返回
关于防火墙状态监测技术应用

关于防火墙状态监测技术应用

ID:5991963

大小:27.00 KB

页数:5页

时间:2017-12-30

关于防火墙状态监测技术应用_第1页
关于防火墙状态监测技术应用_第2页
关于防火墙状态监测技术应用_第3页
关于防火墙状态监测技术应用_第4页
关于防火墙状态监测技术应用_第5页
资源描述:

《关于防火墙状态监测技术应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、关于防火墙状态监测技术应用  摘要:网络的迅速发展给人类生活带来了方便,提高了工作效率,丰富了人们的生活,与此同时给人们带来了一个日益严峻的问题——网络安全。很多企业为了保障自身服务器或数据安全都采用了防火墙。由于目前采用的TCP/IP协议族潜在着安全漏洞以及安全机制不健全,Internet网上的黑客趁机而入,非法进入企业的内部网并存取、破坏、窃听数据。关键词:防火墙;状态监测;技术;应用中图分类号:G642.3文献标志码:A文章编号:1674-9324(2013)14-0267-02对于保证计算机网

2、络的安全,方法很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?一、防火墙在网络安全中的重要性5(1)防火墙的主要目的是控制Intranet。与Internet之间的连接,它提供了一种保护Intranet的安全屏障,防止黑客进入内部网,它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门

3、外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击。(2)可以强化网络安全,通过防火墙的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。(3)对网络存取和访问进行监控,防火墙能记录下访问并做出日志,同时提供网络使用情况的统计数据。二、如何解决防火墙的配置51.利用分

4、布式防火墙,分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。(1)网络防火墙用于内部网与外部网之间,以及内部网各子网之间的防护。比传统防火墙多一种用于对内部子网之间的安全防护层,这样使整个网络的安全防护体系就显得更加全面,更加可靠。(2)主机防火墙,用于对网络中的服务器和桌面机进行防护。作用是在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。应用于内部网各子网之间、同一内部子网工作站与服务器之间。比起网络层更加

5、彻底。(3)中心管理是新的防火墙的管理功能,也是以前传统防火墙所不具有的。可以提高防火墙的安全防护灵活性,具备可管理性。2.嵌入式防火墙系统,为大量的网络用户及需要保护的网络资源提供了一个可管理的、分布式的、安全的计算环境。它使用了一种简化的,基于公钥的Kerberos协议以实现透明的认证,并综合了其它一些网络安全技术,包括授权、安全数据传输、审计等,并提供了一种集中式的管理机制。(1)其核心系统一般可以包括四个主要部件:客户认证代理,嵌入式防火墙代理,票据授予服务器(TGS)和认证服务器(AS)。(

6、2)客户登录系统时,客户认证代理将提示并获取相应的用户名和口令。仅当客户同时具有正确的口令和含有私有密钥的设备,客户代理才能够进行身份认证。在用户登录完成后,客户代理将自动向AS发送请求AS_REQ,以申请TGT。认证服务器AS收到客户的AS_REQ后,发回应答消息AS_REP。(3)客户认证代理得到AS发回的AS_REP后,进行解密,获取并保存与TGS通信的会话密钥及提交给TGS的票据。(4)TGS在收到客户认证代理发来的TGS_REQ后,进行解密,以获取客户与其会话密钥,用它来解密认证算子,将算得

7、的检验和与自己生成的HASH函数结果相比较,以检查客户身份的合法性和消息的完整性。在授权通过后,TGS生成TGS_REP,并发回用户。三、利用防火墙抵御常见攻击方式51.SYNAttack:攻击者利用伪造的IP地址(不存在或不可到达的地址)发送大量的SYN封包至防火墙的某一接口,使防火墙用SYN/ACK封包对这些地址进行响应,然后等待响应的ACK封包。防火墙设备对每秒允许通过防火墙的SYN封包数加以限制。达到临界值,为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中,未完成的连接保留在队列中

8、。2.ICMPFlood,启用ICMP泛滥保护功能时,可以设置一个临界值,超过了临界值就会调用ICMP泛滥攻击保护功能。3.PortScanAttack(端口扫描攻击),一个源IP地址在定义的时间间隔内向位于相同目标IP地址10个不同的端口发送IP封包时,就会发生端口扫描攻击。防火墙设备在内部记录从某一远程源地点扫描不同端口的数目。防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地址的其他封包。4.认证机制系统,实现高速防火墙,应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。