《2022年防火墙技术原理及其在校园网中的应用方案设计 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙技术原理及其在校园网中的应用方案设计 .pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络与信息管理课程论文通信 3G 二班李项京2011年 11月 29号名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 11 页 - - - - - - - - - 防火墙技术原理及其在校园网中的应用方案设计摘要:详细介绍了防火墙的原理和实现方法,结合实际从校园防火墙的设计方案中论证防火墙在校园网中的应用的必要性。关键词 :防火墙,校园网防火墙设计一、引言 :1、网络安全分析互联网的发展已经深入到社会生活的各个方面。对个人而言,互联网改变了人们的生活方式; 对企业而言,互联
2、网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。互联网设计之初, 只考虑到相互的兼容和互通, 并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150 亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料, 近期每年中国破获电脑黑客案件数百起,利用计算机网络进行的各类违法行为在中国以每年30的速度递增。 与计算机病毒相类似,黑客攻击方法
3、的种类不断增加,总数已达近千种。那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点:黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20 多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。 加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好, “杀伤力”强的特点, 构成了网络安全的主要威胁。网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考
4、虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题, 故缺乏应有的安全机制。 因此它在控制不可信连接、 分辨非法访问、 辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 11 页 - - - - - - - - - 软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统, 无论是Windows还是 UNIX 几乎都存在或多或少
5、的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一。正因为如此,针对以上的各种不安全因素, 防火墙作为信息安全的门户,就应运而生了。2、防火墙在网络安全中的应用随着计算机技术和通讯技术的迅速发展, 网络正逐步改变着人们的工作方式和生活方式 , 成为当今社会发展的一个主题。随着网络的开放性、互连性、共享性程度的扩大 , 特别是 Internet 的出现 , 使网络的重要性和对社会的影响也越来越大 , 网络安全问题也变得越来越重要。 一般来说 , 保护网络安全的主要技术有
6、防火墙技术、加密技术、入侵检测技术、身份认证技术等。通过这些技术的综合使用 , 能够有效地解决网络所面临的安全威胁。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术。 在构建安全网络环境的过程中, 防火墙作为第一道安全防线, 正受到越来越多用户的关注。公司和高校一般通过安装防火墙来保护网络安全, 利用防火墙技术 , 经过仔细、正确地配置 , 通常能够在公司内、 外部网之间提供安全的网络保护, 降低网络安全风险。从一定意义上讲,防火墙实际上就是一种被动式防御的访问控制技术。“防火墙”或 “防火墙系统”是一类防范措施的总称, 是指在 Intranet和 Internet之间插入一个中介系
7、统, 阻断来自外部通过网络对内部网的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。在一个没有防火墙的环境里, 网络的安全性只能体现为每一个主机的功能,在某种意义上, 所有主机必须通力合作, 才能达到较高程度、均匀一致的安全性。 网络越大,这种较高程度的安全性就越难管理。二、研究现状及设计目标1、 防火墙的基本类型和工作原理从技术上看 , 防火墙有四种基本类型。(1) 包过滤型防火墙 Packet Filter Firewall) 包过滤型防火墙 , 也称网络层防火墙 , 是在网络层对数据进行选择 , 选择的依据是系统内设置的过滤逻辑 , 被称为访问控制表 (Access Control T
8、able)。该技术通过检查数据流中的每个数据包的源地址、目标地址、 源端口、目的端口及协议状态 , 或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上 , 其优点是逻辑简单、 价格便宜、易于安装和使用 , 网络性能和透明性好 , 但它缺乏用户日志 (log) 和审计信息 (audit),缺乏用户认证机制 , 不具备登录和报告性能 , 不能进行审核管理 , 且过滤规则的完备性难以得到检验 ,复杂过滤规则的管理很困难 , 因此安全性较差。(2)应用级网关防火墙 ( Application Level Gateways Firewall) 名师资料总结 - - -精品资料欢迎下载
9、- - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 11 页 - - - - - - - - - 应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑 , 并在过滤的同时 , 对数据进行必要的分析、 登记和统计 , 形成报告。实际中的应用网关通常安装在专用工作站系统上。由于该技术工作于应用层 , 因此具有高层应用数据或协议的理解能力。然而由于它与包过滤技术一样使用了过滤的机制 , 因此仍然保留了让防火墙外部网络直接了解内部网络结构和运行状态的可能。(3)代理服务器型防火
10、墙 ( Proxy Service Firewall) 代理服务器型防火墙也称应用层防火墙 , 作用于应用层。 其核心是运行于防火墙主机上的代理服务器进程 , 它代替网络用户完成特定的 TCP/ IP 功能。一个代理服务器上实际是一个为特定网络应用而连接两个网络的网关。对于每一种不同的应用服务 , 都必须有一个相应的代理。 外部网络和内部网络之间要建立连接 , 必须通过代理的中间转换 , 内部网络只接受代理服务提出的服务请求 , 拒绝外部网络的直接连接。这种防火墙的优点是它能完全控制通信双方的会话过程 , 具有用户级的身份验证、 日志管理和帐号管理功能 , 提供了比过滤路由器更为严格的安全性
11、, 但可能影响网络的性能 , 对用户不透明 , 且对每一种服务器都要设计一个代理模块 , 建立对应的网关层 , 实现起来比较复杂。(4)混合型防火墙 (Hybrid Firewall) 混合型防火墙把过滤和代理服务等功能结合起来,形成新的防火墙,所用主机称为堡垒主机,负责代理服务。各种类型的防火墙各有其优缺点。当前的防火墙产品已不是单一的过滤型或代理服务器型防火墙,而是将各种安全技术结合起来 ,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。2、防火墙技术的局限性防火墙技术作为目前用来实现网络安全的一种手段 , 主要是用来拒绝未经授权的用户访问 , 阻止未经授权的用户存取敏感数据 ,
12、同时允许合法用户不受妨碍地访问网络资源 , 如果使用得当 , 可以在很大程度上提高网络安全性能 , 但是并不能百分之百解决网络上的信息安全问题。正所谓“没有绝对的安全 , 只有绝对的不安全”防火墙因其本身采取的安全策略而不可避免的局限性: 由于防火墙是基于“允许”或 “限制”数据流通 , 它的通信性能与其安全性之间是一对矛盾 ,要提其高安全性势必降低防火墙的性能, 反之, 提高它的性能就一定会降低防火墙的安全性。防火墙主要作基于数据包的控制信息的检测 , 不作基于内容的检测 , 因此各种防火墙都存在不同程度的安全脆弱点。现实网络环境中存在着一些防火墙不能防范的安全威胁: 如不能防范不经过防火墙
13、的攻击 , 防火墙不能防范来自网络内部的攻击行为; 也不能防止因管理员配置不当或错误配置引起的安全威胁; 无法防止绕过防火墙的攻击; 无法防止自然灾害、 意外事故、 人为破坏的行为、及内部泄密等 ; 无法防止利用标准网络协议中的缺陷、服务器系统漏洞等进行的攻击。目前 , 防火墙对病毒的防范能力还比较低。另外 , 如果允许从受保护的网络内部向外拨号 , 一些用户就可能形成与 Internet 的直接连接 , 如果这些访问中存在着非法连接和入侵访问 , 防火墙对此无能为力。总之 , 防火墙有效地保证了内部网络的安全 , 但防火墙并不是绝对的安全防护手段 , 不同的防火墙系统在设计和实现上均存在安全
14、漏洞。对防火墙的安全局限性分析 , 是为了更好地利用防火墙来保护网络安全 , 要想获得更高级别的网络安全 , 我们必须全面分析防火墙自身的安全弱点。从防火墙的原理及体系结名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 11 页 - - - - - - - - - 构上分析 , 代理防火墙的安全性较高 , 突破难度较大。3、 设计目标: 构建校园网防火墙在网络信息技术高度发展的今天,随着校园网络内部和外部互联网应用环境的日趋复杂, 学校对网络安全的重视程度也早已今非昔比。目
15、前校园网络面临的安全挑战有:1) 学生对网上的各类黑客攻击软件充满好奇心,不时对自己的校园网络发起试探性攻击,从而造成网络服务器经常宕机网络管理人员总在疲于应付系统的恢复工作。2) 由于财务等敏感服务器上存有大量重要数据库和文件因担心安全性问题,不得不与校园网络物理隔离,使得应用软件不能发挥真正作用。3) 主服务器上存有很多敏感文档,用户密码又经常泄露导致“泄密”事件时有发生。4) 部分人员网上炒股、聊天、在线游戏,甚至经常浏览黄色、法轮功站点。5) 经常有人大量下载网上数据,使得网速极慢。6) 传统的边界防火墙无法保护每一台服务器不被攻击。三、系统实现和流程1、建立校园网拓扑结构我校有师生一
16、万多人, 分本部、东、 北三个校区,本部与北校区之间距离38KM ,各校区以网络中心为中心的从60 米到 1000 米的地理范围内,包括成人教育学院、热管系、机电系、艺术系、外国系、财经系、图书馆、办公楼等单位,各单位内部形成局域网并接入校园网骨干网络,通过校园网接入教育网和Internet,满足教学、资料检索、办公自动化等要求。另外拟将学生宿舍组建成局域网,并通过铁通宽带网络统一接入Internet,并建立学生网络管理中心,对网络进行管理。通过对以上信息及学校规模人力等各方面因素的综合分析,整个校园网采用层次化网络拓扑结构,校园网结构在逻辑上可分为三层,即核心层、汇聚层和接入层。(1)、核心
17、层核心层的功能主要是实现骨干网络之间的优化传输, 骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。两台核心路由交换机实现双机热备份,更好的保证了核心交换机系统的安全。为下两层提供优化的数据输运功能,它是一个高速的交换骨干。采用 L3 层千兆以太网交换技术。骨干层由二个核心节点及其它骨干节点组成,在各骨干节点设置性能与之相适应的L3 层以太网交换机作为校园网的骨干交换机。 各骨干层节点之间通过“多模光纤” 相连,相邻两点之间形成两条全双工千兆以太网链路。(2)、汇聚层利用 L3 层 1000M 快速以太网交换技术, 在楼宇间通过 “ 多模光纤 ”
18、将网络从各骨干层节点延伸至各教学楼、办公楼、学生宿舍区和教工住宅区,或者在较大的楼宇内通过超 5 类线缆将网络从各骨干层节点延伸至同楼内的各个部门,从而形成校园网络的汇聚层。在汇聚层节点部署1000M 或 100M以太网交换机作为部门交换机。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 11 页 - - - - - - - - - (3)、接入层接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整,如访问列表过滤等。在园区网络环境中,接入层主
19、要提供如下功能:带宽共享,交换带宽,MAC 层过滤,网段微分。通过在楼宇间使用 “ 多模光纤 ” 或者在楼宇内使用超5 类线缆,将网络从各分布层节点延伸至部署在楼宇、 楼层或者单元的 1000M 或 100M 交换机,形成校园网络的接入层。2、构建防火墙体系结构经分析,校园网防火墙应构建屏蔽子网体系结构,屏蔽子网体系结构在屏蔽主机体系结构基础上 , 添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上 , 周边网络和内部网络被内部路由器分开。这样做是因为堡垒主机是用户网络上最容易受侵袭的机器。 通过在周边网络上隔离堡垒主机 , 能减少在堡垒主机被侵入的影响。 这种体系结构能限制来自外部的存
20、取 , 对堡垒主机的攻击不影响内部网。堡垒主机与分组过滤路由组合成较强功能的防火墙( 如图 6) 。堡垒主机指的是企业中暴露给 Internet 从而受到 Internet 攻击的机器 , 它容易受到攻击 , 所以需要加强对它的安全保护措施来防止对它的攻击。堡垒主机通常是防火墙的一个构件。这种体系结构的结构最复杂 , 功能也最为强大。图 6 防火墙网络管理第一步:和客户沟通了解客户的网络状况, 包括客户端数量、 服务器数量和种类、网络骨干交换设备、网络边界设备、网络接入情况等等。第二步:确定防火墙的工作模式:路由/NAT、透明、混合第三步:基础配置,包括接口地址、默认路由、回指路由、对象定义、
21、服务定义等等第四步:测试整个物理链路是分正常,就是内网到外网的路由是否正常的第五步:开始配置安全策略,按照方向建一条策略:内到外,将地址对象、服务对象和时间对象等等引用在这条策略里面,建议先将策略配置成全通, 测试没有问题以后再细化策略。第六步:默认策略的问题, 一般的防火墙默认是全部禁止的,在此基础上有限的开放部分策略。许多的客户使用防火墙的时候就只有一条策略:any any any 这样其实防火墙是形同虚设的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 11 页
22、- - - - - - - - - 第七步:防火墙策略配置时是遵循第一匹配原则的,就是在前面的策略先执行,范围大的对象包含范围小的对象,这一点是最容易犯的错误。第八步 :防火墙纪录日志选项要打开,还需要配置一些附加功能,如防攻击配置、流量管理配置等等。不要忘记将防火墙的配置保存下来。2.1 防火墙安全策略在分布式防火墙系统中, 一套合理完善的策略管理体系是先进的策略管理思想得以实现的关键。图2 列出了我们设计的策略管理系统的结构。图 7 策略管理系统结构管理员用户接口为管理员提供图形化的策略管理界面,使管理员可以很方便的定义和配置策略, 定义好的策略通过策略服务存储在策略数据库中,也可以通过策
23、略服务浏览策略的相关属性信息,对策略进行管理。 管理员还可以通过此用户接口管理域成员, 浏览域成员的信息, 新增的域成员直接存储在域成员数据库中。策略服务管理所有对存储在策略数据库中的策略的访问。另外,策略服务还要为每一条策略创建一个策略控制对象(PCO )。策略控制对象完成策略分发和策略生 存期管理。它负责维护一张应用此策略的域成员列表,通过检索策略数据库和域成员数据库把策略实例化,把策略转变成防火墙可以直接实施的规则,形成规则文件,然后将其分发给所有应用此策略的防火墙。策略控制对象还可对防火墙中的策略进行生存期管理,执行激活和停止操作, 使防火墙中的策略有效和无效。主机防火墙和网络防火墙就
24、是上述策略管理模型中策略实施点的实现机制,它们负责实施策略管理中心为其配置的策略,对网络中的主机进行安全防护。2.2. 策略管理方案针对由直接为防火墙配置策略所带来的问题,我们采用这样的方案: 根据受防护主机的组织结构将其划分为不同的域,利用域的优点来优化系统的策略管理; 实施层次化的管理使上层域的策略在下层域中得到体现并得到下层域的遵守,从而使策略在作用过程中达到统一性,减少策略冲突的可能。受防护主机基于域的管理根据现实应用中各部门之间的组织关系将网络中受防护主机划分为不同的域。域内有两种类型的成员,一种是非域成员,即主机防火墙或网络防火墙;另一种就是子域成员,子域是对域内成员进行更精细的划
25、分,体现了域的层次性。基于域的方法有两点好处:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 11 页 - - - - - - - - - (1)应用于一个域的策略会自动应用到域中的所有对象和子域,因此将应用到大量的对象上,提供可扩展性; (2)当新对象从系统中添加或删除时,他们能够简单的被相关的域添加或删除,而不需要改变策略或人工管理策略与策略应用对象之间的关联。层次化策略管理域的限制条件是策略管理中心在为此域进行策略配置时必须遵守的约束,由策略管理中心负责维护, 它在
26、形式上和策略规则的形式完全相同,它只能应用于本域,约 束本级域的策略配置, 不能像域的策略一样应用于它的子域。将受保护主机划分为不同的域, 简化了策略管理。 当策略应用到非域成员主机防火墙和网络防火墙时,策略转变成防火墙具体执行的规则, 如果策略中的规则的主体或客体是域, 则必须通过检索域成员数据库,明确与此防火墙相关的规则,然后实例化。这样一条主体或客体是域的策略就可以实例化成一系列防火墙可以执行 的主机规则;如果策略中的规则是主机规则就直接应用。在应用策略的过程中,防火墙只应用与其相关的规则,再由主机规则形成规则文件。在为域配置策略时,策略管理中心负责检查此策略是否符合限制条件的约束。 检
27、查策略的每一条规则的各种属性值是否在限制条件的各对应属性值的范围之内,如果全部都在其对应范围之内,该规则就可获检查通过,只有策略的所有规则都检查通过了,此策略才能配置给此域。顶层域配置的策略是全局性的策略, 是整个企业网络范围内必须遵守的基本的策略,反映了企业网基本的安全需求,它在配置的时候不受限制条件的约束。子域对父域策略的此种应用方式是分布式防火墙策略管理系统中层次化策略管理的核心体现。 这样也使策略管理中心为顶层域到底层域配置的一系列相关的策略从形式上都更加具体。层次化策略管理使策略的统一性得到实现,同时,减少了策略冲突的可能。策略的安全分发策略控制对象 (PCO )可将一条激活的策略经
28、由安全信道分发给应用此策略的所有防火墙。 为了使安全策略中心能主动实时控制策略,我们采“推”模式来分发 策略。当策略管理中心改变策略后,它要把策略“推”给网络防火墙和主机防火墙。主机在登录网络启动防火墙时,便向策略管理中心申请策略, 完成认证后,策略管理中心查询策略数据库,实例化策略, 把此防火墙的规则以文件形式“推”给它。主机端必须验证规则文件的完整性。3、防火墙系统软件的配置3.1 服务的配置A1Telnet: 外出的 Telnet(outing Telnet) 可通过包过滤来提供 ; 完全关闭进来的 Telnet(incom ingTelnet)。B1FTP: 我们使用包过滤和代理服务。
29、采用像T IS FW TK ftp- gw 代理服务器 , 这样, 包过滤方式将允许如下的TCP 连接: 它们是来自堡垒主机的大于 1023 的端口 , 并到达内部主机的大于 1023 的端口 ; 以及来自外部主机的端口20, 到达堡垒主机的大于1023 的端口。C1SM TP: 分三步建立 SM TP 。(1) 发布 DNSMX 记录, 将站点的进入邮件引导到堡垒主机。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 11 页 - - - - - - - - - (2)
30、配置内部计算机 , 将外出邮件引导到堡垒主机。(3) 配置堡垒主机 , 将所有进入邮件传递到一台单一的内部邮件服务器上, 并将外出邮件直接传递到目的地的计算机上。D1NNTP: 允许 NNTP 服务提供商能直接与内部U senet 新闻主机交谈。E1HTTP: 我们要通过运行在堡垒主机上的CERN 代理服务器 , 来向内部客户提供 HTTP 服务。F1DNS: 假定堡垒主机上的DNS 服务器是我们的域中的备份服务(Secondary Server), 主服务器在一台内部主机上。不隐藏它的任何DNS 信息。2 包过滤规则的配置配置包过滤系统应具有下面的能力: (1) 能够分开进来的和外出的包。(
31、2) 能够按照源地址、目的地址、包类型、源端口、目的端口进行过滤。(3) 不管是否设定了 ACK 位, 都能进行过滤。(4) 可按照列出的次序来运用规则。3 其他配置A1 内部机器上配置电子邮件。B1 内部邮件服务器上按装来自T IS FW TK 的 smap 和 smapd 程序。C1 在内部名域服务器上为每一个A 记录放入一条 MX 记录。D1 在堡垒主机上做所有标准堡垒主机的配置工作。3.2 防火墙系统软件的管理1 防止 IP 地址欺骗和盗用对网络内部人员访问 INTERNET 进行一定限制 , 在连续内部网络的端口接收数据包时进行 IP 地址和以太网物理地址检查 , 盗用 IP 地址的
32、数据包将被丢弃 , 并记录有关信息 : 在连接 INTERNET端接收数据时 , 如从外部网络收到一段假冒内部 IP 地址发出的报文 , 也应将其丢弃 , 并记录有关信息。2 对非法访问的动态禁止一旦获得某个 IP 地址的访问是非法的 , 应立即更改路由器中的存取控制列表 , 禁止其对外的非法访问。先在路由器和校园网连接的以太口预设控制组102 , 然后过滤掉来自非法地址的所有 IP 包 , 实现对路由器进行动态配置。3.3 防火墙测试防火墙能否起到防护作用, 最根本、 最有效的证明方法是对其进行测试,甚至采用各种手段对防火墙进行模拟攻击,以保证测试的全面性与有效性。1 防火墙开发阶段的测试同
33、其它软件产品一样,防火墙在设计过程中也要进行单元测试、组装测试、系统测试。 由于防火墙是维护系统安全的产品,本身担负着安全的重任, 因此其自身的安全性至关重要。 在防火墙运行之前, 每个模块都要进行初始化, 即每个模块都要进行数字签名, 保证模块没被修改过。 模块在调入内存之后模块还要进行自身完整性测试, 保证在装载过程中没有被修改。 自身完整性检测主要用于检验对象的完整性,即该对象是否被修改过。2 防火墙产品阶段的测试防火墙产品的测试主要包括以下内容:防火墙的功能测试、 防火墙的性能测试、防火墙的抗攻击能力测试、管理测试等。3 产品认证阶段的测试名师资料总结 - - -精品资料欢迎下载 -
34、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 11 页 - - - - - - - - - 如果合格的防火墙产品希望进行认证,还要送交国家信息安全测评中心授权的部门进行认证。认证测试主要包括功能测试、性能测试、安全性测试、协议一致性测试、 渗透性测试等, 如果测试结果符合有关标准和规范的要求,则予以认证。其中,安全测试是整个测评认证体系中一切测试活动的核心内容。四、结束语防火墙技术目前是使用最为广泛的网络安全产品之一,也是信息安全领域最成熟的产品之一, 在网络信息技术高度发展的今天,随着校园网络内部和外部互联网应用
35、环境的日趋复杂, 学校对网络安全的重视程度也早已今非昔比。本论文正是针对学校网络对防火墙技术的需要,从实际出发设计了校园网防火墙体系。提高了校园防火墙的防御能力并保证在局域网内安全高速的运行的需要。参考文献1 张学工 . 统计理论学习的本质 M. 北京: 清华大学出版社 ,2000. 128-130 2 张军. 用于图像认证的基于神经网络的水印技术J. 计算机辅助设计与图形学学报 ,2003,15(3):307 312. 3 查贵庭 . 邮件服务器的安全解决方案J.软件世界 ,2001,(1):92293,96. 4 高峰, 卢尚琼 . 分布式防火墙与校园网络安全J.计算机应用研究,2003,
36、20(1):77281. 5 熊桂喜 , 王小虎 . 计算机网络 M.北京: 清华大学出版社 ,1998. 6 李扬, 李援南 , 闫慧娟 , 等译. 组网建网 :Cisco 路由器配置与故障排除M.北京:电子工业出版社 ,2000. 7 蒋义, 吴建平 . 网络路由环路检测算法研究J. 计算机与网络 ,2002,(15). 8 胡道元 .Internet 网络技术及应用 M 北京: 清华大学出版社 ,1998.1 9 张晔, 刘玉莎 . 防火墙技术的研究与探讨J. 计算机系统应用 1999,(9). 10 李海泉 . 计算机网络防火墙的体系结构J 微型机与应用 ,2000,(1). http:/ http:/ http:/ http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 11 页 - - - - - - - - - 2011 年 11 月 29 号名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 11 页 - - - - - - - - -