第一篇:網絡信息安全的攻擊與防護
目錄
一網絡攻擊技術.....................................................錯誤!未定義書簽。1.背景介紹...............................................................錯誤!未定義書簽。2.常見的網絡攻擊技術..........................................錯誤!未定義書簽。1.網絡監聽.........................................................錯誤!未定義書簽。2.拒絕服務攻擊...................................................................................2 3.緩沖區溢出.......................................................................................3
二、網絡防御技術................................................................................4 1.常見的網絡防御技術..........................................................................4 1.防火墻技術.......................................................................................4 2.訪問控制技術...................................................................................4
三、總結...............................................................5錯誤!未定義書簽。一.生活中黑客常用的攻擊技術
黑客攻擊其實質就是指利用被攻擊方信息系統自身存在安全漏洞,通過使用網絡命令和專用軟件進入對方網絡系統的攻擊。目前總結出黑客網絡攻擊的類型主要有以下幾種:
1.對應用層攻擊。
應用層攻擊能夠使用多種不同的方法來實現,最常見的方法是使用服務器上通常可找到的應用軟件(如SQL Server、PostScript和FTP)缺陷,通過使用這些缺陷,攻擊者能夠獲得計算機的訪問權,以及在該計算機上運行相應應用程序所需賬戶的許可權。
應用層攻擊的一種最新形式是使用許多公開化的新技術,如HTML規范、Web瀏覽器的操作性和HTTP協議等。這些攻擊通過網絡傳送有害的程序,包括Java applet和Active X控件等,并通過用戶的瀏覽器調用它們,很容易達到入侵、攻擊的目的。
2.拒絕服務攻擊
拒絕服務(Denial of Service, DoS)攻擊是目前最常見的一種攻擊類型。從網絡攻擊的各種方法和所產生的破壞情況來看,DoS算是一種很簡單,但又很有效的進攻方式。它的目的就是拒絕服務訪問,破壞組織的正常運行,最終使網絡連接堵塞,或者服務器因疲于處理攻擊者發送的數據包而使服務器系統的相關服務崩潰、系統資源耗盡。
攻擊的基本過程如下:首先攻擊者向服務器發送眾多的帶有虛假地址的請求,服務器發送回復信息后等待回傳信息。由于地址是偽造的,所以服務器一直等不到回傳的消息,然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復發送偽地址請求的情況下,服務器資源最終會被耗盡。
被DDoS攻擊時出現的現象主要有如下幾種。被攻擊主機上有大量等待的TCP連接。網絡中充斥著大量的無用的數據包,源地址為假。制造高流量無 用數據,造成網絡擁塞,使受害主機無法正常和外界通信。利用受害主機提供的服務或傳輸協議上的缺陷,反復高速地發出特定的服務請求,使受害主機無法及時處理所有正常請求。嚴重時會造成系統死機。要避免系統遭受Do S攻擊,網絡管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞,而針對更加惡意的攻擊方式則需要安裝防火墻等安全設備過濾DOS攻擊,同時建議網絡管理員定期查看安全設備的日志,及時發現對系統構成安全威脅的行為。
3.緩沖區溢出
通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令。如果這些指令是放在有Root權限的內存中,那么一旦這些指令得到了運行,黑客就以Root權限控制了系統,達到入侵的目的;緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能,使攻擊者獲得程序的控制權。
緩沖區溢出的一般攻擊步驟為:在程序的地址空間里安排適當的代碼——通過適當的地址初始化寄存器和存儲器,讓程序跳到黑客安排的地址空間中執行。緩沖區溢出對系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點。必須及時發現緩沖區溢出這類漏洞:在一個系統中,比如UNIX操作系統,這類漏洞是非常多的,系統管理員應經常和系統供應商聯系,及時對系統升級以堵塞緩沖區溢出漏洞。程序指針完整性檢查:在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。數組邊界檢查:所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內。最直接的方法是檢查所有的數組操作,通常可以采用一些優化的技術來減少檢查的次數。目前主要有以下的幾種檢查方法:Compaq C編譯器、Purify存儲器存取檢查等。
二. 生活中常見的網絡防御技術
1.常見的網絡防御技術
1.防火墻技術 網絡安全中使用最廣泛的技術就是防火墻技術,對于其網絡用戶來說,如果決定使用防火墻,那么首先需要由專家領導和網絡系統管理員共同設定本網絡的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責就是根據本館的安全策略,對外部網絡與內部網絡之間交流的數據進行檢查,符合的予以放行,不符合的拒之門外。該技術主要完成以下具體任務:
通過源地址過濾,拒絕外部非法IP地址,有效的避免了與本館信息服務無關的外部網絡主機越權訪問;防火墻可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降到最低限度,使黑客無機可乘;同樣,防火墻可以制定訪問策略,只有被授權的外部主機才可以訪問內部網絡上的有限IP地址,從而保證外部網絡只能訪問內部網絡中的必要資源,使得與本館信息服務無關的操作將被拒絕;由于外部網絡對內部網絡的所有訪問都要經過防火墻,所以防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為。
防火墻可以進行地址轉換工作,使外部網絡用戶不能看到內部網絡的結構,使黑客失去攻擊目標。
雖然防火墻技術是在內部網與外部網之間實施安全防范的最佳選擇,但也存在一定的局限性:不能完全防范外部刻意的人為攻擊;不能防范內部用戶攻擊;不能防止內部用戶因誤操作而造成口令失密受到的攻擊;很難防止病毒或者受病毒感染的文件的傳輸。
2.訪問控制技術
訪問控制是網絡安全防范和保護的主要技術,它的主要任務是保證網絡資源不被非法使用和非法訪問。
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少于6個字符,口令字符最好是數字、字母和其他字符的混合。
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限、存取控制權限。一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
三.總結
計算機網絡技術的日新月異,為現代人的生活提供了很大的方便。但網絡安全威脅依然存在,網上經常報道一些明星的照片泄露,12306賬號和密碼泄露,一些郵箱的密碼泄露,以及經常發生的QQ號被盜等等……這些都會給我們的生活帶來麻煩,甚至讓我們付出經濟代價。因此現在人們對于網絡安全的認識也越來越重視,在整體概念上了解黑客的攻擊技術和常用工具方法,對于我們防范黑客攻擊提供了基本的知識儲備。而具體到平時的學習工作中,我們應該養成良好的上網習慣和培養良好的網絡安全意識,在平時的工作中應該注意,不要運行陌生人發過來的不明文件,即使是非可執行文件,也要十分小心,不要在不安全的網站上登錄一些重要賬號,或者不要在網站上記錄賬號密碼。以免造成密碼泄露。只要我們在平時上網時多注意,就可以有效地防范網絡攻擊。
此外,經常使用殺毒軟件掃描,及時發現木馬的存在。我們應該時刻警惕黑客的網絡攻擊,從自我做起,構建起網絡安全堅實防線,盡可能讓網絡黑客無孔可入。
第二篇:[Web系統安全性攻擊與防護總結報告]信息安全課程設計
鄭州輕工業學院本科
Web系統安全性攻擊與防護總結報告
設計題目:學生姓名:系
別:國際教育學院專
業:互聯網班
級:學
號:指導教師:
Web系統安全性攻擊與防護(SQL注入與防護)XX
XX XX XX
2011 年
07 月 日
目錄
一、課程設計的目的和意義........................................................................................3
二、sql注入分析........................................................................................................3 2.1 sql注入的原理.................................................................................................3 2.2 sql注入攻擊的方式.........................................................................................3 2.2.1構造參數攻擊.........................................................................................3 2.2.2轉義字符類型的攻擊.............................................................................4 2.2.3Union查詢攻擊.......................................................................................4 2.2.4注釋符攻擊.............................................................................................5
三、sql注入實例分析................................................................................................5 3.1系統核心代碼...................................................................................................5 3.2注入測試和分析...............................................................................................6 3.2.1注入測試.................................................................................................6 3.2.2注入攻擊過程及分析.............................................................................8
四、sql注入的防范措施............................................................................................10 4.1 防范措施1(對參數進行強制類型轉換)......................................................10 4.2 防范措施2(類型判斷).............................................................................12
五、密碼用MD5加密存儲和驗證...........................................................................14 5.1加密的必要性分析.........................................................................................14 5.2加密核心代碼,登錄驗證核心代碼.............................................................14 5.2.1加密核心代碼.......................................................................................14 5.2.2登錄驗證核心代碼...............................................................................15
六、服務器目錄權限配置..........................................................................................16 6.1、權限分配原則分析......................................................................................16 6.2、具體權限分配過程......................................................................................16
七、總結......................................................................................................................18
一、課程設計的目的和意義
網絡技術隨著信息化技術的發展,網絡技術得到了廣泛的應用,其中Web成為主流的網絡和應用技術,但隨之而來的就是網絡安全問題的出現。網絡安全問題目前已成為世界范圍內不容忽視的問題。在研究與實踐的基礎上,詳細總結網絡攻擊方法的原理及其有針對性的防護技術,對加強網絡安全,實現web服務器安全有重要意義。
二、sql注入分析
2.1 sql注入的原理
SQL 注入是一種攻擊方式,在這種攻擊方式中,惡意代碼被插入到字符串中,然后將該字符串傳遞到程序執行的SQL 語句中構成攻擊者想執行的任意SQL語句,分析服務器返回的信息獲得有關網站或服務器的敏感信息,進一步獲得非法的信息和權限。
利用WEB應用對用戶輸入驗證設計上的疏忽,或驗證的不嚴格,從而使用戶輸入的數據中包含對某些數據庫系統有特殊意義的符號或命令,讓WEB應用用戶有機會直接對后臺數據庫系統下達指令,實施入侵行為。SQL注入的產生主要是由動態字符串構建和不安全的數據庫配置產生,其中動態字符串構建主要是由不正確的處理轉義字符、不正確的處理類型、不正確的處理聯合查詢、不正確的處理錯誤和不正確的處理多次提交構成。不安全的數據庫配置產生主要是由默認預先安裝的用戶、以root,SYSTEM或者Administrator權限系統用戶來運行和默認允許很多系統函數(如xp_cmdshell,OPENROWSET等)構成。
2.2 sql注入攻擊的方式
2.2.1構造參數攻擊
如果一個惡意用戶提供的字段并非一個強制類型,或者沒有實施類型強制,就會發生這種形式的攻擊。當在一個SQL語句中使用一個數字字段時,如果程序員沒有檢查用戶輸入的合法性(是否為數字型)就會發生這種攻擊。例如: Statement:=“SELECT*FROM data WHERE id=”+a_variable+“;”
從這個語句可以看出,作者希望a_variable是一個與“id”字段有關的數字。不過,如果終端用戶選擇一個字符串,就繞過了對轉義字符的需要。
2.2.2轉義字符類型的攻擊
Web應用程序開發時沒有對用戶的輸入進行轉義字符過濾時,就會發生這種形式的注入式攻擊,它會被傳遞給一個SQL語句.這樣就會導致惡意用戶對數據庫上的語句實施操縱。例如,下面的這行代碼就會演示這種漏洞:
Statement:=“SELECT*FROM users WHERE name='”+userName+“';”
此段代碼的設計目的是將一個特定的用戶從其用戶表中取出,但是,如果用戶名被一個惡意的用戶用一種特定的方式偽造,這個語句所執行的操作可能就不僅僅是應用程序開發者所期望的那樣例如,將用戶名變量(即username)設置為:
a′or′1′=1′,此時原始語句發生了變化:
SELECT*FROM users WHERE name=′a′OR′1′=′1′;
如果這種代碼被用于一個認證過程,那么這個例子就能夠強迫選擇一個合法的用戶名,因為賦值
′1′=′1永遠是真。
在一些特定的SQL服務器上,如在SQL Server中,任何一個SQL命令都可以通過這種方法被注入,包括執行多個語句。
2.2.3Union查詢攻擊
Union查詢動機是繞過驗證或者提取數據。攻擊者在查詢語句中注入Union SELECT語句,并且因為用戶控制“SELECT語句”的內容,攻擊者可以得到想要的信息。Union查詢SQL注入測試。
假設我們有如下的查詢:
SELEC Name,Psw,Tel FROM Users WHERE Id=$id然后我們設置id的值為:
$id=1UNION ALL SELECT bank CardNumber,1,1 FROM BankCardTable
那么整體的查詢就變為:
SELECT Name,Psw,Tel FROM Users WHERE Id=1 UNION ALL SELECT bankCardNumber,1,FROM BankCarTable
顯然這樣就能得到所有銀行卡用戶的信息。
2.2.4注釋符攻擊
使用注釋通常可以使攻擊者繞過驗證。SQL在查詢中支持注釋,如,--、#等。通過注入注釋符,惡意用戶或者攻擊者可以毫不費力的截斷SQL查詢語句。例如,對于查詢語句SELECT*FROM users WHERE usermame=uname and Password=psw,如果惡意用戶輸入參數uname的值為admin--,Password的值為空,那么查詢語句變為SELECT*FROM users WHERE usermame=admin and Password=,也就SELECT*FROM users WHERE usermame=admin。這就使得惡意用戶不用提供密碼就可以通過驗證。
三、sql注入實例分析
3.1系統核心代碼
顯示文章內容的主要代碼:
<%'
#####查詢數據模塊開始
###%> <%function query()id=request.QueryString(“id”)'為了測試此處沒有對參數進行任何過濾和合法性分析 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof response.Write(“發布者:”&rs(“adder”)&“
發布時間:”&rs(“time”)&“
標題:”&rs(“title”)&“
[內容:]
”&rs(“content”))rs.movenext wend call first()end function%> <%'
#####查詢數據模塊結束
###%>
3.2注入測試和分析
3.2.1注入測試
現在進行注入測試: 首先看正常顯示文章截圖:
圖(1)
1、在地址后面加一個單引號 ' 看返回結果是否正常
圖(2)
返回系統查詢報錯,說明可能存在注入漏洞。
2、繼續測試以確認是否真正存在注入漏洞,在地址后面加上and 1=1 查看返回結果是正常。
圖(3)
顯示正常沒有異常。再接著把and 1=1 改為 and 1=2 看返回結果是否異常。
圖(4)
返回空白出現異常。
3、通過上面的注入測試,可以確定該網站一定存在SQL注入漏洞。
3.2.2注入攻擊過程及分析
下面使用構造參數攻擊:
構造語句:
?action=query&id=54 and exists(select * from _admin)發現返回正常,那么可以確定數據庫一定存在表 _admin
下面構造:(猜測字段)
?action=query&id=54 and exists(select un,pw from _admin)返回結果造成說明sql執行正確,那么數據表_admin里一定存在 un pw 兩個字段
下面繼續構造語句:(猜測字用戶名)?action=query&id=54 and exists(select * from _admin where un ='admin')返回結果正常,至此已經獲得了一個管理員用戶名admin
下面構造:(猜測密碼)?action=query&id=54 and exists(select * from _admin where pw='admin')返回結果正常,至此經獲得了一個管理員用戶名admin 密碼是 admin 下面點擊首頁的登錄:
圖(5)
用得到的用戶名 admin 和密碼 admin登錄
圖(6)
圖(7)
成功進入網站后臺管理:
圖(8)
到這里一個成功的注入過程就完成了,成功的到了網站管理員的用戶名和密碼。
四、sql注入的防范措施
4.1 防范措施1(對參數進行強制類型轉換)核心代碼:
<%'
#####查詢數據模塊開始
###%> <%function query()id=cint(request.QueryString(“id”))'使用cint函數把接收的值強制轉為整型 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過再次注入檢測看效果: 1.在鏈接后加單引號 '
圖(9)
提示類型轉換失敗。
2.在鏈接后面加 and 1=1
圖(10)
仍然提示類型轉換失敗。3.在鏈接后面加 and 1=2
圖(11)
還是提示類型轉換失敗。
從此看來是不能注入的。說明實施強制類型轉換成功的防治了SQL注入。
4.2 防范措施2(類型判斷)
核心代碼:
<%'
#####查詢數據模塊開始
###%> <%function query()if isnumeric(request.QueryString(“id”))then '這里判斷參數是否是一個數字如果不是提示非法 id=request.QueryString(“id”)else response.write(“參數非法”)response.end()end if set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過再次注入檢測看效果: 1.在鏈接后加單引號 '
圖(12)
提示參數非法。
4.在鏈接后面加 and 1=1
圖(13)
仍然提示參數非法。5.在鏈接后面加 and 1=2
圖(14)
還是提示參數非法。
從此看來是不能注入的。說明實施強類型判斷成功的防治了SQL注入。
五、密碼用MD5加密存儲和驗證
5.1加密的必要性分析
從上面可以看到通過SQL注入攻擊者很容易就得到用戶的密碼,如果密碼沒有經過加密那么攻擊者就可以使用該密碼登錄,如果密碼是加密保存在數據庫的,而且登錄驗證是也是加密驗證,那么攻擊者得到的就是加密的字符串,如果攻擊者不能破解該字符串那么攻擊者是無法登陸的。這樣給網站安全又加上了一道防護。
5.2加密核心代碼,登錄驗證核心代碼
5.2.1加密核心代碼
<%'
######添加用戶模塊開始
######%> <%function adduser()if request.QueryString(“level”)=“" then exit function username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'添加用戶時將用戶的密碼md5加密后保存到數據庫
level=cint(request.QueryString(”level“))if level=0 then set rs=conn.execute(”select username from _user where username='“&username&”'“)set rs2=conn.execute(”select un from _admin where un='“&username&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then conn.execute(”insert into _user(username,password)values('“&username&”' ,'“&password&”')“)response.Write(”“)rs.close else
5.2.2登錄驗證核心代碼
<%'
#####驗證登錄據模塊開始
###%> <%function checklogon()username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'登錄時先將用戶的密碼md5加密后與數據庫里面的對比 set rs=conn.execute(”select * from _user where username='“&username&”' and password='“&password&”'“)set rs2=conn.execute(”select * from _admin where un='“&username&”' and pw='“&password&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then
response.Write(”")rs.close rs2.close else
六、服務器目錄權限配置
6.1、權限分配原則分析
對一個網站來說除了上傳文件的目錄能寫入文件以外其它的所有目錄均不能寫入文件,而且上傳文件的目錄不能有網頁程序的執行權限,這樣可以保證即使黑客成功上傳程序到上傳目錄那么也是不執行的。
6.2、具體權限分配過程
利用NTFS文件系統的權限分配功能:
1、首先在文件夾安全選項里面把iis帳號加到網站根目錄中。然后指定其只能讀取,不能寫入文件,那么整個網站里面的所有目錄都不能寫入文件了。
2、下面接著給上傳文件目錄加上寫人的權限。
至此已經完成了除了上傳文件目錄可以寫入文件其它目錄均不能寫入文件。
3、接著配置上傳目錄的運行權限使其不能運行網頁程序。
至此完成了權限分析中的所有需求。
七、總結
本次課程設計對網站SQL注入攻擊及網站安全技術進行了比較詳細地分析,通過本次課程設計使我掌握了對SQL注入攻擊漏洞的檢測技術和預防SQL注入的手段,而且學會了在IIS和NTFS文件系統環境下安全配置網站的目錄權限的技能,了解到信息系統網站中存在的普遍安全漏洞。網站的安全穩定運行,應側重于預防,不斷增強安全意識,采取各種預防措施,才能及時有效地排除安全隱患。
第三篇:淺談網絡信息安全的防護對策[范文模版]
淺談網絡信息安全的防護對策
計科1201 張曉楊 201209010127 摘要:隨著科學技術的高速發展,計算機網絡已經成為新時期知識經濟社會運行的必要條件和社會的基礎設施。本文針對現代網絡威脅,針對各種安全隱患進行歸納分析,并針對各種不安全因素提示相應的防護措施。計算機網絡的安全性對國家乃至世界經濟及人文發展起著至關重要的決定,因此,研究計算機網絡信息安全有著直接的現實的重大的意義。
關鍵字:計算機網絡
信息安全 防護策略
1、目前網絡中存在的主要安全威脅種類 1.1特洛伊木馬
它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序,之所以被稱為特諾伊木馬是因為它多不會直接對電腦產生危害,而是以控制為主,從而利用計算機程序漏洞侵入后竊取文件的程序。我們常常遇到的聊天軟件的盜號問題往往跟電腦被木馬植入有關。
1.2拒絕服務攻擊
黑客的常用手段之一就是使目標的電腦停止提供服務,我們常遇到的對網絡帶寬進行的消耗性攻擊就是其中攻擊的一部分,而有時的主機無故死機,電腦網速的不正常延遲都屬于這種。這種攻擊會嚴重干擾到正常的信息交換與溝通。
1.3惡意攻擊
惡意攻擊對計算機的網絡安全具有很大的潛在危害。一般來說,其可以分為兩種:被動攻擊以及主動攻擊。第一種被動攻擊指的是:在不被用戶察覺的情況下,竊取和破譯重要的信息;第二種主動攻擊指的是:攻擊者對用戶的信息進行破壞以及竊取。無論是哪一種情況都是我們不愿意看到的,因為都會對用戶帶來很大的威脅以及困擾。網絡不可避免地具有一些漏洞,黑客們正是利用這些漏洞對用戶進行攻擊,對國家和人民的生活和財產都會造成極大的損失。
1.4軟件自身的漏洞 作為由人編制的操作系統和相應軟件,那么當系統或應用的設計和結構出現問題,應該是理所當然的,而一旦有人利用上這些漏洞和問題時,計算機的信息安全就處于一個非常危險的境地,一旦連入復雜的互聯網中,被人攻擊就不可避免,據美國《財富》雜志2月24日報道,一名以為華盛頓郵報分析斯諾登有關美國國家安全局爆料而聞名的計算機安全專家發布了一系列運行于MacOSX10.9系統的應用軟件清單,稱這些應用軟件同樣面臨著電腦操作系統安全漏洞問題。
1.5自然災害
自然災害也是威脅計算機網絡信息安全的一個因素。這是因為雷電、電磁干擾、水災、火災甚至是潮濕都有可能對計算機網絡信息造成重大影響。在防護的過程中,要充分考慮到計算機信息系統所處的環境,同時要對不可抗力進行充分防護,盡量將損失降到最低。
1.6操作失誤
操作失誤主要針對的主體是用戶自身。有些用戶的安全意識很差,所用的密碼并不復雜。這就有可能造成用戶信息泄露,進而對網絡信息安全造成影響。
2、網絡信息和網絡安全的防護對策 2.1技術方面上的安全防護對策
(1)安裝病殺毒軟件。現今的主流軟件都是通過防病毒服務器在網絡上更新病毒庫以防病毒,并強制所有局域網中已開機的終端用以及時更新病毒庫軟件。主流的瑞星殺毒軟件和防火墻、卡巴斯基網絡安全套裝、諾頓網絡安全套裝、麥咖啡網絡安全套裝、NOD32網絡安全套裝等都能很好的保護個人的電腦安全,而病毒主要就是通過數據破壞和刪除、后門攻擊、拒絕服務等幾種傳播方式對網絡進行破壞和傳播。而針對病毒的幾種破壞形式,形成的對計算機統一的整體網絡病毒的防范體系,將有效的解決這些問題。
(2)升級操作系統補丁。操作系統是管理計算機硬件資源,控制其他程序運行并為用戶提供交互操作界面的系統軟件的集合。操作系統是計算機系統的關鍵組成部分,負責管理與配置內存、決定系統資源供需的優先次序、控制輸入與輸出設備、操作網絡與管理文件系統等基本任務,操作系統自身的復雜性和對網絡的需求的適應性,都決定著其需要及時進行升級和更新,包括各種網絡設備,均需要及時升級并打上最新的系統補丁。(3)安裝入侵檢測系統。入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術,常用的有DCN、安氏領信等品牌。都能很好的對電腦安全起到防護作用。
(4)數據加密技術。就是我們所說的密碼技術,就是信息安全的核似數據的保密,通常我們遇到的對網絡數據的保護形式就是對其加密,很好的防止了網絡數據的篡改、泄露和破壞。我們常用的加密形式包括鏈路加密、節點加密和混合加密形式。在兩個相鄰節點之間的數據加密并用以防止搭線竊聽的方式就是鏈路加密。對目標節點和源節點的鏈路提供保護就是節點加密。而將上述幾點組合在一起就是混合加密,這樣可以獲得更高的安全,隨著時放代的進步,密碼學也伴著計算機的迅猛發展而活躍在各個領域。
(5)配備網絡安全設備或系統。隨著各種防護軟件和加密系統的漸漸跟不上層出不窮的新型病毒時,人們開始把眼光投向軟件以外的硬件系統,于是各種網絡安全設備開始應用,學校的校園網首當其沖,當通過網絡安全設備的過濾將一些來自網絡的不健康數據都阻擋門外時,這種能大大提高校園網信息安全級別,并幫助網絡管理員發現網絡故障時定位的設備迅速占領市場。
(6)防火墻技術。防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。
2.2管理體制上的安全防護策略
(1)網絡管理制度的修訂。其目的是為了進一步規范安全管理制度、操作規程定期評價修訂管理,確保網絡安全的先進性和適用性。
(2)做好物理安全防護。一種網絡安全防護物理隔離裝置,包括核心數據服務器、多個數據發布服務器和路由器,多個數據發布服務器和核心數據服務器之間接有交換機,其特征在于:每個數據發布服務器和路由器之間均接有一定時繼電器;每個數據發布服務器和對應的定時繼電器之間、每個定時繼電器和路由器之間均通過網線連接。做到這些就必須加強網絡監管人員的信息安全意識等。
3、結束語
本文分析了當前國內外計算機網絡信息安全的現狀,接著介紹和分析了當前最主要的幾種信息安全技術的原理,特別重點分析了他們的優缺點,指出了計算機網絡信息安全的可能發展趨勢。我們必須認真學習網絡信息安全方面的知識,做到防患于未然,才能更好的讓計算機網絡安全、有效、可靠地運行下去,最大化的發揮它的價值。
參考文獻:
[1]原莉.如何確保計算機網絡安全[J].職大學報,2008,4.[2]謝浩浩.計算機網絡安全綜述[J].科技廣場,2009,11.[3]李建霞.計算機網絡安全與防范[J].中國西部科技,200
第四篇:網絡與信息安全
《網絡與信息安全》復習資料
信息安全特征:完整性、保密性、可用性、不可否認性、可控性。保密學是研究信息系統安全保密的科學。
網絡信息安全體系結構框架:安全控制單元、安全服務層面、協議層次。公鑰密碼:由兩個密碼組成,每個用戶擁有一對選擇密鑰:加密密鑰與解密密鑰。公鑰密碼特點:(1)加密密鑰和解密密鑰在本質上是不同的,即使知道一個密鑰,也不存在可以輕易地推導出另一個密鑰的有效算法。(2)不需要增加分發密鑰的額外信道。公布公鑰空間,不影響公鑰系統的保密性,因為保密的僅是解密密鑰。公鑰密碼系統應具備兩個條件:(1)加密和解密交換必須滿足在計算上是容易的。(2)密碼分析必須滿足在計算機上是困難的。協議:兩個或兩個以上的主體為完成某一特定任務共同發起的某種協約或采取的一系列步驟。協議的特征:(1)至始至終有序進行。(2)協議成立至少要有兩個主體。(3)協議執行要通過實體操作來實現。數字簽名與手寫簽名的區別:(1)簽名實體對象不同。(2)認證方式不同。(3)拷貝形式不同。
簽名算法的三個條件:(1)簽名者事后不能否認自己的簽名。(2)任何其他人都不能偽造簽名,接收者能驗證簽名。(3)當簽名雙方發生爭執時,可由公正的第三方通過驗證辨別真偽。
不可否認數字簽名:沒有簽名者的合作,接收者就無法驗證簽名,某種程度上保護了簽名者的利益,從而可防止復制或散布簽名文件的濫用。
不可否認數字簽名方案由三部分組成:數字簽名算法、驗證協議、否認協議。
散列函數:一種將任意長度的消息壓縮為某一固定長度的消息摘要的函數。消息認證碼:滿足某種安全性質帶有密鑰功能的單向散列函數。身份證明分兩大婁:身份證實、身份識別。信息隱藏:把一個有含義的信息隱藏在另一個載體信息中得到隱密載體的一種新型加密方式。
信息隱藏的兩種主要技術:信息隱秘術、數字水印術。數字水印技術:指用信號處理的方法在數字化的多媒體數據中嵌入隱藏標識的技術。
三種數字水印:(1)穩健的不可見的水印。(2)不穩健的不可見的水印。(3)可見的水印。
數字水印三個特征:(1)穩健性。(2)不可感知性。(3)安全可靠性。
數字水印三個部分:(1)水印生成。(2)水印嵌入。(3)水印提取(檢測)。
密鑰管理的基本原則:(1)脫離密碼設備的密鑰數據應絕對保密。(2)密碼設備內部的密鑰數據絕對不外泄。(3)密鑰使命完成,應徹底銷毀、更換。常用密鑰種類:(1)工作密鑰。(2)會話密鑰。(3)密鑰加密密鑰。(4)主機主密鑰。
公開密鑰分發:(1)廣播式密鑰分發。(2)目錄式密鑰分發。(3)公開密鑰機構分發。(4)公開密鑰證書分發。密鑰保護方法:(1)終端密鑰保護。(2)主機密鑰保護。(3)密鑰分級保護管理。
秘密共享方案:將一個密鑰K分成n個共享密鑰K1、K2……Kn,并秘密分配給n個對象保管。密鑰托管技術:為用戶提供更好的安全通信方式,同時允許授權者為了國家等安全利益,監聽某些通信和解密有關密文。密鑰托管加密體制由三部分組成:用戶安全分量、密鑰托管分量、數據恢復分量。密鑰管理:指對于網絡中信息加密所需要的各種密鑰在產生、分配、注入、存儲、傳送及使用過程中的技術和管理體制。
保密通信的基本要求:保密性、實時性、可用性、可控性。密碼保護技術:密碼校驗、數字簽名、公證消息。通信保密技術:(1)語音保密通信(模擬置亂技術、數字加密技術)。(2)數據保密通信。(3)圖像保密通信(模擬置亂、數字化圖象信號加密)。網絡通信加密的形式:(1)鏈路加密。(2)端-端加密。(3)混合加密。網絡通信訪問基本控制方式:(1)連接訪問控制。(2)網絡數據訪問控制。(3)訪問控制轉發。(4)自主訪問控制與強制訪問控制。接入控制功能:(1)阻止非法用戶進入系統。(2)允許合法用戶進入系統。(3)使合法用戶按其權限進行活動。接入控制策略:(1)最小權限策略。(2)最小泄漏策略。(3)多級安全策略。接入控制技術方法:(1)用戶標識與認證。(2)身份認證特征(口令認證方式、協議驗證身份)。
PGP的五種功能:認證性、機密性、壓縮、Email兼容性、分段與重組。IP層安全功能:鑒別服務、機密性、密鑰管理。
安全套接層SSL提供的安全服務:信息保密、信息完整性、相互認證。
PPDR-A模型五要素:安全策略、安全監測、安全反應、安全防御、安全對抗。操作系統安全訪問控制:測試程序訪問控制、操作系統的訪問權限控制、保護機制的訪問控制、用戶認證訪問控制。
安全操作系統設計四環節:安全模型、安全設計、安全確認、正確實施。安全網絡平臺種類:Windows NT、UNIX、Linux。(Linux兼容性好、源代碼開放、安全透明)。
數據庫安全條件:數據獨立性、數據安全性、數據完整性、數據使用性、備份與恢復。
VPN(虛擬專用網)核心技術:隧道技術、密碼技術、管理技術。
政務網的特點:信息公眾化、信息機關化、信息存儲量大、保密程度高、訪問密級多樣化。
政務網建設的三個安全域:(1)涉密域。(2)非涉密域。(3)公共服務域。
黑客攻擊:指黑客利用系統漏洞和非常規手段,進行非授權的訪問行為和非法運行系統或非法操作數據。
防黑客攻擊幾種防范技術:安全性設計保護、先進的認證技術、掃描檢測審計技術。
常規網絡掃描工具:SATAN掃描工具、Nessus安全掃描器、nmap掃描器、strobe掃描器。網絡監聽工具:NetXRay、Sniffit。防火墻:在網絡安全邊界控制中,用來阻止從外網想進入給定網絡的非法訪問對象的安全設備。包括網絡級包過濾防火墻和應用級代理防火墻。
密罐:用來觀察黑客如何入侵計算機網絡系統的一個軟件“陷阱”,通常稱為誘騙系統。
計算機病毒:指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒檢測方法:比較法、搜索法、辨別法、分析法。
電子商務安全要求:可靠性、真實性、機密性、完整性、有效性、不可抵賴性、可控性。
電子商務安全服務:鑒別服務、訪問控制服務、機密性服務、不可否認服務。電子商務基本密碼協議:密鑰安全協議、認證安全協議、認證的密鑰安全協議。國際通用電子商務安全協議:SSL安全協議、SET安全協議、S-HTTP安全協議、STT安全協議。
電子商務實體要素:持卡人、發卡機構、商家、銀行、支付網關、認證機構。
第五篇:淺談電信網絡環境下的DDOS攻擊防護技術
數字技術
與應用安全技術
淺談電信網絡環境下的 DDOS 攻擊防護技術
劉智宏 李宏昌 李東垣
(中華通信系統有限責任公司
北京
100070)
摘要:近年來,隨著網絡技術的快速發展及廣泛普及,網絡安全問題面臨的形勢愈加嚴重,網絡攻擊防護越來越受人們的重視,而電信運
營商網絡幾乎成為拒絕服務攻擊(DDOS)的首選攻擊對象。本文主要以中華通信系統研發的基于ISP網絡的拒絕服務攻擊防御系統為例簡要分 析DDOS攻擊以及在電信網絡環境下的DDOS攻擊防護技術。
關鍵詞:DDOS 攻擊
安全
防范 中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)07-0165-02
1、DDOS 攻擊現狀分析
1.1 運營商網絡面臨的 DDOS 攻擊威脅
當前,運營商骨干網和各地市城域網,寬帶用戶多、網絡結構復 雜、業務流量大,DDOS攻擊導致的網絡安全問題時有發生,導致IP 網絡整體服務質量下降,已經嚴重威脅到運營商I P 網絡的正常業 務;當3G 商用,智能化終端和寬帶化3G網絡與互聯網接軌,無線網 絡也將面對諸多互聯網安全問題,這將會使缺乏固網DDOS 防范經 驗的電信運營商面臨巨大挑戰。
中華通信系統有限責任公司研發的基于ISP網絡的分布式拒絕 服務攻擊防御系統(ChinaComm IDPS100)為軟硬件結合產品,產 品包括流量檢測組件和流量牽引清洗組件,根據ISP網絡應用需求 和網絡規模,系統可部署為流量檢測設備或檢測清洗一體化設備。產品能夠實現電信級ISP網絡的流量采集和流量分析,具有ISP網絡 異常流量與拒絕服務攻擊檢測告警、網絡異常流量與拒絕服務攻擊 流量牽引、清洗防御、各類流量報表、系統安全日志審計、系統安全 管理控制等主要的功能。本產品屬于分布式設計模式,即系統是由 探測器設備和流量牽引設備共同組成的防御系統。系統的流量探測 器在旁路方式外還提供串聯接入方式,具備入侵檢測、防火墻、流量 監控功能,流量牽引設備支持集群工作方式。1.2 電信運營商對 DDOS 攻擊防護需求
目前各大電信運營商只部署有過濾垃圾短信這種傳統無線業 務的網關設備,尚未對3 G 移動互聯網的到來做好骨干流量和城域 網流量管控、清洗方面的準備,運營商急需使用高效、成熟DDOS防 御產品,能夠實現對DDOS 攻擊安全防護的高端網絡安全產品市場 需求空間巨大,主要表現在如下方面:
(1)應用于全國各省、市級電信運營商IDC、增值業務部。(2)應用于移動、聯通等移動運營商的3G網絡接入,為3G網絡 拒絕服務攻擊防御提供可靠的防御工具。
(3)應用于大型企業及大型網絡服務商,這些企業通常涉及跨 區域的網絡通信及網上業務。
3、華通產品(ChinaComm IDPS100)技術性能
3.1 產品功能特點
3.1.1 流量探測器功能特點
(1)采用雙子系統架構。為防止過大流量對系統的沖擊造成系 統超載、運行緩慢甚至當機,系統采用獨創的雙子系統架構。該架構 將入侵檢測模塊和流量偵測模塊分為兩個完全獨立的系統,通過總 線相連,在互不影響的同時又能夠保證信息的共享及功能聯動。
(2)采用針對拒絕服務攻擊特別優化的入侵檢測模塊。入侵檢 測模塊采用中華通信自主研發的針對DDOS 攻擊的入侵監測模塊。能夠對流量進行深層檢測。能夠發現并抵御多數D o S 攻擊、以及蠕 蟲、木馬等惡意代碼,并對流量偵測模塊提交的可疑流量進行檢測,進一步判斷是否為攻擊流量。
(3)采用先進的檢測算法。流量探測器采用中華通信自主開發 的基于自相似性模型的動態異常流量監測算法,能夠在DDOS 攻擊 的初始階段甄別攻擊。
3.1.2 流量牽引器功能特點
(1)高速的攻擊處理能力。流量牽引器接入運營商骨干網絡,系 統能夠有效鑒別攻擊流量和正常流量,對異常攻擊流量進行清洗,有效保證用戶正常業務流量的傳輸。該流量牽引設備支持集群工作 模式,通過集群化部署可以有效地提高系統的處理能力,使系統能 夠滿足大型ISP網絡的需要。
(2)高效的軟硬件平臺。在硬件方面,流量牽引器采用了嵌入式 系統設計,在系統核心實現拒絕服務攻擊的防御算法,并且創造性 地將算法實現在網絡協議棧的最底層,完全避免了T C P、U D P 和I P 等高層系統網絡堆棧的處理,將整個運算代價大大降低,大大提高 了運算速率。2、主要廠家拒絕服務攻擊防御產品介紹
2.1 主流廠家產品簡介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一體化模塊式解決方案,路由器、業務部署系統(SDX)和入侵檢測與防護(IDP)產品結合在一起。
2.1.2 Nokia SC6600 信息安全網關
SC6600安裝簡易,管理方便。采用包括多重掃毒技術、宏摘除、層次式過濾的復合防護(Statistical ProtectionTM)技術,采用專用 安全操作系統。
2.1.3 CISCO Guard XT
采用分布部署方式,多級檢測采用集成式動態過濾和主動核 查、殺手”技術等多種檢測技術,支持獨特的集群體系結構,多級監 控和報告。
2.1.4 綠盟Defender4000
作為異常流量清洗設備,與監測中心、監控管理中心共同構建 異常流量凈化系統。采用了多個并行的專業高性能網絡處理器,高 “ 效處理D D O S 攻擊,通過集群部署,可以輕松應對1 0 G + 海量拒絕服 務攻擊。
2.2 華通產品說明 ??????下轉第167頁
165
數字技術
與應用安全技術 統進行傳遞,分析機子系統在完成數據的篩選和審核工作以后,攔 截并處理掉可疑信息,將正確的信息傳達給控制臺子系統,以保證 數據的有效傳遞。信息獲取子系統、分析機子系統、控制臺子系統三 者間通過特定的數據端口進行數據的傳送,所有發送的數據都是進 行了統一的格式換處理的,以固定的格式進行傳送。
2.4.4 終端信息的輸出
從信息獲取子系統,經由分析機子系統,再到控制子系統這一 系列的信息傳遞過程中,不僅完成了數據的過濾、篩選、核實、攔截 和傳遞,還對具有威脅性的數據進行了報警,切斷了可疑數據的進 一步傳遞通道,最終準確無誤地把需要的信息完整的從指定端口傳 出,完成了整個SQL Server數據庫的信息傳遞。但即使是這樣,也 不能完全保證數據輸出的絕對正確,還需要通過在輸出端口進行再 次地過濾、篩選、核實與攔截等安全監控系統的安全監控措施,才能 更好的保證輸出的信息的可靠性和安全性。
現代的通信技術迅猛發展,為計算機網絡的智能化提供了新的 環境與新的機遇,但與此同時也帶來了新的問題,如何有效地維護 信息的安全與完整,已經成為社會關注的熱點。本文著重對如何實 現S Q L S e r v e r數據庫安全監控系統提出一些見解,闡述了S Q L Server數據庫安全監控系統是如何構建、如何運作的,希望能夠為 數據庫的安全維護起到一些作用。參考文獻
[1]張穎.關于 SQL Server 數據庫安全監控系統的設計的探討[J].數 字技術與應用,2011.(11).
[2]李殿勛.淺談 SQL Server 數據庫安全監控系統結構和工作原理 [J].科技信息,2011.(24).
[3]馬慧.基于 SQL Server 數據庫安全監控系統的研究[J].微計算機 信息,2009.(18). 以在尋得攻擊模式或其他的違反規則的活動時發出控制臺子系統
警告、記錄攻擊事件的數據、適時阻斷網絡的連接,還可以根據不同 的需要對系統進行相應的拓展,聯動防火墻等其他的安全設備。信 息獲取子系統、分析機子系統子系統、控制臺子系統三者之間相互 配合完成整個工作過程:
2.4.1 實現主機報警
當程序啟動后,其所在的主機數據庫的安全監控也將啟動,信 息獲取獲得與數據庫操作的相關數據(數據庫主機的名稱、操作的 SQL 語言、登陸的用戶名、用戶登錄密碼、當前的系統用戶、操作的 結果等)后,將所得信息格式化并傳送到分析機子系統。分析機子系 統通過自帶的信息安全規則對所收到的信息進行分析、核實與篩 選,從中分離出對數據庫有威脅的操作信息并向控制臺子系統發 出警告。控制臺子系統在收到警告信息后,由管理員對攻擊源的IP 地址發出進行阻斷的命令,并由分析機子系統傳達給探頭的部分,再由探頭所在主機系統調動自帶的API實現對指定IP 地址試行攔 截的操作命令,從而避免了被侵犯的可能,實現對數據庫的安全性 的保護。
2.4.2 命令的有效下達
處于數據庫最上層的控制臺子系統對分析機子系統與信息獲 取子系統進行控制、維護更新,并經由查詢以獲得它們的運行狀態 的信息。命令從控制臺子系統發出以后迅速傳達至分析機子系統或 信息獲取部分,然后由它們的相應模塊響應指令,以實現命令的完 成。控制臺子系統下達的所有命令都將通過特定窗口進行傳達,并 且分析機子系統與信息獲取部分接受命令與完成命令以后的反饋 信息也是經由同一端口進行傳遞的。
2.4.3 數據的傳遞
從信息獲取子系統獲取的相關的信息數據,在經過二次篩選過 濾后實現數據的完整性,然后根據數據的內容向相應的分析機子系
??????上接第165頁
3.2 產品技術創新
3.2.1 實現基于自相似性模型的動態異常流量監測
自相似性(self-similarity)是指一個隨機過程在各個時間規模 上具有相同的統計特性。系統在進入防護D D O S 攻擊之前,要對網 絡中正常的流量進行相應的記錄,用以檢測攻擊的存在,尤其對 DDOS攻擊所利用的報文進行檢測和分析。系統分別對各個協議的 流量(或連接數)最大的IP地址(源IP和目的IP)的流量(或連接數)進行記錄。而通常不同時間段網絡流量也相差很大,簡單的計算平均流量無法做快速可靠地發現攻擊。因此需要按照時間段的不同對 流量生成表項。通過大量測試分析在表項細度和系統性能之間找到 一個平衡點。
3.2.2 掃描檢測算法
掃描檢測模塊采用一個基于貝葉斯網絡進行TCP 包頭異常分 析的掃描檢測方法(P S D B)。貝葉斯網絡模塊學習T C P 報文到達每 個目的主機和相應目的端口的概率。PSDB 使用貝葉斯網絡來學習保存被檢測子網內主機端口的概率分布。然后概率異常檢測操作依 據TCP Flag和報文到達的概率計算每個報文的異常度,并針對個 別協議本身的特點對異常值計算進行修正,將判別為異常報文的信 息發送到分析模塊。
隨著我國信息化的快速發展,各行業對提高整體信息系統的安 全防護水平和保障能力提出了更高的要求,對信息安全技術和產品 的需求越來越大。基于ISP網絡的拒絕服務攻擊防御系統產品的投 放市場,能夠填補運營商急需使用高效、成熟D D O S 防御產品的需 求空間;可以極大地提高電信運營商、I S P、政府的整體網絡D D O S 防御能力本文來源于http://taobaoxuexi.sinaapp.com/(ddos攻擊器)。
系統創新的技術實現模式可以為用戶提供更優化的D D O S 防 御解決方案,通過建設更安全的D D O S 防御系統,用戶可有效降低 大規模DDOS 類攻擊所帶來的社會和經濟風險,為我國經濟高速發 展提供安全的網絡環境。參考文獻
[1]李德全《拒絕服務攻擊》.北京:電子工業出版社,2007 年 1 月. [ 2 ] 陽莉《電信網絡分析與設計》.西安: 西安電子科技大學出版,. 2008 年 1 月.
[3]郝永清《網絡安全攻防實用技術深度案例分析》.北京:科學出 版社,2010 年 1 月.
[4] 加拿大.克勞斯《網絡安全保護》.北京:科學出版社,2009 年 3 月.
[ 5 ] 孫玉《電信網絡安全總體防衛討論》.北京: 人民郵電出版社,. 2008 年 8 月.
[6]Steve Manzuik《網絡安全評估:從漏洞到補丁》.北京:科學 出版社,2009 年 1 月.
[7]王秀利《網絡擁塞控制及拒絕服務攻擊防范》.北京:北京郵電 大學出版社,2009 年 6 月.
[ 8 ] 王夢龍《網絡信息安全原理與技術》.北京: 中國鐵道出版社,. 2009 年 11 月. 3.3 產品應用
本產品通常布置于運營商網絡中高帶寬節點,如核心交換機等
高速轉發設備,通常采用網關接入模式或路接入模式。在大型網絡 應用時,可采用牽引器集群工作方式,可通過部署牽引器集群增強 系統處理能力及可靠性。
4、結語
167
點擊咨詢 