通常情况下, 网络是以广播为技术基础的系统, 任何两个节点之间的通信数据包, 不仅为这两个节点的网卡所接收, 也同时为处在同一以太网上的任何一个节点的网卡所截取。因此, 入侵者只要接入网络上的任一节点进行侦听, 就可以捕获发生在这个以太网上的所有数据包, 对其进行解包分析, 从而窃取关键信息。而网络边界安全系统的建立能有效缓解上述安全隐患。
1 防火墙技术的剖析
防火墙 (Firewall) 技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一。从狭义上来讲, 防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备, 是安装了防火墙软件的主机、路由器或多机系统。在实现防火墙的众多技术中, 如下技术是其实现的关键技术:
(1) 包过滤技术:包过滤技是在网络中适当的位置上对数据包实施有选择的过滤。包过滤防火墙一般含有一个包检查模块, 它可以安装在网关或路由器上, 处于系统的TCP层和IP层之间, 以便抢在操作系统或路由器的TCP层之前对IP包进行处理。
(2) 状态检查技术:状态检查技术是一种在网络层实现防火墙功能的技术。它采用了一个在网关。执行网络安全策略的软件引擎, 即检测模块。模块在不影响网络正常工作的前提下, 在网络通信的各层抽取状态信息, 实施监测。
(3) 地址转换技术:地址转换技术是将一个IP地址用另一个IP地址代替[1]。
2 网络边界安全系统的设计与实现
2.1 并联防火墙的边界体系结构
本文研究的并联防火墙边界体系并联模式, 以不同的安全需求对网络的资源进行分段保护。多重防火墙的使用可以让网络安全系统有条理地控制资源的访问。由于几个防火墙串联工作, 到达数据服务器的流量要经过几个防火墙才能到达, 这会增加网络的延迟时间, 降低网络的速度, 在同样满足对不同资源进行分级保护的条件下, 因此本文将防火墙的串联模式改成了并联模式, 在并联模式下, 各防火墙联接的子网在不同的安全策略下可以实现分级保护的目的, 也避免了不同子网的延时不一致的问题, 如图1所示。
在本文的研究中, 我们使用了一个应用网关和一个有状态防火墙, 每个设备都保护一套不同的系统, 应用网关健壮的代理功能可以保护在Internet上访问的系统, 如Web、SMTP和DNS服务器。本文采用有状态防火墙来保护网络中心子网 (中心服务器和桌面计算机) , 利用并行的不同防火墙, 充分发挥他们的提供的最佳功能, 如表1和表2所示:
2.2 网络边界流量的控制
网络边界安全系统中的流量控制是保证网络安全的重要措施之一, 因为网络中的各个服务都是通过TCP或者UDP进行数据通信, 通过防火墙对单个用户IP进行连接数的限制, 从而限制诸如迅雷、P2P等极大占用通道的工具, 以保证网络线路的通畅[2]。下例为利用防火墙对内网的用户带宽、连接数进行管理。
定义带宽和连接数
Firewall statistic system enable
Firewall car-class 1 300000
Firewall car-class 2 500000
……
在用户入口应用定义带宽及连接数
Trust
Priority is 85
Interface of the zone is (1) :
GigabitEthernet1/0/0
Statistic enable ip inzone
Statistic enable ip outzone
Statistic ip-stat inbound acl-number3061
Statistic ip-stat outbound acl-number3061
Statistic connect-number ip tcp outbound 3 acl 2000
……
Static car ip outbound 1 acl 2002
对于网络主干网上流量的监视、记录是网络性能管理中的一个重要方面。通过这些信息的收集, 管理人员可以实时地观察网络的运行情况, 发现超载的部件, 找出潜在的问题。通过对不同时期、不同时间网络流量的分析, 可以预测网络的发展趋势, 对网络性能进行长久的规划, 及时完成网络设备的更新, 从而避免网络饱和所引起的低性能。
3 结语
网络边界安全系统能为网络用户的信息交换提供一个安全的环境和完整的平台, 可以从根本上解决来自网络外部对网络安全造成的各种威胁, 以最优秀的网络安全整体解决方案为基础形成一个更加完善的教学与管理自动化系统。利用高性能的网络安全环境, 有效地保证秘密、机密文件的安全传输。因此, 本文的研究将有相当大的现实与社会效益。
摘要:本文在明确网络边界安全重要性的基础上, 分析了防火墙技术, 并进一步详细研究了网络边界安全系统的设计与实现, 涉及到并联防火墙的边界体系结构以及网络边界流量的控制, 有效地保证了网络边界通信的安全性。
关键词:网络边界安全,防火墙技术,网络流量控制
参考文献
[1] 周国勇.基于多重访问控制的网络边界防御技术研究[J].信息网络安全, 2009 (10) .
[2] 陈玉来, 单蓉胜, 白英彩.网络边界安全的动态防护模型[J].信息安全与通信保密, 2007 (2) .
【基于防火墙的网络边界安全的设计与实现】相关文章:
基于网络的三维GIS数字矿山安全监察系统的设计与实现09-10
试析校园网络边界安全的设计与配置09-10
基于求索学堂网络助学系统的设计与实现09-10
基于ASP.NET的网络课程在线答疑系统设计与实现09-10
基于防火墙的网络安全论文04-21
基于防火墙病毒防护的计算机网络安全09-11
基于的设计与实现04-25