防火墻技術的基本原理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻技術的基本原理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻技術的基本原理范文

【關鍵詞】HTTP協議；隧道技術；數據封裝

1.概述

隨著科學技術的不斷提升，互聯網技術快速發展，計算機已經從成為最基本的基礎設施，成為各個行業不可或缺的必需品，也推動我國社會不斷地向信息化、數字化、網絡化的方向發展。根據相關調查資料的顯示，我國在2016年初，網民高達6.88億，這些說明了互聯網在我國社會中得到了廣泛的應用和發展?；ヂ摼W技術的應用，使得人們大大提升了對于信息的傳播速度和效率，推動了人們在社會經濟、日常生產生活不斷地向前發展，而目前很多企業的決策依據、趨勢判斷，也都逐漸向互聯網的各個信息數據的獲取、收集、整理、分析的方向靠攏。然而互聯網也存在很多安全威脅，尤其是在信息傳輸過程中，很容易被截取、破譯、入侵等，從而擾亂了人們的日常生活，為企業生產和財產經濟帶來了很大的威脅。HTTP協議是互聯網通信中應用最為廣泛的應用層協議，為信息通信和共享帶來了極大的便利，基于HTTP協議的隧道技術，為數據通信提供了專門的傳輸通道，避免了網絡攻擊帶來的危害，對于人們的信息傳輸中的數據安全保護來說，具有非常重要的現實意義。

2.HTTP協議

HTTP協議是實現互聯網數據通信和資源共享的應用層協議，是針對網絡中各種媒體資源進行傳輸和通信的超文本協議，為互聯網的終端與服務器之間的通信格式、方法以及數據格式等進行了定義。

HTTP協議中規定了互聯網傳輸信息的類型主要包括請求與響應，而兩種類型的則是互聯網絡中心中的數據報文來實現的，即客戶端向服務器發送的請求報文以及服務器向客戶端發送的相應報文。如題1所示，為HTTP協議的請求報文和響應報文的格式圖。

圖1 HTTP協議的請求報文與響應報文格式

如圖1所示，當使用HTTP協議通過互聯網進行信息傳輸時，需要根據HTTP請求報文和HTTP響應報文的格式進行信息傳輸。一般的，通信報文主要分兩部分，協議頭和協議主體。協議頭部內容表明了協議的控制、內容、版本等信息，而協議主體部分則是包含了主要的傳輸信息內容。在HTTP協議的請求報文頭部，主要包含了HTTP請求的方法，URL地址版本等信息，其中HTTP請求方法是請求的主要功能，常見的HTTP方法有POST、GET，此外還HEAD、PUT、DELETE、TRACE等方法，其中GET方法是方法是針對網頁的固定內容，請求服務器中的對應數據，請求標示會顯示在URL中，而POST方法則是在網頁固定內容，添加網頁中獲取的新數據的方法，PUT方法則是請求服務器存儲網頁內的數據，存儲標識會顯示在URL中。HTTP請求報文的URL內容則是顯示了請求內容在服務器中存儲的相對路徑，從而讓服務器按照請求的URL地址去查找相應的數據信息。HTTP響應報文的頭部則是包含了HTTP協議版本、狀態碼等，響應報文主體則是包含了主要數據信息以及其他信息。在HTTP響應報文中，狀態碼是針對請求報文的響應分類，常見的狀態碼有200，404等，其中以1開頭的表示服務器已經接受請求，并開始后續處理，以2開頭的狀態碼表示請求成功，主體內包含響應數據，以3開頭表示請求內容與URL路徑不匹配，需要重定向到其他路徑來獲取內容，以4開頭表示客戶端錯誤導致請求失敗，以5開頭表示服務器端錯誤導致請求失敗。

3.HTTP協議下的隧道技術的基本原理

隧道技術是構建專門數據通道的一門技術，基于HTTP協議的隧道技術，則是未使用傳統的隧道協議的前提下，基于HTTP實現專門的數據傳輸通道的一門技術。在默認情況下，HTTP協議是占用了系統的80端口作為在互聯網中進行數據傳輸的通信端口，而且為了實現HTTP協議的高安全性，一般會在80端口構建防火墻來過濾通信數據包，對非HTTP協議的傳輸報文，進行攔截，進而防止了其他非法程序使用80端口進行通信。

HTTP協議下的隧道技術，就是實現通過HTTP協議構建專門的傳輸通道，來實現數據傳輸。假設互聯網內的兩臺計算機A和B分別處在不同的局域網中，彼此的防火墻只允許HTTP數據包通過80端口發送數據，其他協議、其他端口的數據全部被攔截。HTTP協議下的隧道的實現，首先要在兩臺機器上安裝HTTP隧道程序或者相關服務，能夠完成相應的通信數據封裝功能，而后兩臺機器之間的80端口以及在HTTP協議下進行通信。假如A機器中的某個程序想通過21端口，使用FTP協議向B機器21端口進行直接的文件傳輸請求，防火墻將會將請求攔截。在HTTP協議隧道技術下，計算機A上面的隧道程序會將該請求進行處理和封裝，將其轉變成一個正常的HTTP請求，通過80端口將其經互聯網絡發送到B機器，兩端局域網的防火墻對該HTTP報文進行分析時，會認為該報文為HTTP請求而允許通過，B機器接收到報文后，運行的隧道程序或服務會將其解析，轉變成FTP的文件請求，轉發到21端口，使用FTP協議進行相應處理。同樣的，B機器的相應報文仍需要經過相同的處理和封裝，將其發送到A機器，A機器接收到報文后，會按照相同的解析和處理，而后轉發到21端口，FTP協議再次進行解析卸載，從而得到正常的請求數據。

所以，HTTP協議下的隧道技術，不需要專門的隧道傳輸協議構建復雜的傳輸結構，只需要使用HTTP協議構建專門的數據傳輸通道，繞過防火墻實現兩個局域網內的計算機之間的數據傳輸。

4.總結

基于HTTP協議下的隧道技術的實現，就是基于HTTP協議的公開通道，使用隧道服務將非法報文進行處理和封裝，轉變成正常的HTTP傳輸報文來實現隧道的建立，進而實現數據傳輸。

參考文獻：

第2篇：防火墻技術的基本原理范文

摘要：隨著Internet在全球的飛速發展，防火墻成為目前最重要的信息安全產品，然而，以邊界防御為中心的傳統防火墻如今卻很難實現安全性能和網絡性能之間的平衡。分布式防火墻的提出很大程度的改善了這種困境，實現了網絡的安全。

關鍵詞：邊界式；分布式；防火墻

防火墻能根據受保護的網絡的安全策略控制允許、拒絕、監測出入網絡的信息流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護，以防止發生不可預測的、潛在破壞性的侵入。

一、分布式防火墻的概念

傳統邊界式防火墻因存在許多不完善的地方，因此分布式防火墻應運而生。

1.邊界式防火墻存在的問題

傳統防火墻設置在內部企業網和外部網絡之間，構成一個屏障，進行網絡訪問控制，所以通常稱為邊界防火墻。邊界防火墻可以限制被保護企業內部網絡與外部網絡之間進行的信息傳遞和訪問等操作，它處于內、外部網絡的邊界，所有進、出的數據流量都必須通過防火墻來傳輸的。這就有效地保證了外部網絡的所有通信請求都能在防火墻中進行過濾。然而，傳統的邊界防火墻要求網絡對外的所有流量都經過防火墻，而且它基于一個基本假設：防火墻把一端的用戶看成是可信任的，而另一端的用戶則被作為潛在的攻擊者對待。這樣邊界防火墻會在流量從外部的互聯網進入內部局域網時進行過濾和審查。但是這并不能確保局域網內部的安全訪問。不僅在結構性上受限制，其內部也不夠安全，而且效率不高、故障點多。最后，邊界防火墻本身也存在著單點故障危險，一旦出現問題或被攻克，整個內部網絡將會完全暴露在外部攻擊者面前。

2.分布式防火墻的提出

由于傳統防火墻的缺陷不斷顯露，于是有人認為防火墻是與現代網絡的發展不相容的，并認為加密的廣泛使用可以廢除防火墻，也有人提出了對傳統防火墻進行改進的方案，如多重邊界防火墻，內部防火墻等，但這些方案都沒有從根本上擺脫拓撲依賴，因而也就不能消除傳統防火墻的固有缺陷，反而增加了網絡安全管理的難度。為了克服以上缺陷而又保留防火墻的優點，美國AT&T實驗室研究員Steven MBellovin在他的論文“分布式防火墻”中首次提出了分布式防火墻DistributedFirewall，DFW)的概念，給出了分布式防火墻的原型框架，奠定了分布式防火墻研究的基礎。

二、分布式防火墻的工作原理認知分布式防火墻的工作原理是進行一切研究的前提

1.分布式防火墻的基本原理

分布式防火墻打破了邊界防火墻對網絡拓撲的依賴關系，將內部網的概念由物理意義轉變成邏輯意義。在分布式防火墻系統中，每個主機節點都有一個標識該主機身份的證書，通常是一個與該節點所持有的公鑰相對應的數字證書，內部網絡服務器的存取控制授權根據請求客戶的數字證書來確定，而不再是由節點所處網絡的位置來決定。一般情況下由于證書不易偽造，并獨立于網絡拓撲結構， 所以只要擁有合法的證書，不管它處于物理上的內網還是外網都被分布式防火墻系統認為是“內部”用戶，這樣就徹底打破了傳統防火墻對網絡拓撲的依賴。由于在分布式放火墻系統中安全策略的執行被推向了網絡的邊緣――終端節點，這樣不僅保留了傳統防火墻的優點，同時又解決了傳統防火墻的問題。

2.分布式防火墻的功能

其一，Internet訪問控制。依據工作站名稱、設備指紋等屬性，使用“Internet訪問規則”，控制該工作站或工作站組在指定的時間段內是否允許、禁止訪問模板或Internet服務器。其二，應用訪問控制。通過對網絡通訊從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協議的逐層包過濾與入侵監測，控制來自局域網、Internet的應用服務請求。其三，網絡狀態監控。實時動態報告當前網絡中所有的用戶登陸、Internet訪問、內網訪問、網絡入侵事件等信息。其四，黑客攻擊的防御。抵御包括surf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內的近百種來自網絡內部以及來自Internet的黑客攻擊手段。其五，日志管理。對工作站協議規則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗證規則日志、入侵檢測規則日志的記錄與查詢分析。

3.分布式防火墻的運作機制

分布式防火墻的運作公有四個步驟：第一，策略的制定和分發。在分布式防火墻系統中，策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發到主機。第二，日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。第三，策略實施。策略在管理中心統一制定，通過分發機制傳送到終端的主機防火墻，主機防火墻根據策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統運行的基礎。第四，認證。在分布式防火墻系統中通常采用基于主機的認證方式，即根據IP地址進行認證。為了避免IP地址欺騙，可以采用一些強認證方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墻的運用

分布式防火墻在現實生活中的運用很廣泛，主要有以下幾點：

1.殺毒與防黑

分布式防火墻技術的出現，有效地解決了漏洞和病毒檢測這一問題。它不僅提供了個人防火墻、入侵檢測、腳本過濾和應用程序訪問控制等功能，最重要的是提供了中央管理功能。利用分布式防火墻中央管理器，可以對網絡內每臺計算機上的防火墻進行配置、管理和更新，從宏觀上對整個網絡的防火墻進行控制和管理。這種管理可以在企業內部網中進行，也可以通過Internet實現遠程管理。另外，對于應用較簡單的局域網，網絡殺毒和分布式防火墻的組合是比較易于部署且維護方便的安全解決方案?？梢灶A見，分布式和網絡化是未來企業殺毒軟件和防火墻產品的特點，未來的病毒防護和防火墻技術將會更緊密地結合并覆蓋到網絡的每個節點，給網絡提供更“貼身”的保護。

2.保護內網

在傳統邊界式防火墻應用中，內部網絡非常容易受到有目的的攻擊，一旦已經接入了局域網的某臺計算機，并獲得這臺計算機的控制權，便可以利用這臺機器作為入侵其他系統的跳板。而最新的分布式防火墻將防火墻功能分布到各個子網、桌面系統、筆記本計算機以及服務器PC上，分布于整個網絡的分布式防火墻使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，內各用戶通過內部網、外聯網、虛擬專用網遠程訪問實現與互聯。分布式防火墻使用了IP安全協議，能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信，使各主機之間的通信得到很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。

3.構建網絡安全解決方案

分布式防火墻的網絡安全解決方案是在內部網絡的主服務器安裝上分布式防火墻產品的安全策略管理服務，設置組和用戶分別分配給相應的從服務器和PC機工作站，并配置相應安全策略。將客戶端防火墻安裝在內網和外網中的所有PC機工作站上，客戶端與安全策略管理服務器的連接采用SSL協議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時客戶端防火墻的機器采用多層過濾、入侵檢測、日志記錄等手段，給主機的安全運行提供強有力的保證。作為業務延伸部分的遠程主機系統物理上不屬于內網，但是，在系統中邏輯上仍是內網主機，與內網主機的通信依然通過VPN技術和防火墻隔離來控制接入。

4.托管服務

互聯網和電子商務的發展促使互聯網數據中心(IDC)的迅速崛起，數據中心的主要業務之一就是提供服務器托管服務。對服務器托管用戶而言，該服務器在邏輯上是企業網的一部分，不過在物理上并不在企業網內部。對于這種應用，分布式防火墻就十分得心應手。用戶只需在托管服務器上安裝上防火墻軟件，并根據該服務器的應用設置安全策略，利用中心管理軟件對該服務器進行遠程監控即可。

參考文獻：

[1]王達.網絡基礎[M].北京：電子工業出版社.2004

[2]高永強等編著.網絡安全技術與應用大典[M].北京:人民郵電出版社.2003

[3]楊毅堅、肖德寶.基于Agent的分布式防火墻[J].數據通訊.2001.2

第3篇：防火墻技術的基本原理范文

隨著計算機網絡技術和互聯網的飛速發展，網絡攻擊和入侵事件與日俱增，特別是政府部門、軍事機構、金融機構、企業的計算機網絡頻遭黑客襲擊。攻擊者對那些沒有安全保護的網絡進行攻擊和入侵，如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝后門監聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。受攻擊系統問題主要表現在操作系統、網絡服務、TCP/IP協議、應用程序（如數據庫、瀏覽器等）、網絡設備等幾個方面。

入侵檢測系統(Intrusion Detection System，IDS）作為對防火墻極其有益的補充，IDS能夠幫助網絡系統快速發現網絡攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。

從宏觀方面看，入侵檢測的基本原理很簡單。從收集到的一組數據中，檢測出符合某一特點的數據。入侵者在攻擊時會留下一些痕跡，用這些痕跡與系統正常運行時產生的數據混合在一起。入侵檢測的任務就是要從這樣的混合數據中找出具有特征的數據，判斷是否有入侵。

2 入侵檢測的過程分析

IDS進行入侵檢測有兩個過程：信息收集和信息分析。

2.1信息收集

信息收集的對象包括系統、網絡、數據及用戶活動的狀態和行為。需要在計算機網絡系統中的若干不同關鍵點（不同網段和不同主機）收集信息。除了盡可能擴大檢測范圍外，還有一個重要的因素就是僅從一個源點來的信息可能找不出疑點，但從幾個源點來的信息的不一致性卻是可疑行為或入侵的最好標識。當然，入侵檢測很大程度上依賴于收集信息的可靠性和正確性。

2.2 信息分析

信息分析通常有三種手段：模式匹配、統計分析和完整性分析。這三種分析手段對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息進行分析。

模式匹配：是將收集到的信息與已知的網絡入侵和系統已有的模式數據庫比較，從而發現違反安全策略的行為。

統計分析：是首先給系統對象（如用戶、文件、目錄和設備等）創造一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，如果觀察值在正常值范圍之外，就認為有入侵發生。

完整性分析：利用加密機制能識別很微小的變化。

2.3入侵檢測系統的結構

從系統結構上看，IDS包括事件提取、入侵分析、入侵響應和遠程管理等。如圖1所示。

3IDS的應用部署

3.1 IDS的部署方式分析

從IDS技術原理來看，IDS的部署主要有共享模式，交換模式，隱蔽模式，Tap模式和In-line模式。

共享模式和交換模式： 從HUB上的任意一個接口，或者在交換機上設置成監聽模式的監聽端口上收集信息。如果設備是交換機則屬于交換模式，惟一不同的是需要在交換機上做端口鏡像。

隱蔽模式： 這種模式是在其他模式的基礎上將探測器的探測口IP地址去除，使得IDS在對外界不可見的情況下正常工作。這種IDS大多數用在DMZ（周邊網絡）外，在防火墻的保護之外。它有自動響應的優點。例如采用雙網卡的技術，一個網卡綁定IP，用來與Console（控制臺）通信；另外一個網卡無IP，用來收集網絡數據包。

Tap模式： 以雙向監聽全雙工以太網連接中的網絡通信信息，這樣能捕捉到網絡中的所有流量，能更好地了解網絡攻擊的發生源和攻擊的性質，為阻止網絡攻擊提供豐富的信息，并能記錄完整的狀態信息，使得與防火墻聯動或發送Reset包更加容易。

In-line模式： 直接將IDS串接在通信線路中。網絡上所有數據都通過IDS。這樣做的目的主要是考慮到阻斷攻擊時的方便。

3.2應用部署分析

部署在防火墻之外

入侵檢測探測器通常被放置在防火墻外的DMZ中。DMZ是介于ISP和最外端防火墻界面之間的區域，這樣部署使探測器可以看到所有來自Internet的攻擊。然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統可能就檢測不到這種攻擊的發生。因為許多攻擊類型只能通過檢測是否與字符串特征一致才能被發現，而字符串的傳送只有在TCP三次握手完成后才能進行。雖然放在防火墻外的檢測器無法檢測到某些攻擊，但這種位置的好處是：可以看到自己在DMZ區的服務（如站點）和防火墻暴露在多少種攻擊之下。

部署在防火墻之內

部署在防火墻之內的目的是，如果攻擊者能夠發現檢測器，就可能會對檢測器進行攻擊，從而減少攻擊者的行動被審計的機會。防火墻內的系統會比外面的系統的脆弱性少一些，如果檢測器在防火墻內就會少一些干擾，從而有可能減少誤報警。如果本應該被防火墻封鎖的攻擊滲透進來，檢測器在防火墻內檢測到后就能發現防火墻的設置失誤。

防火墻的內外兼有

如果有足夠的經費，可在防火墻內外都部署檢測器，這樣無需猜測是否有攻擊滲透過防火墻。同時可以檢測來自內部和外部的攻擊，可以檢測到由于設置有問題而無法通過防火墻的內部系統，這可以幫助系統管理員。

3.3IDS的性能指標分析

漏警率： 入侵檢測系統在檢測時出現“沒有正確地識別某些入侵行為而未報警”的概率稱為系統的漏警率。入侵檢測漏警率如果很高，那就會有很多入侵行為檢測不到，因此也起不到作用。

虛警率： 檢測系統在檢測時出現“把系統的正常行為判為入侵行為的錯誤”的概率稱為系統的虛警率。

丟包率： 丟包率是指在滿負荷的情況下，IDS所能處理的帶寬，即IDS能夠處理的網絡流量。目前的網絡IDS系統一般能夠處理50~60Mb/s的網絡流量，經過專門定制的系統可能會處理更高的流量。

3.4IDS的功能指標分析

系統結構

IDS的體系結構按照引擎和控制中心的分布情況，主要分為單機和分布式的兩種。

單機結構是引擎和控制中心在一個系統之上，不能遠距離操作，只能在現場進行操作。分布式結構就是引擎和控制中心在兩個系統之上，通過網絡通信，可以遠距離查看和操作。目前的大多數IDS系統都是分布式的。

分布式的優點是明顯的：不是必須在現場操作，可以用一個控制中心控制多個引擎，可以統一進行策略編輯和下發，可以統一查看申報的事件，可以通過分開事件顯示和查看的功能提高處理速度等。單機的優點是結構簡單，不會因為通信而影響網絡帶寬和泄密。

根據一個控制中心帶動引擎的多少，即控制比例，可以分為高、中、低3類結構。高比例結構指一個控制中心可以帶動沒有限制的引擎數量，事實上超過50個引擎即可以算是該比例體系結構。中比例結構指一個控制中心可以帶動10~50個探測引擎。低比例結構指一個控制中心可以帶動10個以下的探測引擎。影響比例高低的主要因素除了控制中心的程序結構外，還有就是系統的處理速度，特別是數據庫處理速度。由于多個引擎就多一份處理時間和數據空間，引擎過多將引起控制中心因處理時間過慢和數據庫數據溢出而死機。

事件數量

考察IDS系統的一個關鍵性指標是報警事件的多少。一般而言，事件越多，表明IDS系統能夠處理的能力越強。目前的IDS系統都具有1000個左右的事件分析產生能力。但隨著事件的推移，并非事件越多越好，因為過于陳舊的非法事件，在現實的網絡和系統環境中已經不存在了，其攻擊非法等自然就沒有任何意義，而且還會占用系統的處理時間和空間。因此，應該說當前能夠使用的非法事件越多越好。一般而言，這個數量在500~1000之間，應該與流行系統的漏洞數目相關。

通信安全

作為分布式結構的IDS系統，通信是其自身安全的關鍵因素。這包含兩個部分：一是身份認證，一是數據加密。身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何分支的控制行為將予以阻止，如圖2所示。

其中，實連線為合法連接，被系統接受并進行控制；虛連線為非法連接，被系統拒絕。

一般而言，身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證的，經過雙方兩個回合的相互認證，完成了相互的惟一身份認證。

數據的加密傳輸一般使用對稱加密算法，在完成身份認證后，利用相對簡單的加密算法進行大量的數據交換。這里的關鍵在于密鑰的保密性。一般系統都是使用動態密鑰，并且在一段時間內自動進行密鑰更換。對目前的IDS系統，數據加密已經是系統必備的功能。

4入侵檢測系統的發展趨勢分析

入侵檢測技術要體現在入侵的綜合化和復雜化、入侵主體對象的隱蔽化、入侵規模的擴大化、入侵技術的分布化等方面，因此入侵技術可向以下幾個方面發展。

分布式入侵檢測：首先是針對分布式網絡攻擊的檢測方法；其次是使用分布式的方法來檢測分布式的攻擊，其中關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。

智能化入侵檢測：目前常用的智能化檢測方法有神經網絡、遺傳算法、模糊技術、免疫原理等。除了上述兩種方法外，還有全面的安全防御方案、對分析技術的改進和向高度可集成性發展。

由于防火墻技術已比較成熟，將入侵檢測技術和防火墻技術相結合，利用入侵檢測結果實時改變防火墻配置，使其斷開惡意連接或數據傳送，應該是一個可行的網絡安全解決方案。

參考文獻

【1】Matt Bishop.王立彬,等譯. 計算機安全學.電子工業出版社.

第4篇：防火墻技術的基本原理范文

關鍵詞：云計算；電力企業信息；安全技術

伴隨著我國電力行業的迅速發展，特別是南網、國網、華電等大型的電力企業，它們的發展速度更是非常迅速的，目前，電力行業在我國經濟的發展當中發揮著中流砥柱的作用，并且是確保整個社會穩定劑經濟健康迅速發展的根本性要素，可是，最近幾年隨著先進科學技術的不斷研發，電力企業信息開始面臨著泄漏、不可掌控等一系列的安全性威脅，并且，自云計算出現，其依賴于自身優質的性能與全新的有效計算、存儲模式受到了各行各業的喜愛，云計算電力與以往的電力企業信息儲存系統及運行性能相比具備非常明顯的優勢。為此，云計算環境下電力企業信息安全是目前整個電力行業急需探究的重要問題。

1云計算的概念與基本原理

在分布式處理、并行式處理及先進網絡計算科學技術不斷發展的基本前提下形成的一種新型計算模式即云計算，其面對的是超大規模的分布式氛圍，主要發揮著將供應數據儲存及網絡服務的作用，并且具體的實現平臺、服務于應用程序都是在整個云計算環境下得以實現的。云計算能夠把全部的計算資源融合在一起，通過具體軟件促使自動化管理、無人為參與，并且能夠提供各種各樣的認為服務。云計算的基本原理是把相關的計算逐一分布在多個分布式計算機當中，在遠程服務器的具體計算當中可以促使電力企業信息處于正常的運行狀態，有利于企業將資源更改為具體的需求得以運用，并且能夠按照實際需求對計算機進行訪問。云計算基本原理為一場歷史性的轉變創舉。

2目前我國電力企業信息安全結構狀況

2.1電力企業信息網絡結構

隨著電力企業逐漸進入網絡自動化及智能化階段，為此，目前電力企業信息安全結構一般是以公共網絡與專用網絡有效綜合的一種網絡結構形式，其中，專用電力信息網絡指的是在因特網進行連接的基礎上形成的一種電力企業信息網絡及調度信息網絡相互綜合的形式。

2.2電力信息安全系統結構

以信息中的信息性能及信息業務為出發點將電力企業信息劃分為三種層面：自動化、生產管理、辦公室自動化及電力企業信息管理。其中，辦公室自動化及電力企業信息管理是與電力企業信息網絡結構緊密聯系在一起的，形成的是一個安全工作區域，在這個安全區域當中SPDnet支撐的一種自動化，可具備監控性能的實時監控，譬如，配電自動化、調度自動化、變電站自動化等，同時，安全生產管理區域同樣也是SPDnet來作為基本支撐的。

3云計算環境下電力企業信息安全技術的運用

3.1數據傳輸-存儲安全技術

在整個電力企業信息當中，涵蓋了大量的有關電力企業發展的資料及所有數據信息，譬如：電力企業的財務信息、用戶信息、經營管理信息等等，所以，對于整個電力企業而言，數據的傳輸-存儲安全技術在其中發揮著極為重要的作用。一般情況下，云計算環境下，嚴格加密技術可促使電力企業信息數據在具體的傳輸過程中將會處于非常安全的一種狀態下，主要是由于云計算能夠利用加密技術將那些潛存的非法訪客完全的拒之門外，預防數據傳輸過程中發生竊取的事件。從電力企業信息數據存儲技術的角度進行分析，其涵蓋了數據恢復、數據分離、數據備份、數據存貯位置的選擇等幾方面內容，而云計算環境下，電力企業便能夠利用私有云這一高度集中的存儲技術把相關的數據信息以基本性能、重要系數為依據來選擇不同的存貯方位，這樣可以促使不同種類數據間隔離的實現，并且可起到預防數據信息泄露的作用。云計算的運用可促使電力企業信息能夠實現實時備份，使得電力企業信息在有突況出現的時候能夠在第一時間達到相關數據的及時恢復。

3.2權限認證及身份管理安全技術

云計算能夠成功的預防非工作人員使用非法用戶對電力企業信息系統進行訪問，這主要是由于在私有云的內部全部的企業信息都能夠實現禁止訪問技術，電力企業信息管理工作者能夠通過私有云進行身份管理、權限認證技術的相關設置，按照企業工作人員的級別及具體的規定對于相關數據及應用業務作出明確的規定及權限的劃分，這樣可成功的預防了非法訪問的事件發生，同時實現合法用戶根據個人權限來進行企業信息的具體操作。

3.3網絡安全隔離技術

對于整個電力企業信息來講，云計算實則是互聯網當中的一種內部性系統，通常情況下，電力企業信息網絡能夠從網絡安全的被動保護層面來促使入侵檢驗技術、防火墻設置等安全防火技術得以實現，可是，云計算環境下，電力企業信息安全采用的是防火墻技術、物理隔離技術、協議隔離技術等先進的科學技術，其中，防火墻技術是對于企業外部網絡及電力企業信息網絡而創建的一道安全性保護屏障，通過對個人信息的嚴格檢測、審核，將具有破壞性入侵的訪客實施的一種有效防護，能夠最大限度上將那些越過防火墻對電力企業信息安全網絡及正常運行造成破壞的數據流進行完全性的屏蔽；物理隔離技術指的是在云計算環境下對于電力企業內外部網絡實施的一種分割，這樣能夠有效的將內外部網絡系統的連接狀態完全阻斷；協議隔離技術指的是在云計算環境下利用網絡配置隔離器對內外部網絡進行的一種隔離，在協議隔離技術的支撐下，內外部網絡是完全分離的一種狀態，而唯有云計算環境下的電力企業信息進行相互交換的過程當中，內外部網絡才能夠通過協議由隔離的狀態轉變為正常連接狀態。

4結語

通過上文針對云計算環境下電力企業信息安全的淺析，我們從當前電力企業信息安全的狀況進行分析，云計算環境下用戶信息安全依然是一個較為嚴峻的問題，一部分問題并未得到根本性的解決，在今后的工作當中，需要針對云計算環境下用戶信息安全供應相應的幫助，這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅信，在未來的工作當中，云計算環境下的電力企業信息將會更加安全，用戶信息的安全性能將會得到最大程度上的保障。

參考文獻

[1]曹勇,王口品,牒亮等.試析電力企業信息安全保障體系建設原則及思路[J].信息通信,2013(04).

[2]陳宇丹.電力企業信息信息安全關鍵技術研究[J].中國科技信息,2013(23).

第5篇：防火墻技術的基本原理范文

關鍵詞 網絡安全實驗 課程教學 實驗設計

中圖分類號：G424 文獻標識碼：A

0 引言

隨著網絡信息產業的快速發展，網絡安全成為亟需解決的問題，我院為了培養應用型本科人才，在網絡通信專業培養計劃中設置了網絡安全實驗這門選修課，因為開設時間較短，教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論，還是鍛煉學生在實際工作生活中解決應用問題的能力方面，都起到了十分重要的作用。因為是實驗課程，所以在教學過程中，比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域，以滿足在現實工作中所遇到的不同網絡安全問題。因此，本文從實驗項目的選擇，實驗平臺的建立，以及實驗教學方法等上對網絡安全實驗教學進行探索。

1 實驗平臺搭建

首先是虛擬機技術在實驗中的使用，網絡安全實驗中的實驗具有一定的破壞性，所以我們采用了虛擬機來進行實驗，在網絡安全實驗中，需要模擬網絡攻擊，使學生掌握怎樣防御的同時，也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統，并且配置開啟相關服務。

因為硬件條件有限，所以我們的大量實驗還只能在虛擬機上進行，但為了使學生身臨其境的感受網絡安全技術，我們在綜合實訓中還是建立了基礎的網絡攻防實驗環境。

2 實驗項目設計

在我國，高校是培養網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容，也是國內外各個高校信息安全相關專業的重點教學內容。所以在實驗項目設計上我們體現了實用性為主的觀念，要在實驗中更多的體現未來學生畢業后，會遇到的網絡安全問題。所以設置了以下實驗：

（1）安裝Vmware虛擬機，并配置完整的網絡環境。配置完善win2003server虛擬環境，為以后的實驗搭建平臺，習和掌握Vmware虛擬機的安裝與配置，以建立網絡攻防平臺。

（2）加密原理與技術，利用不同技術進行加密。了解和掌握各種加密方法，以實現信息加密。學習和掌握密碼技術，利用密碼技術對計算機系統的各種數據信息進行加密保護實驗，實現網絡安全中的數據信息保密。

（3）PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統的各種資源進行身份認證保護實驗，實現網絡安全中的信息鑒別。

（4）掌握Windows系統中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數據進行鑒別和控制實驗。

（5）學習掌握Windows系統中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數據信息的傳輸，以實現網絡安全中的保密性、鑒別性和完整。

（6）學習和掌握Superscan掃描工具對計算機進行端口掃描的方法，操作應用。學習和掌握各種網絡安全掃描技術和操作，并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。

（7）學習和掌握如何利用Wireshark進行網絡安全監測與分析。學習各種網絡監聽技術的操作實驗，能利用網絡監聽工具進行分析、診斷、測試網絡安全性的能力。

（8）學習和掌握Snort網絡入侵監測系統的安裝、配置和操作。學習和掌握Snort入侵檢測系統的基本原理、操作與應用實驗。

3 綜合實訓

為了讓學生能適應真實的網絡環境，使之更貼近應用型人才的培養方案，最后我們設計了綜合實訓這個環節，讓學生在網絡通信系統中綜合運用各種網絡安全技術，設計一個整體的網絡安全系統。分析公司網絡需求，綜合運用網絡安全技術構建公司網絡的安全系統。通過一個實際網絡通信系統中的綜合運用，實現整體系統的有效設計和部署。

學生分組進行實訓，分為防御組與攻擊組，為了充分利用實驗資源讓防御組的同學在局域網環境下搭建服務器靶機，并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統。攻擊組同學操作學生終端嘗試攻擊服務器靶機，使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監聽查看ARP欺騙源地址，并解決該威脅。

4 結論

隨著網絡技術的發展，網絡安全成為重中之重，為了培養本科應用型人才，實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平，使學生掌握網絡安全的新技術，而使用綜合實訓這種方式，更是提高了學生的參與積極性，使教學質量進一步提升。

參考文獻

[1] 常晉義.網絡安全實驗教程. 南京大學出版社，2010.12.

第6篇：防火墻技術的基本原理范文

關鍵詞：智能負載平衡BGP路由

1.引言

隨著學校信息化的進一步加強，局域網與Internet的聯系也越來越密切。從現有的網絡狀況看，局域網現在已擁有了2條連接Internet的鏈路，分別為：100MBps鏈路連接到中國網通；100MBps鏈路連接到大慶油田通信。這兩條鏈路不但提供整個局域網用戶訪問Internet的通道，同時也確保局域網的Web站點和Email系統的Internet通路。由于我校非ISP運營商，無法提供BGP路由，故無法充分利用現有兩條鏈路的帶寬；同時對外服務的Web和Email無法在某條Internet鏈路發生故障的時候自動切換到其余的鏈路上，必須手工設置切換。然而，由于無法及時發現故障，常常導致故障持續較長時間才得到修復，作為我校對外宣傳服務的窗口，Web站點和Email服務的穩定性將直接影響到我校的形象。針對以上問題，同時基于目前7層網絡交換技術的成熟應用，提出了一個從系統架構高度出發的解決方案，不但能夠解決以上問題，而且能夠進一步加強我校網絡的穩定性，并提供系統充分的擴展手段。

2.負載平衡

負載均衡通過實時地分析數據包，將大量的并發訪問或數據流動態地分發到多臺節點設備上分別處理，以提高響應速度，也可以把單個重負載的運算分發到多臺節點設備上并行處理。處理結束后，將結果匯總返回給用戶，從而提高系統的處理能力。

2.1基本原理

負載均衡的實現通常有軟件和硬件設備兩種。軟件負載均衡的實現方式是指在一臺或多臺服務器相應的操作系統上安裝附加軟件來實現負載均衡，如DNSLoadBalance等。雖然軟成本低，操作簡便，但是系統開銷大，可擴展性差，又受制于操作系統，不適于大型網絡。

硬件負載均衡的實現是直接在服務器和外部網絡間安裝負載均衡設備，由于它獨立于操作系統，使得整體性能得到大幅度提高，再加上多元化的策略，智能化的管理，可達到最佳的負載均衡需求。

負載均衡技術通常操作于網絡的第四層或第七層。第四層為傳輸層，它負責在數據源和目的系統之間協調通信。該協議層包括傳輸控制協議（TCP）和用戶數據報協議（UDP）；第七層為應用層，它控制應用層服務的內容，提供了一種對訪問流量的高層控制方式，適合對HTTP服務器群的應用。

第四層的負載均衡是將一個外部IP地址映射為多個內部服務器的IP地址，對每次TCP鏈接請求動態使用其中一個內部IP地址（內部IP地址采用虛擬IP-VirtualIP）來達到負載均衡的目的。負載均衡交換機根據源端口和目的端口的IP地址、TCP或UDP端口和一定的策率，在服務器IP和虛擬IP間進行映射，選取服務器群中最好的服務器來處理鏈接請求。

第七號層負載均衡技術則是通過對訪問流量的高層控制來實現負載均衡的，它檢查流經負載均衡交換機的HTTP報頭，根據報頭內的信息來執行負載均衡的策略。這就是我們所說的七層交換技術或Web內容交換技術。

負載均衡使用哈希（HASH）算法來將鏈接的用戶映射到基于IP地址、端口和其他信息服務器群主機上。在檢查收到的數據包時，所有主機均同步執行這種映射以迅速決定哪個主機應處理該數據包。除非服務器群主機數量發生變化，否則該映射會保持不變。

在負載均衡的設計方案上，首先要滿足當前和將來的應用需要，同時必須對現有投資進行保護；第一性能要高；第二要有高可靠性；第三擴展性要好，第四要有充分的靈活性；第五要易于管理。

3.局域網智能負載平衡系統的實現

3.1局域網負載均衡需求分析及目的

根據局域網建設的總體設計方案要求，我們總結出網絡流量管理的具體需求如下：

國際網絡連接的負載均衡，其中包括內部用戶對外的訪問流量和外部用戶對內部服務器的訪問，要求在正常情況下兩條鏈路上的流量是均衡的，在某鏈路故障時自動將其流量切換到另外的鏈路，自動的透明容錯，當鏈路恢復時自動將其加入到負載均衡中來。

學校內部用戶通過服務器的負載均衡機制來實現對互聯網的的訪問，多臺服務器同時并行工作，某臺服務器發生故障時由負載均衡產品自動檢查到，并且將其從服務器群組中排除，透明的容錯，避免單臺服務器的性能瓶頸問題。

對兩臺NS500防火墻的負載均衡，包括External，Internal，DMZ的端口的負載均衡；要求在正常情況下兩臺防火墻上的流量是均衡的，在某臺防火墻故障時自動將其流量切換到另外的防火墻，自動的透明容錯，當故障的防火墻恢復時自動將其加入到負載均衡中來。

均衡系統具備靈活的擴展空間，根據實際應用的需求靈活投資，提高整體服務能力。

3.2學校Internet鏈路負載均衡方案

針對以上提出的需求分析，我們充分分析目前局域網的實際狀況，結合4～7層網絡交換機在國際上網絡優化案例的經驗，總結出以下流量管理和均衡解決方案。

方案采用兩臺7層IP應用交換機LCCatalyst2400分別提供防火墻和服務器的負載均衡服務。7層IP應用交換機之間的容錯可以通過FailOverCable實現，同時7層IP應用交換機可以通過FailOverCable檢查對方的運行狀態，復制對方的所有的Session和狀態信息。LCCatalyst2400對ISP國際網絡接入流量的負載均衡實現方法如下：

在雙ISP接入時，每個ISP接入都單獨采用一臺接入路由器，緊跟路由器的后面連接兩臺LCCatalyst2400，兩臺LCCatalyst2400做冗余備份，兩臺LinkController之間有專用的心跳線檢測檢測備份的激活設備的狀態，其后連接兩臺防火墻，對兩臺防火墻采用冗余連接方式。防火墻外網的默認路由指向LCCatalyst2400；接入路由器的默認路由指向ISP端的路由器。這樣確保在一臺防火墻出現故障時可以通過另外一個訪問Internet。

3.3系統說明

從內網至Internet流量的負載均衡

(1)LinkControl上為兩個默認路由端建立路由組VIP=0．0．0．0；

(2)LinkControl依據預先設定的策略以及當時線路狀況動態智能選擇外出流量通過的路由；

(3)若有必要LinkControl可以作相應的地址轉換工作，將用戶的地址依其將通過的ISP轉換成相應網段的地址，以確保返回的數據包從同一鏈路返回。

從Internet進入的訪問流量負載均衡

(1)相應二條路由建立2個對應的虛擬服務器，各自的地址分別屬于2個ISP的網段；

(2)LinkControl內置了3DNS功能完全替代了傳統的DNS功能，同時又增加了對各個虛擬服務器的狀態和可達鏈路的狀態的監控，確保提供給用戶真正能夠提供服務的服務器；

(3)用戶請求petrodaqing．com均由LinkControl進行解析，LinkControl可依據用戶在27種策略中選定的方案分配用戶通過哪條鏈路訪問，或者完全由LinkControl實現動態分配；

(4)LinkControl可同時監控服務器的狀態和鏈路狀態，并且監控鏈路狀態時可以看該鏈路上的多個HOP。

3.4方案特點

提供多臺防火墻的負載均衡能力；

提供在線維護防火墻的方法；

解決了單臺防火墻的處理能力瓶頸問題；

提供了系統的擴展能力。

4.局域網服務器機群負載均衡

我校局域網通過服務方式訪問Internet的結點有1萬臺，由于受到單臺服務器的性能瓶頸和系統故障等問題，影響了訪問Internet的穩定性。為此我們采用服務器的負載均衡機制解決這一問題。

我們在七層交換機設置虛擬IP地址（VIP由IP地址和TCP/UDP應用的端口組成，它是一個地址）來為用戶的一個或多個目標服務器。因此，它能夠為大量的基于TCP/IP的網絡應用提供服務器負載均衡服務。七層交換機連續地對目標服務器進行L4到L7合理性檢查，當用戶通過VIP請求目標服務器服務時，BIG/IP根椐目標服務器之間性能和網絡健康情況，選擇性能最佳的服務器響應用戶的請求。如果能夠充分利用所有的服務器資源，將所有流量均衡的分配到各個服務器，這樣就可以有效地避免“不平衡”現象的發生。七層交換機是一臺對流量和內容進行管理分配的設備。它提供12種靈活的算法將數據流有效地轉發到它所連接的服務器群。而面對用戶，只是一臺虛擬服務器。用戶此時只須記住一臺服務器，即虛擬服務器。但他們的數據流卻被L7靈活地均衡到所有的服務器。這12種算法主要包括：

·輪詢（RoundRobin）：順序循環將請求一次順序循環地連接每個服務器。當其中某個服務器發生第二到第7層的故障，BIG/IP就把其從順序循環隊列中拿出，不參加下一次的輪詢，直到其恢復正常。

·比率（Ratio）：給每個服務器分配一個加權值為比例，根椐這個比例，把用戶的請求分配到每個服務器。當其中某個服務器發生第二到第7層的故障，BIG/IP就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。

·優先權（Priority）：給所有服務器分組，給每個組定義優先權，BIG/IP用戶的請求，分配給優先級最高的服務器組（在同一組內，采用輪詢或比率算法，分配用戶的請求）；當最高優先級中所有服務器出現故障，BIG/IP才將請求送給次優先級的服務器組。這種方式，實際為用戶提供一種熱備份的方式。

·最少的連接方式（LeastConnection）；

·最快模式（Fastest）；

·觀察模式（Observed）；

·預測模式（Predictive）；

·動態性能分配（DynamicRatio-APM）；

·動態服務器補充（DynamicServerAct．）；

·服務質量（QoS）；

·服務類型（ToS）；

·規則模式。

4.1方案特點

實時監控服務器應用系統的狀態，并智能屏蔽故障應用系統；

實現多臺服務器的負載均衡，提升系統的可靠性；

可以監控和同步服務器提供的內容，確保客戶獲取到準確可靠的內容；

提供服務器在線維護和調試的手段；

5.結束語

本文介紹了我校局域網Internet出口智能負載平衡系統的實現方法，它成功的提高了整個網絡運行的穩定性和安全性，保證了用戶的高速可靠訪問，避免了防火墻等關鍵網絡設備出現單點故障；同時它提出了利用負載均衡器來實現對防火墻作負載均衡的解決方案，這將有力的保護了用戶投資。在未來的企業信息化的建設中，負載均衡技術將會發揮更大的作用。

第7篇：防火墻技術的基本原理范文

[關鍵詞]UDP信息傳輸；系統分析與設計

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1009-914X（2015）05-0325-01

隨著社會發展及網絡普及，網絡聊天已成為人們日常溝通的重要載體。市場上已經出現很多網絡聊天工具，如騰訊QQ、MSN、阿里旺旺、Skype等等，給人們帶來了樂趣和便捷。本文作為整個Hollo即時通訊系統的一部分，重點關注在NAT網絡環境下的UDP信息傳輸，通過研究該課題，可以對UDP信息傳輸有更進一步的了解，從中接觸到關于防火墻、網絡地址轉換、P2P應用、NAT的幾種類型知識，同時實現“心跳”技術，即每隔幾分鐘即時通訊端往服務器發送UDP信息進行端口保持。

一、系統分析與設計

系統采用C/S（客戶機/服務器）模式，本Hollo即時通信協議采用UDP協議。服務器具有中心服務器的功能?？蛻舳艘鹊顷懛掌鞑拍芙邮芨鞣N服務。通信時，由客戶端發送連接請求，服務器擔任中轉者角色，將網絡包從發送方轉交給接收方。其功能包括：記錄客戶機各種活動、負責對客戶機消息的轉發。服務器通常采用高性能的PC、工作站或小型機，并采用大型數據庫系統。

二、基本原理及分類

NAT網絡環境介紹

NAT（Network Address Translators），網絡地址轉換，是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。主要包括基礎NAT、錐形NAT、對稱NAT等三類。常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現NAT后，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能，還可以實現負載均衡等功能。

網絡地址轉換是在IP地址日益缺乏的情況下產生的，它的主要目的就是為了能夠地址重用。NAT分為兩大類，基本的NAT和NAPT（Network Address/Port Translator）。

因此，基本的NAT實現的功能很簡單，在子網內使用一個保留的IP子網段，這些IP對外是不可見的。子網內只有少數一些IP地址可以對應到真正全球唯一的IP地址。如果這些節點需要訪問外部網絡，那么基本NAT就負責將這個節點的子網內IP轉化為一個全球唯一的IP然后發送出去。（基本的NAT會改變IP包中的原IP地址，但是不會改變IP包中的端口）。

NAT技術的出現從某種意義上解決了IPv4的32位地址不足的問題，它同時也對外隱藏了其內部網絡的結構。NAT設備（NAT，一般也被稱為中間件）把內部網絡跟外部網絡隔離開來，并且可以讓內部的主機可以使用一個獨立的IP地址，并且可以為每個連接動態地翻譯這些地址。

網絡地址轉換器不僅檢查，而且修改了跨境流動的數據包的頭信息，讓后面的NAT的許多主機使用數量較少地址，即共享一個公共IP地址（通常是一個）。

――采用UDP網絡傳輸協議

UDP協議是英文User Datagram Protocol的縮寫，即用戶數據報協議，主要用來支持那些需要在計算機之間傳輸數據的網絡應用。與TCP不同，UDP協議并不提供數據傳送的保證機制，具有“不可靠性”，但它是分發信息的一個理想協議。UDP廣泛用在多媒體應用中，例如，Progressive Networks公司開發的RealAudio軟件，它是在因特網上把預先錄制的或者現場音樂實時傳送給客戶機的一種軟件，該軟件使用的RealAudio audio-on-demand protocol協議就是運行在UDP之上的協議，大多數因特網電話軟件產品也都運行在UDP之上。

――UDP下的信息傳輸設計

1、數據傳輸

UDP協議的主要作用是將網絡數據流量壓縮成數據報的形式。一個典型的數據報就是一個二進制數據的傳輸單位。

使用端口號為不同的應用保留其各自的數據傳輸通道。

2、UDP報頭校驗值

UDP協議使用報頭中的校驗值來保證數據的安全。校驗值首先在數據發送方通過特殊的算法計算得出，在傳遞到接收方之后，還需要再重新計算。

3、UDP消息確認機制

對于聊天軟件有大量連接的程序來說，消息準確可靠是很重要的，TCP連接雖然可靠，但是在網絡不穩定的時候也是不可靠的，主要表現在TCP連接中斷之后雙方沒檢測到中斷之前的發包對方是收不到的，而KTCP的并發連接數量是有限的，不可能無限制增長，而如果UDP增加了消息確認機制后就沒有TCP的這些缺點。

4、消息確認機制的實現

初步分析采用消息處理和消息確認分為兩個程序的方式進行，它們采用兩個命名管道進行通訊，相當于電話中兩條線，一條收一條發.每條管道也都采用消息確認的方式，當收到一條消息的時候再回復一條消息，對方收到回復消息后才發下一條消息，最后再把消息確認程序改成系統服務。

5、UDP穿透

一般情況下，TCP發送消息更安全，更可靠，而UDP傳送數據容易丟包，但速度快，能穿越防火墻。目前比較流行的QQ聊天工具底層傳輸協議用戶的就是UDP協議。

6、UDP發送心跳包

所謂的心跳包就是在客戶端和服務器端間定時通知對方自己狀態的一個自己定義的命令字，按照一定的時間間隔發送，類似于心跳，所以叫做心跳包。

發包方：可以是客戶也可以是服務端，看哪邊實現方便合理。一般是客戶端。服務器也可以定時輪詢發心跳下去。

三、總結與展望

第8篇：防火墻技術的基本原理范文

【關鍵詞】 電子商務 網絡安全 要素

互聯網具有一網通天下的特點，不僅改變了人們的生活方式，還為商務活動的發展開辟了新的方向，網絡經濟已與人們的生活密不可分。電子商務與網絡相互依存，網絡安全問題同時也困擾著電子商務的發展。為了推進電子商務快速發展，加強對網絡安全的研究和應用意義十分重大。

一、網絡安全對于電子商務的重要性

當前，電子商務已逐步覆蓋全球，而網絡安全問題也得到了業內廣泛關注。電子商務的交易方式有別于傳統的面對面交易，在電力商務中，交易雙方均通過網絡進行信息交流，以網絡為媒介無疑加大了交易的風險性，因此安全的網絡環境能夠給交易雙方均帶來良好的體驗。電子商務的網絡安全管理較為復雜，不僅需要高新的技術做支持，如電子簽名、電子識別等，還需要用戶的配合，通常來說，用戶的個人信息越全面，網絡交易平臺對用戶的保護便會越全方位?？梢?，在電子商務交易平臺中，網絡安全具有十分重要的作用。

二、電子商務中網絡安全的技術要素

1、防火墻技術。防火墻技術主要是通過數據包過濾以及服務的方式來實現病毒的防治和阻擋入侵互聯網內部信息[1]。防火墻好比一個可以設定濾網大小的過濾裝置，可以根據用戶的需求，對信息進行過濾、管理。在服務器中，防火墻的技術便演化為一種連接各個網關的技術，對網關之間的信息聯通進行過濾。雖然上述兩種過濾管理技術形式略有區別，但本質相同，在電子商務中，可以將兩者結合使用，使各自的優勢得到充分發揮。實現在防火墻內部設計好一個過濾裝置，以便對信息進行過濾與確定是否可以通過。

2、數據加密技術。數據加密是對于指定接收方設定一個解密的密碼，由數學的方式，轉換成安全性高的加密技術，以確保信息的安全。這里面會涉及到一個認證中心，也就是第三方來進行服務的一個專門機構，必須嚴格按照認證操作規定進行服務[2]。認證系統的基本原理是利用可靠性高的第三方認證系統CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher，RA與CA的兩者通過報文進行交易，不過也要通過RSA進行加密，必須有解密密鑰才可以對稱，并通過認證，如果明文與密文的不對稱，就不會認證通過，保證了信息的安全[3]。

3、數字認證技術。為了使電子商務交易平臺更為安全、可靠，數字認證技術便應運而生，其以第三方信任機制為主要載體，在進行網絡交易時，用戶需通過這一機制進行身份認證，以避免不法分子盜用他人信息。PKI對用戶信息的保護通過密鑰來實現，密鑰保存了用戶的個人信息，在用戶下次登陸時，唯有信息對稱相符，才能享受到電子商務平臺提供的相應服務，在密鑰的管理下，數據的信息得到充分保護，電子商務交易的安全性能得到了大幅提升。

三、電子商務中網絡安全提升的策略

1、提高對網絡安全重要性的認識。隨著信息技術的快速發展，網絡在人們工作、生活中已無處不在，我們在享受網絡帶來的便利時，還應了加強對網絡安全重要性的了解，樹立網絡安全防范意識，為加強網絡安全奠定思想基礎。應加強對網絡安全知識的宣傳和普及，使公民對網絡安全有一個全面的了解；同時，還應使公民掌握一些維護網絡安全的技能，以便發生網絡安全問題時，能夠得到及時控制，避免問題擴大化。

2、加快網絡安全專業人才的培養。網絡安全的提升離不開素質過硬的專業人才，由于網絡技術具有一定的門檻，如果對專業了解不深，技術上不夠專攻，專業問題便難以得到有效解決，應著力提升電子商務網絡安全技術人員的專業素養，為加強網絡安全奠定人力基礎。在培養專業人才時，應勤于和國內外的專業人員進行技術交流，加強對網絡安全領域前沿技術的了解和掌握，避免在技術更新上落后于人。

3、開展網絡安全立法和執法。網絡安全的有效提升需要從法律層面進行約束，應著力于完善網絡安全立法和執法的相關工作，加快立法工作的步伐，構建科學、合理的網絡安全法律體系。自從計算機產生以來，世界各國均設立了維護網絡安全的相關法律法規。在新時期，我國應集結安全部、公安部等職能部門的力量，加強對網絡安全的管理，力求構建一個安全、健康的網絡環境。

四、結論

綜上所述，在信息時代背景下，電子商務假以時日便會成為信息交流的重要平臺，成為全球競爭發展的熱門領域。我國電子商務起步較晚，但發展后勁十足，在一體化趨勢的引導下，電子商務應著力提升網絡的安全性，形成具有我國特色的電子商務，在全球經濟中力爭贏得一席之地。

參 考 文 獻

[1]梁文陶.計算機技術應用與電子商務發展研究[J].太原城市職業技術學院學報，2013（08）：125-126.

第9篇：防火墻技術的基本原理范文

【關鍵詞】云計算 安全架構 安全策略 保障體系

1 云計算的概念與基本原理

云計算是隨著互聯網及互聯網相關服務的增加、使用所發展的一種計算模式，目前關于云計算沒有一個正式的定義，但是目前所開發的云計算主要是基于計算機基礎設施的租用和網絡資源的共享模式；未來真正意義上的云計算主要指基于網絡的IT服務的交付和使用模式。指可以通過網絡以按需、易擴展的方式獲得所需服務。這種服務可以是硬件或是軟件、也可是與計算機相關的其他服務。它意味著計算和信息處理能力也可作為一種商品通過互聯網進行流通。

云計算的基本原理是：用戶所需的應用程序或者硬件設施并不需要用戶自行購買或者安裝于用戶的終端設備上，而是由專業的云計算公司提供，用戶的數據也不是存儲于用戶本地，而是存儲于硬件和軟件的云計算服務提供商；并由他們來維護和管理這些數據中心正常運轉并保證足夠強的計算能力和足夠大的存儲空間來供用戶使用。用戶只需要支付相應的租金或使用費就可以在任何時間和任何地點，連接至互聯網的終端設備，實現隨需隨用。

2 目前云計算的主要安全問題

云計算從概念推出開始就引發了IT業的巨大變革，并被看成是IT業重新洗牌的機會，但是云計算的發展也有其局限性，最主要的就是安全性方面。其中2009年2月，谷歌公司位于歐洲的數據中心例行維護導致另一個位于歐洲的數據中心過載，進而影響到其他的數據中心，導致該公司的郵箱業務Gmail經歷了長達4小時的服務中斷。同年3月中旬，微軟的Azure停止運行約22個小時。而在之前的2008年，亞馬遜公司S3服務曾斷網6小時。這些問題折射出云計算的安全缺陷，這些缺陷主要表現在以下兩個方面：一、是云端本身的問題，二是提供服務時的安全隱患。前者主要是指服務器、網絡等硬件問題，后者則涉及到數據位置、隔離、審計、恢復、法律等等各方各面。

3 云計算安全架構的建設

云計算主要以提供多種形式的網絡化服務為主，大致分為以下幾個方面：如軟件即服務（SaaS）、數據即服務（Daas）、平臺即服務（Paas）、基礎架構即服務（Iaas）、通訊即服務（Cass）等。云計算的安全保障體系架構主要分為，終端用戶安全保障、用戶數據安全保障、虛擬化技術安全保障三個部分。

3.1 終端用戶安全

用戶作為云計算的終端，首先應當保證自身計算機或移動設備的的安全。由于大多數用戶并非計算機專業人員，因此應該在用戶的終端上部署安全軟件，包括反惡意軟件、防病毒、個人防火墻以及IPS 類型的軟件。同時注重自身賬號密碼的安全保護，盡量不在陌生的計算機終端上使用云服務。并且基于瀏覽器普遍成為云服務應用的主要應用程序，針對瀏覽器的攻擊風險也逐漸加大，具體表現在各類插件和應用的強制或隱蔽安裝上，從而影響云計算應用的安全。因此云用戶應該采取必要措施保護瀏覽器免受攻擊，從而在云環境中實現端到端的安全保障。

3.2 用戶數據與信息安全

數據和信息是云計算的一個主要組成部分，無論是何種云計算服務，用戶最終的計算和信息存儲依然在云端，也就是云計算服務提供商的服務器中，目前主流的數據和信息保障主要基于數據加密、用戶訪問控制等方面。

3.2.1 數據加密

數據加密是保障數據安全的一個重要方式，目前對大規模云計算來說主要采用同態加密技術，同態加密是現代較流行的一種加密技術，主要對經過同態加密的數據進行處理得到一個輸出，將這一輸出進行解密，進而驗證其結果與用同一方法處理未加密的原始數據得到的輸出結果是否一樣。

3.2.2 用戶訪問控制

對于用戶來說，云端服務器是用戶數據和信息的提取地和最終存放地，但是相比銀行的身份驗證程序，云計算的身份認證和訪問控制技術仍不成熟，目前主要采用IBACC 協議（用于云服務和云計算的加密和簽名的基于身份的認證協議）該協議將有助于保護存儲于云計算中信息的保密性、完整性及管理規范性。然而該技術的發展仍停留在數據加密和密鑰開發技術的基礎上，下一步將加強與個人信息庫與IP地址的分析和互聯查詢上方面。

3.3 虛擬化技術的安全保障

虛擬化和虛擬機技術是云計算概念的一個基礎組成部分，目前虛擬化技術在云計算當中普遍采用，這也帶來了虛擬化技術的安全問題，主要體現在兩個方面：虛擬化軟件安全和虛擬化硬件安全。目前虛擬化技術安全主要由云計算服務提供商負責。

在虛擬化軟件方面，虛擬化軟件主要提供虛擬服務器的構建功能，包括服務器的創建、運行和銷毀操作，所以必須嚴格限制任何未經授權的用戶訪問虛擬化軟件層。云服務提供商應建立必要的安全控制措施，限制對虛擬化軟件的物理和邏輯訪問控制。

在虛擬化硬件方面，必須建立基于主機的專業的防火墻系統、殺毒軟件、日志系統和恢復系統，并雇用專業人員進行日常的更新和維護，同時并且對于每臺虛擬化服務器設置獨立的硬盤分區，用以系統和日常數據的備份。

4 結束語

云計算技術從概念的提出到目前只有短短幾年，然而卻迅速成為未來計算機網絡技術的發展方向。云計算的安全保障是目前阻礙廣大用戶接受云計算的最大障礙，如何建立讓用戶接受的可信云，是云計算安全保障技術的最終目標。隨著網絡互聯技術的發展，云計算的安全保障架構仍會受到巨大的挑戰，需要我們繼續深入研究。

參考文獻

[1]張敏.AB-ACCS：一種云存儲密文訪問控制方法[J].計算機研究與發展，2010.

[2]張健.云計算概念和影響力解析[J].電信網技術，2009.

[3]張慧，刑培振.云計算環境下信息安全分析[J].計算機研究與發展.2011.

[4]Tim Mather.Subra Kumaraswamy.Shahed Latif.cloud securityand parivacy[M].O'Reilly Media.Inc.2009.

[5]石屹嶸，段勇.云計算在電信IT 領域的應用探討[J].電信科學，2009.