防火墻技術(shù)的基本原理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻技術(shù)的基本原理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】HTTP協(xié)議；隧道技術(shù)；數(shù)據(jù)封裝

1.概述

隨著科學(xué)技術(shù)的不斷提升，互聯(lián)網(wǎng)技術(shù)快速發(fā)展，計(jì)算機(jī)已經(jīng)從成為最基本的基礎(chǔ)設(shè)施，成為各個(gè)行業(yè)不可或缺的必需品，也推動(dòng)我國(guó)社會(huì)不斷地向信息化、數(shù)字化、網(wǎng)絡(luò)化的方向發(fā)展。根據(jù)相關(guān)調(diào)查資料的顯示，我國(guó)在2016年初，網(wǎng)民高達(dá)6.88億，這些說明了互聯(lián)網(wǎng)在我國(guó)社會(huì)中得到了廣泛的應(yīng)用和發(fā)展?；ヂ?lián)網(wǎng)技術(shù)的應(yīng)用，使得人們大大提升了對(duì)于信息的傳播速度和效率，推動(dòng)了人們?cè)谏鐣?huì)經(jīng)濟(jì)、日常生產(chǎn)生活不斷地向前發(fā)展，而目前很多企業(yè)的決策依據(jù)、趨勢(shì)判斷，也都逐漸向互聯(lián)網(wǎng)的各個(gè)信息數(shù)據(jù)的獲取、收集、整理、分析的方向靠攏。然而互聯(lián)網(wǎng)也存在很多安全威脅，尤其是在信息傳輸過程中，很容易被截取、破譯、入侵等，從而擾亂了人們的日常生活，為企業(yè)生產(chǎn)和財(cái)產(chǎn)經(jīng)濟(jì)帶來了很大的威脅。HTTP協(xié)議是互聯(lián)網(wǎng)通信中應(yīng)用最為廣泛的應(yīng)用層協(xié)議，為信息通信和共享帶來了極大的便利，基于HTTP協(xié)議的隧道技術(shù)，為數(shù)據(jù)通信提供了專門的傳輸通道，避免了網(wǎng)絡(luò)攻擊帶來的危害，對(duì)于人們的信息傳輸中的數(shù)據(jù)安全保護(hù)來說，具有非常重要的現(xiàn)實(shí)意義。

2.HTTP協(xié)議

HTTP協(xié)議是實(shí)現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)通信和資源共享的應(yīng)用層協(xié)議，是針對(duì)網(wǎng)絡(luò)中各種媒體資源進(jìn)行傳輸和通信的超文本協(xié)議，為互聯(lián)網(wǎng)的終端與服務(wù)器之間的通信格式、方法以及數(shù)據(jù)格式等進(jìn)行了定義。

HTTP協(xié)議中規(guī)定了互聯(lián)網(wǎng)傳輸信息的類型主要包括請(qǐng)求與響應(yīng)，而兩種類型的則是互聯(lián)網(wǎng)絡(luò)中心中的數(shù)據(jù)報(bào)文來實(shí)現(xiàn)的，即客戶端向服務(wù)器發(fā)送的請(qǐng)求報(bào)文以及服務(wù)器向客戶端發(fā)送的相應(yīng)報(bào)文。如題1所示，為HTTP協(xié)議的請(qǐng)求報(bào)文和響應(yīng)報(bào)文的格式圖。

圖1 HTTP協(xié)議的請(qǐng)求報(bào)文與響應(yīng)報(bào)文格式

如圖1所示，當(dāng)使用HTTP協(xié)議通過互聯(lián)網(wǎng)進(jìn)行信息傳輸時(shí)，需要根據(jù)HTTP請(qǐng)求報(bào)文和HTTP響應(yīng)報(bào)文的格式進(jìn)行信息傳輸。一般的，通信報(bào)文主要分兩部分，協(xié)議頭和協(xié)議主體。協(xié)議頭部?jī)?nèi)容表明了協(xié)議的控制、內(nèi)容、版本等信息，而協(xié)議主體部分則是包含了主要的傳輸信息內(nèi)容。在HTTP協(xié)議的請(qǐng)求報(bào)文頭部，主要包含了HTTP請(qǐng)求的方法，URL地址版本等信息，其中HTTP請(qǐng)求方法是請(qǐng)求的主要功能，常見的HTTP方法有POST、GET，此外還HEAD、PUT、DELETE、TRACE等方法，其中GET方法是方法是針對(duì)網(wǎng)頁(yè)的固定內(nèi)容，請(qǐng)求服務(wù)器中的對(duì)應(yīng)數(shù)據(jù)，請(qǐng)求標(biāo)示會(huì)顯示在URL中，而POST方法則是在網(wǎng)頁(yè)固定內(nèi)容，添加網(wǎng)頁(yè)中獲取的新數(shù)據(jù)的方法，PUT方法則是請(qǐng)求服務(wù)器存儲(chǔ)網(wǎng)頁(yè)內(nèi)的數(shù)據(jù)，存儲(chǔ)標(biāo)識(shí)會(huì)顯示在URL中。HTTP請(qǐng)求報(bào)文的URL內(nèi)容則是顯示了請(qǐng)求內(nèi)容在服務(wù)器中存儲(chǔ)的相對(duì)路徑，從而讓服務(wù)器按照請(qǐng)求的URL地址去查找相應(yīng)的數(shù)據(jù)信息。HTTP響應(yīng)報(bào)文的頭部則是包含了HTTP協(xié)議版本、狀態(tài)碼等，響應(yīng)報(bào)文主體則是包含了主要數(shù)據(jù)信息以及其他信息。在HTTP響應(yīng)報(bào)文中，狀態(tài)碼是針對(duì)請(qǐng)求報(bào)文的響應(yīng)分類，常見的狀態(tài)碼有200，404等，其中以1開頭的表示服務(wù)器已經(jīng)接受請(qǐng)求，并開始后續(xù)處理，以2開頭的狀態(tài)碼表示請(qǐng)求成功，主體內(nèi)包含響應(yīng)數(shù)據(jù)，以3開頭表示請(qǐng)求內(nèi)容與URL路徑不匹配，需要重定向到其他路徑來獲取內(nèi)容，以4開頭表示客戶端錯(cuò)誤導(dǎo)致請(qǐng)求失敗，以5開頭表示服務(wù)器端錯(cuò)誤導(dǎo)致請(qǐng)求失敗。

3.HTTP協(xié)議下的隧道技術(shù)的基本原理

隧道技術(shù)是構(gòu)建專門數(shù)據(jù)通道的一門技術(shù)，基于HTTP協(xié)議的隧道技術(shù)，則是未使用傳統(tǒng)的隧道協(xié)議的前提下，基于HTTP實(shí)現(xiàn)專門的數(shù)據(jù)傳輸通道的一門技術(shù)。在默認(rèn)情況下，HTTP協(xié)議是占用了系統(tǒng)的80端口作為在互聯(lián)網(wǎng)中進(jìn)行數(shù)據(jù)傳輸?shù)耐ㄐ哦丝?，而且為了?shí)現(xiàn)HTTP協(xié)議的高安全性，一般會(huì)在80端口構(gòu)建防火墻來過濾通信數(shù)據(jù)包，對(duì)非HTTP協(xié)議的傳輸報(bào)文，進(jìn)行攔截，進(jìn)而防止了其他非法程序使用80端口進(jìn)行通信。

HTTP協(xié)議下的隧道技術(shù)，就是實(shí)現(xiàn)通過HTTP協(xié)議構(gòu)建專門的傳輸通道，來實(shí)現(xiàn)數(shù)據(jù)傳輸。假設(shè)互聯(lián)網(wǎng)內(nèi)的兩臺(tái)計(jì)算機(jī)A和B分別處在不同的局域網(wǎng)中，彼此的防火墻只允許HTTP數(shù)據(jù)包通過80端口發(fā)送數(shù)據(jù)，其他協(xié)議、其他端口的數(shù)據(jù)全部被攔截。HTTP協(xié)議下的隧道的實(shí)現(xiàn)，首先要在兩臺(tái)機(jī)器上安裝HTTP隧道程序或者相關(guān)服務(wù)，能夠完成相應(yīng)的通信數(shù)據(jù)封裝功能，而后兩臺(tái)機(jī)器之間的80端口以及在HTTP協(xié)議下進(jìn)行通信。假如A機(jī)器中的某個(gè)程序想通過21端口，使用FTP協(xié)議向B機(jī)器21端口進(jìn)行直接的文件傳輸請(qǐng)求，防火墻將會(huì)將請(qǐng)求攔截。在HTTP協(xié)議隧道技術(shù)下，計(jì)算機(jī)A上面的隧道程序會(huì)將該請(qǐng)求進(jìn)行處理和封裝，將其轉(zhuǎn)變成一個(gè)正常的HTTP請(qǐng)求，通過80端口將其經(jīng)互聯(lián)網(wǎng)絡(luò)發(fā)送到B機(jī)器，兩端局域網(wǎng)的防火墻對(duì)該HTTP報(bào)文進(jìn)行分析時(shí)，會(huì)認(rèn)為該報(bào)文為HTTP請(qǐng)求而允許通過，B機(jī)器接收到報(bào)文后，運(yùn)行的隧道程序或服務(wù)會(huì)將其解析，轉(zhuǎn)變成FTP的文件請(qǐng)求，轉(zhuǎn)發(fā)到21端口，使用FTP協(xié)議進(jìn)行相應(yīng)處理。同樣的，B機(jī)器的相應(yīng)報(bào)文仍需要經(jīng)過相同的處理和封裝，將其發(fā)送到A機(jī)器，A機(jī)器接收到報(bào)文后，會(huì)按照相同的解析和處理，而后轉(zhuǎn)發(fā)到21端口，F(xiàn)TP協(xié)議再次進(jìn)行解析卸載，從而得到正常的請(qǐng)求數(shù)據(jù)。

所以，HTTP協(xié)議下的隧道技術(shù)，不需要專門的隧道傳輸協(xié)議構(gòu)建復(fù)雜的傳輸結(jié)構(gòu)，只需要使用HTTP協(xié)議構(gòu)建專門的數(shù)據(jù)傳輸通道，繞過防火墻實(shí)現(xiàn)兩個(gè)局域網(wǎng)內(nèi)的計(jì)算機(jī)之間的數(shù)據(jù)傳輸。

4.總結(jié)

基于HTTP協(xié)議下的隧道技術(shù)的實(shí)現(xiàn)，就是基于HTTP協(xié)議的公開通道，使用隧道服務(wù)將非法報(bào)文進(jìn)行處理和封裝，轉(zhuǎn)變成正常的HTTP傳輸報(bào)文來實(shí)現(xiàn)隧道的建立，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)傳輸。

參考文獻(xiàn)：

第2篇：防火墻技術(shù)的基本原理范文

摘要：隨著Internet在全球的飛速發(fā)展，防火墻成為目前最重要的信息安全產(chǎn)品，然而，以邊界防御為中心的傳統(tǒng)防火墻如今卻很難實(shí)現(xiàn)安全性能和網(wǎng)絡(luò)性能之間的平衡。分布式防火墻的提出很大程度的改善了這種困境，實(shí)現(xiàn)了網(wǎng)絡(luò)的安全。

關(guān)鍵詞：邊界式；分布式；防火墻

防火墻能根據(jù)受保護(hù)的網(wǎng)絡(luò)的安全策略控制允許、拒絕、監(jiān)測(cè)出入網(wǎng)絡(luò)的信息流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。

一、分布式防火墻的概念

傳統(tǒng)邊界式防火墻因存在許多不完善的地方，因此分布式防火墻應(yīng)運(yùn)而生。

1.邊界式防火墻存在的問題

傳統(tǒng)防火墻設(shè)置在內(nèi)部企業(yè)網(wǎng)和外部網(wǎng)絡(luò)之間，構(gòu)成一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)訪問控制，所以通常稱為邊界防火墻。邊界防火墻可以限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行的信息傳遞和訪問等操作，它處于內(nèi)、外部網(wǎng)絡(luò)的邊界，所有進(jìn)、出的數(shù)據(jù)流量都必須通過防火墻來傳輸?shù)?。這就有效地保證了外部網(wǎng)絡(luò)的所有通信請(qǐng)求都能在防火墻中進(jìn)行過濾。然而，傳統(tǒng)的邊界防火墻要求網(wǎng)絡(luò)對(duì)外的所有流量都經(jīng)過防火墻，而且它基于一個(gè)基本假設(shè)：防火墻把一端的用戶看成是可信任的，而另一端的用戶則被作為潛在的攻擊者對(duì)待。這樣邊界防火墻會(huì)在流量從外部的互聯(lián)網(wǎng)進(jìn)入內(nèi)部局域網(wǎng)時(shí)進(jìn)行過濾和審查。但是這并不能確保局域網(wǎng)內(nèi)部的安全訪問。不僅在結(jié)構(gòu)性上受限制，其內(nèi)部也不夠安全，而且效率不高、故障點(diǎn)多。最后，邊界防火墻本身也存在著單點(diǎn)故障危險(xiǎn)，一旦出現(xiàn)問題或被攻克，整個(gè)內(nèi)部網(wǎng)絡(luò)將會(huì)完全暴露在外部攻擊者面前。

2.分布式防火墻的提出

由于傳統(tǒng)防火墻的缺陷不斷顯露，于是有人認(rèn)為防火墻是與現(xiàn)代網(wǎng)絡(luò)的發(fā)展不相容的，并認(rèn)為加密的廣泛使用可以廢除防火墻，也有人提出了對(duì)傳統(tǒng)防火墻進(jìn)行改進(jìn)的方案，如多重邊界防火墻，內(nèi)部防火墻等，但這些方案都沒有從根本上擺脫拓?fù)湟蕾?，因而也就不能消除傳統(tǒng)防火墻的固有缺陷，反而增加了網(wǎng)絡(luò)安全管理的難度。為了克服以上缺陷而又保留防火墻的優(yōu)點(diǎn)，美國(guó)AT&T實(shí)驗(yàn)室研究員Steven MBellovin在他的論文“分布式防火墻”中首次提出了分布式防火墻DistributedFirewall，DFW)的概念，給出了分布式防火墻的原型框架，奠定了分布式防火墻研究的基礎(chǔ)。

二、分布式防火墻的工作原理認(rèn)知分布式防火墻的工作原理是進(jìn)行一切研究的前提

1.分布式防火墻的基本原理

分布式防火墻打破了邊界防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾囮P(guān)系，將內(nèi)部網(wǎng)的概念由物理意義轉(zhuǎn)變成邏輯意義。在分布式防火墻系統(tǒng)中，每個(gè)主機(jī)節(jié)點(diǎn)都有一個(gè)標(biāo)識(shí)該主機(jī)身份的證書，通常是一個(gè)與該節(jié)點(diǎn)所持有的公鑰相對(duì)應(yīng)的數(shù)字證書，內(nèi)部網(wǎng)絡(luò)服務(wù)器的存取控制授權(quán)根據(jù)請(qǐng)求客戶的數(shù)字證書來確定，而不再是由節(jié)點(diǎn)所處網(wǎng)絡(luò)的位置來決定。一般情況下由于證書不易偽造，并獨(dú)立于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 所以只要擁有合法的證書，不管它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被分布式防火墻系統(tǒng)認(rèn)為是“內(nèi)部”用戶，這樣就徹底打破了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾?。由于在分布式放火墻系統(tǒng)中安全策略的執(zhí)行被推向了網(wǎng)絡(luò)的邊緣――終端節(jié)點(diǎn)，這樣不僅保留了傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時(shí)又解決了傳統(tǒng)防火墻的問題。

2.分布式防火墻的功能

其一，Internet訪問控制。依據(jù)工作站名稱、設(shè)備指紋等屬性，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許、禁止訪問模板或Internet服務(wù)器。其二，應(yīng)用訪問控制。通過對(duì)網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測(cè)，控制來自局域網(wǎng)、Internet的應(yīng)用服務(wù)請(qǐng)求。其三，網(wǎng)絡(luò)狀態(tài)監(jiān)控。實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。其四，黑客攻擊的防御。抵御包括surf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。其五，日志管理。對(duì)工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗(yàn)證規(guī)則日志、入侵檢測(cè)規(guī)則日志的記錄與查詢分析。

3.分布式防火墻的運(yùn)作機(jī)制

分布式防火墻的運(yùn)作公有四個(gè)步驟：第一，策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中，策略是針對(duì)主機(jī)制定的。在制定策略之后通過策略管理中心“推送”和主機(jī)“索取”兩種機(jī)制分發(fā)到主機(jī)。第二，日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機(jī)“定期傳送”、主機(jī)“定量傳送”由主機(jī)傳送到管理中心。第三，策略實(shí)施。策略在管理中心統(tǒng)一制定，通過分發(fā)機(jī)制傳送到終端的主機(jī)防火墻，主機(jī)防火墻根據(jù)策略的配置在受保護(hù)主機(jī)上進(jìn)行策略的實(shí)施。主機(jī)防火墻策略實(shí)施的有效性是分布式防火墻系統(tǒng)運(yùn)行的基礎(chǔ)。第四，認(rèn)證。在分布式防火墻系統(tǒng)中通常采用基于主機(jī)的認(rèn)證方式，即根據(jù)IP地址進(jìn)行認(rèn)證。為了避免IP地址欺騙，可以采用一些強(qiáng)認(rèn)證方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墻的運(yùn)用

分布式防火墻在現(xiàn)實(shí)生活中的運(yùn)用很廣泛，主要有以下幾點(diǎn)：

1.殺毒與防黑

分布式防火墻技術(shù)的出現(xiàn)，有效地解決了漏洞和病毒檢測(cè)這一問題。它不僅提供了個(gè)人防火墻、入侵檢測(cè)、腳本過濾和應(yīng)用程序訪問控制等功能，最重要的是提供了中央管理功能。利用分布式防火墻中央管理器，可以對(duì)網(wǎng)絡(luò)內(nèi)每臺(tái)計(jì)算機(jī)上的防火墻進(jìn)行配置、管理和更新，從宏觀上對(duì)整個(gè)網(wǎng)絡(luò)的防火墻進(jìn)行控制和管理。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進(jìn)行，也可以通過Internet實(shí)現(xiàn)遠(yuǎn)程管理。另外，對(duì)于應(yīng)用較簡(jiǎn)單的局域網(wǎng)，網(wǎng)絡(luò)殺毒和分布式防火墻的組合是比較易于部署且維護(hù)方便的安全解決方案。可以預(yù)見，分布式和網(wǎng)絡(luò)化是未來企業(yè)殺毒軟件和防火墻產(chǎn)品的特點(diǎn)，未來的病毒防護(hù)和防火墻技術(shù)將會(huì)更緊密地結(jié)合并覆蓋到網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)，給網(wǎng)絡(luò)提供更“貼身”的保護(hù)。

2.保護(hù)內(nèi)網(wǎng)

在傳統(tǒng)邊界式防火墻應(yīng)用中，內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一旦已經(jīng)接入了局域網(wǎng)的某臺(tái)計(jì)算機(jī)，并獲得這臺(tái)計(jì)算機(jī)的控制權(quán)，便可以利用這臺(tái)機(jī)器作為入侵其他系統(tǒng)的跳板。而最新的分布式防火墻將防火墻功能分布到各個(gè)子網(wǎng)、桌面系統(tǒng)、筆記本計(jì)算機(jī)以及服務(wù)器PC上，分布于整個(gè)網(wǎng)絡(luò)的分布式防火墻使用戶可以方便地訪問信息，而不會(huì)將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，內(nèi)各用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)遠(yuǎn)程訪問實(shí)現(xiàn)與互聯(lián)。分布式防火墻使用了IP安全協(xié)議，能夠很好地識(shí)別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到很好的保護(hù)。所以分布式防火墻有能力防止各種類型的被動(dòng)和主動(dòng)攻擊。

3.構(gòu)建網(wǎng)絡(luò)安全解決方案

分布式防火墻的網(wǎng)絡(luò)安全解決方案是在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù)，設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機(jī)工作站，并配置相應(yīng)安全策略。將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機(jī)工作站上，客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時(shí)客戶端防火墻的機(jī)器采用多層過濾、入侵檢測(cè)、日志記錄等手段，給主機(jī)的安全運(yùn)行提供強(qiáng)有力的保證。作為業(yè)務(wù)延伸部分的遠(yuǎn)程主機(jī)系統(tǒng)物理上不屬于內(nèi)網(wǎng)，但是，在系統(tǒng)中邏輯上仍是內(nèi)網(wǎng)主機(jī)，與內(nèi)網(wǎng)主機(jī)的通信依然通過VPN技術(shù)和防火墻隔離來控制接入。

4.托管服務(wù)

互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促使互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的迅速崛起，數(shù)據(jù)中心的主要業(yè)務(wù)之一就是提供服務(wù)器托管服務(wù)。對(duì)服務(wù)器托管用戶而言，該服務(wù)器在邏輯上是企業(yè)網(wǎng)的一部分，不過在物理上并不在企業(yè)網(wǎng)內(nèi)部。對(duì)于這種應(yīng)用，分布式防火墻就十分得心應(yīng)手。用戶只需在托管服務(wù)器上安裝上防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略，利用中心管理軟件對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控即可。

參考文獻(xiàn)：

[1]王達(dá).網(wǎng)絡(luò)基礎(chǔ)[M].北京：電子工業(yè)出版社.2004

[2]高永強(qiáng)等編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社.2003

[3]楊毅堅(jiān)、肖德寶.基于Agent的分布式防火墻[J].數(shù)據(jù)通訊.2001.2

第3篇：防火墻技術(shù)的基本原理范文

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊和入侵事件與日俱增，特別是政府部門、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵，如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等等。受攻擊系統(tǒng)問題主要表現(xiàn)在操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP/IP協(xié)議、應(yīng)用程序（如數(shù)據(jù)庫(kù)、瀏覽器等）、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。

入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS）作為對(duì)防火墻極其有益的補(bǔ)充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

從宏觀方面看，入侵檢測(cè)的基本原理很簡(jiǎn)單。從收集到的一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。入侵者在攻擊時(shí)會(huì)留下一些痕跡，用這些痕跡與系統(tǒng)正常運(yùn)行時(shí)產(chǎn)生的數(shù)據(jù)混合在一起。入侵檢測(cè)的任務(wù)就是要從這樣的混合數(shù)據(jù)中找出具有特征的數(shù)據(jù)，判斷是否有入侵。

2 入侵檢測(cè)的過程分析

IDS進(jìn)行入侵檢測(cè)有兩個(gè)過程：信息收集和信息分析。

2.1信息收集

信息收集的對(duì)象包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息。除了盡可能擴(kuò)大檢測(cè)范圍外，還有一個(gè)重要的因素就是僅從一個(gè)源點(diǎn)來的信息可能找不出疑點(diǎn)，但從幾個(gè)源點(diǎn)來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。當(dāng)然，入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性。

2.2 信息分析

信息分析通常有三種手段：模式匹配、統(tǒng)計(jì)分析和完整性分析。這三種分析手段對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析。

模式匹配：是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫(kù)比較，從而發(fā)現(xiàn)違反安全策略的行為。

統(tǒng)計(jì)分析：是首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)造一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，如果觀察值在正常值范圍之外，就認(rèn)為有入侵發(fā)生。

完整性分析：利用加密機(jī)制能識(shí)別很微小的變化。

2.3入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

從系統(tǒng)結(jié)構(gòu)上看，IDS包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理等。如圖1所示。

3IDS的應(yīng)用部署

3.1 IDS的部署方式分析

從IDS技術(shù)原理來看，IDS的部署主要有共享模式，交換模式，隱蔽模式，Tap模式和In-line模式。

共享模式和交換模式： 從HUB上的任意一個(gè)接口，或者在交換機(jī)上設(shè)置成監(jiān)聽模式的監(jiān)聽端口上收集信息。如果設(shè)備是交換機(jī)則屬于交換模式，惟一不同的是需要在交換機(jī)上做端口鏡像。

隱蔽模式： 這種模式是在其他模式的基礎(chǔ)上將探測(cè)器的探測(cè)口IP地址去除，使得IDS在對(duì)外界不可見的情況下正常工作。這種IDS大多數(shù)用在DMZ（周邊網(wǎng)絡(luò)）外，在防火墻的保護(hù)之外。它有自動(dòng)響應(yīng)的優(yōu)點(diǎn)。例如采用雙網(wǎng)卡的技術(shù)，一個(gè)網(wǎng)卡綁定IP，用來與Console（控制臺(tái)）通信；另外一個(gè)網(wǎng)卡無IP，用來收集網(wǎng)絡(luò)數(shù)據(jù)包。

Tap模式： 以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息，這樣能捕捉到網(wǎng)絡(luò)中的所有流量，能更好地了解網(wǎng)絡(luò)攻擊的發(fā)生源和攻擊的性質(zhì)，為阻止網(wǎng)絡(luò)攻擊提供豐富的信息，并能記錄完整的狀態(tài)信息，使得與防火墻聯(lián)動(dòng)或發(fā)送Reset包更加容易。

In-line模式： 直接將IDS串接在通信線路中。網(wǎng)絡(luò)上所有數(shù)據(jù)都通過IDS。這樣做的目的主要是考慮到阻斷攻擊時(shí)的方便。

3.2應(yīng)用部署分析

部署在防火墻之外

入侵檢測(cè)探測(cè)器通常被放置在防火墻外的DMZ中。DMZ是介于ISP和最外端防火墻界面之間的區(qū)域，這樣部署使探測(cè)器可以看到所有來自Internet的攻擊。然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這種攻擊的發(fā)生。因?yàn)樵S多攻擊類型只能通過檢測(cè)是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP三次握手完成后才能進(jìn)行。雖然放在防火墻外的檢測(cè)器無法檢測(cè)到某些攻擊，但這種位置的好處是：可以看到自己在DMZ區(qū)的服務(wù)（如站點(diǎn)）和防火墻暴露在多少種攻擊之下。

部署在防火墻之內(nèi)

部署在防火墻之內(nèi)的目的是，如果攻擊者能夠發(fā)現(xiàn)檢測(cè)器，就可能會(huì)對(duì)檢測(cè)器進(jìn)行攻擊，從而減少攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)。防火墻內(nèi)的系統(tǒng)會(huì)比外面的系統(tǒng)的脆弱性少一些，如果檢測(cè)器在防火墻內(nèi)就會(huì)少一些干擾，從而有可能減少誤報(bào)警。如果本應(yīng)該被防火墻封鎖的攻擊滲透進(jìn)來，檢測(cè)器在防火墻內(nèi)檢測(cè)到后就能發(fā)現(xiàn)防火墻的設(shè)置失誤。

防火墻的內(nèi)外兼有

如果有足夠的經(jīng)費(fèi)，可在防火墻內(nèi)外都部署檢測(cè)器，這樣無需猜測(cè)是否有攻擊滲透過防火墻。同時(shí)可以檢測(cè)來自內(nèi)部和外部的攻擊，可以檢測(cè)到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。

3.3IDS的性能指標(biāo)分析

漏警率： 入侵檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)“沒有正確地識(shí)別某些入侵行為而未報(bào)警”的概率稱為系統(tǒng)的漏警率。入侵檢測(cè)漏警率如果很高，那就會(huì)有很多入侵行為檢測(cè)不到，因此也起不到作用。

虛警率： 檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)“把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤”的概率稱為系統(tǒng)的虛警率。

丟包率： 丟包率是指在滿負(fù)荷的情況下，IDS所能處理的帶寬，即IDS能夠處理的網(wǎng)絡(luò)流量。目前的網(wǎng)絡(luò)IDS系統(tǒng)一般能夠處理50~60Mb/s的網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可能會(huì)處理更高的流量。

3.4IDS的功能指標(biāo)分析

系統(tǒng)結(jié)構(gòu)

IDS的體系結(jié)構(gòu)按照引擎和控制中心的分布情況，主要分為單機(jī)和分布式的兩種。

單機(jī)結(jié)構(gòu)是引擎和控制中心在一個(gè)系統(tǒng)之上，不能遠(yuǎn)距離操作，只能在現(xiàn)場(chǎng)進(jìn)行操作。分布式結(jié)構(gòu)就是引擎和控制中心在兩個(gè)系統(tǒng)之上，通過網(wǎng)絡(luò)通信，可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。

分布式的優(yōu)點(diǎn)是明顯的：不是必須在現(xiàn)場(chǎng)操作，可以用一個(gè)控制中心控制多個(gè)引擎，可以統(tǒng)一進(jìn)行策略編輯和下發(fā)，可以統(tǒng)一查看申報(bào)的事件，可以通過分開事件顯示和查看的功能提高處理速度等。單機(jī)的優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，不會(huì)因?yàn)橥ㄐ哦绊懢W(wǎng)絡(luò)帶寬和泄密。

根據(jù)一個(gè)控制中心帶動(dòng)引擎的多少，即控制比例，可以分為高、中、低3類結(jié)構(gòu)。高比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)沒有限制的引擎數(shù)量，事實(shí)上超過50個(gè)引擎即可以算是該比例體系結(jié)構(gòu)。中比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)10~50個(gè)探測(cè)引擎。低比例結(jié)構(gòu)指一個(gè)控制中心可以帶動(dòng)10個(gè)以下的探測(cè)引擎。影響比例高低的主要因素除了控制中心的程序結(jié)構(gòu)外，還有就是系統(tǒng)的處理速度，特別是數(shù)據(jù)庫(kù)處理速度。由于多個(gè)引擎就多一份處理時(shí)間和數(shù)據(jù)空間，引擎過多將引起控制中心因處理時(shí)間過慢和數(shù)據(jù)庫(kù)數(shù)據(jù)溢出而死機(jī)。

事件數(shù)量

考察IDS系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。目前的IDS系統(tǒng)都具有1000個(gè)左右的事件分析產(chǎn)生能力。但隨著事件的推移，并非事件越多越好，因?yàn)檫^于陳舊的非法事件，在現(xiàn)實(shí)的網(wǎng)絡(luò)和系統(tǒng)環(huán)境中已經(jīng)不存在了，其攻擊非法等自然就沒有任何意義，而且還會(huì)占用系統(tǒng)的處理時(shí)間和空間。因此，應(yīng)該說當(dāng)前能夠使用的非法事件越多越好。一般而言，這個(gè)數(shù)量在500~1000之間，應(yīng)該與流行系統(tǒng)的漏洞數(shù)目相關(guān)。

通信安全

作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通信是其自身安全的關(guān)鍵因素。這包含兩個(gè)部分：一是身份認(rèn)證，一是數(shù)據(jù)加密。身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何分支的控制行為將予以阻止，如圖2所示。

其中，實(shí)連線為合法連接，被系統(tǒng)接受并進(jìn)行控制；虛連線為非法連接，被系統(tǒng)拒絕。

一般而言，身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證的，經(jīng)過雙方兩個(gè)回合的相互認(rèn)證，完成了相互的惟一身份認(rèn)證。

數(shù)據(jù)的加密傳輸一般使用對(duì)稱加密算法，在完成身份認(rèn)證后，利用相對(duì)簡(jiǎn)單的加密算法進(jìn)行大量的數(shù)據(jù)交換。這里的關(guān)鍵在于密鑰的保密性。一般系統(tǒng)都是使用動(dòng)態(tài)密鑰，并且在一段時(shí)間內(nèi)自動(dòng)進(jìn)行密鑰更換。對(duì)目前的IDS系統(tǒng)，數(shù)據(jù)加密已經(jīng)是系統(tǒng)必備的功能。

4入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)分析

入侵檢測(cè)技術(shù)要體現(xiàn)在入侵的綜合化和復(fù)雜化、入侵主體對(duì)象的隱蔽化、入侵規(guī)模的擴(kuò)大化、入侵技術(shù)的分布化等方面，因此入侵技術(shù)可向以下幾個(gè)方面發(fā)展。

分布式入侵檢測(cè)：首先是針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；其次是使用分布式的方法來檢測(cè)分布式的攻擊，其中關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。

智能化入侵檢測(cè)：目前常用的智能化檢測(cè)方法有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等。除了上述兩種方法外，還有全面的安全防御方案、對(duì)分析技術(shù)的改進(jìn)和向高度可集成性發(fā)展。

由于防火墻技術(shù)已比較成熟，將入侵檢測(cè)技術(shù)和防火墻技術(shù)相結(jié)合，利用入侵檢測(cè)結(jié)果實(shí)時(shí)改變防火墻配置，使其斷開惡意連接或數(shù)據(jù)傳送，應(yīng)該是一個(gè)可行的網(wǎng)絡(luò)安全解決方案。

參考文獻(xiàn)

【1】Matt Bishop.王立彬,等譯. 計(jì)算機(jī)安全學(xué).電子工業(yè)出版社.

第4篇：防火墻技術(shù)的基本原理范文

關(guān)鍵詞：云計(jì)算；電力企業(yè)信息；安全技術(shù)

伴隨著我國(guó)電力行業(yè)的迅速發(fā)展，特別是南網(wǎng)、國(guó)網(wǎng)、華電等大型的電力企業(yè)，它們的發(fā)展速度更是非常迅速的，目前，電力行業(yè)在我國(guó)經(jīng)濟(jì)的發(fā)展當(dāng)中發(fā)揮著中流砥柱的作用，并且是確保整個(gè)社會(huì)穩(wěn)定劑經(jīng)濟(jì)健康迅速發(fā)展的根本性要素，可是，最近幾年隨著先進(jìn)科學(xué)技術(shù)的不斷研發(fā)，電力企業(yè)信息開始面臨著泄漏、不可掌控等一系列的安全性威脅，并且，自云計(jì)算出現(xiàn)，其依賴于自身優(yōu)質(zhì)的性能與全新的有效計(jì)算、存儲(chǔ)模式受到了各行各業(yè)的喜愛，云計(jì)算電力與以往的電力企業(yè)信息儲(chǔ)存系統(tǒng)及運(yùn)行性能相比具備非常明顯的優(yōu)勢(shì)。為此，云計(jì)算環(huán)境下電力企業(yè)信息安全是目前整個(gè)電力行業(yè)急需探究的重要問題。

1云計(jì)算的概念與基本原理

在分布式處理、并行式處理及先進(jìn)網(wǎng)絡(luò)計(jì)算科學(xué)技術(shù)不斷發(fā)展的基本前提下形成的一種新型計(jì)算模式即云計(jì)算，其面對(duì)的是超大規(guī)模的分布式氛圍，主要發(fā)揮著將供應(yīng)數(shù)據(jù)儲(chǔ)存及網(wǎng)絡(luò)服務(wù)的作用，并且具體的實(shí)現(xiàn)平臺(tái)、服務(wù)于應(yīng)用程序都是在整個(gè)云計(jì)算環(huán)境下得以實(shí)現(xiàn)的。云計(jì)算能夠把全部的計(jì)算資源融合在一起，通過具體軟件促使自動(dòng)化管理、無人為參與，并且能夠提供各種各樣的認(rèn)為服務(wù)。云計(jì)算的基本原理是把相關(guān)的計(jì)算逐一分布在多個(gè)分布式計(jì)算機(jī)當(dāng)中，在遠(yuǎn)程服務(wù)器的具體計(jì)算當(dāng)中可以促使電力企業(yè)信息處于正常的運(yùn)行狀態(tài)，有利于企業(yè)將資源更改為具體的需求得以運(yùn)用，并且能夠按照實(shí)際需求對(duì)計(jì)算機(jī)進(jìn)行訪問。云計(jì)算基本原理為一場(chǎng)歷史性的轉(zhuǎn)變創(chuàng)舉。

2目前我國(guó)電力企業(yè)信息安全結(jié)構(gòu)狀況

2.1電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)

隨著電力企業(yè)逐漸進(jìn)入網(wǎng)絡(luò)自動(dòng)化及智能化階段，為此，目前電力企業(yè)信息安全結(jié)構(gòu)一般是以公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)有效綜合的一種網(wǎng)絡(luò)結(jié)構(gòu)形式，其中，專用電力信息網(wǎng)絡(luò)指的是在因特網(wǎng)進(jìn)行連接的基礎(chǔ)上形成的一種電力企業(yè)信息網(wǎng)絡(luò)及調(diào)度信息網(wǎng)絡(luò)相互綜合的形式。

2.2電力信息安全系統(tǒng)結(jié)構(gòu)

以信息中的信息性能及信息業(yè)務(wù)為出發(fā)點(diǎn)將電力企業(yè)信息劃分為三種層面：自動(dòng)化、生產(chǎn)管理、辦公室自動(dòng)化及電力企業(yè)信息管理。其中，辦公室自動(dòng)化及電力企業(yè)信息管理是與電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)緊密聯(lián)系在一起的，形成的是一個(gè)安全工作區(qū)域，在這個(gè)安全區(qū)域當(dāng)中SPDnet支撐的一種自動(dòng)化，可具備監(jiān)控性能的實(shí)時(shí)監(jiān)控，譬如，配電自動(dòng)化、調(diào)度自動(dòng)化、變電站自動(dòng)化等，同時(shí)，安全生產(chǎn)管理區(qū)域同樣也是SPDnet來作為基本支撐的。

3云計(jì)算環(huán)境下電力企業(yè)信息安全技術(shù)的運(yùn)用

3.1數(shù)據(jù)傳輸-存儲(chǔ)安全技術(shù)

在整個(gè)電力企業(yè)信息當(dāng)中，涵蓋了大量的有關(guān)電力企業(yè)發(fā)展的資料及所有數(shù)據(jù)信息，譬如：電力企業(yè)的財(cái)務(wù)信息、用戶信息、經(jīng)營(yíng)管理信息等等，所以，對(duì)于整個(gè)電力企業(yè)而言，數(shù)據(jù)的傳輸-存儲(chǔ)安全技術(shù)在其中發(fā)揮著極為重要的作用。一般情況下，云計(jì)算環(huán)境下，嚴(yán)格加密技術(shù)可促使電力企業(yè)信息數(shù)據(jù)在具體的傳輸過程中將會(huì)處于非常安全的一種狀態(tài)下，主要是由于云計(jì)算能夠利用加密技術(shù)將那些潛存的非法訪客完全的拒之門外，預(yù)防數(shù)據(jù)傳輸過程中發(fā)生竊取的事件。從電力企業(yè)信息數(shù)據(jù)存儲(chǔ)技術(shù)的角度進(jìn)行分析，其涵蓋了數(shù)據(jù)恢復(fù)、數(shù)據(jù)分離、數(shù)據(jù)備份、數(shù)據(jù)存貯位置的選擇等幾方面內(nèi)容，而云計(jì)算環(huán)境下，電力企業(yè)便能夠利用私有云這一高度集中的存儲(chǔ)技術(shù)把相關(guān)的數(shù)據(jù)信息以基本性能、重要系數(shù)為依據(jù)來選擇不同的存貯方位，這樣可以促使不同種類數(shù)據(jù)間隔離的實(shí)現(xiàn)，并且可起到預(yù)防數(shù)據(jù)信息泄露的作用。云計(jì)算的運(yùn)用可促使電力企業(yè)信息能夠?qū)崿F(xiàn)實(shí)時(shí)備份，使得電力企業(yè)信息在有突況出現(xiàn)的時(shí)候能夠在第一時(shí)間達(dá)到相關(guān)數(shù)據(jù)的及時(shí)恢復(fù)。

3.2權(quán)限認(rèn)證及身份管理安全技術(shù)

云計(jì)算能夠成功的預(yù)防非工作人員使用非法用戶對(duì)電力企業(yè)信息系統(tǒng)進(jìn)行訪問，這主要是由于在私有云的內(nèi)部全部的企業(yè)信息都能夠?qū)崿F(xiàn)禁止訪問技術(shù)，電力企業(yè)信息管理工作者能夠通過私有云進(jìn)行身份管理、權(quán)限認(rèn)證技術(shù)的相關(guān)設(shè)置，按照企業(yè)工作人員的級(jí)別及具體的規(guī)定對(duì)于相關(guān)數(shù)據(jù)及應(yīng)用業(yè)務(wù)作出明確的規(guī)定及權(quán)限的劃分，這樣可成功的預(yù)防了非法訪問的事件發(fā)生，同時(shí)實(shí)現(xiàn)合法用戶根據(jù)個(gè)人權(quán)限來進(jìn)行企業(yè)信息的具體操作。

3.3網(wǎng)絡(luò)安全隔離技術(shù)

對(duì)于整個(gè)電力企業(yè)信息來講，云計(jì)算實(shí)則是互聯(lián)網(wǎng)當(dāng)中的一種內(nèi)部性系統(tǒng)，通常情況下，電力企業(yè)信息網(wǎng)絡(luò)能夠從網(wǎng)絡(luò)安全的被動(dòng)保護(hù)層面來促使入侵檢驗(yàn)技術(shù)、防火墻設(shè)置等安全防火技術(shù)得以實(shí)現(xiàn)，可是，云計(jì)算環(huán)境下，電力企業(yè)信息安全采用的是防火墻技術(shù)、物理隔離技術(shù)、協(xié)議隔離技術(shù)等先進(jìn)的科學(xué)技術(shù)，其中，防火墻技術(shù)是對(duì)于企業(yè)外部網(wǎng)絡(luò)及電力企業(yè)信息網(wǎng)絡(luò)而創(chuàng)建的一道安全性保護(hù)屏障，通過對(duì)個(gè)人信息的嚴(yán)格檢測(cè)、審核，將具有破壞性入侵的訪客實(shí)施的一種有效防護(hù)，能夠最大限度上將那些越過防火墻對(duì)電力企業(yè)信息安全網(wǎng)絡(luò)及正常運(yùn)行造成破壞的數(shù)據(jù)流進(jìn)行完全性的屏蔽；物理隔離技術(shù)指的是在云計(jì)算環(huán)境下對(duì)于電力企業(yè)內(nèi)外部網(wǎng)絡(luò)實(shí)施的一種分割，這樣能夠有效的將內(nèi)外部網(wǎng)絡(luò)系統(tǒng)的連接狀態(tài)完全阻斷；協(xié)議隔離技術(shù)指的是在云計(jì)算環(huán)境下利用網(wǎng)絡(luò)配置隔離器對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行的一種隔離，在協(xié)議隔離技術(shù)的支撐下，內(nèi)外部網(wǎng)絡(luò)是完全分離的一種狀態(tài)，而唯有云計(jì)算環(huán)境下的電力企業(yè)信息進(jìn)行相互交換的過程當(dāng)中，內(nèi)外部網(wǎng)絡(luò)才能夠通過協(xié)議由隔離的狀態(tài)轉(zhuǎn)變?yōu)檎＿B接狀態(tài)。

4結(jié)語

通過上文針對(duì)云計(jì)算環(huán)境下電力企業(yè)信息安全的淺析，我們從當(dāng)前電力企業(yè)信息安全的狀況進(jìn)行分析，云計(jì)算環(huán)境下用戶信息安全依然是一個(gè)較為嚴(yán)峻的問題，一部分問題并未得到根本性的解決，在今后的工作當(dāng)中，需要針對(duì)云計(jì)算環(huán)境下用戶信息安全供應(yīng)相應(yīng)的幫助，這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅(jiān)信，在未來的工作當(dāng)中，云計(jì)算環(huán)境下的電力企業(yè)信息將會(huì)更加安全，用戶信息的安全性能將會(huì)得到最大程度上的保障。

參考文獻(xiàn)

[1]曹勇,王口品,牒亮等.試析電力企業(yè)信息安全保障體系建設(shè)原則及思路[J].信息通信,2013(04).

[2]陳宇丹.電力企業(yè)信息信息安全關(guān)鍵技術(shù)研究[J].中國(guó)科技信息,2013(23).

第5篇：防火墻技術(shù)的基本原理范文

關(guān)鍵詞 網(wǎng)絡(luò)安全實(shí)驗(yàn) 課程教學(xué) 實(shí)驗(yàn)設(shè)計(jì)

中圖分類號(hào)：G424 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的快速發(fā)展，網(wǎng)絡(luò)安全成為亟需解決的問題，我院為了培養(yǎng)應(yīng)用型本科人才，在網(wǎng)絡(luò)通信專業(yè)培養(yǎng)計(jì)劃中設(shè)置了網(wǎng)絡(luò)安全實(shí)驗(yàn)這門選修課，因?yàn)殚_設(shè)時(shí)間較短，教學(xué)過程還處于探索階段。網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)這門課無論在掌握計(jì)算機(jī)學(xué)科理論，還是鍛煉學(xué)生在實(shí)際工作生活中解決應(yīng)用問題的能力方面，都起到了十分重要的作用。因?yàn)槭菍?shí)驗(yàn)課程，所以在教學(xué)過程中，比較重視實(shí)踐操作過程。網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的內(nèi)容比較集中在P2DR模型中說涉及的網(wǎng)絡(luò)安全防御、檢測(cè)、響應(yīng)三大領(lǐng)域，以滿足在現(xiàn)實(shí)工作中所遇到的不同網(wǎng)絡(luò)安全問題。因此，本文從實(shí)驗(yàn)項(xiàng)目的選擇，實(shí)驗(yàn)平臺(tái)的建立，以及實(shí)驗(yàn)教學(xué)方法等上對(duì)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)進(jìn)行探索。

1 實(shí)驗(yàn)平臺(tái)搭建

首先是虛擬機(jī)技術(shù)在實(shí)驗(yàn)中的使用，網(wǎng)絡(luò)安全實(shí)驗(yàn)中的實(shí)驗(yàn)具有一定的破壞性，所以我們采用了虛擬機(jī)來進(jìn)行實(shí)驗(yàn)，在網(wǎng)絡(luò)安全實(shí)驗(yàn)中，需要模擬網(wǎng)絡(luò)攻擊，使學(xué)生掌握怎樣防御的同時(shí)，也了解攻擊技術(shù)。所以在實(shí)驗(yàn)中我們首先安排了Vmware虛擬機(jī)的安裝與配置。在虛擬機(jī)中我們安裝windowsserver2003服務(wù)器版操作系統(tǒng)，并且配置開啟相關(guān)服務(wù)。

因?yàn)橛布l件有限，所以我們的大量實(shí)驗(yàn)還只能在虛擬機(jī)上進(jìn)行，但為了使學(xué)生身臨其境的感受網(wǎng)絡(luò)安全技術(shù)，我們?cè)诰C合實(shí)訓(xùn)中還是建立了基礎(chǔ)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。

2 實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

在我國(guó)，高校是培養(yǎng)網(wǎng)絡(luò)安全人才的核心力量。網(wǎng)絡(luò)攻擊與防護(hù)是網(wǎng)絡(luò)安全的核心內(nèi)容，也是國(guó)內(nèi)外各個(gè)高校信息安全相關(guān)專業(yè)的重點(diǎn)教學(xué)內(nèi)容。所以在實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)上我們體現(xiàn)了實(shí)用性為主的觀念，要在實(shí)驗(yàn)中更多的體現(xiàn)未來學(xué)生畢業(yè)后，會(huì)遇到的網(wǎng)絡(luò)安全問題。所以設(shè)置了以下實(shí)驗(yàn)：

（1）安裝Vmware虛擬機(jī)，并配置完整的網(wǎng)絡(luò)環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實(shí)驗(yàn)搭建平臺(tái)，習(xí)和掌握Vmware虛擬機(jī)的安裝與配置，以建立網(wǎng)絡(luò)攻防平臺(tái)。

（2）加密原理與技術(shù)，利用不同技術(shù)進(jìn)行加密。了解和掌握各種加密方法，以實(shí)現(xiàn)信息加密。學(xué)習(xí)和掌握密碼技術(shù)，利用密碼技術(shù)對(duì)計(jì)算機(jī)系統(tǒng)的各種數(shù)據(jù)信息進(jìn)行加密保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的數(shù)據(jù)信息保密。

（3）PPPoE的網(wǎng)絡(luò)通信原理及應(yīng)用。學(xué)習(xí)和掌握基于PAP/CHAP的PPPOE的身份認(rèn)證方法。學(xué)習(xí)和掌握利用身份認(rèn)證技術(shù)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的各種資源進(jìn)行身份認(rèn)證保護(hù)實(shí)驗(yàn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學(xué)習(xí)和掌握如何利用防火墻技術(shù)對(duì)網(wǎng)絡(luò)通信中的傳輸數(shù)據(jù)進(jìn)行鑒別和控制實(shí)驗(yàn)。

（5）學(xué)習(xí)掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學(xué)習(xí)和掌握網(wǎng)絡(luò)通信中的合法用戶數(shù)據(jù)信息的傳輸，以實(shí)現(xiàn)網(wǎng)絡(luò)安全中的保密性、鑒別性和完整。

（6）學(xué)習(xí)和掌握Superscan掃描工具對(duì)計(jì)算機(jī)進(jìn)行端口掃描的方法，操作應(yīng)用。學(xué)習(xí)和掌握各種網(wǎng)絡(luò)安全掃描技術(shù)和操作，并能有效運(yùn)用網(wǎng)絡(luò)掃描工具進(jìn)行網(wǎng)絡(luò)安全分析、有效避免網(wǎng)絡(luò)攻擊行為。

（7）學(xué)習(xí)和掌握如何利用Wireshark進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)與分析。學(xué)習(xí)各種網(wǎng)絡(luò)監(jiān)聽技術(shù)的操作實(shí)驗(yàn)，能利用網(wǎng)絡(luò)監(jiān)聽工具進(jìn)行分析、診斷、測(cè)試網(wǎng)絡(luò)安全性的能力。

（8）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的安裝、配置和操作。學(xué)習(xí)和掌握Snort入侵檢測(cè)系統(tǒng)的基本原理、操作與應(yīng)用實(shí)驗(yàn)。

3 綜合實(shí)訓(xùn)

為了讓學(xué)生能適應(yīng)真實(shí)的網(wǎng)絡(luò)環(huán)境，使之更貼近應(yīng)用型人才的培養(yǎng)方案，最后我們?cè)O(shè)計(jì)了綜合實(shí)訓(xùn)這個(gè)環(huán)節(jié)，讓學(xué)生在網(wǎng)絡(luò)通信系統(tǒng)中綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)，設(shè)計(jì)一個(gè)整體的網(wǎng)絡(luò)安全系統(tǒng)。分析公司網(wǎng)絡(luò)需求，綜合運(yùn)用網(wǎng)絡(luò)安全技術(shù)構(gòu)建公司網(wǎng)絡(luò)的安全系統(tǒng)。通過一個(gè)實(shí)際網(wǎng)絡(luò)通信系統(tǒng)中的綜合運(yùn)用，實(shí)現(xiàn)整體系統(tǒng)的有效設(shè)計(jì)和部署。

學(xué)生分組進(jìn)行實(shí)訓(xùn)，分為防御組與攻擊組，為了充分利用實(shí)驗(yàn)資源讓防御組的同學(xué)在局域網(wǎng)環(huán)境下搭建服務(wù)器靶機(jī)，并讓防御組的同學(xué)配置VPN、NAT防火墻的技術(shù)并搭建SNORT入侵檢測(cè)系統(tǒng)。攻擊組同學(xué)操作學(xué)生終端嘗試攻擊服務(wù)器靶機(jī)，使用ARP欺騙等技術(shù)。防御組的學(xué)生使用Wireshark網(wǎng)絡(luò)監(jiān)聽查看ARP欺騙源地址，并解決該威脅。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為重中之重，為了培養(yǎng)本科應(yīng)用型人才，實(shí)踐證明實(shí)驗(yàn)必須貼近真實(shí)存在的案例才能提高學(xué)生的實(shí)際網(wǎng)絡(luò)攻防水平，使學(xué)生掌握網(wǎng)絡(luò)安全的新技術(shù)，而使用綜合實(shí)訓(xùn)這種方式，更是提高了學(xué)生的參與積極性，使教學(xué)質(zhì)量進(jìn)一步提升。

參考文獻(xiàn)

[1] 常晉義.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程. 南京大學(xué)出版社，2010.12.

第6篇：防火墻技術(shù)的基本原理范文

關(guān)鍵詞：智能負(fù)載平衡BGP路由

1.引言

隨著學(xué)校信息化的進(jìn)一步加強(qiáng)，局域網(wǎng)與Internet的聯(lián)系也越來越密切。從現(xiàn)有的網(wǎng)絡(luò)狀況看，局域網(wǎng)現(xiàn)在已擁有了2條連接Internet的鏈路，分別為：100MBps鏈路連接到中國(guó)網(wǎng)通；100MBps鏈路連接到大慶油田通信。這兩條鏈路不但提供整個(gè)局域網(wǎng)用戶訪問Internet的通道，同時(shí)也確保局域網(wǎng)的Web站點(diǎn)和Email系統(tǒng)的Internet通路。由于我校非ISP運(yùn)營(yíng)商，無法提供BGP路由，故無法充分利用現(xiàn)有兩條鏈路的帶寬；同時(shí)對(duì)外服務(wù)的Web和Email無法在某條Internet鏈路發(fā)生故障的時(shí)候自動(dòng)切換到其余的鏈路上，必須手工設(shè)置切換。然而，由于無法及時(shí)發(fā)現(xiàn)故障，常常導(dǎo)致故障持續(xù)較長(zhǎng)時(shí)間才得到修復(fù)，作為我校對(duì)外宣傳服務(wù)的窗口，Web站點(diǎn)和Email服務(wù)的穩(wěn)定性將直接影響到我校的形象。針對(duì)以上問題，同時(shí)基于目前7層網(wǎng)絡(luò)交換技術(shù)的成熟應(yīng)用，提出了一個(gè)從系統(tǒng)架構(gòu)高度出發(fā)的解決方案，不但能夠解決以上問題，而且能夠進(jìn)一步加強(qiáng)我校網(wǎng)絡(luò)的穩(wěn)定性，并提供系統(tǒng)充分的擴(kuò)展手段。

2.負(fù)載平衡

負(fù)載均衡通過實(shí)時(shí)地分析數(shù)據(jù)包，將大量的并發(fā)訪問或數(shù)據(jù)流動(dòng)態(tài)地分發(fā)到多臺(tái)節(jié)點(diǎn)設(shè)備上分別處理，以提高響應(yīng)速度，也可以把單個(gè)重負(fù)載的運(yùn)算分發(fā)到多臺(tái)節(jié)點(diǎn)設(shè)備上并行處理。處理結(jié)束后，將結(jié)果匯總返回給用戶，從而提高系統(tǒng)的處理能力。

2.1基本原理

負(fù)載均衡的實(shí)現(xiàn)通常有軟件和硬件設(shè)備兩種。軟件負(fù)載均衡的實(shí)現(xiàn)方式是指在一臺(tái)或多臺(tái)服務(wù)器相應(yīng)的操作系統(tǒng)上安裝附加軟件來實(shí)現(xiàn)負(fù)載均衡，如DNSLoadBalance等。雖然軟成本低，操作簡(jiǎn)便，但是系統(tǒng)開銷大，可擴(kuò)展性差，又受制于操作系統(tǒng)，不適于大型網(wǎng)絡(luò)。

硬件負(fù)載均衡的實(shí)現(xiàn)是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備，由于它獨(dú)立于操作系統(tǒng)，使得整體性能得到大幅度提高，再加上多元化的策略，智能化的管理，可達(dá)到最佳的負(fù)載均衡需求。

負(fù)載均衡技術(shù)通常操作于網(wǎng)絡(luò)的第四層或第七層。第四層為傳輸層，它負(fù)責(zé)在數(shù)據(jù)源和目的系統(tǒng)之間協(xié)調(diào)通信。該協(xié)議層包括傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報(bào)協(xié)議（UDP）；第七層為應(yīng)用層，它控制應(yīng)用層服務(wù)的內(nèi)容，提供了一種對(duì)訪問流量的高層控制方式，適合對(duì)HTTP服務(wù)器群的應(yīng)用。

第四層的負(fù)載均衡是將一個(gè)外部IP地址映射為多個(gè)內(nèi)部服務(wù)器的IP地址，對(duì)每次TCP鏈接請(qǐng)求動(dòng)態(tài)使用其中一個(gè)內(nèi)部IP地址（內(nèi)部IP地址采用虛擬IP-VirtualIP）來達(dá)到負(fù)載均衡的目的。負(fù)載均衡交換機(jī)根據(jù)源端口和目的端口的IP地址、TCP或UDP端口和一定的策率，在服務(wù)器IP和虛擬IP間進(jìn)行映射，選取服務(wù)器群中最好的服務(wù)器來處理鏈接請(qǐng)求。

第七號(hào)層負(fù)載均衡技術(shù)則是通過對(duì)訪問流量的高層控制來實(shí)現(xiàn)負(fù)載均衡的，它檢查流經(jīng)負(fù)載均衡交換機(jī)的HTTP報(bào)頭，根據(jù)報(bào)頭內(nèi)的信息來執(zhí)行負(fù)載均衡的策略。這就是我們所說的七層交換技術(shù)或Web內(nèi)容交換技術(shù)。

負(fù)載均衡使用哈希（HASH）算法來將鏈接的用戶映射到基于IP地址、端口和其他信息服務(wù)器群主機(jī)上。在檢查收到的數(shù)據(jù)包時(shí)，所有主機(jī)均同步執(zhí)行這種映射以迅速?zèng)Q定哪個(gè)主機(jī)應(yīng)處理該數(shù)據(jù)包。除非服務(wù)器群主機(jī)數(shù)量發(fā)生變化，否則該映射會(huì)保持不變。

在負(fù)載均衡的設(shè)計(jì)方案上，首先要滿足當(dāng)前和將來的應(yīng)用需要，同時(shí)必須對(duì)現(xiàn)有投資進(jìn)行保護(hù)；第一性能要高；第二要有高可靠性；第三擴(kuò)展性要好，第四要有充分的靈活性；第五要易于管理。

3.局域網(wǎng)智能負(fù)載平衡系統(tǒng)的實(shí)現(xiàn)

3.1局域網(wǎng)負(fù)載均衡需求分析及目的

根據(jù)局域網(wǎng)建設(shè)的總體設(shè)計(jì)方案要求，我們總結(jié)出網(wǎng)絡(luò)流量管理的具體需求如下：

國(guó)際網(wǎng)絡(luò)連接的負(fù)載均衡，其中包括內(nèi)部用戶對(duì)外的訪問流量和外部用戶對(duì)內(nèi)部服務(wù)器的訪問，要求在正常情況下兩條鏈路上的流量是均衡的，在某鏈路故障時(shí)自動(dòng)將其流量切換到另外的鏈路，自動(dòng)的透明容錯(cuò)，當(dāng)鏈路恢復(fù)時(shí)自動(dòng)將其加入到負(fù)載均衡中來。

學(xué)校內(nèi)部用戶通過服務(wù)器的負(fù)載均衡機(jī)制來實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的的訪問，多臺(tái)服務(wù)器同時(shí)并行工作，某臺(tái)服務(wù)器發(fā)生故障時(shí)由負(fù)載均衡產(chǎn)品自動(dòng)檢查到，并且將其從服務(wù)器群組中排除，透明的容錯(cuò)，避免單臺(tái)服務(wù)器的性能瓶頸問題。

對(duì)兩臺(tái)NS500防火墻的負(fù)載均衡，包括External，Internal，DMZ的端口的負(fù)載均衡；要求在正常情況下兩臺(tái)防火墻上的流量是均衡的，在某臺(tái)防火墻故障時(shí)自動(dòng)將其流量切換到另外的防火墻，自動(dòng)的透明容錯(cuò)，當(dāng)故障的防火墻恢復(fù)時(shí)自動(dòng)將其加入到負(fù)載均衡中來。

均衡系統(tǒng)具備靈活的擴(kuò)展空間，根據(jù)實(shí)際應(yīng)用的需求靈活投資，提高整體服務(wù)能力。

3.2學(xué)校Internet鏈路負(fù)載均衡方案

針對(duì)以上提出的需求分析，我們充分分析目前局域網(wǎng)的實(shí)際狀況，結(jié)合4～7層網(wǎng)絡(luò)交換機(jī)在國(guó)際上網(wǎng)絡(luò)優(yōu)化案例的經(jīng)驗(yàn)，總結(jié)出以下流量管理和均衡解決方案。

方案采用兩臺(tái)7層IP應(yīng)用交換機(jī)LCCatalyst2400分別提供防火墻和服務(wù)器的負(fù)載均衡服務(wù)。7層IP應(yīng)用交換機(jī)之間的容錯(cuò)可以通過FailOverCable實(shí)現(xiàn)，同時(shí)7層IP應(yīng)用交換機(jī)可以通過FailOverCable檢查對(duì)方的運(yùn)行狀態(tài)，復(fù)制對(duì)方的所有的Session和狀態(tài)信息。LCCatalyst2400對(duì)ISP國(guó)際網(wǎng)絡(luò)接入流量的負(fù)載均衡實(shí)現(xiàn)方法如下：

在雙ISP接入時(shí)，每個(gè)ISP接入都單獨(dú)采用一臺(tái)接入路由器，緊跟路由器的后面連接兩臺(tái)LCCatalyst2400，兩臺(tái)LCCatalyst2400做冗余備份，兩臺(tái)LinkController之間有專用的心跳線檢測(cè)檢測(cè)備份的激活設(shè)備的狀態(tài)，其后連接兩臺(tái)防火墻，對(duì)兩臺(tái)防火墻采用冗余連接方式。防火墻外網(wǎng)的默認(rèn)路由指向LCCatalyst2400；接入路由器的默認(rèn)路由指向ISP端的路由器。這樣確保在一臺(tái)防火墻出現(xiàn)故障時(shí)可以通過另外一個(gè)訪問Internet。

3.3系統(tǒng)說明

從內(nèi)網(wǎng)至Internet流量的負(fù)載均衡

(1)LinkControl上為兩個(gè)默認(rèn)路由端建立路由組VIP=0．0．0．0；

(2)LinkControl依據(jù)預(yù)先設(shè)定的策略以及當(dāng)時(shí)線路狀況動(dòng)態(tài)智能選擇外出流量通過的路由；

(3)若有必要LinkControl可以作相應(yīng)的地址轉(zhuǎn)換工作，將用戶的地址依其將通過的ISP轉(zhuǎn)換成相應(yīng)網(wǎng)段的地址，以確保返回的數(shù)據(jù)包從同一鏈路返回。

從Internet進(jìn)入的訪問流量負(fù)載均衡

(1)相應(yīng)二條路由建立2個(gè)對(duì)應(yīng)的虛擬服務(wù)器，各自的地址分別屬于2個(gè)ISP的網(wǎng)段；

(2)LinkControl內(nèi)置了3DNS功能完全替代了傳統(tǒng)的DNS功能，同時(shí)又增加了對(duì)各個(gè)虛擬服務(wù)器的狀態(tài)和可達(dá)鏈路的狀態(tài)的監(jiān)控，確保提供給用戶真正能夠提供服務(wù)的服務(wù)器；

(3)用戶請(qǐng)求petrodaqing．com均由LinkControl進(jìn)行解析，LinkControl可依據(jù)用戶在27種策略中選定的方案分配用戶通過哪條鏈路訪問，或者完全由LinkControl實(shí)現(xiàn)動(dòng)態(tài)分配；

(4)LinkControl可同時(shí)監(jiān)控服務(wù)器的狀態(tài)和鏈路狀態(tài)，并且監(jiān)控鏈路狀態(tài)時(shí)可以看該鏈路上的多個(gè)HOP。

3.4方案特點(diǎn)

提供多臺(tái)防火墻的負(fù)載均衡能力；

提供在線維護(hù)防火墻的方法；

解決了單臺(tái)防火墻的處理能力瓶頸問題；

提供了系統(tǒng)的擴(kuò)展能力。

4.局域網(wǎng)服務(wù)器機(jī)群負(fù)載均衡

我校局域網(wǎng)通過服務(wù)方式訪問Internet的結(jié)點(diǎn)有1萬臺(tái)，由于受到單臺(tái)服務(wù)器的性能瓶頸和系統(tǒng)故障等問題，影響了訪問Internet的穩(wěn)定性。為此我們采用服務(wù)器的負(fù)載均衡機(jī)制解決這一問題。

我們?cè)谄邔咏粨Q機(jī)設(shè)置虛擬IP地址（VIP由IP地址和TCP/UDP應(yīng)用的端口組成，它是一個(gè)地址）來為用戶的一個(gè)或多個(gè)目標(biāo)服務(wù)器。因此，它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。七層交換機(jī)連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查，當(dāng)用戶通過VIP請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí)，BIG/IP根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請(qǐng)求。如果能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個(gè)服務(wù)器，這樣就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。七層交換機(jī)是一臺(tái)對(duì)流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對(duì)用戶，只是一臺(tái)虛擬服務(wù)器。用戶此時(shí)只須記住一臺(tái)服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被L7靈活地均衡到所有的服務(wù)器。這12種算法主要包括：

·輪詢（RoundRobin）：順序循環(huán)將請(qǐng)求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。

·比率（Ratio）：給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例，根椐這個(gè)比例，把用戶的請(qǐng)求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。

·優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個(gè)組定義優(yōu)先權(quán)，BIG/IP用戶的請(qǐng)求，分配給優(yōu)先級(jí)最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請(qǐng)求）；當(dāng)最高優(yōu)先級(jí)中所有服務(wù)器出現(xiàn)故障，BIG/IP才將請(qǐng)求送給次優(yōu)先級(jí)的服務(wù)器組。這種方式，實(shí)際為用戶提供一種熱備份的方式。

·最少的連接方式（LeastConnection）；

·最快模式（Fastest）；

·觀察模式（Observed）；

·預(yù)測(cè)模式（Predictive）；

·動(dòng)態(tài)性能分配（DynamicRatio-APM）；

·動(dòng)態(tài)服務(wù)器補(bǔ)充（DynamicServerAct．）；

·服務(wù)質(zhì)量（QoS）；

·服務(wù)類型（ToS）；

·規(guī)則模式。

4.1方案特點(diǎn)

實(shí)時(shí)監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài)，并智能屏蔽故障應(yīng)用系統(tǒng)；

實(shí)現(xiàn)多臺(tái)服務(wù)器的負(fù)載均衡，提升系統(tǒng)的可靠性；

可以監(jiān)控和同步服務(wù)器提供的內(nèi)容，確?？蛻臬@取到準(zhǔn)確可靠的內(nèi)容；

提供服務(wù)器在線維護(hù)和調(diào)試的手段；

5.結(jié)束語

本文介紹了我校局域網(wǎng)Internet出口智能負(fù)載平衡系統(tǒng)的實(shí)現(xiàn)方法，它成功的提高了整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性，保證了用戶的高速可靠訪問，避免了防火墻等關(guān)鍵網(wǎng)絡(luò)設(shè)備出現(xiàn)單點(diǎn)故障；同時(shí)它提出了利用負(fù)載均衡器來實(shí)現(xiàn)對(duì)防火墻作負(fù)載均衡的解決方案，這將有力的保護(hù)了用戶投資。在未來的企業(yè)信息化的建設(shè)中，負(fù)載均衡技術(shù)將會(huì)發(fā)揮更大的作用。

第7篇：防火墻技術(shù)的基本原理范文

[關(guān)鍵詞]UDP信息傳輸；系統(tǒng)分析與設(shè)計(jì)

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2015）05-0325-01

隨著社會(huì)發(fā)展及網(wǎng)絡(luò)普及，網(wǎng)絡(luò)聊天已成為人們?nèi)粘贤ǖ闹匾d體。市場(chǎng)上已經(jīng)出現(xiàn)很多網(wǎng)絡(luò)聊天工具，如騰訊QQ、MSN、阿里旺旺、Skype等等，給人們帶來了樂趣和便捷。本文作為整個(gè)Hollo即時(shí)通訊系統(tǒng)的一部分，重點(diǎn)關(guān)注在NAT網(wǎng)絡(luò)環(huán)境下的UDP信息傳輸，通過研究該課題，可以對(duì)UDP信息傳輸有更進(jìn)一步的了解，從中接觸到關(guān)于防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換、P2P應(yīng)用、NAT的幾種類型知識(shí)，同時(shí)實(shí)現(xiàn)“心跳”技術(shù)，即每隔幾分鐘即時(shí)通訊端往服務(wù)器發(fā)送UDP信息進(jìn)行端口保持。

一、系統(tǒng)分析與設(shè)計(jì)

系統(tǒng)采用C/S（客戶機(jī)/服務(wù)器）模式，本Hollo即時(shí)通信協(xié)議采用UDP協(xié)議。服務(wù)器具有中心服務(wù)器的功能?？蛻舳艘鹊顷懛?wù)器才能接受各種服務(wù)。通信時(shí)，由客戶端發(fā)送連接請(qǐng)求，服務(wù)器擔(dān)任中轉(zhuǎn)者角色，將網(wǎng)絡(luò)包從發(fā)送方轉(zhuǎn)交給接收方。其功能包括：記錄客戶機(jī)各種活動(dòng)、負(fù)責(zé)對(duì)客戶機(jī)消息的轉(zhuǎn)發(fā)。服務(wù)器通常采用高性能的PC、工作站或小型機(jī)，并采用大型數(shù)據(jù)庫(kù)系統(tǒng)。

二、基本原理及分類

NAT網(wǎng)絡(luò)環(huán)境介紹

NAT（Network Address Translators），網(wǎng)絡(luò)地址轉(zhuǎn)換，是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。主要包括基礎(chǔ)NAT、錐形NAT、對(duì)稱NAT等三類。常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，還可以實(shí)現(xiàn)負(fù)載均衡等功能。

網(wǎng)絡(luò)地址轉(zhuǎn)換是在IP地址日益缺乏的情況下產(chǎn)生的，它的主要目的就是為了能夠地址重用。NAT分為兩大類，基本的NAT和NAPT（Network Address/Port Translator）。

因此，基本的NAT實(shí)現(xiàn)的功能很簡(jiǎn)單，在子網(wǎng)內(nèi)使用一個(gè)保留的IP子網(wǎng)段，這些IP對(duì)外是不可見的。子網(wǎng)內(nèi)只有少數(shù)一些IP地址可以對(duì)應(yīng)到真正全球唯一的IP地址。如果這些節(jié)點(diǎn)需要訪問外部網(wǎng)絡(luò)，那么基本NAT就負(fù)責(zé)將這個(gè)節(jié)點(diǎn)的子網(wǎng)內(nèi)IP轉(zhuǎn)化為一個(gè)全球唯一的IP然后發(fā)送出去。（基本的NAT會(huì)改變IP包中的原IP地址，但是不會(huì)改變IP包中的端口）。

NAT技術(shù)的出現(xiàn)從某種意義上解決了IPv4的32位地址不足的問題，它同時(shí)也對(duì)外隱藏了其內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。NAT設(shè)備（NAT，一般也被稱為中間件）把內(nèi)部網(wǎng)絡(luò)跟外部網(wǎng)絡(luò)隔離開來，并且可以讓內(nèi)部的主機(jī)可以使用一個(gè)獨(dú)立的IP地址，并且可以為每個(gè)連接動(dòng)態(tài)地翻譯這些地址。

網(wǎng)絡(luò)地址轉(zhuǎn)換器不僅檢查，而且修改了跨境流動(dòng)的數(shù)據(jù)包的頭信息，讓后面的NAT的許多主機(jī)使用數(shù)量較少地址，即共享一個(gè)公共IP地址（通常是一個(gè)）。

――采用UDP網(wǎng)絡(luò)傳輸協(xié)議

UDP協(xié)議是英文User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。與TCP不同，UDP協(xié)議并不提供數(shù)據(jù)傳送的保證機(jī)制，具有“不可靠性”，但它是分發(fā)信息的一個(gè)理想?yún)f(xié)議。UDP廣泛用在多媒體應(yīng)用中，例如，Progressive Networks公司開發(fā)的RealAudio軟件，它是在因特網(wǎng)上把預(yù)先錄制的或者現(xiàn)場(chǎng)音樂實(shí)時(shí)傳送給客戶機(jī)的一種軟件，該軟件使用的RealAudio audio-on-demand protocol協(xié)議就是運(yùn)行在UDP之上的協(xié)議，大多數(shù)因特網(wǎng)電話軟件產(chǎn)品也都運(yùn)行在UDP之上。

――UDP下的信息傳輸設(shè)計(jì)

1、數(shù)據(jù)傳輸

UDP協(xié)議的主要作用是將網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)報(bào)的形式。一個(gè)典型的數(shù)據(jù)報(bào)就是一個(gè)二進(jìn)制數(shù)據(jù)的傳輸單位。

使用端口號(hào)為不同的應(yīng)用保留其各自的數(shù)據(jù)傳輸通道。

2、UDP報(bào)頭校驗(yàn)值

UDP協(xié)議使用報(bào)頭中的校驗(yàn)值來保證數(shù)據(jù)的安全。校驗(yàn)值首先在數(shù)據(jù)發(fā)送方通過特殊的算法計(jì)算得出，在傳遞到接收方之后，還需要再重新計(jì)算。

3、UDP消息確認(rèn)機(jī)制

對(duì)于聊天軟件有大量連接的程序來說，消息準(zhǔn)確可靠是很重要的，TCP連接雖然可靠，但是在網(wǎng)絡(luò)不穩(wěn)定的時(shí)候也是不可靠的，主要表現(xiàn)在TCP連接中斷之后雙方?jīng)]檢測(cè)到中斷之前的發(fā)包對(duì)方是收不到的，而KTCP的并發(fā)連接數(shù)量是有限的，不可能無限制增長(zhǎng)，而如果UDP增加了消息確認(rèn)機(jī)制后就沒有TCP的這些缺點(diǎn)。

4、消息確認(rèn)機(jī)制的實(shí)現(xiàn)

初步分析采用消息處理和消息確認(rèn)分為兩個(gè)程序的方式進(jìn)行，它們采用兩個(gè)命名管道進(jìn)行通訊，相當(dāng)于電話中兩條線，一條收一條發(fā).每條管道也都采用消息確認(rèn)的方式，當(dāng)收到一條消息的時(shí)候再回復(fù)一條消息，對(duì)方收到回復(fù)消息后才發(fā)下一條消息，最后再把消息確認(rèn)程序改成系統(tǒng)服務(wù)。

5、UDP穿透

一般情況下，TCP發(fā)送消息更安全，更可靠，而UDP傳送數(shù)據(jù)容易丟包，但速度快，能穿越防火墻。目前比較流行的QQ聊天工具底層傳輸協(xié)議用戶的就是UDP協(xié)議。

6、UDP發(fā)送心跳包

所謂的心跳包就是在客戶端和服務(wù)器端間定時(shí)通知對(duì)方自己狀態(tài)的一個(gè)自己定義的命令字，按照一定的時(shí)間間隔發(fā)送，類似于心跳，所以叫做心跳包。

發(fā)包方：可以是客戶也可以是服務(wù)端，看哪邊實(shí)現(xiàn)方便合理。一般是客戶端。服務(wù)器也可以定時(shí)輪詢發(fā)心跳下去。

三、總結(jié)與展望

第8篇：防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】 電子商務(wù) 網(wǎng)絡(luò)安全 要素

互聯(lián)網(wǎng)具有一網(wǎng)通天下的特點(diǎn)，不僅改變了人們的生活方式，還為商務(wù)活動(dòng)的發(fā)展開辟了新的方向，網(wǎng)絡(luò)經(jīng)濟(jì)已與人們的生活密不可分。電子商務(wù)與網(wǎng)絡(luò)相互依存，網(wǎng)絡(luò)安全問題同時(shí)也困擾著電子商務(wù)的發(fā)展。為了推進(jìn)電子商務(wù)快速發(fā)展，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的研究和應(yīng)用意義十分重大。

一、網(wǎng)絡(luò)安全對(duì)于電子商務(wù)的重要性

當(dāng)前，電子商務(wù)已逐步覆蓋全球，而網(wǎng)絡(luò)安全問題也得到了業(yè)內(nèi)廣泛關(guān)注。電子商務(wù)的交易方式有別于傳統(tǒng)的面對(duì)面交易，在電力商務(wù)中，交易雙方均通過網(wǎng)絡(luò)進(jìn)行信息交流，以網(wǎng)絡(luò)為媒介無疑加大了交易的風(fēng)險(xiǎn)性，因此安全的網(wǎng)絡(luò)環(huán)境能夠給交易雙方均帶來良好的體驗(yàn)。電子商務(wù)的網(wǎng)絡(luò)安全管理較為復(fù)雜，不僅需要高新的技術(shù)做支持，如電子簽名、電子識(shí)別等，還需要用戶的配合，通常來說，用戶的個(gè)人信息越全面，網(wǎng)絡(luò)交易平臺(tái)對(duì)用戶的保護(hù)便會(huì)越全方位?？梢?，在電子商務(wù)交易平臺(tái)中，網(wǎng)絡(luò)安全具有十分重要的作用。

二、電子商務(wù)中網(wǎng)絡(luò)安全的技術(shù)要素

1、防火墻技術(shù)。防火墻技術(shù)主要是通過數(shù)據(jù)包過濾以及服務(wù)的方式來實(shí)現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內(nèi)部信息[1]。防火墻好比一個(gè)可以設(shè)定濾網(wǎng)大小的過濾裝置，可以根據(jù)用戶的需求，對(duì)信息進(jìn)行過濾、管理。在服務(wù)器中，防火墻的技術(shù)便演化為一種連接各個(gè)網(wǎng)關(guān)的技術(shù)，對(duì)網(wǎng)關(guān)之間的信息聯(lián)通進(jìn)行過濾。雖然上述兩種過濾管理技術(shù)形式略有區(qū)別，但本質(zhì)相同，在電子商務(wù)中，可以將兩者結(jié)合使用，使各自的優(yōu)勢(shì)得到充分發(fā)揮。實(shí)現(xiàn)在防火墻內(nèi)部設(shè)計(jì)好一個(gè)過濾裝置，以便對(duì)信息進(jìn)行過濾與確定是否可以通過。

2、數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是對(duì)于指定接收方設(shè)定一個(gè)解密的密碼，由數(shù)學(xué)的方式，轉(zhuǎn)換成安全性高的加密技術(shù)，以確保信息的安全。這里面會(huì)涉及到一個(gè)認(rèn)證中心，也就是第三方來進(jìn)行服務(wù)的一個(gè)專門機(jī)構(gòu)，必須嚴(yán)格按照認(rèn)證操作規(guī)定進(jìn)行服務(wù)[2]。認(rèn)證系統(tǒng)的基本原理是利用可靠性高的第三方認(rèn)證系統(tǒng)CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher，RA與CA的兩者通過報(bào)文進(jìn)行交易，不過也要通過RSA進(jìn)行加密，必須有解密密鑰才可以對(duì)稱，并通過認(rèn)證，如果明文與密文的不對(duì)稱，就不會(huì)認(rèn)證通過，保證了信息的安全[3]。

3、數(shù)字認(rèn)證技術(shù)。為了使電子商務(wù)交易平臺(tái)更為安全、可靠，數(shù)字認(rèn)證技術(shù)便應(yīng)運(yùn)而生，其以第三方信任機(jī)制為主要載體，在進(jìn)行網(wǎng)絡(luò)交易時(shí)，用戶需通過這一機(jī)制進(jìn)行身份認(rèn)證，以避免不法分子盜用他人信息。PKI對(duì)用戶信息的保護(hù)通過密鑰來實(shí)現(xiàn)，密鑰保存了用戶的個(gè)人信息，在用戶下次登陸時(shí)，唯有信息對(duì)稱相符，才能享受到電子商務(wù)平臺(tái)提供的相應(yīng)服務(wù)，在密鑰的管理下，數(shù)據(jù)的信息得到充分保護(hù)，電子商務(wù)交易的安全性能得到了大幅提升。

三、電子商務(wù)中網(wǎng)絡(luò)安全提升的策略

1、提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)。隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)在人們工作、生活中已無處不在，我們?cè)谙硎芫W(wǎng)絡(luò)帶來的便利時(shí)，還應(yīng)了加強(qiáng)對(duì)網(wǎng)絡(luò)安全重要性的了解，樹立網(wǎng)絡(luò)安全防范意識(shí)，為加強(qiáng)網(wǎng)絡(luò)安全奠定思想基礎(chǔ)。應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全知識(shí)的宣傳和普及，使公民對(duì)網(wǎng)絡(luò)安全有一個(gè)全面的了解；同時(shí)，還應(yīng)使公民掌握一些維護(hù)網(wǎng)絡(luò)安全的技能，以便發(fā)生網(wǎng)絡(luò)安全問題時(shí)，能夠得到及時(shí)控制，避免問題擴(kuò)大化。

2、加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。網(wǎng)絡(luò)安全的提升離不開素質(zhì)過硬的專業(yè)人才，由于網(wǎng)絡(luò)技術(shù)具有一定的門檻，如果對(duì)專業(yè)了解不深，技術(shù)上不夠?qū)９?，專業(yè)問題便難以得到有效解決，應(yīng)著力提升電子商務(wù)網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)素養(yǎng)，為加強(qiáng)網(wǎng)絡(luò)安全奠定人力基礎(chǔ)。在培養(yǎng)專業(yè)人才時(shí)，應(yīng)勤于和國(guó)內(nèi)外的專業(yè)人員進(jìn)行技術(shù)交流，加強(qiáng)對(duì)網(wǎng)絡(luò)安全領(lǐng)域前沿技術(shù)的了解和掌握，避免在技術(shù)更新上落后于人。

3、開展網(wǎng)絡(luò)安全立法和執(zhí)法。網(wǎng)絡(luò)安全的有效提升需要從法律層面進(jìn)行約束，應(yīng)著力于完善網(wǎng)絡(luò)安全立法和執(zhí)法的相關(guān)工作，加快立法工作的步伐，構(gòu)建科學(xué)、合理的網(wǎng)絡(luò)安全法律體系。自從計(jì)算機(jī)產(chǎn)生以來，世界各國(guó)均設(shè)立了維護(hù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)。在新時(shí)期，我國(guó)應(yīng)集結(jié)安全部、公安部等職能部門的力量，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理，力求構(gòu)建一個(gè)安全、健康的網(wǎng)絡(luò)環(huán)境。

四、結(jié)論

綜上所述，在信息時(shí)代背景下，電子商務(wù)假以時(shí)日便會(huì)成為信息交流的重要平臺(tái)，成為全球競(jìng)爭(zhēng)發(fā)展的熱門領(lǐng)域。我國(guó)電子商務(wù)起步較晚，但發(fā)展后勁十足，在一體化趨勢(shì)的引導(dǎo)下，電子商務(wù)應(yīng)著力提升網(wǎng)絡(luò)的安全性，形成具有我國(guó)特色的電子商務(wù)，在全球經(jīng)濟(jì)中力爭(zhēng)贏得一席之地。

參 考 文 獻(xiàn)

[1]梁文陶.計(jì)算機(jī)技術(shù)應(yīng)用與電子商務(wù)發(fā)展研究[J].太原城市職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（08）：125-126.

第9篇：防火墻技術(shù)的基本原理范文

【關(guān)鍵詞】云計(jì)算 安全架構(gòu) 安全策略 保障體系

1 云計(jì)算的概念與基本原理

云計(jì)算是隨著互聯(lián)網(wǎng)及互聯(lián)網(wǎng)相關(guān)服務(wù)的增加、使用所發(fā)展的一種計(jì)算模式，目前關(guān)于云計(jì)算沒有一個(gè)正式的定義，但是目前所開發(fā)的云計(jì)算主要是基于計(jì)算機(jī)基礎(chǔ)設(shè)施的租用和網(wǎng)絡(luò)資源的共享模式；未來真正意義上的云計(jì)算主要指基于網(wǎng)絡(luò)的IT服務(wù)的交付和使用模式。指可以通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。這種服務(wù)可以是硬件或是軟件、也可是與計(jì)算機(jī)相關(guān)的其他服務(wù)。它意味著計(jì)算和信息處理能力也可作為一種商品通過互聯(lián)網(wǎng)進(jìn)行流通。

云計(jì)算的基本原理是：用戶所需的應(yīng)用程序或者硬件設(shè)施并不需要用戶自行購(gòu)買或者安裝于用戶的終端設(shè)備上，而是由專業(yè)的云計(jì)算公司提供，用戶的數(shù)據(jù)也不是存儲(chǔ)于用戶本地，而是存儲(chǔ)于硬件和軟件的云計(jì)算服務(wù)提供商；并由他們來維護(hù)和管理這些數(shù)據(jù)中心正常運(yùn)轉(zhuǎn)并保證足夠強(qiáng)的計(jì)算能力和足夠大的存儲(chǔ)空間來供用戶使用。用戶只需要支付相應(yīng)的租金或使用費(fèi)就可以在任何時(shí)間和任何地點(diǎn)，連接至互聯(lián)網(wǎng)的終端設(shè)備，實(shí)現(xiàn)隨需隨用。

2 目前云計(jì)算的主要安全問題

云計(jì)算從概念推出開始就引發(fā)了IT業(yè)的巨大變革，并被看成是IT業(yè)重新洗牌的機(jī)會(huì)，但是云計(jì)算的發(fā)展也有其局限性，最主要的就是安全性方面。其中2009年2月，谷歌公司位于歐洲的數(shù)據(jù)中心例行維護(hù)導(dǎo)致另一個(gè)位于歐洲的數(shù)據(jù)中心過載，進(jìn)而影響到其他的數(shù)據(jù)中心，導(dǎo)致該公司的郵箱業(yè)務(wù)Gmail經(jīng)歷了長(zhǎng)達(dá)4小時(shí)的服務(wù)中斷。同年3月中旬，微軟的Azure停止運(yùn)行約22個(gè)小時(shí)。而在之前的2008年，亞馬遜公司S3服務(wù)曾斷網(wǎng)6小時(shí)。這些問題折射出云計(jì)算的安全缺陷，這些缺陷主要表現(xiàn)在以下兩個(gè)方面：一、是云端本身的問題，二是提供服務(wù)時(shí)的安全隱患。前者主要是指服務(wù)器、網(wǎng)絡(luò)等硬件問題，后者則涉及到數(shù)據(jù)位置、隔離、審計(jì)、恢復(fù)、法律等等各方各面。

3 云計(jì)算安全架構(gòu)的建設(shè)

云計(jì)算主要以提供多種形式的網(wǎng)絡(luò)化服務(wù)為主，大致分為以下幾個(gè)方面：如軟件即服務(wù)（SaaS）、數(shù)據(jù)即服務(wù)（Daas）、平臺(tái)即服務(wù)（Paas）、基礎(chǔ)架構(gòu)即服務(wù)（Iaas）、通訊即服務(wù)（Cass）等。云計(jì)算的安全保障體系架構(gòu)主要分為，終端用戶安全保障、用戶數(shù)據(jù)安全保障、虛擬化技術(shù)安全保障三個(gè)部分。

3.1 終端用戶安全

用戶作為云計(jì)算的終端，首先應(yīng)當(dāng)保證自身計(jì)算機(jī)或移動(dòng)設(shè)備的的安全。由于大多數(shù)用戶并非計(jì)算機(jī)專業(yè)人員，因此應(yīng)該在用戶的終端上部署安全軟件，包括反惡意軟件、防病毒、個(gè)人防火墻以及IPS 類型的軟件。同時(shí)注重自身賬號(hào)密碼的安全保護(hù)，盡量不在陌生的計(jì)算機(jī)終端上使用云服務(wù)。并且基于瀏覽器普遍成為云服務(wù)應(yīng)用的主要應(yīng)用程序，針對(duì)瀏覽器的攻擊風(fēng)險(xiǎn)也逐漸加大，具體表現(xiàn)在各類插件和應(yīng)用的強(qiáng)制或隱蔽安裝上，從而影響云計(jì)算應(yīng)用的安全。因此云用戶應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊，從而在云環(huán)境中實(shí)現(xiàn)端到端的安全保障。

3.2 用戶數(shù)據(jù)與信息安全

數(shù)據(jù)和信息是云計(jì)算的一個(gè)主要組成部分，無論是何種云計(jì)算服務(wù)，用戶最終的計(jì)算和信息存儲(chǔ)依然在云端，也就是云計(jì)算服務(wù)提供商的服務(wù)器中，目前主流的數(shù)據(jù)和信息保障主要基于數(shù)據(jù)加密、用戶訪問控制等方面。

3.2.1 數(shù)據(jù)加密

數(shù)據(jù)加密是保障數(shù)據(jù)安全的一個(gè)重要方式，目前對(duì)大規(guī)模云計(jì)算來說主要采用同態(tài)加密技術(shù)，同態(tài)加密是現(xiàn)代較流行的一種加密技術(shù)，主要對(duì)經(jīng)過同態(tài)加密的數(shù)據(jù)進(jìn)行處理得到一個(gè)輸出，將這一輸出進(jìn)行解密，進(jìn)而驗(yàn)證其結(jié)果與用同一方法處理未加密的原始數(shù)據(jù)得到的輸出結(jié)果是否一樣。

3.2.2 用戶訪問控制

對(duì)于用戶來說，云端服務(wù)器是用戶數(shù)據(jù)和信息的提取地和最終存放地，但是相比銀行的身份驗(yàn)證程序，云計(jì)算的身份認(rèn)證和訪問控制技術(shù)仍不成熟，目前主要采用IBACC 協(xié)議（用于云服務(wù)和云計(jì)算的加密和簽名的基于身份的認(rèn)證協(xié)議）該協(xié)議將有助于保護(hù)存儲(chǔ)于云計(jì)算中信息的保密性、完整性及管理規(guī)范性。然而該技術(shù)的發(fā)展仍停留在數(shù)據(jù)加密和密鑰開發(fā)技術(shù)的基礎(chǔ)上，下一步將加強(qiáng)與個(gè)人信息庫(kù)與IP地址的分析和互聯(lián)查詢上方面。

3.3 虛擬化技術(shù)的安全保障

虛擬化和虛擬機(jī)技術(shù)是云計(jì)算概念的一個(gè)基礎(chǔ)組成部分，目前虛擬化技術(shù)在云計(jì)算當(dāng)中普遍采用，這也帶來了虛擬化技術(shù)的安全問題，主要體現(xiàn)在兩個(gè)方面：虛擬化軟件安全和虛擬化硬件安全。目前虛擬化技術(shù)安全主要由云計(jì)算服務(wù)提供商負(fù)責(zé)。

在虛擬化軟件方面，虛擬化軟件主要提供虛擬服務(wù)器的構(gòu)建功能，包括服務(wù)器的創(chuàng)建、運(yùn)行和銷毀操作，所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層。云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對(duì)虛擬化軟件的物理和邏輯訪問控制。

在虛擬化硬件方面，必須建立基于主機(jī)的專業(yè)的防火墻系統(tǒng)、殺毒軟件、日志系統(tǒng)和恢復(fù)系統(tǒng)，并雇用專業(yè)人員進(jìn)行日常的更新和維護(hù)，同時(shí)并且對(duì)于每臺(tái)虛擬化服務(wù)器設(shè)置獨(dú)立的硬盤分區(qū)，用以系統(tǒng)和日常數(shù)據(jù)的備份。

4 結(jié)束語

云計(jì)算技術(shù)從概念的提出到目前只有短短幾年，然而卻迅速成為未來計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展方向。云計(jì)算的安全保障是目前阻礙廣大用戶接受云計(jì)算的最大障礙，如何建立讓用戶接受的可信云，是云計(jì)算安全保障技術(shù)的最終目標(biāo)。隨著網(wǎng)絡(luò)互聯(lián)技術(shù)的發(fā)展，云計(jì)算的安全保障架構(gòu)仍會(huì)受到巨大的挑戰(zhàn)，需要我們繼續(xù)深入研究。

參考文獻(xiàn)

[1]張敏.AB-ACCS：一種云存儲(chǔ)密文訪問控制方法[J].計(jì)算機(jī)研究與發(fā)展，2010.

[2]張健.云計(jì)算概念和影響力解析[J].電信網(wǎng)技術(shù)，2009.

[3]張慧，刑培振.云計(jì)算環(huán)境下信息安全分析[J].計(jì)算機(jī)研究與發(fā)展.2011.

[4]Tim Mather.Subra Kumaraswamy.Shahed Latif.cloud securityand parivacy[M].O'Reilly Media.Inc.2009.

[5]石屹嶸，段勇.云計(jì)算在電信IT 領(lǐng)域的應(yīng)用探討[J].電信科學(xué)，2009.