導言：作為寫作愛好者，不可錯過為您精心挑選的10篇防火墻技術論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

2從防火墻技術分

防火墻技術雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packetfiltering）型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡服務采取特殊的處理方式，適用于所有網(wǎng)絡服務；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。

在整個防火墻技術的發(fā)展過程中，包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。

包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。

（2）應用（ApplicationProxy）型。

應用型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。其典型網(wǎng)絡結構如圖所示。

在型防火墻技術的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型防火和第二代自適應防火墻。

類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。

另外型防火墻采取是一種機制，它可以為每一種應用服務建立一個專門的，所以內(nèi)外部網(wǎng)絡之間的通信不是直接的，而都需先經(jīng)過服務器審核，通過后再由服務器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點是速度相對比較慢，當用戶對內(nèi)外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，防火墻就會成為內(nèi)外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡服務建立專門的服務，在自己的程序為內(nèi)、外部網(wǎng)絡用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。

3從防火墻結構分

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡設備，它位于網(wǎng)絡邊界。

這種防火墻其實與一臺計算機結構差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡，因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

隨著防火墻技術的發(fā)展及應用需求的提高，原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。

原來單一主機的防火墻由于價格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡設備購買成本。

分布式防火墻再也不只是位于網(wǎng)絡邊界，而是滲透于網(wǎng)絡的每一臺主機，對整個內(nèi)部網(wǎng)絡的主機實施保護。在網(wǎng)絡服務器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡發(fā)出的通信請求“不信任”。

4按防火墻的應用部署位置分

按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡實施隔離，保護邊界內(nèi)部網(wǎng)絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡之間通信進行過濾，又對網(wǎng)絡內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用所產(chǎn)生的延時也越小，對整個網(wǎng)絡通信性能的影響也就越小。

雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

參考文獻

篇2

因為校園網(wǎng)絡需要同互聯(lián)網(wǎng)連接，從而給師生查找資料提供便利，不過也因此容易受到黑客攻擊。當代黑客攻擊的技術越來越高明，破壞程度同樣越來越嚴重，黑客攻擊校園網(wǎng)絡，有著時間長、范圍廣、損失大以及處理難的特點，校園網(wǎng)絡當中的DNS服務器、WEB服務器以及郵件服務器是容易遭到黑客攻擊的地方[8]，黑客很多時候使用專業(yè)工具攻擊校園挽留過，導致校園網(wǎng)絡服務器無法正常使用，部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡，同時篡改校園網(wǎng)絡的主頁、破壞各種數(shù)據(jù)從而擾亂教學秩序。

1.2內(nèi)部用戶的問題

現(xiàn)在學生對于網(wǎng)絡了解程度比較深，這就導致部分學生會在好奇心趨勢下，攻擊校園網(wǎng)絡系統(tǒng)，從而給校園網(wǎng)絡的正常運行帶來不利影響，提高了校園網(wǎng)絡管理的難度。統(tǒng)計顯示內(nèi)部用戶造成的校園網(wǎng)絡攻擊占到30％左右，大部分情況由學生好奇心而引起，同時學校對于學生的管理以及教育不夠重視，縱容他們破壞校園網(wǎng)絡安全的種種行為。

2防火墻技術在校園網(wǎng)絡安全中的應用

2.1選擇合適的防火墻產(chǎn)品

最簡單的防火墻是在校園網(wǎng)絡的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應用網(wǎng)關或者是過濾路由器。為更好實現(xiàn)校園網(wǎng)絡的安全，很多時候需要綜合使用不同的防火墻技術從而組合防火墻系統(tǒng)。這就需要明確設置防火墻設置的方案，然后選擇合適的防火墻產(chǎn)品。從形式的角度而言，防火墻可以分成硬件防火墻以及軟件防火墻這2大類，硬件防火墻同軟件防火墻比較而言，由于使用專用硬件設備，并且集成生產(chǎn)廠商防火墻軟件，功能上通過內(nèi)置安全軟件，并且使用強化甚至專屬的操作系統(tǒng)，有著管理方便以及更換容易的特點，并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高，可以解決防火墻性能以及效率之間的關系，可以根據(jù)校園網(wǎng)絡的具體情況來加以選擇。

2.2使用服務器

服務器指的是連接校園網(wǎng)絡局域網(wǎng)以及Internet的網(wǎng)關，這一網(wǎng)關運行服務軟件，可以實現(xiàn)不同網(wǎng)絡之間的互相通信。服務器可以在用戶以及服務器間實現(xiàn)協(xié)同工作，所以提供應用級的網(wǎng)關?？蛻舳送掌靼l(fā)送請求，請求到達服務器，然后服務器在接收連接請求之后，進行身份認證以及訪問控制，要是客戶端確認服務器身份認證以及訪問控制，那么就代替客戶端發(fā)送請求。服務器在響應之后，服務器則將數(shù)據(jù)反饋到客戶端。

篇3

一、概述

隨著計算機網(wǎng)絡的廣泛應用,全球信息化已成為人類發(fā)展的大趨勢?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大,網(wǎng)絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征,致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網(wǎng)絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施。

其實防火墻就好像在古老的中世紀安全防務的一個現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經(jīng)過一個吊橋,吊橋上的看門警衛(wèi)可以檢查每一個來往的行人。對于網(wǎng)絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內(nèi)部網(wǎng)絡可以任意連接,但進出該公司的通信量必須經(jīng)過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網(wǎng)絡上被非法輸出。

防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術

網(wǎng)絡防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡設備,它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡之間的通信是否被允許,其中被保護的網(wǎng)絡稱為內(nèi)部網(wǎng)絡或私有網(wǎng)絡,另一方則被稱為外部網(wǎng)絡或公用網(wǎng)絡。防火墻能有效得控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳輸,從而達到保護內(nèi)部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統(tǒng)應具有以下五方面的特性:

1、所有的內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;

2、只有被授權的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術,比如現(xiàn)代密碼技術等;

5、人機界面良好,用戶配置使用方便,易管理。

實現(xiàn)防火墻的主要技術有:分組篩選器,應用網(wǎng)關和服務等。

(1)分組篩選器技術

分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉(zhuǎn)發(fā),不能通過檢查的就被丟棄。

通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規(guī)則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因為雖然大多數(shù)節(jié)點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協(xié)議),其端口號是動態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應用網(wǎng)關技術

應用網(wǎng)關(ApplicationGateway)技術是建立在網(wǎng)絡應用層上的協(xié)議過濾,它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。

有些應用網(wǎng)關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網(wǎng)關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉(zhuǎn)發(fā)給用戶(3)服務

服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內(nèi)部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡只接受提出的服務請求,拒絕外部網(wǎng)絡其它接點的直接請求。

具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內(nèi)部網(wǎng)絡接口和一個外部網(wǎng)絡接口的雙重宿主主機,也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機訪問的堡壘主機。這些程序接受用戶對因特網(wǎng)服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實際的服務。提供代替連接并且充當服務的網(wǎng)關。

在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網(wǎng)

三、防火墻技術展望

伴隨著Internet的飛速發(fā)展,防火墻技術與產(chǎn)品的更新步伐必然會加強,而要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會不斷加強,從目前的地址、服務過濾,發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協(xié)議的開發(fā)是一大熱點。

4)單向防火墻(又叫做網(wǎng)絡二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對網(wǎng)絡攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是,伴隨著防火墻技術的不斷發(fā)展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個方面。

參考文獻:

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

篇4

中圖分類號：TU97文獻標識碼： A 文章編號：

1.外墻保溫材料的應用

目前廣泛應用的外墻外保溫技術體系主要有膨脹聚苯乙烯泡沫（EPS）板薄抹灰外保溫系統(tǒng)、擠塑聚苯乙烯泡沫（XPS）板薄抹灰外保溫系統(tǒng)、聚氨酯泡沫（PU）薄抹灰外保溫系統(tǒng)、膠粉 EPS顆粒保溫漿料外保溫系統(tǒng)、現(xiàn)澆混凝土復合無網(wǎng)EPS板外保溫系統(tǒng)等，其中，EPS板薄抹灰外墻外保溫系統(tǒng)為全國普遍推廣使用的技術，幾乎占節(jié)能建筑的90%以上。

PU是目前世界上公認的最佳保溫絕熱材料，導熱系數(shù)僅為0.018～0.023W/m。k，25mm厚的PU的保溫效果相當于40mm厚的 EPS、45mm厚的巖棉、380mm厚的混凝土或860mm厚的普通磚。主要指標對比如下。

保溫效果：PU最好，EPS次之，巖棉最差。

耐冷熱性能：巖棉最好，PU次之，EPS最差。

吸水率（性）：PU最低，EPS次之，巖棉最易吸水。

使用壽命：巖棉最長，PU次之，苯板最差。

價格：PU最高，巖棉次之，EPS最低。

事實上，EPS、XPS、PU都屬于有機保溫材料，最大優(yōu)點是質(zhì)量輕保溫和隔熱性好，最大缺陷是防火安全性差，易老化易燃燒，在燃燒時產(chǎn)生大量煙霧，毒性很大，這些產(chǎn)品的承重性使用年限 防火性都不如無機保溫材料。

2.聚苯板外墻保溫材料的火災危險性

聚苯板薄抹灰系統(tǒng)在國內(nèi)的外墻外保溫中應用相當普遍，其危險性在于：（1）一旦火災發(fā)生，有機保溫板燃燒產(chǎn)生的有毒氣體和火焰會給逃生者帶來巨大危險；（2）因聚苯板受熱產(chǎn)生的熱熔縮變形以及網(wǎng)格布過熱折斷而導致瓷磚墜落，對逃生人員和救助人員造成的傷害也是致命的；（3）當墻體保溫材料表面砂漿龜裂脫落后，也很快會引燃保溫材料，火災迅速向大范圍蔓延；（4）外墻著火之后，由于室內(nèi)的自動消防設施不能覆蓋外墻，特別是當高層建筑外墻外保溫材料著火后，更是無計可施。

3.國內(nèi)外外墻保溫系統(tǒng)防火技術現(xiàn)狀

a）國外外墻保溫防火技術現(xiàn)狀：歐美等發(fā)達國家對外墻保溫系統(tǒng)均有嚴格的防火安全等級要求，不同的外墻保溫系統(tǒng)和保溫材料設有防火測試方法和分級標準（考慮燃燒時煙氣及毒性釋放），并對不同防火等級的外墻保溫系統(tǒng)的使用范圍有嚴格規(guī)定如歐洲標準 E-TAG004《有抹面層的外墻外保溫復合系統(tǒng)歐洲技術標準認證》中規(guī)定，對保溫防火性的測試方法要按照 CEN分級文件EN13501-1《建筑產(chǎn)品或組件的燃燒性能分級》進行阻燃等級A1—E的測試防火等級的測定和相關的測試需進行兩次：一次為整個體系，另一次僅為保溫材料同時，對外墻外保溫的防火要求將依據(jù)法律法規(guī)和適用于建筑物最終使用的管理條例而定，德國有因聚苯板薄抹灰系統(tǒng)防火安全性達不到要求而不能在22m以上建筑物使用的相關規(guī)定；英國有18m以上建筑物不允許使用聚苯板薄抹灰外墻外保溫系統(tǒng)的規(guī)定；美國紐約州建筑指令中明確規(guī)定耐火極限低于2h的聚苯板薄抹灰外墻外保溫系統(tǒng)不允許用在高于22.86m的住宅建筑中，而由巖棉等不燃材料組成的外墻保溫系統(tǒng)則可廣泛應用在各種類型的建筑中，該系統(tǒng)已經(jīng)成為目前世界上應用范圍最廣的外墻保溫做法之一。

b）國內(nèi)外墻保溫防火技術現(xiàn)狀：聚苯板薄抹灰系統(tǒng)因其防火性能較差，發(fā)達國家對其使用范圍有嚴格的限制，而國內(nèi)高層超高層建筑采用聚苯板薄抹灰網(wǎng)格布粘貼面磚的外墻外保溫做法相當普遍，主要原因是國內(nèi)沒有標準對此作出限制規(guī)定，如我國現(xiàn)有的 GB50016- 2006《建筑設計防火規(guī)范》和 GB50045-95《高層民用建筑設計防火規(guī)范》(2005年版)只規(guī)定了建筑構件的燃燒性能和耐火極限，附錄 A（各類建筑構件燃燒性能和耐火極限）對外墻的規(guī)定均為不燃燒體，但是其中卻沒規(guī)定外墻保溫材料的燃燒性能在JGJ144-2004《外墻保溫工程技術規(guī)程》的表 4.0.11外墻外保溫系統(tǒng)組成材料性能要求中，對膠粉EPS顆粒保溫漿料的燃燒性能級別標注為B1（難燃性），但對EPS 板的燃燒性能級別標注卻為“—”即沒有規(guī)定。

外墻保溫材料的防火已引起國家的重視，公安部消防局會同住房和城鄉(xiāng)建設部標準定額司正在共同組織起草《建筑外保溫材料防火措施》，在征求意見稿中提出了外墻保溫材料燃燒性能要求：“(1)建筑體積大于10萬立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑應采用巖棉礦棉玻璃棉等無機材料制作的保溫材料；(2)建筑體積大于10萬立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外，其他建筑可采用可燃材料做外墻保溫，但應采取相應的防火構造;(3)建筑外裝修材料應采用不燃材料?！薄?/p>

4.外墻保溫材料防火安全措施

4.1提高外墻保溫材料的防火性能，設置相應的防火構造物

a）對于新建建筑：(1)建議在修訂的標準中, 對外墻保溫材料燃燒性能等級的規(guī)定，應能滿足外保溫系統(tǒng)具有阻止火焰?zhèn)鞑サ哪芰Γ?2)建議在法律法規(guī)中明確規(guī)定推廣使用不燃材料組成的外墻保溫系統(tǒng)；(3)消防部門應加強對外墻保溫材料防火性能等級的監(jiān)管和測試；(4)對于使用聚苯板薄抹灰外保溫系統(tǒng),應增設防火隔離帶、擋火梁等防火構造物。

b）對于已采用可燃材料做保溫層的建筑：(1)保溫層應采用不燃燒材料做水平和豎向分隔；(2)建筑外墻轉(zhuǎn)角兩側和門洞窗口等開口周圍應采用不燃燒材料進行分隔；(3)建筑外表層應采用不燃材料將保溫層完全覆蓋，可采用水泥砂漿涂抹；(4)當建筑外墻采用幕墻時，幕墻與每層樓板隔墻處的縫隙應采用防火材料封堵。

4.2單位加強消防安全管理，消防部門加強監(jiān)管

單位要加強消防安全管理，認真開展消防安全自查自糾，針對自查中發(fā)現(xiàn)的用火用電不規(guī)范 胡亂堆放雜物等問題，必須立即排除；單位要認真落實安全生產(chǎn)的相關制度，落實防火制度和責任人，制定應急機制，規(guī)范用火用電，正確設置安全出口指向標志等；單位要加強對員工的消防安全培訓，特別是特殊工種，必須保證員工持證上崗，確保用火用電安全，預防火災事故的發(fā)生。

消防部門應加強監(jiān)管，定期深入各單位進行監(jiān)督檢查，對存在的問題及時指出，要求單位落實整改對拒絕整改或整改不到位的單位，消防部門將依法給予處罰。監(jiān)管的內(nèi)容包括施工現(xiàn)場、施工工人的生活區(qū)、明火作業(yè)區(qū)和外墻保溫材料、木料等易燃物品堆放區(qū)的消防設施的配備及監(jiān)管情況，臨時用電設施的防火、防水、防觸電裝置，外腳手架搭設和安全網(wǎng)的防火情況等。

4.3嚴格建設工程施工現(xiàn)場管理

強化施工現(xiàn)場管理應根據(jù)現(xiàn)有的消防條例和保溫工程施工消防安全管理規(guī)定并結合實際情況制定出消防安全管理制度, 并認真貫徹執(zhí)行：(1)保溫板材進場后，不宜露天存放，應遠離火源露天存放時，保溫板材應采取可靠的防護措施。

(2)保溫板材應在電焊等工序結束后進行鋪設確需在保溫板材鋪設后進行電焊等工序的，將電焊部位周圍應采用防火毯進行防火保護，或在可燃保溫材料上涂刷水泥砂漿等不燃保護層進行保護；(3)不得直接在保溫板材上進行防水材料的熱熔熱粘結法施工；(4)配足滅火器消防水泵消防水池等消防設施。

5.結束語

近年來由于外墻保溫引起或加速火勢蔓延的事故頻發(fā)，國家有關部門對此類事故的重視上升到了一個新的高度。目前，作為施工單位要做的就是在現(xiàn)場施工階段的防控工作。通過大量的工程實踐，筆者認為對于外墻保溫工程的施工階段只要用科學嚴謹?shù)膽B(tài)度進行管理，火災事故是可以避免的。隨著外墻保溫安全和技術規(guī)程標準的完善，建筑節(jié)能事業(yè)必將健康有序地發(fā)展。

篇5

1 緒論

隨著國家的快速發(fā)展，社會的需求等諸多問題都體現(xiàn)了互聯(lián)網(wǎng)的重要性，各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡。致使學校網(wǎng)絡安全問題是我們急需要解決的問題。小到別人的電腦系統(tǒng)癱瘓、帳號被盜，大到學校重要的機密資料，財政資料，教務處的數(shù)據(jù)被非法查看修改等等。學校機房網(wǎng)絡安全也是一個很重要的地方。由于是公共型機房。對于公共機房的網(wǎng)絡安全問題，提出以下幾個方法去解決這類的一部分問題。

2 PC機

2.1 PC終端機。對于終端機來說，我們應該把一切的系統(tǒng)漏洞全部打上補丁。像360安全衛(wèi)士（省略/）是一款不錯的實用、功能強大的安全軟件。里面有“修復系統(tǒng)漏洞”選項，我們只要點擊掃描，把掃描到的系統(tǒng)漏洞，點擊下載安裝，并且都是自動安裝，安裝完就可以了。

2.2 安裝殺毒軟件。比如說中國著名的瑞星2008殺毒軟件，從瑞星官方網(wǎng)站（省略/）下載，下載完，安裝簡體版就可以了。安裝完之后，就進行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環(huán)境中。也可以在【開始-運行】中輸入【sigverif】命令，檢查系統(tǒng)的文件有沒有簽名，沒有簽名的文件就有可能是被病毒感染了?？梢陨暇W(wǎng)查詢之后，進行刪除。

2.3 防火墻。打好系統(tǒng)漏洞補丁，安裝好殺毒軟件之后，就是安裝防火墻像瑞星防火墻，天網(wǎng)防火墻以及風云防火墻等。風云防火墻是一款功能強大的防火墻軟件，它不僅僅能防病毒，還能防現(xiàn)在很是厲害的ARP病毒。

2.4 用戶設置。把Administrator超級用戶設置密碼，對不同的用戶進行用戶權限設置。

3 解決方案

3.1 防火墻技術。防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡地安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡特殊位置地以組硬件設備路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結構：

①屏蔽路由器：又稱包過濾防火墻。

②雙穴主機：雙穴主機是包過濾網(wǎng)關的一種替代。

③主機過濾結構：這種結構實際上是包過濾和的結合。

④屏蔽子網(wǎng)結構：這種防火墻是雙穴主機和被屏蔽主機的變形。

3.2 VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡。

3.3 網(wǎng)絡加密技術（Ipsec）。IP層是TCP/IP網(wǎng)絡中最關鍵的一層，IP作為網(wǎng)絡層協(xié)議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網(wǎng)絡安全的核心。IPSec提供的安全功能或服務主要包括：

①訪問控制；②無連接完整性；③數(shù)據(jù)起源認證；④抗重放攻擊；⑤機密性；⑥有限的數(shù)據(jù)流機密性。

3.4 身份認證。在一個更為開放的環(huán)境中，支持通過網(wǎng)絡與其他系統(tǒng)相連，就需要“調(diào)用每項服務時需要用戶證明身份，也需要這些服務器向客戶證明他們自己的身份?！钡牟呗詠肀Ｗo位于服務器中的用戶信息和資源。像數(shù)字簽名。

4會話控制與帶寬管理策略

4.1 會話數(shù)控制。 使用校園網(wǎng)出口防火墻，通過單用戶會話和流量控制功能進行相關管理。通過應用防火墻設置新建連接閥值，可以對網(wǎng)絡中每個用戶會話連接數(shù)進行控制，當閥值被觸動后，動態(tài)地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設置控制黑名單的有效時間。通過單用戶會話數(shù)限制，可以做到：當校園網(wǎng)內(nèi)機器病毒爆發(fā)時，阻止大量數(shù)據(jù)包對外建立連接，耗費網(wǎng)絡資源；阻止黑客對網(wǎng)絡的掃描；阻止黑客進行DDOS攻擊。

5 結論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從多方面描述了網(wǎng)絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡安全問題的解決，可以使讀者有對網(wǎng)絡安全技術的更深刻的了解。

參考文獻

篇6

一、前言

企業(yè)內(nèi)部辦公自動化網(wǎng)絡一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果，給正常的企業(yè)經(jīng)營活動造成極大的負面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡系統(tǒng)。

目前企業(yè)內(nèi)部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。

針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業(yè)辦公中的應用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內(nèi)部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻服務的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質(zhì)上來說防火墻是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽；從技術上來說，網(wǎng)絡防火墻是一種訪問控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵，如安全網(wǎng)絡可能是企業(yè)的內(nèi)部網(wǎng)絡，不安全網(wǎng)絡是因特網(wǎng)，當然，防火墻不只是用于某個網(wǎng)絡與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡中的部門網(wǎng)絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻

的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的聯(lián)接來源、服務器提供的

通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能：

①能夠防止非法用戶進入內(nèi)部網(wǎng)絡。

②可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。

③可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡地址變換）的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部內(nèi)部信息的地點。從技術角度來講，就是所謂的?；饏^(qū)（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screeningrouter)或網(wǎng)絡層防火墻(Networklevelfirewall)，它工作在網(wǎng)絡層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù)，與用戶預定的訪問控制表進行比較，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實施過濾。

②服務器型防火墻

服務器型防火墻通過在主機上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程，它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。

③復合型防火墻

由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態(tài)包過濾；②內(nèi)核透明技術；③用戶認證機制；④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網(wǎng)絡防火墻的設計

1.防火墻的系統(tǒng)總體設計思想

1.1設計防火墻系統(tǒng)的拓撲結構

在確定防火墻系統(tǒng)的拓撲結構時，首先必須確定被保護網(wǎng)絡的安全級別。從整個系統(tǒng)的成本、安全保護的實現(xiàn)、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統(tǒng)的拓撲結構。

1.2制定網(wǎng)絡安全策略778論文在線

在實現(xiàn)過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉(zhuǎn)發(fā)所有的信息，逐項刪除被禁止的服務。

1.3確定包過濾規(guī)則

包過濾規(guī)則是以處理IP包頭信息為基礎，設計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進行具體設置。

1.4設計服務

服務器接受外部網(wǎng)絡節(jié)點提出的服務請求，如果此請求被接受，服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網(wǎng)絡安全性，解決包過濾所不能解決的問題。

1.5嚴格定義功能模塊，分散實現(xiàn)

防火墻由各種功能模塊組成，如包過濾器、服務器、認證服務器、域名服務器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機實現(xiàn)，功能分散減少了實現(xiàn)的難度，增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計，發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據(jù)網(wǎng)絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網(wǎng)絡極其信息的安全性。

2.一種典型防火墻設計實例——數(shù)據(jù)包防火墻設計

數(shù)據(jù)包過濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡層，其技術核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統(tǒng)預先設定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護內(nèi)部網(wǎng)絡的作用，這一過程就稱為數(shù)據(jù)包過濾。

本例中網(wǎng)絡環(huán)境為：內(nèi)部網(wǎng)絡使用的網(wǎng)段為192.168.1.0，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡接口的網(wǎng)卡。

數(shù)據(jù)包過濾規(guī)則的設計如下：

2.1與服務有關的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關的數(shù)據(jù)包被傳輸.這類服務包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數(shù)據(jù)包過濾的實現(xiàn).

WWW數(shù)據(jù)包采用TCP或UDP協(xié)

議，其端口為80，設置安全規(guī)則為允許內(nèi)部網(wǎng)絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務器，(假定其IP地址為192.168.1.11)。

要實現(xiàn)上述WWW安全規(guī)則，設置WWW數(shù)據(jù)包過濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過，而在防火墻eth1端允許所有來自內(nèi)部網(wǎng)絡WWW數(shù)據(jù)包通過。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然，設置此類數(shù)據(jù)過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數(shù)據(jù)包檢查規(guī)則；

2.2與服務無關的安全檢查規(guī)則778論文在線

這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內(nèi)容的檢查來實現(xiàn)的，主要有以下幾點：

①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進人Ipchains本身并不具備碎片過濾功能，實現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內(nèi)核時設定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內(nèi)部網(wǎng)絡主機，以期能滲透到內(nèi)部網(wǎng)絡中.要實現(xiàn)這一安全規(guī)則，設置拒絕數(shù)據(jù)包過濾規(guī)則為，在防火墻eth0端拒絕1P源地址為內(nèi)部網(wǎng)絡地址的數(shù)據(jù)包通過。

③源路由(SourceRouting)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息，實現(xiàn)的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數(shù)據(jù)包。

總之，放火墻優(yōu)點眾多，但也并非萬無一失。所以，安全人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到應有的效果。

參考文獻：

張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統(tǒng)應用,1999

王麗艷.淺談防火墻技術與防火墻系統(tǒng)設計.遼寧工學院學報.2001

郭偉.數(shù)據(jù)包過濾技術與防火墻的設計.江漢大學學報.2001

篇7

 

0 引言

近年來,隨著信息技術的發(fā)展,各行各業(yè)都利用計算機網(wǎng)絡和通訊技術開展業(yè)務工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術建有專門的網(wǎng)站，通過網(wǎng)站實施農(nóng)產(chǎn)品信息、電子支付等商務工作。但是基于互聯(lián)網(wǎng)的電了商務的安全問題日益突出，并且該問題已經(jīng)嚴重制約了農(nóng)產(chǎn)品電子商務的進一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務的安全需求

根據(jù)電子商務系統(tǒng)的安全性要求，田陽農(nóng)產(chǎn)品電子商務系統(tǒng)需要滿足系統(tǒng)的實體安全、運行安全和信息安全三方面的要求。

1) 系統(tǒng)實體安全

系統(tǒng)實體安全是指保護計算機設備、設施（含網(wǎng)絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過程。

2) 系統(tǒng)運行安全系統(tǒng)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急）來保護信息處理過程的安全。項目組在實施項目前已對系統(tǒng)進行了靜態(tài)的風險分析，防止計算機受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點的多臺機器進行數(shù)據(jù)的實時備份）。為防止意外停電，系統(tǒng)需要配備多臺備用電源，作為應急設施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統(tǒng)標識、控制。系統(tǒng)的核心服務是交易服務，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護客戶的私人信息，不被非法竊取。同時系統(tǒng)要具有認證性和完整性，即確?？蛻羯矸莸暮戏ㄐ?，保證預約信息的真實性和完整性，系統(tǒng)要實現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務由合法的客戶、人員訪問，即保證系統(tǒng)的可控性。在這基礎上要實現(xiàn)系統(tǒng)的不可否認性，要有效防止通信或交易雙方對已進行的業(yè)務的否認。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務的安全要求，電子商務系統(tǒng)必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術如下：

2.1基于多重防范的網(wǎng)絡安全策略

1) 防火墻技術

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構造保護屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護屏障，并在此進行檢查和連接，只有被授權的信息才能通過此保護屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機制，記錄可疑事件等。

防火墻具有很好的保護作用。論文大全，信息安全。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全，信息安全。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。論文大全，信息安全。

2) VPN 技術

VPN 技術也是一項保證網(wǎng)絡安全的技術之一，它是指在公共網(wǎng)絡中建立一個專用網(wǎng)絡，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機構就可以相互之間安全的傳遞信息。同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以進入企業(yè)網(wǎng)中。使用VPN 技術可以節(jié)省成本、擴展性強、提供遠程訪問、便于管理和實現(xiàn)全面控制，是當前和今后企業(yè)網(wǎng)絡發(fā)展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法。盡管網(wǎng)絡速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網(wǎng)絡擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能，又不會“餓死”，低優(yōu)先級的應用。

管理問題

由于網(wǎng)絡設施、應用不斷增加，網(wǎng)絡用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復雜的網(wǎng)絡管理，網(wǎng)絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備。論文大全，信息安全。

2.2基于角色訪問的權限控制策略

農(nóng)產(chǎn)品電子商務系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象，與這些對象有關的用戶數(shù)量也非常多，所以用戶權限管理工作非常重要。

目前權根控制方法很多，我們采用基于RBAC演變的權限制制思路。在RBAC之中，包含用戶、角色、目標、操作、許可權五個基本數(shù)據(jù)元素，權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務，并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據(jù)系統(tǒng)的實際功能結構對系統(tǒng)功能進行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發(fā)生沖突，對該角色的權限不能輕易進行修改，以免造成由于修改角色權限從而造成角色發(fā)生沖突。論文大全，信息安全。論文大全，信息安全。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現(xiàn)。用戶登陸系統(tǒng)時，系統(tǒng)會根據(jù)用戶的角色的并集，從而得到用戶的權限，由權限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)核心部件，數(shù)據(jù)庫文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫加密系統(tǒng)措施

(1)在用戶進入系統(tǒng)進行兩級安全控制

這種控制可以采用多種方式，包括設置數(shù)據(jù)庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說，可以采用軟指紋技術防止非法復制，當然，權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用dbms提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進行數(shù)據(jù)轉(zhuǎn)換，再使用dbms提供的卸出、裝入工具完成。

3結束語

隨著信息化技術的快速發(fā)展，農(nóng)產(chǎn)品電子商務創(chuàng)新必須適應新的變化，必須充分考慮信息安全因素與利用信息安全技術，這樣才能實現(xiàn)農(nóng)產(chǎn)品電子商務業(yè)務快速增長，本文所述的安全策略，對當前實施電子商務有一定效果的，是值得推介應用的。

參考文獻：

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報（自然科學版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務系統(tǒng)中的應用[j]. 大眾科技.34-35

篇8

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng)，有其特定含義和應用范疇，它積累信息為偵察破案提供線索，概括起來有四個方面的典型應用：第一，指紋系統(tǒng)是為公安工作服務的，是一種刑事偵察的工具，它是各地、市之間指紋交流工具，也是指紋信息資源的提供者。第二，指紋系統(tǒng)是為偵察破案提供線索，為案件進展提供便利服務的。第三，指紋系統(tǒng)積累犯罪嫌疑人信息，如嫌疑人的指紋管理、前科管理、基本信息管理等，為串、并案件提供可靠依據(jù)。第四，指紋系統(tǒng)是溝通與其他公安工作的窗口，利用它既可以獲取各種信息，也可以向其他公安工作相關信息。

二、指紋信息系統(tǒng)安全的主要問題

隨著網(wǎng)絡在公安工作各個方面的延伸，進入指紋系統(tǒng)的手段也越來越多，因此，指紋信息安全是目前指紋工作中面臨的一個重要問題。

1、物理安全問題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護。目前常見的不安全因素（安全威脅或安全風險）包括兩大類：第一類是自然災害（如雷電、地震、火災、水災等），物理損壞（如硬盤損壞、設備使用壽命到期、外力破損等），設備故障（如停電、斷電、電磁干擾等），意外事故。第二類是操作失誤（如刪除文件、格式化硬盤、線路拆除等），意外疏漏（如系統(tǒng)掉電、“死機”等）。

2、指紋操作系統(tǒng)及應用服務的安全問題

現(xiàn)在應用的主流操作系統(tǒng)為Windows 操作系統(tǒng)，該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件，這些事件一再提醒我們，必須高度重視系統(tǒng)的安全問題。非法用戶攻擊的主要方法有：口令攻擊、網(wǎng)絡監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計算機病毒威脅

計算機病毒將導致指紋系統(tǒng)癱瘓，系統(tǒng)程序和指紋數(shù)據(jù)嚴重破壞，使系統(tǒng)的效率和作用大大降低，系統(tǒng)的許多功能無法使用或不敢使用。雖然，至今還沒過出現(xiàn)災難性的后果，但層出不窮的各種各樣的計算機病毒活躍在公安網(wǎng)的各個角落，令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數(shù)據(jù)進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現(xiàn),但會對計算機數(shù)據(jù)進行破壞,有的甚至會破壞計算機的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒，它們根據(jù) Windows漏洞進行攻擊，電腦中毒后1分鐘重起。在重新啟動之前，沖擊波和震蕩波允許用戶操作，而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預防和清除計算機病毒是非常重要的，我們應提高對計算機病毒的防范意識,不給病毒以可乘之機。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個人機系統(tǒng)，需要多人參與工作，而系統(tǒng)操作人員是系統(tǒng)安全的責任主體，因此，要重視對各級系統(tǒng)操作人員進行系統(tǒng)安全的教育，做到專機專用，嚴禁操作人員進行工作以外的操作；下面就本人在實際工作中總結的一些經(jīng)驗,談一 談對指紋信息系統(tǒng)的維護與病毒的預防。

1、 對指紋系統(tǒng)硬件設備和系統(tǒng)設施進行安全防護

（1）系統(tǒng)服務器安全：服務器是指紋系統(tǒng)的大腦和神經(jīng)中樞，一旦服務器或硬盤有故障，輕者將導致系統(tǒng)的中斷，重者可能導致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失，因此在服務器端，可以采用雙機熱備份＋異機備份方案。論文大全。在主服務器發(fā)生故障的情況下，備份服務器自動在 30 秒 內(nèi)將所有服務接管過來，從而保證整個指紋系統(tǒng)不會因為服務器發(fā)生故障而影響到系統(tǒng)的正常運行，確保系統(tǒng) 24小時不間斷運行。在磁盤陣列柜，我們可安裝多塊服務器硬盤， 用其中一塊硬盤做備份，這樣可保證在其它硬盤發(fā)生故障時，直接用備份硬盤進行替換。

（2）異機數(shù)據(jù)備份：為防止單點故障（如磁盤陣列柜故障）的出現(xiàn)，可以另設一個備份服務器為，并給它的服務設置一個定時任務，在定置任務時，設定保存兩天的備份數(shù)據(jù)，這樣可保證當某天指紋數(shù)據(jù)備份過程中出現(xiàn)故障時也能進行指紋數(shù)據(jù)的安全恢復。通過異機備份，即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災難時，也不會導致指紋信息的丟失，并可保證在1小時內(nèi)將指紋數(shù)據(jù)恢復到最近狀態(tài)下，使損失降到最低。

（3）電路供應：中心機房電源盡量做到專線專供，同時采用UPS（不間斷電源），部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用，這樣可保證主服務器和各服務窗口工作站不會因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

（4）避雷系統(tǒng)：由于通信設備尤其是裸露于墻體外的線路，易受雷擊等強電磁波影響而導致接口燒壞，為對整個系統(tǒng)進行防雷保護，分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。

（5）主機房的防盜、防火、防塵：主機房是系統(tǒng)中心，一旦遭到破壞將帶來不可估量的損失，可以安裝防盜門，或安排工作人員24小時值班。同時，由于服務器、交換機均屬于高精密儀器，對防塵要求很高，所以對主機房進行裝修時應鋪上防靜電地板，準備好（電火）滅火器，安裝上空調(diào)， 以保證機房的恒溫，并派專人對主機房的衛(wèi)生、防塵等具體負責。論文大全。

（6）對移動存儲器，借出時要寫保護，借入時要先殺毒；

（7）不使用盜版或來歷不明的軟件，做到專機專用，在公安內(nèi)網(wǎng)的機器不準聯(lián)到互聯(lián)網(wǎng)上使用；

2 、 全方位的系統(tǒng)防御機制

我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預防措施如下:

（1）利用防病毒技術來阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失，采用多層的病毒防衛(wèi)體系。在每臺PC機上安裝單機版反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，并在網(wǎng)關上安裝基于網(wǎng)關的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個指紋系統(tǒng)不受病毒的感染。

（2）應用防火墻技術來控制訪問權限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡與外部公安網(wǎng)絡之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著公安網(wǎng)絡安全技術的整體發(fā)展和公安工作中網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。 在系統(tǒng)出口處安裝防火墻后，系統(tǒng)內(nèi)部與外部網(wǎng)絡進行了有效的隔離，所有來自外部的訪問請求都要通過防火墻的檢查，這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾，拒絕非法IP 地址，有效避免公安網(wǎng)上與指紋工作無關的主機的越權訪問；防火墻可以只保留有用的服務，將其他不需要的服務關閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使非法用戶無機可乘；防火墻可以制定訪問策略，只有被授權的外部主機才可以訪問系統(tǒng)的有限IP地址，保證其它用戶只能訪問系統(tǒng)的必要資源，與指紋工作無關的操作將被拒絕；由于所有訪問都要經(jīng)過防火墻，所以防火墻可以全面監(jiān)視對系統(tǒng)的訪問活動，并進行詳細的記錄，通過分析可以發(fā)現(xiàn)可疑的攻擊行為；防火墻可以進行地址轉(zhuǎn)換工作，使外部用戶不能看到系統(tǒng)內(nèi)部的結構，使攻擊失去目標。

（3）應用入侵檢測技術及時發(fā)現(xiàn)攻擊苗頭。

入侵檢測系統(tǒng)是提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜韵到y(tǒng)內(nèi)外的攻擊，縮短入侵的時間。

（4）應用安全掃描技術主動探測系統(tǒng)安全漏洞，進行系統(tǒng)安全評估與安全加固。安全掃描技術與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高指紋系統(tǒng)的安全性。通過對系統(tǒng)的掃描，系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運行的應用服務，及時發(fā)現(xiàn)安全漏洞，客觀評估系統(tǒng)風險等級。系統(tǒng)管理員也可以根據(jù)掃描的結果及時消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯誤配置，在非法用戶攻擊前進行防范。

（5）應用系統(tǒng)安全緊急響應體系，防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生改變。 在信息技術日新月異的今天，即使昔日固若金湯的系統(tǒng)安全策略，也難免會隨著時間和環(huán)境的變化，變得不堪一擊。因此，我們需要隨時間和系統(tǒng)環(huán)境的變化或技術的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建系統(tǒng)安全緊急響應體系，專人負責，防范安全突發(fā)事件。

參考文獻：

[1]　JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2]　J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3]　張　敏,徐　震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學報(已投稿),2006

[4]　何永忠.DBMS安全策略模型的研究:[博士學位論文],北京市石景山區(qū)玉泉路19號(甲):中國科學院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平．計算機犯罪問題研究［M］．北京：電子工業(yè)出版社，2002．

[7]高銘喧．新編中國刑法學［M］．北京：中國科學技術出版社，2000．

[8]朱廣艷． 信息技術與課程整合的發(fā)展與實踐［J］． 中國電化教育，2003（194）：8－ 10．

[9]黃叔武 劉建新 計算機網(wǎng)絡教程 清華大學出版社 2004年11 月

[10]戴紅 王海泉 黃堅 計算機網(wǎng)絡安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網(wǎng)絡安全技術與應用, 2004,(4):37- 41.

[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.

[13]周筱連. 計算機網(wǎng)絡安全防護[J].電腦知識與技術( 學術交流) ,2007,(1).

[14]阿星. 網(wǎng)絡安全不容忽視[J]. 電腦采購周刊, 2002,(32).

[15]網(wǎng)絡安全新概念[J].計算機與網(wǎng)絡, 2004,(7).

篇9

 

0 引言

近年來,隨著信息技術的發(fā)展,各行各業(yè)都利用計算機網(wǎng)絡和通訊技術開展業(yè)務工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術建有專門的網(wǎng)站，通過網(wǎng)站實施農(nóng)產(chǎn)品信息、電子支付等商務工作。但是基于互聯(lián)網(wǎng)的電了商務的安全問題日益突出，并且該問題已經(jīng)嚴重制約了農(nóng)產(chǎn)品電子商務的進一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務的安全需求

根據(jù)電子商務系統(tǒng)的安全性要求，田陽農(nóng)產(chǎn)品電子商務系統(tǒng)需要滿足系統(tǒng)的實體安全、運行安全和信息安全三方面的要求。

1) 系統(tǒng)實體安全

系統(tǒng)實體安全是指保護計算機設備、設施（含網(wǎng)絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過程。

2) 系統(tǒng)運行安全系統(tǒng)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急）來保護信息處理過程的安全[1]。項目組在實施項目前已對系統(tǒng)進行了靜態(tài)的風險分析，防止計算機受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點的多臺機器進行數(shù)據(jù)的實時備份）。為防止意外停電，系統(tǒng)需要配備多臺備用電源，作為應急設施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統(tǒng)標識、控制。系統(tǒng)的核心服務是交易服務，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護客戶的私人信息，不被非法竊取。同時系統(tǒng)要具有認證性和完整性，即確?？蛻羯矸莸暮戏ㄐ裕ＷC預約信息的真實性和完整性，系統(tǒng)要實現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務由合法的客戶、人員訪問防火墻，即保證系統(tǒng)的可控性。在這基礎上要實現(xiàn)系統(tǒng)的不可否認性，要有效防止通信或交易雙方對已進行的業(yè)務的否認論文的格式。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務的安全要求，電子商務系統(tǒng)必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術如下：

2.1基于多重防范的網(wǎng)絡安全策略

1) 防火墻技術

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構造保護屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護屏障，并在此進行檢查和連接，只有被授權的信息才能通過此保護屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機制，記錄可疑事件等。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2) VPN 技術

VPN 技術也是一項保證網(wǎng)絡安全的技術之一，它是指在公共網(wǎng)絡中建立一個專用網(wǎng)絡，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機構就可以相互之間安全的傳遞信息。同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以進入企業(yè)網(wǎng)中。使用VPN 技術可以節(jié)省成本、擴展性強、提供遠程訪問、便于管理和實現(xiàn)全面控制，是當前和今后企業(yè)網(wǎng)絡發(fā)展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法。盡管網(wǎng)絡速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網(wǎng)絡擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能防火墻，又不會“餓死”，低優(yōu)先級的應用。

管理問題

由于網(wǎng)絡設施、應用不斷增加，網(wǎng)絡用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復雜的網(wǎng)絡管理，網(wǎng)絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備論文的格式。

2.2基于角色訪問的權限控制策略

農(nóng)產(chǎn)品電子商務系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象，與這些對象有關的用戶數(shù)量也非常多，所以用戶權限管理工作非常重要。

目前權根控制方法很多，我們采用基于RBAC演變的權限制制思路。在RBAC之中，包含用戶、角色、目標、操作、許可權五個基本數(shù)據(jù)元素，權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務，并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據(jù)系統(tǒng)的實際功能結構對系統(tǒng)功能進行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發(fā)生沖突，對該角色的權限不能輕易進行修改，以免造成由于修改角色權限從而造成角色發(fā)生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現(xiàn)。用戶登陸系統(tǒng)時，系統(tǒng)會根據(jù)用戶的角色的并集，從而得到用戶的權限，由權限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)核心部件，數(shù)據(jù)庫文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫加密系統(tǒng)措施

(1)在用戶進入系統(tǒng)進行兩級安全控制

這種控制可以采用多種方式，包括設置數(shù)據(jù)庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說防火墻，可以采用軟指紋技術防止非法復制，當然，權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進行數(shù)據(jù)轉(zhuǎn)換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結束語

隨著信息化技術的快速發(fā)展，農(nóng)產(chǎn)品電子商務創(chuàng)新必須適應新的變化，必須充分考慮信息安全因素與利用信息安全技術，這樣才能實現(xiàn)農(nóng)產(chǎn)品電子商務業(yè)務快速增長，本文所述的安全策略，對當前實施電子商務有一定效果的，是值得推介應用的。

參考文獻：

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報（自然科學版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務系統(tǒng)中的應用[j]. 大眾科技.34-35

篇10

傳統(tǒng)防火墻是現(xiàn)代網(wǎng)絡安全防范的主要支柱，但在安全要求較高的大型網(wǎng)絡中存在一些不足，主要表現(xiàn)如下：

(1) 結構性限制。傳統(tǒng)防火墻的工作原理依賴于網(wǎng)絡的物理拓撲結構，如今，越來越多的跨地區(qū)企業(yè)利用Internet來架構自己的網(wǎng)絡，致使企業(yè)內(nèi)部網(wǎng)絡已基本上成為一個邏輯概念，因此，用傳統(tǒng)的方式來區(qū)別內(nèi)外網(wǎng)絡十分困難。

(2) 防外不防內(nèi)。雖然有些傳統(tǒng)防火墻可以防止內(nèi)部用戶的惡意破壞，但在大多數(shù)情況下，用戶使用和配置防火墻主要還是防止來自外部網(wǎng)絡的入侵。

(3) 效率問題。傳統(tǒng)防火墻把檢查機制集中在網(wǎng)絡邊界處的單一接點上，因此，防火墻容易形成網(wǎng)絡的瓶頸。

(4) 故障問題。傳統(tǒng)防火墻本身存在著單點故障問題。一旦處于安全節(jié)點上的防火墻出現(xiàn)故障或被入侵，整個內(nèi)部網(wǎng)絡將完全暴露在外部攻擊者的前面。

2 分布式防火墻的概念

為了解決傳統(tǒng)防火墻面臨的問題，美國AT&T實驗室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義，其系統(tǒng)由以下三部分組成：

(1) 網(wǎng)絡防火墻。網(wǎng)絡防火墻承擔著傳統(tǒng)防火墻相同的職能，負責內(nèi)外網(wǎng)絡之間不同安全域的劃分；同時，用于對內(nèi)部網(wǎng)絡中各子網(wǎng)之間的防護。

(2) 主機防火墻。為了擴大防火墻的應用范圍，在分布式防火墻系統(tǒng)中設置了主機防火墻。主機防火墻駐留在主機中，并根據(jù)響應的安全策略對網(wǎng)絡中的服務器及客戶端計算機進行安全保護。

(3) 中心管理服務器。中心管理服務器是整個分布式防火墻的管理核心，主要負責安全策略的制定、分發(fā)及日志收集和分析等操作。

3 分布式防火墻的工作模式

分布式防火墻的工作模式：由中心策略服務器統(tǒng)一制定安全策略，然后將這些制定好的策略分發(fā)到各個相關節(jié)點。而安全策略的執(zhí)行則由相關主機節(jié)點獨立實施，再由各主機產(chǎn)生的安全日志集中保存在中心管理服務器上，其工作模式如圖所示。

分布式防火墻工作模式結構

從圖中可以看出，分布式防火墻不再完全依賴于網(wǎng)絡的拓撲結構來定義不同的安全域，可信賴的內(nèi)部網(wǎng)絡發(fā)生了概念上的變化，它已經(jīng)成為一個邏輯上的網(wǎng)絡，從而打破了傳統(tǒng)防火墻對網(wǎng)絡拓撲的依賴。但是，各主機節(jié)點在處理數(shù)據(jù)時，必須根據(jù)中心策略服務器所分發(fā)的安全策略來決定是否允許某一節(jié)點通過防火墻。

4 分布式防火墻的構建

分布式防火墻的構建主要有如下四個步驟：

(1) 策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中，策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發(fā)到主機。

(2) 日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。

(3) 策略實施。策略在管理中心統(tǒng)一制定，通過分發(fā)機制傳送到終端的主機防火墻，主機防火墻根據(jù)策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統(tǒng)運行的基礎。

(4) 認證。在分布式防火墻系統(tǒng)中通常采用基于主機的認證方式，即根據(jù)IP地址進行認證。為了避免IP地址欺騙，可以采用一些強認證方法，例如Kerberos、X.509、IP Sec等。

5 分布式防火墻的主要優(yōu)勢

在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網(wǎng)絡的任何交界和節(jié)點處設置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下：

(1) 分布式防火墻增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊的防范，可以實施全方位的安全策略。

(2) 分布式防火墻消除了結構性瓶頸問題，提高了系統(tǒng)性能。

(3) 分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。

6 結論

總之，在企事業(yè)單位的計算機網(wǎng)絡安全防護中，分布式防火墻技術不僅克服了傳統(tǒng)邊界式防火墻的不足，而且把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡中的各臺主機。它在整個企事業(yè)網(wǎng)絡或服務器中，具有無限制的擴展能力。隨著網(wǎng)絡的增長，它們的處理負荷也會在網(wǎng)絡中進一步分布，從而持續(xù)地保持高性能，最終給網(wǎng)絡提供全面的安全防護。

參考文獻