信息安全11.doc

《信息安全11.doc》由会员分享，可在线阅读，更多相关《信息安全11.doc（8页珍藏版）》请在咨信网上搜索。

1、-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-目 录1 防火墙的概念21.1 防火墙的工作原理22 防火墙技术的发展状况33 防火墙的分类及优缺点33.1 包过滤型33.2 代理型43.3 监测型54 防火墙发展的新技术趋势54.1 模式转变54.2 功能扩展54.3 性能提高65 防火墙的作用66 结束语6参考文献7常用的防火墙技术的概述及其原理摘要：随着计算机网络的发展，网络上的信息是越来越多，而如何保证信息的安全，防火墙作为网络安全的关键技术，受到越来越多的关注。本文从防火墙技术的概念和分类入手，针对防火墙的发展，探讨了防火墙的类别，对比分析了常用防火墙技术的

2、优缺点，简单阐述了防火墙的作用。关键词：防火墙的概念；防火墙分类；防火墙作用1 防火墙的概念 随着信息化进程的深入和互联网的迅速发展，人们对网络的利用是越来越多，通过网络丰富了生活，信息资源得到了最大程度的共享。但必须看到，紧随信息技术发展而来的网络安全问题日渐突出：病毒泛滥、垃圾邮件、层出不穷的黑客攻击事件给个人及企业带来了无以估计的损失。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，其核心思想是在不安全的网络环境中构造一个相对安全的子网环境，它是防御网络信息遭受攻击的有效手段，越来越多地应用于专用网络与公用网络的互连环境中。 在网络中，防火墙是通过提供访问控制服务

3、来实现对内部网络的安全防护的，它已经在Internet上得到了广泛的应用，但它不是解决所有网络安全的万能药方，而只是网络安全策略的一个组成部分，防火墙技术不仅可融入加密传输技术和认证技术，而且可结合安全协议，以提供更高的安全性。 防火墙是一种网络安全设施，是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上，使其成为内外通讯的唯一途径，从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则（访问控制规则）对经过它的信息流进行监控和审查，过滤掉任何不符合安全规则的信息，以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被

4、认为是不太安全可信的外部网络（Internet）之间的访问控制机制，是安全策略的具体体现。11.1 防火墙的工作原理 一般说来，防火墙包括如下几个组成部分（见图1.1）。过滤器（filter)（有时称为屏蔽）用于阻断一定类型的通信传输。网关是一台或一组机器，它提供中继服务，以补偿过滤器的影响。驻有网关的网络常被叫作非军事区（DMZ），DMZ中的网关有时还由一个内部网关协助工作。一般情况下，两个网关通过内部过滤器到内部的连接比外部网关到其它内部主机的连接更为开放。外部过滤器可用来保护网关免受攻击，而内部过滤器用来应付一个网关遭到破坏后所带来的后果，两个过滤器均可保护内部网络，使之免受攻击。一个暴

5、露的网关机器通常被叫做堡垒机。3 图1.1 防火墙的基本组成部分2 防火墙技术的发展状况防火墙技术的发展大致可分为三个阶段。第一代防火墙是包过滤型防火墙，作用于网络层上。由于发展得最早，所以是目前最成熟的防火墙核心技术之一。第二代防火墙是代理型防火墙，也就是所谓的代理网关。很多软件防火墙都可归于此类。第三代防火墙是基于状态检查技术的包过滤器，是一种更复杂的包过滤器，提供对从网络层到应用层进行全面检查的能力，是目前防火墙技术的发展趋势之一。 防火墙技术的另一发展趋势是与安全协议的结合，这种访问控制和通讯安全技术的结合可以提供更高的网络安全性，已开始成为当今网络安全技术的潮流和热点。其中特别引人瞩

6、目的是状态检查包过滤技术和网络安全协议的结合。23 防火墙的分类及优缺点 防火墙从其实现的原理和方法上，可分为以下类别。下面将逐一介绍。3.1 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术，包过滤一般在路由器上实现，其原理和结构如图3.1所示： 图3.1包过滤工作在网络层和逻辑链路层之间，截获所有数据包，每一个数据包都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。通过读取数据包中的数据来过滤所需的相关信息，然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，如果与某条规则相匹配，便执行其规定的动作（如：接收/拒绝、日志等），系

7、统管理员也可以根据实际情况灵活订制判断规则。包过滤技术的优点是简单实用，实现成本低，速度快，性能高。由于只对数据包的IP地址、TCP/UDP协议与端口进行分析，不检测应用层信息，因而包过滤防火墙的处理速度较快，并且易于配置，并且对应用程序透明。但包过滤技术的缺陷也是明显的。安全性低，包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的的来源、目标和端口等网络信息进行判断，无法识别基于应用层的的恶意侵入，不能识别IP地址的欺骗；不能根据状态信息进行控制，简单包过滤防火墙不建立连接状态表，前后报文无关，所以不能处理新的安全威胁；还有伸缩性差，维护不直观等缺陷。3.2 代理型 代理型防火墙也可

8、以被称为代理服务器，其技术依据是应用代理技术。开始向应用层发展，其原理和结构如图3.2所示： 图3.2代理型防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。由于外网与内网之间没有直接的数据通道，外网的恶意侵害也就很难伤害到内网中的系统。代理型防火墙的优点是安全性较高，可以针对应用层进行检测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，对网络层和传输层的保护减弱了，而且代理型防火墙必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。3.3 监测型 监测型防火墙是新一代的产

9、品，这一技术已经超越了最初防火墙的定义。其技术依据是对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙一般还带有分布式探测器，这些探测器安置在各种应用服务器和其它网络的节点之中，不仅能够检测出来自外网的攻击，对来自内网的恶意破坏也有极强的防范作用。监测型防火墙不仅超越了传统防火墙的定义范畴，而且在安全性上也超越了前两代产品。4 防火墙发展的新技术趋势4.1 模式转变 传统的防火墙通常都是设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。但这种设计的最大

10、问题是，恶意攻击的发起不仅仅来自于外网，内网环境同样存在着很多安全隐患，而对于这种问题，边界式防火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布式结构，即分布式防火墙，它以网络节点为保护对象，可以最多限度地覆盖需要保护的对象，大大提升安全防护强度。4.2 功能扩展现在的防火墙产品已经呈现出一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，这样的设计会对管理性能带来不少提升，但同时也对防火墙

11、的性能和自身的安全问题产生了影响，所以应该根据具体的情况来做综合的权衡。4.3 性能提高未来的防火墙产品由于在功能上的扩展，以及应用日益丰富、流量日益复杂所提出的更多的性能要求，诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙平台上来，相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋于几何级数的程度上升，这对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，另外除了硬件因素外，规则处理的

12、方式及算法也会对防火墙性能造成很明显的影响，所以在防火墙的软件部分也将会融入更多先进的设计技术，并衍生出更多的专用平台技术，以期缓解防火墙的性能要求。5 防火墙的作用(1) 执行安全策略，提供访问控制，防止不希望的、未授权的通信进出被保护的网络，强化内部网络安全。(2) 防火墙可集中网络安全，由它根据安全策略统一为整个内部网络提供安全保护和服务；另外可在它上面融入加密传输和认证，以及安全协议等其它安全技术，这样比将安全分散到各主机更经济，更易于管理。(3) 对网络的使用和误用提供记录和统计，并在探测到试探或攻击等可疑行为时，提供报警。这些信息对控制和管理防火墙是很重要的，通过它们可了解防火墙是

13、否能抵挡攻击者的攻击，其访问控制是否充足等，并且它们为以后的需求和安全分析提供了实际的基础数据。56 结束语防火墙技术已经广泛地应用到各行各业，但选择什么类型的防火墙来保障网络安全是用户需要深入研究的问题，期望通过本文的介绍，能够让各行各业的用户更加清楚地了解防火墙，并根据自己的特征来选择防火墙。参考文献：1 蒋朝惠，武彤，王晓鹏，等信息安全原理与技术 M 中国铁道出版社，2009.2 戴蓉，黄成防火墙的分类和作用 D中国民用航空飞行学院计算机学院，20093 王龙防火墙的工作原理与选择 D河南：安阳师范学院计算机与信息工程学院，20104 苏醒，周祖荣防火墙技术研究 J山东：青岛科技大学，2

14、0105 吴淼浅谈网络防火墙技术 D陕西：西安电子科技大学，2009 个人工作业务总结本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”)，主要从事测量技术工作，至今已有三年。在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的提高自己的专业技术水平。同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。在这三年中，在公司各领导及同事的帮助带领下，按照岗位职责要求

15、和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高。 在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习政治理论，坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。积极主动学习专业知识，工作态度端正，认真负责，具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面，勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转变。一、回顾这四年来的职业生涯，我主要做了以下工

16、作：1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000勘探剖面测量、测绘内业资料的编写工作，提交成果新疆库车县胡同布拉克石灰岩矿普查报告已通过评审。2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为库车县城北水厂建设项目用地压覆矿产资源评估报告，现已通过评审。3、参与了新疆库车县巴西克其克盐矿普查项目的野外地质勘查工作，参与项目包括：1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的新疆库车县康村盐矿普查报告已通过评审。4、参与了新疆哈密市南坡

17、子泉金矿2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为新疆哈密市南坡子泉金矿2009年度矿山储量年报，现已通过评审。5、参与了新疆博乐市浑德伦切亥尔石灰岩矿勘探项目的野外地质勘查工作，项目包括：1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作，最终提交新疆库车县胡同布拉克石灰岩矿普查报告评审已通过。6、参与了新疆博乐市五台石灰岩矿9号矿区勘探项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。7、参与了新疆博乐市托特克斜花岗岩矿详查报告项目的野外地质勘查工作，项目包

18、括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。通过以上的这些工作，我学习并具备了以下工作能力： 1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一，提高分析问题、解决问题的能力，从而对测量学的基本内容得到一次实际应用，使所学知识进一步巩固、深化。2、熟悉了三、四等控制测量的作业程序及施测方法，并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。3、掌握了GPS控制测量内业解算软件（南方测绘 Gps数据处理）以及内业成图软件（南方cass）的操作应

19、用。能够将外业测量的数据导入软件进行地形图成图和处理。4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法，并参与了部分项目测量技术总结章节的编写工作。5、在项目负责的领导下参与整个测量项目的组织运作，对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力，为以后的工作打下了坚实基础。二、工作中尚存在的问题 从事测绘工作以来，深深感受到工作的繁忙、责任的重大，也因此没能全方位地进行系统地学习实践，主要表现为没有足够的经验，对于地形复杂的地段理解不够深刻；理论知识掌握不够系统，实践能力尚为有限。以上问题，在今后工作中自己将努力做到更好。三、今后的工作打算 通过总结四年来的工作，我无论从工作技术上，还是从世界观、人生观、价值观等各个方面，都有了很大的提高。今后，我会在此基础上，刻苦钻研，再接再厉，使自己在业务知识水平更上一层楼，为测绘事业的发展，贡献自己的力量。-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-