防火墻技術論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻技術論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻技術論文范文

1.1黑客攻擊的問題

因為校園網絡需要同互聯網連接，從而給師生查找資料提供便利，不過也因此容易受到黑客攻擊。當代黑客攻擊的技術越來越高明，破壞程度同樣越來越嚴重，黑客攻擊校園網絡，有著時間長、范圍廣、損失大以及處理難的特點，校園網絡當中的DNS服務器、WEB服務器以及郵件服務器是容易遭到黑客攻擊的地方[8]，黑客很多時候使用專業工具攻擊校園挽留過，導致校園網絡服務器無法正常使用，部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網絡，同時篡改校園網絡的主頁、破壞各種數據從而擾亂教學秩序。

1.2內部用戶的問題

現在學生對于網絡了解程度比較深，這就導致部分學生會在好奇心趨勢下，攻擊校園網絡系統，從而給校園網絡的正常運行帶來不利影響，提高了校園網絡管理的難度。統計顯示內部用戶造成的校園網絡攻擊占到30％左右，大部分情況由學生好奇心而引起，同時學校對于學生的管理以及教育不夠重視，縱容他們破壞校園網絡安全的種種行為。

2防火墻技術在校園網絡安全中的應用

2.1選擇合適的防火墻產品

最簡單的防火墻是在校園網絡的內部網以及外部網間加裝應用網關或者是過濾路由器。為更好實現校園網絡的安全，很多時候需要綜合使用不同的防火墻技術從而組合防火墻系統。這就需要明確設置防火墻設置的方案，然后選擇合適的防火墻產品。從形式的角度而言，防火墻可以分成硬件防火墻以及軟件防火墻這2大類，硬件防火墻同軟件防火墻比較而言，由于使用專用硬件設備，并且集成生產廠商防火墻軟件，功能上通過內置安全軟件，并且使用強化甚至專屬的操作系統，有著管理方便以及更換容易的特點，并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高，可以解決防火墻性能以及效率之間的關系，可以根據校園網絡的具體情況來加以選擇。

2.2使用服務器

服務器指的是連接校園網絡局域網以及Internet的網關，這一網關運行服務軟件，可以實現不同網絡之間的互相通信。服務器可以在用戶以及服務器間實現協同工作，所以提供應用級的網關。客戶端往服務器發送請求，請求到達服務器，然后服務器在接收連接請求之后，進行身份認證以及訪問控制，要是客戶端確認服務器身份認證以及訪問控制，那么就代替客戶端發送請求。服務器在響應之后，服務器則將數據反饋到客戶端。

2.3配置路由器防火墻

第2篇：防火墻技術論文范文

關鍵詞:網絡；安全；防火墻

1 緒論

隨著國家的快速發展，社會的需求等諸多問題都體現了互聯網的重要性，各高校也都相繼有了自己的內部和外部網絡。致使學校網絡安全問題是我們急需要解決的問題。小到別人的電腦系統癱瘓、帳號被盜，大到學校重要的機密資料，財政資料，教務處的數據被非法查看修改等等。學校機房網絡安全也是一個很重要的地方。由于是公共型機房。對于公共機房的網絡安全問題，提出以下幾個方法去解決這類的一部分問題。

2 PC機

2.1 PC終端機。對于終端機來說，我們應該把一切的系統漏洞全部打上補丁。像360安全衛士（省略/）是一款不錯的實用、功能強大的安全軟件。里面有“修復系統漏洞”選項，我們只要點擊掃描，把掃描到的系統漏洞，點擊下載安裝，并且都是自動安裝，安裝完就可以了。

2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件，從瑞星官方網站（省略/）下載，下載完，安裝簡體版就可以了。安裝完之后，就進行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環境中。也可以在【開始-運行】中輸入【sigverif】命令，檢查系統的文件有沒有簽名，沒有簽名的文件就有可能是被病毒感染了。可以上網查詢之后，進行刪除。

2.3 防火墻。打好系統漏洞補丁，安裝好殺毒軟件之后，就是安裝防火墻像瑞星防火墻，天網防火墻以及風云防火墻等。風云防火墻是一款功能強大的防火墻軟件，它不僅僅能防病毒，還能防現在很是厲害的ARP病毒。

2.4 用戶設置。把Administrator超級用戶設置密碼，對不同的用戶進行用戶權限設置。

3 解決方案

3.1 防火墻技術。防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網絡和Internet之間地任何活動，保證了內部網絡地安全；在物理實現上，防火墻是位于網絡特殊位置地以組硬件設備路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統，也可以在一個進行網絡互連地路由器上實現防火墻。用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構：

①屏蔽路由器：又稱包過濾防火墻。

②雙穴主機：雙穴主機是包過濾網關的一種替代。

③主機過濾結構：這種結構實際上是包過濾和的結合。

④屏蔽子網結構：這種防火墻是雙穴主機和被屏蔽主機的變形。

3.2 VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現，可以保證企業員工安全地訪問公司網絡。

3.3 網絡加密技術（Ipsec）。IP層是TCP/IP網絡中最關鍵的一層，IP作為網絡層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網絡安全的核心。IPSec提供的安全功能或服務主要包括：

①訪問控制；②無連接完整性；③數據起源認證；④抗重放攻擊；⑤機密性；⑥有限的數據流機密性。

3.4 身份認證。在一個更為開放的環境中，支持通過網絡與其他系統相連，就需要“調用每項服務時需要用戶證明身份，也需要這些服務器向客戶證明他們自己的身份。”的策略來保護位于服務器中的用戶信息和資源。像數字簽名。

4會話控制與帶寬管理策略

4.1 會話數控制。 使用校園網出口防火墻，通過單用戶會話和流量控制功能進行相關管理。通過應用防火墻設置新建連接閥值，可以對網絡中每個用戶會話連接數進行控制，當閥值被觸動后，動態地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設置控制黑名單的有效時間。通過單用戶會話數限制，可以做到：當校園網內機器病毒爆發時，阻止大量數據包對外建立連接，耗費網絡資源；阻止黑客對網絡的掃描；阻止黑客進行DDOS攻擊。

5 結論

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。本論文從多方面描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

參考文獻

［1］ 雷震甲.網絡工程師教程.［M］.北京：清華大學出版社，2004.

第3篇：防火墻技術論文范文

關鍵詞：指紋系統，安全防范，防御機制

 

一、概述

指紋信息系統作為一種公安工作的局域網，有其特定含義和應用范疇，它積累信息為偵察破案提供線索，概括起來有四個方面的典型應用：第一，指紋系統是為公安工作服務的，是一種刑事偵察的工具，它是各地、市之間指紋交流工具，也是指紋信息資源的提供者。第二，指紋系統是為偵察破案提供線索，為案件進展提供便利服務的。第三，指紋系統積累犯罪嫌疑人信息，如嫌疑人的指紋管理、前科管理、基本信息管理等，為串、并案件提供可靠依據。第四，指紋系統是溝通與其他公安工作的窗口，利用它既可以獲取各種信息，也可以向其他公安工作相關信息。

二、指紋信息系統安全的主要問題

隨著網絡在公安工作各個方面的延伸，進入指紋系統的手段也越來越多，因此，指紋信息安全是目前指紋工作中面臨的一個重要問題。

1、物理安全問題

指紋信息系統安全首先要保障系統上指紋數據的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的指紋數據安全保護。目前常見的不安全因素（安全威脅或安全風險）包括兩大類：第一類是自然災害（如雷電、地震、火災、水災等），物理損壞（如硬盤損壞、設備使用壽命到期、外力破損等），設備故障（如停電、斷電、電磁干擾等），意外事故。第二類是操作失誤（如刪除文件、格式化硬盤、線路拆除等），意外疏漏（如系統掉電、“死機”等）。

2、指紋操作系統及應用服務的安全問題

現在應用的主流操作系統為Windows 操作系統，該系統存在很多安全隱患。操作系統不安全也是系統不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽到在公安網上眾多的非法攻擊事件，這些事件一再提醒我們，必須高度重視系統的安全問題。非法用戶攻擊的主要方法有：口令攻擊、網絡監聽、緩沖區溢出、郵件攻擊和其他攻擊方法。

4、計算機病毒威脅

計算機病毒將導致指紋系統癱瘓，系統程序和指紋數據嚴重破壞，使系統的效率和作用大大降低，系統的許多功能無法使用或不敢使用。雖然，至今還沒過出現災難性的后果，但層出不窮的各種各樣的計算機病毒活躍在公安網的各個角落，令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數據進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現,但會對計算機數據進行破壞,有的甚至會破壞計算機的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒，它們根據 Windows漏洞進行攻擊，電腦中毒后1分鐘重起。在重新啟動之前，沖擊波和震蕩波允許用戶操作，而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預防和清除計算機病毒是非常重要的，我們應提高對計算機病毒的防范意識,不給病毒以可乘之機。

三、指紋系統的安全防范措施

指紋信息系統是一個人機系統，需要多人參與工作，而系統操作人員是系統安全的責任主體，因此，要重視對各級系統操作人員進行系統安全的教育，做到專機專用，嚴禁操作人員進行工作以外的操作；下面就本人在實際工作中總結的一些經驗,談一 談對指紋信息系統的維護與病毒的預防。

1、 對指紋系統硬件設備和系統設施進行安全防護

（1）系統服務器安全：服務器是指紋系統的大腦和神經中樞，一旦服務器或硬盤有故障，輕者將導致系統的中斷，重者可能導致系統癱瘓或指紋數據丟失，因此在服務器端，可以采用雙機熱備份＋異機備份方案。論文大全。在主服務器發生故障的情況下，備份服務器自動在 30 秒 內將所有服務接管過來，從而保證整個指紋系統不會因為服務器發生故障而影響到系統的正常運行，確保系統 24小時不間斷運行。在磁盤陣列柜，我們可安裝多塊服務器硬盤， 用其中一塊硬盤做備份，這樣可保證在其它硬盤發生故障時，直接用備份硬盤進行替換。

（2）異機數據備份：為防止單點故障（如磁盤陣列柜故障）的出現，可以另設一個備份服務器為，并給它的服務設置一個定時任務，在定置任務時，設定保存兩天的備份數據，這樣可保證當某天指紋數據備份過程中出現故障時也能進行指紋數據的安全恢復。通過異機備份，即使出現不可抗拒、意外事件或人為破壞等毀滅性災難時，也不會導致指紋信息的丟失，并可保證在1小時內將指紋數據恢復到最近狀態下，使損失降到最低。

（3）電路供應：中心機房電源盡量做到專線專供，同時采用UPS（不間斷電源），部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用，這樣可保證主服務器和各服務窗口工作站不會因電源故障而造成指紋信息的丟失或系統的癱瘓。

（4）避雷系統：由于通信設備尤其是裸露于墻體外的線路，易受雷擊等強電磁波影響而導致接口燒壞，為對整個系統進行防雷保護，分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。

（5）主機房的防盜、防火、防塵：主機房是系統中心，一旦遭到破壞將帶來不可估量的損失，可以安裝防盜門，或安排工作人員24小時值班。同時，由于服務器、交換機均屬于高精密儀器，對防塵要求很高，所以對主機房進行裝修時應鋪上防靜電地板，準備好（電火）滅火器，安裝上空調， 以保證機房的恒溫，并派專人對主機房的衛生、防塵等具體負責。論文大全。

（6）對移動存儲器，借出時要寫保護，借入時要先殺毒；

（7）不使用盜版或來歷不明的軟件，做到專機專用，在公安內網的機器不準聯到互聯網上使用；

2 、 全方位的系統防御機制

我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預防措施如下:

（1）利用防病毒技術來阻止病毒的傳播與發作。

為了使系統免受病毒所造成的損失，采用多層的病毒防衛體系。在每臺PC機上安裝單機版反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，并在網關上安裝基于網關的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個指紋系統不受病毒的感染。

（2）應用防火墻技術來控制訪問權限。

作為指紋系統內部網絡與外部公安網絡之間的第一道屏障,防火墻是最先受到重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著公安網絡安全技術的整體發展和公安工作中網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。 在系統出口處安裝防火墻后，系統內部與外部網絡進行了有效的隔離，所有來自外部的訪問請求都要通過防火墻的檢查，這樣系統的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾，拒絕非法IP 地址，有效避免公安網上與指紋工作無關的主機的越權訪問；防火墻可以只保留有用的服務，將其他不需要的服務關閉，這樣做可以將系統受攻擊的可能性降低到最小限度，使非法用戶無機可乘；防火墻可以制定訪問策略，只有被授權的外部主機才可以訪問系統的有限IP地址，保證其它用戶只能訪問系統的必要資源，與指紋工作無關的操作將被拒絕；由于所有訪問都要經過防火墻，所以防火墻可以全面監視對系統的訪問活動，并進行詳細的記錄，通過分析可以發現可疑的攻擊行為；防火墻可以進行地址轉換工作，使外部用戶不能看到系統內部的結構，使攻擊失去目標。

（3）應用入侵檢測技術及時發現攻擊苗頭。

入侵檢測系統是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自系統內外的攻擊，縮短入侵的時間。

（4）應用安全掃描技術主動探測系統安全漏洞，進行系統安全評估與安全加固。安全掃描技術與防火墻、入侵檢測系統互相配合，能夠有效提高指紋系統的安全性。通過對系統的掃描，系統管理員可以了解系統的安全配置和運行的應用服務，及時發現安全漏洞，客觀評估系統風險等級。系統管理員也可以根據掃描的結果及時消除系統安全漏洞和更正系統中的錯誤配置，在非法用戶攻擊前進行防范。

（5）應用系統安全緊急響應體系，防范安全突發事件。

指紋系統安全作為一項動態工程，意味著它的安全程度會隨著時間的變化而發生改變。 在信息技術日新月異的今天，即使昔日固若金湯的系統安全策略，也難免會隨著時間和環境的變化，變得不堪一擊。因此，我們需要隨時間和系統環境的變化或技術的發展而不斷調整自身的安全策略，并及時組建系統安全緊急響應體系，專人負責，防范安全突發事件。

參考文獻：

[1]　JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2]　J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3]　張　敏,徐　震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學報(已投稿),2006

[4]　何永忠.DBMS安全策略模型的研究:[博士學位論文],北京市石景山區玉泉路19號(甲):中國科學院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平．計算機犯罪問題研究［M］．北京：電子工業出版社，2002．

[7]高銘喧．新編中國刑法學［M］．北京：中國科學技術出版社，2000．

[8]朱廣艷． 信息技術與課程整合的發展與實踐［J］． 中國電化教育，2003（194）：8－ 10．

[9]黃叔武 劉建新 計算機網絡教程 清華大學出版社 2004年11 月

[10]戴紅 王海泉 黃堅 計算機網絡安全 電子工業出版社2004.9.8

[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網絡安全技術與應用, 2004,(4):37- 41.

[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.

[13]周筱連. 計算機網絡安全防護[J].電腦知識與技術( 學術交流) ,2007,(1).

[14]阿星. 網絡安全不容忽視[J]. 電腦采購周刊, 2002,(32).

[15]網絡安全新概念[J].計算機與網絡, 2004,(7).

[16]王銳. 影響網絡安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).

第4篇：防火墻技術論文范文

【關鍵詞】防火墻 網絡安全 控制程序 測試方案

隨著網絡安全市場的打開，越來越多的公司加入到網絡安全軟件、硬件開發行列中，市場上就開始出現各類防火墻，其基本原理也就是通過源地址、目標地址互聯安全控制來達到目的主機的安全。是否到達這個終極目標、以及防火墻在強力攻擊之下能否還能穩定運行，規則判斷能否準確而無誤執行等，這些是需要經過嚴密的測試與檢驗才可以得出結論。只用通過嚴格檢驗，才能保證核心系統與主機的安全，所以測試對于產品檢驗來說是致關重要。

1 防火墻功簡介

1.1 防火墻信息安全與屬性

防火墻作為企業內外網中間安全監測點，為了實現數據通信安全審查與訪問的隔離，防火墻就必須具備如下幾個功能：

（1）通過地址訪問控制，執行本地網絡安全策略。

（2）防火墻自身的安全性保障，該功能是防火墻本身需要具備的重要一個原則。

（3）對網絡中的各種行為提供日志和統計功能。

（4）防火墻的效率和可用性，其執行效率直接影響內外網的通信效率和。

（5）能提供統一、集中的網絡安全和管理。

1.2 防火墻核心參數與測試方法

吞吐量：吞吐量主要體現防火墻數據轉發能力，測試防火墻吞吐量主要通過試儀端口數量進行體現，測試中涉及的配置情況包括：透明模式，路由模式，配置NAT，配置policy，配置AV掃描，配置QoS等。一般情況下設備在配置大量policy的情況下的吞吐量不會有太大變化。在配置雙向或者單向NAT后吞吐量大約是路由模式的98%左右。透明模式的吞吐量大約是路由模式吞吐量的80%左右。

時延：時延所測試的是系統處理數據包所需要的時間。防火墻的時延測試的是其存儲轉發（Store and Forward）的性能（另一種是Cut and Through）。時延的測試通常會選用測試儀所對應的RFC測試套件進行測試。

丟包率：丟包率是測試系統在一定負載的情況下丟包數量多少的測試。測試的意義在于通過過載的流量來考查對設備正常轉發性能的影響。包率的測試通常會選用測試儀所對應的RFC測試套件進行測試。

系統恢復時間：系統恢復時間的測試包括：系統重起的時間測試，系統斷電重起的時間測試，HA倒換時間測試，HA恢復時間測試，系統過載恢復測試（這個一般很少見），在HA倒換時間測試中測試包括主->備切換時間測試，備->主恢復時間測試。通用的測試方法為：使用測試儀發送恒定速率的流量穿過DUT，DUT進行reset，或者斷電操作，直到流量恢復正常。恢復時間=丟包數量/發包速率。另外一種測試方法是通過ping包丟棄的數量來衡量倒換的時間

2 防火墻強測試方案設計

2.1 防火墻性能測試架構

性能測試部分主要利用SmartBits6000B專業測試儀，依照RFC2544定義的規范，對防火墻的吞吐量、延遲和丟包率三項重要指標進行驗證。在性能測試中，需要綜合驗證防火墻橋接模式的性能表現，其拓撲圖采用圖1所示方案。

吞吐量測試是測試防火墻在正常工作時的數據傳輸處理能力的重要指標，更高的吞吐量使得防火墻更能適用于網絡核心層對流量要求很高的網絡環境，使防火墻不會成為網絡的性能瓶頸，不會影響正常的業務通訊。單條規則，2GE，1G雙向流量測試 無小包加速結果。（吞吐量測試結果）幀長（字節）分別為64，128，256，512，1024，1280，1518。分別得到橋接模式雙向零丟包率吞吐率（%） 為14.48，25.87，45.10，87.50，100，100，100。

2.2 防火墻壓力仿真測試

考慮到防火墻在實際應用中的復雜性，在本次的測試方案中，我們需要進行壓力仿真測試，模擬實際應用的復雜度。考慮到測試時間及測試環境的限制，壓力測試選取以下最為重要的幾點進行，本次測試進行防火墻橋接模式的驗證，拓撲圖采取以下方案。本次測試以100條控制規則壓力為前提進行，性能考慮吞吐量和延遲和丟包率。單機吞吐率（100條規則，2個GE口，1Gbps雙向流量測試 無小包加速結果）。（單機吞吐量）幀長（字節）為64，128，256，512，1024，1280，1518；分別得到橋接模式雙向零丟包率，壓力吞吐率（%）為14.48，25.87，45.10，79.17，100，100，100。

3 結束語

防火墻是實現網絡安全體系的重要設備，其目的是要在內部、外部兩個網絡之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制，系統測試從穩定性、可靠性、安全性及性能表現等多方面綜合驗證防火墻的技術指標。

參考文獻

[1]沈偉峰，陳維均.基于防火墻的構建[J].微型電腦應用，2012，17（1）：23-25.

[2]黃力，謝翠蘭.多線程防火墻過濾模塊的設計與實現[J].廣西民族大學學報：自然科學版，2011（1）：70-74.

[3]王永強，劉世棟，戴浩.入侵檢測系統測試方法的缺陷與建議[J].信息網絡安全，2013（12）：24-26.

作者簡介

朱軍紅，男，甘肅省平涼市人。現為中國石油東方公司研究院長慶分院工程師，從事計算機系統維護工作。

第5篇：防火墻技術論文范文

論文摘要:隨著網絡在社會生活中不斷普及,網絡安全問題越來越顯得重要。當因特網以變革的方式提供信息檢索與能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網絡安全保護模式與安全保護策略進行探討。

計算機網絡最重要的資源是它所提供的服務及所擁有的信息,計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性。為了有效保護網絡安全,應選擇合適的保護模式。

1 安全保護模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護模式。

1.2 模糊安全保護。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統總認為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛信息是很容易被人知道的。在主機登錄信息中了解到系統的硬件和軟件以及使用的操作系統等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機安全保護。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護,在最大程度上避免或者減少已經存在的可能影響特定主機安全的問題。

在現代的計算機環境中,主機安全的主要障礙就是環境復雜多變性。不同品牌的計算機有不同的商,同一版本操作系統的機器,也會有不同的配置、不同的服務以及不同的子系統。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護,而且機器越多安全問題也就越復雜。即使所有工作都正確地執行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網絡安全保護。由于環境變得大而復雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網絡安全保護模式。用這種安全保護模式解決如何控制主機的網絡通道和它們所提供的服務比對逐個主機進行保護更有效。現在一般采用的網絡安全手段包括:構建防火墻保護內部系統與網絡,運用可靠的認證方法(如一次性口令),使用加密來保護敏感數據在網絡上運行等。

在用防火墻解決網絡安全保護的同時,也決不應忽視主機自身的安全保護。應該采用盡可能強的主機安全措施保護大部分重要的機器,尤其是互聯網直接連接的機器,防止不是來自因特網侵襲的安全問題在內部機器上發生。上面討論了各種安全保護模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網絡的管理問題。安全保護不能防止每一個單個事故的出現,它卻可以減少或避免事故的嚴重損失,甚至工作的停頓或終止。

2 安全保護策略

所謂網絡安全保護策略是指一個網絡中關于安全問題采取的原則、對安全使用的要求以及如何保護網絡的安全運行。以下是加強因特網安全保護措施所采取的幾種基本策略。

2.1 最小特權。這是最基本的安全原則。最小特權原則意味著系統的任一對象(無論是用戶、管理員還是程序、系統等),應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統對侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網環境下,最小特權原則被大量運用。在保護站點而采取的一些解決方法中也使用了最小將權原理,如數據包過濾被設計成只允許需要的服務進入。在試圖執行最小特權時要注意兩個問題:一是要確認已經成功地裝備了最小特權,二是不能因為最小特權影響了用戶的正常工作。

2.2 縱深防御。縱深防御是指應該建立多種機制而不要只依靠一種安全機制進行有效保護,這也是一種基本的安全原則。防火墻是維護網絡系統安全的有效機制,但防火墻并不是因特網安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統安全管理等。防火墻也可以采用多層結構。如使用有多個數據包過濾器的結構,各層的數據包過濾系統可以做不同的事情,過濾不同的數據包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點。所謂阻塞點就是可以對攻擊者進行監視和控制的一個窄小通道。在網絡中,個站點與因特網之間的防火墻(假定它是站點與因特網之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網上攻擊這個站點的侵襲者必須經過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網絡上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護系統的網絡中,知道如何侵入一個系統也就知道了如何侵入整個系統。防御多樣化是指使用大量不同類型的安全系統,可以減少因一個普通小錯誤或配置錯誤而危及整個系統的可能,從而得到額外的安全保護。但這也會由于不同系統的復雜性不同而花費額外的時間與精力。

3 防火墻

防火墻原是建筑物大廈設計中用來防止火勢從建筑物的一部分蔓延到另一部分的設施。與之類似,作為一種有效的網絡安全機制,網絡防火墻的作用是防止互聯網的危險波及到內部網絡,它是在內部網與外部網之間實施安全防范,控制外部網絡與內部網絡之間服務訪問的系統。但必須指出的是防火墻并不能防止站點內部發生的問題。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設備;限制人們從一個嚴格控制的點離開。防火墻的優點:1)強化安全策略:在眾多的因特網服務中,防火墻可以根據其安全策略僅僅容許“認可的”和符合規則的服務通過,并可以控制用戶及其權力。2)記錄網絡活動:作為訪問的唯一站點,防火墻能收集記錄在被保護網絡和外部網絡之間傳輸的關于系統和網絡使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網絡中的一個網段與另一個網段,防止影響局部網絡安全的問題可能會對全局網絡造成影響。4)集中安全策略:作為信息進出網絡的檢查點,防火墻將網絡安全防范策略集中于一身,為網絡安全起了把關作用。

參考文獻:

[1]靳攀,互聯網的網絡安全管理與防護策略分析[J].北京工業職業技術學院學報,2008,(03).

[2]趙薇娜,網絡安全技術與管理措施的探討[J].才智,2008,(10).

第6篇：防火墻技術論文范文

隨著信息技術在貿易和商業領域的廣泛應用，利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化，已成為各國商務發展的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現的和發展起來的，它是當今社會發展最快的領域之一，同時也為全球的經濟發展帶來新的增長點。電子商務正在改變著人們的生活以及整個社會的發展進程，貿易網絡將引起人們對管理模式、工作和生活方式，乃至經營管理思維方式等等的綜合革新。對貿易和商業領域來說，電子商務的發展正在改變著傳統的貿易方式，縮減交易程序，提高辦事效率。現在，許多網站都提供有“商城”，供網民在網上購物。可以說，電子商務應用將越來越普及。然而，隨著Internet逐漸發展成為電子商務的最佳載體，互聯網具有充分開放，不設防護的特點使加強電子商務的安全問題日益緊迫，只有在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務。否則，電子商務的發展將失去其支撐點。

要加強電子商務的安全，需要企業本身采取更為嚴格的管理措施，需要國家建立健全法律制度，更需要有科學的先進的安全技術。

在電子商務的交易中，經濟信息、資金都要通過網絡傳輸，交易雙方的身份也需要認證，因此，電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒，使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl、set安全協議等技術來保護。

在這里我想重點談談防火墻技術和數據加密技術。

一、防火墻技術。

防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。

新一代的防火墻產品一般運用了以下技術：

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。而現在的防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。

(2)靈活的系統。

系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。

(3)多級過濾技術。

為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透膽連接,并對服務的通行實行嚴格控制。

(4)網絡地址轉換技術。

防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網關技術。

由于是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

(6)安全服務器網絡(SSN)。

為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。

(8)用戶定制服務。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。

(9)審計和告警。

新一代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。此外,防火墻還在網絡診斷、數據備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現，故也被稱為包過濾路由器。它在網絡層對進入和出去內部網絡的所有信息進行分析，一般檢查數據包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型，并按照信息過濾規則進行篩選，若符合規則，則允許該數據包通過防火墻進入內部網，否則進行報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據特定的劌則允許或拒絕流動的數據，如：Telnet服務器在TCP的23號端口監聽遠程連接，若管理員想阻塞所有進入的Telnet連接，過濾規則只需設為丟棄所有的TCP端口號為23的數據包。采用這種技術的防火墻速度快，實現方便，但由于它是通過IP地址來判斷數據包是否允許通過，沒有基于用戶的認證，而IP地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發現黑客的攻擊紀錄。

其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用機制，內置了應用程序，可用服務器作內部網和Internet之間的的轉換。若外部網的用戶要訪問內部網，它只能到達服務器，若符合條件，服務器會到內部網取出所需的信息，轉發出去。同樣道理，內部網要訪問Internet,也要通過服務器的轉接，這樣能監控內部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄，但它不允許內部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的Internet服務安裝相應的服務器軟件，用戶無法使用未被服務器支持的服務。

防火墻技術從其功能上來分，還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用，以彌補各自的缺陷和增加系統的安全性能。

防火墻雖然能對外部網絡的功擊實施有效的防護，但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的，還需考慮其它技術和非技術的因素，如信息加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火墻本身來看，包過濾技術和訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內核等。但實踐證明，防火墻仍然是網絡安全中最成熟的一種技術。

二、數據加密技術

在電子商務中，信息加密技術是其它安全技術的基礎，加密技術是指通過使用代碼或密碼將某些重要信息和數據從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式（即加密），在線路上傳送或在數據庫中存儲，其他用戶再將密文還原成明文（即解密），從而保障信息數據的安全性。

數據加密的方法很多，常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標準局正式頒布其為加密標準，這種方法使用簡單，加密解密速度快，適合于大量信息的加密。但存在幾個問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設每對交易方用不同的密鑰，N對交易方需要N*(N-1)/2個密鑰，難于管理。第三，不能鑒別數據的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對外界公開，私鑰自己保管，用公鑰加密的信息，只能用對應的私鑰解密，同樣地，用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下：

（1）發送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個過程包含了兩個加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機密性。另外，發送方甲用自己的私鑰加密信息，因為信息是用甲的私鑰加密，只有甲保管它，可以認定信息是甲發出的，而且沒有甲的私鑰不能修改數據。可以保證信息的不可抵賴性。

第7篇：防火墻技術論文范文

［論文摘 要］電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。

隨著網絡的發展，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。

一、電子商務中的信息安全技術

電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。

1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。

2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。

3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。

4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔，包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名，用戶首先將需要加時間的文件用hash編碼加密形成摘要，然后將該摘要發送到dts，dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。

二、電子商務安全防范措施

網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。

1.防火墻技術

用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身必須能夠免于滲透。

2. vpn技術

虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。

3.數字簽名技術

為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。

三、電子商務的安全認證體系

隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。

數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。

四、結束語

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。

參考文獻：

[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.

[2] 趙泉.網絡安全與電子商務[m].北京:清華大學出版社,2005.

第8篇：防火墻技術論文范文

【論文摘要】國民經濟和社會信息化的發展，進一步帶動了工業化發展．在電子信息系統建設的過程中，如何保障系統能提供安全可靠的服務是整個企業電子信息系統建設必須要考慮的問題。本文分析了電子辦公系統的信息安全技術中的安全需求，針對需求提出了相應的解決辦法。

1.企業電子辦公系統中的安全需求

電子辦公系統建設在系統安全性方面的總需求是安全保密、可信可靠，具體表現在以下幾個方面：信息的安全保密性，滿足信息在存儲、傳輸過程中的安全保密性需求；系統的安全可靠性，確保整個電子政務系統的安全可靠；行為的不可抵賴性，保證在所有業務處理過程中，辦公人員行為和系統行為的不可抵賴，以便審計和監督；實體的可鑒別性，是實現監管及其他方面需求的必要條件；對象的可授權性，針對政務工作的特點，要求具有對對象靈活授權的功能，包括用戶對用戶的授權、系統對用戶的授權、系統對系統的授權等；信息的完整性，保證信息存儲和傳輸過程中不被篡改和破壞。

2.企業電子辦公系統安全保障防火墻技術

針對安全需求，在電子信息系統中需要采取一系列的安全保障技術，包括安全技術和密碼技術，對涉及到核心業務的涉密網，還要采用物理隔離技術進行保護。這些技術作用在網絡層、系統層和應用層，對信息系統起著不同的安全保護作用。在網絡層主要應用的技術有防火墻、VPN、SSL、線路加密、安全網關和網絡安全監測；系統層則包括操作系統安全、數據庫系統安全以及安全的傳輸協議；應用層安全技術主要涉及認證與訪問控制、數據或文件加密和PKI技術。

從網絡安全角度上講，它們屬于不同的網絡安全域，因此，在各級網絡邊界以及企業網和Internet邊界都應安裝防火墻，并實施相應的安全策略。防火墻可以根據既定的安全策略允許特定的用戶和數據包穿過，同時將安全策略不允許的用戶和數據包隔斷，達到保護高安全等級的子網、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點主要是無法防止來自防火墻內部的攻擊。

3.內網和外網隔離技術

企業電子辦公網絡是由政務核心網(涉密網)。隨著各類機構內部網絡業務系統(也稱內網)和公眾互聯網(也稱外網)的不斷發展，許多業務系統正在逐步向互聯網轉移，使得內外網的數據交換和互聯成為必然的趨勢。互聯網潛在的不安全因素，造成人們對內外網互聯的擔憂，所以出現了多種方法來解決內外網的數據交換問題而又不影響內網的安全性，如采用內外網的物理隔離方法，將核心網與其他網絡之間斷開，將專用網和政府公眾信息網之間邏輯隔離。隔離技術的發展至今共經歷了五代。

3.1隔離技術，雙網機系統。

3.2隔離技術，基于雙網線的安全隔離卡技術。

3.3隔離技術，數據轉播隔離技術。

3.4隔離技術，隔離服務器系統。該技術是通過使用開關，使內外部網絡分時訪問臨時緩存器來完成數據交換的，但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題，往往成為網絡的瓶頸。

3.5隔離技術，安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制，來實現網絡間的隔離和數據交換，不僅解決了以往隔離技術存在的問題，并且在網絡隔離的同時實現高效的內外網數據的安全交換，它透明地支持多種網絡應用，成為當前隔離技術的發展方向。

4.密碼技術

密碼技術是信息交換安全的基礎，通過數據加密、消息摘要、數字簽名及密鑰交換等技術實現了數據機密性、數據完整性、不可否認性和用戶身份真實性等安全機制，從而保證了網絡環境中信息傳輸和交換的安全。

加密技術的原理可用下面的公式表示。

轉貼于

加密：E k1(M)一C

解密：D k2(C)一M

其中E為加密函數；M為明文；K為密鑰；D為解密函數；C為密文。按照密鑰的不同形式，密碼技術可以分為三類：對稱密碼算法、非對稱密碼算法和單向散列函數。

在對稱密碼算法中，使用單一密鑰來加密和解密數據。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點是計算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密，為保障較高的安全性，需要經常更換密鑰。因此，密鑰的分發與管理是其最薄弱且風險最大的環節。

在非對稱密碼算法中，使用兩個密鑰(公鑰和私鑰)來加密和解密數據。當兩個用戶進行加密通信時，發送方使用接收方的公鑰加密所發送的數據；接收方則使用自己的私鑰來解密所接收的數據。由于私鑰不在網上傳送，比較容易解決密鑰管理問題，消除了在網上交換密鑰所帶來的安全隱患，所以特別適合在分布式系統中應用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點是計算量大、速度慢，不適合加密長數據。

非對稱密碼算法還可以用于數字簽名。數字簽名主要提供信息交換時的不可抵賴性，公鑰和私鑰的使用方式與數據加密恰好相反。

單向散列函數的特點是加密數據時不需要密鑰，并且經過加密的數據無法解密還原，只有使用同樣的單向加密算法對同樣的數據進行加密，才能得到相同的結果。單向散列函數主要用于提供信息交換時的完整性，以驗證數據在傳輸過程中是否被篡改。

5.公共密鑰基礎設施(PK 1)

PKI技術是電子政務安全系統的核心。它通過數字證書的頒發和管理，為上層應用提供了完善的密鑰和證書管理機制，具有用戶管理、密鑰管理、證書管理等功能，可保證各種基于公開密鑰密碼體制的安全機制在系統中的實現。

PKI提供的證書服務主要有兩個功能，即證實用戶身份的功能及保證信息機密性和完整性的功能。它最主要的組件就是認證中心(CA)。CA頒發的證書可以作為驗證用戶身份的標識，可以有效解決網絡中的信任問題。它是電子政務網中信任篚基礎。

在CA頒發的證書基礎上，可以實現數字信封，數字簽名、抗否認等功能，提供數據機密性、數據完整性等電子政務系統中所必需的安全服務。

6.入侵檢測技術

入侵檢測系統(IDS)可以做到對網絡邊界點雕數據進行檢測，對服務器的數據流量進行檢測，入侵著的蓄意破壞和篡改，監視內部吊戶和系統管運行狀況，查找非法用戶和合法用戶的越權操作，又用戶的非正常活動進行統計分析，發現人侵行為自規律，實時對檢測到的人侵行為進行報警、阻斷，關鍵正常事件及異常行為記錄日志，進行審計跟焉管理。

IDS是對防火墻的非常有必要的附加，而不僅是簡單的補充。網絡入侵檢測系統還可以與防一墻進行聯動，一旦發現由外部發起的攻擊行為，將一防火墻發送通知報文，由防火墻來阻斷連接，實現秀態的安全防護體系。

企業電子辦公的安全保障是系統能夠真正發揮作用的前提，各種安全保障設施必須和系統建設同步實施，同時要加強各種安全管理制度，增強系統使用和系統管理者的安全意識，才能從根本上保證系安全可靠的運行。

【參考文獻】

［1］朱少民．現代辦公自動化系統的架框研究，辦公自動化技術．

第9篇：防火墻技術論文范文

英國方面， 5月12日英國國家醫療服務體系遭遇了大規模網絡攻擊，多家公立醫院的電腦系統幾乎同時癱瘓，電話線路也被切斷，導致很多急診病人被迫轉移。《每日郵報》稱，至少19家位于英格蘭和蘇格蘭的NHS所屬醫療機構遭到網絡攻擊，這些機構包括醫院和全科醫生診所。

黑客武器搭載的勒索病毒感染界面，需要支付等額的300美金比特幣才能解鎖。具體從硅谷著名的移動安全廠商 Trustlook 提供的數據看，本次病毒爆發涉及到全球，幾乎沒有任何的遺漏，下面是檢測到的爆發點：

由于國內曾多次出現利用445端口傳播的"蠕蟲病毒"，部分運營商對個人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

病毒發行者利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue“永恒之藍”，將2017年2月的一款病毒升級。被感染的Windows用戶必須在7天內交納比特幣作為贖金，否則電腦數據將被全部刪除且無法修復。病毒要求用戶在被感染后的三天內交納相當于300美元的比特幣，三天后“贖金”將翻倍。

“永恒之藍”可遠程攻擊Windows的445端口(文件共享)，如果系統沒有安裝今年3月的微軟補丁(MS17-010)，無需用戶任何操作，只要開機上網，就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。這是一個利用永恒之藍漏洞的勒索蠕蟲，挺會PR的，外媒取了個名字叫 wannacry(想哭蠕蟲)，估計很多中病毒的人都想哭吧。

windows用戶請務必安裝微軟MS17-010安全補丁信息：

technet.microsoft.com/zh-cn/library/security/MS17-010

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已補丁修復。此前360安全中心也已推出“NSA武器庫免疫工具”( dl.360safe.com/nsa/nsatool.exe )，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的端口，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

如何防范病毒？

如您使用的是服務器,可用這段代碼進行技術檢測：

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

如您使用的是Windows,請使用下面步驟進行檢測：

1. 查看445端口是否開放并決定是否關停server服務

點擊“開始”->“運行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態

如果處于“listening”->暫時關停server服務：

點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運營”->執行“net stop server”命令

2. 個人用戶臨時解決方案

開啟系統防火墻->利用系統防火墻高級設置阻止向445端口進行連接->安裝相應系統安全更新

win7/win8/win10：

控制面板->系統與安全->啟用Windows防火墻->點擊"高級設置"->點擊“入站規則”->選擇"新建規則"->規則類型選擇“端口”->應用于“TCP”協議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規則應用”全部勾選->罪責名稱任意輸入并點擊完成

winxp：

控制面板->安全中心->啟用“Windows防火墻”->點擊“開始”->“運行”->輸入“cmd”->依次執行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級操作系統版本并進行安全更新

三、騰訊云用戶修復建議：

當前已受影響的用戶，建議對未被加密的重要數據進行備份，并開展重裝工作；

四、對于采用非騰訊云官方 Windows 鏡像的用戶，建議采取如下措施進行緩解：

1>在安全組策略中，檢查您名下所有 Windows 云主機是否已關閉 137、 139、 445 服務端口的對外訪問，建議禁止外部訪問此類高危端口，詳細修復可參考如下鏈接：

【安全預警】關于方程式組織黑客工具包再曝光通知-騰訊云官方論壇；

2>目前微軟官網的補丁已經修復了可導致該蠕蟲病毒被傳染的漏洞，建議用戶及時安裝 Windows 最新版本補丁（包含此次受影響的 MS07-010 補丁），避免成為勒索蠕蟲的受害者；

3> 目前騰訊云官網提供的 Windows 鏡像已經在4月20日全網更新完成，默認已安裝最新補丁，并不受此次“比特幣勒索蠕蟲病毒”影響，請您放心使用。

五、普通電腦用戶修復建議：