第一篇:防火墻技術論文__計算機專業(yè)1[小編推薦]
科學技術的飛速發(fā)展,人們已經(jīng)生活在信息時代。計算機技術和網(wǎng)絡技術深入到社會的各個領域,因特網(wǎng)把“地球村”的居民緊密地連在了一起。因特網(wǎng)提供給人們的不僅僅是精彩,還無時無刻地存在各種各樣的危險和陷阱。對此,我們既不能對那些潛在的危險不予重視,遭受不必要的損失;也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務,對個人來說這樣會失去了了解世界、展示自己的場所,對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。不斷地提高自身網(wǎng)絡的安全才是行之有效地辦法。
一、防火墻是什么
防火墻是一種非常有效的網(wǎng)絡安全模型。主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵,比如安全網(wǎng)絡可能是企業(yè)的內部網(wǎng)絡,不安全網(wǎng)絡是因特網(wǎng)。但防火墻不只是用于因特網(wǎng),也用于Intranet中的部門網(wǎng)絡之間。在邏輯上,防火墻是過濾器 限制器和分析器;在物理上,防火墻的實現(xiàn)有多種方式。通常,防火墻是一組硬件設備-路由器,主計算機,或者是路由器,計算機和配有的軟件的網(wǎng)絡的組合。不同的防火墻配置的方法也不同,這取決于安全策略,預算以及全面規(guī)劃等。
二、防火墻的分類
從防火墻的防范方式和側重點的不同來看,防火墻可以分為很多類型,但是根據(jù)防火墻對內外來往數(shù)據(jù)處理方法,大致可將防火墻分為兩大體系:包過濾防火墻和代理防火墻。靜態(tài)包過濾防火墻:
靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號,端口號及其它的包頭信息,并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配,其中:如果信息包中存在一點與過濾規(guī)則不符合,那么這個信息包里所有的信息都會被防火墻屏蔽掉,這個信息包就不會通過防火墻。相反的,如果每條規(guī)都和過濾規(guī)則相匹配,那么信息包就允許通過。靜態(tài)包的過濾原理就是:將信息分成若干個小數(shù)據(jù)片(數(shù)據(jù)包),確認符合防火墻的包過濾規(guī)則后,把這些個小數(shù)據(jù)片按順序發(fā)送,接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻,對用戶是透明的,它不需要用戶的用戶名和密碼就可以登錄,它的速度快,也易于維護。但由于用戶的使用記錄沒有記載,如果有不懷好意的人進行攻擊的話,我們即不能從訪問記錄中得到它的攻擊記錄,也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的,對于惡意的攻擊者來說是攻破它是非常容易的。動態(tài)包過濾防火墻:
靜態(tài)包過濾防火墻的缺點,動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目,在這點上靜態(tài)防火墻是比不上它的,它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于,它的內外網(wǎng)之間不存在直接的連接,一般由兩部分組成:服務器端程序和客戶端程序,其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。
代理(應用層網(wǎng)關)防火墻:
這種防火墻被網(wǎng)絡安全專家認為是最安全的防火墻,主要是因為從內部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就像是源于防火墻外部網(wǎng)卡一樣,可以達到隱藏內部網(wǎng)結構的作用。由于內外網(wǎng)的計算機對話機會根本沒有,從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。
自適應代理防火墻:
自適應代理技術是商業(yè)應用防火墻中實現(xiàn)的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優(yōu)點,即保證了安全性又保持了高速度,同時它的性能也在代理防火墻的十倍以上,在一般的情況下,用戶更傾向于這種防火墻。
三、防火墻功能
防火墻是一個保護裝置,它是一個或一組網(wǎng)絡設備裝置。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機,它的目的就是保護內部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結構的內部網(wǎng)與外部的Internet之間,同時在多個組織結構的內部網(wǎng)和Internet之間也會起到同樣的保護作用。它主要的保護就是加強外部Internet對內部網(wǎng)的訪問控制,它主要任務是允許特別的連接通過,也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡安全策略的一部分,它通過少數(shù)幾個良好的監(jiān)控位置來進行內部網(wǎng)與Internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測,控管規(guī)則過濾,實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術的。防火墻的主體功能歸納為以下幾點:
(1)根據(jù)應用程序訪問規(guī)則可對應用程序聯(lián)網(wǎng)動作進行過濾。(2)對應用程序訪問規(guī)則具有自學習功能。(3)可實時監(jiān)控,監(jiān)視網(wǎng)絡活動。
(4)具有日志,以記錄網(wǎng)絡訪問動作的詳細信息。(5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
四、防火墻的不足
防火墻對網(wǎng)絡的威脅進行極好的防范,但是,它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。
防火墻不能防止內部的攻擊,因為它只提供了對網(wǎng)絡邊緣的防衛(wèi)。內部人員可能濫用被給予的訪問權,從而導致事故。防火墻也不能防止像社會工程攻擊——種很常用的入侵手段,就是靠欺騙獲得一些可以破壞安全的信息,如網(wǎng)絡的口令。另外,一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內部網(wǎng)絡。
另一個防止的是懷有惡意的代碼:病毒和特洛伊木馬。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬,但這些防火墻只能阻擋已知的惡意程序,這就可能讓新的病毒和木馬溜進來。而且,這些惡意程序不僅僅來自網(wǎng)絡,也可能來自軟盤。
五、常見攻擊方式以及應對策略(1)常見攻擊方式 病毒
盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能,但仍然很難將所有的病毒(或特洛伊木馬程序)阻止在網(wǎng)絡外面,很容易欺騙用戶下載一個程序從而讓惡意代碼進入內部網(wǎng)。策略:設定安全等級,嚴格阻止系統(tǒng)在未經(jīng)安全檢測的情況下執(zhí)行下載程序;或者通過常用的基于主機的安全方法來保護網(wǎng)絡。口令字
對口令字的攻擊方式有兩種:窮舉和嗅探。窮舉針對來自外部網(wǎng)絡的攻擊,來猜測防火墻管理的口令字。探針對內部網(wǎng)絡的攻擊,通過監(jiān)測網(wǎng)絡獲取主機給防火墻的口令字。
策略:設計主機與防火墻通過單獨接口通信(即專用服務器端口)、采用一次性口令或禁止直接登錄防火墻。郵件
來自于郵件的攻擊方式越來越突出,在這種攻擊中,垃圾郵件制造者將一條消息復制成成千上萬份,并按一個巨大的電子郵件地址清單發(fā)送這條信息,當不經(jīng)意打開郵件時,惡意代碼即可進入。策略:打開防火墻上的過濾功能,在主機上采取相應阻止措施。IP地址
黑客利用一個類似于內部網(wǎng)絡的IP地址,以“逃過”服務器檢測,從而進入內部網(wǎng)絡達到攻擊的目的。
策略:通過打開內核功能,丟棄所有來自網(wǎng)絡外部卻有內部地址的數(shù)據(jù)包;同時將特定IP地址與MAC綁定,只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡訪問。(2)應對策略 方案選擇
市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設備上,依托網(wǎng)絡在操作系統(tǒng)上實現(xiàn)防火墻的各種功能,因此也稱“個人”防火墻,其功能有限,基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設計,并集成在一起,運行于自己專用的系統(tǒng)平臺。由于硬件防火墻集合了軟件方面,從功能上更為強大,目前已普遍使用。結構透明
防火墻的透明性是指防火墻對于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡,網(wǎng)絡和用戶無需做任何設置和改動,也根本意識不到防火墻的存在。然后根據(jù)自己企業(yè)的網(wǎng)絡規(guī)模,以及安全策略來選擇合適的防火墻的構造結構(可參照本文第3點分析),如果經(jīng)濟實力雄厚的可采用屏蔽子網(wǎng)的拓撲結構。實施措施
好的防火墻產(chǎn)品應向使用者提供完整的安全檢查功能,應有完善及時的售后服務。但一個安全的網(wǎng)絡仍必須靠使用者的觀察與改進,企業(yè)要達到真正的安全仍需內部的網(wǎng)絡管理者不斷記錄、追蹤、改進,定期對防火墻和相應操作系統(tǒng)用補丁程序進行升級。
七、防火墻的發(fā)展歷程(1)基于路由器的防火墻
由于多數(shù)路由器本身就包含有分組過濾功能,網(wǎng)絡訪問控制可能通過路由器控制來實現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。
第一代防火墻產(chǎn)品的特點:
1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現(xiàn)對分組的過濾;
2)過濾判斷的依據(jù)可以是:地址、端口號及其他網(wǎng)絡特征; 3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡則需要單獨利用一臺路由器作為防火墻。(2)第一代防火墻產(chǎn)品的不足之處 具體表現(xiàn)為:
1)路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡要探尋內部網(wǎng)絡十分容易。
2)路由器上分組過濾規(guī)則的設置和配置存在安全隱患。對路由器中過濾規(guī)則的設置和配置十分復雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則的正確性,一般的網(wǎng)絡系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。
3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡上偽造假的路由信息欺騙防火墻。
路由器防火墻的本質缺陷是:由于路由器的主要功能是為網(wǎng)絡訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實施靜態(tài)的、固定的控制,這是一對難以調和的矛盾,防火墻的規(guī)則設置會大大降低路由器的性能。
可以說基于路由器的防火墻技術只是網(wǎng)絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。(4)用戶化的防火墻工具套
為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡,從而推動了用戶防火墻工具套的出現(xiàn)。 作為第二代防火墻產(chǎn)品,用戶化的防火墻工具具有以下特征: 1)將過濾功能從路由器中獨立出來,并加上審計和告警功能; 2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網(wǎng)絡發(fā)送,用戶可以自己動手構造防火墻; 4)與第一代防火墻相比,安全性提高了,價格也降低了。第二代防火墻產(chǎn)品的缺點
1)無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當復雜的要求,2)配置和維護過程復雜、費時; 3)對用戶的技術要求高;
4)全軟件實現(xiàn),使用中出現(xiàn)差錯的情況很多。(5)建立在通用操作系統(tǒng)上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操 作系統(tǒng)上的商用防火墻產(chǎn)品。系統(tǒng)上的防火墻的特點: 1)是批量上市的專用防火墻產(chǎn)品;
2)包括分組過濾或者借用路由器的分組過濾功能; 3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令; 4)保護用戶編程空間和用戶可配置內核參數(shù)的設置; 5)安全性和速度大大提高。
第三代防火墻有以純軟件實現(xiàn)的,也有以硬件方式實現(xiàn)的,它們已經(jīng)得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題。(6)操作系統(tǒng)上的防火墻的缺點
1)作為基礎的操作系統(tǒng)及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性 無從保證;
2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會對操作系統(tǒng)的 安全性負責;
3)從本質上看,第三代防火墻既要防止來自外部網(wǎng)絡的攻擊,還要防止來自操作系統(tǒng)廠商 的攻擊;
4)透明性好,易于使用。
隨著Internet/Intranet技術的飛速發(fā)展,網(wǎng)絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全措施的一種主要手段,它主要是用來拒絕未經(jīng)授權用戶的訪問,阻止未經(jīng)授權用戶存取敏感數(shù)據(jù),同時允許合法用戶不受妨礙的訪問網(wǎng)絡資源。如果使用得當,可以在很大程度上提高網(wǎng)絡安全。但是沒有一種技術可以百分之百地解決網(wǎng)絡上的所有問題,比如防火墻雖然能對來自外部網(wǎng)絡的攻擊進行有效的保護,但對于來自網(wǎng)絡內部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡安全問題來自網(wǎng)絡內部。因此網(wǎng)絡安全單靠防火墻是不夠的,還需要有其它技術和非技術因素的考慮,如信息加密技術、身份驗證技術、制定網(wǎng)絡法規(guī)、提高網(wǎng)絡管理人員的安全意識等。
第二篇:淺析計算機網(wǎng)絡安全和防火墻技術 論文
JIU JIANG UNIVERSITY
畢 業(yè) 論 文
題 目: 淺析計算機網(wǎng)絡安全和防火墻技術
院 系: 信息科學與技術學院 專 業(yè): 網(wǎng)絡系統(tǒng)管理 姓 名:
年 級: 指導老師 :
二零一一年十一月二十日
摘 要
隨著時代的發(fā)展,Internet日益普及,網(wǎng)絡已經(jīng)成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網(wǎng)絡,經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。作為保護局域子網(wǎng)的一種有效手段,防火墻技術備受睞。
本文主要闡述了網(wǎng)絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰(zhàn)不殆。只有了解了網(wǎng)絡安全存在的內憂外患,才能更好的改善網(wǎng)絡安全技術,發(fā)展網(wǎng)絡安全技術。然后主要闡述防火墻在網(wǎng)絡安全中起到的巨大的作用,防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。
計算機網(wǎng)絡技術的在飛速發(fā)展中,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡信息的安全性變得日益重要,只有熟悉了各種對網(wǎng)絡安全的威脅,熟悉各種保護網(wǎng)路安全的技術,我們才能更好的保護計算機和信息的安全。
關鍵字:計算機網(wǎng)絡;網(wǎng)絡安全;防范措施;防火墻技術
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目錄
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡安全概述.....................................................6 1.1計算機網(wǎng)絡安全的含義...........................................................6 1.2網(wǎng)絡信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計算機病毒.............................................6 1.3計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因...............................................8 1.5影響計算機網(wǎng)絡安全的因素.......................................................8 第二章 計算機網(wǎng)絡安全防范策略..........................................10 2.1防火墻技術....................................................................10 2.2 數(shù)據(jù)加密與用戶授權訪問控制技術..............................................12 2.3 入侵檢測技術.................................................................13 2.4防病毒技術....................................................................13 2.4.1 對付病毒有以下四種基本方法.................................................14 2.5安全管理隊伍的建設............................................................17 第三章防火墻技術........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網(wǎng)絡安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術原理............................................................18 3.4 防火墻的應用.................................................................19 3.4.1個人防火墻的應用............................................................19 3.4.2防火墻技術在校園網(wǎng)中應用....................................................23 結論...................................................................25 致謝...................................................................26 參考文獻...............................................................27 IV
引言
近年來,隨著計算機網(wǎng)絡技術的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計算機網(wǎng)絡的安全性變得日益重要起來,由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素,致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網(wǎng)絡暢通,研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷,但網(wǎng)絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網(wǎng)絡安全問題離自己尚遠,這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā),所以防火墻技術應當引起我們的注意和重視。
本文主要研究網(wǎng)絡安全的缺陷原由及網(wǎng)絡安全技術的原理和其他技術,如防火墻技術對網(wǎng)絡安全起到的不可忽視的影響。
第一章 網(wǎng)絡安全概述
1.1計算機網(wǎng)絡安全的含義
計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外,還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞,以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信,保持網(wǎng)絡通信的連續(xù)性。
從本質上來講,網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。
1.2網(wǎng)絡信息安全的主要威脅
網(wǎng)絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1自然威脅
自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡設備的自然老化等。這些無目的的事件,有時會直接威脅網(wǎng)絡的安全,影響信息的存儲媒體。威脅分別有:
1.自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設備使用壽命到期、外力破損等),設備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機操作過程)。
3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統(tǒng)掉電、死機等系統(tǒng)崩潰)
4.計算機系統(tǒng)機房環(huán)境的安全。
1.2.2人為威脅—黑客攻擊與計算機病毒
人為威脅就是說對網(wǎng)絡的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】,以便達到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡安全的人為威脅主要分為以下幾種: ? 網(wǎng)絡缺陷
Intemet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應的安全監(jiān)督機制。
? 黑客攻擊
自1998年后,網(wǎng)上的黑客越來越多,也越來越猖獗;與此同時黑客技術逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網(wǎng)絡安全的主要威脅之一。? 各種病毒
病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響,促使人們不得不在網(wǎng)絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用
很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡安全的認識,管理上存在很多漏洞,特別是國內的企業(yè),只是提供了接入Internet的通道,對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施,同時企業(yè)內部普遍存在資源濫用現(xiàn)象,這是造成網(wǎng)絡安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規(guī)模越來越大,軟件系統(tǒng)中的漏洞也不可避免的存在,強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”,這是網(wǎng)絡安全的主要威脅之一。? 網(wǎng)絡內部用戶的誤操作和惡意行為
對于來自網(wǎng)絡內部的攻擊,主流的網(wǎng)絡安全產(chǎn)品防火墻基本無能為力,這類攻擊及其誤操作行為需要網(wǎng)絡信息審計、IDS等主要針對內部網(wǎng)絡安全的安全產(chǎn)品來抵御。
? 網(wǎng)絡資源濫用
網(wǎng)絡有了安全保證和帶寬管理,依然不能防止員工對網(wǎng)絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng),盡量避免網(wǎng)絡對工作帶來負面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發(fā)布,可能會造成敏感信息泄漏、有害信息擴散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重,計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段,它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。? 操作系統(tǒng)存在的安全問題
操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設計的不周而留下的破綻,都給網(wǎng)絡安全留下隱患。
? 數(shù)據(jù)庫存儲的內容存在的安全問題
數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面,包括我們上網(wǎng)看到的所有信息,數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問權限進行數(shù)據(jù)的更改活動;非法用戶繞過安全內核,竊取信息。對于數(shù)據(jù)庫的安全而言,就是要保證數(shù)據(jù)的安全可靠和正確有效,即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取;數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。
1.3計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因
①網(wǎng)絡安全天生脆弱
計算機網(wǎng)絡安全系統(tǒng)的脆弱性是伴隨計算機網(wǎng)絡一同產(chǎn)生的,換句話說,安全系統(tǒng)脆弱是計算機網(wǎng)絡與生俱來的致命弱點。在網(wǎng)絡建設中,網(wǎng)絡特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡更方便快捷,又要保證網(wǎng)絡安全,這是一個非常棘手的“兩難選擇”,而網(wǎng)絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網(wǎng)絡都不是絕對安全的
②黑客攻擊后果嚴重
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定,在世界各國造成了難以估量的損失。
③網(wǎng)絡殺手集團化
目前,網(wǎng)絡殺手除了一般的黑客外,還有一批具有高精尖技術的“專業(yè)殺手”,更令人擔憂的是出現(xiàn)了具有集團性質的“網(wǎng)絡恐怖分子”甚至政府出面組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”是當前網(wǎng)絡安全的最大隱患。目前,美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡方式把病毒植入敵方計算機主機或各類傳感器、網(wǎng)橋中的研究以伺機破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡系統(tǒng)。另外,為達到預定目的,對出售給潛在敵手的計算機芯片進行暗中修改,在CPU中設置“芯片陷阱”,可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
1.5影響計算機網(wǎng)絡安全的因素
①網(wǎng)絡資源的共享性
資源共享是計算機網(wǎng)絡應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。
②網(wǎng)絡的開放性
網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
③網(wǎng)絡操作系統(tǒng)的漏洞
網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一,它不僅
負責網(wǎng)絡硬件設備的接口封裝,同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序實現(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡系統(tǒng)設計的缺陷
網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡設計則會成為網(wǎng)絡的安全威脅。
⑤惡意攻擊
就是人們常見的黑客攻擊及網(wǎng)絡病毒,這是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
第二章 計算機網(wǎng)絡安全防范策略
計算機網(wǎng)絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨的組件都無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術主要有:防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。2.1防火墻技術
防火墻
防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續(xù)控制引擎。在電腦術語中,當然就不是這個意思了,我們可 以類比來理解,在網(wǎng)絡中,所謂“防火墻”,是指一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡,同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻(FireWall)成為近年來新興的保護計算機網(wǎng)絡安全技術性措施。它是一種隔離控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡上被非法輸出。作為Internet網(wǎng)的安全性保護軟件,F(xiàn)ireWall已經(jīng)得到廣泛的應用。通常企業(yè)為了維護內部的信息系統(tǒng)安全,在企業(yè)網(wǎng)和Internet間設立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶,則可以通過設置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息,那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網(wǎng),也可以安裝在一臺主機上,保護這臺主機不受侵犯。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。例1:未制定完整的企業(yè)安全策略
網(wǎng)絡環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了,為此,公司領導特意表揚了負責防火墻安裝實施的信息部。
該企業(yè)網(wǎng)絡環(huán)境如圖2.1所示:
圖2.1 該企業(yè)內部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機,出口通過路由器和ISP連接。內部網(wǎng)劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級別設置訪問權限;VLAN 4分配給交換機出口地址和路由器使用;VLAN 5分配給公共服務器使用。在沒有加入防火墻之前,各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網(wǎng)關指向路由器;將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡分為3個區(qū)域: 內部網(wǎng)、公共服務器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問題描述:防火墻投入運行后,實施了一套較為嚴格的安全規(guī)則,導致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內部局域網(wǎng)中傳播開來,造成內部網(wǎng)大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護網(wǎng)絡安全的設備,必須部署在受保護網(wǎng)絡的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信,達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多PC機通過電話線和Internet相連,導致網(wǎng)絡邊界不惟一,入侵者可以通過攻擊這些PC機然后進一步攻擊內部網(wǎng)絡,從而成功地避開了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規(guī)章制度,嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件,這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產(chǎn)品的配合使用
問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統(tǒng))產(chǎn)品。當系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調
整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調整安全策略,也給整個網(wǎng)絡帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能,導致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購買防火墻前應查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號,然后確定所要購買的防火墻是否有聯(lián)動功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣,當IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同時發(fā)送消息給防火墻,由防火墻自動添加相關規(guī)則,把入侵者拒之門外。
例3:未經(jīng)常維護升級防火墻 問題描述:某政府機構購置防火墻后已安全運行一年多,由于該機構網(wǎng)絡結構一直很穩(wěn)定,沒有什么變化,各種應用也運行穩(wěn)定,因此管理員逐漸放松了對防火墻的管理,只要網(wǎng)絡一直保持暢通即可,不再關心防火墻的規(guī)則是否需要調整,軟件是否需要升級。而且由于該機構處于政府專網(wǎng)內,與Internet物理隔離,防火墻無法實現(xiàn)在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網(wǎng)也受到蠕蟲病毒的感染,該機構防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機構的內部網(wǎng)大面積受感染,網(wǎng)絡陷于癱瘓之中。
問題分析:安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應當時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補丁。
解決辦法:及時維護防火墻,當本機構發(fā)生人員變動、網(wǎng)絡調整和應用變化時,要及時調整防火墻的安全規(guī)則,及時升級防火墻。
從以上三個案例我們可以得出一些結論:防火墻只是保證安全的一種技術手段,要想真正實現(xiàn)安全,安全策略是核心問題。保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結合起來,充分利用它們各自的優(yōu)點,才能最大限度地保證網(wǎng)絡安全。而保護網(wǎng)絡安全是動態(tài)的過程,防火墻需要積極地維護和升級。
2.2 數(shù)據(jù)加密與用戶授權訪問控制技術
與防火墻相比,數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護,需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法
2.3 入侵檢測技術
入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統(tǒng)的知識,添加入策略集中,增強系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現(xiàn)在以下方面: 1)分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權操作; 2)檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補漏洞; 3)識別反映已知進攻的活動模式并向相關人上報警; 4)對異常行為模式的統(tǒng)計分析;
5)能夠實時地對檢測到的入侵行為進行反應; 6)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 7)可以發(fā)現(xiàn)新的攻擊模式; 入侵檢測方法
方法有很多,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現(xiàn)
1.監(jiān)視、分析用戶及系統(tǒng)活動;
2.系統(tǒng)構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統(tǒng)計分析;
5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6.操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
入侵檢測技術同樣存在問題
1.現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠小于網(wǎng)絡傳輸速度, 導致誤報率和漏報率
2.入侵檢測產(chǎn)品和其它網(wǎng)絡安全產(chǎn)品結合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊
3.基于網(wǎng)絡的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡下的數(shù)據(jù)流不能進行檢測, 并且其本身構建易受攻擊
4.入侵檢測系統(tǒng)體系結構問題
2.4 防病毒技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和
破壞。實際上這是一種動態(tài)判定技術,即一種行為規(guī)則判定技術。也就是說,計算機病毒的預防是采用對病毒的規(guī)則進行分類處理,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統(tǒng)內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監(jiān)視在計算機和驅動器之間產(chǎn)生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態(tài):哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態(tài)判定技術,而對未知病毒的預防則是一種行為規(guī)則的判定技術,即動態(tài)判定技術。
一、計算機病毒的預防技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術,即一種行為規(guī)則判定技術。也就是說,計算機病毒的預防是采用對病毒的規(guī)則進行分類處理,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統(tǒng)內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監(jiān)視在計算機和驅動器之間產(chǎn)生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態(tài):哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態(tài)判定技術,而對未知病毒的預防則是一種行為規(guī)則的判定技術,即動態(tài)判定技術。
二、檢測病毒技術
計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種:一種是根據(jù)計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數(shù)據(jù)段進行檢驗,若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性已遭到破壞,感染上了病毒,從而檢測到病毒的存在。
三、清除病毒技術
計算機病毒的清除技術是計算機病毒檢測技術發(fā)展的必然結果,是計算機病毒傳染程序的一種逆過程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發(fā)展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,解毒軟件有其局限性,對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我國的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術
2.4.1 對付病毒有以下四種基本方法
1、基于網(wǎng)絡目錄和文件安全性方法
以NetWare為例,在NetWare中,提供了目錄和文件訪問權限與屬性兩種安全性措施。“訪問權限有:防問控制權、建立權、刪除權、文件掃描權、修改權、讀權、寫權和管理權。屬性有:需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。屬性優(yōu)先于訪問權限。根據(jù)用戶對目錄和文件的操作能力,分配不同的訪問權限和屬性。例如,對于公用目錄中的系統(tǒng)文件和工具軟件,應該只設置只讀屬性,系統(tǒng)程序所在的目錄不要授予修改權和管理權。這樣,病毒就無法對系統(tǒng)程序實施感染和寄生,其它用戶也就不會感染病毒。
由此可見,網(wǎng)絡上公用目錄或共享目錄的安全性措施,對于防止病毒在網(wǎng)上傳播起到積極作用。至于網(wǎng)絡用戶的私人目錄,由于其限于個別使用,病毒很難傳播給其它用戶。采用基于網(wǎng)絡目錄和文件安全性的方法對防止病毒起到了一定作用,但是這種方法畢竟是基于網(wǎng)絡操作系統(tǒng)的安全性的設計,存在著局限性。現(xiàn)在市場上還沒有一種能夠完全抵御計算機病毒侵染的網(wǎng)絡操作系統(tǒng),從網(wǎng)絡安全性措施角度來看,在網(wǎng)絡上也是無法防止帶毒文件的入侵。
2、采用工作站防病毒芯片
這種方法是將防病毒功能集成在一個芯片上,安裝在網(wǎng)絡工作站上,以便經(jīng)常性地保護工作站及其通往服務器的路徑。工作站是網(wǎng)絡的門戶,只要將這扇門戶關好,就能有效地防止病毒的入侵。將工作站存取控制與病毒保護能力合二為一插在網(wǎng)卡的EPROM槽內,用戶也可以免除許多繁瑣的管理工作。
Trend Micro Devices公司解決的辦法是基于網(wǎng)絡上每個工作站都要求安裝網(wǎng)絡接口卡網(wǎng)絡接口卡上有一個Boot Rom芯片,因為多數(shù)網(wǎng)卡的Boot Rom并沒有充分利用,都會剩余一些使用空間,所以如果安全程序夠小的話,就可以把它安裝在網(wǎng)絡的Boot Rom的剩余空間內,而不必另插一塊芯片。
市場上Chipway防病毒芯片就是采用了這種網(wǎng)絡防病毒技術。在工作站DOS引導過程中,ROMBIOS,Extended BIOS裝入后,Partition Table裝入之前,Chipway獲得控制權,這樣可以防止引導型病毒。Chipway的特點是:①不占主板插槽,避免了沖突;②遵循網(wǎng)絡上國際標準,兼容性好;③具有他工作站防毒產(chǎn)品的優(yōu)點。但目前,Chipway對防止網(wǎng)絡上廣為傳播的文件型病毒能力還十分有限。
3、采用Station Lock網(wǎng)絡防毒方法
Station Lock是著名防病毒產(chǎn)品開發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡防病毒產(chǎn)品。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后,才會產(chǎn)生感染效力“的基礎之上。例如,病毒是一個不具自我辨別能力的小程序,在病毒傳染過程中至少必須攔截一個DOS中斷請求,而且必須試圖改變程序指針,以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權。引導型病毒必須使用系統(tǒng)的BIOS功能調用,文件型病毒必須將自己所有的程序代碼拷貝到另一個系統(tǒng)執(zhí)行文件時才能復制感染。混合型病毒和多形體病毒在實施感染之前也必須獲取系統(tǒng)控制權,才能運行病毒體程序而實施感染。Station Lock就是通過這些特點,用間接方法觀察,精確地預測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。
Station Lock也能處理一些基本的網(wǎng)絡安全性問題,例如存取控制、預放未授權拷貝以及在一個點對點網(wǎng)絡環(huán)境下限制工作站資源相互存取等。Station Lock能根據(jù)病毒活動辯別可能的病毒攻擊意圖,并在它造成任
何破壞之前予以攔截。由于Station Lock是在啟動系統(tǒng)開始之前,就接管了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。Station Lock是目前網(wǎng)絡環(huán)境下防治病毒比較有效的方法。
4、基于服務器的防毒技術
服務器是網(wǎng)絡的核心,一旦服務器被病毒感染,就會使服務器無法啟動,整個網(wǎng)絡陷于癱瘓,造成災難性后果。目前基于服務器的防治病毒方法大都采用了NLM(NetWare Load Module)技術以NLM模塊方式進行程序設計,以服務器為基礎,提供實時掃描病毒能力。市場上的產(chǎn)品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務器為基礎的防病毒技術。這些產(chǎn)品的目的都是保護服務器,使服務器不被感染。這樣,病毒也就失去了傳播途徑,因而從根本上杜絕了病毒在網(wǎng)上蔓延。
(1)對服務器中所有文件掃描
這一方法是對服務器的所有文件進行集中檢查看其是否帶毒,若有帶毒文件,則提供給網(wǎng)絡管理員幾種處理方法。允許用戶清除病毒,或刪除帶毒文件,或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個特定的病毒文件目錄中。
(2)實時在線掃描
網(wǎng)絡防病毒技術必須保持全天24小時監(jiān)控網(wǎng)絡是否有帶毒文件進入服務器。為了保證病毒監(jiān)測實時性,通常采用多線索的設計方法,讓檢測程序作為一個隨時可以激活的功能模塊,且在NetWare運行環(huán)境中,不影響其它線索的運行。這往往是設計一個NLM最重要的部分,即多線索的調度。實時在線掃描能非常及時地追蹤病毒的活動,及時告之網(wǎng)絡管理員和工作站用戶。
(3)掃描選擇
該功能允許網(wǎng)絡管理員定期檢查服務器中是否帶毒,例如可按每月、每星期、每天集中掃描一下網(wǎng)絡服務器,這樣就使網(wǎng)絡用戶擁有極大的操作選擇余地。
(4)自動報告功能及病毒存檔
當網(wǎng)絡用戶將帶毒文件有意或無意地拷入服務器中時,網(wǎng)絡防病毒系統(tǒng)必須立即通知網(wǎng)絡管理員,或涉嫌病毒的使用者,同時自己記入病毒檔案。病毒檔案一般包括:病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等,另外,記錄對病毒文件處理方法。
(5)工作站掃描
基于服務器的防病毒軟件不能保護本地工作站的硬盤,有效的方法是在服務器上安裝防毒軟件,同時在上網(wǎng)的工作站內存中調入一個常駐掃毒程序,實時檢測在工作站中運行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)對用戶開放的病毒特征接口
大家知道病毒及其變種層出不窮。據(jù)有關資料報道,截止1994年2月25日,全世界流傳的MSDOS病毒達2700多種。如何使防病毒系統(tǒng)能對付不斷出現(xiàn)的新病毒?這要求開發(fā)商能夠使自己的產(chǎn)品具有自動升級功能,也就是真正交給網(wǎng)絡
用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數(shù)據(jù)庫。用戶隨時將遇到的帶毒文件,經(jīng)過病毒特征分析程序,自動將病毒特征加入特征庫,以隨時增強抗毒能力。當然這一工作難度極大,需要不懈的努力。在上述四種網(wǎng)絡防毒技術中,Station Lock是一種針對病毒行為的防治方法,StationLock目前已能提供Intel以太網(wǎng)絡接口卡支持,而且未來還將支持各種普及型的以太令牌環(huán)(Token-Ring)網(wǎng)絡接口卡。基于服務器的防治病毒方法,表現(xiàn)在可以集中式掃毒,能實現(xiàn)實時掃描功能,軟件升級方便。特別是當連網(wǎng)的機器很多時,利用這種方法比為每臺工作站都安裝防病毒產(chǎn)品要節(jié)省成本。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等。
2.5 安全管理隊伍的建設
在計算機網(wǎng)絡系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證,只有通過網(wǎng)絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網(wǎng)絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網(wǎng)內的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力,才能使計算機網(wǎng)絡的安全可靠得到保障,從而使廣大網(wǎng)絡用戶的利益得到保障。
第三章 防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。
Internet防火墻是一個或一組系統(tǒng),它能增強機構內部網(wǎng)絡的安全性,用于加強網(wǎng)絡間的訪問控制,防止外部用戶非法使用內部網(wǎng)的資源,保護內部網(wǎng)絡的設備不被破壞,防止內部網(wǎng)絡的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的服務,以及哪些外部服務何時可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦被攻擊突破或迂回繞過,就不能提供任何保護了。3.2防火墻的功能
3.2.1 防火墻是網(wǎng)絡安全的屏障
防火墻(作為阻塞點,控制點)能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。
防火墻可以強化網(wǎng)絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上,對網(wǎng)絡存取和訪問進行監(jiān)控審計:所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù),當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。防止內部信息的外泄,通過利用防火墻對內部網(wǎng)絡的劃分,可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離,而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。3.2.2防火墻的種類
防火墻技術可根據(jù)防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應用代理(ApplicationProxy):也叫應用網(wǎng)關(ApplicationGateway), 它作用在應用層,其特點是完全 “ 阻隔 ” 了網(wǎng)絡通信流通過對每種應用服務編制專門的代理程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用,實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)【8】。
3.3 防火墻的技術原理
目前,防火墻系統(tǒng)的工作原理因實現(xiàn)技術不同,大致可分為三種:(1)包過濾技術
包過濾技術是一種基于網(wǎng)絡層的防火墻技術。根據(jù)設 置好的過濾規(guī)則,通
過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉,由此保證網(wǎng)絡系統(tǒng)的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優(yōu)點就是價格便宜,實現(xiàn)邏輯簡單便于安裝和使用。
缺點:1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡層和傳輸層的信息,訪問信息有限,對網(wǎng)絡更高協(xié)議層的信息無理解能力。3)對一些協(xié)議,如UDP和RPC難以有效的過濾。
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”,兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網(wǎng)絡之間,對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發(fā)到真實的服務器上,并將答復再轉發(fā)給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
優(yōu)點:它將內部用戶和外界隔離開來,使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比,代理技術是一種更安全的技術【9】。
缺點:在應用支持方面存在不足,執(zhí)行速度較慢。(3)狀態(tài)監(jiān)視技術 這是第三代防火墻技術,集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包,這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序,可方便地實現(xiàn)應用和服務的擴充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監(jiān)測,狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網(wǎng)絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。3.4 防火墻的應用
3.4.1 個人防火墻的應用 瑞星個人防火墻的應用 1)安裝
第一步啟動安裝程序。
當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運行安裝程序,就可以進行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。
啟動個人防火墻,當出現(xiàn)如圖3.2下所示的窗口后,在相應位置輸入您購買獲得的產(chǎn)品序列號和用戶ID,點擊“確定”,通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。
圖3.2 常見問題:不輸入產(chǎn)品序列號和用戶ID,產(chǎn)品將無法升級,防火墻保護功能將全部失效,您的計算機將無法抵御黑客攻擊。
2)升級
第一步網(wǎng)絡配置:
?打開防火墻主程序
?在菜單中依次選擇【設置】/【設置網(wǎng)絡】,打開【網(wǎng)絡設置】窗口,如圖3.3
圖3.3 1。設定網(wǎng)絡連接方式,如果設定“通過代理服務器訪問網(wǎng)絡”,還需要輸入代理服務器IP、端口、身份驗證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網(wǎng)絡連接 3。點擊【確定】按鈕完成設置
小提示:
1。如果您已經(jīng)可以瀏覽網(wǎng)頁,說明網(wǎng)絡設置已經(jīng)配置好了,這里直接使用默認設置即可。
2。如果您不使用撥號方式上網(wǎng),將不會看到界面中【使用撥號網(wǎng)絡連接】的選項以及相關設置。
3。請確保此步設置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網(wǎng)絡配置后,進行智能升級的操作方法:
方法一:點擊主界面右側的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】
方法三:右鍵點擊防火墻托盤圖標,在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。方法三:用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】快捷圖標
即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進行菜單操作的窗口,包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側,包括【啟動/停止保護】、【連接/斷開網(wǎng)絡】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護功能,執(zhí)行此功能后,您計算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時,此按鈕將變?yōu)椤締⒂帽Wo】;點擊將重新啟用防火墻的保護功能,您也可以通過菜單項【操作】/【停止保護】來執(zhí)行此功能;將您的計算機完全與網(wǎng)絡斷開,就如同拔掉網(wǎng)線或是關掉Modem一樣。其他人都不能訪問您的計算機,但是您也不能再訪問網(wǎng)絡。這是在遇到頻繁攻擊時最為有效的應對方法;已經(jīng)斷開網(wǎng)絡后,此項將變?yōu)椤具B接網(wǎng)絡】,點擊將恢復網(wǎng)絡連接;您也可以通過菜單項【操作】/【斷開網(wǎng)絡】來執(zhí)行此功能;啟動智能升級程序對防火墻進行升級更新;您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執(zhí)行此
功能。
3、標簽頁:
位于主界面上部,分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:
圖3。8
4、安全級別:
位于主界面右下角,拖動滑塊到對應的安全級別,修改立即生效。
5、當前版本及更新日期:
位于主界面右上角,顯示防火墻當前版本及更新日期。
6、規(guī)則設置
配置防火墻的過濾規(guī)則(如圖3。9),包括: 黑名單:在黑名單中的計算機禁止與本機通訊
白名單:在白名單中的計算機對本地具有完全的訪問權限
端口開關:允許或禁止端口中的通訊,可簡單開關本機與遠程的端口 可信區(qū):通過可信區(qū)的設置,可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待 IP規(guī)則:在IP層過濾的規(guī)則
訪問規(guī)則:本機中訪問網(wǎng)絡的程序的過濾規(guī)則
圖3。9 3.4.2 防火墻技術在校園網(wǎng)中應用
一、安裝防火墻
防火墻技術在校園網(wǎng)安全建設中得到廣泛的應用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或對互聯(lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡間通信的系統(tǒng)部署防火墻技術[10],構筑內外網(wǎng)之間的安全屏障,可以有效地將內部網(wǎng)與外部網(wǎng)隔離開來,保護校園網(wǎng)絡不受未經(jīng)授權的第三方侵入。
二、校園網(wǎng)防火墻系統(tǒng)的配置
假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內的IP地址范圍是確
定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。
1)對進入CERNET主干網(wǎng)的存取控制
2)對網(wǎng)絡中心資源主機的訪問控制,網(wǎng)絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網(wǎng)絡中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP以外的一切服務。
3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡內部人員訪問Internet進行一定限制在連接內部網(wǎng)絡的端口接收數(shù)據(jù)時進行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡收到一段假冒內部IP地址發(fā)出的報文,也應丟棄,并記錄有關信息。防止IP地址被盜用的徹底解決辦法是:代理服務器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應在路由器和校園網(wǎng)的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包。
結論
計算機網(wǎng)絡的安全問題越來越受到人們的重視,一個安全的計算機網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關,而且和每個使用者的安全操作等都有關系。網(wǎng)絡安全是動態(tài)的,新的Internet黑客站點、病毒與安全技術每日劇增,世界上不存在絕對安全的網(wǎng)絡系統(tǒng),隨著計算機網(wǎng)絡技術的進一步發(fā)展,網(wǎng)絡安全防護技術也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。
防火墻不能完全解決網(wǎng)絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網(wǎng)絡管理人員的安全意識等,總之,防火墻是網(wǎng)絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行,不斷提高網(wǎng)絡安全水平,這將是一個隨著網(wǎng)絡技術的發(fā)展而不斷研究的課題。
致謝
本文是在指導老師胡楠老師的悉心教導下完成的。寫論文的這段時間,老師淵博的學識,嚴謹?shù)闹螌W太多和細心指導,以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點成就都與導師的熱心關懷和精心指導是分不開的,值此論文完成之際,特別向導師致以衷心的感謝各崇高的敬意。
本課題的完成過程中,本人還得到了同學們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進行審閱,評議和參與本人論文答辯的各位老師表示感謝。
參考文獻
[1]張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協(xié)議與網(wǎng)絡管理,北京清華大學出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡安全入侵檢測研究綜述軟件學報
[7]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關—網(wǎng)絡邊界防護的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本,西南師范大學出版社,2004年1月 [10] 張穎,劉軍,王磊,計算機網(wǎng)絡安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月
第三篇:淺析計算機網(wǎng)絡安全和防火墻技術論文
婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
摘 要
隨著時代的發(fā)展,Internet日益普及,網(wǎng)絡已經(jīng)成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網(wǎng)絡,經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。作為保護局域子網(wǎng)的一種有效手段,防火墻技術備受睞。
本文主要闡述了網(wǎng)絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰(zhàn)不殆。只有了解了網(wǎng)絡安全存在的內憂外患,才能更好的改善網(wǎng)絡安全技術,發(fā)展網(wǎng)絡安全技術。然后主要闡述防火墻在網(wǎng)絡安全中起到的巨大的作用,防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。
計算機網(wǎng)絡技術的在飛速發(fā)展中,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡信息的安全性變得日益重要,只有熟悉了各種對網(wǎng)絡安全的威脅,熟悉各種保護網(wǎng)路安全的技術,我們才能更好的保護計算機和信息的安全。
關鍵字:計算機網(wǎng)絡;網(wǎng)絡安全;防范措施;防火墻技術
婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
II 淺析計算機網(wǎng)絡安全和防火墻技術
目錄
摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡安全概述.................................2 1.1 計算機網(wǎng)絡安全的含義..........................2 1.2 網(wǎng)絡信息安全的主要威脅........................2 1.2.1 自然威脅..................................2 1.2.2 人為威脅—黑客攻擊與計算機病毒............3 1.3 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因..............4 1.4 影響計算機網(wǎng)絡安全的因素......................5 第二章 計算機網(wǎng)絡安全防范策略.......................6 2.1 防火墻技術....................................6 2.2 數(shù)據(jù)加密與用戶授權訪問控制技術................9 2.3 入侵檢測技術.................................10 2.4 防病毒技術...................................11 2.5 安全管理隊伍的建設...........................11 第三章 防火墻技術..................................12 3.1 防火墻的定義.................................12 3.2 防火墻的功能.................................12 3.2.1 防火墻是網(wǎng)絡安全的屏障...................12 3.2.2 防火墻的種類.............................13 3.3 防火墻的技術原理.............................13 3.4 防火墻的應用.................................15 3.4.1 個人防火墻的應用.........................15 3.4.2 防火墻技術在校園網(wǎng)中應用.................20 結論................................................22
III 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
致謝................................................23 參考文獻.............................................24 IV 淺析計算機網(wǎng)絡安全和防火墻技術
引言
近年來,隨著計算機網(wǎng)絡技術的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計算機網(wǎng)絡的安全性變得日益重要起來,由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素,致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網(wǎng)絡暢通,研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷,但網(wǎng)絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網(wǎng)絡安全問題離自己尚遠,這一點從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā),所以防火墻技術應當引起我們的注意和重視。
本文主要研究網(wǎng)絡安全的缺陷原由及網(wǎng)絡安全技術的原理和其他技術,如防火墻技術對網(wǎng)絡安全起到的不可忽視的影響。
婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
第一章網(wǎng)絡安全概述
1.1 計算機網(wǎng)絡安全的含義
計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外,還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞,以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信,保持網(wǎng)絡通信的連續(xù)性。
從本質上來講,網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。
1.2 網(wǎng)絡信息安全的主要威脅
網(wǎng)絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1 自然威脅
自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡設備的自然老化等。這些無目的的事件,有時會直接威脅網(wǎng)絡的安全,影響信息的存儲媒體。
淺析計算機網(wǎng)絡安全和防火墻技術
1.2.2 人為威脅—黑客攻擊與計算機病毒
人為威脅就是說對網(wǎng)絡的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點【2】,以便達到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟上和政治上不可估量的損失。網(wǎng)絡安全的人為威脅主要分為以下幾種:
? 網(wǎng)絡缺陷
Intemet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應的安全監(jiān)督機制。? 黑客攻擊
自1998年后,網(wǎng)上的黑客越來越多,也越來越猖獗;與此同時黑客技術逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網(wǎng)絡安全的主要威脅之一。
? 各種病毒
病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響,促使人們不得不在網(wǎng)絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。
? 管理的欠缺及資源濫用
很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡安全的認識,管理上存在很多漏洞,特別是國內的企業(yè),只是提供了接入Internet的通道,對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施,同時企業(yè)內部普遍存在資源濫用現(xiàn)象,這是造成網(wǎng)絡安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規(guī)模越來越大,軟件系統(tǒng)中的漏洞也不可避免的存在,強大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”,這是網(wǎng)絡安全的主要威脅之一。
? 網(wǎng)絡內部用戶的誤操作和惡意行為
對于來自網(wǎng)絡內部的攻擊,主流的網(wǎng)絡安全產(chǎn)品防火墻基本無能為力,這類攻擊及其誤操作行為需要網(wǎng)絡信息 3 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
審計、IDS等主要針對內部網(wǎng)絡安全的安全產(chǎn)品來抵御。? 網(wǎng)絡資源濫用
網(wǎng)絡有了安全保證和帶寬管理,依然不能防止員工對網(wǎng)絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng),盡量避免網(wǎng)絡對工作帶來負面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發(fā)布,可能會造成敏感信息泄漏、有害信息擴散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重,計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段,它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。
1.3 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生原因
網(wǎng)絡安全缺陷產(chǎn)生的原因主要有:
第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】,不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且,由于TCP/IP協(xié)議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。
第二,網(wǎng)絡結構的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時,通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā),如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機,他就可以劫持用戶的數(shù)據(jù)包。
第三,易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密,因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。
第四,缺乏安全意識。雖然網(wǎng)絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。淺析計算機網(wǎng)絡安全和防火墻技術
1.4 影響計算機網(wǎng)絡安全的因素
①網(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。
②網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
③網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一,它不僅負責網(wǎng)絡硬件設備的接口封裝,同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序實現(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡設計則會成為網(wǎng)絡的安全威脅。
⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒,這是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
第二章計算機網(wǎng)絡安全防范策略
計算機網(wǎng)絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨的組件都無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術主要有:防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
2.1 防火墻技術
防火墻網(wǎng)絡安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成,處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內部網(wǎng)絡訪問及管理內部用戶訪問外界網(wǎng)絡的權限。當一個網(wǎng)絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。
防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網(wǎng)絡的劃分,可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離【4】,從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。
例1:未制定完整的企業(yè)安全策略 淺析計算機網(wǎng)絡安全和防火墻技術
網(wǎng)絡環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了,為此,公司領導特意表揚了負責防火墻安裝實施的信息部。
該企業(yè)網(wǎng)絡環(huán)境如圖2.1所示:
圖2.1 該企業(yè)內部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機,出口通過路由器和ISP連接。內部網(wǎng)劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級別設置訪問權限;VLAN 4分配給交換機出口地址和路由器使用;VLAN 5分配給公共服務器使用。在沒有加入防火墻之前,各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網(wǎng)關指向路由器;將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡分為3個區(qū)域: 內部網(wǎng)、公共服務器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問題描述:防火墻投入運行后,實施了一套較為嚴格的安全規(guī)則,導致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導致感染了特洛依木馬 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
和蠕蟲等病毒,并立刻在公司內部局域網(wǎng)中傳播開來,造成內部網(wǎng)大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護網(wǎng)絡安全的設備,必須部署在受保護網(wǎng)絡的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信,達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多PC機通過電話線和Internet相連,導致網(wǎng)絡邊界不惟一,入侵者可以通過攻擊這些PC機然后進一步攻擊內部網(wǎng)絡,從而成功地避開了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規(guī)章制度,嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件,這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產(chǎn)品的配合使用 問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統(tǒng))產(chǎn)品。當系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調整安全策略,也給整個網(wǎng)絡帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能,導致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購買防火墻前應查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號,然后確定所要購買的防火墻是否有聯(lián)動功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣,當IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同 淺析計算機網(wǎng)絡安全和防火墻技術
時發(fā)送消息給防火墻,由防火墻自動添加相關規(guī)則,把入侵者拒之門外。
例3:未經(jīng)常維護升級防火墻 問題描述:某政府機構購置防火墻后已安全運行一年多,由于該機構網(wǎng)絡結構一直很穩(wěn)定,沒有什么變化,各種應用也運行穩(wěn)定,因此管理員逐漸放松了對防火墻的管理,只要網(wǎng)絡一直保持暢通即可,不再關心防火墻的規(guī)則是否需要調整,軟件是否需要升級。而且由于該機構處于政府專網(wǎng)內,與Internet物理隔離,防火墻無法實現(xiàn)在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網(wǎng)也受到蠕蟲病毒的感染,該機構防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機構的內部網(wǎng)大面積受感染,網(wǎng)絡陷于癱瘓之中。
問題分析:安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應當時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補丁。
解決辦法:及時維護防火墻,當本機構發(fā)生人員變動、網(wǎng)絡調整和應用變化時,要及時調整防火墻的安全規(guī)則,及時升級防火墻。
從以上三個案例我們可以得出一些結論:防火墻只是保證安全的一種技術手段,要想真正實現(xiàn)安全,安全策略是核心問題。保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結合起來,充分利用它們各自的優(yōu)點,才能最大限度地保證網(wǎng)絡安全。而保護網(wǎng)絡安全是動態(tài)的過程,防火墻需要積極地維護和升級。
2.2
數(shù)據(jù)加密與用戶授權訪問控制技術
與防火墻相比,數(shù)據(jù)加密與用戶授權訪問控制技術比 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
較靈活,更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護,需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。
2.3 入侵檢測技術
入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統(tǒng)的知識,添加入策略集中,增強系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現(xiàn)在以下方面:
1)分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權操作;
2)檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修 淺析計算機網(wǎng)絡安全和防火墻技術
3)4)5)6)7)補漏洞;
識別反映已知進攻的活動模式并向相關人上報警; 對異常行為模式的統(tǒng)計分析;
能夠實時地對檢測到的入侵行為進行反應; 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 可以發(fā)現(xiàn)新的攻擊模式;
2.4 防病毒技術
隨著計算機技術的不斷發(fā)展,計算機病毒變得越來越復雜和高級,對計算機信息系統(tǒng)構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺Pc上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒,一旦病毒入侵網(wǎng)絡或者從網(wǎng)絡向其它資源傳染,網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除【7】。
2.5 安全管理隊伍的建設
在計算機網(wǎng)絡系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證,只有通過網(wǎng)絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網(wǎng)絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網(wǎng)內的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力,才能使計算機網(wǎng)絡的安全可靠得到保障,從而使廣大網(wǎng)絡用戶的利益得到保障。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
第三章防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。
Internet防火墻是一個或一組系統(tǒng),它能增強機構內部網(wǎng)絡的安全性,用于加強網(wǎng)絡間的訪問控制,防止外部用戶非法使用內部網(wǎng)的資源,保護內部網(wǎng)絡的設備不被破壞,防止內部網(wǎng)絡的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的服務,以及哪些外部服務何時可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦被攻擊突破或迂回繞過,就不能提供任何保護了。
3.2 防火墻的功能
3.2.1 防火墻是網(wǎng)絡安全的屏障
防火墻(作為阻塞點,控制點)能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。
防火墻可以強化網(wǎng)絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上,對網(wǎng)絡存取和訪問進行監(jiān)控審計:所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù),當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。防止內 淺析計算機網(wǎng)絡安全和防火墻技術
部信息的外泄,通過利用防火墻對內部網(wǎng)絡的劃分,可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離,而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。
3.2.2 防火墻的種類
防火墻技術可根據(jù)防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應用代理(ApplicationProxy):也叫應用網(wǎng)關(ApplicationGateway), 它作用在應用層,其特點是完全 “ 阻隔 ” 了網(wǎng)絡通信流通過對每種應用服務編制專門的代理程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用,實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)【8】。
3.3 防火墻的技術原理
目前,防火墻系統(tǒng)的工作原理因實現(xiàn)技術不同,大致可分為三種:
(1)包過濾技術
包過濾技術是一種基于網(wǎng)絡層的防火墻技術。根據(jù)設 置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉,由此保證網(wǎng)絡系統(tǒng)的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優(yōu)點就是價格便宜,實現(xiàn)邏輯簡單便于安裝和使用。
缺點:1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡層和傳輸層的信息,訪問信息有限,對網(wǎng)絡更高協(xié)議層的信息無理解能力。3)對一些協(xié)議,如UDP和RPC難以有效的過濾。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”,兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網(wǎng)絡之間,對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發(fā)到真實的服務器上,并將答復再轉發(fā)給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
優(yōu)點:它將內部用戶和外界隔離開來,使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比,代理技術是一種更安全的技術【9】。
缺點:在應用支持方面存在不足,執(zhí)行速度較慢。(3)狀態(tài)監(jiān)視技術 這是第三代防火墻技術,集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包,這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序,可方便地實現(xiàn)應用和服務的擴充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監(jiān)測,狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網(wǎng)絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。淺析計算機網(wǎng)絡安全和防火墻技術
3.4 防火墻的應用
3.4.1 個人防火墻的應用
瑞星個人防火墻的應用 1)安裝
第一步啟動安裝程序。
當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運行安裝程序,就可以進行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。
啟動個人防火墻,當出現(xiàn)如圖3.2下所示的窗口后,在相應位置輸入您購買獲得的產(chǎn)品序列號和用戶ID,點擊“確定”,通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。
婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
圖3.2 常見問題:不輸入產(chǎn)品序列號和用戶ID,產(chǎn)品將無法升級,防火墻保護功能將全部失效,您的計算機將無法抵御黑客攻擊。
2)升級
第一步網(wǎng)絡配置:
?打開防火墻主程序 ?在菜單中依次選擇【設置】/【設置網(wǎng)絡】,打開【網(wǎng)絡設置】窗口,如圖3.3 圖3.3 1。設定網(wǎng)絡連接方式,如果設定“通過代理服務器訪問網(wǎng)絡”,還需要輸入代理服務器IP、端口、身份驗證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網(wǎng)絡連接 淺析計算機網(wǎng)絡安全和防火墻技術
3。點擊【確定】按鈕完成設置
小提示:
1。如果您已經(jīng)可以瀏覽網(wǎng)頁,說明網(wǎng)絡設置已經(jīng)配置好了,這里直接使用默認設置即可。
2。如果您不使用撥號方式上網(wǎng),將不會看到界面中【使用撥號網(wǎng)絡連接】的選項以及相關設置。
3。請確保此步設置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網(wǎng)絡配置后,進行智能升級的操作方法:
方法一:點擊主界面右側的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】 方法三:右鍵點擊防火墻托盤圖標,在彈出菜單中選擇【啟動智能升級】
3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。
方法三:用鼠標單擊任務欄“快速啟動”上的【瑞星 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
個人防火墻】快捷圖標即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進行菜單操作的窗口,包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側,包括【啟動/停止保護】、【連接/斷開網(wǎng)絡】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護功能,執(zhí)行此功能后,您計 淺析計算機網(wǎng)絡安全和防火墻技術
算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時,此按鈕將變?yōu)椤締⒂帽Wo】;點擊將重新啟用防火墻的保護功能,您也可以通過菜單項【操作】/【停止保護】來執(zhí)行此功能;將您的計算機完全與網(wǎng)絡斷開,就如同拔掉網(wǎng)線或是關掉Modem一樣。其他人都不能訪問您的計算機,但是您也不能再訪問網(wǎng)絡。這是在遇到頻繁攻擊時最為有效的應對方法;已經(jīng)斷開網(wǎng)絡后,此項將變?yōu)椤具B接網(wǎng)絡】,點擊將恢復網(wǎng)絡連接;您也可以通過菜單項【操作】/【斷開網(wǎng)絡】來執(zhí)行此功能;啟動智能升級程序對防火墻進行升級更新;您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。
3、標簽頁:
位于主界面上部,分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:
圖3。8
4、安全級別: 位于主界面右下角,拖動滑塊到對應的安全級別,修改立即生效。
5、當前版本及更新日期:
位于主界面右上角,顯示防火墻當前版本及更新日期。
6、規(guī)則設置
配置防火墻的過濾規(guī)則(如圖3。9),包括: 黑名單:在黑名單中的計算機禁止與本機通訊 白名單:在白名單中的計算機對本地具有完全的訪問權限
端口開關:允許或禁止端口中的通訊,可簡單開關本機與遠程的端口 婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
可信區(qū):通過可信區(qū)的設置,可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待
IP規(guī)則:在IP層過濾的規(guī)則
訪問規(guī)則:本機中訪問網(wǎng)絡的程序的過濾規(guī)則
圖3。9 3.4.2 防火墻技術在校園網(wǎng)中應用
一、安裝防火墻
防火墻技術在校園網(wǎng)安全建設中得到廣泛的應用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或對互聯(lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡間通信的系統(tǒng)部署防火墻技術[10],構筑內外網(wǎng)之間的安全屏障,可以有效地將內部網(wǎng)與外部網(wǎng)隔離開來,保護校園網(wǎng)絡不受未經(jīng)授權的第三方侵入。
二、校園網(wǎng)防火墻系統(tǒng)的配置
假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內的IP地址范圍是確定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。
1)對進入CERNET主干網(wǎng)的存取控制
2)對網(wǎng)絡中心資源主機的訪問控制,網(wǎng)絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網(wǎng)絡中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP 淺析計算機網(wǎng)絡安全和防火墻技術
以外的一切服務。
3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡內部人員訪問Internet進行一定限制在連接內部網(wǎng)絡的端口接收數(shù)據(jù)時進行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡收到一段假冒內部IP地址發(fā)出的報文,也應丟棄,并記錄有關信息。防止IP地址被盜用的徹底解決辦法是:代理服務器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應在路由器和校園網(wǎng)的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包。婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
結論
計算機網(wǎng)絡的安全問題越來越受到人們的重視,一個安全的計算機網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關,而且和每個使用者的安全操作等都有關系。網(wǎng)絡安全是動態(tài)的,新的Internet黑客站點、病毒與安全技術每日劇增,世界上不存在絕對安全的網(wǎng)絡系統(tǒng),隨著計算機網(wǎng)絡技術的進一步發(fā)展,網(wǎng)絡安全防護技術也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。
防火墻不能完全解決網(wǎng)絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網(wǎng)絡管理人員的安全意識等,總之,防火墻是網(wǎng)絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行,不斷提高網(wǎng)絡安全水平,這將是一個隨著網(wǎng)絡技術的發(fā)展而不斷研究的課題。淺析計算機網(wǎng)絡安全和防火墻技術
致謝
本文是在指導老師胡楠老師的悉心教導下完成的。寫論文的這段時間,老師淵博的學識,嚴謹?shù)闹螌W太多和細心指導,以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點成就都與導師的熱心關懷和精心指導是分不開的,值此論文完成之際,特別向導師致以衷心的感謝各崇高的敬意。
本課題的完成過程中,本人還得到了同學們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進行審閱,評議和參與本人論文答辯的各位老師表示感謝。
婁底職業(yè)技術學院計算機網(wǎng)絡專業(yè)
參考文獻
[1]張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協(xié)議與網(wǎng)絡管理,北京清華大學出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡安全入侵檢測研究綜述軟件學報 [7]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關—網(wǎng)絡邊界防護的利器,信息安全與通信保密,2004年08期75
[9]陳平,何慶等主編,電腦2003合訂本,西南師范大學出版社,2004年1月
[10] 張穎,劉軍,王磊,計算機網(wǎng)絡安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月
第四篇:防火墻技術論文
【摘要】
21世紀全世界的計算機都將通過Internet聯(lián)到一起,Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍,大大提高了工作效率,豐富了人們的生活,彌補了人們的精神空缺。網(wǎng)絡技術在近幾年的時間有了非常大的發(fā)展,經(jīng)歷了從無到有,從有到快;網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩,應有盡有。但隨著網(wǎng)絡速度越來越快,資源越來越豐富,與此同時也給人們帶來了一個日益嚴峻的問題———網(wǎng)絡安全。
網(wǎng)絡的安全性成為當今最熱門的話題之一,而且網(wǎng)絡安全防范對我們校園網(wǎng)的正常運行來講也顯得十分重要。現(xiàn)在各種網(wǎng)絡安全技術如防火墻技術、IDS、加密技術和防黑防病毒技術等也不斷的出現(xiàn),內容十分廣泛。而其中防火墻技術在網(wǎng)絡安全技術當中又是最簡單,也是最有效的解決方案。很多企業(yè)為了保障自身服務器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。但是,由于防火墻是屬于高科技產(chǎn)物,許多的人對此還并不是了解的十分透徹。
本文在簡要論述防火墻的基本分類、工作方式等的基礎上,對防火墻的優(yōu)缺點以及局限性進行了說明,也簡述了防火墻技術在校園網(wǎng)中的應用,并對其的發(fā)展趨勢作簡單展望。
【關鍵詞】
網(wǎng)絡安全 防火墻 發(fā)展
防火墻
1.1 防火墻的概念
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網(wǎng)關(Security Gateway),從而保護內部網(wǎng)免受非法用戶的侵入,防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成。
防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件(其中硬件防火墻用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。
防火墻,英語為firewall,《英漢證券投資詞典》的解釋為:金融機構內部將銀行業(yè)務與證券業(yè)務嚴格區(qū)分開來的法律屏障,旨在防止可能出現(xiàn)的內幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。
當然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續(xù)控制引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網(wǎng)絡中,所謂“防火墻”,顧名思義,是一種隔離設備。防火墻是一種高級訪問控制設備,臵于不同網(wǎng)絡安全域之間的一系列部件的組合,它是不同網(wǎng)絡安全域之間通信流的唯一
通道,能根據(jù)用戶有關的安全策略控制進出網(wǎng)絡的訪問行為。從專業(yè)角度講,防火墻是位于兩個或多個網(wǎng)絡間,實施網(wǎng)絡訪問控制的組件集合。從用戶角度講,防火墻就是被放臵在用戶計算機與外網(wǎng)之間的防御體系,網(wǎng)絡發(fā)往用戶計算機的所有數(shù)據(jù)都要經(jīng)過其判斷處理,才決定能否將數(shù)據(jù)交給計算機,一旦發(fā)現(xiàn)數(shù)據(jù)異常或有害,防火墻就會將數(shù)據(jù)攔截,從而實現(xiàn)對計算機的保護。防火墻是網(wǎng)絡安全策略的組成部分,它只是一個保護裝臵,通過監(jiān)測和控制網(wǎng)絡間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理,其主要目的就是保護內部網(wǎng)絡的安全。
1.2 防火墻的功能
(1)訪問控制:
■ 限制未經(jīng)授權的用戶訪問本企業(yè)的網(wǎng)絡和信息資源的措施,訪問者必需要能適用現(xiàn)行所有的服務和應用。網(wǎng)絡衛(wèi)士防火墻支持多種應用、服務和協(xié)議,支持所有的internet服務,包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql服務器數(shù)據(jù)庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基于狀態(tài)檢測技術的ip地址、端口、用戶和時間的管理控制; ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24),ip區(qū)間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區(qū)間與通配符等,使配臵防火墻的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制;應用層安全控制策略主要針對常用的網(wǎng)絡應用協(xié)議http和ftp,控制策略可以實現(xiàn)定義訪問源對象到目標對象間的常用協(xié)議命令通過防火墻的權限,源對象可以是網(wǎng)段、主機。http和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義,協(xié)議命令為http和ftp的主要常用命令。通過應用層策略實現(xiàn)了url和文件級的訪問控制。
■ 雙向nat,提供ip地址轉換和ip及tcp/udp端口映射,實現(xiàn)ip復用和隱藏網(wǎng)絡結構:nat在ip層上通過地址轉換提供ip復用功能,解決ip地址不足的問題,同時隱藏了內部網(wǎng)的結構,強化了內部網(wǎng)的安全。網(wǎng)絡衛(wèi)士防火墻提供了nat功能,并可根據(jù)用戶需要靈活配臵。當內部網(wǎng)用戶需要對外訪問時,防火墻系統(tǒng)將訪問主體轉化為自己,并將結果透明地返回用戶,相當于一個ip層代理。防火墻的地址轉換是基于安全控制策略的轉換,可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網(wǎng)絡中具有保留ip主機的訪問,可以利用反向nat實現(xiàn),即為內部網(wǎng)絡主機在防火墻上映射一注冊ip地址,這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機了。映射類型可以為ip級和端口級。端口映射
■阻止activex、java、javascript等侵入:屬于http內容過濾,防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼,同時,能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監(jiān)控、審計和告警功能:網(wǎng)絡衛(wèi)士防火墻提供對網(wǎng)絡的實時監(jiān)控,當發(fā)現(xiàn)攻擊和危險行為時,防火墻提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統(tǒng),實現(xiàn)協(xié)同工作:網(wǎng)絡衛(wèi)士防火墻支持topsec協(xié)議,可與第三方ids產(chǎn)品實現(xiàn)無縫集成,協(xié)同工作。
(3)用戶認證
因為企業(yè)網(wǎng)絡為本地用戶、移動用戶和各種遠程用戶提供信息資源,所以為了保護網(wǎng)絡和信息安全,必須對訪問連接用戶采用有效的權限控制和身份識別,以確保系統(tǒng)安全。
■ 提供高安全強度的一次性口令(otp)用戶認證:一次性口令認證機制是高強度的認證機制,能極大地提高了訪問控制的安全性,有效阻止非授權用戶進入網(wǎng)絡,保證網(wǎng)絡系統(tǒng)的合法使用。一次性口令用戶認證的基本過程是:首先用戶向防火墻發(fā)送身份認證請求,并指明自己的用戶名,防火墻收到請求后,向用戶提出挑戰(zhàn)及同步信息,用戶收到此信息后,結合自己的口令,產(chǎn)生一次性口令并發(fā)送給防火墻,防火墻判斷用戶答復是否正確以鑒別用戶的合法性,為防止口令猜測,如果用戶連續(xù)三次認證失敗則在一定時間內禁止該用戶認證。由于采用一次性的口令認證機制,即使竊聽者在網(wǎng)絡上截取到口令,由于該口令的有效期僅為一次,故也無法再利用這個口令進行認證鑒別。在實際應用中,用戶采用一次性口令登錄程序登陸時,防火墻向用戶提供一個種子及同步次數(shù),登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計算出一次性口令并傳給防火墻.用戶可以在不同的服務器上使用不同的種子而口令相同,每次在網(wǎng)絡上傳輸?shù)目诹钜膊煌脩艨梢远ㄆ诟淖兎N子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證:網(wǎng)絡衛(wèi)士防火墻有很好的擴展性,可擴展支持radius等認證,提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。
(4)安全管理
■ 提供基于otp機制的管理員認證。
■ 提供分權管理安全機制;提供管理員和審計員分權管理的安全機制,保證安全產(chǎn)品的安全管理。
過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響;由于缺少上下文關聯(lián)信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計和報警機制,它只能依據(jù)包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規(guī)則時,必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網(wǎng)關配合使用,共同組成防火墻系統(tǒng)。
■ 應用代理(Application Proxy)型
應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流,通過對每種應用服務編制專門的代理程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用。其典型網(wǎng)絡結構如圖所示。
在代理型防火墻技術的發(fā)展過程中,它也經(jīng)歷了兩個不同的版本:第一代應用網(wǎng)關型代理防火和第二代自適應代理防火墻。
代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護,而不是像包過濾那樣,只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。
另外代理型防火墻采取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網(wǎng)絡之間的通信不是直接的,而都需先經(jīng)過代理服務器審核,通過后再由代理服務器代為連接,根本沒有給內、外部網(wǎng)絡計算機任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。
代理防火墻的最大缺點是速度相對比較慢,當用戶對內外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時,代理防火墻就會成為內外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡服務建立專門的代理服務,在自己的代理程序為內、外部網(wǎng)絡用戶建立連接時需要時間,所以給系統(tǒng)性能帶來了一些負面影響,但通常不會很明顯。
(3)從防火墻結構上分類
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統(tǒng)的防火墻,獨立于其它網(wǎng)絡設備,它位于網(wǎng)絡邊界。
0
信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
(5)按防火墻性能分類
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網(wǎng)絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用代理所產(chǎn)生的延時也越小,對整個網(wǎng)絡通信性能的影響也就越小。
雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅動型的攻擊。
1.4 各類防火墻的優(yōu)缺點
(1)包過濾防火墻
使用包過濾防火墻的優(yōu)點包括:
■ 防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。
■ 每個IP包的字段都被檢查,例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應用過濾規(guī)則。
■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。
■ 包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻,繞過是困難的。
■ 包過濾通常被包含在路由器數(shù)據(jù)包中,所以不必額外的系統(tǒng)來處理這個特征。
使用包過濾防火墻的缺點包括:
■ 配臵困難。因為包過濾防火墻很復雜,人們經(jīng)常會忽略建立一些必要的規(guī)則,或者錯誤配臵了已有的規(guī)則,在防火墻上留下漏洞。然而,在市場上,許多新版本的防火墻對這個缺點正在作改進,如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。
■ 為特定服務開放的端口存在著危險,可能會被用于其他傳輸。例如,Web服務器默認端口為80,而計算機上又安裝了RealPlayer,那么它會搜尋可以允許連接到RealAudio服務器的端口,而不管這個端口是否被其他協(xié)議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務器的端口。
■ 可能還有其他方法繞過防火墻進入網(wǎng)絡,例如撥入連接。但這個并不是
213
也不要忘記了防火墻內的安全保障。
其次,防火墻技術的另外一個顯著不足是無法有效地應付病毒。當網(wǎng)絡內的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時,防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù),內部網(wǎng)絡隨時都有受到病毒危害的可能,防火墻技術的這個缺點給網(wǎng)絡帶來很大的隱患。
另外,由于防火墻技術的自身不斷發(fā)展,其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統(tǒng),其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞,所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術原理與殺毒軟件類似:先出現(xiàn)病毒,殺毒軟件獲得病毒的特征碼,將其加入到病毒庫內來實現(xiàn)查殺。防火墻的防御、檢測策略,也是在發(fā)生攻擊行為后分析其特征而設臵的。如果出現(xiàn)新的未知攻擊行為,防火墻也將束手無策。
最后,防火墻的檢測機制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包,所以當數(shù)據(jù)流量較大時,容易導致數(shù)據(jù)擁塞,影響整個網(wǎng)絡性能。嚴重時,如果發(fā)生溢出,就像大壩決堤一般,無法阻擋,任何數(shù)據(jù)都可以來去自由了,防火墻也就不再起任何作用。
1.6 防火墻的未來發(fā)展趨勢
盡管羅列了這么多防火墻技術的局限性,但防火墻在網(wǎng)絡安全中所扮演的重要角色是不可撼動的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。
實現(xiàn)高速防火墻,可以應用ASIC硬件加速技術、FPGA和網(wǎng)絡處理器等方法。其中以采用網(wǎng)絡處理器最好,因為網(wǎng)絡處理器采用微碼編程,可以根據(jù)需要隨時升級,甚至可以支持IPv6;并且網(wǎng)絡處理器中集成了很多硬件協(xié)處理單元,通過算法也比較容易實現(xiàn)高速。防火墻將會集成更多的網(wǎng)絡安全功能,入侵檢測、防病毒、防御拒絕服務攻擊等安全技術都可以模塊形式安裝到防火墻的機箱內。既節(jié)省寶貴的機柜空間,又能為企業(yè)節(jié)約一部分安全支出,更主要的是可以實現(xiàn)網(wǎng)絡安全設備之間的聯(lián)動。防火墻將會更加的行業(yè)化。
任何一種防火墻只是為內部網(wǎng)絡提供安全保障,但網(wǎng)絡安全不能完全依賴于防火墻,還需要加強內部的安全管理,完善安全管理制度,提高用戶的安全意識,從而形成全方位的安全防御體系。防火墻技術在校園網(wǎng)中的應用
隨著高校信息化進程的推進,學院校園網(wǎng)上運行的應用系統(tǒng)越來越多,信息
51617
第五篇:計算機防火墻技術畢業(yè)論文
本文由yin528855貢獻
doc文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT,或下載源文件到本機查看。
計算機防火墻技術論文
畢 業(yè) 論 文
計算機防火墻技術
姓 學
名: 號:
指導老師: 系 專 班 名: 業(yè): 級:
二零一零年十一月十五日 1 計算機防火墻技術論文
摘要
因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便,但同時因特網(wǎng)也面臨 著空前的威脅。因此,如何使用有效可行的方法使網(wǎng)絡危險降到人們可接受的范 圍之內越來越受到人們的關注。而如何實施防范策略,首先取決于當前系統(tǒng)的安 全性。所以對網(wǎng)絡安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒 等進行風險評估是很有必要的。防火墻技術作為時下比較成熟的一種網(wǎng)絡安全技術,其安全性直接關系到用 戶的切身利益。針對網(wǎng)絡安全獨立元素——防火墻技術,通過對防火墻日志文件 的分析,設計相應的數(shù)學模型和軟件雛形,采用打分制的方法,判斷系統(tǒng)的安全 等級,實現(xiàn)對目標網(wǎng)絡的網(wǎng)絡安全風險評估,為提高系統(tǒng)的安全性提供科學依據(jù)。對網(wǎng)絡安全的威脅主要表現(xiàn)在:非授權訪問,冒充合法用戶,破壞數(shù)據(jù)完整性,干擾系統(tǒng)正常運行,利用網(wǎng)絡傳播病毒,線路竊聽等方面。這以要求我們與 Internet 互連所帶來的安全性問題予以足夠重視。計算機網(wǎng)絡技術的飛速發(fā)展 使網(wǎng)絡安全問題日益突出,而防火墻是應用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡 防火墻的工作原理并對傳統(tǒng)防火墻的利弊進行了對比分析,最后結合計算機科學 其它領域的相關新技術,提出了新的防火墻技術,并展望了其發(fā)展前景。
關鍵詞: 關鍵詞 :包過濾 智能防火墻
應用層網(wǎng)關
分布式防火墻
監(jiān)測型防火墻 嵌入式防火墻
網(wǎng)絡安全,防火墻,防范策略,發(fā)展趨勢 2 計算機防火墻技術論文
摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結構?? 5 第二章 網(wǎng)絡安全 ?? 6 2.1 網(wǎng)絡安全問題?? 6 2.1.1 網(wǎng)絡安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡安全的因素 ?? 6 2.2 網(wǎng)絡安全措施?? 7 2.2.1 完善計算機安全立法 ?? 7 2.2.2 網(wǎng)絡安全的關鍵技術 ?? 7 2.3 制定合理的網(wǎng)絡管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測功能 ?? 11 3.2.3 虛擬專網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過濾防火墻 ?? 13 3.3.2 應用級代理防火墻 ?? 13 3.3.3 代理服務型防火墻 ?? 14 3.3.4 復合型防火墻 ?? 14 3.4 防火墻包過濾技術?? 14 3.4.1 數(shù)據(jù)表結構 ?? 15 3.4.2 傳統(tǒng)包過濾技術 ?? 16 3.4.3 動態(tài)包過濾 ?? 17 3.4.4 深度包檢測 ?? 17 3.4.5 流過濾技術 ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實施?? 21 第五章 防火墻發(fā)展趨勢 ?? 23 5.1 防火墻包過濾技術發(fā)展趨勢?? 23 5.2 防火墻的體系結構發(fā)展趨勢?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢?? 24 結論?? 25 參考文獻?? 26 致謝?? 27 3 計算機防火墻技術論文
第一章
1.1 研究背景
引言
隨著互聯(lián)網(wǎng)的普及和發(fā)展,尤其是 Internet 的廣泛使用,使計算機應用更 加廣泛與深入。同時,我們不得不注意到,網(wǎng)絡雖然功能強大,也有其脆弱易受 到攻擊的一面。據(jù)美國 FBI 統(tǒng)計,美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高 達 75 億美元,而全求平均每 20 秒鐘就發(fā)生一起 Internet 計算機侵入事件[1]。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在 利用網(wǎng)絡的優(yōu)越性的同時,對網(wǎng)絡安全問題也決不能忽視。如何建立比較安全的 網(wǎng)絡體系,值得我們關注研究。
1.2 研究目的
為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡安全的問題,近年來新興了防火墻技術[2]。防火墻具有很強的實用性和針對性,它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡安全解 決方案,可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自 己的需要,通過設定一些參數(shù),從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對本機的攻擊,比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠實時記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問,使 計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡攻擊和資料泄漏的安全威脅。防火墻 可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊,實時防范網(wǎng)絡黑客的侵襲,還可以 根據(jù)自己的需要創(chuàng)建防火墻規(guī)則,控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接,并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內容檢測可以實時監(jiān)視 郵件系統(tǒng),阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機 Windows 系統(tǒng)上,采取一些安全防護措施,使得本機 的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟 件,按一定的規(guī)則對 TCP,UDP,ICMP 和 IGMP 等報文進行過濾,對網(wǎng)絡的信息流 和系統(tǒng)進程進行監(jiān)控,防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關的,雖然它們的功能相當強大,但由于它們基于下述的假設:內部網(wǎng)是 安全可靠的,所有的威脅都來自網(wǎng)外。因此,他們防外不防內,難以實現(xiàn)對企業(yè) 內部局域網(wǎng)內主之間的安全通信,也不能很好的解決每一個撥號上網(wǎng)用戶所在主 機的安全問題,而多數(shù)個人上網(wǎng)之時,并沒有置身于得到防護的安全網(wǎng)絡內部。個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng),而 Windows 操作系統(tǒng),特別是
計算機防火墻技術論文
WindowsXP 系統(tǒng),本身的安全性就不高。各種 Windows 漏洞不斷被公布,對主機 的攻擊也越來越多。一般都是利用操作系統(tǒng)設計的安全漏洞和通信協(xié)議的安全漏 洞來實現(xiàn)攻擊。如假冒 IP 包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包[3] 進行轟炸攻擊,使之際崩潰;以及藍屏攻擊等。因此,為了保護主機的安全通信,研制有效的個人防火墻技術很有必要。所謂的防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合[ 1 ]。它可通過監(jiān)測、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況, 以 此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一 個分析器,有效地監(jiān)控了內部網(wǎng)和 Internet 之間的任何活動, 保證了內部網(wǎng)絡 的安全。一個高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過防火墻; 2 只有本地安全策略授權的通信才允許通過; 3 防火墻本身是免疫的,不會被穿透的。防火墻的基本功能有:過濾進出網(wǎng)絡的數(shù)據(jù);管理進出網(wǎng)絡的訪問行為;封 堵某些禁止的業(yè)務; 記錄通過防火墻的信息內容和活動;對網(wǎng)絡攻擊進行檢測 和報警
1.3 論文結構
在論文中接下來的幾章里,將會有下列安排: 第二章,分析研究網(wǎng)絡安全問題,網(wǎng)絡安全面臨的主要威脅,影響網(wǎng)絡安 全的因素,及保護網(wǎng)絡安全的關鍵技術。第三章,介紹防火墻的相關技術,如防火墻的原理、功能、包過濾技術等。第四章,以 H3CH3C 的 F100 防火墻為例,介紹防火墻配置方法。第五章,系統(tǒng)闡述防火墻發(fā)展趨勢。5 計算機防火墻技術論文
第二章 網(wǎng)絡安全 2.1 網(wǎng)絡安全問題
安全,通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于 計算機安全的定義是:“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護,不因偶然的 或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運行。” 從技術講,計算機安全分為 3 種: 1)實體的安全。它保證硬件和軟件本身的安全。2)運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。3)信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網(wǎng)絡的發(fā)展,計算機的安全問題也延伸到了計算機網(wǎng)絡。2.1.1 網(wǎng)絡安全面臨的主要威脅 一般認為,計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和 拒絕服務攻擊三個方面。1)計算機病毒的侵襲。當前,活性病毒達 14000 多種,計算機病毒侵入 網(wǎng)絡,對網(wǎng)絡資源進行破壞,使網(wǎng)絡不能正常工作,甚至造成整個網(wǎng)絡的癱瘓。2)黑客侵襲。即黑客非法進入網(wǎng)絡非法使用網(wǎng)絡資源。例如通過隱蔽通 道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號 和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù);突破防火墻等。3)拒絕服務攻擊。例如“點在郵件炸彈”,它的表現(xiàn)形式是用戶在很短 的時間內收到大量無用的電子郵件,從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng) 關機,網(wǎng)絡癱瘓。具體講,網(wǎng)絡系統(tǒng)面臨的安全威脅主要有如下表現(xiàn):身份竊取、非授權訪 問、數(shù)據(jù)竊取、拒絕服務、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網(wǎng)絡安全的因素 1)單機安全 購買單機時,型號的選擇;計算機的運行環(huán)境(電壓、濕度、防塵條件、強電磁場以及自然災害等);計算機的操作??等等,這些都是影響單機安全性 的因素。2)網(wǎng)絡安全 影響網(wǎng)絡安全的因素有:節(jié)點的安全、數(shù)據(jù)的安全(保存和傳輸方面)、文件的安全等。6 計算機防火墻技術論文 2.2 網(wǎng)絡安全措施
網(wǎng)絡信息安全涉及方方面面的問題,是一個復雜的系統(tǒng)。一個完整的網(wǎng)絡
信息安全體系至少應包括三類措施:一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術方面,如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡 防毒等。三是管理措施,包括技術與社會措施。主要措施有:提供實時改變安全 策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等,以防 患于未然。這三者缺一不可,其中,法律政策是安全的基石,技術是安全的保障,管理和審計是安全的防線。2.2.1 完善計算機安全立法 我國先后出臺的有關網(wǎng)絡安全管理的規(guī)定和條例。但目前,在這方面的立 法還遠不能適應形勢發(fā)展的需要,應該在對控制計算機犯罪的國內外立法評價的 基礎上,完善我國計算機犯罪立法,以便為確保我國計算機信息網(wǎng)絡健康有序的 發(fā)展提供強有力的保障。2.2.2 網(wǎng)絡安全的關鍵技術(1)數(shù)據(jù)加密 加密就是把明文變成密文,從而使未被授權的人看不懂它。有兩種主要的 加密類型:私匙加密和公匙加密。(2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用 認證機制還可以防止合法用戶訪問他們無權查看的信息。(3)防火墻技術 防火墻就是用來阻擋外部不安全因素影響的內部網(wǎng)絡屏障,其目的就是防 止外部網(wǎng)絡用戶未經(jīng)授權的訪問。目前,防火墻采取的技術,主要是包過濾、應 用網(wǎng)關、子網(wǎng)屏蔽等。但是,防火墻技術在網(wǎng)絡安全防護方面也存在一些不足: 防火墻不能防止內部攻擊防火墻不能取代殺毒軟件; 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測系統(tǒng) 入侵檢測技術是網(wǎng)絡安全研究的一個熱點,是一種積極主動的安全防護技 術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之 前攔截相應入侵。隨著時代的發(fā)展,入侵檢測技術將朝著三個方向發(fā)展:分布式入侵檢測、智 能化入侵檢測和全面的安全防御方案。7 計算機防火墻技術論文
(5)防病毒技術 隨著計算機技術的發(fā)展,計算機病毒變得越來越復雜和高級,計算機病毒 防范不僅僅是一個產(chǎn)品、一個策略或一個制度,它是一個匯集了硬件、軟件、網(wǎng) 絡、以及它們之間相互關系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡操作系統(tǒng)中,權限是一個關鍵性的概念,因為訪問控制實現(xiàn)在兩個 方面:本地和遠程。建立文件權限的時候,必須在 Windows 2000 中首先實行新 技術文件系統(tǒng)(New Technology File System,NTFS)。一旦實現(xiàn)了 NTFS,你 可以使用 Windows 資源管理器在文件和文件夾上設置用戶級別的權限。你需要了 解可以分配什么樣的權限,還有日常活動期間一些規(guī)則是處理權限的。Windows 2000 操作系統(tǒng)允許建立復雜的文件和文件夾權限,你可以完成必要的訪問控制。2.3 制定合理的網(wǎng)絡管理措施
(1)加強網(wǎng)絡用戶及有關人員的安全意識、職業(yè)道德和事業(yè)心、責任心的
培養(yǎng)教育以及相關技術培訓。(2)建立完善的安全管理體制和制度,以起到對管理人員和操作人員鼓勵 和監(jiān)督的作用。(3)管理措施要標準化、規(guī)范化和科學化。8 計算機防火墻技術論文
第三章
防火墻概述
隨著 Internet 的迅速發(fā)展,網(wǎng)絡應用涉及到越來越多的領域,網(wǎng)絡中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡病毒的問題,使得網(wǎng) 絡安全問題越來越突出。因此,保護網(wǎng)絡資源不被非授權訪問,阻止病毒的傳播 感染顯得尤為重要。就目前而言,對于局部網(wǎng)絡的保護,防火墻仍然不失為一種 有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術,其應用非常廣泛。3.1 防火墻的概念
防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障,以防止發(fā)生不可 預測的、潛在破壞性的侵入。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或 網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服 務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現(xiàn)網(wǎng)絡和 信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個 分析器,它有效地監(jiān)控了內部網(wǎng)絡和互聯(lián)網(wǎng)之間的任何活動,保證了內部網(wǎng)絡的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術無論從技術上還是從產(chǎn)品發(fā)展歷程上,都經(jīng)歷了五個發(fā) 展歷程。圖 1 表示了防火墻技術的簡單發(fā)展歷史。
圖1 第一代防火墻 第 一 代 防 火 墻 技 術 幾 乎 與 路 由 器 同 時 出 現(xiàn),采 用 了 包 過 濾(Packet filter)技術。二代、第三代防火墻 第二代、第三代防火墻 1989 年,貝爾實驗室的 Dave Presotto 和 Howard Trickey 推 9 計算機防火墻技術論文
出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻—— 應用層防火墻(代理防火墻)的初步結構。
第四代防火墻 1992 年,USC 信息科學院的 BobBraden 開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技 術 的 第 四 代 防 火 墻,后 來 演 變 為 目 前 所 說 的 狀 態(tài) 監(jiān) 視(Stateful inspection)技術。1994 年,以色列的 CheckPoint 公司開發(fā)出了 第一個采用這種技術的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年,NAI 公司推出了一種自適應代理(Adaptive proxy)技術,并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn),給代理類型的防火墻賦予了全 新的意義,可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡中主要的安全問題。目前網(wǎng)絡安全的 三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡攻擊,以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題 占據(jù)網(wǎng)絡安全問題九成以上。而這三大問題,傳統(tǒng)防火墻都無能為力。主要有以 下三個原因: 一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代 價,檢查的強度越高,計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個 簡單的過濾機制。它是一個簡單的條件過濾器,不具有智能功能,無法檢測復雜 的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無法解決惡意的攻擊行為。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展,其中智能防火墻可以很好的解 決上面的問題。3.1.2 智能防火墻簡介 智能防火墻[6]是相對傳統(tǒng)的防火墻而言的,從技術特征上智能防火墻是利 用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別,并達到訪問控制的目 的。新的數(shù)學方法,消除了匹配檢查所需要的海量計算,高效發(fā)現(xiàn)網(wǎng)絡行為的特 征值,直接進行訪問控制。由于這些方法多是人工智能學科采用的方法,因此,又稱為智能防火墻。10 計算機防火墻技術論文 3.2 防火墻的功能
3.2.1 防火墻的主要功能 1.包過濾。包過濾是一種網(wǎng)絡的數(shù)據(jù)安全保護機制,它可用來控制流出和流入網(wǎng)絡的數(shù) 據(jù),它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成,防火墻設置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設置規(guī)則。2.地址轉換。網(wǎng)絡地址變換是將內部網(wǎng)絡或外部網(wǎng)絡的 IP 地址轉換,可分為源地址轉換 Source NAT(SNAT)和目的地址轉換 Destination NAT(DNAT)。SNAT 用于對內部網(wǎng) 絡地址進行轉換,對外部網(wǎng)絡隱藏起內部網(wǎng)絡的結構,避免受到來自外部其他網(wǎng) 絡的非授權訪問或惡意攻擊。并將有限的 IP 地址動態(tài)或靜態(tài)的與內部 IP 地址對 應起來,用來緩解地址空間的短缺問題,節(jié)省資源,降低成本。DNAT 主要用于 外網(wǎng)主機訪問內網(wǎng)主機。3.認證和應用代理。認證指防火墻對訪問網(wǎng)絡者合法身分的確定。代理指防火墻內置用戶認證數(shù) 據(jù)庫;提供 HTTP、FTP 和 SMTP 代理功能,并可對這三種協(xié)議進行訪問控制;同時 支持 URL 過濾功能。4.透明和路由 指防火墻將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關提 供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網(wǎng) 絡的非法訪問;防火墻還支持路由方式,提供靜態(tài)路由功能,支持內部多個子網(wǎng) 之間的安全訪問。3.2.2 入侵檢測功能 入侵檢測技術[7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡安全技 術,包括以下內容: 1.反端口掃描。端口掃描就是指黑客通過遠程端口掃描的工具,從中發(fā)現(xiàn)主 機的哪些非常用端口是打開的;是否支持 FTP、服務;且 FTP 服務是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,進而對內部網(wǎng)絡的主 機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法,目前常用的方法有: 關閉閑置和有潛在危險的端口;檢查各端口,有端口掃描的癥狀時,立即屏蔽該 端口,多數(shù)防火墻設備采用的都是這種反端口掃描方式。2.檢測拒絕服務攻擊。拒絕服務(DoS)攻擊就是利用合理的服務請求來占用 過多的服務資源,從而使合法用戶無法得到服務的響應,其攻擊方式有很多種;11 計算機防火墻技術論文
而分布式的拒絕服務攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎之上產(chǎn)生 的一類攻擊方式,分布式的拒絕服務攻擊(DDoS)。其原理很簡單,就是利用更多 的受控主機同時發(fā)起進攻,以比 DoS 更大的規(guī)模(或者說以更高于受攻主機處理 能力的進攻能力)來進攻受害者。現(xiàn)在的防火墻設備通常都可檢測 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中,造成緩沖區(qū)的 溢出,從而破壞程序的堆棧,使程序轉而執(zhí)行其它指令,以達到攻擊的目的。更 為嚴重的是,可以利用它執(zhí)行非授權指令,甚至可以取得系統(tǒng)特權,進而進行各 種非法操作,防火墻設備可檢測對 FTP、Telnet、SSH、RPC 和 SMTP 等服務的遠 程堆棧溢出入侵。4.檢測 CGI/IIS 服務器入侵。CGI 就是 Common Gateway Inter——face 的 簡稱。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡稱,也就是微軟的 Internet 信息服務器。防火墻設備 可檢測包括針對 Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進行的探測和攻擊方式。5.檢測后門、木馬及其網(wǎng)絡蠕蟲。后門程序是指采用某種方法定義出一個 特殊的端口并依靠某種程序在機器啟動之前自動加載到內存,強行控制機器打開 那個特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、,竊取計算機的密碼的一類程序。網(wǎng)絡蠕蟲病毒分為 2 類,一種是面向企業(yè)用戶和 局域網(wǎng)而一言,這種病毒利用系統(tǒng)漏洞,主動進行攻擊,可以對整個互聯(lián)網(wǎng)造成 癱瘓性的后果,以“紅色代碼”,“尼姆達”,以及最新的“sql 蠕蟲王”為代 表。另外一種是針對個人用戶的,通過網(wǎng)絡(主要是電子郵件,惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例。防火墻設備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統(tǒng)的蠕蟲程 序。3.2.3 虛擬專網(wǎng)功能 指在公共網(wǎng)絡中建立專用網(wǎng)絡,數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡 中傳播。VPN 的基本原理是通過 IP 包的封裝及加密、認證等手段,從而達到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定。可支持任一網(wǎng)絡接口的 IP 地址和 MAC 地址的綁 12 計算機防火墻技術論文
定,從而禁止用戶隨意修改 IP 地址。2.審計。要求對使用身份標識和認證的機制,文件的創(chuàng)建,修改,系統(tǒng)管 理的所有操作以及其他有關安全事件進行記錄,以便系統(tǒng)管理員進行安全跟蹤。一般防火墻設備可以提供三種日志審計功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點封禁。內置特殊站點數(shù)據(jù)庫,用戶可選擇是否封禁色情、反動 和暴力等特殊站點。3.3 防火墻的原理及分類
國際計算機安全委員會 ICSA 將防火墻分成三大類:包過濾防火墻,應用級代
理服務器[8]以及狀態(tài)包檢測防火墻。3.3.1 包過濾防火墻 顧名思義,包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預先設定的包過 濾規(guī)則相比較,從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡層 IP 包包頭信 息的比較。包過濾防火墻工作在網(wǎng)絡層,IP 包的包頭中包含源、目的 IP 地址,封裝協(xié)議類型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口號,ICMP 消息類型,TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉發(fā)的規(guī)則相匹配,則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉發(fā)的規(guī)則相匹配,則防火墻丟棄數(shù)據(jù)包;如果沒有 匹配規(guī)則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因為它 處于網(wǎng)絡層,并且只是粗略的檢查連接的正確性,所以在一般的傳統(tǒng)路由器上就 可以實現(xiàn),對用戶來說都是透明的。但是它的安全程度較低,很容易暴露內部網(wǎng) 絡,使之遭受攻擊。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 許內部員工訪問網(wǎng)站,包過濾防火墻可能設置允所有 80 端口的連接通過,這時,意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網(wǎng)絡。包過濾防 火墻的維護比較困難,定義過濾規(guī)則也比較復雜,因為任何一條過濾規(guī)則的不完 善都會給網(wǎng)絡黑客造成可乘之機。同時,包過濾防火墻一般無法提供完善的日志。3.3.2 應用級代理防火墻 應用級代理技術通過在 OSI 的最高層檢查每一個 IP 包,從而實現(xiàn)安全策略。代理技術與包過濾技術完全不同,包過濾技術在網(wǎng)絡層控制所有的信息流,而代 理技術一直處理到應用層,在應用層實現(xiàn)防火墻功能。它的代理功能,就是在防 火墻處終止客戶連接并初始化一個新的連接到受保護的內部網(wǎng)絡。這一內建代理 13 計算機防火墻技術論文
機制提供額外的安全,這是因為它將內部和外部網(wǎng)絡隔離開來,使網(wǎng)絡外部的黑 客在防火墻內部網(wǎng)絡上進行探測變得困難,更重要的是能夠讓網(wǎng)絡管理員對網(wǎng)絡 服務進行全面的控制。但是,這將花費更多的處理時間,并且由于代理防火墻支 持的應用有限,每一種應用都需要安裝和配置不同的應用代理程序。比如訪問 WEB 站點的 HTTP,用于文件傳輸?shù)?FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應用沒有安裝代理程序,那么該項服務就不被支持并且不能通過防火墻進 行轉發(fā);同時升級一種應用時,相應的代理程序也必須同時升級。3.3.3 代理服務型防火墻 代理服務(Proxy Service)也稱鏈路級網(wǎng)關或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包 過濾[10]和應用網(wǎng)關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越 防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現(xiàn),外部計算機的網(wǎng)絡鏈路只能到達代 理服務器,從而起到了隔離防火墻內外計算機系統(tǒng)的作用。此外,代理服務也對 過往的數(shù)據(jù)包進行分析、注冊登記,形成報告,同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng) 絡管理員發(fā)出警報,并保留攻擊痕跡。應用代理型防火墻是內部網(wǎng)與外部網(wǎng)的隔 離點,起著監(jiān)視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在 OSI 模型的最高層,掌握著應用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復合型防火墻 由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法 結合起來,形成復合型防火墻產(chǎn)品。這種結合通常是以下兩種方案。屏蔽主機防 火墻體系結構,在該結構中,分組過濾路由器或防火墻與 Internet 相連,同時 一個堡壘機安裝在內部網(wǎng)絡,通過在分組過濾器路由器或防火墻上過濾規(guī)則的設 置,使堡壘機成為 Internet 上其他節(jié)點所能到達的唯一節(jié)點,這確保了內部網(wǎng) 絡不受未授權外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結構:堡壘機放在一個子網(wǎng) 內,形成非軍事化區(qū),兩個分組過濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與 Internet 及內部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中,堡壘機和分組過濾 路由器共同構成了整個防火墻的安全基礎。
3.4 防火墻包過濾技術
隨著 Internet 的迅速發(fā)展,網(wǎng)絡應用涉及到越來越多的領域,網(wǎng)絡中各類 14 計算機防火墻技術論文
重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡病毒的問題,使得網(wǎng) 絡安全問題越來越突出。因此,保護網(wǎng)絡資源不被非授權訪問,阻止病毒的傳播 感染顯得尤為重要。就目前而言,對于局部網(wǎng)絡的保護,防火墻仍然不失為一種 有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術,其應用非常廣泛。所謂包過濾,就是對流經(jīng)網(wǎng)絡防火墻的所有數(shù)據(jù)包逐個檢查,并依據(jù)所制定 的安全策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點在于其速度與 透明性。也正是由于此。包過濾技術歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對數(shù)據(jù)包的過濾操作,所以數(shù)據(jù)包結構是包過濾技術的基礎。考慮包過濾技術的發(fā)展過程,可以認為包過濾的核心問題就是如何充分利用數(shù)據(jù) 包中各個字段的信息,并結合安全策略來完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結構 當應用程序用 TCP 傳送數(shù)據(jù)時,數(shù)據(jù)被送入?yún)f(xié)議棧中,然后逐個通過每一層 直到被當作一串比特流送入網(wǎng)絡。其中每一層對接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段(TCP Segment);IP 傳給網(wǎng)絡接口 層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram);通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對于進防火墻的數(shù)據(jù)包,順序正好與此相反,頭部信息逐層剝掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長 服務類型 標識 生存時間 協(xié)議 源 IP 地址 目的 IP 地址 選項 標志 首部校驗和
總 長 度 片偏移
表 2-2 TCP 首部格式 源端口號 目的端口號 序列號 15 計算機防火墻技術論文
確認號 首 保 L 部 留 R 長 C T B L P R C B C J H T H TCP 校驗和 H J R 窗口大小
緊急指針 選項
對于幀的頭部信息主要是源/目的主機的 MAC 地址;IP 數(shù)據(jù)報頭部信息主要 是源/目的主機的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認序 號、狀態(tài)標識等。理論上講,數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的 依據(jù),但是在實際情況中,包過濾技術上的問題主要是選取哪些字段信息,以及 如何有效地利用這些字段信息并結合訪問控制列表來執(zhí)行包過濾操作,并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過濾技術 傳統(tǒng)包過濾技術,大多是在 IP 層實現(xiàn),它只是簡單的對當前正在通過的單 一數(shù)據(jù)包進行檢測,查看源/目的 IP 地址、端口號以及協(xié)議類型(UDP/TCP)等,結合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。這種技術實現(xiàn)簡單,處理速度快,對應用透明,但是它存在的問題也很多,主要表現(xiàn)有: 1.所有可能會用到的端口都必須靜態(tài)放開。若允許建立 HTTP 連接,就需 要開放 1024 以上所有端口,這無疑增加了被攻擊的可能性。2.不能對數(shù)據(jù)傳輸狀態(tài)進行判斷。如接收到一個 ACK 數(shù)據(jù)包,就認為這是 一個己建立的連接,這就導致許多安全隱患,一些惡意掃描和拒絕服務攻擊就是 利用了這個缺陷。3.無法過濾審核數(shù)據(jù)包上層的內容。即使通過防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼,也無法進行控制和阻斷。綜合上述問題,傳統(tǒng)包過濾技術的缺陷在于:(l)缺乏狀態(tài)檢測能力;(2)缺 乏應用防御能力。(3)只對當前正在通過的單一數(shù)據(jù)包進行檢測,而沒有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息,而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術必須發(fā)展進化,在繼承其優(yōu)點的前提下,采用新的技術手 段,克服其缺陷,并進一步滿足新的安全應用要求。從數(shù)據(jù)包結構出發(fā)考慮,目 前包過濾技術向兩個方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間 的關系,充分利用包頭信息中能體現(xiàn)此關系的字段,如 IP 首部的標識字段和片 16 計算機防火墻技術論文
偏移字段、TCP 首部的發(fā)送及確認序號、滑動窗口的大小、狀態(tài)標識等,動態(tài)執(zhí) 行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷,識別并阻止病毒代碼 和基于高層協(xié)議的攻擊,以此來提高應用防御能力。這兩種技術的發(fā)展并不是獨 立的,動態(tài)包過濾可以說是基于內容檢測技術的基礎。實際上,在深度包檢測技 術中己經(jīng)體現(xiàn)了兩種技術的融合趨勢。3.4.3 動態(tài)包過濾 動態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾,是在傳統(tǒng)包過濾技術基礎 之上發(fā)展起來的一項過濾技術,最早由 Checkpoint 提出。與傳統(tǒng)包過濾技術只檢查單個、孤立的數(shù)據(jù)包不同,動態(tài)包過濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來,建立一種基于狀態(tài)的包過濾機制。對于新建的應用連接,防火墻檢查預先設置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內存中記錄下 該連接的相關信息,這些相關信息構成一個狀態(tài)表。這樣,當一個新的數(shù)據(jù)包到 達,如果屬于已經(jīng)建立的連接,則檢查狀態(tài)表,參考數(shù)據(jù)流上下文決定當前數(shù)據(jù) 包通過與否;如果是新建連接,則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內存中動態(tài)地建立和維護一個狀態(tài)表,數(shù)據(jù)包到達時,對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這種方法 的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查,而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法,直接進行狀態(tài)檢查,從而使性能得到了較 大提高;而且,由于狀態(tài)表是動態(tài)的,因而可以有選擇地、動態(tài)地開通 1024 號以 上的端口,使安全性得到進一步地提高。動態(tài)包過濾技術克服了傳統(tǒng)包過濾僅僅孤立的檢查單個數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷,使得防火墻的安全控制力度更為細致。3.4.4 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡攻擊,比如紅色代碼和尼姆達,都是利用 了應用的弱點。利用高層協(xié)議的攻擊和網(wǎng)絡病毒的頻繁出現(xiàn),對防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內部來確認出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection)就是針對這種需求,深入檢測數(shù)據(jù) 包有效載荷,執(zhí)行基于應用層的內容過濾,以此提高系統(tǒng)應用防御能力。應用防御的技術問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡單的數(shù)據(jù)包內容過濾對當前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描 檢測,但是對于應用防御的要求而言,這是遠遠不夠的。如一段攻擊代碼被分割 到 10 個數(shù)據(jù)包中傳輸,那么這種簡單的對單一數(shù)據(jù)包的內容檢測根本無法對攻 17 計算機防火墻技術論文
擊特征進行匹配: 要清楚地知道有效載荷,必須采取有效方法,將單個數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應用層的內容過濾要求大量的計算資源,很多情況下高 達 100 倍甚至更高。因而要執(zhí)行深度包檢測,帶來的問題必然是性能的下降,這 就是所謂的內容處理障礙。為了突破內容處理障礙,達到實時地分析網(wǎng)絡內容和 行為,需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法,可以解決這個問題。一個深度包檢測的流程框圖如圖 3.1 所示。
圖 3.1 深度包檢測框圖 在接收到網(wǎng)絡流量后,將需要進行內容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧,其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎,按基本檢測方式進行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流,首先轉換成內容數(shù)據(jù)流。服務分析器根據(jù)數(shù)據(jù)流服務類型分離內 容數(shù)據(jù)流,傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內容 協(xié)議,分析內容數(shù)據(jù)流,檢測病毒和蠕蟲。如果檢測到信息流是一個 HTTP 數(shù)據(jù) 流,則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類型,則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件,附件和文件將傳輸?shù)讲《緬呙枰?擎,所有其他內容傳輸?shù)絻热葸^濾引擎。如果內容過濾啟動,數(shù)據(jù)流將根據(jù)過濾 的設置進行匹配,通過或拒絕數(shù)據(jù)。3.4.5 流過濾技術 流過濾是東軟集團提出的一種新型防火墻技術架構,它融基于狀態(tài)的包過 濾技術與基于內容的深度包檢測技術為一體,提供了一個較好的應用防御解決方 案,它以狀態(tài)監(jiān)測技術為基礎,但在此基礎上進行了改進其基本的原理是:以狀 態(tài)包過濾的形態(tài)實現(xiàn)應用層的保護能力:通過內嵌的專門實現(xiàn)的 TCP/IP 協(xié)議棧,實現(xiàn)了透明的應用信息過濾機制。18 計算機防火墻技術論文
流過濾技術[17]的關鍵在于其架構中的專用 TCP/IP 協(xié)議棧:這個協(xié)議棧是 一個標準的 TCP 協(xié)議的實現(xiàn),依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了,完整的重組,重組后的數(shù)據(jù)流交給應用層過濾邏輯進行過濾,從而可以有效地識 別并攔截應用層的攻擊企圖。在這種機制下,從防火墻外部看,仍然是包過濾的形態(tài),工作在鏈路層或 IP 層,在規(guī)則允許下,兩端可以直接訪問,但是任何一個被規(guī)則允許的訪問在 防火墻內部都存在兩個完全獨立的 TCP 會話,數(shù)據(jù)以“流”的方式從一個會話流 向另一個會話。由于防火墻的應用層策略位于流的中間,因此可以在任何時候代 替服務器或客戶端參與應用層的會話,從而起到了與應用代理防火墻相同的控制 能力。如在對 SMTP 協(xié)議的處理中,系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對 郵件的存儲轉發(fā),并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的 示意圖如圖 3.2 所示。
圖 3.2 流過濾示意圖 19 計算機防火墻技術論文
第四章
4.1 硬件連接與實施
防火墻的配置
一般來說硬件防火墻和路由交換設備一樣具備多個以太接口,速度根據(jù)檔次 與價格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對于中小企業(yè)來說一般出口帶寬都在 100M 以內,所以我們選擇 100M 相關產(chǎn) 品即可。網(wǎng)絡拓撲圖中防火墻的位置很關鍵,一般介于內網(wǎng)與外網(wǎng)互連中間區(qū)域,針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果防火墻上有 WAN 接口,那么直接將 WAN 接口連接外網(wǎng)即可,如果所有接 口都標記為 LAN 接口,那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網(wǎng)連接端 口。相應的其他 LAN 接口連接內網(wǎng)各個網(wǎng)絡設備。4.2 防火墻的特色配置
從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別,一部分防火墻
具備 CONSOLE 接口通過超級終端的方式初始化配置,而另外一部分則直接通過默 認的 LAN 接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權限不同 優(yōu)先級別的區(qū)域,另外還需要針對相應接口隸屬的區(qū)域進行配置,例如 1 接口劃 分到 A 區(qū)域,2 接口劃分到 B 區(qū)域等等,通過不同區(qū)域的訪問權限差別來實現(xiàn)防 火墻保護功能。默認情況下防火墻會自動建立 trust 信任區(qū),untrust 非信任區(qū),DMZ 堡壘主機區(qū)以及 LOCAL 本地區(qū)域。相應的本地區(qū)域優(yōu)先級最高,其次是 trust 信任區(qū),DMZ 堡壘主機區(qū),最低的是 untrust 非信任區(qū)域。20 計算機防火墻技術論文 在實際設置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作,否則默認將阻止對該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關配置與路由交換設備差不多,無外乎通過超級 終端下的命令行參數(shù)進行配置或者通過 WEB 管理界面配置。4.3 軟件的配置與實施
以 H3C 的 F100 防火墻為例,當企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體
配置。首先當企業(yè)外網(wǎng)出口指定 IP 時配置防火墻參數(shù)。選擇接口四連接外網(wǎng),接 口 一 連 接 內 網(wǎng)。這 里 假 設 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步:通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻,執(zhí)行 system 命令進入配置模式。第二步:通過 firewall packet default permit 設置默認的防火墻策略為 “容許通過”。第三步:進入接口四設置其 IP 地址為 202.10.1.194,命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:進入接口一設置其 IP 地址為內網(wǎng)地址,例如 192.168.1.1 255.255.255.0,命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 將兩個接口加入到不同的區(qū)域,外網(wǎng)接口配置到非信任區(qū) untrust,內網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墻運行基本是通過 NAT 來實現(xiàn),各個保護工作也是基于此 功能實現(xiàn)的,所以還需要針對防火墻的 NAT 信息進行設置,首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術論文
rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下來將這個訪問控制列表應用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,設置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉發(fā) 以及安全保護功能了。22 計算機防火墻技術論文
第五章
防火墻發(fā)展趨勢
針對傳統(tǒng)防火墻不能解決的問題,及新的網(wǎng)絡攻擊的出現(xiàn),防火墻技術也 出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管 理三方面來體現(xiàn)。5.1 防火墻包過濾技術發(fā)展趨勢
(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常 必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的,包過濾技術的 防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網(wǎng)絡通信帶 來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗 證。(2)多級過濾技術 所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分 組過濾(網(wǎng)絡層)一級,過濾掉所有的源路由分組和假冒的 IP 源地址;在傳輸層 一級,遵循過濾規(guī)則,過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等;在應用網(wǎng)關(應用層)一級,能利用 FTP、SMTP 等各種網(wǎng)關,控 制和監(jiān)測 Internet 提供的所用通用服務。這是針對以上各種已有防火墻技術的 不足而產(chǎn)生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網(wǎng)絡層,從這 個概念出發(fā),又有很多內容可以擴展,為將來的防火墻技術發(fā)展打下基礎。(3)功能擴展 功能擴展是指一種集成多種功能的設計趨勢,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產(chǎn)品中 了,很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主,還是以某個功 能為主了,即其已經(jīng)逐漸向我們普遍稱之為 IPS(入侵防御系統(tǒng))的產(chǎn)品轉化了。23 計算機防火墻技術論文
有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還 是在個人防火墻中體現(xiàn),因為它是純軟件形式,更容易實現(xiàn)。這種防火墻技術可 以有效地防止病毒在網(wǎng)絡中的傳播,比等待攻擊的發(fā)生更加積極。擁有病毒防護 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結構發(fā)展趨勢
隨著網(wǎng)絡應用的增加,對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要
能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應用將會越來越普 遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防 火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度 的角度看來,基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案,它需要在很大 程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面 任務的引擎,從而減輕了 CPU 的負擔,該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比,基于網(wǎng)絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于 ASIC 的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流,比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢
(1)集中式管理,分布式和分層的安全結構。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術的發(fā)展,黑客入侵系統(tǒng)技術的不斷進步以及網(wǎng)絡病毒朝智
能化和多樣化發(fā)展,對防火墻技術的同步發(fā)展提出了更高的要求。防火墻技術只 有不斷向主動型和智能型等方向發(fā)展,才能更好的滿足人們對防火墻技術日益增 長的需求。24 計算機防火墻技術論文
結論
隨著 Internet 和 Intranet 技術的發(fā)展,網(wǎng)絡的安全已經(jīng)顯得越來越重要, 網(wǎng)絡病毒對企業(yè)造成的危害已經(jīng)相當廣泛和嚴重, 其中也會涉及到是否構成犯 罪行為的問題,相應的病毒防范技術也發(fā)展到了網(wǎng)絡層面,并且愈來愈有與黑客 技術和漏洞相結合的趨勢。新型防火墻技術產(chǎn)生,就是為了解決來自企業(yè)網(wǎng)絡內 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點,集成了 IDS、VPN 和防病毒等安 全技術,實現(xiàn)從網(wǎng)絡到服務器以及客戶端全方位的安全解決方案,滿足企業(yè)實際 應用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密,認證和完整性保護機制,使網(wǎng)絡中 的服務,數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。本論文從防火墻方面解決網(wǎng)絡安全問題,對網(wǎng)絡安全技術的有深刻的了解。25 計算機防火墻技術論文
參考文獻
[1] 王艷.淺析計算機安全[J].電腦知識與技術.2010,(s):1054 一 1055.[2] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79 一 82.[3] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應用.2003,23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17 一 18.[5] 鄭林.防火墻原理入門[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004,20(l):57 一 62 [7] 李劍,劉美華,曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學報.2002,2(l):59 一 61 [8] 王衛(wèi)平,陳文惠,朱衛(wèi)未.防火墻技術分析.信息安全與通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱,石江濤,戴雪龍,顏天信.網(wǎng)絡包分類算法仿真測試與比較研究.中國科學技 術大學學報.2004,34(4):400 一 409 [11] 邵華鋼,楊明福.基于空間分解技術的多維數(shù)據(jù)包分類.計算機工程.2003,29(12):123 一 124 [12] 付歌,楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004,30(6):76 一 78 [13] 付 歌,楊 明 福,王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 術.計 算 機 工 程 與 應 用.2004(8):63 一 65 [14] 〕韓曉非,王學光,楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學學報.2003,29(5):504 一 508 [15] 韓曉非,楊明福,王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003,(29):188 一 192 [16] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003,40(3):387 一 392 [17] 余勝生,張寧,周敬利,胡熠峰.一種用于大規(guī)模規(guī)則庫的快速包分類算法.計算機工 程.2004,30(7):49 一 51 26 計算機防火墻技術論文
致謝
本文是在李老師的悉心指導卜完成的,從文獻的查閱、論文的選題、撰寫、修改、定稿,我的每一個進步都和李老師的關注與指導密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿,給子 我巨大、無私的幫助。論文的字里行間無不凝結著老師的悉心指導和浮淳教海,老師淵博的學識和嚴謹?shù)闹螌W態(tài)度給我留下了深刻的印象,我從他那里學到的不 僅僅是專業(yè)知識,更重要的是嚴謹?shù)闹螌W態(tài)度、對事業(yè)忘我的追求、高度的使命 感、責任感及和藹熱情的品質和做人的道理,這些將使我受益一生,并將激勵我 不斷向前奮進。還 有 就 是 在 這 次 的 實習中 更要對和我一起并肩戰(zhàn)斗的其他幾位小組成 員說一聲辛苦了,我們有了今天的成績是我們不懈與團結。讓我們共同努力創(chuàng)造 更好的明天。在此過程中我們互相幫助,勉勵是我們能完成這次任務的最大動力,也是我們之間最大的收獲,最好的精神財富,愿我們還會有更好的合作!經(jīng) 過 了 這 次 的 實習也 意 味 著 我 學習生 涯 的 結 束。在 TOP 的 三 年 時 間 轉 瞬 即 逝,借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們,更要感謝所 有對我學業(yè)、生活上的支持和鼓勵,感謝所有關心幫助過我的人。27
![下載防火墻技術論文__計算機專業(yè)1[小編推薦]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 