玉蝶之梦
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的��亿美元上升到今年的亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
Xiaonini71
写大学论文时,有一个论文格式,那写论文就像填文字那样简单。这是我为大家整理的,仅供参考! 篇一 企业网Intranet的构建方案 【摘要】本文分析了企业Intranet的功能和技术特点,并阐述了构建Intranet的实施方案及其关键技术。 【关键词】Internet Intranet 区域网 Internet在全球的发展和普及,企业网路技术的发展,以及企业生存和发展的需要促成了企业网的形成。Intranet是传统企业网与Internet相结合的新型企业网路,是一个采用Internet技术建立的机构内联网路。它以TCP/IP协议作为基础,以Web为核心应用,构成统一和便利的资讯交换平台。它通过简单的浏览介面,方便地提供诸如E-mail、档案传输***FTP***、电子公告和新闻、资料查询等服务,并且可与Internet连线,实现企业内部网上使用者对Internet的浏览、查询,同时对外提供资讯服务,释出本企业资讯。 Intranet 的主要特征 企业建立Intranet的目的主要是为了满足其在管理、资讯获取和释出、资源共享及提高效率等方面的要求,是基于企业内部的需求。因此虽然Intranet是在Internet技术上发展起来的,但它和Internet有着一定的差别。并且Intranet也不同于传统的企业内部的区域网。企业网Intranet 的主要特征表现在以下几个方面: ***1***Intranet 除了可实现Internet的资讯查询、资讯释出、资源共享等功能外,更主要的是其可作为企业全方位的管理资讯系统,实现企业的生产管理、进销存管理和财务管理等功能。这种基于网路的管理资讯系统相比传统的管理资讯系统能更加方便有效地进行管理、维护,可方便快捷地释出、更新企业的各种资讯。 ***2***在Internet上资讯主要以静态页面为主,使用者对资讯的访问以查询为主,其资讯由制作公司制作后放在Web伺服器上。而Intranet 则不同,其资讯主要为企业内部使用,并且大部分业务都和资料库有关,因此要求Intranet 的页面是动态的,能够实时反应资料库的内容,使用者除了查询资料库外,还可以增加、修改和删除资料库的内容。 ***3***Intranet 的管理侧重于机构内部的管理,其安全防范措施要求非常严格,对网上使用者有严格的许可权控制,以确定使用者是否可访问某部门的资料。并且通过防火墙等安全机制,控制外部使用者对企业内部资料的获取。 ***4***Intranet 与传统的企业网相比,虽然还是企业内部的区域网络***或多个区域网相连的广域网***,但它在技术上则以Internet的TCP/IP协议和Web技术规范为基础,可实现任意的点对点的通讯,而且通过Web伺服器和Internet的其他伺服器,完成以往无法实现的功能。 Intranet 的构建要点 企业建立Intranet 的目的是为满足企业自身发展的需要,因此应根据企业的实际情况和要求来确立所建立的Intranet 所应具有那些具体功能以及如何去实现这样一个Intranet 。所以不同的企业构建Intranet 可能会有不同的方法。但是Intranet 的实现有其共同的、基本的构建要点。这主要有以下几个方面: 网路拓扑结构的规划 在规划Intranet 的网路拓扑结构时,应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立: ***1***费用低 一般地在选择网路拓扑结构的同时便大致确立了所要选取的传输介质、专用装置、安装方式等。例如选择汇流排网路拓扑结构时一般选用同轴电缆作为传输介质,选择星形拓扑结构时需要选用集线器产品,因此每一种网路拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的,在满足其它要求的同时,应尽量选择投资费用较低的网路拓扑结构。 ***2***良好的灵活性和可扩充性 在选择网路拓扑结构时应考虑企业将来的发展,并且网路中的装置不是一成不变的,对一些装置的更新换代或装置位置的变动,所选取的网路拓扑结构应该能够方便容易地进行配置以满足新的要求。 ***3***稳定性高 稳定性对于一个网路拓扑结构是至关重要的。在网路中会经常发生节点故障或传输介质故障,一个稳定性高的网路拓扑结构应具有良好的故障诊断和故障隔离能力,以使这些故障对整个网路的影响减至最小。 ***4***因地制宜 选择网路拓扑结构应根据网路中各节点的分布状况,因地制宜地选择不同的网路拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构,而节点比较分散时则可以选用汇流排型拓扑结构。另外,若单一的网路拓扑结构不能满足要求,则可选择混合的拓扑结构。例如,假设一个网路中节点主要分布在两个不同的地方,则可以在该两个节点密集的场所选用星型拓扑结构,然后使用汇流排拓扑结构将这两个地方连线起来。 目前常用的区域网技术有乙太网、快速乙太网、FDDI、ATM等多种。其中交换式快速乙太网以其技术成熟、组网灵活方便、装置支援厂家多、工程造价低、效能优良等特点,在区域网中被广泛采用。对于网路传输效能要求特别高的网路可考虑采用ATM技术,但其网路造价相当高,技术也较复杂。 为获取Internet上的各种资源及Internet所提供的各种服务,规划Intranet时还应考虑接入Internet。目前,接入Internet方式主要有:通过公共分组网接入、通过帧中继接入、通过ISDN接入或通过数字租用线路接入,及目前较新的远端连线技术ASDL。在选择以何种方式接入Internet时应根据Intranet的规模、对资料传输速率的要求及企业的经济实力来确定。数字租用线路方式可提供较高的频宽和较高的资料传输质量,但是费用昂贵。公共分组网方式资料传输质量较高,费用也较低,但资料传输量较小。ISDN可提供较高的频宽,可同时传输资料和声音,并且费用相对较低,是中小规模Intranet接入Internet的较佳方式。 Intranet 的硬体配置 在选择组成Intranet 的硬体时,着重应考虑伺服器的选择。由于伺服器在网路中执行网路作业系统、进行网路管理或是提供网路上可用共享资源,因此对伺服器的选择显然不同于一般的普通客户机,同时应该按照伺服器的不同型别,如WWW伺服器、资料库伺服器、列印伺服器等而应该有所侧重。一般要求所选用的伺服器具有大的储存容量,数吉***G***或数十吉***G***,以及具有足够的记忆体和较高的执行速度,记忆体128M或以上,CPU主频在500MHz或以上,而且可为多个CPU处理器,并且具有良好和可扩充套件性,以满足将来更新换代的需要,保证当前的投资不至于在短时间内便被消耗掉。 其余的硬体装置有路由器、交换机、集线器、网络卡和传输介质等。所选择的这些装置应具有良好的效能,能使网路稳定地执行。此外,在此前提下,还应遵循经济性的原则。 Intranet 的软体配置 软体是Intranet的灵魂,它决定了整个Intranet的执行方式、使用者对资讯的浏览方式、Web伺服器与资料库伺服器之间的通讯、网路安全及网路管理方式等,是网路建设中极为重要的一环。 Intranet的软体可分为伺服器端软体和客户端软体。客户端软体主要为浏览器,目前常用的浏览器软体有Netscape Navigator、Microsoft Internet Explore等。伺服器端软体较为复杂,主要有网路作业系统、Web伺服器软体、资料库系统软体、安全防火墙软体和网路管理软体等。选择网路作业系统时,应考虑其是否是一个高效能的网路作业系统,是否支援多种网路协议,是否支援多种不同的计算机硬体平台,是否具有容错技术和网路管理功能等多方面因素。目前市场上主流的网路作业系统有UNIX、Novell Netware和Windows NT等。如果企业网Intranet中大多数是于PC机为主体,建议选用Novell Netware和Windows NT。 3.企业网Intranet构建的关键技术 防火墙技术 由于Intranet一般都与Internet互连,因此易受到非法使用者的入侵。为确保企业资讯和机密的安全,需要在Intranet与Internet之间设定防火墙。防火墙可看作是一个过滤器,用于监视和检查流动资讯的合法性。目前防火墙技术有以下几种,即包过滤技术***Packet filter***、电路级闸道器***Circuit gateway***、应用级闸道器***Application***、规则检查防火墙***Stalaful Inspection***。 在实际应用中,并非单纯采用某一种,而是几种的结合。 资料加密技术 资料加密技术是资料保护的最主要和最基本的手段。通过资料加密技术,把资料变成不可读的格式,防止企业的资料资讯在传输过程中被篡改、删除和替换。 目前,资料加密技术大致可分为专用密匙加密***对称密匙加密***和公用密匙加密***不对称密匙加密***两大类。在密码通讯中,这两种加密方法都是常用的。专用密匙加密时需使用者双方共同享有密匙,如DES方法,由于采用对称编码技术,使得专用密匙加密具有加密和解密非常快的最大优点,能有硬体实现,使用于交换大量资料。但其最大问题是把密匙分发到使用该密码的使用者手中。这样做是很危险的,很可能在密匙传送过程中发生失密现象***密匙被偷或被修改***。公用密匙加密采用与专用密匙加密不同的数学演算法。有一把公用的加密密匙,如RSA方法。其优点是非法使用者无法通过公用密匙推汇出解密密匙,因此保密性好,但执行效率低,不适于大量资料。所以在实际应用中常将两者结合使用,如通过公用密匙在通讯开始时进行授权确认,并确定一个公用的临时专用密匙,然后再用专用密匙资料加密方式进行通讯。 系统容错技术 网路中心是整个企业网路和资讯的枢纽,为了确保其能不间断地执行,需采取一定的系统容错技术: ***1***网路装置和链路冗余备份。网路装置易发生故障的介面卡都保留适当的冗余,保证网路的关键部分无单点故障。 ***2***伺服器冷备份。采用双伺服器,它们都安装资料库管理系统和Web伺服器软体,但两台伺服器同时执行不同的任务,一台执行资料库系统,一台执行Web伺服器软体,它们共享外部磁碟陈列,万一一台伺服器出现故障,可以通过键入预先编好的命令,把任务切换到另一台伺服器上,确保系统在最短时间内恢复正常执行。 ***3***资料的实时备份。对资料进行实时备份,以保证资料的完整性和安全性,确保系统安全而稳定低执行。如通过ARC Srever对资料提供双镜象冗余备份,或由SNA Server提供安全快捷的资料热备份。 结束语: 企业网Intranet的构建是一个大的系统工程,需要有较大的人力和物力的投入。企业应根据自身实际情况和发展需要,有的放矢地建立适合自己的Intranet,只有这样才能充分有效地利用Intranet,真正达到促进企业进一步发展的目的。 参考文献: 张孟顺,向Intranet的迁移[J],计算机系统应用,1998***4***:22~24 张金隆,现代管理资讯科技[M],华东理工大学出版社,1995 韩建民,基于B/S模式的生产管理图查询系统的实现[J],计算机应用,1995***5***:15~28 蔡建,网路安全技术与安全管理机制[J],贵州工业大学学报,1999,28***1***:32~34 篇二 多资料库系统互联机制的设计与实现 摘要: 随着企业规模的不断扩大,各部门所需资讯既相互交错,又相对独立。这就要求各部门所用的资料库既能高度自治地 工作,又能进行资讯共享。本文主要介绍多DM3资料库系统间的资讯共享机制。 不同DM3资料库系统间的资讯共享通过协调器实现。所有这些被协调器连线在一起的资料库系统组成了一个联邦资料库。这样既能较好地满足企业的需要,也能在保证效率的前提下,提高资料的可用性。 关键词: DBMS 复制 联邦资料库 1.引言 随着经济的发展,企业的规模越来越大,其积累的资讯也越来越多。存在着各部门所处理的资讯多数只对本部门有效,仅有少数资讯需给其它某些部门共享的问题。这种资讯的分布性和独立性要求对所处理的资料进行分类,使各部门既能独立地处理本部门大多数资料,也使部门间能协调处理跨部门的事务。在这种情况下,对整个企业建立一个完全的紧密耦合的分散式资料库是很困难的,也是没必要的,特别是大型企业,这样的资料库的效率往往是很低的。 为解决这个问题,我们采用以下策略:每个部门使用一套紧密耦合的资料库系统,而在存在跨部门事务处理的资料库系统间用一个协调器联起来。这样就组成了一个横跨整个企业,各部门高度自治的联邦资料库系统。 DM2是由华中理工大学资料库多媒体技术研究所研制的资料库管理系统。它采用客户/伺服器模型,客户机与伺服器,伺服器与伺服器均通过网路互连,通过讯息相互通讯,组成一个紧密耦合的分散式资料库系统。它的工作流程如下:客户机登入到一台伺服器上,这台伺服器便成为它的代理伺服器;它接收来自客户机的讯息,然后根据全域性资料字典决定是自己独立完成该操作,还是与其它伺服器协作处理这条讯息,处理完成之后,再由代理伺服器将处理结果返回给客户机。 而资料字典,作为记录资料库所有元资料的系统表,它向以上过程中提供各类有用的资讯,引导它们向正确的方向执行,起著“指南针”的作用。它分为区域性资料字典和全域性资料字典。其中,区域性资料字典用于记录一个伺服器站点中资料库的控制资讯,如表的模式,检视的模式及各个资料区的的档名等资讯。全域性资料字典用于记录分散式资料库系统中各个伺服器站点上有关全域性资料的控制资讯,如伺服器站点资讯,各伺服器站点的全域性表名及表内码记录,各伺服器站点上的全域性资料检视名及检视内码记录,使用者名称及口令记录,使用者许可权记录等资讯。各个区域性资料字典可以各不相同,但为了保证在各个伺服器上所看到的全域性资料库是一致的,因此,全域性资料字典必须一致。我们所关心的是全域性资料字典中的基表控制块TV_CTRL_BLOCK,它的内容主要包括:全域性基表总数,每个全域性基表名和其对应的表内码,该基表所在的伺服器站点的编号等资讯。它的功能是将各个伺服器站点号与储存在其上的表名及表内码联络起来。这样,代理伺服器从客户讯息中找到被处理的表名,然后通过查询基表控制块TV_CTRL_BLOCK,就能知道该表存在哪个伺服器上,以便将相关讯息发给该伺服器。 由于DM2上各个伺服器站点的全域性字典完全相同,任何全域性表的资讯都会记入全域性字典。若用它来构建一个企业的资料库系统,则大量只对企业某部门有用的资讯将会充斥在各部门所有伺服器的全域性字典中,增加了冗余。而且,当对全域性表进行DDL操作时,为了确保全域性字典的一致性,须对所有伺服器的全域性字典进行加锁。DM2对全域性字典的封锁方式是采用令牌环方式,即令牌绕虚环***非实环***传输,某个伺服器想对全域性字典进行操作,必须等令牌到达该伺服器才可以执行。每个部门建立的全域性表绝大多数只对本部门有用,当对这些表进行DDL操作时,却要对所有伺服器的全域性字典进行封锁,通过令牌来实现对全域性字典的互斥访问。假如,两个部门都要分别对本部门的内部表进行DDL操作,这应该是可以并行处理的操作,现在却只能序列执行。而且,当伺服器数目庞大时,每个伺服器等待令牌的时间将会很长。这严重损害了资料库的效率。 为弥补以上不足,在DM2的改进版本DM3中增加了协调器,用以联接各个独立的DM3资料库子系统,并协调各子系统间的各种关系,使各子系统既能高度自治地工作,又能进行有效的资讯共享。 2.体系结构 本系统可看作多个数据库子系统被协调器联起来的,高度自治的一个联邦资料库系统。其中,每个子系统独立处理本系统内部的事务,而子系统间的资讯共享由复制技术提供,副本间的一致性由协调器协调处理,处理所需的资讯在初始化时写入协调器的组间资料字典中。当对某子系统中的一份资料副本进行修改时,该子系统会将修改通知协调器,由协调器对该资料的其它副本进行修改,从而保证了所有副本的一致性。 由以上可知,子系统彼此并不直接接触,而是各自都与协调器直接相联,由协调器统一管理子系统间的通讯。这样,当子系统对副本进行修改时,不必关心相应的子系统处于何种状态,也不必等待回应讯息,以及异常处理,所有这些都由协调器进行管理。因此,既提高了系统执行的效率,也保证了子系统的独立性。其体系结构如下图所示。 协调器主要有三大功能,首先,它对协调器和伺服器进行初始化,并将有关资讯存入组间字典;其次,它管理不同子系统间的通讯,维护副本的一致性;最后,它在子系统出现崩溃时,进行异常管理及恢复工作。 图1 DM3多资料库系统体系结构 3.主要策略 多个DM3系统间的资讯共享是通过副本实现的,副本的一致性是由协调器来维持的,是一种弱一致性。通常,多资料库系统间的一致性是通过协调器周期性地访问伺服器的日志来完成的。由于副本的更新带有随机性,因此,若采用这种方法,可能资料被修改多次,但其相对应的副本仍未被修改,这样就损害了资料的一致性;也可能资料并未被修改,但协调器已多次访问了伺服器的日志了,这样就降低了系统的效率。 所以,本系统采用的方法是当资料被修改时,由伺服器通知协调器有关资讯,再由协调器通知相关系统,修改相关资料。这样,资料的修改及时***仍然是弱一致性***,而协调器也不会在资料未被修改的情况下访问伺服器,提高了准确性。 为了使协调器正常工作,我们对底层资料库管理系统DM2进行了修改。在基表控制块TV_CTRL_BLOCK中增加一项IsReplication。建表时,该项初始化为false;当为该表建立一个副本时,该项赋值为true。具体演算法如下。 初始化演算法。 协调器: 从使用者或应用程式接收待连线的两个系统中的伺服器名,需复制的表名; 分别登入到两个系统的伺服器上; 向存有待复制表的伺服器发预复制讯息; 等待伺服器讯息; 若失败,发一条失败的讯息给伺服器和使用者或应用程式,转11***; 若成功,从讯息中取出待复制表的有关资讯,根据这些资讯,发一条建表讯息给另一个系统的伺服器; 等待伺服器讯息; 若失败,发一条失败的讯息给伺服器和使用者或应用程式,转11***; 若成功,调资料转移程式,进行资料复制; 将有关资讯写入组间字典。 退出。 伺服器: 当伺服器收到预复制讯息后,将基表控制块TV_CTRL_BLOCK中的IsReplication赋为true。同时,取出待复制表的有关资讯,组成应答讯息发给协调器。 当伺服器收到失败的讯息后,将基表控制块TV_CTRL_BLOCK中的IsReplication赋为false。 维护演算法。 协调器: 从组间字典读出相关资讯,根据这些资讯,登入到相应系统上; 等待讯息; 从某系统的伺服器上收到一条修改讯息后,通过查询组间字典,确定该讯息的目的地,然后将它转发过去; 若失败,定时重发; 转2***; 伺服器: 1***等待讯息; 2***当收到某客户或应用程式的讯息后,检查它是否是修改资料的操作***如delete,update或insert等***; 若不是,转7***; 若是,检查基表控制块TV_CTRL_BLOCK中的IsReplication是否为true; 若不是,转7***; 若是,向协调器发修改讯息; 继续执行伺服器程式的其它部分。 恢复演算法。 若协调器所联接的系统中有一个跨掉了,则对副本的修改无法及时地反映到跨掉的系统中来。这时,需要恢复演算法来进行处理。 协调器: 当协调器发现有一个系统已经崩溃后,采取以下步骤。 将与该系统相关的变数open赋值为false; 开启记时器; 等待讯息; 若收到的讯息是其它系统发出的修改崩溃了的系统上的副本的命令,则依次将这些讯息储存起来,转3***; 若收到的讯息是记时器发出的时间到的讯息,则向崩溃的系统发登入命令; 若登入成功,将open的值改为true; 将储存的讯息依次传送过去,转9***; 若登入失败,转3***; 退出。 4.结论 我们曾在三个DM3资料库系统上,用两个协调器进行联接。结果,执行情况良好,各副本最终都能保证一致,且各副本间存在差异的时间间隔很短。另外,在出现异常的情况下,协调器也能正常工作。 主要参考文献: 1.周龙骧等,分散式资料库管理系统实现技术,科学出版社,1998。 2.郑振楣,于戈,郭敏,分散式资料库,科学出版社,1998。 3.王珊等,资料仓库技术与联机分析处理,科学出版社,1998。
haorantaba
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。 随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。 [正文] 1 引言 网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今, Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,将作为本次论文设计的的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。有人曾提出过如果把每个单独的系统配置好,其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统,我们不得不承认在Windows 2003以前的时代, Windows默认开放了太多不必要的服务和端口,共享信息没有合理配置与审核。如果管理员通过安全部署,包括删除多余的服务和组件,严格执行NTFS权限分配,控制系统映射和共享资源的访问,以及帐户的加固和审核,补丁的修补等。但是致命的一点是,该服务器系统无法在安全性,可用性和功能上进行权衡和妥协。因此,如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃,是企业网络安全需要解决的重要问题。 防火墙就是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。 ......
自己写才是王道
混世金粉 4人参与回答 2023-12-11 一般来说摘要200-300字就足够了,楼上哥们的第一段就行了。
爱吃爱喝薅羊毛 4人参与回答 2023-12-08 重点一:防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,
装饰小板凳 7人参与回答 2023-12-06 防火墙的应用研究:随着计算机网络的不断发展,网络安全问题越来越受到关注。防火墙是其中一种应用非常广泛的用于保护网络安全的技术。本文论述了防火墙的研究与应用。包括
实创佳人 5人参与回答 2023-12-09 跟以前写的题目一样的不难写的
晓布丁2011 4人参与回答 2023-12-07 
