防火墙技术的基本原理篇1

关键词：VOIP；防火墙；STUN；入侵防护系统

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1091-02

Reserch and Implementation of Security Technologies on VOIP System

ZHAO Jing

(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)

Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.

Key words: VOIP; firewall; STUN; IPS

1 引言

VoIP也称为网络电话，它是在IP网络上通过TCP/IP协议实现的一种语音应用，这种应用包括PC对PC连接、PC对电话连接、电话对电话连接等。目前，全球市场包括中国已有相当大的一部分语音业务通过IP来传送，随着VoIP的广泛普及和应用，加强VoIP系统的安全性显得日益紧迫。

2 VoIP基本原理及技术

IP电话是建立在IP技术上的分组化、数字化传输技术,它将普通电话的模拟信号转换成可以在因特网上传送的IP数据包，同时也将收到的IP数据包转换成声音的模拟电信号，其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按IP等相关协议进行打包，经过IP网络把数据包传输到目的端，再把这些语音数据包组装起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送语音的目的。

3 VoIP系统面临的安全威胁

下面分析一下VOIP系统可能面临的安全威胁，大致可以分为以下几类。

3.1 常规威胁

由于VoIP基于可同时承载语音、数据等的统一IP网络架构，语音和数据网络的融合增加了网络被攻击的风险，对数据网络的各种攻击手段都会出现在语音和数据融合的网络中。

3.2 VoIP特有的安全威胁

除了会遭遇上述的威胁外，VoIP系统还会遭遇以下这些与语音有关的主要威胁：

1） 产品本身易受攻击：VoIP基础设施需要添加专用交换机系统、网关、、注册和定位服务器以及拨打到IP骨干网的电话，对数据通信的攻击可通过IP语音基础设施进行。

2） 相关协议实现的漏洞：VoIP涉及大量协议，如SIP、H.323、MGCP等，这些复杂的协议会由于软件实现中的缺陷或错误而留下漏洞。

3） 信令协议篡改：恶意用户可以监控和篡改建立呼叫后传输的数据包。

4） IP电话被盗打：通过窃取使用者IP电话的登录密码能够获得话机的权限。

5） 流媒体侦听：VOIP存在通过对IP电话之间的RTP语音流窃取并重放的问题。

6） 呼叫黑洞：指未授权的拒绝通过VoIP传输，从而结束或阻止正在进行的信息交流。

4 可以采用的主要安全技术

在分析了VoIP系统可能受到的安全威胁之后,可以认识到加强VoIP系统安全的必要性和复杂性，可以采用下面介绍的这些主要技术和措施来保障VoIP系统的安全运行。

4.1 防火墙技术

传统防火墙其自身的特性对VoIP的部署是一个障碍，因为它丢弃所有从外到内未开放端口的连接请求，而VoIP采用动态端口传输语音和视频，若防火墙开放全部端口，意味着防火墙形同虚设；另外VoIP要求因特网上基于IP的资源是可预测、静态可用的，因而当防火墙利用NAT技术时，要使VoIP有效通过防火墙会较困难，因而必须采用一些新技术。

4.1.1 语音感知应用层网关（ALG）

应用层网关被设计成能够识别指定的协议（如H.323、SIP或MGCP等），它不是简单地察看包头信息来决定数据包是否可以通过，而是更深层的分析数据包载荷内的数据，也就是应用层的数据。采用这种技术可以使网络能够动态开放和关闭防火墙端口。

4.1.2 STUN (Simple Traversal of UDP Through NAT)

STUN是一种UDP流协议穿透NAT的协议，其解决NAT问题的思路如下：私网接入用户通过某种机制预先得到其地址对应在出口NAT上的对外地址，然后直接填写出口NAT上的对外地址，而不是私网内用户的私有IP地址，这样报文负载中的内容在经过NAT时就无需被修改了，只需按普通NAT流程转换报文头的IP地址即可，而此时负载中的IP地址信息和报文头地址信息是一致的。

4.1.3 TURN（Traversal Using Relay NAT）

TURN方式解决NAT问题的思路与STUN相似，采用TURN Server的地址和端口作为客户端对外的接收地址和端口，即私网用户发出的报文都要经过TURN Server进行Relay转发。这种应用方式除了具有STUN方式的优点外，还解决了STUN无法穿透对称NAT的问题

4.1.4 深度包检测技术

深度包检测技术以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包。通常深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷，因为很多恶意行为可能隐藏在数据载荷中。

4.1.5 会话边界控制器（SBC）

SBC可以被看作支持VoIP的防火墙，它还可以修改IP包的包头，使IP包能够顺利通过网络边缘设备。SBC是一种“可识别应用层”的设备，可以识别第五层和第七层的消息，并且还可以处理第五层的众多会话信令协议，修改数据包头的地址，从而实现“远端防火墙穿越”。同时SBC可以通过对会话数目的限制，实现应用层防DOS攻击。

4.2 虚拟局域网（VLAN）技术

让语音和数据在不同的虚拟局域网上传输，把所有的VoIP电话放在单独的虚拟局域网上，并且使用不可路由的RFC 1918地址。防止VLAN间进行通信可缓解窃听电话的现象，还可为VoIP虚拟局域网赋予较高优先级。

4.3 加密技术

可以使用加密技术比如IPsec来保持VoIP的安全，加密还可以挫败需要对基础设施获得物理访问权的其他类型的攻击。

4.4 入侵防护系统（IPS）

IPS可以缓解从内部发动攻击这个问题。例如，利用SIP发送大量的“注册”请求会导致服务器无力处理请求，而如果IPS能够理解SIP，就可以检测这些攻击。

4.5 加强操作系统安全

支持VoIP的服务器一般运行在Linux、Windows等操作系统上，而这些操作系统又有着不同的漏洞和补丁需要完善。VoIP设备一般都放在机房内独立运行，不需要人为干预，但是这些设备出厂的时候，如果没有打上最新的补丁，就需要网管维护部门不断跟踪最新的安全信息或者和设备厂商保持联系，为这些骨干设备升级操作系统，避免遭到黑客的攻击，另外还要认真限制对它们的访问。

5 结束语

本文对VOIP应用过程中存在的主要安全威胁进行了研究和分析,并且针对这些安全威胁提出了一系列的解决方法和技术,通过对这些技术的合理应用可以极大的增强VOIP应用的安全性。

参考文献：

[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.

[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural puter Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603

[3] ITU-T RFC 3015 Megaco Protocol Version 1.0. [S],2000.11.

防火墙技术的基本原理篇2

1云计算的概念与基本原理

在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算，其面对的是超大规模的分布式氛围，主要发挥着将供应数据储存及网络服务的作用，并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起，通过具体软件促使自动化管理、无人为参与，并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中，在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态，有利于企业将资源更改为具体的需求得以运用，并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。

2目前我国电力企业信息安全结构状况

2.1电力企业信息网络结构

随着电力企业逐渐进入网络自动化及智能化阶段，为此，目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式，其中，专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。

2.2电力信息安全系统结构

以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面：自动化、生产管理、办公室自动化及电力企业信息管理。其中，办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的，形成的是一个安全工作区域，在这个安全区域当中SPDnet支撑的一种自动化，可具备监控性能的实时监控，譬如，配电自动化、调度自动化、变电站自动化等，同时，安全生产管理区域同样也是SPDnet来作为基本支撑的。

3云计算环境下电力企业信息安全技术的运用

3.1数据传输-存储安全技术

在整个电力企业信息当中，涵盖了大量的有关电力企业发展的资料及所有数据信息，譬如：电力企业的财务信息、用户信息、经营管理信息等等，所以，对于整个电力企业而言，数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下，云计算环境下，严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下，主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外，预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析，其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容，而云计算环境下，电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位，这样可以促使不同种类数据间隔离的实现，并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份，使得电力企业信息在有突发情况出现的时候能够在第一时间达到相关数据的及时恢复。

3.2权限认证及身份管理安全技术

云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问，这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术，电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置，按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分，这样可成功的预防了非法访问的事件发生，同时实现合法用户根据个人权限来进行企业信息的具体操作。

3.3网络安全隔离技术

对于整个电力企业信息来讲，云计算实则是互联网当中的一种内部性系统，通常情况下，电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现，可是，云计算环境下，电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术，其中，防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障，通过对个人信息的严格检测、审核，将具有破坏性入侵的访客实施的一种有效防护，能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽；物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割，这样能够有效的将内外部网络系统的连接状态完全阻断；协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离，在协议隔离技术的支撑下，内外部网络是完全分离的一种状态，而唯有云计算环境下的电力企业信息进行相互交换的过程当中，内外部网络才能够通过协议由隔离的状态转变为正常连接状态。

4结语

通过上文针对云计算环境下电力企业信息安全的浅析，我们从当前电力企业信息安全的状况进行分析，云计算环境下用户信息安全依然是一个较为严峻的问题，一部分问题并未得到根本性的解决，在今后的工作当中，需要针对云计算环境下用户信息安全供应相应的帮助，这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信，在未来的工作当中，云计算环境下的电力企业信息将会更加安全，用户信息的安全性能将会得到最大程度上的保障。

作者:李袖 高阿朋 郭宝财 张伟 单位:国网内蒙古东部电力有限公司电力科学研究院

参考文献

[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,2013(04).

[2]陈宇丹.电力企业信息信息安全关键技术研究[J].中国科技信息,2013(23).

防火墙技术的基本原理篇3

关键词：网络穿透；网络防护；防火墙；入侵检测

中图分类号：TP393.08

伴随着互联网的迅猛发展，互联网世界越来越丰富多彩，上网的人数和网络应用服务激剧增加，新的应用协议，新的网络服务层出不穷，对整体信息安全提出了巨大的挑战。为了保护网络内部的安全和进行网络管理，政府、企业和用户都采用防火墙、入侵检测系统和病毒检测等防护设备，来检测和防御来自于网络上的恶意行为，以提供安全保障。然而，网络攻击与防护是一个不断对抗和发展的过程，当前，攻击者可以利用防火墙、入侵检测设备和其他检测技术上的漏洞和脆弱点，进行网络穿透。

通过网络穿透，不法分子可以大肆谈论不法内容、发泄对社会的不满、造谣惑众、传播不法的思想，危害国家和社会安全；结合木马、病毒和其他恶意程序，绕过网络安全防护设备，达到非法控制、传播和获取秘密信息的目的；为盗版软件、垃圾邮件和色情暴力等信息的传播提供了平台，破坏社会秩序[1]。因此，网络穿透对网络安全和监管带来了严重的冲击，对网络穿透技术进行研究十分有必要。本文从攻击者的角度研究了网络穿透技术，并最终给出相应的对策。首先对网络防护设备进行研究，分析了防火墙和入侵检测系统，接着分析了网络穿透技术，阐述了网络穿透通信模型和基本原理，分析了网络穿透的关键技术，最后给出了应对当前穿透技术的几点对策。

1 网络防护设备

为了保证网络内部的信息安全，政府、企业和用户都会使用一些网络防护设备进行网络监视和管理。常见的网络防护设备有防火墙和入侵检测系统。

1.1 防火墙。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据不同的安全策略，实现对网络流量的控制，它本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全[2]。

防火墙是网络安全的屏障，可以强化网络安全策略，对网络存取和访问进行监控审计，并防止内部信息的外泄。防火墙根据不同的网络体系结构，可以分为个人防火墙、网络级防火墙、应用级网关防火墙和电路级网关防火墙。其主要通过包过滤、检查IP地址和端口，实现数据包的通行或阻止，通过检测网络会话的发起端，结合网络流量的方向，判断相互通过的信任关系，通过对网络数据包的重组，分析数据包的内容，来实现有无秘密信息的传输，来达到对内外网络流量的控制和管理。

1.2 入侵检测系统。入侵检测技术（Intrusion Detection）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。IDS则是完成如入侵企图或行为（Intrusion），同时监控授权对象对系统资源的非法操作（Misuse）[3]。入侵检测技术作为一种积极主动的安全防护技术，它能够对外部入侵和内部攻击进行实时监视，在网络系统受到危害时，进行拦截和响应，发现入侵行为。

入侵检测系统能很好地弥补防火墙的不足，通过安全审计、流量识别和响应监视加强对网络的监管，及时发现不法的入侵行为，加强了网络的安全管理能力，提升了网络基础安全的完整性。入侵检测系统被认为是防火墙的第二道安全闸门，它通过分析网络流量，提取正常通信和异常通信的特征和行为区别，形成检测规则，在网络流时中监视是否有非法的入侵行为。异常通信行为在通信数据包的特征上和通信的行为上肯定有着不一样的地方，如某些木马特定的通信端口、病毒数据包上的标志以及恶意程序操作行为会有明显的标识，这些特点都被入侵检测系统用来对网络进行实时的监测。入侵检测系统还能够在发现入侵行为之后，及时做出响应，包括：事件记录、报警存储和网络连接切断等。

2 网络穿透技术

2.1 网络穿透通信模型。网络穿透，从狭义上讲是点对点的，通过检测和发掘防火墙、IDS等网络安全设备和系统存在的漏洞，采用一些特定的技术，穿透这些安全设备，从而达到对目标机器和目标网络的攻击；广义上讲，凡是将攻击代码、隐秘数据等传到网络地址转换（NAT）、防火墙、IDS等网络安全设备之后的目标主机上的技术都可以看成一种穿透[4]。因此，网络穿透通信模型可以描述成如下。

如图1所示，网络穿透通信模型包括了主机、防火墙、Internet部分、服务器和网络服务，其中防火墙根据部署的位置不同，可以分为个人防火墙和网络防火墙，本文主要从攻击者角度，重点研究如何利用网络穿透技术实现对网络防火墙的穿透，即实现主机穿透网络防火墙后，经过互联网，实现对远程主机、服务器和其他网络服务的访问。

2.2 网络穿透工作原理。网络穿透之所以能够穿透防火墙，实现对限制资源的访问，主要的工作原理有：

2.2.1 进行欺骗，伪装成正常的通信。防火墙在配置的时候，通常会信任某些应用程序和端口对网络的访问。通过分析防火墙所信任的应用程序，放行的IP地址、端口，就可以将自己有针对性地伪装成防火墙已信任的通信。这样，在网络通信发生时，防火墙将会误认为是正常的数据通信，便允许其通过。例如，在正常的防火墙设置中，都会放行端口为80和443的通信，以保证该网络正常的网络访问，那么就可以将相应的网络通信伪装端口为80或443的数据包，以达到欺骗防火墙，达到网络穿透的目的。入侵检测系统的主要思想是区分异常通信和正常通信，那么相应的网络通信只要进行欺骗，伪装成正常的通信行为，那么也使得入侵检测系统的检测难度极大加强。

2.2.2 进行加密，实现数据内容无法检测。当前防火墙和入侵检测设备，能够实现对通信过程中数据包内容的重组，从而达到对通信数据内容的监视，从内容中判断是否有网络穿透行为的发生。然而，攻击者可以利用一些加密通信隧道实现对数据内容的加密，使得防火墙和入侵检测系统只能监测到加密后的密文，无法实现对数据内容的判断和过滤。例如，可以通过建立HTTPS隧道[5]，通过SSL协议，实现对网络数据的加密处理，这样处理后的数据包只带有通信双方的IP和端口，通信的内容完全是进行加密的，这样的通信内容便可以顺利穿透防火墙和入侵检测系统，从而达到对目标的非法访问。通信数据进行加密，极大的隐藏了通信双方的内容，使得以监控内容的防护设备失效，而且进行数据解密的难度相当大，因此该工作原理，能够实现较好的网络穿透。

2.2.3 进行隐蔽，实现网络匿名通信。虽然进行加密，能够进行网络穿透，但是加密的方式，还是实现不了对通信双方身份的隐藏，防火墙和入侵检测设备仍然可以对一些非法的通信IP地址进封锁，从而实现对网络穿透一定的监管。而且攻击者可以利用信息隐藏技术和P2P技术，实现匿名通信，从而实现通信双方或单方的身份隐藏，从而实现网络穿透。例如，可以利用一些数据包上的特殊的空闭字段，填入约定好的数据比特，实现信息的隐藏传输，从而达到通信双方身份的隐藏，如：基于共享DNS的防火墙穿透技术和基于ICMP协议的网络穿透技术等[6]。还有就是利用P2P网络实现对访问目标身份的隐藏，如基于Tor平台匿名通信的网络穿透技术。

2.3 网络穿透关键技术分析。根据网络穿透的工作原理，分析国内外当前的网络穿透技术，主要的关键技术有如下：

2.3.1 服务技术。服务技术是常见的进行间接访问网络信息资源的中转技术，它能够实现服务器和访问目标之间的信息转发和控制，实现网络穿透，常见的有：SOCKS4、SOCKS5和HTTP等，其中SOCKS4只支持TCP，SOCKS5支持TCP和UDP协议。通过服务技术，可以实现突破IP地址的封锁、隐藏自己的身份和访问限制资源，进行网络穿透的行为。

2.3.2 网页和端口转向技术。网页转向技术是指很多网站有提供网页的自动转向功能，那么在内网用户可以利用该网页重定位技术，通过这些合法网站，进行网络穿透。端口转向技术是指针对防火墙的设置，将要访问的端口转向防火墙开放的端口，实现网络穿透，如可以将端口转向防火墙常开放的80和443端口。网页和端口转向技术主要利用了数据包的修改和转发，实现利用正常的网络通信行为承载非法的通信，从而实现网络穿透。

2.3.3 反弹连接技术。该技术源于木马通信的发展，从开始的主动连接通信，通过木马控制端主动去连接植入目标的木马服务端，该方法容易被防火墙封阻，因此，发展了反弹连接方法，木马程序的服务端通过访问服务器或域名解析获取控制端IP地址，从而主动发起对指定IP的连接，连接方面与主动边接相反是从内向外的，容易实现网络穿透。当前大多数木马都采用了该技术，进行网络穿透，如：灰鸽子、Poison IVY和PcShare等。

2.3.4 隧道穿透技术。隧道穿透技术是一种较常见网络穿透技术，它使用一些常用服务接入端口如WEB服务、邮件、即时聊天工具端口，或者使用动态扫描获得的开放端口，通过变化通信端口来出避免防火墙和入侵检测系统的检测。例如：利用HTTP隧道技术，将要通信的数据用HTTP协议进行封装，伪装成正常的WEB访问数据，从而实现网络穿透，当然也可以封装成邮件或即时聊天数据。该隧道穿透技术还可以结合加密技术，实现对数据内容的加密，如匿名HTTPS隧道木马[5]，其实现了用户数据伪装成HTTPS数据包加密传输，达到网络穿透的目的。

2.3.5 基于P2P的穿透技术。结合网络探测技术和拓扑发现等技术，穿越和绕过NAT和防火墙，使得NAT和防火墙如同虚设。其中有基于TCP协议和UDP协议的P2P穿透技术，该穿透技术可以实现对通信双方或单方的隐藏。如：SKYPE即时通讯工具，它采用P2P技术，运用STUN和TURN的协议演变出的类似协议来探测网络拓扑结构，并实现UDP连接方式下的穿透NAT，或者寻找出绕出防火墙等安全设备的路径[7]。

2.3.6 匿名通信技术。匿名通信技术是通过信息隐藏的方法，将信息流中的通信关系加以隐藏，使得窃听者无法直接获知或推知双方的通信关系或者通信的某一方。匿名通信的重要目的就是隐藏通信双方的身份或者通信关系，从而实现对网络用户的个人通信隐私以及通信内容的更好保护，使监管更为困难。如：以MIX、洋葱路由器、TOR技术为代表的匿名通信技术发展快速，为穿透技术提供了新的平台[8]。

3 防范对策

当前网络穿透技术的不断发展，而且各种网络穿透技术被综合运用，对网络安全监控和管理提出巨大的考验，针对该情况，本文尝试给出几点建议。

3.1 从技术研究上，要不断紧跟新的网络穿透技术，深入研究，寻找对策。当前新的网络穿透技术不断呈现，信息安全人员要不断紧跟新的网络穿透技术的研究，结合防火墙技术和入侵检测技术，不断寻找应对网络穿透的方法。技术的对策，是最直接有效的，而且也是需要大力投入人力和经费的。网络穿透技术当前已经呈观出通信特征正常化、数据传输加密化和通信身体隐蔽化的特点，从技术上加强对网络穿透技术的研究，并寻找相应的措施是十分有必要。

3.2 从设备部署上，要在重点的网络关口，骨干网络加强部署防火墙和入侵检测系统等防护设备。应用行之有效的网络防护设备才能够在一定程度上阻止网络穿透行为的发生，要研究企业或政府网络的关键节点，部署防火墙或入侵检测设备进行监视。在各个骨干节点上部署防火墙和入侵检测设备，可以强化防护设备之间的联动作用，进行分布式监管，形成有效的监视网。还有就是要对企业和政府等网络的关键数据设备如：文件服务器、WEB服务器等加强监控，部署防护设备。

3.3 从规章制度上，要建立一套完善的、合理的互联网上网规范，形成良好的监管制度。企业或政府部分可以建立一套相对完善的上网规范，规范用户的上网行为规范，从而形成良好的监管制度。攻击者之所以能够进行网络穿透行为，他们利用了互联网上大量的资源，如：服务器、匿名网络和肉鸡等，通过完善的上网规范，可以从一定程度上遏制这些资源的存在，以进化整个网络的环境，形成良好的秩序。

3.4 从教育引导上，要强化宣传教育，引导网民树立良好的互联网纪律意识，从思想上遏制网络穿透行为的发生。当前有人利用网络穿透技术，进行一些非法行为，如：传播非法言论、盗版软件和色情暴力电影等，对该非法行为的违法之处还认识不深，警示不够。要从网民的思想教育上抓起，树立在互联网上什么能做，什么不能做的意识，并警示如果违反，将受到制度和法律的惩罚。养成良好的思想意识，这样才能减少网络穿透非法行为的发生，从而保证企业和政府的网络安全。

4 结束语

随着计算机技术的普及，在互联网中网络穿透不断发生，通过网络穿透，不法分子可以达到大肆造谣、非法传播和数据窃取等目的，直接危害网络信息安全。本文简介了当前主要防护设备，即：防火墙和入侵检测系统，接着从网络穿透的通信模型、工作原理和关键技术分析了网络穿透技术，给出了网络穿透的通信模型，从欺骗、加密和隐蔽分析网络穿透的工作原理，从六个方面分析网络穿透的关键技术，最后从技术、设备、制度和教育四个方面给出网络穿透技术的防范对策。网络穿透技术与反穿透技术，必将是一个不断对抗和发展的过程，我们应该不断紧盯网络穿透技术的新发展，及时给出反穿透技术，从而保证网络信息安全。

参考文献：

[1]彭乐.网络穿透技术的研究[D].北京：北京邮电大学，2008.

[2]王鲁达，曾凡仔，张澎等.信息共享系统的防火墙穿透技术的研究与实现[J].计算机工程与科学，2008（01）：38-40，44.

[3]肖竞华，胡华.入侵检测技术的分析与研究[J].计算机安全，2009（08）.

[4]RichardTibbs等.防火墙与VPN原理与实践[M].李展等，译.北京：清华大学出版社，2008.

[5]刘超，王轶骏，施勇等.匿名HTTPS隧道木马的研究[J].信息安全与通信保密，2011（12）：78-80.

[6]刘静，裘国永.基于反向连接?HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报（自然科学版），2007（05）：57-59.

[7]Salman A. Baset and Henning Schulzrinne.An Analysis of the Skpe Peer-to-Peer Internet Telephony Protocol.September 15，2004.

[8]Dogan Kesdogan，Mark Borning，and Michael Schmeink.Unobservable Surfing on the World Wide Web：Is Private Information Retrieval an alternative to the MIX[C].//In the Proceedings of Privacy Enhancing Technologies workshop（PET 2002），April 2002.

作者简介：樊波（1982-），男，江苏滨海人，硕士研究生，主要研究方向：信息安全。

防火墙技术的基本原理篇4

【关键词】混合式教学；防火墙原理与技术；网络教学平台；教学改革

0 引言

今天，大多数企业会组建一个私有的计算机网络来互联企业内部的计算机系统，由于企业业务的需要、通讯的需要以及资源共享的需要，这个私有网络常常需要连接到公共网络Internet。而接入公共互联网在带给人们诸多便利的同时，也带来了数据窃取、非授权访问、网络攻击等网络安全问题。为了保护个人和企业的网络安全，通常会部署防火墙，IDS和防病毒系统等以保护其内部网络资源和数据免受外部的恶意攻击。防火墙是保护内网安全的第一道闸门，它是在不同网络（如可信任的企业内部网络和不可信的公共网络）或不同网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出、入口，能根据网络安全策略控制（转发、拒绝）出入网络的信息流。

《防火墙原理与技术》是我校信息安全专业本科生必修课程，同时，也是许多高校信息安全专业必修或选修专业课程。该课程理论知识概念多、涉及面广、实践性也较强。该课程的教学目的是使学生了解防火墙的基本原理、实现技术、开发标准以及应用实例，提高防火墙技术应用水平，提高网络安全意识与安全防护能力。目前该课程广泛采用的是在多媒体教室讲授和计算机机房上机实验相结合的教学模式，在当前的互联网背景下，这种教学模式显然不能满足教学需要，学生感觉上课枯燥无味，不能主动参与，只能被动吸收，久而久之，学生会缺乏主动性、创造性且实践综合应用能力较弱。尝试将“线上”和“线下”相结合的混合式教学模式应用到《防火墙原理与技术》课程的教学中，实现学生利用网络教学平台自主辅助学习和课堂教学相结合的学习模式。实践证明，此教学模式取得了良好的教学效果。

1 混合式教学模式的意义

2004年，何克抗教授首次正式提出混合式教学（B-Learning），所谓混合式教学就是要把面对面教学和网络教学相结合，既要发挥教师引导、启发、监控教学过程的主导作用，又要充分体现学生作为学习过程主体的主动性、积极性与创造性。国际教育技术界普遍认为，只有将面对面教学与网络化教学结合起来，使两者优势互补，才能获得最佳的学习效果。具体地讲，B-learning的优点如下：

1）扩张学习空间和机会

单一的学习方式不可避免地会限制一个学习项目的学习者，比如，课堂教学方式只限于那些可以在固定时间、固定地点参与学习的人，但虚拟课堂却可以使一些远距离的学习者也能参与进去，当传播的知识可以被记录、下载或能重播时，那些不能在某个时间参与学习的学习者就可以在其他时间学习。

2）提高学习效率

混合式教学方式比单一的教学方式能够取得更好的教学效果。斯坦福大学和田纳西大学的研究表明，混合教学策略会提高学习效率，完成相同的学习目标，混合教学只需传统教学时间的50%。实践证明，混合式学习成功的案例有很多，使用混合式学习的学生，学习方式更灵活性，自主性更强，学习兴趣也更浓厚。首先课前在线预习、提出问题，然后面对面进行课堂讲授解惑，最后课后通过录制的课堂视频进行复习，学习效果大幅提高。

3）混合式学习可以平衡和优化学习时间、费用

如果使用纯粹的在线学习，自定步调的学习，或者多媒体软件的学习，这样花费是很庞大的，因为这需要各种技术和资源的支持。并且纯粹的在线学习，学生对于重点、难点内容，理解不够清楚，学习效果不好，学习花费的时间也较长。如果采用混合学习方式，结合面对面的教师指导和自定步调的学习，这样就可以平衡和优化学习所花费的时间与费用。

2 混合式教W模式的探索与实践

所谓混合式教学（Blending Learning），就是要把面对面教学和网络化教学（E-Learning）结合起来，其中，E-Learning内容所占比例为30%～79%。近年来，我校引进了Sakai（赛课）网络教学平台，该平台包括课程资源共享、在线考试、在线作业、在线讨论等多种教学辅助功能，为学生自主学习提供了一个很好的平台。我校的《防火墙原理与技术》课程共安排32学时的教学，其中理论教学24学时，实践教学8学时。下面借助Sakai网络教学平台，以《防火墙原理与技术》课程为例，从面对面教学（课堂教学+实验教学）、网络教学、考核方式三个方面探讨混合式教学的教学内容设计。

图1 河南理工大学Sakai网络教学平台

1）面对面教学（课堂教学+实验教学）

第一部分防火墙基础，安排6学时。主要包括防火墙在网络安全防护中的地位和作用、防火墙定义和功能、防火墙技术、防火墙体系结构、防火墙的局限性和发展等内容。这是学生第一次接触防火墙课程，教学内容切忌枯燥，应通过一些生动的实例来抓住学生的注意力，从而引发学生对该课程的学习兴趣。比如通过古代人用防火墙来防止火势蔓延来引出防火墙的定义，比如通过“棱镜”事件引出防火墙在保护内网安全方面的重要作用。教师在讲授这一部分内容时可多借助图片、音频、视频等多媒体手段突出防火墙在网络安全技术中的重要作用，帮助学生理解防火墙的包过滤技术和技术的区别及优缺点。这部分内容的重点是防火墙的作用及防火墙技术，而难点是防火墙技术，这两方面应作为课堂讲解的必要内容，其他内容教师则可以让学生通过网络教学平台自学研究，只对所提问题进行课堂讲解。

第二部分防火墙标准，安排4学时。主要包括防火墙的功能要求、性能要求、安全要求、保证要求、防火墙的功能测试、性能测试等内容。由于这部分内容涉及到防火墙的各方面标准，如果单纯地依靠课本讲解，就会显得枯燥乏味，学生缺乏兴趣，无法掌握学习重点。在进行此环节时，可以采用更为灵活的方式，例如可以将学生分（下转第72页）（上接第92页）为若干组，教师为每组学生提供相关的参考资料，由学生研究相关内容并进行重点知识的讲解，充分调动学生的主观能动性。这部分内容的重点在防火墙的功能要求、性能要求、防火墙的功能测试，难点是防火墙的功能测试和性能测试，重点和难点内容及学生提出的公共问题，教师必须在课堂上进行讲解。

第三部分防火墙实现，安排8学时。主要包括：Windows平台上个人防火墙实现技术、基于SPI的简单防火墙实现、基于NDIS的简单防火墙实现等内容。这部分内容的特点是实践性比较强，编程量大，只依靠课堂讲解学生很难全部理解，因此应辅以实验教学。我们安排了两次实验：一是Windows平台个人防火墙实现（3学时），二是基于NDIS的简单防火墙实现（3学时）。这部分内容重点是：Windows平台上个人防火墙实现技术，难点是Windows平台上个人防火墙实现技术和基于NDIS的简单防火墙实现，这两部分内容除了课堂上必须讲解，授课教师也应设计相关实验内容上传至网络教学平台，供学生自主学习和实验用。

第四部分防火墙应用，安排6学时。主要包括个人防火墙应用、开源防火墙Linux iptables应用、商业防火墙产品及选购、商业防火墙应用等内容。此部分内容的特点是既包括理论性强的内容，也包含实践性强的相关内容，所以教师在理论教学同时，应同时注意课堂实践操作，帮助学生消化理解。我们安排了一次实验，开源防火墙Linux iptables实验（2学时）以强化理论教学效果。个人防火墙应用、开源防火墙Linux iptables应用既是此部分内容的重点也是难点，应作为课堂教学的主要内容。

2）网络教学

对于课堂上没有讲到的内容或者课堂内容的延伸，可以通过网络教学平台进行辅助教学。课前，授课教师需要将要讲解内容的PPT、资料等上传至网络教学平台，由学生进行自主研究学习。《防火墙原理与技术》这门课知识点多且较零散，学生经常出现课上掌握，课下忘记的现象，因此，教师应把上课的内容录制成视频的形式，通过网络教学平台出去，学生可对课堂上的内容进行巩固与复习。另外，课后思考题、作业等也要上传至网络教学平台。

3）考核方式

考核方式是对一教学过程的教学效果的一种评价方式。传统的教学考核方式以笔试为主，混合教学形式由于综合了多种学习活动，所以考核方式也更为复杂、多样化，既包括考试考核，也包括网络教学平台的相关考核，例如学生网络平台的学习时间、作业完成情况、学习讨论情况等等，均可作为最终成绩的一部分。我们在考核《防火墙原理c技术》课程时，考试成绩占总成绩的50%，实验成绩占20%，网络平台情况占30%，以督促学生加强使用网络教学平台，提高学生自主学习研究的能力。

3 结束语

《防火墙原理与技术》是高校信息安全专业一门重要的专业课，本文针对该课程目前面对面教学模式的缺点，结合本校信息安全专业教学的实际，探讨了基于混合教学模式的课程教学内容的设计。实践证明，应用混合教学模式后，大部分学生的自主学习能力、解决问题的能力及知识应用能力均有明显提高。

【参考文献】

[1]闫玺玺，叶青，汤永利.《现代密码学》课程任务驱动式教学内容的设计[J].科技世界，2016（27）：80-81.

[2]邱斌.基于混合式教学的计算机基础课程应用研究[J].科技世界，2016（27）：118-85.

[3]张歆渝.基于B-Learning的协作性知识建构[D].云南大学，2014，5.

[4]蒋德志.基于网络的混合式教学模式研究[J].青岛远洋船员职业学院学报，2014（4）：34-37.

防火墙技术的基本原理篇5

关键词：计算机；防火墙；安全

中图分类号：TP393.08

1 网络安全

1.1 计算机网络安全介绍

计算机安全通常包括计算机硬件安全和计算机软件安全。从技术的角度分析，计算机安全又可以分为计算机自身安全、计算机运行环境安全和计算机信息安全三部分。

（1）常见的计算机网络安全威胁。服务器攻击、黑客攻击和计算机病毒通常被认为是计算机网络安全的三大主要威胁。首先，服务器攻击它通常有多重方式，比较常见的比如通过“电子邮件炸弹”攻击，让用户服务器短时间内收到大量的邮件，导致用户服务器瘫痪；其次，对于黑客袭击，通常黑客通过各种比较隐蔽的方式和手段对用户进行攻击，从而获取用户的账号和密码或者获取各种非法数据；再次，对于计算机病毒，目前活性计算机病毒已经达到将近20000种，计算机病毒通过入侵计算机网络从而破坏计算机网络安全。

（2）影响网络安全的因素。影响网络安全的因素可以分为两方面，一是单机安全。影响计算机单机安全的因素是多方面的，比如计算机的型号、计算机的运行环境、计算机的操作系统等；二是网络安全，文件携带病毒、数据发送和接收以及节点等都是影响计算机网络安全的重要因素。

2 防火墙概述

2.1 防火墙的原理及分类

（1）包过滤防火墙。所谓包过滤防火墙通过对比接收到的数据包和预先设定的包过滤规则对比，进而确定是否允许通过或者阻断。该过滤防火墙的过滤规则是以通过对比网络层IP包包头信息来确定的。包过滤防火墙是在网络层工作的。相比较而言，包过滤防火墙速度最快，对用户而言比较透明，通过传统的路由器就可以实现。

（2）应用级防火墙。应用级防火墙安全的实现是利用在OSI的最高层对每一个IP包进行检查实现的。技术不同于传统的包过滤技术，技术是在应用层上实现防火墙功能的，通过在防火墙处终止客户连接从而达到保护内部网络的目的。

（3）服务型防火墙。服务型防火墙是在应用网关技术存在不足和数据包过滤存在缺陷的情况下产生的。服务型防火墙的特征是通过把跨越防火墙的所有网络通讯分为两部分。通过两个终止服务器上的“链接”来实现防火墙内外部计算机系统应用层之间的链接。外部计算机的网络链路无法通过服务器。从而实现了型服务防火墙功能。

2.2 防火墙发展趋势

面对新的网络攻击的出现和传统防火墙的各种弊端，新的防火墙技术也应运而生。概括而言，主要体现在以下几个方面：防火墙系统管理、防火墙体系结构和包过滤技术。

（1）防火墙包过滤技术发展趋势。1）安全策略功能。安全策略功能是指一些防火墙厂商或者企业把AAA系统上运用的用户认证和服务引用到防火墙中，从而增加用户角色监管，增加系统安全防护措施。在无线网络中，该功能作用尤为突出，具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证；2）多级过滤技术。多级过滤技术是指通过采用多个级别的过滤措施并结合鉴别手段从而实现防火墙的过滤。多级过滤技术通常分为三级：应用网关级、传输级和分组过滤级。其中应用网关级是通过使用SMTP和FTP协议等来达到对互联网进行监控和检测的目的。和其他级别的过滤技术相比，应用网关级的过滤技术是一种比较综合型的技术，在功能上更加全面；传输级是在依据过滤规则的基础上对所有禁止入和出的有害数据和协议进行过滤，一些有害数据比如圣诞树包、nuke包等；分组过滤级通过对假的IP源地址换个路由分组进行过滤来实现相应安全；3）功能扩展。功能扩展是指对防火墙增加新的功能，比如VPN网络、AAA或者PKI等。通过扩展功能，不但提高了防火墙的功能，而且提高了系统的集成性。当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。

（2）防火墙的体系结构发展趋势。随着网络各种应用的增加和人们对网络速度要求的提升，防火墙必须要能够提升处理速度从而满足人们的需要。未来几年，多媒体应用会越来越普及，它对数据经过防火墙带来的延迟有较高的要求，也就是减少帧缓冲时间，这就要求必须提高防火墙的处理速度。为此，一些防火墙制造商开发了基于网络处理器的防火墙和基于ASIC的防火墙，从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

相比较于以硬件为基础的ASIC防火墙，基于网络处理器的防火墙更多的要依靠软件实现的。因此具有更高的灵活性。而基于ASIC的防火墙由于采用了专门的硬件处理网络。因此，在性能上更加由于前者。但是由于ASIC防火墙由于以纯硬件为基础，很难实现编程功能，这就大大降低了其灵活性。很难满足防火墙快速发展的要求。一个比较合理的解决方法是通过增加ASIC芯片的可编程性，从而提高其与其他人间的兼容性。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

（3）防火墙的系统管理发展趋势。从目前发展来看，未来防火墙系统管理发展主要有三大趋势：网络安全产品将更加系统化，防火墙的自动日志分析功能和审计功能将更加强大。在安全结构和网络安全层次上，将实现分层安全结构和分布式管理以及集中式管理结合的方式。

通过上面对防火墙发展技术的分析，随着黑客入侵技术的提升和用户对网络安全以及网络速度和质量要求的提升，防火墙的发展也有了更高的要求。未来发展中，防火墙技术必须要能更加智能化，更加主动。只有这样，才能真正既满足人们对网络安全方面的需要，又能给用户带来更好的用户体验。

3 结束语

随着互联网发展和人们对网络的依赖的加深，计算机网络安全问题显得尤为重要，本文重点从计算机网络安全威胁、影响计算机网络安全因素以及防火墙基本原理进行了分析，并对目前防火墙发展技术现状进行了分析，对未来防火墙发展趋势进行了展望。

参考文献：

[1]张威，潘小凤.防火墙与入侵检测技术探讨[J].南京工业职业技术学院学报，2008（02）.

[2]王磊.图书馆网络系统安全性分析[J].林区教学，2011（02）.

[3]孔素然.防火墙技术在校园网中的应用[J].大学时代（B版），2006（07）.

[4]王春.防火墙技术的研究[J].新课程（中学），2010（08）.

[5]张新刚，刘妍.浅析防火墙技术及其在高校校园网中的应用[J].教育信息化，2006（09）.

[6]顾晟.基于防火墙技术的网络安全风险评估体系构建策略[J].廊坊师范学院学报（自然科学版），2010（03）.

[7]郑铮.试论家庭网络安全相关技术[J].科教新报（教育科研），2011（24）.

[8]罗莹，陈.网络安全主流技术浅谈[J].宜春学院学报，2007（02）.

防火墙技术的基本原理篇6

本文结合工作实际的维护工作介绍防火墙技术的部分应用，对如何保护各类网络和应用的安全，如何保护信息安全成为了本文探讨的重点。

关键词：bss网、mss网、防火墙

正文

1、 防火墙 简介

通过防火墙的运用，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。。

1.1防火墙功能

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算

机网络，简单的概括就是，对网络进行访问控制。

防火墙是一种计算机硬件和软件的结合，使不同网络之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。

1.2防火墙基本原理

防火墙是指一种将内部网和公众访问网(如Internet)分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络

2、 防火墙种类

从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤

型防火墙）、应用级网关、电路级网关和规则检查防火墙。

2.1网络级防火墙

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。

2.2应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。

2.3电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：服务器（Proxy Server）。

2.4规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。

3、防火墙实际应用

在实际工作中，按照承载业务的不同，某运营商的网络大致可以分为两类。

一是BSS网络，用于承载运营商的计费业务；二是MSS网络，用于满足日常办公的需要；

3.1 网络结构

3.2网络说明

如图3-1所示，BSS网络承载主用IP承载网，一条ATM可以承载办公网，N*2M电路作为MSS网络备用电路，达到了热备和扩容的目的。而且出口的拥塞不会影响MSS网络的使用，保证日常办公正常。

3.3安全域的划分

安全域的划分根据设备的用途、存储数据的重要性等因素，分为五个层级。从0-4安全等级依次递减。划分设备安全等级的原则包括以下几个要点：

存储私密数据，除系统工程师外不允许其他人随意访问的设备安全等级最高；

需要存取数据，又要提供对外接口的设备，安全等级次之；

有互联网出口的网络安全等级更低，如：办公网设备；

公网或VPN接入的设备可信度最低，所以安全等级最低。

3.4核心安全区域划分

3.4.1 核心安全网络图3-3

3.4.2

如图3-3所示，以两对防火墙作为分割线。PIX525以内的主机属于第0级；PIX525和NetScreen 500F之间的主机属于第1级；NetScreen 500F以外BSS网络设备，没有互联网出口，属于第2级；办公网设备属于第3级；通过互联网由VPN接入的设备等级最低，统一归属于第4安全等级。

以两对防火墙作为分割线。PIX525以内的主机属于第0级；PIX525和NetScreen 500F之间的主机属于第1级；NetScreen 500F以外BSS网络设备，没有互联网出口，属于第2级；办公网设备属于第3级；通过互联网由VPN接入的设备等级最低，统一归属于第4安全等级。

3.5地市网络安全域的划分

地市网络可以分为两级，纯生产终端划入高安全区域，办公终端划入低安全区域，中间增加安全隔离设备。注意到这里BSS网络和MSS网络的概念已经被淡化了，我们只是根据重要程度的不同把所有设备置入了不同的安全区域里，再根据业务需要定制访问控制列表。

3.6访问控制列表

参照图3-3所示，我们把最重要的设备至于0级，并为其分配独立的IP地址空间。在安全设备上启用NAT功能（地址映射），对1-4级设备隐藏其真实地址，即0级设备从表象上看是不存在的。并制订严格的访问策略，仅允许指定主机访问特定主机的特定协议端口。默认拒绝一切网络连接请求。

1级设备的访问控制列表是双向的，对内允许特定服务器对特定主机数据库端口的访问；对外允许特定的客户群访问特定的协议端口。

2级设备是指重要性较低的生产设备。此级设备可根据业务需求设定访问控制策略。

3-4级就是办公终端了，因为其能与互联网互通，或者通过互联网接入，所以较易感染病毒或受到攻击。一般仅开放最小的系统访问权限，给预最为严格的认证，和路由控制。

为了更好的保护0-1级设备，我们在接口处设置了入侵检测系统，并对进入0-1级区域的操作进行了审计。审计系统还可以关联系统帐户和访问进程，限制合法的用户只能通过合法的程序操作授权范围内的数据。

4、.部分配置

4.1限制客户端物理位置和设备的功能（即要求软件、硬件VPN产品在使用过程中只能是公司指定的地点、机器和人员）通过访问控制列表来实现。

又比如通过MAC访问列表，限制只有特定物理地址的主机才能接入：

4.2控制访问时间的功能（包括按小时、按天的控制）

结论

防火墙技术的基本原理篇7

摘要：本文根据作者教学实践，讨论了高职开设网络安全技术课程的教学意义，网络安全技术课程的特点，高职网络安全技术课程教学目标定位、知识构成和评价方法，以及适合高职网络安全技术课程的教学方法。

关键词：网络安全技术；教学实践；教学

中图分类号：G642

文献标识码：B

1网络安全技术课程的特点

网络安全技术课程涵盖的内容极为广泛，是计算机、通信、电子、数学、物理、生物、法律、教育、管理等学科交叉而形成的，理论与实际联系密切，新概念、新方法、新技术以及新问题层出不穷。本课程具有以下特点。

(1) 知识内容更新快。

(2) 涉及面广。既涉及与数学相关的密码学理论，也包括了操作系统、防火墙、VPN等应用系统的配置与构建；既涉及病毒的防治，也包括了黑客的攻击；既涉及安全标准，也包括安全管理。

(3) 对先修课程要求较高。学习计算机网络安全技术课程之前，应掌握计算机系统结构、计算机原理、操作系统、数据通信、计算机网络基本原理、程序设计和数论基础等相关课程。比如必须先在计算机网络课程中了解了TCP/IP协议，才能理解网络安全技术课程中利用协议漏洞进行DOS攻击的原理。

(4) 实践性强。比如密码学晦涩难懂的概念，不安排实验实训，不让学生亲手去操作，就永远不能真正理解和运用。防火墙技术只有通过亲手配置和测试，才能领会其工作机理。

2高职网络安全技术课程教学目标定位

对于计算机专业特别是信息安全专业的本科生和研究生，要求深入理解和掌握网络安全技术理论和方法，包括密码学原理、思想和算法，密码体系设计要领和密码算法设计方法，深入理解和掌握安全通信协议与网络安全技术防御系统的构造与实现方法。

而对于高职学生，既不能流于表面而局限于一些泛泛的不够系统的安全知识，也不可能过多地研究深奥的密码学理论的细节。作者认为高职网络安全技术课程教学目标应当定位在了解网络安全技术的基本原理基础上，掌握网络系统的安全性维护和系统的安全构建等实用技能。

3高职网络安全技术课程知识构成

(1) 围绕ISO7498-2安全标准提供的5种安全服务(身份认证、访问控制、数据加密、数据完整性和防止抵赖)制定课程体系。解决身份认证和访问控制问题必须介绍操作系统安全策略、防火墙技术、安全审计与入侵检测以及VPN技术，解决数据加密、数据完整性和防止抵赖必须介绍TCP/IP协议的安全性和密码学知识。

(2)合理筛选具有典型性的实验实训项目，对于整个课程的效果至关重要。课程中设计开发了与实际应用结合最为密切的十几个实验实训项目，其中包括密码学应用类实验，协议分析类实验加密通信协议类实验，访问控制类实验，网络维护与管理类实验，网络攻击类实验等。这些实验并非仅仅演示，很多都能应用到实际工作中，比如基于IIS的SSL安全网络站点配置，完全可以在工作中解决数据安全和身份认证问题。

4高职网络安全技术课程的教学方法

(1) 在理论教学方法上，多利用网络平台和多媒体手段实时演示。

(2) 在教学中根据教学内容的不同，分别采用不同的教学方法，如小组讨论、案例教学、模拟实训、启发式教学等。比如，在学习网络防火墙时，事先布置学生到网上查找5种以上的防火墙产品的主要性能指标和参考价格等数据，然后在课堂上进行小组讨论。再比如在学习密码体制时，学生对于传统密码体制和公钥密码体制的概念经常混淆，对此笔者启发学生对两者在密钥数量、密钥的产生方、运算速度和适用范围等方面进行比较，取得较好效果。除了实验以外，该课程的有关内容如黑客入侵与检测等还可进行模拟实训，效果良好。

(3) 改革实验教学模式，使用操作课件。

5高职网络安全技术课程考评方法

考评制度，在很大程度上左右着学生的学习态度，特别是自控能力较差的学生。在传统的教学模式中，本课程一般都应用期末闭卷理论化笔试，总评成绩以期末考试成绩为主。这容易导致学生平时不认真学习，不认真做实验，期末死记硬背搞突击。对以上缺点，我院进行了以下考评制度改革：(1)平时上课考勤，课业练习等都登记评分，老师最终根据学生出勤率以及作业完成情况给出平时成绩，平时成绩按10%记入总评成绩；(2)对于基础选做实验，指导老师都要写评语、打分，实验平均成绩按20%总评成绩；(3)对于综合实验或课程设计，则按30%记入总评；(4)期末考试成绩按40%计入总评成绩。通过以上多种方式、多个角度的考核，许多学生改变了平时懒懒散散、期末临时抱佛脚的不良学习习惯，同时也使学生改变了只重视理论学习，不重视实践能力的情况，全面检查了学生的综合素质，避免了高分低能。

6结论

本文是作者网络安全技术教学实践的一些体会和总结，实践证明，在当前高职生源质量较差的情况下，成效是显著的。

参考文献：

[1] 杨诚，尹少平.网络安全基础教程与实训[M].北京大学出版社，2005.

[2] 宋虹等．信息安全学科专业课程教学中资源整合的研究[J]．北京电子科技学院学报，2006，14(1):20-22．

防火墙技术的基本原理篇8

关键词：网络安全；防火墙；技术特征

随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性共享性、互连程度也随着扩大。政府上网工程的启动和实施，电子商务、电子货币、网上银行等网络新业务的兴起和发展，使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。

一、防火墙的概念与目的

只要用过计算机的人就应该知道，这里说的防火墙不是真的用来防火的墙，而是网络与网络之间的一种防御系统。是用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

在互联网上防火墙服务于多个目的：1、限定访问控制点2、防止侵入者侵入3、限定离开控制点4、有效地阻止破坏者对计算机系统进行破坏。

二、防火墙的主要技术

虽然从理论上看，防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。防火墙的主要技术有: 数据包过滤, 应用网关和服务等。

1、包过滤技术

包过滤技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP