防火墙在网络中的功能和作用防火墙技术(精选13篇)
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前,仅从笔者掌握的资料表明,目前在互联网上大约有将近20%以上的用户曾经遭受过 的困扰。尽管 如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的 入侵事件都是由于未能正确安装防火墙而引发的。
防火墙的概念及作用
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对 防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
防火墙的架构与工作方式
防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问(因为有些人登录后的第一件事就是试图超越权限限制)。如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个Email邮件炸烂,或者用户的个人主页被人恶意连接向了Playboy,而报告链接上却指定了另一家 ......一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤,
代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是:它只由用户标识和口令构成。但是,如果防火墙是通过Internet可访问的,应推荐用户使用更强的认证机制,例如一次性口令或回应式系统等。
屏蔽路由器的最大优点就是架构简单且硬件成本较低,而缺点则是建立包过滤规则比较困难,加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题,他们正在开发编辑包过滤规则的图形用户界面,制订标准的用户级身份认证协议,以提供远程身份认证拨入用户服务代理服务器的优点在于用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实;要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纲。??
屏蔽路由器和代理服务器通常组合在一起构成混合系统,其中屏蔽路由器主要用来防止IP欺骗攻击。目前采用最广泛的配置是Dualhomed防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。??
随着信息化进程的深入和互联网的快速发展, 网络化已经成为企业信息化的发展大趋势, 信息资源也将得到最大程度的共享。但紧随信息化发展而来的网络安全问题日渐凸出。由于互联网络的开放性和通信协议的安全缺陷, 以及在网络环境中数据信息存储和对其访问与处理的分布性特点, 网上传输的数据信息很容易泄露或被破坏, 网络受到的安全攻击非常严重, 因此建立有效的网络安全防护体系就更为迫切。网络安全防护体系必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则, 分析网络系统的各个不安全环节, 找到安全漏洞, 才能做到有的放矢。
防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 可以监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 有选择地接受外部访问, 对内部强化设备监管、控制对服务器与外部网络的访问, 在被保护网络和外部网络之间架起一道屏障, 以防止发生不可预测的、潜在的破坏性侵入。因此防火墙是构建网络安全防护体系的必不可少的重要手段。
2 防火墙原理
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。包过滤技术是一种简单、有效的安全控制技术, 它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则, 对通过设备的数据包进行检查, 限制数据包进出内部网络。包过滤的最大优点是对用户透明, 传输性能高。但由于安全控制层次在网络层、传输层, 安全控制的力度也只限于源地址、目的地址和端口号, 因而只能进行较为初步的安全控制, 对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段, 则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接, 状态检测检查预先设置的安全规则, 允许符合规则的连接通过, 并在内存中记录下该连接的相关信息, 生成状态表。对该连接的后续数据包, 只要符合状态表, 就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查, 而是对一个连接的后续数据包通过散列算法直接进行状态检查, 从而使得性能得到了较大提高;而且由于状态表是动态的, 因而可以有选择地、动态地开通1024号以上的端口, 使得安全性得到进一步地提高。防火墙的主要优点如下:防火墙可以通过执行访问控制策略而保护整个网络的安全, 并且可以将通信约束在一个可管理和可靠性高的范围之内;防火墙可以用于限制对某些特殊服务的访问;防火墙功能单一, 不需要在安全性, 可用性和功能上做取舍;防火墙有审记和报警功能, 有足够的日志空间和记录功能, 可以延长安全响应的周期。
3 防火墙应用
防火墙在网络中的应用模式主要可以分为两类:路由模式和交换模式。当防火墙位于互联网和局域网之间时 (如图1所示) , 采用路由模式, 形成局域网和互联网之间唯一的出入口, 将整个网络分为三部分:trust区域 (局域网部分) 、untrust区域 (互联网部分) 和DMZ区域。防火墙限制来自untrust区域的主机访问trust区域, 但可以访问DMZ区域提供的服务 (如WWW、MAI L、DNS等对外服务) 。防火墙工作在路由模式时所有接口都需配置ip地址, 各接口所在的安全区域是三层区域, 不同三层区域相关的接口连接的用户属于不同的子网。当报文在三层区域的接口间进行转发时, 根据报文的ip地址来查找路由表, 此时防火墙表现为一个路由器 (见图1) 。
举例如下 (以Cisco PIX515为例) 。
基本接口配置:
设置默认路由:
配置inside网络访问规则:
发布DMZ区服务器:
配置acl, 允许外部访问DMZ区服务器:
当防火墙安装在同一网络的两个不同网络安全域之间时 (如图2所示) , 采用交换模式, 形成两个不同网络安全域 (终端局域网和数据中心) 之间唯一的数据通道, 将整个网络分为两部分:trust区域 (数据中心) 、untrust区域 (终端局域网部分) 。防火墙只允许通过策略检查的untrust区域主机访问trust区域的服务。防火墙工作在交换模式时所有接口都不能配置ip地址, 接口所在的安全区域是二层区域, 和二层区域相关接口连接的用户同属一个子网。当报文在二层区域的接口间进行转发时, 需要根据报文的mac地址来寻找出接口, 此时防火墙表现为一个透明网桥 (见图2) 。
无论防火墙工作在哪种模式下, 防火墙中的ip报文都还需要送到上层进行相关过滤等处理, 通过检查会话表或acl规则以确定是否允许该报文通过, 并完成其它防攻击检查。防火墙还支持acl规则检查、aspf状态过滤、防攻击检查、流量监控等功能。
4 新一代防火墙的主要技术
目前主流的硬件防火墙采用的主要技术有:双端口或三端口的结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、Internet网关技术、安全服务器网络 (SSN) 、用户鉴别与加密、用户定制服务、审计和告警等。为保证系统的安全性和防护水平, 新一代防火墙采用了三级过滤措施, 并辅以鉴别手段。在分组过滤一级, 能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级, 能利用F T P、S M T P等各种网关, 控制和监测Internet提供的所用通用服务;在电路网关一级, 实现内部主机与外部站点的透明连接, 并对服务的通行实行严格控制。防火墙利用NAT技术能透明地对所有内部地址进行转换, 使外部网络无法了解内部网络的内部结构, 同时允许内部网络使用自己定制的IP地址和专用网络, 防火墙能详尽记录每一个主机的通信, 确保每个分组送往正确的地址。同时使用NAT的网络, 与外部网络的连接只能由内部网络发起, 极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决IP地址匮乏问题。新一代防火墙产品的审计和告警功能十分健全, 日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻, 并能以发出邮件、声响等多种方式报警。
5 防火墙的不足
如今, 高水平的黑客能利用防火墙开放的端口绕过防火墙的监测, 或者通过应用层攻击目标应用程序。因此, 防火墙还存在不足, 主要表现在:不能防御已经授权的访问, 以及存在于网络内部系统间的攻击不能防御合法用户恶意的攻击, 以及社交攻击等非预期的威胁;不能修复脆弱的管理措施和存在问题的安全策略;不能防御不经过防火墙的攻击和威胁;无法检测加密的Web流量;无法扩展带深度检测功能等方面。
6 结语
综上所述, 防火墙是构建网络安全防护体系的重要组成部分, 防火墙在被保护网络和外部网络之间架起一道屏障, 可以监测、限制、更改跨越防火墙的数据流, 以防止发生破坏性入侵, 大大提高了信息网络的安全性。但由于防火墙存在的不足, 还不能完全杜绝非法入侵。因此, 还需要部署入侵防御系统、加强局域网内部的安全管理、提高对重要数据的访问控制权限等才能形成完整的网络安全防护体系。
摘要:本文论述了防火墙是构建网络安全防护体系的重要组成部分, 并阐述了防火墙的工作原理、主要功能、应用方法和不足。
关键词:防火墙,路由,交换
参考文献
[1]黄鹤.浅析计算机网络安全策略[J].科技信息 (学术研究) , 2007 (16) .
[关键字] 计算机网络、网络安全、防火墙
中图分类号:TP393 文献标识码:A 文章编号:1003-8809(2010)-08-0213-02
一.计算机网络
计算机网络是计算机技术和通信技术相结合的产物,它涉及到通信技术与计算机技术两个领域。对于如何定义计算机网络,多年来一直没有一个严格的定义,各种资料上的说法也不完全一致。目前一些较为权威的看法认为:
计算机网络就是实现计算机之间的通信交往、资源共享和协同工作,利用通信设备和线路将地理位置分散的各自具备自主功能的一组计算机有机地联系起来,在网络操作系统和通信协议的管理下的计算机复合系统。
二.网络安全
大部分接触网络的人都知道,网络中有一些别有用心的人,费尽心机闯入他人的计算机系统,其目的就是利用各种网络和系统所存在的漏洞,非法获得未授权的访问信息。可以说今天我们所处的信息时代,是病毒与黑客大行其道的时代,这样说似乎有些悲观,但今天的网络的确如此,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。
而如今,攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。一些攻击程序不需要了解是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络,给网络安全带来越来越多的隐患。
人们经历了一次又一次的病毒危机后,已经开始思考网络的安全了。我们可以通过很多网络工具、设备和策略来保护网络的安全。其中防火墙是最好的选择,现在任何一个企业组建网络都会考虑到购买防火墙,而且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。防火墙可以防御网络中的各种威胁并做出及时的响应,阻止那些危险的连接和攻击行为,从而降低网络的整体风险。
三.防火墙
一)防火墙:防火墙是企业内部网和外部网或Internet之间所设立的执行访问控制策略的安全系统,它在内部网和外部网或Internet之间设置控制,以阻止外界对内部资源的非法访问,也可以防止内部对外部的不安全访问。设置防火墙的思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对内部网服务和访问的安全审计和控制。
二)防火墙的基本功能:
·强化网络安全策略,集中化的网络安全管理,
·记录和统计网络的访问活动;
·限制暴露用户点,控制对特殊站点的访问;
·网络安全策略检查。
通俗的说,防火墙的功能就是过滤内外网络间的数据包,限制所有不符合安全策略的数据包通过。即只允许核准了的合法的数据包进出,阻止不安全数据的传递。
三)防火墙的构成及所处位置:
通常,防火墙是一种由计算机硬件和软件组成的系统,一般情况下,内部网和外部网或Internet进行互联时,必须使用一个中间设备,这个设备可以是一台有访问控制策略的路由器(Route+ACL),也可以是一台多个网络接口的计算机,服务器等,而且该设备至少具有两条物理链路,一条通往外部网络,一条通往内部网络。如下图所示,是由路由器所兼做的防火墙。企业用户(即内部网用户)希望和其他用户(即外网用户)通信时,信息必须经过该设备;同样,其他用户希望访问企业网时,也必须经过该设备。显然,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间的设备,该设备是阻挡攻击者入侵的关口,也是防火墙实施的理想位置。
四)设立防火墙的目的:
很多人會问,使用防火墙的目的究竟是什么呢?
对于这个问题的回答是:防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。 通常,被保护的网络属于我们自己(如:某个企业的网络),或者是我们负责管理的网络,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。 防火墙对网络的保护工作是:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
不同的防火墙侧重点不同。 从某种意义上来说,它代表了一个网络的访问原则。 如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙。 防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
四.小结:
随着Internet应用的迅速发展和普及,为人们检索和共享信息资源提供了方便,但随之而来的是对信息资源的污染和破坏变得更容易了,为了保护数据和资源的安全,人们创建了防火墙。就像建筑防火墙或护城河能够保护建筑物及其内部资源安全或保护城市免受侵害一样,作为计算机网络,防火墙成为了与不可信任网络进行联络的唯一纽带,通过安装防火墙,就可以通过关注防火墙的安全来保护其内部的网络安全,减轻了网络和系统被用于非法和恶意攻击的风险。因此,可以说防火墙能够限制非法用户从一个被严格保护的设备上进入或离开,从而有效地阻止针对内部网的非法入侵。但由于防火墙只能对跨越边界的信息进行检测、控制,而对网络内部人员的攻击不具备防范能力,因此单独依靠防火墙来保护网络的安全性是不够的,还必须与入侵检测系统(IDS)、安全扫描等其他安全措施综合使用才能达到目的。
参考文献:
1.凌传繁 、杨波 网络技术 高等教育出版社 2007
舒晓1(1.中国石油大学(华东)地球科学与技术学院,山东青岛 266580)
摘 要
本文主要研究了通过配置linux系统主机ipchains防火墙来保护校园网络的方法。这种方法可以将多台教学计算机组成的局域网隐藏于私有网络之中,并通过防火墙提供的网络地址转换功能与互联网连接。同时通过指定的链规则,防止各种危险报文的进入进出,最大化保护网络安全。
关键词
防火墙 包过滤 校园网络 网络安全
随着越来越多的校园网络接入互联网,对其安全进行保护尤其是防止其受到来自黑客的入侵越来越重要。这些攻击具有多种形式,包括信息泄露、木马植入和病毒入侵,其中最危险的一种是入侵并接管主机,并通过被入侵的主机进攻其它目标,通常这种做法可以掩盖黑客的行踪。因此,有效地保护网络安全,防止计算机遭受就变得十分需要。但当这一要求是面对校园网络和校园网络的主体使用者学生时,这一任务就变得极具困难性。众所周知,校内网络教室中计算机所安装的操作系统往往具有很多安全漏洞,这是因为为了教授学生的基本计算机及网络知识,且为了不受限制地访问互联网中大量的资源,往往提供了一个保护性很弱的操作系统环境,这样的机器在教育系统是极为常见的,对于一个缺少足够网络安全知识的尚处于学习阶段的但使用网络教室中电脑连接互联网的学生,其很难应付当前日益严峻的来自互联网的安全挑战,而置于不同安全域之间的访问控制工具——防火墙则被用以解决这一问题。由于防火墙本质上是对互联网安全策略的实现,其自身就是一个策略的执行系统。因此应用防火墙进行网络安全保护最重要的就是配置防火墙并制定有效的安全策略。这一点不仅对于网络管理人员适用,对于使用计算机的学生而言也是适用的。据此,本文首先讨论了当前校园网络遇到的安全问题,随后给出了基本的适用于校园网络的防火墙保护策略。网络安全问题
当前,互联网遭受攻击已经达到了一个相当高的比例,但攻击频率常常难以预测的。但最近一份研究指出这一攻击速率大概是1.5次每秒[1]。这一统计数字进一步证明了主动安全防御计划推进的必要性,即迫切需要构建稳健而可靠的系统对外界的侵扰进行屏蔽或检查。但尽管网络遭受的攻击量难以估计,这些攻击的复杂性是可以预测的。大部分攻击来自现成的可以很容易从互联网上下载得到的探测器。而许多黑客事实上只是未成年学生,出于对黑客的兴趣,它们通过简单的操作使用黑客软件攻击那些网络中十分脆弱的系统。许多攻击是十分明显的,其很容易被追踪到攻击源头。这意味着当前的黑客很少害怕被控告并被法律制裁。但尽管许多攻击都是来自业余计算机水平的爱好者,专业级别的黑客对网络安全仍然构成了巨大的危机,其往往是处于某些商业性的目地而有意地有计划地实施攻击行为。因此,构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。
对易遭受攻击目标的调研指出教育和政府系统是最常被攻击的对象。针对这一问题,美国联邦政府已考虑将其活动独立于当前互联网中,而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说,由于其需要使学生学会应用互联网并从互联网中取得新知识,其不能将自身完全脱离互联网。但另一方面,当前校园网络对安全问题的重视性相比许多大型商业公司十分不够,这一方面是由于网络安全本身的复杂性,许多中小学没有足够的技术能力解决这一问题,另一方面是由于购买专业的防火墙产品所需要的经费不足。因此有必要探索更为合适的防火墙解决策略。防火墙实现及策略定义
2.1 防火墙配置环境
校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的。学生使用的计算机往往存在许多安全漏洞,但学生在上网时往往采用最直接和简单的方式连结到互联网。这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。由于学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境。因此,减少遭受攻击的最简单的方式就是设置私有网络,通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构,同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时,除了校园本身要设置中央防火墙外,内网也应架设独立的防火墙,这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外,因为这种内网的防火墙级别较低,针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标,我们将通过通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的,因此完全无需额外的购买费用,只需要单独使用一台电脑安装linux系统和双网卡。
2.2 防火墙的构建
首先,校内的某个计算机教室组成的局域网要连接到互联网中,那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0(具有公共网络地址202.101.1.2)和card1用于与局域网(c类私有地址192.168.1.0)相连。Linux系统自带有ipchains封包过滤软件,可以通过链(规则列表)实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链[2-3]。对于从互联网进入局域校园网的报文来说,其首先进入输入链经过输入链包含的规则检查,被允许通过或拒绝通过,随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。
2.3 防火墙配置策略
由于我们采用的是linux系统内置的ipchains包过滤软件,对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过,再规定可以通过的报文。第二种是先允许所有报文通过,再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的,其常用的软件和所需的功能对于教师而言十分熟悉,因此我们选择第一种策略。如此,链中包含的规则可以比较少,因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。
首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则,这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则,我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文,其设置如下:
/sbin/ipchains-A input-j DENYi card0-s 192.168.1.1/24 /sbin/ip chains-A output-j DENY-i card0-d 192.168.1.1/24 /sbin/ipchinas-A input-j DENYi card0-d 202.101.1.25/32 随后我们禁止广播包: /sbin/ipchains-A input-j DENYi card1-d 0.0.0.0 /sbin/ipchains-A output-j DENYi card0-s 192.168.1.1/24 /sbin/ipchains-A forward-j ACCEPT-i card0-d 192.168.1.1/24 /sbin/ipchains-A forward-j MASQ-i card1-s 192.168.1.1/24 这一功能可以隐藏局域网的IP地址,即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤,便实现了基本的封包过滤防火墙设置。结论
1.校园局域网络通过基于linux系统的ipchains防火墙连接互联网,通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址,同时还节省了学校宝贵的IP地址资源。
2.构建双宿主机型linux防火墙仅需一台独立的电脑,而无需额外购买昂贵的硬件防火墙,即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的中小学校园来说十分合适。
3.合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统,无论从互联网进入校园局域网的报文会被检查,从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能,有效地保护了网络的安全,实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。
参考文献
摘 要:近年来,消防安全管理受到了全社会的广泛关注和高度重视,增强消防意识,加强消防防火安全管理是我国消防工作的重点。火灾不仅严重威胁着社会公共安全和人民的生命财产安全,还影响到社会稳定,破坏生态环境及生态平衡。而网络化在消防安全管理中的应用,形成了一种全新的消防管理模式,不仅提升了消防安全管理工作的效率和质量,同时在社会消防安全管理发展中发挥着重要的推动作用。
关键词:网格化;社会消防;安全管理;防火
一、?W格化管理
网格化管理是近年来新兴的一种创新技术,利用信息化手段,将城市管理区分为一定数量的单元网格,以实现更高效的区域管理。网格化管理指的是在地理属性的基础上,将所在地划分为若干网络单元,把要管理的对象进行整合,这些性质接近的对象要按照一定的顺序进行组合,形成一种网状单元的状态,并依托于现代化信息技术,对各个网络单元格进行优化协调,充分掌握各网格信息及动态,实现各网格间的信息交流,优化资源整合,达成信息共享,激发人们的参与性和主动性,提升工作效率。在对其进行管理时,要利用计算机技术对每一单元进行操控,并保证它们之间的协调性,使信息交流能够做到高速、稳定。同时,保证信息能够被高效率地进行整合和共享的,是管理质量和管理效率提高的重要保障。
二、网格化管理基本原则
网格化管理是在一定标准原则下进行的,主要原则有:第一,网格单元划分标准性原则。在网格单元划分过程中要参照其相关标准,保证网格化管理基础准确有序,为后续管理打好基础。第二,网格单元间信息性原则。网格化管理本身就是依托信息化手段进行的控制管理,要让网格信息交流通常,信息及时精准,保证网格化管理具有整体性,便于高效控制整体网络,提高管理效率。第三,网格单元间资源协调性原则。资源协调性原则使网格化管理的关键性原则,该管理模式应用的最终目的在于在一定范围内,对单元网格进行资源管理,信息共享,达到资源协调运用的目的,以更好服务于整体管理,提升管理效果。第四,充分考虑各网格的兼容性。网格划分时是将有共性的划分在同一单元内,但各单元是独立、独具特色,且含有多样特性,因此,网格化管理应充分考虑各网格的兼容性这一重要特点。
三、“网格化”在社会消防防火安全管理中的作用
1.推动了消防安全管理的社会化。网络化的消防安全管理能及时有效的收集各种信息,一旦在区域内发生违规和火灾隐患等情况,就会被立即的发现,区域内的负责人会立即采取相应的处理措施。实施网络化的管理模式,能有效加强区域内消防人员的巡查效率和执行力度,同时还能有效促进消防安全常识的宣传工作及消防隐患的改进工作的落实。通过后续的消防安全执行中,能够让相关人员充分了解各项改进工作的效果和质量,采取针对性的措施进行调整,力求用最低的成本,实现高效的消防安全管理工作。
2.有利于加强消防安全管理力度。网络化的管理模式就是将各区域划分为多个不同的小单元,每个单元内都会配备消防管理小组,这个小组就是负责这个单元内的各项消防安全常识的宣传、巡查和执行等工作,并将所了解到的情况定期向上级汇报,方便相关管理人员做出正确有效的处理方案。区域内的各个小组在工作中是相对独立的,只要定期对管辖区域进行消防安全检查即可,这样不仅能有效提高小组成员的自主性和能动性,还能及时有效的检查出区域内存在的各种火灾隐患,提高区域的消防安全管理力度。
3.增强了消防安全管理水平。网络化管理模式在消防安全管理工作中的应用,其主要形式就是以区域责任人制度进行具体的实施,所以,可以充分的保证这一区域内各项安全消防管理工作的有效性,减少这一区域内发生火灾的机率,降低火灾隐患。有利于创建公开公平公正的安全管理责任体系,有利于增强动态消防安全管理水平,推动消防安全管理工作的社会化发展进程,有利于增强消防信息警务管理水平。提高消防安全工作的执行力,促进消防管理工作的社会化,强化消防监管力度,强化消防管理工作。
四、网格化安全管理模式的保障措施
1.建立管理制度。对于并没有专业物业管理的小区而言,居住建筑通常情况下由消防管理单位负责,若居民建筑并无产权单位负责,则需要由与之相对应的单位或者相关部门提供消费防火服务;对于当地并未缴纳物业费用的居民建筑而言,则需要由消防安全管理工作所队形的社区单位进行管理。相关部门根据当地的实际情况制定分级管理制度,同时,获取当地公安机关的辅助和协助,进而确保消防工作的顺利完成。与此同时,在实际管理工作中,需要从当地的实际情况出发,充分结合当地的实际情况,如:人口规模、建筑数量、经济水平以及区域面积等,进而在一定程度上确保网格划分的标准化,进而提高安全管理效率;其次,网格化的安全管理模式,需要按照相关规定和流程切实将消防安全管理工作落实到各个环节,明确每一名消防人员的工作责任和管理义?眨进而从根本上利于消防安全管理工作的顺利展开。
2.建设基础设施。在消防防火的管理过程中,建立基础设施已经成为重要的构成部分,为了能够实现网格化安全管理模式的积极作用,则需要注重网格化基础设施的建设,同时,对于预防火灾和实施救援具有十分重要的作用。与此同时,还需要不断提高有关网格化安全管理相关设施的技术建设,进而从根本上提高预防火灾的管理能力。建立社区火灾隐患直报平台,社区消防动态管理平台,有效实现实时监控与综合调度与指挥,从源头上预防与降低消防违法行为与火灾隐患的发生率。
3.加强宣传教育。消防防火是一项涉及十分广泛的工程,基于社会不同力量的支持,网格化的消防安全管理模式在实际应用的过程中,需要加强防火意识的教育宣传,建立一支具有专业技术和综合素质的消防团队,不断壮大网格安全管理的防火力量。通过定期开展网格化的消防安全培训体系,不断提高消防管理人员的管理意识,将网格化安全管理工作作为首要的研究重点。除此之外,还需要根据实际情况制定合理的奖惩制度,准确评估消防人员的工作质量和效率,根据消防人员的表现情况及时给予奖励和惩罚,积极做到奖惩分明,利于提高消防人员的工作热情。
参考文献
[1]傅东.网格化在消防防火安全管理中的作用探究[J].消防界,2016(07).[2]王伟.网格化在社会消防安全管理中的重要性[J].消防科学与技术,2012(8)
由难燃木材、钢质材料、钢木材料以及其他材料(如无机材料)作为门框、门扇骨架、门扇面板,门扇内若填充材料,则填充对人体无毒无害的防火隔热材料,并配以防火五金配件所组成的具有一定耐火性能的门,统称为防火门。近年来,随着我国国民经济的飞速发展,城市化建设步伐日益加快,大批新建民用建筑、漂亮的公用建筑以及高层、超高层建筑如雨后春笋般出现。
根据建筑设计防火规范要求,防火门作为建筑行业的一种功能性产品,在建筑中的应用量日益增加,并在各类火灾中发挥出了重要的防火隔热、隔烟作用,防火门的应用也逐渐得到人们的重视。根据其所选材质,防火门可以分为木质防火门、钢质防火门、钢木防火门以及其他材质防火门。同时,根据防火门的隔热完整性,又分为隔热型防火门、半隔热型防火门、不隔热型防火门。根据防火门的功能,该产品对于控制火焰蔓延、减少火灾损失和保障人员在火灾中顺利逃生起到了十分重要的作用。
随着近几年网络安全问题出现得越来越频繁,加强对网络安全技术的研究已经迫在眉睫,而防火墙技术在确保网络安全方面起着非常重要的作用,因此,为了确保网络的健康、安全运行, 保障人们的网络信息不被受到侵害,加强对主流防火墙技术的研究,及时有效解决网络安全问题,进而为人们提供安全可靠的网络环境起着非常重要的作用。
1网络安全技术概述
近几年越来越多的人开始加强对网络安全技术的研究,使得网络安全技术得到了非常发展,越来越多的新技术开始投入到实际应用中,从而使得网络更加安全。因此,下面我们就网络安全的构成和影响因素进行深入的分析和研究。
1.1网络安全构成
就国内互联网的实际情况来看,当前网络安全主要是由以下几个方面来构成:一是网络实体安全,也就是计算所处的物理环境和设施的安全性,以及计算机一些附属设备的安全,如外设、 网络传输线路等等;二是软件安全,其中包括网络操作系统自身的安全性以及在系统中的安装使用的软件不被非法篡改和病毒入侵等;三是数据安全,确保网络中的数据不被非法窃取或修改等,确保信息数据具有一致性与完整性;四是网络安全管理,主要是网络运行中对突发事件所进行的安全处理,其中包括计算机安全技术的使用和网络安全管理制度体系的构建等。
1.2网络机密性
从网络所具有的特征方面来看,网络安全包含着五个最为基本的构成要素:一是机密性。即保证信息数据在未授权的情况下不暴露给没有权限的进程与实体;二是完整性。即只有具有权限的人可以对信息数据进行修改,并对信息数据是否经过篡改做出判断;三是可使用性。具有权限的实体可以对信息数据开展访问, 网络攻击者不能在占有所有资源的情况下对具有权限者的工作造成阻碍;四是可控性。即可以对授权范围中的行为方式以及信息流向进行有效控制;五是可审查性。对已经存在的网络安全问题提供有价值的、可调查的手段和依据。
1.3影响网络安全的因素
网络所面临的安全威胁来自于多个方面,其中主要包括以下几点:一是网络能够让信息的收集更加的快捷与方便,并且能够在很大程度上增加信息的价值,同时也形成了对网络黑客的吸引力;二是计算机系统中存在的漏洞难以避免,这让网络入侵时刻存在可能性。计算机系统本身的体系结构安全性欠缺,尤其是操作系统程度允许动态连接的特点也为黑客的入侵创造了更为有利的环境;三是网络系统中信息数据存在于数据库中,这些数据在实现共享的基础上也具有了危险性与不安全性,如具有权限的用户超出自身权限对数据进行修改,没有权限的用户通过绕过安全审核来对信息资源进行窃取等;四是系统中的应用服务协议以及通信协议具有缺陷并存在被恶意利用的可能性;五是当前计算机病毒可以对计算机硬件造成破坏,并可以通过网络对多台计算机造成破坏。随着计算机病毒种类、数量的增长以及病毒变种和机理的演变,病毒的检测和查杀具有了更多的难度;六是网络系统与计算机配置经常发生变化并且具有十分复杂的特点,如果配置不当则容易造成安全漏洞的产生;七是相关人员在网络系统安全方面欠缺认识与重视,没有针对网络安全问题采取有针对性的措施。
2防火墙技术
随着人们对网络安全重视程度的不断提高,人们研究出越来越多的措施来加强网络安全,而防火墙技术是其中最具代表性、 最常用的一种方式,因此,下面我们就对防火墙技术的概念、原理、分类进行深入的分析和研究,以便能够充分发挥会防火墙自身的作用和价值。
2.1防火墙技术概念
防火墙的基本含义是在建筑物中用于隔离和减缓火势的墙壁,引申为在网络安全中用于防止恶意袭击的安全防线。防火墙的在网络中引申意义就像原意一样,主要的功能就是防止外部的危险进入到内部进而造成损害,并隔离网络防止损害的扩散。防火墙既可以隔绝外界干扰,又可以限制险情蔓延,还可以保证内部的系统安全。根据功能的不同,防火墙进行工作的方式也是不一样的,通常情况下防火墙的主要构成是硬件和软件设备,究其根本,防火墙最初的作用是为了保护内部数据资源的安全,这是一种访问控制技术,可以通过各种方式来对因特网和内部网络进行隔离,当然。如果有需要的话还可以对因特网中的不同部分进行分离。
2.2防火墙工作原理及特性
对于已经调试好的防火墙,既可以最大限度的做好监控数据流量和筛选网络信息数据的工作,当然还可以对未通过并试图通过其他非正当手段进行数据连接的行为进行及时的记录,并为管理员进行跟踪和管理的依据。主流高品质的防火墙通常有以下几个特征:所有通过因特网进入内部网络的数据流量都必须经过防火墙的检测、通过防火墙检测并得到允许的数据信息才可以进入内部网络、通过防火墙的所有信息流量活动还有信息记录都必须记录下来、具有发现检测预报的功能、防火墙应该拥有破解各类恶意攻击的本领和能力。
2.3主流防火墙的不同分类
主流防火墙由于用途功能不同的原因,通常有以下四种类型:人们在对防火墙进行分类时,主要是通过其不同功能来进行的,其主要有以下几种类型:一是,应用代理型防火墙。该种类型主要是由于防火墙服务不同的对象、选择的服务方式不同来进行的,通过编写相应的代理程序,从而为各个对象提供相应的服务,这就能够在最大程度上确保应用信息得到有效监控的作用; 二是,包过滤器防火墙,该种类型主要是在传输方面得到广泛应用。其主要功能是有效检测和区分不同的信息数据,从而能够最终筛选出适合的信息,进而将有用的信息传输到其对应的目的地;三是,复合型防火墙,是由最基础的集成电路为结构,由防火墙阻止病毒等恶意信息。四是,状态包检测防火墙,这是以一种将同样属性的数据包连接成一个整体的监测机制,能够做到精确区分各个连接状态的不同因素。
3主流防火墙技术在网络安全中的运用
总的来讲,计算机网络安全就是依据防火墙进行网络的管理工作,并确保工作数据的完整性及隐私性。计算机网络安全分为两种类型,分别是物理安全和逻辑安全。由于使用者是不一样的, 网络安全的解读自然就会有很多个不同的版本,举个浅显易懂的例子:大多数网络使用者通常都是简单的认为网络安全就是在自己运用网络进行活动的时候自身的信息不会被窃听或者是篡改, 但是对于网络供应商们来讲,计算机网络安全除了上述的含义, 还应该拥有保护硬件设备的功能,还应该有出现意外事故进行自我修复回复通信功能的作用。
3.1加密
信息的加密过程一般是这样的:先由信息发送者进行信息加密,接受信息者知晓信息解密得密码,接受信息者在收到信息后, 通过使用自身拥有的安全秘钥进行信息的解读,这样就完成了信息的传递工作而不用被第三方拦截。这个措施的使用就是确保信息传递的安全性的。由此可以看出,防火墙技术中的加密技术, 能够从根本上确保网络安全,确保企业的信息不被受到侵犯,从而使企业的信息能够在内部进行有效的传递和共享。因此,加密技术已经在当前我国很多企业的网络中得到了广泛的应用。
3.2身份的验证
网络用户得到授权之后,信息的发送者和接受者之间就会联接起一条信息交换的通道并具有一定的安全系数,这样就会大大减少信息泄露的风险,大幅度降低第三方非法用户的参与导致信息资料的不安全性。
3.3防病毒
主要分为防治病毒、检测病毒、清理病毒三个主要方面。
(1)在网络建设中,安装防火墙进行数据信息的控制室时遵循一定的规则和条件的,构建成功后就会拥有一道相对安全的信息保护屏障用于保护内网和外网进行的数据交流,保护不受第三方的数据干扰和信息窃取。
(2)有很多种连接数据网络的方式,通过路由器进行网络连接的方式通常拥有一个C类IP地址,服务器主要类型是WWW、Email等。该网络必然会先进行主干网的连接,访问主干网络信息资源,不允许其他的服务访问。然后,会进行IP地址的详细检查工作,并对信息访问记录进行存储,这些都是为了防止其他非法访问和不正当方式的盗用。
4结论
综上所述,随着防火墙技术在网络安全运行过程中起到越来越重要的作用,人们就应该加强对其技术的创新和研究,从而能够有效预防新病毒、黑客的侵入,进而有效保障网络数据的安全, 这对网络的健康发展来说具有非常重要的意义。
参考文献
[1]马丽君.浅析防火墙技术在校园网络安全中的应用[J].网络安全技术与应用,2014.
[2]陈倩.浅析网络安全及防火墙技术在网络安全中的应用[J].网络安全技术与应用,2014.
【关键词】网络信息技术;防火预警;防火管理;GIS技术支持
一、前言
关于森林火灾的起因,可以说这是一个极其复杂的自然现象。究其根源,除去众多自然因素,还有一些社会因素存在。它不仅对社会环境和经济的环境发展有巨大的破坏力,其造成的负面影响也不容忽视。火灾不仅造成植被被毁,还破坏了森林的结构和生态平衡,对林木的生长和更新起了破坏作用。更造成了对林区设施的破坏和人类生命财产的危害。
多年来人力致力于对防火工作的预防和及早发现,并及时扑灭的问题研究,但是森林火灾突发性强,要在短时间内采取相应措施,这不仅需要决策者的快速准确反应,更需要采用先进的科学技术作为提高现场应变能力的强大后盾。
二、森林防火管理中存在的问题
1.火点定位无法满足森林防火管理部门的要求
现有的卫星图像和GPS用来定位防火信息系统,由于火灾发生时间不确定因素,遥感卫星在民用方面无法在第一时间传递更多的信息,同时遥感图像定位火点在一些小火灾中受到分辨率等因素制约,不能彻底发挥火点定位作用。在林业管理部门,一些基层对森林资源信息化管理技术较低,每个林员配备GPS接收机这点都没有做到。所以目前火点定位在森林防火信息系统中难以满足管理部门的要求
2.林火蔓延无法快速反应
以往对于林火的火势发展大多靠个人经验判断进行,没有准确的科学的火势蔓延预测方案。以前的林火行为关系到的影响因素和学科种类都无法涉及到科学范畴,这样不同程度影响了现场的灭火判断和灭火决策,导致现场治火受到一定影响。如何快速准确的反应现场,降低火灾受损情况,成了林火管理者最棘手的问题。
3.传统技术迫切需要更新
原来的GIS只应用在地球表面数据三维简化后的处理。在工作深入后就需要有虚拟三维技术进行可视化应用,这样就能更直观真实地反应火灾情况,以便准确应对并做灭火处理。
三、GIS技术在森林防火管理中具体应用
1.火灾决策分析
扑火最有效的依据就是要快速掌握火灾情况和火灾周围情况。专题图层提供空间数据,这些数据可以计算出周边哪里的水源和道路离现场最近,也可以计算出最近的救援队伍和防火隔离带。火势大的时候,系统还可以进行预警工作。可能在这次火灾中遭到破坏的电线塔,必须要重点保护好的对象,一些分散在周边的住户和小班等等。这些要素都能被系统考虑到,然后决策者不仅可以做出最有利的灭火工作,部署和指挥大家进行紧张有序的灭火工作。防火工作必须对道路有足够全面的信息,最好有道路各种等级的讯息反应,这样决策者就能根据最佳路径分析最有利的路况,从搬运物资到救火车如何停靠及水系分布,这些至关重要的信息都能从系统上快速得知。智能计算扑火队伍的行进路线,对终极扑火方案提供最有效的思路。
2.提供林火蔓延分析
林火的蔓延情况根据风向和风速决定的,其中地形和植被类型的分布也对蔓延起着一定作用。根据专家得出的林火蔓延的规律,不仅每天最高温度和中午风力影响着林火蔓延,还包括可燃物类型和风力及坡度、风向,这些都是林火蔓延的六大要素之一。了解这些要素对扑救火势极其重要。系统可以根据工作人员的相关数据,预测到林火蔓延之势,甚至可以运用预测模型,预测和分析火势的进蔓延情况,计算出火头和火翼相关数据,也可以计算出货位速度的相关数据。运用这些科学的计算得出结果,系统馬上生成火势发展图,GIS技术就如一个辅助决策工具,把林火蔓延直观而科学的体现。
3.林火势态图层
态势标绘是标绘行动和过程的一种手段,这是在屏幕地图基础上的行为表现。通过防火符号库和屏幕地图标形成林火势态图层,其火情态势标绘信息已经按统一格式存档,信息同步后的火场和指挥中心通过这些及时了解情况,布置救援任务或者其他工作,让灭火工作逐层递进。[1]
4.评估火灾受损情况
根据火场数据和森林分布数据可以得出火场损失评估的内容和研究,并可以进一步统计分析对森林的损失。损失面积和蓄积可以作为系统的评估指标,不仅可以了解森林损失的总管面积和总蓄积,还可了解按林分类型的各种计算。这些数据可以提供依据给森林措施的指定,也可以给恢复和更新森林提出各种决策。
四、遥感RS技术
通过非直接接触对目标进行信息采集的远距离技术叫做遥感。从高空外层空间平台的可见光红光等探测仪器进行识别的技术体系。遥感有很多优点,不仅能获取大范围资料,进行会测工作,也可以进行环境监测和调查等等。它获取信息的速度相当快,而且能施展各种技术获取,获取量大,获取周期短并且还不用受外在条件制约。所以它可以应用于现代森林防火管理中。遥感图像能提供森林分布状况,知晓森林全貌。并对图像进行处理和特征提取,使用模式识别技术,进行整体森林空间的分布情况。对火灾进行各方面的计算。
五、GPS定位系统
全球定位系统包括GPS卫星和地面监控系统,也包括用户接受设备。GPS是永不歇止的工作机器,它能24小时发送信息,把导航和定位工作让无数用户共享。它不受地域限制,也不受气候条件限制,在地面和空中任意确定出一个精确三维位置,提供精确的速度和时间信息。此强大的实用性用在森林防火中,那么它能提供精确的火位并测算火场受损面积。导航和定位火场位置。[2]
六、无线通讯和有线通讯的有机结合
通讯是森林防火的“耳朵”工程,对灵敏度的要求是很高的。森林防火管理中,一般通讯方式有以下几种:有线电话使用方便,作为一种基本通讯手段在林防中应用,但是它受线路问题的限制,在林中传递防火信息容易受线路故障而中断信息传递;短波通讯借助电离层虽然方便灵活,但是因为受电离问题的限制,对传递火情具备一定局限性;[3]超短波通信设备轻、功耗小,但是它的工作必须保持视通和视距,若有地形问题比如高山阻隔,信息传递也受到阻隔;微波通讯在高频点工作,只要没有阻隔就可以工作;卫星通讯在覆盖范围方面有很大优势,但是其制造成本过高,只在传输数据量小的工作方面比较适用;移动通讯是森林防火扑救过程中的通讯重要通讯,它确保了火场指令的顺利施行,有着不容忽视的林火控场通讯作用。
七、结束语
网络技术信息技术在森林防火管理起着越来越重要的作用。它能建立森林火险预测模式和森林火险预警模式,让一切可以防患于未然。同时它能对森林火灾进行实时检测,对已发生的火灾进行有效扑救工作。森林防火机构要利用新技术加强信息共享和协同工作,更好的为森林防火工作提供高效服务。
参考文献
从林火预防、扑救、调查及绘图等方面分析了GPS技术在森林防火中的应用现状及意义,并展望了GPS在森林防火中的.应用前景.
作 者:魏国良 游玮 WEI Guo-liang YOU Wei 作者单位:魏国良,WEI Guo-liang(青海大学,农牧学院,青海,西宁,810003)
游玮,YOU Wei(山阳县林业局,陕西,山阳,726400)
——501班心理团辅课
网络为学生提供了一条很好的学习和娱乐途径,但如果沉溺其中肯定弊多利少。小学五年级是学生意志品质形成的关键时期,也是人格发展的重要时期,大家接触网络的时间越来越长,对网络也越来越迷恋,其中相当一部分学生盲目追求个人兴趣,缺乏自我控制能力,浪费大量宝贵时间,以致荒废了学业,严重影响了其身心健康成长。老师发现咱班有好多同学爱好上网,并且网络聊天时语言不够文明,还发一些不文明的图片,上一些不健康的网站,玩游戏毫无节制,有些同学经常不完成作业。于是,为了引导我们正确认识网络的利弊,了解不适度上网对自身造成的危害,初步尝试预防过度上网的方法,让我们正确地利用网络资源为我们的学习、生活增添色彩,今天下午老师特意给我们上了一节生动的心理团辅课。
课前老师对本班学生进行了相关的调查。活动在拍手游戏中拉开了序幕。神奇的网络给我们的生活带来了前所未有的便利,我们的生活也日益被网络占据。那么网络给我们带来了什么好处呢?同学们你一言我一语地说开了,有的说,可以听音乐看电影,休闲娱乐;有的说,可以聊天,结交笔友增进友谊;有的说,可以玩游戏放松心情;有的说,可以查阅资料增长见识,非常便捷;还有的说,可以购买物品既方便又便宜„„看来,网络的确给我们的生活、学习带来了便利,好处多多。“那么大家从网络中得到的是否都是快乐呢?下面我们一起来看一则小品”老师向我们抛出了这样一个疑问,紧接着郭一鸣、马圣隆、卢懿、施芷蕴四位同学上台为大家表演了一则小品——《小刚上网记》。这则小品再现了个别同学的风貌,老师还从PPT中出示了小刚因此成为“网虫”的惨痛日记,很值得同学们深思啊!紧接着老师又出示专家的一些调查研究报告,同学们全神贯注地看着屏幕,个个瞪大了眼睛,真令人吃惊,原来网络还给我们中小学生造成这么大的危害。老师又出示了咱们班的课前调查结果,指出我们班的有些同学也或多或少地存在着这些问题。
怎么办呢?老师请我们想一想,寻找解决的办法。大家又七嘴八舌地讨论开了。最后,老师给我们做了点评,总结,提出了修筑四道“防火墙”工程:
第一道“防火墙”:上网之前先明确任务。第二道“防火墙”:上网之前先限定时间。第三道“防火墙”:时间一到就“思维叫停”。第四道“防火墙”:父母帮助监督提醒。
在修筑第三道网络“防火墙”时,我们还玩了“悬崖勒马思维叫停”的游戏,同学们在轻松的游戏活动中,体验着,逐步提高自我控制力。说到第四道“防火墙”,好多同学还认为自己没有必要修筑呢,都觉得自己的控制力挺强的,呵呵,“道德只是个简单的是与非的问题,可实践起来却很难”,但愿这些同学真的能自我控制能力哦!接下来我们还将这几道“防火墙”编成了儿歌呢!你听,还朗朗上口呢:
你拍一,我拍一,上网之前任务明; 你拍二,我拍二,上网之前定时间; 你拍三,我拍三,时间一到就叫停; 你拍四,我拍四,父母监督来提醒; 你拍五,我拍五,保护视力身体棒; 你拍六,我拍六,上网一定要节制!
摘 要: 防火墙是一种确保网络安全的方法,它可以被安全放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成,简单说防火墙就是一个位于计算机和它所连接的网络之间的软件,该计算机流入流出的所有网络通信均要经过此防火墙。
关键词: 防火墙 TCP/IP 网络协议 校园网
1.引言
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。IT术语中的防火墙是指隔离在本地网络与外界网络之间的一道防御统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不妨碍人们对风险区域的访问。
2. Windows网络协议的实现及操作系统的总体架构
2.1 Windows网络协议的实现
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它定义了通信时信息必须采用的格式和这些格式的意义。大多数网络都采用分层的体系结构,每一层都建立在它的下层之上,为它的上一层提供一定的服务,而把如何实现这一服务的细节对上一层加以屏蔽。
2.2 Windows操作系统的总体架构
Microsoft Windows系列操作系统是在微软给IBM机器设计MS-DOS的基础上设计的图形操作系统。现在的Windows系统,如Windows 2000、Windows XP皆是建立于现代的Windows NT核心。NT核心是由OS/2和OpenVMS等系统上借用来的。
3. 防火墙发展研究
3.1防火墙体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。
3.2被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。
4.防火墙技术在校园网中的实现
这里,假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界。它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,可采用以下存取控制策略。
4.1对进入CERNET主干网的存取控制
校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设置与校园网连接的路由器:
Interface E0
Decription campusNet
Ipadd 162.105.17.1
access_list group 20 out !
access_list 20 permit ip 162.105.17.0 0.0.225
4.2对网络中心资源主机的访问控制
网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别保护,可对网络中心所在子网禁止DNS,Email,WWW,FTP以外的一切服务。
4.3对校外非法网址的访问
可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
5.结语
本文阐述了防火墙的体系结构及在校园网络中的应用,并且介绍了网络协议的实现与操作系统的总体架构。
参考文献:
[1]黎连业, 张维 编著.防火墙及其应用技术[M]. 北京:清华大学出版社,2004.7,第1版.
[2]朱雁辉 ,编著.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002.7,第一版.
[3]Keith E.Strassberg,等著.李昂,等译.防火墙技术大全[M]. 北京:机械工业出版社,2003,3,第一版.
[4]Carasik-Henmi,A.等著.李华飚 ,等译.Tanenbaum[M]. 北京:中国水利水电出版社,2005.5,第一版.
[5]谢希仁 ,编著.计算机网络(第四版)[M].北京:电子工业出版社 ,2003.6.
1. 防火墙的概念
防火墙是一个位于内部局域网与外部网络、专用网和公用网之间的计算机或网络设备中的一个功能模块, 为一种高级访问控制设备, 是按照一定安全策略建立起来的硬件和软件有机组成体, 可以是一台专属的硬件, 也可以是一套软件。是一种计算机硬件和软件的组合, 负责不同网络安全域之间的一系列部件的组合, 主要用于控制、允许、拒绝、监测出入两个网络之间的数据流, 高级一些还能提供如视频流的服务, 且本身有较强的抗攻击能力, 可以提供身份认证和访问控制, 有效地监控了两个网络之间的任何活动, 保证了内部网络的安全。其主要技术有:包过滤技术、双穴主机、堡垒主机、代理服务、网络地址转换、状态检测技术。
2. 案例介绍
2.1 要求
防火墙应由一系列的软件和硬件组成, 形成一个有一定冗余度的保护屏障, 应能抵抗木马侵扰和“黑客”的攻击, 监控和审计网络通信;一旦失去防护作用, 防火墙应能隔开网络中不同的网段, 完全阻断内、外部网络站点的连接;还要有强大的反病毒、杀木马的功能, 使这些病毒和木马在将要侵入时时引起防火墙的报警。
2.2 思路
首先是要确定安全策略, 在图书馆出口处部署千兆防火墙一台。按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。针对不同区域的特点和需求设定相应的安全访问控制策略。为防止蠕虫病毒发作, 限制单台主机发起连接的数量。将原来使用的固定IP地址、IP段停止使用或限制使用, 设置新的、内部私有的IP地址。通过防火墙的NAT与反向NAT技术将内部主机的IP地址完全隐藏, 从而不被外界发现。
为了适应图书馆先进设备和技术的应用, 应采用灵活的模块化结构, 密度端口适中的网络设备, 具备三层路由功能, 使其具备平滑升级能力。同时还应对不同用户的需求进行量身定做, 防火墙和网络设备能够灵活提供各种常用网络接口, 为满足用户的不同需求对网络模块进行合理搭配。
2.3 实例分析
我校图书馆网络安全主要是为了保护web服务器和数字资源数据库服务器, 主要采取了硬件防火墙和linux代理防火墙两种形式, 采用了一种称为netfilter架构的防火墙, 有效的防止了外部网络用户、病毒和木马以各种手段试图进入图书馆的内部网络。网络拓扑图见图1:
硬件防火墙采用了Juniper公司的NS50标准方案建议, 它采用的是已知的一种动态数据包过滤的状态检测方法, 收集各种部分的包头信息。NS50防火墙产品可连接信任端口 (Trusted) 和不信任端口 (Untrusted) , 如果一个应答数据包到达时, 防火墙会对其进行对比检验, 如果匹配则允许通过, 如果不匹配, 则丢弃该数据包, 并提供了跨Internet来实现远程管理能力。
当工作状态的防火墙失效时, 备份防火墙会在短时间内自动切换到工作状态。为了使防火墙在失效时仍能够维护网络的安全, 实现网络的高可用性, 防火墙设计必须应用到专门的双机容错技, 互为备份的链路需要有相同的配置。在这样的设计中, 防火墙跨接在路由器和交换机之间, 两个防火墙都同时在工作, 互为备用防火墙。两个防火墙通过1条心跳线连接实现状态的同步, 当其中一个防火墙失去保护屏障的作用时, 另一个防火墙将立即被启用, 此时链路带宽下降到原有的50%, 1条链路完成2条链路的工作 (见图2) 。通过这种双机热备份功能, 当单台主机失效时, 网络仍然可以工作, 同时网络的双防火墙设计也保证了信息的高安全性。
2.4 防火墙对流量控制的策略
为防止用户对网络资源的滥用, 例如采用专业下载软件如BT、电驴、P2P等软件进行网络资源的过度下载, 避免占用大量的网络带宽, 阻碍正常工作的开展, 对网络流量进行捕捉、分类, 对网络流量进行监视, 定期查看防火墙流量监测和流量控制策略, 定期查看防火墙的网路日志和分析网络带宽资源的使用情况。
2.5 防火墙对入侵检测策略
凡是选中的协议都将被探测, 如果匹配则允许通过, 如果不匹配, 则都将被过滤。通过定义过滤规则, 可以减少网络探测引擎分析的数据包的数量。在大流量的环境下, 通过减少数据包的数量, 可以减轻网络探测引擎的负担, 降低事件的漏报, 从而使防火墙能有效地保护内部网络免受攻击。
2.6 硬件的选择
在硬件选择方面, 首先应按照自己需求进行选择, 目前市场上的防火墙种类很多, 国外和国内都有技术和知名度过硬的产品, 如思科、checkpoint、netscreen、东软、网御神州、联想等, 但是不管选用哪个品牌、哪种类型的防火墙, 必须确保它自身是安全的, 并且经过第三方可信部门的认证。在选购防火墙时, 不能只考虑吞吐量, 而应要全面考虑防火墙的安全性、实用性和经济性。若流量大或不断变化, 则应首要考虑防火墙的吞吐能力, 吞吐能力差会使防火墙成为网络瓶颈;若涉及语音和实时图像传输, 则要考虑防火墙的延迟;中小图书馆要根据网络规模和性价比来选择防火墙, 切合实际, 避免资源浪费。
3. 总结
防火墙作为目前用来实现网络安全的一种手段, 已经得到了广泛的运用, 可以有效防止外部网络的非法入侵和恶意攻击, 监控网络通信和流量, 便于图书馆系统管理和维护, 保障图书馆自身的利益。正确认识防火墙的失效状态在维护网络安全中是相当重要的, 但其它的防护措施也是必不可少的。
摘要:随着Internet在高校图书馆的普及, 发挥的作用也越来越明显, 但是网络安全问题也日益紧迫。本文概述了防火墙的概念, 剖析了防火墙的工作机制。同时结合图书馆网络应用实例, 具体介绍了防火墙技术在图书馆网络中的应用。
关键词:防火墙,图书馆,网络
参考文献
[1]费宗莲.UTM引领安全行业潮流--UTM统一威胁安全管理系统综述[J].计算机安全, 2006 (3) .
[2]马林山.L roux防火墙技术在图书馆的应用研究[J].合肥学院学报, 2007 (2) .
[3]王琪.入侵检测的原理及其在网络信息系统中的应用[J].情报科学, 2004, 22 (10) :1273-1276.
[4]李文静, 王福生.防火墙在图书馆网络中的安全策略[J].现代情报, 2008, (6) :72-73.
问:我的网络防火墙无任何日志或报告,这是为什么?是防火墙坏了吗?
答:我觉得,这个问题要在两个方面解答,
1、如果在安全情况下,防火墙没有相应规则规定要记录某类通过的数据,防火墙无日志或报告是正常的。
2、如果网络防火墙在受到攻击或有相应规则规定要记录某类通过数据而没有日志或报告的话,可能是因为网络防火墙某个组件损坏,建议重装网络防火墙。
问:我安装了网络防火墙后,还有必要安装反病毒软件吗?
答:首先要明确的是,网络防火墙主要功能是防 非法连入你的计算机,防木马非法加载或发送信息。反病毒软件主要是杀灭本地病毒、木马的。两者具有不同的功能,不能混为一谈。我建议,在安装反病毒软件的同时安装网络防火墙。
问:怎样选择网络防火墙?
答:对于怎样选择网络防火墙方面,我个人认为应该选择国产品牌。因为国产品牌对于本地化更为彻底,适应国内的环境,对于主流的木马、蠕虫有很好的防范作用。另外一点是升级问题,从地址光缆破坏导致国外软件无法升级的事件来看,本土的杀毒软件和防火墙更有保障。
问:我听朋友说没有采用协议为UDP的木马,所以凡是UDP协议的程序都放行,是这样吗?
答:首先,没有采用协议为UDP的木马这种说法是错误的。例如,GirlFriend、NetRaider等木马就是采用UDP协议,
不过,采用UDP协议的木马的确不多,但是这不代表没有。为什么呢?主要是因为UDP协议没有向TCP协议那样检验数据的完整性。对于任何协议的连接都要慎重,不可掉以轻心。
问:怎样从端口判断是否病毒或木马?
答:端口可分为3大类:
1、公认端口(WellKnownPorts):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2、注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3、动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
一般的,病毒、木马不会采用第一类,即0-1023端口。但是也有例外的,例如红色代码就是用80这个端口。所以,不能笼统的说某某端口出来的就一定是病毒、木马。另外目前的木马定制功能越来越强大,可以随意设计通讯端口,这也给鉴别是不是木马带来了困难。
问:防火墙报告如下:
协议:TCP
端口:21554
方向:连入
状态:拦截
请问我是否感染了病毒或木马?
【防火墙在网络中的功能和作用防火墙技术】推荐阅读:
防火墙策略定义在网络安全中的应用12-08
计算机网络与防火墙技术论文01-20
防火墙的知识介绍防火墙技术07-25
防火墙技术填空习题01-27
防火墙技术相关论文03-09
数据库防火墙技术研究10-18
防火网络宣传方案01-07
防火防爆安全技术规程06-15
施工现场防火技术措施09-18
防火减灾应急预案和救援体系02-06
