首頁 > 精品范文 > 防火墻技術(shù)論文
防火墻技術(shù)論文精品(七篇)
時(shí)間:2023-03-16 16:00:57
序論:寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來了七篇防火墻技術(shù)論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創(chuàng)作。
篇(1)
關(guān)鍵詞:Internet網(wǎng)路安全防火墻過濾地址轉(zhuǎn)換
1.引言
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中,尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起,很快形成了一個(gè)產(chǎn)業(yè):1995年,剛剛面市的防火墻技術(shù)產(chǎn)品市場量還不到1萬套;到1996年底,就猛增到10萬套;據(jù)國際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測,防火墻市場將以173%的復(fù)合增長率增長,今年底將達(dá)到150萬套,市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。
為了更加全面地了解Internet防火墻及其發(fā)展過程,特別是第四代防火墻的技術(shù)特色,我們非常有必要從產(chǎn)品和技術(shù)角度對(duì)防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。
2.Internet防火墻技術(shù)簡介
防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:
1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;
2)限定人們從一個(gè)特定的點(diǎn)離開;
3)防止侵入者接近你的其他防御設(shè)施;
4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。
在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet,如圖1所示。
圖1防火墻在Internet中的位置
從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧
防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:
過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);
管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;
封堵某些禁止行為;
記錄通過防火墻的信息內(nèi)容和活動(dòng);
對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。
為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。
3.1基于路由器的防火墻
由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:
1)利用路由器本身對(duì)分組的解析,以訪問控制表(AccessList)方式實(shí)現(xiàn)對(duì)分組的過濾;
2)過濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。
第一代防火墻產(chǎn)品的不足之處十分明顯,具體表現(xiàn)為:
路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。
路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來很多錯(cuò)誤。
路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。
路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。
可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。
3.2用戶化的防火墻工具套
為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。
作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;
2)針對(duì)用戶需求,提供模塊化的軟件包;
3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻;
4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。
由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題:
配置和維護(hù)過程復(fù)雜、費(fèi)時(shí);
對(duì)用戶的技術(shù)要求高;
全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。
3.3建立在通用操作系統(tǒng)上的防火墻
基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操
作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些
特點(diǎn):
1)是批量上市的專用防火墻產(chǎn)品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;
4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同
。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問題,比如:
1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性
無從保證;
2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的
安全性負(fù)責(zé);
3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商
的攻擊;
4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;
5)透明性好,易于使用。
4.第四代防火墻的主要技術(shù)及功能
第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一,具有以下技術(shù)功能。
4.1雙端口或三端口的結(jié)構(gòu)
新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡,內(nèi)外兩個(gè)網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間,另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。
4.2透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。
4.3靈活的系統(tǒng)
系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊,第四代防火墻采用了兩種機(jī)制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。
4.4多級(jí)過濾技術(shù)
為保證系統(tǒng)的安全性和防護(hù)水平,第四代防火墻采用了三級(jí)過濾措施,并輔以鑒別手段。在分組過濾一級(jí),能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。
4.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)
第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。
4.6Internet網(wǎng)關(guān)技術(shù)
由于是直接串聯(lián)在網(wǎng)絡(luò)之中,第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。
在域名服務(wù)方面,第四代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。
在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。
4.7安全服務(wù)器網(wǎng)絡(luò)(SSN)
為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。
SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與風(fēng)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。4.8用戶鑒別與加密
為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。
4.9用戶定制服務(wù)
為了滿足特定用戶的特定需求,第四代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的,便可以利用這些支持,方便設(shè)置。
4.10審計(jì)和告警
第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。
此外,第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。
5.第四代防火墻技術(shù)的實(shí)現(xiàn)方法
在第四代防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中,安全內(nèi)核、系統(tǒng)、多級(jí)過濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。
5.1安全內(nèi)核的實(shí)現(xiàn)
第四代防火墻是建立在安全操作系統(tǒng)之上的,安全操作系統(tǒng)來自對(duì)專用操作系統(tǒng)的安全加固和改造,從現(xiàn)在的諸多產(chǎn)品看,對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個(gè)方面進(jìn)行:
1)取消危險(xiǎn)的系統(tǒng)調(diào)用;
2)限制命令的執(zhí)行權(quán)限;
3)取消IP的轉(zhuǎn)發(fā)功能;
4)檢查每個(gè)分組的接口;
5)采用隨機(jī)連接序號(hào);
6)駐留分組過濾模塊;
7)取消動(dòng)態(tài)路由功能;
8)采用多個(gè)安全內(nèi)核。
5.2系統(tǒng)的建立
防火墻不允許任何信息直接穿過它,對(duì)所有的內(nèi)外連接均要通過系統(tǒng)來實(shí)現(xiàn),為保證整個(gè)防火墻的安全,所有的都應(yīng)該采用改變根目錄方式存在一個(gè)相對(duì)獨(dú)立的區(qū)域以安全隔離。
在所有的連接通過防火墻前,所有的要檢查已定義的訪問規(guī)則,這些規(guī)則控制的服務(wù)根據(jù)以下內(nèi)容處理分組:
1)源地址;
2)目的地址;
3)時(shí)間;
4)同類服務(wù)器的最大數(shù)量。
所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站處理,進(jìn)站要保證內(nèi)部主機(jī)能夠了解外部主機(jī)的所有信息,而外部主機(jī)只能看到防火墻之外或SSN的地址。
所有從內(nèi)部網(wǎng)絡(luò)SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站處理,出站必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連,防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接,同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。
5.3分組過濾器的設(shè)計(jì)
作為防火墻的核心部件之一,過濾器的設(shè)計(jì)要盡量做到減少對(duì)防火墻的訪問,過濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行,服務(wù)終止時(shí),過濾規(guī)則會(huì)從內(nèi)核中消除,所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行,極為安全。分組過濾器包括以下參數(shù)。
1)進(jìn)站接口;
2)出站接口;
3)允許的連接;
4)源端口范圍;
5)源地址;
6)目的端口的范圍等。
對(duì)每一種參數(shù)的處理都充分體現(xiàn)設(shè)計(jì)原則和安全政策。
5.4安全服務(wù)器的設(shè)計(jì)
安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn):第一,所有SSN的流量都要隔離處理,即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的;第二,SSN的作用類似于兩個(gè)網(wǎng)絡(luò),它看上去像是內(nèi)部網(wǎng),因?yàn)樗鼘?duì)外透明,同時(shí)又像是外部網(wǎng)絡(luò),因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對(duì)外訪問的方式十分有限。
SSN上的每一個(gè)服務(wù)器都隱蔽于Internet,SSN提供的服務(wù)對(duì)外部網(wǎng)絡(luò)而言好像防火墻功能,由于地址已經(jīng)是透明的,對(duì)各種網(wǎng)絡(luò)應(yīng)用沒有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于:
1)解決分組過濾器與SSN的連接;
2)支持通過防火墻對(duì)SSN的訪問;
3)支持服務(wù)。
5.5鑒別與加密的考慮
鑒別與加密是防火墻識(shí)別用戶、驗(yàn)證訪問和保護(hù)信息的有效手段,鑒別機(jī)制除了提供安全保護(hù)之外,還有安全管理功能,目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式,具體方法有兩種一種是加密卡(CryptoCard);另一種是SecureID,這兩種都是一次性口令的生成工具。
對(duì)信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù),除PEM、PGP和Kerberos外,目前國外防火墻產(chǎn)品中尚沒有更好的機(jī)制出現(xiàn),由于加密算法涉及國家信息安全和,各國有不同的要求。
6.第四代防火墻的抗攻擊能力
作為一種安全防護(hù)設(shè)備,防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo),故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對(duì)防火墻的攻擊很多,下面從幾種主要的攻擊方法來評(píng)估第四代防火墻的抗攻擊能力。
6.1抗IP假冒攻擊
IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址,騙取服務(wù)器的“信任”,從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來,外部用戶很難知道內(nèi)部的IP地址,因而難以攻擊。
6.2抗特洛伊木馬攻擊
特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò),且通常是將這些惡意程序隱蔽在正常的程序之中,尤其是熱門程序或游戲,一些用戶下載并執(zhí)行這一程序,其中的病毒便會(huì)發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的,其內(nèi)核中不能執(zhí)行下載的程序,故而可以防止特洛伊木馬的發(fā)生。必須指出的是,防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上,內(nèi)部用戶可以通過防火墻下載程序,并執(zhí)行下載的程序。
6.3抗口令字探尋攻擊
在網(wǎng)絡(luò)中探尋口令的方法很多,最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信,截獲用戶傳給服務(wù)器的口令字,記錄下來,以便使用;解密是指采用強(qiáng)力攻擊、猜測或截獲含有加密口令的文件,并設(shè)法解密。此外,攻擊者還常常利用一些常用口令字直接登錄。
第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施,能夠有效防止對(duì)口令字的攻擊。
6.4抗網(wǎng)絡(luò)安全性分析
網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的,一旦這類工具用作攻擊網(wǎng)絡(luò)的手段,則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前,SATA軟件可以從網(wǎng)上免費(fèi)獲得,InternetScanner可以從市面上購買,這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù),將內(nèi)部網(wǎng)絡(luò)隱蔽起來,使網(wǎng)絡(luò)安全分析工具無法從外部對(duì)內(nèi)部網(wǎng)絡(luò)做分析。
6.5抗郵件詐騙攻擊
郵件詐騙也是越來越突出的攻擊方式,第四代防火墻不接收任何郵件,故難以采用這種方式對(duì)它攻擊,同樣值得一提的是,防火墻不接收郵件,并不表示它不讓郵件通過,實(shí)際上用戶仍可收發(fā)郵件,內(nèi)部用戶要防郵件詐騙,最終的解決辦法是對(duì)郵件加密。
7.防火墻技術(shù)展望
伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動(dòng)向和趨勢。下面諸點(diǎn)可能是下一步的走向和選擇:
1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。
2)過濾深度會(huì)不斷加強(qiáng),從目前的地址、服務(wù)過濾,發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對(duì)ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網(wǎng)是較長一段時(shí)間用戶使用的主流,IP的加密需求越來越強(qiáng),安全協(xié)議的開發(fā)是一大熱點(diǎn)。
4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。
5)對(duì)網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。
篇(2)
一、計(jì)算機(jī)網(wǎng)絡(luò)的安全與攻擊
計(jì)算機(jī)的網(wǎng)絡(luò)安全攻擊。計(jì)算機(jī)的網(wǎng)絡(luò)安全是數(shù)據(jù)運(yùn)行的重要任務(wù),同時(shí)也是防火墻的重點(diǎn)內(nèi)容。計(jì)算機(jī)的發(fā)展在時(shí)代的變遷中更加廣泛,但同時(shí)運(yùn)行過程中的威脅也會(huì)影響到計(jì)算機(jī)的使用。例如:數(shù)據(jù)方面、環(huán)境威脅、外力破壞、拒絕服務(wù)、程序攻擊、端口破壞等。計(jì)算機(jī)網(wǎng)絡(luò)的主體就是數(shù)據(jù),在數(shù)據(jù)的運(yùn)行中如果存在漏洞會(huì)給網(wǎng)絡(luò)安全帶來很大的隱患,比如在節(jié)點(diǎn)數(shù)據(jù)處若是進(jìn)行攻擊篡改會(huì)直接破壞數(shù)據(jù)的完整性,攻擊者往往會(huì)選擇數(shù)據(jù)內(nèi)容進(jìn)行操作、對(duì)其進(jìn)行攻擊泄露,還可植入木馬病毒等,使得網(wǎng)絡(luò)安全成為了問題;環(huán)境是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ),用戶在使用訪問時(shí)會(huì)使用到網(wǎng)絡(luò)環(huán)境,而環(huán)境卻是開放共享的,攻擊者可以對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)的數(shù)據(jù)包進(jìn)行處理,將攻擊帶入內(nèi)網(wǎng)以破壞內(nèi)網(wǎng)的防護(hù)功能;外力破壞主要就是木馬、病毒的攻擊,攻擊者可以利用網(wǎng)站和郵箱等植入病毒,攻擊使用者的計(jì)算機(jī),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障;拒絕服務(wù)是攻擊者利用系統(tǒng)的漏洞給計(jì)算機(jī)發(fā)送數(shù)據(jù)包,使得主機(jī)癱瘓不能使用任何服務(wù),主要是由于計(jì)算機(jī)無法承擔(dān)高負(fù)荷的數(shù)據(jù)存儲(chǔ)因而休眠,無法對(duì)用戶的請(qǐng)求作出反應(yīng);程序攻擊是指攻擊者應(yīng)用輔助程序攻入程序內(nèi)部,進(jìn)而毀壞文件數(shù)據(jù)等;端口攻擊卻是攻擊者從硬性的攻擊路徑著手,使得安全系統(tǒng)出現(xiàn)問題。以上的各種網(wǎng)絡(luò)安全問題都需要使用防火墻技術(shù),以減少被攻擊的次數(shù)和程度,保證用戶的數(shù)據(jù)及文件等的安全。
二、網(wǎng)絡(luò)安全中的防火墻技術(shù)
(一)防火墻技術(shù)的基本概念
防火墻技術(shù)是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道屏障,它是由多種硬件設(shè)備和軟件的組合,是用來保障網(wǎng)絡(luò)安全的裝置。主要是根據(jù)預(yù)設(shè)的條件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的信息和數(shù)據(jù)進(jìn)行監(jiān)控,然后授權(quán)以及限制服務(wù),再記錄相關(guān)信息進(jìn)行分析,明確每一次信息的交互以預(yù)防攻擊。它具有幾種屬性:所以的信息都必須要經(jīng)過防火墻、只有在受到網(wǎng)絡(luò)安全保護(hù)的允許下才能通過它、并且能夠?qū)W(wǎng)絡(luò)攻擊的內(nèi)容和信息進(jìn)行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性,能夠?qū)Π踩雷o(hù)的策略進(jìn)行篩選并讓其通過、能夠記錄數(shù)據(jù)的信息并進(jìn)行檢測,以便及時(shí)預(yù)警、還能夠容納計(jì)算機(jī)的整體的信息并對(duì)其進(jìn)行維護(hù)。而防火墻常用技術(shù)主要分為:狀態(tài)檢測、應(yīng)用型防火墻和包過濾技術(shù)。前者是以網(wǎng)絡(luò)為整體進(jìn)行研究,分析數(shù)據(jù)流的信息并將其與網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行區(qū)分,以查找不穩(wěn)定的因素,但是時(shí)效性差;應(yīng)用型的是用來保障內(nèi)外網(wǎng)連接時(shí)的安全,使得用戶在訪問外網(wǎng)時(shí)能夠更加的安全;包過濾技術(shù)就是將網(wǎng)絡(luò)層作為保護(hù)的對(duì)象,按計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議嚴(yán)格進(jìn)行,以此來實(shí)現(xiàn)防護(hù)效果。
(二)防火墻的常用功能構(gòu)件
它的常用功能構(gòu)件主要是認(rèn)證、訪問控制、完整、審計(jì)、訪問執(zhí)行功能等。認(rèn)證功能主要是對(duì)身份進(jìn)行確認(rèn);訪問控制功能是能夠決定是否讓此次文件傳送經(jīng)過防火墻到達(dá)目的地的功能,能夠防止惡意的代碼等;完整性功能是對(duì)傳送文件時(shí)的不被注意的修改進(jìn)行檢測,雖然不能對(duì)它進(jìn)行阻止,但是能進(jìn)行標(biāo)記,可以有效的防止基于網(wǎng)絡(luò)上的竊聽等;審計(jì)功能是能夠連續(xù)的記錄重要的系統(tǒng)事件,而重要事件的確定是由有效的安全策略決定的,有效的防火墻系統(tǒng)的所有的構(gòu)件都需要統(tǒng)一的方式來記錄。訪問執(zhí)行功能是執(zhí)行認(rèn)證和完整性等功能的,在通過這些功能的基礎(chǔ)上就能將信息傳到內(nèi)網(wǎng),這種功能能夠減少網(wǎng)絡(luò)邊界系統(tǒng)的開銷,使得系統(tǒng)的可靠性和防護(hù)能力有所提高。
三、防火墻的應(yīng)用價(jià)值
防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的廣泛應(yīng)用,充分的展現(xiàn)了它自身的價(jià)值。以下談?wù)搸c(diǎn):
(一)技術(shù)的價(jià)值
技術(shù)是防火墻技術(shù)中的一種,能夠?yàn)榫W(wǎng)絡(luò)系統(tǒng)提供服務(wù),以便實(shí)現(xiàn)信息的交互功能。它是比較特殊的,能夠在網(wǎng)絡(luò)運(yùn)行的各個(gè)項(xiàng)目中都發(fā)揮控制作用,分成高效。主要是在內(nèi)外網(wǎng)信息交互中進(jìn)行控制,只接受內(nèi)網(wǎng)的請(qǐng)求而拒絕外網(wǎng)的訪問,將內(nèi)外網(wǎng)進(jìn)行分割,拒絕混亂的信息,但是它的構(gòu)建十分復(fù)雜,使得應(yīng)用不易。雖然防護(hù)能力強(qiáng),在賬號(hào)管理和進(jìn)行信息驗(yàn)證上十分有效,但是因使用復(fù)雜而無法廣泛推廣。
(二)過濾技術(shù)的價(jià)值
過濾技術(shù)是防火墻的選擇過濾,能夠?qū)?shù)據(jù)進(jìn)行全面的檢測,發(fā)現(xiàn)攻擊行為或者危險(xiǎn)的因素時(shí)及時(shí)的斷開傳送,因而能夠進(jìn)行預(yù)防并且有效控制風(fēng)險(xiǎn)信息的傳送,以確保網(wǎng)絡(luò)安全,這項(xiàng)技術(shù)不僅應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全,而且在路由器使用上也有重要的價(jià)值。
(三)檢測技術(shù)的價(jià)值
檢測技術(shù)主要應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)的狀態(tài)方面,它在狀態(tài)機(jī)制的基礎(chǔ)上運(yùn)行,能夠?qū)⑼饩W(wǎng)的數(shù)據(jù)作為整體進(jìn)行準(zhǔn)確的分析并將結(jié)果匯總記錄成表,進(jìn)而進(jìn)行對(duì)比。如今檢測技術(shù)廣泛應(yīng)用于各層次網(wǎng)絡(luò)間獲取網(wǎng)絡(luò)連接狀態(tài)的信息,拓展了網(wǎng)絡(luò)安全的保護(hù)范圍,使得網(wǎng)絡(luò)環(huán)境能夠更加的安全。
四、總結(jié)
隨著計(jì)算機(jī)網(wǎng)絡(luò)的使用愈加廣泛,網(wǎng)絡(luò)安全問題也需要重視。而防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障手段,科學(xué)的利用防火墻技術(shù)的原理,能夠更加合理的阻止各種信息或數(shù)據(jù)的泄露問題,避免計(jì)算機(jī)遭到外部的攻擊,確保網(wǎng)絡(luò)環(huán)境的安全。將防火墻技術(shù)應(yīng)用于計(jì)算機(jī)的網(wǎng)絡(luò)安全方面能夠更加有效的根據(jù)實(shí)際的情況對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù),發(fā)揮其自身的作用以實(shí)現(xiàn)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的目的。
計(jì)算機(jī)碩士論文參考文獻(xiàn)
[1]馬利.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].信息與電腦,2017,13(35):35.
篇(3)
關(guān)鍵詞:入侵檢測異常檢測誤用檢測
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來,網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。畢業(yè)論文 而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過對(duì)網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測及攻擊行為檢測,并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測范圍,另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對(duì)入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測,是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會(huì)很高;閾值設(shè)定的過小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見,異常檢測技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測的虛警率很高,但對(duì)于未知的入侵行為的檢測非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。
篇(4)
關(guān)鍵詞:局域網(wǎng)網(wǎng)絡(luò)安全
一、引言
信息科技的迅速發(fā)展,Internet已成為全球重要的信息傳播工具。科技論文。據(jù)不完全統(tǒng)計(jì),Internet現(xiàn)在遍及186個(gè)國家,容納近60萬個(gè)網(wǎng)絡(luò),提供了包括600個(gè)大型聯(lián)網(wǎng)圖書館,400個(gè)聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫,2000種網(wǎng)上雜志,900種網(wǎng)上新聞報(bào)紙,50多萬個(gè)Web網(wǎng)站在內(nèi)的多種服務(wù),總共近100萬個(gè)信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會(huì)的各個(gè)領(lǐng)域,在社會(huì)生產(chǎn)、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性,與此同時(shí),又要求信息的傳播是可控的,共享是授權(quán)的,增殖是確認(rèn)的。因此在任何情況下,信息的安全和可靠必須是保證的。
二、局域網(wǎng)的安全現(xiàn)狀
目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。科技論文。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對(duì)其進(jìn)行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。事實(shí)上,Internet上許多免費(fèi)的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網(wǎng)偵聽作為其最基本的手段。
三、局域網(wǎng)安全技術(shù)
1、采用防火墻技術(shù)。防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護(hù)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。防火墻產(chǎn)品主要分為兩大類:
包過濾防火墻(也稱為網(wǎng)絡(luò)層防火墻)在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。
應(yīng)用級(jí)防火墻(也稱為應(yīng)用防火墻)在最高的應(yīng)用層提供高級(jí)別的安全防護(hù)和控制。
2、網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。
目前,海關(guān)的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局,應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制功能和三層交換功能,綜合應(yīng)用物理分段與邏輯分段兩種方法,來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。例如:在海關(guān)系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能,其實(shí)就是一種基于MAC地址的訪問控制,也就是上述的基于數(shù)據(jù)鏈路層的物理分段。
3、以交換式集線器代替共享式集線器。對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后,以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱為單播包UnicastPacket)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。用戶TELNET到一臺(tái)主機(jī)上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個(gè)字符(包括用戶名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機(jī)會(huì)。因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽。
4、VLAN的劃分。運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實(shí)際應(yīng)用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性,但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實(shí)際應(yīng)用卻尚不成熟。
在集中式網(wǎng)絡(luò)環(huán)境下,我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里,在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn),從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下,我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi),互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn),而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。
5、隱患掃描。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞有它多方面的屬性,主要可以用以下幾個(gè)方面來概括:漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴(yán)重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要組成部分,它不但可以實(shí)現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)安全管理,而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息,分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,有時(shí)還能實(shí)時(shí)地對(duì)攻擊做出反應(yīng)。漏洞檢測就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略,即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測,對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查;而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測,通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估,它指出了哪些攻擊是可能的,因此成為安全方案的一個(gè)重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補(bǔ)充,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)。科技論文。
四、網(wǎng)絡(luò)安全制度
1、組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。
2、負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn),使用戶自覺遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。
3、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)用戶的行為,保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全。
4、對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時(shí)間內(nèi)做出響應(yīng),使損失減少到最低限度。
五、結(jié)束語
網(wǎng)絡(luò)的開放性決定了局域網(wǎng)安全的脆弱性,而網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展,又給局域網(wǎng)的安全管理增加了技術(shù)上的不確定性,目前有效的安全技術(shù)可能很快就會(huì)過時(shí),在黑客和病毒面前不堪一擊。因此,局域網(wǎng)的安全管理不僅要有切實(shí)有效的技術(shù)手段,嚴(yán)格的管理制度,更要有知識(shí)面廣,具有學(xué)習(xí)精神的管理人員。
參考文獻(xiàn)
[1]石志國,薛為民,尹浩.《計(jì)算機(jī)網(wǎng)絡(luò)安全教程》[M].北京:北方交通大學(xué)出版社,2007.
篇(5)
關(guān)鍵詞:VPN,多出口,校園網(wǎng),遠(yuǎn)程訪問,ISP
1.校園網(wǎng)問題分析及其解決方案的提出
虛擬專用網(wǎng)(VPN),是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。它通過“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)(通常是因特網(wǎng))安全地對(duì)單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。
近年來,隨著高校信息化建設(shè)工作的深入開展,校園網(wǎng)用戶對(duì)校園網(wǎng)的要求也越來越高,傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計(jì)算機(jī)上網(wǎng)查資料、寫論文。如果要去學(xué)校圖書館網(wǎng)站,或者是教育網(wǎng)內(nèi)查資料,一般情況下是無法查找并下載的,因?yàn)閷W(xué)校圖書館的電子資源都做了訪問限制,普通Internet用戶也是不能訪問教育網(wǎng)的。在每年期末考試后,老師在線提交成績時(shí),都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線提交,這時(shí)也只能到學(xué)校提交。
為此,校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪問模式:在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個(gè)當(dāng)?shù)豂SP(移動(dòng)、聯(lián)通或電信寬帶ISP)出口,形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu),并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器,供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時(shí),使用當(dāng)?shù)豂SP出口,為校外的教職工提供VPN接入服務(wù),因?yàn)樾M饨搪毠ご蠖嗍褂卯?dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后,就可以訪問校園網(wǎng)與教育網(wǎng)上的資源,這將為教職工提供很大的便利。
2.VPN關(guān)鍵技術(shù)研究
⑴隧道技術(shù):隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道,讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對(duì)應(yīng)于OSI模型的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)、L2TP(第二層隧道協(xié)議)和L2F(第2層轉(zhuǎn)發(fā)協(xié)議)都屬于第2層隧道協(xié)議,是將用戶數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)于OSI模型的網(wǎng)絡(luò)層,使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議,是將IP包封裝在附加的IP包頭中,通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于,用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。
⑵安全技術(shù):VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù);密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取;使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼認(rèn)證等方式。
3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計(jì)
3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
為了滿足可擴(kuò)展性和適應(yīng)性目標(biāo),網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓?fù)洌春诵膶印⒎植紝印⒃L問層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能,主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù),同時(shí)要為各分布層節(jié)點(diǎn)提供最佳數(shù)據(jù)傳輸路徑;分布層交換機(jī)用于執(zhí)行策略,分別連接圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系;接入層通過低端交換機(jī)和無線訪問節(jié)點(diǎn)連接用戶。畢業(yè)論文。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。
圖1 網(wǎng)絡(luò)拓?fù)鋱D
3.2 網(wǎng)絡(luò)工作原理
在該組網(wǎng)方案中,學(xué)校通過核心層路由器分別接入教育網(wǎng)與Internet,然后通過一硬件防火墻與分布層交換機(jī)連接,分布層交換機(jī)負(fù)責(zé)連接圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系的接入層設(shè)備,校園網(wǎng)內(nèi)的終端計(jì)算機(jī)直接與接入層設(shè)備相連。終端計(jì)算機(jī)可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺(tái)安裝了ISAServer2006的VPN服務(wù)器,給其分配一個(gè)教育網(wǎng)IP地址(假設(shè)Ip:202.102.134.100,網(wǎng)關(guān)地址202.102.134.68),在防火墻中將一個(gè)公網(wǎng)地址(假設(shè)為222.206.176.12)映射到該地址。VPN服務(wù)器可通過“防火墻”與“核心層路由器”訪問Internet與教育網(wǎng),Internet上的用戶,可以通過“Internet上的VPN客戶端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機(jī)—>ISA Server2006VPN服務(wù)器”的路線連接到VPN服務(wù)器,之后,ISAServer2006 VPN服務(wù)器通過防火墻和核心層路由器訪問教育網(wǎng),并且ISA Server2006 VPN服務(wù)器通過分布層交換機(jī)提供了到學(xué)校內(nèi)網(wǎng)的訪問。
3.3 技術(shù)要點(diǎn)
⑴防火墻內(nèi)網(wǎng)地址問題。如果防火墻是透明模式接入,各個(gè)網(wǎng)口是不需要地址的。若防火墻是假透明,就需要給防火墻的每個(gè)網(wǎng)口配置同一個(gè)網(wǎng)段的IP。如果是路由模式,需要給防火墻的每個(gè)網(wǎng)口配置不同網(wǎng)段的IP,就象路由器一樣。現(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式,也就是透明和路由同時(shí)工作,這屬于路由模式的擴(kuò)展。畢業(yè)論文。
⑵VPN服務(wù)器的注意事項(xiàng)。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器,若服務(wù)器上只有一塊網(wǎng)卡,需為其安裝一塊“虛擬網(wǎng)卡”。另外,VPN服務(wù)器不一定要直接連接在分布層交換機(jī)上,也可以是圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系的一臺(tái)服務(wù)器,只要映射一個(gè)公網(wǎng)地址即可。
⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過默認(rèn)設(shè)置的動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)或者通過使用路由選擇和遠(yuǎn)程訪問控制臺(tái)分配的一組地址來分配地址。如果選擇了DHCP,VPN客戶端永遠(yuǎn)不會(huì)同DHCP服務(wù)器進(jìn)行直接通信,運(yùn)行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址;它將基于運(yùn)行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來分配名稱服務(wù)器地址。如果擁有多個(gè)內(nèi)部接口,運(yùn)行ISA Server的VPN 服務(wù)器將選擇其中之一。
⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時(shí),在為VPN客戶端分配IP地址的時(shí)候,要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突,否則VPN客戶端在訪問內(nèi)網(wǎng)時(shí),會(huì)造成尋址問題而不能訪問。畢業(yè)論文。為了避免出現(xiàn)問題,直接分配私網(wǎng)的IP地址即可,比如192.168.14.0/24網(wǎng)段。另外,校園網(wǎng)外的教職工,在撥叫VPN服務(wù)器時(shí),應(yīng)是防火墻映射的地址,本文中即222.206.176.12。
4.結(jié)束語
多出口是目前許多高校組建校園網(wǎng)時(shí)所采取的方式,多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問題,將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng),可以讓校外Internet用戶更容易、更方便的獲得對(duì)教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。
參考文獻(xiàn)
[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實(shí)現(xiàn)方式研究[J].計(jì)算機(jī)應(yīng)用與軟件,2008,07
[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報(bào),2009,11
[3]吳建國,王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報(bào),2010.01
[4]何勝輝.多出口校園網(wǎng)體系結(jié)構(gòu)分析設(shè)計(jì).網(wǎng)絡(luò)通訊及安全,2008.02
篇(6)
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);信息安全;防火墻;安全技術(shù)
隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)信息化在給人們帶來種種物質(zhì)和文化享受的同時(shí),我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅。盡管我們已經(jīng)廣泛地使用各種復(fù)雜的安全技術(shù),但是,仍然有很多黑客的非法入侵,對(duì)社會(huì)造成了嚴(yán)重的危害。針對(duì)各種來自網(wǎng)絡(luò)的安全威脅,怎樣才能確保網(wǎng)絡(luò)信息的安全性。本文通過對(duì)網(wǎng)絡(luò)安全存在的威脅進(jìn)行分析,總結(jié)出威脅網(wǎng)絡(luò)安全的幾種典型表現(xiàn)形式,進(jìn)而歸納出常用的網(wǎng)絡(luò)安全的防范措施。
一、計(jì)算機(jī)網(wǎng)絡(luò)安全存在的隱患
眾所周知,Internet是開放的,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
1.每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的。因此,對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
2.安全工具的使用往往受到人為因素的影響
一個(gè)安全工具能不能實(shí)現(xiàn)效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。比如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞,用戶安全意識(shí)不強(qiáng),口令選擇不慎,將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)給網(wǎng)絡(luò)安全帶來威脅。
3.系統(tǒng)的后門和木馬程序
從最早計(jì)算機(jī)被入侵開始,黑客們就已經(jīng)發(fā)展了“后門”技術(shù),利用后門技術(shù),他們可以再次進(jìn)入系統(tǒng)。后門的功能主要有:使管理員無法阻止;種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn);使種植者進(jìn)入系統(tǒng)花費(fèi)最少的時(shí)間。木馬,又稱特洛伊木馬,是一類特殊的后門程序,它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。
4.只要有程序,就可能存在BUG
任何一款軟件都或多或少存在漏洞,甚至連安全工具本身也可能存在安全的漏洞。這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)策略
盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅,但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全:
1.防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
2.數(shù)據(jù)加密
采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴K山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。主要存在兩種主要的加密類型:私匙加密和公匙加密。
3.虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)技術(shù)利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)建立安全方便的企業(yè)專業(yè)通信網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中,是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)課題之一。在公共網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)。VPN有幾種分類方法,如按接入方式分成專線VPN和撥號(hào)VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。由于VPN技術(shù)可擴(kuò)展性強(qiáng),建立方便,具有高度的安全性,簡化了網(wǎng)絡(luò)技術(shù)和管理,使費(fèi)用降到最低,因而,逐漸成為通用的技術(shù)。
4.入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測中違反安全策略行為的技術(shù)。它是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會(huì)各個(gè)領(lǐng)域,人類社會(huì)各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。因此只有嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實(shí)時(shí)地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。本論文從多方面描述了網(wǎng)絡(luò)安全的防護(hù)策略,比如防火墻,認(rèn)證,加密技術(shù)等都是當(dāng)今常用的方法,本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決,可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。
參考文獻(xiàn):
[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社,2003
篇(7)
關(guān)鍵詞:Internet 防火墻系統(tǒng) 設(shè)計(jì)
一、引言
隨著Internet的不斷發(fā)展和廣泛普及,計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開放性和互聯(lián)程度也正在得到不斷的擴(kuò)大,一系列的網(wǎng)絡(luò)新業(yè)務(wù)也正在逐漸出現(xiàn),主要包括數(shù)字貨幣、電子政務(wù)、電子商務(wù)、網(wǎng)上購物、網(wǎng)上銀行等等,網(wǎng)絡(luò)安全問題也變得愈加值得重視。處理網(wǎng)絡(luò)安全問題的一個(gè)非常關(guān)鍵的途徑就是在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行防火墻的設(shè)置,所以,研究防火墻技術(shù)顯得尤為重要。
二、Internet和網(wǎng)絡(luò)安全問題概述
Internet在剛開始出現(xiàn)的時(shí)候是由大學(xué)和科研機(jī)構(gòu)應(yīng)用的,后來逐漸進(jìn)入到社會(huì)的各個(gè)行業(yè)之中。在當(dāng)今的信息化時(shí)代,Internet已經(jīng)和人們的日常生活緊密的聯(lián)系起來,同時(shí),海量的機(jī)密信息也正在通過Internet進(jìn)行傳送,在這一大背景下,也出現(xiàn)了許多和Internet相關(guān)的網(wǎng)絡(luò)安全問題。主要包括以下幾個(gè)方面:
第一,企業(yè)不具備較強(qiáng)的網(wǎng)絡(luò)安全意識(shí)。目前企業(yè)局域網(wǎng)內(nèi)部利用的計(jì)算機(jī)操作系統(tǒng)仍然具備許多不安全的因素,許多高風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)對(duì)外開放,但是并未采取相對(duì)完善的網(wǎng)絡(luò)安全防范方法,從而導(dǎo)致企業(yè)的大部分主機(jī)面臨著潛在的網(wǎng)絡(luò)安全威脅,為不法侵害人員提供了方便的入口。
第二,網(wǎng)絡(luò)黑客越來越多。在Internet得到廣泛使用的背景下,網(wǎng)絡(luò)黑客也隨之出現(xiàn),網(wǎng)絡(luò)黑客已經(jīng)在國際范圍內(nèi)廣泛分布,他們的入侵方式也正在變得更加高明。黑客能夠使用在Internet上的眾多攻擊網(wǎng)絡(luò)和系統(tǒng)安全漏洞的小程序?qū)崿F(xiàn)對(duì)于網(wǎng)絡(luò)的攻擊,也能夠通過眾多的專門的黑客站點(diǎn)實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)的攻擊。
第三,內(nèi)部攻擊值得關(guān)注。在網(wǎng)絡(luò)安全問題中,內(nèi)部攻擊問題占據(jù)著非常巨大的比例,內(nèi)部攻擊者對(duì)于網(wǎng)絡(luò)系統(tǒng)的有用信息比外部攻擊者更加掌握,能夠更加方便地進(jìn)行攻擊,從而會(huì)帶來更加嚴(yán)重的攻擊后果。然而,網(wǎng)絡(luò)管理人員通常會(huì)忽視這些內(nèi)部攻擊。
三、Internet防火墻系統(tǒng)的總體結(jié)構(gòu)
Internet防火墻系統(tǒng)的總體結(jié)構(gòu)包括兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī),由于這種系統(tǒng)支持應(yīng)用層和網(wǎng)絡(luò)層的安全功能,因此,這是一種非常安全的防火墻系統(tǒng)。Internet防火墻系統(tǒng)的堡壘主機(jī)中包括WWW、Email、FTP服務(wù)器、日志系統(tǒng)、身份認(rèn)證系統(tǒng)、加密系統(tǒng)。同時(shí),堡壘主機(jī)位于外部網(wǎng)和內(nèi)部網(wǎng)之間。具體來說,Internet防火墻系統(tǒng)的總體結(jié)構(gòu)如下所述。
第一,Internet防火墻系統(tǒng)的第一道防線就是包過濾路由器,這一路由器預(yù)先檢查進(jìn)入內(nèi)部網(wǎng)的通信。同時(shí),包過濾路由器利用包過濾規(guī)則來實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。包過濾路由器的包過濾規(guī)則為:內(nèi)部網(wǎng)絡(luò)上的主機(jī)對(duì)于外部網(wǎng)絡(luò)可以實(shí)現(xiàn)直接訪問,而外部網(wǎng)絡(luò)上的主機(jī)只能夠限制性的訪問內(nèi)部網(wǎng)絡(luò)的主機(jī),同時(shí),必須對(duì)于源路由選項(xiàng)的數(shù)據(jù)包和假冒緩沖區(qū)內(nèi)主機(jī)地址的數(shù)據(jù)包進(jìn)行阻塞設(shè)置。
第二,緩沖區(qū)(DMZ),這是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。
第三,堡壘主機(jī),這是在內(nèi)部網(wǎng)和緩沖區(qū)之間所設(shè)置的網(wǎng)關(guān),內(nèi)部網(wǎng)和緩沖區(qū)之間的所有通信都一定要通過堡壘主機(jī)。保證堡壘主機(jī)的安全運(yùn)轉(zhuǎn)可以為Internet和內(nèi)部網(wǎng)之間的信息交換打下堅(jiān)實(shí)的基礎(chǔ)。
第四,堡壘主機(jī)連接緩沖區(qū)的網(wǎng)卡,為這塊網(wǎng)卡配置的IP地址必須和緩沖區(qū)內(nèi)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼,也就是說,必須保證它們位于相同的子網(wǎng)之中。
第五,堡壘主機(jī)連接內(nèi)部網(wǎng)的網(wǎng)卡,為這塊網(wǎng)卡配置的IP地址必須和內(nèi)部網(wǎng)主機(jī)的IP地址存在著一致的子網(wǎng)掩碼,也就是說,必須保證它們位于相同的子網(wǎng)之中。
四、Internet防火墻系統(tǒng)的特點(diǎn)
Internet防火墻系統(tǒng)有利于解決網(wǎng)絡(luò)安全問題,它的特點(diǎn)如下所述。
第一,非法入侵者為了能入侵內(nèi)部網(wǎng)一定要突破三個(gè)不同的設(shè)備,也就是外部路由器、堡壘主機(jī)、內(nèi)部路由器。
第二,因?yàn)橥獠柯酚善鲀H僅將堡壘主機(jī)的存在通告給外部網(wǎng),所以,能夠確保內(nèi)部網(wǎng)對(duì)外是“不可見”的,與此同時(shí),必須是緩沖區(qū)網(wǎng)絡(luò)上選定的系統(tǒng)才可以向外部網(wǎng)開放。
第三,因?yàn)楸局鳈C(jī)的存在,內(nèi)部網(wǎng)用戶為了實(shí)現(xiàn)和外界之間的通信,必須借助于堡壘主機(jī)上的系統(tǒng)。
五、結(jié)束語
綜上所述,本文進(jìn)行了關(guān)于Internet防火墻系統(tǒng)的設(shè)計(jì)的研究。但是,僅僅依靠防火墻技術(shù)來保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的,還必須通過一些其它技術(shù)和非技術(shù)的因素來進(jìn)行網(wǎng)絡(luò)安全的保障,例如,還必須進(jìn)一步應(yīng)用信息加密技術(shù)、設(shè)定適當(dāng)?shù)木W(wǎng)絡(luò)安全法律法規(guī)、增強(qiáng)網(wǎng)絡(luò)管理使用人員的安全意識(shí)等等。希望通過本文的研究,能夠?yàn)镮nternet時(shí)代的網(wǎng)絡(luò)安全問題的解決提供一定的借鑒。
參考文獻(xiàn):
[1] 林曉東,楊義先,馬嚴(yán),王仲文. Internet防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 通信學(xué)報(bào),1998,(01) .
[2] 陳關(guān)勝. 防火墻技術(shù)現(xiàn)狀與發(fā)展趨勢研究[A]. 信息化、工業(yè)化融合與服務(wù)創(chuàng)新――第十三屆計(jì)算機(jī)模擬與信息技術(shù)學(xué)術(shù)會(huì)議論文集[C],2011
[3] 賈志高,周以琳. 基于防火墻和網(wǎng)絡(luò)入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究與設(shè)計(jì)[J]. 甘肅科技,2009,(18)
[4] 余志高,周國祥. 入侵檢測與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計(jì)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,(03) .
