网络安全技术论文范文

引言：寻求写作上的突破？我们特意为您精选了4篇网络安全技术论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

常永亮

(飞行试验研究院测试所陕西西安710089)

【摘要】Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享，因此，资源共享和信息安全就成了一对矛盾。

【关键词】网络攻击、安全预防、风险分析、网络安全

1.引言

随着网络的迅速发展，网络的安全性显得非常重要，这是因为怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络非法进入远程主机，获取储存在主机上的机密信息，或占用网络资源，阻止其他用户使用等。然而，网络作为开放的信息系统必然存在众多潜在的安全隐患，因此，网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。

一般来说，计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用，互联网的安全性又很难在无线网上实施，因此，特别在构建内部网时，若忽略了无线设备的安全性则是一种重大失误。

2.网络攻击及其防护技术

计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因遭到破坏、泄露，能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。

网络的安全主要来自黑客和病毒攻击，各类攻击给网络造成的损失已越来越大了，有的损失对一些企业已是致命的，侥幸心里已经被提高防御取代，下面就攻击和防御作简要介绍。

2.1常见的攻击有以下几类：

2.1.1入侵系统攻击

此类攻击如果成功，将使你的系统上的资源被对方一览无遗，对方可以直接控制你的机器。

2.1.2缓冲区溢出攻击

程序员在编程时会用到一些不进行有效位检查的函数，可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，从而破坏程序的堆栈，使程序转而执行其它的指令，如果这些指令是放在有root权限的内存中，那么一旦这些指令得到了运行，黑客就以root权限控制了系统，这样系统的控制权就会被夺取，此类攻击在LINUX系统常发生。在Windows系统下用户权限本身设定不严谨，因此应比在LINUX系统下更易实现。

2.1.3欺骗类攻击

网络协议本身的一些缺陷可以被利用，使黑客可以对网络进行攻击，主要方式有：IP欺骗；ARP欺骗；DNS欺骗；Web欺骗；电子邮件欺骗；源路由欺骗；地址欺骗等。

2.1.4拒绝服务攻击

通过网络，也可使正在使用的计算机出现无响应、死机的现象，这就是拒绝服务攻击，简称DoS（DenialofService）。

分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪，简称DDoS（DistributedDenialofService）。

2.1.5对防火墙的攻击

防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺陷，对防火墙的攻击方法也是多种多样的，如探测攻击技术、认证的攻击技术等。

2.1.6利用病毒攻击

病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。

2.1.7木马程序攻击

特洛伊木马是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

2.1.8网络侦听

网络侦听为主机工作模式，主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具，就可以轻易地截取所在网段的所有用户口令和帐号等有用的信息资料。

等等。现在的网络攻击手段可以说日新月异，随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进，操作系统对本身漏洞的更新补救越来越及时。现在企业更加注意企业内部网的安全，个人越来越注意自己计算机的安全。可以说：只要有计算机和网络的地方肯定是把网络安全放到第一位。

网络有其脆弱性，并会受到一些威胁。因而建立一个系统时进行风险分析就显得尤为重要了。风险分析的目的是通过合理的步骤，以防止所有对网络安全构成威胁的事件发生。因此，严密的网络安全风险分析是可靠和有效的安全防护措施制定的必要前提。网络风险分析在系统可行性分析阶段就应进行了。因为在这阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善，在建立安全防护时，风险分析还是会发现一些潜在的安全问题，从整体性、协同性方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。

2.2防御措施主要有以下几种

2.2.1防火墙

防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。

2.2.2虚拟专用网

虚拟专用网（VPN）的实现技术和方式有很多，但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道，利用加密技术对经过隧道传输的数据进行加密，以保证数据的私有性和安全性。此外，还需要防止非法用户对网络资源或私有信息的访问。

2.2.3虚拟局域网

选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息，但VLAN技术的局限在新的VLAN机制较好的解决了，这一新的VLAN就是专用虚拟局域网（PVLAN）技术。

2.2.4漏洞检测

漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查；主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸，并能有效地结合其他网络安全产品的性能，保证计算机系统或网络系统的安全性和可靠性。

2.2.5入侵检测

入侵检测系统将网络上传输的数据实时捕获下来，检查是否有黑客入侵或可疑活动的发生，一旦发现有黑客入侵或可疑活动的发生，系统将做出实时报警响应。

2.2.6密码保护

加密措施是保护信息的最后防线，被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用，但随着计算机性能的飞速发展，破解部分公开算法的加密方法已变得越来越可能。因此，现在对加密算法的保密越来越重要，几个加密方法的协同应用会使信息保密性大大加强。

2.2.7安全策略

安全策略可以认为是一系列政策的集合，用来规范对组织资源的管理、保护以及分配，已达到最终安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8网络管理员

网络管理员在防御网络攻击方面也是非常重要的，虽然在构建系统时一些防御措施已经通过各种测试，但上面无论哪一条防御措施都有其局限性，只有高素质的网络管理员和整个网络安全系统协同防御，才能起到最好的效果。

以上大概讲了几个网络安全的策略，网络安全基本要素是保密性、完整性和可用，但网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护，不仅可能不能减少网络的安全风险，浪费大量的资金，而且可能招致更大的安全威胁。一个好的安全网络应该是由主机系统、应用和服务、路由、网络、网络管理及管理制度等诸多因数决定的，但所有的防御措施对信息安全管理者提出了挑战，他们必须分析采用哪种产品能够适应长期的网络安全策略的要求，而且必须清楚何种策略能够保证网络具有足够的健壮性、互操作性并且能够容易地对其升级。

随着信息系统工程开发量越来越大，致使系统漏洞也成正比的增加，受到攻击的次数也在增多。相对滞后的补救次数和成本也在增加，黑客与反黑客的斗争已经成为一场没有结果的斗争。

3.结论

网络安全的管理与分析现已被提到前所未有的高度，现在IPv6已开始应用，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高，但并不是不存在安全问题了。在WindowsVista的开发过程中，安全被提到了一个前所未有的重视高度，但微软相关负责人还是表示，＂即使再安全的操作系统，安全问题也会一直存在＂。

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用才能完好、实时地保证信息的完整性和正确性，为网络提供强大的安全服务——这也是网络安全领域的迫切需要。

参考文献

篇2

1、反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。

2、入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏。

因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。

三、内部网络安全

为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

1、访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。

以上只是对防范外部入侵，维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施，健康正常的校园网络需要广大师生共同来维护。

篇3

2对无线传感器的安全技术造成破坏的因素

2.1破撞攻击。在发包作用处于正常的节点中时，破坏方则会附带的将另一个数据包进行发送，使得破坏的数据由于出现数据的叠加无法有效的被分离开，从而严重的阻碍了正常情况下的网络通信，并且破坏了网络通信的安全性，即为碰撞攻击。建立监听系统则是最好的防卸方法，它是利用纠错系统来查找数据包的叠加状况，并及时的对其进行清除，从而确保数据安全的传输。

2.2拥塞攻击。拥塞攻击指就是破换方对网络通信的频率进行深入的了解之后，通过通信频率附近的区域的得知，来发射相应的无线电波，从而进行一步对干扰予以加大。对于这种状况，则需要采用科学合理的预防方式，来将网络节点装换成另一个频率，才能进行正常的通信。

3加强无线传感器网络安全技术的相关措施分析

3.1密钥管理技术。通常在密钥的管理中，密钥从生成到完毕的这一过程所存在的不同问题在整个加密系统中是极其薄弱的一个环节，信息的泄漏问题尤为频繁。目前我国对密钥管理技术上最根本的管理是对称密钥机制的管理，其中包括非预共享的密钥模式、预共享密钥模式、概率性分配模式以及确定性分配模式。确定性分配模式为一个共享的密码钥匙，处于两个需要进行交换的数据节点间，且为一种非常确定的方式。而概率性分配则是将密码钥匙的共享得以实现，则要根据能够进行计算的合理概率，从而使得分配模式予以提出。

3.2安全路由技术。路由技术的实施就是想节省无线传感器网络中的节点所拥有能量，并最大程度体现无线传感器网络系统。但由于传播的范围较大，因此在传输网络数据信息时常常不同程度的遭受攻击，例如DD路由中最根本的协议，一些恶意的消息通过泛洪攻击方式进行拦截及获取，并利用网络将类似虚拟IP地址、hello时间以及保持时间这样的HSRP信息的HSRP协议数据单元进行寄发的方式，来对正常情况下的传输实行阻碍，使得网络无法进行正常且顺利的通信流程。但通过HSRP协议和TESLA协议进行有效结合所形成的SPINS协议，则可以有效的缓解且减少信息泄露的情况的出现，同时进一步加强了对攻击进行预防的能力，从而保证无线传感器网络整体的系统具有安全性。

3.3安全数据相融合。无线传感器网络就是通过丰富且复杂的数据所形成的一种网络，其中的相关数据会利用融合以及剔除，来对数据信息进行传送，因此在此过程中，必须谨慎仔细的对数据融合的安全性问题予以重视。同时数据融合节点的过程中，必须将数据具体的融合通过安全节点进行开展，并且在融合之后，将一些有效的数据通过供基站予以传送，才能进一步对监测的评价进行开展，从而保证融合的结果具有真实性以及安全性。

3.4密码技术。针对无线传感器网络中的一些极其不安全的特性，可通过密码设置、科学化的密码技术，从而进一步保证网络通信能够安全的进行。同时通过加大密码中相关代码以及数据的长度，来大大降低信息泄露的情况，从而可以有效的保证通信数据的安全性。由于出现的密钥算法无法达到对称性，其中所具备的保护因素较大，并且拥有简单方便的密码设置，从而广泛、普遍的被人们运用到日常生活中。而在应用不同的通信设备时，则需要将相应的密码技术进行使用。

篇4

一、概述

随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。

其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。

防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。

二、防火墙技术

网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:

1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;

2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;

3、防火墙本身不受各种攻击的影响;

4、使用目前新的信息安全技术,比如现代密码技术等;

5、人机界面良好,用户配置使用方便,易管理。

实现防火墙的主要技术有:分组筛选器,应用网关和服务等。

(1)分组筛选器技术

分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。

通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。

拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。

(2)应用网关技术

应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。

有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务

服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。

具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。

在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网

三、防火墙技术展望

伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。

另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。

参考文献:

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.