網路安全防火牆論文

網路安全關係到資訊的保密與洩露，以下是小編整理的網路安全防火牆論文，歡迎參考閱讀！

防火牆安全的計算機網路安全論文

1計算機網路安全中常用的防火牆技術

隨著計算機網路技術快速發展，防火牆安全防範技術也不斷的發生著變化，目前，常用的防火牆技術有代理型防火牆安全技術、包過濾型防火牆安全技術、監測型防火牆安全技術、網址轉換防火牆安全技術等。

1。1代理型防火牆安全技術代理型防火牆安全技術是一種代理伺服器，屬於高階防火牆技術，代理型防火牆安全技術常用於使用者之間，對可能對電腦資訊造成危害的動作進行攔截，從使用者的角度講，代理伺服器是有用的伺服器，從伺服器的角度看，代理型伺服器，就是使用者機。當用戶的計算機進行資訊溝通、傳遞時，所有的資訊都會通過代理型伺服器，代理型伺服器會將不利的資訊過濾掉，例如阻攔各種攻擊資訊的行為，代理伺服器會將真正的資訊傳遞到使用者的計算機中。代理型防火牆技術的最大的特點是安全效能高，針對性強，能將不利的資訊直接過濾掉。

1。2包過濾型防火牆安全技術包過濾防火牆安全技術是一種比較傳統的安全技術，其關鍵技術點是網路分包傳輸，在資訊傳遞過程中，以包為單位，每個資料包代表不同的含義，資料包可以根據資訊資料的大小、資訊的來源、資訊的性質等進行劃分，包過濾防火牆技術就是對這些資料包進行識別，判斷這些資料包是否合法，從而實現計算機網路安全防護。包過濾型防火牆安全技術是在計算機網路系統中設定過濾邏輯，使用相關軟體對進出網路的資料進行控制，從而實現計算機網路安全防護。包過濾防火牆技術的最重要的是包過濾技術，包過濾型防火牆安全技術的特點有適應性強、實用性強、成本低，但包過濾型防火牆技術的最大缺點是不能對惡意程式、資料進行進行識別，一些非法人員可以偽造地址，繞過包過濾防火牆，直接對使用者計算機進行攻擊。

1。3監測型防火牆安全技術監測型防火牆安全技術是對資料資訊進行檢測，從而提高計算機網路安全，但監測型防火牆安全技術成本費用比較高，不容易管理，從安全形度考慮，監測型防火牆安全技術還是可以用於計算機網路中。

1。4網址轉換防火牆安全技術網址轉換技術將網路地址轉換成外部的、臨時的地址，這樣外部IP對內部網路進行訪問時，其他使用者不能利用其他IP重複訪問網路，外部IP在訪問網路時，首先會轉到記錄和識別中進行身份確認，系統的源地址通過外部網路和非安全網絡卡連線真正的IP會轉換成虛擬的IP，將真正的IP隱藏起來。當用戶訪問網路時，如果符合相關準則，防火牆就會允許使用者訪問，如果檢測不符合準則，防火牆就會認為該訪問不安全，進行攔截。

2防火牆安全防範技術在計算機網路安全中的應用

2。1訪問策略設定訪問策略設定是防火牆的核心安全策略，因此，在設定訪問策略時，要採用詳細的資訊說明和詳細的系統統計，在設定過程中，要了解使用者對內部及外部的應用，掌握使用者目的地址、源地址，然後根據排序準則和應用準則進行設定在，這樣防火牆在執行過程中，能按照相應的順序進行執行。

2。2安全服務配置安全服務的是一個獨立的區域網絡，安全服務的隔離區將系統管理的機群和伺服器的機群單獨劃分出來，從而保障系統管理和伺服器的資訊保安，安全服務既是獨立的網路又是計算機內部網路的重要組成部分。對於內部網路可以採用網址轉換防火牆安全技術進行保護，將主機地址設定成有效的IP地址，並且將這些網址設定公用地址，這樣就能對外界IP地址進行攔截，有效的保護計算機內部網路安全，確保計算機內部網路安全、穩定的執行。如果企業擁有邊界路由器，可以利用原有的邊界路由器，採用包過濾防火牆安全技術進行網路安全保護，這樣還可有降低防火牆成本費用。

2。3日誌監控日誌監控是保護計算機網路安全的重要管理手段之一，在進行日誌監控時，一些管理員認為不必要進行日誌資訊採集，但防火牆資訊資料很多，並且這些資訊十分繁雜，只有收集關鍵的日誌，才能當做有效的`日誌。系統警告資訊十分重要，對進入防火牆的資訊進行選擇性記錄，就能記錄下對計算機網路有威脅的資訊。

3結束語

計算機網路技術的快速發展必然會為網路安全帶來一定的隱患，因此，要不斷更新完善計算機網路安全技術，改革防火牆安全防範技術，抵抗各種對計算機資訊有害的行為，提高計算機網路安全防護能力，確保計算機網路安全，從而保證計算機網路系統安全穩定的執行。

計算機網路安全與防火牆技術

導讀：影響計算機網路安全的因素很多。而防火牆是一種保護計算機網路安全的技術性措施。使用單防火牆和單子網保護多級應用系統的網路結構。欺騙，論文參考，計算機網路安全與防火牆技術。

關鍵詞：計算機網路安全，防火牆，單子網，arp欺騙

影響計算機網路安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網路系統資源的非法使有。這些因素可以大體分類為：計算機病毒、人為的無意失誤、人為的惡意攻擊、網路軟體的缺陷和漏洞、物理安全問題。

而防火牆是一種保護計算機網路安全的技術性措施，所謂“防火牆”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要資訊。

1。 非法攻擊防火牆的基本“招數”

通常情況下， 有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴，雖說成功與否尚取決於機遇等其他因素，但對攻擊者而言很值得一試。下面以資料包過濾防火牆為例，簡要描述可能的攻擊過程。

通常主機A與主機B 的TCP 連線（中間有或無防火牆） 是通過主機A向主機B 提出請求建立起來的，而其間A和B 的確認僅僅根據由主機A 產生並經主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊（TCP SynFlood Attack），使得信賴主機處於“自顧不暇”的忙碌狀態，相當於被切斷，這時目標主機會認為信賴主機出現了故障，只能發出無法建立連線的RST 包，而無暇顧及其他。

攻擊者最關心的是猜測目標主機的ISN。為此，可以利用SMTP的埠（25），通常它是開放的，郵件能夠通過這個埠，與目標主機開啟（Open）一個TCP 連線，因而得到它的ISN。在此有效期間，重複這一過程若干次，以便能夠猜測和確定ISN的產生和變化規律，這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發出連線請求。請求發出後，目標主機會認為它是TCP 連線的請求者，從而給信賴主機發送響應（包括SYN），而信賴主機目前仍忙於處理Flood淹沒攻擊產生的“合法”請求，因此目標主機不能得到來自於信賴主機的響應。現在攻擊者發出回答響應，並連同預測的目標主機的ISN一同發給目標主機，隨著不斷地糾正預測的ISN，攻擊者最終會與目標主機建立一個會晤。通過這種方式， 攻擊者以合法使用者的身份登入到目標主機而不需進一步的確認。論文參考，arp欺騙。。如果反覆試驗使得目標主機能夠接收對網路的ROOT 登入，那麼就可以完全控制整個網路。

2。 單防火牆和單子網

由於不同的資源存在著不同的風險程度，所以要基於此來對網路資源進行劃分。這裡的風險包含兩個因素： 資源將被妥協的可能性和資源本身的敏感性。例如：一個好的Web 伺服器執行CGI 會比僅僅提供靜態網頁更容易得到使用者的認可，但隨之帶來的卻是Web 伺服器的安全隱患。網路管理員在伺服器前端配置防火牆，會減少它全面暴露的風險。資料庫伺服器中存放有重要資料，它比Web 伺服器更加敏感，因此需要新增額外的安全保護層。

使用單防火牆和單子網保護多級應用系統的網路結構，這裡所有的伺服器都被安排在同一個子網，防火牆接在邊界路由器與內部網路之間，防禦來自Internet 的網路攻擊。論文參考，arp欺騙。。在網路使用和基於主機的入侵檢測系統下，伺服器得到了加強和防護，這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的，但它們並沒有明顯的顯示在圖表中。

在這種設計方案中，所有伺服器都安排在同一個子網，用防火牆將它們與Internet 隔離，這些不同安全級別的伺服器在子網中受到同等級的安全保護。儘管所有伺服器都在一個子網，但網路管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火牆和單子網保護伺服器的方案系統造價便宜，而且網路管理和維護比較簡單，這是該方案的一個重要優點。因此， 當進一步隔離網路伺服器並不能從實質上降低重要資料的安全風險時，採用單防火牆和單子網的方案的確是一種經濟的選擇。

3。 單防火牆和多子網

如果遇見適合劃分多個子網的情況，網路管理員可以把內部網路劃分成獨立的子網，不同層的伺服器分別放在不同的子網中，資料層伺服器只接受中間層伺服器資料查詢時連線的埠，就能有效地提高資料層伺服器的安全性，也能夠幫助防禦其它型別的攻擊。論文參考，arp欺騙。。這時，更適於採用一種更為精巧的網路結構———單個防火牆劃分多重子網結構。單個防火牆劃分多重子網的方法就是在一個防火牆上開放多個埠，用該防火牆把整個網路劃分成多個子網，每個子網分管應用系統的特定的層。管理員能夠在防火牆不同的埠上設定不同的安全策略。

使用單個防火牆分割網路是對應用系統分層的最經濟的一種方法，但它並不是沒有侷限性。邏輯上的單個防火牆，即便有冗餘的硬體裝置，當用它來加強不同安全風險級別的伺服器的安全策略時，如果該防火牆出現危險或錯誤的配置，入侵者就會獲取所有子網包括資料層伺服器所在的最敏感網路的訪問許可權。而且，該防火牆需要檢測所有子網間的流通資料，因此，它會變成網路執行效率的瓶頸。所以，在資金允許的情況下，我們可以用另一種設計方案———多個防火牆劃分多個子網的方法，來消除這種缺陷。

4。arp欺騙對策

各種網路安全的對策都是相對的，主要要看網管平時對網路安全的重視性了。下面介始一些相應的對策：

在系統中建立靜態ARP表，建立後對本身自已係統影響不大的，對網路影響較大，破壞了動態ARP解析過程。論文參考，arp欺騙。。靜態ARP協議表不會過期的，我們用“arp–d”命令清除ARP表，即手動刪除。論文參考，arp欺騙。。但是有的系統的靜態ARP表項可以被動態重新整理，如Solaris系統，那樣的話依靠靜態ARP表項並不能對抗ARP欺騙攻擊，相反縱容了ARP欺騙攻擊，因為虛假的靜態ARP表項不會自動超時消失。論文參考，arp欺騙。。 在相對系統中禁止某個網路介面做ARP解析（對抗ARP欺騙攻擊），可以做靜態ARP協議設定（因為對方不會響應ARP請求報文）如：arp —sXXX。XXX。XX。X 08—00—20—a8—2e—ac。 在絕大多數作業系統如：Unix、BSD、NT等，都可以結合“禁止相應網路介面做ARP解析”和“使用靜態ARP表”的設定來對抗ARP欺騙攻擊。而Linux系統，其靜態ARP表項不會被動態重新整理，所以不需要“禁止相應網路介面做ARP解析”即可對抗ARP欺騙攻擊。