論文:構(gòu)建圖書館分布式防火墻
提示:
本文原版含圖表word版全文下載地址附后(正式會(huì)員會(huì)看到下載地址)。這里只復(fù)制粘貼部分內(nèi)容或目錄(下面顯示的字?jǐn)?shù)不代表全文字?jǐn)?shù)),有任何不清楚的煩請(qǐng)咨詢本站客服。
摘 要: 分布式防火墻是針對(duì)傳統(tǒng)的邊界防火墻存在的缺陷而提出的一種新型網(wǎng)絡(luò)a全體系。根據(jù)圖書館網(wǎng)絡(luò)分布情況給出了在圖書館建立分布式防火墻的一個(gè)實(shí)例。
關(guān)鍵詞: 圖書館;分布式防火墻;網(wǎng)絡(luò)a全
分類號(hào): G250.7
Abstract: The distributed firewall (DFW), aimed to improve on lack of the traditional perimeter firewall, is a new network security system. An idea to co
……(新文秘網(wǎng)http://120pk.cn省略625字,正式會(huì)員可完整閱讀)……
,主要體現(xiàn)在以下幾個(gè)方面:
圖1 目前圖書館安全體系結(jié)構(gòu)
1.1結(jié)構(gòu)性上受限制
邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。隨著VPN技術(shù)的日漸成熟,圖書館業(yè)務(wù)的擴(kuò)張,圖書館網(wǎng)絡(luò)已超過了空間的限制,可能不僅由一個(gè)物理局域網(wǎng)組成。圖1中LAN2是圖書館分館或是根據(jù)業(yè)務(wù)需要而設(shè)的分支機(jī)構(gòu),由于地域的不同,圖1中防火墻1不能對(duì)LAN2進(jìn)行保護(hù)。邊界防火墻的應(yīng)用受到了結(jié)構(gòu)性的限制。
1.2內(nèi)部不夠安全
邊界防火墻設(shè)置安全策略的一個(gè)基本假設(shè)是:網(wǎng)絡(luò)外部的所有人是不可信任的,另一邊即內(nèi)部的所有人是完全可信任的。但在實(shí)際環(huán)境中,80%的攻擊和越權(quán)訪問來自于內(nèi)部,例如圖1中電子閱覽室的桌面機(jī)對(duì)自動(dòng)化系統(tǒng)的攻擊。也就是說,邊界防火墻在對(duì)付網(wǎng)絡(luò)a全的主要威脅時(shí)束手無策。
1.3易成為網(wǎng)絡(luò)訪問的瓶頸
無論出于何種機(jī)制,防火墻對(duì)數(shù)據(jù)包的檢查總會(huì)耗費(fèi)一定的網(wǎng)絡(luò)資源。圖1中所有流入LAN1的數(shù)據(jù)包均需要經(jīng)過防火墻1的檢查,同時(shí)防火墻1又是把持外網(wǎng)向內(nèi)網(wǎng)的惟一入口,因此在防火墻1處容易造成網(wǎng)絡(luò)流量的阻塞,并且隨LAN1規(guī)模的擴(kuò)大越來越嚴(yán)重。
1.4易成為攻擊的焦點(diǎn)
圖1中防火墻1容易成為攻擊的焦點(diǎn),一旦發(fā)生故障會(huì)使整個(gè)LAN1失去防護(hù)而造成很大的安全隱患。
2 引入分布式防火墻
針對(duì)傳統(tǒng)邊界防火墻的欠缺,美國AT&T實(shí)驗(yàn)室研究員Steven M.Bellovin首次提出了分布式防火墻(Distributed Firewalls,DFW)的概念[1],這種防火墻突破了傳統(tǒng)防火墻結(jié)構(gòu)和功能上的限制,對(duì)以上列出的問題都進(jìn)行了良好的解決。分布式防火墻有狹義和廣義之分,狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機(jī)并對(duì)主機(jī)系統(tǒng)提供安全防護(hù)的軟件產(chǎn)品,廣義分布式防火墻則是一個(gè)完整的系統(tǒng),而不是單一的產(chǎn)品。分布式防火墻系統(tǒng)由網(wǎng)絡(luò)防火墻(Network Firewall)、主機(jī)防火墻(Host Firewall)、中心管理(Central Managerment)三部分組成[2]。
3 分布式防火墻的構(gòu)建
針對(duì)傳統(tǒng)防火墻的不足并依照?qǐng)D1的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)一個(gè)分布式防火墻體系結(jié)構(gòu)如圖2:
圖2 分布式防火墻安全體系結(jié)構(gòu)
3.1工作機(jī)制及體系結(jié)構(gòu)
網(wǎng)絡(luò)防火墻,如圖2中的過濾Filter1~Filter5,主要實(shí)現(xiàn)包過濾。Filter1、Filter2置于局域網(wǎng)與Internet之間負(fù)責(zé)穿越Internet通道的安全性;其它過濾器負(fù)責(zé)網(wǎng)關(guān)到網(wǎng)關(guān)和主機(jī)到網(wǎng)關(guān)的安全通道(VPN)。Filter1與邊界防火墻不同的是,由于它只是DFW的一部分,只需要提供一些簡單的過濾規(guī)則,因此它不存在安全性和高效性的矛盾。同時(shí)由于它不是安全性的完全提供者,它不會(huì)危及整個(gè)系統(tǒng)的安全[3]。
主機(jī)防火墻與個(gè)人相似,相當(dāng)于一個(gè)主機(jī)駐留防火墻軟件,軟件嵌入操作系統(tǒng)內(nèi)核,用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。圖2中的每一個(gè)HOST(包括桌面機(jī)及服務(wù)器)都安裝這種主機(jī)防火墻。主機(jī)防火墻是安全策略的實(shí)施者,主要功能有:管理分發(fā)的認(rèn)證證書;管理接收的安全策略;執(zhí)行安全策略;日志功能等。
中心管理是分布式防火墻體系的安全策略中心,如圖2中的中心管理服務(wù)器,安裝一個(gè)防火墻服務(wù)器管理 ……(未完,全文共3476字,當(dāng)前僅顯示1756字,請(qǐng)閱讀下面提示信息。
收藏《論文:構(gòu)建圖書館分布式防火墻》)