防火墙攻击方法研究论文

摘要：由于小型商业或自用网络中心无法投入大量财力物力对其进行全部防御，本文提出了一种自建入侵检测系统与防火墙联动策略的实现方法来实现该类网站中心的基本防护。利用Libnids库进行二次开发实现了自建入侵检测系统与防火墙联动，该策略在进行监听网络通信期间，当察觉到可疑的活动，系统就会自动设置新的防火墙规则，阻止与可疑IP主机间的全部连接。下面是小编整理的《防火墙攻击方法研究论文(精选3篇)》，仅供参考，大家一起来看看吧。

防火墙攻击方法研究论文 篇1：

浅谈防火墙技术在计算机网络信息安全中的应用及研究

摘 要：现阶段伴随我国计算机互联网技术的飞速发展以及在生活工作中的普遍应用，网络安全问题也随之被人们所越来越重视。计算机病毒的传播与感染，网络黑客的非法入侵喝攻击等等，这都是严重危害计算机网络安全的手段之一。因此，网络虽然给人类带来了更多的方便与快捷，但同时人们针对网络安全的防范问题也要随之注重起来。本文主要阐述防火墙技术在计算机网络安全中的防御作用，以及如何使用防火墙来保证自己所应用的网络不受外界的攻击和侵害。

关键词：网络安全；防火墙技术；安全防御

1 防火墙的概念和原理

防火墙原来就是在保护房屋安全的一到屏障，在当今网络社会，防火墙就是各个计算机与互联网连接方面通过一系列的软硬件设备组成的访问控制技术，用于防止外面的互联网对局域网的威胁与入侵，位计算机正常运行提供安全保障。防火墙的主要目的就是为保护网络安全而把内网和外网分隔开的。

2 防火墙技术在计算机网络安全中的作用

防火墙的主要作用是避免未授权的数据信息流入或流出受保护的网络，以此提高受保护网络的安全性和可靠性，主要包括以下几点内容：（1）控制访问内部网络的人员，将非法访问用户和存在安全隐患的服务进行隔离；（2）防止外界非法入侵者破坏网络防护设备；（3）对用户访问的特殊站点进行有效限制；（4）为实时监测网络的安全情况提供便捷方法。

由防火墙可以提供网络边界控制服务，因此，防火墙技术更适用于独立的内部网络。例如校园内部网络、企业内部网络等集中型网络。防火墙技术已经成为控制网络访问、保障网络安全的关键技术。通常情况下，大部分Web网站都是通过设置防火墙系统对网络提供保护服务，这也是能够有效防止黑客入侵的安全保护方式，网络服务器的部署要在防火墙系统配置完成后实施。

3 几种防火墙的技术比较

（1）包过滤防火墙是对数据包本身进行过滤的而不是针对具体的网络服务，所以包过滤防火墙能适应于所有的网络。而且包过滤防火墙主要是通过路由器进行数据包检测的，大多数路由器都集成了数据包检测的功能，所以包过滤型防火墙的价格比较低，性价比很高，处理速度也比较快。但是，这种防火墙安全性并不是很高，难以对用户的身份进行辨别等缺点。（2）代理型防火墙是工作在应用层上的，对网络连接中的内容可以进行监控，他在一定程度上断开了内外网络的连接，使得网络活动更安全，但是它在对网络中更深的内容进行检测的时候也使得它的速度减慢，当数据的吞吐量比较大事容易出现问题，所以不适用于高速网。

4 防火墙技术在计算机网络安全中应用体系构建

（1）防火墙体系结构设计。以一个相对独立的内部网络为例，如果能够使用一台计算机作为防火墙隔离就能够提供较高的安全性，这种防火墙体系能够保护内部网络不会受到来自外部网络的非法入侵和攻击，使内部网络的计算机终端能够安全访问互联网。但是，如果对庞大的计算机网络来说，简单的防火墙设置不能够完全抵御外界入侵和攻击，应该按照计算机网络被保护的级别程度、数据信息的秘密级别和造成安全问题的损失代价等综合因素来制定安全有效的防御策略。由此，我们需要设计实现相对复杂的防火墙体系结构，并随时根据安全防御的实际需求改变结构或做出适当调整。

如果一个内部网络需要向互联网提供应用服务，就应该将提供公共信息的服务器置于隔离区（DMZ）中，以屏蔽主机型防火墙体系结构作为基本模型，本文设计了一个改进型的屏蔽主机型防火墙体系结构，如图1所示：

如图1所示，防火墙主机包括三个接口，分别连接到互联网和内部局域网中。其中，一个局域网是内部网络专用网，另一个局域网是放置公共服务器的隔离区。需要进行保护的内部网络与防火墙的eth1接口相互连接，并且给这个接口配置一个非法网络地址192.168.0.0/24，对于隔离区局域网来说，将其与防火墙的eth2接口相互连接，同样为其配置一个非法网络地址192.168.0.0/24，最后将每个服务都分配一个属于自己的网络地址。此时，防火墙的缺省安全策略配置主要包括两种情况，一是全部禁止，允许明确选择的数据包通过；二是全部接受，禁止明确选择的数据包通过。

由此可见，全部禁止是更为有效的防火墙安全策略。以下是对防火墙进行配置，将明确允许通过的数据包进行定义。

由防火墙与局域网隔离区的关系来看，应该将代理服务器中代理的全部应用服务允许防火墙通过，并将公共信息服务器中包括的公共应用服务允许防火墙通过。隔离区中的公共信息服务器可以与防火墙外部网卡绑定的合法网络地址相互对应，通过网络地址转换器进行转换之后使处于互联网中的计算机可以访问内部网络资源。由防护区与内部专用网络的关系来看，防火墙的配置应该允许内部专用网络的全部数据包通过，同时对流入内部专用网络的数据包进行控制，允许由内部专用网络流出的数据包重新流入到内部专用网络中。由局域网隔离区与内部专用网络的关系来看，防火墙的配置应该允许来自内部专用网络的数据包进入局域网隔离区，但是对由局域网隔离区流入到内部专用网中的数据包进行控制。而且，防火墙要将代理服务器中的应用服务允许通过到内部专用网络，只能允许内部专用网络流入到局域网隔离区的数据包重新流入内部专用网络。

（2）防火墙技术的应用。防火墙的主要用途就是边界防护，目前，网络层防火墙主要用于网上部署和执行网络安全策略上，实时在各个受信级进行网址转换、过滤、检测状态性协议以及VPN技术。

近几年，随着Web2.0的广泛使用以及基于服务架构的普及，导致端口/协议类的网络安全策略之间的效率和关联度普遍降低。现有的网络防火墙不能够形成面向安全防护的应用，因此，这就为下一代防火墙的出现和广泛应用奠定了必然的趋势。下一代防火墙的优点是所能防护的范围涵盖了网络协议当中的L3-L7，也就是说，其不但能够发挥出来网络层防火墙的这些功能，还能够针对一次入侵行为中所包含的各种手段进行应用安全防护和统一监测，如漏洞利用、应用扫描、非法访问、Web入侵、蠕虫病毒、恶意代码、带宽滥用等。

具体来讲，防火墙是目前为止使用最多的防止威胁的程序，在使用效果的比较上来讲也是最好的。在一定程度上，防火墙能够防止网络在运行过程中各种威胁的出现，同时，对于已经出现的威胁能够进行及时回应，以此阻止各种攻击动作以及威胁相应的连接，从整体上减少用户网络风险的存在。

5 结论

总结以上所述，要保障自己网路安全问题不受侵害，防火墙技术是最基本也是最可靠有效的方法。并且根据个人或者企业所使用的网络的不同选择适合各个行业的内部的需求的防火墙技术和结构，在本文中所提到的防火墙技术能够简单实现对内部网络安全保护措施。以最大程度的保障自己的内部网路不受外界的侵害。但技术是死的，人是活的，作为网路用户或者网络安全管理者，应该不断的学习最新的网络安全技术，以保证一旦有突发事件出现时，能够有依靠自己所学所知的技术来应对，如此来保证我们的网络更加安全稳定。

参考文献：

[1]马春光，郭芳芳.防火墙、入侵检测与VPN[M].北京邮电大学出版社.

[2]Matthew Strebe.高效构筑与管理防火墙[M].北京：电子工业出版社.

[3]卢浩，胡华平，刘波.恶意软件分类方法研究[J].计算机应用研究，2009（6）：47-48.

[作者简介]姜可（1974.9-），北京信息职业技术学院信息中心网络工程师，从1993年参加工作开始即从事网络设计、架构、组建、运维等工作，在网络运维及管理方面有着丰富的实践经验，熟悉各类网络交换设备、网络安全设备，网络应用设备的安装、配置与调试。研究方向：网络设计，网络安全，网络管理，网络运维。

作者：姜可

防火墙攻击方法研究论文 篇2：

自建入侵检测系统与防火墙联动策略的实现方法研究

摘 要：由于小型商业或自用网络中心无法投入大量财力物力对其进行全部防御，本文提出了一种自建入侵检测系统与防火墙联动策略的实现方法来实现该类网站中心的基本防护。利用Libnids库进行二次开发实现了自建入侵检测系统与防火墙联动，该策略在进行监听网络通信期间，当察觉到可疑的活动，系统就会自动设置新的防火墙规则，阻止与可疑IP主机间的全部连接。实验证明，通过硬件、软件的配合，可以有效对不符合规定的行为进行即时阻断和记录。

关键词：入侵检测;防火墙联动策略;Libnids;主动防御

1  引言

目前，在全球信息化的同时，各种攻击、防护技术和方法（如对工业控制系统的攻击、无界浏览器、网络刷票、免杀、网络身份证、云安全等）层出不穷。这些攻击和防护技术所带来的安全问题尤其突出，而对网络进行实时安全问题检测，识别不同信息安全攻击手段的威胁程度，并迅速做出解决方案，使其对网络信息安全所带来的风险和影响降到最低，是一种十分必要的网络安全防护措施之一。国内外围绕网络信息安全的研究十分活跃，其重要性不言而喻[1] [2]。

本文提了一种自建入侵检测系统与防火墙联动策略实现方法是一种将被动式入侵检测系统变为主动式防御方法，其弊端较主动式防御技术无论在风险方面还是其技术被不法分子利用方面都是极低的，且其十分灵活，造价及部署成本极低。

2  技术概述

防火墙可以比喻为办公室门口的警卫，用来检查进出者的身份。而入侵检测系统就像是网上的警报器，当发现入侵者时，指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。

2.1  防火墙技术

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件防火墙件和软件的结合，使Internet與Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙的工作原理是按照事先规定的策略规则，监控所有通过防火墙的数据信息，严格按照策略执行通、断动作，同时保存日志信息，记录其五元组（通常是指由源IP地址，源端口，目的IP地址，目的端口，和传输层协议号这五个量组成的一个集合），以便方便网络管理员的检测和跟踪[3]。

防火墙的优点是策略性强，通过执行人为定制的安全策略，能过滤掉管理员知识体系中已有的不安全服务，拒绝可疑的访问，大大降低非法攻击的风险，提高网络安全系数[4]。

2.2  入侵检测系统

入侵检测系统是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，很多入侵检测系统都是开源的，例如snort，具有很好的扩展性和可移植性，本文这事利用开源入侵检测系统进行二次设计实现与防火墙联动[5] [6]。入侵检测系统基本体系结构如图1所示：

如上图所示，入侵检测系统基本体系结构由4大软件模块组成，它们分别是：

（1）数据包嗅探模块——负责监听网络数据包，对网络进行分析;

（2） 预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎;

（3）检测模块——该模块是核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块;

（4） 报警/日志模块——经检测引擎检查后的数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIX socket、Windows Popup（SMB）、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。

3  自建入侵检测系统与防火墙联动

本文使用Libnids（Library Network Intrusion Detection System）库进行二次编程实现自建入侵检测系统与防火墙联动。Libnids是一个用于网络入侵检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架，并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵检测系统[7] [8]，并可以在此基础上进一步扩展开发。

3.1  开发实现TCP数据流重组

（1）TCP数据流重组

TCP报文在网络传输过程中会有失序，重复，还会有丢包的情况发生，在进行上层协议分析之前，需要对TCP报文进行重组以进行TCP报文的重新排序，丢弃重复的数据，并指示数据的丢失。简单的讲，重组仅关心TCP序号、应答号及数据，还有几个特殊的TCP标志（SYN，ACK，RST，FIN需特别处理） [9]。重组需要从SYN包获取一个启始序号，ACK标志表示应答序号有效，RST、FIN将设置数据流的结束标志，待所有数据接收完成，数据流才关闭[10]。

（2）利用Libnids二次开发实现TCP数据流重组

Libnids提供了TCP数据流重组的功能，它可以显示任何基于TCP协议的应用层协议。利用Libnids可以很好地实现显示TCP的连接过程，并对它们的传输数据进行详细的分析。Libnids的TCP数据流重组开发流程如下：

（a） 首先用函数nids_init（）进行初始化;

（b） 调用函数nids_register_tcp（）注册用于分析TCP连接和TCP连接状态的回调函数，主要的工作在此回调函数中实现;

（c） 调用函数nids_run（）进入循环捕获数据包的状态。

Libnids的TCP数据流重组开发流程示意图如图2所示：

（3）回调函数tcp_dialog

对TCP流重组的回调函数的类型定义如下：

void tcp_dialog（struct tcp_stream* tcp_connection， void** arg）;

其中参数tcp_connection描述的是一个TCP连接的所有信息。

下面提供了对其几个基本成员信息提取的方法，这些基本信息也是tcp_dailog所要实现完成的。

（a） 获取TCP连接的地址和端口对。

提取tcp_stream地址端口对成员：

struct tuple4 ip_and_port = tcp_connection->addr。

将目的ip地址转换为点式地址：

libnet_addr2name4（ ip_and_port.saddr， 0 ）。

获取TCP源/目的端口：

ip_and_port.source/ip_and_port.dest。

（b） 判断libnids状态。

switch（ tcp_connection->nids_state ）

{

case NIDS_JUST_EST：

// 表示TCP客户端与服务器建立连接状态

tcp_connection->client.collect++;

tcp_connection->server.collect++;

case NIDS_CLOSE：

// 表示TCP连接正常关闭

case NIDS_RESET：

// 表示TCP连接被RST关闭

case NIDS_DATA：

// 表示有新的数据到达，对新到达的数据进行解析

// 调用自定义函数

parse_newdata（struct tcp_stream* tcp_connection，char * AddBuf ）

}

3.2  开发实现TCP端口扫描检测

（1） 实现端口扫描检测

在Libnids中提供了一些基本的检测技术，如对网络扫描攻击的检测（包括端口扫描攻击），以及对异常IP数据包、异常TCP数据包和异常UDP数据包的检测。Libnids针对端口扫描攻击的开发流程如下：

（a） 首先通过Libnids的全局参数对Libnids的一些环境参数进行设置，就端口扫描检测而言，此步骤完成的是注册端口扫描检测攻击的函数，方法如下：

nids_params.syslog = portscan_ids

其中nids_params为Libnids全局变量，成员syslog是一个函数指针，默认值为nids_syslog（）函数。

在syslog函数中可以检测入侵攻击，如端口扫描攻击，也可以检测一些异常情况，如无效TCP标记。此处注册的是回调函数portscan_ids，其定义类型如下：

void portscan_ids（int type， int errnum， IPV4_HEADER* iph，struct host* hostinfo）

入口参数说明如下：

参数type为Libnids报警类型;

参数errnum为IP、TCP报警类型;

参数iph为IP数据包头结构，需要自定义，见common/pt_header.h;

参数hostinfo为扫描主机数据结构。

设置之后的环境参数对整个Libnids都有效。

（b） 完成检测攻击函数的注册后，接下来用函数nids_init（）进行Libnids初始化。

（c） 最后用函数nids_run（）进入循环捕获数据包的状态。

Libnids针对端口扫描攻击的开发流程示意如图3所示。

＼

（2）扫描主机数据结构

struct scan

{

unsigned int addr;/* 被掃描者的IP（网络字节顺序）*/

unsigned short port;/* 被扫描端口号*/

unsigned char flags;/* TCP扫描类型（SYN、FIN、NULL扫描）*/

}

struct host

{

struct host* next;/* 下一个主机结点*/

struct host* prev;/* 前一个主机结点*/

unsigned addr;/* 扫描源IP地址*/

unsigned modtime;/* 时间*/

unsigned n_packets;/* 扫描次数*/

struct scan* packets;/* 扫描信息*/

}

（3） 端口扫描检测回调函数

通过Libnids的全局参数注册端口扫描检测函数portscan_ids，对该函数内部实现的伪码说明如下。

void portscan_ids（int type， int errnum， IPV4_HEADER* iph， struct host* hostinfo）

{

switch（type）

{

case NIDS_WARN_IP：

// 做IP数据包异常检测处理。

……

case NIDS_WARN_TCP：

// 做TCP数据包异常检测处理。

……

case NIDS_WARN_UDP：

// 做UDP数据包异常检测处理。

……

case NIDS_WARN_SCAN：

// 做端口掃描检测处理，对hostinfo进行解析，自定义函数parse_host，见/opt/ExpNIS/NetAD-Lab/Projects/libnids/ids_portscan.c

}

}

3.3开发实现特征匹配的NIDS

（1）特征匹配

一个IDS通常保存着已知攻击特征的特征库中，并把其所监视的网络流量，行为等和特征库的内容作模式匹配。当所监视的数据和日志中有内容特征库的内容匹配时，IDS能发出警报信息。

特征匹配的工作原理类似于防病毒软件包对进入一个系统的文件所作的检查：它检查网络流量中的数据包内容，寻找可能的攻击行为，正如一个防病毒软件检查系统中的文件、电子邮件附件，动态的网页内容等，寻找病毒特征（匹配已知的病毒特征）或可能的恶意行为[13]。

（2）基于Libnids开发特征匹配IDS

基于Libnids开发特征匹配IDS开发流程如下（开发流程是多种的，您可以不必局限于下面的流程）：

（a） 首先用函数nids_init（）进行初始化;

（b） 注册用于检测分析IP数据包的回调函数，主要的工作在此回调函数中实现;

（c） 调用函数nids_run（）进入循环捕获数据包的状态。

基于Libnids开发特征匹配IDS流程如图4所示。

4  自建入侵检测系统与防火墙联动策略测试

自建入侵检测系统与防火墙联动策略作为一种以主动方式工作的入侵检测系统，在进行监听网络通信期间，一旦察觉到可疑的活动，系统就会采取相应的措施，最为直接的方法就是启动防火墙，设置新的防火墙规则，阻止与可疑IP主机间的全部连接。如下图所示检测到的TCP包情况：

当网络数据通信数据与模式特征匹配时，该自建系统自动以该网络数据通信的源IP地址为参数，在防火墙的规则列表中添加一条新规则，此规则阻断了源IP地址与本机的任何后续通信。测试其可疑IP地址为96.207.101.5，该自建系统自动将防火墙的规则列表中添加了如下规则：

iptables -A INPUT --src 96.207.101.5 -j DROP

5  小结

网络安全的技术是随着网络攻击技术发展而发展的，所以对网络攻击的理解认识对在其防护中有着很大的帮助。正所谓知己知彼，百战不殆。然而很多有针对性地有效防御方法绝大多是都是在发现被攻击后才研发出来的，而对于网络信息安全防范是每个网络都需要部署的一件重要任务，但目前商用或自用的很多小型网络中心，因各种情况或经费问题，本文提出的自建入侵检测系统与防火墙联动策略的实现方法十分适合该类型的网络中心，部署快速、费用极低、使用简单、操作方便，并能够自动完成对部分检测出的威胁进行屏蔽。

参考文献：

[1]林果园，黄皓，张永平.入侵检测系统研究进展[J]，计算机科学，2018，35（2） ：69-75.

[2]吴庆佺.入侵检测和防火墙联动技术研究[D].重庆 ：重庆大学，2016 ：1-73.

[3]张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术，2012，8（24） ：5787-5788.

[4]曹建文，柴世红.防火墙技术在计算机网络安全中的应用[J].信息技术，2015，34（6） ：39-40.

[5]李秀婷.基于snort的网络入侵检测系统实现及其改进研究[D].2008 ：1-62.

[6]Fabio A， Gonzalez， Dipankar Dasgupta. Anomaly detection using real-valued ngative selection [J].Genetic Programming and Evolvable Machines.2003， 4（4）： 383-403.

[7]徐平均.基于Libnids分布式入侵检测系统的研究与实现[D].2012 ：1-62.

[8]Denning DE. An Intrusion Detection Mode[J].IEEE Transaction on Software Engineering，2017，12（2）：222-232.

[9]刘静菠，刘嘉勇，唐龙.基于应用层特征的TCP数据流重组方法研究[J].信息安全与通信保密，2014，1009（3） ：111-114.

[10]何兴高，车明明，张凤荔.入侵防御系统中TCP数据流重组的设计与实现[J].计算机光盘软件与应用，2012，1007（17） ：195-196.

[11]蒋一川，郭东伟，曹岩等，网络信息安全教学实验系统实验教程[M]，吉林：吉林中软吉大信息技术有限公司，2010.04

作者简介：

辛苗，（1985.6-）女，汉族，陕西咸阳人，学士 研究方向：网络中数据传输的可靠性

作者：辛苗

防火墙攻击方法研究论文 篇3：

改进计算机网络可靠性的方法探析

摘 要：计算机网络的可靠性设计与建设问题的解决方法是当前相关领域的研究热点问题，其对于保证计算机网络安全稳定的运行有着重要的意义。

关键词：计算机网络；可靠性；网络产品；防火墙

计算机网络的可靠性设计与建设问题的解决方法是当前相关领域的研究热点问题，其对于保证计算机网络安全稳定的运行有着重要的意义。

1 计算机网络的可靠性

计算机网络系统根据相关要求在规定的时间内，保持着安全稳定的运行，即是计算机网络的可靠性。其可靠性设计的准则，实质上是总结在设计实际操作中的项目经验，让其更加有逻辑层次、更加系统、更加合理，这些都是计算机网络统一化设计以及在创建期间一定要遵守的规定。余度设计和容错技术是使计算机网络可靠性得以提高的常用手段，主要体现在网络中每台电脑之间都可以相互支持这方面，如果其中一台电脑出现了故障，那么这台电脑的任务就可以通过别的电脑来操作完成，这样在没有后备机的情况下，其中一台电脑发生故障而致使整个系统无法运行的现象就可以避免了，也就使计算机网络的可靠性得到了保障。

2 改进计算机网络可靠性的方法

⑴网络产品的选择。在设计过程中，要根据目前的实际情况来选择质量以及评价相对较好的网络产品，使用的产品均应符合计算机网络设计标准与要求，严格按照其相关规范执行，一切部件与设备以及下级系统都要达到现行的最高的国内及国际标准。

⑵加强管理。对于运行中的系统网络要定期进行智能化的检查与维护。如今的计算机网络规模比较大，且异构化程度比较高，因网络线路或者设备出现故障等方面的问题而导致的整个系统无法运行的现象要尽可能的避免。因为完全做到杜绝故障发生是不可能的，所以只能是做好预防工作，发生系统故障时要及时发现并采取相应有效的措施处理，这样才能保证计算机网络可靠有效的运行，使其具备优良的性能以及强大的功能，真正具有较高的可靠性。

⑶防火墙的应用。图1为某企业应用的曙光防火墙的设计，通过防火墙计算机使用者可以较容易的控制访问，只赋予指定的计算机群体访问权限，而其他用户则不能进行访问。在局域网内，只有具备访问权限的用户才可以访问计算机群体，不然无法进入。这种对访问进行控制的功能，是一种对计算机更高级别的保护，对于外部的攻击起到阻断作用，使安全风险在原有的基础上变得更小，使计算机的可靠性和安全性得到了保障。保障其可靠性的另一重要技术是端口映射；端口映射利用的是联地址转换的方式，隐藏了内部计算机的网络信息，将整个网络系统的可靠性提高。

对于高性能计算机群而言，防火墙是一个基本的安全保障，但是防火墙的保护不是主动动态的，它的安全级别并不高，若要将计算机群的安全级别整体提高，则需要结合网络入侵检测系统、主机入侵检测系统、SKVM以及监控等方式。天罗100D防火墙具备安全隔离防护、端口映射以及控制管理访问等功能，是网络系统的安全性、稳定性及可靠性在很大程度上得到了提高。不仅如此，加之其还具备VPN隧道功能，可以加密通信过程中的相关数据，降低了数据在传输过程中泄露的可能性。网络入侵检测系统可以对网络流量进行监控，通过对指定网段数据包的侦听，对指定网段的非法访问与不正常的连接进行监视、对整个网络系统的外部攻击或非合理操作进行防范，也就从很大程度上将所监视的安全范围缩小，对非法进入的现象进行防护。主机入侵检测系统可以对恶意篡改网络系统文件以及非正确操作的行为进行防范，对非法访问、不正常的连接与用户行为进行实时监视、对系统日志进行定期检查。

3 小结

计算机网络的可靠性是规模大、异构程度高的现代计算机网络的根本要求，对计算机网络可靠性进行的深入探讨，有助于促进我国计算机网络设计水平的提高。

[参考文献]

[1]张晓杰，姜同敏，王晓峰.提高计算机网络可靠性的方法研究[J].计算机工程与设计，2010，05：990-994.

作者：裴祥 鲁华栋