智能计算机迄今未有公认的定义。在工具书中的解释为能存储大量信息和知识,会推理(包括演绎与归纳),具有学习功能,是现代计算技术、通信技术、人工智能和仿生学的有机结合,供知识处理用的一种工具。下面是我为大家整理的关于智能计算机的论文,希望大家喜欢!
关于智能计算机的论文篇一
《计算机在人工智能中的应用研究》
摘要:近年来,随着信息技术以及计算机技术的不断发展,人工智能在计算机中的应用也随之加深,其被广泛应用于计算机的各个领域。本文针对计算机在人工智能中的应用进行研究,阐述了人工智能的理论概念,分析当前其应用于人工智能所存在的问题,并介绍人工智能在部分领域中的应用。
关键词:计算机;人工智能;应用研究
一、前言
人工智能又称机器智能,来自于1956年的Dartmouth学会,在这学会上人们最初提出了“人工智能”这一词。人工智能作为一门综合性的学科,其是在计算机科学、信息论、心理学、神经生理学以及语言学等多种学科的互相渗透下发展而成。在计算机的应用系统方面,人工智能是专门研究如何制造智能系统或智能机器来模仿人类进行智能活动的能力,从而延伸人们的科学化智能。人工智能是一门富有挑战性的科学,从事这项工作的人必须懂得计算机知识、心理学与哲学。人工智能是处于思维科学的技术应用层次,是其应用分支之一。数学常被认为是多种学科的基础科学,数学也进入语言及思维领域,人工智能学科须借用数学工具。数学在标准逻辑及模糊数学等范围发挥作用,其进入人工智能学科,两者将互相促进且快速发展。
二、人工智能应用于计算机中存在的问题
(一)计算机语言理解的弱点。当前,计算机尚未能确切的理解语言的复杂性。然而,正处于初步研制阶段的计算机语言翻译器,对于算法上的规范句子,已能显示出极高的造句能力及理解能力。但其在理解句子意思上,尚未获得明显成就。我们所获取的信息多来自于上下文的关系以及自身掌握的知识。人们在日常生活中的个人见解、社会见解以及文化见解给句子附加的意义带来很大影响。
(二)模式识别的疑惑。采用计算机进行研究及开展模式识别,在一定程度上虽取得良好效果,有些已作为产品进行实际应用,但其理论以及方法和人的感官识别机制决然不同。人的形象思维能力以及识别手段,即使是计算机中最先进的识别系统也无法达到。此外,在现实社会中,生活作为一项结构宽松的任务,普通的家畜均能轻易对付,但机器却无法做到,这并不意味着其永久不会,而是暂时的。
三、人工智能在部分领域中的应用
伴随着AI技术的快速发展,当今时代的各种信息技术发展均与人工智能技术密切相关,这意味着人工智能已广泛应用于计算机的各个领域,以下是笔者对于人工智能应用于计算机的部分领域进行阐述。具体情况如下。
(一)人工智能进行符号计算。科学计算作为计算机的一种重要用途,可分为两大类别。第一是纯数值的计算,如求函数值。其次是符号的计算,亦称代数运算,是一种智能的快速的计算,处理的内容均为符号。符号可代表实数、整数、复数以及有理数,或者代表集合、函数以及多项式等。随着人工智能的不断发展以及计算机的逐渐普及,多种功能的计算机代数系统软件相继出现,如Maple或Mathematic。由于这些软件均用C语言写成,因此,其可在多数的计算机上使用。
(二)人工智能用于模式识别。模式识别即计算机通过数学的技术方法对模式的判读及自动处理进行研究。计算机模式识别的实现,是研发智能机器的突破点,其使人类深度的认识自身智能。其识别特点为准确、快速以及高效。计算机的模式识别过程相似于人类的学习过程,如语音识别。语音识别即为使计算机听懂人说
的话而进行自动翻译,如七国 语言的口语自动翻译系统。该系统的实现使人们出国时在购买机票、预定旅馆及兑换外币等方面,只需通过国际互联网及电话 网络,即可用电话或手机与“老外”进行对话。
(三)人工智能 计算机网络安全中的 应用。当前,在计算机的网络安全 管理中常见的技术主要有入侵检测技术以及防火墙技术。防火墙作为计算机网络安全的设备之一,其在计算机的网络安全管理方面发挥重要作用。以往的防火墙尚未有检 测加密Web流量的功能,原因在于其未能见到加密的SSL流中的数据,无法快速的获取SSL流中的数据且未能对其进行解密。因而,以往的防火墙无法有效的阻止应用程序的攻击。此外,一般的应用程序进行加密后,可轻易的躲避以往防火墙的检测。因此,由于以往的防火墙无法对应用数据流进行完整的监控,使其难以预防新型攻击。新型的防火墙是通过利用 统计、概率以及决策的智能方法以识别数据,达到访问受到权限的目地。然而此方法大多数是从人工智能的学科中采取,因此,被命名为“智能防火墙”。
(四)人工智能应用于计算机网络系统的故障诊断。人工神经网络作为一种信息处理系统,是通过人类的认知过程以及模拟人脑的 组织结构而成。1943年时,人工神经网络首次被人提出并得到快速 发展,其成为了人工智能技术的另一个分支。人工神经网络通过自身的优点,如联想记忆、自适应以及并列分布处理等,在智能故障诊断中受到广泛关注,并且发挥极大的潜力,为智能故障诊断的探索开辟新的道路。人工神经网络的诊断方法异于专家系统的诊断方法,其通过现场众多的标准样本进行学习及训练,加强调整人工神经网络中的阀值与连接权,使从中获取的知识隐藏分布于整个网络,以达到人工神经网络的模式记忆目的。因此,人工神经网络具备较强的知识捕捉能力,能有效处理异常数据,弥补专家系统方法的缺陷。
四、结束语
总而言之,人工智能作为计算机技术的潮流,其研究的理论及发现决定了计算机技术的发展前景。现今,多数人工智能的研究成果已渗入到人们的日常生活。因此,我们应加强人工智能技术的研究及开发,只有对其应用于各领域中存在的问题进行全面分析,并对此采取相应措施,使其顺利发展。人工智能技术的发展将给人们的生活、学习以及 工作带来极大的影响。
参考文献:
[1]杨英.智能型计算机辅助教学系统的实现与研究[J].电脑知识与技术,2009,9
[2]毛毅.人工智能研究 热点及其发展方向[J].技术与市场,2008,3
[3]李德毅.网络时代人工智能研究与发展[J].智能系统学报,2009,1
[4]陈步英,冯红.人工智能的应用研究[J].邢台 职业技术学院学报,2008,1
关于智能计算机的论文篇二
《基于智能计算的计算机网络可靠性分析》
摘 要:当今社会是一个信息化社会,网络化应用已经遍及生产、生活、科研等各个领域,计算机网络化已经成为一种趋势,计算机网络的可靠性研究也越来越得到计算机业界的广泛重视。本文主要论述了智能粒度计算分割理论方法,采用动态数组分层实现计算机网络系统最小路集运算,阐述了计算机网络系统可靠性分析的手段。
关键词:智能算法;计算机网络;可靠性分析
1 影响计算机网络可靠性的因素
1.1 用户设备。用户设备是提供给用户使用的终端设备,其功能是否可靠深刻影响着用户的使用感受,而且还会对计算机网络的可靠性产生重要影响。确保用户终端在使用过程中的可靠性是计算机网络运行过程中日常维护的重要组成部分,用户终端的交互能力越高,其网络就越可靠。
1.2 传输交换设备。传输设备包括了传输线路和传输设备,在实践中,如果是由于传输线路原因造成的计算机网络故障,一般是比较难以发觉的,有时候为了找出这一故障原因所在,所需要耗费的工作量是比较大的。所以,在安装传输设备的时候要采用标准化的通信线路和布线系统,而且要充分考虑到冗余和容错能力,以最大程度保障网络的可靠性。在条件允许的情况下,最好采用双成线布线方式,以便在出现故障的时候可以切换网络线路。
1.3 网络管理。在一些比较大型的网络设备结构中,所使用的网络产品和设备都是不同的生产厂商生产的,规模比较大,结构也相对比较复杂。提高计算机网络的可靠性,可以保证信息传输具备完整性、降低信息丢失的发生率、减少故障及误码的发生率。提高计算机网络的可靠性需要采用先进的网络管理技术对运行中的网络参数进行实时采集,并排除存在的故障。
1.4 网络拓扑结构。网络拓扑结构是指采用传输介质将各种设备相互连接布局起来,主要体现在网络设备间在物理上的相互连接。计算机网络拓扑结构关系到整个网络的规划结构,是关系到计算机网络可靠性的重要决定因素之一。网络拓扑结构的性能主要受到网络技术、网络规模、用户分布和传输介质等因素的影响。随着人们对网络性能要求的提高,现在计算机网络拓扑结构需要满足更多的要求,比如容错直径、宽直径、限制连通度、限制容错直径等等。这些参数更加能够精确的衡量计算机网络的可靠性和容错性,以实现计算机网络规划的科学性和可靠性。
2 基于智能计算的网络可靠性分析
2.1 基于智能计算的网络可靠性概念。计算机网络系统的组成部分包括了节点和连接节点的弧,节点又可以分为输入节点(只有输出弧但没有节点属于输入弧的)、输出节点(只有输入弧而没有输出弧的节点)和中间节点(非输入、输出节点);网络又可以分为有向网络(全部都是由有向弧组成的网络)、无向网络(全部由无向弧组成的网络)以及混合网络(包含了有向弧和无向弧)。在一些结构比较复杂的网络系统中,为了能够准确分析系统的可靠性,一般会用网络图来表示。在分析网络可靠性的时候,我们通常会做这样的简化:系统或弧只存在正常和故障两种状态;无向弧不同方向都有相同的可靠度;任何一条弧发生故障都不会影响到其他弧的正常使用。
2.2 网络系统最小路集的节点遍历法。求网络系统最小路集的方法一般有以下三种方法:其一,邻接矩阵又叫联络矩阵法,其原理就是对一个矩阵进行乘法和多次乘法运算,这种方法比较适合节点不多的网络进行手算操作,但在节点数非常多的时候就不太适合了,因为那样运算量会很大,对计算机的容量要求也很高,运算时间也很长,不太适合这种方法;其二,布尔行列式法,该种方法类似于求矩阵行列式,这种方法比较容易理解,操作简便,可以用手工处理,但是在节点比较多的网络中的应用就比较繁琐;其三,节点遍历法以其条理清晰、能够求解多节点数的复杂网络而被广泛使用,但是该方法判断条件较多,在考虑欠周全的时候容易出现差错。求网络系统最小路集的基本方法是:从输入节点I开始逐个点遍历,一直到输出点L,直到找到所有的最小路集为止,在这个过程中需要作出以下几个判断:判断当前节点是否有跟之前的节点重复;判断是否有找到最小路集;判断是否已经完成所有最小路集的寻找。
2.3 基于智能粒度计算分割的计算机网络系统最小路集运算。粒是论域上的一簇点,而这些点往往难以被区别、接近,或者是跟某种功能结合在一起,而粒计算是盖住许多具体领域的问题求解方法的一把大伞,具体表现为区间分析、分治法、粗糙集理论。基于智能粒度计算改进节点遍历法的计算机网络系统最小路集运算方法一般作如下操作:首先是将传统网络系统最小路集节点遍历计算方法中的二维数组用一维表示出来,容易表示为n-1,这是因为n节点的网络系统最小路集的最大路长小于或等于n-1,即是启用一维动态数组,从输入节点到输出节点,逐个节点遍历,并将结果存放在一维数组中,当找到最小路集之后,就可以将结果写入到硬盘的文件中,再继续寻找下一个最小路集,找到后写入硬盘文件,依次类推下去直到找到所有的最小路集,释放一维动态数组;其次,将融入到运算中的数组以动态的方式参与到运算中去,完成运算功能后就立即释放掉,这样就可以节省内存空间,提高整体的运算速度;再者,根据节点表示的最小路集文件,将其转变成用弧表示的最小路集,并储存起来以便于后续的相关计算;最后,利用智能粒度计算分割对象理论方法,采用动态数组分层实现,从而实现对计算机网络系统的可靠性分析。
3 计算机网络可靠性的实现
3.1 计算机网络层次、体系结构设计。可靠的计算机网络除了要配套先进的网络设备,且其网络层次结构和体系结构也要具备先进性,科学合理的网络层次和体系结构设计可以将网络设备的性能充分的发挥出来。网络层次设计就是要将分布式的网络服务随着网络吞吐量的增多而搭建起规模化的高速网络分层设计模型。网络的模块化层次设计可以随着日后网络节点的增加,网络容量不断的增大,以加大确定性,方便日常的操作性。
3.2 计算机网络的容错能力实现。容错性设计的指导原则是“并行主干、双网络中心”,其具体设计为:其一,将用户终端设备和服务器同时连接到计算机网络中心,一般需要通过并行计算机网络和冗余计算机网络中心的方法来实行;其二,将广域网范围内的数据链路和路由器相互连接起来,以确保任何一数据链路的故障不会对局部网络用户产生影响;其三,尽量使用热插热拔功能的网络设备,这样不但可以使得组网方式灵活,还可以在不切断电源的情况下及时更换故障模块,从而提高计算机网络长时间工作的能力;最后,采用多处理器和特别设计的具有容错能力的系统来操作网络管理软件实现容错的目的。
3.3 采用冗余措施。提高计算机网络系统的容错性是提高计算机网络可靠性的最有效方法,计算机网络的容错性设计就是寻找常见的故障,这可以通过冗余措施来加强,以最大限度缩短故障的持续时间,避免计算机网络出现数据丢失、出错、甚至瘫痪现象,比如冗余用户到计算机网络中心的数据链路。
4 结束语
研究计算机网络系统的可靠性对解决问题有着重要的意义,所以研究其可靠性是很有必要的,但从理论方法上看还需要进一步深入探讨。随着计算机网络系统的应用遍及各个角落,其可靠性分析已经越来越备受业界的关注。网络可靠性分析的手段要本着理论服务于实践的宗旨,将可靠性分析理论应用到实际生产中,使计算机网络的建设更加的科学、合理。
参考文献:
[1]刘君.计算机网络可靠性优化设计问题的研究[J].中国科技信息,2011(18):29.
[2]邓志平.浅谈计算机网络可靠性优化设计[J].科技广场,2010(10):52.
[3]高飞.基于网络状态之间关系的网络可靠性分析[J].通信网络,2012(25):19.
当今时代,随着科学技术不断发展,计算机已成为处理信息的主要工具之一。掌握计算机的基础知识和基本操作技能是科学发展和走向未来信息化时代的需要。下面是我为大家整理的关于计算机论文,供大家参考。
关于计算机论文 范文 一:计算机 网络技术 中人工智能的应用
摘要:本文主首先针对现在计算机网路当中存在的普遍的问题进行了简要的介绍,然后结合了现在人工智能的特点以及优势,对现在人工智能在现在人们要求计算机为自己提供更加的智能化、人性化的服务工作,并且现在的计算机网络技术当中广泛存在的问题,尤其是在计算机网络安全方面存在的问题,也在强调着现在人工智能在计算机网络技术发展当中的重要的地位。
关键词:人工智能;计算机网络技术;应用
一、计算机网络技术存在的问题
随着计算机技术的不断的发展,现在不论是在我们的日常的生活当中还是在我们的工作当中,计算机网络技术的应用都是十分的广泛的,人们对于计算机网络技术的引用越来越广泛也就意味着现在人们对于计算机网络安全方面的问题采取了更多的关注,也就是说在现在计算机网络的监视以及网络控制已经成为了现在人们都比较关注的两个方面,人们都认为计算机网络管理系统应该具有着这两个方面的问题。但是由于我们想在计算机网络安全管理系统当中更好的实现网络监视以及网络控制这两个方面的功能,我们就必须要对网络当中的信息进行及时的获取以及处理,但是现在我们通过网络来进行信息的传递的时候经常性的会出现不连续或者是不规则的情况,并且在计算机网络技术发展的早起,人们只是能够使用计算机来对数据进行一个简单的处理,不能够通过计算机来对数据的真实性来进行一定的分析以及判断,同时更加不能够实现在海量的网络信息当中对有效的信息来进行迅速的筛选的目的,,除此之外就是现在的计算机网络用户的信息安全网路安全管理也是应该为其提供更加完善的保障的,现在的计算机软件的开发速度是非常迅猛的,同时计算机网络犯罪也是十分的猖獗的,如果说计算机的网络安全系统自身没有足够的灵敏性以及足够迅速的反应速度的话,完全不能够应付现在计算机网络当中频发的侵犯用户信息安全等各种违法的网络犯罪活动。想要更好的实现计算机网络安全管理,我们就必须要建立一套完整的,并且有着灵敏反应速度的智能化管理系统,这一套智能化的管理系统能够自动的对数据来进行手机并且对故障及时的做出诊断依据分析,并且及时的进行处理,恢复计算机网络系统的正常的运行。
二、人工智能技术的特点以及优势
我们在对人工智能进行使用的过程当中,能够有效的通过人工只能来对一些不确定性的信息进行处理,并且我们能够通过人工智能来对整个的系统当中的局部的状态或者是全局的状态来进行进行料及而并且对其变化进行跟踪,能够自己及时的来对系统当中的信息来进行适当的处理,并且我们还能够及时的将用户需要的信息及时的提供给用户。除了这些能力之外,我们能够利用人工智能来进行写作,也就是说现在的人工智能的自身是有着非常良好的写作能力的,能够通过人工智能自身来对已经得到的各种的信息以及资源来进行处理,并且能够实现将这些信息在不同的用户之间来进行相互的穿束以及共享,再就是现在我们将人工智能应用到计算机网络智能方面,主要就是为了能够更好的使现在我国的计算机网络系统能够有着足够的学习能力以及更好的推理能力,我们在对网络进行管理的过程当中采用人工智能的话不仅仅能够提高对于信息的处理的销量,而且还能够凭着人工智能的记忆能力将信息进行储存,通过对这些信息的储存,人工智能能够自动的利用这些已经储存的信息来构建一个完善的信息库,然后在这个信息库的基础之上,在对信息进行一个信息的 总结 以及结束,然后通过总结以及解释的这个过程形成一个高级的信息,然后将这个高级信息提供给网络给网络管理者。所以说我们在进行计算机网络管理的过程当中采用人工智能进行管理的话,计算机网络的管理人员其实也就是相当于雇佣了一个非常的聪明并且任劳任怨的秘书,这个秘书不仅仅说能够对自己的指令进行无条件的服从,并且这个秘书还能够根据管理者的意愿来灵活的对自己将要进行完成的任务来进行一个创新,自动的来寻求一个更加快捷并且有效的 方法 来进行任务的完成,这样就能够不断的提高现在我国网络信息管理的效率。
三、人工智能在计算机网络技术当中的应用
(一)人工智能在计算机网络安全管理当中的应用
第一个方面就是一个智能型的反垃圾邮件系统,我们能够在现在的计算机网络当中通过这么一个系统来对现在的客户的邮箱来进行一个十分有效的安全保护,所谓的智能型的反垃圾邮件系统就是利用人工智能技术来开发的一个系统,通过这个系统我们能够对用户的来及邮件来进行防护,并且我们在对电子邮件来进行监测以及防护的过程当中,这一个系统是不会对我们的用户来产生任何的信息安全的威胁的,并且我们还能够自动的形成一个来及邮件的分类信息,并且及时的将这个信息传递给客户,然后客户就能够根据这一个分类信息来对邮箱当中的垃圾邮件来进行处理了。第二个方面,智能防火墙技术。人工智能防火墙系统与现在我们正在使用的众多的防火墙系统是有着很大的区别的,这种防火墙系统能够利用自身的人工智能的优势来对需要处理的各种的数据进行自动的收集以及处理,能够十分有效的提高信息处理的速度以及效率,从而能够更好的提高防火墙发现现在的计算机网络当中的各种危害行为的能力,能够更好的组织各种病毒在现在我国的计算机网络系统当中的传播。第三个方面,入侵监测技术。入侵计策是计算机网络安全管理当中的首要环节,也是其中最为关键的一个环节,是整个的计算机防火墙系统的核心部分。
(二)人工智能在网络管理以及系统评价当中的应用
我们现在在对人工智能技术进行应用的过程当中不仅仅可以应用他的人工智能,还可以对现在人工智能当中的专家知识库来进行应用。专家系统其实就是一个职能化的计算机系统,这个系统就是将某一个领域当中的专家的知识以及 经验 进行了总结以及归纳,将这些知识以及经验变成有效的资源来输入系统当中,对系统处理这个领域的问题来提供帮助。
四、结束语
综上所述,随着现在计算机技术以及网络信息技术的不断发展,人工智能技术开始出现并且进入到了人们的生活当中,本文主要就是介绍而现在计算机网络当中存在的问题,以及现在人工智能技术在现在的计算机网络技术当中的应用情况。
参考文献:
[1]张彬.探讨人工智能在计算机网络技术中的应用[J].软件,2012,11:265-266.
[2]马越.探讨人工智能在计算机网络技术中的应用[J].计算机光盘软件与应用,2014,22:43-44.
关于计算机论文范文二:电子商务中计算机网络安全技术研究
【摘要】随着社会的飞速发展,计算机网络也在逐渐向着各个领域渗透和发展,尤其对于具有代表性的电子商务产业来说,时刻与计算机网络的应用紧密相连,然而随着网络环境变得愈加复杂,网络安全技术则成为了大家共同关注的话题,只有将网络安全技术合理的在电子商务中进行利用,才能促使整个网络环境不受破坏,由此电子商务产业也会得到更加平稳快速的发展.
【关键词】计算机网络;安全技术;电子技术;应用
前言
在电子商务产业不断开拓与探索的进程中,计算机网络安全技术的应用在其中起着至关重要的作用,只有对网络环境进行一个系统的、全面的、科学的管理,才能构建一个可靠的网络防护屏障,进而使得电子商务产业的网络系统得到有效地保护和发展。
1电子商务中的计算机网络安全技术
在电子商务交易中,自然少不了计算机网络的支持与运用,与此同时,在极为复杂的网络环境下,电子商务的网络运行系统在交易中就存在着很多潜在的威胁,只有对电子商务中的计算机网络安全技术有一定的了解和掌握,才能更加有助于网络安全技术在电子商务中的应用。电子商务网络安全分为两大部分,分别是计算机网络安全和商务交易安全。计算机网络安全指的是计算机系统内部网络环境的安全性能,主要包括计算机网络设备安全、计算机网络 系统安全 等几个重要组织的安全性,其主要是以计算机网络自身的安全性为目标;商务安全则是以传统商务网络为中心,从Internet在电子商务中应用中的安全问题展开研究,在计算机网络安全的基础上,进而保障电子商务交易的顺利进行,同时又实现了电子商务的保密性、完整性等特征。
2电子商务网络存在的安全问题
根据对电子商务的了解,其发展以及交易主要是通过计算机网络实现的,那么这其中就存在着很多的安全问题,尤其是在电子商务这个极其多元化的网络环境下,必定会在网络系统中埋下诸多安全隐患。
(1)病毒入侵
对于整个电子商务网络系统而言,最具有威胁性的就是病毒。由于其工作性质的限制,所以与外环境的接触机率较大,在信息资源处于半封闭半公开的状态下,很容易给病毒带来可乘之机,一旦病毒侵入整个网络系统,计算机中的所有功能以及大量数据将会遭受巨大破坏,病毒的繁殖和复制能力非常迅速,在短时间内,就可以造成整个网络系统瘫痪,互联网资源自动被侵蚀,最终导致电子商务网络环境崩溃的重大后果。
(2)信息盗用
当网络环境在实现资源传输或者共享的过程中,如果没有对信息采取加密等保护手段进行信息维护的话,那么传输的信息就会以明文的方式展现给大家,一些不法分子利用这一疏漏,可能会在数据经过的路线上对信息进行拦截或者提取,之后通过研究得出有价值的资源,严重的情况下,可以泄露个人信息、账户、密码等重要信息,对个人和企业带来难以估量的损失。
(3)信息篡改
在电子商务进行交易的过程中,交易双方必须要保证个人信息真实有效,并且提供完整的个人资料,这样双方利益都会受到良好的保护,以免权益遭受侵害。如果在交易过程中,不慎将个人信息泄露,不法分子就会对信息进行掌握,在盗取用户资料后,通过技术手段会对信息进行解除、修改,致使信息不真实,之后不法分子会将信息重新放置到传输地点,从而导致决策者判断失误,最终造成重大的经济损失。
3计算机网络安全技术在电子商务中的应用
为了保证电子商务产业能够正常的发展和运作,同时也为了电子商务网络环境得到改善和提高,就要采取一些必要的手段或者是方式方法对整个网络环境实施有效的管理,促使安全隐患在网络安全技术的控制下得以缓解和消除。
(1)安装防火墙
使用计算的人都知道,计算机保护系统中通常都要设立防火墙对干扰因素进行拦截或者是清除,防火墙同样也适用于电子商务网络安全系统的建立和保护。由于防火墙具有很强的识别能力和区域划分能力,所以不仅可以为电子商务网路系统提供有力保障,而且通过对数据的有效侦察、过滤、筛选,可以使得整个互联网交易过程更加安全可靠。很多大型企业使用的都是独立的网络系统,利用防火墙就必须与独立的外部网络系统相连接,同时要求网络服务的集中统一性,因此在实现信息传输的过程中就对企业网络实行了保护。
(2)个人身份认证
个人身份认证就是指在进行信息交易或者提取时,为了保证交易中参数或者数据的真实性和完整性,对于交易的个人实行的一种检测手段,通过身份对比、验证,对持有信息人进行核实,防止不法分子对用户资料进行盗取、修改甚至是伪造。目前,最常用的身份认证方式有指纹识别、人体扫描识别等,这些识别方法主要是利用个人特征,通过系统数据对比的方法进行身份验证的,具有很高的识别性以及可操作性。电子商务交易采用这种身份认证的方式,可以大大增强信息的安全性,而且有利于网络系统对于信息的保存和提取,在某种程度上推动了电子商务网络市场的发展与开拓。
4结束语
通过本文的叙述,显而易见,电子商务与计算机网络系统之间是密不可分的,然而由于电子商务系统运行的特殊性,所以很容易遭到安全问题的威胁,只有将计算机网络安全技术在电子商务中进行合理的安排与应用,才能保证电子商务网络系统不受侵害,更好的为国有经济发展发挥出应有的作用。
参考文献
[1]梁文陶.计算机技术应用与电子商务发展研究[J].太原城市职业技术学院学报,2013(08).
[2]沈国祥.计算机安全技术在电子商务中的应用[J].计算机光盘软件与应用,2012(15).
[3]贾雅娟.计算机安全技术在电子商务中的应用探讨[J].长春理工大学学报,2011(03).
关于计算机论文相关 文章 :
1. 关于计算机的论文
2. 有关于计算机的论文
3. 关于计算机技术的论文
4. 关于计算机等级考试论文
5. 与计算机有关的毕业论文
6. 关于计算机的小论文
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。
关键词:internet 网路安全 防火墙 过滤 地址转换
1. 引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。�
为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。�
2. internet防火墙技术简介�
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防
止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:�
1)限定人们从一个特定的控制点进入;�
2)限定人们从一个特定的点离开;�
3)防止侵入者接近你的其他防御设施;�
4)有效地阻止破坏者对你的计算机系统进行破坏。�
在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。
所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾�
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:�
●过滤进、出网络的数据;�
●管理进、出网络的访问行为;�
●封堵某些禁止行为;�
●记录通过防火墙的信息内容和活动;�
●对网络攻击进行检测和告警。�
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。�
3.1 基于路由器的防火墙�
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:�
1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;�
2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;�
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。�
第一代防火墙产品的不足之处十分明显,具体表现为:�
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。�
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。�
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺骗防火墙。�
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
�
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套�
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。�
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:�
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;�
2)针对用户需求,提供模块化的软件包;�
3)软件可以通过网络发送,用户可以自己动手构造防火墙;�
4)与第一代防火墙相比,安全性提高了,价格也降低了。�
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:�
配置和维护过程复杂、费时;�
对用户的技术要求高;�
全软件实现,使用中出现差错的情况很多。�
3.3 建立在通用操作系统上的防火墙�
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:�
1)是批量上市的专用防火墙产品;�
2)包括分组过滤或者借用路由器的分组过滤功能;�
3)装有专用的代理系统,监控所有协议的数据和指令;�
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。�
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:�
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;�
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;�
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;�
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;�
5)透明性好,易于使用。�
4. 第四代防火墙的主要技术及功能�
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。�
4.1 双端口或三端口的结构�
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
�
4.2 透明的访问方式�
以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。�
4.3 灵活的代理系统�
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。�
4.4 多级过滤技术�
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。�
4.5 网络地址转换技术�
第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。�
4.6 internet网关技术�
由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。�
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。 在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。
4.7 安全服务器网络(ssn)�
为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。�
ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。�
4.8 用户鉴别与加密�
为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。�
4.9 用户定制服务�
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。�
4.10 审计和告警�
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。�
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。�
5. 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。�
5.1 安全内核的实现�
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:�
1)取消危险的系统调用;�
2)限制命令的执行权限;�
3)取消ip的转发功能;�
4)检查每个分组的接口;�
5)采用随机连接序号;�
6)驻留分组过滤模块;�
7)取消动态路由功能;�
8)采用多个安全内核。�
5.2 代理系统的建立�
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。�
在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:�
1)源地址;�
2)目的地址;�
3)时间;�
4)同类服务器的最大数量。�
所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。�
所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。�
5.3 分组过滤器的设计�
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。�
1)进站接口;�
2)出站接口;�
3)允许的连接;�
4)源端口范围;�
5)源地址;�
6)目的端口的范围等。�
对每一种参数的处理都充分体现设计原则和安全政策。�
5.4 安全服务器的设计�
安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。�
ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:�
1)解决分组过滤器与ssn的连接;�
2)支持通过防火对ssn的访问;
3)支持代理服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。
对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。
6. 第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1 抗ip假冒攻击
ip假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。
6.2 抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3 抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。
第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4 抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。
6.5 抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7. 防火墙技术展望
伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。�
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。�
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。�
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。
2 防火墙的概述及其分类
网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2.1 概述
在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。
1)什么是防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。
防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。
2)防火墙的功能
防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:
·根据应用程序访问规则可对应用程序联网动作进行过滤;
·对应用程序访问规则具有学习功能;
·可实时监控,监视网络活动;
·具有日志,以记录网络访问动作的详细信息;
·被拦阻时能通过声音或闪烁图标给用户报警提示。
3)防火墙的使用
由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。
2.2 防火墙的分类
市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。
1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
2)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
3)监测型
监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
3 防火墙的作用、特点及优缺点
防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。
3.1 防火墙的作用
防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
3.2 防火墙的特点
我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
防火墙一般具有如下显著特点:
·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等;
·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;
·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;
·反欺骗 欺骗是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;
·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。
3.3 防火墙的优势和存在的不足
防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。
1) 防火墙的优势
(1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2) 防火墙存在的不足
(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。
(2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。
4 防火墙的管理与维护
如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。
4.1 建立防火墙的安全策略
要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
