防火墙技术的基本原理精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的防火墙技术的基本原理主题范文，仅供参考，欢迎阅读并收藏。

第1篇：防火墙技术的基本原理范文

【关键词】HTTP协议；隧道技术；数据封装

1.概述

随着科学技术的不断提升，互联网技术快速发展，计算机已经从成为最基本的基础设施，成为各个行业不可或缺的必需品，也推动我国社会不断地向信息化、数字化、网络化的方向发展。根据相关调查资料的显示，我国在2016年初，网民高达6.88亿，这些说明了互联网在我国社会中得到了广泛的应用和发展。互联网技术的应用，使得人们大大提升了对于信息的传播速度和效率，推动了人们在社会经济、日常生产生活不断地向前发展，而目前很多企业的决策依据、趋势判断，也都逐渐向互联网的各个信息数据的获取、收集、整理、分析的方向靠拢。然而互联网也存在很多安全威胁，尤其是在信息传输过程中，很容易被截取、破译、入侵等，从而扰乱了人们的日常生活，为企业生产和财产经济带来了很大的威胁。HTTP协议是互联网通信中应用最为广泛的应用层协议，为信息通信和共享带来了极大的便利，基于HTTP协议的隧道技术，为数据通信提供了专门的传输通道，避免了网络攻击带来的危害，对于人们的信息传输中的数据安全保护来说，具有非常重要的现实意义。

2.HTTP协议

HTTP协议是实现互联网数据通信和资源共享的应用层协议，是针对网络中各种媒体资源进行传输和通信的超文本协议，为互联网的终端与服务器之间的通信格式、方法以及数据格式等进行了定义。

HTTP协议中规定了互联网传输信息的类型主要包括请求与响应，而两种类型的则是互联网络中心中的数据报文来实现的，即客户端向服务器发送的请求报文以及服务器向客户端发送的相应报文。如题1所示，为HTTP协议的请求报文和响应报文的格式图。

图1 HTTP协议的请求报文与响应报文格式

如图1所示，当使用HTTP协议通过互联网进行信息传输时，需要根据HTTP请求报文和HTTP响应报文的格式进行信息传输。一般的，通信报文主要分两部分，协议头和协议主体。协议头部内容表明了协议的控制、内容、版本等信息，而协议主体部分则是包含了主要的传输信息内容。在HTTP协议的请求报文头部，主要包含了HTTP请求的方法，URL地址版本等信息，其中HTTP请求方法是请求的主要功能，常见的HTTP方法有POST、GET，此外还HEAD、PUT、DELETE、TRACE等方法，其中GET方法是方法是针对网页的固定内容，请求服务器中的对应数据，请求标示会显示在URL中，而POST方法则是在网页固定内容，添加网页中获取的新数据的方法，PUT方法则是请求服务器存储网页内的数据，存储标识会显示在URL中。HTTP请求报文的URL内容则是显示了请求内容在服务器中存储的相对路径，从而让服务器按照请求的URL地址去查找相应的数据信息。HTTP响应报文的头部则是包含了HTTP协议版本、状态码等，响应报文主体则是包含了主要数据信息以及其他信息。在HTTP响应报文中，状态码是针对请求报文的响应分类，常见的状态码有200，404等，其中以1开头的表示服务器已经接受请求，并开始后续处理，以2开头的状态码表示请求成功，主体内包含响应数据，以3开头表示请求内容与URL路径不匹配，需要重定向到其他路径来获取内容，以4开头表示客户端错误导致请求失败，以5开头表示服务器端错误导致请求失败。

3.HTTP协议下的隧道技术的基本原理

隧道技术是构建专门数据通道的一门技术，基于HTTP协议的隧道技术，则是未使用传统的隧道协议的前提下，基于HTTP实现专门的数据传输通道的一门技术。在默认情况下，HTTP协议是占用了系统的80端口作为在互联网中进行数据传输的通信端口，而且为了实现HTTP协议的高安全性，一般会在80端口构建防火墙来过滤通信数据包，对非HTTP协议的传输报文，进行拦截，进而防止了其他非法程序使用80端口进行通信。

HTTP协议下的隧道技术，就是实现通过HTTP协议构建专门的传输通道，来实现数据传输。假设互联网内的两台计算机A和B分别处在不同的局域网中，彼此的防火墙只允许HTTP数据包通过80端口发送数据，其他协议、其他端口的数据全部被拦截。HTTP协议下的隧道的实现，首先要在两台机器上安装HTTP隧道程序或者相关服务，能够完成相应的通信数据封装功能，而后两台机器之间的80端口以及在HTTP协议下进行通信。假如A机器中的某个程序想通过21端口，使用FTP协议向B机器21端口进行直接的文件传输请求，防火墙将会将请求拦截。在HTTP协议隧道技术下，计算机A上面的隧道程序会将该请求进行处理和封装，将其转变成一个正常的HTTP请求，通过80端口将其经互联网络发送到B机器，两端局域网的防火墙对该HTTP报文进行分析时，会认为该报文为HTTP请求而允许通过，B机器接收到报文后，运行的隧道程序或服务会将其解析，转变成FTP的文件请求，转发到21端口，使用FTP协议进行相应处理。同样的，B机器的相应报文仍需要经过相同的处理和封装，将其发送到A机器，A机器接收到报文后，会按照相同的解析和处理，而后转发到21端口，FTP协议再次进行解析卸载，从而得到正常的请求数据。

所以，HTTP协议下的隧道技术，不需要专门的隧道传输协议构建复杂的传输结构，只需要使用HTTP协议构建专门的数据传输通道，绕过防火墙实现两个局域网内的计算机之间的数据传输。

4.总结

基于HTTP协议下的隧道技术的实现，就是基于HTTP协议的公开通道，使用隧道服务将非法报文进行处理和封装，转变成正常的HTTP传输报文来实现隧道的建立，进而实现数据传输。

参考文献：

第2篇：防火墙技术的基本原理范文

摘要：随着Internet在全球的飞速发展，防火墙成为目前最重要的信息安全产品，然而，以边界防御为中心的传统防火墙如今却很难实现安全性能和网络性能之间的平衡。分布式防火墙的提出很大程度的改善了这种困境，实现了网络的安全。

关键词：边界式；分布式；防火墙

防火墙能根据受保护的网络的安全策略控制允许、拒绝、监测出入网络的信息流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

一、分布式防火墙的概念

传统边界式防火墙因存在许多不完善的地方，因此分布式防火墙应运而生。

1.边界式防火墙存在的问题

传统防火墙设置在内部企业网和外部网络之间，构成一个屏障，进行网络访问控制，所以通常称为边界防火墙。边界防火墙可以限制被保护企业内部网络与外部网络之间进行的信息传递和访问等操作，它处于内、外部网络的边界，所有进、出的数据流量都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求都能在防火墙中进行过滤。然而，传统的边界防火墙要求网络对外的所有流量都经过防火墙，而且它基于一个基本假设：防火墙把一端的用户看成是可信任的，而另一端的用户则被作为潜在的攻击者对待。这样边界防火墙会在流量从外部的互联网进入内部局域网时进行过滤和审查。但是这并不能确保局域网内部的安全访问。不仅在结构性上受限制，其内部也不够安全，而且效率不高、故障点多。最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会完全暴露在外部攻击者面前。

2.分布式防火墙的提出

由于传统防火墙的缺陷不断显露，于是有人认为防火墙是与现代网络的发展不相容的，并认为加密的广泛使用可以废除防火墙，也有人提出了对传统防火墙进行改进的方案，如多重边界防火墙，内部防火墙等，但这些方案都没有从根本上摆脱拓扑依赖，因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。为了克服以上缺陷而又保留防火墙的优点，美国AT&T实验室研究员Steven MBellovin在他的论文“分布式防火墙”中首次提出了分布式防火墙DistributedFirewall，DFW)的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。

二、分布式防火墙的工作原理认知分布式防火墙的工作原理是进行一切研究的前提

1.分布式防火墙的基本原理

分布式防火墙打破了边界防火墙对网络拓扑的依赖关系，将内部网的概念由物理意义转变成逻辑意义。在分布式防火墙系统中，每个主机节点都有一个标识该主机身份的证书，通常是一个与该节点所持有的公钥相对应的数字证书，内部网络服务器的存取控制授权根据请求客户的数字证书来确定，而不再是由节点所处网络的位置来决定。一般情况下由于证书不易伪造，并独立于网络拓扑结构， 所以只要拥有合法的证书，不管它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户，这样就彻底打破了传统防火墙对网络拓扑的依赖。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘――终端节点，这样不仅保留了传统防火墙的优点，同时又解决了传统防火墙的问题。

2.分布式防火墙的功能

其一，Internet访问控制。依据工作站名称、设备指纹等属性，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许、禁止访问模板或Internet服务器。其二，应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网、Internet的应用服务请求。其三，网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。其四，黑客攻击的防御。抵御包括surf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。其五，日志管理。对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。

3.分布式防火墙的运作机制

分布式防火墙的运作公有四个步骤：第一，策略的制定和分发。在分布式防火墙系统中，策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。第二，日志的收集。在分布式防火墙中，日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。第三，策略实施。策略在管理中心统一制定，通过分发机制传送到终端的主机防火墙，主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。第四，认证。在分布式防火墙系统中通常采用基于主机的认证方式，即根据IP地址进行认证。为了避免IP地址欺骗，可以采用一些强认证方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墙的运用

分布式防火墙在现实生活中的运用很广泛，主要有以下几点：

1.杀毒与防黑

分布式防火墙技术的出现，有效地解决了漏洞和病毒检测这一问题。它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能，最重要的是提供了中央管理功能。利用分布式防火墙中央管理器，可以对网络内每台计算机上的防火墙进行配置、管理和更新，从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行，也可以通过Internet实现远程管理。另外，对于应用较简单的局域网，网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。可以预见，分布式和网络化是未来企业杀毒软件和防火墙产品的特点，未来的病毒防护和防火墙技术将会更紧密地结合并覆盖到网络的每个节点，给网络提供更“贴身”的保护。

2.保护内网

在传统边界式防火墙应用中，内部网络非常容易受到有目的的攻击，一旦已经接入了局域网的某台计算机，并获得这台计算机的控制权，便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到各个子网、桌面系统、笔记本计算机以及服务器PC上，分布于整个网络的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，内各用户通过内部网、外联网、虚拟专用网远程访问实现与互联。分布式防火墙使用了IP安全协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。

3.构建网络安全解决方案

分布式防火墙的网络安全解决方案是在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略。将客户端防火墙安装在内网和外网中的所有PC机工作站上，客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道，避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤、入侵检测、日志记录等手段，给主机的安全运行提供强有力的保证。作为业务延伸部分的远程主机系统物理上不属于内网，但是，在系统中逻辑上仍是内网主机，与内网主机的通信依然通过VPN技术和防火墙隔离来控制接入。

4.托管服务

互联网和电子商务的发展促使互联网数据中心(IDC)的迅速崛起，数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言，该服务器在逻辑上是企业网的一部分，不过在物理上并不在企业网内部。对于这种应用，分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件，并根据该服务器的应用设置安全策略，利用中心管理软件对该服务器进行远程监控即可。

参考文献：

[1]王达.网络基础[M].北京：电子工业出版社.2004

[2]高永强等编著.网络安全技术与应用大典[M].北京:人民邮电出版社.2003

[3]杨毅坚、肖德宝.基于Agent的分布式防火墙[J].数据通讯.2001.2

第3篇：防火墙技术的基本原理范文

随着计算机网络技术和互联网的飞速发展，网络攻击和入侵事件与日俱增，特别是政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者对那些没有安全保护的网络进行攻击和入侵，如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。受攻击系统问题主要表现在操作系统、网络服务、TCP/IP协议、应用程序（如数据库、浏览器等）、网络设备等几个方面。

入侵检测系统(Intrusion Detection System，IDS）作为对防火墙极其有益的补充，IDS能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

从宏观方面看，入侵检测的基本原理很简单。从收集到的一组数据中，检测出符合某一特点的数据。入侵者在攻击时会留下一些痕迹，用这些痕迹与系统正常运行时产生的数据混合在一起。入侵检测的任务就是要从这样的混合数据中找出具有特征的数据，判断是否有入侵。

2 入侵检测的过程分析

IDS进行入侵检测有两个过程：信息收集和信息分析。

2.1信息收集

信息收集的对象包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。除了尽可能扩大检测范围外，还有一个重要的因素就是仅从一个源点来的信息可能找不出疑点，但从几个源点来的信息的不一致性却是可疑行为或入侵的最好标识。当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性。

2.2 信息分析

信息分析通常有三种手段：模式匹配、统计分析和完整性分析。这三种分析手段对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析。

模式匹配：是将收集到的信息与已知的网络入侵和系统已有的模式数据库比较，从而发现违反安全策略的行为。

统计分析：是首先给系统对象（如用户、文件、目录和设备等）创造一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，如果观察值在正常值范围之外，就认为有入侵发生。

完整性分析：利用加密机制能识别很微小的变化。

2.3入侵检测系统的结构

从系统结构上看，IDS包括事件提取、入侵分析、入侵响应和远程管理等。如图1所示。

3IDS的应用部署

3.1 IDS的部署方式分析

从IDS技术原理来看，IDS的部署主要有共享模式，交换模式，隐蔽模式，Tap模式和In-line模式。

共享模式和交换模式： 从HUB上的任意一个接口，或者在交换机上设置成监听模式的监听端口上收集信息。如果设备是交换机则属于交换模式，惟一不同的是需要在交换机上做端口镜像。

隐蔽模式： 这种模式是在其他模式的基础上将探测器的探测口IP地址去除，使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ（周边网络）外，在防火墙的保护之外。它有自动响应的优点。例如采用双网卡的技术，一个网卡绑定IP，用来与Console（控制台）通信；另外一个网卡无IP，用来收集网络数据包。

Tap模式： 以双向监听全双工以太网连接中的网络通信信息，这样能捕捉到网络中的所有流量，能更好地了解网络攻击的发生源和攻击的性质，为阻止网络攻击提供丰富的信息，并能记录完整的状态信息，使得与防火墙联动或发送Reset包更加容易。

In-line模式： 直接将IDS串接在通信线路中。网络上所有数据都通过IDS。这样做的目的主要是考虑到阻断攻击时的方便。

3.2应用部署分析

部署在防火墙之外

入侵检测探测器通常被放置在防火墙外的DMZ中。DMZ是介于ISP和最外端防火墙界面之间的区域，这样部署使探测器可以看到所有来自Internet的攻击。然而如果攻击类型是TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。因为许多攻击类型只能通过检测是否与字符串特征一致才能被发现，而字符串的传送只有在TCP三次握手完成后才能进行。虽然放在防火墙外的检测器无法检测到某些攻击，但这种位置的好处是：可以看到自己在DMZ区的服务（如站点）和防火墙暴露在多少种攻击之下。

部署在防火墙之内

部署在防火墙之内的目的是，如果攻击者能够发现检测器，就可能会对检测器进行攻击，从而减少攻击者的行动被审计的机会。防火墙内的系统会比外面的系统的脆弱性少一些，如果检测器在防火墙内就会少一些干扰，从而有可能减少误报警。如果本应该被防火墙封锁的攻击渗透进来，检测器在防火墙内检测到后就能发现防火墙的设置失误。

防火墙的内外兼有

如果有足够的经费，可在防火墙内外都部署检测器，这样无需猜测是否有攻击渗透过防火墙。同时可以检测来自内部和外部的攻击，可以检测到由于设置有问题而无法通过防火墙的内部系统，这可以帮助系统管理员。

3.3IDS的性能指标分析

漏警率： 入侵检测系统在检测时出现“没有正确地识别某些入侵行为而未报警”的概率称为系统的漏警率。入侵检测漏警率如果很高，那就会有很多入侵行为检测不到，因此也起不到作用。

虚警率： 检测系统在检测时出现“把系统的正常行为判为入侵行为的错误”的概率称为系统的虚警率。

丢包率： 丢包率是指在满负荷的情况下，IDS所能处理的带宽，即IDS能够处理的网络流量。目前的网络IDS系统一般能够处理50~60Mb/s的网络流量，经过专门定制的系统可能会处理更高的流量。

3.4IDS的功能指标分析

系统结构

IDS的体系结构按照引擎和控制中心的分布情况，主要分为单机和分布式的两种。

单机结构是引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。分布式结构就是引擎和控制中心在两个系统之上，通过网络通信，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。

分布式的优点是明显的：不是必须在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等。单机的优点是结构简单，不会因为通信而影响网络带宽和泄密。

根据一个控制中心带动引擎的多少，即控制比例，可以分为高、中、低3类结构。高比例结构指一个控制中心可以带动没有限制的引擎数量，事实上超过50个引擎即可以算是该比例体系结构。中比例结构指一个控制中心可以带动10~50个探测引擎。低比例结构指一个控制中心可以带动10个以下的探测引擎。影响比例高低的主要因素除了控制中心的程序结构外，还有就是系统的处理速度，特别是数据库处理速度。由于多个引擎就多一份处理时间和数据空间，引擎过多将引起控制中心因处理时间过慢和数据库数据溢出而死机。

事件数量

考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。目前的IDS系统都具有1000个左右的事件分析产生能力。但随着事件的推移，并非事件越多越好，因为过于陈旧的非法事件，在现实的网络和系统环境中已经不存在了，其攻击非法等自然就没有任何意义，而且还会占用系统的处理时间和空间。因此，应该说当前能够使用的非法事件越多越好。一般而言，这个数量在500~1000之间，应该与流行系统的漏洞数目相关。

通信安全

作为分布式结构的IDS系统，通信是其自身安全的关键因素。这包含两个部分：一是身份认证，一是数据加密。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何分支的控制行为将予以阻止，如图2所示。

其中，实连线为合法连接，被系统接受并进行控制；虚连线为非法连接，被系统拒绝。

一般而言，身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证的，经过双方两个回合的相互认证，完成了相互的惟一身份认证。

数据的加密传输一般使用对称加密算法，在完成身份认证后，利用相对简单的加密算法进行大量的数据交换。这里的关键在于密钥的保密性。一般系统都是使用动态密钥，并且在一段时间内自动进行密钥更换。对目前的IDS系统，数据加密已经是系统必备的功能。

4入侵检测系统的发展趋势分析

入侵检测技术要体现在入侵的综合化和复杂化、入侵主体对象的隐蔽化、入侵规模的扩大化、入侵技术的分布化等方面，因此入侵技术可向以下几个方面发展。

分布式入侵检测：首先是针对分布式网络攻击的检测方法；其次是使用分布式的方法来检测分布式的攻击，其中关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

智能化入侵检测：目前常用的智能化检测方法有神经网络、遗传算法、模糊技术、免疫原理等。除了上述两种方法外，还有全面的安全防御方案、对分析技术的改进和向高度可集成性发展。

由于防火墙技术已比较成熟，将入侵检测技术和防火墙技术相结合，利用入侵检测结果实时改变防火墙配置，使其断开恶意连接或数据传送，应该是一个可行的网络安全解决方案。

参考文献

【1】Matt Bishop.王立彬,等译. 计算机安全学.电子工业出版社.

第4篇：防火墙技术的基本原理范文

关键词：云计算；电力企业信息；安全技术

伴随着我国电力行业的迅速发展，特别是南网、国网、华电等大型的电力企业，它们的发展速度更是非常迅速的，目前，电力行业在我国经济的发展当中发挥着中流砥柱的作用，并且是确保整个社会稳定剂经济健康迅速发展的根本性要素，可是，最近几年随着先进科学技术的不断研发，电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁，并且，自云计算出现，其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱，云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此，云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。

1云计算的概念与基本原理

在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算，其面对的是超大规模的分布式氛围，主要发挥着将供应数据储存及网络服务的作用，并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起，通过具体软件促使自动化管理、无人为参与，并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中，在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态，有利于企业将资源更改为具体的需求得以运用，并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。

2目前我国电力企业信息安全结构状况

2.1电力企业信息网络结构

随着电力企业逐渐进入网络自动化及智能化阶段，为此，目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式，其中，专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。

2.2电力信息安全系统结构

以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面：自动化、生产管理、办公室自动化及电力企业信息管理。其中，办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的，形成的是一个安全工作区域，在这个安全区域当中SPDnet支撑的一种自动化，可具备监控性能的实时监控，譬如，配电自动化、调度自动化、变电站自动化等，同时，安全生产管理区域同样也是SPDnet来作为基本支撑的。

3云计算环境下电力企业信息安全技术的运用

3.1数据传输-存储安全技术

在整个电力企业信息当中，涵盖了大量的有关电力企业发展的资料及所有数据信息，譬如：电力企业的财务信息、用户信息、经营管理信息等等，所以，对于整个电力企业而言，数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下，云计算环境下，严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下，主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外，预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析，其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容，而云计算环境下，电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位，这样可以促使不同种类数据间隔离的实现，并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份，使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。

3.2权限认证及身份管理安全技术

云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问，这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术，电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置，按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分，这样可成功的预防了非法访问的事件发生，同时实现合法用户根据个人权限来进行企业信息的具体操作。

3.3网络安全隔离技术

对于整个电力企业信息来讲，云计算实则是互联网当中的一种内部性系统，通常情况下，电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现，可是，云计算环境下，电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术，其中，防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障，通过对个人信息的严格检测、审核，将具有破坏性入侵的访客实施的一种有效防护，能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽；物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割，这样能够有效的将内外部网络系统的连接状态完全阻断；协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离，在协议隔离技术的支撑下，内外部网络是完全分离的一种状态，而唯有云计算环境下的电力企业信息进行相互交换的过程当中，内外部网络才能够通过协议由隔离的状态转变为正常连接状态。

4结语

通过上文针对云计算环境下电力企业信息安全的浅析，我们从当前电力企业信息安全的状况进行分析，云计算环境下用户信息安全依然是一个较为严峻的问题，一部分问题并未得到根本性的解决，在今后的工作当中，需要针对云计算环境下用户信息安全供应相应的帮助，这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信，在未来的工作当中，云计算环境下的电力企业信息将会更加安全，用户信息的安全性能将会得到最大程度上的保障。

参考文献

[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,2013(04).

[2]陈宇丹.电力企业信息信息安全关键技术研究[J].中国科技信息,2013(23).

第5篇：防火墙技术的基本原理范文

关键词 网络安全实验 课程教学 实验设计

中图分类号：G424 文献标识码：A

0 引言

随着网络信息产业的快速发展，网络安全成为亟需解决的问题，我院为了培养应用型本科人才，在网络通信专业培养计划中设置了网络安全实验这门选修课，因为开设时间较短，教学过程还处于探索阶段。网络安全实验教学这门课无论在掌握计算机学科理论，还是锻炼学生在实际工作生活中解决应用问题的能力方面，都起到了十分重要的作用。因为是实验课程，所以在教学过程中，比较重视实践操作过程。网络安全实验课程的内容比较集中在P2DR模型中说涉及的网络安全防御、检测、响应三大领域，以满足在现实工作中所遇到的不同网络安全问题。因此，本文从实验项目的选择，实验平台的建立，以及实验教学方法等上对网络安全实验教学进行探索。

1 实验平台搭建

首先是虚拟机技术在实验中的使用，网络安全实验中的实验具有一定的破坏性，所以我们采用了虚拟机来进行实验，在网络安全实验中，需要模拟网络攻击，使学生掌握怎样防御的同时，也了解攻击技术。所以在实验中我们首先安排了Vmware虚拟机的安装与配置。在虚拟机中我们安装windowsserver2003服务器版操作系统，并且配置开启相关服务。

因为硬件条件有限，所以我们的大量实验还只能在虚拟机上进行，但为了使学生身临其境的感受网络安全技术，我们在综合实训中还是建立了基础的网络攻防实验环境。

2 实验项目设计

在我国，高校是培养网络安全人才的核心力量。网络攻击与防护是网络安全的核心内容，也是国内外各个高校信息安全相关专业的重点教学内容。所以在实验项目设计上我们体现了实用性为主的观念，要在实验中更多的体现未来学生毕业后，会遇到的网络安全问题。所以设置了以下实验：

（1）安装Vmware虚拟机，并配置完整的网络环境。配置完善win2003server虚拟环境，为以后的实验搭建平台，习和掌握Vmware虚拟机的安装与配置，以建立网络攻防平台。

（2）加密原理与技术，利用不同技术进行加密。了解和掌握各种加密方法，以实现信息加密。学习和掌握密码技术，利用密码技术对计算机系统的各种数据信息进行加密保护实验，实现网络安全中的数据信息保密。

（3）PPPoE的网络通信原理及应用。学习和掌握基于PAP/CHAP的PPPOE的身份认证方法。学习和掌握利用身份认证技术对计算机和网络系统的各种资源进行身份认证保护实验，实现网络安全中的信息鉴别。

（4）掌握Windows系统中基于PPTV VPN的功能、配置与使用操作。学习和掌握如何利用防火墙技术对网络通信中的传输数据进行鉴别和控制实验。

（5）学习掌握Windows系统中NAT防火墙的功能、配置与使用操作。学习和掌握网络通信中的合法用户数据信息的传输，以实现网络安全中的保密性、鉴别性和完整。

（6）学习和掌握Superscan扫描工具对计算机进行端口扫描的方法，操作应用。学习和掌握各种网络安全扫描技术和操作，并能有效运用网络扫描工具进行网络安全分析、有效避免网络攻击行为。

（7）学习和掌握如何利用Wireshark进行网络安全监测与分析。学习各种网络监听技术的操作实验，能利用网络监听工具进行分析、诊断、测试网络安全性的能力。

（8）学习和掌握Snort网络入侵监测系统的安装、配置和操作。学习和掌握Snort入侵检测系统的基本原理、操作与应用实验。

3 综合实训

为了让学生能适应真实的网络环境，使之更贴近应用型人才的培养方案，最后我们设计了综合实训这个环节，让学生在网络通信系统中综合运用各种网络安全技术，设计一个整体的网络安全系统。分析公司网络需求，综合运用网络安全技术构建公司网络的安全系统。通过一个实际网络通信系统中的综合运用，实现整体系统的有效设计和部署。

学生分组进行实训，分为防御组与攻击组，为了充分利用实验资源让防御组的同学在局域网环境下搭建服务器靶机，并让防御组的同学配置VPN、NAT防火墙的技术并搭建SNORT入侵检测系统。攻击组同学操作学生终端尝试攻击服务器靶机，使用ARP欺骗等技术。防御组的学生使用Wireshark网络监听查看ARP欺骗源地址，并解决该威胁。

4 结论

随着网络技术的发展，网络安全成为重中之重，为了培养本科应用型人才，实践证明实验必须贴近真实存在的案例才能提高学生的实际网络攻防水平，使学生掌握网络安全的新技术，而使用综合实训这种方式，更是提高了学生的参与积极性，使教学质量进一步提升。

参考文献

[1] 常晋义.网络安全实验教程. 南京大学出版社，2010.12.

第6篇：防火墙技术的基本原理范文

关键词：智能负载平衡BGP路由

1.引言

随着学校信息化的进一步加强，局域网与Internet的联系也越来越密切。从现有的网络状况看，局域网现在已拥有了2条连接Internet的链路，分别为：100MBps链路连接到中国网通；100MBps链路连接到大庆油田通信。这两条链路不但提供整个局域网用户访问Internet的通道，同时也确保局域网的Web站点和Email系统的Internet通路。由于我校非ISP运营商，无法提供BGP路由，故无法充分利用现有两条链路的带宽；同时对外服务的Web和Email无法在某条Internet链路发生故障的时候自动切换到其余的链路上，必须手工设置切换。然而，由于无法及时发现故障，常常导致故障持续较长时间才得到修复，作为我校对外宣传服务的窗口，Web站点和Email服务的稳定性将直接影响到我校的形象。针对以上问题，同时基于目前7层网络交换技术的成熟应用，提出了一个从系统架构高度出发的解决方案，不但能够解决以上问题，而且能够进一步加强我校网络的稳定性，并提供系统充分的扩展手段。

2.负载平衡

负载均衡通过实时地分析数据包，将大量的并发访问或数据流动态地分发到多台节点设备上分别处理，以提高响应速度，也可以把单个重负载的运算分发到多台节点设备上并行处理。处理结束后，将结果汇总返回给用户，从而提高系统的处理能力。

2.1基本原理

负载均衡的实现通常有软件和硬件设备两种。软件负载均衡的实现方式是指在一台或多台服务器相应的操作系统上安装附加软件来实现负载均衡，如DNSLoadBalance等。虽然软成本低，操作简便，但是系统开销大，可扩展性差，又受制于操作系统，不适于大型网络。

硬件负载均衡的实现是直接在服务器和外部网络间安装负载均衡设备，由于它独立于操作系统，使得整体性能得到大幅度提高，再加上多元化的策略，智能化的管理，可达到最佳的负载均衡需求。

负载均衡技术通常操作于网络的第四层或第七层。第四层为传输层，它负责在数据源和目的系统之间协调通信。该协议层包括传输控制协议（TCP）和用户数据报协议（UDP）；第七层为应用层，它控制应用层服务的内容，提供了一种对访问流量的高层控制方式，适合对HTTP服务器群的应用。

第四层的负载均衡是将一个外部IP地址映射为多个内部服务器的IP地址，对每次TCP链接请求动态使用其中一个内部IP地址（内部IP地址采用虚拟IP-VirtualIP）来达到负载均衡的目的。负载均衡交换机根据源端口和目的端口的IP地址、TCP或UDP端口和一定的策率，在服务器IP和虚拟IP间进行映射，选取服务器群中最好的服务器来处理链接请求。

第七号层负载均衡技术则是通过对访问流量的高层控制来实现负载均衡的，它检查流经负载均衡交换机的HTTP报头，根据报头内的信息来执行负载均衡的策略。这就是我们所说的七层交换技术或Web内容交换技术。

负载均衡使用哈希（HASH）算法来将链接的用户映射到基于IP地址、端口和其他信息服务器群主机上。在检查收到的数据包时，所有主机均同步执行这种映射以迅速决定哪个主机应处理该数据包。除非服务器群主机数量发生变化，否则该映射会保持不变。

在负载均衡的设计方案上，首先要满足当前和将来的应用需要，同时必须对现有投资进行保护；第一性能要高；第二要有高可靠性；第三扩展性要好，第四要有充分的灵活性；第五要易于管理。

3.局域网智能负载平衡系统的实现

3.1局域网负载均衡需求分析及目的

根据局域网建设的总体设计方案要求，我们总结出网络流量管理的具体需求如下：

国际网络连接的负载均衡，其中包括内部用户对外的访问流量和外部用户对内部服务器的访问，要求在正常情况下两条链路上的流量是均衡的，在某链路故障时自动将其流量切换到另外的链路，自动的透明容错，当链路恢复时自动将其加入到负载均衡中来。

学校内部用户通过服务器的负载均衡机制来实现对互联网的的访问，多台服务器同时并行工作，某台服务器发生故障时由负载均衡产品自动检查到，并且将其从服务器群组中排除，透明的容错，避免单台服务器的性能瓶颈问题。

对两台NS500防火墙的负载均衡，包括External，Internal，DMZ的端口的负载均衡；要求在正常情况下两台防火墙上的流量是均衡的，在某台防火墙故障时自动将其流量切换到另外的防火墙，自动的透明容错，当故障的防火墙恢复时自动将其加入到负载均衡中来。

均衡系统具备灵活的扩展空间，根据实际应用的需求灵活投资，提高整体服务能力。

3.2学校Internet链路负载均衡方案

针对以上提出的需求分析，我们充分分析目前局域网的实际状况，结合4～7层网络交换机在国际上网络优化案例的经验，总结出以下流量管理和均衡解决方案。

方案采用两台7层IP应用交换机LCCatalyst2400分别提供防火墙和服务器的负载均衡服务。7层IP应用交换机之间的容错可以通过FailOverCable实现，同时7层IP应用交换机可以通过FailOverCable检查对方的运行状态，复制对方的所有的Session和状态信息。LCCatalyst2400对ISP国际网络接入流量的负载均衡实现方法如下：

在双ISP接入时，每个ISP接入都单独采用一台接入路由器，紧跟路由器的后面连接两台LCCatalyst2400，两台LCCatalyst2400做冗余备份，两台LinkController之间有专用的心跳线检测检测备份的激活设备的状态，其后连接两台防火墙，对两台防火墙采用冗余连接方式。防火墙外网的默认路由指向LCCatalyst2400；接入路由器的默认路由指向ISP端的路由器。这样确保在一台防火墙出现故障时可以通过另外一个访问Internet。

3.3系统说明

从内网至Internet流量的负载均衡

(1)LinkControl上为两个默认路由端建立路由组VIP=0．0．0．0；

(2)LinkControl依据预先设定的策略以及当时线路状况动态智能选择外出流量通过的路由；

(3)若有必要LinkControl可以作相应的地址转换工作，将用户的地址依其将通过的ISP转换成相应网段的地址，以确保返回的数据包从同一链路返回。

从Internet进入的访问流量负载均衡

(1)相应二条路由建立2个对应的虚拟服务器，各自的地址分别属于2个ISP的网段；

(2)LinkControl内置了3DNS功能完全替代了传统的DNS功能，同时又增加了对各个虚拟服务器的状态和可达链路的状态的监控，确保提供给用户真正能够提供服务的服务器；

(3)用户请求petrodaqing．com均由LinkControl进行解析，LinkControl可依据用户在27种策略中选定的方案分配用户通过哪条链路访问，或者完全由LinkControl实现动态分配；

(4)LinkControl可同时监控服务器的状态和链路状态，并且监控链路状态时可以看该链路上的多个HOP。

3.4方案特点

提供多台防火墙的负载均衡能力；

提供在线维护防火墙的方法；

解决了单台防火墙的处理能力瓶颈问题；

提供了系统的扩展能力。

4.局域网服务器机群负载均衡

我校局域网通过服务方式访问Internet的结点有1万台，由于受到单台服务器的性能瓶颈和系统故障等问题，影响了访问Internet的稳定性。为此我们采用服务器的负载均衡机制解决这一问题。

我们在七层交换机设置虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个目标服务器。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。七层交换机连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，这样就可以有效地避免“不平衡”现象的发生。七层交换机是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被L7灵活地均衡到所有的服务器。这12种算法主要包括：

·轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。

·比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

·优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。

·最少的连接方式（LeastConnection）；

·最快模式（Fastest）；

·观察模式（Observed）；

·预测模式（Predictive）；

·动态性能分配（DynamicRatio-APM）；

·动态服务器补充（DynamicServerAct．）；

·服务质量（QoS）；

·服务类型（ToS）；

·规则模式。

4.1方案特点

实时监控服务器应用系统的状态，并智能屏蔽故障应用系统；

实现多台服务器的负载均衡，提升系统的可靠性；

可以监控和同步服务器提供的内容，确保客户获取到准确可靠的内容；

提供服务器在线维护和调试的手段；

5.结束语

本文介绍了我校局域网Internet出口智能负载平衡系统的实现方法，它成功的提高了整个网络运行的稳定性和安全性，保证了用户的高速可靠访问，避免了防火墙等关键网络设备出现单点故障；同时它提出了利用负载均衡器来实现对防火墙作负载均衡的解决方案，这将有力的保护了用户投资。在未来的企业信息化的建设中，负载均衡技术将会发挥更大的作用。

第7篇：防火墙技术的基本原理范文

[关键词]UDP信息传输；系统分析与设计

中图分类号：TP311.52 文献标识码：A 文章编号：1009-914X（2015）05-0325-01

随着社会发展及网络普及，网络聊天已成为人们日常沟通的重要载体。市场上已经出现很多网络聊天工具，如腾讯QQ、MSN、阿里旺旺、Skype等等，给人们带来了乐趣和便捷。本文作为整个Hollo即时通讯系统的一部分，重点关注在NAT网络环境下的UDP信息传输，通过研究该课题，可以对UDP信息传输有更进一步的了解，从中接触到关于防火墙、网络地址转换、P2P应用、NAT的几种类型知识，同时实现“心跳”技术，即每隔几分钟即时通讯端往服务器发送UDP信息进行端口保持。

一、系统分析与设计

系统采用C/S（客户机/服务器）模式，本Hollo即时通信协议采用UDP协议。服务器具有中心服务器的功能。客户端要先登陆服务器才能接受各种服务。通信时，由客户端发送连接请求，服务器担任中转者角色，将网络包从发送方转交给接收方。其功能包括：记录客户机各种活动、负责对客户机消息的转发。服务器通常采用高性能的PC、工作站或小型机，并采用大型数据库系统。

二、基本原理及分类

NAT网络环境介绍

NAT（Network Address Translators），网络地址转换，是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。主要包括基础NAT、锥形NAT、对称NAT等三类。常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

网络地址转换是在IP地址日益缺乏的情况下产生的，它的主要目的就是为了能够地址重用。NAT分为两大类，基本的NAT和NAPT（Network Address/Port Translator）。

因此，基本的NAT实现的功能很简单，在子网内使用一个保留的IP子网段，这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的IP地址。如果这些节点需要访问外部网络，那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。（基本的NAT会改变IP包中的原IP地址，但是不会改变IP包中的端口）。

NAT技术的出现从某种意义上解决了IPv4的32位地址不足的问题，它同时也对外隐藏了其内部网络的结构。NAT设备（NAT，一般也被称为中间件）把内部网络跟外部网络隔离开来，并且可以让内部的主机可以使用一个独立的IP地址，并且可以为每个连接动态地翻译这些地址。

网络地址转换器不仅检查，而且修改了跨境流动的数据包的头信息，让后面的NAT的许多主机使用数量较少地址，即共享一个公共IP地址（通常是一个）。

――采用UDP网络传输协议

UDP协议是英文User Datagram Protocol的缩写，即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的网络应用。与TCP不同，UDP协议并不提供数据传送的保证机制，具有“不可靠性”，但它是分发信息的一个理想协议。UDP广泛用在多媒体应用中，例如，Progressive Networks公司开发的RealAudio软件，它是在因特网上把预先录制的或者现场音乐实时传送给客户机的一种软件，该软件使用的RealAudio audio-on-demand protocol协议就是运行在UDP之上的协议，大多数因特网电话软件产品也都运行在UDP之上。

――UDP下的信息传输设计

1、数据传输

UDP协议的主要作用是将网络数据流量压缩成数据报的形式。一个典型的数据报就是一个二进制数据的传输单位。

使用端口号为不同的应用保留其各自的数据传输通道。

2、UDP报头校验值

UDP协议使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出，在传递到接收方之后，还需要再重新计算。

3、UDP消息确认机制

对于聊天软件有大量连接的程序来说，消息准确可靠是很重要的，TCP连接虽然可靠，但是在网络不稳定的时候也是不可靠的，主要表现在TCP连接中断之后双方没检测到中断之前的发包对方是收不到的，而KTCP的并发连接数量是有限的，不可能无限制增长，而如果UDP增加了消息确认机制后就没有TCP的这些缺点。

4、消息确认机制的实现

初步分析采用消息处理和消息确认分为两个程序的方式进行，它们采用两个命名管道进行通讯，相当于电话中两条线，一条收一条发.每条管道也都采用消息确认的方式，当收到一条消息的时候再回复一条消息，对方收到回复消息后才发下一条消息，最后再把消息确认程序改成系统服务。

5、UDP穿透

一般情况下，TCP发送消息更安全，更可靠，而UDP传送数据容易丢包，但速度快，能穿越防火墙。目前比较流行的QQ聊天工具底层传输协议用户的就是UDP协议。

6、UDP发送心跳包

所谓的心跳包就是在客户端和服务器端间定时通知对方自己状态的一个自己定义的命令字，按照一定的时间间隔发送，类似于心跳，所以叫做心跳包。

发包方：可以是客户也可以是服务端，看哪边实现方便合理。一般是客户端。服务器也可以定时轮询发心跳下去。

三、总结与展望

第8篇：防火墙技术的基本原理范文

【关键词】 电子商务 网络安全 要素

互联网具有一网通天下的特点，不仅改变了人们的生活方式，还为商务活动的发展开辟了新的方向，网络经济已与人们的生活密不可分。电子商务与网络相互依存，网络安全问题同时也困扰着电子商务的发展。为了推进电子商务快速发展，加强对网络安全的研究和应用意义十分重大。

一、网络安全对于电子商务的重要性

当前，电子商务已逐步覆盖全球，而网络安全问题也得到了业内广泛关注。电子商务的交易方式有别于传统的面对面交易，在电力商务中，交易双方均通过网络进行信息交流，以网络为媒介无疑加大了交易的风险性，因此安全的网络环境能够给交易双方均带来良好的体验。电子商务的网络安全管理较为复杂，不仅需要高新的技术做支持，如电子签名、电子识别等，还需要用户的配合，通常来说，用户的个人信息越全面，网络交易平台对用户的保护便会越全方位。可见，在电子商务交易平台中，网络安全具有十分重要的作用。

二、电子商务中网络安全的技术要素

1、防火墙技术。防火墙技术主要是通过数据包过滤以及服务的方式来实现病毒的防治和阻挡入侵互联网内部信息[1]。防火墙好比一个可以设定滤网大小的过滤装置，可以根据用户的需求，对信息进行过滤、管理。在服务器中，防火墙的技术便演化为一种连接各个网关的技术，对网关之间的信息联通进行过滤。虽然上述两种过滤管理技术形式略有区别，但本质相同，在电子商务中，可以将两者结合使用，使各自的优势得到充分发挥。实现在防火墙内部设计好一个过滤装置，以便对信息进行过滤与确定是否可以通过。

2、数据加密技术。数据加密是对于指定接收方设定一个解密的密码，由数学的方式，转换成安全性高的加密技术，以确保信息的安全。这里面会涉及到一个认证中心，也就是第三方来进行服务的一个专门机构，必须严格按照认证操作规定进行服务[2]。认证系统的基本原理是利用可靠性高的第三方认证系统CA来确保安全与合法、可靠性的交易行为。主要包括CA和Webpunisher，RA与CA的两者通过报文进行交易，不过也要通过RSA进行加密，必须有解密密钥才可以对称，并通过认证，如果明文与密文的不对称，就不会认证通过，保证了信息的安全[3]。

3、数字认证技术。为了使电子商务交易平台更为安全、可靠，数字认证技术便应运而生，其以第三方信任机制为主要载体，在进行网络交易时，用户需通过这一机制进行身份认证，以避免不法分子盗用他人信息。PKI对用户信息的保护通过密钥来实现，密钥保存了用户的个人信息，在用户下次登陆时，唯有信息对称相符，才能享受到电子商务平台提供的相应服务，在密钥的管理下，数据的信息得到充分保护，电子商务交易的安全性能得到了大幅提升。

三、电子商务中网络安全提升的策略

1、提高对网络安全重要性的认识。随着信息技术的快速发展，网络在人们工作、生活中已无处不在，我们在享受网络带来的便利时，还应了加强对网络安全重要性的了解，树立网络安全防范意识，为加强网络安全奠定思想基础。应加强对网络安全知识的宣传和普及，使公民对网络安全有一个全面的了解；同时，还应使公民掌握一些维护网络安全的技能，以便发生网络安全问题时，能够得到及时控制，避免问题扩大化。

2、加快网络安全专业人才的培养。网络安全的提升离不开素质过硬的专业人才，由于网络技术具有一定的门槛，如果对专业了解不深，技术上不够专攻，专业问题便难以得到有效解决，应着力提升电子商务网络安全技术人员的专业素养，为加强网络安全奠定人力基础。在培养专业人才时，应勤于和国内外的专业人员进行技术交流，加强对网络安全领域前沿技术的了解和掌握，避免在技术更新上落后于人。

3、开展网络安全立法和执法。网络安全的有效提升需要从法律层面进行约束，应着力于完善网络安全立法和执法的相关工作，加快立法工作的步伐，构建科学、合理的网络安全法律体系。自从计算机产生以来，世界各国均设立了维护网络安全的相关法律法规。在新时期，我国应集结安全部、公安部等职能部门的力量，加强对网络安全的管理，力求构建一个安全、健康的网络环境。

四、结论

综上所述，在信息时代背景下，电子商务假以时日便会成为信息交流的重要平台，成为全球竞争发展的热门领域。我国电子商务起步较晚，但发展后劲十足，在一体化趋势的引导下，电子商务应着力提升网络的安全性，形成具有我国特色的电子商务，在全球经济中力争赢得一席之地。

参 考 文 献

[1]梁文陶.计算机技术应用与电子商务发展研究[J].太原城市职业技术学院学报，2013（08）：125-126.

第9篇：防火墙技术的基本原理范文

【关键词】云计算 安全架构 安全策略 保障体系

1 云计算的概念与基本原理

云计算是随着互联网及互联网相关服务的增加、使用所发展的一种计算模式，目前关于云计算没有一个正式的定义，但是目前所开发的云计算主要是基于计算机基础设施的租用和网络资源的共享模式；未来真正意义上的云计算主要指基于网络的IT服务的交付和使用模式。指可以通过网络以按需、易扩展的方式获得所需服务。这种服务可以是硬件或是软件、也可是与计算机相关的其他服务。它意味着计算和信息处理能力也可作为一种商品通过互联网进行流通。

云计算的基本原理是：用户所需的应用程序或者硬件设施并不需要用户自行购买或者安装于用户的终端设备上，而是由专业的云计算公司提供，用户的数据也不是存储于用户本地，而是存储于硬件和软件的云计算服务提供商；并由他们来维护和管理这些数据中心正常运转并保证足够强的计算能力和足够大的存储空间来供用户使用。用户只需要支付相应的租金或使用费就可以在任何时间和任何地点，连接至互联网的终端设备，实现随需随用。

2 目前云计算的主要安全问题

云计算从概念推出开始就引发了IT业的巨大变革，并被看成是IT业重新洗牌的机会，但是云计算的发展也有其局限性，最主要的就是安全性方面。其中2009年2月，谷歌公司位于欧洲的数据中心例行维护导致另一个位于欧洲的数据中心过载，进而影响到其他的数据中心，导致该公司的邮箱业务Gmail经历了长达4小时的服务中断。同年3月中旬，微软的Azure停止运行约22个小时。而在之前的2008年，亚马逊公司S3服务曾断网6小时。这些问题折射出云计算的安全缺陷，这些缺陷主要表现在以下两个方面：一、是云端本身的问题，二是提供服务时的安全隐患。前者主要是指服务器、网络等硬件问题，后者则涉及到数据位置、隔离、审计、恢复、法律等等各方各面。

3 云计算安全架构的建设

云计算主要以提供多种形式的网络化服务为主，大致分为以下几个方面：如软件即服务（SaaS）、数据即服务（Daas）、平台即服务（Paas）、基础架构即服务（Iaas）、通讯即服务（Cass）等。云计算的安全保障体系架构主要分为，终端用户安全保障、用户数据安全保障、虚拟化技术安全保障三个部分。

3.1 终端用户安全

用户作为云计算的终端，首先应当保证自身计算机或移动设备的的安全。由于大多数用户并非计算机专业人员，因此应该在用户的终端上部署安全软件，包括反恶意软件、防病毒、个人防火墙以及IPS 类型的软件。同时注重自身账号密码的安全保护，尽量不在陌生的计算机终端上使用云服务。并且基于浏览器普遍成为云服务应用的主要应用程序，针对浏览器的攻击风险也逐渐加大，具体表现在各类插件和应用的强制或隐蔽安装上，从而影响云计算应用的安全。因此云用户应该采取必要措施保护浏览器免受攻击，从而在云环境中实现端到端的安全保障。

3.2 用户数据与信息安全

数据和信息是云计算的一个主要组成部分，无论是何种云计算服务，用户最终的计算和信息存储依然在云端，也就是云计算服务提供商的服务器中，目前主流的数据和信息保障主要基于数据加密、用户访问控制等方面。

3.2.1 数据加密

数据加密是保障数据安全的一个重要方式，目前对大规模云计算来说主要采用同态加密技术，同态加密是现代较流行的一种加密技术，主要对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，进而验证其结果与用同一方法处理未加密的原始数据得到的输出结果是否一样。

3.2.2 用户访问控制

对于用户来说，云端服务器是用户数据和信息的提取地和最终存放地，但是相比银行的身份验证程序，云计算的身份认证和访问控制技术仍不成熟，目前主要采用IBACC 协议（用于云服务和云计算的加密和签名的基于身份的认证协议）该协议将有助于保护存储于云计算中信息的保密性、完整性及管理规范性。然而该技术的发展仍停留在数据加密和密钥开发技术的基础上，下一步将加强与个人信息库与IP地址的分析和互联查询上方面。

3.3 虚拟化技术的安全保障

虚拟化和虚拟机技术是云计算概念的一个基础组成部分，目前虚拟化技术在云计算当中普遍采用，这也带来了虚拟化技术的安全问题，主要体现在两个方面：虚拟化软件安全和虚拟化硬件安全。目前虚拟化技术安全主要由云计算服务提供商负责。

在虚拟化软件方面，虚拟化软件主要提供虚拟服务器的构建功能，包括服务器的创建、运行和销毁操作，所以必须严格限制任何未经授权的用户访问虚拟化软件层。云服务提供商应建立必要的安全控制措施，限制对虚拟化软件的物理和逻辑访问控制。

在虚拟化硬件方面，必须建立基于主机的专业的防火墙系统、杀毒软件、日志系统和恢复系统，并雇用专业人员进行日常的更新和维护，同时并且对于每台虚拟化服务器设置独立的硬盘分区，用以系统和日常数据的备份。

4 结束语

云计算技术从概念的提出到目前只有短短几年，然而却迅速成为未来计算机网络技术的发展方向。云计算的安全保障是目前阻碍广大用户接受云计算的最大障碍，如何建立让用户接受的可信云，是云计算安全保障技术的最终目标。随着网络互联技术的发展，云计算的安全保障架构仍会受到巨大的挑战，需要我们继续深入研究。

参考文献

[1]张敏.AB-ACCS：一种云存储密文访问控制方法[J].计算机研究与发展，2010.

[2]张健.云计算概念和影响力解析[J].电信网技术，2009.

[3]张慧，刑培振.云计算环境下信息安全分析[J].计算机研究与发展.2011.

[4]Tim Mather.Subra Kumaraswamy.Shahed Latif.cloud securityand parivacy[M].O'Reilly Media.Inc.2009.

[5]石屹嵘，段勇.云计算在电信IT 领域的应用探讨[J].电信科学，2009.