網(wǎng)絡安全防火墻論文最新篇

網(wǎng)絡安全關系到信息的保密與泄露，以下是小編整理的網(wǎng)絡安全防火墻論文，歡迎參考閱讀！

防火墻安全的計算機網(wǎng)絡安全論文

1計算機網(wǎng)絡安全中常用的防火墻技術

隨著計算機網(wǎng)絡技術快速發(fā)展，防火墻安全防范技術也不斷的發(fā)生著變化，目前，常用的防火墻技術有代理型防火墻安全技術、包過濾型防火墻安全技術、監(jiān)測型防火墻安全技術、網(wǎng)址轉(zhuǎn)換防火墻安全技術等。

1。1代理型防火墻安全技術代理型防火墻安全技術是一種代理服務器，屬于高級防火墻技術，代理型防火墻安全技術常用于用戶之間，對可能對電腦信息造成危害的動作進行攔截，從用戶的角度講，代理服務器是有用的服務器，從服務器的角度看，代理型服務器，就是用戶機。當用戶的計算機進行信息溝通、傳遞時，所有的信息都會通過代理型服務器，代理型服務器會將不利的信息過濾掉，例如阻攔各種攻擊信息的行為，代理服務器會將真正的信息傳遞到用戶的計算機中。代理型防火墻技術的最大的特點是安全性能高，針對性強，能將不利的信息直接過濾掉。

1。2包過濾型防火墻安全技術包過濾防火墻安全技術是一種比較傳統(tǒng)的安全技術，其關鍵技術點是網(wǎng)絡分包傳輸，在信息傳遞過程中，以包為單位，每個數(shù)據(jù)包代表不同的含義，數(shù)據(jù)包可以根據(jù)信息數(shù)據(jù)的大小、信息的來源、信息的性質(zhì)等進行劃分，包過濾防火墻技術就是對這些數(shù)據(jù)包進行識別，判斷這些數(shù)據(jù)包是否合法，從而實現(xiàn)計算機網(wǎng)絡安全防護。包過濾型防火墻安全技術是在計算機網(wǎng)路系統(tǒng)中設定過濾邏輯，使用相關軟件對進出網(wǎng)絡的數(shù)據(jù)進行控制，從而實現(xiàn)計算機網(wǎng)絡安全防護。包過濾防火墻技術的最重要的是包過濾技術，包過濾型防火墻安全技術的特點有適應性強、實用性強、成本低，但包過濾型防火墻技術的最大缺點是不能對惡意程序、數(shù)據(jù)進行進行識別，一些非法人員可以偽造地址，繞過包過濾防火墻，直接對用戶計算機進行攻擊。

1。3監(jiān)測型防火墻安全技術監(jiān)測型防火墻安全技術是對數(shù)據(jù)信息進行檢測，從而提高計算機網(wǎng)絡安全，但監(jiān)測型防火墻安全技術成本費用比較高，不容易管理，從安全角度考慮，監(jiān)測型防火墻安全技術還是可以用于計算機網(wǎng)絡中。

1。4網(wǎng)址轉(zhuǎn)換防火墻安全技術網(wǎng)址轉(zhuǎn)換技術將網(wǎng)絡地址轉(zhuǎn)換成外部的、臨時的地址，這樣外部IP對內(nèi)部網(wǎng)絡進行訪問時，其他用戶不能利用其他IP重復訪問網(wǎng)絡，外部IP在訪問網(wǎng)絡時，首先會轉(zhuǎn)到記錄和識別中進行身份確認，系統(tǒng)的源地址通過外部網(wǎng)絡和非安全網(wǎng)卡連接真正的IP會轉(zhuǎn)換成虛擬的IP，將真正的IP隱藏起來。當用戶訪問網(wǎng)絡時，如果符合相關準則，防火墻就會允許用戶訪問，如果檢測不符合準則，防火墻就會認為該訪問不安全，進行攔截。

2防火墻安全防范技術在計算機網(wǎng)絡安全中的應用

2。1訪問策略設置訪問策略設置是防火墻的核心安全策略，因此，在設置訪問策略時，要采用詳細的信息說明和詳細的系統(tǒng)統(tǒng)計，在設置過程中，要了解用戶對內(nèi)部及外部的應用，掌握用戶目的地址、源地址，然后根據(jù)排序準則和應用準則進行設置在，這樣防火墻在執(zhí)行過程中，能按照相應的順序進行執(zhí)行。

2。2安全服務配置安全服務的是一個獨立的局域網(wǎng)絡，安全服務的隔離區(qū)將系統(tǒng)管理的機群和服務器的機群單獨劃分出來，從而保障系統(tǒng)管理和服務器的信息安全，安全服務既是獨立的網(wǎng)絡又是計算機內(nèi)部網(wǎng)絡的重要組成部分。對于內(nèi)部網(wǎng)絡可以采用網(wǎng)址轉(zhuǎn)換防火墻安全技術進行保護，將主機地址設置成有效的IP地址，并且將這些網(wǎng)址設置公用地址，這樣就能對外界IP地址進行攔截，有效的保護計算機內(nèi)部網(wǎng)絡安全，確保計算機內(nèi)部網(wǎng)絡安全、穩(wěn)定的運行。如果企業(yè)擁有邊界路由器，可以利用原有的邊界路由器，采用包過濾防火墻安全技術進行網(wǎng)絡安全保護，這樣還可有降低防火墻成本費用。

2。3日志監(jiān)控日志監(jiān)控是保護計算機網(wǎng)絡安全的重要管理手段之一，在進行日志監(jiān)控時，一些管理員認為不必要進行日志信息采集，但防火墻信息數(shù)據(jù)很多，并且這些信息十分繁雜，只有收集關鍵的日志，才能當做有效的日志。系統(tǒng)警告信息十分重要，對進入防火墻的信息進行選擇性記錄，就能記錄下對計算機網(wǎng)絡有威脅的信息。

3結束語

計算機網(wǎng)絡技術的快速發(fā)展必然會為網(wǎng)絡安全帶來一定的隱患，因此，要不斷更新完善計算機網(wǎng)絡安全技術，改革防火墻安全防范技術，抵抗各種對計算機信息有害的行為，提高計算機網(wǎng)絡安全防護能力，確保計算機網(wǎng)絡安全，從而保證計算機網(wǎng)絡系統(tǒng)安全穩(wěn)定的運行。

計算機網(wǎng)絡安全與防火墻技術

導讀：影響計算機網(wǎng)絡安全的因素很多。而防火墻是一種保護計算機網(wǎng)絡安全的技術性措施。使用單防火墻和單子網(wǎng)保護多級應用系統(tǒng)的網(wǎng)絡結構。欺騙，論文參考，計算機網(wǎng)絡安全與防火墻技術。

關鍵詞：計算機網(wǎng)絡安全，防火墻，單子網(wǎng)，arp欺騙

影響計算機網(wǎng)絡安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡系統(tǒng)資源的非法使有。這些因素可以大體分類為：計算機病毒、人為的無意失誤、人為的惡意攻擊、網(wǎng)絡軟件的缺陷和漏洞、物理安全問題。

而防火墻是一種保護計算機網(wǎng)絡安全的技術性措施，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡，防止他們更改、拷貝、毀壞你的重要信息。

1。 非法攻擊防火墻的基本“招數(shù)”

通常情況下， 有效的攻擊都是從相關的子網(wǎng)進行的。因為這些網(wǎng)址得到了防火墻的信賴，雖說成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。下面以數(shù)據(jù)包過濾防火墻為例，簡要描述可能的攻擊過程。

通常主機A與主機B 的TCP 連接（中間有或無防火墻） 是通過主機A向主機B 提出請求建立起來的，而其間A和B 的確認僅僅根據(jù)由主機A 產(chǎn)生并經(jīng)主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊（TCP SynFlood Attack），使得信賴主機處于“自顧不暇”的忙碌狀態(tài)，相當于被切斷，這時目標主機會認為信賴主機出現(xiàn)了故障，只能發(fā)出無法建立連接的RST 包，而無暇顧及其他。

攻擊者最關心的是猜測目標主機的ISN。為此，可以利用SMTP的端口（25），通常它是開放的，郵件能夠通過這個端口，與目標主機打開（Open）一個TCP 連接，因而得到它的ISN。在此有效期間，重復這一過程若干次，以便能夠猜測和確定ISN的產(chǎn)生和變化規(guī)律，這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發(fā)出連接請求。請求發(fā)出后，目標主機會認為它是TCP 連接的請求者，從而給信賴主機發(fā)送響應（包括SYN），而信賴主機目前仍忙于處理Flood淹沒攻擊產(chǎn)生的“合法”請求，因此目標主機不能得到來自于信賴主機的響應。現(xiàn)在攻擊者發(fā)出回答響應，并連同預測的目標主機的ISN一同發(fā)給目標主機，隨著不斷地糾正預測的ISN，攻擊者最終會與目標主機建立一個會晤。通過這種方式， 攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。論文參考，arp欺騙。。如果反復試驗使得目標主機能夠接收對網(wǎng)絡的ROOT 登錄，那么就可以完全控制整個網(wǎng)絡。

2。 單防火墻和單子網(wǎng)

由于不同的資源存在著不同的風險程度，所以要基于此來對網(wǎng)絡資源進行劃分。這里的風險包含兩個因素： 資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個好的Web 服務器運行CGI 會比僅僅提供靜態(tài)網(wǎng)頁更容易得到用戶的認可，但隨之帶來的卻是Web 服務器的安全隱患。網(wǎng)絡管理員在服務器前端配置防火墻，會減少它全面暴露的風險。數(shù)據(jù)庫服務器中存放有重要數(shù)據(jù)，它比Web 服務器更加敏感，因此需要添加額外的安全保護層。

使用單防火墻和單子網(wǎng)保護多級應用系統(tǒng)的網(wǎng)絡結構，這里所有的服務器都被安排在同一個子網(wǎng)，防火墻接在邊界路由器與內(nèi)部網(wǎng)絡之間，防御來自Internet 的網(wǎng)絡攻擊。論文參考，arp欺騙。。在網(wǎng)絡使用和基于主機的入侵檢測系統(tǒng)下，服務器得到了加強和防護，這樣便可以保護應用系統(tǒng)免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的，但它們并沒有明顯的顯示在圖表中。

在這種設計方案中，所有服務器都安排在同一個子網(wǎng)，用防火墻將它們與Internet 隔離，這些不同安全級別的服務器在子網(wǎng)中受到同等級的安全保護。盡管所有服務器都在一個子網(wǎng)，但網(wǎng)絡管理員仍然可以將內(nèi)部資源與外部共享資源有效地分離。使用單防火墻和單子網(wǎng)保護服務器的方案系統(tǒng)造價便宜，而且網(wǎng)絡管理和維護比較簡單，這是該方案的一個重要優(yōu)點。因此， 當進一步隔離網(wǎng)絡服務器并不能從實質(zhì)上降低重要數(shù)據(jù)的安全風險時，采用單防火墻和單子網(wǎng)的方案的確是一種經(jīng)濟的選擇。

3。 單防火墻和多子網(wǎng)

如果遇見適合劃分多個子網(wǎng)的情況，網(wǎng)絡管理員可以把內(nèi)部網(wǎng)絡劃分成獨立的子網(wǎng)，不同層的服務器分別放在不同的子網(wǎng)中，數(shù)據(jù)層服務器只接受中間層服務器數(shù)據(jù)查詢時連接的端口，就能有效地提高數(shù)據(jù)層服務器的安全性，也能夠幫助防御其它類型的攻擊。論文參考，arp欺騙。。這時，更適于采用一種更為精巧的網(wǎng)絡結構???單個防火墻劃分多重子網(wǎng)結構。單個防火墻劃分多重子網(wǎng)的方法就是在一個防火墻上開放多個端口，用該防火墻把整個網(wǎng)絡劃分成多個子網(wǎng)，每個子網(wǎng)分管應用系統(tǒng)的特定的層。管理員能夠在防火墻不同的端口上設置不同的安全策略。

使用單個防火墻分割網(wǎng)絡是對應用系統(tǒng)分層的最經(jīng)濟的一種方法，但它并不是沒有局限性。邏輯上的單個防火墻，即便有冗余的硬件設備，當用它來加強不同安全風險級別的服務器的安全策略時，如果該防火墻出現(xiàn)危險或錯誤的配置，入侵者就會獲取所有子網(wǎng)包括數(shù)據(jù)層服務器所在的最敏感網(wǎng)絡的訪問權限。而且，該防火墻需要檢測所有子網(wǎng)間的流通數(shù)據(jù)，因此，它會變成網(wǎng)絡執(zhí)行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設計方案???多個防火墻劃分多個子網(wǎng)的方法，來消除這種缺陷。

4。arp欺騙對策

各種網(wǎng)絡安全的對策都是相對的，主要要看網(wǎng)管平時對網(wǎng)絡安全的重視性了。下面介始一些相應的對策：

在系統(tǒng)中建立靜態(tài)ARP表，建立后對本身自已系統(tǒng)影響不大的，對網(wǎng)絡影響較大，破壞了動態(tài)ARP解析過程。論文參考，arp欺騙。。靜態(tài)ARP協(xié)議表不會過期的，我們用“arp?d”命令清除ARP表，即手動刪除。論文參考，arp欺騙。。但是有的系統(tǒng)的靜態(tài)ARP表項可以被動態(tài)刷新，如Solaris系統(tǒng)，那樣的話依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態(tài)ARP表項不會自動超時消失。論文參考，arp欺騙。。 在相對系統(tǒng)中禁止某個網(wǎng)絡接口做ARP解析（對抗ARP欺騙攻擊），可以做靜態(tài)ARP協(xié)議設置（因為對方不會響應ARP請求報文）如：arp ?sXXX。XXX。XX。X 08?00?20?a8?2e?ac。 在絕大多數(shù)操作系統(tǒng)如：Unix、BSD、NT等，都可以結合“禁止相應網(wǎng)絡接口做ARP解析”和“使用靜態(tài)ARP表”的設置來對抗ARP欺騙攻擊。而Linux系統(tǒng)，其靜態(tài)ARP表項不會被動態(tài)刷新，所以不需要“禁止相應網(wǎng)絡接口做ARP解析”即可對抗ARP欺騙攻擊。