分享到:

网络防火墙的体系结构

防火墙对于企业网络的防御系统来说,是一个不可缺少的基础设施。我们在选择防火墙时,首先考虑的就是需要一个什么结构的产品,防火墙发展到今天,很多产品已经越来越象是一个网络安全的工具箱,工具的多少固然很重要,而系统的结构则是一个起决定性作用的前提,因为防火墙的结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。 $$ 防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。 $$ 包过滤是历史最久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种。 $$ 简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果你已经有边界路由器了,那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配...  (本文共3页) 阅读全文>>

权威出处: 网络世界2001-06-18
浙江大学
浙江大学

协同设计数据安全防范机制的研究

计算机支持的协同设计(Computer Supported Collaboration Design,CSCD)是一种基于网络平台的由异地专家参与的以产品性能为中心的产品开发技术。协同设计以网络和信息技术为支撑,能够使参与协同设计的专家克服时间和空间障碍实现设计信息共享,是当前工程设计领域的研究热点之一。产品各种设计信息的交换与共享是进行协同设计的基础,而网络是产品设计信息交流的载体,网络的安全畅通是实现协同设计的前提。数据安全防范机制已成为实现协同设计平台的关键技术之一。但目前国内外专家在数据安全防范措施与协同设计平台的集成方面,尚缺乏相应的研究。本论文研究协同设计网络安全环境问题,探讨网络安全环境下协同设计平台网络服务的实现方式及技术。主要研究内容如下:(1) 提出并讨论协同设计网络安全问题,指出进行协同设计网络安全环境方面研究的必要性;(2) 研究网络安全防范机制和网络防火墙体系结构,建立CF _FIREWALL网络防...  (本文共90页) 本文目录 | 阅读全文>>

《电子技术与软件工程》2015年22期
电子技术与软件工程

解析计算机网络防火墙的体系结构

防火墙指的是一个由软件和硬件设备组合而成,是一种位于内部网络与外部网络之间的网络安全系统。它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,所有的进出信息必须要经过防护网,它是安全问题的检查点。防火墙本身要具有非常强的抗攻击免疫力,要像个卫士一样时刻保护着互联网的安全,它对阻止非法入侵起着很大的作用。因此对防护墙的装置需要有一定的技巧和智慧,一个不经意间的疏忽就会给电脑带来巨大的安全隐患。下面我将详细地介绍计算机网络防火墙的五种体系结构。1双宿主主机防火墙结构双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机的内网与外网均可与双宿主主机间实现互通,然而它的内网与外网间IP数据流被双宿主主机完全切断,内网与外网间是不能互通的。在使用的时候,用户可以选择直接登录双宿主机或者是在双宿主机上运行代理服务器。若是用户自己登陆的话,会在不经意间给入侵者提供了相对容易的入侵途径;若是选择后...  (本文共1页) 阅读全文>>

南京气象学院
南京气象学院

基于包过滤技术的分布式防火墙研究

本文在与传统的网络防火墙、个人防火墙技术对比的基础之上,结合计算机网络安全的本质与要求,对分布式防火墙这一全新的防火墙体系结构进行了分析,提出一种充分利用现有技术和投资的分布式防火墙系统的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻留在内部网络终端的主机防火墙及其控制中心,将防火墙延伸到内部网络的终端,从而有效防范来自网络内部的非法访问与恶意破坏。主机防火墙被设计为一种基于扩展的包过滤技术的防火墙,利用进行网络通讯的应用程序、IP地址、TCP/UDP端口号等信息对计算机内部网络终端发出的数据包进行过滤,同时将日志信息发送到控制中心。主机防火墙上的过滤规则由控制中心统一设置,对网络终端的用户透明。本文利用巴科斯范式(BNF)对驻留主机防火墙的过滤规则进行了形式化描述。运用排队论中的M/M/1模型对分布式防火墙的通信稳定性进行了分析。在此基础之上实现了一个工作在Windows系列操作系统上利用Windows开放系统架构(W...  (本文共47页) 本文目录 | 阅读全文>>

《农业发展与金融》2005年06期
农业发展与金融

传统网络防火墙的局限性

随着信息技术的日新月异,网络安全已被摆上日益突出的位置。传统的网络防火墙,存在着以下不足之处: 1.无法检测加密的陇b流量。 如果你正在部署一个新建的门户网站或应用平台,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。 由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。 2.普通应用程序加密后,也能轻易躲过防火墙的检测。 网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(工Ds,工ntru幼0n-oete比system)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。 但如今,采用常见的编码技术,就...  (本文共1页) 阅读全文>>

同济大学
同济大学

分布式防火墙系统的研究与设计

本文在与传统的网络防火墙技术对比的基础之上,结合计算机网络安全的本质与要求,对分布式防火墙这一全新的防火墙体系结构进行了分析,提出一种充分利用现有技术和投资的分布式防火墙系统的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻留在内部网络终端的主机防火墙及其控制中心,将防火墙延伸到内部网络的终端,从而有效防范来自网络内部的非法访问与恶意破坏。主机防火墙被设计为一种基于扩展的包过滤技术的防火墙,利用进行网络通讯的应用程序、IP地址、TCP/UDP端口号等信息对计算机内部网络终端发出的数据包进行过滤,同时将日志信息发送到控制中心。主机防火墙上的过滤规则由控制中心统一设置,对网络终端的用户透明。本文利用巴科斯范式(BNF)对驻留主机防火墙的过滤规则进行了形式化描述。运用排队论中的M/M/1模型对分布式防火墙的通信稳定性进行了分析。在此基础之上实现了一个工作在Windows系列操作系统上利用Windows开放系统架构(WOSA)中提...  (本文共63页) 本文目录 | 阅读全文>>