本站联系方式
   联系QQ  :1095080675
   联系QQ  :1223950575
  技术指导:1353934434
  
  电子邮箱:1095080675@qq.com
标题  嵌入Web的Web应用防火墙的设计与实现
编号  22121
资料明细  论文
推荐指数  ★★★★★
论文内容

1 引言
传统防火墙技术将内部网和外部网隔离开来, 将内部网视 为可信任的安全网络, 而将外部网视为不可信任的不安全网 络, 通过防火墙保护内部网络。对于 Web 服务器, 这种防火墙 存在下列一些问题: 它跟 Web 服务器上的站点软件是完全分 离的, 无法防范通过防火墙以外的其它途径的攻击, 比如通过 VPN 进行的攻击; 无法防止内部发生的攻击行为; 不能有效防 护合法用户的攻击; 防火墙是一个进出关口, 一旦该关口被黑 客攻破, 那么内部 Web 将面临严重威胁; 不便管理人员对它进 行远程管理。
为了解决上述问题, 可以对原有的防火墙进行改进, 设计 一种新的防火墙—— —嵌入 Web 的防火墙(EWF)。这种防火墙 内嵌于 Web 服务器的应用软件中, 即除了边界防火墙外, 还 将防火墙的功能分布到内部的 Web 服务器上, 将集中防御改 为集中和分布结合的防御。这种防火墙与传统网络防火墙共 存, 是对传统网络防火墙的有效补充, 是 Web 的最后一道安 全防线。
1 嵌入 Web防火墙的设计
EWF 和传统防火墙不同的是, 它工作在应用层, 和站点的 应用程序一起工作, 它主要判断登入 Web服务器者的身份及来 源, 检查用户是否合法, 同时监测并记录各项活动, 保证 Web的 安全。管理员在 Web页面上设置对登入者过滤的规则, 这样就 可以进行远程管理, 进行远程报警接收和处理等, 增加管理的 方便性和实时性。
1.1 EWF 的功能设计
EWF 主要实现的功能包括: IP 地址过滤、 MAC 地址过滤、 域名过滤、登入身份认证、用户标识判断、访问日志、入侵报警 和远程管理。
IP 地址过滤 EWF 通过检测 IP 包包头中的源、目的 IP 地 址及端口号、协议类型等, 以判断该 IP 是否是合法访问者, 然 后决定是允许或拒绝此包。
MAC 地址过滤 IP 地址可能被伪造, 入侵者可以通过伪装 成合法 IP 进行对 Web 非法访问, 而 MAC 地址就不容易被修 改, 而且世界上没有相同的 MAC 地址, 所以通过它来识别用户 的身份。即通过 UDP 中的 MAC 地址进行过滤。
域名过滤 用户通过代理服务器访问 Web 服务器的资源, 那么 EWF 就不能通过获取他的 IP 和 MAC 地址来识别身份。 只能通过他所用的代理服务器的域名来识别身份。
登入身份认证 身份认证是 EWF 中最基本的安全保证, 其 它的安全服务都以此为前提。身份认证使用用户名和口令, 用 以验证身份。
用户标识判断 用户对 Web 资源有不同的访问等级, 用 户的标识决定了他访问资源的类型和级别, 例如是否允许 TCP/IP 访问, 是否允许域名访问等。
访问日志 访问日志记录所有访问者的访问信息, 对数据 进行自动分类和自动检索, 审计跟踪访问者的活动, 给管理员 提供分析的依据。
入侵报警 EWF 在收集到有关用户活动的状态和行为等信 息后, 通过分析, 一旦发现入侵行为, 立即响应, 包括记录事件、 向管理员发出报警信息和实施安全控制等。可以通过拒绝入侵 者的访问或者切断网络连接, 甚至向攻击源发送目标不可到达 的信息来实现安全控制。
远程管理 EWF 内嵌于 Web 页面中, 管理员可以通过浏 览器进行远程管理防火墙, 可以设置允许访问的 IP、 MAC、域 名和标识, 拒绝或断开非法用户访问, 分析访问日志, 追踪入 侵者。

说明
 以上是论文部分内容。如果对以上内容感兴趣,可以QQ:1095080675或邮件1095080675@qq.com继续联系我们。
相关文章
  • 分布式防火墙
  • Windows个人防火墙
  • 个人防火墙的设计与实现
  • 基于Windows平台的个人防火墙设计
  • 简易Windows防火墙的设计与实现
  • 上一篇:高校教职工信息管理系统的开发研究
  • 下一篇:简易校园网络监控管理系统的设计