一種安全聯動防火墻系統(tǒng)的設計和研究.pdf

1、21世紀，計算機網絡的飛速發(fā)展已經大大地改變了我們的生活方式，人類進入了信息時代。通過計算機網絡，我們可以很方便地存儲、交換以及搜索信息，給人們的工作、生活以及娛樂帶來了極大的方便。然而，由于TCP／IP協(xié)議族潛在的安全漏洞和安全機制不健全，Internet上的黑客趁機而入，非法進入企業(yè)的內部網，并存取、破壞、竊聽數據。這樣使信息安全問題變得越來越重要，如何保護企業(yè)內部網絡中的資源及信息不受外部攻擊者的肆意破壞或竊取，是網絡安全需要解決

2、的重要問題。這些安全問題對計算機網絡的使用造成不小的影響，這些影響體現在個人生活、商務往來、經濟活動，甚至政治和軍事方面。計算機網絡安全就是為了克服這些安全問題，使計算機網絡的使用更有保障而誕生和發(fā)展起來的。由于其重要性，計算機網絡安全已經受到人們的極大關注，網絡安全正成為一個發(fā)展非常迅速的領域。在很短的時間內，各種網絡安全技術紛紛問世并在不斷地發(fā)展。 防火墻就是保護網絡安全最主要的手段之一，它是設置在被保護網絡與外部網絡之間的

3、一道屏障，以防止不可預測的、潛在的、破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況，以此來實現對內部網絡的安全保護。 防火墻已經被用戶普遍接受，而且正成為一個主要的網絡安全設備。防火墻圈定一個保護的范圍，并假定防火墻是唯一的出口，然后防火墻來決定是放行還是封鎖進出的包。傳統(tǒng)的防火墻有一個重大的理論假設，如果防火墻拒絕某些數據包的通過，則一定是安全的，因為該些包已經被丟棄。

4、但實際上防火墻并不保證準許通過的數據包是安全的，防火墻無法判斷一個正常服務的數據包和一個惡意的數據包有什么不同，因此要求管理員來保證該包是安全的。管理員必須告訴防火墻準許通過什么，既然管理員說必須通過，那么防火墻依據你設置的規(guī)則來準許該包通過，這樣管理員則必須承擔策略錯誤的安全責任。然而，傳統(tǒng)防火墻的這種假設對網絡安全是不恰當的，安全效果也不好。把安全責任交給安全管理員，實際上就沒有解決安全問題。新一代的防火墻應該加強放行數據的安全性，