內(nèi)部機(jī)器上的客戶機(jī)發(fā)起到外部機(jī)器上的服務(wù)器的連接。注意:當(dāng)連接作為一個(gè)整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機(jī)到外部服務(wù)器的)又包括入站包(指那些從外部服務(wù)器回到內(nèi)部客戶機(jī)的)。同樣地，一個(gè)入站連接是一個(gè)由外部機(jī)器上的客戶機(jī)發(fā)起到內(nèi)部機(jī)器上的服務(wù)器的連接。對(duì)于一個(gè)包來(lái)說(shuō)，入站接口是在包出現(xiàn)的過(guò)濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應(yīng)用過(guò)濾規(guī)則拒絕的話。2.2代理技術(shù)

具有因特網(wǎng)訪問(wèn)功能的主機(jī)代替其它主機(jī)完成與因特網(wǎng)的通信，這就是代理服務(wù)。代理只對(duì)單個(gè)(或很小一部分)主機(jī)提供因特網(wǎng)訪問(wèn)服務(wù)，盡管它看起來(lái)像是對(duì)所有的主機(jī)提供服務(wù)。

代理服務(wù)其運(yùn)行在一個(gè)雙宿主主機(jī)或一個(gè)堡壘主機(jī)上:一些可以與用戶交談的主機(jī)同樣也可以與外界交談。用戶的代理程序與這個(gè)代理服務(wù)器

第3頁(yè)(共14頁(yè))交談，而不是直接與外部的因特網(wǎng)上的真實(shí)的服務(wù)器交談。這個(gè)代理服務(wù)器接收來(lái)自客戶的要求，應(yīng)決定哪個(gè)請(qǐng)求可以傳送，那個(gè)可以不考慮。如果一個(gè)請(qǐng)求是許可的，代理服務(wù)器就會(huì)代表客戶與真正的服務(wù)器交談，繼而將客戶請(qǐng)求傳達(dá)給真實(shí)服務(wù)器，并將真實(shí)服務(wù)器的應(yīng)答返回給客戶。代理服務(wù)對(duì)用戶是透明的，用戶與代理服務(wù)器交談就像與真實(shí)服務(wù)器交談一樣；而對(duì)真實(shí)服務(wù)器米說(shuō)，它是于一個(gè)運(yùn)行于代理服務(wù)器主機(jī)上的用戶交談，而并不知道用戶的真實(shí)所在。代理技術(shù)有如下特點(diǎn)：

（1）代理服務(wù)允許用戶直接地訪問(wèn)因特網(wǎng)服務(wù)

使用雙宿主主機(jī)方式，用戶需要在訪問(wèn)任何因特網(wǎng)服務(wù)之前連入這個(gè)主機(jī)，通常這樣做很不方便，會(huì)使一些用戶變得很沮喪，以至于是他們?cè)诜阑饓χ車(chē)鷮ふ彝ǖ?。使用代理服?wù)，用戶會(huì)認(rèn)為他們是在直接與因特網(wǎng)服務(wù)器進(jìn)行交流。

當(dāng)然，后臺(tái)仍會(huì)有更多程序在運(yùn)行，但它們對(duì)于用戶來(lái)說(shuō)通常是透明的。當(dāng)代理服務(wù)允許用戶通過(guò)它們連入因特網(wǎng)時(shí)，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過(guò)雙宿主主機(jī)，或者通過(guò)一個(gè)堡壘主機(jī)和屏蔽路由器系統(tǒng)。（2）代理服務(wù)可以優(yōu)化日志服務(wù)

因?yàn)榇矸?wù)器可以優(yōu)先選擇協(xié)議，所以它們?cè)试S日志服務(wù)以一種特殊有效的方式運(yùn)行。例如，一個(gè)FTP代理服務(wù)器可以只記錄已發(fā)出的命令和服務(wù)器返回的應(yīng)答，來(lái)代替記錄所有傳送的數(shù)據(jù)，這樣會(huì)產(chǎn)生一個(gè)小的多也有用的多的日志。

（3）代理服務(wù)滯后于非代理服務(wù)

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡(jiǎn)單的服務(wù)，但新的或不常用服務(wù)的代理軟件卻較難找到。在一個(gè)新的服務(wù)出現(xiàn)以后，通常要經(jīng)過(guò)一個(gè)明顯的延遲，它的代理服務(wù)器才會(huì)出現(xiàn)，滯后時(shí)間的長(zhǎng)短主要依賴于為代理而設(shè)計(jì)的服務(wù)器。這時(shí)的一個(gè)站點(diǎn)在提供一項(xiàng)新的服務(wù)時(shí)，難以立刻提供相應(yīng)的代理服務(wù)。如果某個(gè)內(nèi)部子系統(tǒng)需要一種新的服務(wù)，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開(kāi)了潛在的安全缺口。

（4）不同的服務(wù)可能要求不同的服務(wù)器

第4頁(yè)(共14頁(yè))可能需要為每項(xiàng)服務(wù)設(shè)置不同的代理服務(wù)器。因?yàn)榇矸?wù)器需要理解這個(gè)服務(wù)所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個(gè)角色，對(duì)真實(shí)服務(wù)器來(lái)說(shuō)它是用戶，對(duì)代理服務(wù)器來(lái)說(shuō)它是真實(shí)服務(wù)器。挑選、安裝和配置所有這些不同的代理服務(wù)可能是一項(xiàng)龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個(gè)地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務(wù)器通常實(shí)用性比較差，它們之所以可以比較容易地配置，是因?yàn)樗鼈兿拗屏烁鞣N使用條件，這些條件可能是正確的，也可能根本不適合你的站點(diǎn)。（5）代理服務(wù)對(duì)用戶的限制比較多

代理服務(wù)器通常要求對(duì)用戶和使用過(guò)程進(jìn)行限制，每一種限制都有不足之處，人們無(wú)法按他們自己的步驟來(lái)隨心所欲地使用代理服務(wù)。由于這些限制，代理服務(wù)就不能像非代理服務(wù)運(yùn)行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

NAT的工作過(guò)程如圖1所示：

在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的第5頁(yè)(共14頁(yè))地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。

圖1 NAT工作過(guò)程

在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。2.4狀態(tài)監(jiān)測(cè)技術(shù)

這是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過(guò)濾”原理的“動(dòng)態(tài)包過(guò)濾”技術(shù)發(fā)展而來(lái)的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測(cè)”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過(guò)一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過(guò)濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測(cè)”技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(yè)(共14頁(yè))類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行，這種檢測(cè)的高明之處是能對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行監(jiān)視，一旦建立了一個(gè)會(huì)話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會(huì)話狀態(tài)作為依據(jù)，例如一個(gè)連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過(guò)程里防火墻都會(huì)審核這個(gè)包的源端口還是不是8000，否則這個(gè)數(shù)據(jù)包就被攔截，而且會(huì)話狀態(tài)的保留是有時(shí)間限制的，在超時(shí)的范圍內(nèi)如果沒(méi)有再進(jìn)行數(shù)據(jù)傳輸，這個(gè)會(huì)話狀態(tài)就會(huì)被丟棄。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開(kāi)放過(guò)多端口，進(jìn)一步杜絕了可能因?yàn)殚_(kāi)放端口過(guò)多而帶來(lái)的安全隱患。

由于狀態(tài)監(jiān)視技術(shù)相當(dāng)于結(jié)合了包過(guò)濾技術(shù)和應(yīng)用代理技術(shù)，因此是最先進(jìn)的，但是由于實(shí)現(xiàn)技術(shù)復(fù)雜，在實(shí)際應(yīng)用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測(cè)，而且在一般的計(jì)算機(jī)硬件系統(tǒng)上很難設(shè)計(jì)出基于此技術(shù)的完善防御措施（市面上大部分軟件防火墻使用的其實(shí)只是包過(guò)濾技術(shù)加上一點(diǎn)其他新特性而已）。

3防火墻的應(yīng)用模式

由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全需求等方面的差異，在使用防火墻構(gòu)建網(wǎng)絡(luò)安全防護(hù)系統(tǒng)時(shí)，其應(yīng)用模式可能是千差萬(wàn)別的。總的來(lái)說(shuō)，比較典型的防火墻應(yīng)用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應(yīng)用模式采用單一的分組過(guò)濾型防火墻或狀態(tài)檢測(cè)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個(gè)防火墻模塊），該路由器設(shè)置在內(nèi)部網(wǎng)與internet之間，根據(jù)預(yù)先設(shè)置的安全規(guī)則對(duì)進(jìn)人內(nèi)部網(wǎng)的信息流進(jìn)行安全過(guò)濾。在這種應(yīng)用模式中，防火墻功能也可以用單獨(dú)的防火墻設(shè)備或主機(jī)來(lái)實(shí)現(xiàn)，設(shè)置在內(nèi)部網(wǎng)與路由器之間。參見(jiàn)圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(yè)(共14頁(yè))這種應(yīng)用模式的優(yōu)點(diǎn)是數(shù)據(jù)轉(zhuǎn)發(fā)速度快，岡絡(luò)性能損失較小，易于實(shí)現(xiàn)，費(fèi)用較低、它的缺點(diǎn)是安全性比較脆弱，尤其是分組過(guò)濾型防火墻，容易被人侵者攻破，進(jìn)而入侵內(nèi)部網(wǎng)。3.2雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）

這種應(yīng)用模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻是由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)實(shí)現(xiàn)的。這種主機(jī)稱為堡壘主機(jī)（Bastion Host），而具有兩個(gè)網(wǎng)絡(luò)接口的堡壘。主機(jī)稱為雙宿主機(jī)（Dual Home）。這種應(yīng)用模式由雙宿主機(jī)充當(dāng)內(nèi)部網(wǎng)與internet之間的網(wǎng)關(guān)，并在其上運(yùn)行代理服務(wù)器軟件，受保護(hù)的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過(guò)堡壘主機(jī)才能進(jìn)行通信外部用戶只能看到堡壘主機(jī)。而不能看到內(nèi)部網(wǎng)的實(shí)際服務(wù)器和其他資源。受保護(hù)網(wǎng)絡(luò)的所有開(kāi)放服務(wù)必須由堡壘主機(jī)上的代理服務(wù)軟件來(lái)實(shí)施。參見(jiàn)圖3：

內(nèi)部網(wǎng)

堡壘

主機(jī)

INTERNET

圖3 雙宿主機(jī)網(wǎng)關(guān)

這種應(yīng)用模式的安全性略好一些。但仍然比較脆弱，因?yàn)楸局鳈C(jī)是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護(hù)。3.3屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）

這種應(yīng)用模式采用雙重防火墻來(lái)實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)的第一道安全屏障；另一個(gè)是堡壘主機(jī)．構(gòu)成內(nèi)部網(wǎng)的第二道安全屏障。參見(jiàn)圖4：

內(nèi)部網(wǎng)

堡壘 主機(jī) 屏蔽 路由器

INTERNET

圖4 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽路由器基于下列規(guī)則過(guò)濾分組流：堡壘主機(jī)是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機(jī)建立連接，并且只能通過(guò)與堡壘主機(jī)建立連接來(lái)訪問(wèn)內(nèi)部網(wǎng)提供的服務(wù)。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢(shì)互補(bǔ)和相互協(xié)調(diào)。因此，具有較高的第8頁(yè)(共14頁(yè))安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）

這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒(méi)置一個(gè)屏蔽路由器，堡壘主機(jī)連接在屏蔽子網(wǎng)上。堡壘主機(jī)是惟一的內(nèi)部網(wǎng)和Internet都能訪問(wèn)的系統(tǒng)，但要受到屏蔽路由器過(guò)濾規(guī)則的限制。參見(jiàn)圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機(jī)

堡壘主機(jī)

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關(guān)

在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個(gè)屏蔽路由器和堡壘主機(jī)，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個(gè)屏蔽路由器和堡壘主機(jī)，這顯然是相當(dāng)困難的。因此，具有更高的安全性，比較適合保護(hù)大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應(yīng)用設(shè)計(jì)

根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應(yīng)用性質(zhì)相適應(yīng)的安全措施來(lái)構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括防護(hù)、檢測(cè)、響應(yīng)和管理等各個(gè)環(huán)節(jié)，不是單靠某一種安全技本來(lái)解決的，也要形成一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng)。其中，防火墻是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護(hù)技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應(yīng)具有較好的安全防護(hù)能力之外，防火墻的應(yīng)用方案設(shè)計(jì)也是十分重要的。

第9頁(yè)(共14頁(yè))防火墻的應(yīng)用方案設(shè)計(jì)一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和安全策略設(shè)計(jì)3部分。4.1安全需求分析

根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開(kāi)放的、專用的和內(nèi)部的。不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)和需求是不同的，其安全解決方案也有所不同。

（1）開(kāi)放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開(kāi)放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶完全開(kāi)放，如連接在Internet上的各種開(kāi)放的Web服務(wù)器等。這種開(kāi)放的應(yīng)用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗(yàn)證問(wèn)題，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)（Dos）篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。這些安全風(fēng)險(xiǎn)需要采用多種安全措施來(lái)防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過(guò)濾“有害”的信息，使用“補(bǔ)丁”程序來(lái)阻塞系統(tǒng)安全漏洞，使用入侵檢測(cè)技術(shù)來(lái)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應(yīng)用環(huán)境的安全要求相對(duì)較低，防火墻的作用是次要的，必要時(shí)可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開(kāi)放的。只允許授權(quán)用戶通過(guò)Internet來(lái)訪問(wèn)。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶獲取信息以及信息傳輸過(guò)程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問(wèn)題，主要是用防火墻等技術(shù)來(lái)防范；后者屬于信息安全問(wèn)題，主要采用VPN等枝術(shù)來(lái)解決信息傳輸過(guò)程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問(wèn)題。

在這種網(wǎng)絡(luò)應(yīng)用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過(guò)安全規(guī)則來(lái)控制外部用戶對(duì)內(nèi)部網(wǎng)資源（如Web服務(wù)器和其他服務(wù)器）的訪問(wèn)。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當(dāng)?shù)姆阑饓?yīng)用模式來(lái)建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。除了防火墻外，還應(yīng)當(dāng)使用VPN技術(shù)、基于數(shù)字證書(shū)的訪問(wèn)控制技術(shù)等來(lái)解決信息交換安全問(wèn)題。

（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒(méi)置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過(guò)內(nèi)部網(wǎng)訪問(wèn)網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶的非授權(quán)訪問(wèn)，竊取和泄露機(jī)密信息等。其防范措施主要側(cè)重

第10頁(yè)(共14頁(yè))于解決內(nèi)部用戶對(duì)內(nèi)部網(wǎng)的攻擊問(wèn)題，如采用VLAN、訪問(wèn)控制、安全審計(jì)和安全管理等防范措施。

由于不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是各不相同的，不能一概而論。因此必須針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)采取適當(dāng)?shù)陌踩胧﹣?lái)增強(qiáng)系統(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費(fèi)用等方面尋找一個(gè)最佳平衡點(diǎn)，減少盲目性。4.2網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護(hù)能力和系統(tǒng)費(fèi)用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全需求來(lái)構(gòu)造網(wǎng)絡(luò)安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機(jī)網(wǎng)關(guān)應(yīng)用模式來(lái)構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機(jī)網(wǎng)關(guān)應(yīng)用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機(jī)網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個(gè)子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個(gè)屏蔽路由器，一個(gè)位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個(gè)位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過(guò)屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開(kāi)。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能到達(dá)屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達(dá)屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“停火區(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。

第11頁(yè)(共14頁(yè))

圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)

內(nèi)部屏蔽路由器還應(yīng)當(dāng)提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見(jiàn)的，可見(jiàn)的只是代理服務(wù)器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時(shí)，還解決了公用IP地址短缺問(wèn)題。

對(duì)于各種對(duì)外開(kāi)放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問(wèn)Internet，在屏蔽子網(wǎng)上設(shè)置一個(gè)堡壘主機(jī)，提供代理服務(wù)器功能。這樣，既可以使外部用戶能方便瀏覽開(kāi)放的信息服務(wù)、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過(guò)濾器、代理服務(wù)器和內(nèi)部分組過(guò)濾器等三道防火墻。即使高明的黑客也是相當(dāng)困難的。

合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對(duì)應(yīng)于不同的網(wǎng)段，通過(guò)將網(wǎng)卡與對(duì)應(yīng)網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報(bào)文，只允許某些類型（如回應(yīng)請(qǐng)求類型）的ICMP報(bào)文通過(guò)，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機(jī)進(jìn)行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機(jī)共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。

（5）在防火墻中使用認(rèn)證功能，可以對(duì)主機(jī)地址、網(wǎng)卡地址和主機(jī)名進(jìn)行認(rèn)證，還可以對(duì)用戶身份進(jìn)行認(rèn)證，例如采用口令認(rèn)證、RADIUS認(rèn)證以及硬件參與認(rèn)證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對(duì)于處于不同地理位置上的內(nèi)部網(wǎng)通過(guò)Internet交換信息時(shí)，可以采用VPN技術(shù)來(lái)解決信息傳輸過(guò)程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問(wèn)題。在這種情況下，應(yīng)當(dāng)在屏蔽子網(wǎng)設(shè)置一個(gè)VPN網(wǎng)關(guān)，兩個(gè)內(nèi)部網(wǎng)之間通過(guò)VPN網(wǎng)關(guān)建立一個(gè)安全的傳輸隧道，實(shí)現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過(guò)VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時(shí)，雙方的身份是經(jīng)過(guò)認(rèn)證的，都是可信的用戶。

第12頁(yè)(共14頁(yè))4.3安全策略設(shè)計(jì)

在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個(gè)防火墻：外部分組過(guò)濾器（由外部屏蔽路由器提供）、內(nèi)部分組過(guò)濾器（由內(nèi)部屏蔽路由器提供）和代理服務(wù)器（由堡壘主機(jī)提供）。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們?cè)O(shè)計(jì)安全策略和規(guī)則。

（1）外部分組過(guò)濾器：外部分組過(guò)濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許外部用戶訪問(wèn)屏蔽子網(wǎng)中開(kāi)放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶連接安全代理服務(wù)器。每次連接都要產(chǎn)生日志記錄，供以后安全審計(jì)使用。

（2）內(nèi)部分組過(guò)濾器：內(nèi)部分組過(guò)濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機(jī)。每次連接都要產(chǎn)生日志記錄。通過(guò)地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個(gè)合法外都IP地址訪問(wèn)外部網(wǎng)絡(luò)（如Internet）。

（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽(tīng)有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點(diǎn)，并提供代理功能，對(duì)所代理的連接進(jìn)行安全檢查，禁止內(nèi)部用戶訪問(wèn)非法站點(diǎn)，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務(wù)器與外部郵件服務(wù)器之間的連接提供代理。對(duì)郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進(jìn)行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務(wù)器時(shí)，要求驗(yàn)證用戶的身份，允許合法用戶以規(guī)定的權(quán)限上載和下載服務(wù)器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計(jì)等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)和各個(gè)防火墻的安全策略設(shè)計(jì)后，便可以著手配置各個(gè)防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過(guò)程中，可以通過(guò)管理軟件監(jiān)視防火墻的日志信息，定期進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語(yǔ)

第13頁(yè)(共14頁(yè))本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡(jiǎn)單概述展開(kāi)，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。最后，闡述了防火墻的應(yīng)用設(shè)計(jì)。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來(lái)狀況。

參 考 文 獻(xiàn)

[1] 蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2004.[2] 魏利華.防火墻技術(shù)研究[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2003，38（4）：21-33.[3] 蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù)[M].北京：國(guó)防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安：西安電子科技大學(xué)出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡(luò)信息安全的真相[J].深圳大學(xué)學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實(shí)戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測(cè)技術(shù)[M].機(jī)械工業(yè)出版社，2004.[11]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(yè)(共14頁(yè))

第五篇：基于水彩插畫(huà)的應(yīng)用及優(yōu)越性的教學(xué)研究

基于水彩插畫(huà)的應(yīng)用及優(yōu)越性的教學(xué)研究

水彩插畫(huà)是現(xiàn)如今比較流行以及很多插畫(huà)師都比較熱愛(ài)的表現(xiàn)插畫(huà)方式之一。水彩畫(huà)和插畫(huà)這兩種藝術(shù)形式，對(duì)我們來(lái)說(shuō)已經(jīng)不陌生。兩個(gè)畫(huà)種從起源上來(lái)看，可以說(shuō)是同根同源，只是從不同的角度上，我們將這個(gè)起源分別看待成了這兩種藝術(shù)形式的根。水彩插畫(huà)也是一門(mén)新興的學(xué)科，也是目前很多高校動(dòng)畫(huà)專業(yè)必修的課程。它是以美術(shù)常識(shí)為指導(dǎo)的一門(mén)學(xué)科，因此，要對(duì)色彩有一定的感知能力，豐富色彩的感覺(jué)。水彩畫(huà)是現(xiàn)代繪畫(huà)中一項(xiàng)重要的表現(xiàn)媒介。

水彩插畫(huà)是一門(mén)的課程，但是在傳統(tǒng)的教學(xué)中，教師往往會(huì)花費(fèi)大量的精力去介紹工具的使用方法，而忽視了在整個(gè)知識(shí)體系中藝術(shù)和審美的培養(yǎng)，從而導(dǎo)致許多學(xué)生只能機(jī)械地去了解，因此無(wú)法進(jìn)行具有藝術(shù)表現(xiàn)力的高品質(zhì)的設(shè)計(jì)制作，這顯然無(wú)法滿足企業(yè)對(duì)于專業(yè)人才的需求，同時(shí)也違背了教學(xué)宗旨。針對(duì)這個(gè)問(wèn)題，我個(gè)人希望通過(guò)讓學(xué)生充分了解色彩的藝術(shù)特征，水彩畫(huà)以其獨(dú)有透明清澈的特質(zhì)，不以厚涂而卻能追求空閑、質(zhì)、量和繪畫(huà)上幻化的語(yǔ)言和節(jié)奏，使其能問(wèn)鼎、深入現(xiàn)代畫(huà)的領(lǐng)域中?，F(xiàn)代水彩畫(huà)早已打破了西洋畫(huà)史上固有的插圖草稿，附屬性表現(xiàn)的觀念。中國(guó)人正以其深厚的傳統(tǒng)文化，哲學(xué)觀念、生活體驗(yàn)，揉和科學(xué)精神與自然，內(nèi)在的觀照，作逐步的探尋.認(rèn)清白我，醞釀著水彩畫(huà)的新方向。

近些年來(lái)，由于數(shù)碼技術(shù)在插畫(huà)中的應(yīng)用，對(duì)傳統(tǒng)的以手繪水彩畫(huà)的形式所做的插畫(huà)產(chǎn)生了一定的沖擊，但是作為手繪藝術(shù)，有著數(shù)碼插畫(huà)所無(wú)法比擬的藝術(shù)魅力，因此本人相信在廣闊的商業(yè)插畫(huà)市場(chǎng)中，水彩插畫(huà)始終會(huì)以自身的這種感染力而占有一席之地。

首先要來(lái)了解下水彩插畫(huà)的優(yōu)越性。

1.繪畫(huà)材料的便捷性，水彩畫(huà)的設(shè)備比較簡(jiǎn)單，購(gòu)買(mǎi)起來(lái)比較便宜，易于普及，工具輕便，易于戶外寫(xiě)生攜帶，是各種插畫(huà)設(shè)計(jì)等手繪工作者的必備利器。例如水彩紙為了便于攜帶，市面上有各種開(kāi)數(shù)大小的水彩簿出售，能夠方便隨身攜帶繪畫(huà)了。而且水彩顏料多為套裝都比較小巧，易于攜帶。水彩對(duì)畫(huà)筆的要求沒(méi)有太大限定，畫(huà)水粉的尼龍筆、羊毛筆、狼毫筆，畫(huà)國(guó)畫(huà)的毛筆，畫(huà)油畫(huà)的刷子都能用。雖然最好的水彩畫(huà)筆是貂毛筆，但替代品也有很多，比如人造毛做的畫(huà)筆就十分便宜耐用。并且為了外出作畫(huà)不至于帶水和水桶等用具，市面上還有可以蓄水和隨身攜帶的自來(lái)水筆，這使水彩繪畫(huà)工具輕便。同時(shí)水彩的有許多拓展材料，例如水溶性彩鉛和馬克筆，它們都是變異的水彩，都是將水彩更加簡(jiǎn)便后的產(chǎn)物。從廣義的角度來(lái)說(shuō)都屬于水彩。而它們對(duì)于設(shè)計(jì)來(lái)說(shuō)是不可或缺的用品，它們攜帶方便，使用簡(jiǎn)單，價(jià)格最是便宜，一般文具店都有的買(mǎi)。2.色彩語(yǔ)言的獨(dú)特性，色彩是萬(wàn)物之貌，是構(gòu)成一切視覺(jué)形象的最基本的要素。在造型藝術(shù)中，色彩也是最活躍、最富有表現(xiàn)力的語(yǔ)言。由于用水做媒介，水彩的色彩語(yǔ)言相比其他畫(huà)種尤為獨(dú)特和鮮明，水賦予色彩以生命，使顏色透明、富有流動(dòng)性。水與色的碰撞，交織而形成的通透、流暢、舒緩、輕快的的水色語(yǔ)言，有一種色彩之間交錯(cuò)融合的和諧之美。它干凈、透明、雅致的色彩總能瞬間激發(fā)情感的表達(dá)，給人帶來(lái)俏麗明快、清新怡人的詩(shī)情畫(huà)意。這種詩(shī)情畫(huà)意的畫(huà)面往往和一些寧?kù)o詩(shī)意的文字相得益彰，能夠充分的表達(dá)文字的內(nèi)在情感。同時(shí)由于是用水調(diào)和顏料作畫(huà)，水彩顏色多為透明顏色，水彩的顏色一般都較為鮮艷亮麗，這種鮮艷亮麗的畫(huà)面無(wú)疑是十分搶人眼球的，而插畫(huà)作為一個(gè)視覺(jué)設(shè)計(jì)，它的首要任務(wù)無(wú)疑也是要吸引住人們的眼球的。所以說(shuō)水彩獨(dú)特的色彩于插畫(huà)設(shè)計(jì)也是天造地設(shè)般的搭配。并且水彩用水來(lái)調(diào)和顏料，水的多少使得色彩的濃淡變化十分豐富，再加上各種色在水中的融合，使得色彩更是千變?nèi)f化。這對(duì)于對(duì)色彩要求很高的視覺(jué)設(shè)計(jì)，它無(wú)疑也是最符合條件的。3.繪畫(huà)技法的豐富性，水彩作為繪畫(huà)領(lǐng)域的一個(gè)重要畫(huà)種，自產(chǎn)生以來(lái)就不斷的自我完善和拓展技術(shù)手段，其繪畫(huà)技法的豐富性是其他畫(huà)種難以比擬的。現(xiàn)在我們常用的技法主要可以歸結(jié)兩大類：干畫(huà)法和濕畫(huà)法。這兩種畫(huà)法主要是根據(jù)紙面的干濕情況來(lái)分的，通常所說(shuō)的干畫(huà)法既是在干的紙面或底色上著色的方法，反之，所謂的濕畫(huà)法既是在浸濕或?qū)⒏晌锤傻募埫嫔现漠?huà)法。像層涂、罩色、接色、枯筆等具體方法都屬于干畫(huà)法，而濕的重疊和濕的接色這兩種常用畫(huà)法是屬于濕畫(huà)法，通常進(jìn)行水彩繪畫(huà)時(shí)是干濕結(jié)合的。通過(guò)這些基本技法的運(yùn)用大體上就可以表現(xiàn)出豐富的畫(huà)面效果，但水彩的技法遠(yuǎn)不只如此。通常為了營(yíng)造一些特殊畫(huà)面效果，做各種不同的肌理效果，我們還常用到一些特殊的技法，如在濕的畫(huà)面上噴水可以產(chǎn)生水霧的感覺(jué)，灑鹽可以制造雪景：在紙面做底子用細(xì)沙可以很容易畫(huà)出沙灘和畫(huà)出物體生銹的感覺(jué)，這些做肌理的方法多如牛毛。如果再加上像丙烯、透明水彩液、水溶性彩鉛等這些用廣義的水彩材料的用法或它們之間的綜合使用，我想水彩繪畫(huà)技法的豐富性更畫(huà)種難以比擬的

以上是我個(gè)人對(duì)水彩插畫(huà)在教學(xué)中的初淺的探索，相信隨著教學(xué)的深入，這些內(nèi)容也會(huì)進(jìn)一步的完善。課程的教學(xué)是一個(gè)長(zhǎng)期又復(fù)雜的工作。教師需要結(jié)合學(xué)科的特點(diǎn)，不斷創(chuàng)新意識(shí)，吸取最新的學(xué)科成果，不斷的更新教學(xué)方法和教學(xué)內(nèi)容，才能提高學(xué)生的綜合素質(zhì)和創(chuàng)新能力。

（作者單位：遼寧科技大學(xué)建筑與藝術(shù)設(shè)計(jì)學(xué)院）

作者簡(jiǎn)介：鄭月，女，（1984-）鞍山人，學(xué)歷：碩士，職稱：講師。

趙思雨，女，（1991.6.1-）黑龍江人，學(xué)歷：本科。