数据通信毕业论文范文

数据通信毕业论文范文,第1张

数据通信作为当今最具潜力的电信新业务,在近几年得到了快速的发展,呈现了旺盛的生命力和巨大的市场潜力。下面是我为大家整理的数据通信 毕业 论文 范文 ,供大家参考。

数据通信毕业论文范文篇一

《 网络数据通信隐蔽通道技术研究 》

摘要:随着科学技术的不断发展, 网络技术 也发生了日新月异的变化。 文章 通过对网络数据通信中的隐蔽通道技术的介绍,进一步就网络通信中隐蔽通道存在的技术基础和实现原理进行了探讨,并对网络通信隐蔽通道技术进行了深入的研究与分析。与此同时对隐蔽通道的检测技术进行了讨论,提出了一系列针对网络安全的防范 措施 。

关键词:网络数据通信隐蔽通道隐写术网络通信协议

根据现代信息理论的分析,层与层之间的通信在多层结构系统中是必须存在的,在此过程中需要安全机制来确保通信的正确性和完整性。在经授权的多层系统的各层之间通信信道上可以建立可能的隐蔽通信信道。在远古时代的简单军事情报传输系统中就已经出现了最原始的多层结构通信系统,而现代的计算机网络也只是一个多层结构通信系统,因此,隐蔽通道会在一定程度上威胁计算机网络系统的安全。

1隐蔽通道的概述

简单来说,隐蔽通道属于通信信道,将一些不安全信息通过通信信道传输隐蔽信息,而且不容易被管理者所察觉。换句话就是借助某个通信通道来完成对另一通信通道进行掩护的目的。一旦建立隐蔽通道以后,都希望通道能够长时间有效运行,由此可见,通道技术的关键是通道隐蔽措施的质量高低。如今,多媒体和Internet技术在各行各业得到了广泛的应用,从而导致隐蔽通道对网络安全造成了较大的威胁,只要与外界保持联系,就不能从根本上清除隐蔽通道所造成的威胁。隐蔽通道按照存在环境的不同可以划分为网络隐蔽通道和主机隐蔽通道两大类。主机隐蔽通道一般是不同进程主机之间所进行的信息秘密传输,而网络隐蔽通道一般是不同主机在网络中完成信息的秘密传输。通常情况下,隐蔽通道通信工具能够在数据报文内嵌入有效的信息,然后借助载体进行传输,传输过程通过网络正常运行,不会被系统管理者发现,从而实现有效数据的秘密传输。攻击者与其控制的主机进行信息传输的主要方式就是建立网络隐蔽通道。利用隐蔽通道,通过网络攻击者将被控主机中的有效数据信息传输到另一台主机上,从而实现情报的获取。与此同时,攻击者还可以将控制命令通过隐蔽通道传输到被控主机上,使被控主机能够长期被攻击者控制。因此,对隐蔽通道的基本原理和相关技术进行研究,同时采取措施对网络隐蔽通道的检测技术进行不断的改进和完善,从而能够及时、准确地发现被控主机,并将其与外界的联系及时切断,对网络安全的提升和网络中安全隐患的消除有十分重要的意义。

2网络数据中隐蔽通道的工作原理及类型

与传统网络通信相比发现,借助隐蔽通道进行通信只是对交换数据过程中所产生的使用机制进行改变。而隐蔽通道将数据从客户端传向服务器的过程中,双方会借助已经协定好的秘密机制将传输的数据嵌入载体中,与正常通信流量没有太大区别,实现了通信的隐藏,接收到传输的数据之后对相应的数据进行提取,再从伪装后的数据中分离出秘密数据。

2.1基于&ldquo隧道&rdquo的隐蔽通道

基于&ldquo隧道&rdquo技术的隐蔽通道是目前最为常见的隐蔽通道,也就是我们通常所说的协议隧道。理论上来说,隧道技术需要在一种协议上辅以另外一种协议,而且任何一个通信协议都可以传输其他的协议。例如SSH协议可以用来传输TCP协议,首先将服务信息写入SSH信息内,由于SSH通道已经被加密和认证,信息便可以通过SSH通道进行传输。攻击者为了防止系统管理员发现,通常采用各种协议来建立隐蔽通道。

2.1.1直接隧道

通信双方直接建立的协议隧道被称为直接隧道,以ICMP协议建立隐蔽隧道为例进行详细的说明。在网络通信过程中ICMP报文是比较常用的报文形式,测试网络连通性的工具常用PING,其一般是需要发送ICMP请求报文,并接收ICMP应答报文,从而对主机是否可达进行判断。PING作为诊断工具被广泛应用于网络中。所以,通常情况下人们会选择通过ICMP回显应答报文和ICMP回显请求报文来构建隐蔽通道。通常情况下,发送端能够对ICMP报文中的序列号字段和标识符进行任意的选择,应答中这些值也应该会回显,从而使得应答端能够将请求和应答报文准确地匹配在一起,另外,还应该回显客户发送的选项数据。根据相关规范我们能够借助ICMP包中的序列号、标识符和选项数据等来秘密携带数据信息。通常情况下,对于ICMP报文来说,入侵检测或防火墙等网络设备只能够完成首步的检查,因此,使用ICMP进行隐蔽通道的建立时通常选择将需要传输的数据放到选项数据中。除此之外,还有使用IGMP,HTTP,DNS等协议来进行隐蔽通道的建立,且 方法 与ICMP类似,这类隐蔽通道具有准实时的特点,可以使客户机与服务器直接通信。

2.1.2间接隧道

通信双方借助第三方中转所构建起来的协议隧道被称之为间接隧道,下面将会以SMTP协议所构建的隐蔽通道为例来对其进行分析。对于SMTP协议来说,一般要求发送者将信件上传到Mail服务器上,然后接受者才能够从服务器中获取自己所需要的信件。这样一来攻击者就会想办法将目标系统上所进行的命令写到信件中,通过Mail服务器,目标系统接收将要执行的文件,并将最终的执行结果传输到信箱中,此时攻击者可以借助收信这个环节来得到自己所需要的信息,这样就形成了隐蔽通道。在这种隐蔽通道中,目标系统和攻击者一般是借助第三方中转来紧密地衔接在一起,该间接通信在一定程度上提高了信道的时延,与直接隧道相比不再具有实时性。但由于系统目标和攻击者是通过第三方建立的联系,使得目标系统对攻击者没有任何直接的联系,不再需要知道攻击者,攻击者更具安全性。除此之外,使用FTP,LDAP,AD等协议建立隐蔽通道与SMTPA协议的做法类似,根据目标系统的基本要求和特征可以对其进行灵活的选用。

2.2使用报文伪装技术构建隐蔽通道

通过&ldquo隧道&rdquo构建隐蔽通道具有高效的特征,但要想保证其安全性在实际过程中得到广泛的应用就需要对相关数据进行加密处理。此外,还有一种隐蔽通道的方法是使用报文伪装技术,就是将一些数据插入到协议报文的无用段内。例如可以借助TCP和IP中所含有的包头段内空间进行隐蔽通道的构建。下面以IPIdentification携带数据为例对其中所构建的隐蔽通道进行介绍,其一般需要将数据的编码放入客户IP包的Identification内,再从服务器中将数据编码取出就可以了。与之类似的做法是可以将数据放入Options、Padding等字段中。由此可见,使用报文伪装技术建立隐蔽通道虽然损失了效率,但安全性却更高了。

2.3使用数字水印技术来构建隐蔽通道

数字水印技术对被保护的版权信息的隐藏有非常大的帮助。近年来,随着科学技术的不断进步,国内外大部分研究人员对数字水印技术进行了大量的研究,并提出了大量的解决方案。通常情况下,可以将数字水印技术划分为基于变换域的水印方案和基于时空域的水印方案两类。然而借助数字水印技术建立隐蔽通道就是将需要传送的秘密信息代替版权信息嵌入到数字水印中。在实际的操作过程中信息的载体一般为文本、静态图像、视频流、音频流等,因此,这种隐蔽通道具有很强的隐蔽性和稳健性。

2.4基于阈下通道建立隐蔽通道

SimmonsGJ于1978年提出了阈下通道的概念,具体定位为:定义1,在认证系统、密码系统、数字签名方案等密协议中构建了阈下信道,其一般是用来传输隐藏的接收者和发送者之间的秘密信息,而且所传输的秘密信息不会被信道管理者所发现定义2,公开的信息被当做载体,通过载体将秘密信息传输到接收者手中,即为阈下信道。就目前而言,阈下通道通常情况下是在数字签名方案中建立的。以美国数字签名标准DSA和ELGamal签名方案为例对阈下信道的建立进行简单的阐述,美国数字签名标准DSA和ELGamal签名方案都是由三元组(H(_):r,s)组成的。首先可以对要进行传输或签名的信息 进 行相关预处理,即所谓的压缩操作或编码操作,从而提供更加便捷的使用信道。但是如果消息_较大时,函数h=H(_)能够对_信息进行摘要操作。假设h,r,s的长度均为L,其比特消息签名的实际长度为2L+[log2_]。其中大约有2-L的长度可能会被伪造、篡改或被其他信息所代替。即在2L的附件信息中既存在签名,又有一部分被当作了阈下信道使用。通过这种方式,发送者将要传输的秘密信息隐藏到签名中,并通过事先约定好的协议,接收方可以将阈下信息恢复出来,从而获得了需要的秘密信息。双方通过交换完全无害的签名信息将秘密信息进行传送,有效地避开了通信监听者的监视。

3检测技术介绍

3.1基于特征匹配的检测技术

特征匹配检测技术是借助数据库中特征信息来实现与网络数据流的有效匹配,如果成功匹配就会发出警告。实际上,基于特征匹配的检测的所有操作是在应用层中进行的,这种检测技术攻击已知的隐蔽通道是非常有效的,但误报率较高,且无法检测加密数据,对于攻击模式的归纳和新型隐蔽通道的识别方面不能发挥作用。

3.2基于协议异常分析的检测技术

该技术需要对网络数据流中的信息进行协议分析,一旦发现有违背协议规则的现象存在,就会有报警产生。通过对其中异常协议进行分析可以准确查找出偏离期望值或标准值的行为,因此,在对未知和已知攻击行为进行检测方面发挥着非常重要的作用。

3.3基于行为异常分析的检测技术

该技术是针对流量模型构建的,在监控网络数据流的过程中能够对其流量进行实时监测,一旦与模型的阈值出现差别,将会发出报警。基于行为异常分析的检测技术不仅可以对事件发生的前后顺序进行确认,而且还能够对单次攻击事件进行分析。这种检测技术主要难点在于准确模拟实际网络流量模型的建立上,建立此种模型需要涉及人工智能方面的内容,需要具备相关理论基础,同时还需要花费大量的时间和精力做研究。虽然就目前而言,准确模拟实际网络流量模型的建立还有很大的难度,技术还有待进一步提高和完善,但随着检测技术的不断发展,人们对于此类检测技术的关注度越来越高,相信终有一天模型的建立可以实现。

4结语

隐蔽通道工具不是真正的攻击程序,而是长期控制的工具,如果对隐蔽通道的技术特点不了解,初期攻击检测又失败的状况下,将很难发现这些隐蔽通道。要想防范隐蔽通道,要从提高操作人员的综合素质着手,按照网络安全 规章制度 进行操作,并安装有效的信息安全设备。

参考文献:

[1]李凤华,谈苗苗,樊凯,等.抗隐蔽通道的网络隔离通信方案[J].通信学报,2014,35(11):96-106.

[2]张然,尹毅峰,黄新彭等.网络隐蔽通道的研究与实现[J].信息网络安全,2013(7):44-46.

[3]陶松.浅析网络隐蔽信道的原理与阻断技术[J].电脑知识与技术,2014(22):5198-5200,5203.

数据通信毕业论文范文篇二

《 数据通信及应用前景 》

摘要:数据通信是一种新的通信方式,它是通信技术和计算机技术相结合的产物。数据通信主要分为有线数据通信和无线数据通信,他们主要是通过传输信道来输送数据,达到数据终端与计算机像话连接。数据通信技术的应用对社会的发展产生了巨大的影响,在很大程度上具有很好的发展前景。

关键词:数据通信应用前景分类探究

一、数据通信的基本概况

(一)数据通信的基本概念。数据通信是计算机和通信相结合的产物,是一种通过传输数据为业务的通信系统,是一种新的通信方式和通讯业务。数据主要是把某种意义的数字、字母、符号进行组合,利用数据传输技术进行数据信息的传送,实现两个终端之间数据传输。数据通信可以实现计算机和终端、终端和终端以及计算机和计算机之间进行数据传递。

(二)数据通信的构成原理。数据通信主要是通过数据终端进行传输,数据终端主要包括分组型数据终端和非分组型数据终端。分组型数据终端包括各种专用终端,即:计算机、用户分组拆装设备、分组交换机、专用电话交换机、局域网设备等等。非分组型数据终端主要包括用户电报终端、个人计算机终端等等。在数据通信中数据电路主要是由数据电路终端设备和数据信道组成,主要进行信号与信号之间的转换。在计算机系统中主要是通过控制器和数据终端进行连接,其中中央处理器主要用来处理通过数据终端输入的数据[1]。

二、数据通信的分类

(一)有线数据通信。有线数据通信主要包括:数字数据网(DDN),分组交换网(PSPDN),帧中继网三种。数字数据网可以说是数字数据传输网,主要是利用卫星、数字微波等的数字通道和数字交叉复用。分组交换网又称为_.25网,它主要是采用转发方式进行,通过将用户输送的报文分成一定的数据段,在数据段上形成控制信息,构成具有网络链接地址的群组,并在网上传播输送。帧中继网络的主要组成设备是公共帧中继服务网、帧中继交换设备和存储设备[2]。

(二)无线数据通信。无线数据通信是在有线数据的基础上不断发展起来的,通常称之为移动数据通信。有线数据主要是连接固定终端和计算机之间进行通信,依靠有线传输进行。然而,无线数据通信主要是依靠无线电波来传送数据信息,在很大程度上可以实现移动状态下的通信。可以说,无线数据通信就是计算机与计算机之间相互通信、计算机与个人之间也实现无线通信。这主要是通过与有线数据相互联系,把有线的数据扩展到移动和便携的互联网用户上。

三、数据通信的应用前景

(一)有线数据通信的应用。有线数据通信的数字数据电路的应用范围主要是通过高速数据传输、无线寻呼系统、不同种专用网形成数据信道建立不同类型的网络连接组件公用的数据通信网等。数据通信的分组交换网应用主要输入信息通信平台的交换,开发一些增值数据的业务。

(二)无线数据通信的应用。无线数据通信具有很广的业务范围,在应用前景上也比较广泛,通常称之为移动数据通信。无线数据通信在业务上主要为专用数据和基本数据,其中专用数据业务的应用主要是各种机动车辆的卫星定位、个人无线数据通信、远程数据接入等。当然,无线数据通信在各个领域都具有较强的利用性,在不同领域的应用,移动数据通信又分为三种类型,即:个人应用、固定和移动式的应用。其中固定式的应用主要是通过无线信道接入公用网络实现固定式的应用网络移动式的应用网络主要是用在移动状态下进行,这种连接主要依靠移动数据终端进行,实现在野外施工、交通部门的运输、快递信息的传递,通过无线数据实现数据传入、快速联络、收集数据等等。

四、小结

随着网络技术的不断发展,数据通信将得到越来越广泛的应用,数据通信网络不断由分散性的数据信息传输不断向综合性的数据网络方向发展,通过传输数据、图像、语言、视频等等实现在各个领域的综合应用。无论是在工业、农业、以及服务业方面都发挥着重要的作用,展示出广阔的应用前景来。因此,当今时代学习、了解并掌握先进技术对于社会和个人的发展尤为重要。

参考文献

[1]李亚军.浅谈数据通信及其应用前景[J].中小 企业管理 与科技(上半月),2008(04).

[2]朱江山.李鸿杰.刘冰.浅谈数据通信及其应用前景[J].黑龙江科技信息,2007(01).

数据通信毕业论文范文篇三

《 数据通信与计算机网络发展思考 》

摘要:近年来,网络及通信技术呈现了突飞猛进的发展势态。这一势态给人们生活及工作带来了极大的方便,与此同时也给数据通信及计算机网络的发展带来了巨大的机遇及挑战。本课题笔者在概述数据通信与计算机网络的基础上,进一步对基于计算机网络中的数据通信交换技术进行了分析,最后探讨了数据通信与计算机网络的发展前景。

关键词:数据通信计算机网络发展前景

信息时代的发展带动了经济社会的发展。从狭义层面分析,网络与通信技术的提升,为我们日常生活及工作带来了极大的便利[1]。从广义方面分析,网络与通信技术的进步及发展,能够推进人类文明的历史进程。现状下,计算机网络技术较为成熟,将其与数据通信有机融合,能够具备更为广泛的应用。鉴于此,本课题对&ldquo数据通信与计算机网络发展&rdquo进行分析与探究具有较为深远的重要意义。

1数据通信与计算机网络概述

数据通信是一种全新的通信方式,并且是由通信技术与计算机技术两者结合而产生的。对于数据通信来说,需具备传输信道,才能完成两地之间的信息传输[2]。以传输媒体为参考依据,可分为两类,一类为有线数据通信,另一类为无线数据通信。两部分均是以传输信道为 渠道 ,进一步使数据终端和计算机相连接,最终使不同地区的数据终端均能够实现信息资源共享。计算机网络指的是将处于不同地区或地域的具备独特功能的多台计算机及其外部设备,以通信线路为渠道进行连接,并在网络 操作系统 环境下实现信息传递、管理及资源共享等。对于计算机网络来说,主要的目的是实现资源共享。结合上述概念可知数据通信与计算机网络两者并不是单独存在的。两者相互融合更能够促进信息的集中及交流。通过计算机网络,能够使数据通信的信息传输及利用加快,从而为社会发展提供保障依据。例如,基于计算机网络中的数据通信交换技术,通过该项技术便能够使信息资源共享更具有效性,同时也具备多方面的技术优势。

2基于计算机网络中的数据通信交换技术

基于计算机网络中的数据通信交换技术是计算机网络与数据通信两者融合的重要产物,通过该技术能够实现数据信息交换及信息资源共享等功能。下面笔者以其中的帧中继技术为例进行探究。帧中继协议属于一类简化的_.25广域网协议,同时也是一类统计复用的协议,基于单一物理传输线路当中,通过帧中继协议能够将多条虚电路提供出来,并通过数据链路连接标识的方式,对每一条虚电路进行标识。对于DLCI来说,有效的部分只是本地连接和与之直接连接的对端接口[3]。所以,在帧中继网络当中,不同的物理接口上同种DLCI不能视为同一种虚电路。对于帧中继技术来说,所存在的主要优势是将光纤视为传输媒介,实现高质量传输,同时误码率偏低,进一步提升了网络资源的利用效率。但同时也存在一些较为明显的缺陷,比如对于实时信息的传输并不适合,另外对传输线路的质量也有着较高的要求。当然,对于基于计算机网络中的数据通信交换技术远远不止以上一种,还包括了电路交换、报文交流及分组交换等技术。与此同时,数据通信交换技术在未来还有很大的发展空间。例如现阶段具备的光传输,其中的数据传输与交换均是以光信号为媒介,进一步在信道上完成的。在未来发展中,数据通信交换技术远远不止表现为光传输和交换阶段,将进一步以满足用户为需求,从而实现更有效率的信息资源共享等功能。

3数据通信与计算机网络发展前景

近年来,数据通信技术及计算机网络技术被广泛应用。无疑,在未来发展过程中, 无线网络 技术将更加成熟。与此同时,基于网络环境中的互联网设备也会朝着集成化及智能化的方向完善。纵观这几年,我国计算机技术逐年更新换代,从而使网络传输的效率大大提升。对于用户来说,无疑是很多方面的需求都得到了有效满足。笔者认为,网络与通信技术将从以下方面发展。(1)移动、联通、电信公司将朝着4G方向发展,从而满足用户的信息交流及信息资源共享需求。(2)宽带无线接入技术将进一步完善。随着WiFi 热点 的逐渐变大,使我国宽带局域网的发展进一步加大,显然,在数据通信与计算机网络充分融合的背景下,宽带无线接入技术将进一步得到完善。(3)光通信将获得巨大发展前景,包括ASON能够获得充分有效的利用以及带宽资源的管理力度将加大,从而使光通信技术更具实用价值。

4结语

通过本课题的探究,认识到数据通信与计算机网络两者之间存在相辅相成、共同发展的联系。总之,在信息时代的背景下,数据通信是行业发展的主要趋势。通过数据通信实现图像、视频、数据等方面的传输及共享,更能满足企业生产需求。总而言之,需要做好数据通信与计算机网络的融合工作,以此使数据通信更具实用价值,进一步为社会经济的发展起到推波助澜的作用。

参考文献:

[1]魏英韬.对通信网络数据的探讨[J].黑龙江科技信息,2011(3):80-83.

[2]刘世宇,姜山.计算机通信与网络发展技术探讨[J].科技致富向导,2012(33):253-258.

[3]屈景怡,李东霞,樊志远.民航特色的&ldquo数据通信与计算机网络&rdquo课程教改[J].电气电子教学学报,2014(1):20-22.

有关数据通信毕业论文范文推荐:

1.本科通信学毕业论文范文

2.通信工程毕业论文范文

3.有关通信学毕业论文范文

4.浅谈通信学毕业论文范文

5.有关本科通信学毕业论文

6.计算机网络技术类论文范文

上下位机网络通讯保密运行需要很多计算机技术,具体如下:

(一)安全隔离网闸技术

互联网在为人们工作带来便利的同时,其安全问题也逐渐凸显出来。当一个内部网络既需要保证其数据的安全,又需要与外部网络进行数据交换时,可以采用以网闸技术为核心技术的网络安全隔离系统来保证内网与外网的物理隔离,同时又能够根据业务需求实现内外网之间多种形式的信息和数据交换。

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有读和写两种命令。

网闸技术的工作流程可分为以下几个步骤:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获得所需数据。这样就在安全隔离两个网络的基础上实现了安全的信息交换和资源共享。

(二)防火墙技术

“防火墙”原指汽车上防止引擎发生爆炸而用来隔离引擎和乘客的装置。在被引入计算机安全领域之后,指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置,其核心思想是在不安全的网间环境中构造一个相对安全的子网环境。“防火墙”种类很多,大致可分为两大类。一类是包过滤型(packet filter),通常直接转发报文,对用户完全透明,速度较快;另一类是代理服务(proxy service),通过代理服务器(proxy service)建立网络连接,具有较强的身份验证和日志功能。但不论哪一类“防火墙”,都不能做到无隙可击。目前,防火墙主要技术有如下几种。

1、包过滤(packet filter)技术

包过滤技术,是指在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,即访问控制表(access control table),检查数据流中每个数据包后,根据数据包的的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等字段来确定是否允许数据包通过,其核心是安全策略,即过滤算法的设计。例如,基于特定服务的服务器使用特定的端口号(TCP端口23用于telnet连接),包过滤器可以通过简单地规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。包过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。此外,这种防护措施对用户透明,合法用户的数据在进出网络时,根本感觉不到它的存在。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容。正是由于这种工作机制,包过滤防火墙存在以下缺陷:(1)数据包的源IP地址、目的IP地址以及IP的端口号都在数据包的头部,很有可能被伪造;(2)通信和应用状态信息:由于包过滤防火墙是无状态的,不能根据通讯的上下文或应用的上下文来进行过滤;(3)信息处理:难于配置,不具备监视和审计能力,信息处理能力极弱。

2. 应用网关技术

该技术又称为双主机技术(dual homed host),采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,起着网关的作用,也被称为堡垒主机(bastion host)。应用层网关(application level gateways)是建立在网络应用层上的基于主机的协议转发器,它的原理是建立一个子网-----内部网络和外部网络之间的一个单独区域,一个路由器或更复杂的网关位于内部网络和该区域之间,其他的位于该区域和外部网络之间。在该子网上有一个代理主机,进出用户必须在应用层和该代理主机连接。代理主机可以进行预先的鉴别,针对特定的网络应用服务协议指定数据过滤逻辑,限制进出的通信,并在进行应用协议所指定的数据过滤逻辑的同时,对数据包分析的结果及采取的措施做登记和统计,形成报告,提供审计的功能。

应用层网关不使用通用目标机制来服务不同种类的通信,而是针对每个应用使用专用的代码。它在网络应用层上建立协议过滤和转发功能,针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计。通过采用这种专用的程序代码,应用层网关可以提供高可靠性的安全机制。为了使用应用层网关,用户需要在应用层网关上登录请求,或者在本地机器上使用一个为该服务特别编制的程序代码。每当一个新的需要保护的应用程序加入网络中时,必须为其编写专门的程序代码。正因如此,许多应用层网关只能提供有限的应用和服务功能,同时必须为每一项应用编写专用程序。但从安全角度上看,这也是一个优点,因为除非明确地提供了应用层网关,否则就不可能通过防火墙。这也是在实践“拒绝访问除明确许可以外的任何一种服务”的原则。

应用层网关的优点是容易记录和控制所有进出的通信,应用层网关可以去掉内部设备的名字,隐藏可能有价值的数据,通信分析、内容分析和记录都可以用来寻找信息漏洞,不必担心不同过滤规则集之间的相互影响,也不必担心对外提供安全服务的主机中的漏洞。应用层网关的缺点是对提供的大部分服务都需要专业化的用户程序或不同用户接口,这意味着只能支持最重要的服务,而且一旦特定的网络数据满足逻辑,则会导致防火墙内外的计算机系统建立直接联系,这一点也给网络带来安全隐患。

3. 代理服务器技术

代理服务器也称链路级网关或TCP通道,它作用在应用层,提供对应用层服务的控制,起到内部网络向外部网络申请服务时中间转接的作用。内部网络只接受代理提出的服务请求,拒绝外部网络其他结点的直接请求。

具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问互联网并被内部主机访问的堡垒主机。这些程序接受用户对互联网服务的请求(诸如FTP、Telent),并按照一定的安全策略转发它们到实际的服务器。

代理服务应用于特定的互联网服务,如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常运行在两个网络之间,对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户端一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就不用重复查找同样的内容,既节约时间,也节约网络资源。

代理服务器像一堵墙一样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到任何内部资源,诸如用户的IP等。代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。通过代理访问internet可以解决合法的IP地址不够用的问题,因为internet所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问internet。然而代理服务器也有明显的缺点,主要包括它的有限连接性、性能低下等。

目前,随着互联网的环境不断动态变化,新的协议、服务和应用不断出现,代理服务器不能再处理互联网上各种类型的传输,不能满足新的商业需求,不能胜任对网络高带宽和安全性的需要。

4. 网络地址转换技术(NAT)

当受保护网连到internet上时,受保护网用户必须使用一个合法的IP地址。但由于合法internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP),这就需要网络地址转换器。网络地址转换器就是在防火墙上装载一个合法IP地址集,当内部某一用户要访问internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址,外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。

网络地址转换分为静态地址和动态地址两种转换模式,静态地址转换是一对一的永久地址映射,而动态地址转换则是根据内部用户的需要临时分配公网地址,其地址映射是暂时的。网络地址转换可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。在不同时候,内部计算机对外连接使用的地址都是不同的,给外部攻击造成了困难。同样,NAT也能通过定义各种映射规则,屏蔽外部的连接请求,并可以将链接请求映射到不同的计算机中。网络地址转换都和IP数据包过滤一起使用,就构成了一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保障作用。

5. 规则检查技术

规则检查技术既能在网络层上通过IP地址和端口号,过滤进出的数据包,也可以在OSI应用层上检查数据包的内容,查看这些内容是否符合网络的安全规则。目前,动态规则检查技术是防火墙技术的一个重大改进。最初,静态检查规则是管理员事先定好的,由于事先很难精准地判断防火墙应开多少端口才能满足正常通信的需求,所以,只能打开较多的端口满足需求,其中必然有大部分端口是不必打开的,这样就给黑客的行动带来极大的便利。动态规则的引入弥补了静态规则的不足。动态规则是由应用程序直接加入的,因此所有在应用中才能知道是否打开的端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则由应用程序删除,相应的端口被关闭,而静态规则只需要打开极少数必须打开的端口。这样在最大限度上降低了黑客进攻的成功率。

6. 主动监测技术

主动监测技术监测网络情况,当出现网络攻击时就立即发出警告或切断相关连接。它维护一个记录各种攻击模式的数据库,并使用监测程序时刻运行在网络中进行监控,一旦发现网络中存在与数据库中的某个模式相匹配的攻击模式时,就能推断可能出现网络攻击。主动监测程序要监控整个网络的数据,因此需要运行在路由器上或路由器旁能获得所有网络流量的位置。这种技术主要用于对网络安全要求非常高的网络系统中,常用的网络并不需要使用这种方式。

7. 多级过滤技术

多级过滤防火墙采用了分组、应用网关和电路网关的三级过滤措施。在分组过滤一级,过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,利用FTP、SMTP等各种网关,控制和监测internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务执行严格的控制。

8. INTERNET网关技术

由于是直接串联在网络之中,防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞。因此,它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、WWW等)来实现网关功能。同时为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。而单纯使用该技术,抵抗外部进入的能力较差,当和网络地址转换技术相结合时,就能实现更好的安全保证。

(三)入侵监测技术

入侵检测技术最早是由多萝西丹宁(Dorothy Denning)于1986年提出的,近年来由于黑客盛行而受到极大重视。从具体的检测方法上看,可将检测系统分为基于行为的和基于知识的两种;从检测系统所分析的原始数据上看,可分为来自系统日志和网络数据包两种。入侵检测技术的基本原理是,首先收集系统的脆弱性指标建立检测库,再以此检测库检测其他系统中是否有已知的类似脆弱性;若发现新的脆弱性,又反过来更新原有检测库。如此往复,不断丰富检测库,及时发现系统脆弱性。入侵检测包括通过破译口令或使用软件非授权侵入系统、合法用户的信息外泄、冒充他人账户的闯入等多种内容。入侵检测技术已从早期的审计跟踪数据分析,发展到目前应用于大型网络和分


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/358747.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-10
下一篇2023-05-10

发表评论

登录后才能评论

评论列表(0条)

    保存