计算机网络混合型防火墙系统的设计与实现 |
|
|
摘要:信息社会的到来给全球发展带来了契机,信息技术的运用引起了人们生产方式,生活方式和思想观念的转变,极大地促进了人类社会发展和人类文明的进步,把人们带进了崭新的时代。认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题,采取强有力的安全策略,保障网络信息的安全,是每一个国家和社会以及每一个团体和个人必须正视的事情。 关键词:计算机网络;信息安全;混合型防火墙 一、引言 公司对外要和上级主管部门、政府有关部门(工商、税务、统计等)、业务相关单位进行互联互通,内部各管理部门、科研、生产单位要实现资源共享,必然要有大量的信息要通过网络进行传输,一旦网络出现安全问题,必将造成巨大损失。 常规防火墙存在如下重要问题:工作方式被动且单一,对于未列出的网络攻击不能及时制止和控制;工作效率低,降低网络性能;各种防火墙之间信息不能互相利用;防火墙系统不能利用网络状态和网络信息自动调整规则;访问控制和审计功能较弱,运行效率不高;对内部的威胁不具备防范能力等等。 传统防火墙一旦被攻破后,整个内部网络完全暴露,对整个内部网络系统构成很大的威胁,且传统防火墙对内部网络用户的威胁不具备防范功能。针对常规防火墙存在的这些问题,根据自己的各种经验,结合现有技术,设计了一种混合型防火墙系统,它能够针对性地解决某些问题,且成本不高。 二、混合型防火墙体系结构组成 混合型防火墙采用一种组合结构,它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成,组成如图1所示。loCalhoSt 内、外防火墙在内部网和外部网之间构成一个安全子网,称为屏蔽子网,基站主机、堡垒主机、邮件服务器、打印服务器、web服务器、数据库服务器等公用服务器布置在屏蔽子网中。外部防火墙介于internet与屏蔽子网之间,内部防火墙介于内部网与屏蔽子网之间。 三、混合型防火墙主要组成功能说明 内外两个防火墙可进行不同级别的过滤,屏蔽子网只允许经认证的internet主机和内部子网接入到基站主机中,试图绕过它的流量都将被阻塞掉。屏蔽子网中的应用过滤程序可以通过安全通道和子网中基站主机服务器进行双向保密通信,基站主机服务器可以通过保密通信修改内外部路由器的路由表及过滤规则。整个防火墙系统的控制协调工作主要由应用过滤管理程序和智能认证程序来执行。 外部防火墙。外部防火墙用于防范外部攻击(如:源地址欺骗),并管理internet到屏蔽子网的访问。在一般情况下,它只允许外部合法系统访问堡垒主机指定端口。 内部防火墙。内部防火墙用于屏蔽子网与内部网之间的ip包过滤和地址转换,保护内部网不受屏蔽子网和internet的危害,防止在内部网上传播的数据包流入屏蔽子网。内部防火墙允许内部主机的请求可以到达堡垒主机,不允许未经认证的外部主机访问内部网。 堡垒主机。由于堡垒主机是内部网络和外部网络的接点,容易受到攻击,为了保证较高的安全系数,首先要选择一个好的操作系统,本设计选取的是安全性较高的linux系统,对于linux系统中应用程序和部分工具程序代码净化清除,保留基本的网络服务程序,如:ftp、http、smtp等,把其中的过滤功能分离出来,构成一个应用过滤管理器模块,这个模块放在堡垒主机上运行,对分离后的所有网络应用服务进行统一管理。 基站主机。基站主机服务器是本防火墙的安全控制中心,也是安全信息和智能认证中心。在基站主机服务器上保存有多个与安全决策有关的数据库,如:网络安全数据库、过滤策略数据库、网络安全知识数据库和网络资源等数据库。这些数据库除了可以由具有相应权限的网络管理员查看和管理外,相关数据库还可以进行智能更新。网络安全数据库保存有用户权限数据和应用过滤器收集与数据包有关的信息,更有利于安全策略的配置。网络安全知识数据库保存了网络专家的判断、网络攻击的处理知识,如邮件攻击、各种病毒攻击等,同时对新的攻击进行智能响应,生成日志文件,对并照前后的过滤策略,产生新的过滤指令。 其它公用服务器。其它公用服务器主要是:邮件服务器、打印服务器、web服务器、数据库服务器等提供公共服务的服务器,它们完成各自相应的功能。 四、混合型防火墙功能实现 堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包,从最底层协议到高层协议逐层分析,提取与安全相关的各种信息,如:通信信息、信息应用的状态等,把获取的信息通过安全通道保密发送给基站主机服务器进行分析,并负责接收基站主机服务器的保密回传的应用服务过滤信息,然后由应用过滤管理器模块负责相关应用服务的过滤功能进行配置,完成过滤工作。 对于内部网络中非法用户的操作,如最常见的ip地址的盗用,一般在内部路由器中实施网络适配器的物理地址和ip地址绑定实现,但随着子网和ip地址的增加,其扩展性较差。我们考虑到每一个网络用户都有一个唯一的硬件地址,这个唯一的硬件地址在网络中以网帧传输,在给用户ip地址的时候,在基站主机服务器中自动建立一个表,该表中记录ip地址和映射的物理地址,当用户在使用网络服务的时候,从该节点发送一个经过打包的数据到网络中,该数据包包括此节点的ip地址与映射的物理地址,数据包在发送的时候读取基站主机服务器中的表,如果ip地址与映射的物理地址相符的时候,就可以完成网络通信,通过屏蔽子网与外部网络实施联接,否则,请求更新基站主机服务器中的表,进行再次核实,这 [1] [2] 下一页
|
|
上一个论文: 嵌入式实时操作系统研究与分析 下一个论文: 对无线网络数据安全的思考
|
|
|
看了《计算机网络混合型防火墙系统的设计与实现》的网友还看了:
[法律论文]试析澳门《打击计算机犯罪法》 [法律论文]试论侵权损害纠纷中死亡赔偿金的计算标准 [法律论文]简析计算机犯罪若干问题之探讨 [免费范文]谈计算机机房的管理与维护 [免费范文]2011年中国企业计算需求展望虚拟化\客户端计算与 [今日更新]如何培养中职学生的计算机应用能力 [今日更新]职业学校高三计算机应用基础课程的教学 [今日更新]浅谈中职计算机应用教学 [今日更新]浅谈高校计算机应用基础课程教学改革 [今日更新]浅谈高职计算机应用专业项目教学法的应用
|
|