freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

畢業(yè)設計-基于防火墻技術的網(wǎng)絡安全(參考版)

2024-12-06 13:56本頁面
  

【正文】 感謝所有對我學業(yè)、生活上的支持和鼓勵,感謝所有關心幫助過我的人。讓我們共同努力創(chuàng)造更好的明天。論文的字里行間無不凝結著老師的悉心指導和 教海,老師淵博的學識和嚴謹?shù)闹螌W態(tài)度給我留下了深刻的印象,我從他那里學到的不僅僅是專業(yè)知識,更重要的是嚴謹?shù)闹螌W態(tài)度、對事業(yè)忘我的追求、高度的使命感、責任感及和藹熱情的品質和做人的道理,這些將使我受益一生,并將激勵我不斷向前奮進。 參考文獻 胡道元 .閔京華 .網(wǎng)絡安全(第二版) 艾軍 .防火墻體系結構及功能分析 孟濤、楊磊 .防火墻和安全審計 鄭林,防火墻原理入門 魏華,防火墻技術及其性能研究 李劍,分布式防火墻系統(tǒng) 朱衛(wèi)未 .防火墻技術分析 畢業(yè)論文 32 王永綱,網(wǎng)絡包分類算法仿真測試與比較研究 邵華鋼,基于空間分解技術的多維數(shù)據(jù)包分類 付歌,一個快速的二維數(shù)據(jù)包分類算法 王興軍 .基于空間分解的數(shù)據(jù)包分類技術 胡熠峰 .一種用于大規(guī)模規(guī)則庫的快速包分類算法 .計算機工程 致謝 本文在無論在選題還 是研究過程中都得到南楠老師的悉心指導,從文獻的查閱、論文的選題、撰寫、修改、定稿,我的每一個進步都和李老師的關注與指導畢業(yè)論文 33 密不可分。 防火墻目的在于為用戶提供信息的保密,認證和完整性保護機制,使網(wǎng)絡中畢業(yè)論文 31 的服務,數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。新型防火墻技術產生 ,就是為了解決來自企業(yè)網(wǎng)絡內和外的攻擊 。防火墻技術只有不斷向主動型和智能型等方向發(fā)展,才能更好的滿足人們對防火墻技術日益增長畢業(yè)論文 30 的需求。這樣的防火墻就可以同時 滿足來自靈活性和運行性能的要求。但是純硬件的 ASIC 防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。 與基于 ASIC 的純硬件防火墻相比,基于網(wǎng)絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。為了滿足這種需要,一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡處理器的防火墻。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。擁有病毒防護功能的防火墻可以大大減少公司的損失。有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還是在個人防火墻中體現(xiàn),因為它是純軟件形式,更容易 實現(xiàn)。 這種過濾技術在分層上非常清楚,每種過濾技術對應 于不同的網(wǎng)絡層,從這個概念出發(fā),又有很多內容可以擴展,為將來的防火墻技術發(fā)展打下基礎。在分組過濾 (網(wǎng)絡層 )一級,過濾掉所有的源路由分組和假冒的 IP 源地址;在傳輸層一級,遵循過濾規(guī)則,過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等;在應用網(wǎng)關 (應用層 )一級,能利用 FTP、 SMTP 等各種網(wǎng)關,控制和監(jiān)測 Inter 提供的所用通用服務。用戶身份驗證功能越強,它的安全級別越高,但它給網(wǎng)絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶 身份驗證。該功能在無線網(wǎng)絡應用中非常必要。此外,防火墻產品還將把網(wǎng)絡前沿技術,如 Web 頁面超高速緩存、虛擬網(wǎng)絡和帶寬管理等與其自身結合起來。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。校園網(wǎng)防火墻結構圖的例子如下所示。它可只經(jīng)過路由器的簡單防護。然后再利用防火墻與需要保護的內部網(wǎng)絡連接。 校園網(wǎng)防火墻結構 在網(wǎng)絡拓撲結構上校園網(wǎng)可以有兩種選擇,這主要根據(jù)其擁有的網(wǎng)絡設備情況而定。一旦你安裝防火墻后,你需要打開一些必要的端口 來使防火墻內的用戶在通過驗證之后可以訪問系統(tǒng)。 2.允許所有的流量,這種情況需要你特殊指定要拒絕的流量的類型。 6.允許通過配置網(wǎng)卡對防火墻設置,提高防火墻管理安全性。 4.在局域網(wǎng)的入口架設千兆防火墻,并實現(xiàn) VNP 的功能,在校園網(wǎng)絡入口處建立第一層的安 全屏障, VPN 保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。過濾掉以非法 IP地址離開內部網(wǎng)絡的 IP包,畢業(yè)論文 26 防止內部網(wǎng)絡發(fā)起的對外攻擊??傮w上遵從“不被允許的服務就是被禁止”的原則。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。 校園網(wǎng)防火墻部署 防火墻是網(wǎng)絡安全的屏障。校園網(wǎng)通過不同的專線分別接入了教育網(wǎng)、電信網(wǎng)和黨政網(wǎng)。 圖 應用防火墻配置示意圖 畢業(yè)論文 25 第四章 防火墻技術在校園網(wǎng)中的應用 隨著計算機網(wǎng)絡的深入發(fā)展,高校信息化進程的推進,學院校園網(wǎng)網(wǎng)上上運行的應用系統(tǒng)越來越多,信息系統(tǒng)變得越來越龐大和復雜。應該指出的是,在建立雙宿主主機時,畢業(yè)論文 24 應該關閉操作系統(tǒng)的路由能力,否則從一 塊網(wǎng)卡到另一塊網(wǎng)卡的通信會繞過代理服務器軟件,而使雙宿主網(wǎng)關失去“防火”作用。雙宿主網(wǎng)關用一個代理服務器,雙宿主主機是一臺有兩塊接口卡的計算機,每塊接口卡有一個 IP 地址,如圖 所示。 6. 如果一個分組不滿足任何規(guī)則,則該分組被阻塞。 4. 如果一條規(guī)則阻塞傳遞或接收一個分組,則不允許該分組通過。 3. 分組過濾規(guī)則按一定的順序存貯。 2. 當一個分組到達過濾端口時,將對該分組的頭部進行分析。建立合理的防護系統(tǒng),配置有效的防火墻主要應遵循以下下 4 個基本步驟: 1.需求分析; 2.風險分析; 3.選擇準確 的防護手段,并使之與安全政策保持一致 ; 4.確立安全政策 。如果防火墻允許任何協(xié)議通過的話,內部人員很容易攻破防火墻。必須清楚誰會對網(wǎng)絡構成威脅。當然特定的一些機器除外,這種機器的安全是被嚴格保證的。同時,也得保證防火墻外的機器能夠訪問相應的 DNS 服務器,否則防火墻內外計算機就無法通信,只有正確的配置好防火墻才能夠在既保證安全的情況下又保證的服務的照常進行。尤其是必須使域名系統(tǒng)協(xié)議能夠通過防火墻。 防火墻的配置 防火墻的配置十分重要。另一種是屏蔽子網(wǎng)防火墻體系結構,一個子網(wǎng)內放置堡壘機,形成非軍事化區(qū),兩個分組過濾防火情放 在該子網(wǎng)的兩端,使該子網(wǎng)與 Inter 及內部網(wǎng)絡分離。 復合型防火墻 在要求更高安全性的網(wǎng)絡中,常把基于數(shù)據(jù)包過濾的方法與基于代理服務器的方法結合起來,從而形成復合型防火墻產品。組成自適應代理防火的基本要素有兩個:動態(tài)包過濾器與自適應代理服務器。它是針對數(shù)據(jù)包過濾技術和應用網(wǎng)關技術所存在的缺點而加以改進從而引入的防火墻技術,一般采用的是自適應代理技術,采用自適應代理技術的防火墻就叫作自適應代理防火墻。電路層網(wǎng)關是用來在兩個通信的終點之間進行轉換包。 畢業(yè)論文 22 電路層網(wǎng) 關防火墻 電路層網(wǎng)關防火墻又叫 TCP 通道防火墻。 代理防火墻的缺點: 速度相對比較慢是代理防火墻最大的缺點,當用戶對內外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時,代理防火墻就會成為內外部網(wǎng)絡之間最大的瓶頸。包過濾類型的防火墻是很難徹底避免這一漏洞的。由于每個內外網(wǎng)絡之間相互的連接都要通過代理的介入和轉換,通過專門為特定的服務而編寫的安全化應用程序進行處理,而后由防火墻自身提交請求和應答,這樣做沒給內外部網(wǎng)絡的計算機任何直接會話的機會,從而避免入侵者使用數(shù)據(jù)驅動類型的攻擊方式來入侵內部網(wǎng)絡。 代理服務器的優(yōu)點: 安全是代理防火墻最突出的優(yōu)點。對于不符合預定的安全策略的連接請 求,則阻塞或者將其拋棄。當某用戶(無論是本地的還是遠程的)想要和一個運行代理網(wǎng)絡建立聯(lián)系時,應用層網(wǎng)關會阻塞 這個連接,而后在過濾的同時,對數(shù)據(jù)包進行分析、登記和統(tǒng)計操作,做 出檢查報告。 應用層網(wǎng)關防火墻是傳 統(tǒng)的代理型防火墻,其核心技術是代理服務器技術,這種防火墻是基于軟件的,通常安裝于專用工作站系統(tǒng)上。 圖 代理防火墻工作原理 代理服務器作為內部網(wǎng)絡客戶端服務器,攔截所有要求,同時也向客戶端轉直實服務器 外部 響應 轉發(fā)請求 Int e rne t 代理客戶 應用層代理服務 代理服務器 應用協(xié) 議分析 請求 轉發(fā)響應 I nt ra ne t 真實的 客戶端 畢業(yè)論文 21 發(fā)響應。記錄及控制所有進出流量的能力是應用層網(wǎng)關的主要優(yōu)點之一。代理防火墻工作在應用層,針對特定的應用層協(xié)議。當代理服務器接收到一個客戶的連接意圖時,代理服務器將核實客戶請求的內容,并用特定的安全化的代理人應用程序來處理客戶連接請求,然后將處理之后的請求傳遞到真實的服務器上,之后接受服務器的應答,再做進一步處理之后,將答復交給發(fā)出請求的最終客戶。過濾判別的只有網(wǎng)絡層和傳輸層的有限信息;過濾規(guī)則的數(shù)目是有限制的;由于缺少上下文關聯(lián)信息,不能有效地過濾如 UDP、 RPC 一類的協(xié)議;非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;大多 數(shù)過濾器中缺少審計和報警機制,通常它沒有用戶的使用記錄,這樣,管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。例如:數(shù)據(jù)包過濾規(guī)則配置艱難,用戶界面和管理方式都比較差;安全管理人員素質要求很高;建立安全規(guī)則時,必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。例如:數(shù)據(jù)包的報頭信 息只能說明數(shù)據(jù)包來自什么主機,而不知道是什么用戶;只知道數(shù)據(jù)包發(fā)到什么端口,而不知道是發(fā)送到什么應用程序。 2.對地址欺騙的防止不徹底。與其它技術相較之而言,過濾路由器只檢查報頭相應的字段,一般不查看數(shù)據(jù)包的內容,而且某些核心部分是由專用硬件實現(xiàn)的,故其轉發(fā)速度快、效率較高 3.一個過濾路由器能夠協(xié)助保護整個網(wǎng)絡。數(shù)據(jù)包過濾是在 IP 層 實現(xiàn)的, Inter 根本感覺不到它的存在;包過濾不要求任何自定義軟件或者客戶機配置;它也不要求用戶任何特殊的訓練或者操作,使用起來畢業(yè)論文 20 很方便。包過濾防火墻不用改動客戶機和主機上的應用程序,因為它工作在網(wǎng)絡層和傳輸層,與應用層無關。如果內容過濾引擎啟動,數(shù)據(jù)流將會根據(jù)內容過濾的設置進行匹配,允許或拒絕數(shù)據(jù)的通過。當檢測到數(shù)據(jù)信息流是 HTTP 數(shù)據(jù)流,則命令解析器會逐個檢查上載和下載的文件;如果數(shù)據(jù)流是 Mail 類型,則檢查郵件的附件內容。內容數(shù)據(jù)流在服務分析器根據(jù)數(shù)據(jù)流服務類型進行分離,而后傳送數(shù)據(jù)流到命令解析器中。 圖 深度包檢測框圖 在收到流量后,將那些需要內容掃描的數(shù)據(jù)定向到 TCP/IP 堆棧中,而其他的數(shù)據(jù)流則定向到狀態(tài)檢測引擎上,按照基本的檢測方式進行處理。通過更加優(yōu)化的算法和采用硬件芯片,可以解決這個問題。所以要執(zhí)行深度包檢測,帶來的問題必然是性能的大幅下降,這就形成了內容處理障礙。因此必須采取有效方法,將單個數(shù)據(jù)包通過重新組合,合成完整的數(shù)據(jù)流。 簡單的數(shù)據(jù)包內容過濾是通過對當前正在通過的單一數(shù)據(jù)包的有效載荷進行檢測掃描,但對于用戶所需的應用防御的要求而言,這是遠遠不夠的。 3. 深度包檢測 畢業(yè)論文 19 深度包檢測是深入檢測數(shù)據(jù)包有效載荷,執(zhí)行基于應用層的內容的過濾,以此提高系統(tǒng)應用防御能力。即采用了基于連接狀態(tài)的檢查和動態(tài)設置包過濾規(guī)則的方法,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,通過規(guī)則表與連
點擊復制文檔內容
公司管理相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1