一種安全聯(lián)動防火墻系統(tǒng)的設(shè)計和研究.pdf

1、21世紀(jì)，計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展已經(jīng)大大地改變了我們的生活方式，人類進(jìn)入了信息時代。通過計算機(jī)網(wǎng)絡(luò)，我們可以很方便地存儲、交換以及搜索信息，給人們的工作、生活以及娛樂帶來了極大的方便。然而，由于TCP／IP協(xié)議族潛在的安全漏洞和安全機(jī)制不健全，Internet上的黑客趁機(jī)而入，非法進(jìn)入企業(yè)的內(nèi)部網(wǎng)，并存取、破壞、竊聽數(shù)據(jù)。這樣使信息安全問題變得越來越重要，如何保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源及信息不受外部攻擊者的肆意破壞或竊取，是網(wǎng)絡(luò)安全需要解決

2、的重要問題。這些安全問題對計算機(jī)網(wǎng)絡(luò)的使用造成不小的影響，這些影響體現(xiàn)在個人生活、商務(wù)往來、經(jīng)濟(jì)活動，甚至政治和軍事方面。計算機(jī)網(wǎng)絡(luò)安全就是為了克服這些安全問題，使計算機(jī)網(wǎng)絡(luò)的使用更有保障而誕生和發(fā)展起來的。由于其重要性，計算機(jī)網(wǎng)絡(luò)安全已經(jīng)受到人們的極大關(guān)注，網(wǎng)絡(luò)安全正成為一個發(fā)展非常迅速的領(lǐng)域。在很短的時間內(nèi)，各種網(wǎng)絡(luò)安全技術(shù)紛紛問世并在不斷地發(fā)展。 防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的

3、一道屏障，以防止不可預(yù)測的、潛在的、破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，以此來實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。 防火墻已經(jīng)被用戶普遍接受，而且正成為一個主要的網(wǎng)絡(luò)安全設(shè)備。防火墻圈定一個保護(hù)的范圍，并假定防火墻是唯一的出口，然后防火墻來決定是放行還是封鎖進(jìn)出的包。傳統(tǒng)的防火墻有一個重大的理論假設(shè)，如果防火墻拒絕某些數(shù)據(jù)包的通過，則一定是安全的，因為該些包已經(jīng)被丟棄。

4、但實際上防火墻并不保證準(zhǔn)許通過的數(shù)據(jù)包是安全的，防火墻無法判斷一個正常服務(wù)的數(shù)據(jù)包和一個惡意的數(shù)據(jù)包有什么不同，因此要求管理員來保證該包是安全的。管理員必須告訴防火墻準(zhǔn)許通過什么，既然管理員說必須通過，那么防火墻依據(jù)你設(shè)置的規(guī)則來準(zhǔn)許該包通過，這樣管理員則必須承擔(dān)策略錯誤的安全責(zé)任。然而，傳統(tǒng)防火墻的這種假設(shè)對網(wǎng)絡(luò)安全是不恰當(dāng)?shù)模踩Ч膊缓?。把安全?zé)任交給安全管理員，實際上就沒有解決安全問題。新一代的防火墻應(yīng)該加強(qiáng)放行數(shù)據(jù)的安全性，