组稿人联盟网
欢迎来到组稿人联盟网
客服电话:400-6735-660 客服在线时间:09:00~22:30(节假日不休息) 客服邮箱:dufu2614@126.com在线投稿:非工作时间点此在线提交您的稿件

计算机技术学 在网络平安体系架构中以防火墙技术为重心的难点研讨

时间:2019/8/13 10:26:55来源: 作者: 点击:

  摘要:以防火墙作为重心的网络平安体系, 已成为人们日常生活中非常依赖的平安产品。经过在内外网接壤的位置设置防火墙来降低传输延迟、检测病毒攻击, 有着十分显著的效果。笔者在剖析防火墙概念以及功用与分类的根底上, 提出了初步的以防火墙技术为重心的网络平安体系架构, 并对其中的关键技术停止了细致的引见, 希望可以为网络平安事业的开展提供一些有益的协助。

  关键词:防火墙技术; 网络平安; 体系架构;

  随着网络的不时开展和数据流量的日益增长, 网络平安成为了社会各个行业关注的焦点。越来越多的企业和单位在接入网络后遭到攻击, 因而, 进步网络平安性能的呼声在不时高涨。想要维护本身信息平安, 建立一个网络平安体系, 最常见的做法就是设立防火墙。防火墙作为一种访问控制技术, 已成为维护网络平安的主要措施, 也是众多企业单位选择的主要防护手腕。但是防火墙也有一定的缺陷, 那就是关于绕过防火墙的攻击无能为力。因而, 在构建以防火墙技术为重心的网络平安体系时, 还要分离攻击防御、密钥技术以及病毒库数据等多种防护技术, 将每种技术的优点圆满交融在一同, 并相互补偿对方的缺陷, 从而树立起一个完好有效的网络平安体系。

  1 防火墙的概念与功用

  防火墙的本质就是一种隔离技术, 经过剖析和挑选进入防火墙的数据信息来到达访问控制的目的。在不同的网络乃至不同区域之间, 都会设立防火墙来维护各自区域内的信息平安。防火墙之所以能完成这种维护, 就在于网络平安协议中规则在不同网络乃至不同区域之间的信息传输, 必需经过防火墙这个独一的通道, 这也是防火墙能成为网络平安体系中心的缘由之一。防火墙自身也具有较为出色的抵御攻击的才能, 经过在不同网络之间树立平安控制点, 就可以到达减少歹意访问的目的, 降低了网络攻击的要挟。

  设立以防火墙为重心的网络平安体系, 其平安性主要表如今以下几个方面。

  (1) 使平安访问战略得到了强化, 对用户特别是外部网络用户施行的访问操作, 停止有效的管理和控制, 既根绝了歹意访问的发作, 保证了访问的平安性, 也在一定水平上进步了内部网络的运转效率。

  (2) 作为沟通内外的独一通道, 防火墙能够细致记载下内部网络与外部网络之间的通讯活动, 包括通讯的次数和发作时间。但是为了保证用户信息的平安性和私密性, 无法记载通讯的内容。

  (3) 当发现某一个网段呈现问题时, 可以及时地对该网段停止隔离, 其强大的控制才能能够维护网络其他局部不会遭到影响。

  2 防火墙的方式和分类

  防火墙有很多种方式, 有些防火墙是以软件的方式运转在计算机终端上, 如常见的Net Eye以及Netscreen。采用软件防火墙是由于计算机数量较少时, 例如个人计算机通常只要一台, 运用软件防火墙即可起到足够的维护作用。还有一些是以硬件的方式直接设置在路由器中, 如信息过滤器以及设计型的网关。采用硬件防火墙是由于计算机数量较多时, 如大型计算机群或企业单位, 硬件防火墙无论是从防护效果上看还是经济破费都愈加合适。

  防火墙的品种也有很多, 也能够依照软件和硬件来停止辨别, 即软件防火墙和硬件防火墙。不同的是, 硬件防火墙经常会被细分为普通硬件防火墙和芯片级防火墙, 前者常用于个人计算机中, 与软件防火墙的效果差异不大;后者则是专业数据处置经常会用到的平安技术。依照设计构造, 能够将防火墙分为集成式防火墙、散布式防火墙和PC防火墙;依照部署位置, 能够将防火墙分为个人防火墙、边境防火墙和混合防火墙;依照防御性能, 能够将防火墙分为百兆级防火墙和千兆级防火墙。

  3 以防火墙技术为重心网络平安体系架构

  3.1 硬件架构

  目前, 网络平安体系的硬件架构平台上, 常见的防火墙架构为x86、NP和ASIC这三种。x86架构主打低端千兆市场, 它具有设计开发门槛低、技术成熟、维护便利等优点, 被称为工控机防火墙的主要防火墙硬件架构。但是它的数据包转发性能较弱, 一旦呈现较多的数据包, 就会大大降低其运转效率。因而, NP占领了高端市场的大局部份额, 它具有特地处置数据包的功用, 其内含的数据引擎可以在大量数据经过时采取并行处置形式, 大大进步了数据运转效率, 在当今的网络环境下具有较大的开发运用潜力。ASIC架构固然也具有出色的数据包处置才能, 且采用专业集成电路设计, 但是思索到其技术不够成熟、开发周期过长招致其运用本钱上升, 并不合适停止大范围的推行。置信在将来, 随着开发技术蓬勃开展, ASIC技术可以以愈加圆满的姿势进入高端千兆市场。

  3.2 软件架构

  软件架构的完成是以完善的产品框架为根底, 以高规范的软件质量为请求, 分离用户需求和软件运转环境制造而成。完善的产品框架有利于系统操作性能的优化, 关于网络集成和用户与系统的互操作性有着重要的作用。软件质量需求经过特地的软件产品评审, 测试其性能能否契合相关的规范, 经过检验之后才干投入运用。分离用户需求和软件运转环境是为了在用户、系统与软件三者之间获得均衡, 最大限度地满足各方请求。

  4 以防火墙技术为重心的网络平安体系架构的技术难点

  4.1 构造模块化

  防火墙想要完成对全部网络资源的控制, 首先就要面向资源停止构造模块化设计。即系统要依照纵向资源层次化、横向功用模块化构造停止设计, 使得防火墙软件的构造愈加合理, 优化了资源配置, 也便于后期的维护和晋级。

  4.2 数据流控制技术

  防火墙对数据的剖析要采用最先进的包过滤技术, 以到达对数据包乃至数据流的有效控制。所谓包过滤技术是经过一个记载着对应衔接状态的衔接链表, 在数据包恳求衔接时对其停止检查, 检查结果会被直接记载到链表当中。链表自身与系统的中心数据库相衔接, 检查结果和衔接记载都会存储到系统当中。这样后续的关联数据包再次恳求衔接时, 树立衔接和停止检查的速度都会加快, 在保证数据平安的根底上, 有效进步了数据包的处置效率。

  4.3 日志处置平台

  普通防火墙由于没有单独的日志效劳器, 在处置日志时经常呈现进度迟缓的状况。经过设置单独的日志效劳器, 来完成高效的海量日志处置, 分离常见的防火墙日志框架, 构成了日志处置平台, 请求可一次处置2G以上的文件。

  4.4 检测和防御攻击

  防火墙的主要功用就是检测和防御攻击, 经过搜集各种攻击手腕的细致信息存储到系统数据库中, 一旦呈现相似信号就可以及时对其停止区分, 便于系统和防火墙提早应对, 进步防御才能。

  4.5 整体架构

  一个完好的平安体系是将前面提到的构造模块化、数据流控制、日志处置平台、检测和防御攻击交融到一同的架构, 是防火墙对文件、节点对象、平安协议、链接行为以及端口管理协议完成有效控制的主要途径。它可以有效进步网络平安性能, 最大水平优化系统配置, 例如, 在配置过程中先对配置对象停止定义, 后续的配置对象都能够依照该定义停止快速配置。整体架构是目前最盛行的高速处置网络数据技术, 是保证明时通讯以及高速网络衔接的主要办法。

  5 结语

  随着网络信息化的不时开展, 网络已深化千家万户, 但是其中隐含的平安要挟也越来越严重。更益处理这种要挟, 是防火墙技术不时开展的动力, 也是网络平安体系的意义所在。防火墙的重要性显而易见, 但是在实践运用的过程中, 还要分离其他防御措施, 不能单纯依托防火墙本身的防御才能。要发挥网络平安体系中每个局部各自的功用, 树立起全面有效的平安防御体系, 共同维护网络平安。 


如对职称晋升论文要求,如有疑问立即咨询本站客服,为您提供专业级服务

在线投稿