返回
网络实时防护体系设计方案

网络实时防护体系设计方案

ID:4138008

大小:144.40 KB

页数:3页

时间:2017-11-29

网络实时防护体系设计方案_第1页
网络实时防护体系设计方案_第2页
网络实时防护体系设计方案_第3页
资源描述:

《网络实时防护体系设计方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络实时防护体系设计方案刘铁林任重张晓艳王贻峰(石家庄陆军指挥学院石家庄050084)摘要在分析当前网络安全防护系统缺陷的基础上,提出了一种网络安全实时防护体系。该体系把一种新型防火墙扣网络监测系统结合起来,做到了对黑客入侵及病毒攻击的实时监测、捕获和主动防护。克服了传统网络防护的不足。关键词网络防护体系设计方案但是,目前国内的安全监测软件几乎还没有出1问题的提出现,一方面是国内的网络安全发展比较迟,另一方面在网络日益发达的当今社会,网络安全日益受安全监测必须应用多种复杂技术,同时由于入侵和到各国的关注。为了有效地抵御来自网络内部和外攻击的手段层出不穷、更新较快也给安全监测软

2、件部的入侵,网络防护系统必须是一个由里至外、全方的开发带来了极大的难度。这种网络安全监测系统位、立体的一整套网络安全解决方案,应该从事前、的滞后性也是造成网络安全防护效能低的一个重要事中和事后三个过程对网络的整体安全进行立体的原因。防护。目前所采用的网络安全防护系统由于成本和2实时防护体系设计方案技术的原因,主要存在以下缺陷。(1)网络防护手段单一2.1拓扑结构国内现有的网络安全防护措施都比较单一,主要利用防火墙进行安全防护。但问题在于,防火墙本文提出一种把防火墙和安全监测系统结合起把所有的问题都综合到一起,是网络的瓶颈,它建立来,建立互锁关系、互为防护的安全防护体系,网络了

3、一个将所有防护措施都放置到一个集中位置的环拓扑结构如图1所示。境,如果防火墙被突破,或不能正确地配置使用,防火墙就不能起到保护网络的作用。(2)现有防火墙的局限性现有防火墙技术是内部网络最重要的安全技术之一,但其存在局限性:一是难于防范网络内部入侵新型防火墙安全监测系统馐行为。防火墙的安全控制只能作用于通过它的网络流进行控制,难以控制来自网络内部的安全隐患;二是对网络外部入侵的防护不理想。防火墙只实现了图1实时防护体系粗粒度的访问控制,它的安全控制主要是基于IP地安全监测系统放在防火墙之后,对整个网络及址和服务的端口;三是本身也存在安全漏洞。国内防火墙进行实时监控,这样就能够

4、对网络内外黑客大部分防火墙都安装在一般的操作系统上。在防火的入侵者及时做出反应,在防火墙和监控平台的配墙主机上执行的除了防火墙软件外,所有的程序、系合下进行有效的控制。统核心,也大多来自于操作系统本身的原有程序。当这些软件出现安全漏洞时,任何的防火墙控制机制都可能失效。一般防火墙存在不容易动态阻断、过滤方式单(3)安全监测系统发展滞后一、本身可能存在安全漏洞等问题。本文提出的新安全监测系统是防火墙的合理补充,可方便地型防火墙除了具备一般防火墙的网段隔离、基于IP进行计算机网络的安全审计、监视、进攻识别和响应。和端口的阻断、网络地址转换等功能外,增加了实时∞年第卷第2期无线电

5、

6、

7、L信技术33动态包过滤、动态地址映射、自身安全防护等功能。新型防火墙利用动态地址映射技术对内部地址(1)实时的动态包过滤能力做转换,允许内部网络使用自己定制的IP地址和专传统防火墙的包过滤只是与规则表进行匹配,用网络,防火墙能详尽记录每一个主机的通信,确保对符合规则的数据包进行处理,不符合规则的丢弃。每个分组送往正确的地址。为了适应复杂的网络结由于是基于规则的检查,同一连接的不同包无任何构,防火墙还提供外部网络到内部网络的源地址转联系,都要依据规则顺序过滤,这样随着安全规则的换功能。利用网络地址转换功能,不仅可以更有效增加,势必会使防火墙的性能大幅度降低,造成网络地利用地址

8、资源而且可以使系统管理员自行设置内拥塞。黑客会将非法包伪装成属于某个合法的连部的地址而不必对外公开,隐藏了内部网络的真实接。这样的包过滤既缺乏效率又容易产生安全漏地址,使黑客无法探知内部网络的结构,提高了网络洞。整体的安全性。新型防火墙采用了基于连接状态检查的实时动(3)抗攻击和自我保护能力态包过滤,将属于同一连接的所有包作为一个整体新型防火墙自身安全防护层实现了该防火墙主的数据流看待,通过规则表与连接状态表的共同配机的防护,主要是监控防火墙主机的安全状态、数据合,大大提高了系统的性能和安全性。在检测包时和配置文件的完整性、少数防火墙管理员用户的审不仅将其看成是独立的单元,同

9、时还要考虑与它的计跟踪、监控分析系统的活动,一方面它担负了系统前面包的关联性。尤其是对于基于UDP协议、ICMP受到攻击后重要配置的自动恢复任务,同时它担负的应用来说,是很难用简单的包过滤技术进行处理了防火墙和安全监测系统之间相互锁定的防护任的,因为UDP协议本身对于顺序错误或丢失的包,务。防火墙和安全监测系统之间采用了加密了的是不做纠错或重传的。而ICMP与IP位于同一层,IP隧道,该通道可以加密、加标签、认证防火墙和安它被用来传送IP的差错和控制信息。新型防火墙全监测系统之间的通信,这样,防止了内部

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。